Віруси, шпигуни, трояни та діалери: хто, навіщо і як. Пишемо підроблений вірус, який відкриває «нескінченні» вікна. Як шпигунські програми можуть проникнути в комп'ютер

В даний час кожен користувач здійснює подорож просторами мережі. В інтернеті на користувача можуть «нападати» різні загрози. Користувачам слід знати якнайбільше інформації про шпигунів, щоб постаратися захиститися від них.

Такі шкідники виділені в окремий клас загроз. Це програмне забезпечення дає можливість одним користувачам встановити стеження іншими. У такому разі можна буде переглядати за діями користувачів без їхнього відома.

Іноді шпигуни можуть бути утилітами, але найчастіше представлені вірусами. Належать ці шкідники до класу spyware. Відмінність однієї категорії від іншої в тому, що програми-шпигуни починають активувати тільки після встановлення.

Шпигунські софти можуть бути як вузького спектра дії. Тобто вони виділені до екранних і клавіатурних шпигунів. Також представлені комплексні програми. Найчастіше ця категорія шкідників використовується з метою проведення стеження користувачами та їх діями.

Таким чином, начальники можуть відстежувати всі маніпуляції користувачів. Також може бути здійснено батьківський контроль. Загалом, окрема категорія програм є неймовірно корисною у повсякденному житті.

Особливості шпигунів-вірусів та програм

Різноманітність шпигунів-утиліт велике. Користувачі можуть стикатися з різними елементами, які проводять стеження. Але все ж таки варто виділити відмінні рисипрограм та вірусів.

Досить часто антивірусники блокують шпигунські програми, відносячи їх до шкідливих. Однак ці об'єкти до шкідливих не мають жодного відношення. Але при цьому блокування їх провадиться однаково.

У чому саме різниця між реальним шкідником spyware та тими сервісами, які призначені для проведення секретного стеження за персональним комп'ютером? Відмінність даних об'єктів у виконанні роботи та сфері застосування.

Шпигунські віруси самостійно завантажуються на гаджети без дозволу користувачів. Тобто користувач може навіть не в курсі того, що на його апараті «оселилися» шкідники. При цьому вони будуть здійснювати різні крадіжки даних, копіювання файлів та псування документів. Загалом, шкідники поводяться відповідно.

Шпигуни-софти у свою чергу мають бути встановлені безпосередньо користувачем. Ці програми реально є помічниками. Вони потрібні для того, щоб контролювати інших користувачів.

Різні типи шпигунів. Контроль за набором на клавіатурі

Кожен користувач може мати справу з такими шкідниками. Але в деяких випадках користувачі можуть про це навіть не здогадуватися. Найбільш небезпечним видом є кейлоггери. Саме ці шкідники зустрічаються набагато частіше за всіх інших.

Дані об'єкти можуть бути спеціально вбудованими в систему для здійснення стеження або належить до самостійних видів шкідників. У тому принципі дії різниці особливої ​​немає.

Клавіатурні шпигуни розроблені з метою здійснення контролю за тими діями, які виконує користувач у процесі роботи за персональним комп'ютером. Різні кейлоггери різняться переважно саме за принципом дій. У деяких випадках вони можуть лише зрідка активувати.
Причому, розміщені такі елементи найчастіше саме на вінчестері.

У цьому випадку користувач може навіть не знати про те, що його паролі успішно копіюються і передаються стороннім користувачам. Надалі забезпечується доступ до конфіденційної інформації, яка використовується шахраями на власний розсуд.

Навряд чи шпигуни просто «підглядають». Завжди вони копіюють інформацію з подальшого її використання для реалізації власних цілей. Зловмисник може зламати чужий обліковий запис, вносити корективи в налаштування, змінити вказаний пароль та виконати інші маніпуляції, щоб максимально нашкодити власнику облікового запису.

Але оскільки встановлювати шпигуна можуть адміністратори пристроїв, то блокувати дані софти не будуть. Це з тим, що вони вносяться у винятки. Так що вони не сприйматимуться як загрози.

Простий та дуже актуальний шпигун

Користувачі в процесі роботи на ПК могли мати справу з SC-KeyLog. Даний: кейлоггер є безкоштовним. Але він визначається встановленими на апараті захисниками ще в момент виконання завантаження такого об'єкта.

Якщо користувач вирішив встановити це програмне забезпечення, він може відразу ж внести їх у перелік безпечних для пристрою утиліт. У такому разі антивірусник не буде блокувати завантажуваний об'єкт.

Далі потрібно буде вибрати те місце, де файл із сервісом надалі розташовуватиметься. Виконуваний файл модуля, що слідкує, після цього розміститися на вказаному раніше диску. Як тільки установка ПЗ буде завершена, користувачі можуть вже переходити до налаштування даного сервісу.

Необхідно вказати адресу електронки, на якій надсилатимуться дані про перехоплення інформації. Коли всі найважливіші настройки реалізовані, файли даного сервісу будуть моментально внесені до списку довірених програм антивірусу. На цьому етапі всі підготовчі роботи завершено у повному обсязі.

SC-KeyLog під час роботи відображає заголовки всіх вікон, із якими працює користувач. Також утиліта повною мірою контролює всі ті дії, які виконуються на клавіатурі. Але є одна вада: неможливість автоматичного перемикання розкладки. Отже, всі тексти виводяться виключно англійськими літерами.

Шпигуни ширшого спектра дії

Також користувачі можуть мати справу з комплексними шкідниками. Хоча найбільш поширені саме кейлоггери, але при цьому вони гарні виключно в тих випадках, коли цілком достатньо знати, що саме вводиться на клавіатурі і запуск яких утиліт проводиться.

Але в деяких випадках цієї інформації зовсім не вистачає. Тому було створено комплексні софти, які працюють у найбільш складному режимі. Використовуються для ведення всебічного шпигунства. Ці комплексні об'єкти можуть бути заповнені кількома актуальними компонентами.

У тому числі кейлоггеры, перехоплювачі буфера обміну, шпигуни з відстеження виведених екран гаджета даних. Також користувачі можуть використовувати вбудований реєстратор запуску та активності програм та багато іншого.

Яскраві представники безкоштовних комплексних шпигунів

Щоб оцінити принцип роботи такого роду програмних продуктів, потрібно практично перевірити їх працездатність. Для прикладу можна розглянути програму Softex Expert Home. Це безкоштовна російськомовна система. Утиліта ця буде моментально блокувати різні натискання клавіатури.

Також проводиться детальний моніторинг запущених сервісів, а також повний контроль їхньої активності. Перевіряються всі активні дії користувача, робота з власними обліковими записами та багато іншого.

Але як і щодо інших утиліт такого напрямку, при завантаженні цього софту виконується блокування. Встановлені антивірусники моментально реагують на встановлення такого додатка та приймають його як загрозу. Тому блокування – це перше, що роблять захисники.

Тому необхідно буде вимкнути роботу антивіруса. Як тільки установка обраного сервісу буде проведена, знову активуємо роботу захисника. Під час встановлення шпигуна потрібно встановити сполучення клавіш, при натисканні яких буде здійснено виклик інтерфейсу.

Також слід встановити пароль, який відкриватиме доступ до даних, зібраних під час функціонування даного софту. Шпигун після встановлення буде потрібно перенести до списку з позитивними сервісами, дії яких не повинні бути заблоковані.

Softex Expert Home функціонувати може у звичайному, а й у стаціонарному режимі. при цьому на екрані не буде створено ярликів та інших атрибутів програми. При натисканні вибраних клавіш відразу ж завантажуватиметься основне вікно ПЗ.

У вікні, що з'явиться, вказується секретний ключ, а після потрібно буде перейти в розділ з налаштуваннями. Проводимо коригування важливих параметрів. Користувачам цього сервісу для шпигунства за домашнім ПК цілком достатньо.

Ще однією безкоштовною комплексною програмоює Refog Free Keylogger. Простий інтерфейс неодмінно порадує користувачів. Це програмне забезпечення допомагає здійснювати перехоплення листування у встановлених месенджерах, стежить за соціальними мережами.

