1. РЕШЕНИЯ IRONPORT ДЛЯ ЗАЩИТЫ ЭЛЕКТРОННОЙ
ПОЧТЫ И ОБЕСПЕЧЕНИЯ WEB-БЕЗОПАСНОСТИ
СОВРЕМЕННЫЕ
ИНТЕРНЕТ-
УГРОЗЫ
РУКОВОДСТВО ПО
САМООБОРОНЕ
2010 Г.
2. С
пам, вирусы, шпионское ПО, фарминг, троянские кони – неизбежные риски,
сопряженные с пользованием Интернета – становятся все более опасными для
пользователей. Хотя некоторые из этих компьютерных атак имеют многолетнюю
историю, мотивы их создателей со временем существенно изменились, а сами
атаки стали намного более разрушительными и сложными.
Если раньше действия компьютерных хакеров мотивировались жаждой славы, теперь их
движущей силой является обыкновенная жадность. Образ хакера-одиночки подросткового
возраста, пытающегося самостоятельно создать себе имя, окончательно ушел в прошлое.
Сегодня хакеров интересуют только способы присвоения денег. Этой цели они нередко
достигают, кооперируясь с организованными преступными группировками, по заказу которых
устраивают атаки, позволяющие добыть “легкие деньги” с меньшим риском по сравнению с
торговлей наркотиками или проституцией. Хакеры входят в контакт с этими группировками
через тайные форумы или посредством вербовки в университетской среде и предлагают свои
услуги тому, кто сможет предложить самую высокую цену. В организованных преступных
группировках сегодня имеются собственные “центры интернет-преступности”. Хакеры
являются либо полноправными участниками организации, либо нанимаются “внештатно”.
Другим уходящим в прошлое свойством атак была их чрезвычайная заметность. Например,
вирус “I Love You” был призван наделать как можно больше шума. Сегодня же атаки носят
скрытный характер: хакер меньше всего заинтересован привлечь к себе внимание. Например,
фишинговая атака может продолжаться всего 2 часа, которых хакеру достаточно для того,
чтобы собрать некоторый объем информации, не рискуя оказаться обнаруженным.
Еще один важный момент: прежде атаки были массивными и были призваны причинить
максимальный ущерб наибольшему числу сетей. Уже упоминавшийся “I Love You” –
подходящий пример вируса, нацеленного на максимально возможное число пользователей.
Сегодня атаки часто носят точечный характер, иногда затрагивая только одну компанию. Их
цель, например, может состоять в хищении секретной технологии производства или
проникновении в одну конкретную сеть. Фишинг, шпионское ПО, атаки с переназначением
сообщений об ошибке – все эти атаки и угрозы теперь нередко нацелены на узкую группу
пользователей или компаний.
Чтобы противостоять угрозам, новым формам атак и новым побуждениям хакеров, компании
должны реализовать решения, отвечающие сегодняшнему состоянию Интернета, и у
разработчиков и издателей решений в сфере безопасности не остается иного выбора, кроме
непрерывного новаторства с акцентом на упреждение.
Эта брошюра содержит обзор основных видов атак, получивших наиболее широкое
распространение в Интернете в настоящее время, а также различного вредоносного ПО,
используемого хакерами. Мы также проанализируем решения, которые необходимо
реализовать для противодействия этим угрозам в современном деловом мире.
4. ФИШИНГ
П
ри классической фишинг-атаке хакер создает фиктивный сайт, используя
корпоративные цвета и символику известной на рынке компании, и рассылает по
электронной почте пользователям приглашение его посетить, обычно – чтобы
выудить у них конфиденциальную информацию (например, пароли).
Пользователи подключаются к фиктивному сайту и дарят свои данные хакеру.
Этот вид атак популярен ввиду доступности в Интернете множества готовых к использованию
фишинговых “комплектов”, которые содержат инструменты, позволяющие даже начинающим
хакерам с очень скромным техническим мастерством легко проводить атаки. Эти комплекты
могут содержать полнофункциональное приложение для разработки web-сайтов (для создания
поддельных сайтов-двойников, неотличимых от оригинала), а также программное обеспечение
для автоматической рассылки спама по электронной почте.
Классический метод фишинга с использованием электронной почты в настоящее время
переживает застой, уступая место новым тенденциям, из которых наиболее популярной,
несомненно, является фарминг. Фарминг-атака не требует рассылки электронной почты.
Пользователи, подключаясь к интернет-сайту, например, своего банка, автоматически и без их
ведома переадресуются на сайт злоумышленника, где они вводят свой код и пароль (которые
перехватываются хакером). Затем сайт злоумышленника возвращает пользователей на
легитимный сайт. Фарминг-атака, таким образом, абсолютно незаметна для пользователя и в
целом представляет большую сложность с точки зрения обнаружения.
Отмечается существенный рост так называемого целевого фишинга. Этот тип фишинга
аналогичен точечной военной операции: в нем, в отличие от классического фишинга,
электронная почта рассылается целевой группе адресатов, например сотрудникам компании,
при этом сообщение выглядит намного более достоверным. Хакер может представиться,
например, директором отдела кадров или администратором сети и запросить у служащих
конфиденциальную информацию (пароли и т. п.). В другом сценарии хакер якобы от лица
контролирующего органа просит компанию раскрыть конфиденциальную техническую
информацию о продукте.
Эта форма атак позволяет хакерам получать коммерческую и техническую информацию
(секретные технологии производства, корпоративные и коммерческие показатели и т. п.).
Так хакеры используют фишинг для заработка, например путем продажи собранной
информации конкурирующим фирмам.
Пользователи, допустившие незначительную опечатку (классическим примером был сайт
googkle.com), могут попасть на опасный сайт, который заразит их компьютер без их ведома.
