Roger A. Grimes. 7 Sneak Attacks Used by Today's Most Devious Hackers, www.infoworld.com
В большинстве вредоносных программ нет ничего выдающегося, но эти технологии способны пробить защиту систем и сетей даже наиболее подготовленных пользователей
Миллионы вредоносных программ и тысячи хакерских групп бороздят сегодня просторы Интернета, наживаясь на обманутых пользователях. Используя ту же самую тактику, что приносила свои плоды еще несколько лет, а то и десятилетий назад, они не демонстрируют ничего нового и интересного, успешно эксплуатируя нашу лень, невнимательность, а то и откровенную глупость.
Но ежегодно исследователи и разработчики программных средств безопасности выявляют скрытые технологии, которые не перестают удивлять. Благодаря этим технологиям перед вредоносными программами и хакерами открываются дополнительные возможности. В инновациях такого рода проявляется отклонение от общей канвы, несмотря на то, что многие из них очень просты.
В 90-х годах макровирус Microsoft Excel случайным образом заменял в электронных таблицах нули заглавными буквами «O». В результаты числовые поля мгновенно превращались в текстовые (а в числовом представлении они становились равными нулю), и изменения эти в большинстве случаев оставались незамеченными до тех пор, пока не выяснялось, что в резервных копиях хранятся неверные данные.
Сегодня большинство наиболее изобретательных хакеров и вредоносных программ стараются ничем не проявлять своей активности, совершая деструктивные действия тихо и незаметно. В этой статье будет рассказано об актуальных технологиях, которые заинтересовали автора как исследователя вопросов безопасности, и о тех уроках, которые удалось из них извлечь. Атаки подобного рода чаще всего представляют собой развитие давно известных идей, но при этом они и сегодня позволяют эффективно взламывать системы даже самых опытных пользователей.
Фальсифицированные точки доступа
Развернуть фальсифицированную точку доступа очень просто. Любой, у кого имеется необходимое для этого программное обеспечение и аппаратные компоненты, позволяющие осуществлять подключение к беспроводной сети, может превратить свой компьютер в точку доступа, которая в свою очередь устанавливает в общественном месте связь с реальной, вполне легитимной точкой доступа.
.jpg)
Помните об этом всегда, когда вы (или ваши пользователи) подключаетесь к «бесплатной беспроводной» сети в кафе, аэропорте или каком-то другом общественном месте. В кофейнях Starbucks хакеры присваивали своим фальсифицированным беспроводным сетям имя «Starbucks Wireless Network», а в аэропорту Атланты – «Atlanta Airport Free Wireless». К их компьютерам подключались самые разные пользователи, которые, естественно, ни о чем не догадывались. Хакеры же извлекали интересующую их информацию из незащищенных данных, которые отправлялись прямиком на их удаленные серверы. Вы очень удивитесь, когда узнаете, сколько данных, в том числе и паролей, передается в виде открытого текста.
Иногда хакеры предлагают своим жертвам создать для обращения к их точке доступа новую учетную запись. С высокой степенью вероятности пользователи укажут при этом свой постоянный логин или один из адресов электронной почты и пароль, который используется вместе с этим логином и в других местах. После этого хакер может попытаться зайти с учетными данными, попавшими к нему в руки, на один из популярных сайтов – Facebook, Twitter, Amazon, iTunes и т.д. – и пользователь никогда не узнает о том, как это произошло.
Выводы: общедоступным точкам доступа к беспроводной сети нельзя доверять. Всегда защищайте конфиденциальную информацию, пересылаемую по беспроводным сетям. Рассмотрите возможность использования соединения виртуальной частной сети, в котором все ваши данные шифруются, и не применяйте одни и те же пароли на общедоступных и частных сайтах.
Кража cookie
Cookie браузера – чудесное изобретение, позволяющее разработчикам сохранять «текущее состояние пользователей» при их перемещении по веб-сайту. Эти маленькие текстовые файлы, сохраняемые на наших машинах, помогают веб-сайту или сервису отслеживать нас во время очередного визита (или нескольких визитов), упрощая, например, покупку джинсов. И что же здесь может быть не так?
.jpg)
Дело в том, что все чаще и чаще встречаются ситуации, когда хакер, завладев вашими cookie, выдает себя за вас. Cookie авторизуют нас на сайте точно так же, как имя пользователя и пароль.
Конечно, кражи cookie известны еще с момента изобретения Web, но современные инструменты заметно упрощают эту процедуру. Все делается буквально за несколько щелчков. Надстройка Firesheep над браузером Firefox, к примеру, позволяет похищать незащищенные cookie у других пользователей. При наличии фальсифицированной точки доступа и совместно используемой общедоступной сети кражи cookie совершаются весьма успешно. Надстройка Firesheep показывает все имена и местоположение найденных cookie. Хакеру достаточно просто щелкнуть мышью, и он получает контроль над сеансом.
Положение усугубляется тем, что теперь хакеры могут похищать даже cookie, защищенные при помощи SSL/TLS. В сентябре 2011 г. в ходе атаки BEAST было доказано, что доступ можно получить даже к шифруемым с помощью протоколов SSL/TLS cookie. Дальнейшие улучшения и дополнения, которые были внесены в текущем году под характерным названием CRIME, показали, что решение задачи похищения и повторного использования cookie еще более упростилось.
