УДК 004.056
ШПИОНСКОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ И МЕТОДЫ ЗАЩИТЫ ОТ НЕГО
Полина Александровна Звягинцева
Сибирский государственный университет геосистем и технологий, 630108, Россия, г. Новосибирск, ул. Плахотного, 10, старший преподаватель кафедры информационной безопасности, тел. (383)343-91-11, e-mail: [email protected]
Роман Олегович Максименко
Сибирский государственный университет геосистем и технологий, 630108, Россия, г. Новосибирск, ул. Плахотного, 10, магистрант кафедры фотоники и приборостроения, тел. (913)063-99-52, e-mail: [email protected]
Описываются понятия и типы шпионского программного обеспечения. В статье приведены функции и цели шпионского программного обеспечения. Анализируются возможные способы проникновения шпионского программного обеспечения в систему. Рассматривается поведение шпионского программного обеспечения в системе. Описываются признаки нахождения в системе шпионского программного обеспечения. Рассматриваются способы и средства обнаружения шпионского программного обеспечения. Анализируются плюсы и минусы различных способов противодействия шпионскому программному обеспечению. Рассматриваются методы и средства противодействия угрозам со стороны шпионского программного обеспечения. Выделяются способы борьбы антишпионских программ со шпионским программным обеспечением и описываются их преимущества и недостатки. Сформирован список действий, делает защиту от шпионского программного обеспечения максимально продуктивной.
Ключевые слова: шпионское программное обеспечение, spyware, кейлоггер, антивирусная программа, слежение, сбор информации, угрозы.
SPYWARE AND METHODS AGAINST IT
Polina A. Zviagintcheva
Siberian State University of Geosystems and Technologies, 10, Plakhotnogo St., Novosibirsk, 630108, Russia, Senior Lecturer, Department of Information Security, phone: (383)343-91-11, e-mail: [email protected]
Roman O. Maksimenko
Siberian State University of Geosystems and Technologies, 10, Plakhotnogo St., Novosibirsk, 630108, Russia, Graduate, Department of Photonics and Device Engineering, phone: (913)063-99-52, e-mail: [email protected]
The concepts and types of spyware are described. The article describes the functions and purposes of spyware. Possible ways of penetrating spyware into the system are analyzed. The behavior of spyware in the system is considered. Descriptions of the presence of spyware in the system are described. Methods and means for detecting spyware are discussed. The pros and cons of various ways of countering spyware are analyzed. Methods and means of countering threats from spyware are discussed. The ways of fighting anti-spyware programs with spyware are outlined and their advantages and disadvantages are described. Formed a list of actions, makes protection against spy-ware as productive as possible.
Key words: spyware, keylogger, antivirus program, tracking, collection of information, threats.
Введение
Вопросы безопасности и конфиденциальности находятся в центре внимания, как никогда раньше. Новые вирусы, угрозы, связанные с программными ошибками и различными формами вредоносного программного обеспечения, ежедневно угрожают целостности нашим данным. Большинство из этих угроз существуют уже довольно долгое время, но в последние годы все больше и больше угрожает новый тип угрозы: угроза шпионских программ.
Шпионское программное обеспечение(Spyware) - это программное обеспечение, которое предназначено для сбора информации в системе без ведома пользователя и которое может отправлять такую информацию другому субъекту без согласия потребителя. Шпионское программное обеспечение(ПО), в основном, подразделяется на четыре типа: системные мониторы, трояны, рекламное ПО и программы отслеживания. Шпионское ПО используется для отслеживания и хранения действий интернет-пользователей в Интернете и показа всплывающих объявлений. Некоторые шпионские программы, такие как клавиатурные шпионы, могут быть установлены владельцем общего, корпоративного или общедоступного компьютера намеренно, чтобы контролировать пользователей. Хотя термин «шпионское ПО» предлагает программное обеспечение, которое контролирует вычисления пользователя, функции шпионских программ могут выходить за рамки простого мониторинга. Spyware может собирать практически любые данные, включая личную информацию, такую как привычки к интернет-серфингу, учетные записи пользователей и информацию о банковских или кредитных счетах. Spyware также может препятствовать пользовательскому управлению компьютером, устанавливая дополнительное программное обеспечение.
