Вредоносные программы. Компьютерные вирусы. Программные закладки
К вредоносным программамотносятся компьютерные вирусы и программные закладки.
Компьютерным вирусом называется программа (некоторая совокупность исполняемого кода и данных), которая обладает способностью создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в различные объекты и ресурсы компьютерных систем, сетей и т.д. без ведома пользователя. При этом копии сохраняют способность дальнейшего распространения.
Обязательным свойством компьютерного вирусаявляется возможность создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению.
Приведенные признаки не являются характеристическими, так как не все программы, обычно называемые вирусами, обладают всеми из перечисленных свойств. С другой стороны, другие программы, которые обладают одним или несколькими свойствами из этого списка, также могут не являться вирусами.
Среди основных причин возникновения компьютерных вирусов следует выделить:
1) причины технического характера (пробелы в защите операционных систем);
2) причины экономического характера (борьба с конкурентами);
3) причины социального и психологического характера (наличие «специалистов», обладающих профессиональной квалификацией для написания вирусов и не находящих путей для реализации своих способностей).
Признаки появления вирусов.При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие: прекращение работы или неправильная работа ранее успешно функционировавших программ; медленная работа компьютера; невозможность загрузки операционной системы; исчезновение файлов и каталогов или искажение их содержимого; изменение даты и времени модификации файлов; изменение размеров файлов; неожиданное значительное увеличение количества файлов на диске; существенное уменьшение размера свободной оперативной памяти; вывод на экран непредусмотренных сообщений или изображений; подача непредусмотренных звуковых сигналов; частые зависания и сбои в работе компьютера. Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин.
Имеются несколько признаков классификации существующих вирусов:
· по среде обитания;
· по особенности алгоритма;
· по способу заражения;
· по деструктивным возможностям.
По среде обитания различают файловые, загрузочные, макро- и сетевые вирусы.
Загрузочные вирусы
Загрузочные вирусы внедряются в загрузочные области носителей. Если зараженным окажется системный диск, с которого происходит загрузка системы, то управление получает не обычная программа загрузки, а код вируса. При заражении вирус считывает необходимую информацию из первоначального загрузчика и сохраняет ее в своем коде.
Как правило, загрузочные вирусы являются резидентными, то есть при загрузке системы вирус устанавливается в память компьютера и находится там постоянно, перехватывает необходимые прерывания и производит все действия, на которые он запрограммирован.
Файловые вирусы
Файловые вирусы используют особенности файловой организации системы. Такие вирусы внедряются в выполняемые файлы, в библиотечные и объектные модули, загружаемые драйверы, файлы исходных текстов программ.
Файловые вирусы заражают файлы, внедряясь в начало, в конец или в середину файла. Такие файлы остаются работоспособными, так как код вируса дописывается к исходному коду.
Некоторые вирусы вместо исходного содержимого файла записывают свой код. Такие файлы уже не могут быть использованными по своему прямому назначению.
Файловые вирусы могут и не изменять содержимое заражаемых файлов. Иногда для своей активизации они используют свойства операционной системы, определяющие порядок запуска программ. Некоторые вирусы «присваивают» имя заражаемого файла, а тому дают новое имя. Это приводит к тому, что при запуске «зараженного» файла сначала отработает вирус, затем управление передается на оригинальный файл. Последнее делается для того, чтобы скрыть от пользователя факт работы вируса.
Среди файловых вирусов встречаются вирусы, которые не связаны ни с одним из файлов. Запуск таких вирусов осуществляется «по ошибке». Такие вирусы называют червями (англ, вариант - worm).
Файлово-загрузочные
Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.
Макровирусы ‑ это файловые вирусы, использующие особенности файлов документов популярных редакторов и электронных таблиц. В этих файлах размещаются программы на макроязыках, возможности которых позволяют создавать программы-вирусы.
Для существования вирусов в конкретной системе необходимо наличие встроенного в систему макро-языка с возможностями:
1) привязки программы на макро-языке к конкретному файлу;
2) копирования макро-программ из одного файла в другой;
3) возможность получения управления макро-программой без вмешательства пользователя.
Данным условиям удовлетворяют Microsoft Word и Excel. Эти системы содержат в себе макро-языки, при этом:
a. макро-программы привязаны к конкретному файлу или находятся внутри файла;
b. макро-язык позволяет копировать файлы или перемещать макро-программы в служебные файлы системы;
c. при работе с файлом при определенных условиях вызываются макро-программы, которые определены специальным образом или имеют стандартные имена.
Данная особенность макро-языков предназначена для автоматической обработки данных в больших организациях или в глобальных сетях и позволяет организовать так называемый «автоматизированный документооборот». С другой стороны, возможности макро-языков таких систем позволяют вирусу переносить свой код в другие файлы, и таким образом заражать их.
Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. Полноценные компьютерные вирусы при этом обладают возможностью запустить на удаленном компьютере свой код на выполнение.
Сетевые вирусы используют для своего распространения возможности компьютерных сетей. Наибольшее распространение сетевые вирусы получили в конце 80-х годов. Эти вирусы использовали ошибки в сетевых протоколах и программном обеспечении глобальных сетей.
В настоящее время сетевые вирусы распространяются, используя возможности электронной почты. В основном это макровирусы.
На практике существуют разнообразные сочетания вирусов, которые заражают редактируемые документы и рассылают свои копии по электронной почте.
По особенностям алгоритма выделяют резидентные вирусы, стелс-вирусы, полиморфные и др. Резидентные вирусы способны оставлять свои копии в оперативной памяти, перехватывать обработку событий и вызывать при этом процедуры заражения объектов. Эти вирусы активны в памяти не только в момент работы зараженной программы, но и после. Резидентные копии таких вирусов жизнеспособны до перезагрузки ОС, даже если на диске уничтожены все зараженные файлы. Если резидентный вирус является также загрузочным и активизируется при загрузке ОС, то даже форматирование диска при наличии в памяти этого вируса его не удаляет.
К разновидности резидентных вирусов следует отнести также макровирусы, поскольку они постоянно присутствуют в памяти компьютера во время работы зараженного редактора.
Стелс-алгоритмы позволяют вирусам полностью или частично скрыть свое присутствие. Наиболее распространенным стелс-алгоритмом является перехват запросов ОС на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат эти объекты, либо подставляют вместо себя незараженные участки информации.
Полиморфность (самошифрование) используется для усложнения процедуры обнаружения вируса. Полиморфные вирусы ‑ это трудно выявляемые вирусы, не имеющие постоянного участка кода. В общем случае два образца одного и того же вируса не имеют совпадений. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
При создании вирусов часто используются нестандартные приемы. Их применение должно максимально затруднить обнаружение и удаление вируса.
По способу заражения различают троянские программы, утилиты скрытого администрирования, Intended-вирусы и т. д.
Назначение троянских программ ‑ имитация каких-либо полезных программ, новых версий популярных утилит или дополнений к ним. При их записи пользователем на свой компьютер троянские программы активизируются и выполняют нежелательные действия.
Разновидностью троянских программ являются утилиты скрытого администрирования. По своей функциональности и интерфейсу они во многом напоминают системы администрирования компьютеров в сети, разрабатываемые и распространяемые различными фирмами ‑ производителями программных продуктов. При инсталляции эти утилиты самостоятельно устанавливают на компьютере систему скрытого удаленного управления. В результате возникает возможность скрытого управления этим компьютером. Реализуя заложенные алгоритмы, утилиты без ведома пользователя принимают, запускают или отсылают файлы, уничтожают информацию, перезагружают компьютер и т. д. Возможно использование этих утилит для обнаружения и передачи паролей и иной конфиденциальной информации, запуска вирусов, уничтожения данных.
К Intended-вирусам относятся программы, которые не способны размножаться из-за существующих в них ошибок. К этому классу также можно отнести вирусы, которые размножаются только один раз. Заразив какой-либо файл, они теряют способность к дальнейшему размножению через него.
По деструктивным возможностям вирусы разделяются на:
1) неопасные, влияние которых ограничивается уменьшением свободной памяти на диске, замедлением работы компьютера, графическим и звуковыми эффектами;
2) опасные, которые потенциально могут привести к нарушениям в структуре файлов и сбоям в работе компьютера;
3) очень опасные, в алгоритм которых специально заложены процедуры уничтожения данных и возможность обеспечивать быстрый износ движущихся частей механизмов путем ввода в резонанс и разрушения головок чтения/записи некоторых жестких дисков.
