Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

Часть серии по
Информационная безопасность
Связанные категории безопасности
Угрозы
Защиты
  • Обнаружение аномалий
  • Контроль доступа к компьютеру
  • Безопасность приложений
    • Антивирусное программное обеспечение
    • Программное обеспечение компьютерной безопасности
    • Безопасное кодирование
    • Безопасность по умолчанию
    • Безопасность благодаря дизайну
      • Случай неправильного использования
    • Операционная система, ориентированная на безопасность
  • Аутентификация
    • Многофакторная аутентификация
  • Авторизация
  • Безопасность, ориентированная на данные
  • Обфускация кода
  • Шифрование
  • Брандмауэр
  • Система обнаружения вторжений
    • Система обнаружения вторжений на основе хоста (HIDS)
  • Информация о безопасности и управление событиями
  • Мобильный безопасный шлюз
  • Самозащита рабочего приложения
  • Безопасность веб-приложений
  • v
  • т
  • е
Эта статья является частью серии статей о
Взлом компьютеров
История
  • Фрикинг
  • Криптовирология
  • Взлом бытовой электроники
  • Список хакеров
Хакерская культура и этика
  • Хакерский манифест
  • Черная шляпа
  • Серая шляпа
  • белая шляпа
  • Хакерское пространство
  • Хакатон
  • Хактивизм
  • Создатель культуры
Конференции
  • Брифинги Black Hat
  • Конгресс Хаоса Коммуникации
  • DEF CON
  • Хакеры на планете Земля
  • Security_BSides
  • ShmooCon
Компьютерное преступление
  • Преступное ПО
  • Список компьютерных преступников
  • Скрипт kiddie
Инструменты для взлома
  • ОС для криминалистики
  • Уязвимость
  • Использовать
  • Полезная нагрузка
  • Социальная инженерия
  • Кали
Сайты практики
  • HackThisSite
  • Зона-H
Вредоносное ПО
  • Руткит
  • Задняя дверь
  • троянский конь
  • Вирус
  • Червь
  • Шпионское ПО
  • Программы-вымогатели
  • Логическая бомба
  • Ботнет
  • Регистрация нажатия клавиш
  • HIDS
  • Веб-оболочка
  • RCE
Компьютерная безопасность
  • Безопасность приложений
  • Сетевая безопасность
  • Безопасность облачных вычислений
Группы
  • Анонимный
  • Компьютерный Клуб Хаоса
  • Домашний компьютерный клуб (несуществующий)
  • Легион Судьбы (несуществующий)
  • Мастера обмана (несуществующие)
  • LulzSec (несуществующий)
  • Красные и синие команды
Публикации
  • 2600: Ежеквартальный журнал The Hacker
  • Хакерские новости
  • Гайки и вольт
  • Phrack
  • v
  • т
  • е
Hex дамп от Blaster червя , показывая сообщения , оставленные для Microsoft соучредителя Билла Гейтса программиста червя

Вредоносное ПО ( портманто для вредоносного программного обеспечения ) - это любое программное обеспечение, намеренно разработанное для нанесения ущерба компьютеру , серверу , клиенту или компьютерной сети [1] [2] (напротив, программное обеспечение, которое причиняет непреднамеренный ущерб из-за некоторого недостатка, обычно описывается как ошибка программного обеспечения ). [3] Большое разнообразие типов вредоносных программ существуют, в том числе компьютерных вирусов , червей , троянских коней , вымогателей , шпионских программ , рекламного ПО, мошенническое программное обеспечение , дворники и пугающие программы .

Программы также считаются вредоносными, если они тайно действуют против интересов пользователя компьютера. Например, в какой-то момент Sony Music Compact Disc незаметно установил руткит на компьютеры покупателей с намерением предотвратить незаконное копирование, но который также сообщил о привычках прослушивания пользователями и непреднамеренно создал дополнительные уязвимости в безопасности. [4]

Различные антивирусные программы , брандмауэры и другие стратегии используются для защиты от внедрения вредоносных программ, обнаружения их, если они уже есть, и восстановления после вредоносных действий и атак, связанных с вредоносными программами. [5]

Цели [ править ]

Многие ранние инфекционные программы, в том числе первый Internet Worm , были написаны как эксперименты или розыгрыши. [6] Сегодня вредоносные программы используются как хакерами, так и правительствами для кражи личной, финансовой или деловой информации. [7] [8]

Вредоносное ПО иногда широко используется против правительственных или корпоративных веб-сайтов для сбора конфиденциальной информации [9] или для нарушения их работы в целом. Однако вредоносное ПО может использоваться против отдельных лиц для получения такой информации, как личные идентификационные номера или данные, номера банковских или кредитных карт и пароли.

С появлением широкополосного доступа в Интернет вредоносные программы все чаще разрабатывались для получения прибыли. С 2003 года большинство широко распространенных вирусов и червей было разработано для незаконного захвата контроля над компьютерами пользователей. [10] Зараженные « компьютеры - зомби » могут быть использованы для отправки электронной почты от спама , к данным хоста контрабандными , такие как детская порнография , [11] или участвовать в распределенных отказ в обслуживании атак как форма вымогательства . [12]

Программы, предназначенные для отслеживания просмотра веб-страниц пользователями, отображения нежелательной рекламы или перенаправления доходов от партнерского маркетинга , называются шпионским ПО . Шпионские программы не распространяются как вирусы; вместо этого они обычно устанавливаются с использованием дыр в безопасности. Их также можно скрыть и упаковать вместе с несвязанным программным обеспечением, установленным пользователем. [13] Sony BMG руткит был предназначен для предотвращения незаконного копирования; но также сообщал о привычках пользователей слушать и непреднамеренно создавал дополнительные уязвимости в безопасности. [4]

Программа-вымогатель каким-то образом влияет на зараженную компьютерную систему и требует оплаты, чтобы вернуть ее в нормальное состояние. Существует две разновидности программ-вымогателей: вымогатели-шифровальщики и вымогатели для шкафчиков. [14] С помощью программы-вымогателя шкафчик просто блокирует компьютерную систему без шифрования ее содержимого. В то время как традиционные программы-вымогатели - это те, которые блокируют систему и шифруют ее содержимое. Например, такие программы, как CryptoLocker, надежно шифруют файлы и расшифровывают их только после выплаты значительной суммы денег. [15]

