CC BY
103
I
SCIENCE TIME
I
ЦЕЛЕНАПРАВЛЕННЫЕ КОМПЬЮТЕРНЫЕ АТАКИ НА АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ ОБРАБОТКИ ИНФОРМАЦИИ
Малышев Иван Сергеевич, Коркишко Иван Васильевич, Краснодарское высшее военное училище им. генерала армии Штеменко С.М., г. Краснодар
E-mail: ism-24@yandex.ru
Аннотация. Данная статья посвящена вопросам безопасности автоматизированных систем обработки информации при атаках с использованием вирусов. В статье рассмотрены основные виды вирусов, способы совершения централизованных компьютерных атак с использованием вирусов, возможные последствия в случае успешного завершения таких атак.
Ключевые слова: автоматизированные системы обработки информации, атаки, уязвимости, интернет, компьютерная сеть, вирусы.
Компьютерный вирус представляет собой специально созданный программный код, способный самостоятельно распространяться в компьютерной среде. В настоящее время можно выделить следующие типы вирусов: файловые и загрузочные вирусы, «сетевые черви», бестелесные вирусы, а также комбинированный тип вирусов. В данной статье рассматривается лишь одна из разновидностей вирусов — «сетевые черви», которые распространяются в системе посредством использования имеющихся уязвимостей программного обеспечения. Вот лишь несколько примеров компьютерных вирусов данного типа, которые основываются на уязвимостях типа «buffer overflow» [1]:
- «W32.Blaster.Worm», который базируется на уязвимости «buffer over-flow» в службе DCOM RPC ОС Windows 2000/ХР;
- «W32.Slammer.Worm», распространение которого по сети осуществля-ется на основе переполнения буфера в одной из подпрограмм сервера СУБД Microsoft SQL Server 2000;
- «W32. Sasser.Worm», который инфицирует хосты путем использования уязвимости «buffer overflow», содержащейся в системной службе LSASS.
«
I SCIENCE TIME I
Источники вирусных угроз безопасности могут находиться как внутри, так и вовне автоматизированной системы обработки информации. Внутренние угрозы связаны с действиями пользователей и персонала, обслуживающего локальную сеть. Внешние угрозы связаны с вирусными атаками из сети Интернет или других сетей связи общего пользования, к которым подключена автоматизированная система (АС ).
Инфицирование локальной сети вирусами может осуществляться посредством локального или сетевого взаимодействия с узлами АС. Локальное взаимодействие предполагает использование съемных носителей, таких как диски CD-ROM или DVD-ROM, floppy- и zip-диски, USB-накопители [2]. Инфицирование АС в этом случае может осуществляться посредством загрузки хоста с зараженного носителя или запуска зараженного файла. При этом съемные носители могут подключаться к хостам АС при помощи внешних портов типа USB, FireWire, COM, LPT и др.
Для инфицирования АС через сетевое взаимодействие может быть использован один из следующих базовых методов [3]:
1. Электронная почта. В соответствии с результатами последних исследований ассоциации ICSA электронная почта является основным каналом проникновения вирусов в АС. В большинстве случае рассылка вируса осуществляется по тем адресам, которые входят в состав адресных книг, хранящихся на зараженных хостах. При этом для передачи инфицированных почтовых сообщений вирусы могут использовать как штатные почтовые клиенты, установленные на хостах, так и собственное клиентское ПО, интегрированное в код вируса.
Инфицирование вирусами может осуществляться по любым протоколам, обеспечивающим возможность передачи почтовых сообщений — SMTP, РОРЗ, IMAP и др.
2. Пиринговые сети Р2Р (Реег-То-Реег), которые представляют собой файлообменные сети, для подключения к которым должно использоваться специализированное ПО. Примерами таких сетей являются «eDonkey», «DirectConnet», «BitTorrent» и «Kazaa». За 2014 год было зафиксировано 23 вида вирусов, которые распространяли инфицированные файлы через сети данного типа [4].
3. Сетевые каталоги и файлы, в которых хранится информация общего доступа. Данный метод инфицирования АС предполагает удаленное заражение файлов, расположенных в общедоступных каталогах. Такие каталоги также могут быть использованы для копирования в них инфицированных файлов. Доступ вирусов к сетевым каталогам и файлам может осуществляться по таким протоколам как SMB, NFS, FTP и др.
