КЛАССИФИКАЦИЯ ВРЕДОНОСНЫХ ПРОГРАММ Анастасия Горелова Старший менеджер

КЛАССИФИКАЦИЯ ВРЕДОНОСНЫХ ПРОГРАММ Анастасия Горелова Старший менеджер образовательных программ

О ЧЕМ МЫ ПОГОВОРИМ ИСТОРИЯ РАЗВИТИЯ ВРЕДОНОСНЫХ ПРОГРАММ ВИДЫ УГРОЗЫ СЕГОДНЯ 2

ИСТОРИЯ Периоды развития вредоносных программ

Q -угроз ИСТОРИЯ РАЗВИТИЯ ВРЕДОНОСНЫХ ПРОГРАММ Исследовательский период В период развития ЭВМ 1 -го и 3 -го поколения, >50 млн учеными-математика выдвигаются и доказываются гипотезы существования саморазмножающихся структур, механизмов и пр. Возникает исследовательский период существования вредоносных программ. Возникает автоматизация программирования, появляются первые языки (такие как Fortran, Algol). ЭВМ работают на интегральных системах 1930 -1960 1970 -1980 е 1990 е 2000 - е

ПЕРВОЕ УПОМИНАНИЕ Теоретические основы самораспространяющихся программ Заложены в 40 -х годах прошлого столетия в трудах по изучению самовоспроизводящихся математических автоматов американского ученого Джона фон Неймана, который также известен как автор базовых принципов работы современного компьютера. В 1951 году фон Нейманом был разработан метод, который демонстрировал возможность создания таких автоматов.

ПЕРВОЕ УПОМИНАНИЕ О ВИРУСАХ Термин «компьютерный вирус» был введен в 1983 году американским ученым Фредом Коэном (Fred Cohen) в его диссертационной работе, посвященной исследованию самовоспроизводящихся компьютерных программ.

Q -угроз ИСТОРИЯ РАЗВИТИЯ ВРЕДОНОСНЫХ ПРОГРАММ Исследовательский период Доистор ический период Технологическая особенность данного этапа связана с появлением ЭВМ 4 -го поколения, >50 млн работающих на БИС и СБИС, выпуск первых серийных компьютеров (например, Apple-2). Возникают первые программы, игры, схожие по функционалу с современными вирусами: Creeper, «Кролик» (Rabbit), Pervading Animal. Игры заполняли собой весь компьютер, заражая его и выводя из строя. Цель написания программ: по ошибке программистов или розыгрыши. 1930 -1960 1970 -1980 е 1990 е 2000 - е Нет криминальной составляющей.

Q -угроз ИСТОРИЯ РАЗВИТИЯ ВРЕДОНОСНЫХ ПРОГРАММ Исследовательский период 1930 -1960 Доистор ический период 1970 -1980 Доинтернет овский период 1980 е В массовое использование поступают компьютеры серий ПК IBM PC/XT/AT и PS/2, открывших новую эпоху персональной ВТ. >50 млн Периоду присущи «классические вирусы» для MS-DOS. Появляется большое количество разнообразных «троянских коней» — программ, не имеющих способности к размножению, но при запуске наносящих системе какой-либо вред. Впервые создается описание вирусов (результаты дизассемблирования), книга Computer Viruses: A High Tech Disease Ральф Бюргер. 1990 е 2000 - е Появляются первые антивирусные решения.

ПЕРВЫЕ ВИРУСНЫЕ ЭПИДЕМИИ (1981 - 1989) Первые антивирусные утилиты Были написаны Энди Хопкинсом (Andy Hopkins) в 1984 году. Программы CHK 4 BOMB и BOMBSQAD позволяли производить анализ загрузочного модуля с помощью контекстного поиска и перехватывать операции записи и форматирования, выполняемые через BIOS. На то время они были очень эффективны и быстро завоевали популярность.

ПЕРВЫЕ ВИРУСНЫЕ ЭПИДЕМИИ (1981 - 1989) Brain (1986) — первый вирус для IBM PC. Он был написан двумя братьями-программистами Баситом Фарух Алви и Амжадом Фарух Алви из Пакистана с целью определения уровня пиратства у себя в стране, а также с целью выявления уязвимостей в MS-DOS. Вирус заражал загрузочные сектора, менял метку диска на "(c) Brain" и оставлял сообщение с именами, адресом и телефоном авторов. В течение нескольких месяцев программа вышла за пределы Пакистана. Ничего деструктивного вирус не делал.

ПЕРВЫЕ ВИРУСНЫЕ ЭПИДЕМИИ (1981 - 1989) Червь Морриса (1988) — первая крупная эпидемия, вызванная сетевым червем. Автор - аспирант факультета Вычислительной техники Корнелльского университета Роберт Т. Моррис. Червь Морриса заразил по разным оценкам до 9000 компьютеров в США (включая Исследовательский центр NASA) и практически парализовал их работу на срок до пяти суток. Общие убытки были оценены в минимум 8 млн. часов потери доступа и свыше миллиона часов прямых потерь на восстановление работоспособности систем. Общая стоимость этих затрат оценивается в $100 млн. Суд приговорил Морриса к 3 годам условно, $10000 штрафа и 400 часам общественных работ (первый в истории суд над автором вредоносного ПО).

ИСТОРИЯ РАЗВИТИЯ ВРЕДОНОСНЫХ ПРОГРАММ Q -угроз Появляются современные компьютеры (ЭВМ 5 -го поколения). Интернет период Пользователи осваивают интернет. Популярность набирают файловые, загрузочные и файлово-загрузочные вирусы для наиболее распространенной операционной системы (MSDOS) на самом популярном компьютере. Впервые эпидемии наносят ощутимый ущерб. 1930 -1957 1959 1970 -1980 е 1990 е 2000 - е

РАСПРОСТРАНЕНИЕ ВРЕДОНОСОВ ПО СЕТИ Melissa (1999). Принципиальная особенность: программа сочетала в себе характеристики макровируса для MS Word и функциональность почтового червя. Сразу же после заражения системы она считывала адресную книгу почтовой программы MS Outlook и рассылала по первым 50 найденным адресам свои копии. Массовая рассылка позволяла Melissa распространяться быстрее, чем это делали все предыдущие макро-вирусы. Кроме того, Melissa угрожал стабильности инфраструктуры электронной почты из-за огромного объема генерируемого им почтового трафика.

РАСПРОСТРАНЕНИЕ ВРЕДОНОСОВ ПО СЕТИ Love. Letter (2000) – вредоносное ПО, побившее рекорд вируса Melissa по скорости распространения. Один из первых примеров успешного применения методов социальной инженерии. Для распространения червя использовались сообщения с темой ILOVEYOU и текстом : «Kindly check the attached LOVELETTER coming from me» , размещенным в теле письма. Вирус находился во вложенном файле.

РАСПРОСТРАНЕНИЕ ВРЕДОНОСОВ ПО СЕТИ Slammer (2003) - интернет-червь, заражающий сервера под управлением Microsoft SQL Server 2000. После проникновения на SQL-сервер червь в бесконечном цикле начинал посылать свой код на случайно выбранные адреса в сети. Этому вредоносному ПО удалось на 12 часов отключить от интернета Южную Корею.

