Киберпреступность. Троянский конь
Киберпреступность. Троянский конь
Исследовательская работа На тему: «Киберпреступность. Троянский конь» Выполнил: ученик 9 А класса Мухтаруллин А.А. Научный руководитель: учитель информатики, Шульц Н.Г. г. Муравленко, 2009 г. СОДЕРЖАНИЕ Введение Глава 1. Условия существования киберпреступлений. 1.1. Киберпреступность как бизнес. 1.2. Принципы реализации атак. Глава 2. «Троянского конь» в современных киберпреступлениях. 2.1. Сущность и классификация троянских программ. 2.2. Основные тенденции развития троянских программ. Заключение Список использованной литературы ВВЕДЕНИЕ В наши дни большинство людей значительную часть своего времени проводят в Интернете. Этот виртуальный мир во многом отражает мир реальный: преступность, являющаяся, к сожалению, неотъемлемой частью социума, существует и в виртуальном мире. Растущий обмен информационными данными в Интернете и электронные платежи - это именно тот лакомый кусок, который более всего привлекает злоумышленников. Структура современной киберпреступности практически сформирована: уже существуют четко определённые взаимоотношения и бизнес-модели. Криминальная деятельность всегда была зеркальным отражением легального бизнеса: образ финансиста-мафиози - первое, что приходит в голову. Однако современная киберпреступность - это не одна-две мафиозных организации во главе с предводителем. Скорее, это мир, состоящий из взаимодополняющих и взаимодействующих друг с другом групп. Современная киберпреступность развивается так же, как и любой другой бизнес. Прибыльность, управление рисками, освоение новых рынков тоже являются важными составляющими этого бизнеса Цель исследования: изучение вредоносных программ, с целью предотвращения их воздействия. Для достижения поставленной цели, были выбраны следующие задачи: Рассмотреть условия существования киберпреступности. Изучить сущность и классификацию троянских программ. Выявить и проанализировать наиболее опасные троянские программы. Гипотеза: знание сущности и оказываемого вреда вредоносными программами, поможет уменьшить их воздействие. Предмет исследования: компьютерная преступность. Объект исследования: троянские программы. При написании работы применялись монографический и аналитический методы исследования. Информационной базой для исследования являются нормативные документы в области компьютерной вирусологии, учебная литература, периодические издания, Интернет. Глава 1. Условия существования киберпреступлений
1.1 Киберпреступность как бизнес Важнейшей критерием оценки любого бизнеса является прибыльность, и киберпреступность здесь не исключение. Киберпреступность невероятно прибыльна! Огромные суммы денег оказываются в карманах преступников в результате отдельных крупных афер, не говоря уже о небольших суммах, которые идут просто потоком. Например, только в 2007 году практически каждый месяц совершалось одно серьезное преступление с использованием современной вычислительной и электронной техники. Январь 2007. Российские хакеры с помощью своих шведских «коллег» украли 800 000 ЕВРО из шведского банка Nordea Февраль 2007. Бразильская полиция арестовала 41 хакера за использование троянской программы для кражи банковской информации, которая позволила им заработать 4,74 миллиона долларов. Февраль 2007. В Турции арестованы 17 членов банды интернет-мошенников, которым удалось украсть почти 500 000 долларов Февраль 2007. Арестован Ли Чжун, создатель вируса “Панда” (Panda burning Incense), нацеленного на кражу паролей к онлайн-играм и учетным записям систем интернет-пейджинга. Предполагается, что на продаже своей вредоносной программы он заработал около 13 000 долларов. Март 2007. Пять граждан восточно-европейских государств посажены в тюрьму в Великобритании за мошенничество с кредитными картами, их добыча составила порядка 1,7 миллионов фунтов стерлингов. Июнь 2007. В Италии арестованы 150 киберпреступников, которые забрасывали итальянских пользователей мошенническими сообщениями. Их доход составил почти 1,25 миллионов евро. Июль 