Вредоносное ПО
Вредоносное программное обеспечение (вредоносное ПО, вредоносный код, malware) — это любое программное обеспечение, созданное с целью нанесения ущерба владельцу компьютерной системы, либо предназначенное для получения несанкционированного доступа к данным, их уничтожения, модификации или блокирования. Вредоносное ПО является разновидностью компьютерного мошенничества и нарушает тайну переписки, неприкосновенность частной жизни и авторские права. В отличие от легитимных программ, вредоносное ПО устанавливается, активируется и функционирует без ведома пользователя или при его введении в заблуждение.
Классификация и виды
Специалисты в области информационной безопасности и криминалистики классифицируют вредоносное ПО по способу распространения, методу заражения, цели воздействия и типу наносимого ущерба.
По способу распространения и внедрения
- Вирусы — программы, способные внедрять свой код в другие исполняемые файлы или документы и самовоспроизводиться при запуске заражённого файла. Для активации вируса требуется участие пользователя (например, открытие заражённого вложения электронной почты).
- Черви (сетевые черви) — самовоспроизводящиеся программы, которые распространяются по компьютерным сетям (локальным или глобальным) без участия пользователя, используя уязвимости операционных систем и сетевых протоколов. Черви не требуют файла-носителя для размножения.
- Троянские программы (трояны) — вредоносное ПО, маскирующееся под легитимные приложения (игры, утилиты, обновления). Трояны не размножаются самостоятельно; их функция — выполнять вредоносные действия по команде злоумышленника: кража паролей, удаление данных, установка бэкдоров (backdoor).
По цели воздействия
- Шпионское ПО (spyware) — собирает информацию о пользователе без его согласия: историю браузера, данные авторизации, содержимое буфера обмена, нажатия клавиш (кейлоггеры). Собранные данные передаются на сервер злоумышленника.
- Рекламное ПО (adware) — навязчиво демонстрирует рекламные баннеры, перенаправляет браузер на сайты рекламодателей, показывая всплывающие окна. Часто устанавливается в комплекте с бесплатными программами. Часть adware относится к условно нежелательным программам (PUP), не являясь однозначно вредоносной, но существенно ухудшающей пользовательский опыт.
- Банковские трояны — подвид троянов, нацеленный на кражу данных банковских карт, логинов и паролей от систем интернет-банкинга и электронных кошельков.
- Программы-вымогатели (шифровальщики, ransomware) — шифруют файлы на жертвы (документы, фотографии, базы данных) с помощью стойкой криптографии, после чего требуют выкуп (обычно в криптовалюте) за ключ дешифрования. Отсутствие дешифратора часто делает восстановление данных невозможным.
- Майнеры (криптомайнеры) — несанкционированно используют вычислительные ресурсы устройства (процессор, видеокарту) для добычи криптовалюты. Потребление ресурсов приводит к снижению производительности, перегреву и преждевременному износу оборудования.
- Загрузчики (downloaders) и дропперы (droppers) — небольшие программы, скачивающие из интернета или внедряющие на систему другое вредоносное ПО. Служат для доставки более крупных и сложных угроз.
История и эволюция
Первые известные случаи вредоносного ПО относятся к началу 1970-х годов. Программа «Creeper», созданная Бобом Томасом в 1971 году, была самореплицирующимся кодом, который перемещался по сети ARPANET, выводя сообщение: «I’m the creeper, catch me if you can!». Однако её нельзя считать злонамеренной — она была экспериментальной. Первым настоящим вирусом, вызывавшим разрушения, считается «Elk Cloner» (1982), распространявшийся на дискетах для Apple II.
Развитие интернета в 1990-х годах привело к взрывному росту вредоносного ПО. Вирус «Melissa» (1999) продемонстрировал эффективность электронной почты как вектора заражения. В середине 2000-х годов широкое распространение получили черви («Mydoom», «Sasser», «Conficker»), поражавшие миллионы компьютеров по всему миру. Следующий этап — появление целенаправленных атак на корпоративные системы и государственные структуры (например, «Stuxnet» — компьютерный червь, обнаруженный в 2010 году, который успешно поразил иранские центрифуги обогащения урана, продемонстрировав способность кибероружия влиять на физические объекты). В 2010-х годах доминирующей угрозой стали программы-вымогатели.
Принципы работы и методы заражения
Векторы заражения
- Фишинг и социальная инженерия: злоумышленники отправляют электронные письма, сообщения в мессенджерах или звонки, побуждающие жертву перейти по ссылке на вредоносный сайт или скачать вложение.
