Как называется группа компьютеров, зараженных вирусом, который по команде из Интернета осуществляет атаку
Обновлено: 21.11.2024
На этой странице представлен обзор наиболее распространенных вредоносных приложений. Конкретные шаги, которые можно предпринять для защиты от вредоносного ПО, см. на наших страницах Защита от вирусов и угроз безопасности.
Что такое вредоносное ПО?
Вредоносное ПО – это общий термин для обозначения различного вредоносного программного обеспечения, включая вирусы, рекламное ПО, шпионское ПО, ПО для взлома браузера и фальшивое ПО для обеспечения безопасности.
После установки на ваш компьютер эти программы могут серьезно повлиять на вашу конфиденциальность и безопасность вашего компьютера. Например, известно, что вредоносное ПО передает личную информацию рекламодателям и другим третьим лицам без согласия пользователя. Некоторые программы также известны тем, что содержат червей и вирусы, наносящие значительный ущерб компьютеру.
Типы вредоносных программ
- Вирусы, которые представляют собой наиболее распространенную форму вредоносных программ и потенциально самые разрушительные. Они могут делать что угодно: от удаления данных на вашем компьютере до взлома вашего компьютера для атаки на другие системы, рассылки спама или размещения и распространения нелегального контента.
- Шпионское ПО собирает вашу личную информацию и передает ее заинтересованным третьим лицам без вашего ведома или согласия. Шпионское ПО также известно установкой троянских вирусов.
- Рекламное ПО отображает всплывающую рекламу, когда вы находитесь в сети.
- Поддельное программное обеспечение безопасности выдает себя за законное программное обеспечение, чтобы обманом заставить вас открыть систему для дальнейшего заражения, предоставить личную информацию или заплатить за ненужные или даже вредные «очистки».
- Программное обеспечение для взлома браузера изменяет настройки вашего браузера (например, домашнюю страницу и панели инструментов), отображает всплывающую рекламу и создает новые ярлыки на рабочем столе. Он также может передавать ваши личные предпочтения заинтересованным третьим лицам.
Факты о вредоносных программах
Вредоносное ПО часто связано с другим программным обеспечением и может быть установлено без вашего ведома.
Например, AOL Instant Messenger поставляется с задокументированной вредоносной программой WildTangent. Некоторые одноранговые (P2P) приложения, такие как KaZaA, Gnutella и LimeWire, также объединяют шпионское и рекламное ПО. Хотя лицензионные соглашения с конечным пользователем (EULA) обычно содержат информацию о дополнительных программах, некоторые вредоносные программы устанавливаются автоматически без уведомления или согласия пользователя.
Вредоносное ПО очень трудно удалить.
Вредоносные программы редко можно удалить обычными средствами. Кроме того, они «прячутся» в неожиданных местах на вашем компьютере (например, в скрытых папках или системных файлах), что делает их удаление сложным и трудоемким. В некоторых случаях вам может потребоваться переустановить операционную систему, чтобы полностью избавиться от инфекции.
Вредоносное ПО угрожает вашей конфиденциальности.
Вредоносные программы известны тем, что собирают личную информацию и передают ее рекламодателям и другим третьим лицам. Чаще всего собираемая информация включает ваши привычки просмотра и покупок, IP-адрес вашего компьютера или вашу идентификационную информацию.
Вредоносное ПО угрожает безопасности вашего компьютера.
Некоторые типы вредоносного ПО содержат файлы, обычно идентифицируемые как троянские вирусы. Другие оставляют ваш компьютер уязвимым для вирусов. Независимо от типа вредоносное ПО печально известно тем, что прямо или косвенно является корнем вирусного заражения, вызывая конфликты с законным программным обеспечением и ставя под угрозу безопасность любой операционной системы, Windows или Macintosh.
Сертификаты могут помочь специалистам по безопасности подтвердить свои базовые знания в области информационной безопасности. Рассмотрите возможность добавления этих лучших облачных средств безопасности .
Изучите три основные проблемы безопасности при работе с несколькими арендаторами и способы их устранения, в том числе недостаточную видимость и превышение привилегий.
Если ваша компания использует поставщика облачных баз данных, очень важно обеспечить максимальную безопасность. Ознакомьтесь с функциями безопасности .
Новейшее аппаратное обеспечение Cisco и привязка Intersight к общедоступному облаку Kubernetes расширяют возможности гибридных облачных продуктов для клиентов. Но .
Чтобы преодолеть разрыв между командами NetOps и SecOps, сетевые специалисты должны знать основы безопасности, включая различные типы .
Какова реальность новых сетевых технологий? Здесь эксперты определяют риски — реальные или предполагаемые — и преимущества, которые они несут .
Подробнее об основных функциях, отличительных чертах, сильных и слабых сторонах платформ блокчейна, которые получают максимальную отдачу .
Эксперты высоко оценивают недавно предложенное Комиссией по ценным бумагам и биржам США правило раскрытия информации о климатических рисках, которое требует от компаний выявлять климатические риски .
Недавнее мероприятие Accenture Technology Vision подчеркнуло трансформационные возможности виртуальных миров, а также указало на .
ИТ-администраторам, рассматривающим возможность перехода на Windows 11, следует узнать, как функции версии Enterprise могут помочь их .
Последняя сборка для разработчиков Windows 11 позволяет открывать несколько папок в приложении для управления файлами. Предполагается, что эта функция .
Администраторам настольных компьютеров следует обратить внимание на собственные функции безопасности и архитектуру Windows 10, чтобы установить базовый уровень настольных компьютеров.
Nvidia запустила облачную версию своей платформы Omniverse для 3D-моделирования. Компания также представила Omniverse .
Преодолейте сбои AWS, научившись создавать многорегиональную архитектуру, обеспечивающую отказоустойчивость в случае аварии.
Чтобы добиться высокой доступности и отказоустойчивости в AWS, ИТ-администраторы должны сначала понять различия между двумя моделями.
