Коллектив авторов - Защита от хакеров корпоративных сетей
Некоторые вирусы, пытаясь спрятаться от антивирусных программ, прибегают к хитрым уловкам. Они могут менять свою структуру, зашифровываться, атаковать с разных сторон и даже выводить из строя антивирусную программу.
Самым эффективным вариантом вредоносного кода являются черви. Своим успехом они обязаны возможностям большой общедоступной сети (Интернет), которые они используют для быстрого распространения. Яркими представителями этого класса являются черви Code Red, Nimda и Sadmind.
Создать свой собственный вредоносный код не так уж сложно. Достаточно слегка модифицировать какого-нибудь вируса или червя. Есть даже курсы, на которых в числе прочего дается информация о написании вирусов.
Существуют различные методы защиты от вредоносного кода. В данном случае действует принцип «Кто предупрежден, тот вооружен». Среди способов защиты нельзя не упомянуть отключение некоторых функций браузера и приобретение антивирусного программного обеспечения. Также не стоит забывать о необходимости регулярного обновления этих программ.
Конспект
Различия между вирусами, Троянскими программами и червями
· Вирусы остаются на локальном компьютере, черви могут распространяться через Интернет, а Троянские программы обычно вообще не распространяются.
· Макровирусы используют для активизации язык, встроенный в программу для обработки и редактирования текстов и в другие офисные.
Строение вирусов
· Червям и вирусам требуется метод распространения.
· После перехода на другой компьютер они обычно выполняют некие действия, реализуя код «полезной нагрузки».
· Некоторые вирусы и черви пытаются скрыться от антивирусных программ с помощью различных уловок, например полиморфизма.
Инфицирование различных платформ
· Черви и вирусы обычно не в состоянии работать в различных операционных системах и на различных платформах, так как это приводит к увеличению их кода.
· Для создания вирусов можно использовать исполняемую среду Java. В этом случае распространение вируса не будет зависеть от платформы.
· Приложения, созданные для различных платформ, например пакет Microsoft Office, позволяют макровирусам активироваться в различных средах.
Поводы для беспокойства
· Мы сделали обзор «классических» червей, таких как червь Морриса и ADMWOrm.
· Появившиеся позднее макровирусы для электронной почты, например Melissa и I love you, использовали для своего распространения как технологические, так и психологические приемы.
· С мая по сентябрь 2001 года зафиксированы эпидемии червей Sadmind, Code Red, Code Red II и Nimda. Все они тем или иным способом атаковали уязвимый сервер Microsoft IIS. При этом для распространения использовалась уязвимость двухлетней давности. Это свидетельствует о том, что большая часть пользователей Интернета пренебрегает установкой новых пакетов исправлений.
Создание вредоносного кода
· Создатели червей ищут новые пути их распространения.
· Для распространения червей можно использовать сервисы, позволяющие рассылать поздравительные открытки, и интерактивное содержимое сайтов.
· По мере того как производители разрабатывают новые возможности макросов и сценариев для различных приложений, появляются макровирусы, использующие эти функции.
Защита от вредоносного кода
· Прежде всего следует установить и запустить антивирусную программу!
· Отключив возможность исполнения активных сценариев в браузере и приложениях Office, вы предотвратите заражение макровирусами, а также вирусами, построенными на основе сценариев.
· Пренебрегая установкой новейших пакетов исправлений, вы оставляете червям лазейки для проникновения в систему.
Часто задаваемые вопросы
Вопрос: Откуда произошел термин «компьютерный вирус»?
Ответ: Самовоспроизводящиеся программы впервые появились в 60-х годах прошлого века. Однако термин «вирус» появился сравнительно недавно. Первым его использовал профессор Фред Коэн (Fred Cohen) в 1984 году при описании самовоспроизводящихся программ.
Вопрос: Все ли вирусы являются вредоносными? Ответ: По большей части да. Законное распространение вирусной технологии представить себе сложно, но тем не менее полезные программы используют тактику вирусов. Например, вирус КОН автоматически зашифровывает пользовательские данные при их сохранении и расшифровывает их при чтении с жесткого диска. Это очевидный способ обеспечить безопасность данных, но очевидным он стал отчасти потому, что был положен в основу вирусной технологии.
Вопрос: Можно ли получить работу, специализируясь в написании вирусов?