Некоторые вредоносные программы используются для получения денег путем мошенничества с кликами , создавая впечатление, что пользователь компьютера щелкнул рекламную ссылку на сайте, в результате чего рекламодатель выписал платеж. По оценкам 2012 года, от 60 до 70% всех активных вредоносных программ использовали какие-либо виды мошенничества с кликами, а 22% всех рекламных кликов были мошенническими. [16]

Помимо получения преступных доходов, вредоносное ПО может использоваться для саботажа, часто по политическим мотивам. Stuxnet , например, был разработан для выхода из строя очень специфического промышленного оборудования. Были политически мотивированные атаки, которые распространились по крупным компьютерным сетям и привели к их отключению, включая массовое удаление файлов и повреждение основных загрузочных записей , описываемое как «убийство компьютеров». Такие нападения были сделаны на Sony Pictures Entertainment (25 ноября 2014 года, с использованием вредоносных программ , известный как Shamoon или W32.Disttrack) и Saudi Aramco (август 2012). [17] [18]

Инфекционное вредоносное ПО [ править ]

Основные статьи: Компьютерный вирус и Компьютерный червь

Наиболее известные типы вредоносных программ, вирусов и червей известны по способу их распространения, а не по каким-либо конкретным типам поведения. Компьютерный вирус - это программное обеспечение, которое встраивается в другое исполняемое программное обеспечение (включая саму операционную систему) в целевой системе без ведома и согласия пользователя, и при запуске вирус распространяется на другие исполняемые файлы. С другой стороны, червь - это автономное вредоносное ПО, которое активно распространяется по сети для заражения других компьютеров и может копировать себя, не заражая файлы. Эти определения приводят к наблюдению, что вирус требует, чтобы пользователь запустил зараженное программное обеспечение или операционную систему для распространения вируса, тогда как червь распространяется сам.[19]

Сокрытие [ править ]

Эти категории не являются взаимоисключающими, поэтому вредоносное ПО может использовать несколько методов. [20] Этот раздел относится только к вредоносным программам, предназначенным для работы незамеченным, а не к саботажу и программам-вымогателям.

См. Также: Полиморфный пакер

Вирусы [ править ]

Основная статья: Компьютерный вирус

Компьютерный вирус - это программа, обычно скрытая в другой, казалось бы, безобидной программе, которая может создавать свои копии и вставлять их в другие программы или файлы и обычно выполняет вредоносное действие (например, уничтожает данные). [21] Примером этого является PE-заражение, метод, обычно используемый для распространения вредоносных программ, который вставляет дополнительные данные или исполняемый код в PE-файлы . [22]

Программа-вымогатель с блокировкой экрана [ править ]

Основная статья: Программы-вымогатели

Блокировочные экраны или шкафчики для экранов - это разновидность программы-вымогателя «киберполиции», которая блокирует экраны на устройствах Windows или Android по ложному обвинению в сборе незаконного контента, пытаясь запугать жертв и заставить их заплатить определенную сумму. [23] Jisut и SLocker влияют на устройства Android больше, чем другие экраны блокировки, при этом на Jisut приходится почти 60% всех обнаружений программ-вымогателей Android. [24]

Троянские кони [ править ]

Основная статья: Троянский конь (вычисления)

Троянский конь - это вредоносная программа, которая выдает себя за обычную безвредную программу или служебную программу, чтобы убедить жертву установить ее. Троянский конь обычно несет в себе скрытую деструктивную функцию, которая активируется при запуске приложения. Этот термин происходит от древнегреческой истории о троянском коне, который тайно вторгся в Трою . [25] [26] [27] [28] [29]

Троянские кони обычно распространяются с помощью какой-либо формы социальной инженерии , например, когда пользователя обманывают, заставляя исполнять вложение электронной почты, замаскированное под подозрительное (например, обычную форму, которую необходимо заполнить), или путем скрытой загрузки . Хотя их полезная нагрузка может быть чем угодно, многие современные формы действуют как бэкдор , связываясь с контроллером ( звоня домой ), который затем может иметь несанкционированный доступ к зараженному компьютеру, потенциально устанавливая дополнительное программное обеспечение, такое как кейлоггер, для кражи конфиденциальной информации, программное обеспечение для криптомайнинга или рекламное ПО. для получения дохода оператору трояна. [30]Хотя троянские кони и бэкдоры нелегко обнаружить сами по себе, компьютеры могут работать медленнее, выделять больше тепла или шума вентилятора из-за интенсивного использования процессора или сети, что может происходить при установке программного обеспечения для криптомайнинга. Криптомайнеры могут ограничивать использование ресурсов и / или работать только во время простоя, пытаясь избежать обнаружения.

В отличие от компьютерных вирусов и червей, троянские кони обычно не пытаются внедряться в другие файлы или иным образом распространяться. [31]

Весной 2017 года пользователи Mac были поражены новой версией троянца удаленного доступа Proton (RAT) [32], обученного извлекать данные паролей из различных источников, таких как данные автозаполнения браузера, связка ключей Mac-OS и хранилища паролей. [33]

Руткиты [ править ]

Основная статья: Руткит

После установки вредоносного ПО в систему важно, чтобы оно оставалось скрытым, чтобы избежать обнаружения. Пакеты программного обеспечения, известные как руткиты, позволяют такое сокрытие, изменяя операционную систему хоста таким образом, чтобы вредоносная программа была скрыта от пользователя. Руткиты могут предотвратить появление вредоносного процесса в системном списке процессов или запретить чтение его файлов. [34]

Некоторые типы вредоносного программного обеспечения содержат процедуры, позволяющие избежать попыток идентификации и / или удаления, а не просто скрыть себя. Ранний пример такого поведения записан в рассказе из жаргонного файла о паре программ, заражающих систему разделения времени Xerox CP-V :

Каждое задание-призрак обнаруживало тот факт, что другое было убито, и запускало новую копию недавно остановленной программы в течение нескольких миллисекунд. Единственный способ убить обоих призраков - убить их одновременно (очень сложно) или намеренно вывести из строя систему. [35]

Бэкдоры [ править ]

Основная статья: Backdoor (вычисления)

Бэкдор является методом обхода аутентификации процедур, как правило , через соединение к сети , таким как Интернет. После того, как система была взломана, можно установить один или несколько бэкдоров, чтобы разрешить доступ в будущем [36] незаметно для пользователя.