ЕС и США согласовывают структуру конфиденциальности данных, разрешающую трансатлантическую передачу данных после того, как США предложат уступки в отношении слежки и новых данных.
Европейская комиссия предложила новые правила кибербезопасности и информационной безопасности для создания минимального набора стандартов.
Семь человек арестованы лондонской полицией в связи с кибератаками, совершенными группой Lapsus$, которая несет ответственность за ряд .
Ботнет состоит как минимум из одного бот-сервера или контроллера и одного или нескольких бот-клиентов, обычно их несколько тысяч.
Сердцем каждого ботклиента является интерпретатор команд, способный независимо извлекать команды и выполнять их.
Способность ботнета действовать скоординированно со всеми или некоторыми частями ботнета имеет основополагающее значение для концепции ботнета.
Ботнеты не являются вирусами в традиционном смысле этого слова. Скорее они представляют собой набор программного обеспечения (некоторые вирусы, некоторый вредоносный код, а некоторые нет), созданного для злонамеренных целей.
Ботнеты управляются беспокойщиком.
Ботнеты привлекают хакеров, потому что клиенты ботнета выполняют свои заказы на компьютерах, которые удалены как минимум на два компьютера от любого компьютера, непосредственно подключенного к ним. Это затрудняет расследование и уголовное преследование.
Инфраструктура противника
Ира Винклер, Арасели Треу Гомес, Advanced Persistent Security, 2017 г.
Ботнеты
Ботнеты — это, по сути, набор подключенных к Интернету компьютеров, управляемых общим контроллером. Хотя этот термин может включать законные компьютерные сети, в подавляющем большинстве случаев этот термин используется для компьютеров, которые были взломаны и находятся под контролем хакеров-преступников.
Затем хакер может использовать эти компьютеры для рассылки спама или запуска DDOS-атак, когда ботам ботнета приказано направлять большие объемы коммуникационных запросов в целевую систему. Хакер также может использовать этих ботов для сбора данных, поскольку они могут устанавливать на компьютер шпионское ПО для отслеживания нажатий клавиш, для постоянного сбора данных, для использования системы для мониторинга ее сети или в качестве точки запуска для других атак, включая сбор другие боты.
Ботнеты обычно создаются различными незаконными способами. У пастуха ботов могут быть системы, которые случайным образом сканируют Интернет в поисках систем с неисправленными уязвимостями, которые позволяют осуществлять удаленный взлом. Если обнаруживается уязвимая система, она взламывается и устанавливается программное обеспечение ботнета. Фишинговые сообщения также могут побудить наивных пользователей загрузить вредоносное ПО, добавляющее систему в ботнет.
Легальные веб-сайты могут быть взломаны, и посетители таких веб-сайтов также могут по незнанию загрузить вредоносное программное обеспечение. Это тип атаки «водопой». В одном случае преступник связался с оператором веб-сайта и предложил комиссию за каждый экземпляр программного обеспечения ботнета, установленного на компьютере после посещения сайта. Преступник не заявлял открыто, что установленное программное обеспечение было незаконным, но, к счастью, владелец веб-сайта был достаточно умен, чтобы понять истинные намерения, и сообщил об этом в соответствующие органы. В некоторых случаях хакеры могут создавать поддельные веб-сайты только для того, чтобы обманом заставить посетителей загрузить вредоносное ПО.
Еще одна демонстрация криминальной инфраструктуры. Погонщик ботов будет платить комиссию за ботов, скопившихся в его ботнете. Это побуждает случайных хакеров взламывать системы по всему Интернету, чтобы установить программное обеспечение ботнета и потребовать свои комиссионные.
Учитывая распространенность ботнетов, можно ожидать, что почти все компании, университеты и другие организации будут использовать некоторые из своих систем в ботнетах. Если организация не отслеживает должным образом свои системы и сети, она может быть неосознанно соучастником атак на другие организации.
Сообщается, что существуют ботнеты с более чем 1 000 000 ботов. Хотя некоторые погонщики ботов могут использовать ботов в своих злонамеренных целях, например разведывательные службы Северной Кореи и Ирана, многие погонщики ботов сдают в аренду свои ботнеты через темную сеть. Преступники могут сдавать в аренду тысячи ботнетов за определенную плату. Преступникам не нужно создавать собственный ботнет, так как они могут арендовать столько ботнетов, сколько им нужно. Ботнеты чрезвычайно универсальны и могут использоваться для различных незаконных целей.
Проблема ботнета
Синьюань Ван , Дэниел Рамсброк , Справочник по компьютерной и информационной безопасности , 2009 г.
7. Резюме
Ботнеты представляют собой одну из самых больших угроз для Интернета на сегодняшний день и связаны с большинством форм интернет-преступлений. Большинство спама, DDoS-атак, шпионского ПО, мошеннических кликов и других атак исходят от ботнетов и теневых организаций, стоящих за ними. Как показали несколько недавних громких арестов, запуск ботнета приносит огромную прибыль. В настоящее время многие ботнеты по-прежнему полагаются на централизованную структуру управления и контроля IRC, но все больше и больше бот-мастеров используют протоколы P2P, чтобы обеспечить устойчивость и избежать единой точки отказа. Недавний крупномасштабный пример ботнета P2P — Storm Worm, широко освещаемый в СМИ.
Существует ряд мер противодействия ботнетам, но большинство из них сосредоточено на обнаружении и удалении ботов на уровне хоста и сети. Существуют некоторые подходы к обнаружению и разрушению целых бот-сетей в Интернете, но нам по-прежнему не хватает эффективных методов борьбы с корнем проблемы: бот-мастерами, которые скрывают свою личность и местонахождение за цепочками промежуточных прокси-серверов.
Три самые большие проблемы при отслеживании ботмастера — это переходы, шифрование и низкий объем трафика. Даже если эти проблемы могут быть решены с помощью технического решения, трассировка должна продолжаться за пределами досягаемости Интернета. Сети мобильной связи, открытые точки беспроводного доступа и общедоступные компьютеры обеспечивают дополнительный уровень анонимности для бот-мастеров.
