Искусство цифровой самозащиты

Троян (Trojan)

Троянская вирусная программа (также – троян) – разновидность вредоносной программы, проникающая в компьютер под видом легитимного программного обеспечения, в отличие от вирусов и червей, которые распространяются самопроизвольно. Современные трояны могут записывать не только нажатие клавиш, но и перехватывать данные форм интернет-браузеров (вводимые пароли от почты, номера карт, пароли от онлайн-банков), извлекать сохраненные пароли из других программ (например, как у меня пароли от ICQ), делать скриншоты рабочего стола, следить за перемещением пользователя, записывать изображения или видео с камеры.

В эпической поэме Вергилия «Энеида» греческий стратег Одиссей придумал коварный план, чтобы проникнуть за неприступные крепостные стены осажденной Трои. Вместо того чтобы проламывать стены или взбираться на них, Одиссей предложил другой способ: прибегнуть к хитрости. Троянцы увидели, как греческие корабли уплыли прочь, оставив после себя гигантского деревянного коня в знак признания поражения. Ликуя и празднуя победу, троянцы втащили коня в город, не подозревая, что внутри спрятались Одиссей и его солдаты, которые дождались глубокой ночи и захватили город.

Есть несколько элементов этой истории, которые делают термин «троянский конь» подходящим названием для этих типов кибератак:

• Троянский конь был уникальным решением для преодоления защиты цели. В оригинальной истории нападавшие осаждали город 10 лет и так и не смогли его победить. Троянский конь дал им доступ, о котором они мечтали столько лет. Точно так же троянский вирус может быть хорошим способом обойти сложную систему защиты.

• Троянский конь казался обычным подарком. В том же духе троянский вирус выглядит как легальное программное обеспечение.

• Солдаты из троянского коня захватили и взяли под контроль систему обороны города. С помощью троянского вируса вредоносное ПО получает контроль над вашим компьютером, потенциально делая его уязвимым для других «захватчиков».

Впервые термин «троян» был использован в ссылке на вредоносный код в отчете ВВС США 1974 года, посвященном анализу уязвимостей компьютерных систем. Термин стал популярным в 1980-х, особенно после лекции Кена Томпсонa на награждении ACM Turing Awards 1983 года.

Одним из основоположников известных троянов стал PC-Write Trojan (1986). Текстовый редактор PC-Write был одной из первых свободно распространяемых shareware^[7] программ. PC-Write Trojan маскировался как версия 2.72 текстового редактора PC-Write, хотя сами создатели никогда не выпускали такую версию. Пользователь думал, что запускает новую версию условно-бесплатной программы, а по факту запускал троян на своем компьютере. После запуска троян уничтожал все файлы на диске.

Своего первого трояна я написал еще в 1998 году. Интернет тогда у нас был через обычные телефонные модемы по проводным телефонным линиям. Скорость по такому интернет-соединению достигала максимум 56 кбит/c, т. е. вы могли скачивать всего 7 килобайт в секунду, и то в лучшем случае.

У нас в Кингисеппе^[8] интернет был только по модему и достаточно дорогой для того времени. Звонишь по определенному номеру и потом платишь по несколько рублей за минуту на линии. Поэтому для электронной почты некоторые умельцы подняли выделенный сервер, расположили его на местном заводе «Фосфорит»^[9]. Специальная программа Minihost дозванивалась до сервера и принимала/отправляла почту по протоколу UUCP^[10]. Вот под этот почтовый клиент я и написал трояна на Pascal’е^[11]: он должен был стащить пароли от почты и отправить тем же Minihost’ом мне на специальный адрес электронной почты. Закинул этого трояна я в местную почтовую конференцию под видом «крутого скринсейвера».

Следующий мой троян использовался как загрузчик для спам-бота^[12] Festi. Задача трояна была скрытно установить бота на компьютер пользователя. Вот только одна проблема: начиная с Windows Vista Microsoft встроила в операционную систему UAC^[13], который блокировал установку драйверов-руткитов.

Нужно было получить права администратора. И один из таких способов – социальная инженерия. Троян-загрузчик притворялся обновлением Adobe Flash Player^[14] и при нажатии на Install запрашивал те самые права администратора, что уже не вызывало подозрений у пользователя. Далее троян имитировал процесс обновления и закрывался, выполнив свою задачу.

Этот пример хорошо иллюстрирует природу троянской программы: замаскироваться под видом чего-то вполне легального и выполнить некоторые действия без ведома и разрешения пользователя. Такие программы в подавляющем большинстве случаев служат для вредоносных целей.

Виды троянских программ:

• Удаленный доступ (Backdoors)

Бэкдоры открывают злоумышленникам доступ к управлению зараженным компьютером. Злоумышленник может делать что угодно на захваченном ПК – например, копировать файлы, делать снимки экрана. Так очень часто начинается взлом целой сети предприятия. На зараженной машине находят доступы от других компьютеров в сети – рабочих станций, баз данных, почтовых серверов – и устанавливают на них, например, шифровальщика.

• Дроппер (Dropper)

Название происходит от английского слова drop – сбрасывать. Дроппер несет внутри себя другой вредоносный код, который он запускает (сбрасывает) на зараженном компьютере. Например, дроппер может содержать трояна-кейлоггера, который после запуска маскируется внутри системы и перехватывает весь ввод с клавиатуры.

• Загрузчик (Loader)

Так же, как и дроппер, может запускать на инфицированном компьютере произвольный код без ведома и согласия пользователя. Но, в отличиe от дроппера, загрузчик остается резидентным в памяти и может загрузить произвольный файл с удаленного сервера злоумышленника и выполнить его на целевой машине. Обычно загрузчиками пользуются поставщики загрузок (installs), которые продают эти загрузки на теневых форумах. Но об этом мы поговорим позже.

• Банковские трояны

Банковские трояны встречаются наиболее часто. Их используют злоумышленники для кражи доступов в онлайн-банки, платежные системы, а также для кражи номеров кредитных карт. Вообще такие трояны обычно крадут доступы от любых сайтов, будь то ваш личный счет в PayPal или ваш аккаунт на mail.ru. Периодически полученные данные отправляются на удаленный сервер, контролируемый злоумышленником. На языке кардеров^[15] подобные данные называются логами^[16].

• Трояны, выполняющие DDoS-атаки

Распределенные атаки типа «отказ в обслуживании» (DDoS) продолжают будоражить интернет. В этих атаках к серверу или сети обращается огромное количество запросов, как правило, это делается с использованием ботнетов^[17]. В июне 2022 года произошла рекордная DDoS-атака^[18]. Источником стал ботнет Mantis, состоящий из зараженных серверов и виртуальных машин. Атака достигала 26 млн запросов в секунду. Представьте, тысячи машин по всему миру слали одновременно 26 млн запросов в секунду! Такую атаку выдержит не каждая DDoS-защита, не то что сайт. Для достижения такой вычислительной мощности необходимо огромное количество ботов. Ботнеты состоят из так называемых компьютеров-зомби. На первый взгляд эти компьютеры работают нормально, однако они также используются при совершении атак. Причиной является троянская программа с бэкдором, незаметно присутствующая на компьютере и при необходимости активируемая оператором. Результатом успешных DDoS-атак является недоступность веб-сайтов или даже целых сетей.

• Трояны, имитирующие антивирусы (Fake AV)

Трояны, имитирующиe антивирусы, относятся к классу программ-страшилок (Scareware). Такие лжеантивирусы особенно коварны. Вместо защиты устройства они являются источником серьезных проблем. Эти троянские программы имитируют обнаружение вирусов, тем самым вызывая панику у ничего не подозревающих пользователей и убеждая их приобрести эффективную защиту за определенную плату. Однако вместо полезного инструмента антивирусной проверки вы получаете пустышку, либо, что еще хуже, данные вашей карты попадают к злоумышленникам – кардерам.

• Трояны-вымогатели

Этот тип троянских программ может изменять данные на компьютере, вызывая сбои в его работе, или блокировать доступ к определенным данным. Злоумышленники обещают восстановить работоспособность компьютера или разблокировать данные только после получения требуемого выкупа. Примером такого трояна является шифровальщик. Один из самых резонансных инцидентов с вымогателями-шифровальщиками за последнее время – атака на Colonial Pipeline, компанию, снабжающую топливом часть Bосточного побережья США. Шифровальщик уведомляет жертву, что ее компьютер или серверы зашифрованы, а также отправляет личный URL-адрес утечки: украденная информация загружена в интернет и ждет автоматической публикации, если организация не заплатит до определенного срока. Также хакеры сообщают, что удалят все данные жертвы из сети в случае оплаты. Режим ЧП был введен в 18 штатах США. Позже стало известно, что оператор трубопроводов Colonial Pipeline выплатил взломавшей его системы группировке хакеров DarkSide около $5 миллионов в качестве выкупа в криптовалюте сразу через несколько часов после атаки.

• Трояны-прокси

Программа, предназначенная для анонимного доступа злоумышленника в интернет через компьютер жертвы. Т. е. злоумышленник попросту использует IP-адрес^[19] жертвы для выхода в интернет. Прокси обычно используются для рассылки спама, перебора паролей, взлома сайтов или же в схемах обналичивания денег с похищенных карт (когда кардер делает покупку чужой картой в интернет-магазине).

Итак, троянская программа – это такая вредоносная программа, которая проникает на ваш компьютер под видом абсолютно легитимного программного обеспечения, но при этом дает злоумышленнику возможность использовать ресурсы вашего компьютера без вашего ведома (прокси, DDoS-атаки, рассылка спам-сообщений), красть ваши пароли или платежные данные (кейлоггер), вымогать у вас деньги (шифровальщики) или обманом заставлять купить антивирус-пустышку.

Вирусы

В 2000 году широкой общественности представили новую операционную систему Windows 2000. И мы с братом решили ее попробовать на своем домашнем компьютере скромной конфигурации Intel Celeron 266, 64 Mб памяти, 4 гигабайта hdd. Достали пиратский компакт-диск и запустили инсталлятор прямо из-под Windows 98; система что-то скопировала и ушла в перезагрузку. Windows 2000 установила свой загрузчик, который позволял выбрать либо старую ОС Win98, либо новую Win2000.

Уже на новую Win2000 мы тут же установили свеженький AVP^[20]. AVP при старте запустил сканирование и весело захрюкал (при обнаружение вируса антивирус издавал хрюкающий звук), когда нашел множество файлов, зараженных вирусом Virus.Win9x.CIH.

26 апреля 1999 года, в годовщину Чернобыльской аварии, вирус активизировался и уничтожал данные на жестких дисках инфицированных компьютеров. На некоторых компьютерах было испорчено содержимое микросхем BIOS^[21]. Именно совпадение даты активации вируса и даты аварии на ЧАЭС дало вирусу второе название – «Чернобыль», которое в народе даже более известно, чем CIH.

По различным оценкам, от вируса пострадало около полумиллиона персональных компьютеров по всему миру. На этих компьютерах сработала «логическая бомба» – была уничтожена информация на жестких дисках и повреждены данные на микросхемах BIOS. По данным The Register, 20 сентября 2000 года власти Тайваня арестовали создателя этого знаменитого компьютерного вируса.

При запуске зараженного файла CIH помещает свой код в память Windows, перехватывая запуск EXE-файлов и записывая в них свою копию. В зависимости от текущей даты вирус способен повреждать данные на Flash BIOS и жестких дисках компьютера.

Компьютерные вирусы – это вредоносное программное обеспечение, часто исполняемые файлы, которые могут копироваться и передаваться с одного компьютера на другой с помощью устройств передачи файлов. Они могут присоединяться к другому исполняемому файлу и передаваться через него. Вирусы подразделяются на два типа: резидентные и нерезидентные.

Нерезидентные вирусы предназначены для распространения путем прикрепления к исполняемому файлу. В нерезидентных вирусах есть два компонента, которые работают следующим образом:

• Модуль поиска, который ищет исполняемые файлы в системе.

• Модуль репликатора, который копирует и прикрепляет копии к найденным исполняемым файлам.

Резидентный вирус работает иначе: у него отсутствует модуль поиска, но он постоянно находится в системной памяти. Каждый раз, когда исполняемый файл запускается на компьютере, он становится целью для модуля репликатора, и копия вируса прикрепляется к исполняемому файлу.

Так и мы с братом подцепили вирус Win9x.CIH, как и многие другие пользователи ПК, которым посчастливилось купить тот самый злополучный диск с новой операционной системой Microsoft Windows 2000. Спасло нас, видимо, то, что CIH работал на старом семействе операционных систем Win9x^[22], а мы обнаружили и удалили его уже под системой семейства WinNT^[23]. У вируса попросту не было возможности активироваться.

Если уйти в историю, то первым компьютерным вирусом для персонального компьютера под управлением операционной системы MS-DOS и первым вирусом, вызвавшим глобальную эпидемию в 1986 году, был Brain (с англ. – мозг). Brain написали два брата из Пакистана, Базит и Амжад Фарук Альви, в целях отслеживания пиратских копий их медицинского программного обеспечения, и он не был нацелен на причинение вреда. Братьям тогда было 17 и 24 года.

Заражение компьютера происходило путем записи копии вируса в загрузочный сектор дискеты^[24]. Старая информация переносилась в другой сектор и помечалась как «поврежденная». Метка тома изменялась на ©Brain.

У братьев была компьютерная фирма Brain Computer Services, и вирус они написали, чтобы отслеживать пиратские копии их медицинского софта. Пиратская программа отжирала оперативку, замедляла работу диска и иногда мешала сохранить данные. По заверениям братьев, она не уничтожала данные.

Brain «не умел» работать с разделами жестких дисков, поэтому в него была встроена проверка, не позволявшая ему заражать жесткий диск. Это отличает его от многих вирусов того времени, которые не обращали внимания на разделы, что приводило к уничтожению данных. Благодаря относительной «миролюбивости» вирус часто оставался незамеченным, особенно когда пользователь не обращал внимания на замедление работы дискет.

Программа содержала следующее сообщение:

Welcome to the Dungeon 1986 Basit & Amjad (pvt) Ltd. BRAIN COMPUTER SERVICES 730 NIZAB BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE: 430791,443248,280530. Beware of this VIRUS… Contact us for vaccination… $#@%$@!!

«Добро пожаловать в подземелье… Берегитесь этого вируса… Свяжитесь с нами для лечения…»

В заголовке были указаны реальные контакты. Когда кто-либо звонил им за помощью, они могли идентифицировать пиратскую копию. Также вирус подсчитывал количество сделанных копий.

Братья обнаружили, что пиратство было широко распространено, и копии их программ распространялись очень далеко. Амжад говорит, что первый звонок к ним поступил из США, Майами.

Это был первый из множества звонков из США. Проблема оказалась в том, что Brain распространялся и по другим дискетам, а не только по копиям их программы. В Университете Делавера в 1986 году даже случилась эпидемия этого вируса, а затем он появлялся и во многих других местах. Исков подано не было, но в газетах про это писали много. Создателей даже упоминали в журнале Time Magazine в 1988 году.