Такой способ использования опечаток в адресах для распространения вирусов называется
тайпсквоттингом. Хакер создает сайт с написанием адреса, похожим на адрес
известного сайта, и размещает на нем вредоносный программный код. Согласно
исследованию, проведенному Рабочей группой по противодействию фишингу (Anti-Phishing
Working Group, APWG), более трети фишинг-сайтов теперь также являются площадками для
4
5. размещения вредоносного ПО. Таким образом, хакеры не только крадут у пользователей
конфиденциальную информацию, но и тайно внедряют на их рабочие станции шпионское ПО,
которое продолжает похищать данные! Сайты, участвующие в фишинговых или фарминговых
атаках, остаются в онлайне только на очень короткое время: фактически средняя
продолжительность существования фишинг-сайта сейчас составляет 3 дня. Таким образом,
хакеры больше не рискуют оказаться пойманными: они не медлят с закрытием сайтов,
которые уже помогли им собрать достаточный объем конфиденциальной информации.
ВРЕДОНОСНОЕ ПО
ВИРУСЫ И ЧЕРВИ
лово “вирус” стало универсальным термином для всех категорий вредоносного
С программного кода. Однако с технической точки зрения вирусом называется
вредоносный код, который копирует собственное тело в другие коды или
документы. Подавляющее большинство вирусов проникает в сети через шлюз
электронной почты. Почтовые вирусы часто принимают форму вложений, которые
априори являются легитимными файлами, но содержат вредоносный программный код.
Иногда вирусы также поступают в виде зашифрованных или защищенных файлов, что
чрезвычайно затрудняет их обнаружение антивирусным программным обеспечением.
Основная цель вируса – привести в негодность компьютер или сеть.
Червь – разновидность самовоспроизводящегося вредоносного ПО. Некоторые черви за
последние годы стали громкими новостями, наводняя сети и причиняя существенный ущерб.
Чтобы проникнуть на ПК, черви используют уязвимости в системе безопасности. После этого
они сканируют сеть, разыскивая другие рабочие станции с подобными уязвимостями. Этот
механизм позволяет червям распространяться на большое количество компьютеров всего за
несколько часов. В отличие от других типов вирусов, оригинальным свойством червей
является то, что их распространение не требует участия пользователя. Для запуска
большинства вирусов необходимы определенные действия пользователя (открытие вложения
в электронной почте, запуск приложения, перезагрузка компьютера и т. п.). Черви же способны
распространяться полностью самостоятельно. Например, вирус Explore.zip способен находить
почтовые клиенты, такие как Microsoft Outlook, и рассылать себя всем контактам в адресной
книге.
В настоящее время классические вирусы уходят со сцены. Хакеров уже не столь активно
интересуют способы создать видимые нарушения или уничтожить данные. Им более
интересны возможности добычи информации или превращения рабочих станций в зомби (см.
стр. 8).
5
6. -
ШПИОНСКОЕ ПО
Ш
пионское ПО – это программное обеспечение, устанавливаемое на рабочих
станциях, которое собирает информацию и отправляет ее внешним
пиратским серверам. На сегодня насчитывается более 150 000 различных
шпионских программ, и это число стабильно растет. Шпионское ПО стало
поистине международной проблемой: ведущие “производители” находятся не только в
России, восточноевропейских странах и Китае, но также в Западной Европе и США.
Чрезвычайно опасная подкатегория шпионского ПО – клавиатурные шпионы. Они могут в
фоне записывать все нажатые пользователем клавиши.
Хакеры объединяют клавиатурные шпионы с более сложными модулями, например,
программа может фиксировать сетевой адрес банковского сайта, запоминать имя
пользователя и пароль и отправлять эту информацию на сервер злоумышленника, который
в дальнейшем сможет использовать эти данные для вывода денег с взломанного банковского
счета пользователя. Клавиатурные шпионы теперь также применяются для сбора
конфиденциальной коммерческой информации. Например, клавиатурный шпион на
компьютере финансового директора или исполнительного директора может похитить важную
коммерческую информацию или секретные данные, например корпоративные планы
сокращения персонала или выпуска нового продукта. Клавиатурные шпионы имеют доступ ко
всем приложениям: они могут извлекать информацию с web-страниц и взаимодействовать с
программным обеспечением обмена сообщениями и базами данных.
Экранные шпионы представляют собой развитие клавиатурных шпионов: в дополнение к
сбору данных с клавиатуры и мыши они могут одновременно делать снимки экрана, связывая
таким образом нажатие клавиши или щелчок мыши с определенным экраном. Этот вид
вредоносного кода позволяет обойти системы безопасности, используемые некоторыми web-
сайтами, где пользователи должны указывать свои реквизиты при помощи виртуальной
экранной клавиатуры (эта мера специально предназначалась для противодействия
клавиатурным шпионам).
Другая форма шпионского ПО – перехватчик запросов браузера, который изменяет
настройки браузера на компьютере и переадресует запросы пользователя (неверно
введенные URL-адреса, начальные страницы и другие запросы) на нежелательные или
зараженные сайты. Одним из первых представителей этого жанра была программа Cool Web
Search (CWS), которая переадресовывала обращения к несуществующим URL-адресам на
собственную поисковую систему. Такие программы теперь чаще используются для
нейтрализации механизмов безопасности в сети. Например, некоторые перехватчики
браузеров переадресовывают пользователя на страницу с сообщением типа: “Внимание! Ваш
компьютер заражен шпионским ПО!” Страница появляется на экране после того, как
пользователь щелкнет мышью всплывающее окно, которое на самом деле установит
шпионское ПО на его компьютер! Другие подобные механизмы открывают web-страницу
только после того, как пользователь согласится купить программу для удаления шпионского
ПО. Перехватчики запросов браузеров создают ощутимые помехи в перемещении по web-
сайтам и представляют угрозу для безопасности компаний.
6
7. ТРОЯНСКИЕ КОНИ
Т
роянские кони – еще одна форма вредоносного ПО, которое заражает
компьютеры, маскируясь под безвредные приложения. Затем троянский конь
открывает в зараженной системе “потайной ход” (скрытый порт), соединяется с
сервером злоумышленника и загружает с него одну или несколько вредоносных
программ. Троянские кони могут, в частности, распространяться через сайты
с видеоклипами, для просмотра которых требуется установить специальный кодек.
Вместе с кодеком пользователи без своего ведома загружают троянского коня, который
устанавливается на компьютере в фоновом режиме.
Чтобы не быть обнаруженным, сам троянский конь почти никогда не содержит вредоносный
код. Он устанавливается и только потом получает вредоносный код с внешнего сервера,
иногда используя сетевые порты, отличные от порта 80 (стандартный порт протокола HTTP).
В отличие от вирусов и червей, троянские кони автоматически не копируются: для их
выполнения требуется вмешательство пользователя. Вместе с тем экспоненциальный рост
web-контента и приложений каждый день создает новые возможности для интеллектуальных
троянских коней.
Резкий всплеск подобных угроз обусловлен интенсивным использованием троянских коней в
организации “сетей компьютеров-зомби” или ботнетов (см. стр. 8).
РУТКИТЫ
Е
ще одна форма чрезвычайно опасного вредоносного ПО – руткиты. Руткит – это
программа, которая внедряется непосредственно в ядро операционной системы
компьютера, обходя ограничения системных механизмов безопасности. Руткиты
могут также скрывать “потайные ходы”, устроенные на компьютере троянскими
конями. В работе операционных систем центральное место обычно занимают
интерфейсы программирования приложений (API). Например, открытие документа – это
действие, связанное с определенным API-интерфейсом. Руткит позволяет
манипулировать API-интерфейсами. Таким образом, например, когда операционная
система запрашивает определенный документ, руткит имеет возможность подставить
вместо документа любой другой объект. Такой уровень подчинения делает
противодействие практически невозможным: как только руткит оказался в компьютере,
лучший выход – переустановка всей системы.
В 2005 г. компания Sony BMG издавала компакт-диски, которые при их воспроизведении в
операционной системе Windows тайно устанавливали руткиты. Этот инцидент получил
широкую огласку в СМИ и привлек внимание общественности к проблеме руткитов, известной
ранее только компьютерным специалистам.
7
8. СЕТИ КОМПЬЮТЕРОВ-ЗОМБИ (БОТНЕТЫ)
ОПРЕДЕЛЕНИЕ И СФЕРА ПРИМЕНЕНИЯ
К
омпьютер-зомби – это компьютер, на котором без ведома пользователя
установлен вредоносный программный код, не выполнявший никаких
нежелательных действий во время его установки. После установки вредоносного
ПО хакер может удаленно обратиться к зараженному компьютеру, чтобы
инициировать атаку или выполнить любое другое злонамеренное действие. Зараженный
компьютер, таким образом, становится зомби, который должен подчиняться
распоряжениям хакера без ведома владельца компьютера. Такие зараженные машины
все чаще объединяются хакерами в специальные сети. Эти сети компьютеров-зомби
называются ботнетами и относятся к разряду самых серьезных угроз компьютерной
безопасности. Становится чрезвычайно трудно определить местонахождение реального
инициатора атаки, тем более что хакеры используют сети компьютеров-зомби,
рассредоточенных по разным странам.
В общем случае для управления ботнетом хакеры применяют сервер команд и управления,
который рассылает распоряжения компьютерам-зомби.
По данным специалистов, в Интернете в настоящее время насчитывается порядка
75–100 миллионов компьютеров-зомби.
Хакеры используют компьютеры-зомби в нескольких различных целях.
Распределенные атаки, вызывающие отказ в обслуживании (DDoS)
Ботнеты широко применяются для организации распределенных атак, вызывающих отказ в
обслуживании (DDoS). Компьютеры-зомби атакуют HTTP-шлюзы или интернет-сайты,
подключаясь к ним одновременно и полностью расходуя их ресурсы, чтобы воспрепятствовать
их функционированию в штатном режиме или полностью вывести их из строя. Такая атака
может привести к колоссальным убыткам для бизнеса (например, в случае интернет-
компаний). Необходимо отметить, что некоторые хакеры сдают свои ботнеты в аренду. Теперь,
арендуя компьютеры-зомби для организации DDoS-атаки, можно атаковать системы
конкурента и вывести из строя его сайты!
Аналогичным образом можно организовывать DDoS-атаки посредством электронной почты,
рассылая большое число сообщений для исчерпания ресурсов почтового агента (MTA).
Сервер в этом случае вынужден прерывать легитимные подключения или отклонять реальные
почтовые сообщения.
Спам
Ботнеты также часто используются для рассылки спама. Спамеры в этом случае скрываются
за компьютерами-зомби, которые выполняют “грязную” часть работы за них. По оценкам Cisco
IronPort, в настоящее время 80 % спама во всем мире поступает с компьютеров-зомби.
В крупной спам-атаке могут быть задействованы зомби, рассеянные по территории нескольких
стран.
8
9. Фишинг
Зомби также используются хакерами для запуска фишинг-атак: сообщения электронной почты
со ссылками на мошеннические сайты рассылаются с компьютеров посторонних
пользователей, что затрудняет определение местонахождения хакера.
Кибервымогательство: интернет-шантаж
Наконец, зомби положили начало явлению, названному в СМИ “кибервымогательством”.
Хакеры обращаются к компаниям и просят заплатить выкуп, если те не хотят подвергнуться
сетевой атаке с несколькими тысячами зомби. Этот тип атаки и шантажа успел получить
чрезвычайно широкое распространение. Например, в ходе исследования, проведенного в
США Школой государственной политики им. Г. Джона Хайнца III при Университете Карнеги-
Меллон в сотрудничестве с изданием Information Week, 17 % компаний-респондентов
признали, что были жертвами кибервымогательства.
КАК ПК ПРЕВРАЩАЕТСЯ В ЗОМБИ?
Предупреждения о вирусах
В настоящее время термин “предупреждение о вирусе” чаще употребляется в отношении
распространения червей и троянских коней, посредством которых хакеры удаленно
завладевают компьютерами, чем в отношении распространения реальных вирусов. Вместе с
тем вирусные атаки все еще очень агрессивны и представляют существенную проблему для
компаний с точки зрения безопасности. Фактически предупреждение предполагает несколько
этапов:
1. Вредоносный код, в большинстве случаев эксплуатирующий уязвимости в
программном обеспечении, обнаруживается в мировом масштабе.