Загалом, утиліта «уміє» робити величезну кількість різних дій за допомогою стандартного Провідника. Додаток контролює всю операційну систему і всі зміни, що в ній проводяться. У ході роботи утиліта може блокуватися антивірусом, якщо застосовуватимуться необхідні евристичні алгоритми.

Головним недоліком безкоштовної версіївідзначаються деякі обмеження. Пов'язано це з деякими аспектами проведення стеження. В іншому ж збоїв немає.

Також користувачі можуть встановлювати такі шпигуни і на мобільні девайси. У мережі можна знайти кілька актуальних помічників такого плану. Яскравим представником є ​​утиліта KidLogger. Це дуже актуальний мультиплатформний софт для стеження.

Підступні аналізатори трафіку

Завдяки такого роду програм зловмисники підключаються до сесії в мережі. При цьому вони можуть виконувати всі маніпуляції від імені користувача.
Шахраї можуть користуватися всіма паролями, здійснювати вхід на різні облікові записи та інші сайти.

Тому вкрай важливо проводити шифрування трафіку. Найбільше загроза падає на користувачів, які вирішили працювати з громадськими мережами.

NirSoft SmartSniff – це класичний представник сніфферів. Цей сервіс допомагає провести перехоплення даних, які можуть красти шахраї. Також утиліта спрямована на проведення налагодження мережі.

Але оскільки користувачі все частіше віддають перевагу роботі на стаціонарних апаратах, то і для цієї категорії пристроїв передбачені софти. даного типу. Для Android підійде WireShark Shark for Root.

Завдяки цьому сервісу шахраям вдається здійснювати крадіжку даних безпосередньо з мобільного телефону. Достатньо підключити смартфон або планшет до публічної точки доступу.

Боротьба зі шкідниками. Заходи протидії

Кожен користувач неодмінно має боротися зі шпигунами. Якщо знати принцип їх дії, можна буде підібрати найбільш актуальні способи усунення цього типу шкідників. Звичайно ж, користувачі можуть самостійно стежити за діями на апаратах, але це може здійснювати з добрими намірами.

Якщо ж шахраї намагаються проникнути в пристрій для отримання даних, які є конфіденційними, щоб надалі використовувати їх. Протидіяти шпигунам складно, але це завдання, що цілком реалізується.

Перше, що необхідно виконати, це провести оновлення баз антивірусних програм. Також потрібно буде перевірити всі об'єкти, які знаходяться у білому списку захисника. При цьому важливо переконатися, що підозрілих об'єктів у ньому немає.

Користувачам обов'язково працювати не з простими антивірусами. Найкращими в цій категорії є AdwCleaner та AVZ. Дані програмні продукти відносяться до найбільш часто використовуваних для виконання блокування від загроз різних типів.

Також може допомогти утиліта AnVir Task Manager. Особливість функціонування програми у цьому, що він спрямовано визначення імен та адрес всіх запущених процесів. При цьому з точністю визначається ступінь шкоди, яку може бути завдано системі. Ці утиліти надійні в тому, щоб швидко знешкоджувати навіть сніфери.

2 червня 2016 о 12:29

Пишемо своє шкідливе ПЗ. Частина 1: Вчимося писати повністю «не виявлений» кейлогер

  • Переклад

Хакерський світ можна умовно розділити на три групи атакуючих:


1) «Skids» (script kiddies) – малюки, початківці хакери, які збирають відомі шматки коду та утиліти та використовуючи їх створюють якесь просте шкідливе ПЗ.


2) «Byuers» – не чисті на руку підприємці, тінейджери та інші любителі гострих відчуттів. Купують послуги з написання такого програмного забезпечення в інтернеті, збирають за її допомогою різну приватну інформацію, і, можливо, перепродують її.


3) «Black Hat Сoders» - гуру програмування та знавці архітектур. Пишуть код у блокноті та розробляють нові експлоїти з нуля.


Чи може хтось із гарними навичками у програмуванні стати останнім? Не думаю, що ви почнете створювати щось на кшталт regin (посилання) після відвідування кількох сесій DEFCON. З іншого боку, я вважаю, що співробітник ІБ має освоїти деякі концепти, на яких будується шкідливе програмне забезпечення.


Навіщо ІБ-персоналу ці сумнівні навички?


Знай свого ворога. Як ми вже обговорювали у блозі Inside Out, потрібно думати як порушник, щоб зупинити його. Я – фахівець з інформаційної безпеки у Varonis та з мого досвіду – ви будете сильнішими у цьому ремеслі якщо розумітимете, які ходи робитиме порушник. Тому я вирішив розпочати серію постів про деталі, які лежать в основі шкідливого ПЗ та різних сімействах хакерських утиліт. Після того, як ви зрозумієте, наскільки просто створити не детектоване ПЗ, ви, можливо, захочете переглянути політики безпеки на вашому підприємстві. Тепер докладніше.


Для цього неформального класу «hacking 101» вам потрібні невеликі знання в програмуванні (С# і java) та базове розуміння архітектури Windows. Майте на увазі, що насправді шкідливе ПЗ пишеться на C/C++/Delphi, щоб не залежати від фреймфорків.


Кейлогер


Кейлогер – це програмне забезпечення або якесь фізичний пристрій, яке може перехоплювати та запам'ятовувати натискання клавіш на скомпрометованій машині. Це можна подати як цифрову пастку для кожного натискання на клавіші клавіатури.
Найчастіше цю функцію впроваджують в інше, більш складне програмне забезпечення, наприклад, троянів (Remote Access Trojans RATS), які забезпечують доставку перехоплених даних назад, до атакуючого. Також існують апаратні кейлогери, але менш поширені, т.к. потребують безпосереднього фізичного доступу до машини.


Проте створити базові функції кейлогера досить легко запрограмувати. ПОПЕРЕДЖЕННЯ. Якщо ви хочете спробувати щось з нижче, переконайтеся, що у вас є дозволи, і ви не несете шкоди існуючому середовищу, а найкраще робити це все на ізольованій ВМ. Далі, цей код не буде оптимізований, я лише покажу вам рядки коду, які можуть виконати поставлене завдання, це не найелегантніший або оптимальний шлях. Ну і нарешті, я не розповідатиму як зробити кейлогер стійким до перезавантажень або намагатися зробити його абсолютно не виявленим завдяки особливим технікам програмування, так само як і про захист від видалення, навіть якщо його виявили.



Для підключення до клавіатури вам потрібно використовувати 2 рядки на C#:


1. 2. 3. public static extern int GetAsyncKeyState(Int32 i);

Ви можете вивчити більше про функцію GetAsyncKeyState на MSDN:


Для розуміння: ця функція визначає натискання клавіш або віджата в момент дзвінка і чи була натиснута після попереднього дзвінка. Тепер постійно викликаємо цю функцію, щоб отримувати дані з клавіатури:


1. while (true) 2. (3. Thread.Sleep(100); 4. for (Int32 i = 0; i< 255; i++) 5. { 6. int state = GetAsyncKeyState(i); 7. if (state == 1 || state == -32767) 8. { 9. Console.WriteLine((Keys)i); 10. 11. } 12. } 13. }

Що тут відбувається? Цей цикл опитуватиме кожні 100 мс кожну клавішу для визначення її стану. Якщо один з них натиснутий (або натиснутий), повідомлення про це буде виведено на консоль. У реального життяці дані буферизуються та відправляються зловмиснику.


Розумний кейлогер

Чекайте, а чи є сенс намагатися знімати всю поспіль інформацію з усіх програм?
Код вище тягне сире введення з клавіатури з будь-якого вікна та поля введення, на якому зараз фокус. Якщо ваша мета – номери кредитних карток та паролі, то такий підхід не дуже ефективний. Для сценаріїв з реального світу, коли такі кейлогери виконуються на сотнях або тисячах машин, наступний парсинг даних може стати дуже довгим і втратити сенс, т.к. цінна для зломщика інформація може на той час застаріти.