Некоторые программы-шпионы могут изменять настройки компьютера, что может привести к медленным скоростям подключения к Интернету, несанкционированным изменениям в настройках браузера или изменениям настроек программного обеспечения. Иногда шпионские программы распространяются вместе с подлинным программным обеспечением и могут исходить от вредоносного веб-сайт. В ответ на появление шпионских программ возникла индустрия в борьбе с программным обеспечением для защиты от шпионских программ. Запуск антишпионского программного обеспечения стал широко признанным элементом компьютерной безопасности, особенно для компьютеров под управлением Microsoft Windows. В ряде юрисдикций приняты антишпионские законы, которые обычно нацелены на любое программное обеспечение, которое тайно установлено для управления компьютером пользователя [1-5].
Способы проникновения шпионского программного обеспечения
Шпионское ПО не обязательно распространяется так же, как вирус или червь, поскольку зараженные системы обычно не пытаются передавать или копировать программное обеспечение на другие компьютеры. Вместо этого программа-шпион устанавливает себя в систему, обманывая пользователя или используя уязвимости программного обеспечения. Spyware может попытаться обмануть пользователей, объединив себя с нужным программным обеспечением. Некоторые авторы шпионских программ заражают систему через дыры безопасности в веб-браузере или в другом программном обеспечении. Когда пользователь переходит на вебстраницу, управляемую автором шпионского ПО, страница содержит код, который атакует браузер и заставляет загружать и устанавливать программы-шпионы. Установка шпионского ПО часто включает в себя Internet Explorer. Его глубокая интеграция со средой Windows делает ее уязвимой для атаки. Internet Explorer также служит точкой входа для программ-шпионов в виде объектов-помощников браузера, которые изменяют поведение браузера для добавления панелей инструментов или для перенаправления трафика [6,7].
Программа-шпион редко одна на компьютере: зараженная машина обычно имеет несколько инфекций. Пользователи часто замечают нежелательное поведение и ухудшение производительности системы. Инфекция шпионских программ может создать значительную нагрузку на центральный процессор(ЦП), использование диска и сетевой трафик. Также часто встречаются проблемы со стабильностью, такие как замораживание приложений, невозможность загрузки и общесистемные сбои. В некоторых случаях шпионское ПО даже не проявляется. Пользователи предполагают, что проблемы производительности связаны с неисправным оборудованием, проблемами установки Windows или другой неисправностью. В некоторых случаях, чтобы очистить систему от заражения шпионским ПО может потребоваться чистая переустановка всего программного обеспечения. Кроме того, некоторые типы программ-шпионов отключают программные брандмауэры и антивирусные программы и / или уменьшают настройки безопасности браузера, которые еще больше открывают систему для дальнейших инфекций. Некоторые программы-шпионы отключают или даже удаляют конкурирующие программы-шпионы, так как большое количество шпионского ПО повышает вероятность, что пользователи обнаружат его и предпримут меры для удаления программ. Кейлоггеры(клавиатурные шпионы) иногда являются частью пакетов вредоносных программ, загружаемых на компьютеры без ведома владельцев. Кейлоггеры могут быть в открытом доступе в Интернете или являться коммерческими, или частными приложениями. Большинство клавиатурных шпионов позволяют захватывать не только нажатия клавиш клавиатуры, но также могут собирать снимки экрана с компьютера. Обычный пользователь Windows имеет административные привилегии, в основном для удобства. Из-за этого любая программа, которую пользователь запускает, имеет неограниченный доступ к системе. Как и в случае с другими операционными системами, пользователи Windows могут следовать принципу
наименьших привилегий и использовать учетные записи, отличные от администратора. В качестве альтернативы, они также могут уменьшить привилегии определенных уязвимых процессов, связанных с Internet, таких как Internet Explorer. Когда программе требуются административные привилегии, всплывающее окно «Контроль учетных записей пользователей» будет предлагать пользователю разрешить или запретить действие [8-10].
Способы обнаружения шпионского программного обеспечения
Для обнаружения программ-шпионов пользователи компьютеров обнаружили несколько методов, полезных в дополнение к установке антишпионских программ. Многие пользователи установили веб-браузер, отличный от Internet Explorer, например, Mozilla Firefox или Google Chrome. Хотя браузер не является полностью безопасным, Internet Explorer подвержен большему риску заражения шпионскими программами из-за своей большой базы пользователей, а также уязвимостей, таких как ActiveX. Некоторые интернет-провайдеры, использовали другой подход к блокированию программ-шпионов: они используют свои сетевые брандмауэры и веб-прокси для блокирования доступа к вебсайтам, которые, как известно, устанавливают шпионское ПО. Отдельные пользователи могут также установить брандмауэры из разных компаний. Они контролируют поток информации, поступающей на сетевой компьютер, и обеспечивают защиту от шпионских и вредоносных программ. Шпионское ПО может быть установлено через определенные условно бесплатные программы, предлагаемые для загрузки. Загрузка программ только из авторитетных источников может обеспечить некоторую защиту от этого источника атаки [11,12].