Аппаратные устройства ‑ источники вирусов
Заражение компьютера происходит через устройства, позволяющие вводить информацию в компьютер:
1. Модем
Интернет ‑ основной источник распространения вирусов. Заражение происходит через копирование зараженных файлов с серверов глобальной сети, при обмене через электронную почту письмами, в которых содержатся документы формата Word, которые могут быть заражены макровирусами.
2. Сетевая карта
При регистрации в локальной сети зараженной рабочей станции происходит заражение системных файлов сервера. Инфицирование незараженной рабочей станции происходит при регистрации на зараженном сервере.
3. Устройства хранения информации со сменными носителями
При использовании сменных носителей информации на зараженном компьютере происходит заражение носителей, с которых можно заразить любой компьютер.
Рассмотрим организационные меры, предназначенные для профилактики заражения ими объектов компьютерной системы. Основными каналами распространения компьютерных вирусов в настоящее время являются:
· электронная почта;
· телеконференции и электронные доски объявлений в сети Интернет;
· свободное и условно свободное программное обеспечение, размещенное на общедоступных узлах сети Интернет;
· размещенные на общедоступных узлах сети Интернет информационные ресурсы, содержащие ссылки на зараженные файлы с элементами управления Active-X;
· локальные компьютерные сети организаций;
· обмен зараженными файлами на USB-носителях или записываемых компакт-дисках между пользователями компьютерной системы;
· использование нелицензионных компакт-дисков с программным обеспечением и другими информационными ресурсами.
Для предупреждения вирусного заражения локальной сети организации или компьютера отдельного пользователя необходимо максимально перекрыть возможность проникновения вирусов с использованием перечисленных каналов.
Для защиты от вирусов можно использовать:
· общие средства защиты информации (копирование, разграничение доступа);
· профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
· специализированные программы для защиты от вирусов.
В частности, могут быть использованы следующие профилактические меры:
· физическое или логическое (для отдельных учетных записей) отключение накопителей на сменных носителях и компакт-дисках;
· разграничение прав отдельных пользователей и групп на доступ к папкам и файлам операционной системы и других пользователей;
· ограничение времени работы в компьютерной системе привилегированных пользователей;
· использование только лицензионного программного обеспечения, приобретенного у официальных представителей фирм-правообладателей;
· выделение не подсоединенного к локальной сети компьютера для тестирования полученного из ненадежных источников программного обеспечения и т. д.
В качестве профилактической меры предупреждения заражения файлов пользователей макровирусами в программах пакета Microsoft Office предусмотрена встроенная защита от потенциально опасных макросов. Эта защита устанавливается с помощью команды меню Сервис\Параметры\Безопасность и кнопки «Защита от макросов» или команды меню Сервис\Макрос\Безопасность.
Отключенные при открытии документа Microsoft Office XP макросы могут быть просмотрены с помощью команды меню Сервис\Макрос\Макросы, но не могут быть выполнены.
В качестве дополнительной меры защиты можно отменить автоматическое выполнение макросов, полученных из надежных источников, если снять флажок «Доверять всем установленным надстройкам и шаблонам».
Установка защиты от потенциально опасных макросов не позволяет отделить макросы, расширяющие функциональность приложений Microsoft Office, от макросов, содержащих вирусы. Кроме того, некоторые из макровирусов, получив однажды управление, могут понизить уровень безопасности до самого низкого и тем самым блокировать встроенную защиту от макросов.
При открытии документа Microsoft Office существует возможность отключения автоматически выполняющихся макросов, которую можно использовать с помощью одного из следующих способов:
· удерживание нажатой клавиши Shift на клавиатуре при запуске приложения или открытии документа Microsoft Office;
· создание макроса с именем AutoExec, который будет автоматически получать управление при запуске программы Microsoft Word, и запись в этот макрос единственной строки WordBasic. DisableAutoMacros.
Созданный макрос AutoExec должен быть сохранен в файле общих шаблонов normal.dot, после чего автоматическое выполнение макросов в редактируемых документах будет запрещено.
Для снижения риска заражения вирусами при просмотре информационных ресурсов сети Интернет могут быть использованы свойства обозревателя Microsoft Internet Explorer (вкладка «Безопасность» окна свойств). Всем узлам зоны Интернет, в которые не войдут явно отнесенные к другим зонам узлы, целесообразно назначить высокий уровень безопасности, в соответствии с которым будут отключены:
· возможность загрузки файлов с этих узлов;
· доступ к источникам данных за пределами домена;
· возможность запуска программ в плавающих фреймах загруженного документа на языке HTML;
· возможность автоматической загрузки по каналам распространения программного обеспечения;
· возможность запроса отсутствующего сертификата при попытке загрузки файлов на компьютер пользователя;
· возможность перехода между фреймами документа на HTML через разные домены;
· возможность установки элементов рабочего стола пользователя;
· поддержка языка Java;
· поддержка сценариев;
· загрузка, запуск и использование элементов Active-X, кроме помеченных как безопасные.
