Ботнеты и кибервойны | Channel4IT.com
Ботнет (botnet – сокращение от roBOTNETwork) представляет собой сеть компьютеров, зараженных вредоносным кодом, который позволяет преступным группировкам удаленно управлять «инфицированными» машинами без ведома пользователя. При этом бот – это вредоносная программа, которая внедряется на ПК и предоставляет функции удаленного управления киберпреступникам, а сам зараженный компьютер превращается в «зомби». Компьютер, который управляет ботнетом, называется центром управления. Правда, чтобы не размещать в одном месте управление большим ботнетом, злоумышленники дробят его на несколько более мелких, на случай, если один из них выйдет по каким-либо причинам из строя. В некоторые ботнеты входит только несколько сотен компьютеров, тогда как в другие — десятки или даже сотни тысяч компьютеров-зомби.
Примечательно, что разработчики ботов стараются сделать так, чтобы эти вредоносные программы долгое время не выдавали своего присутствия на ПК.
Боты проникают на чужие компьютеры несколькими способами. Чаще всего они распространяются через сомнительные веб-сайты, при загрузке непроверенных плагинов для браузера, через электронные сообщения, с запуском генераторов ключей, «кряков», патчей и прочего пиратского ПО. Есть также вариант заражения от USB-флешки, если она побывала на заражённой машине.
Изъять зараженный компьютер из ботнета очень просто – достаточно отключить его от интернета. Однако в нынешнюю эпоху повсеместной интернетизации такой способ представляется крайне нежелательным: мало того, что это затруднит вам доступ к информации, ещё и нет гарантии, что вирус не подхватится от флешки.
По-видимому, более оптимальный вариант – придерживаться некоторых правил во время работы в интернете. Во-первых, не работать на ПК с правами администратора, во-вторых, не загружать бездумно файлы, предлагаемые на различных сайтах, в-третьих, установить на ПК антивирус (а лучше – пакет класса Internet Security), использовать стойкие и сложные пароли. Наконец, очень осторожно относится к пиратскому ПО, особенно к различным генераторам ключей, взломщикам и т. д.Зачем нужны ботнеты?
Необходимо понимать, что бот на ПК – это фактически шпион, который может отсылать с инфицированного компьютера пароли к различным сервисам, делать снимки экрана, выполнять поиск интересующих файлов с дальнейшим их удалением или закачкой на удалённый сервер. Кроме того, киберпреступники могут использовать бот-сети для рассылки спама, выполнения атак типа «отказ в обслуживании» (DDoS), и даже автоматического «нащёлкивания» по рекламным баннерам, что приносит прибыль мошенникам.
Важно отметить, что использование ботнетов далеко не всегда осуществляется владельцем сети: за её приобретение или аренду может заплатить какая-нибудь рекламная компания. Причем такое целенаправленное создание ботнетов на продажу является вполне прибыльным криминальным бизнесом.
Ботнет как армия киберроботов
Хотя в большинстве случаев бот-сети используются с целью коммерческой наживы, их можно использовать в качестве эффективного инструмента в кибервойнах в другими государствами, например, для организации мощных DDoS-атак и массированной рассылки спама.
В апреле 2007 года состоялась первая в мире кибератака против государства – небольшой прибалтийской страны Эстонии, отличающейся высоким уровнем интернетизации населения и развития интернет-сервисов е-правительства.
Кибератаки против веб-сайтов Эстонии начались 27-го апреля, вслед за массовыми беспорядками в Таллинне, вызванными переносом советского памятника «Бронзовый солдат». Первоначально атаки были направлены на веб-сайты президента Эстонии, премьер-министра, министерства иностранных дел, министерства юстиции и парламента. Вначале атаки являлись технически несложными и мало напоминали кибервойну, скорее — кибербунт. Однако политические мотивы таких атак и некоторые улики натолкнули множество экспертов на мысль, что эти атаки были организованы правительством России.
В первое время злоумышленники ограничились рассылкой спама и кибервандализмом (например, была искажена фотография премьер-министра Эстонии на вебсайте его партии). Однако 30-го апреля началась скоординированная атака DDoS (то есть, распределённая атака типа «отказ в обслуживании») с применением ботнетов. Самые разрушительные атаки продолжалась свыше десяти часов, обрушив несколько гигабит трафика на веб-ресурсы правительства Эстонии. DDoS-нападения достигли своей кульминации 9-го мая, после чего пошли на спад.
Как ни странно, не удалось обнаружить каких-либо достоверных улик, что эту кибератаку организовала Россия. Применение зомбии-компьютеров, которые были рассредоточены по всему миру, прокси-серверов и тактики спуфинга (использование чужого IP-адреса с целью обмана системы безопасности) чрезвычайно затрудняло определение с какой-либо долей уверенности происхождения атак.
В то же время, есть косвенное доказательство связи с ними Москвы. Дело в том, что в кибернападение были вовлечены миллионы компьютеров. Аренда ботнетов для таких атак является дорогостоящим мероприятием. Более того, возникает вопрос: «Кому эти атаки выгодны?». Президент Эстонии высказал предположение, что зондирующий характер атак на конкретное правительство через анонимные прокси-серверы, отвечает образу действия режима Путина, тестирующего новое «оружие».Спустя год мощная кибератака была проведена против Грузии. Хакеры, которые непосредственно отвечали за нанесение первого киберудара по Грузии, входили в группировку RBN (RussianBusinessNetwork), которая управлялась Александром Бойковым из Санкт-Петербурга. Также в этой атаке был задействован программист и спамер Андрей Смирнов. Эти люди возглавили секцию RBN, причем они занимались этим не из развлечения, в то же время они и не были «хактивистами» (напомним, что некоторые кибератаки на Грузию выполнялись именно хакерами-ативистами).
Александр Бойков к тому времени уже был хорошо известен в киберкриминальном мире, более всего — за распространение вредоноса VirusIsolator (который загружает трояны для контроля над компьютером-жертвой). Также он «прославился» рассылкой порно-спама, финансовыми преступлениями и управлением жульническими сайтами.
Смирнов тоже работал с жульническими порталами, в частности он владел сайтом по продаже медпрепаратов из Канады. Известно, что Смирнов придерживался нацистских взглядов и поддерживал блокирование поставок природного газа в Украину.
Кибератака началась следующим образом. Сначала Бойков разослал огромный объем спам-писем якобы от имени ВВС, в которых утверждалось, что президент Грузии – гей. Когда пользователь щёлкал по письму, на его ПК загружался вирус. Эту ботсеть начали формировать еще в 2006 году, однако основное число узлов добавилось в марте-апреле 2008 года. Дальнейшие расследование деятельности Бойкова и Смирнова показали, что в кибератаки были задействованы российские власти.
Если сопоставить происходившее в Эстонии и Грузии, то очень многое выглядело идентично, или как минимум очень похоже. В атаках на обе страны были использованы ботнеты, применяемые для мощных DDoS-атак. Но если в Эстонии вовремя отреагировали на кибератаки и они мало повлияли на жизнь обычных жителей, то в Грузии защита от них не была столь успешной. Например, в Эстонии были недоступны несколько часов интернет-услуги крупных банков, тогда как в Грузии эта остановка была более длительной.
Подводя итоги, можно сказать, что чем выше уровень «цифровизации» населения, тем больший вред могут нанести кибератаки. В то же время, государство и частный бизнес могут противостоять кибератакам, оперативно наращивая пропускную способность интернет-канала и блокируя DDoS-трафик. Но чтобы сделать это эффективно, необходимо заранее предпринять меры по кибербезопасности на государственном уровне.
Кибератаки и их жертвы
Согласно исследованию проведенному «Лабораторией Касперского» совместно с компанией B2B International, в среднем потери российского пользователя в ходе кибератак составляют 80 долларов, а каждая девятая жертва потеряла в результате такого онлайн-мошенничества более 1000 долларов. Поясняя причину потери, 21% пострадавших отметил, что хакеры похитили деньги, получив доступ к записям в платежном сервисе. Еще 19% попались на уловку мошенников и ввели данные на поддельном веб-сайте. А 10% пользователей уверены, что их логины или пароли были перехвачены вредоносной программой.
Кроме того, в течение года пользователи довольно часто сталкивались со взломами своих онлайн-аккаунтов: электронной почты, страницы в социальной сети и т.д. – об этом сообщили 26% респондентов в России. Опасность таких инцидентов заключается не только в том, что скомпрометированные учетные записи используются преступниками для рассылки спама и вредоносных ссылок, они также вполне могут обернуться финансовыми потерями. Например, в почтовом ящике можно найти логины и пароли для доступа к платежным сервисам и онлайн-магазинам, получаемые во время регистрации или восстановления.Распределенные сетевые атаки / DDoS
Распределенные сетевые атаки часто называют атаками типа «отказ в обслуживании» (Distributed Denial of Service, DDoS). Успех атак этого типа основан на ограничении пропускной способности, которая является одной из характеристик любого сетевого ресурса, например, такого как инфраструктура, поддерживающая веб-сайт компании. Во время DDoS-атаки веб-ресурсу отправляется большое количество запросов с целью исчерпать его возможности обработки данных и нарушить его нормальное функционирование.
Принцип действия DDoS-атак
Сетевые ресурсы (например, веб-серверы) всегда имеют ограничения по количеству одновременно обрабатываемых запросов. Кроме ограничения мощности сервера, канал, по которому сервер связывается с интернетом, также обладает конечной пропускной способностью. Если число запросов превышает предельные возможности какого-либо компонента инфраструктуры, могут возникнуть следующие проблемы с уровнем обслуживания:
- формирование ответа на запросы происходит значительно медленнее обычного,
- некоторые или даже все запросы пользователей могут быть оставлены без ответа.
Обычно конечная цель злоумышленника — полное прекращение нормальной работы веб-ресурса, полный «отказ в обслуживании». Злоумышленник может также требовать денег за прекращение атаки. В некоторых случаях DDoS-атака может использоваться для дискредитации бизнес-конкурента или нанесения ему ущерба.
Проведение DDoS-атаки с помощью ботнета
Для отправки на ресурс сверхбольшого количества запросов киберпреступники часто создают из зараженных компьютеров зомби-сеть. Так как преступники могут полностью контролировать действия каждого зараженного компьютера зомби-сети, совокупный масштаб такой атаки может быть чрезмерным для атакованных веб-ресурсов.
Характер современных DDoS-угроз
С начала и до середины 2000-х годов такой вид криминальной деятельности был достаточно распространен. Однако количество успешных DDoS-атак уменьшилось, вероятно, это вызвано следующими причинами:
- полицейские расследования, которые привели к арестам преступников во многих странах мира;
- успешные технические контрмеры против DDoS-атак.
Целевые атаки
В отличие от массовых атак компьютерных вирусов (цель которых — заражение максимального количества компьютеров) в целевых атаках используется совершенно другой подход. Целевые атаки могут быть направлены на заражение сети определенной компании или организации или даже одного сервера в сетевой инфраструктуре организации, для чего может быть написана специальная троянская программа.
На кого нацелены атаки?
Киберпреступники часто проводят целевые атаки на предприятия, обрабатывающие или хранящие информацию, которая может быть использована преступниками с целью получения прибыли. Наиболее часто целевым атакам подвергаются:
- Банки. Преступники атакуют серверы или банковскую сеть, чтобы получить доступ к данным и осуществить незаконный перевод средств с банковских счетов пользователей.
- Биллинговыекомпании (например, телефонные операторы). Когда для атаки выбирается биллинговая компания, преступники пытаются получить доступ к учетным записям пользователей или украсть ценную информацию, такую как клиентские базы данных, финансовую информацию или технические данные.
Обход корпоративной системы безопасности
Поскольку большие компании (которые обычно подвергаются целевым атакам вредоносных программ) нередко имеют высокий уровень ИТ-безопасности, киберпреступникам могут потребоваться некоторые особо хитрые методы. Так как большинство организаций использует сетевые экраны и другие способы защиты от внешних атак, преступник может попытаться найти ходы внутри организации.
- Фишинг. Сотрудники невольно могут помочь преступнику, ответив на фишинговое электронное письмо. Оно может выглядеть как сообщение из ИТ-отдела компании, они предлагают сотруднику в целях тестирования ввести свой пароль доступа к корпоративной системе.
- Использование фальшивых персональных данных. В некоторых случаях преступники могут использовать личную информацию, собранную на веб-сайтах социальных сетей, чтобы выдать себя за одного из коллег сотрудника. В таком случае фишинговый запрос имени пользователя и пароля выглядит так, как если бы он действительно был отправлен коллегой. Это помогает запрашивать у сотрудников их пароли, не вызывая подозрения.
С каждым годом число кибератак растет. Дополнительным фактором роста послужило обнаружение ряда опасных уязвимостей платформы Java, которые были использованы злоумышленниками в кибератаках. Популярность банковских троянцев и других программ для получения финансовой информации обусловлена тем, что с их помощью киберпреступники могут быстро обеспечить себе незаконный доход. При этом набор приемов, используемых злоумышленниками, пополняется едва ли не каждый месяц, и уже нет уверенности, что оградить себя от них можно одной только бдительностью.
По материалам сайта kaspersky.ru
Как защитить компьютер от вирусов
Виды вирусов, способы их проникновения, основы компьютерной безопасности, комплексная защита компьютера от вирусов и других угроз. |
Компьютерные вирусы доставляют множество неприятностей и проблем многим пользователям. И у всех них в подавляющем большинстве случаев установлен антивирус. Вывод один – антивирус не обеспечивает необходимый уровень защиты. Эту проблему нужно решать комплексной настройкой компьютера и изучением основ безопасности.
Содержание
Содержание
1. Что нужно знать о вирусах
Вирус это вредоносная программа, созданная злоумышленником. Целью первых вирусов было самоутверждение их создателей, а их действие заключалось в нанесении вреда компьютеру. Сегодня подавляющее большинство вирусов направленно на незаконное получение денежных средств тем или иным способом.
Для того чтобы эффективно защититься от вирусов, нужно знать как они действуют. Основными задачами вирусов является проникнуть на компьютер пользователя, обеспечить свой запуск, защитить себя от обнаружения и удаления, произвести деструктивные действия.
Антивирусы, плагины и другие полезные файлы вы можете скачать в разделе «Ссылки».2. Виды вирусов
Вирусы заражают компьютер различными способами и в зависимости от этого делятся на разные виды.
Файловый вирус
Заражает другие программы и файлы путем дописывания в них своего программного кода. Таким образом, при запуске зараженной программы или файла выполняется вредоносный код. Если вирусом заражены системные файлы, то вредоносный код запускается автоматически при каждой загрузке компьютера.
Червь
Червь это саморазмножающийся вирус. Проникнув на компьютер пользователя, червь многократно дублирует себя, размещает множество своих копий в разных папках с разными именами, что затрудняет его удаление. Черви также могут копироваться через локальную сеть в общедоступные папки на других компьютерах, рассылать себя по электронной почте, через программы обмена сообщениями и с помощью сетевых атак.
Вирус-двойник
Некоторые вирусы удаляют или делают скрытыми файлы и папки пользователя и заменяют их вредоносными файлами с такими же значками и названиями. Пользователь пытается их открыть и запускает вредоносный код. Такие вирусы встречаются сейчас на флешках.
Троян
Троянами называют вирусы, которые не заражают другие файлы, а размещают свои собственные файлы на компьютере пользователя. Часто эти файлы находятся в папках операционной системы, маскируются под системные файлы, прописываются в автозагрузку и запускаются при каждой загрузке компьютера. Идентификация троянов происходит труднее, так как их действия похожи на другие программы, которые также добавляют свои файлы в систему и запускаются вместе с компьютером.
Ложная программа
Некоторые вирусы маскируются под полезные для пользователя программы, предназначенные для закачки файлов из интернета, просмотра видео на сайтах, улучшения работы компьютера и даже защиты от вирусов Пользователь сам устанавливает программу, пользуется ей и даже не подозревает о ее «недокументированных возможностях».
Также такие программы часто пытаются получить деньги от пользователя. Например, ложный антивирус или программа для устранения ошибок в системе, обнаруживает несколько десятков несуществующих вирусов или проблем на вашем компьютере, часть из них предлагает исправить бесплатно, а остальные после покупки полной версии или отправки SMS. Это классическое мошенничество.
3. Действия вирусов
Вне зависимости от способа заражения компьютера, вирусы могут производить различные действия и по этому признаку тоже делятся на разные виды.
Рекламные вирусы
Отображают навязчивую рекламу в интернет-браузерах, подменяют адрес домашней страницы, перенаправляют пользователей на различные сайты. Устанавливаются как дополнительная программа, плагин или панель браузера с другими бесплатными программами или под видом чего-то полезного из интернета.
Шпионы и кейлогеры
Предназначены для кражи конфиденциальной информации и паролей. Следят за действиями пользователя, ищут конфиденциальную информацию на компьютере, собирают данные введенные с клавиатуры, из буфера обмена, делают скриншоты экрана и отправляют их злоумышленнику. Целью таких программ являются самые различные данные. Номера банковских карт позволяют украсть средства со счета в банке. Со взломанных аккаунтов соцсетей и скайпа могут рассылаться сообщения вашим друзьям с предложением скачать какой-то файл или посетить сайт. Почта может использоваться для рассылки спама. Лицензионные ключи программ, аккаунт и имущество из онлайн игр можно продать.
Вымогатели-блокировщики
Блокируют работу операционной системы и выводят сообщение с требованием отправить SMS или оплатить определенную сумму на какой-то счет. После этого обещается разблокировать компьютер. Но в подавляющем большинстве случаев разблокировка не происходит. Для того чтобы удалить такой вирус и восстановить нормальную работу компьютера нужно иметь некоторый опыт.
Вымогатели-блокировщики могут сообщать о том, что вы якобы нарушили лицензионное соглашение Windows, представляться правоохранительными органами (МВД), показывать шокирующие картинки и текст непристойного содержания.
Вымогатели-шифровальщики
Незаметно шифруют на компьютере все пользовательские файлы – документы, фотографии, видео и т.д. Когда все файлы зашифрованы на экране появляется сообщение с требованием отправить SMS или оплатить определенную сумму на какой-то счет. После этого обещается выполнить расшифровку файлов. Но в подавляющем большинстве случаев расшифровка не происходит.
Восстановить зашифрованные файлы возможно только из резервной копии. Рекомендую хранить резервные копии ценных файлов (документов, фото и т.п.) на внешнем диске. Жесткий диск Transcend StoreJet 25M3 1 TBБотнеты
Распространяются на большое количество компьютеров и предоставляют к ним доступ злоумышленнику. Вирус не проявляет себя до тех пор, пока ему не поступит специальная команда. Зараженные компьютеры (зомби) используются для организации крупномасштабных атак на сервера предприятий, госструктур и рассылки спама.
Бэкдоры
Открывают доступ к компьютеру. С помощью них злоумышленник может загружать на компьютер пользователя различные вредоносные программы. По мере необходимости эти программы могут удаляться или заменяться другими.
4. Пути проникновения вирусов
Вирусы могут проникать на компьютер несколькими путями – с зараженной флешки, CD/DVD-диска, из интернета и локальной компьютерной сети. При этом могут использоваться различные уязвимости в операционной системе, программах, социальная инженерия и фишинг.
