Некоторые разновидности сетевых атак. Коротко о главном

Сетевые атаки уже достаточно давно стали фоном современного киберпространства. Похищение конфиденциальных данных, кража паролей доступа, дефейс сайтов и DDoS-атаки сегодня можно считать чем-то вроде привычных атрибутов того, что мы называем компьютерная сеть. Интернет это или просто локальная сеть — особой разницы нет, т.к. любая сеть изначально предполагает обмен данными, взаимодействие между чем-то посредством чего- то, а это, в свою очередь, как ни крути — создает все условия для перехвата, нарушения конфиденциальности и целостности информации…

Атаки, основанные на дырах ОС и ПО. Данный тип можно считать наиболее распространенным видом сетевых атак: уязвимости в ОС и ПО как находили, так и будут находить, ведь языки программирования не всесильны. Известный факт: чем больший размер кода, тем большая вероятность того, что в нем существуют ошибки. Вот и получается: чем сложнее система, тем более вероятно, что она даст сбой. Парадоксально и закономерно одновременно… Считается, что приложения на основе открытого кода, будучи более пластичными с точки зрения устранения программных ошибок, могли бы считаться неким эталоном надежного программного кода. Вновь появившиеся баги постоянно патчат, и, казалось бы, все не так уж и облачно… Но не тут то было… Недавние специальные исследования, проведенные группой IT-специалистов при участии Министерства национальной безопасности США и Стэнфордского университета, показало, что не существует Open Source проектов с меньшим количеством ошибок, чем в программах с закрытыми исходными кодами. В последнее время сторонниками открытых проектов утверждается, что одним из главных преимуществ открытого кода является низкое количество ошибок по сравнению с закрытыми программами. Был проведен сравнительный анализ 150 самых популярных Open Source проектов и проприетарного кода более чем сотни компаний — более 60 млн строк на всех. Исследование показало, что не существует Open Source проектов с меньшим количеством ошибок, чем в программах с закрытыми исходными кодами. На самом деле в проприетарном ПО содержится в среднем в 5 раз меньше ошибок. По результатам анализа, ПО с закрытым исходным кодом прошло 11 из 15 тестов на высокое качество и безопасность. Неудивительно, почему лучшие из программ с закрытым кодом стоят в основе большинства критических приложений — вроде программ для реактивных двигателей, ядерных электростанций, телефонных систем и медицинских устройств. В случае неправильной работы такое ПО может привести к массовой гибели людей. Это же исследование показало и следующее: открытое ПО, несмотря на огромное количество ошибок, имеет более высокое качество кода по сравнению с закрытыми источниками…

Какие именно ошибки программного кода компрометируют систему на атаку извне? Самые разнообразные. В качестве самого, пожалуй, яркого примера можно привести ошибку программного кода, посредством которого возможно переполнение буфера. Так вот, подобное яаление (переполнение буфера) лежит в основе большинства уязвимостей и на сегодняшний день является самой распространенной уязвимостью в области безопасности сетевого ПО. Баг этот активно используется вредоносным ПО — таким, как компьютерные черви (например, CodeRed, Slammer, Lovesan) и эксплоиты. Указанная уязвимость с успехом используется и для организации массированных DDoS-атак, что уже говорит само за себя. Вновь обнаруженные уязвимости ПО регулярно публикуются на сайтах типа www.securitylab.ru. Обычно описание такой уязвимости включает в себя уровень опасности бага (например, критический) и наличие под него соответствующего эксплоита. При наличии соответствующего эксплоита у атакующего осуществление атаки — дело самого ближайшего времени. В качестве горячего примера можно привести эксплоит KaHt, эксплуатирующий уязвимость в службе DCOM RPC (уязвимы системы с первым сервис-паком). Было бы достаточно уместно привести свежие сообщения о вновь обнаруженных уязвимостях, опубликованных на securitylab.ru, которые, как нельзя лучше иллюстрируя вышесказанное, подтвержают тезис: безопасность есть процесс:

"15 сентября, 2006. Программа: Microsoft Internet Explorer 6.x. Опасность: критическая. Наличие эксплоита: Да. Обнаруженная уязвимость позволяет злоумышленнику скомпрометировать уязвимую систему. Переполнение буфера обнаружено в функции "CPathCtl::KeyFrame()" в Microsoft Multimedia Controls ActiveX. Злоумышленник может создать специально сформированную HTML страницу, чтобы выполнить произвольный код с привилегиями пользователя, просматривающего эту страницу в браузере. URL производителя: httр://www.Microsoft.com Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время."

"19 сентября, 2006. В блоге SubneltBLOG 18 сентября появилось сообщение о наличии новой уязвимости в Microsoft Internet Explorer. Эксплоит использует уязвимость в VML в Internet Explorer, чтобы вызвать переполнение буфера и внедрить шелкод на целевую систему. Эта уязвимость широко используется на нескольких Web сайтах. Дополнение: уязвимость существует из-за ошибки проверки границ данных в Microsoft Vector Graphics Rendering (VML) библиотеке (vgx.dll) при обработке определенных VML документов. Удаленный пользователь может с помощью специально сформированного VML документа, содержащего слишком длинный метод fill внутри тега rect, вызвать переполнение стека и выполнить произвольный код на целевой системе".

Mail-бомбинг. Данный вид сетевых атак можно считать самым настоящим киберкощунством. Посудите сами: на мирный электронный ящик, ничего не подозревающего хозяина, лавинообразно посылается куча писем, содержание которых иногда может быть просто неприличным. Предложение о сотрудничестве, о выезде за границу, нигерийские письма, в которых ваш дядя из Гваделупы предлагает несметные сокровища;)). Для организации атак подобного рода применяют специальные программы — мейлбомберы — этакие специализированные нюкеры. Программы подобного рода затопляют e-mail огромным количеством писем, обратный адрес которых фальшивый. Установить обратный адрес достаточно трудно даже по заголовку письма (HEAD), т.к. IP отправителя не имеет ничего общего с тем, что указан в заголовке. Для осуществления коварного плана злонамеренному пользователю достаточно знать e-mail жертвы.

Абсолютное большинство почтовых систем имеют антиспам-фильтры, защищающие клиентов от подобных сетевых вакханалий. Все бы казалось в розовом свете, но почему-то, несмотря на усиливающиеся беспрецедентные меры защиты от подобного рода атак, спам приходит и приходит… Все дело, наверное, в том, что алгоритмы распространения такого мусора умнеют параллельно с интеллектуализацией систем защиты. Согласно последним данным Лаборатории Касперского, спам-итоги 2005 года выглядят следующим образом: в течение года наблюдался небольшой, хотя и уверенный, рост доли спама в электронной почте. Речь идет именно о соотношении долей — в абсолютных значениях к концу 2005 г. количество спама возросло в 1,5-2 раза по сравнению с аналогичным периодом 2004. В общем объеме почтового трафика на каждые 2-3 обычных письма приходится 7-8 спамерских. Тематические лидеры спама (Рунет) практически не изменились с прошлого года.

Они следующие:
. Образовательные услуги (14% от общего объема спама).
. Спам "для взрослых" (12% от общего объема спама).
. Компьютерное мошенничество (11% от общего объема спама).
. Медикаменты, товары/услуги для здоровья (11% от общего объема спама).

Следует отметить, что в 2005 году в Рунете на качественно новый уровень вышел спам политического содержания. Основным способом рассылки спамерских сообщений по-прежнему было и остается использование сетей, созданных на основе зомбированных систем ничего не подозревающих пользователей. Можно констатировать, что спамеры активно идут по пути наращивания мощностей и развития зомби-сетей.

Сетевое сканирование портов включает в себя процесс автоматизированного выявления уязвимостей на удаленных системах с их последующим захватом. В качестве сканеров подобного рода можно привести что-нибудь вроде X-SPIDER, Essential Net Tools, Net Bios Scaner и многие другие, активно использующиеся теми, кому это надо;). Существуют специализированные системы, упрощающие процесс хакинга до минимума. В качестве горячего примера можно привести т.н. авторутеры (root — дословно: "корень", корневая директория — подразумевается полный захват системы) — программные комплексы, последовательно сканирующие большое количество машин. Преимущества таких автоматизированных систем очевидны: за считанное время автоматизация позволяет захватчику просканировать сотни тысяч систем и при обнаружении уязвимых произвести процесс захвата системы с установкой специализированного вредоносного ПО (черви, трояны, руткиты — в отличие от червей, вирусов и троянов, обнаружить в системе руткит (root kit) практически невозможно; так же затруднительно и лечение системы). В качестве горячего примера можно привести краткие описания следующих руткитов, как нельзя лучше иллюстрирующих совсем не детские возможности современного вредоносного ПО:

"AFXRootkit 2005: AFXRootkit 2005 — это OPEN SOURCE руткит написанный на Delphi, использует code injection и hooks Windows native API для сокрытия своего процесса, modules, handles, files, ports, registry keys, etc."
"FU Rootkit: FU может прятать процессы, поднимать привилегии процесса, обманывает Windows Event Viewer, так что суды невозможны! И даже прячет драйвера устройств(!). И все это без какого-либо взлома".
До недавнего времени обнаружение руткитов представляло довольно сложную с технической точки зрения процедуру, однако сейчас для этого существует достаточное количество спецсредств. В качестве примера можно привести Антивирус Касперского 6.0:

Классикой жанра были, есть и остаются сетевые атаки с использованием червей, вирусов, троянов и прочего вредоносного ПО. Симптоматика вирусного заражения обычно следующая: заражение исполняемых файлов (exe, com), "чудо-форматирование дисков", необратимое подвисание системы… Из сети такое чудо можно получить известным способом: через почтовые аттачменты либо скачав суперускоритель браузера;).

Трояны, в отличие от вирусов, не отличаются особо страшной деструктивностью, но от этого менее коварным этот вид программ назвать нельзя. Суть сетевой атаки с использованием троянов проста: на машину жертвы любым из известных способов (способов подцепить троян действительно много — отмечу лишь то, что в последнее время участились случаи заражения вредоносным ПО посредством уязвимостей браузера) "заливается" троян, который впоследствии в зависимости от своей функциональной принадлежности выполняет самые различные действия: крадет персональные данные с последующей пересылкой "награбленного" своему хозяину, удаленно управляет системой (т.н. backdoor), выполняет функции прокси-сервера (понятно, зачем;)), участвует в организации DDoS, ну и т.д. Для того, чтобы лучше представить себе реальные возможности вышеописанных шпионских программ и их роль в организации сетевых атак, будет более чем уместно привести описание некоторых ярких представителей:

"A-311 Death Full (backdoor) — это новая, продвинутая система удаленного администрирования с множеством возможностей. Основные возможности:
. Программа после установки работает из-под системных приложений.
. Невидимость с момента инсталляции.
. Невидимость слушающих портов (пока экспериментально).
. Полный и совершенный контроль над файловой системой (копирование, переименование, удаление файлов и папок, создание новых папок). . Upload, Download файлов с возможностью ДОКАЧКИ при обрыве связи (как в ReGet).
. Управление файловой системой а-ля windows explorer с ПОДДЕРЖКОЙ КЭШИРОВАНИЯ ДАННЫХ (для Dial-Up'а это критически важно!)
. Вывод файлов/папок по заданной маске (включая refresh). Возможность показывать битмапы поверх всех окон и проигрывать wav файлы
внутренними средствами сервера (при клике правой кнопкой мыши на названии соответствующего файла в меню появится дополнительный
раздел).
. Запуск приложений одним кликом. Просмотр/изменение атрибутов файлов. Управление реестром (в Win2000/XP управление с правами
SYSTEM!!!, но только после перезагрузки) (создание, переименование, удаление ключей и параметров).
. Перезагрузка/выключение компа/выход пользователя.
. Обнуление содержимого CMOS.
. Отключение дисковода + Отключение/включение монитора.
Комментарии, как говорится, излишни…

* Описание носит ознакомительный характер. Автор не несет никакой ответственности за использование конкретных приведенных материалов в злонамеренных целях.
Что касается сетевых атак, организованных посредством червей, то тут следует сказать следующее: в основах механизмов распространения червей стоят многочисленные дыры ПО, "новопоявления" которых очень часто сопровождаются созданием нового червя. По логике вещей можно было бы предположить: новая дыра — новый червь, но... Не следует забывать про многочисленные модификации компьютерных червяков, которые как раз таки и являются причиной массовых интернет-эпидемий. Согласно данным Лаборатории Касперского, относительно соотношения различных видов вредоносного ПО можно сказать следующее: в течение всего года в почтовом трафике преобладали исключительно черви (как почтовые, так и сетевые). В основном это были представители "старых" вирусных семейств — такие, как Bagle, NetSky, Sober, Zafi, Mydoom. Однако несомненным лидером были черви Mytob, появившиеся в 2005 году. Следующими по распространенности оказались различные троянские программы, в основном относящиеся к классам Trojan- Downloader, Trojan-Spy, а также многочисленные фишинговые атаки, которые в 2005 году вышли на пик своей активности. Традиционные вирусы и макровирусы практически полностью исчезли из статистики Лаборатории Касперского.

Типы вредоносных программ
37% — сетевые вирусы, 3% — троянцы-шпионы, 60% — почтовые вирусы

В целом можно отметить, что появилось большое количество червей для средств обмена мгновенными сообщениями (MSN Messenger, AOL Messenger, ICQ), возросло количество сетевых и почтовых червей, у которых превалирующими являются функции троянцев (эпоха традиционных почтовых червей близится к закату), а также вредоносных программ для мобильных устройств (Bluetooth, MMS). Об атаках на мобильные устройства вообще разговор отдельный… Не вдаваясь в технические подробности сетевых атак через мобильные устройства посредством Bluetooth, следует отметить, что ключевая роль отводится человеческому фактору: так, например, червь Worm.SymbOS.Cabir и его модификации при заражении не используют никаких уязвимостей системы, а инсталлируются "добровольно". На экране атакованного Symbian-телефона вне зависимости от установленной в нем операционной системы появляется уведомление о входящем файле и запрос на его загрузку. Пользователь, подтверждая запрос, фактически сам заражает свой телефон. После установки в систему червь приступает к активному сканированию окружающего его пространства в поисках новой жертвы. Активно использующиеся методы социальной инженерии стали еще более продвинутыми и изощренными. Ведь не секрет, что самым критичным звеном в обеспечении полноценной информационной безопасности является все тот же человеческий фактор. Излишнее любопытство персонала, а зачастую просто некомпетентность могут свести на нет даже самую навороченную систему защиты.

Продолжение следует

Бойцев О.М., boyscout_zone@yahoo.com


Компьютерная газета. Статья была опубликована в номере 41 за 2006 год в рубрике безопасность

©1997-2024 Компьютерная газета