Для борьбы с растущим распространением программ-шпионов был разработан ряд коммерческих решений. Например, как AdAware, так и SpyBot являются популярными инструментами, которые могут удалять большое количество программ-шпионов. Проблема с существующими инструментами обнаружения шпионских программ заключается в том, что они используют сигнатуры для обнаружения известных экземпляров шпионских программ. Таким образом, они требуют частого обновления базы данных и не могут идентифицировать ранее невидимые образцы. Чтобы устранить ограничения обнаружения вредоносных программ на основе сигнатур, были предложены методы, основанные на поведении. Эти методы пытаются охарактеризовать поведение программы, таким образом, который не зависит от его двоичного представления. Делая это, можно обнаружить целые классы вредоносных программ. Примером использования характеристик поведения для обнаружения вредоносного кода является Strider Gatekeeper от Microsoft [13,14].
Методы защиты от шпионского программного обеспечения
Поскольку увеличилась угроза шпионских программ, для ее противодействия возник ряд методов. К ним относятся программы, предназначенные для
удаления или блокировки программ-шпионов, а также различные пользовательские методы, которые уменьшают вероятность получения шпионских программ в системе. Тем не менее, шпионское ПО остается серьезной угрозой для пользователей. Когда большое количество шпионских программ заражает систему, единственным средством может быть резервное копирование пользовательских данных и полная переустановка операционной системы.
Антишпионские программы могут бороться с программами-шпионами двумя способами:
1. Они могут обеспечить защиту в режиме реального времени способом, подобным антивирусной защите: они сканируют все входящие сетевые данные для шпионских программ и блокируют любые обнаруженные угрозы.
2. Программы для защиты от шпионских программ могут использоваться исключительно для обнаружения и удаления программ-шпионов, которые уже были установлены в компьютер. Этот вид антишпионских программ часто может быть установлен для сканирования по регулярному графику. Такие программы проверяют содержимое реестра Windows, файлов операционной системы и установленных программ, а также удаляют файлы и записи, которые соответствуют списку известных программ-шпионов [15,16].
Защита в режиме реального времени от шпионских программ работает одинаково с антивирусной защитой: программное обеспечение сканирует файлы на диске во время загрузки и блокирует активность компонентов, которые, как известно, представляют собой шпионское ПО. Более ранние версии антишпионских программ были сосредоточены главным образом на обнаружении и удалении. Как и большинство антивирусных программ, многие антишпионские / рекламные инструменты требуют часто обновляемой базы данных угроз. По мере выпуска новых программ-шпионов разработчики антишпионских программ обнаруживают и оценивают их, добавляя в список известных программ-шпионов, что позволяет программному обеспечению обнаруживать и удалять новые шпионские программы. В результате антишпионское программное обеспечение имеет ограниченную полезность без регулярных обновлений. Обновления могут быть установлены автоматически или вручную. Популярным распространенным средством для удаления шпионских программ является HijackThis, который сканирует определенные области операционной системы Windows, в которых часто находится программа-шпион, и представляет список элементов для удаления вручную. Если программа-шпионы не заблокирована и ей удается установить себя, она может противостоять попыткам удаления себя.
Некоторые программы работают в парах: когда антишпионский сканер завершает один запущенный процесс, другой перезапускает убитую программу. Аналогично, некоторые шпионские программы будут обнаруживать попытки удаления ключей реестра и немедленно добавлять их снова. Как правило, загрузка зараженного компьютера в безопасном режиме позволяет антишпионской программе с большей вероятностью обезвредить шпионское ПО.
Важно понимать, что нельзя быть полностью защищенным от программ-шпионов. Проанализировав режимы и способы работы антишпионского программного обеспечения, можно сделать вывод, что для максимальной защиты от шпионского программного обеспечения необходимо использовать комплекс средств защиты и проводить мониторинг и анализ работы системы [17,18].
Для максимального контроля системы и защиты от шпионского программного обеспечения сформирован следующий список, того как контролировать свою систему и проверять признаки наличия программ-шпионов в системе:
1. Программы антишпионы. Программы антишпионы ищут сигнатуры или трассировки, которые относятся к определенному программному обеспечению шпиона. Некоторые просто выполняют сканирование текстовой строки, чтобы найти их, а другие фактически извлекают и пытаются удалить шпионское ПО.
2. Системные ресурсы. Плохо написанное программное обеспечение шпиона почти всегда потребляет большие системные ресурсы. Необходимо следить за системными ресурсами, нехваткой памяти, большим количеством активности на жестком диске.