Флешки
Многие вирусы распространяются с помощью файлов на флешках и внешних дисках. Достаточно вставить флешку в зараженный компьютер и вирус сразу же окажется на ней. Затем при вставке флешки в здоровый компьютер вирус переносится на него. После этого вновь зараженный компьютер начинает заражать другие флешки.
CD/DVD-диски
Вирусы могут переноситься через CD/DVD-диски. Это могут быть как зараженные файлы пользователя, так и вирусы проникшие через программу записи дисков.
Интернет
В интернете множество зараженных файлов и программ, после их скачивания и открытия компьютер заражается вирусом. Кроме этого на современных сайтах для повышения интерактивности используются скрипты и другие технологии на основе программного кода. Злоумышленники создают скрипты, предназначенные для распространения вирусов. Достаточно зайти на сайт с таким скриптом и вирус уже у вас на компьютере, даже если вы ничего не скачивали и не устанавливали.
Локальная сеть
Если один из компьютеров, объединенных в локальную сеть с другими компьютерами, окажется зараженным, то вирусы с него могут передаваться на другие компьютеры через общедоступные папки или при помощи сетевых атак. Если у вашего провайдера кроме услуги интернета есть еще и локальная сеть, то интенсивность сетевых атак и вероятность заражения будет высокой.
Уязвимости в системе
На компьютеры пользователей постоянно производятся сетевые атаки, которые возможны как из локальной сети, так и из интернета. Они используют различные уязвимости в операционной системе, сетевых службах и драйверах. На компьютер пользователя посылаются специальные сетевые пакеты, которые приводят к сбоям в работе программных компонентов с целью перехватить над ними контроль. Затем в них создается лазейка, через которую вирус попадает на компьютер. Для заражения достаточно подключить компьютер к локальной сети или интернету, никаких действий пользователя не требуется.
Уязвимости в программах
Вирусы также могут проникать на компьютер через различные уязвимости в программах. Это могут быть как сетевые атаки на программы использующие интернет, так и различные зараженные файлы. Например, вредоносный код может быть внедрен в файл Word, Excel, PDF или в любой другой. При открытии зараженного файла происходит перехват контроля над программой и дальнейшее внедрение вируса в систему.
Социальная инженерия
Многие вирусы распространяются с помощью электронной почты и интернет-сайтов путем убеждения пользователя в том, что он получит что-то полезное, ценное или интересное, если откроет определенный файл или перейдет на какой-то сайт. Если пользователь этому поверит и осуществит предлагаемое действие, то его компьютер будет заражен вирусом.
Также пользователям отправляются электронные письма, сообщения в соцсетях, скайпе, SMS и даже поступают звонки с просьбой сообщить какие-то личные данные. При этом злоумышленник может представляться сотрудником банка, службы поддержки какого-то сайта и даже другом или родственником.
Фишинг
Фишинг это подмена адреса какого-то популярного сайта с целью заразить компьютер вирусом или получить конфиденциальную информацию.
Пользователям приходят сообщения якобы от имени администрации сайта или соцсети где он действительно зарегистрирован, с предложением перейти на сайт для решения какого-то вопроса и предлагается ссылка очень похожая на официальный адрес сайта. Если пользователь переходит по этой ссылке, то его компьютер заражается вирусом.
Также злоумышленники создают специальные сайты в точности повторяющие страницы авторизации официальных сайтов банков, почтовых сервисов, соцсетей, онлайн игр и т.п. Адрес сайта при этом тоже может быть очень похожим. Затем пользователям рассылается электронное письмо якобы от имени сайта, с каким-то уведомлением и ссылкой для перехода на сайт. Перейдя по ссылке пользователь попадает на поддельную страницу авторизации, где предлагается ввести логин и пароль. После ввода пароля он отправляется злоумышленнику и происходит взлом аккаунта, а пользователь переадресовывается на настоящий сайт и не замечает подмены.
5. Автозагрузка вирусов
После того как вирус проник на компьютер, он прописывается в автозагрузку, чтобы запускаться при каждом включении компьютера. Вот основные способы автозагрузки вирусов:
- Папка Автозагрузка
- Планировщик задач
- Реестр Windows
- Службы Windows
- Плагины и панели интернет-браузеров
- Плагины проводника Windows
- Зараженные системные файлы
- Загрузочный сектор или раздел диска
- Альтернативные потоки NTFS
- Сетевой стек
- Пул печати
Кроме этого существуют еще сотни так называемых точек автозапуска. Один и тот же вирус может использовать сразу несколько из них. Это значительно усложняет выявление и удаление вредоносных программ.
6. Самозащита вирусов
Практически любой вирус, проникнув на компьютер и прописавшись в автозагрузку, пытается защитить себя от обнаружения и удаления различными способами.
Автоматический перезапуск
Самый простой способ защиты вируса заключается в запуске нескольких независимых процессов, которые следят друг за другом. Если один из процессов завершается, то оставшийся его перезапускает. Это усложняет отключение вируса для его удаления.
Защита от удаления
Вирусные процессы в памяти компьютера следят за файлами вируса на диске и точками автозапуска. Если пользователь или антивирус удалят файл вируса или точку его автозапуска, то вирусные процессы в памяти зразу же их восстанавливают. Также самовосстановление вируса может происходить при каждой загрузке компьютера.
Маскировка
Более продвинутые современные вирусы используют различные способы маскировки.
Часто для защиты вирусных файлов от обнаружения используется их шифрование, что не позволяет антивирусным программам выявить вредоносный код. При загрузке код вируса извлекается из зашифрованного файла и помещается в память компьютера.
Полиморфные (мутирующие) вирусы меняют свой код при каждом заражении нового компьютера, а иногда и при каждой перезагрузке компьютера. Это не дает возможности антивирусу идентифицировать вредоносный код по уже известным сигнатурам.
Руткиты – это специальные компоненты, входящие в комплекс защиты современных вирусов. Они проникают в ядро операционной системы и обладают высочайшими полномочиями. Руткиты предназначены для скрытия вируса от антивирусной программы. Например, они могут перехватывать обращения антивируса к диску и реестру, удалять из потока данных имена вирусных файлов, параметры реестра и передавать антивирусу уже подчищенные данные.
Также сам вирус может работать в режиме ядра, куда имеют доступ только самые важные компоненты системы, такие как драйвера устройств. Оттуда они могут даже бороться с антивирусными программами.
Нейтрализация антивирусов
Некоторые высокотехнологичные вирусы могут успешно противостоять антивирусным программам, полностью или частично нейтрализовать их алгоритмы.
Самый опасный вирус тот, который не дает себя обнаружить, не приводит к проблемам в операционной системе и долго живет на компьютере с целью кражи конфиденциальной информации и денежных средств пользователя.
7. Основные способы защиты от вирусов
Я решил разделить способы защиты от вирусов и угроз безопасности на основные – обязательные для каждого, и дополнительные – по желанию пользователя. В этом разделе мы рассмотрим основные способы защиты, а в следующем поговорим о дополнительных.
Современные вирусы представляют собой высокотехнологичные программы с комплексом маскировки и самозащиты, которые сложно обнаружить и обезвредить. Поэтому для защиты от них также нужно использовать комплексные меры. Это антивирусная программа, перекрытие всех возможных способов проникновения вирусов и следование принципам безопасности при работе на компьютере. Все это не так сложно, достаточно один раз хорошо настроить компьютер и не нарушать определенные правила.
7.1. Защита от файловых вирусов
Для того чтобы защититься от вирусов заражающих файлы, достаточно установить любой антивирус.
Платные антивирусы обеспечивают высокий уровень защиты и от других угроз безопасности. Приобретать их есть смысл, если вы имеете дело с ценной конфиденциальной информацией или осуществляете серьезные финансовые операции. Лучшим для русскоязычных стран является Kaspersky Internet Security. Если компьютер слабоват, то можно приобрести более быстрый и легкий Dr.Web Security Space.
Из бесплатных, для операционной системы Windows 7,8.1,10 я рекомендую Avast. Для Windows XP – 360 Total Security или Avira. Обе программы быстрые, легкие и хорошо подходят для слабых компьютеров. 360 Total Security имеет различные дополнительные функции – очистка диска, слежение за обновлениями Windows, защита веб-камеры и подходит больше для тех, кто любит во всем разбираться. Avira содержит все необходимые элементы защиты и больше подходит для любителей минимализма, которые не хотят вникать в настройки.
Никогда не отключайте антивирус и не открывайте подозрительные файлы как бы вам этого не хотелось. В подавляющем большинстве случаев вы не получите желаемого и только навредите себе.
Ссылки на антивирусные программы есть в разделе «Ссылки».
7.2. Защита от ложных и зараженных программ
Используйте только популярные широко известные программы. Скачивайте программы только с сайтов разработчиков и популярных широко известных сайтов. Проверяйте все скачанные файлы на сайте VirusTotal.com.
Откажитесь от установки сомнительных программ, особенно тех, которые по результатам проверки на VirusTotal.com являются нежелательными. Всегда выбирайте выборочную установку и снимайте галочки с дополнительно предлагаемых компонентов.
7.3. Защита от вирусов на флешках
Защититься от заражения компьютера через флешку проще всего. Для этого нужно отключить автозапуск флешек в реестре Windows. Я сделал специальный файл, который устанавливает нужные параметры в реестре автоматически и работает со всеми версиями Windows. Вам достаточно его запустить и согласиться на внесение изменений в реестр.
Для того, чтобы изменения вступили в силу нужно перезагрузить компьютер. После этого автозапуск вирусов с флешек будет невозможен. Учтите, что окно автозапуска при вставке флешек появляться не будет. Зайти на флешку можно через проводник Windows (Мой компьютер).
Скачать файл для отключения автозапуска флешек вы можете в разделе «Ссылки».
7.4. Защита от вирусов на CD/DVD-дисках
Автозапуск CD/DVD-дисков также можно было бы отключить в реестре. Но распространение вирусов на дисках уже редкость и антивирусы легко их блокируют. А отключение автозапуска дисков доставит много неудобств, так как вам вручную придется искать программу автозапуска на них. Поэтому я рекомендую с этим не заморачиваться.
7.5. Защита от скриптов в браузере
Прежде всего я рекомендую пользоваться одним из наиболее защищенных браузеров Firefox или Chrome. Для дополнительной защиты нужно запретить браузеру выполнение скриптов и других видов потенциально опасного кода на сайтах.
Для браузера Firefox есть очень хороший плагин NoScript. После его установки некоторые сайты могут потерять часть функциональности. Но достаточно простым кликом мышки добавить их в список разрешенных и их функциональность восстановится.
Но не нужно добавлять все подряд, а только те сайты, которым вы абсолютно доверяете. Тогда безопасность в интернете будет на достаточно высоком уровне.
Для браузера Chrome существует подобный плагин ScriptBlock. Принцип его действия такой же. На разрешенных сайтах скрипты не блокируются, а на остальных вы будете в безопасности.
Ссылки на эти плагины есть в разделе «Ссылки».
7.6. Защита паролей в браузере
Все браузеры позволяют запоминать пароли для сайтов при первом их вводе.
Это удобно, так как при последующих входах на этот сайт пароль вводить не требуется. Но это не безопасно, так как пароль из браузера может быть похищен.
Для браузеров Firefox и Chrome есть прекрасный плагин LastPass, который также предлагает сохранить пароли при вводе их на сайтах, но хранит их в защищенном хранилище. При входе на сайты он подставляет логин и пароль в нужные поля, что очень удобно.
Также рекомендую использовать различные сложные пароли для разных сайтов. Для этой цели в плагине LastPass есть генератор надежных случайных паролей.
Не вводите свои пароли на чужих компьютерах, так как они могут быть заражены шпионом или кейлогером.
Плагин LastPass вы можете скачать в разделе «Ссылки».
7.7. Защита от социальной инженерии
Не кликайте на сомнительную рекламу в интернете, особенно на мигающие картинки с невероятными обещаниями. В лучшем случае вы попадете на сайт, где вас обманным путем попытаются убедить что-то купить, в худшем на сайт зараженный вирусом.
Никогда не скачивайте файлы и не переходите по ссылкам из электронных сообщений, если они приходят от неизвестных вам адресатов. Каким бы заманчивым или безобидным не было это сообщение, в 99% случаев вас хотят обмануть!
Также не открывайте вложения и не переходите по ссылкам из странных сообщений, пришедших от кого-то из ваших знакомых (типа посмотри мою фотку или скачай клевую программу). Скорее всего, это говорит о том, что аккаунт вашего знакомого взломали и используют для рассылки вредоносных сообщений. Свяжитесь с вашим знакомым, спросите отправлял ли он вам это сообщение и предупредите о возможной проблеме.
Если сообщение по вашему мнению может иметь высокую важность (например, из вашего банка), то позвоните туда. Не сообщайте никому свои пароли для банковских операций, электронной почты и т.п. Официальные представители не имеют права об этом спрашивать.
Будьте избирательны в соцсетях, не добавляйте в друзья всех подряд, кто к вам просится. Эти люди могут попытаться получить ваши личные данные, присылать вам сообщения на зараженные, мошеннические сайты или просто завалить рекламой. При появлении подозрительной активности, удаляйте этих людей из друзей.
Если вы получили ссылку на сайт или файл от вашего знакомого и он подтвердил, что действительно отправлял вам это сообщение, то все равно проверяйте все ссылки до перехода по ним на сайте VirusTotal.com.
В последнее время злоумышленники также часто используют SMS и даже звонки с целью обмана. Не отправляйте ответные SMS и не звоните по указанным номерам, так как за это с вашего счета снимут деньги. Не переходите по ссылкам в SMS, с помощью них сейчас распространяются вирусы на смартфонах. Уточняйте всю информацию по официальным телефонам и на официальных сайтах, а не по контактным данным, которые вам прислали.
В последнее время участились сообщения о том, что что-то случилось с вашим родственником или вы выиграли какой-то очень ценный приз (машину, дом, квартиру и т.п.) и у вас просят деньги, чтобы уладить какие-то моменты. Никогда не доверяйте подобным сообщениям и проверяйте информацию по надежным каналам. Главное это понимание того, что никто никогда и никому просто так ничего не дарит. Если вы ничего не покупали и не регистрировались для участия в акции, то это 99% обман.
7.8. Защита от фишинга
Чтобы защититься от подмены сайта путем фишинга никогда не переходите по ссылкам, которые присылаются в электронных сообщениях. Откройте новую страницу браузера и перейдите на нужный сайт из закладок или введите адрес вручную.
Во всех современных браузерах есть встроенная защита от фишинга. Если сайт определяется как фишинговый, то доступ к нему блокируется.
Аналогичные окна блокировки могут отображаться при обнаружении на сайте вредоносного программного обеспечения.
Но браузеры умеют определять только подделки наиболее популярных сайтов или те сайты, которые попали в черный список.
Наиболее эффективно с фишингом борются комплексные платные антивирусы, такие как Kaspersky Internet Security и Dr.Web Security Space. В большинстве популярных бесплатных антивирусах также есть защита от фишинга.
7.9. Защита от уязвимостей в системе
Для защиты от уязвимостей в операционной системе необходимо регулярно устанавливать важные обновления, так как это в основном обновления безопасности. Перейдите в «Панель управления\Система и безопасность\Центр обновления Windows\Настройка параметров» и проверьте настройки обновлений. Советую включить установку обновлений в автоматический режим.
Рекомендуемые обновления, если не хотите засорять компьютер ненужными компонентами, устанавливать не обязательно.
Не смотря на то, что официальная поддержка Windows XP прекращена, для некоторых старых компьютеров это единственная система, которая обеспечивает достаточное быстродействие и функциональность. Есть способ продлить получение обновлений безопасности для Windows XP до апреля 2019г. Для этого я сделал специальный файл, который вносит в реестр Windows небольшое изменение. Достаточно его запустить и согласиться с внесением изменений в реестр.
После этого установка обновлений безопасности в Windows XP продлится до апреля 2019г.
Скачать этот файл вы можете в разделе «Ссылки».
7.10. Отключение лишних служб
Другим общепризнанным способом защиты является отключение лишнего функционала. Если отключены потенциально уязвимые компоненты, то и атака на них невозможна. Прежде всего это касается служб Windows, которые работают на каждом компьютере и чаще всего становятся объектами для атак. Многие из них не нужны для нормальной работы компьютера, а их отключение имеет еще и приятный бонус в виде увеличения быстродействия системы.
Чтобы еще больше увеличить скорость работы компьютера, установите SSD диск, он сделает систему значительно шустрее и отзывчивее! Жесткий диск A-Data Ultimate SU650 120GBДля того чтобы отключить лишние службы, нужно зайти в консоль управления компьютера. Для этого нужно кликнуть правой кнопкой мыши на значке «Мой компьютер» или «Windows» (в Windows 8,10) и выбрать «Управление…».
Дальше я буду показывать на примере Windows 7, но в других версиях все делается аналогично.
Заходим в раздел Службы.
Теперь нужно кликнуть правой кнопкой мыши на службе, которую необходимо отключить, и выбрать «Свойства».
После этого установите «Тип запуска: Отключена» и нажмите «ОК».
Теперь при включении компьютера служба запускаться не будет.
Безболезненно можно отключить некоторые службы, которые не являются сетевыми. Также, если у вас нет локальной компьютерной сети, можно отключить и некоторые сетевые службы. Я подготовил описание наиболее важных служб и рекомендации по их настройке. Скачать их вы можете в разделе «Ссылки».
7.11. Защита от уязвимостей в программах
Для защиты от уязвимостей в программах желательно регулярно обновлять их до новых версий. Большинство программ имеют функцию проверки обновлений. Как только обновление для программы обнаруживается, пользователю предлагается его установить. Не пренебрегайте обновлением программ, особенно тех, которые работают с интернетом (браузер, скайп, торрент-клиент и т.п.).
7.12. Защита от сетевых атак
Лучший способ защититься от сетевых атак это отключение лишних служб, регулярное обновление операционной системы и программ с целью устранения уязвимостей, которые и используются при атаках.
Но есть также программы специально для защиты от сетевых атак, которые называются файрволами. Принцип файрвола заключается в том, что он не пропускает интернет-пакеты на компьютер, которые содержат данные не запрашиваемые пользователем. Например, если вы ввели адрес сайта в браузере, то в ответ получите интернет-пакеты с содержанием сайта и файрвол их пропустит. Зараженные интернет-пакеты поступают на компьютер без запроса пользователя и файрвол их блокирует.
В операционных системах Windows есть свой встроенный файрвол, который называется Брандмауэр. При грамотной настройке безопасности системы обычно его достаточно. Но есть и сторонние решения, которые являются более продвинутыми и надежными. Если на вашем компьютере есть ценная конфиденциальная информация или вы активно работаете с платежными системами, то дополнительная защита в виде хорошего файрвола не помешает.
Файрвол входит в состав платных антивирусов, лучшими из которых являются Kaspersky Internet Security и Dr.Web Security Space. Если у вас такой антивирус, то ваш компьютер надежно защищен от сетевых атак и отдельный файрвол вам не нужен. Кроме того, такое решение будет лучшим в плане совместимости антивируса с файрволом.
Из бесплатных самым популярным файрволом является Outpost Firewall Free, который можно установить из комплексного антивирусного пакета Outpost Security Suite FREE и использовать в дополнение к любому бесплатному антивирусу. Недостатком такого решение являются возможные конфликты между антивирусом и файрволом.
