|
Возможности современного «вируса»
| |
| Anymous | Дата: Четверг, 01.08.2013, 18:35 | Сообщение # 1 |
 |
| Сообщений: 863 |
| Репутация: 53 ± |
| Награды: 24 +
|
 |
|
История развития до наших дней
Трояны, руткиты, буткиты, дропперы…Для кого-то каждое из этих слов представляет собой отдельное направление, а для кого-то это просто «вирусы». Мы часто сталкиваемся с итоговым результатом деятельности вирусописателей и киберпреступников. Например, когда сын знакомых «случайно» ловит порнобаннер, требующий пополнения виртуального кошелька за разблокировку системы. Заглянуть же на другую сторону получается далеко не у всех. Сегодня я бы хотел представить вашему вниманию некий исторический срез развития «вредоносов». Вторая и третья части же будут посвящены непосредственно обзору современных возможностей вирусов с «практическими вкраплениями» в виде скриншотов серверной части одного из популярных руткитов.
Эта песня хороша – начинай сначала
Не волнуйтесь, начинать с самых истоков никто не собирается. В качестве отправной точки возьмём эпоху мобильных вирусов. Тому есть несколько причин. Во-первых, сами по себе, мобильные зловреды показали, что многое в нашей жизни развивается по спирали. Телефоны оказались лишь новой областью, которая вместе с популярностью, привлекла интересы компьютерных вирусописателей. За первые два года (2004-2005) мобильные вирусы повторили «эволюцию» своих старших братьев, которую те вели ещё с 80-х: для «трубок» были написаны черви, вирусы, троянские и шпионские программы, бэкдоры и т.д.
Во-вторых, сегодня «умные лопаты» плотно вошли в нашу жизнь, став если не заменой, то серьёзным дополнением к ПК и ноутбукам. Другими словами, рассматривать возможности современного «вируса» без привязки к смартфонам нельзя.
Ну и в-третьих, историю нужно знать. И не только потому что это История. В отличие от мира компьютерного, в мобильном мире нет явной смены поколений. Если у вас в кармане мирно лежит новый iPhone, совсем не значит, что он есть у всех вокруг. Люди продолжают пользоваться телефонами (это те, которые не «смарт»), при этом, не используя iOS, WP или Android. Это, в свою очередь приводит нас к тому, что из-за обилия и разнообразия мобильных устройств, «старые» вирусы не отходят в прошлое, а становятся нишевыми, меняя регионы.
Поэтому давайте по порядку. Как уже было сказано выше, реальный интерес вирусописателей к мобильным телефонам массово «проклюнулся» в 2004 году. Правила выбора цели также не отличались от компьютерных: какая платформа популярнее, под ту вирусы и пишутся. В тот период безусловным лидером была и оставалась Symbian. Следом с большим отрывом шли Windows Mobile и BlackBerry. Общее количество вирусных семейств едва ли превышало пару десятков, а количество модификаций – сотню-другую. Связано это было, в том числе, и с «трудностями перевода» - отсутствием универсального вируса. Под каждую платформу необходимо было придумывать что-то своё.
Тем временем, основным средством выкачивания денег из сознательных граждан выступали SMS, отправляемые вирусами на короткие номера. Верхушка айсберга выглядела так: зловред с телефона тайно отправлял SMS с неким текстом на определённый короткий номер, после чего у «жертвы» списывалась со счёта немаленькая сумма денег. Полная картина была интереснее. Так как арендовать у сотового оператора короткий номер самостоятельно было непозволительной роскошью, свою лепту в мошенническую схему вносили контент-провайдеры. Именно им была по карману аренда номера, который они сдавали всем желающим в субаренду через специальную партнёрскую программу. Последняя, в свою очередь, была нужна, чтобы установить «правила игры». Во-первых, примерно половину стоимости SMS забирал себе сотовый оператор, ещё 10% отходило контент-провайдеру, ну а остальное «честно» зарабатывал субарендатор. Во-вторых, количество субарендаторов могло исчисляться десятками. Поэтому, чтобы правильно делить прибыль, использовались префиксы. Уверен, что каждый читатель хотя бы раз в жизни слышал нечто вроде «отправь 123 на короткий номер 4567 и получи эту мелодию себе на телефон». Именно префикс «123» вносил ясность, кому из субарендаторов отойдут деньги. Как видите, схема была выгодна всем, кроме «жертвы», конечно.
Год 2006 внёс свои коррективы в намерения мобильных вирусописателей. Несмотря на то, что платформа Symbian по-прежнему имела самую большую аудиторию, лидерство это становилось крайне неустойчивым – своё место под солнцем активно отвоёвывали не только известные игроки (Windows Mobile и BlackBerry), но и новички (iOS и Android). На самом деле на этих 5 платформах разнообразие не заканчивалось и вирусописатели это отлично понимали. В итоге, настало время, когда подобно витязю на распутье, им предстояло принять решение, куда двигаться дальше. Как вы помните, идея «универсальности» витала в воздухе с самого начала мобильной эпохи вирусов, но катализатором для неё послужила лень. Чтобы не распыляться на множество различных платформ и не портировать вирусы под каждую из них, люди задумались, есть ли что-нибудь общее между ними (между платформами, а не между людьми). Оказалось, что есть – Java, а точнее Java 2 Micro Edition. Дело в том, что на тот момент не только все телефоны, не говоря уже о смартфонах, имели поддержку java, но и были в состоянии запускать java-приложения. На руку злоумышленникам сыграли и игроделы, также осознавшие прелести кроссплатформенности и наводнившие рынок java-играми. А самыми популярными способами заполучить игру были либо скачивание jar-архива из Интернет, либо отсылка платной SMS. Думаю, дальнейший ход мыслей понятен. Контент-провайдеры и ещё раз контент-провайдеры… К слову, игры по жизни являются спутниками вирусов. А вариантов заражения не так уж и много: либо вы получаете вирус в чистом виде, «слегка прикрытый» официальной иконкой игры, либо вы получаете «склейку». В последнем случае в качестве «утешительного приза» вам всё-таки удастся поиграть.
Тем не менее, в дальнейшем, по данным «Лаборатории Касперского» рост мобильных угроз измерялся сотнями процентов в год. К примеру, по оценке экспертов, с 2006 по 2009 год произошло утроение числа вредоносных программ для мобильных устройств.
В лидерах вирусной армии по-прежнему были SMS-трояны, тайно отсылающие сообщения на премиум-номера. Однако к ним в компанию пришёл новый способ мошенничества, который сегодня известен абсолютно каждому безопаснику. Речь идёт о фишинге. Его частность, SMS-фишинг, заключалась в введении «жертвы» в заблуждение посредствам специально составленного сообщения. «Мама, положи мне денег на номер +Х-ХХХ-ХХХ-ХХ-ХХ, потом всё объясню».
Были ваши, стали наши
Деньги и ещё раз деньги. Всё вертится вокруг них. Мобильные вирусы не стали исключением. С появлением новых платёжных возможностей, появлялись и новые вариации зловредов. Так, на рубеже 2008-2009 годов у сотовых операторов появилась новая услуга: с помощью специально составленного SMS-сообщения, абонент мог поделиться деньгами со своего счёта, например, с другом, которому они срочно понадобились на телефон. Вслед за здравой идеей пришло её нездоровое использование мошенниками. Уже в январе 2009 года антивирусные компании изловили новые модификации зловреда под названием «Flocker», основной задачей которого была отсылка SMS с определённым текстом на определённые номера. Другим знаменательным событием стал вирус, рассылающий с телефона «жертвы» SMS его контакт-листу. Кроме того, начала зарождаться мода удалённой работы со смартфонов. До бума было ещё пару лет, и в основном из-за отсутствия благоприятной почвы: мощностью смартфоны ещё пока не могли похвастаться, а выход в интернет с них оказывался не самым дешёвым удовольствием. Тем не менее, некоторые мобильные вирусы уже умели воровать информацию, выгружать контакты телефонной книги, SMS, а также просто блокировать телефон, требуя денег за код разблокировки.
Дальнейшее развитие привело к интересным особенностям. Во-первых, продолжая путь монетизации, зловреды научились не только отправлять SMS контент-провайдерам, но и совершать звонки на международные платные номера. Причины «эволюции» просты и банальны: как только власти и сотовые операторы сделали вид, что всерьёз борются с подобными мошенническими SMS, киберпреступники нашли новую лазейку. Но даже сегодня этот вид деятельности по прежнему остаётся самым лёгким вариантом заработка денег. Ведь что может быть лучше «прямого доступа» к кошельку жертвы, коим и является её телефон?
Во-вторых, так как проблема вирусов для мобильных телефонов и не думала терять актуальность, за её решение принималось всё больше «хороших» парней. Велась просветительская работа, подключались антивирусные компании. Ответным ходом преступного мира стало наделение вирусов возможностью получения от удалённого сервера обновлений и команд. По правде говоря, «всё новое – это хорошо забытое старое». Получение вирусом команд с удалённого сервера, как концепция, была реализована ещё в 2004 году. Однако на то время практического применения она не снискала в силу дороговизны и неповсеместной доступности мобильного интернета. Но уже спустя пару-тройку лет ситуация кардинальным образом изменилась.
Возможность обновлений серьёзно развязала руки мошенникам. В качестве демонстрации достаточно вспомнить вирус Lopsoy, главная «изюминка» которого как раз и заключалась в них. По функционалу это был обычный SMS-троян, отсылающий некоторый текст на премиум-номера. Однако за счёт заложенного функционала зловред осуществлял поиск точек доступа в интернет для соединения с удалённым сервером, от которого получал не только собственные обновления, но и тексты SMS вместе с премиумными номерами для их отсылки. Возможность удалённого управления стала настоящим эволюционным скачком, так как серьёзно увеличила срок жизни SMS-троянов. Если ранее вместе с закрытием номера, троян терял свою актуальность (так как премиум-номера были жёстко вшиты в тело вируса) и злоумышленникам приходилось искать новых жертв для заражения, теперь вирусы начали адаптироваться по ситуации.
Третьей особенностью развития мобильных вирусов стала их частичная переориентация на кражу информации. Мошенники продолжали искать новые способы монетизации своих детищ, что неизбежно уводило их от «кормушки», удлиняя цепочку «заражённый телефон-деньги». Осенью 2010 года был обнаружен «зловред», способный пересылать определённые входящие SMS-сообщения на заданный телефонный номер, при этом, как будто бы не нанося очевидного вреда. На самом деле вирус был лишь вспомогательной частью, отвечающей за перехват кодов аутентификации, присылаемых на мобильные устройства для подтверждения онлайн-банковских операций. Другими словами, теперь кража денег происходила в несколько шагов:
«Обычным десктопным» вирусом заражался компьютер «жертвы». В его задачу входила кража данных для доступа к онлайн-банкингу, а также выяснение телефонного номера, на которые отсылались коды аутентификации о подтверждении операций.
На мобильный телефон «жертвы» отсылалась SMS со ссылкой на вредоносное приложение (на этом этапе мошенники должны были проявить фантазию, чтобы убедить «жертву» в необходимости установки приложения).
В случае успешного выполнения второго шага, через некоторое время мошенник пытался совершить от имени «жертвы» перевод средств, в результате чего последней банк присылал сообщение с кодом, которое мобильный зловред скрытно пересылал на телефон злоумышленников.
Несмотря на кажущуюся сложность схемы, в то время она работала даже в силу собственной новизны.
Год 2010 также отметился в современной истории мобильных вирусов зарождением нескольких новых направлений, ставших сегодня чуть ли не самыми популярными.
Во-первых, в схемах мошенников появился шаг валидации «жертвы». Другими словами, сайт, с которого распространялось вредоносное ПО, проверял, откуда к нему пришёл человек. Если пользователь просматривал контент через настольный браузер, всё было в порядке, но если сайт просматривался через мобильный браузер, пользователю всеми способами предлагалось скачать «специальное приложение» для просмотра. Подобная мера позволяла продлить срок жизни сайта-распространителя в разы, так как антивирусы для мобильных телефонов находились ещё в зачаточном состоянии.
Во-вторых, рост популярности iOS и Android начал всерьёз будоражить умы вирусописателей. Как следствие, начали появляться не просто proof of concept, а реальные «боевые» вирусы для этих операционных систем, способные не только красть со смартфонов информацию любого толка, но и поддерживать удалённое управление заражёнными устройствами.
Своё развитие описанная концепция получила в третьем направлении – кражи информации. «Прямой доступ» к счёту абонента перестал быть главной целью мошенников. На телефонах стала появляться информация, дававшая злоумышленникам новые рычаги давления на «жертв». К примеру, рост популярности «Вконтакте» привёл к появлению ряда вредоносных программ, нацеленных именно на кражу логина и пароля от отечественной социальной сети. И так как некоторые люди были готовы отдать сотню-другую рублей за восстановление доступа к своей любимой страничке, схема «пошла в жизнь».
Как создать скриншот? | Как создать лог файл HijackThis?
Причины, по которым может тормозить компьютер | Правила сайта!
|
| |
| |
| Anymous | Дата: Четверг, 01.08.2013, 18:38 | Сообщение # 2 |
|
| Сообщений: 863 |
| Репутация: 53 ± |
| Награды: 24 +
|
|
|
Новейшая история
Период «новейшей истории» мира мобильных вирусов можно обозначить отрезком с 2011 года и до наших дней. За это время кардинальной смены технологий не произошло, а всё то, что началось в 2011-ом, развивается и сейчас. Итак, с чем же приходится иметь дело сегодня?
Четвёртый квартал 2011 года в очередной раз доказал, что «всё новое, это хорошо портированное старое»: платформа Android повторила успех Symbian, став одной из самых распространённых операционных систем мобильного мира. Биполярность рынка, вызванная разделением основной массы пользователей на приверженцев iOS и Android, «вирусному рынку» не передалась. Здесь, к концу 2011 года ситуация вырисовывалась довольно однозначная: количество модификаций вредоносного ПО под Android начала расти взрывными темпами и всего за несколько месяцев сместила зловредов под J2ME на «обидное» второе место. Такой «успех» детище Google достигло благодаря муссированной рекламной компанией среди пользователей и производителей смартфонов, а также из-за открытости платформы и гораздо более лёгкой процедуре разработки и размещения приложений в store’ах.
Но существует ещё одна причина, из-за которой доля вредоносных программ под Android сегодня достигла устрашающих 94%: политика партии. Точнее, политика Google, направленная на «выкачку» денег из пользователей через Market, а из производителей – через плату за предустановленную ОС. Тем самым, никто кроме пользователей не заинтересован в обновлении операционной системы на старых устройствах. Вместо этого проще выпускать новые «трубки». Вот только со стороны потребителя покупка нового смартфона каждые 6 месяцев – удовольствие не только дорогое, но и сомнительное. В итоге, абсолютное большинство использует устаревшие системы (как правило, 2.2.х и 2.3.х), для которых известно множество уязвимостей и которые невозможно закрыть, так как обновления для устройств просто не предусмотрены. «Благодаря» этому китайские вирусописатели поставили создание бэкдоров (возможности бэкдоров подробно рассматривались в предыдущей статье) на поток.
Именно по этим причинам сегодня остаётся актуальным весь тот «зоопарк» вредоносов, появившийся ещё в 2004 году. К сожалению, с течением времени мобильные вирусы растут не только количественно, но и качественно. Современные модификации активно комбинируют все те «эволюционные достижения», которые мы описали выше. К примеру, казалось бы «старый» ZitMo (ZeuS-in-the-Mobile) в конце прошлого года вновь «засветился» на просторах Польши и Германии.
Польское подразделение CERT (Computer Emergency Response Team) даже выпустило небольшую брошюру, описывающую механизм действия вируса.
Всё начинает с заражения «настольной» машины. На этом этапе вредонос производит рекогносцировку, ищет следы использования интернет-банкинга и работает в качестве кейлогера.
В случае успеха «Зевс» отсылает на удалённый сервер информацию о том, каким банком либо какой платёжной системой пользуется «жертва». В зависимости от этих данных из командного центра догружаются необходимые модули.
Они необходимы, чтобы модифицировать настоящую страницу, внедрив в неё, к примеру, поле, требующее указания номера телефона владельца счёта. Тем самым, формируется связка «заражённый компьютер-номер телефона».
Следующий шаг может быть реализован в различных вариациях. Согласно рисунку, на смартфон жертвы отправляется SMS, в которой от имени банка предлагается перейти по ссылке для установки какого-нибудь важного «сертификата безопасности». Здесь главная цель злоумышленников – заставить «жертву» загрузить вредоносное ПО. Однако встречаются модификации, в которых этот процесс полностью автоматизирован: после заражения компьютера вирус не модифицирует банковские страницы, а начинает искать признаки подключения телефона (к примеру, если установлен iTunes, то наверняка к этой машине рано или поздно подключат iPhone). В этом случае из командного центра загружаются «мобильные» модули, которые затем во время синхронизации заражают телефон.
Последним шагом вирус тайно отправляет на удалённый сервер сообщение о том, что он успешно инсталлирован.
Как видите, современные сложные мобильные вирусы являются ничем иным, как комбинацией «успешных» зловредов прошлых лет. Однако появляются и принципиально новые виды. Примером тому может служить троян Nickspy, который способен записывать разговоры владельца заражённого устройства, и затем загружать их на удалённый сервер. Сама по себе подобная возможность не такая уж и «жуткая», но помимо разговоров трояну интересны и GPS-координаты устройства. Для чего это злоумышленникам? Всё просто: благодаря этой информации они могут «фильтровать мусор» и записывать разговоры только тех людей, которые находятся в «интересных местах». К примеру, на закрытых судебных процессах, в правительстве, на секретных военных объектах и т.д. К слову, вирус имеет китайские «корни».
Будущее здесь
Но это, конечно же не всё. На сегодняшний день вряд ли корректно будет разделять вирусы на мобильные и компьютерные. «Всё смешалось в доме Облонских», и сейчас индустрия вредоносов шагнула на принципиально иной маркетинговый уровень: вместо неизменяемых версий появилась модульная структура, а помимо топиков на закрытых форумах появилась полноценная техподдержка и собственная социальная сеть (отсыл к Citadel). Каковы же современные возможности «вируса»? Вкратце, таковы:
эксплуатация уязвимостей ПО, установленного на поражаемом компьютере для своего скрытого запуска или повышения привилегий;
работа через P2P вместо жёстко заданных серверов и динамически создаваемыми доменными именами;
полиморфизм;
функционал руткита, направленный на сокрытие признаков работы ВПО на зараженном компьютере;
самозащита;
кража учетных данных, вводимых в браузере;
кража учетных данных, хранимых в Windows Protected Storage;
кража клиентских сертификатов X.509;
кража учетных данных FTP и POP;
кража и удаление HTTP и Flash cookies;
модификация запрашиваемых HTML страниц для последующей кражи учетных данных (Web Injects);
перенаправление запросов пользователя на другие сайты;
создание снимков экрана;
поиск и загрузка файлов на удаленный сервер;
модифицирование файла hosts;
загрузка и последующий запуск файла с удаленного сервера;
удаление критически важных веток реестра для невозможности загрузки операционной системы;
функция удаления «конкурентов» (других вирусов);
и т.д.
Как создать скриншот? | Как создать лог файл HijackThis?
Причины, по которым может тормозить компьютер | Правила сайта!
|
| |
| |
| Anymous | Дата: Четверг, 01.08.2013, 18:46 | Сообщение # 3 |
|
| Сообщений: 863 |
| Репутация: 53 ± |
| Награды: 24 +
|
|
|
По другую сторону вредоноса
Не откладывая в долгий ящик, вот так это выглядит со стороны злоумышленников.
Первым делом создаётся сервер. Указывается DNS-адрес и порт, на который он «отстучится» при первом запуске. Также полезно не забывать про поля ID и Group. С помощью них можно, к примеру, разделять бэкдоры на группы по месту вброса, дате вброса и т.п.