Давайте припустимо, що я хочу отримати облікові дані Facebook або Gmail для подальшого продажу лайків. Тоді нова ідея– активувати кейлоггінг тільки тоді, коли активне вікно браузера та у заголовку сторінки є слово Gmail або facebook. Використовуючи такий метод, я збільшую шанси отримання облікових даних.


Друга версія коду:


1. while (true) 2. ( 3. IntPtr handle = GetForegroundWindow(); 4. if (GetWindowText(handle, buff, chars) > 0) 5. ( 6. string line = buff.ToString(); 7. if 8. ( 9. //Перевірка клавіатури 10. ) 11. ) 12. Thread.Sleep(100); 13. )

Цей фрагмент виявлятиме активне вікно кожні 100мс. Робиться це за допомогою функції GetForegroundWindow (більше інформації на MSDN). Заголовок сторінки зберігається в змінній buff, якщо вона містить gmail або facebook, то викликається фрагмент сканування клавіатури.


Цим ми забезпечили сканування клавіатури лише коли відкрито вікно браузера на сайтах facebook та gmail.


Ще розумніший кейлогер


Давайте припустимо, що зловмисник зміг отримати дані кодом на кшталт нашого. Також припустимо, що він досить амбітний і зміг заразити десятки або сотні тисяч машин. Результат: величезний файл із гігабайтами тексту, в яких потрібну інформацію ще потрібно знайти. Саме час познайомитися з регулярними виразами чи regex. Це щось на зразок міні мови для складання деяких шаблонів і сканування тексту на відповідність заданим шаблонам. Ви можете дізнатися більше тут.


Для спрощення, я відразу наведу готові вирази, які відповідають іменам логіну та паролям:


1. //Шукаємо поштову адресу 2. ^[\w!#$%&"*+\-/=?\^_`(|)~]+(\.[\w!#$%&"*+ \-/=?\^_`(|)~]+)*@((([[-w]+\.)+(2,4))|((((1,3)\.)( 3)(1,3)))$ 3. 4. 5. //Шукаємо пароль 6. (?=^.(6,)$)(?=.*\d)(?=.*)

Ці висловлювання тут як підказка з того, що можна зробити використовуючи їх. За допомогою регулярних виразів можна шукати (т знайти!) будь-які конструкції, які мають певний та незмінний формат, наприклад, номери паспортів, кредитних карток, облікові записиі навіть паролі.
Справді, Регулярні виразине найчитальніший вид коду, але вони одні з найкращих друзів програміста, якщо є завдання парсингу тексту. У мовами Java, C#, JavaScript та інших популярних вже є готові функції, які ви можете передати звичайні регулярні висловлювання.


Для C# це виглядає так:


1. Regex re = new Regex(@"^[\w!#$%&"*+\-/=?\^_`(|)~]+(\.[\w!#$%&"* +\-/=?\^_`(|)~]+)*@((([[-w]+\.)+(2,4))|((((1,3)\.) (3) (1,3))) $ "); 2. Regex re2 = new Regex(@"(?=^.(6,)$)(?=.*\d)(?=.*)"); 3. string email = " [email protected] 4. string pass = "abcde3FG"; 5. Match result = re.Match(email); 6. Match result2 = re2.Match(pass);

Де перший вираз (re) буде відповідати будь-якій електронній пошті, а друге (re2) будь-якої цифри буквеної конструкції більше 6 символів.


Безкоштовно та повністю не виявимо


У своєму прикладі я використав Visual Studio – ви можете використати своє улюблене оточення – для створення такого кейлогера за 30 хвилин.
Якби я був реальним зловмисником, то я цілився б на якусь реальну мету (банківські сайти, соцмережі, тп) і видозмінив код для відповідності цим цілям. Звичайно, також, я запустив би фішингову кампанію з електронними листамиз нашою програмою, під виглядом звичайного рахунку чи іншого вкладення.


Залишилося одне питання: чи справді таке ПЗ буде не виявленим для захисних програм?


Я скомпілював мій код і перевірив exe файлна сайті Virustotal. Це веб-інструмент, який обчислює хеш файл, який ви завантажили і шукає його в базі даних відомих вірусів. Сюрприз! Звичайно нічого не знайшлося.



У цьому головна фішка! Ви завжди можете змінювати код і розвиватися, будучи завжди на кілька кроків раніше від сканерів загроз. Якщо ви можете написати свій власний код він майже гарантовано буде не виявимо. На цій

  • інформаційна безпека
    • Додати теги

    Віруси, шпигуни, трояни та діалери: хто, навіщо і як

    Я думаю, що якщо сьогодні у будь-якого школяра запитати, що таке лавсан, він не розповідатиме вам про «синтетичне волокно, одержуване за допомогою поліконденсації етиленгліколю і двоосновної кислоти ароматичного ряду». Ні, його відповідь буде на кшталт цього: «Lovesan, він же msblast - проникає в операційну систему сімейства Microsoft Windows, використовуючи вразливість у службі DCOM RPC Microsoft Windows». Я боюся припустити, які асоціації будуть через деякий час зі словом doom. Явно не лише з однойменною грою.

    Як ви могли зрозуміти з назви та вступу, розмова зараз піде про віруси і що з ними. Перш ніж перейти до відповідей на запитання, поставлені в назві глави, мені хотілося б пройтися безпосередньо по наших сьогоднішніх «гостях». Тут же буде дано відповідь на питання, як усе це потрапляє до наших комп'ютерів.

    Суть програми, які мають якісь деструктивні наслідки. Причому неважливо, у чому вони полягають: тут може бути все – від банальної заміни дозволів файлу та псування його внутрішнього змісту до порушення роботи Інтернету та краху операційної системи. Також під вірусом мають на увазі програму, яка не тільки несе деструктивні функції, але і здатну розмножуватися. Ось що сказано з цього приводу в одній розумній книзі: «Обов'язковою (необхідною) властивістю комп'ютерного вірусує можливість створювати свої дублікати (не обов'язково збігаються з оригіналом) та впроваджувати їх у обчислювальні мережіта/або файли, системні області комп'ютера та інші об'єкти, що виконуються. При цьому дублікати зберігають здатність до подальшого поширення» (Євген Касперський, «Комп'ютерні віруси»). Дійсно, для того, щоб вижити, вірусам необхідно розмножуватися, і це доведено такою наукою, як біологія. До речі, саме від тих самих біологічних вірусів і походить назва комп'ютерних. І самі вони цілком виправдали свою назву: всі віруси прості і, незважаючи на старання антивірусних компаній, витрати яких обчислюються величезними сумами, живуть і процвітають. За прикладами далеко не треба ходити: візьмемо хоча б такий вірус, як I-Worm.Mydoom.b. Скільки разів казали, що не можна відкривати вкладені файли та повідомлення електронної пошти від невідомих осіб, та й до послань від відомих слід ставитися з побоюванням, особливо якщо ви про це не домовлялися. До того ж, якщо текст листа міститиме приблизно таке: «Заціни класну фотку моєї дівчини», то тут його відразу ж необхідно видалити. Але якщо у наведеному вище прикладі текст ще має сенс, зміст листів, заражених mydoom'oM, досить дивний. Судіть самі: «Список не може бути представлений в 7-bit ASCII запису і має бути як binary attachment sendmail daemon reported: Error #804 спричинена під час SMTP session. Partial message has been received. Message contains Unicode characters і буде been sent as a binary attachment. Message contains MIME-кодовані графіки і буде been sent as binary attachment. Mail transaction failed. Partial message is available».

    Усередині листа міститься файл, що має 9 варіантів назви вкладеного файлу та 5 варіантів розширення. До мене на шухляду приходило дві варіації. Перша – zip-apхів з нібито doc-файлом, а друга – це простий ехешник з іконкою, заміненою на іконку блокнота. Якщо у другому випадку будь-який користувач може помітити каверзу, подивившись на дозвіл, то в першому зробити це вже складніше. Саме до першої нагоди я схильний відносити найбільше заражень. Що робить цей вірус, я розповідати не буду, тому що про це вже багато разів сказано у друкованих виданнях та інтернет-ресурсах. На прикладі Муdoom ми познайомилися з першим способом розповсюдження вірусів через електронну пошту.