Самый лучший способ защититься от атак из интернета или локальной сети провайдера – подключение компьютера через роутер. Роутер обладает функциональностью аппаратного файрвола. Он скрывает компьютер от хакеров и надежно блокирует все незапрашиваемые интернет-пакеты еще до того, как они попадут на компьютер. Кроме того, роутер в какой-то степени защищает материнскую плату от электрических пробоев со стороны провайдера, что бывает довольно часто.
Рекомендую использовать роутер, даже если у вас всего один компьютер. Это дешевое и надежное средство дополнительной защиты.Но роутер не защищает от атак с зараженных компьютеров соединенных с помощью него в домашнюю или офисную локальную сеть, а только от тех, которые приходят из интернета. Поэтому программный файрвол все равно должен работать на каждом компьютере.
Ссылки на антивирусы и файрволы есть в разделе «Ссылки».
7.13. Резервное копирование системы
Даже качественная настройка компьютера и следование принципам безопасности не дает 100% гарантии, что какой-то хитрый вирус не проникнет в компьютер. Но есть средство, которое надежно защитит вас от последствий заражения. Это создание резервной копии операционной системы.
Встроенное средство восстановления Windows является недостаточно эффективным. Во-первых, оно защищает только самые важные системные файлы, а вирус может быть и в другом месте. Во-вторых, вирусы часто проникают в хранилище резервных копий и восстанавливаются вместе с восстановлением системы, что сводит на нет всю систему резервного копирования.
Для того, чтобы создать надежную копию системы, нужно качественно с нуля настроить компьютер и сделать полный образ диска «C» с помощью программы стороннего разработчика. Дополнительно это защитит вас и от любых сбоев в системе или программном обеспечении.
Одной из лучших программ резервного копирования является Acronis True Image, она является платной. Но есть отличная бесплатная альтернатива – Paragon Rescue Kit Free.
Для успешного резервного копирования системы с последующим быстрым восстановление нужно соблюдать несколько простых условий.
Файлы пользователя не должны храниться на диске «C», иначе при восстановлении системы они будут утрачены. Учтите, что файлы на «Рабочем столе» и в папке «Мои документы» физически находятся на диске «C». Поэтому храните все свои файлы на другом разделе, например на диске «D».
Не устанавливайте на диск «C» игры, так как они занимают очень большой объем, что будет затруднять резервное копирование и восстановление системы. Устанавливайте игры на другой раздел, например на диск «D».
Это замечание не касается SSD диска, на который как раз и рекомендуется устанавливать программы и игры для значительного повышения скорости их загрузки. Жесткий диск A-Data Ultimate SU650 240GBПодробные инструкции по использованию программ резервного копирования есть на сайтах разработчиков из раздела «Ссылки».
7.14. Резервное копирование файлов
Резервная копия операционной системы предназначена для быстрого восстановления работоспособности компьютера и полной ликвидации вирусов. Но это не защитит ваши файлы в случае их удаления или зашифровки вирусом.
Для защиты личных файлов необходимо регулярно выполнять их резервное копирование. Можно просто копировать файлы на флешку или внешний диск стандартными средствами, но это не так удобно и может занимать много времени. Лучше использовать для этого эффективные алгоритмы синхронизации.
Например, в популярном файловом менеджере Total Commander есть функция синхронизации каталогов. Откройте в левой панели папку с вашими файлами на диске компьютера, а в правой панели папку на флешке.
Transcend JetFlash 790 8Gb
Зайдите в меню «Инструменты\Синхронизировать каталоги».
Установите все параметры как на скриншоте выше и нажмите кнопку «Сравнить». После того как сравнение завершиться нажмите ставшую активной кнопку «Синхронизировать».
Одной из лучших бесплатных программ, предназначенных именно для синхронизации файлов, является Free File Sync. Принцип действия у нее похожий, но работает она еще лучше.
В левой панели задаются папки, которые вы хотите синхронизировать на диске вашего компьютера, а в правой папки на флешке или в другом месте, в которых будут храниться резервные копии. После этого сначала нажимается кнопка «Сравнить», а затем «Синхронизировать». Я, например, синхронизирую свои папки с диском на другом компьютере по локальной сети.
Синхронизация занимает значительно меньше времени, чем копирование файлов, так как копируются только новые и измененные файлы. Кроме того из резервной копии удаляются файлы, которые вы удалили у себя на компьютере.
Помните! Вопрос не в том потеряете ли вы ваши файлы если не будете делать резервные копии, а в том когда это произойдет…
Ссылки на программы синхронизации есть в разделе «Ссылки».
8. Дополнительные способы защиты от вирусов
В этом разделе мы рассмотрим дополнительные менее популярные способы защиты, которые вы можете применять по своему желанию. Тем не менее, некоторые из них могут значительно усилить защиту вашего компьютера.
8.1. Защита от шпионов и кейлогеров
Существуют специальные программы для защиты от шпионов и кейлогеров. Самые популярные из них Ad-Aware Free Antivirus+, Malwarebytes Anti-Malware Free, Spyware Terminator. Но уже все современные антивирусы имеют защиту от шпионов и кейлогеров, а использование одновременно нескольких антивирусных программ может приводить к различным проблемам.
8.2. Плагин для защиты от фишинга
Если вы работаете с большим количеством социальных и платежных сервисов и хотите иметь дополнительную бесплатную защиту, то можно установить плагин для защиты от фишинга. Одним из наиболее популярных является McAfee SiteAdvisor, который поддерживает браузеры Firefox и Chrome. Он не требует никакой настройки, а просто блокирует фишинговые и некоторые другие вредоносные сайты.
Кроме того, плагин показывает рейтинги сайтов в поисковой выдаче Google и Яндекс, по которым пользователь заранее может определить стоит ли переходить на какой-либо сайт.
Подобные плагины добавляют в браузеры некоторые антивирусы, например Avast. Ссылка на плагин McAfee SiteAdvisor есть в разделе «Ссылки».
8.3. Защита с помощью серверов DNS
Существуют специальные безопасные DNS-серверы для защиты от вредоносных сайтов. Один из наиболее популярных в рунете бесплатных DNS-серверов принадлежит компании Яндекс (dns.yandex.ru).
Достаточно прописать адрес безопасного DNS-сервера в настройках сетевой карты и все сайты, прежде чем они загрузятся в ваш браузер, пройдут проверку безопасности на сервере Яндекс. Предлагается несколько DNS-серверов: без защиты, с защитой от вредоносных сайтов и с дополнительной защитой от контента для взрослых (можно использовать на компьютере ребенка).
В Windows XP зайдите в меню «Пуск/Панель управления/Сеть и подключения к Интернету/Сетевые подключения».
В Windows 7 зайдите в меню «Пуск/Панель управления/Сеть и Интернет/Центр управления сетями и общим доступом/Изменение параметров адаптера».
В Windows 8,10 кликните правой кнопкой мыши на кнопке «Пуск» и выберите «Сетевые подключения».
Дальше во всех версиях Windows все делается одинаково. Выберите вашу сетевую карту или Wi-Fi-адаптер (для ноутбуков), кликнете на ней правой кнопкой мыши и выберите «Свойства».
Выберите «Протокол Интернета версии 4» и нажмите кнопку «Свойства».
Введите адреса DNS-серверов Яндекса.
После этого у вас в браузере будут загружаться только проверенные безопасные сайты.
8.4. Работа из под ограниченной учетной записи
Если вас серьезно беспокоит безопасность работы за компьютером, то хорошей идеей будет создать ограниченную учетную запись пользователя и работать из-под нее. Делается это легко через «Панель управления/Учетные записи пользователя…».
После этого на учетную запись Администратора устанавливается пароль и она используется в основном для установки новых программ и настройки компьютера.
Дело в том что вирус, попав на компьютер или только запустившись в браузере, получает полномочия того пользователя, который в данный момент работает за компьютером. Если пользователь работает с правами администратора, то и вирус запустится с правами администратора и сможет изменять любые системные файлы и параметры реестра. Если вы будете работать под ограниченной учетной записью, то в случае если вирус все-таки просочится через хорошо настроенную систему защиты, то он не сможет заразить системные файлы и прописаться в автозагрузку, а антивирусной программе будет легче его нейтрализовать.
8.5. Очистка системы
Содержите вашу операционную систему в чистоте и порядке, тогда и вирусам в ней будет не так комфортно Используйте одну из популярных программ для очистки системы от мусора. Они удаляют файлы из временных папок системы, программ и браузеров. В этих папках часто любят сидеть вирусы и вредоносные скрипты. Кроме того, вы сэкономите место на диске.
Такую функциональность имеет, например, антивирус 360 Total Security. Я же могу порекомендовать отличную популярную программу CCleaner. Она следит за чистотой системы и удаляет временные файлы при каждой загрузке компьютера, ссылка на нее также есть ниже.
9. Ссылки
Здесь вы можете скачать все файлы, которые упоминались в статье и очень помогут вам в защите компьютера от вирусов.
Жесткий диск Transcend StoreJet 25h4 2 TB
Жесткий диск Transcend StoreJet 25M3 1 TB
Жесткий диск Transcend StoreJet 25M TS500GSJ25M 500 GB
Краткий аналитический вопросник по бот-сетям в РФ 2009 год
Краткий аналитический вопросник по бот-сетям в РФ 2009 год
В этой статье мы обобщили информацию, добавили последние сведения и некоторую аналитическую информацию по бот-сетям и по их одному из основных предназначений – DDOS атак.
В этой статье мы обобщили информацию, добавили последние сведения и некоторую аналитическую информацию по бот-сетям и по их одному из основных предназначений – DDOS атак. Статья построена по принципу вопрос-ответ в неофициальном тоне. Мы отвечали на вопросы, которые присылали и задавали нам пользователи, поэтому, некоторые вопросы могут показаться элементарными для понимания. Тем не менее, огромное количество писем, приходящих в Group-IB имеют примерно такое содержание:
Тема письма: Doss атака
Я ходила по ссылкам «Скачать бесплатно программу Advanced PC Tweaker» Во первых на всех ссылках были всплывающие окна ввиде рекламы с порнографическим содержанием и вообще, в какой раздел не зайди, сначало порно сайт нужно закрыть.Программу я так и не нашла…атем я ушла на маил.ру, в свой основной почтовый ящик на mail.ru, но к своему изумлению не могу ничего посмотреть. На весь экран картинка с порнографией и приписочка:Для удален выберите страну, отправьте СМС с текстом XMS 2273070 на номер 3649, введите код (в окошко) и удалить. Вы не ошиблись не для скачивания СМС отправить, а для удаления этой самой порно картинки…Пожалуйсто избавьте меня от этой отаки!!!
(Это не шутка. Текст письма опубликован без изменений )
Именно поэтому, опубликовывая ответы на простые вопросы, мы надеемся, что это хоть как-то повысит уровень грамотности Интернет населения нашей страны.
Приветствуются новые вопросы, ответы на которые мы опубликуем во второй части статьи.
Каковы тенденции распространения и развития бот сетей и, как следствия DDOS атак в России?
-DDoS-атаки (от англ. Distributed Denial of Service, распределённый отказ в обслуживании) в последние несколько лет стали одним из самых распространенных преступлений в киберпространстве. Чаще всего хакеры организуют подобные нападения на серверы государственных органов и крупных бизнес-структур. Более того, в 2004 году появился такой вид преступлений, как шантаж возможностью проведения DDoS-атаки.
Бот сети явление, которое в России становится актуальным, начиная с 2003 года (хотя технология достаточная старая). Первоначально была доступна узкому кругу высокообразованных людей. После многих публикаций с описанием технологии, а так же участившихся случаев DDOS атак и засилью спама стала достаточно популярной и широкодоступной.
На данный момент содержание бот сетей — одна из самых выгодных в Интернете (сегмент СНГ) наравне с кардингом.
Начиная с 2005 года бот сети приобрели массовый характер, а так же процесс становления основных самых крупных сетей пришел в сбалансированное положение. Тем не менее, с точки зрения законодательства изменений никаких не произошло: DDOS расценивается как статьи 272 и 273 УК РФ. Следователей в МВД крайне мало, и методы противодействия бот сетям достаточно быстро устаревают. Конкретных судебных решений недостаточно. В то же время, рассылка спама не является каким-либо преступлением.
Бот сети являются сейчас самой эффективной системой информационной войны. Существуют даже аппаратные комплексы для осуществления DDOS атак.
— Какие трудности испытывают компании по борьбе с DDOS атаками в России и СНГ?
В России и СНГ борьба с бот сетями осложнена по следующим причинам:
1. Отсутствие в России CERT’ов (Computer Emergency Response Team)
2. Слабое техническое оснащение правоохранительных органов/малочисленность штата.
3. Отсутствие международных соглашений и законодательства по борьбе с подобными явлениями.
4. Политическая ситуация.
5. Техническая безграмотность населения и простота заражения ПК вирусами. Стоимость заражения 1000 машин вирусами начинается от 20 долларов США.
На данный момент в России только один CERT (или правильнее CSIRT).
В ближайшее время и Group-IB получит статус CERT
CERT — это команда по реагированию на инциденты информационной безопасности. В мире сейчас зарегистрирована 201 команда в 43 странах мира. Целью команд является координация действий между провайдерами, конечными пользователями для предотвращения или минимизации инцидента ИБ. А так же: обмен информацией, изучение методов борьбы и расследование инцидентов. Информацию о существующих командах можно получить тут — http://first.org/members/map/. Команды объедены под эгидой организации FIRST и их действия носят некоммерческий характер.
— Каковы тенденции развития бот сетей в РФ за последние годы?
За последние два года (2007-2008 год) в России наблюдались следующие тенденции для бот-сетей:
1. Укрупнение. Малые бот сети вливались в более крупные, то есть происходило их объединение и наращивание силы для возможности более мощной атаки.
2. Децентрализация. Управляющие центры переносятся в страны третьего мира и децентрализуются.
3. Появление непрофессиональных бот сетей: с помощью конструкторов или специальных программ для их создания. Для создания и управления такой сетью не требуются специальные знания.
4. Профессиональные бот сети стали использовать передовые технологии для управления и обеспечения анонимности. В частности, некоторые сети стали использовать технологию аутентификации portknocking.
Кратко опишем смысл: чтобы открыть порт для связи с ботом, управляющий центр простукивает в определенной последовательности, с определенным набором данных и с определенным типом соединения закрытые порты, и только после этого порт для связи открывается. До этого сетевую активность бота практически не обнаружить. Если учесть, что количество простукиваний может быть насколько угодно большим, то получается, что это отличный метод для использования, например, для двухфакторной аутентификации в корпоративной практике.
Ещё один пример интересной технологии: вирус, попадая на машину (обычно для этого используются уязвимости браузера или ОС), самостоятельно загружает серый патч, который эту уязвимость закрывает. Таким образом, войдя в ОС, вирус закрывает за собой дверь.
— В чем особенность и в чем их специфические отличия и общие сходства бот сетей в России и в остальном мире?
Во-первых, нельзя не упомянуть о том, что из-за проблем с законодательством и, по сути, с правовым беспределом в сети Интернет, бот сети в Российской Федерации на данный момент и ближайшие 5 лет будут основным нелегальным источником дохода в сети. Криминальные структуры уже давно стали частью данного сообщества.
Таким образом, владельцы бот сетей делают инвестиции, исследования и разработки направленные на:
- увеличение числа ботов
- стабильность управляющих серверов
- анонимность
- распределенность
- стабильность
Превратившись в сферу бизнеса, бот сеть, как бизнес единица развивается, как обычная компания: маркетинг, девелопмент, безопасность. Из-за того что РФ имеет большую территорию, а так же в связи с увеличением скорости доступа в сеть интернет во многих регионах России (по оценкам различных аналитиков на момент августа 2008 года Россия по увеличению скорости доступа в интернет входит в ТОП-10) бот сети даже в России имеют такую распределенность, которая позволяет осуществлять DDOS атаки на определенный ресурс, исключая ботов данного региона (это используется для усложнения расследования). Другими словами находясь в городе Анадырь можно иметь ботнет сеть которая раскидана по всем остальным 83 регионам России, что делает поимку киберпреступника крайне сложной. Некоторые бот сети являются сугубо русскими и используются для нелегальной деятельности в других странах.
Отсюда можно сделать вывод:
Основным отличием России от стран большой 8-ки, а так же других развитых стран мира
- Относительная безопасность владельцев бот сетей. Сложность проведения расследований.
- Высокий доход (от 1000$ до 50000$)
- Связь с криминальными структурами различных сфер.
- Высокая одаренность определенных людей, которые в связи со сложной экономической ситуацией вынуждены заниматься созданием и разработкой вирусов/бот сетей и т.п.
- В целом низкая освещенность данной проблемы в обычных СМИ. Обычные люди не знают «что это такое».
- Большая территориальная распределенность бот сетей.
- Развитие Интернет технологий в России что приводит к увеличению производительностей ботнет сетей.
В чем заключается бизнес, людей, которые создают бот-сети
Основным источником дохода для владельцев бот сетей является:
- Рассылка спама. Это очень выгодный бизнес. Фактически легальный, т.к. явных законов, запрещающих рассылку спама нет.
- DDOS атаки. Нелегальное, но тем не менее самое выгодное и опасное для атакуемого событие информационной безопасности, самая актуальная угроза и один из лучших способов ведения информационной и телекоммуникационной войны. Компании, которые защищаются от DDOS атак – тратят огромные деньги, тем не менее, перед серьезной бот сетью остаются уязвимыми. Способ получения денег – шантаж или заказ на конкретный ресурс.
- Подбор паролей для дальнейшего взлома какого-либо сервиса (использование бот сети в качестве распределенной вычислительной машины). Используется для взлома сайтов/порталов и т.п.
— Вопрос от начинающего Интернет пользователя: Как зарождаются бот сети?
Этот вопрос носит важный характер. Потому что даже сейчас многие, кто читают эту статью, ничего не подозревая, являются соучастниками DDOS атаки, например, на крупный банковский сервер или же на любую другую фирму. Постараемся рассказать все примитивно и по пунктам:
- Любое заражение начинается со «спама» определенного Интернет ресурса, на котором содержится вредоносный код. Преступник рассылает зараженный сайт путем e-mail или ICQ. Ничего не подозревающий Интернет пользователь, попадаясь на уловку мошенника, переходит по ссылке и ему на компьютер автоматически загружается вирус.
- После чего вирус глубоко прячется в компьютер жертвы и ждет команды из управляющего центра, который, как правило, владелец ботнета устанавливает на сервер в далекой и солнечной Панаме или на Кокосовых островах, и в таком случае засечь владельца практически не возможно.(но рано или поздно возможно все)
- Владелец сети ждет момента, когда заразятся порядка 1000 машин и, зайдя в управляющий центр, нажатием одной кнопки и определенным запросом вызывает шквал атак направленных на определенный ресурс. И буквально в течение 10 минут сервер, не справляясь с количеством запросов, начинает виснуть.
— Известно, что киберпреступность в целом носит мировой характер. Известно ли о возможных связях людей из РФ с такими же группами за границей?
Практика показывает, что такие связи, конечно же, имеются. Абсолютными фактами являются:
Среди связей преобладают:
1. Эмигранты первой волны после распада СССР. Основные места жительства США, Канада, Израиль, Австралия, Евросоюз
2. Поздние эмигранты. (после 2000 года)
3. Хакеры эмигранты. Люди, которые в целях безопасности покинули нашу страну, но продолжают заниматься незаконной деятельностью.
