Компьютерные вирусы с момента своего появления прошли очень большой эволюционный путь. Большой, в данном случае, не относится к времени, а относится к количеству изменений, перемен, преобразований путем полиморфизма и т.д. Каждому времени соответствовало лидерство конкретного вида и/или семейства. Это, конечно же, зависело от многих факторов, но ведущим всегда был о заостренное внимание общественность на каких-то вещах. Именно из-за этого операционная система Windows наиболее облеплена зловредами – примеров множество. И сегодня это правило действует безотказно. А вместе с ним и желание выжить.
Конечно, желание выжить больше относится к вирусописателям, поскольку вредоносное программное обеспечение – не ИИ (искусственный  интеллект),  а простой алгоритм, составленный человеком. Вирусописателям приходится постоянно придумать новые извороты, чтобы обойти стремительно развивающиеся технологии защиты, активно внедряемые в антивирусные системы. А антивирусным компаниям, в свою очередь, приходится с максимальной скоростью реакции выдавать методы противостояния этим изворотам, что зачастую достаточно сложная задача.
Думаю, что для читателя не нов факт появления зловредных комплексов, этаких четко слаженных и грамотно сформированных систем заражения, которые далеко впереди, относительно классики – одиночных тел зловредов. В свое время, Лаборатория Касперского, на страницах отчета об угрозах в ИТ назвала этот тип заразы malware 2.0, в чем была права, т.к. технологии при оставлении систем заражения используются исключительно новейшие. Конечно, это совсем не означает, что вы должны ставить 10 антивирусов, столько же брандмауэров и еще, в довесок, добрую пачку вспомогательного ПО, типа антируткитов, антитроянов, антишпионов и т.п. Все гораздо проще, поскольку построение систем безопасности на классических фундаментах будет, пожалуй, наиболее действенным в данном случае, когда перед нами большая неопределенность. Я бы хотел в этом материале подробнее остановиться на технологиях, которые используются в настоящее время зловредами и их авторами для заражения, распространения и использования результатов действия заразы на машине-жертве.
Drive-by-download
Начну я, пожалуй, с технологии, которая называется drive-by-download или просто drive-by. Эта технология позволяет при помощи какой-либо уязвимости загрузить и запустить на жертве тело вредоносной программы со всеми вытекающими последствиями, естественно. Происходит это во время простого серфинга по интернет ресурсам. Так что особых действий со стороны пользователя не требуется, просто открыл страницу и все – процесс пошел. Естественно для пользователя ничего не заметно, разве что скачек объема входящего трафика.
Вначале злоумышленник должен получить доступ к коду сайта, для того, чтобы внедрить скрипт. Скрипт представляет использует эксплойт, который, соответственно, использует уязвимость какого-либо приложения. В такой ситуации защитить жертву сможет только лишь пропатченность системы в целом (т.к. на какой компонент будет проводиться атака предугадать не возможно).
 
Схема Drive-by-download атаки
Для предотвращения детектирования угрозы веб-контролем антивирусных систем и комплексных систем безопасности могут использовать iFrame переадресации и/или fast-flux технологии.
Пожалуй, одним из самых громких инцидентов массового заражения, связанных с drive-by, можно считать произошедший в начале Суперкубка Национальной футбольной лиши США – когда сайт стадиона Miami’s Dolphin был взломан и на в код внедрили скрипт. При попадании на страницу запрос переадресовывался на удаленный сервер и с него загружался зловред. Атака базировалась на уязвимостях MS06-014 и MS07-004.
 
Вредоносный скрипт сайта Miami’s Dolphin
Drive-by сегодня это не просто технология заращения компьютеров вредоносным программным обеспечением – это лидирующая технология, которая прилично оторвалась от своих конкурентов.
Руткит технологии
Новыми руткит технологии не назовешь, потому, как они активно используются злоумышленниками уже более трех лет, а на ИТ сцене появились в первый раз еще раньше. Однако, ч не могу обойти стороной самый популярный на сегодняшний день инструментарий технологий, используемых для создания зловредов.
Rootkit (руткит, от англ. root kit, то есть «набор root'а») — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе. Собственно, набор программ или отдельная программа используется крайне редко сегодня. Прогресс идет везде, даже в мире андерграунда, поэтому от использования двух модульного виря пришлось отказаться и внедрить технологии сокрытия в тело самого зловреда – это добавила компактности и решило многие проблемы по заражению.
Сейчас я попробую объяснить принцип работы руткита, на примере программы менеджера системных процессов tasklist. Допустим, решили вы просмотреть активные процессы. Запускаем программу, при этом в память загружается код программы и необходимые ей функции из сисбиблиотек. После этого программа запрашивает функцию winAPI NtQuerySystemInformation, которая находится в ntdll.dll. Эта функция ответственна за формирование и выдачу списка процессов. На самом деле эта функция просто вызывает другую – функцию уровня ядра (ZwQuerySystemInformation), по средствам прерывания int 0x2E. Последняя же, напрямую связывается с памятью ядра и запрашивает PsActiveProcessList, который мы и получаем в итоге. Так вот, руткит может вставить свои пять копеек на любом из этих этапов.
Буткит технологии
Слово буткит очень похоже на руткит и не просто так. Дело в том, что это и есть руткиты, но только с небольшой особенностью. Рассказывая об этой технологии я хотел бы немного вспомнить былые времена магнитных дисков, когда 1,44 Мб были стандартом, а о Blue-ray дисках и каких-то синих лазерах никто не только не слышал, но и представить не мог. Именно в те времена по мировым просторам гуляли вири, которые записывались в бут-сектор дискеты и вытравить его просто так уже было невозможно. Спасала только перезапись бута.
Как говорится в народе: «все новое – это хорошо забытое старое». Именно так и получилось в данной ситуации, т.к. буткиты и есть часть той забытой эпохи. При инфицировании системы функция стартапа со ссылкой на тело или само тело буткита записываются в бут-сектор и обычными способами уже не лечатся. Ну, собственно, ставить Adinf :) в этом случае не стоит, т.к. антивирусные корпорации при начале «массового производства» буткитов отреагировали довольно быстро и довели до ума сканеры, плюс добавили возможности перезаписи бут-сектора и MBR записи. Ну а первая ласточка из данного семейства появилась в 2006 году, поэтому, возможность увеличения их численности рассматривалась аналитическим центрами и вполне ожидалась.
 