За исключением идеального решения, даже метод частичной трассировки может служить очень эффективным сдерживающим фактором для бот-мастеров. С каждым обнаруженным и арестованным бот-мастером будет уничтожено сразу несколько ботнетов. Кроме того, другие бот-мастера могут решить, что риски перевешивают преимущества, когда они видят, что все больше и больше их коллег ловят. В настоящее время экономическое уравнение очень простое: ботнеты могут приносить большую прибыль при относительно низком риске быть пойманным. Решение для трассировки ботмастера, даже если оно несовершенно, коренным образом изменит это уравнение и убедит больше ботмастеров в том, что оно просто не стоит того, чтобы рисковать следующие 10–20 лет в тюрьме.
Проблема ботнета
8 Резюме
Ботнеты представляют собой одну из самых больших угроз для Интернета на сегодняшний день и связаны с большинством форм интернет-преступлений. Большинство спама, DDoS-атак, шпионского ПО, мошеннических кликов и других атак исходят от ботнетов и теневых организаций, стоящих за ними. Как показали несколько недавних громких арестов, запуск ботнета приносит огромную прибыль. В настоящее время многие ботнеты по-прежнему полагаются на централизованную структуру управления и контроля IRC, но все больше и больше бот-мастеров используют протоколы P2P, чтобы обеспечить устойчивость и избежать единой точки отказа. Недавний крупномасштабный пример ботнета P2P — Storm Worm, широко освещаемый в СМИ.
Существует ряд мер противодействия ботнетам, но большинство из них сосредоточено на обнаружении и удалении ботов на уровне хоста и сети. Существуют некоторые подходы к обнаружению и разрушению целых бот-сетей в Интернете, но нам по-прежнему не хватает эффективных методов борьбы с корнем проблемы: бот-мастерами, которые скрывают свою личность и местонахождение за цепочками промежуточных прокси-серверов.
Три самые большие проблемы при отслеживании ботмастера — это переходы, шифрование и низкий объем трафика. Даже если эти проблемы могут быть решены с помощью технического решения, трассировка должна продолжаться за пределами досягаемости Интернета. Сети мобильной связи, открытые точки беспроводного доступа и общедоступные компьютеры обеспечивают дополнительный уровень анонимности для бот-мастеров.
За исключением идеального решения, даже метод частичной трассировки может служить очень эффективным сдерживающим фактором для бот-мастеров. С каждым обнаруженным и арестованным бот-мастером будет уничтожено сразу несколько ботнетов. Кроме того, другие бот-мастера могут решить, что риски перевешивают преимущества, когда они видят, что все больше и больше их коллег ловят. В настоящее время экономическое уравнение очень простое: ботнеты могут приносить большую прибыль при относительно низком риске быть пойманным. Решение для трассировки ботмастера, даже если оно несовершенно, коренным образом изменит это уравнение и убедит больше ботмастеров в том, что оно просто не стоит того, чтобы рисковать следующие 10–20 лет в тюрьме.
Наконец, давайте перейдем к настоящей интерактивной части этой главы: контрольным вопросам/упражнениям, практическим проектам, кейс-проектам и необязательному командному кейс-проекту. Ответы и/или решения по главам можно найти в онлайн-руководстве по решениям для инструктора.
Внутренние и внешние риски
Дебора Гонсалес, Управление онлайн-рисками, 2015 г.
Ботнеты
Ботнеты – это группа компьютеров, контролируемых одним источником, на которых выполняется связанное программное обеспечение и скрипты, обычно с незаконными целями. См. рис. 2.2 для получения дополнительной информации о ботнетах.
Распределенные атаки типа «отказ в обслуживании» (DDoS) — тип атаки ботнета, нацеленной на одну жертву и перегружающей ее, так что законным пользователям отказывают в обслуживании. Существует два типа DDoS-атак: «сетецентрическая атака, которая перегружает службу, используя пропускную способность, и атака на уровне приложений, которая перегружает службу или базу данных вызовами приложений». 59
Безопасность сети
Ботнеты
Ботнет – это набор агентов, называемых роботами или ботами, которые используются для выполнения автоматизированных задач, обычно вредоносных. Ботнеты используются для рассылки спама, распределенных атак типа «отказ в обслуживании» и многих других эксплойтов. Во многих случаях боты, выполняющие эти задачи, являются скомпрометированными компьютерами. Таким образом, владельцы этих компьютеров могут не знать, что делает их компьютер.
Из-за своей скрытой природы ботнеты распространяются по всему Интернету без повсеместного вмешательства. Ботнеты могут охватывать сотни тысяч и даже миллионы компьютеров. Боты могут быть запрограммированы с помощью методов, используемых для заражения других компьютеров и создания других ботов.
Компьютеры в ботнете контролируются центральным сервером, называемым сервером управления и контроля. Командно-контрольный сервер периодически отправляет инструкции компьютерам в своей бот-сети. В некоторых случаях в ботнете может быть более одного управляющего сервера. Это еще больше усложняет остановку. Вы можете найти и отключить один управляющий сервер, но тогда боты будут получать инструкции от другого управляющего сервера в ботнете.
Ботнеты сами по себе трудно обнаружить и обезвредить. Но есть несколько вещей, которые вы можете сделать, чтобы защитить свою организацию. Во-первых, убедитесь, что антивирусное программное обеспечение установлено и обновлено на всех ваших системах. Это поможет предотвратить заражение системы. Вы также можете приобрести эвристические системы обнаружения вторжений. Эти системы могут помочь идентифицировать зараженные системы. Также можно использовать мониторинг сети. Вы должны искать чрезмерный сетевой трафик между системами или чрезмерный трафик, предназначенный для одной внешней системы.
Ботнеты: призыв к действию
Крейг А. Шиллер, . Майкл Кросс, Ботнеты, 2007 г.
Кристофер Максвелл
Введение в практическое тестирование безопасности и производительности
Ботнет/червь/вирусная атака
Атаки на инфраструктуру социальных сетей
Карл Тимм , Ричард Перес, «Семь самых смертоносных атак в социальных сетях», 2010 г.
