15 основных злонамеренных действий, совершаемых шпионским программным обеспечением
Авторы шпионского программного обеспечения затачивают свои вредоносные коды на то, чтобы как можно изощреннее вторгаться в личную жизнь пользователей сети. Данный список содержит наиболее вредные действия, реализуемые современными шпионскими программами и указывает на необходимость использования надежной защиты от них.
Изменение настроек сети: С целью предотвращения обновлений антивирусных и антишпионских сигнатур, некоторые виды шпионских программ изменяют сетевые настройки компьютера. Этот тип атаки может осуществлять редактирование файла hosts, применять исходящие IP фильтры или изменять DNS сервера таким образом, что все имена разрешаются на DNS сервере, контролируемым атакующей стороной.
Отключение антивирусных и антишпионских средств: С целью предотвращения дизинфекции, некоторые виде шпионских программ отключают антивирусные и антишпионские средства, тем самым увеличивая период времени в течении которого атакующая сторона имеет возможность контролировать компьютер жертвы.
Отключение Центра Безопасности Microsoft и/или Автоматических Обновлений: Некоторые виды шпионских программ отключают Цент Безопасности Microsoft, поскольку его предупреждения о неактивном межсетевом экране или антивирусе могут насторожить пользователя. Также некоторые экземпляры шпионских программ отключают автоматические обновления, чтобы предотвратить установку программных коррекций.
Установка мошеннических сертификатов: По-умолчанию веб браузеры настроены таким образом, чтобы доверять небольшому количеству центров сертификации для проверки SSL-сертификатов на веб сайтах и сертификатов электронной подписи программных кодов от распространителей программного обеспечения. Некоторые виды шпионских программ расширяют область доверия браузеров, добавляя SSL-сертификаты и/или сертификаты электронной подписи атакующего в хранилище доверенных сертификатов браузера.
Каскадное создание файлов: После того, как атакующему удалось установить на компьютере жертвы одную шпионскую программу, эта программа периодически устанавливает другие программы, каждая из которых, в свою очередь, устанавливает другие в каскадном порядке. Такое каскадное создание файлов в течении нескольких дней позволяет опережать выпуск антишпионских сигнатур.
Запись клавиатурных наборов: Некоторые виды шпионских программ перехватывают клавиатурные наборы, когда пользователь посещает финансовые сервисы или веб сайты электронной коммерции. Чтобы противостоять этой угрозе некоторые организации используют виртуальные клавиатуры, когда пользователь вводит пароль, кликая по клавиатуре, нарисованной на экране. Атакующие отвечают на это путем записи снимков небольших областей экрана рядом с указателем мыши, перехватывая таким образом пароль пользователя, вводимый на виртуальной клавиатуре.
Мониторинг URL, запись содержимого форм и снимков экрана: Некоторые виды шпионских программ отслеживают все URL, которые посещает пользователь. Когда посещаются чувствительные сайты, это программное обеспечение перехватывает все поля формы отсылаемые на эти сайты, с целью получения учетной и аутентификационной информации. Эта техника называется “записью форм”. Шпионские программны также могут записывать снимки экрана, содержащего конфиденциальную информацию.
Включение микрофона и/или камеры: Некоторые виды вредоносного кода могут включать микрофон или даже видео камеру, подключенную к системе, осуществляя тем самым полномасштабное вторжение в личную жизнь жертвы.
Маскировка под антишпиоские или антивирусные средства: Некоторые особенно подлые шпионские программы маскируются под антишпионские, антивирусные или другие средства защиты. Эти программы сообщают пользователю о том, что они защищают его от атак, в то время как, реально сами реализуют классические сценарии троянских программ.
Редактирование результатов поиска: Некоторые разновидности шпионских программ локально редактируют результаты поиска, добавляя туда рекламу. Пользователь думает, что эта реклама исходит от самого поискового сервера, не подозревая о том, что она была добавлена локально установленным шпионским программным обеспечением.
Функционирование в качестве сервера для рассылки спама: Некоторые вредоносные коды переключают машину жертвы в почтовый шлюз, используемый для рассылки спама, что позволяет атакующему рассылать миллионы сообщений, используя группу контролируемых им систем. Помещение в черный список и отслеживание атакующего становится существенно более сложной задачей.
Установка руткита или внесению в систему других изменений для предотвращения удаления: Наиболее вредное шпионское программное обеспечение незаметно вносит изменения в настройки операционной системы, используя очень изощренные и мощные техники, позволяющие избежать обнаружения и удаления. Деинсталляция некоторых видов шпионского программного обеспечения настолько сложна, что иногда пользователи сталкиваются с необходимостью полной переустановки операционной системы и приложений.
Установка бота для осуществления атакующим удаленного контроля: Некоторые виды шпионских программ оснащаются ботами – инструментами, которые атакующий использует для осуществления контроля и управления большим количеством зараженных систем – от десятков тысяч до миллионов.
Перехват конфиденциальных документов и их срытная передача атакующему, либо их зашифрование с целью получения выкупа: Некоторое целевое шпионское программное обеспечение, особенно созданное для осуществления фишинговых атак, разрабатывается для похищения конфиденциальных документов из конкретной организации. Другие варианты этого программного обеспечения зашифровывают данные, позволяя атакующему предложить жертве ключ для расшифрования в обмен на денежный выкуп.
Внедрение сниффера: Некоторые разновидности шпионских программ включают в себя снифферы для записи сетевого трафика, включая идентификаторы и пароли пользователей других систем, расположенных рядом с зараженной машиной.
Рекомендации по противодействию шпионскому программному обеспечению
Пять основных правил, следование которым позволяет успешно противодействовать самой распространенной угрозе информационной безопасности нашего времени – шпионскому программному обеспечению.
- Установите как антивирусное, так и антишпионское программное обеспечение от признанного разработчика – каждое из них по отдельности может быть не достаточно эффективным против всего существующих спектра угроз.
- На предприятиях убедитесь, что обновления автоматически загружаются на центральный сервер и проходят тестирование перед установкой на все пользовательские системы. Недавно несколько законных, но содержащих ошибки, обновлений привели к неработоспособности систем, поэтому необходимо тестировать все обновления сигнатур на репрезентативной системе перед запуском их в рабочую эксплуатацию. Розничным потребителям следует настроить автоматическое обновление своих антивирусных и антишпионских программ.
- Устанавливайте критические пакеты обновлений для ваших операционных систем своевременно. Для розничных потребителей это обычно означает необходимость настройки автоматической установки обновлений системы. На предприятиях необходимо быстро протестировать пакеты обновлений, прежде чем начинать их широкомасштабное развертывание.
- Установите персональный межсетевой экран и настройте его таким образом, чтобы по максимуму запретить исходящие соединения и получать оповещения при попытках их установления.
- Убедитесь в том, что у вас под рукой имеются установочные CD-ROM для операционной системы и приложений. Некоторое шпионское программное обеспечение так глубоко заражает систему, что практически единственным способом его удаления, является полная переустановка системы.
Эд Скаудис
Инструктор SANS и Старший Аналитик Безопасности Intelguardians