Роль Интернета в современном вредоносном ПО
Cтатья "Современные интернет-атаки" предоставлена Sophos Plc и SophosLabs.
Август 2007 г.
За прошедшие два года вредоносные программы стали все чаще использовать Интернет. Масштаб этого явления выходит далеко за рамки вредоносных скриптов, встраиваемых в веб-страницы. Вот лишь несколько примеров:
Многочисленные трояны-загрузчики используют Интернет в качестве хранилища файлов, загружая другие вредоносные файлы по HTTP.
Вредоносные скрипты, размещаемые на атакующих сайтах, поджидают пользователей уязвимых браузеров, чтобы использовать их уязвимости для заражения компьютера пользователя.
Скомпрометированные сайты являются удобным механизмом расширения масштабов воздействия вредоносного кода.
Спам-сообщения и сайты-приманки используются для того, чтобы обманом заставить пользователя запустить вредоносный код.
Вредоносные программы могут вести перенаправление полезного трафика. Современная интернет-реклама — это многомиллиардный бизнес [13,14]. Увеличение объемов интернет-трафика сайта путем перенаправления пользователей позволяет организациям и отдельным лицам зарабатывать деньги с помощью партнерского маркетинга [15].
Приложения, встраивающиеся в браузер и отображающие целевые рекламные объявления, обычно называют adware [16]. В настоящее время подобное ПО широко распространено и зачастую включается в состав других приложений ("ПО, финансируемое за счет рекламы"). Обычно установка adware позволяет зарабатывать деньги с помощью так называемых партнерских схем или схем с оплатой за установку. Зарегистрированные партнеры включают установочный пакет в свое приложение, которое впоследствии подключается к adware-сайту для загрузки оставшихся компонентов adware-приложения. При подключении на сервер могут передаваться сведения о партнере, что и позволяет ему получать оплату. Данный механизм может быть с легкостью использован для заработка создателями вредоносных программ, которые устанавливают adware-приложения на скомпрометированные компьютеры без ведома пользователя. Подробное описание концепции adware можно найти во множестве других источников, поэтому она не будет рассматриваться в этом документе.
Для создателей вредоносных программ Интернет является идеальной средой, позволяющей использовать различные сочетания описанных выше методик. Современные угрозы искусно используют спам и веб-приманки со скриптами, использующими уязвимости, обеспечивая эффективное заражение компьютеров доверчивых пользователей. На рис. 1 приведен обзор некоторых ключевых ролей, которые Интернет может играть в современных атаках с помощью вредоносного ПО.
Рис. 1. Обзор различных способов использования Интернета в современном вредоносном ПО. Интернет здесь может выступать как в роли простого хранилища файлов (используемого троянами-загрузчиками), так и в качестве базы для размещения атакующих сайтов, использующих уязвимости браузеров для заражения компьютеров пользователей, заходящих на скомпрометированный сайт (drive-download).
Данные роли подробно рассматриваются в данном документе на примерах различных атак с помощью вредоносного ПО.