2007. По неподтвержденным данным российские киберворы, используя троянскую программу, похитили 500 000 долларов у турецких банков Август 2007. Украинец Максим Ястремский, известный также как Maksik, задержан в Турции за кибермошенничество с использованием электронных систем и незаконное присвоение десятков миллионов долларов. Сентябрь 2007. Грегори Копилофф (Gregory Kopiloff) обвинен властями США в краже персональных данных с помощью файлообменных сетей Limewire и Soulseek. Полученную информацию он использовал для реализации мошеннических схем и выручил на этом тысячи долларов. Октябрь 2007. В США арестован Грег Кинг (Greg King) за участие в организации февральской DDoS-атаки на сайт Castle Cops. Его приговорили к десяти годам тюремного заключения и штрафу 250 000 долларов. Ноябрь 2007. ФБР арестовало восемь человек в ходе второй части операции Operation Bot Roast по борьбе с ботсетями. По результатам операции была названа сумма экономического ущерба, составившая более 20 млн. долларов, и выявлено более миллиона компьютеров-жертв. Декабрь 2007. Киберпреступники взломали компьютеры департамента энергетики Национальной лаборатории Оак Риджа (ORNL), Теннесси, США. По имеющимся данным атаке подверглись также Национальная лаборатория в Лос Аламосе и Национальная лаборатория Лоуренса в Ливерморе, Калифорния. Были украдены более 12 000 номеров карт социального страхования и дат рождения посетителей ONRL за период с 1999 до 2004. Этот инцидент - из ряда проблем национальной безопасности, поскольку демонстрирует незащищенность отдельной личности в случае кражи идентификационных данных и финансового мошенничества. Эти случаи - лишь вершина айсберга: сами потерпевшие и правоохранительные органы потрудились привлечь к ним внимание общественности. Но чаще всего организации, подвергшиеся атаке, сами проводят расследование, или этим занимаются правоохранительные органы - но без огласки. Результаты практически никогда не обнародуются. В диаграмме, взятой из отчета Института защиты информации в компьютерных системах, приведены причины, по которым организации предпочитают не сообщать о случаях компьютерного вторжения. 1.2 Принципы реализации атак У каждого поколения преступников свои инструменты. Современные киберпреступники выбрали своим оружием троянские программы, с помощью которых они строят ботнеты для кражи паролей и конфиденциальной информации, проводят DoS атаки и шифруют данные, чтобы затем шантажировать своих жертв. Характерной и опасной чертой сегодняшних вредоносных программ является то, что они стремятся сохранить свое присутствие на инфицированной машине. Для достижения этой цели киберпреступники используют различные технологии. В настоящее время некоторые преступники предпочитают проводить отдельные атаки, нацеленные на конкретные организации. Само по себе написание специальной программы для одной целевой атаки - задача трудоемкая, но важно еще обеспечить этой программе работоспособность на зараженном компьютере в течение долгого времени. Однако уж если эти целевые атаки удается запустить, успех им практически обеспечен: киберпреступники не только компенсируют себе все затраты на разработку и запуск атаки, но и получают солидную прибыль. Современные киберпреступники для получения желаемого результата должны правильно организовать два важных момента: доставку и обеспечение работоспособности программы. Первый шаг любого киберпреступления - доставка и установка вредоносной программы. Преступники используют несколько технологий для достижения этой цели. Основные современные способы распространения вредоносных программ (так называемые векторы заражения) - это спам-рассылки и зараженные веб-страницы. Идеальным для преступников является компьютер-жертва, который имеет уязвимость. Уязвимость позволяет преступникам установить вредоносную программу, как только она доставлена со спам-рассылкой, или с помощью так называемых технологий drive by download при посещении пользователем инфицированных интернет-сайтов. Следующая задача киберпреступников после