- Drive-by downloads (загрузка без согласия): автоматическое скачивание вредоносного ПО при посещении скомпрометированного веб-сайта, использующего уязвимости в браузере или его плагинах (Flash, Java).
- Вредоносная реклама (malvertising): размещение вредоносного скрипта в рекламной сети, который перенаправляет пользователя на сайт с эксплойтами при загрузке баннера.
- Исполнение вредоносных макросов: документы офисных пакетов (Word, Excel) могут содержать макросы — скрипты, которые автоматически загружают и устанавливают вредоносное ПО при открытии документа.
- Уязвимости операционных систем и приложений: эксплуатация незакрытых программных ошибок (zero-day уязвимости) с помощью эксплойтов для удалённого выполнения кода.
- Нелегальное распространение и варез: популярный способ маскировки — встраивание троянов и майнеров в пиратские версии популярных игр, программ и операционных систем.
Методы противодействия обнаружению
Для затруднения обнаружения антивирусами и системами анализа, разработчики вредоносного ПО применяют:
- Полиморфизм: видоизменение собственного кода при каждом копировании, что затрудняет сигнатурное обнаружение.
- Обфускация: запутывание кода (шифрование, сжатие, подмешивание мусорных инструкций), чтобы антивирус не мог распознать сигнатуру.
- Rootkit-технологии: скрытие присутствия вредоносного ПО от операционной системы и антивируса (например, перехват системных вызовов, скрытие процессов, файлов и ключей реестра).
- Антиотладка и антиэмуляция: обнаружение работы в виртуальной машине или в «песочнице» (sandbox) анализатора, после чего программа перестаёт проявлять вредоносную активность.
- Living off the Land: злоумышленники не загружают отдельное вредоносное ПО, а используют штатные инструменты операционной системы (PowerShell, WMI, Windows Script Host) для выполнения команд и сбора данных.
Системы обнаружения и защиты
Антивирусные программы
Основой защиты долгое время оставались сигнатурные методы — анализ исполняемого файла на совпадение с известными образцами (сигнатурами) вредоносного кода. Современные решения дополняются эвристическим анализом (динамический анализ поведения в изолированной среде) и эмуляцией кода. Например, Windows Defender (встроенное защитное решение в ОС Windows), Kaspersky Internet Security, ESET NOD32, Dr.Web.
Несигнатурные методы
Для обнаружения неизвестных угроз и сложных атак (например, программ-вымогателей до момента публикации сигнатуры) используются: машинное обучение (нейронные сети анализируют поведение сотен тысяч образцов), поведенческий анализ (мониторинг действий программы в реальном времени: последовательность API-вызовов, создание процессов, запись в автозагрузку), облачные технологи (G DATA, F-Secure).
Профилактические меры
Помимо использования антивирусов, к основным способам защиты относятся:
- Своевременное обновление (патчинг) операционной системы и приложений.
- Регулярное резервное копирование данных (особенно против программ-вымогателей) на носители, не имеющие прямого соединения с компьютером.
- Ограничение привилегий учётных записей пользователей (принцип наименьших привилегий).
- Включение двухфакторной аутентификации (2FA).
- Блокировка исполнения макросов в документах Office, полученных из непроверенных источников.
- Использование браузерных блокировщиков рекламы для снижения вероятности malvertising.
- Повышение цифровой грамотности пользователей (способность распознать фишинговые письма, не переходить по сомнительным ссылкам).
Правовой статус и борьба с вредоносным ПО в России
В Российской Федерации ответственность за создание, использование и распространение вредоносного ПО предусмотрена Уголовным кодексом РФ, прежде всего статьёй 273 «Создание, использование и распространение вредоносных компьютерных программ» (максимальное наказание — лишение свободы на срок до семи лет). Под понятие вредоносного ПО подпадают программы, заведомо предназначенные для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты.
Также в России существует «Единый реестр вредоносных информационных ресурсов» (поддерживаемый Роскомнадзором), куда вносятся сайты и файлы, содержащие вредоносное ПО, для их блокировки на территории страны. Исключение составляет деятельность антивирусных лабораторий и исследователей информационной безопасности, действующих в рамках закона и с согласия сторон.
Источники
- Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» (№ 187-ФЗ от 26.07.2017).
- Уголовный кодекс Российской Федерации, статья 273.
- «Вредоносное программное обеспечение» — Материал из Википедии — свободной энциклопедии.
- Отчёты и исследования компаний Kaspersky, Group-IB, Positive Technologies.
- Data Security Council of India (DSCI) — Malware Analysis and Reverse Engineering.
- ENISA Threat Landscape Report.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →