Угрозы внедрения по сети вредоносных программ. Одновременное использование технологий внедрения и методов социальной инженерии

К вредоносным программам, внедряемым по сети, относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. «Полноценные» сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, «подтолкнуть» пользователя к запуску зараженного файла.

Вредоносными программами, обеспечивающими осуществление НСД, могут быть:

программы подбора и вскрытия паролей;

программы, реализующие угрозы;

программы, демонстрирующие использование недекларированных возможностей программного и программно-аппаратного обеспечения ИСПДн;

программы-генераторы компьютерных вирусов;

программы, демонстрирующие уязвимости средств защиты информации и др.

Если в Учреждении обрабатываемые ПДн не пересылаются по сетям общего пользования и международного обмена, установлена антивирусная защита, то вероятность реализации угрозы – является маловероятной .

Во всех других случаях должна быть оценена вероятность реализации угрозы.

Обобщенный список вероятности реализации угроз для разных типов ИСПДн представлен в таблице 13.

Таблица 13

Тип ИСПДн	Вероятность реализации угрозы	Коэфф. вероятности реализации угрозы нарушителем
Автономная ИС Iтипа	маловероятная
Автономная ИС IIтипа
Автономная ИС IIIтипа	маловероятная
Автономная ИС IVтипа
Автономная ИС Vтипа	маловероятная
Автономная ИС VIтипа
ЛИС Iтипа	маловероятная
ЛИС IIтипа
Распределенная ИС Iтипа	маловероятная
Распределенная ИС IIтипа

1. Реализуемость угроз

По итогам оценки уровня защищенности (Y 1) (раздел 7) и вероятности реализации угрозы (Y 2) (раздел 9), рассчитывается коэффициент реализуемости угрозы (Y) и определяется возможность реализации угрозы (таблица 4). Коэффициент реализуемости угрозы Y будет определяться соотношениемY= (Y 1 +Y 2)/20

Обобщенный список оценки реализуемости УБПДн для разных типов ИСПДн представлен в таблицах 14-23.

Таблица 14 – Автономная ИС Iтипа

Тип угроз безопасности ПДн		Возможность реализации
2.1.1. Кража ПЭВМ
2.3.6. Стихийное бедствие

Таблица 15 – Автономная ИС IIтипа

Тип угроз безопасности ПДн	Коэффициент реализуемости угрозы (Y)	Возможность реализации
1. Угрозы от утечки по техническим каналам.
1.1. Угрозы утечки акустической информации
1.2. Угрозы утечки видовой информации
1.3. Угрозы утечки информации по каналам ПЭМИН
2. Угрозы несанкционированного доступа к информации.
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн
2.1.1. Кража ПЭВМ
2.1.2. Кража носителей информации
2.1.3. Кража ключей и атрибутов доступа
2.1.4. Кражи, модификации, уничтожения информации
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи
2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ
2.1.7. Несанкционированное отключение средств защиты
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий).
2.2.1. Действия вредоносных программ (вирусов)
2.2.3. Установка ПО не связанного с исполнением служебных обязанностей
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
2.3.1. Утрата ключей и атрибутов доступа
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками
2.3.3. Непреднамеренное отключение средств защиты
2.3.4. Выход из строя аппаратно-программных средств
2.3.5. Сбой системы электроснабжения
2.3.6. Стихийное бедствие
2.4. Угрозы преднамеренных действий внутренних нарушителей
2.4.1. Доступ к информации, модификация, уничтожение лиц не допущенных к ее обработке
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке
2.5.Угрозы несанкционированного доступа по каналам связи.
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:
2.5.1.1. Перехват за переделами с контролируемой зоны
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями
2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями.
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.
2.5.3.Угрозы выявления паролей по сети
2.5.4.Угрозы навязывание ложного маршрута сети
2.5.5.Угрозы подмены доверенного объекта в сети
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях
2.5.7.Угрозы типа «Отказ в обслуживании»
2.5.8.Угрозы удаленного запуска приложений
2.5.9.Угрозы внедрения по сети вредоносных программ

Таблица 16 – Автономная ИС IIIтипа

Тип угроз безопасности ПДн	Коэффициент реализуемости угрозы (Y)	Возможность реализации
1. Угрозы от утечки по техническим каналам.
1.1. Угрозы утечки акустической информации
1.2. Угрозы утечки видовой информации
1.3. Угрозы утечки информации по каналам ПЭМИН
2. Угрозы несанкционированного доступа к информации.
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн
2.1.1. Кража ПЭВМ
2.1.2. Кража носителей информации
2.1.3. Кража ключей и атрибутов доступа
2.1.4. Кражи, модификации, уничтожения информации
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи
2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ
2.1.7. Несанкционированное отключение средств защиты
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий).
2.2.1. Действия вредоносных программ (вирусов)
2.2.3. Установка ПО не связанного с исполнением служебных обязанностей
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
2.3.1. Утрата ключей и атрибутов доступа
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками
2.3.3. Непреднамеренное отключение средств защиты
2.3.4. Выход из строя аппаратно-программных средств
2.3.5. Сбой системы электроснабжения
2.3.6. Стихийное бедствие
2.4. Угрозы преднамеренных действий внутренних нарушителей
2.4.1. Доступ к информации, модификация, уничтожение лиц не допущенных к ее обработке
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке
2.5.Угрозы несанкционированного доступа по каналам связи.
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:
2.5.1.1. Перехват за переделами с контролируемой зоны
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями
2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями.
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.
2.5.3.Угрозы выявления паролей по сети
2.5.4.Угрозы навязывание ложного маршрута сети
2.5.5.Угрозы подмены доверенного объекта в сети
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях
2.5.7.Угрозы типа «Отказ в обслуживании»
2.5.8.Угрозы удаленного запуска приложений
2.5.9.Угрозы внедрения по сети вредоносных программ

Таблица 17 – Автономная ИС IVтипа

Тип угроз безопасности ПДн	Коэффициент реализуемости угрозы (Y)	Возможность реализации
1. Угрозы от утечки по техническим каналам.
1.1. Угрозы утечки акустической информации
1.2. Угрозы утечки видовой информации
1.3. Угрозы утечки информации по каналам ПЭМИН
2. Угрозы несанкционированного доступа к информации.
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн
2.1.1. Кража ПЭВМ
2.1.2. Кража носителей информации
2.1.3. Кража ключей и атрибутов доступа
2.1.4. Кражи, модификации, уничтожения информации
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи
2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ
2.1.7. Несанкционированное отключение средств защиты
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий).
2.2.1. Действия вредоносных программ (вирусов)
2.2.3. Установка ПО не связанного с исполнением служебных обязанностей
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
2.3.1. Утрата ключей и атрибутов доступа
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками
2.3.3. Непреднамеренное отключение средств защиты
2.3.4. Выход из строя аппаратно-программных средств
2.3.5. Сбой системы электроснабжения
2.3.6. Стихийное бедствие
2.4. Угрозы преднамеренных действий внутренних нарушителей
2.4.1. Доступ к информации, модификация, уничтожение лиц не допущенных к ее обработке
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке
2.5.Угрозы несанкционированного доступа по каналам связи.
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:
2.5.1.1. Перехват за переделами с контролируемой зоны
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями
2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями.
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.
2.5.3.Угрозы выявления паролей по сети
2.5.4.Угрозы навязывание ложного маршрута сети
2.5.5.Угрозы подмены доверенного объекта в сети
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях
2.5.7.Угрозы типа «Отказ в обслуживании»
2.5.8.Угрозы удаленного запуска приложений
2.5.9.Угрозы внедрения по сети вредоносных программ

Таблица 18 – Автономная ИС Vтипа

Тип угроз безопасности ПДн	Коэффициент реализуемости угрозы (Y)	Возможность реализации
1. Угрозы от утечки по техническим каналам.
1.1. Угрозы утечки акустической информации
1.2. Угрозы утечки видовой информации
1.3. Угрозы утечки информации по каналам ПЭМИН
2. Угрозы несанкционированного доступа к информации.
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн
2.1.1. Кража ПЭВМ
2.1.2. Кража носителей информации
2.1.3. Кража ключей и атрибутов доступа
2.1.4. Кражи, модификации, уничтожения информации
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи
2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ
2.1.7. Несанкционированное отключение средств защиты
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий).
2.2.1. Действия вредоносных программ (вирусов)
2.2.3. Установка ПО не связанного с исполнением служебных обязанностей
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
2.3.1. Утрата ключей и атрибутов доступа
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками
2.3.3. Непреднамеренное отключение средств защиты
2.3.4. Выход из строя аппаратно-программных средств
2.3.5. Сбой системы электроснабжения
2.3.6. Стихийное бедствие
2.4. Угрозы преднамеренных действий внутренних нарушителей
2.4.1. Доступ к информации, модификация, уничтожение лиц не допущенных к ее обработке
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке
2.5.Угрозы несанкционированного доступа по каналам связи.
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:
2.5.1.1. Перехват за переделами с контролируемой зоны
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями
2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями.
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.
2.5.3.Угрозы выявления паролей по сети
2.5.4.Угрозы навязывание ложного маршрута сети
2.5.5.Угрозы подмены доверенного объекта в сети
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях
2.5.7.Угрозы типа «Отказ в обслуживании»
2.5.8.Угрозы удаленного запуска приложений
2.5.9.Угрозы внедрения по сети вредоносных программ