доставки вредоносной программы - как можно дольше сохранить ее необнаруженной. Вирусописатели используют несколько технологий для того, чтобы увеличить «срок службы» каждой части вредоносной программы. Первостепенная стратегическая задача, стоящая перед любым вирусописателем, - сделать свою вредоносную программу невидимой не только для того, чтобы успешно ее доставить, но и для того, чтобы она «выжила». Чем менее видима программа для систем антивирусных радаров раннего оповещения, тем дольше ее можно будет использовать для получения доступа к зараженным компьютерам и сбора информации. Стандартные технологии сокрытия программы на компьютере включают применение руткитов, блокирование системы извещений об ошибках и окон предупреждений, выдаваемых антивирусом, сокрытие увеличения размеров файлов, использование множества разнообразных упаковщиков. Во избежание обнаружения вредоносных программ вирусописатели широко используют технологию умышленного запутывания. Полиморфизм - одна из таких технологий, он был популярен в 90-х годах, но затем фактически исчез. Сегодня вирусописатели вернулись к полиморфизму, но они редко предпринимают попытки изменять код на компьютерах жертв. Вместо этого применяется так называемый «серверный полиморфизм» - изменение кода на веб-серверах с включением в него «пустых» инструкций, изменяющихся с течением времени, что существенно затрудняет обнаружение новых вредоносных программ, размещенных на веб-сервере. Глава 2. «Троянского конь» в современных киберпреступлениях
2.1 Сущность и классификация троянских программ Троянская программа (также -- троямн, троямнец, троямнский конь, тромй) -- программа, используемая злоумышленником для сбора информации, её разрушения или модификации, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях. По принципу распространения и действия троян не является вирусом, так как не способен распространяться саморазмножением. Троянская программа запускается пользователем вручную или автоматически -- программой или частью операционной системы, выполняемой на компьютере-жертве (как модуль или служебная программа). Для этого файл программы (его название, иконку программы) называют служебным именем, маскируют под другую программу (например, установки другой программы), файл другого типа или просто дают привлекательное для запуска название, иконку и т. п. Схожие вредоносные и маскировочные функции также используются компьютерными вирусами, но в отличие от них, троянские программы не умеют распространяться самостоятельно. Вместе с тем, троянская программа может быть модулем вируса. Троянские программы различаются между собой по тем действиям, которые они производят на зараженном компьютере. Backdoor -- троянские утилиты удаленного администрирования Утилиты скрытого управления позволяют делать с компьютером все, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д. Trojan-PSW -- воровство паролей При запуске PSW-троянцы ищут сиcтемные файлы, хранящие различную конфиденциальную информацию (обычно номера телефонов и пароли доступа к интернету) и отсылают ее по указанному в коде «троянца» электронному адресу или адресам. Trojan-Clicker -- интернет-кликеры Семейство троянских программ, основная функция которых -- организация несанкционированных обращений к интернет-ресурсам. Trojan-Downloader -- доставка прочих вредоносных программ Троянские программы этого класса предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных систем. Trojan-Dropper -- инсталляторы прочих вредоносных программ В результате использования программ данного класса хакеры достигают двух целей: скрытная инсталляция троянских программ и/или вирусов; защита от антивирусных программ, поскольку не все из них в состоянии проверить все компоненты внутри файлов этого типа. Trojan-Proxy -- троянские прокси-сервера Семейство троянских программ, скрытно осуществляющих анонимный доступ к различным интернет-ресурсам. Обычно используются для рассылки спама. Trojan-Spy -- шпионские программы Данные троянцы осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику. Trojan-Notifier -- оповещение об успешной атаке Троянцы данного типа предназначены для сообщения своему «хозяину» о зараженном компьютере. 2.2 Основные тенденции развития троянских программ В программах, относящихся к классу троянских, на сегодняшний день можно выделить следующие основные тенденции: Значительный рост числа программ-шпионов, крадущих конфиденциальную банковскую информацию. Новые варианты подобных программ появляются десятками за неделю и отличаются большим разнообразием и принципами работы. Некоторые из них ограничиваются простым сбором всех вводимых с клавиатуры данных и отправкой их по электронной почте злоумышленнику. Наиболее мощные могут предоставлять автору полный контроль над зараженной машиной, отсылать мегабайты собранных данных на удаленные сервера, получать оттуда команды для дальнейшей работы. Стремление к получению тотального контроля над зараженными компьютерами. Это выражается в объединении их в зомби-сети, управляемые из единого центра. Использование зараженных машин для рассылки через них спама или организации атак. Отдельного рассмотрения требуют такие классы программ, как Trojan-Dropper и Trojan-Downloader. Конечные цели у них абсолютно идентичны -- установка на компьютер другой вредоносной программы, которая может быть как червем, так и «троянцем». Отличается только принцип их действия. «Дропперы» могут содержать в себе уже известную вредоносную программу или наоборот -- устанавливать новую ее версию. Также «дропперы» могут устанавливать не одну, а сразу несколько вредоносных программ, принципиально отличающихся по поведению и даже написанных разными людьми. Оба эти класса вредоносных программ используются для установки на компьютеры не только троянских программ, но и различных рекламных (advware) или порнографических (pornware) программ. По итогам работы антивирусных служб в 2008 году зафиксировано 23 680 646 атак на российских пользователей, которые были успешно отражены. Таблица 1. Рейтинг троянских программ в 2008 году |
№ п/п | Название | Количество | Процент | | 1 | Heur.Trojan.Generic | 248857 | 7,08% | | 2 | Trojan-Downloader.Win32.Small.aacq | 228539 | 6,50% | | 3 | Trojan-Clicker.HTML.IFrame.wq | 177247 | 5,04% | | 4 | Trojan-Downloader.SWF.Small.ev | 135035 | 3,84% | | 5 | Trojan-Clicker.HTML.IFrame.yo | 121693 | 3,46% | | 6 | Trojan-Downloader.HTML.IFrame.wf | 107093 | 3,05% | | 7 | Trojan-Downloader.Win32.Small.abst | 78014 | 2,22% | | 8 | Trojan-Downloader.JS.Agent.dau | 73777 | 2,10% | | 9 | Trojan-Downloader.JS.IstBar.cx | 68078 | 1,94% | | 10 | Trojan-GameThief.Win32.Magania.gen | 66136 | 1,88% | | 11 | Trojan-Downloader.JS.Iframe.yv | 62334 | 1,77% | | 12 | Trojan.HTML.Agent.ai | 60461 | 1,72% | | 13 | Trojan-Downloader.JS.Agent.czf | 41995 | 1,20% | | |
Наиболее распространенной и активной вредоносной программой 2008 года является Trojan-Downloader.Win32.Small.aacq. По итогам работы антивирусных служб в январе 2009 года мы сформировали главную вирусную двадцатку. В этой таблице зафиксированы те вредоносные, рекламные и потенциально опасные программы, которые были детектированы на компьютерах пользователей. Таблица 2. Рейтинг вредоносных программ в январе 2009 года. |
Позиция | Изменение позиции | Вредоносная программа | | 1 | 0 | Virus.Win32.Sality.aa | | 2 | 0 | Packed.Win32.Krap.b | | 3 | 1 | Worm.Win32.AutoRun.dui | | 4 | -1 | Trojan-Downloader.Win32.VB.eql | | 5 | 3 | Trojan.Win32.Autoit.ci | | 6 | 0 | Trojan-Downloader.WMA.GetCodec.c | | 7 | 2 | Packed.Win32.Black.a | | 8 | -1 | Virus.Win32.Alman.b | | 9 | 5 | Trojan.Win32.Obfuscated.gen | | 10 | 10 | Trojan-Downloader.WMA.GetCodec.r | | 11 | новинка | Exploit.JS.Agent.aak | | 12 | -1 | Worm.Win32.Mabezat.b | | 13 | -3 | Worm.Win32.AutoIt.ar | | 14 | 1 | Email-Worm.Win32.Brontok.q | | 15 | новинка | Virus.Win32.Sality.z | | 16 | новинка | Net-Worm.Win32.Kido.ih | | 17 | появление вновь | Trojan-Downloader.WMA.Wimad.n | | 18 | -2 | Virus.Win32.VB.bu | | 19 | -2 | Trojan.Win32.Agent.abt | | 20 | новинка | Worm.Win32.AutoRun.vnq | | |
Появившиеся в декабрьском рейтинге Trojan.HTML.Agent.ai и Trojan-Downloader.JS.Agent.czm в этом месяце нашли себе замену в виде Exploit.JS.Agent.aak. Исчезнувшего из рейтинга червя AutoRun.eee заменяет теперь Worm.Win32.AutoRun.vnq. Это вполне закономерно, так как частые смены модификаций характерны для этих классов зловредных программ. Выбывший из рейтинга в ноябре Trojan-Downloader.WMA.Wimad.n вернулся в игру. Таким образом, в рейтинге мы имеем сразу три нестандартных загрузчика, что свидетельствует о массовом распространении такого типа троянских программ и доверии пользователей файлам мультимедиа. Более того, схема распространения зловредных программ с использованием мультимедийных загрузчиков оказалась весьма эффективной. Это подтверждается скачком Trojan-Downloader.WMA.GetCodec.r сразу на 10 пунктов вверх. ЗАКЛЮЧЕНИЕ Скорее всего, мировой финансовый кризис никак не затронет игровую индустрию, и в 2009 году развитие игровых миров продолжится. Атаки злоумышленников становятся все масштабнее и изощреннее. А действия игроков способствуют росту черного рынка виртуальных ценностей, на чем зарабатывают деньги хакеры и вирусописатели. «Троянский конь» является наиболее опасной из всех вредоносных программ, поскольку: Во-первых, кризис заставляет интернет-пользователей более нервно реагировать на любые события, связанные с платежными системами, онлайн-банкингом, электронными деньгами. В период, когда банки разоряются, меняют владельцев или испытывают проблемы с выплатами, появляется много новых возможностей для атак на пользователей. Во-вторых, учитывая, что современные вредоносные программы требуют все больше ресурсов для их разработки, распространения и использования, для множества злоумышленников на первый план выходят более простые, дешевые и грубые методы атак. Троянские программы могут стать для киберпреступников одним из наиболее привлекательных решений. Для того чтобы справиться с киберпреступностью, необходимо создавать и внедрять защитные стратегии. На самом деле программное обеспечение для борьбы с вредоносными программами и стратегии по управлению рисками важны на всех уровнях. По моему мнению помимо соответствующих стратегий защиты успешная борьба с киберпреступностью требует совместных усилий. Должен действовать интернет-Интерпол, должна вестись постоянная разъяснительная работа, подобная той, которая ведется по поводу необходимости использовать ремни безопасности в автомобиле. Должны существовать правила, соблюдение которых будет обязательно при нахождении в интернете. Эти же правила должны поддерживать действия правоохранительных органов. Как и в случае с ремнями безопасности, требуется длительная и упорная воспитательная работа для того, чтобы пользователи осознали необходимость таких мер. РЕКОМЕНДАЦИИ Результаты данного исследования могут стать полезными всем пользователям персональных компьютеров, заботящихся о сохранности своих документов и об информационной безопасности. Также их можно применить на уроках информатики, для ознакомления учеников с вредоносными программами. Важно еще со школы осознавать наносимый вред киберпреступлениями. СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 1. Фридланд А.Я. Информатика и компьютерные технологии: Основные термины: Толков. Слов.: Более 1000 базовых понятий и терминов. - 3-е изд. испр. и доп./ А.Я. Фридланд, Л.С. Ханамирова, И.А. Фридланд. - М.: ООО «Издательство Астрель», 2003. - 272 с. 2. Шафрин Ю.А. 1500 основных понятий, терминов и практических советов для пользователей персональным компьютером. - М.: Дрофа, 2001. - 272 с. 3. Первин Ю.А. Информатика дома и в школе. Книга для ученика. - СПб.: БХВ - Петербург, 2003. - 352 с. 4. Интернет сайт http://www.metod-kopilka.ru 5. Интернет сайт http://ru.wikipedia.org/wiki/троянские_программы 6. Интернет сайт http://www.viruslist.com/ru/analysis?pubid=204007644 7. Интернет сайт http://www.viruslist.com/ru/analysis?pubid=204007643 Приложение 1 Типовая архитектура системы выявления атак. Приложение 2
|