Отдельную категорию вредоносных программ составляют опасные скрипты, способные заражать веб-сайты. Распространяются они чаще всего с использованием уязвимостей в системах управления контентом («движках») сайтов, а также в пиратских версиях платных шаблонов и плагинов для различных CMS WordPress, Joomla, Drupal и других. Подобные скрипты используются их создателями, как правило, в рекламных целях: для размещения ссылок, показа рекламных баннеров на инфицированном сайте, а иногда для несанкционированной загрузки на сервер различных файлов и получения управления (шелла) на скомпрометированном сайте.
В настоящий момент в лаборатории антивирусных компаний поступает на анализ до миллиона файлов различных типов ежедневно, из них вредоносными признаются десятки и сотни тысяч. А вирусописатели непрерывно изыскивают все более изощренные способы избежать детектирования своих творений современными антивирусными программами.
Глава 2. Сравнительная вирусология
В настоящий момент в мире отсутствует какая-либо общепринятая единая система классификации вредоносных программ: каждая антивирусная компания использует собственный метод их идентификации и наименования. Вместе с тем существует определенная исторически сложившаяся практика, позволяющая относить вредоносные приложения к различным типам и категориям.
Классификация по типу операционной системы
Так, наиболее очевидной (и наименее точной) методикой классификации вредоносного ПО можно считать распределение угроз по системным платформам, на заражение которых ориентировано то или иное опасное приложение. В этом отношении абсолютным и безоговорочным лидером являются операционные системы семейства Microsof Windows, на которые сегодня рассчитано порядка 95 % всех существующих в мире вредоносных программ.
На втором месте по числу опасных приложений располагается мобильная платформа Google Android. Согласно статистическим данным, опубликованным российской антивирусной компанией «Доктор Веб», в 2010 году специалистам по информационной безопасности было известно всего лишь порядка 30 вредоносных, нежелательных и потенциально опасных Android-программ, к 2011 году их количество составило уже 630, еще через год оно возросло до 1267, к концу 2014 года превысило 5600, в июне 2015 года достигло 10 144, а в начале 2017 года составило уже 61 413. К августу 2018 года количество известных вредоносных и потенциально опасных программ для платформы Android достигло 128 017 и продолжило расти. Эти цифры наглядно демонстрируют, что прирост числа угроз для платформы Android постепенно принимает экспоненциальный характер.
Основная причина такого бурного роста числа угроз для Android в целом очевидна: вирусописатели заинтересованы в извлечении прибыли от распространения своих вредоносных приложений, а мобильные платформы это живые деньги. Фактически современный смартфон представляет собой мобильный электронный кошелек, и простор для творчества со стороны злоумышленников здесь поистине огромен: они могут рассылать платные СМС-сообщения, совершать в тайне от пользователя телефонные звонки на различные коммерческие номера, подписывать жертву на те или иные виртуальные услуги, за использование которых с ее счета будут ежедневно списываться денежные средства, крутить на телефоне рекламу, а если его владелец использует системы мобильного банкинга просто красть с его счета деньги, перехватывая входящие СМС с одноразовыми паролями и кодами авторизации. Сегодня существуют даже блокировщики и троянцы-шифровальщики для Android. Потенциальная емкость этого теневого рынка огромна, и он будет освоен, причем стремительно. Сейчас мы как раз наблюдаем этот процесс вживую.
Безусловно, 99 % современных троянцев для Android неискушенный пользователь запускает на своем устройстве самостоятельно, скачав их из Интернета под видом игры или какой-либо полезной программы. Казалось бы, достаточно проявлять элементарную осмотрительность, и можно гарантированно избежать опасности заражения. Однако не стоит также сбрасывать со счетов тот факт, что ОС Android это массовая и чрезвычайно популярная операционная система, занимающая львиную долю на современном рынке мобильных устройств. Она рассчитана на обычного, рядового, среднестатистического владельца смартфона, который может даже не знать такого термина, как «системная платформа». Все, что от него требуется, это умение интуитивно нажимать на кнопки. И потому, когда загруженная из Интернета игра, запускаясь на выполнение, потребует от него доступа к СМС, сети, списку контактов, внутренней памяти телефона, личным данным и холодильнику на кухне, он нажмет «Ок» не задумываясь, потому что просто не поймет, что все эти слова означают. Впрочем, он и не должен этого понимать, он пользователь, от слова «использовать». Именно это «слабое звено» и эксплуатируют в своих неблаговидных целях киберпреступники.
Вместе с тем, троянские программы встречаются и в заводских прошивках Android-устройств (чаще всего этим страдают дешевые мобильные телефоны китайского производства), а также в официальном каталоге Google Play, куда они периодически проникают несмотря на все принимаемые корпорацией Google меры безопасности. Помимо этого, в 2016 году были выявлены вредоносные программы, способные внедряться в системные процессы ОС Android. Отдельную угрозу представляют Android-загрузчики, сами по себе не имеющие опасных функций, но способные скачивать из Интернета и запускать на мобильном устройстве различных троянцев, в частности под видом обновлений установленных приложений и игр. Вредоносным программам для мобильных устройств в этой книге посвящена отдельная глава.
Третье место по распространенности в «дикой природе» занимают вредоносные программы для ОС семейства Linux. Интерес злоумышленников к данной платформе обусловлен тем, что эти операционные системы активно используются на различных «умных» устройствах, относящихся к категории IoT (Internet of Ting s, «интернет вещей»). К таковым относятся бытовые и промышленные wi-f роутеры, точки доступа, сетевые хранилища, кабельные модемы, телевизионные приставки, камеры с веб-интерфейсом управления, и т. д. Чаще всего вредоносное ПО проникает на подобные девайсы из-за использования на них заводских настроек, установленных производителем по умолчанию: многие владельцы ТВ-приставок или роутеров даже не подозревают, что в них предусмотрена возможность поменять пароль. Еще две причины использование простых, нестойких к подбору паролей, и наличие ошибок в заводской прошивке устройства (frmware), которую пользователь ленится вовремя обновлять. Наиболее распространенный метод атак перебор паролей по словарю (брутфорс), цель внедрение на скомпрометированные устройства троянцев для проведения DDoS-атак и загрузки по команде злоумышленников другого вредоносного ПО. Известны случаи, когда такие троянские программы подменяли настройки DNS, что приводило к автоматическому перенаправлению пользователей на вредоносные интернет-ресурсы при просмотре веб-сайтов или вызывало неожиданное появление рекламных сообщений в окне браузера. Некоторые вредоносные программы подобного типа реализовывали функции прокси-сервера, осуществляя фильтрацию пользовательского трафика с различными неблаговидными целями (обеспечение анонимности злоумышленников в Интернете, организация несанкционированных подключений, фишинг, подмена поисковой выдачи, автоматическое перенаправление на вредоносные и мошеннические интернет-ресурсы и т. д.). Троянцам для IoT также будет посвящена отдельная глава.
Отдельную подкатегорию Linux-угроз составляют троянцы, предназначенные для заражения веб-серверов, а также FTP- и почтовых серверов в Интернете, благодаря чему атака на такую машину может открыть злоумышленникам, например, доступ к SMTP-серверу для организации массовых рекламных рассылок, к веб-серверу для реализации автоматических перенаправлений посетителей сайта на интернет-ресурсы, распространяющие другое вредоносное ПО, в целях хищения пользовательских учетных данных, а также для организации массовых DDoS-атак. Причиной заражения во многих случаях является недостаточная компетентность администраторов Linux-серверов при настройке операционной системы, установка различного ПО из недоверенных репозиториев, а также использование ими «слабых» паролей, неустойчивых к взлому путем простого подбора по словарю или с применением методов «брутфорса» (подбор пароля полным перебором, также известен как взлом с использованием «грубой силы»).
Четвертую позицию по количеству известных угроз занимает операционная система Apple macOS (ранее OS X), широко известная среди обывателей своей «неприступностью» и «безопасностью». Троянских программ для macOS и вправду существует сравнительно немного, но, тем не менее, они есть, причем первый троянец, ориентированный именно на OS X, был выявлен в 2006 году. Подавляющее большинство среди угрожающих пользователям Apple вредоносных программ составляют так называемые рекламные троянцы, многие из которых реализованы в виде надстроек (плагинов) для наиболее популярных браузеров: Safari, Chrome, Firefox. Их основное назначение заключается в демонстрации потенциальной жертве назойливой рекламы при открытии им в окне браузера различных веб-страниц. Существуют троянцы-майнеры для macOS, использующие вычислительные мощности компьютеров Apple для «добычи» электронных криптовалют путем сложных математических вычислений. Одним из немногих и весьма редких примеров вредоносной программы, способной проникнуть на «мак» вообще без участия пользователя и абсолютно незаметно для него, является уже упоминавшийся мною ранее бэкдор BackDoor. Flashback.39, использовавший для своего распространения уязвимость в Java-машине OS X. Следует, между делом, отметить, что если бы инцидента с Flashback не случилось, пользователей «маков» наверняка постигла бы другая аналогичная эпидемия например, спустя короткое время после выявления упомянутой выше угрозы был обнаружен троянец BackDoor. Sabpub.1, использовавший для своего распространения ту же самую уязвимость, что и Flashback. Беды удалось избежать лишь потому, что корпорация Apple вовремя выпустила «заплатку» для своей реализации Java (вовремя это спустя два месяца после выхода аналогичного обновления от Oracle). Этих двух месяцев вполне хватило на то, чтобы BackDoor.Flashback успел инфицировать 600 000 с лишним машин. По данным на июнь 2015 года во всем мире насчитывалось порядка 26 700 компьютеров Apple, зараженных Flashback, однако к началу 2017 года этот ботнет практически прекратил свое существование.
Безусловно, с точки зрения архитектуры и разграничения прав доступа операционная система от Apple намного безопаснее Windows, однако абсолютно безопасных системных платформ не бывает в принципе. Любая ОС это по большому счету конгломерат программ различного назначения, которые пишут люди. А им, в свою очередь, свойственно ошибаться. То, что вирусописатели всерьез заинтересовались macOS, объективный признак роста распространенности системной платформы от Apple. Ни один создатель троянцев не станет писать вредоносное ПО под непопулярную ОС: чем больше число пользователей, тем выше шанс заразить чью-либо машину. Чистая математика, ничего личного. И эпидемия BackDoor. Flashback.39 признак того, что macOS перешагнула некий незримый рубеж между «игрушкой для избранных» и «массовой системной платформой». И это естественный процесс, получивший свое развитие еще в момент перехода Apple на аппаратную платформу Intel.