Таблица 19 – Автономная ИС VIтипа

Тип угроз безопасности ПДн	Коэффициент реализуемости угрозы (Y)	Возможность реализации
1. Угрозы от утечки по техническим каналам.
1.1. Угрозы утечки акустической информации
1.2. Угрозы утечки видовой информации
1.3. Угрозы утечки информации по каналам ПЭМИН
2. Угрозы несанкционированного доступа к информации.
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн
2.1.1. Кража ПЭВМ
2.1.2. Кража носителей информации
2.1.3. Кража ключей и атрибутов доступа
2.1.4. Кражи, модификации, уничтожения информации
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи
2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ
2.1.7. Несанкционированное отключение средств защиты
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий).
2.2.1. Действия вредоносных программ (вирусов)
2.2.3. Установка ПО не связанного с исполнением служебных обязанностей
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
2.3.1. Утрата ключей и атрибутов доступа
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками
2.3.3. Непреднамеренное отключение средств защиты
2.3.4. Выход из строя аппаратно-программных средств
2.3.5. Сбой системы электроснабжения
2.3.6. Стихийное бедствие
2.4. Угрозы преднамеренных действий внутренних нарушителей
2.4.1. Доступ к информации, модификация, уничтожение лиц не допущенных к ее обработке
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке
2.5.Угрозы несанкционированного доступа по каналам связи.
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:
2.5.1.1. Перехват за переделами с контролируемой зоны
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями
2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями.
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.
2.5.3.Угрозы выявления паролей по сети
2.5.4.Угрозы навязывание ложного маршрута сети
2.5.5.Угрозы подмены доверенного объекта в сети
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях
2.5.7.Угрозы типа «Отказ в обслуживании»
2.5.8.Угрозы удаленного запуска приложений
2.5.9.Угрозы внедрения по сети вредоносных программ

Таблица 20 – ЛИС Iтипа

Тип угроз безопасности ПДн	Коэффициент реализуемости угрозы (Y)	Возможность реализации
1. Угрозы от утечки по техническим каналам.
1.1. Угрозы утечки акустической информации
1.2. Угрозы утечки видовой информации
1.3. Угрозы утечки информации по каналам ПЭМИН
2. Угрозы несанкционированного доступа к информации.
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн
2.1.1. Кража ПЭВМ
2.1.2. Кража носителей информации
2.1.3. Кража ключей и атрибутов доступа
2.1.4. Кражи, модификации, уничтожения информации
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи
2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ
2.1.7. Несанкционированное отключение средств защиты
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий).
2.2.1. Действия вредоносных программ (вирусов)
2.2.3. Установка ПО не связанного с исполнением служебных обязанностей
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
2.3.1. Утрата ключей и атрибутов доступа
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками
2.3.3. Непреднамеренное отключение средств защиты
2.3.4. Выход из строя аппаратно-программных средств
2.3.5. Сбой системы электроснабжения
2.3.6. Стихийное бедствие
2.4. Угрозы преднамеренных действий внутренних нарушителей
2.4.1. Доступ к информации, модификация, уничтожение лиц не допущенных к ее обработке
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке
2.5.Угрозы несанкционированного доступа по каналам связи.
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:
2.5.1.1. Перехват за переделами с контролируемой зоны
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями
2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями.
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.
2.5.3.Угрозы выявления паролей по сети
2.5.4.Угрозы навязывание ложного маршрута сети
2.5.5.Угрозы подмены доверенного объекта в сети
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях
2.5.7.Угрозы типа «Отказ в обслуживании»
2.5.8.Угрозы удаленного запуска приложений
2.5.9.Угрозы внедрения по сети вредоносных программ

Таблица 21 – ЛИС IIтипа

Тип угроз безопасности ПДн	Коэффициент реализуемости угрозы (Y)	Возможность реализации
1. Угрозы от утечки по техническим каналам.
1.1. Угрозы утечки акустической информации
1.2. Угрозы утечки видовой информации
1.3. Угрозы утечки информации по каналам ПЭМИН
2. Угрозы несанкционированного доступа к информации.
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн
2.1.1. Кража ПЭВМ
2.1.2. Кража носителей информации
2.1.3. Кража ключей и атрибутов доступа
2.1.4. Кражи, модификации, уничтожения информации
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи
2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ
2.1.7. Несанкционированное отключение средств защиты
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий).
2.2.1. Действия вредоносных программ (вирусов)
2.2.3. Установка ПО не связанного с исполнением служебных обязанностей
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
2.3.1. Утрата ключей и атрибутов доступа
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками
2.3.3. Непреднамеренное отключение средств защиты
2.3.4. Выход из строя аппаратно-программных средств
2.3.5. Сбой системы электроснабжения
2.3.6. Стихийное бедствие
2.4. Угрозы преднамеренных действий внутренних нарушителей
2.4.1. Доступ к информации, модификация, уничтожение лиц не допущенных к ее обработке
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке
2.5.Угрозы несанкционированного доступа по каналам связи.
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:
2.5.1.1. Перехват за переделами с контролируемой зоны
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями
2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями.
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.
2.5.3.Угрозы выявления паролей по сети
2.5.4.Угрозы навязывание ложного маршрута сети
2.5.5.Угрозы подмены доверенного объекта в сети
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях
2.5.7.Угрозы типа «Отказ в обслуживании»
2.5.8.Угрозы удаленного запуска приложений
2.5.9.Угрозы внедрения по сети вредоносных программ

Таблица 22 – Распределенная ИС Iтипа

Тип угроз безопасности ПДн	Коэффициент реализуемости угрозы (Y)	Возможность реализации
1. Угрозы от утечки по техническим каналам.
1.1. Угрозы утечки акустической информации
1.2. Угрозы утечки видовой информации
1.3. Угрозы утечки информации по каналам ПЭМИН
2. Угрозы несанкционированного доступа к информации.
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн
2.1.1. Кража ПЭВМ
2.1.2. Кража носителей информации
2.1.3. Кража ключей и атрибутов доступа
2.1.4. Кражи, модификации, уничтожения информации
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи
2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ
2.1.7. Несанкционированное отключение средств защиты
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий).
2.2.1. Действия вредоносных программ (вирусов)
2.2.3. Установка ПО не связанного с исполнением служебных обязанностей
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
2.3.1. Утрата ключей и атрибутов доступа
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками
2.3.3. Непреднамеренное отключение средств защиты
2.3.4. Выход из строя аппаратно-программных средств
2.3.5. Сбой системы электроснабжения
2.3.6. Стихийное бедствие
2.4. Угрозы преднамеренных действий внутренних нарушителей
2.4.1. Доступ к информации, модификация, уничтожение лиц не допущенных к ее обработке
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке
2.5.Угрозы несанкционированного доступа по каналам связи.
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:
2.5.1.1. Перехват за переделами с контролируемой зоны
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями
2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями.
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.
2.5.3.Угрозы выявления паролей по сети
2.5.4.Угрозы навязывание ложного маршрута сети
2.5.5.Угрозы подмены доверенного объекта в сети
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях
2.5.7.Угрозы типа «Отказ в обслуживании»
2.5.8.Угрозы удаленного запуска приложений
2.5.9.Угрозы внедрения по сети вредоносных программ

Таблица 23 – Распределенная ИС IIтипа

Тип угроз безопасности ПДн	Коэффициент реализуемости угрозы (Y)	Возможность реализации
1. Угрозы от утечки по техническим каналам.
1.1. Угрозы утечки акустической информации
1.2. Угрозы утечки видовой информации
1.3. Угрозы утечки информации по каналам ПЭМИН
2. Угрозы несанкционированного доступа к информации.
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн
2.1.1. Кража ПЭВМ
2.1.2. Кража носителей информации
2.1.3. Кража ключей и атрибутов доступа
2.1.4. Кражи, модификации, уничтожения информации
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи
2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ
2.1.7. Несанкционированное отключение средств защиты
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий).
2.2.1. Действия вредоносных программ (вирусов)
2.2.3. Установка ПО не связанного с исполнением служебных обязанностей
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
2.3.1. Утрата ключей и атрибутов доступа
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками
2.3.3. Непреднамеренное отключение средств защиты
2.3.4. Выход из строя аппаратно-программных средств
2.3.5. Сбой системы электроснабжения
2.3.6. Стихийное бедствие
2.4. Угрозы преднамеренных действий внутренних нарушителей
2.4.1. Доступ к информации, модификация, уничтожение лиц не допущенных к ее обработке
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке
2.5.Угрозы несанкционированного доступа по каналам связи.
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:
2.5.1.1. Перехват за переделами с контролируемой зоны
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями
2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями.
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.
2.5.3.Угрозы выявления паролей по сети
2.5.4.Угрозы навязывание ложного маршрута сети
2.5.5.Угрозы подмены доверенного объекта в сети
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях
2.5.7.Угрозы типа «Отказ в обслуживании»

Программно-математическое воздействие – это воздействие с помощью вредоносных программ. Программой с потенциально опасными последствиями или вредоносной программой называют некоторую самостоятельную программу (набор инструкций), которая способна выполнять любое непустое подмножество следующих функций:· скрывать признаки своего присутствия в программной средекомпьютера;· обладать способностью к самодублированию, ассоциированию себя сдругими программами и (или) переносу своих фрагментов в иные области оперативной или внешней памяти;· разрушать (искажать произвольным образом) код программ воперативной памяти;· выполнять без инициирования со стороны пользователя(пользовательской программы в штатном режиме ее выполнения) деструктивные функции (копирование, уничтожение, блокирование и т.п.); · сохранять фрагменты информации из оперативной памяти в некоторыхобластях внешней памяти прямого доступа (локальных или удаленных);· искажать произвольным образом, блокировать и (или) подменятьвыводимый во внешнюю память или в канал связи массив информации, образовавшийся в результате работы прикладных программ, или уже находящиеся во внешней памяти массивы данных.

Вредоносные программы могут быть внесены (внедрены) как преднамеренно, так и случайно в программное обеспечение, используемое в ИСПДн, в процессе его разработки, сопровождения, модификации и настройки. Кроме этого, вредоносные программы могут быть внесены в процессе эксплуатации ИСПДн с внешних носителей информации или посредством сетевого взаимодействия как в результате НСД, так и случайно пользователями ИСПДн.

Современные вредоносные программы основаны на использовании уязвимостей различного рода программного обеспечения (системного, общего, прикладного) и разнообразных сетевых технологий, обладают широким спектром деструктивных возможностей (от несанкционированного исследования параметров ИСПДн без вмешательства в функционирование ИСПДн, до уничтожения ПДн и программного обеспечения ИСПДн) и могут действовать во всех видах программного обеспечения (системного, прикладного, в драйверах аппаратного обеспечения и т.д.).

Наличие в ИСПДн вредоносных программ может способствовать возникновению скрытых, в том числе нетрадиционных каналов доступа к информации, позволяющих вскрывать, обходить или блокировать защитные механизмы, предусмотренные в системе, в том числе парольную и криптографическую защиту.

Основными видами вредоносных программ являются:

· программные закладки;

· классические программные (компьютерные) вирусы;

· вредоносные программы, распространяющиеся по сети (сетевые черви);

· другие вредоносные программы, предназначенные для осуществления НСД.

К программным закладкам относятся программы, фрагменты кода, инструкции, формирующие недекларированные возможности программного обеспечения. Вредоносные программы могут переходить из одного вида в другой, например, программная закладка может сгенерировать программный вирус, который, в свою очередь, попав в условия сети, может сформировать сетевого червя или другую вредоносную программу, предназначенную для осуществления НСД.

Краткая характеристика основных вредоносных программ сводится к следующему. Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор. Они внедряются в память компьютера при загрузке с инфицированного диска. При этом системный загрузчик считывает содержимое первого сектора диска, с которого производится загрузка, помещает считанную информацию в память и передает на нее (т.е. на вирус) управление. После этого начинают выполняться инструкции вируса, который, как правило, уменьшает объем свободной памяти, копирует в освободившееся место свой код и считывает с диска свое продолжение (если оно есть), перехватывает необходимые вектора прерываний (обычно – INT 13H), считывает в память оригинальный boot-сектор и передает на него управление.

В дальнейшем загрузочный вирус ведет себя так же, как файловый: перехватывает обращения операционной системы к дискам и инфицирует их, в зависимости от некоторых условий совершает деструктивные действия, вызывает звуковые эффекты или видеоэффекты.

Основными деструктивными действиями, выполняемыми этими вирусами, являются:

· уничтожение информации в секторах дискет и винчестера;

· исключение возможности загрузки операционной системы (компьютер «зависает»);

· искажение кода загрузчика;

· форматирование дискет или логических дисков винчестера;

· закрытие доступа к COM- и LPT-портам;

· замена символов при печати текстов;

· подергивания экрана;

· изменение метки диска или дискеты;

· создание псевдосбойных кластеров;

· создание звуковых и(или) визуальных эффектов (например, падение
букв на экране);

· порча файлов данных;

· вывод на экран разнообразных сообщений;

· отключение периферийных устройств (например, клавиатуры);

· изменение палитры экрана;

· заполнение экрана посторонними символами или изображениями;

· погашение экрана и перевод в режим ожидания ввода с клавиатуры;

· шифрование секторов винчестера;

· выборочное уничтожение символов, выводимых на экран при наборе с клавиатуры;

· уменьшение объема оперативной памяти;

· вызов печати содержимого экрана;

· блокирование записи на диск;

· уничтожение таблицы разбиения (Disk Partition Table), после этого компьютер можно загрузить только с флоппи-диска;

· блокирование запуска исполняемых файлов;

· блокирование доступа к винчестеру.

ны

Рисунок 3. Классификация программных вирусов и сетевых червей

Большинство загрузочных вирусов перезаписывают себя на флоппи-диски.

Метод заражения «overwriting» является наиболее простым: вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как операционная система и приложения довольно быстро перестают работать.

К категории «компаньон» относятся вирусы, не изменяющие заражаемые файлы. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, то есть вирус. Наиболее распространены компаньон-вирусы, использующие особенность DOS первым выполнять файлы с расширением.COM, если в одном каталоге присутствуют два файла с одним и тем же именем, но различными расширениями имени – .COM и.EXE. Такие вирусы создают для EXE-файлов файлы-спутники, имеющие то же самое имя, но с расширением.COM, например, для файла XCOPY.EXE создается файл XCOPY.COM. Вирус записывается в COM-файл и никак не изменяет EXE-файл. При запуске такого файла DOS первым обнаружит и выполнит COM-файл, то есть вирус, который затем запустит и EXE-файл. Вторую группу составляют вирусы, которые при заражении переименовывают файл в какое-либо другое имя, запоминают его (для последующего запуска файла-хозяина) и записывают свой код на диск под именем заражаемого файла. Например, файл XCOPY.EXE переименовывается в XCOPY.EXD, а вирус записывается под именем XCOPY.EXE. При запуске управление получает код вируса, который затем запускает оригинальный XCOPY, хранящийся под именем XCOPY.EXD. Интересен тот факт, что данный метод работает, по-видимому, во всех операционных системах. В третью группу входят так называемые «Path-companion» вирусы. Они либо записывают свой код под именем заражаемого файла, но «выше» на один уровень в прописываемых путях (DOS, таким образом, первым обнаружит и запустит файл-вирус), либо переносят файл-жертву на один подкаталог выше и т.д.

Возможно существование и других типов компаньон-вирусов, использующих иные оригинальные идеи или особенности других операционных систем.

Файловые черви (worms) являются, в некотором смысле, разновидностью компаньон-вирусов, но при этом никоим образом не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем. Иногда эти вирусы дают своим копиям «специальные» имена, чтобы подтолкнуть пользователя на запуск своей копии – например, INSTALL.EXE или WINSTART.BAT. Существуют вирусы-черви, использующие довольно необычные приемы, например, записывающие свои копии в архивы (ARJ, ZIP и прочие). Некоторые вирусы записывают команду запуска зараженного файла в BAT-файлы. Не следует путать файловые вирусы-черви с сетевыми червями. Первые используют только файловые функции какой-либо операционной системы, вторые же при своем размножении пользуются сетевыми протоколами.

Link-вирусы, как и компаньон-вирусы, не изменяют физического содержимого файлов, однако при запуске зараженного файла «заставляют» ОС выполнить свой код. Этой цели они достигают модификацией необходимых полей файловой системы.

Вирусы, заражающие библиотеки компиляторов, объектные модули и исходные тексты программ, достаточно экзотичны и практически не распространены. Вирусы, заражающие OBJ- и LIB-файлы, записывают в них свой код в формате объектного модуля или библиотеки. Зараженный файл, таким образом, не является выполняемым и не способен на дальнейшее распространение вируса в своем текущем состоянии. Носителем же «живого» вируса становится COM- или EXE-файл.

Получив управление, файловый вирус совершает следующие общие действия:

· проверяет оперативную память на наличие своей копии и инфицирует

память компьютера, если копия вируса не найдена (в случае, если вирус является резидентным), ищет незараженные файлы в текущем и (или) корневом каталоге путем сканирования дерева каталогов логических дисков, а затем заражает обнаруженные файлы;

· выполняет дополнительные (если они есть) функции: деструктивные

действия, графические или звуковые эффекты и т.д. (дополнительные функции резидентного вируса могут вызываться спустя некоторое время после активизации в зависимости от текущего времени, конфигурации системы, внутренних счетчиков вируса или других условий, в этом случае вирус при активизации обрабатывает состояние системных часов, устанавливает свои счетчики и т.д.);

· возвращает управление основной программе (если она есть).

Необходимо отметить, что чем быстрее распространяется вирус, тем вероятнее возникновение эпидемии этого вируса, чем медленнее распространяется вирус, тем сложнее его обнаружить (если, конечно же, этот вирус неизвестен). Нерезидентные вирусы часто являются «медленными» – большинство из них при запуске заражает один или два-три файла и не успевает заполонить компьютер до запуска антивирусной программы (или появления новой версии антивируса, настроенной на данный вирус). Существуют, конечно же, нерезидентные «быстрые» вирусы, которые при запуске ищут и заражают все выполняемые файлы, однако такие вирусы очень заметны: при запуске каждого зараженного файла компьютер некоторое (иногда достаточно долгое) время активно работает с винчестером, что демаскирует вирус. Скорость распространения (инфицирования) у резидентных вирусов обычно выше, чем у нерезидентных ‑ они заражают файлы при каких-либо обращениях к ним. В результате на диске оказываются зараженными все или почти все файлы, которые постоянно используются в работе. Скорость распространения (инфицирования) резидентных файловых вирусов, заражающих файлы только при их запуске на выполнение, будет ниже, чем у вирусов, заражающих файлы и при их открытии, переименовании, изменении атрибутов файла и т.д.

