Роль Интернета в современном вредоносном ПО
Cтатья "Современные интернет-атаки" предоставлена Sophos Plc и SophosLabs.
Август 2007 г.
За прошедшие два года вредоносные программы стали все чаще использовать Интернет. Масштаб этого явления выходит далеко за рамки вредоносных скриптов, встраиваемых в веб-страницы. Вот лишь несколько примеров:
-
Многочисленные трояны-загрузчики используют Интернет в качестве хранилища файлов, загружая другие вредоносные файлы по HTTP.
-
Вредоносные скрипты, размещаемые на атакующих сайтах, поджидают пользователей уязвимых браузеров, чтобы использовать их уязвимости для заражения компьютера пользователя.
-
Скомпрометированные сайты являются удобным механизмом расширения масштабов воздействия вредоносного кода.
-
Спам-сообщения и сайты-приманки используются для того, чтобы обманом заставить пользователя запустить вредоносный код.
-
Вредоносные программы могут вести перенаправление полезного трафика. Современная интернет-реклама — это многомиллиардный бизнес [13,14]. Увеличение объемов интернет-трафика сайта путем перенаправления пользователей позволяет организациям и отдельным лицам зарабатывать деньги с помощью партнерского маркетинга [15].
Приложения, встраивающиеся в браузер и отображающие целевые рекламные объявления, обычно называют adware [16]. В настоящее время подобное ПО широко распространено и зачастую включается в состав других приложений ("ПО, финансируемое за счет рекламы"). Обычно установка adware позволяет зарабатывать деньги с помощью так называемых партнерских схем или схем с оплатой за установку. Зарегистрированные партнеры включают установочный пакет в свое приложение, которое впоследствии подключается к adware-сайту для загрузки оставшихся компонентов adware-приложения. При подключении на сервер могут передаваться сведения о партнере, что и позволяет ему получать оплату. Данный механизм может быть с легкостью использован для заработка создателями вредоносных программ, которые устанавливают adware-приложения на скомпрометированные компьютеры без ведома пользователя. Подробное описание концепции adware можно найти во множестве других источников, поэтому она не будет рассматриваться в этом документе.
Для создателей вредоносных программ Интернет является идеальной средой, позволяющей использовать различные сочетания описанных выше методик. Современные угрозы искусно используют спам и веб-приманки со скриптами, использующими уязвимости, обеспечивая эффективное заражение компьютеров доверчивых пользователей. На рис. 1 приведен обзор некоторых ключевых ролей, которые Интернет может играть в современных атаках с помощью вредоносного ПО.
Рис. 1. Обзор различных способов использования Интернета в современном вредоносном ПО. Интернет здесь может выступать как в роли простого хранилища файлов (используемого троянами-загрузчиками), так и в качестве базы для размещения атакующих сайтов, использующих уязвимости браузеров для заражения компьютеров пользователей, заходящих на скомпрометированный сайт (drive-download).
Данные роли подробно рассматриваются в данном документе на примерах различных атак с помощью вредоносного ПО.