Компьютеры под Windows уже двадцать лет находятся в осаде. В дни молодости этой операционной системы вирусы скакали от машины к машине, иногда удаляя файлы (которые почти всегда можно было восстановить) и показывая диалоги непонятного содержания. Теперь они захватывают ваши данные и требуют выкупа, запускают с вашего компьютера вирусные атаки, роются по файлам в поисках номеров кредитных карт и паролей.
Кроме того, вредоносное программное обеспечение стало причиной создания многомиллиардных антивирусных компаний, вдохновило авторов на написание статей в количестве, достаточном, чтобы заполнить Александрийскую библиотеку, создало десятки тысяч рабочих мест для специалистов по безопасности и послужило причиной нескольких сотен миллионов случаев геморроя.
Эти надоедливые программы не выросли на пустом месте за ночь. Это была долгая эволюция со своими целями, средствами и методами, которые изменялись с течением времени. Как и в любой другой технологии, локомотивом прогресса здесь является инновационное мышление. Посмотрим, как изобретательность превратила вирусописательство в огромную индустрию, и что ожидает её в будущем.
Ранние годы
Некоторые из самых инновационных и (пока ещё) распространенных технологий вирусописательства появились на заре Windows, и к появлению Windows 3.0 сформировали прочный фундамент для разработки вредоносных программ.
Возьмем для примера VirDem – первый вирус, заражавший исполняемые файлы. Он был создан Ральфом Бургером в Германии в 1986 году. Самораспространяющаяся программа вставляла себя в начало COM-файла, а код, который был там до этого, перемещала в конец. Вскоре за ним последовал Cascade (1987) - первый вирус, который скрывал себя при помощи шифрования. К несчастью, процедура шифрования была одной и той же для всех зараженных файлов, что позволило сканерам с лёгкостью научиться обнаруживать этот вирус.
GhostBalls (с гордой пометкой «Сделано в Исландии; © 1989» скомбинировал две разных техники заражения, став первым представителем так называемых «многосторонних», или «смешанных вирусных угроз». Он прикреплялся к COM-файлам, а заодно проверял наличие дискеты в дисководе А. Если таковая находилась, вирус заражал загрузочный сектор.
Пытаясь исправить недостаток Cascade, в 1990 году Марк Уошберн разработал первый полиморфный вирус «1260». Полиморфные вирусы изменяют свое тело при каждом шифровании (часто изменяя саму шифрующую процедуру), что значительно усложняет их обнаружение.
«Летать ниже радара» - вот образ действия двух других вирусов Frodo и Whale, появившихся в 1990 году. Оба они стали известны как «стелс-вирусы», поскольку прилагали очень большие усилия, чтобы скрыть свое присутствие. Frodo заставлял Windows неправильно сообщать размер зараженных COM-файлов, так что они выглядели чистыми. Whale (9 Кб, самый большой из известных вирусов того времени) использовал технику Frodo для скрытия своего размера и полиморфную фишку в стиле «1260» для изменения своего тела. Ни тот, ни другой вирус не имели больших разрушительных последствий, но оба они были совершенны в стремлении остаться невидимыми.
Двадцать лет спустя в зоопарке Windows найдется огромное количество примеров заражения исполняемых файлов, многосторонних угроз, полиморфизма и стелс-технологий.
Расцвет макро-вирусов
Платформа Windows 3.0 появилась на свет 22 мая 1990 года и вскоре достигла больших успехов. За исключением Michelangelo, непримечательного загрузочного вируса, заражавшего Windows-машины, благодаря которому появилась прибыльная индустрия антивирусного программного обеспечения, а выражение «компьютерный вирус» вошло чуть ли не во все языки мира – во всём остальном вирусные инновации зашли в тупик. Прозрение наступило летом 1995 года. Кто-то (мы так и не узнали, кто именно) написал очень простой вирус на Visual Basic, макро-языке Microsoft Word.
Документы, зараженные этим вирусом, при открытии в Word 6 добавляли четыре макроса к стандартному файлу шаблонов NORMAL.DOT. Затем эти макросы заражали каждый сохраняемый документ. К макросам прилагалось небольшое безвредное дополнение, показывавшее на экране странный диалог с цифрой 1. В коде вируса содержался комментарий «Этого достаточно, чтобы доказать мою точку зрения» - поэтому вирус был назван Concept.
Шлюзы открылись. В августе 1995 года несколько сотрудников Microsoft сказали автору статьи, что более восьмидесяти процентов компьютеров в Редмондском офисе инфицированы вирусом Concept, который распространился по всему миру за несколько недель. Антивирусные компании в спешке пытались найти защиту от этого совершенно нового направления атаки, а вирусописатели, снабженные комплектом инструментов для создания макро-вирусов, широко распространившимся в 1996 году, начали широкомасштабные боевые действия. Первый удар пришелся на Word; потом был атакован Excel – сначала вирусом Laroux, затем потоком из тысячи других макро-вирусов.
В Office 97 Microsoft усилила безопасность, но вирусописатели быстро придумали, как обойти контроль, а многие старые вирусы были автоматически сконвертированы в новый формат с помощью средств автоматического преобразования документов. Ситуация изменилась лишь когда производители антивирусов начали понемногу брать верх (в основном с помощью грубой силы), а Microsoft наконец сделала процесс заражения более сложным в Office 2000. Но даже при всём этом, атаки макровирусов оставались самой заметной частью пейзажа вредоносного программного обеспечения, пока Microsoft наконец не изменила формат файлов в Office 2007.
Конец столетия: коммуникационные атаки
Час Х для вредоносного программного обеспечения под Windows пробил, когда тайваньский программист Чен Инь Хау создал CIH (он же Чернобыль), подняв стелс-технологии заражения на новую высоту.
Используя экстравагантные особенности PE-формата, CIH внедряет себя в части EXE-файла между основными секциями, заражая файлы без изменения их размера. Те, кому не повезло подхватить этот «межклеточный» вирус на Windows 95, 98 или ME, обнаружили 26 апреля 1999 года, что их компьютеры превратились в кирпичи. CIH был разрушительным вирусом, но распространялся он не так уж и быстро.
Мощным механизмом доставки вирусов может выступить электронная почта – эта мысль не укрылся от внимания шутников, чья проделка с «вирусом» Good Times («если вы читаете письмо с темой Good Times, ваш жесткий диск будет уничтожен») напугала миллионы людей.
Следующий большой скачок во вредоносных технологиях пришел с фейерверком, взрывавшимся на фоне окна, озаглавленного «С Новым 1999 Годом!». Вирус Happy99, также известный как SKA, заражает системную библиотеку Wsock32.dll. Если вы посылаете сообщение с зараженной машины, подложная библиотека Wsock32.dll доставляет его, но следом посылает тому же получателю пустое сообщение со вложенным файлом, который обычно назывался Happy.exe. Если получатель запускал файл, он награждался фейерверком ¬– и грязной инфекцией.
До Happy99 другие вредоносные программы использовали похожую технику внедрения в Windows, но лишь Happy99 внедрился в коммуникационную процедуру и за счет этого успешно распространялся. Вдобавок, начиная с Windows 95 Microsoft стали скрывать расширения файлов, так что большинство пользователей, получивших Happy99.exe, видели лишь название «Happy99» - и слишком часто щелкали на нем.
Дэвид Л. Смит из Нью-Джерси написал Melissa – макро-вирус, который просматривает адресную книгу Outlook на зараженном компьютере и рассылает свои копии первым пятидесяти адресатам. Это было первое успешное воплощение вируса под Windows, производящего спам (потом их развелось очень много).
Melissa оказалась такой жизнеспособной, что 26 марта 1999 года уронила сервера Exchange по всему миру. Компания CERT (Computer Emergency Response Team) утверждает, что один сервер получил 32 000 копий Мелиссы за 45 минут. За свои заслуги мистер Смит был награжден двадцатью месяцами в федеральной тюрьме. Через несколько месяцев ещё один разрушительный вирус, ExploreZip, также распространялся через адресную книгу Outlook; у него была вредная привычка удалять документы Office, перезаписывая их.
В конце двадцатого века вирусописатели пользовались преимуществами Visual Basic Script под управлением Windows Scripting Host – комбинация, которая стала очень успешной в последующие годы.
Вирус BubbleBoy представил первый успешный образец атаки «проездом» (drive-by). Если вы получили зараженное письмо – приложенный файл не нужен – и открыли его в Outlook или сделали предварительный просмотр в Outlook Express – вы попались. BubbleBoy пользуется преимуществами HTML и склонностью Outlook запускать внедренные скрипты на Visual Basic без предупреждения.
В чем корень проблемы? В те дни Outlook использовал для отображения HTML-писем Internet Explorer. Даже если вы не никогда не видели IE в действии, он прятался на заднем плане, выполняя программы на VBS без разрешения. Спустя годы, червь Klez использовал тот же подход, но другую брешь в безопасности.
5 мая 2000 года ударил червь ILOVEYOU, навсегда изменив облик персональных компьютеров. Это была весьма эффективная демонстрация методов социальной инженерии, на которых основано сегодняшнее вредоносное программное обеспечение – зараженный файл пересылался во вложении к письму. Тема сообщения была ILOVEYOU, а вложение называлось LOVE-LETTER-FOR-YOU.TXT.vbs. Поскольку Windows скрывала расширение vbs, многие люди (по слухам, включая одного очень важного начальника в Microsoft) дважды щелкнули на зараженном файле, который выглядел как TXT, и прострелили себе ногу – та же фатальная оплошность, что и в случае с червем Happy99.
ILOVEYOU перезаписывает много различных файлов, а затем роется в адресной книге Outlook, рассылая свои копии по каждому адресу, почти как Melissa. Он начал распространение 4 мая 2000 года. К 13 мая были инфицированы 50 миллионов компьютеров.
По следам ILOVEYOU были сделаны несколько очень успешных вирусных атак. В 2001 году червь «Анна Курникова» распространялся во вложении к нему, называвшемся AnnaKournikova.jpg.vbs. А червь Sircam брал файл Word или Excel и рассылал зараженные версии файла по той же технологии. Множество конфиденциальных файлов утекло к нежелательным получателям. Sircam также распространялся, копируя себя на общедоступные сетевые ресурсы.
Зарождение ботнетов
Не довольствуясь лишь распространением вредоносного ПО, предприимчивые программисты начали разрабатывать способы удаленного управления компьютерами с помощью Интернет.
В декабре 1999 года бразильский программист, известный под именем Vecna, выпустил новый троян под названием Babylonia. Наряду с внедрением в стиле CIH и заменой библиотеки Winsock в стиле Happy99, Babylonia привнес в генофонд вредоносного ПО важное новое Качество: раз в минуту он связывался с базой и обновлял себя, если находил новую версию.
Хотя авторы BackOrifice утверждают, что он не предназначался для обрушения систем, этот вирус определенно имел данную возможность на системах Windows 95 и 98. Подобно сегодняшним контроллерам ботнетов, BackOrifice предоставляет возможность удаленного управления компьютером через Интернет. BackOrifice – это не вирус; это, скорее, полезная утилита, используемая вирусами и троянами.
Червь Sobig создал первый коммерчески успешный ботнет, генерирующий спам; он работал через email-вложения. В какой-то момент каждое двадцатое письмо, передаваемое через Интернет, содержало зараженное вложение Sobig.f. Sobig собирал почтовые адреса из файлов на зараженном компьютере.
Крякая Windows
К 2001 году большинство вредоносных программ распространялось, рассылая зараженные файлы через Интернет или копируя их на общие сетевые ресурсы. В тот год вирусописатели расширили свои горизонты, научившись целиться прямо в дыры в безопасности самой Windows. Они также на несколько уровней повысили свою изощренность. Не желая больше уничтожать данные или шутить шутки, некоторые вирусописатели стали использовать свои таланты для зарабатывания денег.
CodeRed незаметно инфицировал более 300 000 машин под серверов под Windows, используя переполнение буфера для получения контроля над IIS и дефейса сайтов на зараженном сервере. Машины, зараженные CodeRed, рассылают пакеты, вызывающие переполнение буфера, случайным машинам через Интернет. Microsoft залатала дыру через месяц после появления CodeRed, но администраторы ставили обновление недостаточно быстро. Полностью переписанный CodeRed II умел также атаковать локальные машины.
Потом за дело взялась Nimda. Она использовала пять разных направлений заражения. Nimda заражает вложения к электронным письмам, незащищенные сетевые диски, пытается «ронять» сайты и заражает сервера в стиле CodeRed. Она может использовать бэкдоры, оставшиеся от CodeRed.
SQL Slammer рикошетом прошелся по Интернет в 2003 году, заразив 75 000 машин за первые десять минут, выведя из строя большие участки Интернет. Червь использовал уязвимость в SQL Server и SQL Desktop Engine, которая была закрыта шесть месяцев назад. Он не оставлял свою копию на жестком диске, предпочитая просто оставаться в памяти. Зараженные машины вылечивались перезагрузкой.
Подобно SQL Slammer, Blaster (также известный как Lovsan) с бешеной скоростью прошел по сети, сканируя подключенные к интернет машины и передавая себя на них. Подобно Slammer, он использовал уязвимость, которая уже была исправлена. В отличие от Slammer, Blaster атаковал все машины под управлением Windows XP и Windows 2000, а заодно пытался положить микрософтовский сайт windowsupdate.com с помощью DDOS-атаки.
Откуда сегодня берутся деньги
Ботнеты, сформированные несколько лет назад, всё ещё работают – факт, не ускользнувший от внимания людей, которые финансируют очень прибыльную индустрию вредоносного ПО.
Профессионалы, которые стоят за этими программами, недобро относятся к конкурентам. За Sobig последовал Mydoom, ещё один генератор ботнетов на основе вложений к электронным письмам. Между Mydoom, Netsky, Sasser (положившим тысячи компаний) и Bagel разгорелась война; каждый из них пытался побить другого. В Германии 18-летний студент-программист был осужден за создание вариантов Sasser и Netsky.AC.
Троян Zlob взял новый курс, притворяясь кодеком, необходимым для проигрывания непонятных видеофайлов. Zlob существует в десятках воплощений, большинство из которых известны продвижением фальшивых антивирусов – занятие, которое приносит деньги. С течением времени Zlob видоизменился и стал известен как руткит Alureon.
В 2007 году появился Storm Worm – ещё один генератор ботнетов на основе емэйл-вложений, но с одним отличием: вместо того, чтобы управлять ботнетом с единственного сервера, Storm Worm использовал технологию peer-to-peer. Заражены были более одного миллиона компьютеров под Windows. Ботнет Storm/Waledac в основном распался к концу 2008 года, но, согласно Symantec, в прошлом месяце он проснулся и снова начал спамить.
Много других ботнетов появлялись и исчезали в последние несколько лет, большинство из них были выведены из строя обрывом линий связи или блокировкой скомпрометированных серверов. Остаются несколько проблем, особенно ZeuS, конструктор ботнетов, предназначенный для сбора паролей, номеров банковских карт и тому подобного на зараженных машинах, а потом отправляющий их атаковать какую-нибудь цель; а также Conficker – ботнет, который считается спящим, но не полностью ликвидированным.
Ботнеты, генерирубщие спам, такие, как Waledac, сильно страдают от микрософтовских юристов. В прошлом октябре один из крупнейших ботнетов, Bredolab, был уничтожен голландской национальной организацией по борьбе с преступностью (Dutch National Crime Squad).
Куда движется вредоносное ПО
По мере того, как Windows Xp заменяется на Windows 7, взлом Windows становится все более трудной задачей. Мелких игроков выжимают с рынка вредоносного ПО, а большие игроки в поисках новых возможностей находят несколько легких целей.
Уязвимости в Windows стоят больших денег, и те, кто находят их, в наши дни вряд ли будут использовать их для создания забавных диалоговых боксов с цифрой 1.
Поэтому мы можем ожидать, что вредоносное ПО под Windows будет развиваться инновационными путями. Одна известная тенденция – рост атак на не-микрософтовское ПО. Например, Koobface работает под Windows, но используется для сбора информации из Facebook и MySpace, убеждает пользователей Facebook устанавливать фальшивое антивирусное ПО, и другими способами обращает информацию из социальных сетей в прибыль. Прекрасный обзор от Нарта Вильнёва в PDF.
Другая тенденция, вероятно, будет вращаться вокруг промышленного шпионажа. Неважно, верите ли вы, что червь Stuxnet разработан, чтобы вывести из строя иранское атомное оборудование, нет сомнений, что очень способная команда построила потрясающее сплетение из уязвимостей Windows и кода на Siemens Step 7. Можно ожидать, что мотивированные организации будут использовать инновационную смесь угроз, чтобы получить то, чего они хотят.
Что касается конструкторов вредоносного ПО – кажется, ZeuS – это только начало. По мере демократизации создания вредоносных программ, достаточно талантливые ребята могут заработать себе на жизнь со всё меньшим риском. Продавая такие конструкторы, создатели не беспокоятся о распространении вредоносного ПО, о том, что их поймают, или о том, как превратить информацию в деньги. Недавно Brian Krebs сообщил о том, что ZeuS и SpyEye, по-видимому, объединили усилия и последние исходники ZeuS можно приобрести за жалкие $100 000. С исходным кодом в руках, можно создавать и продавать свои собственные конструкторы ZeuS. Думайте об этом как о многоуровневой маркетинговой схеме.
Но самое жизнеспособное направление инноваций в сфере вредоносного ПО, скорее всего, лежит в области социальной инженерии. Несмотря на то, что взломать программы под Windows становится всё труднее, это так же просто, как атаковать их самое слабое звено – то, которое находится между ушами пользователя. Будет больше мошенничеств, больше фиктивных звонков из «Технической поддержки Windows», и больше смущенных пользователей, готовых с радостью выдать важную информацию каждому, кто уверяет, что может решить их проблемы.
Вредоносное ПО под Windows сильно изменилось за последние двадцать лет. А люди – нет.
Источник: infoworld.com
Перевод: Hryuckinnen
Внимание! У Вас нет прав для просмотра скрытого текста.
Внимание! Данная статья была написана более полугода назад, актуальность материала и состояние жизни ссылок не гарантируется! Воспользуйтесь дополнительными параметрами для поиска необходимого вам контента! Приносим свои извинения...