Общая тенденция следующая: из-за различий законодательства в различных странах и больших возможностях в России по созданию бот сетей ИТ-специалисты устанавливали старые или приобретали новые связи в РФ с целью использовать имеющийся в России потенциал. Роли таких людей различны: от организаторов, до посредников западного заказчика перед российским исполнителем.
Отдельно стоит упомянуть эмигрантов, уезжающих уже с имеющимися бот-сетями. Обычно такие люди уезжают в страны с очень слаборазвитым законодательством 60% (Бали(Индонезия) , Гоа(Индия), Панама, Мексика, Бразилия), но есть и исключения США, Канада и т.д.
— Как преступники используют «выращенные» ботнет сети?
Существует всего несколько способов, например атака по заказу конкурирующей компании или же просто атака с целью рэкета.
Основной способ влияния – DDOS атака.
При мощной бот сети практически 100 % результат.
Как же в целом используются бот-сети?
- Межхакерские войны или anticyber-crimes акции. Атаки на управляющий центр для отражения атаки, попытки завладеть чужими ботами, маркетинговая акция (атакуем чужой управляющий центр, показываем, что чужая сеть не работает – получаем заказ).
- Банковский сектор, сектор электронных платежей. Атакуется сервер банк-клиента, или коммуникационный сервер системы электронных платежей. Очень распространенное явление(каждый день). Предполагаемые цели – маркетинг. Использование информации для понижения имиджа банка. В случае систем моментальных платежей – клиент просто пользуется системой конкурента.
- Политический сектор. Средство ведения информационной войны. Интернет как основное средство СМИ. Атакуются сайт политических партий, организаций связанных с религией. Участие в этом государства.
- Сектор телекоммуникаций – связь/хостинги/провайдеры. Атаки по заказу конкурентов с целью, как и в пункте 1. Атакуются не сайты, а телекоммуникационные узлы.
— Какие основные механизмы обналичивания денег, полученных подобными путями?
Существует много способов обналичивания денег полученных при помощи такой деятельности. Но чаще всего в РФ используются известные нам системы такие как WebMoney или Яндекс-деньги. Основным способом получения денег является безналичные переводы через системы электронных платежей – Egold и Libery. Далее деньги переводятся в WebMoney: их можно обналичить в любом банке или перевести на карточку.
Выбор данных валют (Egold и Libery) связан в основном с безопасностью участников сделки. Сервера находятся на Панаме, логгирование и установление цепочки транзакций практически не реально.
Многие платежные системы WebMoney, Яндекс деньги постепенно запрещают обмен с данными валютами, но существует много способов обхода данных ограничений.
Необходимо добавить, что новички часто используют и обычные способы оплаты.
Спам оплачивается очень часто по договору с компанией осуществляющей рассылку, которая в свою очередь способом, описанным выше, осуществляет платеж владельцу бот сети.
В последнее время владельцы серьезных бот сетей работают через посредников, используя рекомендации и другие вещи для собственной безопасности. Об этом можно почитать в соответствующих топиках(чаще всего закрытых) на хак-форумах.
— А какие самые известные существующие группы?
Вообще говоря, информация о существующих группах является конфиденциальной, т.к. по большинству из них возбуждены уголовные дела или идет разработка. Но вот, например, ссылки на статьи и видео по самым громким делам в РФ.
http://www.1tv.ru/news/crime/137032
http://www.xakep.ru/post/40051/default.asp
— Бот сети и DDOS атаки это только коммерция?
Конечно, нет. Ведь не всегда смысл заключается только в денежном эквиваленте. Как яркие примеры тому может служить хакерские атаки на грузинские сайты во время августовского конфликта. При этом СМИ России отнеслись к данному факту крайне спокойно, и не одного дела возбуждено не было.
Если рассматривать другие международные атаки, то можно вспомнить пример с Эстонией. Тогда было начато международное расследование, которое продолжается и по сей день. Многие группы участвовали в атаках не из коммерческих замыслов. Заказчика у данных атак не было — они носили спонтанный политический характер.
— Какие основные этапы заказа DDOS атаки?
Если усреднить имеющуюся у нас информацию, то можно обозначить следующие стадии:
- Получение заказа
- Выполнение тестовой работы
- Предоплата (от 50 до 100 %)
- Выполнение работы
Не стоит забывать, что на каждой из студий и заказчик и исполнитель друг — друга проверяют. Существуют черные и белые списки заказчиков и исполнителей, которые можно найти на хороших хакерских форумах.
— Любой человек может воспользоваться услугами подобных сервисов в своих личных целях?
К сожалению, получается, что это так. Действительно любой может зайти на хакерский форум, где он найдет рекламу десятков подобных сервисов. Иногда подобную рекламу можно увидеть даже в объявлениях Яндекс-директ или Google Adwords. Взять «на тест» бот сеть может любой пользователь и, причем совершенно бесплатно. А ведь даже 10 минут DDOS’a крупной Интернет компании может привести к миллионным убыткам, поэтому необходимо защитить себя, прежде чем вы окажетесь жертвой преступников.
— Можно ли сделать ботнет сеть на заказ? Так сказать ботнет под ключ?
Можно, только это уголовно наказуемо. И мы, как и правоохранительные органы с этим активно боремся.
Но к сожалению, действительно совершенно каждый из нас может заказать создание DDOS ботнета. Делается это довольно просто: достаточно опубликовать объявление на одном из хакерских форумов и через некоторое время с вами свяжутся. Стоимость ботнета рассчитывается из учета некоторых факторов.
Первое что влияет на стоимость — это месторасположение центра, то есть другими словами, где расположен сервер, на котором будет создаваться управляющий центр ботнет сетью. Аренда такого сервера в месяц сейчас составляет приблизительно около 250 долларов в месяц.
Второй и немаловажный фактор это сам скрипт управляющего центра и билдер ( который делает вирусы, проникающие на машину жертвы) Стоимость такого комплекта варьируется в пределах от 500 до 1000 $. Конечно можно скачать разные комплекты, которые находятся в паблике ( то есть доступны для свободного скачивания) любому пользователю сети Интернет. Но паблик-версии ботов очень уязвимы.
Следующим пунктом можно назвать сплоит.
Сплоит
Сплоит – это специальный скрипт расположенный на сайте куда попадает жертва, несущий в себе вредоносный код который использует уязвимости браузеров. При попадании на такой сайт, жертве, как правило, загружается .exe программа, которая весит около 3-10кб, и автоматически запускается. Она абсолютно незаметна для пользователя, который может месяцами не догадываться, что его компьютер используется в плохих целях. Данная малюсенькая программка и есть то страшное оружие, посредством, которого и происходят ddos атаки. Естественно не каждый пользователь, который попадает на зараженную страничку, становится жертвой. Каждый сплоит характеризуется определенным процентом «пробива». Чем больше % — тем соответственно и больше цена. Например, если «пробив» составляет 20 %, то это значит, что на 1000 зашедших на зараженный сайт посетителей 200 человек загрузят вирус и, как правило, вредоносная программа нормально запустится лишь у 100 – 150 человек в виду разных причин. Максимальный «пробив» сплоита может быть не более 40-45% при условии, что он только написан и использует самые новые уязвимости браузеров. Цена сплоита при пробиве в 20 % обычно около 300 – 500 $. Максимальная цена примерно 1000 $(хотя бывают споиты стоимостью 9000-15000 тысяч долларов). В этом случае качество сплоита будет заметно выше.
Трафик.
Трафик – это те посетители, которые заходят на сайт и впоследствии заражаются. Далее таких пользователей мы будем называть зомби – ботами или просто ботами.
Трафик бывает разный. От него в первую очередь зависит качество DDOS ботнета, то есть такие параметры как мощность ботнета (исчисляется в МБ ), скорость смерти зомби — ботов. Обычно на хакерских форумах цены колеблются от 3 $ до 20 $ за 1000 уникальных посетителей на сайт. Цена также зависит от места расположения пользователя, а следовательно, и ширины его Интернет канала.
Теперь несложными подсчетами мы можем посчитать, сколько нужно трафика и денежных средств, чтобы создать внушительную ботнет сеть, например из 10000 машин, которые будут находиться онлайн. Берем трафик из расчета 3 $ за 1000 человек при среднем «пробиве» сплоита в 20 %. При подсчете получим 50000 трафика. Теперь умножим это на 3$ за 1000 трафика и получим 150 $.
Ну и конечно не стоит забывать о вознаграждении тому, кто для вас создает такую сеть. Как правило, продавец попросит порядка 200 -300 долларов за свою работу.
Берем минимальные значения цен:
Подсчеты:
— Аренда сервера ( 1 месяц )…………………………………………… 250 $
— Пакет скриптов + билдер …………………………………….……… 500 $
— Сплоит ……………………………….300 $
— Трафик ……………………………. 150 $
— Работа …………………………….200 $
Итого: …………………………..1400 $
Примечание: ни в коем случае эту информацию не стоит воспринимать как призыв к действию. Мы хотим лишь показать, что сейчас подобного рода преступления (а это настоящее преступление) совершаются довольно просто. Российскому ИТ и ИБ сообществу необходимо сплотиться, чтобы задавить подобные тенденции в Интернете, а не заниматься наполнением бюджетов за счет внедрения очередных средств безопасности в нефтегазовых компаниях.
Как можно описать процесс создания DDOS сети по пунктам?
- Аренда сервера.
- Покупка скриптов и билдера.
- Установка скриптов на сервер их настройка.
- Настройка DDOS вируса с помощью билдера
- Покупка трафика
Можно ли купить уже готовый ботнет?
Специально никто не создает ботнеты с целью продажи. Но в полнее возможно, что кто-то захочет продать свой существующий ботнет ввиду разных причин. Тут основным ценовым фактором является количество зомби – ботов онлайн (т.е. которые показываются в админке) Цена может быть совершенно разная. Её устанавливает продавец.
Как долго может жить ботнет сеть?
Хакер, как садовод — «следит и ухаживает» за своей сетью. Когда из управляющего центра боту подается команда атаки, которая исчисляется количеством пакетов, то если задать большое количество, то бот может, не справится с запросом и умереть. Очень часто причиной смерти бота может служить установка современного антивируса, который обнаружит и удалит зараженный файл.
Еще одной причиной может служить переустановка/обновление Windows или другой ОС. Также стоит отметить, что количество ботов непостоянно, так как ночью компьютеры, чаще всего, выключаются. Но когда пользователь вновь входит в Интернет, то бот «просыпается».
Как можно приблизительно рассчитать мощность определенной сети?
Например, если вам сказали что трафик был немецкий, то можно понять что в Германии достаточно мощные Интернет каналы порядка 2 – 10 мб в каждом доме. В основном вывод делают из того откуда был трафик. В новых управляющих центрах можно наглядно посмотреть, сколько и каких ботов присутствует в сети. Например это будет выглядеть вот так :
Как распознать используется ли мой компьютер в качестве одного их звеньев ботнет сети?
Это можно заметить только во время активности вируса. Самый простая пользовательская проверка в ОС Windows, например: ощутимое замедление Интернета, а если перейти в диспетчер задач на вкладку Сеть, то сеть будет использована практически на 100 %. Естественно это непрофессиональный метод и существуют специальные утилиты, с помощью которых проводится аудит.
Какова мощность ботнета способного остановить среднестатистические сервера? Или другими словами, сколько должно быть ботов онлайн в управляющем центре чтобы «убить» сервер, если измерять не в гигабитах, а в ботах?
Опять же повторяем, что все зависит страны зомби-машины/от протокола/типа атаки и многих многих других факторов. Если усреднить, то, как правило, если имеется ботнет численностью в 2500 компьютеров, которые находятся на территории Германии, то такой мощности хватит чтобы на некоторое время остановить сервер I-Bank среднестатистического банка РФ (а иногда и очень крупного).
Ждем новых вопросов.
Лопухин Иван [email protected]
И. Сачков [email protected]
Группа информационной безопасности Group-IB (www.group-ib.ru) специально для SecurityLab.
Кибермутации плохих поступков
%PDF-1.3 % 101 0 obj >>> endobj 98 0 obj >stream 2009-05-18T21:23:21+04:002009-05-19T13:35:45+04:002009-05-19T13:35:45+04:00Acrobat Distiller 9.0.0 (Windows)Файл загружен с http://www.ifap.ruFalseapplication/pdf
dos-атака — Вики
Ви́ки (англ. wiki) — веб-сайт, содержимое которого пользователи могут самостоятельно изменять с помощью инструментов, предоставляемых самим сайтом. Форматирование текста и вставка различных объектов в текст производится с использованием вики-разметки. В частности, на базе этих принципов построена Википедия и другие проекты Фонда Викимедиа[1].
История
Впервые термин «вики» для описания веб-сайта был использован в 1995 году Уордом Каннингемом, разработчиком первой вики-системы WikiWikiWeb, «Портлендского хранилища образцов» программного кода[2], созданной 25 марта 1995 года, который заимствовал слово гавайского языка, означающее «быстрый»[3][4]. Каннингем объяснил выбор названия движка тем, что он вспомнил работника международного аэропорта Гонолулу, посоветовавшего ему воспользоваться вики-вики шаттлом — небольшим автобусом, курсировавшим между терминалами аэропорта. Каннингем же планировал сделать движок, позволявший пользователям максимально быстро редактировать и создавать статьи. Каннингем первоначально описал вики как «простейшую онлайн-базу данных, которая может функционировать»[5]. Позже этому слову был придуман английский бэкроним «What I Know Is…» («то, что я знаю, это…»)[6].
Сущность концепции вики
Уорд Каннингем и его соавтор Бо Леуф в их книге The Wiki Way: Quick Collaboration on the Web описали сущность концепции вики следующим образом:
- Вики предлагает всем пользователям редактировать любую страницу или создавать новые страницы на вики-сайте, используя обычный веб-браузер без каких-либо его расширений.
- Вики поддерживает связи между разными страницами за счёт почти интуитивно понятного создания ссылок на другие страницы и отображения того, существуют данные страницы или нет.
- Вики не является тщательно изготовленным сайтом для случайных посетителей. Напротив, Вики стремится привлечь посетителей к непрерывному процессу создания и сотрудничества, который постоянно меняет вид сайта.
Определяющие свойства
Вики характеризуется такими признаками:
- Возможность многократно править текст посредством самой вики-среды (сайта), без применения особых приспособлений на стороне редактора.
- Особый язык разметки — так называемая вики-разметка, которая позволяет легко и быстро размечать в тексте структурные элементы и гиперссылки; форматировать и оформлять отдельные элементы[7].
- Учёт изменений (версий) страниц: возможность сравнения редакций и восстановления ранних.
- Проявление изменений сразу после их внесения.
- Разделение содержимого на именованные страницы.
- Гипертекст: связь страниц и подразделов сайта через контекстные гиперссылки.
- Множество авторов. Некоторые вики могут править все посетители сайта.
Техническая основа
Редактирование вики-текста в «MediaWiki»Для создания вики-среды необходимо особое ПО — движок вики. Это частный вид систем управления сайтом, довольно простой в своём устройстве и функциональности, поскольку почти все действия по структурированию и обработке содержимого делаются пользователями вручную.
Работа Википедии и других сайтов Фонда Викимедиа основана на движке MediaWiki.
Особенности
Язык вики поддерживает гиперссылки для создания ссылок между вики-страницами и является более наглядным, чем HTML, и более безопасным, поскольку использование JavaScript и каскадных таблиц стилей ограничено.
Вандализм
Многие вики позволяют изменять своё содержимое всем желающим, а не только зарегистрированным пользователям. Подобно тому, как стены зданий и заборы исписывают непристойными надписями и украшают рисунками граффити, в таких вики иногда портят содержимое или добавляют что-то неуместное. Но, в отличие от стен и заборов, в вики легко вернуть содержимое к ранней версии: исправлять легче, чем портить. Если же кто-либо настойчиво и намеренно стремится навредить пользователям вики-сайта, можно закрыть ему возможность вносить правки.
См. также
Примечания
Ссылки
- WikiMatrix — сайт-энциклопедия о вики движках, на английском языке.
Отказ в обслуживании Википедия
DoS (аббр. англ. Denial of Service «отказ в обслуживании») — хакерская атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых добросовестные пользователи системы не смогут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ будет затруднён. Отказ «вражеской» системы может быть и шагом к овладению системой (если в нештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.). Но чаще это мера экономического давления: потеря простой службы, приносящей доход, счета от провайдера и меры по уходу от атаки ощутимо бьют «цель» по карману.[1] В настоящее время DoS и DDoS-атаки наиболее популярны, так как позволяют довести до отказа практически любую плохо написанную систему, не оставляя юридически значимых улик.
Распределённая DoS-атака
Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке[2] (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании»). Такая атака проводится в том случае, если требуется вызвать отказ в обслуживании хорошо защищённой крупной компании или правительственной организации.
Первым делом злоумышленник сканирует крупную сеть с помощью специально подготовленных сценариев, которые выявляют потенциально слабые узлы. Выбранные узлы подвергаются нападению, и злоумышленник получает на них права администратора. На захваченные узлы устанавливаются троянские программы, которые работают в фоновом режиме.[3] Теперь эти компьютеры называются компьютерами-зомби, их пользователи даже не подозревают, что являются потенциальными участниками DDoS-атаки. Далее злоумышленник отправляет определенные команды захваченным компьютерам и те, в свою очередь осуществляют коллективную DoS-атаку на целевой компьютер.
Существуют также программы для добровольного участия в DDoS-атаках.
В некоторых случаях к фактической DDoS-атаке приводит непреднамеренное действие, например, размещение на популярном интернет-ресурсе ссылки на сайт, размещённый на не очень производительном сервере (слэшдот-эффект). Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и, следовательно, отказу в обслуживании части из них.
Защита
Для защиты от сетевых атак применяется ряд фильтров, подключенных к интернет-каналу с большой пропускной способностью. Фильтры действуют таким образом, что последовательно анализируют проходящий трафик, выявляя нестандартную сетевую активность и ошибки. В число анализируемых шаблонов нестандартного трафика входят все известные на сегодняшний день методы атак, в том числе реализуемые и при помощи распределённых бот-сетей. Фильтры могут реализовываться как на уровне маршрутизаторов, управляемых свичей, так и специализированными аппаратными средствами.
Причины использования DDoS-атак
Жертвы DDoS-атак.
Специалисты в области защиты информации выделяют несколько причин использования DDoS-атак.[4]
Личная неприязнь
Эта причина нередко служит поводом для атак на крупные коммерческие и правительственные организации и компании. Так в 1999 году были атакованы Web-узлы ФБР, которые впоследствии были недоступны в течение нескольких недель. Мотивом послужил недавний рейд ФБР против хакеров.[5]
Развлечение
В настоящее время всё больше людей интересуются DoS-атаками, и все хотят попробовать себя в этом деле. Поэтому многие начинающие злоумышленники осуществляют DoS-атаки ради развлечения. После успешно проведённого нападения они смотрят масштабы своих разрушений.[6]
Политический протест
Наиболее известными DDoS-атаками с целью политического протеста были акции в поддержку Памятника Воину-освободителю в Эстонии (2007)[7], Южной Осетии (2008), Wikileaks (2011), Megaupload (2012) и EX.UA (2012).
Недобросовестная конкуренция
DDoS-атаки могут осуществляться по заказу недобросовестного конкурента.
Вымогательство или шантаж
DDoS-атаки могут осуществляться с целью вымогательства или шантажа, в этом случае злоумышленник предварительно связывается с владельцем сайта.
Классификация DoS-атак
Хакерам гораздо легче осуществить DoS-атаку на систему, чем получить полный доступ к ней. Существуют различные причины, из-за которых может возникнуть DoS-условие, то есть такая ситуация, при которой пользователи не могут получить доступ к ресурсам, которые предоставляет сервер, либо доступ к ним существенно затруднен:[8]
Насыщение полосы пропускания
В настоящее время практически каждый компьютер подключён к сети Internet либо к локальной сети. Это служит отличным поводом для осуществления DoS-атаки за счет переполнения полосы пропускания. Обычно злоумышленники пользуются флудом (англ. flood — «наводнение», «переполнение») — атака, связанная с большим количеством обычно бессмысленных или сформированных в неправильном формате запросов к компьютерной системе или сетевому оборудованию, имеющая своей целью или приведшая к отказу в работе системы из-за исчерпания системных ресурсов — процессора, памяти или каналов связи. Есть несколько разновидностей флуда.[9]
HTTP-флуд и ping-флуд
Это самый примитивный вид DoS-атаки. Насыщение полосы пропускания можно осуществить с помощью обычных ping-запросов только в том случае, если канал атакующего намного шире канала компьютера-жертвы. Но такая атака бесполезна против сервера, так как тот, в свою очередь, обладает довольно широкой полосой пропускания. Для атаки на сервер обычно применяется HTTP-флуд. Атакующий шлёт маленький по объёму HTTP-пакет, но такой, чтобы сервер ответил на него пакетом, размер которого в сотни раз больше. Даже если канал сервера в десять раз шире канала атакующего, то все равно есть большой шанс насытить полосу пропускания жертвы. А для того, чтобы ответные HTTP-пакеты не вызвали отказ в обслуживании у злоумышленника, он каждый раз подменяет свой ip-адрес на ip-адреса узлов в сети.[10]
Smurf-атака (ICMP-флуд)
Атака Smurf или ICMP-флуд — один из самых опасных видов DoS-атак, так как у компьютера-жертвы после такой атаки произойдет отказ в обслуживании практически со 100 % гарантией. Злоумышленник использует широковещательную рассылку для проверки работающих узлов в системе, отправляя ping-запрос. Очевидно, атакующий в одиночку не сможет вывести из строя компьютер-жертву, поэтому требуется ещё один участник — это усиливающая сеть. В ней по широковещательному адресу злоумышленник отправляет поддельный ICMP пакет. Затем адрес атакующего меняется на адрес жертвы. Все узлы пришлют ей ответ на ping-запрос. Поэтому ICMP-пакет, отправленный злоумышленником через усиливающую сеть, содержащую 200 узлов, будет усилен в 200 раз. Для такой атаки обычно выбирается большая сеть, чтобы у компьютера-жертвы не было никаких шансов.[11]
Атака Fraggle (UDP-флуд)
Основная статья: echoАтака Fraggle (осколочная граната)(от англ. Fraggle attack) является полным аналогом Smurf-атаки, где вместо ICMP пакетов используются пакеты UDP, поэтому её ещё называют UDP-флуд. Принцип действия этой атаки простой: на седьмой порт жертвы отправляются echo-команды по широковещательному запросу. Затем подменяется ip-адрес злоумышленника на ip-адрес жертвы, которая вскоре получает множество ответных сообщений. Их количество зависит от числа узлов в сети. Эта атака приводит к насыщению полосы пропускания и полному отказу в обслуживании жертвы. При этом, если служба echo отключена, то будут сгенерированы ICMP-сообщения, что также приведёт к насыщению полосы.[11]
Атака с помощью переполнения пакетами SYN (SYN-флуд)
Установка TCP — соединенияДо появления атаки Smurf была широко распространена атака с помощью переполнения пакетами SYN, также известная под названием SYN-флуд.[12] Для описания её действия можно остановиться на рассмотрении двух систем А и В, которые хотят установить между собой TCP соединение, после которого они смогут обмениваться между собой данными. На установку соединения выделяется некоторое количество ресурсов, этим и пользуются DoS-атаки. Отправив несколько ложных запросов, можно израсходовать все ресурсы системы, отведённые на установление соединения.[13] Рассмотрим подробнее, как это происходит. Хакер с системы А отправляет пакет SYN системе В, но предварительно поменяв свой IP-адрес на несуществующий. Затем, ничего не подозревая, компьютер В отправляет ответ SYN/ACK на несуществующий IP-адрес и переходит в состояние SYN-RECEIVED. Так как сообщение SYN/ACK не дойдет до системы А, то компьютер В никогда не получит пакет с флагом ACK.[14][15] Данное потенциальное соединение будет помещено в очередь. Из очереди оно выйдет только по истечении 75 секунд.[16] Этим пользуются злоумышленники и отправляют сразу несколько пакетов SYN на компьютер жертвы с интервалом в 10 секунд, чтобы полностью исчерпать ресурсы системы. Определить источник нападения очень непросто, так как злоумышленник постоянно меняет исходный IP-адрес.[17]
Недостаток ресурсов
Злоумышленники прибегают к данному виду DoS-атаки для захвата системных ресурсов, таких как оперативная и физическая память, процессорное время и другие. Обычно такие атаки проводятся с учётом того, что хакер уже обладает некоторым количеством ресурсов системы. Целью атаки является захват дополнительных ресурсов. Для этого не обязательно насыщать полосу пропускания, а достаточно просто перегрузить процессор жертвы, то есть занять всё допустимое процессорное время.[18]
Отправка «тяжёлых» запросов
Атакующий посылает серверу пакеты, которые не насыщают полосу пропускания (канал обычно довольно широкий), но тратят всё его процессорное время. Процессор сервера, когда будет их обрабатывать, может не справиться со сложными вычислениями. Из-за этого произойдёт сбой, и пользователи не смогут получить доступ к необходимым ресурсам.
Переполнение сервера лог-файлами
Лог-файлы сервера — это файлы, в которых записываются действия пользователей сети или программы. Неквалифицированный администратор может неправильно настроить систему на своём сервере, не установив определённый лимит. Хакер воспользуется этой ошибкой и будет отправлять большие по объёму пакеты, которые вскоре займут всё свободное место на жёстком диске сервера. Но эта атака сработает только в случае с неопытным администратором, квалифицированные хранят лог-файлы на отдельном системном диске.[10]
Плохая система квотирования
На некоторых серверах есть так называемая CGI-программа, которая связывает внешнюю программу с Web-сервером. Если хакер получит доступ к CGI, то он сможет написать скрипт (англ. scripting language), который задействует немало ресурсов сервера, таких как оперативная память и процессорное время. К примеру, скрипт CGI может содержать в себе циклическое создание больших массивов или вычисления сложных математических формул. При этом центральный процессор может обращаться к такому скрипту несколько тысяч раз. Отсюда вывод: если система квотирования настроена неправильно, то такой скрипт за малое время отнимет все системные ресурсы у сервера. Конечно, выход из этой ситуации очевиден — поставить определённый лимит на доступ к памяти, но и в этом случае процесс скрипта, достигнув этого лимита, будет находиться в ожидании до тех пор, пока не выгрузит из памяти все старые данные. Поэтому пользователи будут испытывать недостаток в системных ресурсах.[19]
Недостаточная проверка данных пользователя
Недостаточная проверка данных пользователя также приводит к бесконечному либо длительному циклу или повышенному длительному потреблению процессорных ресурсов (вплоть до исчерпания процессорных ресурсов) либо выделению большого объёма оперативной памяти (вплоть до исчерпания доступной памяти).[13]
Атака второго рода
Это атака, которая стремится вызвать ложное срабатывание системы защиты и таким образом привести к недоступности ресурса.
Ошибки программирования
Профессиональные реализаторы DoS-атак не используют такой примитивный способ атаки, как насыщение полосы пропускания. Полностью разобравшись в структуре системы жертвы, они пишут программы (эксплойты), которые помогают атаковать сложные системы коммерческих предприятий или организаций. Чаще всего это ошибки в программном коде, приводящие к обращению к неиспользуемому фрагменту адресного пространства, выполнению недопустимой инструкции или другой необрабатываемой исключительной ситуации, когда происходит аварийное завершение программы-сервера — серверной программы. Классическим примером является обращение по нулевому (англ. null) адресу.[20]
Недостатки в программном коде
Обработка исключительных ситуаций всегда была головной болью для создателей операционных систем. Злоумышленники ищут ошибки в программном коде какой-либо программы либо операционной системы, заставляют её обрабатывать такие исключительные ситуации, которые она обрабатывать не умеет. За счёт этого возникают ошибки. Простым примером может служить частая передача пакетов, в которой не учитываются спецификации и стандарты RFC-документов.[21] Злоумышленники наблюдают за тем, справляется ли сетевой стек с обработкой исключительных ситуаций. Если нет, то передача таких пакетов приведёт к панике ядра (kernel panic) или даже к краху всей системы в целом.[22]
К этому классу относится ошибка Ping of death, распространённая в 1990-е годы. Длина пакета IPv4 по стандарту RFC 791 IPv4 не может превышать 65 535 байт; компьютеру-жертве посылается ICMP-пакет большей длины, предварительно разбитый на части; у жертвы от такого пакета переполняется буфер. Другая ошибка тех времён — WinNuke (Windows 95 неправильно обрабатывала редкий бит TCP-пакета URG).
Переполнение буфера
Переполнение буфера возникает в том случае, если программа из-за ошибки программиста записывает данные за пределами буфера. Допустим, программист написал приложение для обмена данными по сети, которое работает по какому-либо протоколу. В этом протоколе строго указано, что определённое поле пакета максимум может содержать 65536 байт данных. Но после тестирования приложения оказалось, что в её клиентской части в это поле нет необходимости помещать данные, размер которых больше 255 байт. Поэтому и серверная часть примет не более 255 байт. Далее злоумышленник изменяет код приложения так, что теперь клиентская часть отправляет все допустимые по протоколу 65536 байт, но сервер к их приёму не готов. Из-за этого возникает переполнение буфера, и пользователи не могут получить доступ к приложению.[10]
Маршрутизация и атаки DNS
Все атаки на DNS-серверы можно разбить на два типа:[23]
DoS-атаки на уязвимости в программном обеспечении на DNS-серверах
Их ещё называют атаками на кэш. В процессе этой атаки злоумышленник подменяет IP-адрес DNS-сервера домена жертвы. После чего атакуемый при запросе HTML-страницы, попадает либо в «чёрную дыру» (если IP-адрес был заменён на несуществующий), либо прямиком на сервер злоумышленника. Второй случай более плачевен, так как злоумышленник легко может получить доступ к личным данным ничего не подозревающей жертвы. Рассмотрим на примере, как это происходит. Допустим, что клиент хочет попасть на Web-узел компании microsoft.com. Но использовав уязвимость в DNS-сервере компании, злоумышленник подменил IP-адрес узла microsoft.com на свой. Теперь жертва автоматически перенаправляется на узел к атакующему.
DDoS атаки на DNS-серверы
Иллюстрация примера атаки через неправильно сконфигурированный DNS-сервер.[24]Далее речь пойдёт о DDoS-атаках, так как участие DNS-серверов всегда подразумевает наличие большого количества компьютеров. Атаки на DNS-серверы — самые банальные атаки, приводящие к отказу в обслуживании DNS-сервера как путём насыщения полосы пропускания, так и путём захвата системных ресурсов. Но такая атака требует огромного количества компьютеров-зомби. После её успешного проведения пользователи не могут попасть на нужную им страницу в Интернете, потому что DNS-сервер не может преобразовать доменное имя в IP-адрес сайта. Но в настоящее время атаки на DNS-серверы с использованием большого числа компьютеров-зомби (такую систему называют «ботнет») менее актуальны, так как интернет-провайдеры легко замечают большое количество исходящего трафика и блокируют его. Злоумышленники теперь обходятся небольшими ботнетами, либо не используют их вовсе. Основная идея состоит в том, что хакеры используют DNS-серверы[25], работающие на основе технологии DNSSEC.[26] Мощность атаки возрастает вследствие увеличения отражений DNS-запросов. В идеале DNS-серверы определённого провайдера должны обрабатывать только те запросы, которые пришли к ним от пользователей этого провайдера, но это далеко от реальности. По всему миру очень много некорректно настроенных серверов, которые могут принять запрос от любого пользователя в Интернете. Работники компании CloudFlare утверждают, что в настоящее время в Интернете более 68 тысяч неправильно настроенных DNS-серверов, из них более 800 — в России.[27] Именно такие DNS-серверы используются для DDoS-атак. Основная идея состоит в том, что практически все DNS-запросы пересылаются по протоколу UDP, в котором сравнительно просто подменить обратный адрес на адрес жертвы. Поэтому через неправильно сконфигурированные DNS-серверы злоумышленник шлёт такой запрос, чтобы ответ на него был как можно больше по объёму (например, это может быть список всех записей в таблице DNS), в котором обратный IP-адрес подменяется на IP-адрес жертвы. Как правило, серверы провайдеров имеют довольно большую пропускную способность, поэтому сформировать атаку в несколько десятков Гбит/c не составляет особого труда.[28]
Расположение неправильно сконфигурированных DNS-серверов.
Красный — около 30 тысяч штук; бледно-бордовый — около 5 тысяч штук; серый — от 10 до 2000 штук; белый — практически нет неправильно настроенных DNS-серверов
Список автономных систем с самым большим числом неправильно сконфигурированных DNS-серверов на 10.11.2013.[27]
Число DNS-серверов | Имя автономной системы |
---|---|
2108 | BELPAK-AS Republican Unitary Telecommunication Enterprise Be |
1668 | HINET Data Communication Business Group |
1596 | OCN NTT Communications Corporation |
1455 | TELEFONICA CHILE S.A. |
1402 | KIXS-AS-KR Korea Telecom |
965 | Telefonica de Argentina |
894 | ERX-TANET-ASN1 Tiawan Academic Network (TANet) Information C |
827 | KDDI KDDI CORPORATION |
770 | Compa Dominicana de Telefonos, C. por A. — CODETEL |
723 | CHINANET-BACKBONE No.31,Jin-rong Street |
647 | LGDACOM LG DACOM Corporation |
606 | UUNET — MCI Communications Services, Inc. d/b/a Verizon Busi |
604 | TELKOMNET-AS2-AP PT Telekomunikasi Indonesia |
601 | COLOMBIA TELECOMUNICACIONES S.A. ESP |
Выявление DoS/DDoS-атак
Существует мнение, что специальные средства для выявления DoS-атак не требуются, поскольку факт DoS-атаки невозможно не заметить. Во многих случаях это действительно так. Однако достаточно часто наблюдались удачные DoS-атаки, которые были замечены жертвами лишь спустя 2-3 суток. Бывало, что негативные последствия атаки (флуд-атаки) выливались в излишние расходы на оплату избыточного Internet-трафика, что выяснялось лишь при получении счёта от Internet-провайдера. Кроме того, многие методы обнаружения атак неэффективны вблизи объекта атаки, но эффективны на сетевых магистральных каналах. В таком случае целесообразно ставить системы обнаружения именно там, а не ждать, пока пользователь, подвергшийся атаке, сам её заметит и обратится за помощью. К тому же для эффективного противодействия DoS-атакам необходимо знать тип, характер и другие характеристики DoS-атак, а оперативно получить эти сведения как раз и позволяют службы обеспечения безопасности. Они помогают произвести некоторые настройки системы. Но определить, была ли данная атака произведена злоумышленником, либо отказ в обслуживании был следствием нештатного события, они не могут. В соответствии с правилами политики обеспечения безопасности, при обнаружении DoS или DDoS-атаки потребуется её регистрация для дальнейшего аудита. После того, как атака была зафиксирована, могут потребоваться службы обеспечения безопасности для некоторых корректировок в системе и для её возвращения к прежнему уровню работы. Также для обнаружения DDoS-атаки могут использоваться службы, не связанные с безопасностью, например, перенаправление трафика по другим каналам связи, включение резервных серверов для копирования информации. Таким образом, средства для обнаружения и предотвращения DDoS-атак могут сильно различаться в зависимости от вида защищаемой системы.[29]
Методы обнаружения DoS-атак можно разделить на несколько больших групп:
- сигнатурные — основанные на качественном анализе трафика.
- статистические — основанные на количественном анализе трафика.
- гибридные (комбинированные) — сочетающие в себе достоинства обоих вышеназванных методов.
Получившие известность DDoS атаки
Визуализация DDoS-атаки[30] Пик DDoS-атаки на CloudFlareВоздействие DDoS-атаки на LINX в марте 2013 года.
Архитектура сетей разного уровня в ИнтернетТак, в 2012 году было проведено несколько крупномасштабных DDoS-атак на DNS-серверы. Первая из них планировалась на 31 марта, но так и не состоялась. Целью злоумышленников из группы Anonymous[31] было довести до отказа всю глобальную сеть Интернет. Они хотели это сделать с помощью DDoS-атаки на 13 корневых DNS-серверов[32]. Злоумышленники выпустили специальную утилиту Ramp, которая предназначалась для объединения более мелких DNS-серверов и интернет-провайдеров. С помощью них и планировалось вывести из строя глобальную сеть.
Точно такая же атака была проведена в ноябре 2002 года. Её до сих пор считают самой глобальной DDoS-атакой на DNS-серверы, так как в результате злоумышленники смогли вывести из строя 7 корневых серверов. Следующая атака прошла в августе на компанию AT&T, являющуюся крупнейшей американской телекоммуникационной компанией. В результате после атаки, которая продлилась 8 часов, вышли из строя DNS-серверы компании. Пользователи некоторое время не могли зайти не только на сайт компании AT&T, но и на коммерческие сайты в её сети.
Ещё одна атака прошла 10 ноября 2012 года на компанию Go Daddy, которая является крупнейшим в мире хостинг-провайдером. Последствия атаки были разрушительны: пострадал не только сам домен www.godaddy.com, но и более 33 миллионов доменов в сети Интернет, которые были зарегистрированы компанией.[33]
Намного раньше, 22 августа 2003 года злоумышленники при помощи вируса Mydoom вывели из строя сайт компании SCO, занимающейся разработкой системного программного обеспечения. Целых 3 дня пользователи не могли попасть на сайт компании.[34]
Атака на Spamhaus
15 сентября 2012 года, крупная DDoS-атака мощностью в 65 Гбит/с обрушилась на компанию CloudFlare, которая является сетью доставки контента, предназначенная для виртуального хостинга. Серверы данной компании расположены по всему миру.[28] Это помогает пользователю загружать страницу в Интернете с ближайшего (с географической точки зрения) сервера CloudFlare намного быстрее. Ранее данная компания выдерживала DDoS-атаки мощностью в несколько десятков Гбит/с, но с атакой в 65 Гбит/с справиться не смогла. Этот пик пришёлся на субботу 15 сентября в 13:00. Сотрудники, работавшие на тот момент в компании CloudFlare, были бывшими хакерами, которым стало интересно разобраться, каким же именно методом была проведена данная DDoS-атака, и как злоумышленники смогли провести её с такой мощностью. Оказалось, что для такой атаки потребовалось бы 65 тысяч ботов, создающих трафик в 1 Мбит/c каждый. Но это невозможно, так как интернет-провайдеры с лёгкостью обнаружат и заблокируют такой большой объём трафика. При этом аренда большого ботнета очень дорого обходится. Поэтому выяснилось, что для такой атаки использовался метод приумножения DNS-запросов через открытые DNS-серверы.
