Опасности Интернета

  1. цель
  2. атака
  3. спам
  4. Интересные ссылки и баннеры
  5. Черная шляпа SEO
  6. Черная шляпа SEO в действии (нажмите, чтобы развернуть контент)
  7. Зараженные юридические ресурсы
  8. Эксплойт пакеты
  9. Система эксплойтов Crimepack: пример пакета эксплойтов (нажмите, чтобы развернуть содержимое)
  10. деньги
  11. Партнерские сети
  12. Пример PPI: InstallConverter (щелкните, чтобы развернуть содержимое)
  13. вывод

Как ваш компьютер может быть заражен, даже если вы пользуетесь интернетом? Как киберпреступники зарабатывают деньги, обманывая пользователей? Ответы на эти вопросы можно найти в статье.

цель

В последние годы угроза заражения через Интернет неуклонно возрастает В последние годы угроза заражения через Интернет неуклонно возрастает. Отчасти это связано с растущим числом интернет-пользователей и онлайн-ресурсов. С другой стороны, это связано с тем, что киберпреступники хотят заработать как можно больше денег. В настоящее время атаки, осуществляемые через Интернет, являются как наиболее многочисленным, так и наиболее опасным видом угроз. Наши ежемесячные статистические данные о вредоносных программах подтверждают существование огромного количества онлайн-атак, которые становятся все более и более продвинутыми. Наиболее сложные угрозы, появившиеся в последнее время, включают ZeuS, Sinowal и TDSS, которые распространяются через Интернет. В сети также чума поддельных антивирусных решений и программ блокировки. Операция «Аврора», целевая атака, которая вызвала значительный интерес со стороны средств массовой информации, также проводилась с использованием веб-сайта (см .: http://en.wikipedia.org/wiki/Operation_Aurora ). Это только верхушка айсберга.

В кибератаках основной целью киберпреступников является размещение и установка вредоносного исполняемого файла на компьютер жертвы. Естественно, существуют атаки, такие как межсайтовый скриптинг, также называемый XSS ( http://pl.wikipedia.org/wiki/Cross-site_scripting ) и межсайтовые подделки запросов ( http://en.wikipedia.org/wiki/Cross-site_request_forgery ), которые не требуют загрузки и установки исполняемых файлов на компьютеры жертв. Однако способность контролировать зараженную систему изнутри открывает много возможностей; эффективная атака предоставляет киберпреступникам доступ к пользовательским данным и системным ресурсам. Киберпреступники будут использовать это, так или иначе, чтобы заработать деньги на своих жертвах.

атака

Как правило, атака состоит из двух этапов: перенаправление пользователя на зараженный ресурс и загрузка вредоносного исполняемого файла на его компьютер.

Киберпреступники используют все возможные каналы, чтобы привлечь пользователей к своим зараженным ресурсам: электронной почте, мгновенным сообщениям, социальным сетям, поисковым системам и рекламе - вредоносные ссылки можно найти повсюду. Иногда киберпреступникам не нужно ничего делать, чтобы привлечь пользователей - они просто врываются в законный сайт с большим трафиком. В последнее время киберпреступники все чаще прибегают к этому методу.

Когда пользователь открывает зараженный ресурс, остается лишь загрузить и установить вредоносную программу на свой компьютер. У злоумышленников есть два варианта: заставить пользователя загрузить программу самостоятельно или запустить атаку по принципу Drive-by-Download. В первом случае обычно используются методы социальной инженерии (см .: http://pl.wikipedia.org/wiki/Inżynieria_społeczna_(informatyka) ), в которой киберпреступники питаются наивностью и / или неопытностью пользователей. Во втором случае киберпреступники используют уязвимость в программном обеспечении, запущенном на компьютере жертвы.

На диаграмме ниже показано, как вредоносные файлы загружаются и устанавливаются при сетевых атаках:


Сетевая атака, которая загружает и устанавливает вредоносный файл

Давайте внимательно посмотрим, как пользователи ежедневно пользуются Интернетом и как они могут найти «плохой» веб-сайт, который может заразить компьютер.

