Руслан Рахметов, Security Vision
Ранее мы рассказали вам про различные виды вредоносного программного обеспечения (ВПО), но хотим уделить дополнительное внимание не только тому, как они распространяются и заражают устройства, но и целям, которые они преследуют. В текущем обзоре мы расскажем про разные группы вредоносов и о том, чем они занимаются. Для начала сфокусируемся на классификациях. Как любые программы, вредоносные различаются по архитектуре, бывают модульными (состоящие из нескольких компонентов, которые работают вместе) или монолитными (которые представляет собой единое целое, без разделения на части). Ниже рассмотрим другие типы классификаций.
По способу распространения ВПО можно разделить на самостоятельные программы (распространяется без участия пользователя, как сетевые черви), распространяющиеся через социальную инженерию (когда злоумышленники применяют психологические манипуляции, чтобы обмануть пользователя), эксплойты (уязвимости в ПО для автоматического проникновения) и требующие участия человека (например, открытия заражённого вирусом письма или файла). В последней группе можно выделить интерактивные (например, требующие клика на ссылку) и неинтерактивные ВПО (например, руткиты).
По способу заражения вредоносы бывают файловыми (если заражают исполняемые файлы вроде *.exe, *.dll и др.), бесфайловыми (если работают только в оперативной памяти), сетевыми (например, черви, которые распространяются через интернет) и загрузочными (эти представители заражают загрузочные секторы жёстких дисков или USB-устройств для запуска вместе с системой или до неё).
В эти группы могут входить разные ВПО, нацеленные на приложения (например, браузеры или офисные программы), физические устройства (IoT, роутеры, промышленные системы, которые требуют особой защиты), операционные системы, BIOS и драйверы.
По способу маскировки вредоносы также могут различаться. Специалисты выделяют скрытые программы, которые маскируются в системе, чтобы избежать обнаружения (например, руткиты), полиморфные, которые модифицируют свой код, чтобы избежать обнаружения антивирусами, и метаморфные, полностью переписывающие свой код при каждом заражении.
Эти классификации могут сочетаться в любых комбинациях: например, шифровальщик может быть сетевым, скрытым и нацеленным на мобильные системы. Поэтому далее мы сфокусируемся на других группах и выделим 12 типов.
1. Рекламные программы (Adware) – ВПО, которое постоянно показывает рекламу (через всплывающие окна с рекламой или перенаправление на сторонние сайты) и часто включает скрытые функции (например, слежку). Этот тип ВПО действует как надоедливый уличный продавец, который следует за вами повсюду и постоянно выкрикивает призывы купить его товары. Чтобы защититься от этого, достаточно безобидного вредителя стоит ограничить установку программ и использовать антиспам-системы и специальные блокировщики рекламы.
2. Шпионские программы (Spyware) – это программы, которые тайно собирают данные пользователя, снимают пароли, записывают действия или мониторят сайты, которые вы посещаете (например, Keylogger – фиксирует нажатия клавиш). Его название происходит от первого по смыслу сравнения, ведь этот тип ВПО, как тайный шпион, подсматривающий за пользователем. Защититься можно при помощи антишпионского ПО и ограничения установки подозрительных расширений браузеров.
Специалисты отдельно выделяют шпионские приложения на устройствах (Mobile Spyware), которые устанавливаются на смартфоны для слежки за пользователем: чтения сообщений, отслеживания местоположения или прослушивания звонков. Такой тип ВПО часто устанавливаются вручную злоумышленником или партнёром жертвы, а затем фиксирует звонки, сообщения, GPS-данные. Для передачи злоумышленникам. Действует оно как частный сыщик, наблюдающий за целью или как скрытая камера в гостинице и радиожучок.
3. Программы-вымогатели (Ransomware) часто шифруют данные и требуют выкуп за их восстановление, блокируют доступ к файлам и требуют деньги после попадания в систему. Самые нашумевшие похитители, требующие выкуп за украденный кошелёк в мире ИТ – шифровальщики WannaCry и Petya. Спастись можно, если делать резервные копии, использовать антивирус и песочницы и просто не открывать подозрительные вложения в письмах.
4. Программы-шантажисты (Scareware) запугивают пользователя ложной информацией, например, сообщениями об «обнаружении вирусов» или «угрозе данных». Обычно требуют заплатить за «решение проблемы». Сначала они показывают пользователям некое всплывающее окно или сообщение с запугиванием (например, «Ваша система заражена!»), затем предлагают скачать антивирус или оплатить услугу для очистки системы. Даже если жертва платит, программа либо не делает ничего, либо устанавливает ещё больше вредоносов на устройство.
Программы-пугалки действуют как шарлатаны, которые диагностируют болезни, чтобы продать «лекарство», или как фальшивое пугало, которое отпугивает птиц с фермы. Такой ложный «пожарный сигнал» заставляет паниковать и эвакуироваться без причины, а на самом деле работает как табличка «Осторожно, собака», даже когда никакой злой собаки за забором нет.
5. Шифровальщики (Ransomware) – это ВПО, которое блокирует доступ к данным пользователя, шифруя их, а затем требует выкуп за их восстановление. Являются программами вымогателями или составной их частью, распространяются через заражённые вложения, вредоносные сайты или эксплойты, затем шифруют файлы пользователя, делая их недоступными. Шифровальщик действует, как дверь, закрытая новым замком, ключ от которого находится у вора. При этом может проявиться похититель, требующий выкуп за освобождение жертвы.
6. Эксплойты (Exploits) это наборы инструментов, эксплуатирующих уязвимости системы, которые автоматически находят слабые места и используют их для атак. Например, Exploit Kit, атакующий через браузер. Действуют они как воры, которые ищут незапертые двери в доме. В защите поможет установка обновления ОС и ограничение доступа к ненужным сервисам.
7. Спам-боты (Spam Bots) – автоматически рассылают спам (рекламу, фишинговые ссылки, вредоносные вложения) на электронные почты или в соцсети. Заражённое устройство при этом становится частью ботнета, а сама программа отправляет сообщения на тысячи адресов. Один из самых частых примеров, похожих на работу бота – спам-звонок с рекламой или человек, который стучит в двери, продавая бесполезные товары, и заваливает почтовые ящики жилого дома листовками.
8. Боты (Bots) и ботнеты (Botnets) – это устройства, заражённые ПО для участия в сети, которая может использоваться для атак или спама. Такие устройства выполняют команды злоумышленника, например, участвуют в DDoS-атаках. Так действовал Mirai Botnet, атаковавший сервера. Устройства заражаются через трояны, эксплойты или фишинговые письма и подключаются к серверу управления (C&C). Далее ресурсы заражённых используются для атак или выполнения других задач.
Ботнеты действуют как толпа зомби в фильме-апокалипсисе, подчиняющаяся командам злодея. Защититься можно настройкой роутеров и IoT-устройства, которую мы описывали ранее.
ВПО для Интернета вещей (IoT Malware) выделяется специалистами в отдельную группу. Это специфическое ПО, нацеленное на устройства умного дома (камеры, термостаты, умные телевизоры) или промышленное оборудование. Злоумышленники сканируют интернет на предмет уязвимых «умных» устройств и через эксплойты или простые пароли получают доступ для шпионажа. Такие вредоносы управляют устройствами без вашего ведома, как кукольник в кукольном театре или сосед, которые без разрешения подключается к вашей Wi-Fi сети.
9. Программы для майнинга (Cryptojackers) используют ресурсы устройства (процессор, видеокарту) для добычи криптовалюты без ведома владельца. Они устанавливаются через трояны, загрузчики или вредоносные сайты и запускают добычу криптовалюты, при этом замедляя устройство и повышая энергопотребление. Все заработанные средства отправляются злоумышленнику. Работает такое ВПО как незваный гость, который ест вашу еду и использует электричество, или как нелегальная фабрика в вашем подвале.
10. Логические бомбы (Logic Bombs) – это скрытые вредоносные инструкции, которые активируются при наступлении определённых условий, например, в определённое время или при запуске конкретной программы. Эта группа ВПО маскируется в легальной программе и ждёт выполнения условия (например, определённой даты), когда сможет удалить файлы, повредить систему или отключить оборудование. Он похож на часовую бомбу, которая взрывается в назначенное время или спящий шпион, который ждёт команды для действия. Безобидная снаружи программа, но вредная внутри, настоящая ложка дёгтя в бочке мёда.
11. Advanced Persistent Threats (APT) – это сложные и долговременные атаки, нацеленные на конкретные организации, правительства или компании. Злоумышленники используют набор инструментов (включая эксплойты, трояны и шпионское ПО), чтобы получать доступ к системе, оставаться незамеченными и собирать данные. Они используют фишинг, уязвимости или социальную инженерию, внедряют руткиты или бэкдоры для сохранения доступа и шпионят за пользователем и системами, копируют данные. Как медленный яд, это ВПО незаметно действует на организм в течение долгого времени и остаётся внутри, пока его не раскроют.
12. Фишинговое (Phishing) ПО маскируется под нормальные сайты, приложения или письма, чтобы обманом выманить у жертвы конфиденциальные данные, такие как пароли, номера кредитных карт или логины. Для этого злоумышленники создают поддельные интерфейсы, например, «вредную» копию страницы входа в банк. Жертву убеждают ввести свои данные, думая, что она взаимодействует с реальным сайтом, но введённая информация отправляется хакеру, который может её использовать для кражи денег или доступа к системе. Фишинговые программы работают как поддельный банкомат, крадущий данные с карт, или лжеблаготворительный фонд, сборы из которого используют для личной выгоды.
Для начинающего специалиста или студента важно понимать базовые принципы работы, обнаружения и предотвращения ВПО. Мы рассмотрели разные аспекты, которые помогут создать прочную основу, в прошлых обзорах (тут и тут).
Также предлагаем небольшой чек-лист технических мер защиты:
· использовать антивирусы и антишпионские программы
· регулярно обновлять ПО и операционные системы
· тщательно настраивать межсетевые экраны
· шифровать данные.
Дополняют этот список поведенческие меры: не открывать подозрительные письма и ссылки, избегать загрузки файлов из ненадёжных источников, использовать сложные пароли и двухфакторную аутентификацию. Для компаний также актуальны проведение регулярных аудитов безопасности и ограничение прав доступа к критически важным данным.