4. Система обмена мгновенными сообщениями (instant messaging). На
«
I SCIENCE TIME I
сегодняшний день большинство систем данного типа, такие как ICQ и Windows Messenger позволяют обмениваться не только текстовыми сообщениями, но и файлами. Эта функциональная возможность может быть использована вирусами для своего распространения среди пользователей, которые применяют на своих рабочих станциях системы обмена сообщениями.
5. Протоколы доступа к Интернет-ресурсам. Инфицированные файлы могут попасть в АС из сети Интернет по таким протоколам как HTTP, FTP, NNTP и др. При этом заражение хоста через протокол HTTP может осуществляться не только посредством передачи инфицированных файлов, но и ActiveX-объектов, Java-anrmeTOB, а также JavaScript/VBScript-сценариев.
6. Протоколы доступа к внутренним корпоративным информационным ресурсам, такие как DCOM, CORBA, TDS, RPC и др.
Вирусные атаки могут быть направлены на рабочие станции пользователей, серверы, коммуникационное оборудование и каналы связи. Как правило, сетевые вирусные атаки приводят к следующим последствиям:
- нарушение работоспособности инфицированных хостов;
- нарушение работоспособности определенных сетевых сервисов, запущенных на инфицированных хостах;
- нарушение работоспособности каналов связи в результате генерации большого объема трафика [5].
Модель атаки на компьютерные системы пользователей, работающих с Интернет-ресурсами. Целенаправленные компьютерные атаки (ЦКА) на АС, как правило, направлены на получение несанкционированного доступа к информации, хранящейся на этих компьютерах. Другой распространенной целью злоумышленников является получение полного контроля над компьютером пользователя с целью его последующего использования для выполнения несанкционированных действий от имени пользователей. Для реализации этих атак злоумышленники могут использовать имеющиеся уязвимости клиентского ПО, установленного на рабочих станциях пользователей. Примером программных продуктов, которые могут быть подвержены атакам, являются Интернет-браузеры, почтовые клиенты, FTP-клиенты для загрузки файлов и др. Для успешного проведения атаки к клиентской программе должен поступить вредоносный код, предназначенный для использования имеющейся в ней уязвимости. Для этого нарушитель может сделать так, чтобы пользователь при помощи Интернет-браузера обратился к ресурсу определенного Web-сайта, с которого автоматически на компьютер пользователя будет загружен вредоносный код. Еще одним способом проведения атаки является посылка пользователю электронного письма, содержащего вредоносный код, который автоматически будет запущен при просмотре почтового сообщения.
| SCIENCE TIME |
Наиболее распространенные уязвимости Интернет-браузеров, на основе которых злоумышленники могут реализовывать информационные атаки, приведены ниже [6].
1. Уязвимости типа «buffer overflow», при помощи которых нарушитель может запустить на стороне рабочей станции произвольный вредоносный код.
2. Неправильная конфигурация Интернет-браузера, позволяющая загружать вредоносные объекты ActiveX. ActiveX-объекты представляют собой полноценные программные приложения, имеющие высокие привилегии работы в ОС.
3. Уязвимости в реализации виртуальной машины Java, интегрированной в Интернет-браузеры. Данную уязвимость могут использовать Java- апплеты, являющиеся специальными программами, которые выполняются в среде браузера. В результате использования уязвимости такого типа может быть нарушена работоспособность браузера или собрана информация о компьютере, на котором запущен Java-aniuieT.
4. Ошибки в ПО браузера, позволяющие получать несанкционированный доступ к файловым ресурсам рабочих станций. Уязвимости данного типа могут быть использованы при помощи сценариев JavaScript/VBScript, запускаемых при доступе пользователя к ресурсам Web-сайта злоумышленника.
5. Ошибки в ПО браузера, которые могут использоваться злоумышленниками для подделки Web-сайтов. На основе уязвимости данного типа может быть проведена атака, в результате которой пользователь будет перенаправлен на Web-сайт нарушителя, в то время как в адресной строке браузера будет отображаться имя легального информационного ресурса.
Рассмотренные уязвимости характерны для большинства современных Интернет-браузеров, включая Internet Explorer, Mozilla FireFox и Opera, для которых не установлены соответствующие модули обновления программного обеспечения.
