Троян
Троян — это тип вредоносного программного обеспечения (malware), который проникает на компьютер или другое устройство под видом легитимного, полезного или безвредного приложения, файла или обновления. В отличие от вирусов и червей, трояны не способны к самостоятельному размножению и распространению; их основная функция — выполнение несанкционированных действий, заложенных разработчиком, таких как кража данных, удалённое управление устройством, установка другого вредоносного ПО или нанесение ущерба системе. Название происходит от древнегреческого мифа о Троянском коне — деревянной статуе, внутри которой спрятались греческие воины, что символически отражает скрытую угрозу, маскирующуюся под безобидный объект.
История
Концепция троянских программ впервые была реализована в 1970-х годах. Одним из первых известных примеров считается программа ANIMAL, созданная в 1975 году Джоном Уокером. Она распространялась на магнитных лентах для мэйнфреймов и, будучи полезной игрой, одновременно копировала себя в другие директории, что делало её одним из ранних прототипов трояна.
С развитием персональных компьютеров и Интернета в 1990-х годах трояны стали массовым явлением. В 1998 году появился троян Back Orifice, разработанный хакерской группой Cult of the Dead Cow. Он позволял удалённо управлять компьютером под управлением Windows, открывая доступ к файлам, паролям и системным настройкам. Это стало поворотным моментом, продемонстрировавшим, насколько опасными могут быть программы, маскирующиеся под безобидные утилиты.
В 2000-х годах, с распространением электронной почты и файлообменных сетей, трояны стали основным инструментом киберпреступников. Например, троян ZeuS (2007 год) специализировался на краже банковских данных и паролей, заразив миллионы компьютеров по всему миру. В 2010-х годах трояны эволюционировали в сложные банковские трояны (например, Dridex, Emotet) и программы-вымогатели (ransomware), которые шифруют данные пользователя и требуют выкуп.
Классификация
Трояны классифицируются по целям и способам воздействия. Основные типы:
По функциональному назначению
- Бэкдоры (Backdoor) — предоставляют злоумышленнику удалённый доступ к заражённой системе, позволяя выполнять команды, загружать и удалять файлы, управлять настройками.
- Кейлоггеры (Keyloggers) — записывают нажатия клавиш на клавиатуре, перехватывая пароли, номера банковских карт и другую конфиденциальную информацию.
- Информеры (Info-stealers) — собирают системную информацию, данные о пользователе (логины, пароли, cookies) и отправляют их на сервер злоумышленника.
- Банковские трояны — нацелены на кражу данных для доступа к онлайн-банкингу и электронным платежам. Часто используют методы веб-инжекции (подмена страниц банков).
- Ransomware (трояны-вымогатели) — шифруют файлы на устройстве и требуют выкуп за их расшифровку. Примеры: WannaCry, Petya.
- Дропперы (Droppers) — служат для скрытой установки другого вредоносного ПО (например, вирусов, программ-шпионов).
- Трояны-загрузчики (Downloaders) — загружают и устанавливают на заражённое устройство другие вредоносные программы из интернета.
По способу маскировки
- Фальшивые обновления — маскируются под обновления популярного ПО (Adobe Flash, Java, браузеры).
- Трояны-кодеки — предлагают установить «необходимый кодек» для просмотра видео, после чего заражают систему.
- Трояны-игры — распространяются как бесплатные игры или их кряки.
- Трояны-документы — встраиваются в файлы Microsoft Office (с макросами) или PDF.
Устройство и принцип работы
Троян обычно состоит из двух компонентов: клиентской части (вредоносная программа, устанавливаемая на устройство жертвы) и серверной части (управляющий сервер злоумышленника — C&C, Command and Control). Принцип работы включает несколько этапов:
- Доставка (Delivery) — троян попадает на устройство через фишинговые письма, заражённые веб-сайты, пиратское ПО, USB-накопители или через уязвимости в программном обеспечении.
- Установка (Installation) — после запуска троян копирует себя в системные директории, добавляет в автозагрузку и скрывает своё присутствие (используя руткит-технологии или маскировку под системные процессы).