Всякий раз после выявления очередного способа совершения атак на cookie разработчики сайтов и приложений сообщают пользователям о том, как защититься от них. Иногда дополнительные меры защиты предусматривают использование новейших шифров, в других случаях они связаны с отключением подозрительных функций, к которым большинство пользователей все равно не обращается. Основным условием является использование разработчиками веб-сайтов и приложений безопасных технологий, снижающих вероятность краж cookie. Если сайт не обновляет регулярно свои технологии шифрования, ваша информация подвергается риску.
Выводы: Даже зашифрованные cookie могут быть похищены. Обращайтесь только к тем сайтам, разработчики которых соблюдают необходимые меры безопасности и используют новейшие методы шифрования. На сайтах, использующих расширение HTTPS, должны быть установлены самые современные криптографические средства, в том числе TLS Version 1.2.
Манипуляции с именами файлов
Стремясь заставить пользователя запустить вредоносный код, хакеры проводят различные манипуляции с именами файлов. Вредоносным файлам с давних пор присваивались имена, вызывавшие любопытство у ничего не подозревавших жертв (например, AnnaKournikovaNudePics). Подобные файлы зачастую имели несколько расширений (AnnaKournikovaNudePics.Zip.exe). Microsoft Windows и некоторые другие операционные системы до сих пор скрывают расширения файлов, в результате чего файл AnnaKournikovaNudePics.Gif.Exe превращается в AnnaKournikovaNudePics.Gif.
Много лет назад вирусные программы, известные как «близнецы», «потомки» или «вирусы-компаньоны», использовали малоизвестную особенность Microsoft Windows/DOS, в соответствии с которой даже если вы указывали в качестве запускаемого файла Start.exe, операционная система выполняла программу Start.com (в том случае если она присутствовала на компьютере). Вирусы-компаньоны находили на диске пользователя все файлы. exe и записывали туда вредоносные программы, которые имели те же имена, но разрешение. com. В Microsoft давно залатали эту дыру, но те методы, которые хакеры использовали ранее для сокрытия вирусов, продолжают развиваться и до сих пор.
Среди более изощренных трюков с переименованием следует отметить использование символов Unicode для изменения названия файла. Например, символ-перевертыш Unicode (U+202E) способен обмануть многие системы, заставляя их отображать файл AnnaKournikovaNudeavi.exe в виде AnnaKournikovaNudexe.avi.
Выводы: перед запуском файла обращайте внимание на его реальное полное имя.
Местоположение файла
Интересный эффект противопоставления «относительного пути абсолютному», при котором операционная система вновь выступает сама против себя, связан и с определением местоположения файла. Когда в старых версиях Windows (Windows XP, 2003 и более ранних) пользователь набирал на клавиатуре имя файла и нажимал Enter, или операционная система инициировала поиск файла по его запросу, просмотр всегда начинался с текущей папки или каталога. Такой алгоритм представлялся достаточно эффективным и безопасным, однако хакеры и авторы вредоносных программ начали использовать его в своих целях. Предположим, к примеру, что вам понадобилась программа калькулятора (calc.exe). В том, чтобы открыть окно командной строки, набрать там calc.exe и нажать Enter, нет ничего сложного (зачастую эта процедура выполняется даже быстрее, чем запуск калькулятора при помощи мыши). Но представьте себе, что вредоносная программа сумела создать свой исполняемый файл calc.exe и поместила его в текущий каталог. Теперь если вы запустите calc.exe на выполнение, вместо настоящего калькулятора в память будет загружен его вредоносный двойник.
Этот недостаток системы при изучении вредоносных кодов используется для получения контроля над ней. Когда после проникновения в компьютер необходимо поднять права до уровня администратора, можно использовать версию какой-нибудь программы с известной уязвимостью, помещая ее во временную папку. Все, что для этого требовалось – переписать в нужное место свою версию исполняемого файла или библиотеки DLL. После этого набиралось имя исполняемого файла во временной папке, и Windows запускала уязвимую копию. В результате удавалось вскрыть полностью обновленную систему при помощи единственного незащищенного файла.
В системах Linux, Unix и BSD эта ошибка была исправлена более десяти лет тому назад. Компания Microsoft исправила ее в 2006 году в версиях Windows Vista/2008, но в старых системах она по-прежнему присутствует в целях сохранения обратной совместимости. Многие годы Microsoft рассылает разработчикам приложений предупреждения, настоятельно рекомендуя использовать абсолютный (а не относительный) путь доступа к файлу. Тем не менее, в десятках тысяч унаследованных программ присутствует уязвимость, связанная с определением местоположения. И хакеры знают об этом лучше, чем кто бы то ни было.
Выводы: Используйте операционные системы, которые требуют указания абсолютных путей для каталогов и папок, а во время поиска файлов сначала обращайтесь к тем областям, которые система задействует по умолчанию.