Таким образом, основные деструктивные действия, выполняемые файловыми вирусами, связаны с поражением файлов (чаще исполняемых или файлов данных), несанкционированным запуском различных команд (в том числе, команд форматирования, уничтожения, копирования и т.п.), изменением таблицы векторов прерываний и др. Вместе с тем, могут выполняться и многие деструктивные действия, сходные с теми, которые указывались для загрузочных вирусов.

Макровирусы (macro viruses) являются программами на языках (макроязыках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. Наибольшее распространение получили макровирусы для пакета прикладных программ Microsoft Office.

Для существования вирусов в конкретной системе (редакторе) необходимо наличие встроенного в систему макроязыка с возможностями:

1) привязки программы на макроязыке к конкретному файлу;

2) копирования макропрограмм из одного файла в другой;

3) получения управления макропрограммой без вмешательства пользователя (автоматические или стандартные макросы).

Данным условиям удовлетворяют прикладные программы Microsoft Word, Excel и Microsoft Access. Они содержат в себе макроязыки: Word Basic, Visual Basic for Applications. При этом:

1) макропрограммы привязаны к конкретному файлу или находятся внутри файла;

2) макроязык позволяет копировать файлы или перемещать макропрограммы в служебные файлы системы и редактируемые файлы;

3) при работе с файлом при определенных условиях (открытие, закрытие и т.д.) вызываются макропрограммы (если таковые есть), которые определены специальным образом или имеют стандартные имена.

Данная особенность макроязыков предназначена для автоматической обработки данных в больших организациях или в глобальных сетях и позволяет организовать так называемый «автоматизированный документооборот». С другой стороны, возможности макроязыков таких систем позволяют вирусу переносить свой код в другие файлы и таким образом заражать их.

Большинство макровирусов активны не только в момент открытия (закрытия) файла, но до тех пор, пока активен сам редактор. Они содержат все свои функции в виде стандартных макросов Word/Excel/Office. Существуют, однако, вирусы, использующие приемы скрытия своего кода и хранящие свой код в виде не макросов. Известно три подобных приема, все они используют возможность макросов создавать, редактировать и исполнять другие макросы. Как правило, подобные вирусы имеют небольшой (иногда – полиморфный) макрос-загрузчик вируса, который вызывает встроенный редактор макросов, создает новый макрос, заполняет его основным кодом вируса, выполняет и затем, как правило, уничтожает (чтобы скрыть следы присутствия вируса). Основной код таких вирусов присутствует либо в самом макросе вируса в виде текстовых строк (иногда – зашифрованных), либо хранится в области переменных документа.

К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. «Полноценные» сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, «подтолкнуть» пользователя к запуску зараженного файла.

Вредоносными программами, обеспечивающими осуществление НСД, могут быть:

· программы подбора и вскрытия паролей;

· программы, реализующие угрозы;

· программы, демонстрирующие использование недекларированных возможностей программного и программно-аппаратного обеспечения ИСПДн;

· программы-генераторы компьютерных вирусов;

· программы, демонстрирующие уязвимости средств защиты
информации и др.

В связи с усложнением и возрастанием разнообразия программного обеспечения число вредоносных программ быстро возрастает. Сегодня известно более 120 тысяч сигнатур компьютерных вирусов. Вместе с тем, далеко не все из них представляют реальную угрозу. Во многих случаях устранение уязвимостей в системном или прикладном программном обеспечении привело к тому, что ряд вредоносных программ уже не способен внедриться в них. Часто основную опасность представляют новые вредоносные программы.

Классификация нарушителей

По признаку принадлежности к ИСПДн все нарушители делятся на две группы:

Внешние нарушители – физические лица, не имеющие права пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИСПДн;

Внутренние нарушители – физические лица, имеющие право пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИСПДн.

Внешний нарушитель

В качестве внешнего нарушителя информационной безопасности, рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны.

Предполагается, что внешний нарушитель не может воздействовать на защищаемую информацию по техническим каналам утечки, так как объем информации, хранимой и обрабатываемой в ИСПДн, является недостаточным для возможной мотивации внешнего нарушителя к осуществлению действий, направленных утечку информации по техническим каналам утечки.

Предполагается, что внешний нарушитель может воздействовать на защищаемую информацию только во время ее передачи по каналам связи.

Внутренний нарушитель

Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны ограничительных факторов, из которых основным является реализация комплекса организационно-технических мер, в том числе по подбору, расстановке и обеспечению высокой профессиональной подготовки кадров, допуску физических лиц внутрь контролируемой зоны и контролю за порядком проведения работ, направленных на предотвращение и пресечение несанкционированного доступа.

Система разграничения доступа ИСПДн ИСПДн обеспечивает разграничение прав пользователей на доступ к информационным, программным, аппаратным и другим ресурсам ИСПДн в соответствии с принятой политикой информационной безопасности (правилами). К внутренним нарушителям могут относиться (таблица):

Администраторы конкретных подсистем или баз данных ИСПДн (категория II);

Пользователи, являющиеся внешними по отношению к конкретной АС (категория IV);

Лица, обладающие возможностью доступа к системе передачи данных (категория V);

Сотрудники ЛПУ, имеющие санкционированный доступ в служебных целях в помещения, в которых размещаются элементам ИСПДн, но не имеющие права доступа к ним (категория VI);

Обслуживающий персонал (охрана, работники инженерно–технических служб и т.д.) (категория VII);

Уполномоченный персонал разработчиков ИСПДн, который на договорной основе имеет право на техническое обслуживание и модификацию компонентов ИСПДн (категория VIII).

На лиц категорий I и II возложены задачи по администрированию программно-аппаратных средств и баз данных ИСПДн для интеграции и обеспечения взаимодействия различных подсистем, входящих в состав ИСПДн. Администраторы потенциально могут реализовывать угрозы ИБ, используя возможности по непосредственному доступу к защищаемой информации, обрабатываемой и хранимой в ИСПДн, а также к техническим и программным средствам ИСПДн, включая средства защиты, используемые в конкретных АС, в соответствии с установленными для них административными полномочиями.

Эти лица хорошо знакомы с основными алгоритмами, протоколами, реализуемыми и используемыми в конкретных подсистемах и ИСПДн в целом, а также с применяемыми принципами и концепциями безопасности.

Предполагается, что они могли бы использовать стандартное оборудование либо для идентификации уязвимостей, либо для реализации угроз ИБ. Данное оборудование может быть как частью штатных средств, так и может относиться к легко получаемому (например, программное обеспечение, полученное из общедоступных внешних источников).

Кроме того, предполагается, что эти лица могли бы располагать специализированным оборудованием .

К лицам категорий I и II ввиду их исключительной роли в ИСПДн должен применяться комплекс особых организационно-режимных мер по их подбору, принятию на работу, назначению на должность и контролю выполнения функциональных обязанностей.

Предполагается, что в число лиц категорий I и II будут включаться только доверенные лица и поэтому указанные лица исключаются из числа вероятных нарушителей.

Предполагается, что лица категорий III-VIII относятся к вероятным нарушителям.

Возможности внутреннего нарушителя существенным образом зависят
от действующих в пределах контролируемой зоны режимных
и организационно-технических мер защиты, в том числе по допуску физических лиц к ПДн и контролю порядка проведения работ.

Внутренние потенциальные нарушители подразделяются на восемь категорий в зависимости от способа доступа и полномочий доступа к ПДн.

Данная статья посвящена анализу современных технологий, представляющих угрозу для безопасности компьютера, и основных тенденций развития вредоносных программ в 2006 году.

Общие тенденции развития вредоносных программ

За 2006 год автором было обнаружено и проанализировано 49 697 уникальных разновидностей вредоносных программ, причем 47 907 из них принадлежат к основным семействам. По результатам их анализа построена диаграмма, отражающая процентный состав вредоносных программ по семействам за год (рис. 1).

Рис. 1. Процентный состав ITW-образцов по семействам

Как видно из диаграммы, 37% всех исследованных программ составляют вредоносные программы типа Trojan-Downloader. Это устойчивая тенденция, которая прослеживается с 2005 года и связана с тем, что Trojan-Downloader применяются для установки вредоносных программ, обновления их версий и восстановления в случае удаления антивирусом. Большинство исследованных случаев поражения компьютера вредоносным ПО влечет за собой именно запуск Trojan-Downloader, вследствие применения эксплойта или методов социальной инженерии. Следующими по распространенности являются почтовые и сетевые черви, троянские программы различных типов и программы класса Dialer.