Пример зараженного MBR
Зловреды-комплексы или malware 2.0
Примерно год назад аналитический центр Лаборатории Касперского ввел такой термин. Под ним понимается принципиально новое вредоносное программное обеспечение, не состоящее из одного только тела зловреда или двух-трех модулей. Четкая и слаженная работа множества компонентов – вот отличительная особенность malware 2.0. Собственно, чего и следовало ожидать, надеяться, что злоумышленники всегда будут на уровне каменного века, в то время, как остальные технологии развиваются с огромной скоростью.
Наиболее яркими представителями этого поколения является бэкдор Backdoor.Win32.Sinowal и Rustock. Они заставили антивирусные лаборатории попотеть. Вирусописатели использовали самые передовые технологии в мире вирусов, такие как drive-by заражение, буткит-технологии, пакеты эксплойтов (MPack, IcePack, Neosploit).
Конечно, все это достаточно абстрактно, поэтому я остановлюсь подробнее на Sinowal, в качестве примера. Начнем рассмотрение с процесса заражения. Для заражения компьютера использовалась технология drive-by, но существенно модифицированная. Все дело в том, что при взломе сайта в его код не добавляли каких скриптов, а просто подменяли ссылки. Таким образом при нажатии на линк пользователь переадресовывался на сервер злоумышленников. Это не так эффективно как переадресация при попадании на страницу или, скажем, использование скрипта в коде. Но если правильно подобрать линки, подлежащие замену, то эффект был достаточно хороший. На это и рассчитывали злоумышленники.
После переадресации жертва опрашивается сервером и ей присваивается id, после этого на основа результатов опроса (ОС, ПО, ip и mac адреса) административная панель начинает формировать пакет эксплойтов, ориентированный именно на данный компьютер. При помощи этого пакета на жертву загружается дроппер, который извлекает из себя буткит. Буткит зомбирует компьютер и он становится боевой единицей бот-сети. После этого, при первом же подключении к Интернету, кроме соединения с командным центром бот-сети (C&C), буткит загружает шпионский модуль в виде dll библиотеки. Этот модуль занимается тем, что ворует пароли ко всему, что запаролено в системе. DLL не хранится на харде, а в памяти. Это позволяет избежать детектирования антивирусным сканером файлов, да и после перезагрузки система опять будет расцениваться антивирусом как чистая, а после очередного подключения к сети – баблиотека опять подгружается.
Что касается ботнета, что его не так-то просто убить, как считают многие читающие эту статью в данный момент. Почему? А все по тому, что используется новая технология C&C, о которой ниже.
Таким образом, все эти компоненты, технологии, промежуточные узла складываются, по классификации, в одного зловреда - Backdoor.Win32.Sinowal, который достаточно сложно поддается антивирусным системам.
Мигрирующий C&C
Мигрирующий C&C – тип командного центра сети ботов, в основе защиты которого лежит новая технология миграции. Она, собственно, не является новой, за исключением некоторых особенностей. Все дело в том, что миграция C&C с одного ip-адреса на другой с течением времени – давно используемый злоумышленниками механизм. Однако, недавно в него добавили еще  миграцию с домена на домен. Вот и получается, что с течением времени комцентр меняет не только адрес, но и домен. В некоторых случаях фиксировались смены в течении пары часов.
Такую сеть ботов очень тяжело убить. Стоит только определить место нахождение комцентра, как через некоторое время он уже на другом домене. Программы-клиенты (т.е. зловреды, зомбирующие машины) при работе с таким C&C, после выхода в сеть, начинают отсылку пакетов на домены, которые вычисляются по специальному алгоритму. Как только от одного из доменов пришел ответ – все, комцентр найден и компьютер становится в ежим ожидания команд.
Exit
Получив немного информации о том, на основе каких технологий строится современная вирусная индустрия можно обеспечить безопасность намного более качественно. Будь то домашняя локальная машина, веб- или файловый сервер, или целая корпоративная сеть.
Обратите внимание, что данные технологии могут использовать различную логику, что существенно затрудняет их детектирование. Тут не обойтись простенькой эвристикой и файловым сканером. Поэтому, на плечах антивирусных компаний лежит тяжелая задача – построение взаимно сотрудничающей системы безопасности. В которой, слаженная работа эмулятора кода, эвристического анализатора, сигнатурного сканера, файервола, веб-контроля, локального контроля безопасности и других компонентов поможет определить новое поколение зловредов вне зависимости от того, известны они антивирусной лаборатории или нет.