2020-04-12
240
Существует три типа вредоносных программ.
Вирус – программа, которая внедряется в другую программу. После запуска этой программы выполняются нежелательные действия на компьютере.
Червь – программа, которая автоматически генерирует произвольный код и запускает свои копии в памяти компьютера с последующим распространением на другие компьютеры.
Троянский конь – это приложение, похожее на какую либо полезную программу. После запуска этой программы происходит атака компьютера изнутри.
Вирус – это вредоносный машинный код, который внедряется (заражает) в рабочие программы и исполняемый файлы. Для активизации вируса необходимо запустить зараженную программу. Вирус может находиться в компьютере долгое время в неактивном состоянии. В заданный момент времени он может активироваться и начать вредоносную деятельность.
Когда запускается зараженная программа, то сначала управление получает вирус. Он находит и заражает другие программы, портит или удаляет данные.
Поиск вируса может быть затруднен, если он запускается при определенных условиях или меняет свою конфигурацию после каждого запуска.
Вирусы распространяются через сменные носители (гибкие диски, CD-ROM, карты памяти USB), через общедоступные сетевые ресурсы или по электронной почте.
Черви это опасный тип машинного кода, который копирует себя самостоятельно.
В отличии от вирусов, черви запускают себя сами и автоматически рассылают свои копии по электронной почте, что позволяет им быстро распространяться по сети.
Черви постоянно совершенствуются и направляются на использование слабых мест программных приложений. Цикл распространения червей состоят из трех основных этапов:
Выявление уязвимости - червь устанавливается на компьютере, используя уязвимые места - электронную почту, исполняемые файлы или «троянские кони».
Механизм распространения – после получения доступа к устройству, червь копирует себя и определяет новую цель.
Действие – проникший в компьютер вредоносный код используется для замедления работы, повреждения информации или открытия доступа в обход системы защиты (backdoor).
Червь является само-достаточной программой, поэтому цикл распространения постоянно повторятся, расширяя зараженное пространство сети.
Фазы атаки с помощью червя.
Фаза проверки – выявляются уязвимые места. Выявляется карта сети, определяется операционная система и уязвимое программное обеспечение.
Фаза проникновения – исполняемый код предается в уязвимое место, используя такие механизмы как переполнение буфера, электронную почту, уязвимость шлюза.
Фаза выживания – после атаки и успешного запуска в памяти, код старается «выжить» в системе. Цель – обеспечить запуск кода даже после перезагрузки системы. Это достигается путем изменения системных файлов.
Фаза распространения – атакующий код пытается распространиться на соседние компьютеры. Направление распространения обеспечивается с помощью служб FTP, активных WEB соединений.
Фаза блокировки – повреждение системы. Происходит удаление системных файлов и файлов с данными, кража информации.
Троянский конь - это вредоносная программа, которая запускается под видом необходимой программы. Таким способом могут распространяться вирусы или черви.
Очень часто «Троянские кони» прикрепляются к играм. Когда игра запускается, то в фоновом режиме устанавливается вредоносная программа, которая работает и после завершения игры.
Цели «Троянских коней» разные – повреждение компьютера, предоставление скрытого удаленного доступа к системе, пересылка информации или паролей по заданному адресу.
Классификация Троянских коней по воздействию на систему.
Удаленный доступ – разрешает неавторизованный удаленный доступ.
Посылка данных – предоставляет атакующему важные данные (например пароли).
Разрушительный – повреждают или уничтожают данные.
Прокси – пользовательский компьютер работает как прокси-сервер.
FTP –открывает порт 21.
Включатель программ безопасности – останавливает работу антивирусов и firewalls.
Отказ в обслуживании – замедляет или останавливает работу сети.
Нарушители.
Лицо, пытающееся получить несанкционированный доступ к сети, является нарушителем. Различают два основных вида нарушителей – взломщик (cracker) и хакер (hacker).
Взломщик — это человек, который пытается без разрешения исследовать систему защиты или взламывать ее. Как правило, деятельность взломщика носит вредоносный характер.
Хакер — это человек, который тестирует целостность и надежность системы защиты. После обнаружения брешей в системе защиты, хакер может выложить эту информацию в Internet. Действия хакера обычно не содержат злого умысла.
Все нарушители представляют собой две категории угроз – внутренние и внешние.
Внутренние угрозы.
• Сотрудники с недостойными намерениями – нарушение системы защиты с целью кражи информации.
• Сотрудники, совершающие непреднамеренные нарушения – случайно загрузили вредоносную программу или проникли в закрытую часть сети.
• Сотрудники, использующие сетевую среду неправильно – ненадежные пароли, неправильная настройка сетевого оборудования.
Внешние угрозы.
• Любители острых ощущений - атакуют сети ради «спортивного» интереса.
• Конкуренты – всегда заинтересованы в получении информации, позволяющей вас опередить.
• Похитители – целенаправленно похищают ценную информацию для продажи.
• Шпионы – специализируются на краже новых технологий (промышленный шпионаж).
• Враждебно настроенные, бывшие сотрудники – используют знание внутренней структуры сети в целях мести или получения прибыли.
Типы атак.
Существует много типов сетевых атак. Для эффективного противодействия атакам, необходимо использование соответствующих средств. Использование необходимого средства противодействия возможно в случае определения типа атаки, поэтому атаки необходимо классифицировать.
Можно выделить четыре типа атак.
• Разведка;
• Несанкционированный доступ;
• Блокирование сервиса;
• Подмена данных.
Разведка.
Разведка представляет собой несанкционированное исследование структуры сети, построение ее карты, мониторинг служб и выявление точек уязвимости.
Разведка начинается с определения активных IP- адресов сети. Затем определяются порты и службы доступные через эти адреса.
Разведка использует такие средства как
- перехват пакетов (packet sniffers);
- Информационный Интернет запрос (Internet information queries);
- развертку ping (ping sweeps);
- сканеры портов (port scans).
Для перехвата пакетов используются специальные программы (packet sniffer) которые переводят сетевую карту в «беспорядочный» режим работы для захвата всех пактов, передаваемых в сети. Такой способ разведки может проводиться, если атакующий находится в одном домене коллизий с атакуемыми ресурсами. Информация, полученная с помощью перехвата, может использоваться для подготовки других типов сетевых атак или кражи информации.
Существует два типа средств перехвата.
Средства захвата пакетов.
Устанавливаются в широковещательном домене и требуют наличия сетевой карты, работающей в беспорядочном режиме.
Анализаторы протоколов.
Программное обеспечение, устанавливаемое в соответствующем узле или специализированном тестовом оборудовании.
Информационный Интернет запрос (Internet information queries) может предоставить информацию о том, кто является собственником отдельного домена и какой адрес имеет данный домен или кому принадлежит IP-адрес и с каким доменом он связан.
На основании этой информации можно переходить к проверке адресов домена.
Развертка ping (ping sweep) является основным средством автоматического сканирования действующих IP-адресов сети. Развертка ping сканирует диапазон IP-адресов и строит карту сети. Результаты могут применяться для определения вектора атаки.
При выполнении развертки ping генерируются запросы «ICMP echo requests» (Internet Control Message Protocol —протокол контроля сообщений в сети Internet) на множество узлов. Если адрес используется, то придет сообщение «ICMP echo reply». Для сбора дополнительной информации могут использоваться запросы ICMP Timestamp, ICMP Address Mask, ICMP Information Request.
Сканирование портов.
После определения действующего IP-адреса в сети можно выполнить сканирование портов для определения доступных служб и приложений. Программа сканирования портов проверяет заданный диапазон портов TCP или UDP. При этом, наибольший интерес представляют сетевые службы типа Telnet, FTP, HTTP.
Для скрытия процесса сканирования применяется фрагментация пакетов и установка битов SYN и FIN в заголовках TCP.
