Computerworld Россия

Сегодня большинство вредоносных программ проникают на компьютеры пользователей через Web-браузеры

К сожалению, защититься от Web-атак сложнее, чем от почтовых вирусов, поскольку протокол HTTP работает в реальном времени и чувствителен к задержкам. Тем не менее есть технологии поиска вредоносных кодов при их передаче, средства контроля поведения браузеров и встроенных в них интерпретаторов, учета и блокирования опасных URL-запросов и некоторые другие возможностиПредставители компании «Лаборатория Касперского», как и ряд других экспертов в области информационной безопасности, утверждают: эра почтовых червей закончилась. Подобное предположение можно сделать уже на основании того наблюдения, что наборы вирусов, обнаруженных на почтовых серверах и с помощью онлайновых антивирусов, сильно отличаются. В электронной почте по-прежнему преобладают такие черви, как Mydoom, Netsky, Bagle, которые, к счастью, очень эффективно блокируются шлюзовыми антивирусами. Между тем сканеры, которые проверяют компьютеры пользователей, в лидеры выводят рекламные программы, троянцев, клавиатурных шпионов и другие вредоносные программы. Как же они проникают на компьютеры?

Оказывается, большинство вредоносных программ сегодня проникают на компьютеры пользователей через браузер. Web-технологии развиваются стремительно, и современные браузеры превращаются в сложные комплексы программного кода, которые к тому же предусматривают интерфейс для внедрения разнообразных дополнительных модулей.

Чаще всего для нападения используются скрипты JavaScript, интерпретацию которых практически невозможно отключить без риска отказаться от лучшей половины функций Web; между тем именно они являются средствами скрытой загрузки вредоносного кода. Вторым по популярности методом является использование технологии ActiveX, в модулях расширения которой регулярно обнаруживаются ошибки.

В инфицировании пользователей через Web задействованы несколько участников. Прежде всего, это сайты, на которых устанавливается «заразная» ссылка на хранилище вредоносных программ. Иногда такие ссылки появляются с ведома владельцев ресурса (бывает, им даже платят за каждое инфицирование), но и на вполне респектабельных сайтах встречаются «заразные» страницы. Для этого хакеры используют технику «инъекций», возможности для которых регулярно обнаруживаются в различных Web-системах.

В качестве примеров подобных атак можно привести обнаружение вредоносных включений на сайтах РБК, ASUSTeK, Samsung и многих других популярных сайтах — все эти случаи регулярно освещаются в специализированных СМИ.

Одним из первых инцидентов подобного типа был эпизод, когда в мае прошлого года компания BitDefender обнаружила в одном из драйверов, распространяемых с сайта, вирус Funlove. Было непонятно, сам ли этот вирус внедрился в драйвер или он был специально заражен сторонним хакером. В начале сентября прошлого года аналогичная проблема возникла с сайтом Samsung; правда, в нем троянец был спрятан, и посетители просто не могли на него попасть, в то же время ссылка на него могла быть получена по электронной почте или IM; доверившись имени сайта, посетитель мог скачать вредоносный код. А в апреле этого года хакеры внедрили вредоносный код в скрытый фрейм главной страницы сайта ASUSTeK, что было зафиксировано «Лабораторией Касперского» и Exploit Prevention Labs. Аналогичный случай был зафиксирован и в России — в июне этого года на главной странице сайта РБК «Лаборатория Касперского» обнаружила внедрение вредоносной программы Mpack, загрузить которую могли несколько тысяч посетителей.

Вторым действующим лицом являются хакеры, сегодня зачастую работающие вовсе не бесплатно. Третий участник процесса инфицирования — владельцы «заразных» серверов, на которых располагаются вредоносные сценарии, эксплойты для атаки на различные браузеры, загрузчики троянских программ. Их задачей является заражение максимального числа доверчивых Web-посетителей каким-либо загрузчиком троянцев.

В дальнейшем через такие загрузчики устанавливаются другие вредоносные программы по желанию заказчиков киберпреступления — компоненты зомби-сетей, рекламные модули, программы для воровства паролей и многое другое. За каждым из перечисленных типов вредоносных программ своя криминальная бизнес-модель, которая и позволяет оплачивать услуги сайтов-инфекторов.

Еще одна категория участников этого рынка — разработчики эксплойтов и загрузчиков. Они стараются, чтобы их творения не выявлялись антивирусами, а потому постоянно модифицируют свои коды. Им также приходится писать все новые эксплойты для обнаруженных недавно уязвимостей, постоянно улучшая их «проникающую способность».

При этом наборы эксплойтов могут быть рассчитаны как на Internet Explorer, так и на другие браузеры — выбор нужного эксплойта выполняется в момент исполнения сценария JavaScript. Таким образом использование альтернативных браузеров не всегда может предотвратить проникновение в систему. Недавно в компании Trend Micro обнаружили подобный вредоносный сайт с российскими IP-адресами, на котором располагались более 400 различных вредоносных программ. Предполагается, что этот сайт был задействован в массовой атаке на испанские серверы нынешней весной. В составе этого сервера был набор эксплойтов, предназначенных для проникновения через браузеры Internet Explorer, Firefox и Opera.

Ключевыми игроками рынка Web-инфекций являются владельцы сайтов-инфекторов. Они закупают вредоносное программное обеспечение у их создателей, платят за инфицирование конечных пользователей, а им в свою очередь приносят деньги владельцы вредоносных программ — зомби, рекламных модулей, шпионов.

К сожалению, защититься от Web-атак сложнее, чем от почтовых вирусов, поскольку протокол HTTP работает в реальном времени и чувствителен к задержкам.

Тем не менее есть технологии поиска вредоносных кодов при их передаче (так называемые «потоковые антивирусы»), средства контроля поведения браузеров и встроенных в них интерпретаторов, учета и блокирования опасных URL-запросов и некоторые другие возможности. Часто они уже встроены в антивирусные программы или сетевые экраны, поэтому настоятельно рекомендуется их адекватно настроить и активно использовать.


Web-нападение

Для внедрения вредоносного HTML-тега в тело другого сайта обычно используется тег IFRAME (например, , открывающий фрейм размером 5х5 пикселей). В результате обработки этого тега открывается небольшой фрейм, который, как правило, не заметен для посетителя сайта. Для такого фрейма браузер запрашивает с внешнего сайта содержимое, которое и оказывается эксплойтом. Иногда для защиты от анализа производится несколько переадресаций. Для инфицирования используется техника переполнения буфера либо в компонентах ActiveX, либо в обработчиках протоколов. Это позволяет исполнить вредоносный код уже за пределами браузера, в самой операционной системе.

Поделитесь материалом с коллегами и друзьями