Вебмайстер
Яндекс для вебмайстрів
Як Яндекс індексує сайти
Сайт на сторінці результатів пошуку
Сервіс «Яндекс.Вебмайстер»
Налаштування індексування
Вміст сайту
Сайт у результатах пошуку
Безпека сайтів
Сервіси Яндекса на вашому сайті

Сховище файлів

Cтаття "Сучасні інтернет-атаки" надана Sophos Plc і SophosLabs.

Серпень 2007 р.

Наявність шкідливого контенту в потоці електронної пошти — це загальна слабкість поштових атак, оскільки це дозволяє організаціям боротися із загрозою шляхом впровадження суворих політик фільтрації пошти, що надходить. Це дозволяє або відразу блокувати контент, або перевіряти його набагато ретельніше. Творці шкідливих програм часто використовують масові спам-розсилки, у які включається не сам основний компонент (бекдор-лазівка, програма, що краде паролі, або кейлогер — клавіатурний шпигун), а троян-завантажувач. Єдине його завдання — завантаження (зазвичай для цього використовується HTTP) і виконання іншого контенту. Використання завантажувача надає творцям шкідливого ПЗ кілька переваг:

  • Розподілення поштових повідомлень і основних шкідливих компонентів.

    Функція завантаження може бути реалізована в дуже компактному двійковому файлі безліччю різних способів. Це спрощує створення шкідливих файлів, здатних пройти через систему поштового захисту. Більше того, завантаження не обов'язково здійснюється відразу після запуску завантажувача, що розсилається таким чином. Додавання затримки дозволяє ускладнити виявлення підозрілої активності на комп'ютері, що заражається. Це також дозволяє обійти різні технології аналізу поведінки, які можуть використовуватися на комп'ютері.

  • Модифікація віддаленого контенту (основного компонента).

    Порядок атаки можна легко змінити, просто змінивши контент, розміщений за кінцевою URL-адресою. Зазвичай для цього використовується серверна автоматизація, що дозволяє створювати множинні дрібні варіації загрози (які зазвичай реалізовуються шляхом переупакування, повторного шифрування або автоматичної перекомпіляції, у результаті якої створюються сотні унікальних варіантів). Моніторинг шкідливого ПЗ, розміщеного за фіксованими URL-адресами, дозволяє відстежувати частоту його оновлення. Використання автоматизації очевидне — багато сімейств скриптів оновлюються кілька разів на день, а деякі сумнозвісні сімейства перебудовуються з інтервалом в 1-4 дні.

  • Можливість поетапного завантаження.

    Завантажувачу не потрібно відразу завантажувати основний компонент. У механізмі завантаження можуть використовуватися інші компоненти завантажувача, що завантажують контент з різних доменів. Часто завантажувач отримує лише файл конфігурації, де наводяться подальші вказівки щодо контенту, який завантажується.

Таблиця 1. Середня частота оновлення ряду сімейств шкідливого ПЗ протягом 30-денного періоду.

Цей механізм описує один з найпоширеніших способів використання інтернету для поширення шкідливого ПЗ — по суті, тут мережа використовується як сховище файлів, з якого можна завантажувати необхідний контент. Поєднання автоматизації, що дозволяє оновлювати шкідливі файли з великою частотою, і багаторівневого завантаження (у якому може бути задіяно кілька доменів) часто призводить до створення дуже складних механізмів зараження, у яких використовуються численні шкідливі компоненти та URL-адреси. З точки зору творців шкідливого ПЗ подібні методики формують дуже гнучке середовище діяльності.

За останні два роки компанії, що працюють у галузі безпеки, зафіксували різке зростання кількості троянів-завантажувачів [17]. Відомо безліч сімейств таких троянів; одним з найвідоміших серед них є Clagger [18]. Це сімейство неодноразово модифікувалося, щоб уникнути виявлення захисним ПЗ. З лютого 2007 р. було завчасно виявлено майже 80 унікальних варіантів (наприклад, Mal/Clagger). Цей завантажувач зазвичай поширюється серед жертв за допомогою спам-розсилки, що очевидно з часового розподілу отриманих зразків (мал. 2), де сплески активності збігаються за часом із хвилями атаки. Значна частка завантажувачів Clagger розсилалася з метою завантаження та встановлення шкідливих програм іншого сумнозвісного сімейства, Cimuz, яке використовується з метою масового збирання облікових даних для роботи з інтернет-банками [19].

Мал. 2. Поширення завчасно виявлених зразків Clagger з лютого 2007 р.

У 2007 р. також можна було спостерігати зростання обсягу спам-повідомлень, що розсилаються, в яких замість відсутніх вкладень є лише посилання на веб-сторінку. Щоб змусити одержувача на неї клікнути, використовувалися засоби соціальної інженерії. Зазвичай на такій сторінці розміщується шкідливий скрипт, який завантажує та запускає шкідливу програму, коли користувач заходить на таку сторінку.

Недавній сплеск масової спам-розсилки повідомлень eCard [20, 21, 22] є ідеальним прикладом атак подібного типу. Якщо користувач клікає на посилання в повідомленні електронної пошти, то він потрапляє на сторінку, аналогічну зображеній на мал. 3.

Мал. 3. Веб-сторінка, що відображається під час переходу користувача за посиланням із спам-повідомлення Mal/Dorf.

На сторінці розміщено шкідливий скрипт (що визначається як Troj/JSXor-Gen [23]), який намагається використати ряд уразливостей браузера (див. мал. 4) для завантаження та запуску шкідливих компонентів Dorf [24]. Скомпрометований комп'ютер може використовуватися для подальших спам-розсилок і розміщення шкідливих веб-сторінок (повідомлення, що розсилаються з такого комп'ютера, міститимуть посилання на нього). В інших інтернет-атаках використовуються багато в чому схожі скрипти JSXor-Gen, які завантажуються під час відвідування скомпрометованого сайту (див. розділ Скомпрометовані сайти). Усе це є черговим доказом того, що інтернет — дуже гнучкий засіб здійснення атаки.

Мал. 4. Знімок скрипту JSXor-Gen, який використовується в атаці Dorf (зверху: розшифрований скрипт, знизу: початковий скрипт).

До наступного розділу

Оцініть статтю
Дякуємо за ваш відгук!