Искусство цифровой самозащиты - Артимович Дмитрий

Эксплойты (exploits) – подвид вредоносных программ. Термин связан с английским глаголом to exploit, означающим «эксплуатировать, применять в своих интересах».

Для пользователя основную опасность, как я уже писал выше, представляют эксплойты под различные браузеры. Такой набор эксплойтов называют связкой.

Как работает заражение компьютеров при просмотре сайтов в интернете? Злоумышленник взламывает чужие сайты (в основном также из-за наличия уязвимостей) и устанавливает на них свой вредоносный код – связку эксплойтов. При каждом посещении сайта вредоносный код активируется, подбирает к конкретному браузеру и операционной системе нужный эксплойт – код, который использует конкретную уязвимость конкретного браузера под конкретную операционную систему. В случае успешного срабатывания эксплойта в ваш браузер или набор команд выполняется внедренный злоумышленникам код. Обычно это команда скачать и запустить трояна-загрузчика. Троян-загрузчик позже может загружать к вам на систему произвольные исполняемые файлы. На черном рынке такая успешная загрузка и запуск файла называется установкoй (от английского install).

На практике всё чуточку сложнее. Конечно же, на каждый взломанный сайт не копируют связку эксплойтов. Обычно сама связка располагается на отдельном хостинге [28]. А на взломанных сайтах просто ставят фреймы со ссылками на связку. Такой вариант куда проще и элегантнее. Отсюда вытекает и другое следствие: злоумышленники могут просто покупать фреймовый трафик [29]. Т. е. внутри основного HTML [30] сайта вставляется очень-очень маленькое окно фрейма размером 1 на 1 пиксель, в котором загружается вредоносный URL [31] на связку эксплойтов. Очень часто такой трафик продают сайты «для взрослых» – учтите это, если захотите посетить подобные ресурсы.

Тут мы плавно перешли к разделению труда на черном рынке киберкриминала. Есть некий образ хакера, навязанный нам массмедиа и Голливудом. Некий криминальный гений, способный сломать любую защиту и украсть что угодно у кого угодно. Обычно же люди, кoтopые пишут связки эксплойтов, банковскиe трояны, продают загрузки или трафик, – это разные персонажи.

Пишут эксплойты и трояны, безусловно, хакеры. Для создания такого вредоносного кода нужно хорошо разбираться в программировании и конкретно врубаться в то, как функционирует компьютер на низком уровне. Слово Hacker как раз и произошло от английского глагола to hack – врубаться.

Используют связки эксплойтов люди, обычно далекие от программирования, – загрузчики (так их называют на теневых форумах). И пытаются они выжать из вашего ПК максимум. Поэтому я и написал, что эксплойт устанавливает у вас на машине трояна-загрузчика. После чего загрузки (установки другого вредоносного ПО) продаются во много рук. Так что не удивляйтесь, что ваш компьютер начал слать спам, ддосить, да еще и вымогать у вас деньги одновременно. Скорее всего, это три разных трояна.

Эксплойты бывают не только для браузеров, а еще для:

• операционных систем (например, для обхода UAC в Windows);

• прикладного программного обеспечения (например, вирус ILoveYou эксплуатировал ошибки безопасности в почтовом клиенте Microsoft Outlook);

• веб-сервисов (например, уязвимости в популярном движке создания блогов WordPress);

• аппаратных компонентов.

Антивирусы

I’m the Creeper: catch me if you can.

«Я Creeper: поймай меня, если сможешь». 1971 год, эта фраза стала появляться перед глазами изумленных пользователей компьютеров, входящих в сеть ARPANET [32]. Что же означает эта фраза?

Это была визитная карточка Creeper – первого компьютерного вируса в истории, разработанного Бобом Томасом, программистом из BBN Technologies. Хотя сообщение и смущало, но намерения Томаса были безвредными. Его цель состояла в том, чтобы создать программу, которая могла бы сама перемещаться между компьютерами. И он этого добился.

После заражения компьютера Creeper выводил свое сообщение на экране или печатал на принтере. Не успев закончить печать, переходил к следующему компьютеру в сети, исчезая с предыдущего.

Впервые было создано программное обеспечение, способное автоматически передаваться с одного компьютера на другой. Это также привело к созданию его заклятого врага – первого в истории антивируса Reaper.

Reaper явно был ответом Creeper’у. Просто обратите внимание на игру слов: Creeper означает «ползун», Reaper – «жнец». Достоверных сведений о том, кто разработал Reaper, нет. Одни версии утверждают, что это был сам Боб Томас, другие – что это дело рук Рэя Томлинсона, известного создателя электронной почты. Правда в том, что Reaper был очень эффективен в своем назначении: как только он обнаруживал атаку Creeper, он удалял вирус из системы, предотвращая распространение на другие компьютеры.

Некоторые усомнились бы в «вирусном» характере Creeper’а, поскольку он не размножался, а путешествовал с одного компьютера на другой. На самом деле ни понятия вируса, ни понятия антивируса в то время не существовало. Однако если вы не уверены, что Creeper действительно был первым вирусом, мы можем поговорить о первом вирусе в истории, который также был вредоносным, – Rabbit.

Rabbit появился вскоре после Creeper’а, в 1972 году. Основное отличие состоит в том, что Rabbit воспроизводил себя на зараженном компьютере до тех пор, пока не вторгался в систему и не вызывал ее сбой. Спустя годы появились некоторые из его преемников, такие как Elk Cloner в 1981 году, поразивший Apple II и передававшийся через загрузочные дискеты операционной системы, или Brain, первый компьютерный вирус, разработанный в 1986 году.

История Brain интересна и заслуживает внимания. Brain был одним из первых вирусов массового распространения (в то время он заразил около 20 000 компьютеров, что немаловажно) и передавался через нелегальные копии MS-DOS, чтобы контролировать их и предотвращать их распространение. Оказавшись внутри системы, он отправлял сообщение пользователю, предупреждая его о заражении и предоставляя контактные данные для решения проблемы. Правда в том, что эта небольшая история вирусов и антивирусов подчеркивает тот факт, что в мире компьютеров нелегко понять, какое небольшое событие может в конечном итоге привести к глобальным изменениям. Концепция, разработанная в анекдотическом и безобидном эксперименте, таком как Creeper, в конечном итоге извратилась до такой степени, что породила проблему, затрагивающую всех, и даже привела к созданию компаний-миллионеров, таких как производители антивирусов, основная деятельность которых состоит именно в том, чтобы покончить с потомками мелкой лианы.

1987 – McAfee

В 1987 году на рынок впервые были выпущены антивирусные продукты. До сих пор неясно, кто разработал первый продукт, и существует несколько версий. Наиболее значительной из них является VirusScan – продукт, созданный молодым программистом британского происхождения Джоном Макафи.

Это было началом антивирусного взрыва, и к концу десятилетия на рынке появилось множество антивирусных решений. Эти ранние программы состояли из простых сканеров, которые выполняли контекстный поиск для обнаружения уникальных последовательностей кода вируса. Сканеры включали «иммунизаторы», которые модифицировали программы, чтобы вирусы считали, что компьютер уже заражен и поэтому не атаковали его. Это работало только в течение короткого промежутка времени, поскольку иммунизаторы становились неэффективными, когда количество вирусов увеличивалось и они становилось всё более изощренными.