Использование уязвимостей

Одной из желанных целей для создателей вредоносного ПО является возможность запуска кода без каких-либо действий пользователя. Самый распространенный способ достижения этой цели - использование уязвимости приложения или операционной системы для получения прав на выполнение. В последние годы эта тактика применялась многочисленными семействами сетевых червей, заражавших сетевые компьютеры с использованием различных уязвимостей. Этот метод (т.е. применение эксплойтов) особенно характерен для интернет -атак. Использование уязвимостей в клиентских браузерах предоставляет вредоносным программам возможность выполнения кода даже в том случае, если пользователь просто перешел на вредоносную страницу. Такие атаки зачастую называют "drive-by download " (попутная загрузка).

В последние годы вредоносные программы все чаще используют сеть WWW. Можно привести следующие примеры:

·Трояны-загрузчики используют WWW в качестве хранилища файлов, загружая другие вредоносные файлы по HTTP.

·Вредоносные скрипты, размещаемые на атакующих сайтах, активируются пользователями уязвимых браузеров, используя эти уязвимости для заражения компьютера пользователя.

·Зараженные сайты являются удобным механизмом расширения масштабов воздействия вредоносного кода.

·Спам-сообщения и сайты-приманки используются для того, чтобы обманом заставить пользователя запустить вредоносный код.

·Вредоносные программы могут вести перенаправление полезного трафика. Увеличение объемов интернет-трафика сайта путем перенаправления пользователей может использоваться для зарабатывания денег с помощью партнерского маркетинга.

Использование уязвимостей является идеальным механизмом, с помощью которого может запускаться вредоносный код. Тем не менее, социальная инженерия по -прежнему остается надежным инструментом создателей вредоносного ПО и продолжает широко применяться в почтовых атаках. Современное повышение пропускной способности каналов и усовершенствования в клиентских технологиях привели к существенному росту потребности в полнофункциональном браузерном контенте. Все больше веб-страниц содержат встроенный звук, анимацию или видеоконтент. Это упрощает задачу создателей вредоносного ПО, позволяя им повысить эффективность использования социальной инженерии в WWW.

Использование порнографии в качестве приманки можно продемонстрировать на примере семейства троянов для платформы Windows, известного как Zlob. Используемый им механизм установки подразумевает посещение различных веб-сайтов, на которых предлагается порнографический веб- контент. При попытке доступа к определенному контенту (обычно привлекательному порноролику) пользователь сталкивается с сообщением об ошибке. Щелкнув ссылку, чтобы установить отсутствующий видеокодек, пользователь на самом деле загружает подложный установочный пакет с другого сайта, специально созданного для атаки. При запуске пакета устанавливаются вредоносные компоненты Zlob, в результате чего компьютер клиента заражается.

Использование поисковых интернет -систем при выявлении потенциальных целей особенно актуально в случаях, когда атаке подвергается сам веб- ресурс, будь то сайт или отдельное веб- приложение. Данная техника используется в целом ряде экземпляров вредоносного ПО, наиболее известным из которых является Perl/Santy - червь, применяющий поисковую систему Google для выявления новых жертв, использующих определенное форумное интернет - приложение. Если раньше хакеры использовали для поиска уязвимых компьютеров в сети специализированные скрытные средства, то теперь подходящие для атаки мишени можно находить с помощью поисковых систем. Предположим, что в популярном приложении для ведения форума или блога найдена уязвимость. Злоумышленники могут использовать поисковые системы для выявления сайтов, на которых имеются страницы, создаваемые популярным приложением (например, для поддержки форума или блога), имеющим уязвимость, формируя список потенциальных жертв.

Вредоносное ПО может размещаться на самых разных сайтах. Хакеры могут использовать бесплатные службы веб-хостинга, создавать новые сайты, специально предназначенные для атаки, а также захватывать существующие сайты, превращая их в базу для атаки. В большинстве случаев для заражения жертв используются скрипты (обычно на JavaScript). Так же, как обычные скрипты зачастую опрашивают клиентский браузер, чтобы обеспечить корректное отображение страницы, вредоносные скрипты могут запрашивать браузер, чтобы загрузить подходящий эксплойт. В таких атаках обычно используется перебор списка известных эксплойтов, в ходе которого ищется тот эксплойт, от которого клиент не защищен.