Далее выбираем через что будет произведена «инъекция», в какую директорию, папку и под каким именем. Различные коммерческие версии предлагают также самому выбирать уязвимости, которые будут включены в итоговый «конфиг». На самом деле, выбор гораздо богаче. Тут, как говорится, «любой каприз за ваши деньги».
Порядок цен на примере аналогичного «продукта» SpyEye 1.3.45 на август 2011 был таков:
билдер и админпанель — 2000$;
модуль Web Injects для браузера Firefox — 2000$;
модуль обхода защиты Rapport — 500$;
модуль прокси Socks5 — 1000$;
модуль доступа по протоколу RDP — 3000$;
модуль FTP Back Connect — 300$;
модуль кражи сертификатов из браузера Mozilla Firefox — 300$;
модуль кражи учетных данных кредитных карт — 200$;
модуль кражи учетных данных из браузеров Opera & Chrome (form grabber) — 1000$.
Последовательно доходим до настроек кейлогера. Как видите, можно задать автоматическое удаление технических нажатий. В противном случае, если человек набрал «абв», затем стёр «в», а после написал «г», в логе перехвата это отобразиться в виде «абв[Backspace]г». Также из скриншота видно, что поддерживается отсылка логов кейлогера на заданный ftp-сервер, а также настройка ключевых слов, при обнаружении которых он будет включаться. В противном случае «всасывается» всё.
Забегая вперёд, сразу продемонстрирую результаты работы.
Как видите, поддерживается не только оффлайновая передача, но и режим реального времени. При нажатии «Decode» открывается встроенный парсер. Поэтому разбирать логи можно, что называется, не отходя от кассы.
Наконец, последняя вкладка предлагает ещё раз проверить все настройки и создать конфигурационный файл. Если же мы затем захотим что-либо изменить в настройках сервера, можно внести изменения, модифицировать конфиг, а обновления заражённые машины подхватят автоматически. Готовый конфиг «склеивают» с любым exe-файлом.
Перейдём к клиентской части. Здесь как в Америке – куча возможностей.
Общий вид таков: показывается группа и заражённые машины в ней. При выборе отдельно взятой машины отображается её конфигурация, адрес, а также превью рабочего стола в данный момент времени. Советую обратить внимание на отдельный столбец, показывающий статус веб-камеры. Да, с неё поддерживается перехват. Один из вариантов использования этого функционала – шантаж. Дожидаемся, когда жертва пойдёт на сайт с «клубничкой» (или же сами его туда заводим), ждём ещё пару минут, а затем делаем скриншот и начинаем общение на тему «если не …, то снимок повиснет на твоей страничке в соцсети».
Логичный вопрос, как мы это сделаем? Ответ ниже:
Поясню некоторые функции. С помощью менеджера файлов мы можем удалённо управлять файлами на машине жертвы. Аналогично работают менеджеры процессов, окон, служб, регистра и т.д. Первым делом злоумышленник воспользуется функцией «Installed Programs» и удалит антивирус (если таковой имеется). Собственно, после этого, можно сделать что угодно. Например, собрать пароли.
Можно удалённо запустить командную строку, открыть в браузере определённую страницу (например, с эксплойтами и докачать всё, что необходимо», организовать прокси-сервер и т.д. Напоследок хочу обратить внимание лишь на одну функцию – MSN. Запустив её, мы получим доступ и сможем писать с аккаунта жертвы (конечно, если у неё установлен MSN). А это уже дальнейшая рассылка бэкдора друзьям жертвы. Очевидно, что вместо MSN в сборке мог быть QIP, ICQ и т.п.
Итоги
Знаете, длинный вывод писать уже и не хочется. Какую же мысль можно в этом случае взять за итог? Думаю, подойдёт «предупреждён – значит, вооружён».
Как создать скриншот? | Как создать лог файл HijackThis?
Причины, по которым может тормозить компьютер | Правила сайта!
|
| |
| |
 |
|
Чтобы добавить сообщение или создать новую тему, необходимо зарегистрироваться или зайти под своим ником!
|
|
Оригинальные образы
вверх