Приблизительно через полгода, 18 марта, началась, по версии газеты The New York Times, самая большая DDoS-атака в истории, жертвой которой стала компания Spamhaus, занимающаяся занесением в чёрный список источников спама.[35] Причиной атаки послужил тот факт, что Spamhaus занесла в чёрный список за рассылку спама голландского хост-провайдера Cyberbunker. Второй своё недовольство выразил с помощью DDoS-атаки с пиковой мощностью в 300 Гбит/с через открытые DNS-серверы. 19 марта мощность достигла 90 Гбит/c, меняя своё значение от 30 Гбит/с.[36] После этого было затишье, но оно продлилось недолго и атака возобновилась с новой силой и 22 марта её мощность достигла 120 Гбит/c. Для отражения атаки компания CloudFlare распределила трафик между своими дата-центрами, после чего Cyberbunker поняла, что не сможет «положить» CloudFlare и начала новую волну атаки на её вышестоящие пиры. Некоторая часть пакетов отфильтровалась на уровне Tier2, остальной трафик попал на уровень Tier1, где мощность и достигла своего максимума в 300 Гбит/c. В этот момент миллионы пользователей сети Интернет почувствовали на себе всю мощь данной атаки, у них тормозили некоторые сайты. В итоге провайдеры выдержали эту атаку, но в Европе было зарегистрировано некоторое увеличение пинга при доступе к различным сайтам. Например, в лондонском центре обмена трафика LINX 23 марта из-за атаки скорость обмена данными упала более чем в два раза. Средняя скорость в 1.2 Тбит/c упала до 0.40 Тбит/c.[37]
Защита от DDoS-атак
Цитата
Только атаки дилетантов нацелены на машины. Атаки профессионалов нацелены на людей.
Полностью защититься от DDoS-атак на сегодняшний день невозможно, так как совершенно надёжных систем не существует. Здесь также большую роль играет человеческий фактор, потому что любая ошибка системного администратора, неправильно настроившего маршрутизатор, может привести к весьма плачевным последствиям. Однако, несмотря на всё это, на настоящий момент существует масса как аппаратно-программных средств защиты, так и организационных методов противостояния.
Меры противодействия DDoS-атакам можно разделить на пассивные и активные, а также на превентивные и реакционные. Ниже приведён краткий перечень основных методов.
- Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать и предпринять DDoS-атаки. (Очень часто кибератаки вообще являются следствиями личных обид, политических, религиозных и иных разногласий, провоцирующего поведения жертвы и т. п.). Нужно вовремя устранить причины DDoS-атак, после этого сделать выводы, чтобы избежать таких атак в будущем.
- Ответные меры. Применяя технические и правовые меры, нужно как можно активнее воздействовать на источник и организатора DDoS-атаки. В настоящее время даже существуют специальные фирмы, которые помогают найти не только человека, который провел атаку, но даже и самого организатора.
- Программное обеспечение. На рынке современного программного и аппаратного обеспечения существует и такое, которое способно защитить малый и средний бизнес от слабых DDoS-атак. Эти средства обычно представляют собой небольшой сервер.
- Фильтрация и блэкхолинг. Блокирование трафика, исходящего от атакующих машин. Эффективность этих методов снижается по мере приближения к объекту атаки и повышается по мере приближения к атакующей машине. В этом случае фильтрация может быть двух видов: использование межсетевых экранов и списков ACL. Использование межсетевых экранов блокирует конкретный поток трафика, но не позволяет отделить «хороший» трафик от «плохого». ACL списки фильтруют второстепенные протоколы и не затрагивают протоколы TCP. Это не замедляет скорость работы сервера, но бесполезно в том случае, если злоумышленник использует первостепенные запросы.[39]
- Обратный DDOS — перенаправление трафика, используемого для атаки, на атакующего. При достаточной мощности атакуемого сервера позволяет не только успешно отразить атаку, но и вывести из строя сервер атакующего.
- Устранение уязвимостей. Не работает против флуд-атак, для которых «уязвимостью» является конечность тех или иных системных ресурсов. Данная мера нацелена на устранение ошибок в системах и службах.
- Наращивание ресурсов. Абсолютной защиты, естественно, не дает, но является хорошим фоном для применения других видов защиты от DDoS-атак.
- Рассредоточение. Построение распределённых и дублирование систем, которые не прекратят обслуживать пользователей, даже если некоторые их элементы станут недоступны из-за DoS-атаки.
- Уклонение. Увод непосредственной цели атаки (доменного имени или IP-адреса) подальше от других ресурсов, которые часто также подвергаются воздействию вместе с непосредственной целью атаки.
- Активные ответные меры. Воздействие на источники, организатора или центр управления атакой, как техногенными, так и организационно-правовыми средствами.
- Использование оборудования для отражения DDoS-атак. Например, DefensePro® (Radware), SecureSphere® (Imperva), Периметр (МФИ Софт), Arbor Peakflow®, Riorey, Impletec iCore и от других производителей. Устройства развёртываются перед серверами и маршрутизаторами, фильтруя входящий трафик.
- Приобретение сервиса по защите от DDoS-атак. Актуально в случае превышения флудом пропускной способности сетевого канала.
Также компания Google готова предоставлять свои ресурсы для отображения контента вашего сайта в том случае, если сайт находится под DDoS-атакой. На данный момент сервис Project Shield находится на стадии тестирования, но туда могут быть приняты сайты некоторых тематик[40]. Цель проекта — защитить свободу слова.
Статистика
Эксперты «Лаборатории Касперского» провели исследование и выяснили, что в 2015 году DDoS-атаке подверглась каждая шестая российская компания. По данным специалистов, в течение года было совершено около 120 тысяч атак, которые были направлены на 68 тысяч ресурсов по всему миру. В России киберпреступники чаще всего выбирали своей мишенью крупный бизнес — 20 % случаев, средний и малый бизнес — 17 %. DDoS-атаки были нацелены на создание проблем в работе главной страницы сайта компаний (55 % атак), выведение из строя коммуникационных сервисов и почты (34 %), функции, позволяющие пользователю войти в систему (23 %). Также эксперты выяснили, что 18 % DDoS-атак зафиксировано на файловые серверы и 12 % — на сервисы по совершению финансовых операций. Россия занимает пятое место в мире по количеству DDoS-атак на её сайты. Большее количество киберпреступлений совершается в Китае, США, Корее и Канаде. Однако атаки чаще всего совершаются китайскими и российскими хакерами[41].
См. также
Примечания
- ↑ Internet Denial of Service, 2004.
- ↑ Denial of Service Attacks, 2004.
- ↑ Компьютерные вирусы изнутри и снаружи, 2006.
- ↑ Иллюстрированный самоучитель по защите в Интернет, 2004, p. 2.
- ↑ Практическая криптография, 2005.
- ↑ The philosophy of Anonymous, 2013.
- ↑ Lenta.ru: Медиа: Хакеры атакуют эстонские правительственные сайты
- ↑ Иллюстрированный самоучитель по защите в Интернет, 2004, p. 3.
- ↑ Иллюстрированный самоучитель по защите в Интернет, 2004, p. 4.
- ↑ 1 2 3 Хакер, 2003.
- ↑ 1 2 Иллюстрированный самоучитель по защите в Интернет, 2004, p. 8.
- ↑ RFC 4987, 2007.
- ↑ 1 2 Security Problems in the TCP/IP protocol Suite, 1989.
- ↑ «Project Neptune», 07.1996.
- ↑ A Weakness in the 4.2BSD Unix TCP/IP Software, 1985.
- ↑ IP-spooling Demystified, 1996.
- ↑ Иллюстрированный самоучитель по защите в Интернет, 2004, p. 9.
- ↑ Иллюстрированный самоучитель по защите в Интернет, 2004, p. 5.
- ↑ Хакер, 2005.
- ↑ Иллюстрированный самоучитель по защите в Интернет, 2004, p. 6.
- ↑ RFC documents, 2004.
- ↑ Анализ типовых нарушений безопасности в сетях, 2001.
- ↑ Иллюстрированный самоучитель по защите в Интернет, 2004, p. 7.
- ↑ CloudFlare, 30.10.2012.
- ↑ DNS, 1987.
- ↑ DNSSEC, 2010.
- ↑ 1 2 Хакер, 31.10.2012.
- ↑ 1 2 Хакер, 18.09.2012.
- ↑ Информационная безопасность открытых систем, 2012, p. 39.
- ↑ Хакер, 28.04.2013.
- ↑ IRC-сервер Anonymous, 2011.
- ↑ Root name server, 2013.
- ↑ Падение DNS-серверов GoDaddy, 11.09.2012.
- ↑ MyDoom – самая дорогая вредоносная программа десятилетия, 26.01.2011.
- ↑ How the Cyberattack on Spamhaus Unfolded, 2013.
- ↑ The DDoS That Almost Broke the Internet, 2013.
- ↑ DDoS-атака 300 Гбит/с, 27.03.2013.
- ↑ Semantic Attacks: The Third Wave of Network Attacks
- ↑ DDoS Mitigation via Regional Cleaning Centers, 2011.
- ↑ Защита от DDoS-атак с помощью Project Shield
- ↑ ТАСС: Экономика и бизнес — «Лаборатория Касперского»: каждая шестая компания РФ в 2015 г. подвергалась DDoS-атаке
Литература
- Крис Касперски, Андрей Комаров, Степан Ильин, Леонид Стройков, Сергей Яремчук, Денис Колесниченко. Хакер. — 2003.
- Mockapetris. P. Domain Names — Concepts and Facilities. — Network Working Group. — 1987.
- Крис Касперски, Денис Колесниченко. Хакер. — 2005.
- коллектив авторов. Иллюстрированный самоучитель по защите в Интернет. — 2004. — С. 2, 3, 4, 5, 6, 7, 8, 9, 12.
- Евгений Зобнин. Журнал «Хакер», Устоять любой ценой. Методы борьбы с DoS/DDoS-атаками. — 2009.
- Б. Шнайер. Секреты и ложь. Безопасность данных в цифровом мире. — СПб.: Питер, 2000. — С. 432. — ISBN 5-318-00193-9.
- Крис Касперски. Компьютерные вирусы изнутри и снаружи. — СПб.: Питер, 2006. — С. 526. — ISBN 5-469-00982-3.
- The DDoS That Almost Broke the Internet. — 2013.
- CloudFlare blog, Deep Inside a DNS Amplification DDoS Attack. — 30.10.2012.
- Журнал «Хакер», DDoS с умножением через DNS-резолверы: технические подробности. — 31.10.2012.
- Global Upgrade Makes Internet More Secure. — 2010.
- Peng Liu. Denial of Service Attacks. — University Park. — 2004.
- Журнал «Хакер», Визуализация DDoS-атаки. — 28.04.2013.
- David Dittrich, Jelena Mirkovic, Peter Reiher, Sven Dietrich. Internet Denial of Service: Attack and Defense Mechanisms. — 1. — Москва: Pearson Education, 2004. — С. 400. — ISBN 0132704544, 9780132704540.
- Журнал «Хакер», Неправильно сконфигурированные DNS-серверы. — 2013.
- Н. Фергюсон, Б. Шнайер. Практическая криптография. — Москва: Вильямс, 2005. — С. 416. — ISBN 5-8459-0733-0.
- J. Reynolds, R. Braden. Request for Comments (RFC). — 2004.
- Журнал «Хакер», DDoS-атака 300 Гбит/с замедлила весь интернет. — 27.03.2013.
- Журнал «Хакер», Хакеры взломаны: захвачен главный IRC-сервер Anonymous. — 2011.
- Мельников Д. А. Информационная безопасность открытых систем. — Москва: ФЛИНТА, 2012. — С. 448. — ISBN 978-5-9765-1613-7.
- Журнал «Хакер», Новая волна DDoS-атак в Рунете. — 12.08.2013.
- Root Server Technical Operations Association. — 2013.
- S. Northcutt, M. Cooper, M. Fearnow, K. Frederik. Анализ типовых нарушений безопасности в сетях = Intrusion Signatures and Analysis. — New Riders Publishing (англ.) СПб.: Издательский дом «Вильямс» (русск.), 2001. — С. 464. — ISBN 5-8459-0225-8 (русск.), 0-7357-1063-5 (англ.).
- Журнал «Хакер», MyDoom – самая дорогая вредоносная программа десятилетия. — 26.01.2011.
- W. Eddy. TCP SYN Flooding Attacks and Common Mitigations. — 2007.
- A. McLEAN, G. Gates, A. Tse. How the Cyberattack on Spamhaus Unfolded. — 2013.
- Журнал «Хакер», Миллионы сайтов ушли в офлайн из-за падения DNS-серверов GoDaddy. — 11.09.2012.
- S.Agarwal, T. Dawson, C. Tryfonas. DDoS Mitigation via Regional Cleaning Centers. — 2011.
- B. Schneier. Applied Cryptography. — John Wiley & Sons. — 1996. — С. 784. — ISBN 0-471-11709-9.
- H. Halpin. The philosophy of Anonymous. — 2013. — С. 28.
- Журнал «Хакер», DDoS-атака 65 Гбит/c через открытые DNS-резолверы. — 18.09.2012.
- Morris, R.T. A Weakness in the 4.2BSD Unix TCP/IP Software. — Computing Scienece Technical Report No.117. — AT&T Bell Laborotories, 1985.
- S. M. Bellovin. Security Problems in the TCP/IP protocol Suite. — Computer Communication Review, Vol. 19, No.2. — AT&T Bell Laborotories, 1989.
- R. W. Stevens. IP-spooling Demystified: Trust Realationship Exploitation. — Phrack Magazine, Vol.7, Issue 48. — Guild Production, 1996.
- R. W. Stevens. «Project Neptune». — Phrack Magazine, Vol.7, Issue 48. — Guild Production, 07.1996. = Наказание за DoS-атаку = Статья 272 УК РФ: Неправомерный доступ к компьютерной информации
Ссылки
Зомби-компьютер: что это и как работает?
Что такое зомби?
В вычислениях зомби — это компьютер, подключенный к сети, который был взломан хакером, вирусом или трояном. Его можно использовать удаленно для вредоносных задач.
Большинство владельцев зомби-компьютеров не понимают, что их система используется таким образом , отсюда и сравнение с живыми мертвыми. Они также используются в DDoS-атаках в координации с ботнетами, что напоминает типичные атаки зомби в фильмах ужасов.
Для чего они используются?
Зомби часто используются в атаках типа «отказ в обслуживании» (DDoS), что означает насыщение веб-сайтов множеством компьютеров, получающих доступ одновременно. Поскольку так много пользователей одновременно отправляют запросы к серверу, на котором размещена веб-страница, сервер дает сбой, запрещая доступ подлинным пользователям.
Вариант этого типа насыщения известен как атака с ухудшением качества обслуживания и использует «пульсирующие зомби»: деградацию службы путем периодического насыщения веб-сайтов с низкой интенсивностью с намерением замедлить вместо блокировки . , целевой веб-сайт.Такие атаки трудно обнаружить, так как медленное обслуживание может оставаться незамеченным в течение месяцев или даже лет или просто предполагается, что это связано с другими проблемами.
Зомби также использовались для рассылки спама. В 2005 году было подсчитано, что от 50% до 80% всего циркулирующего спама было отправлено зомби-компьютерами. Этот метод полезен для преступников, поскольку он помогает им избежать обнаружения и в то же время снижает затраты на полосы пропускания (поскольку владельцы зомби несут расходы).
Этот тип спама также используется для распространения троянов, поскольку этот тип вредоносного ПО не самовоспроизводится, а для своего распространения полагается на рассылку по электронной почте, в отличие от червей, распространяющихся другими способами. По тем же причинам зомби также используются для мошенничества с сайтами с контекстной рекламой с оплатой за клик, искусственно увеличивая количество посещений.
Крупные атаки
В 2000 году несколько известных веб-сайтов (таких как Yahoo или eBay) потерпели крах из-за распределенной атаки отказа в обслуживании, осуществленной канадским подростком под ником MafiaBoy.Позже та же модель использовалась и в других крупномасштабных атаках типа «отказ в обслуживании» и «деградации обслуживания», например, одна, нацеленная на системы защиты от спама, как SPEWS в 2003 году или одна, нацеленная на Blue Frog в 2006 году.
Совсем недавно, в 2010 году, преступная сеть под названием Mariposa, контролирующая около 13 миллионов компьютеров, была уничтожена в Испании телематической преступной бригадой испанской гражданской гвардии, и преступники были арестованы. В их распоряжении были данные от 800000 человек из 180 стран .
Как защитить себя
Здравый смысл и осторожность — лучшие инструменты безопасности для предотвращения подобных атак. Разумный совет: не посещайте подозрительные веб-сайты, не загружайте сомнительные файлы и не нажимайте ничего в подозрительных сообщениях.
Также рекомендуется избегать непрофессиональных веб-сайтов или веб-сайтов неизвестных компаний, загружать файлы только из надежных источников и применять меры безопасности на своих компьютерах, такие как антивирус, антиспам или брандмауэры.
Что такое боты, ботнеты и зомби?
В новостях об интернет-преступлениях часто упоминаются «боты», «зомби» и «ботнеты». Из контекста нетрудно понять, что это угрозы компьютерной или сетевой безопасности. Но что они собой представляют, как они работают и какой ущерб могут нанести?
Бот, сокращенно от «робот», — это тип программного приложения или сценария, который выполняет автоматические задачи по команде. Плохие боты выполняют вредоносные задачи, которые позволяют злоумышленнику удаленно получить контроль над зараженным компьютером.После заражения эти машины также могут называться зомби.
Готовы ли вы к сегодняшним атакам? Узнайте о крупнейших киберугрозах года в нашем ежегодном отчете об угрозах.Хотя захват одного компьютера полезен, реальная ценность для преступника заключается в том, что он собирает огромное количество компьютеров-зомби и объединяет их в сеть, чтобы ими можно было управлять одновременно для совершения крупномасштабных злонамеренных действий. Этот тип сети известен как «ботнет».
Как работают бот-сети?
Ботнеты были одним из наиболее распространенных методов развертывания вредоносных программ за последнее десятилетие, заразив сотни миллионов компьютеров.Поскольку бот-сети заражают новые технологии, такие как устройства Интернета вещей (IoT) в домах, общественных местах и безопасных зонах, скомпрометированные системы могут подвергнуть риску еще больше ничего не подозревающих пользователей.
Они выполняют большие операции, оставаясь маленькими
Большинство людей были бы шокированы, узнав, что спам, который они получают, исходит с тысяч или даже миллионов компьютеров, таких как их собственный. Настоящие владельцы этих компьютеров все еще могут их использовать и, вероятно, совершенно не подозревают, что что-то не так, за исключением, возможно, того, что их компьютер иногда кажется медленным.Большинство ботнетов занимают чрезвычайно мало места, что означает, что они перегружают вашу систему или используют много системных ресурсов, поэтому может быть сложно распознать, когда ваша машина используется преступником в злонамеренных целях. У них также обычно есть способность маскироваться, чтобы они могли выполнять крупномасштабные атаки, не будучи замеченными.