Статистический анализ динамики обнаружения ITW (in the Wild) образцов показывает, что разработчики вредоносных программ взяли на вооружение и активно применяют новую технологию борьбы с сигнатурными сканерами. Методика ее крайне проста и заключается в том, что разработчик создает сотни вариантов одной и той же вредоносной программы в течение небольшого промежутка времени. Наиболее простые методы получения различных вариантов следующие:

• переупаковка различными упаковщиками и криптерами - может выполняться периодически или в момент запроса файла, набор упаковщиков и их параметров может варьироваться случайным образом. Нередко авторы вредоносных программ применяют модифицированные упаковщики и криптеры, что затрудняет их проверку;
• перекомпиляция файла с внесением модификаций, достаточных для того, чтобы изменились сигнатуры файла, по которым производится его детектирование;
• помещение вредоносного файла в инсталляционный пакет, созданный при помощи инсталляторов типа NSIS (Scriptable Installation System). Наличие открытого исходного кода инсталлятора позволяет немного его модифицировать, что сделает невозможным автоматическую распаковку и анализ в ходе антивирусной проверки.

Перечисленные методики давно известны и могут применяться в различных сочетаниях, что позволяет автору вредоносной программы без особого труда создавать сотни вариантов одной и той же программы без применения классических полиморфных методик. Проследить это можно на примере Trojan-Downloader. Win32.Zlob. Рассмотрим статистику его обнаружений за последние 40 дней (рис. 2).

Рис. 2. Динамика обнаружения Trojan-Downloader.Win32.Zlob за 40 дней

За этот период автором было обнаружено 2198 ITW-образцов Trojan-Downloader.Win32. Zlob, из которых 1213 - уникальные. На графике показаны две кривые: количество обнаружений в день и количество уникальных разновидностей файлов. Из графика видно, что примерно каждый второй обнаруженный ITW-образец является уникальным файлом, и эта зависимость стабильно сохраняется в течение месяца. Если опираться на классификацию «Лаборатории Касперского», то рассмотренные 1213 образцов принадлежат к 169 подразновидностям данной вредоносной программы. Подобная статистика весьма показательна: существует множество вредоносных программ, для которых ежедневно обнаруживаются десятки новых модификаций.

Другую характерную тенденцию можно проследить на примере почтового червя Warezov. За месяц автором зафиксировано 5333 ITW-образцов, из них 459 - уникальные. График распределения активности показан на рис. 3.

Рис. 3. Активность почтового червя Warezov

Зубцы на графике - это периоды эпидемий, которые связаны с появлением новых разновидностей червя (в данном случае: Email-Worm.Win32.Warezov.gj, Email-Worm.Win32. Warezov.fb, Email-Worm.Win32.Warezov.hb). Из графика видно, что активная эпидемия длится в среднем 2-5 дней, после чего количество обнаружений Warezov падает до «фонового» уровня - 10-30 образцов в день. Появление подобных всплесков вполне объяснимо - новая разновидность червя не детектируется антивирусами, в результате червь поражает массу ПК и начинается эпидемия. Она быстро развивается, однако в течение дня сигнатуры червя попадают в базы антивирусов и эпидемия быстро идет на спад.

Отдельно следует отметить активное распространение троянских программ категории Trojan-SPY - шпионов, ворующих персональные данные пользователей. Среди них выделяется знаменитый Goldun, осуществляющий кражу информации об учетных записях системы e-gold. Последние варианты этой троянской программы активно применяют руткит-технологии для маскировки и шпионажа (рис. 4).

Рис. 4. График активности Trojan-SPY за последний месяц

Анализ технологий, используемых создателями вредоносных программ, показывает, что за 2006 год не придумано никаких революционно новых технологий - разработчики вредоносного ПО берут количеством, а не качеством. Тем не менее появилось несколько новинок, которые заслуживают более подробного обсуждения.

В заключение рассмотрим сводный усредненный график, построенный по данным авторской системы автоматического мониторинга вирусной активности (рис. 5).

Рис. 5. Статистика системы автоматического поиска вредоносных программ за последние 40 дней

Из графика видно, что автоматической системой в день регистрируется в среднем около 400 новых уникальных разновидностей вредоносных программ.

Rootkit-технологии

В 2006 году наблюдалось развитие и совершенствование различных типов руткитов и руткит-технологий. Эти технологии применяют многие вредоносные программы, причем существует несколько их направлений:

• руткит-технологии для маскировки, основное назначение которых - маскировка присутствия вредоносной программы и ее компонентов на диске и в памяти, а также маскировка ключей в реестре. Для решения этой задачи чаще всего используется перехват API-функций, причем в современных руткитах встречаются весьма изощренные методики перехвата, например внедрение кода в неэкспортируемые функции ядра, перехват прерывания Int2E, модификация SYSENTER. Отдельно следует отметить DKOM-руткиты (Direct Kernel Object Manipulation), которые приобретают все большую популярность;
• руткит-технологии для шпионажа - как следует из названия, они применяются для слежения за работой пользователя и сбора конфиденциальной информации. Наиболее характерный пример - Trojan-Spy.Win32.Goldun, который по руткит-принципу перехватывает обмен приложений с Интернетом для поиска в потоке передаваемой информации реквизитов кредитных карт пользователя.

Рассмотрим подробнее DKOM-руткиты. Принцип их работы основан на модификации системных структур, описывающих процессы, драйверы, потоки и дескрипторы. Подобное вмешательство в системные структуры, естественно, является недокументированной и весьма некорректной операцией, однако система после подобного вмешательства продолжает более или менее стабильно работать. Практическим последствием такого вмешательства является то, что у злоумышленника появляется возможность манипулирования структурами ядра в собственных целях. Например, для каждого из запущенных процессов в ядре заводится структура EPROCESS, хранящая массу информации о процессе, в частности его идентификатор (PID) и имя процесса. Эти структуры образуют двусвязный список и используются API-функциями, возвращающими информацию о запущенных процессах. Для маскировки процесса DKOM-руткиту достаточно удалить его структуру EPROCESS из списка. Реализация подобной маскировки крайне проста, и в Интернете можно найти десятки готовых реализаций с исходными текстами. Более сложные руткиты не ограничиваются удалением структуры маскируемого объекта из списка - они искажают содержащиеся в ней данные. В результате даже если антируткит сможет найти замаскированный процесс или драйвер, то он получит о нем неверную информацию. Ввиду простоты реализации подобные руткиты приобретают все большую популярность, и бороться с ними становится все сложнее. Исследования показали, что наиболее эффективным методом противодействия им является установка в систему монитора, следящего за запуском/завершением процессов и загрузкой/выгрузкой драйверов. Сравнение собранной подобным монитором информации с данными, возвращаемыми системой, позволяет обнаружить произведенные DKOM-руткитом модификации, понять их характер и обнаружить замаскированные процессы и драйверы.

Hoax-программы

Направление Hoax-программ продолжает активно развиваться, поэтому можно уверенно прогнозировать рост этого семейства в 2007 году. В буквальном переводе Hoax - это обман; ложь, мистификация, неправда. Идея Hoax-программ - обман пользователя, чаще всего с целью получения прибыли или похищения конфиденциальной информации. В последнее время наблюдается тенденция криминализации этой отрасли: если еще год назад большинство Hoax-программ производили сравнительно безобидные действия, имитируя заражение компьютера вирусами или SpyWare-кодом, то современные все чаще нацелены на похищение паролей или конфиденциальной информации. Пример такой программы показан на рис. 6.

Рис. 6. Окно программы Hoax.Win32.Delf

Как следует из окна программы и ее описания, это генератор лицензий для «Антивируса Касперского». Программа предлагает для получения сгенерированной лицензии ввести адрес своей электронной почты и пароль на доступ к почтовому ящику. Если доверчивый пользователь сделает это и нажмет кнопку «Получить шифр», то введенные им данные будут переданы злоумышленнику по электронной почте. Подобных программ за прошедший год обнаружено более сотни: это разнообразные «креки», генераторы карт оплаты сотовых операторов, генераторы номеров кредитных карт, средства «взлома» почтовых ящиков и т.п. Общая черта подобных программ - обман пользователя, нацеленный на то, чтобы он самостоятельно ввел некую конфиденциальную информацию. Вторая характерная черта Hoax-приложений - их примитивность: они содержат массу ошибок и некорректностей в программном коде. Подобные программы зачастую создают начинающие вирусописатели.

Тенденцию развития Hoax-программ можно рассмотреть на примере Hoax.Win32.Renos (рис. 7).

Рис. 7. Динамика обнаружения Hoax.Win32.Renos за последние 30 дней

Из графика видно, что автором в день обнаруживается, как минимум, одна новая уникальная разновидность этой вредоносной программы, а всего за месяц наблюдается 60 новых уникальных вариантов, входящих в 18 подразновидностей по классификации «Лаборатории Касперского».

Троянские программы для шантажа и вымогательства

Программы данной разновидности впервые появились пару лет назад. Их основная цель - прямой шантаж пользователя и вымогание у него денег за восстановление работоспособности компьютера или расшифровку информации, закодированной троянской программой. Наиболее часто автору приходится получать отчеты и запросы о помощи от пользователей, пострадавших от трояна Trojan.Win32.Krotten, вымогавшего 25 WMZ за восстановление работоспособности компьютера. Эта троянская программа крайне примитивна по устройству, и вся ее работа сводится к модификации сотни ключей в реестре (с подробным описанием одной из ее разновидностей можно ознакомиться по адресу: http://www.z-oleg.com/secur/virlist/vir1180.php). Особенность троянских программ этого семейства состоит в том, что для лечения компьютера не достаточно поиска и уничтожения трояна - необходимо еще восстановить повреждения, нанесенные им системе. Если создаваемые трояном Krotten повреждения реестра устранить довольно легко, то зашифрованную информацию восстановить гораздо сложнее. Например, создатель шифрующей данные пользователя троянской программы Gpcode постепенно увеличивает длину ключа шифрования, бросая тем самым вызов антивирусным компаниям. Подробнее о данном трояне можно прочитать в статье «Шантажист» по адресу: http://www.viruslist.com/ru/analysis?pubid=188790045 .

Инжектирование программного кода как метод скрытого запуска

Данная технология наиболее ярко прослеживается в современных Trojan-Downloader, однако постепенно она начинает внедряться в других вредоносных программах. Методика ее сравнительно проста: вредоносная программа условно состоит из двух частей - «инжектора» и троянского кода. Задача «инжектора» заключается в распаковке и расшифровке троянского кода и его внедрении в некий системный процесс. На этой стадии изученные вредоносные программы различаются методикой внедрения троянского кода:

• внедрение путем подмены контекста - принцип такого внедрения предполагает подготовку и расшифровку троянского кода (шаг 1), запуск любого системного процесса, причем при создании процесса он создается в «спящем» (suspended) режиме (шаг 2). Далее инжектор внедряет троянский код в память процесса (причем такое внедрение может производиться поверх машинного кода процесса), после чего модифицирует контекст главного потока таким образом, чтобы управление получал троянский код (шаг 3). После этого запускается главный поток и выполняется троянский код. Данный метод интересен тем, что любой диспетчер процессов будет показывать выполнение легитимной программы (скажем, svchost.exe), но при этом вместо машинного кода легитимной программы в памяти будет находиться и исполняться троянский код. Данный метод позволяет обходить брандмауэры, не обладающие средствами контроля за модификацией памяти процесса и контекста его потоков (рис. 8);

Рис. 8. Внедрение подменой контекста

• внедрение троянских потоков - данный метод идеологически похож на предыдущий, но вместо замены машинного кода процесса троянским и его выполнения в главном потоке производится создание дополнительного потока, в котором выполняется троянский код (шаг 2). Этот метод часто применяется для инжектирования троянского кода в уже существующий процесс без нарушения его работы (рис. 9).

Рис. 9. Внедрение методом создания троянского потока

Новые методы воровства WebMoney

В конце 2006 года был обнаружен новый, достаточно оригинальный метод воровства денег в системе WebMoney. Он основан на внедрении на компьютер пользователя небольшой троянской программы, которая отслеживает, открыто ли окно программы WebMoney. В случае если оно открыто, осуществляется мониторинг буфера обмена. При обнаружении в буфере текста, начинающегося с «Z», «R» или «E», троянская программа считает, что это номер кошелька получателя, который пользователь скопировал в буфер обмена для ввода в окне WebMoney. Этот номер удаляется из буфера и заменяется на номер «Z», «R» или «E» кошелька злоумышленника. Метод крайне прост в реализации и может быть достаточно эффективным, поскольку номера кошельков действительно чаще всего не вводятся, а копируются через буфер и далеко не все пользователи тщательно проверяют, тот ли номер кошелька вставился из буфера. Данный троян является наглядной демонстрацией изобретательности разработчиков троянских программ.

Детектирование отладчиков и виртуальных ПК

Методики борьбы с отладчиками, эмуляторами и виртуальными компьютерами известны давно. Их применение затрудняет анализ вредоносной программы для начинающего специалиста, поэтому подобные технологии давно и достаточно успешно применяются разработчиками вредоносного ПО. Однако за прошедший год наметилась новая тенденция: вредоносные программы стали пытаться определять тип компьютера - реальное это железо или эмуляция, созданная программами типа Virtual PC или VMWare. Подобные виртуальные ПК довольно активно применялись и применяются администраторами для изучения подозрительных программ. При наличии проверки в случае запуска на виртуальном ПК (как вариант - под отладчиком) вредоносная программа может просто аварийно завершить свою работу, что помешает произвести ее изучение. Кроме того, подобная проверка нанесет удар по системам типа Norman Sandbox, поскольку их принцип эвристического анализа, в сущности, состоит в запуске изучаемой программы на эмуляторе и исследовании ее работы. В конце года специалисты института SANS Том Листон (Tom Liston) и Эд Скудис (Ed Skoudis) опубликовали весьма интересный отчет с описанием техники обнаружения виртуальных машин и борьбы с методами обнаружения. Документ можно скачать с сайта SANS - http://handlers.sans.org/tliston/ThwartingVMDetection_Liston_Skoudis.pdf .

Спам-боты и троянские прокси

Спам-бот - это автономная троянская программа, предназначенная для автоматической рассылки спама с пораженного компьютера. Троянский прокси - это вредоносная программа с функциями прокси-сервера, ее функционирование на пораженном компьютере позволяет злоумышленнику использовать его как прокси-сервер для рассылки спама, проведения атак на другие компьютеры и совершения иных противоправных действий. Многие современные спам-боты активно маскируют свое присутствие по руткит-технологиям и защищаются от удаления. Статистика показывает, что в месяц обнаруживается более 400 ITW-разновидностей подобных программ, из которых порядка 130 являются новыми, уникальными.

Спам-бот представляет большую угрозу для корпоративных сетей, поскольку его работа приводит к следующим последствиям:

• большому расходу сетевого трафика - в большинстве городов России пока отсутствуют безлимитные тарифы, поэтому наличие в сети нескольких пораженных компьютеров может привести к ощутимым финансовым убыткам за счет расходования трафика;
• многие корпоративные сети для выхода в Интернет используют статические IP-адреса и собственные почтовые серверы. Следовательно, в результате деятельности спам-ботов эти IP-адреса быстро попадут в черные списки антиспам-фильтров, а значит, почтовые серверы в Интернете перестанут принимать почту от корпоративного почтового сервера компании. Исключить свой IP-адрес из черного списка можно, но достаточно сложно, а в случае наличия в сети работающих спам-ботов это будет временной мерой.

Методы противодействия спам-ботам и троянским прокси весьма просты: необходимо блокировать порт 25 для всех пользователей, а в идеале - вообще запретить им прямой обмен с Интернетом, заменив его работой через прокси-серверы. Например, в Смоленскэнерго все пользователи работают с Интернетом только через прокси с системой фильтров, причем ежедневно производится полуавтоматическое изучение протоколов, которое выполняется дежурным администратором-системщиком. Применяемый им анализатор позволяет легко обнаружить аномалии в трафике пользователей и своевременно принять меры по блокированию подозрительной активности. Кроме того, отличные результаты дают IDS-системы (Intrusion Detection System), изучающие сетевой трафик пользователей.

Распространение вредоносных программ при помощи интернет-пейджеров

По собранной в течение года статистике интернет-пейджеры все чаще применяются для внедрения вредоносных программ на компьютеры пользователей. Методика внедрения представляет собой классическую социальную инженерию. С зараженного компьютера от имени ICQ его владельца вредоносная программа рассылает сообщения, призывающие под тем или иным предлогом открыть указанную ссылку. Ссылка ведет на троянскую программу (обычно со смысловым именем типа picture.pif или flash_movie.exe) или на сайт, страницы которого содержат эксплойты. Следует особо отметить тот факт, что распространяются именно ссылки на вредоносные программы, а не их тела.

За прошедший год было зафиксировано несколько эпидемий, основанных на таком принципе. В России пострадавшими в основном были пользователи ICQ, а распространялись таким образом чаще всего программы категории Trojan-PSW - троянские программы, ворующие пароли пользователя. Автор в среднем получает от одного до десяти сообщений в день, причем к концу года наблюдается активизация подобных рассылок.

Защита от вредоносных программ данного типа крайне проста - не следует открывать подобные ссылки. Однако статистика показывает, что любопытство пользователей нередко перевешивает, там более если сообщения приходят от имени хорошо известного им человека. В корпоративной среде эффективной мерой является запрет на применение интернет-пейджеров, поскольку в плане безопасности они являются идеальным каналом утечки информации.

USB flash-носители

Существенное падение цен на flash-носители (а также рост их объема и быстродействия) привело к закономерному эффекту - бурному росту их популярности среди пользователей. Соответственно разработчики вредоносных программ стали создавать программы, заражающие flash-диски. Принцип работы таких программ крайне прост: в корне диска создаются два файла - текстовый файл autorun.inf и копия вредоносной программы. Файл autorun применяется для автозапуска вредоносной программы при подключении диска. Классическим примером такой вредоносной программы является почтовый червь Rays. Важно отметить, что в качестве носителя вируса могут выступать цифровой фотоаппарат, многие сотовые телефоны, MP3-плееры и КПК - они, с точки зрения компьютера (и соответственно червя), неотличимы от flash-диска. При этом наличие вредоносной программы никак не сказывается на работе этих устройств.

Мерой защиты от подобных программ может служить отключение автозапуска, применение антивирусных мониторов для своевременного обнаружения и удаления вируса. Перед угрозой притока вирусов и утечки информации многие компании идут на более жесткие меры - блокируют возможность подключения USB-устройств при помощи специализированного ПО или блокировки USB-драйверов в настройках системы.