3. Доступ к системе. Следите за тем, чтобы посторонние люди не получали доступ к вашей системе. Многие программные средства, предназначенные для шпионажа, требуют физического доступа к целевой машине.
4. Мониторы установки ПО. В настоящее время на рынке находятся программные продукты, которые регистрируют каждую установку, которая происходит на компьютере. Таким образом, можно обнаружить установку многих шпионов.
5. Антивирус. Многие антивирусные программы могут обнаружить шпионское программное обеспечение, поскольку оно часто классифицируется как «Троянские кони». Обновляйте антивирусное программное обеспечение и убедитесь, что оно работает в фоновом режиме.
6. Персональный брандмауэр. Брандмауэры предупреждают вас как о входящей, так и исходящей активности. Вы можете управлять тем, что разрешено в вашей системе и из нее. Следите за подозрительными программами, которые пытаются отправить данные из вашей системы.
Заключение
Рассмотрено понятие и изучены виды и типы шпионского программного обеспечения. Проанализированы способы проникновения шпионского программного обеспечения в систему, рассмотрено поведение вредоносного программного обеспечения. Рассмотрены различные способы обнаружения шпионского программного обеспечения в системе. Выделены 2 способа борьбы антишпионского программного обеспечения с программами шпионами и проанализировав это, предложены шаги противодействия шпионскому ПО, которые позволяют минимизировать риски заражения, данным видом вредоносного программного обеспечения.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Шпионские программы (Spyware). Информационно-аналитический центр, посвященный информационной безопасности [Электронный ресурс]. - Режим доступа : https://www.anti-malware.ru/threats/spyware.
2. Холмогоров В. Pro вирусы. - М. : Страта, 2016. -162 с. ISBN 978-5-9909788-0-5.
3. Эдвардс М. Д. Защита сети от шпионских программ [Электронный ресурс]. - Издательство «Открытые системы». - Режим доступа : https://www.osp.ru/winitpro/2005/07/380119/#vr.
4. Ковалев А. Защита от клавиатурных шпионов с помощью современных методов защиты информации. Информационный портал SecurityLab.ru [Электронный ресурс]. - Режим доступа : https://www.securitylab.ru/contest/432604.php.
5. Скоудис Э. Рекомендации по противодействию шпионскому программному обеспечению. Искусство управления информационной безопасностью IS027000.ru [Электронный ресурс]. - Режим доступа : http://www.iso27000.ru/informacionnye-rubriki/peredovoi-opyt-i-rekomendacii-ekspertov/recommendations-for-thwarting-spyware.
6. Fadel 0. Shaban. Spyware Detection. - LAP LAMBERT Academic Publishing, 2013. -92 c. ISBN 9783659488832.
7. Reiner Creutzburg. Handbook of Malware 2016. -Fachbereich Informatik und Medien, 2016. - 231 c. https://www.researchgate.net/publication/305469492_Handbook_of_Malware_2016_-_A_Wikipedia_Book.
8. Egele M., Kruegel C., Kirda E., Yin H., Song D. Dynamic Spyware Analysis. In: Usenix Annual Technical Conference (2008).
9. Lavasoft: Ad-Aware, http://www.lavasoftusa.com/software/adaware.
10. Yin, H., Song, D., Egele, M., Kruegel, C., Kirda, E.: Panorama: Capturing Systemwide. Information Flow for Malware Detection and Analysis. In: ACM Conference on Computer and Communication Security, CCS (2008).
11. E. Kirda, C. Kruegel. Behavior-based Spyware Detection. Secure Systems Lab, Technical University Vienna https://pdfs.semanticscholar.org/b8c9/755be9395d742fd8623b11c72ffb085a01ee.pdf.
12. M. Klang. Spyware - The ethics of covert software.
13. Porter A. A day in the life of spies - spyware everywhere. http://www.spywareguide.com/.
14. D. Jonasson. What is Spyware? https://www.ida.liu.se/~TDDD17/oldprojects/2005/final-projects/prj04.pdf.
15. P. Zollo. Big Book of Spyware. -CreateSpace Independent Publishing Platform, 2015. -146 p. ISBN 9781519680334.
16. Larson B. V. Spyware. - No Starch Press, 2010. - 203 p.
17. M. Sikorski A. Honig. Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software. - No Starch Press, 2012. - 800 p. ISBN 9781593272906.
18. V. Marak. Windows Malware Analysis Essentials. - Packt Publishing, 2015. - 330 p. ISBN 9781785281518.
© П. А. Звягинцева, Р. О. Максименко, 2018