2. Ведущий разработчик антивирусного/антишпионского пакета мобилизует
исследовательские группы для поиска мер противодействия.
3. Ведущий разработчик антивирусного/антишпионского пакета рассылает сигнатуру
нового вируса своим клиентам.
4. Каждый клиент должен установить в своей системе описание характеристик.
Таким образом, между обнаружением вредоносного кода и установкой новой базы сигнатур
и/или реализацией исправления, если таковое будет выпущено для устранения уязвимости в
программном обеспечении, проходит несколько часов или даже дней. Бывает и так, что новая
база сигнатур или исправление не устанавливаются никогда. Пока существует такое “окно”,
сети остаются полностью уязвимыми для вредоносного ПО.
С 2005 г. основной целью вредоносного кода после распространения является взятие
компьютера под свой контроль и превращение его в зомби.
С 2007 г. большинство атак возникает с участием вредоносного кода, распространяемого
ботнетом Storm и его преемниками. Этот механизм был задуман для распространения
вредоносного кода компьютерами-зомби для превращения других ПК в зомби (см. стр. 11).
9
10. Объем вредоносного кода, распространяемого по электронной почте, за прошедшие годы
уменьшился, поскольку компании теперь чаще используют почтовые шлюзы. Хакеры
переключились на WWW для распространения самых разнообразных угроз, используя в
большинстве случаев зараженные сайты.
Предупреждения об URL-адресах
Хотя предупреждения о вирусах, распространяющихся через файлы вложений в почтовых
сообщениях, по-прежнему поступают чаще всего, с 2007 года значительно увеличилась доля
предупреждений о распространении вирусов через URL-адреса в сообщениях.
Этот новый метод распространения вредоносного ПО позволяет хакерам обходить
динамический карантин, равно как и обычные вирусные фильтры. Чаще всего подобные атаки
принимают форму спама, содержащего ссылки, по которым пользователи попадают на
зараженные сайты (см. также стр. 21). Эти сайты загружают вредоносное ПО на ПК, которые
становятся неотъемлемой частью ботнета.
10
11. СЕТЬ STORM И ЕЕ ПОТОМКИ:
НОВЫЕ ПОКОЛЕНИЯ ЗОМБИ
В
2007 году появилось новое поколение ботнетов – сеть Storm. По данным
аналитиков Cisco, участниками ботнета Storm в период с января 2007 г. по
февраль 2008 г. в разное время стали около 40 миллионов компьютеров по
всему миру. В высшей точке своего развития ботнет Storm создавал более 20 %
всего спам-трафика в Интернете, а число одновременно подключенных его участников
достигало 1,4 млн. зараженных компьютеров. Он продолжил заражать или повторно
заражать приблизительно по 900 000 компьютеров в месяц.
Вредоносное ПО во вложениях В ботнете Storm
сообщений электронной почты использовались различные
технологии, которые часто
называют технологиями
Web 2.0. Этот ботнет скрытен,
чрезвычайно подвижен и
динамичен как по своему
масштабу, так и по своим
действиям. В нем
применяются смешанные
методики атаки,
объединяющие электронную
почту и WWW. В частности,
ботнет Storm был источником
спам-атак с использованием
файлов Excel, PDF или MP3
(см. стр. 20).
Ключевые характеристики сети Storm
- Самовоспроизводство: распространение ботнета Storm происходит с участием пользователя.
Для этого применяется простой принцип – социотехника, т. е. злоупотребление доверием
пользователя к содержанию полученного сообщения. Ботнет Storm автоматически рассылает
огромные объемы спама для самовоспроизводства. Эти сообщения содержат URL-адреса, по
которым пользователи попадают на зараженные сайты, где на их компьютеры автоматически
загружается (см. описание скрытой загрузки на стр. 15) вредоносный программный код,
эксплуатирующий уязвимость web-браузера. После заражения эти ПК становятся
неотъемлемой частью ботнета Storm.
- Координация: ботнет Storm использует некоторые из входящих в него компьютеров для
проведения спам-кампаний. Рассылаемые сообщения адресуют пользователей к зараженным
web-страницам, размещенным на других ПК в ботнете. Этот прием демонстрирует
изощренность владельцев сети и скоординированный характер организуемых через нее атак.
- Одноранговая архитектура: в прошлом классические ботнеты управлялись хакером через
сервер команд и управления. Для ожидания команд от хакера ботнеты часто использовали
11
12. протокол интернет-чата (IRC). Однако эта архитектура имела слабое звено: блокирование
доступа к серверу команд и управления “обезглавливало” ботнет, делая его
неработоспособным. Сеть Storm децентрализована: в ней компьютеры-зомби
непосредственно соединяются друг с другом в одноранговом режиме, сводя на ноль
контрмеры разработчиков решений в области безопасности (например, занесение IP-адресов
обнаруженных командных серверов в черный список).
- Универсальность: ботнет Storm может использоваться для множества типов атак:
классический спам, спам для привлечения в сеть, фишинг, DDoS, и т. п. На его счету есть даже
вторжения в сети мгновенного обмена текстовыми сообщениями и отправка спама в блоги.
Таким образом, этот ботнет представляет угрозу для самых разнообразных сетевых
протоколов. Хотя вредоносное ПО обычно проектируется для разового использования,
“платформа вредоносного ПО”, которой является Storm, является представителем нового типа
архитектуры, который, несомненно, будет скопирован и усовершенствован в последующие
годы.
- Механизм самообороны: для обеспечения собственной долговечности ботнет Storm
содержит ряд функций самообороны. В ответ на чрезмерно пристальное наблюдение за собой
он может запускать (потенциально автоматизируемые) DDoS-атаки. Storm подобным образом
устраивал массивные атаки на исследователей в сфере безопасности, разработчиков
решений и другие организации, борющиеся со спамом.
Storm вошел в историю как образец нового поколения ботнетов. Тем не менее постоянно
обнаруживаются новые сети, такие как Kraken & Asprox, которые пытаются оспорить
первенство Storm в сфере взлома через Интернет. В частности, ботнет Kraken объединял в
своем составе ПК, принадлежащие, по консервативным оценкам, от 50 до 500 наиболее
состоятельных международных компаний, демонстрируя тем самым, что участь стать
зараженным зомби постигает не только ПК обычных пользователей, но и компьютеры
некоторых компаний-ветеранов фронта информационной безопасности.
В 2008 г. ботнет Asprox также стал одной из наиболее эффективных сетей зомби в истории
Интернета.
По данным Cisco, Asprox успевал внедриться за сутки на 31 000 сайтов, превращая тысячи
настольных компьютеров в зараженных зомби.
Первая половина 2009 г. была отмечена очередным рекордным пиком хакерской активности
благодаря сети Conficker.
Червь Conficker начал эксплуатировать уязвимые устройства (используя уязвимость Windows)
в последнем квартале 2008 г. и продолжал размножаться в начале 2009 г., стремительно
распространяясь по миллионам систем и заражая ежедневно десятки тысяч новых
компьютеров.
Эпидемии Conficker были отмечены в приблизительно 150 странах: наибольшее количество
зараженных систем пришлось на Бразилию, Китай и Россию. Быстро стало понятно, что цель
червя – построить массивный ботнет, возможно, крупнейший за все время. Этот ботнет в
дальнейшем мог бы с прибылью использоваться для запуска новых атак с рассылкой спама
или распространением вредоносного ПО. Ботнет Conficker остается активным и сегодня, хотя
темпы заражения замедлились.
12
13. МЕХАНИЗМЫ РАСПРОСТРАНЕНИЯ УГРОЗ
На протяжении многих лет вредоносный код попадал в корпоративные системы по
электронной почте. С развитием угроз компании вооружились различными видами решений
для безопасности: антивирусное ПО на ПК, файловых серверах, почтовых серверах и
почтовых шлюзах, динамические карантинные решения, способные блокировать
подозрительные файлы до опубликования антивирусных характеристик, а также специальные
решения для фильтрации почтового трафика с целью блокирования определенных типов
файлов.
Ответным шагом хакеров стало развитие механизмов заражения через WWW, что позволило
им обходить эти решения, ориентированные только на электронную почту.
ВАМ ПИСЬМО...
% глобального трафика электронной почты сегодня составляет спам.
90 Электронная почта остается наиболее существенным механизмом
заражения корпоративной сети. Даже сейчас, по некоторым оценкам,
приблизительно 80 % вредоносного кода проникает в компании именно
через электронную почту. Вирусы и другие формы вредоносного кода могут приходить в
форме вложений, но заразиться можно и при простом чтении или предварительном
просмотре почтовых сообщений. В последнем случае угроза заражения компьютера
исходит от автоматизированных сценариев.
WEB-УГРОЗЫ: РЕЗКИЙ РОСТ
ПОПУЛЯРНОСТИ
На WWW сегодня приходится 20 % случаев проникновения вредоносного кода в
корпоративные вычислительные системы. Этот процент устойчиво растет.
По сравнению с электронной почтой заражение посредством WWW часто имеет намного
более разрушительные последствия. Ведь когда пользователи получают спам или вирус по
электронной почте, они хорошо знают об этом (даже если реагировать слишком поздно, как в
случае с вирусами). Но в случае WWW мы имеем дело со шпионским или вредоносным ПО,
которое по определению относится к категории скрытых угроз. Пользователи не знают, что их
ПК заражен, и это делает заражение еще более опасным.
Итак, каковы способы заражения через WWW?
13
14. Атаки ”в нагрузку”: вредоносное ПО скрывается в легитимном приложении
Изначально вредоносное ПО может быть скрыто в априори безвредном приложении.
Например, пользователь загружает из Интернета видеоролик, для просмотра которого
требуется загрузить кодек. Пользователь загружает и устанавливает кодек. Видеоролик теперь
можно просмотреть, но пользователь вместе с кодеком неосознанно загрузил и установил
шпионское ПО.
Социотехнические приемы, побуждающие пользователя загружать вредоносный код
Другая распространенная форма заражения через WWW – ситуация, когда пользователь
щелкает мышью рекламный баннер или всплывающее окно, которое загружает вредоносное
ПО. В таких случаях хакеры побуждают пользователя щелкнуть всплывающее окно, в котором
содержится заманчивая реклама или порнографическое изображение. Иногда пользователю
предлагается перейти по ссылке, чтобы начать сканирование на предмет вредоносного ПО, в
то время как щелчок мышью на самом деле приведет к загрузке шпионской программы!
С 2008 г. атаки, задействующие как электронную почту, так и WWW, прогрессируют
рекордными темпами. Они часто используют актуальные новостные сюжеты, такие как победа
Обамы в 2008 г. или эпидемия свиного гриппа в 2009 г.
По-настоящему иллюстративным примером недавней социотехнической атаки стала пандемия
гриппа H1N1 (“свиного гриппа”), начавшаяся в апреле 2009 г. Она быстро привела к пандемии
другого рода – размножению спам-сообщений, использующих тему свиного гриппа в качестве
приманки для пользователя. В конце апреля 2009 г. киберпреступники начали рассылать спам-
сообщения с темами типа “Опасения по поводу эпидемии свиного гриппа в США” или “Свиной
грипп в Голливуде”. Внимание получателей, щелкавших по ссылкам, вознаграждалось
сообщениями, призывавшими их купить несуществующие профилактические препараты от
свиного гриппа со ссылками на различные web-сайты известных продавцов поддельной
фармпродукции.
На пике этой “пандемии” доля спама, посвященного свиному гриппу, составляла почти 4 %
глобального спам-трафика.
Скрытая загрузка, т. е. автоматическая загрузка вредоносного ПО с использованием
уязвимости web-обозревателя
Наконец, загрузка вредоносного ПО все чаще происходит незаметно для пользователя: ему
даже не требуется щелкать мышью в каком-либо окне. Вредоносное ПО попросту
эксплуатирует уязвимость web-браузера для установки на ПК. Эта форма автоматической
загрузки, происходящая без вмешательства пользователя и не вызывающая у него
подозрений, теперь отвечает за большинство заражений через WWW. Скрытые загрузки часто
объединяются с атаками на основе тега iFrame или внедрением вредоносного контента на
сайты Web 2.0. Эти виды атак описаны в следующем параграфе.
14
15. ВНЕДРЕНИЕ КОНТЕНТА НА
ЛЕГИТИМНЫЕ САЙТЫ
О
пасность скрытых загрузок усугубляется тем, что чаще всего источниками
заражения являются сайты, не вызывающие подозрений. По сути, свыше 87 %
всех web-угроз сегодня исходят от легитимных web-сайтов, эксплуатируемых
злоумышленниками. Это означает, что большинство вредоносного ПО
загружается не с потенциально опасных сайтов (музыкальных, порнографических и т. п.),
а с легитимных ресурсов, которые становятся потенциально опасными в результате
каскадных HTTP-ссылок. Фактически любой web-сайт, связанный с электронной
торговлей, может публиковать у себя рекламу, которая ссылается на сайты,
распространяющие эту рекламу, которые в свою очередь адресуют пользователей на
сайты с размещенными изображениями и так далее. В конце цепочки может стоять
вредоносный код, который в итоге окажется на ПК пользователя! Кроме того, согласно
аналитическим материалам White Hat Security (статистическому отчету о безопасности
web-сайтов), 9 из 10 сайтов уязвимы для атаки.
Атаки посредством тега iFrame
Весьма большое число атак, нацеленных на web-браузеры, теперь используют теги iFrame
языка HTML.
Язык HTML основан на использовании тегов для отображения и визуальной разметки
информации, текста, образов, аудио- и видеоматериалов и т. п., присутствующих на web-
странице. Тег iFrame – один из компонентов языка HTML, используемый при создании web-
страниц в Интернете.
В числе более известных тегов – <b> для полужирного шрифта, <font> для определения
правил представления текстовых символов (размер, цвет и т. п.), <script> для встраивания
кода сценариев, например сценариев на языке JavaScript для активации или расширения
функциональных возможностей страниц, <frame> для разбиения страницы на экранные
области и т. п. Тег iFrame обозначает “встроенную область” (inline frame) и записывается в
языке HTML как <iFrame>. Он служит для вставки другого HTML-документа в HTML-страницу.
В отличие от тега <frame>, который с точки зрения программирования делит HTML-страницу
на области, содержащие различные страницы с одного и того же сервера, тег <iFrame>
используется для вставки в web-страницу информации, хранящейся на других сайтах в
Интернете. Web-дизайнеры чаще всего используют тег <iFrame> для включения в страницу
рекламных объявлений, которые хранятся на специализированных серверах. Классический
сценарий iFrame-атаки состоит в следующем:
1. Хакер, используя уязвимость web-сервера или недоработки в коде страницы,
несанкционированно изменяет одну из страниц web-сайта (предположим, страницу
новостного сайта ). Подобный сайт, как правило, является легитимным новостным
порталом и поэтому относится к категории доверенных сайтов. Хакер добавляет в
одной из страниц сайта тег iFrame, который переадресовывает пользователей без
их ведома на сайт, содержащий вредоносный контент и находящийся в ведении
15
16. хакера; предположим, . Кроме того, хакер делает этот тег невидимым, используя
соответствующую инструкцию HTML.
2. Пользователи, подключаясь к популярному сайту, загружают содержащийся на
сайте материал в свой web-браузер. Если они просматривают страницу,
зараженную хакером, то на ПК попадает страница с невидимым тегом iFrame.
3. Пока пользователи читают страницу сайта newsonline.com, в тайне от них
устанавливается соединение с сайтом yourspyware.com. Затем на их ПК
автоматически загружается вредоносное ПО, например троянский конь, для чего
используется уязвимость в web-браузере.
4. Теперь у хакера есть доступ к ПК пользователей через “потайные ходы”,
открытые троянским конем. Зараженные ПК могут, например, войти в состав сети
компьютеров-зомби. Либо хакер может загрузить на них программу типа
“клавиатурный шпион”, которая похитит личные данные пользователей ПК.
Злоумышленники используют все более и более сложные приемы для обхода механизмов
обнаружения, например, путем многократной переадресации между захваченным легитимным
сайтом и конечным сайтом, распространяющим вредоносное ПО.
Использование сайтов Web 2.0
Другой распространенный прием – использование сайтов Web 2.0, позволяющих
пользователям размещать на страницах свой контент, например, посредством форумов и
блогов. Контент, размещенный пользователем, может представлять собой как обычный текст,
так и текст с тегами HTML, например ссылками на изображения или другой внешний контент.
Хакер может подобным образом непосредственно на сайте социальной сети размещать
ссылки на зараженные сайты, вызывающие выполнение вредоносного кода на ПК других
пользователей. Жертвами этого типа атаки становились сайты MySpace, Facebook и даже
YouTube. Все больше пользователей посещают такие сайты с рабочего компьютера, создавая
риск заражения всей сети.
СТРЕМИТЕЛЬНЫЙ РОСТ
МНОГООБРАЗИЯ ПРИЛОЖЕНИЙ,
РАБОТАЮЩИХ ЧЕРЕЗ ИНТЕРНЕТ-ШЛЮЗ
Н
а протяжении последних нескольких лет на базе Интернета было создано много
новых применений, некоторые из которых получили широкое признание и
применение на глобальном рынке. Порты 80 и 443 ранее использовались только
для web-трафика, теперь их предназначение изменилось.
Мгновенный обмен сообщениями
Почти во всех компаниях мира можно найти пользователей, общающихся посредством систем
мгновенного обмена сообщениями, таких как MSN или Skype. Но эти же системы могут стать
источником вредоносных файлов, заражающих корпоративную сеть.
16
17. Web-почта
Подавляющее большинство корпоративных пользователей проверяют свои персональные
почтовые ящики в рабочее время с корпоративного ПК. Безусловно, сообщения,
доставляемые через web-порталы электронной почты, могут содержать вредоносные
вложения так же, как это имеет место при доставке по протоколу SMTP.
Обмен файлами и хранение файлов на web-ресурсах
Такие web-сайты, как Megaupload и Rapidshare, помогают пользователям обмениваться
крупными файлами. Хотя эти решения полезны для обхода ограничений, присущих вложениям
в электронной почте, они могут использоваться и для передачи зараженных файлов. В
последнее время популярность этих приложений резко возросла, породив новые проблемы в
безопасности корпоративных сетей.
Одноранговые сети для обмена файлами (P2P)
Несмотря на все меры по его сдерживанию, обмен файлами через P2P-сети по-прежнему
является частым явлением в большинстве корпоративных сетей.
SSL-трафик и приложения с поддержкой шифрования
Трафик SSL, обеспечивающий шифрование потока данных между корпоративным
пользователем и внешним web-сайтом, защищает конфиденциальные данные, одновременно
создавая реальную уязвимость внутри сети. Поскольку SSL-трафик в принципе невозможно
анализировать посредством фильтров интернет-шлюза, он может также использоваться для
загрузки вредоносного ПО. Под предлогом обеспечения конфиденциальности некоторые
приложения, такие как Skype, используют закрытые протоколы шифрования и, таким образом,
абсолютно неподконтрольны!
СПАМ: УСИЛИТЕЛЬ АТАК
ИГРА В КОШКИ-МЫШКИ
О
фициального определения термина “спам” не существует. Само слово
происходит от названия британской марки второсортной консервированной
ветчины (SPAM как сокращение от “SPiced hAM” – “ветчина с пряностями”). В
одном из самых известных скетчей культовой британской комедийной труппы
“Монти Пайтон” актеры досаждали друг другу тем, что все время вставляли в разговор
слово “спам”.
Сегодня слово “спам” обычно характеризует незапрошенные массовые рассылки сообщений
по электронной почте множеству получателей. Спам в лучшем случае раздражает получателя,
в худшем – становится угрозой для безопасности.
С 2002 года спам прочно вошел в нашу электронную почту. Этот поток нежелательных
сообщений движим жадностью. Спамеры вначале делали деньги на продаже различных
продуктов с низкой маржей прибыли (биологически активных пищевых добавок, ипотечных
кредитов по низким ставкам, эргономичных мышей и т. п.), но нередко занимались и
незаконными действиями (мошенничеством с кредитными картами, распространением
17
18. порнографии, незаконной продажей фармпрепаратов и т. п.). Эта прибыль была впоследствии
реинвестирована в технологии и инфраструктуру распространения спама. Сегодня спам – это
“усилитель атак”, с которым нужно считаться. Спамеры используют в своих интересах бреши в
безопасности корпоративных сетей, осуществляя сбор адресов электронной почты, запуская
фишинг-атаки, распространяя вирусы и т. п.
Первоначальным ответом компаний и пользователей на появление спама стали фильтры первого
поколения. Они были главным образом основаны на эвристическом анализе: на основании
содержавшихся в сообщении слов посредством весовых коэффициентов вычислялась
вероятность принадлежности сообщения к спаму. Столкнувшись с широким распространением
подобных решений, спамеры стали разрабатывать новую, более совершенную тактику,
позволяющую им обходить фильтры. Началась игра в кошки-мышки, в которой спамеры
изобретают новые уловки для проникновения через сеть, в ответ на что разработчики средств для
борьбы со спамом вырабатывают новую меру противодействия, что в свою очередь ведет к
выработке спамерами новой тактики и так далее.
На протяжении первых трех поколений каждый раз устранялись недостатки предыдущего
поколения, но общей чертой всех решений был один фундаментальный недостаток.
Разработчики решений фактически находились во власти спамеров, работая со средой,
подконтрольной спамерам, – содержанием сообщения. Это все равно, что строить дом на
шатком фундаменте. Применяя все более и более сложные методы маскировки, спамеры
сумели обходить большинство фильтров на основе содержания. Например, спамеры стали
дробить слова (слово “Viagra” блокировалось, “V.i.a.g.r.a.” – нет).
Следующим шагом стало появление в большинстве спам-сообщений фрагментов текста, не
имеющих признаков спама – часто технических терминов или цитат из книг. В числе других
приемов – замена букв цифрами (например, буквы “O” на ноль – 0).
Объемы спама на протяжении последних нескольких лет росли даже быстрее, чем раньше:
объем спам-сообщений увеличился в 6 раз с начала 2006 г. по конец 2008 г., превысив
190 миллиардов сообщений в день.
Недавний взрыв объясняется двумя основными причинами: экспоненциальным ростом
ботнетов, рассмотренных в начале этого документа, и появлением новых методик на
вооружении спамеров.
Спам в виде изображений, впервые проявившийся массово в 2006 г, внес основной вклад в
резкое увеличение трафика. Такой спам распространяется в виде вложения (GIF или JPG),
содержащего текст, в то время как в теле сообщения осмысленный текст отсутствует. Это
полная противоположность классических спам-сообщений, которые содержат открытый текст
и/или URL-адрес, требующий щелчка мышью, и поддаются анализу в фильтрах для защиты от
спама. Нейтрализуя множество методик защиты от спама, спам в виде изображений снизил
эффективность перехвата и увеличил объем нежелательных сообщений, получаемых по
электронной почте. Изощренные преступники использовали спам в виде изображений для
непрекращающегося потока атак, приносящих выгоду немногим за счет всех остальных.
Пример. В виде изображений рассылались предложения купить акции мелкой фирмы.
Некоторые получатели наивно реагировали на приманку, скупая акции и искусственно
раздувая их цену, а спамеры получали быструю прибыль от продажи большого лота акций,
приобретенного ими заранее. Эти мошенники разработали сложные способы “украшения”
18
19. изображений и рассылки спама, распространяя миллиарды сообщений и размещая свой
капитал на открытых, строго регулируемых фондовых рынках. Следствия подобных атак –
разгневанные акционеры и нарушения в работе систем электронной почты – были лишь
мелкими неудобствами для их организаторов.
Среднесуточный 200
объем спама 180
Среднесуточное число спам-сообщений
160
140
120
100
80
60
40
20
0
01/2007
06/2007
04/2007
10/2007
02/2007
03/2007
07/2007
01/2008
08/2007
09/2007
11/2007
12/2007
02/2008
05/2007
05/2008
04/2008
03/2008
07/2008
06/2008
08/2008
09/2008
10/2008
Месяц
Разработчики решений для защиты от спама на основе анализа содержания смогли быстро
отреагировать и внести подобные изображения в свои базы признаков, но спамеры
предприняли ответные меры, сделавшие спам-изображения еще более эффективным
орудием. Главное новшество состояло в создании множества случайных вариантов
изображения, все из которых не имели видимых отличий для получателя, но были полностью
различными с точки зрения спам-фильтров. Например, спамеры отправляли файл формата
GIF с беспорядочно нанесенными мелкими точками. Они также экспериментировали с
оттенками цветов, толщиной рамок, фоном и даже со шрифтом символов, создавая варианты
одного и того же изображения с тонкими отличиями. Наконец, они научились разбивать
изображение на множество второстепенных изображений, из которых составлялось исходное.
Способ разбиения был в каждом сообщении уникальным. Во всех этих случаях получатель не
чувствовал различия, но контрольные суммы файлов были разными, и средства борьбы со
спамом на основе характеристик оказывались не в состоянии распознать различные варианты
одного и того же спама.
Стремясь противодействовать новаторским приемам киберпреступников, издатели фильтров
на основе содержания были вынуждены применять все более строгие критерии, рискуя
повысить процент ложных срабатываний – непреднамеренного удаления легитимных
сообщений, содержащих слова, свойственные спаму.
В 2007 г. спамеры отказались от изображений в пользу спама “с вложениями”. Спам-атаки
становились все более кратковременными, но все более частыми, и каждый раз применялась
разная методика.
Таким образом, последовательность мгновенных атак была отмечена появлением более 20
различных типов вложений: PDF, Excel, MP3, и т. п. Спам содержался не в теле сообщения, а
во вложенном файле формата Excel, PDF или MP3.
19
20. Единственное решение для большинства обычных фильтров спама, не имевших механизмов
углубленного анализа вложений, состояло в том, чтобы, например, систематически
блокировать все файлы формата Excel или PDF. Это было бы непрактичным решением с
точки зрения большого числа ложных положительных срабатываний, не говоря уже о
потенциальных жалобах пользователей, работе которых существенно бы помешала
невозможность получать файлы определенного типа.
Спамеры никогда не отказывались от новаторства и применяли все более прогрессивные
методики для обхода механизмов, изобретаемых издателями и интеграторами решений в
области безопасности. Увеличение объемов спама, проходящего через сеть, снижает
производительность работы пользователей, повышает нагрузку на специалистов,
обслуживающих компьютерный парк, и ставит под угрозу безопасность корпоративной сети.
МЕНЬШЕ ПРОДАЖ
– БОЛЬШЕ УГРОЗ
Н
аконец, существенным изменением
тенденции с 2007 г. стало то, что спам
теперь реже рассылается для продажи
продуктов, чем для развития ботнетов.
Главной целью спама изначально была продажа
продуктов (фармпрепаратов, ипотечных кредитов
с низкой процентной ставкой, акций фирм и т. п.).
Сегодня же большинство спам-сообщений
содержат ссылки на web-сайты,
распространяющие вредоносный код для
количественного и территориального
расширения ботнетов, рассылающих спам. Таким
образом, использование спама как инструмента
продаж идет на убыль, уступая место спаму как
усилителю атак.
На практике координируемые самораспространяющиеся ботнеты, такие как сеть Storm,
устраивают атаки с рассылкой коротких сообщений, содержащих URL-адрес, который
направляет пользователей на зараженный сайт в составе “галактики” Storm, с единственной
целью заражения большего числа компьютеров и увеличения контингента машин-зомби,
управляемых через сеть.
Таким образом, спам ставит новые рекорды. Спамеры отреагировали на усиление
оборонительных мер издателями решений в области безопасности, попросту увеличив число
рассылаемых сообщений. В итоге число спам-сообщений, попадающих в папки входящих
сообщений пользователей, остается неизменным. В этом свете эффективность систем
предотвращения спама сегодня актуальна как никогда.
Приемы, используемые спамерами, становятся все более сложными и отрабатываются все
20
21. быстрее – бесполезно пытаться блокировать спам при помощи фильтров, анализирующих
только содержание сообщения. Внимание необходимо также уделять репутации отправителя и
URL-адреса, содержащегося в сообщении.
Компании, намеренные преградить спаму дорогу к пользователям, должны внедрять не только
решения для защиты электронной почты, но также и системы web-безопасности.
АТАКИ СО СБОРОМ ДАННЫХ ИЗ
КАТАЛОГА
С
памеры также регулярно устраивают атаки со сбором данных из каталога, цель
которых – найти действующие адреса электронной почты в конкретном домене.
Для этого спамеры перебирают большое количество сочетаний имени и
фамилии, обращаясь к одному и тому же домену. Если сообщение об ошибке
для конкретного адреса возвращено не будет, спамер предположит, что этот адрес
действителен и добавит его в список действующих адресов для конкретной компании.
Основная цель этих атак – сбор списков почтовых адресов для последующей рассылки спама
или перепродажи их списков спамерам. Однако этот тип атаки теперь также используется для
попыток проникновения в корпоративную сеть. Фактически в условиях все большего
распространения Active Directory и концепции единой учетной записи, хакеры, собравшие
список действующих корпоративных адресов электронной почты, могут попытаться проникнуть
в сеть, подобрав пароль для адреса, одновременно часто являющегося идентификатором
учетной записи. Для защиты от подобных атак недостаточно инструментальных средств
безопасности – необходимо установить почтовый агент (MTA) с развитыми возможностями
управления сообщениями об ошибках и, возможно, даже функциями защиты от атак со сбором
данных из каталога.
21