Заключение

В данной статье были рассмотрены основные направления развития вредоносных программ. Их анализ позволяет сделать несколько прогнозов:

• можно предположить, что будет активно развиваться направление маскировки от сигнатурных сканеров и защиты от запуска на виртуальных компьютерах и эмуляторах. Следовательно, для борьбы с такими вредоносными программами на первое место выходят различные эвристические анализаторы, брандмауэры и системы проактивной защиты;
• наблюдается явная криминализация отрасли разработки вредоносных программ, растет доля спам-ботов, троянских прокси, троянских программ для воровства паролей и персональных данных пользователей. В отличие от вирусов и червей, подобные программы могут нанести пользователям ощутимый материальный ущерб. Развитие отрасли троянских программ, осуществляющих шифровку данных пользователям, заставляет задуматься о целесообразности периодического резервного копирования, которое сводит фактически к нулю ущерб от подобного трояна;
• анализ случаев заражения компьютеров показывает, что нередко злоумышленники осуществляют взлом web-серверов для размещения на них вредоносных программ. Такой взлом гораздо опаснее так называемого дефейса (подмены стартовой страницы сайта), поскольку компьютеры посетителей сайта могут подвергаться заражению. Можно предположить, что данное направление будет развиваться весьма активно;
• flash-диски, цифровые фотоаппараты, MP3-плееры и КПК становятся все большей угрозой для безопасности, поскольку могут выступать носителями вирусов. Многие пользователи недооценивают опасность, исходящую, скажем, от цифрового фотоаппарата, - однако автору за 2006 год довелось изучить не менее 30 инцидентов, связанных с подобными устройствами;
• анализ устройства и принципов работы вредоносных программ показывает, что защититься от них можно без антивируса - они просто не смогут функционировать в грамотно настроенной системе. Основное правило защиты - это работа пользователя под ограниченной учетной записью, которая, в частности, не имеет привилегий на запись в системные папки, на управление службами и драйверами, а также на модификацию системных ключей реестра.

Угроза заключается в стремлении запустить на хосте ИСПДн различные предварительно внедренные вредоносные программы: программы-закладки, вирусы, «сетевые шпионы», основная цель которых - нарушение конфиденциальности, целостности, доступности информации и полный контроль за работой хоста. Кроме того, возможен несанкционированный запуск прикладных программ пользователей для несанкционированного получения необходимых нарушителю данных, для запуска управляемых прикладной программой процессов и др.

Выделяют три подкласса данных угроз:

распространение файлов, содержащих несанкционированный исполняемый код;

удаленный запуск приложения путем переполнения буфера приложений-серверов;

удаленный запуск приложения путем использования возможностей удаленного управления системой, предоставляемых скрытыми программными и аппаратными закладками, либо используемыми штатными средствами.

Типовые угрозы первого из указанных подклассов основываются на активизации распространяемых файлов при случайном обращении к ним. Примерами таких файлов могут служить: файлы, содержащие исполняемый код в вид документы, содержащие исполняемый код в виде элементов ActiveX, Java-апплетов, интерпретируемых скриптов (например, тексты на JavaScript); файлы, содержащие исполняемые коды программ. Для распространения файлов могут использоваться службы электронной почты, передачи файлов, сетевой файловой системы.

При угрозах второго подкласса используются недостатки программ, реализующих сетевые сервисы (в частности, отсутствие контроля за переполнением буфера). Настройкой системных регистров иногда удается переключить процессор после прерывания, вызванного переполнением буфера, на исполнение кода, содержащегося за границей буфера. Примером реализации такой угрозы может служить внедрение широко известного «вируса Морриса».

При угрозах третьего подкласса нарушитель использует возможности удаленного управления системой, предоставляемые скрытыми компонентами (например, «троянскими» программами типа Back. Orifice, Net Bus), либо штатными средствами управления и администрирования компьютерных сетей (Landesk Management Suite, Managewise, Back Orifice и т. п.). В результате их использования удается добиться удаленного контроля над станцией в сети.

Если в Учреждении обрабатываемые ПДн не пересылаются по сетям общего пользования и международного обмена, установлена антивирусная защита, то вероятность реализации угрозы – является маловероятной .

Во всех других случаях должна быть оценена вероятность реализации угрозы.

Обобщенный список вероятности реализации угроз для разных типов ИСПДн представлен в таблице 12.

Таблица 12

Тип ИСПДн	Вероятность реализации угрозы	Коэфф. вероятности реализации угрозы нарушителем
Автономная ИС Iтипа	маловероятная
Автономная ИС IIтипа
Автономная ИС IIIтипа	маловероятная
Автономная ИС IVтипа
Автономная ИС Vтипа	маловероятная
Автономная ИС VIтипа
ЛИС Iтипа	маловероятная
ЛИС IIтипа
Распределенная ИС Iтипа	маловероятная
Распределенная ИС IIтипа

Необходимой для вирусописателей и кибер-преступников задачей является внедрение вируса, червя или троянской программы в компьютер-жертву или мобильный телефон. Достигается эта цель различными способами, которые делятся на две основные категории:

• социальная инженерия (также употребляется термин «социальный инжиниринг» - калька с английского «social engineering»);
• технические приёмы внедрения вредоносного кода в заражаемую систему без ведома пользователя.

Часто эти способы используются одновременно. При этом так же часто используются специальные меры по противодействию антивирусным программам.

Социальная инженерия

Методы социальной инженерии тем или иным способом заставляют пользователя запустить заражённый файл или открыть ссылку на заражённый веб-сайт. Эти методы применяются не только многочисленными почтовыми червями, но и другими видами вредоносного программного обеспечения.

Задача хакеров и вирусописателей - привлечь внимание пользователя к заражённому файлу (или HTTP-ссылке на заражённый файл), заинтересовать пользователя, заставить его кликнуть по файлу (или по ссылке на файл). «Классикой жанра» является нашумевший в мае 2000 года почтовый червь LoveLetter, до сих пор сохраняющий лидерство по масштабу нанесённого финансового ущерба, согласно данным от Computer Economics. Сообщение, которое червь выводил на экран, выглядело следующим образом:

На признание «I LOVE YOU» среагировали очень многие, и в результате почтовые сервера больших компаний не выдержали нагрузки - червь рассылал свои копии по всем контактам из адресной книги при каждом открытии вложенного VBS-файла.

Почтовый червь Mydoom, «рванувший» в интернете в январе 2004 г., использовал тексты, имитирующие технические сообщения почтового сервера.

Стоит также упомянуть червь Swen, который выдавал себя за сообщение от компании Microsoft и маскировался под патч, устраняющий ряд новых уязвимостей в Windows (неудивительно, что многие пользователи поддались на призыв установить «очередную заплатку от Microsoft»).

Случаются и казусы, один из которых произошел в ноябре 2005. В одной из версий червя Sober сообщалось, что немецкая криминальная полиция расследует случаи посещения нелегальных веб-сайтов. Это письмо попало к любителю детской порнографии, который принял его за официальное письмо, - и послушно сдался властям.

В последнее время особую популярность приобрели не файлы, вложенные в письмо, а ссылки на файлы, расположенные на заражённом сайте. Потенциальной жертве отправляется сообщение - почтовое, через ICQ или другой пейджер, реже - через интернет-чаты IRC (в случае мобильных вирусов обычным способом доставки служит SMS-сообщение). Сообщение содержит какой-либо привлекательный текст, заставляющий ничего не подозревающего пользователя кликнуть на ссылку. Данный способ проникновения в компьютеры-жертвы на сегодняшний день является самым популярным и действенным, поскольку позволяет обходить бдительные антивирусные фильтры на почтовых серверах.

Используются также возможности файлообменных сетей (P2P-сети). Червь или троянская программа выкладывается в P2P-сеть под разнообразными «вкусными» названиями, например:

• AIM & AOL Password Hacker.exe
• Microsoft CD Key Generator.exe
• PornStar3D.exe
• play station emulator crack.exe

В поиске новых программ пользователи P2P-сетей натыкаются на эти имена, скачивают файлы и запускают их на выполнение.

Также достаточно популярны «разводки», когда жертве подсовывают бесплатную утилиту или инструкцию по взлому различных платёжных систем. Например, предлагают получить бесплатный доступ к интернету или сотовому оператору, скачать генератор номеров кредитных карт, увеличить сумму денег в персональном интернет-кошельке и т.п. Естественно, что пострадавшие от подобного мошенничества вряд ли будут обращаться в правоохранительные органы (ведь, по сути, они сами пытались заработать мошенническим способом), и интернет-преступники вовсю этим пользуются.

Необычный способ «разводки» использовал неизвестный злоумышленник из России в 2005-2006 годах. Троянская программа рассылалась на адреса, обнаруженные на веб-сайте job.ru, специализирующемся на трудоустройстве и поиске персонала. Некоторые из тех, кто публиковал там свои резюме, получали якобы предложение о работе с вложенным в письмо файлом, который предлагалось открыть и ознакомиться с его содержимым. Файл был, естественно, троянской программой. Интересно также то, что атака производилась в основном на корпоративные почтовые адреса. Расчёт, видимо, строился на том, что сотрудники компаний вряд ли будут сообщать об источнике заражения. Так оно и произошло - специалисты «Лаборатории Касперского» более полугода не могли получить внятной информации о методе проникновения троянской программы в компьютеры пользователей.