Изучение мира ботнетов
Первые случаи злонамеренного использования ботнетов относятся к началу 2000-х годов. Пользователи IRC столкнулись с ботами Global Threat (GT). Боты GT маскировались под законных клиентов mIRC, а затем скрывались в каталогах Windows. Злоумышленники размещали объявления о загрузке программного обеспечения для защиты компьютера. Ничего не подозревающий пользователь нажмет на ссылку и заразится. Затем бот-пастух отдавал команды атаки, и боты выполняли атаки.
Ботнеты использовались для запуска различных типов атак, включая
Сниффинг и кейлоггинг
Что такое боты?
Звучит немного знакомо слово "робот", не так ли? Собственно, отсюда и возник этот термин. Поскольку злоумышленник смог захватить вашу систему и управлять ею, она действовала как его или ее «робот». Термин был сокращен до просто «бот». Прежде чем мы углубимся в работу ботнета, нам нужно обсудить различные типы существующих ботов.
Бот GT. Эти боты основаны на популярном клиенте IRC, известном как mIRC. Их ядро состоит из набора mIRC-скриптов, которые используются для управления активностью удаленной системы. Затем бот запускает клиент со сценариями управления. Он также запускает другое приложение, чтобы скрыть mIRC от пользователя.
Agobot. Этот тип бота использует модульный исходный код, написанный на C++. Он является многопоточным и пытается скрыть себя от пользователя, используя NTFS Alternate Data Stream, Antivirus Killer и Polymorphic Encryptor Engine, и это лишь некоторые из них. Agobot предоставляет функции перехвата и сортировки трафика. Подождите секунду, что это за штуки?
Альтернативный поток данных NTFS позволяет связать более одного потока данных с именем файла.
Killer – это вредоносное средство, используемое для отключения антивирусной программы пользователя, чтобы избежать обнаружения.
Polymorphic Encryptor Engine позволяет вирусу изменять себя при каждом заражении.
Dataspy Network X (DSNX): DSNX — это троян, который устанавливается в системе жертвы. Затем создатель может общаться с DSNX через жестко запрограммированный канал IRC. DSNX также может предоставить информацию об элементах системы жертвы.
SDBot: этот бот похож на Agobot и DSNX.Однако его код не такой понятный, и он имеет ограниченный набор функций.
Как работают боты?
Вау, эти боты очень крутые. Знаешь что? Они еще круче, когда вы понимаете, как они работают. Какими бы крутыми они ни были, мы должны помнить, что они опасны и ни к чему хорошему не приведут. На рис. 1.3 показана базовая ботнет.
РИСУНОК 1.3. Простой ботнет
На рисунке 1.3 мы можем посмотреть на простую операцию ботнета следующим образом:
Злоумышленник заражает пользователей вредоносным ПО. Злоумышленник распространяет вредоносное ПО с помощью червей, Click-and-infect и множества других методов. После заражения бот подключается к IRC-серверу и ожидает дальнейших инструкций.
Как только злоумышленник закончит создание своих ботов, он начнет атаку. Злоумышленник также может сдать в аренду свой ботнет для получения прибыли.
Атакующий уничтожит ботнет, разорвав все связи и отключив IRC-канал.
Проще говоря, именно так создается, используется и уничтожается ботнет. Довольно просто, да? Описанный выше процесс можно разделить на четыре этапа:
На этапе создания злоумышленники создают бота. Они могут добиться этого, написав свой собственный или выбрав более легкий путь и используя уже созданный. Благодаря возможности использовать готовых ботов создание ботнета становится доступным для злоумышленников, практически не имеющих навыков.
После создания бота мы переходим к этапу настройки. На этом этапе злоумышленник предоставляет боту информацию о сервере и канале IRC, ограничивает доступ к боту, защищает канал IRC и предоставляет список авторизованных пользователей. Также можно предоставить боту информацию о типе атаки и жертве.
Теперь мы переходим к этому важному этапу заражения. На этом этапе злоумышленник выберет заражение других компьютеров, я имею в виду вербовку их ботов прямым или косвенным методом. Прямой метод может включать использование червя, использующего уязвимости в операционной системе. Косвенный метод может быть реализован путем создания злоумышленником поддельного сайта или публикации в группе новостей с просьбой к пользователям загрузить программу, которая может им чем-то помочь. Как только ничего не подозревающий пользователь нажимает на ссылку, бот загружается в его или ее систему. В таблице 1.2 приведен список портов Windows, которые злоумышленники использовали для заражения своих систем.
Таблица 1.2. Распространенные уязвимые порты Windows
RPC, удаленный вызов процедур; UDR, определяемые пользователем функции; UPnP, универсальная технология Plug and Play
В таблице 1.2 представлен список распространенных портов Windows, которые используются для заражения компьютеров ботами. Хорошей отправной точкой было бы заблокировать как можно больше этих портов. Это не защитит вас полностью, но снизит вероятность заражения.
После заражения боты будут входить в ЧПУ с паролем. Злоумышленник также войдет в систему ЧПУ, чтобы отдавать команды ботам. Злоумышленник использует защиту паролем, поэтому не каждый может войти в систему и контролировать его или ее ботнет. Этот этап известен как этап контроля.
Теперь, когда у вас есть представление о том, как создается ботнет и как им управлять, выяснили ли вы, как злоумышленники использовали Twitter в качестве ЧПУ? По сути, злоумышленники создали поддельный аккаунт в Twitter. Затем они создали своих ботов и настроили их для регистрации в ленте фальшивой учетной записи Twitter. Затем злоумышленники входили в учетную запись Twitter и публиковали обновления своего статуса. В этом сообщении о состоянии злоумышленник вводил команды ботам. Боты будут получать команды через ленту сообщений, которую они тоже зарегистрировали. Наконец, боты будут следовать порядку команд. Довольно круто, не так ли?