Ответ: Я думаю, что ответ «да» не будет сюрпризом для большей части читателей. В январе 2000 года появилось объявление о поиске специалиста в написании вирусов от корпорации информатики (Computer Sciences Corporation). Вот его текст:
«Корпорации информатики в Сан-Антонио, Техас, требуется опытный создатель вирусов. Работа на авиационной базе Келли в Сан-Антонио. Сопутствующий опыт приветствуется».
Остается только догадываться, что происходит за закрытыми дверьми на авиационной базе Келли.Вопрос: Как предотвратить распространение червя при заражении компьютера? Ответ: Это во многом зависит от того, какая операционная система была инфицирована. Предотвратить заражение достаточно легко для серверов в демилитаризованной зоне: измените установки брандмауэра таким образом, чтобы запретить прямое соединение серверов с Интернетом.
Глава 16 Уклонения от системы обнаружения вторжения
В этой главе обсуждаются следующие темы:
• Принципы работы, основанной на анализе сигнатур системы обнаружения вторжений
• Уклонение на уровне пакетов
• Уклонение на уровне приложений
• Уклонение при помощи морфизма кода
· Резюме
· Конспект
· Часто задаваемые вопросы
Введение
Один из законов защиты гласит, что все основанные на анализе сигнатур механизмы обнаружения атак можно обойти. Это справедливо для систем обнаружения вторжений (IDS – Intrusion Detection System). Системы обнаружения вторжений просматривают сетевой трафик и отслеживают несанкционированные действия в сети. Они анализируют сетевой трафик при помощи сигнатур, которые похожи на сигнатуры вирусов. Системам обнаружения вторжений присущи те же проблемы, что сканерам вирусов. Плюс к этому надо иметь в виду, что в их обязанности входят моделирование сети, работа на нескольких уровнях семиуровневой модели OSI одновременно, причем на каждом из этих уровней их могут перехитрить.
Эта глава посвящена описанию способов противодействия системам обнаружения вторжений. В их число входят манипуляции на уровне пакета, приложений и модификация машинного кода. Каждый из названных способов может использоваться как отдельно, так и совместно с другими, позволяя злоумышленнику избежать обнаружения системой обнаружения вторжения.
В главе приведено несколько примеров, иллюстрирующих перечисленные способы уклонения от обнаружения.
Принципы работы, основанной на анализе сигнатур системы обнаружения вторжений
Система обнаружения вторжений является вполне простым высокотехнологичным эквивалентом охранной сигнализации, настроенной контролировать точки доступа к сети, враждебную сетевую активность и известных злоумышленников. Эти системы реагируют на враждебную сетевую активность стандартным образом, используя базу данных сигнатур атак. Если в базе данных будет найдено соответствие наблюдаемому событию, то подается сигнал тревоги и для последующего анализа делается запись в журнале регистрации. Подлежащими регистрации сетевыми событиями и действиями определяется состав базы данных сигнатур атак, которая является ахиллесовой пятой систем обнаружения вторжений.
Сигнатура атаки содержит несколько компонентов, которые однозначно ее идентифицируют. Идеальная сигнатура – это такая сигнатура, которая, с одной стороны, полностью определяет атаку, а с другой – настолько проста, насколько это возможно (большие сложные сигнатуры могут стать причиной серьезных накладных расходов на их обработку). Поскольку существуют различные типы атак, то должны быть различные типы сигнатур. Некоторые сигнатуры можно получить, изучая уникальные характеристики отдельных режимов работы протокола IP. Возможно, что таким образом можно будет идентифицировать сканирование порта утилитой nmap. Другие сигнатуры получают в результате анализа программного кода атаки.
Большинство сигнатур было создано путем многократного выполнения известного программного кода атаки с контролем сопутствующих ему данных в сети и поиском в них уникальной последовательности двоичных кодов, повторяющихся при каждом выполнении. Этот способ создания сигнатур хорошо зарекомендовал себя в случае последовательных попыток известных типов атак на сеть. Автору приходилось иметь дело с некачественными сигнатурами. Некоторые из них были настолько примитивны, что оказались бесполезными против агрессивного злоумышленника, быстро просматривающего несколько Web-сайтов. Тем не менее помните, что идея заключается в уникальной идентификации атаки, а не просто в ее обнаружении.