ИСТОРИЯ РАЗВИТИЯ ВРЕДОНОСНЫХ ПРОГРАММ Q -угроз Повсеместная компьютеризация, появление суперкомпьютеров, кластеров. Широкое распространение мобильных и переносных устройств. >50 млн Растёт популярность сетевых не-почтовых червей, например, черви Mytob и Zotob (Bozori). Развиваются угрозы для мобильных устройств: мобильных телефонов, планшетов, ноутбуков и пр. Увеличиваются атаки на интернет-банки и платежные системы, появляются устройства для кражи данных с пластиковых карт в банкоматах. Развивается вымогательство посредством блокирования работы компьютера, появляется платная разблокировка посредством отправки смс-сообщений. 1930 -1957 1959 1970 -1980 Интернет используют в преступных целях 1980 е 1990 е Криминальный период 2000 - е

СОВРЕМЕННЫЙ КРИМИНАЛЬНЫЙ ЭТАП (2005 – Н. ВР. ) Эпоха эпидемий осталась в прошлом. Начало нового периода со стремительным ростом количества троянских программ, ориентированных на кражу информации, которая в большинстве случаев относится к банковским аккаунтам и онлайн-играм. Вредоносное ПО практически перестало создаваться в некоммерческих целях.

СОВРЕМЕННЫЙ КРИМИНАЛЬНЫЙ ЭТАП (2005 – Н. ВР. ) 2010 - 2011 1. Первые свидетельства применения кибероружия (Stuxnet, Duqu); 2. Рост популярности целевых атак; 3. Резкий рост атак на мобильную платформу Android.

Q -угроз ПЕРИОДЫ РАЗВИТИЯ ВРЕДОНОСНЫХ ПРОГРАММ Исследовательский период Доистор ический период Доинтернет овский период Интернет период >70 млн Криминальный период 1930 -1960 вирусы 1970 -1980 е черви 1990 е 2000 - е троянцы

ВИДЫ УГРОЗ КЛАССИФИКАЦИЯ

ВИРУСЫ Классические вирусы К данной категории относятся вредоносные программы, распространяющие свои копии по ресурсам локального компьютера с целью: последующего запуска своего кода при каких-либо действиях пользователя; дальнейшего внедрения в другие ресурсы компьютера. В отличие от сетевых червей компьютерные вирусы не используют сетевых сервисов для проникновения на другие компьютеры. 21

ВИДЫ ВИРУСОВ По среде обитания Файловые вирусы Загрузочные вирусы Макро-вирусы Скриптовые вирусы

СЕТЕВЫЕ (КОМПЬЮТЕРНЫЕ) ЧЕРВИ К данной категории относятся программы, распространяющие свои копии по локальным и/или глобальным сетям. Большинство известных сетевых червей распространяются в виде файлов: вложений в электронные письма, ссылкой на зараженный файл на каком-либо веб- или FTP-ресурсе, в ICQсообщениях и пр. Некоторые сетевые черви (так называемые "беcфайловые" или "пакетные" черви) распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код.

ВИДЫ ЧЕРВЕЙ По способу распространения Email-Worm (почтовые черви) IRC-Worm (черви в IRC-каналах) IM-Worm (черви, использующие интернет пейджеры) P 2 P-Worm (черви для сетей обмена файлами) Net-Worm (прочие сетевые черви)

ТРОЯНСКИЕ ПРОГРАММЫ (ТРОЯНЕЦ) Вредоносная программа, которая не обладает способностью к самораспространению, в отличие от вирусов и червей, которые распространяются самопроизвольно. Функционал: сбор информации и ее разрушение злонамеренное изменение данных и/или передача их злоумышленнику нарушение работоспособности системы использование ресурсов компьютера в злоумышленных целях

ВИДЫ ТРОЯНЦЕВ Backdoor (удаленное администрирование) Trojan-PSW (воровство паролей) Trojan-Clicker (интернет-кликеры) Trojan-Downloader (доставка вредоносных программ) Trojan-Dropper (инсталляторы вредоносных программ) Trojan-Proxy (троянские прокси-серверы) Trojan-Spy (шпионские программы) Trojan (прочие троянские программы) Rootkit (сокрытие присутствия в ОС) Arc. Bomb ( «бомбы» в архивах) Trojan-Notifier (оповещение об успешной атаке)

Являются разновидностью троянских программ, предоставляющих злоумышленнику возможность несанкционированного удаленного управления зараженным компьютером. Доступные злоумышленнику действия определяются функционалом подобной программы. Как правило, злоумышленник может принимать и отсылать файлы, запускать и уничтожать их, выводить различные сообщения, стирать информацию, перезапускать компьютер и т. п. «Бэкдоры» могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и пр. http: //www. freepik. com/ «БЭКДОРЫ» (BACKDOOR)

БОТНЕТЫ (ЗОМБИ-СЕТИ) Это сеть компьютеров, зараженных вредоносной программой поведения Backdoor’ы позволяют киберпреступникам удаленно управлять зараженными машинами (каждой в отдельности, частью компьютеров, входящих в сеть, или всей сетью целиком) без ведома пользователя.

ЭКСПЛОЙТЫ Эксплойт - компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему. Эксплойт нулевого дня - это киберугроза, использующая ошибку или уязвимость в приложении или операционной системе и появившаяся сразу после обнаружения данной уязвимости, пока разработчики ПО еще не успели создать патч, а IT-администраторы — принять другие меры безопасности.

Вредоносные программы часто сжимаются различными способами упаковки, совмещенными с шифрованием содержимого файла для того, чтобы исключить обратную разработку программы и усложнить анализ поведения проактивными и эвристическими методами. Существуют приемы борьбы с распаковкой: например, упаковщик может расшифровывать код не полностью, а лишь по мере исполнения, или, расшифровывать и запускать вредоносный объект целиком только в определенный день недели. Также при упаковке файлов может использоваться сразу несколько упаковщиков, или использоваться редко встречающийся упаковщик. http: //www. freepik. com/ ПОДОЗРИТЕЛЬНЫЕ УПАКОВЩИКИ

ЦЕЛЕВЫЕ АТАКИ И КИБЕРОРУЖИЕ

ЦЕЛЕВЫЕ АТАКИ 32

ЗАРАЖЕНИЕ

ДИНАМИКА

FLAME Flame - это троянская программа — «бэкдор» , имеющая также черты, свойственные червям и позволяющие ей распространяться по локальной сети и через съемные носители при получении соответствующего приказа от ее хозяина. После заражения системы Flame приступает к выполнению сложного набора операций, в том числе к анализу сетевого трафика, созданию снимков экрана, аудиозаписи разговоров, перехвату клавиатурных нажатий и т. д. Все эти данные доступны операторам через командные серверы Flame — это огромный пакет, состоящий из программных модулей, общий размер которых при полном развертывании составляет почти 20 МБ. В него входит множество разных библиотек, в том числе для сжатия кода (zlib, libbz 2, ppmd) и манипуляции базами данных (sqlite 3), а также виртуальная машина Lua – это язык программирования, легко поддающийся расширению и интеграции с кодом, написанным на языке C.

FLAME

УГРОЗЫ СЕГОДНЯ

КАРТА УГРОЗ 41 https: //cybermap. kaspersky. com/ru

http: //kaspersky-cyberstat. com/rus/ СТАТИСТИКА

ВОПРОСЫ? Academy@Kaspersky. com http: //vk. com/academy. kaspersky

«АКАДЕМИЯ КАСПЕРСКОГО» Образовательная программа для школ, вузов и иных заинтересованных лиц: • Обучение (лекции/вебинары); • Учебные материалы; • Конкурсы. https: //academy. kaspersky. ru/

«ЛАБОРАТОРИЯ КАСПЕРСКОГО» Международная компания, работающая в 200 странах и территориях мира; 34 офиса открыты в 31 стране; годовой доход превышает 700 миллионов долларов США; В «Лаборатории Касперского» работает более 3000 высококвалифицированных специалистов.

НЕМНОГО О ЗАЩИТЕ ДЕТЕЙ: SAFE KIDS ü Защищает от нежелательного контента; ü Регулирует использование программ ü Ограничивает время использования устройства http: //www. kaspersky. ru/safe-kids