Они взламывают незащищенные устройства с открытым исходным кодом
БотнетMirai, обнаруженный в 2016 году, в первую очередь атаковал устройства Интернета вещей, включая камеры и интернет-маршрутизаторы.По сути, устройства, зараженные вредоносным ПО Mirai, стали ботами, которые сканировали Интернет, чтобы найти устройства IoT. Затем Mirai будет использовать стандартные имена пользователей и пароли по умолчанию, установленные производителями устройств, чтобы попытаться проникнуть и заразить эти устройства. По большей части зараженные устройства будут нормально функционировать, даже если они использовались в крупных распределенных атаках типа «отказ в обслуживании» (DDoS).
Незащищенный компьютер или другое устройство, подключенное к Интернету, может быть заражено вредоносным ПО и превращено в бота всего за несколько минут, что подчеркивает критическую необходимость для каждого пользователя компьютера и смартфона иметь современное программное обеспечение для обеспечения безопасности в Интернете. свои устройства и всегда менять заводские имена пользователей и пароли по умолчанию.
Почему киберпреступники используют атаки ботнетов?
Кража финансовой и личной информации
Хакеры могут использовать бот-сети для рассылки спама, фишинга или других видов мошенничества, чтобы заставить потребителей отказаться от своих кровно заработанных денег. Они также могут собирать информацию с зараженных ботами машин и использовать ее для кражи личных данных и взимания платы за кредиты и покупки от имени пользователя.
Для атаки на легитимные веб-службы
Преступники могут использовать свои бот-сети для создания DoS- и DDoS-атак, которые наводняют законный сервис или сеть огромным объемом трафика.Громкость может серьезно замедлить работу службы или сети компании по реагированию или может полностью перегрузить службу или сеть компании и закрыть их.
Вымогать деньги у пострадавших
Доход от DoS-атак поступает через вымогательство (оплата или отключение вашего сайта) или через платежи групп, заинтересованных в нанесении ущерба компании или сети. В эти группы входят «хактивисты» — хакеры с политическими взглядами, а также иностранные военные и разведывательные организации.
Зарабатывать на зомби и ботнет-системах
Киберпреступники также могут сдавать свои бот-сети в аренду другим преступникам, которые хотят рассылать спам, мошенничество, фишинг, кражу личных данных и атаковать законные веб-сайты и сети.
Советы по предотвращению атаки ботнета
Если вы не установили программное обеспечение безопасности и не убедились, что оно включено и постоянно обновляется, ваша машина, скорее всего, заражена всевозможными вредоносными программами. Вот несколько шагов, которые вы должны предпринять, чтобы защитить свои системы от проникновения ботнетов:
Общие пользовательские риски возникают при загрузке контента с неизвестных сайтов или от друзей, у которых нет новейших средств защиты, и при непреднамеренной передаче зараженных файлов другим пользователям.Когда люди загружают скомпрометированные файлы, вредоносный код может обойти слабые контрольные точки безопасности, которые, возможно, пытались изолировать и удалить вредоносное ПО. Всегда будьте предельно осторожны при загрузке информации или файлов от кого-то, чей компьютер не защищен.
Разработчики вредоносных программ всегда ищут новые способы обойти меры безопасности, и существует риск заражения из-за действий, предпринятых вами или другим лицом, использовавшим компьютер или систему. Обязательно используйте передовое программное обеспечение для обеспечения безопасности в Интернете, которое может обнаруживать и останавливать вирусы и другие вредоносные программы, даже если вы случайно нажмете ссылку, загрузите файл или предпримете другие действия, которые могут привести к заражению вашего компьютера.
Что такое зомби-компьютер? Сети зомби ослабляют ваш бизнес
В октябре наступает самый жуткий из праздников: Хэллоуин. А в мире технологий мало что может быть более пугающим, чем компьютеры-зомби, зараженные вирусами, которые дают удаленным хакерам полный контроль над устройством и его ресурсами.
И очень похоже на сцену из фильма ужасов, когда компьютер заражен вредоносным ПО такого типа, он быстро пополняет ряды других зомби в кладе, ожидая команд.
Но что отличает зомби-вирусы от обычных вредоносных программ и какова конечная цель хакерских групп, которые развертывают такие угрозы?
Как создаются зомби-сети?
В то время как некоторые вирусы специально нацелены на высокопоставленные цели, такие как компании из списка Fortune 500 или политические деятели, зомби-вредоносное ПО отличается тем, что его цель — тайно заразить как можно больше компьютеров для расширения своей сети.
Чаще всего эти вирусы незаметно проникают через лазейки в сети безопасности или через уязвимости в веб-браузерах и других программах.Хотя количество зараженных компьютеров может варьироваться, самая крупная зомби-сеть (также известная как ботнет) была обнаружена в 2009 году, когда украинская хакерская группа заразила 1,9 миллиона компьютеров с помощью кода JavaScript, который запускался, когда люди открывали мошенническую веб-страницу.
Независимо от того, как вирус попадает на устройство, после установки вредоносное ПО открывает сетевые порты на компьютере, позволяя устройству подключаться к онлайн-серверу, управляемому внешними хакерами.
После того, как сеть вырастет достаточно большой для выполнения поставленной вредоносной задачи, хакер может одновременно назначить сотни, тысячи или даже миллионы компьютеров для выполнения атак через Интернет. Еще более пугающе, поскольку зараженные устройства продолжают работать в обычном режиме, пока хакер дает команды, вполне вероятно, что люди без антивирусного отслеживания поведения и других современных мер безопасности, предлагаемых такими компаниями, как Rocket IT, никогда не поймут, что их устройство было взломано, пока оно не обнаружено. слишком поздно.
Для чего используются компьютеры-зомби?
Теперь, как вы понимаете, если хакеру удается зомбировать большое количество компьютеров, это открывает множество возможностей для вредоносных сетевых атак.
Атаки отказа в обслуживании
Один из самых популярных способов использования компьютеров-зомби — это атаки типа «отказ в обслуживании», широко известные как «DDoS». В этих атаках несколько компьютеров пытаются одновременно получить доступ к одному веб-сайту. Чем больше компьютеров в распоряжении хакера, тем сильнее будет атака.В свою очередь, если у сайта нет ресурсов для размещения того количества компьютеров, которые пытаются его посетить, сервер сайта неизбежно выйдет из строя. А поскольку эти угрозы исходят с нескольких компьютеров, трудно определить и отключить первоначальный источник атаки. В результате хакеры могут вымогать деньги у владельцев сайта и, в свою очередь, пообещать прекратить атаки в будущем.
Атаки с ухудшением качества обслуживания
В качестве альтернативы, если хакер не заинтересован в немедленной выплате наличными и имеет скрытые мотивы, атака с ухудшением качества обслуживания может использовать зомби-компьютеры для спама веб-сайта с немного меньшим трафиком, чем стандартная DDoS-атака.В свою очередь, вместо того, чтобы полностью разрушить сайт, хакеры могут замедлить его, заставляя разработчиков сайта сомневаться в проблеме в течение нескольких недель или месяцев.
Спам
В предыдущем блоге Rocket IT читателям было предложено взглянуть на фишинговые письма изнутри и что они влекут за собой. Но знаете ли вы, что многие из этих фишинговых кампаний распространяются через сеть компьютеров-зомби? Теперь, если у вас есть расширенные спам-фильтры Rocket IT, вы можете не знать об этом, но количество спама, попадающего в почтовые ящики, за последние месяцы резко увеличилось.И хотя не весь спам может привести к превращению вашего компьютера в зомби, фишинг предлагает хакерам простой способ расширить свою сеть зараженных компьютеров.
Без ведома или согласия владельца хакеры могут войти в почтовую платформу зараженного устройства и рассылать спам всему списку контактов. Это не только позволяет вирусу распространяться по всей организации, но также может распространяться на клиентов и других важных лиц. Что еще более важно, поскольку похоже, что спам исходит из надежного источника, получатели с большей вероятностью будут щелкать вложенные вложения или ссылки, что увеличивает вероятность успеха атаки.
Кража данных
И, наконец, не заблуждайтесь и не думайте, что зомби-вирусы используют ваш компьютер только для того, чтобы украсть время и ресурсы у других людей. Как и почти все вредоносные программы, зомби-вирусы также нуждаются в ваших данных. Будь то пароли к онлайн-банкингу или учетные данные администратора для активов компании, наличие зараженного устройства означает, что вы ставите под угрозу свое личное здоровье и здоровье работодателя.
Мой компьютер — зомби?
Определить, является ли ваш компьютер частью сети зомби, может быть сложной задачей.Поскольку зомби-вирусы работают незаметно в фоновом режиме, они не часто представляют серьезные признаки заражения вашего компьютера. Тем не менее, вы можете заметить, что ваш компьютер имеет некоторые скрытые симптомы или предупреждающие знаки, если есть нарушение безопасности.
- Низкая скорость компьютера
- Более высокие счета за Интернет
- Нестабильная скорость сети
- Сбои компьютера
- Запуск неизвестных фоновых приложений
- Антивирусные уведомления нового поколения
- Использование ЦП и ОЗУ выше обычного
Как сделать Защитите свой компьютер от зомби
В предыдущие годы основные меры кибербезопасности, такие как брандмауэры, резервное копирование, фильтры спама по умолчанию и традиционное антивирусное программное обеспечение, могли быть всем, что вам нужно, чтобы оставаться защищенным от злонамеренных атак.К сожалению, хакеры стали умнее; разработка новых вредоносных программ, которые могут остаться незамеченными старыми приложениями безопасности. Имея это в виду, вот несколько способов значительно снизить риск превращения вашего устройства в зомби.
Перейти на антивирус нового поколения
Также известный как обнаружение конечных точек и реагирование на них, антивирус следующего поколения делает то, что не может сделать традиционный антивирус: точно обнаруживает и предотвращает установку новых вирусов на ваше устройство и предотвращает их установку.Чтобы понять, как это работает, давайте кратко рассмотрим, как работают традиционные антивирусные программы. Каждой программе, вредоносной или нет, при разработке присваивается уникальный идентификационный код. Когда обнаруживается новый вирус, разработчики традиционных антивирусных приложений спешат внести этот уникальный идентификатор в список. Перед установкой новой программы традиционный антивирус проверяет загружаемый файл, чтобы убедиться, что его сигнатура не соответствует каким-либо известным угрозам.
К сожалению, поскольку развитие вирусов набирает обороты, во многих случаях этот метод оказывается недостаточно быстрым для решения проблемы.В качестве альтернативы эксперты по кибербезопасности начали предлагать организациям перейти на антивирусное программное обеспечение нового поколения. Вместо того, чтобы просто полагаться на уникальные сигнатуры вирусов для обнаружения угроз, антивирусы нового поколения используют технологию отслеживания поведения для поиска аномальных действий, инициированных программами. Если обнаружено какое-либо подозрительное поведение, антивирус следующего поколения остановит выполнение программы и отправит предупреждение.
Расширенные фильтры спама
Хотя многие почтовые платформы по умолчанию успешно помещают потенциально опасные сообщения в папки нежелательной почты, мошеннические электронные письма часто могут казаться законными.В результате электронные письма с вредоносными вложениями и ссылками довольно часто попадают в ваш почтовый ящик, если не были реализованы соответствующие фильтры спама. К счастью, Microsoft 365 позволяет администраторам легко изменять уровень защиты от нежелательной почты во всей организации.
Обучение безопасности и тестирование на фишинг
Как упоминалось ранее, хакеры активно пытаются развивать зомби-сети путем развертывания фишинговых кампаний в надежде, что ничего не подозревающие люди будут нажимать на ссылки или вложения.И хотя это может показаться сложным методом предотвращения атак, на самом деле регулярное обучение безопасности и фишинговое тестирование могут значительно снизить вероятность того, что ваш компьютер станет частью скопления зомби. Благодаря обучению Rocket IT по вопросам безопасности команды могут начать понимать текущие фишинговые угрозы и способы их обнаружения. В частности, на этих обучающих курсах рассматриваются новые методы подделки электронных писем, способы обнаружения поддельных URL-ссылок и грамматические ошибки, на которые следует обратить внимание при просмотре содержимого электронного письма.
После завершения начального обучения можно использовать регулярное фишинговое тестирование для обнаружения любых уязвимостей в организации. Rocket IT использует обучающую платформу, которая рассылает безобидные имитации фишинговых писем. Затем он отслеживает количество людей, которые проглотили наживку и щелкнули по электронной почте; позволяя организациям эффективно обучать и, надеюсь, предотвращать будущие атаки.
Белый список приложений
Программы для внесения в белый список приложений, такие как ThreatLocker, предоставляют организациям возможность контролировать определенные приложения, которые могут быть установлены и запущены на компьютерах.Для этого сетевые администраторы определяют конкретный список одобренных приложений. Те, которые не вошли в список, не могут быть запущены без одобрения администратора. что значительно затрудняет тайную установку зомби-вирусов на устройства компании.
Остановить скопище зомби зависит от вас
К Интернету подключены миллиарды устройств, и стандартные ПК — не единственная технология, которая может превратиться в зомби-устройство. Смартфоны, камеры и даже умные холодильники представляют опасность, если их инфраструктуры безопасности не обновляются регулярно.В свою очередь, владельцы несут ответственность за сокращение размеров зомби-сетей. Если у вас есть какие-либо вопросы, касающиеся зомби-вирусов и новых инициатив в области кибербезопасности, разработанных для того, чтобы помешать им получить контроль над вашими устройствами, обратитесь в Rocket IT по телефону 770.441.2520 или с помощью контактной формы ниже.
Что такое боты, ботнеты и зомби?
Выберите страну … United StatesUnited KingdomAfghanistanAland IslandsAlbaniaAlgeriaAmerican SamoaAndorraAngolaAnguillaAntarcticaAntigua и BarbudaArgentinaArmeniaArubaAustraliaAustriaAzerbaijanBahamasBahrainBangladeshBarbadosBelarusBelgiumBelizeBeninBermudaBhutanBolivia, многонациональное государство ofBonaire, Синт-Эстатиус и SabaBosnia и HerzegovinaBotswanaBouvet IslandBrazilBritish Индийский океан TerritoryBrunei DarussalamBulgariaBurkina FasoBurundiCambodiaCameroonCanadaCape VerdeCayman IslandsCentral африканских RepublicChadChileChinaChristmas IslandCocos (Килинг) IslandsColombiaComorosCongoCongo, Демократическая Республика theCook IslandsCosta RicaCote d’IvoireCroatiaCuraçaoCyprusCzech RepublicDenmarkDjiboutiDominicaDominican РеспубликаЭквадорЭгипетЭль-СальвадорЭкваториальная ГвинеяЭритреяЭстонияЭфиопияФолклендские (Мальвинские) острова Фарерские островаФинляндияФранцияФранцияФранцузская ГвианаФранцузская ПолинезияФранцузские Южные территорииГабонГамбияГрузияГерманияГанаГибралтарГрецияГренландияГренадаГранада ernseyGuineaGuinea-BissauGuyanaHaitiHeard Island и McDonald IslandsHoly Престол (Ватикан) HondurasHong KongHungaryIcelandIndiaIndonesiaIraqIrelandIsle из ManIsraelItalyJamaicaJapanJerseyJordanKazakhstanKenyaKiribatiKorea, Республика ofKuwaitKyrgyzstanLao Народная Демократическая RepublicLatviaLebanonLesothoLiberiaLibyaLiechtensteinLithuaniaLuxembourgMacaoMacedonia, бывшая югославская Республика ofMadagascarMalawiMalaysiaMaldivesMaliMaltaMarshall IslandsMartiniqueMauritaniaMauritiusMayotteMexicoMicronesia, Федеративные Штаты ofMoldova, Республика ofMonacoMongoliaMontenegroMontserratMoroccoMozambiqueMyanmarNamibiaNauruNepalNetherlandsNew CaledoniaNew ZealandNicaraguaNigerNigeriaNiueNorfolk IslandNorthern Mariana IslandsNorwayOmanPakistanPalauPalestine, Государственный ofPanamaPapua Новый GuineaParaguayPeruPhilippinesPitcairnPolandPortugalPuerto RicoQatarReunionRomaniaRussian FederationRwandaSaint BarthélemySaint Елена, Вознесение и Тристан-да-Кунья, Сент-Китс и Невис, Сент-Люсия, Сен-Мартен (фр. искусство) Сен-Пьер и MiquelonSaint Винсент и GrenadinesSamoaSan MarinoSao Томе и PrincipeSaudi ArabiaSenegalSerbiaSeychellesSierra LeoneSingaporeSint Маартен (Голландская часть) SlovakiaSloveniaSolomon IslandsSomaliaSouth AfricaSouth Джорджия и Южные Сандвичевы IslandsSouth SudanSpainSri LankaSurinameSvalbard и Ян MayenSwazilandSwedenSwitzerlandTaiwan, провинция ChinaTajikistanTanzania, Объединенная Республика ofThailandTimor-LesteTogoTokelauTongaTrinidad и TobagoTunisiaTurkeyTurkmenistanTurks и Кайкос IslandsTuvaluUgandaUkraineUnited Арабские Эмираты Внешние малые острова США Уругвай Узбекистан Вануату Венесуэла, Боливарианская Республика Вьетнам Виргинские острова, Британские Виргинские острова, СШАС. Уоллис и Футуна, Западная Сахара, Йемен, Замбия, Зимбабве,
.Выберите государство … AlabamaAlaskaArizonaArkansasCaliforniaColoradoConnecticutDelawareFloridaGeorgiaHawaiiIdahoIllinoisIndianaIowaKansasKentuckyLouisianaMaineMarylandMassachusettsMichiganMinnesotaMississippiMissouriMontanaNebraskaNevadaNew HampshireNew JerseyNew MexicoNew YorkNorth CarolinaNorth DakotaOhioOklahomaOregonPennsylvaniaRhode IslandSouth CarolinaSouth DakotaTennesseeTexasUtahVermontVirginiaWashingtonWest VirginiaWisconsinWyoming
Выберите провинцию…АльбертаБританская КолумбияМанитобаНью-БрансуикНьюфаундленд и ЛабрадорСеверо-западные территории Новая ШотландияНунавутОнтариоОстров принца ЭдуардаКвебекСаскачеванЮкон
Представлять на рассмотрениеОставьте это поле пустым
Атака зомби ботнета
За последние несколько лет было снято множество фильмов о зомби. Сюжеты похожи — нежить преследует живых — и постановки, как правило, не являются материалом для Оскара. Но каким-то образом угроза задевает общественность.Чтобы проиллюстрировать угрозу другого рода, давайте придумаем собственную сюжетную линию. Предположим, ничего не подозревающие клиенты сети ресторанов заражены своего рода зомби-вирусом. И чтобы было интереснее, допустим, что вирус может удаленно связываться с чем-то вроде удаленного контроллера. Позднее по команде эти люди внезапно превращаются в зомби и начинают атаковать здание компании в Нью-Йорке. Их так много, что пассажиры просто ошеломлены.Все заходит в тупик. Толпа зомби настолько велика, что компания больше не может существовать. Это подводит нас к распределенным атакам типа «отказ в обслуживании» (DDOS).