Часто предлагалось, чтобы производители компьютеров предварительно устанавливали бэкдоры в свои системы для оказания технической поддержки клиентам, но это никогда не было надежно проверено. В 2014 году сообщалось, что правительственные агентства США перенаправляли компьютеры, приобретенные теми, кого считали «целями», в секретные мастерские, где было установлено программное или аппаратное обеспечение, разрешающее удаленный доступ агентства, что считалось одной из самых продуктивных операций для получения доступа к сетям вокруг мир. [37] Бэкдоры могут быть установлены троянскими конями, червями , имплантатами или другими способами. [38] [39]

Уклонение [ править ]

С начала 2015 года значительная часть вредоносных программ использует комбинацию многих методов, призванных избежать обнаружения и анализа. [40] От наиболее распространенных к наименее распространенным:

  1. уклонение от анализа и обнаружения путем снятия отпечатков пальцев с окружающей среды при исполнении. [41]
  2. запутанные методы обнаружения автоматизированных средств. Это позволяет вредоносным программам избежать обнаружения такими технологиями, как антивирусное программное обеспечение на основе сигнатур, путем изменения сервера, используемого вредоносным ПО. [42]
  3. уклонение по времени. Это когда вредоносное ПО запускается в определенное время или после определенных действий, предпринятых пользователем, поэтому оно выполняется в определенные уязвимые периоды, например, во время процесса загрузки, оставаясь бездействующим в остальное время.
  4. обфускация внутренних данных, чтобы автоматические инструменты не обнаруживали вредоносное ПО. [43]

Все более распространенным методом (2015 г.) является рекламное ПО, использующее украденные сертификаты для отключения защиты от вредоносных программ и вирусов; доступны технические средства защиты от рекламного ПО. [44]

В настоящее время одним из самых изощренных и скрытых способов уклонения является использование методов сокрытия информации, а именно стегомного вредоносного ПО . Обзор стегомальных программ был опубликован Cabaj et al. в 2018 году. [45]

Другой способ уклонения - бесфайловые вредоносные программы или Advanced Volatile Threats (AVT). Для работы бесфайловой вредоносной программы файл не требуется. Он работает в памяти и использует существующие системные инструменты для выполнения злонамеренных действий. Поскольку в системе нет файлов, нет исполняемых файлов для анализа антивирусными и криминалистическими инструментами, что делает практически невозможным обнаружение таких вредоносных программ. Единственный способ обнаружить бесфайловые вредоносные программы - это поймать их в режиме реального времени. В последнее время такие атаки стали более частыми: рост составил 432% в 2017 году и составил 35% атак в 2018 году. Такие атаки непросто выполнить, но они становятся все более распространенными с помощью наборов эксплойтов. [46] [47]

Уязвимость [ править ]

Основная статья: Уязвимость (вычисления)
  • В этом контексте и повсюду то, что называется "системой", подвергающейся атаке, может быть чем угодно - от отдельного приложения, целого компьютера и операционной системы до большой сети .
  • Различные факторы делают систему более уязвимой для вредоносных программ:

Дефекты безопасности в программном обеспечении [ править ]

Вредоносное ПО использует дефекты безопасности ( ошибки безопасности или уязвимости ) в конструкции операционной системы, в приложениях (таких как браузеры, например, более старые версии Microsoft Internet Explorer, поддерживаемые Windows XP [48] ) или в уязвимых версиях подключаемых модулей браузера, таких как Adobe Flash Player , Adobe Acrobat или Reader или Java SE . [49] [50] Иногда даже установка новых версий таких плагинов не приводит к автоматическому удалению старых версий. В рекомендациях по безопасности от поставщиков подключаемых модулей объявляются обновления, связанные с безопасностью. [51] Распространенным уязвимостям присваиваются идентификаторы CVE.и внесен в Национальную базу данных уязвимостей США . Secunia PSI [52] - это пример бесплатного для личного использования программного обеспечения, которое проверяет ПК на наличие уязвимых устаревших программ и пытается его обновить.

Авторы вредоносных программ нацелены на ошибки или лазейки, чтобы использовать их. Распространенным методом является использование уязвимости переполнения буфера , когда программное обеспечение, предназначенное для хранения данных в указанной области памяти, не препятствует доставке большего количества данных, чем может вместить буфер. Вредоносное ПО может предоставлять данные, переполняющие буфер, с вредоносным исполняемым кодом или данными после завершения; при обращении к этой полезной нагрузке она выполняет то, что определяет злоумышленник, а не легитимное программное обеспечение.

Защита от вредоносных программ представляет собой постоянно растущую угрозу для обнаружения вредоносных программ. [53] Согласно отчету Symantec об угрозах интернет-безопасности (ISTR) за 2018 г., количество вариантов вредоносного ПО в 2017 г. достигло 669 947 865, что вдвое больше, чем в 2016 г. [53]

Небезопасный дизайн или ошибка пользователя [ править ]

Ранние ПК нужно было загружать с дискет . Когда встроенные жесткие диски стали обычным явлением, операционная система обычно запускалась с них, но можно было загрузиться с другого загрузочного устройства, если оно доступно, например с дискеты, CD-ROM , DVD-ROM, USB-накопителя или сети. . Обычно компьютер настраивали для загрузки с одного из этих устройств, когда они доступны. Обычно ничего не было бы доступно; пользователь намеренно вставляет, скажем, компакт-диск в оптический привод, чтобы загрузить компьютер каким-либо особым образом, например, для установки операционной системы. Даже без загрузки компьютеры можно настроить для запуска программного обеспечения на некоторых носителях, как только они станут доступны, например, для автозапуска компакт-диска или USB-устройства, когда он вставлен.

Распространители вредоносных программ обманом заставляли пользователя загружаться или запускаться с зараженного устройства или носителя. Например, вирус может заставить зараженный компьютер добавить код автозапуска на любой USB-накопитель, подключенный к нему. Любой, кто затем подключил флешку к другому компьютеру, настроенному на автозапуск с USB, в свою очередь, заразится и передаст инфекцию таким же образом. [54] В более общем смысле, любое устройство, которое подключается к USB-порту - даже лампы, вентиляторы, динамики, игрушки или периферийные устройства, такие как цифровой микроскоп - можно использовать для распространения вредоносных программ. Устройства могут быть заражены во время производства или поставки, если контроль качества неадекватен. [54]

Этой формы заражения в значительной степени можно избежать, настроив компьютеры по умолчанию на загрузку с внутреннего жесткого диска, если таковой имеется, а не на автозапуск с устройств. [54] Преднамеренная загрузка с другого устройства всегда возможна при нажатии определенных клавиш во время загрузки.

Старое программное обеспечение электронной почты автоматически открывало HTML-письмо, содержащее потенциально вредоносный код JavaScript . Пользователи также могут выполнять замаскированные вредоносные вложения электронной почты. Report 2018 Data Breach Исследования по Verizon , цитируется CSO Online , утверждает , что письма являются основным методом доставки вредоносных программ, что составляет 92% от вредоносных программ доставки по всему миру. [55] [56]

Чрезмерно привилегированные пользователи и чрезмерно привилегированный код [ править ]

Основная статья: принцип наименьших привилегий

В вычислениях, привилегия относится к тому, насколько пользователю или программе разрешено изменять систему. В плохо спроектированных компьютерных системах и пользователям, и программам может быть назначено больше привилегий, чем они должны иметь, и вредоносные программы могут воспользоваться этим. Вредоносные программы делают это двумя способами: через чрезмерно привилегированных пользователей и через чрезмерно привилегированный код. [ необходима цитата ]

Некоторые системы позволяют всем пользователям изменять свои внутренние структуры, и сегодня такие пользователи будут считаться пользователями с чрезмерными привилегиями . Это была стандартная рабочая процедура для ранних микрокомпьютерных и домашних компьютерных систем, где не было различия между администратором или пользователем root и обычным пользователем системы. В некоторых системах пользователи, не являющиеся администраторами, изначально имеют чрезмерные привилегии в том смысле, что им разрешено изменять внутренние структуры системы. В некоторых средах пользователи имеют чрезмерные привилегии, потому что им был неправомерно предоставлен статус администратора или эквивалентный статус. [57]

Некоторые системы позволяют коду, выполняемому пользователем, получать доступ ко всем правам этого пользователя, что известно как сверхпривилегированный код. Это также была стандартная процедура для первых микрокомпьютеров и домашних компьютерных систем. Вредоносное ПО, работающее как сверхпривилегированный код, может использовать эту привилегию для подрыва системы. Почти все популярные в настоящее время операционные системы, а также многие приложения для создания сценариев допускают код слишком большого количества привилегий, обычно в том смысле, что когда пользователь выполняет код, система предоставляет этому коду все права этого пользователя. Это делает пользователей уязвимыми для вредоносных программ в виде вложений электронной почты , которые могут быть или не быть замаскированы. [ необходима цитата ]

Использование той же операционной системы [ править ]

  • Однородность может быть уязвимостью. Например, когда все компьютеры в сети работают под одной и той же операционной системой, один червь может эксплуатировать их все: [58] В частности, Microsoft Windows или Mac OS X имеют такую ​​большую долю рынка, что использованная уязвимость концентрация на любой из операционных систем может разрушить большое количество систем. Внедрение разнообразия исключительно ради устойчивости, такое как добавление компьютеров с Linux, может увеличить краткосрочные затраты на обучение и обслуживание. Однако до тех пор, пока все узлы не являются частью одной и той же службы каталогов для аутентификации, наличие нескольких разных узлов может препятствовать полному отключениюсети и разрешить этим узлам помочь с восстановлением зараженных узлов. Такое раздельное функциональное резервирование могло бы избежать затрат на полное отключение за счет увеличения сложности и снижения удобства использования с точки зрения аутентификации с единым входом. [ необходима цитата ]

Стратегии защиты от вредоносных программ [ править ]

Основная статья: Антивирусное программное обеспечение

По мере того, как атаки вредоносных программ становятся все более частыми, внимание стало переключаться с защиты от вирусов и шпионского ПО на защиту от вредоносных программ и программ, специально разработанных для борьбы с вредоносными программами. (Другие превентивные меры и меры восстановления, такие как методы резервного копирования и восстановления, упомянуты в статье о компьютерном вирусе ). Перезагрузка для восстановления программного обеспечения также полезна для защиты от вредоносных программ путем отката вредоносных изменений.

Антивирусное и антивирусное программное обеспечение [ править ]

Конкретный компонент антивирусного и антивирусного программного обеспечения, обычно называемый сканером при доступе или сканером в реальном времени, подключается к ядру или ядру операционной системы и функционирует аналогично тому, как само определенное вредоносное ПО пытается работать, хотя и с информированного разрешения пользователя для защиты системы. Каждый раз, когда операционная система обращается к файлу, сканер при доступе проверяет, является ли файл «легитимным» файлом или нет. Если файл определен сканером как вредоносный, операция доступа будет остановлена, файл будет обработан сканером заранее определенным образом (как антивирусная программа была настроена во время / после установки), а пользователь будет уведомлен. [ необходима цитата ]Это может существенно повлиять на производительность операционной системы, хотя степень воздействия зависит от того, насколько хорошо был запрограммирован сканер. Цель состоит в том, чтобы остановить любые операции, которые вредоносная программа может предпринять в системе, до того, как они произойдут, включая действия, которые могут использовать ошибки или вызвать неожиданное поведение операционной системы.