спам

Спам является одной из наиболее часто используемых киберпреступниками тактик для привлечения пользователей на зараженный сайт. Этот тип спама полностью использует возможности современного Интернета. Несколько лет назад слово «спам» ассоциировалось только с рекламными письмами. В настоящее время спам распространяется по множеству различных каналов: мессенджеры, социальные сети, блоги, форумы и даже SMS.

Часто спам-письма содержат вредоносные исполняемые файлы или ссылки на зараженные ресурсы. Киберпреступники настойчиво используют социальную инженерию, чтобы убедить пользователей щелкать ссылки и / или загружать вредоносные файлы: они включают ссылки в сообщениях, которые якобы ведут к горячим новостям или популярным ресурсам и онлайн-бизнесу. В целом, киберпреступники питаются человеческими слабостями: страхом, любопытством и волнением. Целью данной статьи не является подробное изучение методов социальной инженерии. На нашем сайте уже представлено множество примеров, показывающих, как вредоносные программы распространяются с помощью социальной инженерии. www.viruslist.pl ,

Интересные ссылки и баннеры

В настоящее время одним из методов привлечения пользователей на зараженные ресурсы являются рекламные баннеры и интересные ссылки. Как правило, эти методы чаще всего используются на законных сайтах, предлагающих нелицензионное программное обеспечение или контент для взрослых.

Ниже приведен пример такой атаки. Когда пользователь ввел в поисковую систему Google поисковый запрос «crack for assassin's creed 2» - популярный поиск в мае 2010 года - в результатах показывался адрес веб-сайта, на котором после загрузки отображался плавающий баннер с рекламой Forex-Bazar.

Попытка закрыть баннер вызвала открытие нового окна браузера. В этом окне отображается веб-сайт, предлагающий фильмы для взрослых. После нажатия «Предварительный просмотр» любого из этих видео появилось сообщение о том, что для просмотра материала вам необходимо установить обновление Adobe Flash Player.

[Это сообщение информирует пользователей о том, что они не смогут просматривать желаемый контент, пока не установят последнюю версию Flash Player.]

Нажатие «загрузить обновление», а затем «установить обновление» привело к установке пользователя на компьютер, не обновлению Adobe, а одному из последних вариантов Trojan-Ransom.Win32.XBlocker. Эта программа открывала окно в других окнах и отображала сообщение, в котором сообщалось, что текстовое сообщение следует отправить на короткий номер, чтобы получить ключ для «немедленной деинсталляции этого модуля» и закрытия окна.

[Перевод: эта программа не является вирусом, она не блокирует диспетчер задач или другое программное обеспечение на вашем компьютере. Если вы хотите немедленно удалить этот модуль, отправьте SMS с контентом 4100845162839561 на номер 3381. Введите полученный код в поле ниже. Стоимость смс можно проверить на smschost.ru. Условия: http://www.vsesuperporno.ru/service_-_tariffs/]

Черная шляпа SEO

SEO (поисковая оптимизация) означает методы, используемые для улучшения позиции данного веб-сайта в результатах, отображаемых поисковой системой в ответ на конкретные фразы запроса. В настоящее время поисковые системы являются ключевым инструментом при поиске информации; Чем проще найти сайт, тем больше спрос на предлагаемые им услуги.

Есть много методов SEO - как законных, так и запрещенных поисковыми системами. «Лаборатория Касперского» особенно заинтересована в использовании недопустимых методов SEO, также известных как «шапка SEO» ( http://pl.wikipedia.org/wiki/Spamdexing ). Эти методы обычно используются киберпреступниками для продвижения зараженных ресурсов.

Ниже приведено общее описание того, как пользователи получают «оптимизированные» ресурсы, и что делают киберпреступники, чтобы сделать свои ресурсы более заметными.

Используя ключевые слова, которые можно вводить вручную или автоматически (например, с помощью Google Trends ) киберпреступники создают сайты с конкретным контентом. Обычно это делается автоматически: боты создают запросы к поисковым системам и крадут контент со страниц, которые появляются на самых высоких местах в результатах поиска.

