Настало время поговорить о чем-то небезопасном — о вредоносе!
Злодеи нашего времени
Всю историю человечества существовали неблагонадежные люди, злоумышленники, бандиты и мошенники. Они не хотели зарабатывать на жизнь честным трудом, как это делали остальные. Они эксплуатировали чужой труд: грабили торговцев, крали вещи из домов, обманывали добродушную публику. Мир сейчас не изменился и мошенников все так же много. Однако часть из них перекочевала в Интернет.
Чтобы заполучить желаемое, злоумышленникам нужны инструменты. В прошлом это была ловкость рук, различное оружие, обаяние. А сейчас для мира IT ими является вредоносное ПО.
Что такое вредонос?
Вредонос/зловред/вредоносная программа — все это названия любого программного обеспечения, целью которого является проникновение в систему жертвы для последующих малоприятных действий.
В зависимости от желаний хакера вредонос может украсть личные данные цели, нарушить работу системы, передавать ее ресурсы злоумышленнику, проводить атаки на других пользователей. Спектр «услуг» весьма впечатляющий.
Легенды гласят, что самый первый, доисторический, вредонос был обнаружен в 1970-х гг. в военной компьютерной сети APRANET. Это был вирус под названием Creeper, он загружался в сеть через модем и выводил на дисплей или через принтер надпись «I’m the Creeper: catch me if you can». Для противодействия была написана первая антивирусная программа Reeper, которая распространялась по сети так же, как и Creeper, но целью было «поймать» вирус. Когда Creeper удалялся, антивирус самостоятельно ликвидировался.
Пик развития вредоносного ПО пришелся на конец 1990-х — начало 2000-х гг., когда компьютеров стало больше и они связались с интернетом. Соответственно, и пересылать зловред стало проще. Если раньше вредонос создавался забавы ради, то сейчас это превратилось в самый настоящий бизнес. При этом как со стороны хакеров, так и со стороны разработчиков антивирусов.
Методы распространения
Мошенники распространяют зловред разными способами:
- Автоматически, ПО само выискивает уязвимости в системе;
- Через рассылку спама;
- Внутри другого ПО;
- Рекламные баннеры;
- Фишинговые и поддельные сайты;
- Через физические носители;
- При помощи социальной инженерии.
Методы могут комбинироваться. Порой люди попадаются на совсем глупых историях, например, найти кем-то оставленную флешку, посмотреть из любопытства, что на ней, и словить зловред.
Поставь прививку от вируса
Обычно под термин «вирус» подводят абсолютно весь зловред в интернете, но это не так. Компьютерный вирус — это один из видов вредоносного ПО. Как и биологический вирус, он может распространяться самостоятельно. Главной его целью и отличительной чертой является именно распространение самого себя, собственная репродукция внутри зараженной системы. Поэтому не удивляйтесь, если обнаружите кучу непонятных файлов на компьютере. А внутри вируса уже может быть другой вредонос, который уже нанесет ущерб.
Впервые определение компьютерному вирусу дал родоначальник вирусологии Фред Коэн в 1983 году.
Одним из самых первых успешных и опасных вирусов был Melissa. Он распространялся через адресную книгу MS Outlook посредством отправки писем с вредоносом. Сам вирус запускал видео со стриптизершей, в честь которой и был назван, а иногда появлялся знаменитый «синий экран смерти». В итоге заражено было около 20% компьютеров со всего мира, а ущерб оценен в 80 млн долларов. Разработчик вируса был пойман ФБР, отсидел в тюрьме 20 месяцев и заплатил 5000 долларов штрафа.
Точно так же распространялся вирус ILoveYou (LoveLetter, «письмо счастья»). Только в этот раз в письмо открывали, считая, что его отправил тайный поклонник. Вирус поражал и перезаписывал системные файлы Windows, а потом отправлялся к следующей цели из контактов зараженной системы.
Как же надоели эти баннеры!
Не самый опасный тип зловреда, но крайне раздражающий — рекламные баннеры (adware). Такой вредонос может находиться как на локальном компьютере, так и на сайте. Допустим, мы попали на сайт, а он весь пестрит рекламой так, что глаза режет. Сайт невозможно использовать по назначению. Вряд ли разработчик хотел именно этого. Просто в код сайта внедрен вредонос. При этом если мы случайно (или нет) кликнем по баннеру, то в лучшем случае нас перенесет на другой сайт, а в худшем — реклама теперь будет открываться поверх всех окон на вашем компьютере. А закрыть никак не получится. Перезагружаем компьютер и, вот, теперь баннер вообще во весь экран и требует оплату, чтобы убрать рекламу. Но это уже вымогательство. Не кликайте по непонятным и странным баннерам.
Дрожь земли
Еще одним типом вредоноса являются черви. Этот зловред можно отнести к подвиду вирусов, который также функционирует самостоятельно, каких-либо действий со стороны жертвы не нужно. Главное отличие в том, что черви при помощи эксплойтов ищут уязвимости в системе.
Например, после очередного обновления Wordpress появилась лазейка в этой CMS, через которую червь проникает на сайт, после чего крадет личные данные, захватывает к ним доступ или вообще нарушает работу сайта. Если червь проник в систему, то придется ее чистить и ждать нового обновления, когда уязвимости закроют.
Черви достаточно быстро распространяются, например, SQL Slammer в 2003 году заразил около 70 тысяч серверов за 10 минут, а через некоторое время вызвал неполадки в работе банкоматов «Bank of America» и отключил доступ в интернет у АЭС в Огайо. Этот червь не использовал язык SQL, а просто переполнял буфер MS SQL Server, что вызывало отказ в обслуживании.
Исследователи из университета Беркли предположили, что самый быстрый «блицкриг-червь» может заразить весь интернет за 15 минут.
В 2001 году был разработан червь Code Red, который пробирался на серверы и заменял главную страницу сайтов на фразу «Hacked by Chinese!». После этого он начинал DDoS-атаку на сайт Белого дома.
Иногда зловред создается не хакерами-умельцами, а государствами для конкретных целей кибервойны. Считается что, червь Stuxnet был разработан для атаки по иранским системам по обогащению урана. Он разгонял центрифуги до их физического разрушения, а на дисплей выводил надпись, что все хорошо работает.
Бонд. Джеймс Бонд
Некоторые в детстве хотели стать шпионами, как известный агент 007. Часть из них в итоге ими стали, но нелегальными — они разрабатывают шпионское ПО. С его помощью злоумышленник может получить личные данные, доступ к системе, веб-камере или микрофону, к действиям в интернете. Это ПО не только следит за деятельностью жертвой, но и передает эту информацию мошеннику, после чего он может вымогать деньги за эти данные. Одним отличием является то, что такое ПО либо вообще не влияет на работу системы или сайта, либо делает это малозаметно.
«Троя, открывай врата. Мы коня подвезли»
Еще один достаточно известный зловред — троян. Очевидно, что назван в честь Троянского коня, так как действует точно так же. Под видом безопасного ПО, или внутри него, троян проникает в систему, где пользователь запускает ее сам. После этого зловред начинает работать незаметно для жертвы, пока не добьется цели мошенника. Часто трояны используют в качестве площадки для создания ботнета — сети зараженных компьютеров, ожидающих команды мошенника.
Одним из главных отличий от остального вредоноса является невозможность самостоятельного распространения. Хакер должен самостоятельно поместить троян в файл или сообщение, чтобы пользователь сам его активировал.
Такой вредонос легче всего подхватить через файлообменники, например, через торренты. Так что лучше скачивать файлы с лицензированных сайтов.
Троян под названием Storm Trojan так быстро распространялся, что за 3 дня заразил почти 10% компьютеров со всего мира. Его целью были украсть личные данные владельца и создать крупный ботнет. Сам троян оказался достаточно стойким, так как постоянно менял свою сигнатуру.
Если вы думаете, что опасности подвержены только компьютеры, то сильно ошибаетесь. Мобильных троянов также много и они не менее зловредны, чем их старшие собратья. Например, троян Skulls.A заражал телефоны на SymbOS, изменял все иконки на черепа и отключал все функции, кроме звонков.
Еще один известный и опасный зловред — Zeus. Он использовал фишинг и кейлоггинг (кража паролей) для похищения банковских данных наивных пользователей. Хакеры таким образом наворовали около 70 млн долларов. У этого трояна есть несколько версий: под Windows, мобильные ОС BlackBerry и Android.
Есть и забавные трояны, например, в Skype был вредонос, который отправлял «Привет» с особым «приветом» в виде фишинговой ссылки всем контактам, когда пользователь появлялся онлайн. Этот троян прозвали «кошмаром интроверта».
Зачем хакерам это нужно?
У хакеров может быть очень много причин нарушать работу чьей-то системы. Сейчас такая деятельность превратилась в прибыльный бизнес. Находятся люди, готовые платить за вредоносную активность, направленную на конкурента.
Кроме того, некоторые хакеры просто получают удовольствие от причинения вреда другим людям и их работе.
Часто вредоносное ПО используют против известных личностей, чтобы требовать выкуп за утерянные данные или заставить людей страдать, делая жизнь невыносимой. Может присутствовать личная неприязнь или месть против какого-либо человека. Политические, религиозные и национальные умозрения также влияют на выбор цели и желание ей «насолить».
Есть много примеров, когда взламывали аккаунты звезд, а затем сливали их в сеть. Возможно, перед этим мошенники требовали деньги, но жертвы не соглашались.
Иногда зловред придумывается ради научных целей или просто интереса, чтобы узнать, как быстро он распространится, кого затронет, какой ущерб нанесет.
Разработчики вируса Brain из Пакистана просто хотели отследить пиратские копии медицинского оборудования. А вышло так, что вирус вырвался за пределы страны, вызвав одну из первых эпидемий. Но так как Brain был достаточно «миролюбив», большого вреда он не наносил.
Кроме того, мошенники могут использовать вредонос, чтобы украсть ресурсы для майнинга. Такой вид деятельности называется криптоджекинг (cryptojacking).
Как защититься от таких угроз?
Главное — быть внимательным. Не заходить на подозрительные сайты, не кликать на странные объявления по типу «Я принял это средство, а оно...», не скачивать файлы из неизвестных писем, не запускать их на своем компьютере.
Обязательно обновляйте свой антивирус. Хоть он не дает 100% защиту, но он находит и помещает в карантин большую часть зловреда. Еще можно следить за производительностью компьютера. Если он внезапно стал работать медленно, то лучше проверить его на предмет вредоноса или запуститься из последнего бэкапа.
При создании своего сайта следить за обновлениями CMS, использовать ПО, которое ищет вредоносную активность на нем. В Спринтхост такую роль выполняет ХакСкан.
Инструмент ищет по базам сигнатур Спринтхост вредоносный код на сайтах. Эта база собирается и постоянно обновляется благодаря множеству примеров вредоносного кода как в нашей практике, так и в общей. ХакСкан успешно находит такие вредоносы как майнеры, веб-шеллы, загрузчики, мейлеры, фишинг и даже ботнеты. Список достаточно обширный, все перечислять нет смысла. Главное, что инструмент отлично справляется и не дает зловреду нарушать работу сайтов. Побольше почитать о ХакСкане можно в Базе знаний.
А наиболее прожженные параноики могут заклеить свою веб-камеру, запретить доступ к геолокации, заходить в интернет через защищенное соединение в режиме «инкогнито» с помощью особых браузеров.
Но по-настоящему бояться вредоноса не нужно, если есть резервные копии системы, хороший антивирус и голова на плечах. Тогда подцепить «заразу» становится сложно. Для всего остального есть полный отказ от технологий и путешествие в лес.