Прежде чем мы перейдем к марионеточным сетям, я действительно хочу убедить вас в том, насколько опасны ботнеты. Ниже приведены некоторые факты, которые, я думаю, вас заинтересуют:
В 2007 году один из изобретателей TCP/IP Винт Серф заявил, что от 100 до 150 миллионов из 600 миллионов компьютеров, подключенных к Интернету, являются частью ботнета.
Conflicker нанял более 10 000 000 ботов, способных создавать 10 миллиардов спам-сообщений в день.
Srixbi наняла 450 000 ботов, способных создавать 60 миллиардов спам-сообщений в день.
Kraken наняла 495 000 ботов, способных рассылать 9 миллиардов спам-сообщений в день.
Компания Rustock наняла 150 000 ботов, способных рассылать 30 миллиардов спам-сообщений в день.
Если этих цифр недостаточно, чтобы напугать вас, то я не знаю, что еще. Атаки развиваются со временем, и ботнеты не исключение. Войдите в кукольную сеть.
SQL-инъекция и управление хранилищем данных
Майк Шема, взлом веб-приложений, 2012 г.
DECLARE @T VARCHAR(255),@C VARCHAR(255) DECLARE Table_Cursor CURSOR FOR SELECT a.name,b.name FROM sysobjects a,syscolumnsb
ГДЕ a.id=b.id И a.xtype='u' И (b.xtype=99 ИЛИ b.xtype=35 ИЛИ b.xtype=231 ИЛИ b.xtype=167) OPEN Table_Cursor FETCH NEXT< /p>
FROM Table_Cursor INTO @T,@C WHILE(@@FETCH_STATUS=0) BEGIN EXEC(‘UPDATE [’[email protected]+’] SET
В новостях об интернет-преступлениях часто упоминаются "боты", "зомби" и "ботнеты". Из контекста нетрудно понять, что это угрозы компьютерной или сетевой безопасности. Но что это такое, как они работают и какой ущерб они могут нанести?
Бот, сокращение от "робот", представляет собой тип программного приложения или скрипта, который выполняет автоматизированные задачи по команде. Плохие боты выполняют вредоносные задачи, которые позволяют злоумышленнику удаленно получить контроль над зараженным компьютером. После заражения эти машины также могут называться зомби.
Готовы ли вы к сегодняшним атакам? Узнайте о крупнейших киберугрозах года в нашем ежегодном отчете об угрозах.
Хотя захват одного компьютера полезен, реальная ценность для преступника заключается в сборе огромного количества компьютеров-зомби и объединении их в сеть, чтобы ими можно было управлять одновременно для совершения крупномасштабных злоумышленных действий. Этот тип сети известен как "ботнет".
Как работают ботнеты?
За последнее десятилетие ботнеты стали одним из наиболее распространенных способов развертывания вредоносных программ, заразив сотни миллионов компьютеров. Поскольку ботнеты заражают новые технологии, такие как устройства Интернета вещей (IoT) в домах, общественных местах и безопасных зонах, скомпрометированные системы могут подвергнуть еще большему риску ничего не подозревающих пользователей.
Они выполняют большие операции, оставаясь маленькими
Большинство людей были бы шокированы, узнав, что спам, который они получают, исходит с тысяч или даже миллионов компьютеров, таких же, как и их собственные. Настоящие владельцы этих компьютеров все еще могут их использовать и, вероятно, совершенно не подозревают, что что-то не так, за исключением, возможно, того, что их компьютер иногда кажется медленным. Большинство ботнетов занимают очень мало места, а это означает, что они перегружают вашу систему или используют много системных ресурсов, поэтому может быть трудно распознать, когда ваша машина используется преступником в злонамеренных целях. Кроме того, у них обычно есть способность маскироваться, поэтому они могут совершать крупномасштабные атаки, оставаясь незамеченными.
Они компрометируют открытые и незащищенные устройства
Ботнет Mirai, обнаруженный в 2016 году, в основном атаковал устройства Интернета вещей, в том числе камеры и интернет-маршрутизаторы. По сути, устройства, зараженные вредоносным ПО Mirai, становились ботами, которые сканировали Интернет в поисках устройств IoT. Затем Mirai будет использовать общие имена пользователей и пароли по умолчанию, установленные производителями устройств, чтобы попытаться проникнуть в эти устройства и заразить их. По большей части зараженные устройства функционировали нормально, даже если они использовались в крупных распределенных атаках типа «отказ в обслуживании» (DDoS).
Заражение незащищенного компьютера или другого устройства, подключенного к Интернету, вредоносным программным обеспечением и превращение его в бота занимает всего несколько минут, что подчеркивает острую потребность каждого пользователя компьютера и смартфона в наличии современного программного обеспечения для обеспечения безопасности в Интернете. на всех своих устройствах и всегда менять заводские имена пользователей и пароли по умолчанию.
Почему киберпреступники используют ботнет-атаки?
Чтобы украсть финансовую и личную информацию
Хакеры могут использовать ботнеты для рассылки спама, фишинга или других мошеннических действий, чтобы обманом заставить потребителей отказаться от своих с трудом заработанных денег. Они также могут собирать информацию с машин, зараженных ботами, и использовать ее для кражи идентификационных данных, а также взимания ссуды и оплаты покупок от имени пользователя.
Для атаки на законные веб-сервисы
Преступники могут использовать свои ботнеты для создания DoS- и DDoS-атак, в результате которых законный сервис или сеть переполняется огромным объемом трафика. Громкость может серьезно замедлить работу службы или сети компании, а также полностью перегрузить службу или сеть компании и отключить их.
Вымогать деньги у жертв
Доход от DoS-атак поступает за счет вымогательства (заплатите или заблокируйте свой сайт) или за счет платежей групп, заинтересованных в нанесении ущерба компании или сети. В эти группы входят «хактивисты» — хакеры с политическими целями, а также иностранные военные и разведывательные организации.
Чтобы заработать на зомби и ботнетах
Киберпреступники также могут сдавать свои ботнеты в аренду другим преступникам, которые хотят рассылать спам, мошенничество, фишинг, красть идентификационные данные и атаковать законные веб-сайты и сети.
Советы по предотвращению атаки ботнета
Если вы не установили программное обеспечение для обеспечения безопасности и убедитесь, что оно включено и постоянно обновляется, ваш компьютер, вероятно, заражен всеми видами вредоносного программного обеспечения. Вот несколько шагов, которые вы должны предпринять, чтобы защитить свои системы от проникновения ботнетов:
- Настройте автоматическое обновление антивирусных и антишпионских программ.
- Регулярно проверяйте наличие обновлений и исправлений для браузера и операционной системы.
- Нажимайте на интернет-ссылки или открывайте сообщения электронной почты, только если вы доверяете источнику.
Обычные риски для пользователей возникают при загрузке контента с неизвестных сайтов или от друзей, которые не имеют современных средств защиты и непреднамеренно передают зараженные файлы другим пользователям. Когда люди загружают скомпрометированные файлы, вредоносный код может обойти слабые контрольные точки безопасности, которые могли попытаться поместить вредоносное ПО в карантин и удалить его. Всегда соблюдайте предельную осторожность при загрузке информации или файлов с незащищенного компьютера.
Разработчики вредоносных программ всегда ищут новые способы обойти меры безопасности, и существует риск заражения из-за действий, предпринятых вами или другим человеком, который использовал компьютер или систему. Обязательно используйте расширенное программное обеспечение для обеспечения безопасности в Интернете, которое может обнаруживать и останавливать вирусы и другие вредоносные программы, даже если вы случайно нажмете на ссылку, загрузите файл или предпримете другие действия, которые могут привести к заражению вашего компьютера.
Вредоносное ПО (сокращение от вредоносное ПО) – это общий термин для обозначения вирусов, червей, троянов и других вредоносных компьютерных программ, которые хакеры используют для уничтожения и получения доступа к конфиденциальной информации. По словам Microsoft, «[вредоносное ПО] — это универсальный термин для обозначения любого программного обеспечения, предназначенного для нанесения ущерба отдельному компьютеру, серверу или компьютерной сети». Другими словами, программное обеспечение идентифицируется как вредоносное ПО на основе его предназначенного использования, а не конкретного метода или технологии, использованных для его создания.
Это означает, что вопрос, скажем, о том, в чем разница между вредоносным ПО и вирусом, немного упускает из виду: вирус — это тип вредоносного ПО, поэтому все вирусы являются вредоносными программами (но не каждое вредоносное ПО является вирусом). ).
Типы вредоносных программ
Существует несколько различных способов классификации вредоносных программ. во-первых, тем, как распространяется вредоносное программное обеспечение. Вы, наверное, слышали, что слова вирус, троян и червь используются взаимозаменяемо, но, как объясняет Symantec, они описывают три слегка различающихся способа, которыми вредоносное ПО может заразить целевые компьютеры:
- Червь – это отдельная вредоносная программа, которая воспроизводит себя и распространяется с компьютера на компьютер.
- Вирус – это фрагмент компьютерного кода, который встраивается в код другой отдельной программы, а затем заставляет эту программу выполнять вредоносные действия и распространяться.
- Троянская программа – это программа, которая не может воспроизводить себя, но маскируется под что-то, чего хочет пользователь, и обманным путем заставляет его активировать ее, чтобы нанести ущерб и распространиться.
Вредоносное ПО также может быть установлено на компьютер «вручную» самими злоумышленниками, либо получив физический доступ к компьютеру, либо воспользовавшись повышением привилегий для получения удаленного доступа администратора.
- Шпионское ПО определяется Webroot Cybersecurity как «вредоносное ПО, используемое для тайного сбора данных о ничего не подозревающих пользователях». По сути, он отслеживает ваше поведение при использовании компьютера, а также данные, которые вы отправляете и получаете, обычно с целью отправки этой информации третьей стороне. Кейлоггер – это особый вид шпионского ПО, которое записывает все нажатия клавиш пользователем, что отлично подходит для кражи паролей.
- Руткит, по определению TechTarget, – это "программа или, чаще, набор программных инструментов, которые предоставляют злоумышленникам удаленный доступ и контроль над компьютером или другой системой". Он получил свое название, потому что это набор инструментов, которые (как правило, незаконным образом) получают доступ root (управление на уровне администратора, в терминах Unix) над целевой системой и используют эту власть, чтобы скрыть свое присутствие. это вредоносное ПО, которое заставляет ваш браузер перенаправлять на веб-рекламу, которая часто сама пытается загрузить еще более вредоносное программное обеспечение. Как отмечает The New York Times, рекламное ПО часто использует заманчивые "бесплатные" программы, такие как игры или расширения для браузера.
- Программы-вымогатели – это разновидность вредоносных программ, которые шифруют файлы на вашем жестком диске и требуют оплаты, обычно в биткойнах, в обмен на ключ дешифрования. Несколько громких вспышек вредоносных программ за последние несколько лет, таких как Petya, являются программами-вымогателями. Без ключа расшифровки жертвы математически не могут восстановить доступ к своим файлам. Так называемые пугающие программы — это своего рода теневая версия программ-вымогателей. он утверждает, что завладел вашим компьютером и требует выкуп, но на самом деле просто использует уловки, такие как циклы перенаправления браузера, чтобы создать впечатление, будто он нанес больше вреда, чем на самом деле, и, в отличие от программ-вымогателей, относительно легко отключить. ли>
- Криптоджекинг — это еще один способ, с помощью которого злоумышленники могут заставить вас предоставить им биткойны, но он работает без вашего ведома. Вредоносное ПО для майнинга криптовалют заражает ваш компьютер и использует циклы вашего процессора для майнинга биткойнов для получения прибыли злоумышленником.Программное обеспечение для майнинга может работать в фоновом режиме в вашей операционной системе или даже как JavaScript в окне браузера.
- Вредоносная реклама – это использование легитимной рекламы или рекламных сетей для скрытой доставки вредоносного ПО на компьютеры ничего не подозревающих пользователей. Например, киберпреступник может заплатить за размещение рекламы на законном веб-сайте. Когда пользователь нажимает на объявление, код в объявлении либо перенаправляет его на вредоносный веб-сайт, либо устанавливает вредоносное ПО на его компьютер. В некоторых случаях вредоносное ПО, встроенное в рекламу, может запускаться автоматически без каких-либо действий со стороны пользователя. Этот метод называется "загрузкой с диска".
У любого конкретного вредоносного ПО есть как средство заражения, так и поведенческая категория. Так, например, WannaCry — это червь-вымогатель. И конкретная часть вредоносного ПО может иметь разные формы с разными векторами атаки: например, банковское вредоносное ПО Emotet было замечено в дикой природе как троян и червь.
Посмотрев на 10 главных нарушителей вредоносного ПО по версии Центра интернет-безопасности за июнь 2018 г., вы получите представление о типах вредоносного ПО. На сегодняшний день наиболее распространенным вектором заражения является спам по электронной почте, который обманом заставляет пользователей активировать вредоносное ПО в стиле троянов. WannaCry и Emotet являются наиболее распространенными вредоносными программами в списке, но многие другие, включая NanoCore и Gh0st, представляют собой так называемые трояны удаленного доступа или RAT — по сути, руткиты, которые распространяются подобно троянским программам. Криптовалютные вредоносные программы, такие как CoinMiner, завершают список.
Как предотвратить вредоносное ПО
Поскольку спам и фишинговая электронная почта являются основным вектором, с помощью которого вредоносное ПО заражает компьютеры, лучший способ предотвратить вредоносное ПО — убедиться, что ваши почтовые системы надежно заблокированы, а ваши пользователи знают, как обнаружить опасность. Мы рекомендуем сочетать тщательную проверку вложенных документов и ограничение потенциально опасного поведения пользователей, а также просто знакомить ваших пользователей с распространенными фишинговыми схемами, чтобы их здравый смысл мог действовать.
Что касается более технических профилактических мер, вы можете предпринять ряд шагов, в том числе установить исправление и обновление всех ваших систем, вести инвентаризацию оборудования, чтобы вы знали, что вам нужно защитить, и проводить непрерывную оценку уязвимостей. на вашей инфраструктуре. В частности, когда дело доходит до атак программ-вымогателей, один из способов быть готовым — всегда делать резервные копии ваших файлов, чтобы вам никогда не пришлось платить выкуп, чтобы вернуть их, если ваш жесткий диск зашифрован.
Защита от вредоносных программ
Антивирусное программное обеспечение является наиболее широко известным продуктом в категории продуктов для защиты от вредоносных программ. несмотря на то, что в названии есть слово «вирус», большинство предложений борются со всеми формами вредоносного ПО. Хотя профессионалы в области безопасности считают его устаревшим, он по-прежнему является основой базовой защиты от вредоносных программ. Согласно недавним тестам AV-TEST, лучшее антивирусное программное обеспечение на сегодняшний день принадлежит производителям Лаборатории Касперского, Symantec и Trend Micro.
Что касается более сложных корпоративных сетей, предложения защиты конечных точек обеспечивают всестороннюю защиту от вредоносного ПО. Они обеспечивают не только обнаружение вредоносного ПО на основе сигнатур, которое вы ожидаете от антивируса, но и антишпионское ПО, персональный брандмауэр, контроль приложений и другие способы предотвращения вторжений на хост. Gartner предлагает список своих лучших решений в этой области, в который входят продукты Cylance, CrowdStrike и Carbon Black.
Как обнаружить вредоносное ПО
Вполне возможно — и даже вероятно — что ваша система в какой-то момент будет заражена вредоносным ПО, несмотря на все ваши усилия. Как вы можете сказать наверняка? Обозреватель CSO Роджер Граймс написал подробное описание того, как диагностировать ваш компьютер на наличие потенциальных вредоносных программ, которые могут оказаться полезными.
Когда вы дойдете до уровня корпоративных ИТ-специалистов, вы также сможете воспользоваться более продвинутыми инструментами наблюдения, чтобы увидеть, что происходит в вашей сети, и обнаружить заражение вредоносным ПО. Большинство видов вредоносных программ используют сеть для распространения или отправки информации обратно своим контроллерам, поэтому сетевой трафик содержит сигналы заражения вредоносными программами, которые в противном случае вы могли бы пропустить; Существует широкий спектр инструментов для мониторинга сети по цене от нескольких долларов до нескольких тысяч. Существуют также инструменты SIEM, которые произошли от программ управления журналами; эти инструменты анализируют журналы с различных компьютеров и устройств в вашей инфраструктуре в поисках признаков проблем, включая заражение вредоносным ПО. Поставщики SIEM варьируются от крупных компаний, таких как IBM и HP Enterprise, до более мелких специалистов, таких как Splunk и Alien Vault.
Удаление вредоносных программ
Как удалить вредоносное ПО после заражения — это вопрос на миллион долларов. Удаление вредоносных программ — непростое дело, и метод может варьироваться в зависимости от типа, с которым вы имеете дело. У CSO есть информация о том, как удалить руткиты, программы-вымогатели и криптоджекинг или иным образом восстановить их.У нас также есть руководство по аудиту реестра Windows, чтобы понять, что делать дальше.
Если вы ищете инструменты для очистки вашей системы, у Tech Radar есть хороший обзор бесплатных предложений, в котором есть как знакомые имена из мира антивирусов, так и новички, такие как Malwarebytes.
Примеры вредоносных программ
Мы уже обсудили некоторые из текущих угроз вредоносного ПО, которые сегодня становятся все более опасными. Но существует длинная, легендарная история вредоносных программ, которая восходит к зараженным дискетам, которыми обменивались любители Apple II в 1980-х годах, и червю Морриса, распространявшемуся по машинам Unix в 1988 году. Вот некоторые из других громких атак вредоносного ПО: р>
- Червь ILOVEYOU, распространившийся со скоростью лесного пожара в 2000 году и причинивший ущерб более чем на 15 миллиардов долларов США.