Чтобы гарантировать появление нового веб-сайта в верхних результатах поиска, их создатели должны «заставить» веб-роботов или пауков проиндексировать страницу. Самый простой способ - запустить процесс индексации вручную, используя, например, страницы на <href = "http://www.google.com/addurl" target = "_blank"> http://www.google.com/addurl "target = _blank, на котором пользователи могут вводить свой веб-сайт в поисковый индекс. Чтобы ускорить «поиск» страницы до верха результатов поиска, ссылку на такую ​​страницу можно разместить на ресурсах, которые уже известны поисковым системам, таких как форумы, блоги или сайты социальных сетей. Целевая страница на таких сайтах сделает сайт более популярным в процессе индексации, и сайт можно «оптимизировать» с помощью бот-сетей: зараженные компьютеры выполняют поиск по определенным ключевым словам, а затем выбирают сайт, созданный киберпреступниками, из результатов. ,

Затем на вновь созданную страницу помещается скрипт, который, используя обработку заголовка http, может быть использован для идентификации посетителей. Если посетители являются сетевым роботом, «отображается» страница с контентом, связанным с выбранными ключевыми словами. В результате страница окажется выше в списке возвращаемых результатов поиска. Если пользователь заходит на эту страницу из поисковой системы, он будет перенаправлен на зараженный сайт.


Черная шляпа SEO: создание и представление данных

Сайты, продвигаемые с использованием незаконных или сомнительных методов, немедленно удаляются поисковыми системами из результатов поиска. Вот почему киберпреступники обычно используют автоматизированные процессы для создания и оптимизации таких сайтов; это приводит к ускорению процесса и увеличению количества новых зараженных сетевых ресурсов.

Автоматически созданные веб-сайты могут быть размещены где угодно: на ресурсах киберпреступников, зараженных законными ресурсами, бесплатных хостинг-сервисах или блог-платформах.

Черная шляпа SEO в действии (нажмите, чтобы развернуть контент)

Ниже приведен пример техники SEO в черной шляпе. В мае 2010 года одной из самых популярных поисковых фраз была «История Дня памяти». (Это было связано с национальным днем ​​США, Днем памяти, отмечаемым в последний понедельник мая.) На первой странице результатов, возвращенных Google, содержалась ссылка, которую Google пометил как подозреваемого.

Результаты Google по фразе история дня памяти
Результаты Google по фразе "история дня памяти"

Согласно статистике безопасного просмотра Google для этого сайта, было предпринято много попыток.

Мы пытались посетить эту страницу, но не через ссылку в результатах поиска Google, а путем ввода адреса в адресной строке браузера. На сайте отображался текстовый документ, содержащий многочисленные текстовые фрагменты, относящиеся к «истории поминальных дней» - именно то, что ищут роботы!

Что происходит, когда пользователь заходит на эту страницу по ссылке, отображаемой в результатах поиска Google? Результат совсем другой: сервер перенаправляет пользователя на другой сетевой ресурс.

После нескольких аналогичных перенаправлений пользователь в конечном итоге окажется на странице, содержащей сообщение с предложением загрузить антивирусную программу (что, конечно, подделка).

Стоит отметить, что, как и последняя страница, исполняемый файл также хранится на бесплатном веб-сайте. Киберпреступники могут легко подписаться на бесплатные услуги хостинга. Все, что им нужно сделать для запуска атак, - это создать перенаправление.

Описанные выше методы заражения эффективны только в том случае, если пользователь согласен загрузить программу. Пользователь часто скачивает такой файл, особенно когда он неопытен или не обращает внимания на детали. Человеческие слабости также используются в этом процессе. Например, если появляется всплывающее окно, информирующее вас о том, что компьютер заражен, пользователь может быть обеспокоен, а если он неопытен, он может нажать «удалить все угрозы» как можно скорее. Окно, предлагающее пользователю загрузить обновление для Adobe Flash Player или кодека, не вызовет подозрений, особенно когда оно выглядит законным; Кроме того, пользователь, возможно, неоднократно нажимал на такие ссылки при загрузке стандартных, легальных обновлений.

Зараженные юридические ресурсы

Один из методов распространения вредоносных программ стал особенно популярным: скрытые закачки. Этот тип атаки заключается в заражении компьютера без ведома и участия пользователя. Большинство атак на скачивание происходит с зараженных легальных ресурсов.

Зараженные юридические ресурсы являются одними из самых серьезных проблем в Интернете. В СМИ опубликована информация о таких рубриках, как: « В результате массовой атаки тысячи сайтов были заражены вредоносным ПО ' " Уязвимости безопасности приводят к массовым хакерским атакам. Будет ли ваш блог следующим? «И» Страница помощи Lenovo Lenovo заражает посетителей трояном ». Каждый день «Лаборатория Касперского» выявляет тысячи зараженных ресурсов, которые загружают вредоносный код на компьютер пользователя без его ведома или согласия. статья Атаки с диска скачать - Siege сети предоставляет подробный обзор этих типов атак.

Как правило, атаки «Drive-by» не требуют убеждения пользователя посетить определенную страницу; Пользователь заходит на этот сайт сам. Например, это может быть законный (но зараженный) сайт, который вы посещаете каждый день, чтобы прочитать сообщения или заказать определенный продукт.

Ресурс обычно заражается одним из двух способов: через пробел в ресурсах (например: SQL-инъекция ) или используя ранее украденные конфиденциальные данные для доступа к веб-сайту. Самый распространенный метод - добавить скрытый тег с именем iframe в исходный код страницы. Iframe содержит ссылку на зараженный ресурс и автоматически перенаправляет пользователя при посещении зараженного сайта.

Зараженный ресурс содержит пакет эксплойтов или эксплойтов, который запускается, если на компьютере пользователя установлено уязвимое программное обеспечение. Это вызывает загрузку и запуск вредоносного исполняемого файла.

На рисунке ниже (от Google) показано, как работают эти атаки:


Как работает типичная атака с помощью двигателя?

Эксплойт пакеты

Сегодняшние атаки типа «вождение» обычно используют пакеты эксплойтов. Пакет эксплойтов представляет собой набор программ, использующих уязвимости в легальных программах, работающих на компьютере жертвы. Другими словами, эксплойты открывают своего рода бэкдор, через который вредоносные программы могут заразить компьютер. Поскольку интернет-атаки происходят через браузер, киберпреступники используют уязвимости в браузере, надстройках браузера или стороннем программном обеспечении, используемом для обработки контента. Основное назначение пакетов эксплойтов - загружать и запускать исполняемые вредоносные файлы без ведома пользователя.

На скриншоте ниже показан типичный набор дополнений Firefox. На нем отмечены версии с уязвимостями, которые использовались в предыдущих атаках на пользователей. Более того, уязвимости также были идентифицированы (и использованы) в самом Firefox.

В настоящее время пакеты эксплойтов являются высшим достижением в эволюции загрузок с диска и регулярно обновляются и обновляются. Таким образом, киберпреступники хотят быть уверены, что эти пакеты содержат эксплойты для новых уязвимостей и способны эффективно бороться с механизмами безопасности.

Пакеты эксплойтов создают нишу на рынке киберпреступных услуг. В настоящее время на черном рынке можно найти множество пакетов эксплойтов; они отличаются ценой, количеством эксплойтов в пакете, функциональностью интерфейса администратора и уровнем обслуживания клиентов. В дополнение к готовым пакетам также создаются пользовательские наборы эксплойтов - некоторые киберпреступные банды используют этот сервис.

Наиболее распространенные пользовательские пакеты - те, которые используются при атаках с использованием вредоносных программ Gumblar и Pegel (загрузчики сценариев).

Что отличает последнюю версию Gumblar, так это автоматизированный процесс заражения веб-сайтов и компьютеров конечных пользователей.

Как эксплойты, так и исполняемые файлы, размещенные на взломанных ресурсах, используются для атак. Когда пользователь посещает ресурс, зараженный Gumblar, он будет перенаправлен на другой зараженный сайт, который заразит его компьютер. В атаках Gumblar используются известные уязвимости в Internet Explorer, Adobe Acrobat / Reader, Adobe Flash Player и созданные на языке программирования Java.

Pegel также распространяется через зараженные легальные сайты, но компьютеры-жертвы заражаются с помощью серверов, контролируемых киберпреступниками. Этот метод облегчает киберпреступникам изменение исполняемого файла и пакета эксплойтов, что позволяет быстро реагировать на новые уязвимости. Например, один злоумышленник добавил в пакет эксплойтов разрыв в наборе инструментов развертывания Java. Он сделал это почти сразу после того, как исходный код стал доступен. Downloader Twetti - еще один троян, использующий интересные приемы. Эта вредоносная программа создает множество запросов к API Twitter и использует полученные данные для генерации псевдослучайного доменного имени. В результате пользователи перенаправляются в домен с таким именем. Киберпреступники используют аналогичный алгоритм для получения доменного имени, его регистрации, а затем размещения на сайте вредоносных программ для загрузки на компьютеры-жертвы.

Система эксплойтов Crimepack: пример пакета эксплойтов (нажмите, чтобы развернуть содержимое)

Чтобы проиллюстрировать эту проблему, давайте взглянем на один из самых распространенных пакетов эксплойтов, которые в настоящее время продаются: Crimepack Exploit System.

Crimepack имеет собственную панель управления с качественным интерфейсом.

Сетевой интерфейс панели администрирования можно использовать для изменения конфигурации пакета эксплойта. Он также предоставляет статистику о количестве загрузок, эффективных эксплойтах и ​​операционных системах, а также браузерах, запущенных на компьютерах жертв.

Сам пакет эксплойтов представляет собой зашифрованную и скрытую страницу в HTML, содержащую JavaScript.

Анализ расшифрованной страницы позволяет проследить основные функциональные возможности Crimepack. Сценарий, размещенный на странице, пытается использовать уязвимости в Internet Explorer, DirectX, Java и Adobe Reader через определенные промежутки времени. Во время этих попыток используется набор различных компонентов, включая вредоносные файлы PDF и JAR, которые загружаются при запуске исходного сценария.

В июле 2010 года Crimepack Exploit System была уже в третьей версии. На этот раз пакет содержал 14 эксплойтов с использованием уязвимостей в Microsoft, Adobe, Mozilla и Opera. ,

деньги

Кто и как зарабатывает на этих атаках?

Атаки с использованием баннерной рекламы очень полезны для владельцев сетевых ресурсов, показывающих такие баннеры, потому что они получают деньги за размещение их на своих ресурсах. Если XBlocker загружен и установлен на компьютере-жертве, киберпреступники, использующие эту вредоносную программу, выиграют, но только если пользователь отправит SMS-сообщение на короткий номер. Однако неопытные пользователи часто ловят наживку.

В случае с «черной шляпой» SEO и атак с использованием оптимизированных страниц преимущества получают те, кто создал систему распространения, люди, которые разработали программное обеспечение для автоматического создания поддельных сайтов, и посредники между этими сайтами. Если пользователь загрузит и установит поддельную антивирусную программу, киберпреступники, осуществившие атаку, выиграют. Менее опытные пользователи обычно соглашаются устанавливать и оплачивать поддельные антивирусные программы, что приносит прибыль людям, разрабатывающим такое программное обеспечение.

Создатели пакетов эксплойтов зарабатывают на атаках с диска, как и люди, использующие эти пакеты. Примером этого является пакет эксплойтов ZeuS Toolkit - эффективный способ сбора конфиденциальных пользовательских данных, который затем продается на черном рынке. В результате регулярных атак с использованием программы Pegel, осуществляемых злоумышленниками, был создан ботнет, состоящий из компьютеров, зараженных бэкдором, под названием Backdoor.Win32.Bredolab. Этот ботнет может быть использован для загрузки других вредоносных программ на компьютеры жертв.

Означает ли это, что киберпреступники зарабатывают деньги, когда пользователи загружают вредоносные программы? Естественно! С помощью партнерские программы (на русском языке «партнер») прибыль от этой деятельности переводится соответствующему партнеру или партнерам.

Партнерские сети

Партнерские программы существуют уже давно; изначально они использовались в основном для распространения рекламного программного обеспечения, связанного с бесплатными приложениями. Наряду с бесплатными приложениями в качестве рекламной программы был загружен «бонус». В настоящее время партнерские программы часто используются для распространения вредоносных программ.