Бывают и довольно экзотические случаи, например, письмо с вложенным документом, в котором клиента банка просят подтвердить (вернее - сообщить) свои коды доступа - распечатать документ, заполнить прилагаемую форму и затем отправить её по факсу на указанный в письме телефонный номер.

Другой необычный случай доставки шпионской программы «на дом» произошел в Японии осенью 2005. Некие злоумышленники разослали заражённые троянским шпионом CD-диски на домашние адреса (город, улица, дом) клиентов одного из японских банков. При этом использовалась информация из заранее украденной клиентской базы этого самого банка.

Технологии внедрения

Эти технологии используются злоумышленниками для внедрения в систему вредоносного кода скрытно, не привлекая внимания владельца компьютера. Осуществляется это через уязвимости в системе безопасности операционных систем и в программном обеспечении. Наличие уязвимостей позволяет изготовленному злоумышленником сетевому червю или троянской программе проникнуть в компьютер-жертву и самостоятельно запустить себя на исполнение.

Уязвимости являются, по сути, ошибками в коде или в логике работы различных программ. Современные операционные системы и приложения имеют сложную структуру и обширный функционал, и избежать ошибок при их проектировании и разработке просто невозможно. Этим и пользуются вирусописатели и компьютерные злоумышленники.

Уязвимостями в почтовых клиентах Outlook пользовались почтовые черви Nimda и Aliz. Для того чтобы запустить файл червя, достаточно было открыть заражённое письмо или просто навести на него курсор в окне предварительного просмотра.

Также вредоносные программы активно использовали уязвимости в сетевых компонентах операционных систем. Для своего распространения такими уязвимостями пользовались черви CodeRed, Sasser, Slammer, Lovesan (Blaster) и многие другие черви, работающие под ОС Windows. Под удар попали и Linux-системы - черви Ramen и Slapper проникали на компьютеры через уязвимости в этой операционной среде и приложениях для неё.

В последние годы одним из наиболее популярных способов заражения стало внедрение вредоносного кода через веб-страницы. При этом часто используются уязвимости в интернет-браузерах. На веб-страницу помещается заражённый файл и скрипт-программа, которая использует уязвимость в браузере. При заходе пользователя на заражённую страницу срабатывает скрипт-программа, которая через уязвимость закачивает заражённый файл на компьютер и запускает его там на выполнение. В результате для заражения большого числа компьютеров достаточно заманить как можно большее число пользователей на такую веб-страницу. Это достигается различными способами, например, рассылкой спама с указанием адреса страницы, рассылкой аналогичных сообщений через интернет-пейджеры, иногда для этого используют даже поисковые машины. На заражённой странице размещается разнообразный текст, который рано или поздно обсчитывается поисковыми машинами - и ссылка на эту страницу оказывается в списке других страниц в результатах поиска.

Отдельным классом стоят троянские программы, которые предназначены для скачивания и запуска других троянских программ. Обычно эти троянцы, которые имеют очень небольшой размер, тем или иным образом (например, используя очередную уязвимость в системе) «подсовываются» на компьютер-жертву, а затем уже самостоятельно выкачивают из интернета и устанавливают в систему другие вредоносные компоненты. Часто такие троянские программы меняют настройки браузера на самые небезопасные, чтобы «облегчить дорогу» другим троянцам.

Уязвимости, о которых становятся известно, достаточно оперативно исправляются компаниями-разработчиками, однако постоянно появляется информация о новых уязвимостях, которые тут же начинают использоваться многочисленными хакерами и вирусописателями. Многие троянские «боты» используют новые уязвимости для увеличения своей численности, а новые ошибки в Microsoft Office тут же начинают применяться для внедрения в компьютеры очередных троянских программ. При этом, к сожалению, имеет место тенденция сокращения временного промежутка между появлением информации об очередной уязвимости и началом её использования червями и троянцами. В результате компании-производители уязвимого программного обеспечения и разработчики антивирусных программ оказываются в ситуации цейтнота. Первым необходимо максимально быстро исправить ошибку, протестировать результат (обычно называемый «заплаткой», «патчем») и разослать его пользователям, а вторым - немедленно выпустить средство детектирования и блокирования объектов (файлов, сетевых пакетов), использующих уязвимость.

Одновременное использование технологий внедрения и методов социальной инженерии

Достаточно часто компьютерными злоумышленниками используются сразу оба метода. Метод социальной инженерии - для привлечения внимания потенциальной жертвы, а технический - для увеличения вероятности проникновения заражённого объекта в систему.

Например, почтовый червь Mimail распространялся как вложение в электронное письмо. Для того чтобы пользователь обратил внимание на письмо, в него вставлялся специально оформленный текст, а для запуска копии червя из вложенного в письмо ZIP-архива - уязвимость в браузере Internet Explorer. В результате при открытии файла из архива червь создавал на диске свою копию и запускал её на исполнение без каких либо системных предупреждений или дополнительных действий пользователя. Кстати, этот червь был одним из первых, предназначенных для воровства персональной информации пользователей интернет-кошельков системы e-gold.

Другим примером является рассылка спама с темой «Привет» и текстом «Посмотри, что про тебя пишут». За текстом следовала ссылка на некую веб-страницу. При анализе выяснилось, что данная веб-страница содержит скрипт-программу, которая, пользуясь еще одной уязвимостью в Internet Explorer, загружает на компьютер пользователя троянскую программу LdPinch, предназначенную для воровства различных паролей.

Противодействие антивирусным программам

Поскольку цель компьютерных злоумышленников - внедрить вредоносный код в компьютеры-жертвы, то для этого им необходимо не только вынудить пользователя запустить заражённый файл или проникнуть в систему через какую-либо уязвимость, но и незаметно проскочить мимо установленного антивирусного фильтра. Поэтому не удивительно, что злоумышленники целенаправленно борются с антивирусными программами. Используемые ими технические приёмы весьма разнообразны, но чаще всего встречаются следующие:

Упаковка и шифрование кода. Значительная часть (если не большинство) современных компьютерных червей и троянских программ упакованы или зашифрованы тем или иным способом. Более того, компьютерным андеграундом создаются специально для этого предназначенные утилиты упаковки и шифровки. Например, вредоносными оказались абсолютно все встретившиеся в интернете файлы, обработанные утилитами CryptExe, Exeref, PolyCrypt и некоторыми другими.

Для детектирования подобных червей и троянцев антивирусным программам приходится либо добавлять новые методы распаковки и расшифровки, либо добавлять сигнатуры на каждый образец вредоносной программы, что снижает качество детектирования, поскольку не всегда все возможные образцы модифицированного кода оказываются в руках антивирусной компании.

Мутация кода. Разбавление троянского кода «мусорными» инструкциями. В результате функционал троянской программы сохраняется, но значительно меняется её «внешний вид». Периодически встречаются случаи, когда мутация кода происходит в режиме реального времени - при каждом скачивании троянской программы с заражённого веб-сайта. Т.е. все или значительная часть попадающих с такого сайта на компьютеры образцы троянца - разные. Примером применения этой технологии является почтовый червь Warezov, несколько версий которого вызвали значительные эпидемии во второй половине 2006 г.

Скрытие своего присутствия. Так называемые «руткит-технологии» (от англ. «rootkit»), обычно используемые в троянских программах. Осуществляется перехват и подмена системных функций, благодаря которым зараженный файл не виден ни штатными средствами операционной системы, ни антивирусными программами. Иногда также скрываются ветки реестра, в которых регистрируется копия троянца, и другие системные области компьютера. Данные технологии активно используются, например, троянцем-бэкдором HacDef.

Остановка работы антивируса и системы получения обновлений антивирусных баз (апдейтов). Многие троянские программы и сетевые черви предпринимают специальные действия против антивирусных программ - ищут их в списке активных приложений и пытаются остановить их работу, портят антивирусные базы данных, блокируют получение обновлений и т.п. Антивирусным программам приходится защищать себя адекватными способами - следить за целостностью баз данных, прятать от троянцев свои процессы и т.п.

Скрытие своего кода на веб-сайтах. Адреса веб-страниц, на которых присутствуют троянские файлы, рано или поздно становятся известны антивирусным компаниям. Естественно, что подобные страницы попадают под пристальное внимание антивирусных аналитиков - содержимое страницы периодически скачивается, новые версии троянских программ заносятся в антивирусные обновления. Для противодействия этому веб-страница модифицируется специальным образом - если запрос идёт с адреса антивирусной компании, то скачивается какой-нибудь нетроянский файл вместо троянского.

Атака количеством. Генерация и распространение в интернете большого количества новых версий троянских программ за короткий промежуток времени. В результате антивирусные компании оказываются «завалены» новыми образцами, на анализ которых требуется время, что даёт злоумышленному коду дополнительный шанс для успешного внедрения в компьютеры.

Эти и другие методы используются компьютерным андеграундом для противодействия антивирусным программам. При этом активность киберпреступников растёт год за годом, и сейчас можно говорить о настоящей «гонке технологий», которая развернулась между антивирусной индустрией и индустрией вирусной. Одновременно растёт количество хакеров-индивидуалов и преступных групп, а также их профессионализм. Всё это вместе значительно увеличивает сложность и объём работы, необходимой антивирусным компаниям для разработки средств защиты достаточного уровня.