Стадия дальнейшего развития ЦКА. На последней стадии проведения ЦКА злоумышленник может совершать следующие основные группы действий [7]:
- установка вредоносного ПО на атакованную АС с целью получения удаленного канала управления;
- использование атакованного узла в качестве плацдарма для проведения атаки на другие узлы АС;
- скрытие следов своего присутствия в системе.
После того, как злоумышленник смог получить несанкционированный доступ к ресурсам сети посредством использования различных уязвимостей, он может установить в компьютерную систему вредоносное программное обеспечение типа «троянский конь» (Trojan Horses). В настоящее время можно выделить два основных вида программ типа «Троянский конь»:
I SCIENCE TIME I
- программы типа RAT (Remote Access Trojans) или «Backdoor», предоставляющие злоумышленнику возможность удаленного несанкционированного доступа к хостам АС. Примерами таких программ являются «BackOrifice», «SubSeven», «Cafeene» и др.
- программы типа «Rootkits», которые представляют собой набор специализированных программных средств, позволяющих нарушителю получить удаленный доступ к хостам АС, а также выполнять действия по перехвату клавиатурного ввода, изменению журналов регистрации, подмены установленных приложений и т. д.
Как правило, троянские программы маскируются под штатное ПО операционной системы, что осложняет процесс их выявления и удаления из компьютерной системы. Программы данного класса предполагают наличие удаленного канала управления, при помощи которого нарушитель может выполнять команды на хостах.
На основе удаленного канала управления, установленного при помощи программ типа «троянский конь», злоумышленники могут использовать скомпрометированные компьютерные системы в качестве стартовой площадки для проведения других атак. При этом обеспечивается анонимность атаки, поскольку реализуется она фактически от имени чужих АС.
Рассылка спама. Для этого на контролируемые злоумышленником компьютерные системы устанавливается ПО почтового сервера, при помощи которого осуществляется массовая рассылка почтовой корреспонденции.
Проведение распределенных атак типа «отказ в обслуживании». В этом случае по команде злоумышленника АС, находящаяся под его контролем, может начать одновременную атаку на указанный хост.
Проведение сканирования подсети, в которой расположен скомпрометированный узел. Для этого выполняются действия, относящиеся к стадии рекогносцировки жизненного цикла атаки.
Для снижения риска обнаружения информационной атаки злоумыш- ленник может применять различные методы скрытия следов своего при-сутствия в АС. Для этого, в первую очередь, осуществляется удаление записей журналов регистрации, которые могут указывать на признаки проведения атаки. При этом удаляется информация не только из системных журналов, таких как SysLog или EventLog, но и журналов прикладного ПО, на которое совершалась атака. Так, например, если была проведена атака на Web-cepвep Microsoft IIS, то данные о действиях нарушителя могут быть сохранены в журнале этого сервера.
Помимо очистки журналов аудита нарушителем могут совершаться действия и по маскированию вредоносного ПО, которое было установлено в системе. Для этого файлы вредоносных программ могут заменять собой файлы компонентов ОС. В данном случае можно не заметить изменений, поскольку не
I
SCIENCE TIME
I
изменится состав файлов, хранящихся на компьютере. Литература:
1. Лукацкий А.В. Обнаружение атак / 2-е изд. - СПб.: БХВ-Петербург, 2003. -
2. Радько Н.М. Риск - модели информационно - телекоммуникационных систем при реализации угроз удаленного и непосредственного доступа / Н.М. Радько, И.О. Скобелев - М.: РадиоСофт, 2011. - 232 с.: ил.
3. Котенко И.В. Таксономии атак на компьютерные системы // Труды СПИИРАН. Вып. 2. Т 1. - СПб.: СПИИРАН, 2002. - С. 196-211.
4. Статистические исследования информационной безопасности в автоматизированных системах обработки информации за 2014 год. [Электронный ресурс]. - Режим доступа: http://www.positive-technologies.ru. (дата обращения 23.07.2015).
5. Сердюк В.А. Новое в защите от взлома корпоративных систем. - М.: Техносфера, 2007. - 306 с.
6. RFC479. Transmission control protocol. Internet program. Protocol specification. [Электронный ресурс]. - Режим доступа: http://www.rfc.askapache.com. (Дата обращения 24.07.2015)
7. RFC959. File transfer protocol (FTP). [Электронный ресурс]. - Режим доступа: http://www.rfc.askapache.com. (Дата обращения 28.07.2015).
608 с.