«Черная» или нелегальная модель PPI (оплата за установку) включает в себя следующих участников (т.е. партнеров):

  • Клиенты: киберпреступники, у которых есть деньги и вредоносное ПО, которое они хотят распространять
  • Подрядчики: люди, которые распространяют программу и получают за нее деньги. Часто такой партнер не задает никаких вопросов о распространяемой программе; в результате он может неосознанно стать инструментом для совершения киберпреступлений (но помните, что невежество не связано с невиновностью).
  • Ресурс PPI: это организация, которая связывает клиентов с контрагентами и собирает комиссионные с их транзакций.

Помимо моделей PPI, в которых может участвовать каждый, существует также множество «закрытых» партнерских программ. Только основные игроки на киберпреступной сцене, такие как владельцы ботнетов, имеют к ним доступ. Само собой разумеется, огромные суммы денег проходят через такие партнерские сети.

Остается вопрос: откуда или у кого деньги? Ответ, естественно, от пользователей. Они владеют своими средствами, конфиденциальными данными и / или вычислительной мощностью своих компьютеров.

Пример PPI: InstallConverter (щелкните, чтобы развернуть содержимое)

InstallConverter в настоящее время является одной из самых популярных моделей PPI. Как правило, ресурс PPI оплачивает 100 уникальных загрузок, а стоимость одной установки зависит от местоположения компьютера жертвы. Максимальная ставка составляет 170 долларов США и оплачивается за скачивание программ для компьютеров, расположенных в США.

Главная InstallConverter
Главная InstallConverter

После регистрации партнера на сайте и его принятия владельцы предлагают загрузить свой «личный» исполняемый файл, который затем будет распространен. Личный означает, что такой исполняемый файл связан с номером, присвоенным партнеру, по которому отслеживается прогресс партнера. Получив исполняемый файл, партнер может распространить его любым способом: через Интернет, через страницы P2P (BitTorrent, eMule, DC ++ или другие), мессенджеры и даже ботнет. Партнер также может загрузить новый исполняемый файл по ссылке, если исходный файл обнаружен антивирусными программами.

Однако исполняемый файл не предназначен для прямого распространения; в начале, например, распространяется загрузчик, который затем загружает вредоносный файл. В противном случае вредоносный файл будет «связан» с законной программой и распространен на компьютерах пользователей под прикрытием законной программы. Другой способ - зашифровать исполняемый файл с помощью специальных программ для упаковки и распространить их в этой форме. Другими словами, партнер ограничивает только свое воображение и способность реализовывать планы.

Трудно определить, какие вредоносные программы распространялись с помощью InstallConverter с момента его появления, но за последние несколько месяцев это был единственный метод установки TDSS, одного из самых сложных и опасных бэкдоров, которые существуют в настоящее время. TDSS также может загружать другие вредоносные программы на зараженные компьютеры. Это означает, что владельцы сетей, состоящие из компьютеров, зараженных TDSS, могут выступать в качестве посредников и зарабатывать деньги, загружая такие программы от пользователей.

вывод

Естественно, что подходы и методы, описанные выше, не охватывают все методы, используемые киберпреступниками.

Интернет теперь опасное место - просто нажмите на ссылку, отображаемую в результатах поиска, или посетите любимый веб-сайт, который был недавно заражен, и, прежде чем мы узнаем об этом, компьютер становится частью ботнета. Основная цель киберпреступников - лишить пользователей денег и конфиденциальных данных; Эти данные могут быть использованы для достижения финансовых выгод. По этой причине киберпреступники используют каждое свое оружие в своем арсенале для «вложения» вредоносных программ на компьютеры пользователей.

Чтобы защитить себя, пользователи должны регулярно обновлять свое программное обеспечение, особенно программное обеспечение, которое работает с браузером. Текущее решение безопасности также играет важную роль. Однако самое важное, что пользователи должны быть осторожны, когда делятся своей информацией через Интернет.

Как киберпреступники зарабатывают деньги, обманывая пользователей?
Что происходит, когда пользователь заходит на эту страницу по ссылке, отображаемой в результатах поиска Google?
Будет ли ваш блог следующим?
Означает ли это, что киберпреступники зарабатывают деньги, когда пользователи загружают вредоносные программы?
Остается вопрос: откуда или у кого деньги?