Программы защиты от вредоносных программ могут бороться с вредоносными программами двумя способами:

  1. Они могут обеспечить защиту в реальном времени от установки вредоносного ПО на компьютер. Этот тип защиты от вредоносных программ работает так же, как и антивирусная защита, поскольку антивирусное программное обеспечение сканирует все входящие сетевые данные на наличие вредоносных программ и блокирует любые обнаруживаемые угрозы .
  2. Программы защиты от вредоносных программ могут использоваться исключительно для обнаружения и удаления вредоносных программ, которые уже были установлены на компьютере. Этот тип программного обеспечения для защиты от вредоносных программ сканирует содержимое реестра Windows, файлы операционной системы и установленные программы на компьютере и предоставляет список любых обнаруженных угроз, позволяя пользователю выбрать, какие файлы удалить или сохранить, или сравнить из этого списка в список известных компонентов вредоносного ПО, удалив соответствующие файлы. [59]

Защита от вредоносных программ в реальном времени работает так же, как и антивирусная защита в реальном времени: программное обеспечение сканирует файлы на диске во время загрузки и блокирует активность компонентов, которые, как известно, представляют вредоносные программы. В некоторых случаях он также может перехватывать попытки установить элементы автозагрузки или изменить настройки браузера. Поскольку многие компоненты вредоносного ПО устанавливаются в результате эксплойтов браузера или ошибки пользователя, использование программного обеспечения безопасности (некоторые из которых являются антивирусными, а многие - нет) для "песочницы" браузеров (по сути, изолируют браузер от компьютера и, следовательно, любые вредоносные программы вызванное изменение) также может быть эффективным средством ограничения любого нанесенного ущерба. [60]

Примеры антивирусного и антивирусного программного обеспечения Microsoft Windows включают необязательный Microsoft Security Essentials [61] (для Windows XP, Vista и Windows 7) для защиты в реальном времени, средство удаления вредоносных программ Windows [62] (теперь входит в состав Windows). (безопасность) Обновления на « Patch Tuesday », второй вторник каждого месяца), и Windows Defender (опциональные загрузки в случае Windows XP, включая функциональные возможности MSE в случае Windows 8 и более поздних версий). [63] Кроме того, несколько эффективных антивирусных программ доступны для бесплатной загрузки из Интернета (обычно ограничены некоммерческим использованием).[64] Тесты показали, что некоторые бесплатные программы могут конкурировать с коммерческими. [64] [65] [66] Средство проверки системных файлов Microsoftможно использовать для проверки и восстановления поврежденных системных файлов.

Некоторые вирусы отключают восстановление системы и другие важные инструменты Windows, такие как диспетчер задач и командную строку . Многие такие вирусы можно удалить, перезагрузив компьютер, войдя в безопасный режим Windows с подключением к сети [67], а затем с помощью системных инструментов или Microsoft Safety Scanner . [68]

Аппаратные имплантаты могут быть любого типа, поэтому общего способа их обнаружения не существует.

Сканирование безопасности веб-сайтов [ править ]

Поскольку вредоносное ПО также наносит ущерб взломанным веб-сайтам (нарушая репутацию, занося в черный список в поисковых системах и т. Д.), Некоторые веб-сайты предлагают сканирование уязвимостей. [69] [70] [71] [72] Такое сканирование проверяет веб-сайт, обнаруживает вредоносные программы, [73] может обнаружить устаревшее программное обеспечение и сообщить об известных проблемах безопасности.

Изоляция «воздушный зазор» или «параллельная сеть» [ править ]

В крайнем случае, компьютеры могут быть защищены от вредоносных программ, а зараженные компьютеры не могут распространять достоверную информацию, создав «воздушный зазор» (т.е. полностью отключив их от всех других сетей). Тем не менее, в некоторых ситуациях вредоносное ПО все же может преодолеть воздушный зазор. Stuxnet - это пример вредоносного ПО, которое попадает в целевую среду через USB-накопитель.

«AirHopper», [74], «BitWhisper», [75] «GSMem» [76] и «Fansmitter» [77] - это четыре метода, предложенные исследователями, которые могут передавать данные с компьютеров с воздушными зазорами с помощью электромагнитной, тепловой и акустической эмиссии.

Grayware [ править ]

См. Также: Программное обеспечение, нарушающее конфиденциальность, и Потенциально нежелательная программа.

Grayware (иногда называемое greyware ) - это термин, применяемый к нежелательным приложениям или файлам, которые не классифицируются как вредоносные, но могут ухудшить производительность компьютеров и создать угрозу безопасности. [78]

Он описывает приложения, которые ведут себя раздражающе или нежелательно, но при этом менее серьезны или доставляют беспокойство, чем вредоносные программы. К нежелательным программам относятся шпионское , рекламное ПО , мошеннические программы дозвона , программы-шутки, инструменты удаленного доступа и другие нежелательные программы, которые могут повредить работу компьютеров или причинить неудобства. Термин вошел в употребление примерно в 2004 году. [79]

Другой термин, потенциально нежелательная программа (PUP) или потенциально нежелательное приложение (PUA), [80] относится к приложениям, которые будут считаться нежелательными, несмотря на то, что они часто загружались пользователем, возможно, после того, как он не прочитал соглашение о загрузке. ПНП включают шпионское, рекламное ПО и мошеннические программы дозвона. Многие продукты безопасности классифицируют неавторизованные генераторы ключей как нежелательные программы, хотя они часто несут настоящие вредоносные программы в дополнение к их предполагаемой цели.

Производитель программного обеспечения Malwarebytes перечисляет несколько критериев для классификации программы как ПНП. [81] Некоторые типы рекламного ПО (использующие украденные сертификаты) отключают защиту от вредоносных программ и вирусов; доступны технические средства правовой защиты. [44]

История [ править ]

Основная статья: История компьютерных вирусов
См. Также: История программ-вымогателей.
Дополнительная информация: Хронология компьютерных вирусов и червей.

До того, как доступ в Интернет получил широкое распространение, вирусы распространялись на персональных компьютерах, заражая исполняемые программы или загрузочные секторы гибких дисков. Вставляя свою копию в инструкции машинного кода в этих программах или загрузочных секторах , вирус запускает себя при каждом запуске программы или загрузке диска. Ранние компьютерные вирусы были написаны для Apple II и Macintosh , но они получили более широкое распространение с преобладанием IBM PC и системы MS-DOS . Первым вирусом для IBM PC в «дикой природе» был вирус загрузочного сектора, получивший название (c) Brain , [82]создана в 1986 году братьями Фарук Алви в Пакистане. [83] Вирусы, заражающие исполняемые файлы, зависят от пользователей, обменивающихся программным обеспечением или загрузочными дискетами и флэш-накопителями, поэтому они быстро распространяются в кругах любителей компьютеров. [ необходима цитата ]

Первые черви, сетевые инфекционные программы, зародились не на персональных компьютерах, а на многозадачных системах Unix . Первым широко известным червем был Internet Worm 1988 года, заразивший системы SunOS и VAX BSD . В отличие от вируса, этот червь не внедрялся в другие программы. Вместо этого он использовал дыры в безопасности ( уязвимости ) в программах сетевых серверов и запустил себя как отдельный процесс . [84] То же самое поведение используется и сегодняшними червями. [85] [86]

С появлением в 1990-х годах платформы Microsoft Windows и гибких макросов ее приложений стало возможным писать заразительный код на макроязыке Microsoft Word и подобных программ. Эти макровирусы заражают документы и шаблоны, а не приложения ( исполняемые файлы ), но полагаются на тот факт, что макросы в документе Word представляют собой форму исполняемого кода. [87]

Академические исследования [ править ]

Основная статья: Исследование вредоносного ПО

Идея самовоспроизводящейся компьютерной программы восходит к первоначальным теориям о работе сложных автоматов. [88] Джон фон Нейман показал, что теоретически программа может воспроизводить себя. Это составляло правдоподобный результат в теории вычислимости . Фред Коэн экспериментировал с компьютерными вирусами и подтвердил постулат Неймана, а также исследовал другие свойства вредоносных программ, такие как обнаруживаемость и самообфускация с использованием элементарного шифрования. Его докторская диссертация 1987 года была посвящена компьютерным вирусам. [89]Комбинация криптографической технологии как части полезной нагрузки вируса, использующей его для целей атаки, была инициирована и исследована с середины 1990-х годов и включает первоначальные идеи вымогателей и уклонения. [90]

См. Также [ править ]

  • Ботнет
  • Взлом браузера
  • Сравнение антивирусного ПО
  • Компьютерная безопасность
  • Кибершпионаж
  • Алгоритм генерации домена
  • Вредоносное ПО для Facebook
  • Папка-переплет
  • Кража личных данных
  • Промышленный шпионаж
  • Вредоносное ПО для Linux
  • Вредоносная реклама
  • Фишинг
  • Рискованное ПО
  • Безопасность в веб-приложениях
  • Социальная инженерия (безопасность)
  • Нацеленная угроза
  • Мошенничество со службой технической поддержки - незатребованные телефонные звонки от поддельного сотрудника службы технической поддержки, утверждающего, что на компьютере есть вирус или другие проблемы.
  • Программное обеспечение телеметрии
  • Typosquatting
  • Причины перегрузки веб-сервера
  • Веб-атакующий
  • Зомби (информатика)

Ссылки [ править ]

  1. ^ «Определение вредоносного ПО: FAQ» . technet.microsoft.com . Проверено 10 сентября 2009 года .
  2. ^ «Ненаправленная атака на критически важную инфраструктуру» (PDF) . Группа готовности к компьютерным чрезвычайным ситуациям США (Us-cert.gov) . Проверено 28 сентября 2014 года .
  3. Кляйн, Тобиас (11 октября 2011 г.). Дневник охотника за ошибками: экскурсия по дебрям программной безопасности . Пресс без крахмала. ISBN 978-1-59327-415-3.
  4. ^ a b Марк Руссинович (31 октября 2005 г.). «Sony, руткиты и управление цифровыми правами зашли слишком далеко» . Блог Марка . Microsoft MSDN . Проверено 29 июля 2009 года .
  5. ^ «Защитите свой компьютер от вредоносных программ» . OnGuardOnline.gov. 11 октября 2012 . Проверено 26 августа 2013 года .
  6. Типтон, Гарольд Ф. (26 декабря 2002 г.). Справочник по управлению информационной безопасностью . CRC Press. ISBN 978-1-4200-7241-9.
  7. ^ «Вредоносное ПО» . ФЕДЕРАЛЬНАЯ ТОРГОВАЯ КОМИССИЯ - ИНФОРМАЦИЯ ДЛЯ ПОТРЕБИТЕЛЯ . Проверено 27 марта 2014 года .
  8. ^ Эрнандес, Педро. «Microsoft обещает бороться с правительственным кибершпионажем» . eWeek . Проверено 15 декабря 2013 года .
  9. ^ Ковач, Эдуард. «Вредоносное ПО MiniDuke, используемое против европейских правительственных организаций» . Софтпедия . Проверено 27 февраля 2013 года .
  10. ^ «Революция вредоносного ПО: изменение цели» . Март 2007 г.
  11. ^ «Child Porn Вредоносное Окончательное Зло» . Ноябрь 2009 г.
  12. PC World - Zombie PCs: Silent, Growing Threat .
  13. ^ «Одноранговая информация» . ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СЕВЕРНОЙ КАРОЛИНЫ . Проверено 25 марта 2011 года .
  14. ^ Ричардсон, Ронни; Норт, Макс (1 января 2017 г.). «Программы-вымогатели: развитие, смягчение и предотвращение» . Обзор международного менеджмента . 13 (1): 10–21.
  15. ^ Fruhlinger, Джош (1 августа 2017). «5 крупнейших атак программ-вымогателей за последние 5 лет» . ОГО . Проверено 23 марта 2018 года .
  16. ^ «Другой способ, которым Microsoft разрушает экосистему вредоносных программ» . Архивировано из оригинального 20 сентября 2015 года . Проверено 18 февраля 2015 года .
  17. ^ «Shamoon - последнее вредоносное ПО для энергетического сектора» . Проверено 18 февраля 2015 года .
  18. ^ «Вредоносное ПО, убивающее компьютеры, используемое в атаке Sony с помощью будильника» . Проверено 18 февраля 2015 года .
  19. ^ "компьютерный вирус - Британская энциклопедия" . Britannica.com . Проверено 28 апреля 2013 года .
  20. ^ «Все о вредоносных программах и конфиденциальности информации - TechAcute» . techacute.com . 31 августа 2014 г.
  21. ^ "Что такое вирусы, черви и троянские кони?" . Университет Индианы . Попечители Университета Индианы . Проверено 23 февраля 2015 года .
  22. ^ Питер Сзор (3 февраля 2005). Искусство исследования и защиты компьютерных вирусов . Pearson Education. п. 204. ISBN 978-0-672-33390-3.
  23. ^ «Рост Android Ransomware, исследование» (PDF) . ESET .
  24. ^ «Состояние вредоносного ПО, исследование» (PDF) . Malwarebytes .
  25. ^ Ландвер, C. E; А. Р. Бык; Дж. П. Макдермотт; W. S Choi (1993). Таксономия недостатков безопасности компьютерных программ с примерами . Документ DTIC . Проверено 5 апреля 2012 года .
  26. ^ «Определение троянского коня» . Проверено 5 апреля 2012 года .
  27. ^ "Троянский конь" . Вебопедия . Проверено 5 апреля 2012 года .
  28. ^ «Что такое троянский конь? - Определение с сайта Whatis.com» . Проверено 5 апреля 2012 года .
  29. ^ "Троянский конь: [придумано хакером Массачусетского технологического института, ставшим призраком АНБ Дэном Эдвардсом] Н." Архивировано из оригинала 5 июля 2017 года . Проверено 5 апреля 2012 года .
  30. ^ "В чем разница между вирусами, червями и троянскими конями?" . Symantec Corporation . Проверено 10 января 2009 года .
  31. ^ «Часто задаваемые вопросы о VIRUS-L / comp.virus (FAQ) v2.00 (Вопрос B3: Что такое троянский конь?)» . 9 октября 1995 . Проверено 13 сентября 2012 года .
  32. ^ "Proton Mac Trojan продает подписи для подписи кода Apple клиентам за 50 тысяч долларов" . AppleInsider.
  33. ^ «Вредоносное ПО, отличное от Windows» . Betanews. 24 августа 2017.
  34. ^ Макдауэлл, Минди. «Понимание скрытых угроз: руткиты и ботнеты» . US-CERT . Проверено 6 февраля 2013 года .
  35. ^ "Catb.org" . Catb.org . Проверено 15 апреля 2010 года .
  36. ^ Винцентас (11 июля 2013). «Вредоносное ПО в SpyWareLoop.com» . Цикл шпионского ПО . Проверено 28 июля 2013 года .
  37. Персонал, SPIEGEL (29 декабря 2013 г.). "Внутри TAO: Документы раскрывают главный хакерский отдел АНБ" . Spiegel Online . SPIEGEL . Проверено 23 января 2014 года .
  38. ^ Эдвардс, Джон. «Основные угрозы зомби, троянских коней и ботов» . ИТ-безопасность. Архивировано из оригинала 9 февраля 2017 года . Проверено 25 сентября 2007 года .
  39. Аппельбаум, Джейкоб (29 декабря 2013 г.). «Покупка шпионского снаряжения: в каталоге рекламируется набор инструментов АНБ» . Spiegel Online . SPIEGEL . Проверено 29 декабря 2013 года .
  40. ^ «Уклончивые вредоносные программы становятся мейнстримом - Help Net Security» . net-security.org . 22 апреля 2015.
  41. ^ Кират, Дилунг; Винья, Джованни; Крюгель, Кристофер (2014). Barecloud: уклончивое обнаружение вредоносных программ на основе анализа с нуля . ACM. С. 287–301. ISBN 978-1-931971-15-7.
    Свободно доступен по адресу: «Barecloud: уклончивое обнаружение вредоносных программ на основе анализа с нуля» (PDF) .
  42. ^ Четыре наиболее распространенных метода уклонения, используемых вредоносным ПО . 27 апреля 2015 г.
  43. ^ Янг, Адам; Юнг, Моти (1997). "Отказ от взлома пароля: о возможности уклончивого электронного шпионажа". Symp. по безопасности и конфиденциальности . IEEE. С. 224–235. ISBN 0-8186-7828-3.
  44. ^ a b Кейси, Генри Т. (25 ноября 2015 г.). «Последнее рекламное ПО отключает антивирусное ПО» . Руководство Тома . Yahoo.com . Проверено 25 ноября 2015 года .
  45. ^ Кабай, Кшиштоф; Кавильоне, Лука; Мазурчик, Войцех; Вендзель, Штеффен; Вудворд, Алан; Зандер, Себастьян (май 2018). «Новые угрозы сокрытия информации: дорога вперед». ИТ-специалист . 20 (3): 31–39. arXiv : 1801.00694 . DOI : 10.1109 / MITP.2018.032501746 . S2CID 22328658 . 
  46. ^ «Защищенный вход в систему WebAccess штата Пенсильвания» . webaccess.psu.edu . DOI : 10.1145 / 3365001 . Проверено 29 февраля 2020 .
  47. ^ «Методы уклонения от динамического анализа вредоносных программ: обзор» . ResearchGate . Проверено 29 февраля 2020 .
  48. ^ "Глобальный веб-браузер ... Тенденции безопасности" (PDF) . Лаборатория Касперского. Ноябрь 2012 г.
  49. Rashid, Fahmida Y. (27 ноября 2012 г.). «Обновленные браузеры по-прежнему уязвимы для атак, если плагины устарели» . pcmag.com. Архивировано из оригинала 9 апреля 2016 года . Проверено 17 января 2013 года .
  50. ^ Данчев, Даий (18 августа 2011). «Касперский: на каждом компьютере обнаружено 12 различных уязвимостей» . pcmag.com.
  51. ^ «Бюллетени и рекомендации по безопасности Adobe» . Adobe.com . Проверено 19 января 2013 года .
  52. ^ Рубенкинг, Нил Дж. «Обзор и рейтинг Secunia Personal Software Inspector 3.0» . PCMag.com . Проверено 19 января 2013 года .
  53. ^ а б Сяо, Фэй; Солнце, Йи; Ду, Дунгао; Ли, Сюэлей; Луо, Мин (21 марта 2020 г.). «Новый метод классификации вредоносных программ, основанный на критическом поведении» . Математические проблемы инженерии . 2020 : 1–12. DOI : 10.1155 / 2020/6804290 . ISSN 1024-123X . 
  54. ^ a b c «USB-устройства, распространяющие вирусы» . CNET . CBS Interactive . Проверено 18 февраля 2015 года .
  55. ^ https://enterprise.verizon.com/resources/reports/DBIR_2018_Report.pdf
  56. ^ Fruhlinger, Джош (10 октября 2018). «Основные факты, цифры и статистика по кибербезопасности за 2018 год» . CSO Online . Проверено 20 января 2020 года .
  57. ^ «Вредоносные программы, вирусы, черви, троянские программы и шпионское ПО» . list.ercacinnican.tk . Дата обращения 14 ноября 2020 .
  58. ^ "LNCS 3786 - Ключевые факторы, влияющие на заражение червем", У. Канлайасири, 2006, Интернет (PDF): SL40-PDF .
  59. ^ "Как работает антивирусное программное обеспечение?" . Проверено 16 октября 2015 года .
  60. ^ Суппайя, Муругия; Скарфоне, Карен (июль 2013 г.). «Руководство по предотвращению и обработке вредоносных программ для настольных и портативных компьютеров». Национальный институт стандартов и технологий. DOI : 10.6028 / nist.sp.800-83r1 . Цитировать журнал требует |journal=( помощь )
  61. ^ «Microsoft Security Essentials» . Microsoft . Проверено 21 июня 2012 года .
  62. ^ «Средство удаления вредоносных программ» . Microsoft. Архивировано из оригинального 21 июня 2012 года . Проверено 21 июня 2012 года .
  63. ^ «Защитник Windows» . Microsoft. Архивировано из оригинального 22 июня 2012 года . Проверено 21 июня 2012 года .
  64. ^ a b Рубенкинг, Нил Дж. (8 января 2014 г.). «Лучший бесплатный антивирус 2014 года» . pcmag.com.
  65. ^ «Бесплатные антивирусные профили в 2018 году» . antivirusgratis.org . Архивировано 10 августа 2018 года . Дата обращения 13 февраля 2020 .
  66. ^ «Быстро определить вредоносное ПО, запущенное на вашем компьютере» . techadvisor.co.uk .
  67. ^ "Как мне удалить компьютерный вирус?" . Microsoft . Проверено 26 августа 2013 года .
  68. ^ «Сканер безопасности Microsoft» . Microsoft . Проверено 26 августа 2013 года .
  69. ^ «Пример сканера уязвимостей веб-сайта» . Unmaskparasites.com . Проверено 19 января 2013 года .
  70. ^ «Программа просмотра файлов Redleg. Используется для проверки веб-страницы на наличие вредоносных перенаправлений или вредоносного HTML-кода» . Aw-snap.info . Проверено 19 января 2013 года .
  71. ^ "Пример страницы диагностики безопасного просмотра Google.com" . Проверено 19 января 2013 года .
  72. ^ «Безопасный просмотр (блог о безопасности Google в Интернете)» . Проверено 21 июня 2012 года .
  73. ^ "Перенаправление вредоносных программ Wordpress" . wphackedhelp.com. 23 мая 2018 . Проверено 20 февраля 2020 года .
  74. ^ М. Гури, Г. Kedma, А. Kachlon и Y. Elovici, «AirHopper: Преодолевая воздушный зазор между изолированных сетей и мобильных телефоновиспользованием радиочастот,» вредоносных и нежелательных программ: Северная Америка (Malware), 2014 9 - я Международная Конференция , Фахардо, PR, 2014, стр. 58-67.
  75. ^ М. Гури, М. Мониц, Ю. Мирский и Y. Elovici, "BitWhisper: Скрытое канала сигнализации между Air-гэпом компьютерамипомощью Thermal манипуляций," 2015 Фундаментов IEEE Computer Security двадцать восьмого симпозиум ., Verona, 2015, стр 276-289 .
  76. ^ GSMem: Эксфильтрация данных с компьютеров с воздушным зазором на частотах GSM. Мордехай Гури, Ассаф Кахлон, Офер Хассон, Габи Кедма, Исроэль Мирски и Юваль Эловичи, Университет Бен-Гуриона в Негеве; Симпозиум по безопасности USENIX 2015
  77. ^ Hanspach, Майкл; Гетц, Майкл; Дайдакулов Андрей; Еловичи, Юваль (2016). "Fansmitter: Exfiltration акустических данных с (без громкоговорителей) компьютеров с воздушным зазором". arXiv : 1606.05915 [ cs.CR ].
  78. ^ Винцентас (11 июля 2013). «Grayware в SpyWareLoop.com» . Цикл шпионского ПО . Архивировано из оригинала 15 июля 2014 года . Проверено 28 июля 2013 года .
  79. ^ «Энциклопедия угроз - общее нежелательное ПО» . Trend Micro . Проверено 27 ноября 2012 года .
  80. ^ «Рейтинг лучших решений для защиты от вредоносных программ» . Арстехника. 15 декабря 2009 . Проверено 28 января 2014 .
  81. ^ «Критерии ЩЕНКА» . Malwarebytes.org . Дата обращения 13 февраля 2015 .
  82. ^ "Восстановление вирусов загрузочного сектора" . Antivirus.about.com. 10 июня 2010. Архивировано из оригинала 12 января 2011 года . Проверено 27 августа 2010 года .
  83. ^ Авуан, Гильдас; Паскаль Жюно; Филипп Охслин (2007). Безопасность компьютерных систем: основные понятия и решаемые упражнения . EFPL Press. п. 20. ISBN 978-1-4200-4620-5. Первый компьютерный вирус приписывают двум братьям, Баситу Фаруку Альви и Амджаду Фаруку Альви, из Пакистана.
  84. ^ Уильям Хендрик (4 сентября 2014). «История компьютерных вирусов» . Реестр . Проверено 29 марта 2015 года .
  85. ^ «Cryptomining Worm MassMiner использует множество уязвимостей - Бульвар безопасности» . Бульвар Безопасности . 2 мая 2018 . Проверено 9 мая 2018 .
  86. ^ «Вредоносные программы: типы, защита, предотвращение, обнаружение и удаление - полное руководство» . EasyTechGuides .
  87. ^ «Остерегайтесь вирусов документов Word» . us.norton.com . Проверено 25 сентября 2017 года .
  88. Джон фон Нейман, «Теория самовоспроизводящихся автоматов», часть 1: стенограммы лекций, прочитанных в Университете Иллинойса, декабрь 1949 г., редактор: А. В. Беркс, Университет Иллинойса, США, 1966.
  89. ^ Фред Коэн, «Компьютерные вирусы», докторская диссертация, Университет Южной Калифорнии, ASP Press, 1988.
  90. ^ Янг, Адам; Юнг, Моти (2004). Вредоносная криптография - разоблачение криптовирологии . Вайли. С.  1 –392. ISBN 978-0-7645-4975-5.


Внешние ссылки [ править ]

  • Вредоносное ПО в Curlie
  • Дополнительная литература: исследования и документы о вредоносном ПО на IDMARCH (Международный архив цифровых медиа)
  • Расширенная очистка от вредоносных программ - видео Microsoft