- SQL Slammer, остановивший интернет-трафик в течение нескольких минут после первого быстрого распространения в 2003 году.
- Червь Conficker, использующий неисправленные бреши в Windows и различные направления атак — от внедрения вредоносного кода до фишинговых электронных писем — для взлома паролей и захвата устройств Windows в ботнет.
- Zeus, троян-кейлоггер конца 2000-х годов, нацеленный на банковскую информацию.
- CryptoLocker, первая широко распространенная атака программ-вымогателей, код которой постоянно используется в аналогичных вредоносных проектах.
- Stuxnet, чрезвычайно сложный червь, заразивший компьютеры по всему миру, но причинивший реальный ущерб только в одном месте: на иранском ядерном объекте в Натанзе, где он уничтожил центрифуги по обогащению урана, для которой он был создан спецслужбами США и Израиля< /li>
Тенденции вредоносных программ
Вы можете рассчитывать на то, что киберпреступники будут следить за деньгами. Они будут нацеливаться на жертв в зависимости от вероятности успешной доставки своего вредоносного ПО и размера потенциальной выплаты. Если вы посмотрите на тенденции вредоносных программ за последние несколько лет, вы увидите некоторые колебания с точки зрения популярности определенных типов вредоносных программ и наиболее частых жертв — все это обусловлено тем, что, по мнению преступников, будет иметь наибольшую рентабельность инвестиций. р>
Недавние исследовательские отчеты указывают на некоторые интересные изменения в тактике и целях вредоносных программ. Криптомайнеры, которые превзошли программы-вымогатели как наиболее распространенный тип вредоносного ПО, теряют популярность из-за снижения стоимости криптовалюты. Программа-вымогатель становится все более целенаправленной, отказываясь от подхода дробовика.
Атаки вредоносного ПО на предприятия резко возросли
Согласно отчету Malwarebytes Labs о состоянии вредоносных программ за 2019 год, количество вредоносных программ, с которыми они столкнулись, в 2018 году увеличилось на 79 % по сравнению с 2017 годом. своего рода увеличение или большое количество обнаружений со стороны потребителя», — говорит Адам Куджава, директор Malwarebytes Labs. «С точки зрения бизнеса он может медленно расти, но, конечно, ничего подобного мы не видели за последние шесть месяцев». Для сравнения, за тот же период количество обнаружений среди потребителей сократилось на 3 %.
"Мы заметили, что киберпреступники стремятся отойти от потребителей и вместо этого направить свои очень серьезные средства против бизнеса", – добавляет Куява.
Эта «действительно серьезная угроза» в основном представляет собой старое вредоносное ПО, ориентированное на потребителя, которое «вооружили» и превратили в более крупную и универсальную угрозу для бизнеса. Куджава называет Emotet одним из самых значительных. «Это неприятный маленький троянец для кражи информации, который также устанавливает дополнительные вредоносные программы, распространяется в боковом направлении и действует как собственный отправитель спама. Как только он заражает систему, он начинает рассылать электронные письма и пытается заразить других людей».
Emotet существует с 2014 года и ориентирован в основном на потребителей. Первоначально он заражал компьютер, пытаясь украсть информацию о финансовой или кредитной карте человека. С тех пор он приобрел новые возможности, вдохновленные или заимствованные из других успешных вредоносных программ, таких как Wannacry или EternalBlue. «Теперь он стал намного более модульным, и мы видим, что он может использовать эти эксплойты для прохождения через корпоративную сеть, тогда как раньше они были ограничены одной конечной точкой», — говорит Куява. «Даже если это небольшая сеть в малом бизнесе, это более пикантно, чем заражение бабушки».
Согласно отчету Global Threat Report: The Year of the Next-Gen Cyberattack от Carbon Black, распространение вредоносного ПО увеличивается. Почти 60 % атак вредоносного ПО на бизнес в настоящее время предназначены для горизонтального распространения по сети.
Одной из причин всплеска атак вредоносного ПО на бизнес может быть Общий регламент ЕС по защите данных (GDPR). Куява считает, что, возможно, злоумышленники активизировали бизнес-атаки, думая, что после вступления в силу постановления будет сложнее украсть личные и другие данные. Это в сочетании со снижением стоимости криптовалюты и усилением защиты от программ-вымогателей заставило злоумышленников использовать то, что работало в прошлом. «Они всегда [возвращаются к тому, что работает]», — говорит он. «Киберпреступность циклична.Оно всегда возвращается».
Атаки с использованием криптомайнинга снижаются
В отчете Malwarebyte Labs отмечается отход от криптомайнинга, начиная со второго квартала 2018 года, в основном из-за снижения стоимости криптовалюты. Тем не менее, количество обнаружений криптомайнинга увеличилось за год на 7%.
Вместо этого киберпреступники обращаются к вредоносным программам для кражи информации, таким как Emotet, чтобы получить прибыль. «В целом кажется, что преступники пришли к единому мнению, что иногда лучше воровать, чем добывать», — говорится в отчете.
Программы-вымогатели становятся более целенаправленными
Куява отмечает, что малый и средний бизнес (МСП) становится все более популярной целью. Он связывает это с вероятностью получения оплаты за атаки программ-вымогателей — малые и средние предприятия часто не могут позволить себе простои и рассматривают выплату выкупа как самый быстрый способ восстановления. Кроме того, они часто являются более мягкими целями, чем крупные компании.
Согласно отчету Malwarebytes, в 2018 году число обнаружений программ-вымогателей во всем мире сократилось на 26 %. Однако количество обнаружений программ-вымогателей в компаниях выросло на 28 процентов. Наиболее часто целевыми отраслями были консалтинг, образование, производство и розничная торговля. Куджава считает, что преступники сосредотачиваются на этих отраслях из-за возможности и вероятности выплаты выкупа.
Читайте также: