Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов
Описываемые программы относятся к категории троянских. На практике их еще называют «трояны», «троянцы», «троянские кони», «трои». Такое наименование они получили по аналогии с известным античным мифом о гигантской деревянной статуе коня, внутри которой в осажденную Трою тайно проникли греческие воины на заключительном этапе Троянской войны.
Троянская программа незаметно для пользователя устанавливается на компьютере или мобильном устройстве для выполнения каких-либо задач – как правило, вредоносных. В отличие от так называемых компьютерных вирусов и червей, троянские программы обычно не имеют функционала для собственного воспроизведения и распространения своих копий. Установка троянских программ может производиться вручную злоумышленником, получившим непосредственный или удаленный доступ к целевому компьютеру или мобильному устройству, либо самим пользователем по ошибке, неведению, в связке с другими программами. Массовое же распространение троянских программ производится через компьютерные сети, обычно с использованием дополнительных вредоносных программ, уязвимостей операционных систем и пользовательского программного обеспечения, иных специальных приемов и технологий. Массовое и одновременно скрытое заражение троянскими программами как можно большего количества компьютеров и устройств – отдельная сложная задача для преступников, о способах решения которой будет сказано далее.
Троянские программы могут решать следующие задачи:
– получение, копирование и передача любой информации, представляющей ценность, в том числе данных, необходимых для аутентификации в любых системах, для несанкционированного доступа к ресурсам любого типа, для использования ЭСП любого типа;
– осуществление скрытого удаленного доступа к компьютеру или мобильному устройству, в том числе с возможностью управления (администрирования);
– загрузка и передача любых файлов, внесение изменений в любые файлы или программы, удаление файлов или программ, установка других программ, в том числе вредоносных;
– создание помех в работе компьютера или мобильного устройства, выведение их из строя;
– скрытое наблюдение за любыми действиями пользователя и других программ, включая сбор сведений о посещаемых сетевых ресурсах, копирование текста, набираемого на клавиатуре, снятие снимков экрана, скрытое включение микрофона и видеокамеры, запись потокового аудио и видео и т. п.;
– сбор адресов электронной почты из почтовых программ пользователя для последующего использования их в целях рассылки спама;
– использование зараженного компьютера или мобильного устройства для участия в DDoS-атаках, в качестве прокси, для посещения рекламных веб-сайтов, просмотра рекламных объявлений и т. п.;
– дезактивация антивирусных программ или создание помех в их работе, обход или выведение из строя программных или аппаратных средств защиты;
– внедрение кода в загружаемые пользователем при помощи программы браузера веб-страницы (технология так называемых веб-инжектов (от англ. web injection — инъекция в веб-сайт)) с целью подмены информации на просматриваемых пользователем веб-сайтах, перехвата вводимых аутентификационных данных, запроса дополнительных сведений, необходимых для совершения неправомерных действий (например, телефонного номера); сетевой адрес оригинального веб-сайта, посещаемого пользователем, может быть при помощи веб-инжектов скрыто подменен на адрес так называемого фишингового веб-сайта.
Приведенный список не является исчерпывающим, однако из него уже видно, насколько широкие возможности могут предоставлять злоумышленникам троянские программы. Непосредственное назначение и использование троянской программы в каждом случае зависят от ее функционала и криминальной специализации лица, управляющего данной программой.
В случае если некая троянская программа распространяется достаточно широко и устанавливается на множестве компьютеров и иных устройств, возникает такое явление, как ботнет – сеть ботов.
Термином «бот», представляющим собой сокращение от слова «робот», в компьютерной индустрии традиционно называют любые автономные программы, обычно выполняющие однообразную повторяемую работу. Точно так же ботами принято называть вредоносные программы, хотя часто под ботами подразумеваются не только программы, но и сами зараженные ими устройства. Иногда вместо термина «бот» используется слово «зомби» и соответственно вместо термина «ботнет» – «зомби-сеть». Ботнет можно определить как компьютерную сеть, обычно построенную по архитектуре «клиент-сервер» из компьютеров-ботов (мобильных устройств – ботов) с установленной на каждом из них вредоносной программой или несколькими взаимосвязанными вредоносными программами. В большинстве случаев в такой сети имеется единый центр управления, называемый административной панелью ботнета (админ-панелью), ботнет-контроллером, управляющим сервером, контрольно-командным центром ботнета (англ. C&C – command & control).
Центр управления ботнетом в большинстве случаев представляет собой веб-сайт в интернете, запущенный на виртуальном или выделенном физическом сервере (либо в крупных ботнетах на группе серверов). Сам факт существования центра управления ботнетом, сохраняемые в нем данные и осуществляемые с его помощью соединения, а также операции скрываются и защищаются различными способами. Доступ к центру управления ботнетом осуществляется после аутентификации.
Центр управления ботнетом в зависимости от возможностей, назначения и порядка использования ботнета и ботов может быть предназначен для решения следующих задач:
– ведение списка имеющихся ботов, поиск, выборка и классификация ботов по различным критериям;
– сохранение и обработка информации, поступающей от ботов, в частности аутентификационных данных пользователей, экранных снимков рабочих столов и т. п.;
– передача ботам индивидуальных или групповых команд на выполнение каких-либо действий в соответствии с назначением и использованием программ, например на загрузку определенных модулей (плагинов), изменение настроек конфигурации и т. п.;
– удаление и (или) выведение из строя ботов;
– установление удаленного управления ботами с использованием встроенного функционала или при помощи дополнительно устанавливаемых вредоносных программ;
– организация работы с ботнетом нескольких пользователей, в том числе с различными правами и уровнями доступа, контроль за работой пользователей.
Первые ботнеты с централизованным управлением появились в конце 1990-х – начале 2000-х гг. Уже в 2007 г., по оценке создателя протокола TCP/IP Винта Серфа[80], около четверти из 600 млн компьютеров, подключенных на тот момент к интернету, могли состоять в различных ботнетах. Теоретически и практически любой компьютер или иное устройство могут быть одновременно заражены несколькими различными или однотипными вредоносными троянскими программами (с разными центрами управления) и состоять таким образом в нескольких ботнетах сразу.
Рассмотрим банковские троянские программы и ботнеты на их основе. Задачи банковского трояна могут быть описаны следующим образом:
– после скрытой установки на компьютере или мобильном устройстве обнаружить наличие или следы использования ЭСП: программ типа «толстый клиент», используемых для доступа к банковским счетам или электронным денежным средствам; «тонких клиентов» для доступа к платежным веб-сайтам операторов по переводу денежных средств; программ операторов по переводу денежных средств (межрегиональных переводов) или программ платежных агентов (операторов микроплатежей);
– отслеживая использование ЭСП, получать копии аутентификационных данных и любых других сведений, необходимых для осуществления переводов денежных средств, а также информацию о состоянии счета (или остатка ЭДС), производимых переводах, плательщике и получателях денежных средств;
– обеспечивать при необходимости возможность установления