Переопределение файла hosts
Большинство сегодняшних пользователей компьютеров ничего не знают о существовании файла hosts, который участвует в разрешении имен DNS. Файл, находящийся в папке C:\Windows\System32\Drivers\Etc, содержит записи, устанавливающие соответствие между именами доменов и IP-адресами. Первоначально файл hosts создавался для того, чтобы устанавливать соответствие между доменными именами и IP-адресами непосредственно на локальной машине, не обращаясь к серверам DNS. Но в большинстве случаев функции DNS работают хорошо, и пользователи никогда не обращаются к своему файлу hosts.
.jpg)
Зато хакеры и вредоносные программы очень любят вставлять в файл hosts собственные записи. В результате, когда пользователь вводит популярное доменное имя (например, bing.com), уже переопределенное злоумышленниками, вызов направляется на вредоносный сайт. При этом внешне вредоносный сайт очень похож на настоящий, и подмена чаще всего остается незамеченной. Эта уязвимость сегодня используется очень широко.
Выводы: если переадресация вызывает вопросы, проверьте свой файл hosts.
На водопое
В атаках методом водопоя (waterhole) хакеры используют то, что их жертвы часто собираются или работают в каком-то конкретном физическом или виртуальном месте. При совершении вредоносных атак источник «водопоя», к которому все приходят, «отравляется».
У сотрудников большинства крупных компаний, как правило, имеется свое излюбленное кафе, бар или ресторан. Инициатор атаки создает там фальсифицированную точку доступа, пытаясь получить как можно больше учетных данных. Другим примером является модификация часто посещаемого сайта. Обращаясь к крупному порталу или социальной сети, жертвы чаще всего теряют бдительность и ни о чем не подозревают.
От атак, проводившихся методом водопоя, в этом году пострадал целый ряд известных технологических компаний, включая Apple, Facebook и Microsoft. Популярные сайты, которые посещали разработчики, были взломаны злоумышленниками. Размещенные там сценарии JavaScript устанавливали на компьютеры сотрудников крупных компаний вредоносные программы, использующие в том числе и уязвимости нулевого дня. Взломанные компьютеры разработчиков открывали атакующим доступ к внутренним корпоративным сетям и ресурсам.
Выводы: сотрудники должны знать, что популярные «места водопоя» часто становятся объектами хакерских атак.
Заманивание и перенаправление
Это одна из наиболее интересных хакерских тактик. Жертв убеждают в том, что они обращаются к каким-то полезным для себя ресурсам, и поначалу именно так и происходит, но через какое-то время они перенаправляются на вредоносный сайт. Таких примеров можно привести очень много.
Довольно часто распространители вредоносных программ покупают на популярных веб-сайтах рекламные площади. Владельцам ресурса демонстрируются вполне легальные ссылки и контент. Сайт одобряет рекламу и берет деньги. После этого злоумышленник заменяет ссылку или контент вредоносными программами. Зачастую при обнаружении IP-адресов, принадлежащих владельцам ресурса, на котором размещена реклама, деструктивный сайт возвращает соответствующих пользователей на первоначальную ссылку или контент. Такие приемы затрудняют быстрое обнаружение и блокировку вредоносного сайта.
Наиболее интересная атака заманивания и переключения, которую довелось встречать в последнее время, заключалась в создании злоумышленниками «бесплатного контента», который мог загружать и использовать любой желающий. (В нижней части страницы обычно для придания сайту большего правдоподобия располагались административная консоль и счетчик посетителей.) Часто к бесплатным апплетам и элементам прилагается лицензионное соглашение, разрешающее «бесплатное использование до тех пор, пока существует соответствующая ссылка». Ничего не подозревающие пользователи, получившие доступ к интересующему их контенту, оставляют первоначальную ссылку нетронутой. Обычно в этой ссылке нет ничего, кроме графического значка файла или чего-то еще, очень простого и понятного. Впоследствии, когда ссылка перекочует на тысячи сайтов, инициаторы атаки заменяют полезный контент на что-нибудь вредоносное (например, на сценарий JavaScript, который будет перенаправлять пользователей на другой ресурс).
Выводы: помните, что ссылки на ресурсы находятся вне зоны вашего непосредственного контроля, и эти ресурсы в любой момент могут быть заменены на что-нибудь другое без вашего ведома.
Негативные последствия невидимых атак: полная потеря контроля
Хакеры используют скрытые методы для маскировки своих деструктивных действий с момента появления самых первых вредоносных программ. Первый известный вирус для IBM-совместимых ПК – Pakistani Brain, созданный в 1986 году, при обнаружении программ редактирования диска подставлял им копию немодифицированного загрузочного сектора.
Когда хакер скрытым образом модифицирует вашу систему, она перестает быть вашей и принадлежит уже хакеру. Защита от скрытых атак сводится к выполнению общих рекомендаций (своевременное обновление системных компонентов, отказ от сомнительных программ и ресурсов и т.д.). При этом следует помнить, что хакеры с помощью новейших вредоносных программ могут заметать следы своего вмешательства. В результате, проведя все проверки, вы полагаете, что ваша система чиста, тогда как на самом деле она находится под контролем коварного хакера.