К программно-аппаратным методам защиты от заражения загрузочными вирусами можно отнести защиту, устанавливаемую с помощью программы BIOS Setup (параметр Anti-Virus Protection). Включение этой защиты (задание значения Enable указанному параметру) обеспечит выдачу предупреждающего сообщения при попытке записи в загрузочные сектора дисковой памяти. К недостаткам подобной защиты от заражения вирусами относится то, что она может быть отключена кодом вируса прямым редактированием содержимого энергонезависимой CMOS-памяти, хранящей настройки, которые были установлены программой BIOS Setup.
Обязательным средством антивирусной защиты является использование специальных программ для обнаружения и удаления вирусов в различных объектах компьютерной системы. Для борьбы с вирусами существуют программы, которые можно разбить на основные группы: мониторы, детекторы, доктора, ревизоры и вакцины.
Программы-мониторы (программы-фильтры) располагаются резидентно в оперативной памяти компьютера, перехватывают и сообщают пользователю об обращениях ОС, которые используются вирусами для размножения и нанесения ущерба. Пользователь имеет возможность разрешить или запретить выполнение этих обращений. К преимуществу таких программ относится возможность обнаружения неизвестных вирусов. Использование программ-фильтров позволяет обнаруживать вирусы на ранней стадии заражения компьютера. Недостатками программ являются невозможность отслеживания вирусов, обращающихся непосредственно к BIOS, а также загрузочных вирусов, активизирующихся до запуска антивируса при загрузке DOS, и частая выдача запросов на выполнение операций.
Программы-детекторы проверяют, имеется ли в файлах и на дисках специфическая для данного вируса комбинация байтов. При ее обнаружении выводится соответствующее сообщение. Недостаток ‑ возможность защиты только от известных вирусов.
Программы-доктора восстанавливают зараженные программы путем удаления из них тела вируса. Обычно эти программы рассчитаны на конкретные типы вирусов и основаны на сравнении последовательности кодов, содержащихся в теле вируса, с кодами проверяемых программ. Программы-доктора необходимо периодически обновлять с целью получения новых версий, обнаруживающих новые виды вирусов.
Программы-ревизоры анализируют изменения состояния файлов и системных областей диска. Проверяют состояние загрузочного сектора и таблицы FAT; длину, атрибуты и время создания файлов; контрольную сумму кодов. Пользователю сообщается о выявлении несоответствий.
Программы-вакцины модифицируют программы и риски так, что это не отражается на работе программ, но вирус, от которого производится вакцинация, считает программы или диски уже зараженными.
Существующие антивирусные программы в основном относятся к классу гибридных.
Рекомендуется перед удалением обнаруженных вирусов выполнить копирование зараженных файлов на резервный носитель информации, чтобы не потерять ценных данных.
Сложные разновидности даже известных вирусов не всегда могут быть удалены, а зараженные ими файлы восстановлены. Поэтому для обязательной подготовки к возможному заражению объектов компьютерной системы вирусами необходимо:
· подготовить защищенную от записи системную дискету или загрузочный компакт-диск, записав на них последние версии антивирусных программ и баз сигнатур известных вирусов;
· постоянно обновлять версии установленного в компьютерной системе антивирусного программного обеспечения;
· регулярно проверять объекты компьютерной системы имеющимися антивирусными программами;
· обязательно проверять на наличие вирусов все входящие сообщения электронной почты и присоединенные к ним файлы;
· регулярно выполнять резервное копирование наиболее важных системных и прикладных файлов;
· отключить максимально возможное число каналов распространения вирусов.
Если лечение зараженных файлов с помощью антивирусных программ оказывается невозможным, то можно воспользоваться ручным восстановлением зараженных объектов. Иногда результатом ручного восстановления может стать создание большого числа новых файлов, которые затем надо просмотреть, чтобы найти фрагменты восстанавливаемых данных.
Для ручного удаления макровирусов из зараженных файлов документов (после лечения файла общих шаблонов) можно:
1) включить встроенную защиту от макровирусов (уровень средней безопасности);
2) открыть зараженный документ с отключением имеющихся в нем макросов;
3) выделить все содержимое документа с помощью соответствующей команды меню «Правка»;
4) скопировать выделенное содержимое в буфер обмена;
5) создать новый документ и вставить в него содержимое буфера обмена;
6) сохранить созданную копию (уже без макросов) открытого документа;
7) закрыть открытые документы и, если есть еще зараженные макровирусами файлы, перейти к п. 2.
В крайнем случае, при неудаче всех других попыток восстановления нормальной работоспособности компьютерной системы после заражения ее объектов компьютерными вирусами, может потребоваться полная переустановка системы, включая форматирование дисковой памяти, восстановление главного загрузочного сектора, установку операционной системы и прикладного программного обеспечения, восстановление файлов данных с резервных носителей информации.
Использование специальных антивирусных средств в большинстве случаев позволяет не только выявить вирусное вторжение, но и оперативно обезвредить обнаруженные вирусы и восстановить испорченную информацию.
Среди популярных и эффективных антивирусных программных систем можно выделить:
· антивирус Касперского - AntiViral Toolkit Pro (AVP);
· McAfee VirusScan;
· Norton AntiVirus (NAV);
· DoctorWeb.
К сожалению, не существует антивирусов, которые бы обеспечивали абсолютную защиту от вирусов. Это связано, прежде всего, с постоянным развитием отрасли написания вирусов, в ответ на которое создатели антивирусов, в свою очередь, стремятся как можно быстрее создать нужную вакцину. Поэтому необходимо пользоваться антивирусами, версии которых постоянно обновляются.
При выборе антивирусного обеспечения следует принимать во внимание перечень и качество предоставляемых услуг:
· возможность сканирования «на лету», когда любой объект, к которому осуществляется доступ, проверяется на наличие вируса;
· возможность сканирования по запросу, когда время и область действия антивируса определяются пользователем;
· возможность настройки антивируса в соответствии с потребностями пользователя.
Качество работы антивируса определяется его надежностью (отсутствие ошибок, зависаний и т. п.) и эффективностью (обезвреживание всех вирусов, особенно полиморфик-вирусов, отсутствие ложных срабатываний).
При заражении или при подозрении на заражение компьютера вирусом необходимо:
1) оценить ситуацию и не предпринимать действий, приводящих к потере информации;
2) перезагрузить ОС компьютера. При этом использовать специальную, заранее созданную и защищенную от записи системную дискету. В результате будет предотвращена активизация загрузочных и резидентных вирусов с жесткого диска компьютера;
3) запустить имеющиеся антивирусные программы, пока не будут обнаружены и удалены все вирусы. В случае невозможности удалить вирус и при наличии в файле ценной информации произвести архивирование файла и подождать выхода новой версии антивируса. После окончания перезагрузить компьютер.
Программные закладки
Программной закладкойназывают внешнюю или внутреннюю по отношению к атакуемой компьютерной системе программу, обладающую определенными разрушительными функциями по отношению к этой системе:
· уничтожение или внесение изменений в функционирование программного обеспечение компьютерной системы, уничтожение или изменение обрабатываемых в ней данных после выполнения некоторого условия или получения некоторого сообщения извне компьютерной системы («логические бомбы»);
· превышение полномочий пользователя с целью несанкционированного копирования конфиденциальной информации других пользователей компьютерной системы или создания условий для такого копирования («троянские» программы);
· подмена отдельных функций подсистемы защиты компьютерной системы или создание люков в ней для реализации угроз безопасности информации в компьютерной системе;
· перехват паролей пользователей компьютерной системы с помощью имитации приглашения к его вводу или перехват всего ввода пользователей с клавиатуры;
· перехват потока информации, передаваемой между объектами распределенной компьютерной системы;
· распространение в распределенных компьютерных системах с целью реализации той или иной угрозы безопасности информации (компьютерные черви, которые в отличие от компьютерных вирусов не должны обладать свойством включения своего кода в тела других файлов) и др.
В операционных системах с разграничением прав субъектов процессы получают полномочия того пользователя, который их породил. Когда пользователь выполняет программу, полученную из ненадежного источника, то возможно выполнение частью этой программы недокументированных действий. Наиболее опасны в этом случае программы, используемые привилегированными пользователями. Угроза внедрения подобных и более опасных программных закладок актуальна практически для любых многопользовательских компьютерных систем.
Одним из возможных методов защиты от программных закладок является использование принципа минимальных полномочий, в соответствии с которым субъекту всегда предоставляются в системе минимальные права.
При соблюдении правильной политики безопасности в компьютерной системе, использующих защищенные версии операционных систем Windows, внедрение в них программных закладок практически невозможно. Однако соблюдение адекватной угрозам политики безопасности сколько-нибудь продолжительное время также практически невозможно. В частности, наиболее вероятными причинами ослабления политики безопасности могут быть:
· разрешение доступа обычному пользователю к критичному системному ресурсу;
· сохранение в компьютерной системе инсталлируемой по умолчанию уязвимой сетевой службы (telnet);
· оставление незаблокированной консоли администратора при его временном отсутствии;
· требования, предъявляемые пользователями, недостаточно квалифицированными в вопросах информационной безопасности, но занимающими ответственное положение в организации и т. п.
Для внедрения закладки в атакуемую компьютерную систему нарушителю требуется записать на один из ее компьютеров и запустить инсталлятор закладки. Одной из задач инсталлятора закладки является обеспечение ее автоматического запуска при загрузке операционной системы, что обеспечит возможность установки виртуального канала связи с нарушителем по протоколу TCP/IP (закладка при этом будет исполнять роль сервера).
Для того чтобы обеспечить запуск инсталлятора на компьютере пользователя, нарушитель, как правило, маскирует его под прикладную программу либо включает код инсталлятора в полезную для пользователя утилиту. Код инсталлятора закладки может находиться в автоматически выполняющемся макросе, включенном в присоединенный к электронному почтовому сообщению файл, или в самом почтовом сообщении. Существуют и другие способы запуска инсталлятора закладки на компьютере пользователя.
Большинство известных программных закладок для операционной системы Windows характеризуются следующими особенностями:
· ссылка на исполнимый файл программной закладки содержится в разделе реестра
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run или в разделе реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run;
· для организации виртуального канала связи с нарушителем используется протокол TCP/IP с очень большим номером порта, не используемым другими сетевыми программами;
· после запуска программной закладки создается отдельный процесс, отображаемый в списке системных процессов;
· после своего запуска программная закладка не выполняет никаких активных действий (в отличие от компьютерных вирусов), скрывая свое присутствие в системе.
После своего запуска программная закладка предоставляет нарушителю возможность удаленного доступа:
· для управления объектами файловой системы и системного реестра;
· управления процессами в компьютерной системе;
· перехвата вводимых с клавиатуры данных (например, паролей пользователей);
· получения шифротекстов или хеш-значений ранее введенных паролей других пользователей и т. п.
В защищенных версиях операционной системы Windows, поддерживающих ограничение прав пользователей в компьютерной системе и разграничение их доступа к объектам компьютерной системы, инсталляция и использование программных закладок гораздо сложнее, так как целью нарушителя является инсталляция закладки привилегированным пользователем и ее выполнение от лица администратора или псевдопользователя SYSTEM. При неправильном назначении прав доступа к разделам реестра инсталляция закладки может быть выполнена и пользователем с обычными полномочиями. При правильном определении политики аудита действия закладки могут оставлять «следы» в файле аудита, которые могут быть обнаружены аудитором.
Для усложнения обнаружения присутствия закладки в компьютерной системе ее инсталлятор может использовать следующие приемы:
· подмена модулей операционной системы или популярных прикладных программ ‑ требуется полная реализация в закладке всех функций подменяемого модуля, что возможно только при наличии полной документации на подменяемый модуль, а также (при использовании разграничения доступа к объектам компьютерной системы) и полномочия администратора;
· прямое ассоциирование (внедрение) с уже установленными модулями системных или прикладных программ ‑ не требуется полная реализация в закладке их функций, но может потребоваться наличие полномочий администратора компьютерной системы;
· косвенное ассоциирование (внедрение) с кодом модулей, уже загруженных в оперативную память, ‑ требуется присутствие в оперативной памяти инсталлирующей части закладки, выполняющейся, возможно, в привилегированном режиме, для получения доступа к модулям ядра операционной системы;
· применение методов компьютерной стеганографии для скрытия программной закладки в файлах-контейнерах ‑ может использоваться в комбинации с другими приемами.
Возможные модели взаимодействия нарушителя с внедренной в компьютерную систему программной закладкой:
· сохранение всей вводимой или выводимой в компьютерную систему информации («перехват»);
· создание условий для ознакомления с ранее накопленной закладкой конфиденциальной информацией или отключения средств защиты информации в компьютерной системе («троянский конь»);
· перехват всей передаваемой по сети информации («наблюдатель»);
· создание условий для облегчения несанкционированного доступа к конфиденциальной информации по различным каналам утечки, например путем постоянного обращения к конфиденциальным данным для последующего их перехвата по каналам ПЭМИН («компрометация»);
· искажение входных или выходных потоков данных при работе прикладного или системного программного обеспечения, инициация ошибок при его работе («искажение», или «инициатор ошибок»);
· изучение остаточной информации после работы программ, максимизация числа фрагментов с конфиденциальной информацией («уборка мусора»).
Для обнаружения присутствия в системе программной закладки могут применяться следующие способы:
· просмотр списка активных процессов с помощью диспетчера задач операционной системы;
· просмотр состояния IP-портов с помощью системной программы netstat;
· просмотр разделов реестра для обнаружения дополнительно установленных программ, которые автоматически выполняются при загрузке операционной системы;
· просмотр файла аудита для поиска попыток доступа неизвестных процессов к критичным объектам компьютерной системы или объектам с конфиденциальной информацией;
· контроль обращений процессов к объектам файловой системы, разделам реестра и используемым сетевыми программами портам и др.
Некоторые антивирусные программы (сканеры и мониторы) могут обнаруживать инсталляторы закладок и сами закладки. Однако новые разновидности закладок могут преодолевать защиту, обеспечиваемую данными автоматизированными средствами. Например, для обеспечения автоматического запуска закладок могут использоваться другие разделы реестра или конфигурационные файлы операционной системы win.ini и system.ini.
Поэтому наиболее эффективным методом защиты от программных закладок будет использование организационных мер, к которым, в частности, можно отнести следующие:
· минимизация времени работы в компьютерной системе с полномочиями администратора;
· создание специальной учетной записи пользователя компьютерной системы для выхода в сеть Интернет с минимальными полномочиями;
· аккуратное использование почтовых и офисных программ привилегированными пользователями.
Практическая работа
Скрытые процессы. Способы обнаружения
Эксплойт, эксплоит (англ. exploit, эксплуатировать) ‑ это компьютерная программа, фрагмент программного кода или последовательность команд, использующая уязвимости в программном обеспечении и применяемая для проведения атаки на вычислительную систему. Целью атаки может быть как захват контроля над системой (повышение привилегий), так и нарушение её функционирования (DoS-атака).
Классификация
В зависимости от метода получения доступа к уязвимому программному обеспечению, эксплойты подразделяются на удалённые (англ. remote) и локальные (англ. local).
Удалённый эксплойт работает через сеть и использует уязвимость в защите без какого-либо предварительного доступа к уязвимой системе;
Локальный эксплойт запускается непосредственно в уязвимой системе, требуя предварительного доступа к ней. Обычно используется для получения взломщиком прав суперпользователя.
Атака эксплойта может быть нацелена на различные компоненты вычислительной системы ‑ серверные приложения, клиентские приложения или модули операционной системы. Для использования серверной уязвимости эксплойту достаточно сформировать и послать серверу запрос, содержащий вредоносный код. Использовать уязвимость клиента немного сложнее ‑ требуется убедить пользователя в необходимости подключения к поддельному серверу (перехода по ссылке, в случае если уязвимый клиент является браузером).
Виды эксплойтов
Эксплойты, фактически, предназначены для выполнения сторонних действий на уязвимой системе и могут быть разделены между собой следующим образом:
Экслойты для операционных систем
Эксплойты для прикладного ПО (музыкальные проигрыватели, офисные пакеты и т. д.)
Эксплойты для браузеров (Internet Explorer, Mozilla Firefox, Opera и другие)
Эксплойты для интернет-продуктов (IPB, WordPress, VBulletin, phpBB)
Эксплойты для интернет-сайтов (facebook.com, livejournal.com)
Не нашли, что искали? Воспользуйтесь поиском по сайту:
©2015 - 2024 stydopedia.ru Все материалы защищены законодательством РФ.
|