    Наступний спосіб розглянемо з прикладу Worm.Win32.Lovesan (відомого також як msblast). Чим же примітний цей вірус, і чому зараження їм набуло масового характеру? Примітний цей індивід тим, що в принципі не впливає на працездатність системи в цілому. Заражений ним комп'ютер просто не може нормально працювати в Інтернеті. Через деякий час вискакує табличка з повідомленням про помилку RPC, після чого комп'ютер перезавантажується.

    Ще один спосіб – через Інтернет, коли ви завантажуєте файли (у бажаному чи небажаному варіанті). Знову ж таки, поясню на прикладах. Приклад бажаного. Ви завантажуєте з Мережі якийсь новий прикол, або програму, або гру, а вона заражена вірусом. Після завантаження програма/гра/прикол запускається, і – вуаля – ви є власником вірусу. Що тут можна сказати? Будьте уважні, регулярно оновлюйте бази даних свого антивіруса, перевіряйте всі програми антивірусом і не забувайте хоча б основи комп'ютерної безпеки. Хтось може сказати: «А навіщо мені, наприклад, перевіряти програми, які не могли бути заражені вірусом?». Хочеться запитати: Це що ж за програми такі? Будь-які програми можуть бути заражені, особливо якщо вони завантажуються з варезників або сайтів хакерських груп.

    Тепер перейдемо до небажаного завантаження. Я виділив би два види такого завантаження. Перший – коли користувач і не підозрює, що на його комп'ютер щось завантажується. Виконується це завантаження за допомогою виконання скриптів. Другий вид небажаного завантаження – коли завантажується не те, що треба. Наведу приклад. Свого часу один сайт з креками безпосередньо перед закачуванням файлу пропонував встановити то Free XXX bar, то 100% крек Інтернету. Якщо користувач погодився з цим (а я впевнений, що такі були, бо ще пам'ятаю питання місяця у «Віртуальних Радостях» про «стовідсотковий крек інету»), то відбувалося закачування трояна чи вірусу. Різниця, в принципі, невелика. Однак це ще не найцікавіше: у разі відхилення такої привабливої ​​пропозиції вискакувала табличка з написом приблизно наступного змісту: «Site error» і кнопочкою ОК або Continue, після натискання на яку закачування трояна все ж таки відбувалося, правда, вже без відома користувача. І врятувати від цього міг лише файрволл (Firewall).

    Троян - це програма, яка надає стороннім доступ до комп'ютера для здійснення будь-яких дій на місці призначення без попередження самого власника комп'ютера або надсилає за певною адресою зібрану інформацію. При цьому вона, як правило, видає себе за щось мирне і надзвичайно корисне.

    Частина троянських програм обмежується тим, що надсилає ваші паролі поштою своєму творцю або людині, яка налаштувала цю програму ( e-mail (trojan). Однак для користувачів Internet найбільш небезпечні програми, що дозволяють отримати віддалений доступдо їхньої машини з боку ( BackDoor ). Найчастіше трояни потрапляють на комп'ютер разом із корисними програмами чи популярними утилітами, маскуючись під них.

    Особливістю цих програм, що змушує класифікувати їх як шкідливі, є відсутність попередження про їх інсталяцію та запуск. При запуску троян встановлює себе в систему і потім слідкує за нею, при цьому користувачу не видається жодних повідомлень про його дії. Більше того, посилання на троянця може бути відсутнім у списку активних програм або зливатися з ними. В результаті користувач комп'ютера може і не знати про його присутність у системі, тоді як комп'ютер відкритий для віддаленого керування.

    Досить часто під поняттям "троян" мається на увазі вірус. Насправді, це далеко не так. На відміну від вірусів, трояни спрямовані на отримання конфіденційної інформації та доступ до певних ресурсів комп'ютера.

    Можливі різні шляхи проникнення трояна у вашу систему. Найчастіше це відбувається при запуску будь-якої корисної програми, в яку впроваджено сервер трояна. У момент першого запуску сервер копіює себе в якусь директорію, прописує себе на запуск системному реєстрі, і навіть якщо програма-носій ніколи більше не запуститься, ваша система вже заражена трояном. Заразити машину ви можете самі, запустивши заражену програму. Зазвичай це відбувається, якщо програми завантажуються не з офіційних серверів, а з особистих сторінок. Впровадити трояна можуть сторонні люди за наявності доступу до вашої машини, просто запустивши його з дискети.

    На даний момент найбільшого поширення набули трояни наступних типів:

    1. Утиліти прихованого (віддаленого) адміністрування(BackDoor – з англ. «задні двері»), Троянські коні цього класу за своєю суттю є досить потужними утилітами віддаленого адмініструваннякомп'ютерів у мережі. За своєю функціональністю вони багато в чому нагадують різні системиадміністрування, що розробляються відомими фірмами – виробниками програмних продуктів. Сучасні утиліти прихованого адміністрування (BackDoor) досить прості у використанні. Вони зазвичай складаються головним чином із двох основних частин: сервера (виконавець) та клієнта (керівний орган сервера). Сервер - це виконуваний файл, який певним чином впроваджується у вашу машину, завантажується на згадку одночасно з запуском Windowsта виконує одержувані від віддаленого клієнта команди. Сервер відправляється жертві, і надалі вся робота ведеться через клієнта на комп'ютері хакера, тобто через клієнта надсилаються команди, а сервер їх виконує. Зовні його присутність не виявляється. Після запуску серверної частини трояна на комп'ютері користувача резервується певний порт, який відповідає за зв'язок з Інтернетом.

    Після цих дій зловмисник запускає клієнтську частину програми, підключається до цього комп'ютера через відкритий в онлайн порт і може виконувати на вашій машині практично будь-які дії (це обмежується лише можливостями програми, що використовується). Після підключення до сервера керувати віддаленим комп'ютеромможна практично як своїм: перезавантажувати, вимикати, відкривати CD-ROM, видаляти, записувати, змінювати файли, виводити повідомлення і т.д.

    На деяких троянах можна змінювати відкритий порту процесі роботи і навіть встановлювати пароль доступу для "хазяїна" даного трояна. Існують також трояни, які дозволяють використовувати «затроєну» машину як проксі-сервер (протоколи HTTP або Socks) для приховування реальної IP-адреси хакера.

    2. Поштові(E-mail trojan).

    Трояни, що дозволяють «витягувати» паролі та іншу інформацію з файлів вашого комп'ютера та надсилати їх електронною поштою господарю. Це можуть бути логіни та Internet-паролі провайдера, пароль від поштової скриньки, паролі ICQ, і IRC та ін. Щоб надіслати листа власнику поштою, троян зв'язується з поштовим серверомсайту з протоколу SMTP (наприклад, на smtp.mail.ru). Після збору необхідних даних троян перевірить, чи надсилалися ці дані. Якщо ні – дані надсилаються та зберігаються у регістрі. Якщо вже надсилалися, то з регістру витягується попередній лист і відбувається його порівняння з поточним. Якщо в інформації відбулися зміни (з'явилися нові дані), то лист надсилається, і в регістрі записуються свіжі дані про паролі. Одним словом, цей вид троянів просто займається збиранням інформації, і жертва може навіть не здогадуватися, що її паролі вже комусь відомі.

    3. Клавіатурні(Keyloggers).

    Ці трояни записують все, що було набрано на клавіатурі (включно з паролями) у файл, який згодом відправляється на певний e-mail або переглядається через FTP (File Transfer Protocol). Keylogger'bi зазвичай займають мало місця і можуть маскуватися під інші корисні програми, Через що їх буває важко виявити. Ще однією причиною проблеми виявлення такого трояна є те, що його файли називаються як системні. Деякі трояни цього типу можуть виділяти та розшифровувати паролі, знайдені у спеціальних полях для введення паролів.

    Такі програми вимагають ручного налаштуваннята маскування. Keylogger'bi можна використовувати не лише з хуліганською метою. Наприклад, їх дуже зручно поставити на своєму робочому місці або вдома на час від'їзду.

    4. Програми-жарти(Joke programs).

    Ці програми нешкідливі за своєю суттю. Вони не завдають комп'ютеру будь-якої прямої шкоди, проте виводять повідомлення про те, що така шкода вже заподіяна, може бути заподіяна за будь-яких умов, або попереджають користувача про неіснуючу небезпеку. Програми-жарти залякують користувача повідомленнями про форматування жорсткогодиска, визначають віруси в незаражених файлах, виводять дивні вірусоподібні повідомлення тощо – це залежить від почуття гумору творця такої програми. Звичайно ж, тут немає жодних причин для хвилювання, якщо за цим комп'ютером не працюють інші недосвідчені користувачі, яких подібні повідомлення можуть налякати.

    5. До «троянським коням» також можна віднести заражені файли, код яких певним чином підправлений чи змінений криптографическим методом. Наприклад, файл шифрується спеціальною програмоюта/або упаковується невідомим архіватором. У результаті навіть останні версіїантивірусів не можуть визначити наявність у файлі трояна, оскільки носій коду відсутній у їхній антивірусній базі.

    Способи їхнього проникнення не відрізняються від вищеописаних. Тому одразу ж перейдемо до розгляду. Тут слід зазначити, що існують цілком мирні діалери, звані у народі «дзвонилками». Ці програми використовуються з метою допомогти користувачам dial-up'a додзвонитися до провайдера та по можливості підтримувати з ним стабільний зв'язок навіть на старих чи модернізованих лініях. Ті ж, про які йтиметься наша розмова, мають іншу назву – бойові діалери. Використовуючи проломи в операційній системі, а іноді і по недбалості або наївності користувачів (див. вище про «100% крек Інтернету»), дані програми підміняють телефон провайдера телефоном оператора зв'язку з якоїсь екзотичної країни. Причому, як правило, у вікні набору номера залишається старий добрий телефон провайдера. Ще діалери прописують у планувальнику завдання зателефонувати до заданий час. І добре, якщо користувач має звичку вимикати модем або він у нього зовнішній і репетує так, що мама не горюй. А якщо модем тихенький та вбудований? Ось і я про те. І дізнається бідолаха про своє горе лише після приходу ба-а-алиного такого рахунку за телефон.

    Настав час розповісти про те, хто ж пише і запускає всю цю гидоту в Мережу. Тут я спробую класифікувати ті групи людей, які займаються цією непристойною справою. Тут не буде сказано про так звані «білі» хакери. Поясню чому. Цей різновид не становить небезпеки для суспільства і швидше несе йому користь. Саме вони найчастіше пишуть віруси-антивіруси для знешкодження особливо шкідливих особин. Чому віруси? Ці програми поширюються за тим самим механізмом, як і віруси. Чому анти-? Тому що блокують чи видаляють певний вид вірусу з комп'ютера. Головною їхньою відмінністю від вірусів є також самоліквідація після виконання свого завдання та відсутність будь-яких деструктивних функцій. Прикладом може бути подібний вірус, який з'явився в Мережі через деякий час після рецидиву Lovesan'a. Після завантаження вірусу-антивіруса Lovesan видалявся, а користувачеві пропонувалося завантажити оновлення для Windows. «Білі» хакери також знаходять проломи в програмне забезпеченняі комп'ютерних системах, після чого повідомляють про знайдені помилки компаніям. Тепер перейдемо безпосередньо до нашої класифікації.

    Тип перший: діти скриптів. Звати себе не інакше як HaCkeR-rr, читають журнал «Хакер», не знають жодної мови програмування, а всіх «своїх» троянів та вірусів творять за допомогою завантаження готових програм із Мережі. (Щоб уникнути наїздів, зазначу, що журнал «Хакер», в принципі, непоганий, і матеріал у ньому подається у досить простій формі – місцями, правда. Але у простій формі для людей, які вже мають якийсь багаж знань. І матеріал вони дають з розумом - не розповідають все до кінця - щоб не залучили їх нікуди, треба думати.) Ці «хакери» зазвичай, після того як надішлють комусь скачаний звідки троян, і останній спрацює, тут же починають кричати на форумах про своїй крутості і т. д. і т. п. За що тут же цілком справедливо отримують на свою адресу купу неприємних висловлювань, бо це не справа. Якщо вже напакостив, то краще помовч. Особливої ​​небезпеки дані індивіди не становлять, тому що на більш-менш масштабну справу у них просто не вистачить ні досвіду, ні (у деяких випадках) мозку.

    Тип другий: «початківець». Цей вид є прямим нащадком першого. Деякі з представників першого типу, через якийсь проміжок часу, починають розуміти, що вони не такі круті, як їм здавалося, що, виявляється, існують ще й мови програмування, що можна щось зробити і після цього не кричати на весь світ про те, «який я молодець». Хтось із них у майбутньому, можливо, перетвориться на представника класу профі. Ці люди починають вивчати якусь мову, пробувати щось писати, в них починає прокидатися творча думка. І водночас вони починають представляти певну небезпеку суспільству, бо хто знає, яке жахливий твір з недосвідченості може написати такий представник класу вірусописачів. Адже коли код пише професіонал, він таки усвідомлює, що деякі речі робити не потрібно, тому що вони можуть зіграти проти нього. У новачка таких знань немає, і цим він небезпечний.

    Тип третій: "профі". Розвиваються із другого виду. «Профі» відрізняються глибоким знанням мов програмування, мережевої безпеки, розбираються в глибинах операційних систем і, що найважливіше, мають дуже серйозні знання та розуміння механізму роботи мереж і комп'ютерних систем. Причому «профі» не лише дізнаються про бреші в системах безпеки з бюлетенів компаній, а й самі знаходять їх. Часто вони об'єднуються в групи хакерів для поліпшення якості своєї «роботи». Ці люди, в основному, потайливі і не жадібні до слави, при проведенні якоїсь успішної операції не біжать повідомляти про це всьому світу, а вважають за краще мирно відсвяткувати успіх у колі друзів. Безумовно, становлять велику небезпеку, але, оскільки всі вони знають, то не підуть на дії, які можуть викликати глобальний обвал будь-якої системи – наприклад, Інтернету. Хоча бувають і винятки (не все ще забули про Slammer'a).

    Тип четвертий: "промислові хакери". Найнебезпечніші для суспільства представники сімейства хакерів. Їх можна назвати справжніми злочинцями. Саме на їх совісті лежить написання більшої частини діалерів та зламування мереж банків, великих компаній та урядових установ. Навіщо і навіщо вони це роблять, ми поговоримо нижче. «Промисловці» не зважають ні на що і ні на кого, ці індивіди здатні піти на все заради досягнення своїх цілей.

    Тепер узагальним написане.

    «Діти скриптів»: молодо, зелено та недосвідчено. Хочеться показати, що ти крутіший за всіх, а крутіший за тебе - тільки Крутий Сем.

    «Початківець»: з'явився потяг до написання чогось самостійного. Частина з них, на щастя, після спроби освоєння премудростей інтернет-протоколів та мов програмування кидають цю справу та йдуть займатися чимось мирнішим.

    "Профі": якщо раптом настає стан "усвідомив свою провину, міру, ступінь, глибину", то представник цього виду стає висококваліфікованим фахівцем з комп'ютерної безпеки. Хотілося б, щоб більше профі перейшло до такого стану.

    "Промисловці": нічого святого. Про таких добре говорить народна мудрість: "Горбатого могила виправить".

    Таким є грубий поділ на типи представників класу комп'ютерних зловмисників. Тепер перейдемо до питання: навіщо вони це роблять?

    А справді, навіщо пишуться віруси, трояни, діалери та інша погань? Однією з причин є бажання самоствердження. Воно характерне для представників першого та другого типу. Одному просто треба показати своїм друзям, що він «типу того, реальний, крутий пацан», другому – насамперед для підвищення рівня самооцінки. Друга причина – здобуття досвіду. Характерна для початківців. Після написання свого першого шедевра, природно, хочеться його на комусь випробувати, – не на собі ж, насправді. Ось і з'являється в Мережі кілька нових, не завжди дуже небезпечних, вірусів.

    Наступна причина – дух суперництва. Ви ніколи не чули про змагання хакерів? Останнє, відоме мені відбулося влітку. Переміг бразильський хакерський гурт (виявляється, не тільки футбол у них сильний). Завдання стояло таке: хто зламає найбільше сайтів. Але я впевнений, що є змагання і з самого навороченого вірусу, і з найкращого клавіатурного шпигуна.

    Адреналін – ще одна причина. Уявіть собі: ніч, світло монітора, пальці бігають клавіатурою, вчора було знайдено пролом у системі захисту, сьогодні потрібно спробувати отримати доступ до системи та показати товаришу адміністратору, хто в хаті господар. Слідом за цією причиною йде й наступна романтика. А що, кому подобається на захід сонця дивитися, кому на зірки, а кому – віруси писати. Скільки людей, стільки та смаків.

    Причина така – політичний чи соціальний протест. З цієї причини зламується більшість урядових сайтів, сайтів політичних партій, друкованих та інтернет-видань, а також великих корпорацій. За прикладами далеко не треба ходити. Відразу ж після початку війни в Іраку були зроблені атаки на американські урядові сайти з боку невдоволених політикою Буша, а також на сайт арабської газети «Аль-Джазіра» та низку інших арабських ресурсів із протилежного боку.

    І, мабуть, остання причина – це всюдисущі гроші. Заради них переважно працюють, якщо можна так висловитися, промислові хакери. Зламуючи мережі банків, вони отримують доступ до рахунків клієнтів. Що за цим буде, здогадатися неважко. Збираючи інформацію про будь-якого користувача Мережі за допомогою програм-шпигунів, вони займаються банальним шантажем. Дії, на які йдуть «промисловці», можна перераховувати ще дуже довго, хочу лише ще раз сказати, що саме вони є повноцінними комп'ютерними злочинцями, і ставитися до них потрібно як до злочинців.

    З книги Журнал `Комп'ютерра` №726 автора Журнал «Комп'ютерра»

    З книги Журнал «Комп'ютерра» №25-26 від 12 липня 2005 року автора Журнал «Комп'ютерра»

    Шпигуни, навчайте матчасть! Схоже, у світі починаються серйозні зміни. У всякому разі, нічого подібного ще не було. Італійський суд видав ордер на арешт тринадцяти співробітників ЦРУ США за звинуваченням у викраденні людини. І нехай людина ця, імам міланської мечеті

    З книги Журнал «Комп'ютерра» № 35 від 25 вересня 2007 року автора Журнал «Комп'ютерра»

    АНАЛІЗИ: Шпигуни в країні Wikipedia Автор: Ківі БердВражаючий рубіж у два мільйони статей, досягнутий англомовним сегментом Вікіпедії у вересні нинішнього року, - величезний і безперечний успіх світової інтернет-спільноти, яка об'єднаними зусиллями зуміла створити

    З книги Збої та помилки ПК. Лікуємо комп'ютер самі. Почали! автора Ташков Петро

    Розділ 4 Віруси, трояни та програми-шпигуни Напевно, не буде помилкою сказати, що разом із комп'ютером з'явилися і програми, які намагаються йому нашкодити. Різні віруси, троянські коні, програми-шпигуни, «хробаки» та інші неприємні програмні шкідники постійно тримають

    З книги Збої та помилки ПК. Лікуємо комп'ютер самі автора Донцов Дмитро

    Колись давно, з появою перших вірусів, головною небезпекою було зараження комп'ютера та офісних документів. У принципі, великої проблеми у цьому не було, оскільки антивірусна програмавміла справлятися з

    З книги Цифровий журнал "Комп'ютерра" № 97 автора Журнал «Комп'ютерра»

    З книги Інтернет – легко та просто! автора Олександров Єгор

    Ківіне гніздо: Шпигуни в законі Ківі Берд Опубліковано 29 листопада 2011 У «арабської весни», хвилею народних повстань, що прокотилася цього року близькосхідним регіоном, є один примітний побічний результат. Суть його в тому, що у

    З книги Комп'ютерра PDA N147 (26.11.2011-02.12.2011) автора Журнал «Комп'ютерра»

    Віруси Вірус – це шкода комп'ютерна програма, здатна розмножуватися, створюючи свої копії, які також зберігають здатність до розмноження (рис. 10.1). В останні роки у зв'язку з бурхливим розвитком мережевих технологійвизначення слова "вірус"

    З книги Шахрайство в Інтернеті. Методи віддаленого виманювання грошей і як не стати жертвою зловмисників автора Гладкий Олексій Анатолійович

    Ківіне гніздо: Шпигуни в законі Автор: Ківі БердОпубліковано 29 листопада 2011 У "арабської весни", хвилею народних повстань прокотилася цього року близькосхідним регіоном, є один примітний побічний результат. Суть його в тому, що у західноєвропейської та

    З книги Безкоштовні розмови через Інтернет автора Фрузоров Сергій

    Чим небезпечні клавіатурні шпигуни? Клавіатурний шпигун - це програма або пристрій, за допомогою якого здійснюється постійне спостереження за всіма натисканнями клавіш на клавіатурі (а в багатьох випадках - і за всіма клацаннями миші) з метою отримання інформації про всіх

    З книги Створюємо вірус та антивірус автора Гульєв Ігор А.

    Віруси та черв'яки Вірус - це звичайна програма, яка виконує шкідливі, а іноді і просто руйнівні дії. Ви запитаєте, що може зробити вірус? Так, практично все, що можна зробити у вашій операційній системі. Давайте розглянемо це трохи докладніше на

    З книги Введення в криптографію автора Циммерманн Філіпп

    Клавіатурні шпигуни Клавіатурні шпигуни - це програми, що запам'ятовують, які клавіші були натиснуті у вашу відсутність, тобто - що діялося на вашому комп'ютері, поки вас не було в офісі. Для цього все, що набирається на клавіатурі, заноситься спеціальною програмою

    З книги Цифровий журнал "Комп'ютерра" № 191 автора Журнал «Комп'ютерра»

    Віруси та трояни Атака полягає у застосуванні спеціально спроектованого комп'ютерного вірусу або черв'яка для зараження встановленої у вас програми PGP. Цей гіпотетичний вірус може бути влаштований так, щоб перехоплювати закритий ключ та пароль або вміст

    З книги Цифровий журнал "Комп'ютерра" № 197 автора Журнал «Комп'ютерра»

    Апаратні трояни для процесорів Intel- перша практична реалізація Андрій Васильков Опубліковано 19 вересня 2013 Вісім років тому Міністерство оборони США публічно висловило стурбованість тим, що за достатнього технічного рівня

    З книги Цифровий журнал "Комп'ютерра" № 204 автора Журнал «Комп'ютерра»

    У минулі вихідні на сайті «Вести.Ру» з'явилася замітка про те, як російські митники виявили в партії прасок з Китаю шпигунську начинку.

    З книги автора

    Трояни з претензією на авторське право: як не треба робити приховані біткойн-майнери Андрій Васильков Опубліковано 20 грудня 2013 У літературних творах злочинці - злі генії, які кидають інтелектуальний виклик правосуддю та найкращим розумам

    Фахівці «Лабораторії Касперського» виявили шкідливу програму для мобільних пристроїв на платформі Android, що має цілий спектр технічних можливостей. Співробітники компанії наголосили, що деякі з функцій троянського вірусу (зловреда) були виявлені вперше.

    «Більшість троянів схожі один на одного: пробравшись на пристрої, вони крадуть платіжні дані його власника, добувають для зловмисників криптовалюту або шифрують дані, щоб вимагати викуп. Але іноді зустрічаються екземпляри, чиї можливості примушують згадати голлівудські фільми про шпигунів», — йдеться у повідомленні «Лабораторії Касперського».

    Там розповіли, що виявлена шкідлива програма Skygofree має 48 різних функцій, у тому числі й унікальних, які фахівці компанії раніше не зустрічали у зловредів.

    Наприклад, троян Skygofree може відстежувати розташування зараженого пристрою і включати запис звуку в той момент, коли його власник перебуває в певному місці.

    Ще один цікавий прийом, який освоїв Skygofree, - непомітно підключати заражений смартфон або планшет до Wi-Fi-мереж, що знаходяться під повним контролем зловмисників. Навіть якщо власник пристрою взагалі відключив Wi-Fi на пристрої», – розповіли у «Лабораторії Касперського».

    Це дозволяє не тільки аналізувати трафік жертви, але і зчитувати логіни, паролі або номери карт, що вводяться користувачем. Також зловред може стежити за роботою цілого ряду месенджерів, включаючи Facebook Messenger, WhatsApp, Skype та Viber, збираючи їх текстові повідомлення.

    «Нарешті, Skygofree може потай увімкнути фронтальну камеруі зробити знімок, коли користувач розблокує пристрій», - додали експерти.

    • Reuters
    • Robert Galbraith

    Фахівці компанії виявили Skygofree на початку жовтня 2017 року, однак у ході вивчення зловреда з'ясувалося, що початкові версії цієї програми було створено ще наприкінці 2014 року. З того часу функціональність трояна істотно збільшилася і програма набула деяких унікальних здібностей.

    За даними "Лабораторії Касперського", Skygofree поширювався на інтернет-сторінках, що імітують сайти. мобільних операторівта присвячених оптимізації швидкості мобільного інтернету.

    Згідно з даними компанії, атаку вірусу зазнали лише кілька користувачів, причому виключно в Італії.

    Також у ході дослідження зловреда було виявлено кілька шпигунських інструментів для Windows, проте чи застосовувалася програма для атаки на цю операційну систему, поки що невідомо.

    "Він не атакує сотні тисяч користувачів"

    RT поговорив з антивірусним експертом "Лабораторії Касперського" Віктором Чебишевим, який розповів деякі подробиці про новий вірус. За його словами, Skygofree вдавалося довгий час залишатися непомітним, оскільки цей шпигун-троянець використовує недокументовані можливості системи та підвищує свої привілеї таким чином, що всі його дії залишаються за кадром.

    Він знаходиться майже на рівні системи, і всі можливості, які він реалізує, вони для користувача абсолютно прозорі. Тобто користувач не бачить жодної активності, не чує жодних дій, просто залишається невідомим», — пояснив Чебишев.

    Співрозмовник RT уточнив, що створити подібну програму дуже непросто, тому над нею, швидше за все, працювала ціла команда професіоналів високого рівня, які розуміються на всіх особливостях операційної системи Android.

    За словами антивірусного експерта, ще одна особливість вірусу, що дозволила йому діяти непоміченим, це вузька спрямованість, заточеність Skygofree під атаку конкретного користувача.

    Це шпигун, який орієнтований не на масовий сегмент. Він не атакує сотні тисяч користувачів, вичавлюючи з них потроху. Це шпигунський додаток, який атакує конкретних людей», - розповів Чебишев.

    «Його створюють так, щоб він був невидимий і для жертви, і для решти всіх навколо. Плюс він має механізми зачистки слідів, які знищують його після того, як він відпрацював», — додав експерт.

    • Віктор Чебишев: це шпигун, який не орієнтований на масовий сегмент

    Він уточнив, що метою шпигунського вірусустали пристрої на платформі Android, оскільки саме ця система дозволяє встановлювати програми зі сторонніх джерел, а не тільки з офіційного магазину програм Google Play. Проте вразливими для подібних шкідливих програм можуть стати не лише Android-пристрої.

    «В інших ОС така можливість відсутня, всі програми встановлюються з одного централізованого джерела, яке модерується. І можливість зараження, таким чином, мінімальна. Однак її не виключено», — пояснив експерт.

    «Це ціла команда, можна сказати, організоване злочинне угруповання. Ресурси серйозні», - зазначив Чебишев.

    Експерт уточнив, що основна мета розкритого троянця ніколи не була атака на широкі маси людей. Програма розрахована саме на шпигунство, стеження за конкретною людиною, в пристрої якої вона «підсідає». За його словами, спектр застосування цієї програми може тягтися від промислового шпигунства до стеження за держслужбовцями.

    «Основне завдання цього троянця — розуміння того, що відбувається з жертвою, навколо неї, що вона робить, куди вона ходить, з ким розмовляє, з якими документами вона взаємодіє... Він уміє знімати відеокамерою, знімати фотографії, записувати розмови у конкретній ситуації », - Розповів співробітник «Лабораторії Касперського».

    • Віктор Чебишев: цей троян стежить за конкретними людьми

    Антивірусний експерт уточнив, що одразу після виявлення вірусу компанія забезпечила своїм клієнтам захист. Говорячи про загрозу звичайним користувачам у всьому світі, Чебишев зазначив, що вони ніколи не були метою шкідливості, але закликав не розслаблятися.

    «Якщо говорити про мас-ринок, про нас із вами, то атака, швидше за все, нам не загрожувала від самого початку. Атакують конкретних осіб. Проте (масову атаку. — RT) не варто списувати з рахунків: те, що реалізовано в цьому троянці, може бути розтиражовано, воно може бути поширене на величезну кількість користувачів», - наголосив співрозмовник RT.

    Говорячи про способи протистояння вірусної загрози, експерт закликав усіх користувачів насамперед не встановлювати програми зі сторонніх джерел. Крім того, він порадив споживачам убезпечити свої мобільні пристрої, встановивши хороше захисне рішення, яке не дозволить пройти за шкідливим посиланням та заблокує встановлення вірусної програми.

    «Обов'язково потрібно вживати заходів особистої гігієни свого девайсу. Тому що не рівна година атакують вас, і тоді все буде сумно. Із захисним рішенням все буде добре», — підсумував Чебишев.

    2 червня 2016 о 12:29

    Пишемо своє шкідливе ПЗ. Частина 1: Вчимося писати повністю «не виявлений» кейлогер

    • Блог компанії Varonis Systems,
    • Інформаційна безпека ,
    • Програмування
    • Переклад
    • Recovery Mode

    Хакерський світ можна умовно розділити на три групи атакуючих:


    1) «Skids» (script kiddies) – малюки, початківці хакери, які збирають відомі шматки коду та утиліти та використовуючи їх створюють якесь просте шкідливе ПЗ.


    2) «Byuers» – не чисті на руку підприємці, тінейджери та інші любителі гострих відчуттів. Купують послуги з написання такого програмного забезпечення в інтернеті, збирають за її допомогою різну приватну інформацію, і, можливо, перепродують її.


    3) «Black Hat Сoders» - гуру програмування та знавці архітектур. Пишуть код у блокноті та розробляють нові експлоїти з нуля.


    Чи може хтось із гарними навичками у програмуванні стати останнім? Не думаю, що ви почнете створювати щось на кшталт regin (посилання) після відвідування кількох сесій DEFCON. З іншого боку, я вважаю, що співробітник ІБ має освоїти деякі концепти, на яких будується шкідливе програмне забезпечення.


    Навіщо ІБ-персоналу ці сумнівні навички?


    Знай свого ворога. Як ми вже обговорювали у блозі Inside Out, потрібно думати як порушник, щоб зупинити його. Я – фахівець з інформаційної безпеки у Varonis та з мого досвіду – ви будете сильнішими у цьому ремеслі якщо розумітимете, які ходи робитиме порушник. Тому я вирішив розпочати серію постів про деталі, які лежать в основі шкідливого ПЗ та різних сімействах хакерських утиліт. Після того, як ви зрозумієте, наскільки просто створити не детектоване ПЗ, ви, можливо, захочете переглянути політики безпеки на вашому підприємстві. Тепер докладніше.


    Для цього неформального класу «hacking 101» вам потрібні невеликі знання в програмуванні (С# і java) та базове розуміння архітектури Windows. Майте на увазі, що насправді шкідливе ПЗ пишеться на C/C++/Delphi, щоб не залежати від фреймфорків.


    Кейлогер


    Кейлогер – це програмне забезпечення або якийсь фізичний пристрій, який може перехоплювати та запам'ятовувати натискання клавіш на скомпрометованій машині. Це можна подати як цифрову пастку для кожного натискання на клавіші клавіатури.
    Найчастіше цю функцію впроваджують в інше, більш складне програмне забезпечення, наприклад, троянів (Remote Access Trojans RATS), які забезпечують доставку перехоплених даних назад, до атакуючого. Також існують апаратні кейлогери, але менш поширені, т.к. потребують безпосереднього фізичного доступу до машини.


    Проте створити базові функції кейлогера досить легко запрограмувати. ПОПЕРЕДЖЕННЯ. Якщо ви хочете спробувати щось з нижче, переконайтеся, що у вас є дозволи, і ви не несете шкоди існуючому середовищу, а найкраще робити це все на ізольованій ВМ. Далі, цей код не буде оптимізований, я лише покажу вам рядки коду, які можуть виконати поставлене завдання, це не найелегантніший або оптимальний шлях. Ну і нарешті, я не розповідатиму як зробити кейлогер стійким до перезавантажень або намагатися зробити його абсолютно не виявленим завдяки особливим технікам програмування, так само як і про захист від видалення, навіть якщо його виявили.



    Для підключення до клавіатури вам потрібно використовувати 2 рядки на C#:


    1. 2. 3. public static extern int GetAsyncKeyState(Int32 i);

    Ви можете вивчити більше про функцію GetAsyncKeyState на MSDN:


    Для розуміння: ця функція визначає натискання клавіш або віджата в момент дзвінка і чи була натиснута після попереднього дзвінка. Тепер постійно викликаємо цю функцію, щоб отримувати дані з клавіатури:


    1. while (true) 2. (3. Thread.Sleep(100); 4. for (Int32 i = 0; i< 255; i++) 5. { 6. int state = GetAsyncKeyState(i); 7. if (state == 1 || state == -32767) 8. { 9. Console.WriteLine((Keys)i); 10. 11. } 12. } 13. }

    Що тут відбувається? Цей цикл опитуватиме кожні 100 мс кожну клавішу для визначення її стану. Якщо один з них натиснутий (або натиснутий), повідомлення про це буде виведено на консоль. У реальному житті ці дані буферизуються та вирушають зловмиснику.


    Розумний кейлогер

    Чекайте, а чи є сенс намагатися знімати всю поспіль інформацію з усіх програм?
    Код вище тягне сире введення з клавіатури з будь-якого вікна та поля введення, на якому зараз фокус. Якщо ваша мета – номери кредитних карток та паролі, то такий підхід не дуже ефективний. Для сценаріїв з реального світу, коли такі кейлогери виконуються на сотнях або тисячах машин, наступний парсинг даних може стати дуже довгим і втратити сенс, т.к. цінна для зломщика інформація може на той час застаріти.


    Давайте припустимо, що я хочу отримати облікові дані Facebook або Gmail для подальшого продажу лайків. Тоді нова ідея – активувати кейлоггінг лише тоді, коли активно вікно браузера і в заголовку сторінки є слово Gmail чи facebook. Використовуючи такий метод, я збільшую шанси отримання облікових даних.


    Друга версія коду:


    1. while (true) 2. ( 3. IntPtr handle = GetForegroundWindow(); 4. if (GetWindowText(handle, buff, chars) > 0) 5. ( 6. string line = buff.ToString(); 7. if 8. ( 9. //Перевірка клавіатури 10. ) 11. ) 12. Thread.Sleep(100); 13. )

    Цей фрагмент виявлятиме активне вікно кожні 100мс. Робиться це за допомогою функції GetForegroundWindow (більше інформації на MSDN). Заголовок сторінки зберігається в змінній buff, якщо вона містить gmail або facebook, то викликається фрагмент сканування клавіатури.


    Цим ми забезпечили сканування клавіатури лише коли відкрито вікно браузера на сайтах facebook та gmail.


    Ще розумніший кейлогер


    Давайте припустимо, що зловмисник зміг отримати дані кодом на кшталт нашого. Також припустимо, що він досить амбітний і зміг заразити десятки або сотні тисяч машин. Результат: величезний файл із гігабайтами тексту, в яких потрібну інформацію ще потрібно знайти. Саме час познайомитися з регулярними виразами чи regex. Це щось на зразок міні мови для складання деяких шаблонів і сканування тексту на відповідність заданим шаблонам. Ви можете дізнатися більше тут.


    Для спрощення, я відразу наведу готові вирази, які відповідають іменам логіну та паролям:


    1. //Шукаємо поштову адресу 2. ^[\w!#$%&"*+\-/=?\^_`(|)~]+(\.[\w!#$%&"*+ \-/=?\^_`(|)~]+)*@((([[-w]+\.)+(2,4))|((((1,3)\.)( 3)(1,3)))$ 3. 4. 5. //Шукаємо пароль 6. (?=^.(6,)$)(?=.*\d)(?=.*)

    Ці висловлювання тут як підказка з того, що можна зробити використовуючи їх. За допомогою регулярних виразів можна шукати (т знайти!) будь-які конструкції, які мають певний та незмінний формат, наприклад, номери паспортів, кредитних карток, облікові записи та навіть паролі.
    Дійсно, регулярні вирази не найчитальніший вид коду, але вони одні з найкращих друзів програміста, якщо є завдання парсингу тексту. У мовах Java, C#, JavaScript та інших популярних вже є готові функції, які ви можете передати звичайні регулярні висловлювання.


    Для C# це виглядає так:


    1. Regex re = new Regex(@"^[\w!#$%&"*+\-/=?\^_`(|)~]+(\.[\w!#$%&"* +\-/=?\^_`(|)~]+)*@((([[-w]+\.)+(2,4))|((((1,3)\.) (3) (1,3))) $ "); 2. Regex re2 = new Regex(@"(?=^.(6,)$)(?=.*\d)(?=.*)"); 3. string email = " [email protected] 4. string pass = "abcde3FG"; 5. Match result = re.Match(email); 6. Match result2 = re2.Match(pass);

    Де перший вираз (re) буде відповідати будь-якій електронній пошті, а друге (re2) будь-якій цифрі буквеної конструкції більше 6 символів.


    Безкоштовно та повністю не виявимо


    У своєму прикладі я використав Visual Studio – ви можете використати своє улюблене оточення – для створення такого кейлогера за 30 хвилин.
    Якби я був реальним зловмисником, то я цілився б на якусь реальну мету (банківські сайти, соцмережі, тп) і видозмінив код для відповідності цим цілям. Звичайно, також, я б запустив фішингову кампанію з електронними листами з нашою програмою, під виглядом звичайного рахунку або іншого вкладення.


    Залишилося одне питання: чи справді таке ПЗ буде не виявленим для захисних програм?


    Я скомпілював мій код і перевірив файл exe на сайті Virustotal. Це веб-інструмент, який обчислює хеш файл, який ви завантажили і шукає його в базі даних відомих вірусів. Сюрприз! Звичайно нічого не знайшлося.



    У цьому головна фішка! Ви завжди можете змінювати код і розвиватися, будучи завжди на кілька кроків раніше від сканерів загроз. Якщо ви можете написати свій власний код він майже гарантовано буде не виявимо. На цій

  • інформаційна безпека
    • Додати теги

    ПОХОДЖЕННЯ СТАТТІ