- Коммуникация (Communication) — троян устанавливает связь с C&C-сервером через HTTP/HTTPS, DNS-туннелирование или другие протоколы, получая команды и передавая украденные данные.
- Выполнение действий (Execution) — в зависимости от типа троян может начать кражу данных, удалённое управление, шифрование файлов или установку дополнительного ПО.
Для обхода антивирусных программ трояны часто используют полиморфизм (изменение своего кода при каждом запуске), шифрование и обфускацию (запутывание кода).
Методы распространения
Основные каналы распространения троянов:
- Фишинг (Phishing) — электронные письма, имитирующие уведомления от банков, социальных сетей, сервисов доставки, содержащие ссылки на заражённые сайты или вложения с трояном.
- Вредоносные веб-сайты — сайты, предлагающие «бесплатное» ПО, взломанные игры, порнографический контент, часто содержат скрытые загрузчики троянов.
- Пиратское ПО и кряки — файлы с «лекарствами» для платных программ, которые на самом деле являются троянами.
- Социальная инженерия — злоумышленники выдают себя за службу поддержки, друзей или коллег, убеждая жертву запустить вредоносный файл.
- Эксплойты (Exploits) — использование уязвимостей в браузерах, операционных системах или плагинах для автоматической загрузки трояна без ведома пользователя (drive-by download).
Примеры известных троянов
- Back Orifice (1998) — один из первых бэкдоров для Windows, позволявший удалённое управление.
- ZeuS (2007) — банковский троян, похитивший миллионы долларов со счетов пользователей.
- Emotet (2014) — троян-загрузчик, который использовался для доставки других вредоносных программ, включая вымогатели. В 2021 году его инфраструктура была разрушена международной операцией правоохранительных органов.
- WannaCry (2017) — троян-вымогатель, который зашифровал данные в сотнях тысяч компьютеров по всему миру, потребовав выкуп в биткоинах. Атака затронула больницы, банки и государственные учреждения.
- Dridex (2014) — банковский троян, распространявшийся через вложения в электронных письмах и воровавший учётные данные для онлайн-банкинга.
- XHelper (2019) — троян для Android, который маскировался под приложения для просмотра видео и устанавливал на устройство рекламное ПО и другие вредоносные программы.
Защита от троянов
Меры защиты включают как технические, так и организационные аспекты:
- Антивирусное ПО — регулярное обновление антивирусных баз и использование программ с функциями поведенческого анализа и эвристического детектирования.
- Обновление программного обеспечения — своевременная установка обновлений безопасности для операционной системы, браузеров и приложений.
- Осторожность при работе с электронной почтой — не открывать вложения и не переходить по ссылкам из подозрительных писем.
- Использование брандмауэра (межсетевого экрана) — блокировка несанкционированных исходящих соединений.
- Ограничение прав пользователя — работа с учётной записью с ограниченными правами (не администратора) снижает риск установки трояна.
- Резервное копирование данных — регулярное создание резервных копий на внешних носителях или в облачных сервисах для защиты от программ-вымогателей.
- Обучение пользователей — повышение осведомлённости о методах социальной инженерии и фишинга.
Правовой статус
Создание, распространение и использование троянов является уголовно наказуемым деянием в большинстве стран мира. В России ответственность за неправомерный доступ к компьютерной информации (в том числе с использованием вредоносных программ) предусмотрена статьёй 272 Уголовного кодекса РФ. За создание, использование и распространение вредоносных программ также может наступать ответственность по статье 273 УК РФ. Максимальное наказание — лишение свободы на срок до семи лет.
Источники
- Касперский, Е. В. «Вредоносное ПО: история, классификация, методы защиты» (2005).
- Microsoft Security Intelligence Report (2010–2020).
- Symantec Internet Security Threat Report (2015–2019).
- «Троянские программы: эволюция и методы противодействия» — журнал «Вопросы кибербезопасности» (2021).
- Уголовный кодекс Российской Федерации, статьи 272, 273.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →