Лекция: Классификация программных закладок

 

Программные закладки – внешние или внутренние по отношению к атакуемой компьютерной системе программы, обладающие определенными разрушительными функциями по отношению к этой системе [4].

Выделяют следующие потенциально опасные функции, реализуемые программными закладками (названия разновидностей программных закладок приводятся по классификации ЗАО «Лаборатория Касперского» [7]):

– уничтожение или внесение изменений в функционирование программного обеспечения компьютерной системы, уничтожение или изменение обрабатываемых в ней данных после выполнения некоторого условия или получения некоторого сообщения извне компьютерной системы («логические/временные бомбы»);

– превышение полномочий пользователем с целью несанкционированного копирования конфиденциальной информации других пользователей компьютерной системы или создание условий для такого копирования;

– подмена отдельных функций подсистемы защиты компьютерной системы или создание люков в ней для реализации угроз безопасности информации;

– перехват паролей пользователей компьютерной системы с помощью имитации приглашения к его вводу или перехват всего ввода пользователей с клавиатуры. Пример программной закладки, перехватывающей клавиатурный ввод представлен в приложении 2;

– перехват потока информации (мониторы), передаваемой между объектами распределенной компьютерной системы;

– организация несанкционированных обращений к Интернет-ресурсам с целью увеличения посещаемости каких-либо сайтов, организации DoS-атак, привлечения потенциальных жертв для заражения вирусами или троянскими программами.

В большинстве случаев однозначно ту или иную программную закладку нельзя отнести к определенной категории вследствие их гибридности.

Раскроем назначение различных разновидностей программных закладок по классификации ЗАО «Лаборатория Касперского» [7].

Backdoor – это троянские программы, являющиеся утилитами удаленного администрирования компьютеров в сети. По своей функциональности они во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.

Единственная особенность этих программ, которая заставляет классифицировать их как вредоносные программы, – отсутствие предупреждения об инсталляции и запуске. При запуске троянская программа данного класса устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях программы в системе. Более того, ссылка на Backdoor может отсутствовать в списке активных приложений. В результате пользователь этой троянской программы может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления.

Утилиты скрытого управления позволяют делать с компьютером все, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д. В результате эти вредоносные программы могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т. п.

Таким образом, троянские программы данного типа являются одним из самых опасных видов вредоносного программного обеспечения, поскольку в них заложена возможность самых разнообразных злоумышленных действий, присущих другим видам троянских программ.

Trojan-PSW (Password-Stealing-Ware) – это троянские программы, перехватывающие различную конфиденциальную информацию с зараженного компьютера, чаще всего – системные пароли. При запуске данный класс программных средств ищет системные файлы, хранящие различную конфиденциальную информацию (номера телефонов, пароли доступа к сети Интернет, аутентифицирующую информацию зарегистрированных в операционной системе пользователей) и отсылают ее по указанному в коде вредоносной программы электронному адресу или адресам.

Существуют Trojan-PSW, которые сообщают и другую информацию о зараженном компьютере, например информацию о системе (размер памяти и дискового пространства, версия операционной системы), тип используемого почтового клиента, IP-адрес и т. п. Некоторые троянские программы данного класса перехватывают регистрационную информацию к различному программному обеспечению, коды доступа к сетевым играм (Trojan-OnlineGame.PSW) и пр.

Trojan-Proxy – это семейство троянских программ, скрытно осуществляющих анонимный доступ к различным Интернет-ресурсам. Обычно используются для рассылки спама.

Trojan-Clicker – это семейство программных закладок, основной функцией которых является организация несанкционированных обращений к Интернет-ресурсам (обычно к веб-страницам). Достигается это либо посылкой соответствующих команд браузеру, либо заменой системных файлов, в которых указаны «стандартные» адреса Интернет-ресурсов (например, файл hosts в MS Windows).

У злоумышленника могут быть следующие цели для подобных действий:

– увеличение посещаемости каких-либо сайтов с целью увеличения показов рекламы;

– организация DoS-атаки (Denial of Service) на какой-либо сервер;

– привлечение потенциальных жертв для заражения вирусами или троянскими программами.

Trojan-Downloader – это семейство программных закладок, основным назначением которых является скрытная несанкционированная загрузка программного обеспечения из сети Интернет.

В настоящее время выделяют две категории данного класса программных закладок:

1) универсальные Trojan-Downloader. Могут загружать любой программный код с любого сервера. Настройки могут храниться локально (в отдельном файле или реестре) либо загружаться с определенного сайта;

2) специализированные Trojan-Downloader. Предназначены для загрузки строго определенных типов троянских или шпионских программ. Адреса и имена файлов в таком случае жестко фиксированы и хранятся в теле программы.

Trojan-Dropper – это троянские программы, предназначенные для скрытной инсталляции других программ и практически всегда используемые для внедрения на компьютер-жертву вирусов или других троянских программ. Подобные программы обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве или неверной версии операционной системы) записывают на жесткий диск в какой-нибудь каталог другие файлы и запускают их на выполнение.

На рисунке 1.2 представлена типовая структура программных закладок класса Trojan-Dropper.

 

 

Рис. 1.2. Типовая структура троянской программы
класса Trojan-Dropper

 

Основной код выделяет из своего файла остальные компоненты (файл 1, файл 2...), записывает их на диск и запускает на выполнение.

Обычно один или более компонентов являются троянскими программами, и как минимум один компонент является «обманкой»: программой-шуткой, игрой, картинкой или чем-то подобным. «Обманка» должна отвлечь внимание пользователя и/или продемон-стрировать то, что запускаемый файл действительно делает что-то «полезное», в то время как троянский компонент инсталлируется в систему.

В результате использования программ данного класса злоумышленники достигают следующих целей:

– скрытная инсталляция троянских программ и/или вирусов;

– защита от антивирусных программ (поскольку не все из них в состоянии проверить все компоненты внутри файлов этого типа либо пользователь сам принимает решение о запуске того или иного вредоносного компонента под видом легальной программы).

При рассмотрении различных разновидностей разрушающих программных средств просматривается их эволюция от простейших программ, осуществляющих нелегитимные операции (например, перезапись исполняемых файлов, перехват паролей пользователя, удаление информации, захват процессорного времени), к действующим самостоятельно удаленным сетевым агентам (ботам), которые в совокупности с центрами управления этими программами представляют собой настоящие средства информационного нападения.

 

1.2.4. Встречаемость различных классов и разновидностей
разрушающих программных средств

 

На рисунке 1.3 представлена диаграмма, отражающая процентное соотношение встречаемости основных классов разрушающих программных средств [8, 9].

 

Рис. 1.3. Распространенность основных классов
разрушающих программных средств (2008 г.)

 

Наиболее распространенными являются программные закладки (89,45 %). Это связано с тем, что в настоящее время индустрия шпионажа и нанесения ущерба компьютерным системам является востребованной. На рисунке 1.4 представлена диаграмма встречаемости различных разновидностей программных закладок. Очевидно, наибольшее распространение получили перехватчики паролей (Trojan-PSW – 12 %), утилиты удаленного управления (BackDoors – 29,40 %) и загрузчики других вредоносных программ (Trojan-Downloader – 26,10 %).

 

Рис. 1.4. Распространенность разновидностей
программных закладок

 

еще рефераты
Еще работы по информатике