Пробуждение зомбиОдин из лучших способов остановить компьютерную систему — это исчерпать ее ресурсы. Свяжите ЦП, память и процессы ненужной загруженной работой, и у него не останется ресурсов для работы, для которой он был создан. Это идея DDOS. Эти типы атак могут привести к отключению сервера или компьютерной сети, поскольку сеть наводняется массой запросов на обслуживание.Все дело в использовании механизма обмена TCP.
Один из лучших способов остановить компьютерную систему — это исчерпать ее ресурсы.
И сюжет о зомби, который мы отвлекли от вас во введении? Это реально. Только зомби в этом случае не люди. Это компьютеры, бездействующие до тех пор, пока не будут активированы через обширный ботнет. Когда зомби-компьютеры со всего мира пробуждаются своим злым повелителем, каждый из них отправляет TCP-запрос за TCP-запросом в целевую систему.Когда они сбрасывают вызов в середине каждого TCP-разговора, целевой компьютер продолжает отвечать, пытаясь выяснить, что их беспокоит, зомби отправляет еще один. И другой. Очень скоро этого становится слишком много, и целевая система оказывается перегружена.
Зомби получали команды от своего хозяина через ботнет. Печально то, что сами эти зомби не злые. Они просто скомпрометированные компьютеры, невинные пешки в ужасной кампании кибер-вредителей, принадлежащие ничего не подозревающим гражданам мира.Зомби-бот-сети вербуются через электронную почту, веб-сайты и социальные сети. Один из них может быть твоим.
Нарушение работы ИнтернетаАтаки отказа в обслуживании (DOS) существуют уже давно. Раньше это была единичная атака из одного источника. Теперь противостоять таким атакам довольно легко. Угроза была в некоторой степени управляемой до появления зомби-ботнета.
Но, как мы все знаем, плохие парни очень предприимчивы. Вместо того, чтобы посвятить свой ум и таланты благу человечества, злоумышленники, совершающие DDOS-атаки, продолжают оттачивать свои навыки, ища новые способы связываться с людьми.И угроза увеличилась в геометрической прогрессии.
Атака типа «слезинка», как поясняет Radware, представляет собой атаку типа «отказ в обслуживании» с использованием фрагментированных пакетов. «Одним из полей в IP-заголовке является поле« смещение фрагмента », — объясняют они, -« указывающее начальную позицию или смещение данных, содержащихся во фрагментированном пакете, относительно данных в исходном пакете ». Смысл этого типа атаки состоит в том, чтобы ввести в заблуждение целевой компьютер, играя с этим полем. Этому подвержены старые компьютеры.
Атака Smurf работает путем подмены IP-адреса целевой машины во время широковещательной рассылки сообщений ICMP (ping). Получатели пингов, естественно, пингуют обратно — к целевой машине, подавляя ее. Эта атака достаточно хорошо нейтрализована в большинстве сетей.
Большой папа DOS-атак называется DDOS-атаками с усилением. Стратегия заключается в использовании общедоступных DNS-серверов, чтобы нанести ущерб уязвимым системам. Автор Википедии говорит, что здесь задействован новый механизм, называемый «эффект усиления».Том Скотт из Computerphile очень хорошо это объясняет. Он предупреждает, что это атака, которая может вывести из строя практически любую систему, что-то, что может вывести из строя весь Интернет. И с этим ничего не поделаешь.
У злоумышленников есть свои причиныУдовлетворение злоумышленников остается за пределами нашего объяснения здесь, но есть некоторые конкретные цели, которые могут иметь в виду некоторые злоумышленники. Одна вещь, которую может сделать безжалостная DDOS-атака, — это отвлечь. В сочетании с другими эксплойтами злоумышленник может проникнуть в другую часть компьютерной инфраструктуры, в то время как ИТ-персонал занят борьбой с атакой зомби DDOS.Это одна вещь, на которую стоит обратить внимание.
Другой способ использования DDOS — угроза компании до выплаты выкупа. Вероятно, существует много такого рода деятельности, о которой мы не знаем. Если компания платит выкуп злоумышленнику, возможно, они не хотели бы, чтобы об этом стало известно широкой публике.
У хактивистов могут быть другие причины для использования DDOS. Они могут быть политическими — например, нападение на веб-сайт кандидата или систему политической организации — или могут быть коммерческими мотивами.Если веб-сайт конкурента подвергается бомбардировке и переполнению до тех пор, пока он не будет отключен от обслуживания — что ж, это позаботится о конкуренции, не так ли?
О, но обычные люди не стали бы этого делать, не так ли? Что ж, некоторые арены (политика, большой бизнес) довольно грубые. И имейте в виду, что сомнительные персонажи могут приобретать программное обеспечение или даже сдавать работу в аренду. Да, люди будут атаковать сети ради денег — как будто это законный бизнес. В каком мире мы живем.
Тогда есть другие, которые делают это для развлечения.Любопытные подростки могут захотеть увидеть, насколько они хороши. А выступление против крупных организаций из подвала вашей матери может показаться просто вызовом для скучных выходных.
Обнаружение и смягчение последствийНельзя пожать плечами и отказаться от защиты от распределенных атак типа «отказ в обслуживании». Том Скотт довольно умен и говорит, что им нужно что-то делать с «ретрансляторами», которые распространяют этот трафик через Интернет. Но нельзя просто оставаться сидящей уткой в ожидании нападения.
Первый шаг — следить за атакой. Существуют инструменты и системы для обнаружения DDOS-атак в реальном времени. Один из них называется Wireshark. Одно из преимуществ — всплеск статистики TCP SYN. Чтобы объяснить дальше, давайте разберем эту TCP-транзакцию, которую используют DDOS-атаки.
TCP, что означает протокол управления передачей, представляет собой протокол четвертого уровня в стеке TCP / IP — Интернет. Практически весь Интернет зависит от сообщений TCP.Протокол — это диалог между двумя сетевыми устройствами. Давайте сравним два разговора, один человеческий, а другой — между двумя компьютерами.
Человек
Джон: «Привет! Я Джон.
Сьюзи: «Привет! Я Сьюзи.
Джон: «Приятно познакомиться, Сюзи!»
(Теперь Джон и Сьюзи пожимают друг другу руки.)
Компьютер
Хост A: SYN (синхронизация)
Хост B: SYN-ACK (синхронизация-подтверждение)
Хост A: ACK (подтверждение)
(Теперь у нас есть трехстороннее подтверждение TCP.)
Так что, если Хост A (злоумышленник DDOS) никогда не подтверждает? Предположим, он просто продолжает отправлять новые запросы SYN. И то же самое делают все его товарищи-зомби по ботнетам. Затем у вас есть много неподтвержденной статистики SYN, которая должна быть очевидна в Wireshark или других инструментах.
Однакообнаружения недостаточно. Вам нужна стратегия смягчения последствий. Линда Мустхалер из NetworkWorld собрала для нас одну из них в статье под названием «Лучшие методы предотвращения DDoS-атак», поэтому мы просто резюмируем ее здесь.Я уверен, что она не будет возражать, если мы позаимствуем ее основные баллы:
- Не рассчитывайте, что брандмауэр предотвратит или остановит DDoS-атаку
- Включите DDoS-атаки в свой план обеспечения непрерывности бизнеса и аварийного восстановления
- Знать признаки активной атаки
- Знайте, кому позвонить, чтобы остановить атаку
- Знайте своих клиентов и блокируйте неожиданные транзакции
- Измерьте финансовые последствия пребывания в автономном режиме в течение определенного периода времени
- Если вы стали жертвой DDoS-атаки, ищите мошенничество, утечку данных или другую преступную деятельность
«Организации, которые управляют сетями, подключенными к Интернету, могут выступать в качестве невольных участников отказа в обслуживании (DoS)»
Веб-сайт института SANS предлагает пошаговый подход к борьбе с DDOS-атаками, который носит более технический характер.Они говорят о фильтрации исходящего трафика для предотвращения выхода поддельных IP-пакетов из вашей сети и предотвращения того, чтобы ваш сайт стал источником распространения DDOS. Их предупреждение довольно четкое: «Организации, которые управляют сетями, подключенными к Интернету, могут выступать в качестве невольных участников Denial. обслуживания (DoS) »
У ваших сетевых профессионалов, вероятно, есть несколько хитростей для борьбы с DDOS-атаками. Они могут использовать списки контроля доступа и ограничения скорости для борьбы с нежелательным сетевым трафиком.Если, например, вы получаете много неприятных проблем из Азии, где у вас нет клиентов, вы можете отфильтровать трафик из этой области. Или это может быть связано с изменением сетевых конфигураций или скрытием за NAT или переключением на другой сервер — или, может быть, просто отключением всего на некоторое время, если это не повредит бизнесу.
ЗаключениеМы живем в опасном мире — как, должно быть, вам сказали ваши родители. Угрозы таятся в темных уголках мира.И хотя некоторые могут втайне опасаться приближающегося зомби-апокалипсиса, реальной угрозой для вашего бизнеса могут быть цифровые зомби, которые, возможно, были вовлечены в какой-то ужасный ботнет, ожидая… ожидая сигнала для атаки.
Мы оставляем вас с этой выдержкой из репортажа из The Hacker News от 27 сентября 2016 г .:
Крупнейшая в мире DDoS-атака со скоростью 1 Тбит / с со 152 000 взломанных смарт-устройств
Знаете ли вы — ваши интеллектуальные устройства могли непреднамеренно участвовать в рекордно масштабной кибератаке, свидетелем которой только что стал Интернет.
Если у вас есть интеллектуальное устройство, такое как подключенные к Интернету телевизоры, автомобили, холодильники или термостаты, вы, возможно, уже являетесь частью ботнета из миллионов зараженных устройств, который использовался для запуска крупнейшей из известных на сегодняшний день DDoS-атак с пиками более 1 Тбит / с трафика от 152000 взломанных смарт-устройств.
Зомби идут. Вы были предупреждены.
Что такое DDoS-атака? В чем смысл DDoS?
Распределенная атака типа «отказ в обслуживании» (DDoS) похожа на пробку. на сайте
Что такое DDoS-атака и что она означает для вашего сайта? Вместо того, чтобы углубляться в технические детали, давайте начнем с реальной аналогии, которая позволяет легко представить себе, что означает DDoS-атака …
Представьте на мгновение, что сегодня воскресный день и вы едете по шоссе с семьей, направляясь в свой любимый место для пикника.Вы едете по шоссе со скоростью 70 миль в час — это не будет задолго до того, как вы окажетесь в парке, наслаждаясь прекрасным осенним днем!
… То есть, пока вы не пройдете поворот и не увидите это впереди из вас:
Это пробка — так далеко, как видит глаз!
Вы проверяете свой отчет по GPS-трафику, только чтобы увидеть, что пробка простирается на многие мили, и нет никакого способа обойти это. Ты не сможешь это сделать в парк как раз к пикнику.
Вот что такое распределенный отказ в обслуживании (DDoS) атака — это много пользователей (в данном случае машин), которые заглушают систему (шоссе), чтобы отказать вам в доступе к услуге (парку).
Обычно, когда мы говорим о DDoS-атаках, ресурс denied — это веб-сайт, а «пробка» была злонамеренно создана хакером. Но концепция такая же, как пробка на трассе. Давайте погрузимся в то, что DDoS средства, виды DDoS-атак и методы предотвращения DDoS-атак.
Давайте разберемся.
Что такое DDoS-атака? Простое определение
Поскольку мы стремимся упростить технические темы, давайте начнем с простого ответа на вопрос: что означает DDoS (a.к.а. «Что такое распределенная атака отказа в обслуживании»)?
Как упоминалось выше, DDoS-атака немного похожа на пробку на веб-сайте (но намеренно вызвана хакером).
Вот простое определение значения DDoS:
Атака DDoS (распределенный отказ в обслуживании) — это когда хакер делает веб-сайт или другой сервис недоступным, засыпая их запросами с множества различных устройств.
Если вы также слышали термин «DoS-атака», пусть это вас не смущает.DDoS-атака — это просто особый тип DoS-атаки (отказ в обслуживании), при которой для атаки используются несколько компьютеров / устройств.
Вот короткое видео, которое объясняет немного подробнее…
Как работает DDoS-атака? (Подсказка: это касается зомби!)
Точно так же, как пробка затопляет шоссе большим количеством машин, чем он может справиться, DDoS-атака наводняет веб-сайт большим количеством запросов (т.е. посетителей), чем может обрабатывать веб-сервер или другие связанные системы.
Многие хакеры используют ботнеты (также известные как компьютеры-зомби) для выполнения DDoS-атаки. Ботнет — это способ для одного человека (хакера) контролировать тысячи устройств одновременно.
Вот как работает ботнет для выполнения DDoS-атаки:
Шаг 1. Создание ботнета
Чтобы создать ботнет, хакеру нужен способ получить контроль над тысячи устройств — это могут быть компьютеры, мобильные телефоны или устройства Интернета вещей, например как веб-камеры или умные холодильники.
Есть несколько способов, которыми хакер может найти и управление этими устройствами.Например, они могут написать вирус, который распространяется и постепенно захватывает все больше и больше компьютеров. Или они могут найти конкретное устройство IoT с известной уязвимостью (например, неправильный вход по умолчанию безопасность) и создайте бота для сканирования Интернета и взлома как можно большего количества этих устройств. насколько возможно.
Если вы хотите узнать больше о том, как это делают хакеры, проверьте наш пост о взломе Устройства Интернета вещей: как создать ботнет из холодильников.
Шаг 2. Управление ботнетом
По мере того, как хакеры получают контроль над каждым устройством, они что-то, чтобы он подчинялся любым инструкциям, которые хакер отправляет на устройство.(За Например, установив на него небольшую программу.)
Хакер может использовать несколько различных подходов. (модель клиент-сервер, модель P2P на основе цифровых сертификатов и т. д.), но конечный результат тот же — хакер может дать команду, и все устройства в ботнет будет делать все, что им поручил хакер.
Шаг 3: Проведение атаки
Как только хакер получит в свое распоряжение тысячи устройств, звоните, он может выполнить DDoS-атаку.Есть несколько различных типов DDoS-атак. атаки (подробнее об этом позже), но основная идея та же: наводнение сети сервер с большим количеством запросов, чем он может обработать.
Злоумышленник обычно тщательно исследует целевой веб-сайт. чтобы определить уязвимость, которую можно использовать, а затем составьте запрос, нацеленный на эту уязвимость. уязвимость. Наконец, злоумышленник проинструктирует свои компьютеры-зомби выполнить этот запрос (повторно).
Вот пример. Допустим, в ботнете Боба 100 000 устройства в нем.Он дает команду ботнету отправить HTTP-запрос на example.com раз в секунду. Это 60 посещений в минуту, умноженных на 100 000 устройств. В сумме получается 360 миллионов посещений в час или 8,6 миллиарда посещений в день. Это намного больше, чем рассчитано на большинство веб-серверов. Если атака была хорошо спланировано, веб-сервер будет перегружен, и любые реальные люди, которые попытаются при посещении сайта появится сообщение об ошибке. Успех DDoS-атаки!
DDoS the Lazy Way: Аренда ботнета!
Если это звучит как большая работа по созданию ботнета и провести DDoS-атаку, вы правы.Но (к сожалению) есть более простой способ — ленивые злоумышленники могут просто зайти в даркнет и арендовать ботнет всего за 10 долларов в час! Киберпреступность это быстро развивающаяся отрасль, и такие услуги, как аренда DDoS-ботнетов и фишинг как сервисные решения — это лишь некоторые из вариантов, доступных для покупки.
Типы DDoS-атак
В нашем упрощенном определении DDoS-атак не учитывается одна деталь: существует множество различных типов DDoS-атак, которые злоумышленники могут использовать в зависимости от того, какой конкретный ресурс сервера они пытаются перегрузить.Поскольку мы пытаемся упростить задачу, мы кратко остановимся на самых распространенных типах DDoS-атак.
Как упоминалось ранее, DDoS-атаки предназначены для блокировки веб-сайта, обычно путем перегрузки определенного аспекта сайта. Например, атака может быть нацелена на следующее, чтобы перегрузить их:
- Ресурсы веб-сервера, такие как ЦП или ОЗУ
- Серверы баз данных
- Пропускная способность сети
- DNS-серверы
- И т. Д.
Как Грегори Келли, руководитель технический специалист Vestige Digital Расследования, объясняет:
«DDoS-атаки можно разделить на объемные и прикладные.Атаки на основе объема будут пытаться затопить веб-сайт, сервер или подключение к Интернету большим объемом трафика, чем он может обработать. Атаки на основе приложений обычно стремятся использовать уязвимость или дефект в протоколе, чтобы связать определенную службу, например веб-сайт ».
Мотив атаки: почему хакеры проводят DDoS-атаки?
«Некоторые мужчины не ищут ничего логичного, например денег. Их нельзя купить, запугать, аргументировать или вести с ними переговоры. Некоторые мужчины просто хотят смотреть, как горит мир.”
Альфред Пенниуорт, Темный рыцарь
Иногда DDoS-атаки преследуют прямую цель (например, Деньги). В других случаях люди просто хотят доставить неприятности и почувствовать себя сильными. Грегори Келли объясняет, что главные причины, которые он видит:
- Финансовая прибыль. Хакер может искать держать компанию с требованием выкупа — требовать, чтобы они заплатили деньги, чтобы остановить атаку.
- Переадресация. Еще одна причина — отвлечь киберзащиты компании, чтобы хакер мог попытаться проникнуть в компанию по-другому.
- Хактивизм. Это мог делать хакер опротестовать действия со стороны компании или правительства (например, дело Джеймса Робинсона).
Являются ли DDoS-атаки незаконными?
Краткий ответ: да.
Чуть более длинный ответ: конкретные законы, касающиеся DDoS-атак, различаются в зависимости от где вы находитесь. В некоторых странах действуют слабые законы (или недостаточно принудительное исполнение), поэтому злоумышленники могут действовать за пределами этих стран.
В США DDoS-атаки запрещены Федеральным законом. Закон о компьютерном мошенничестве и злоупотреблениях.Наказание тоже может быть существенным — до 10 лет тюрьмы и до 500 000 долларов штрафа. Фактически, человек из Коннектикута недавно был приговорен к 10 годам тюремного заключения за DDoS-атаки против больниц.
Выявление злоумышленников и преследование злоумышленников часто является сложной задачей, поскольку атаки обычно охватывают несколько стран. Как объясняет Мария Сирбу из Voxility:
«В DDoS-атаках часто используются инструменты из нескольких стран: целевой IP-адрес находится в одной стране, злоумышленник находится в другой, серверы управления и контроля находятся в другой стране, а боты, используемые в DDoS-атаках, поступают из нескольких места.По этой причине расследование атак, блокирование бот-сетей и обнаружение злоумышленников стало серьезным делом ».
Защита от DDoS-атак: что делать, если на вас напали
По мере того как DDoS-атаки становятся больше и больше, инструменты, которые мы должны дать отпор, стали лучше, тоже. Теперь даже самые маленькие компании могут получить хорошие решения для предотвращения DDoS-атак. (Хотя большинство DDoS-атак по-прежнему нацелены на более крупные компании.)
Вот несколько тактик, которые любой владелец веб-сайта может применить, чтобы защитить свой сайт:
- Свяжитесь со своим веб-хостингом, чтобы узнать, что их политики и средства защиты от DDoS-атак.
- Обратитесь к своему провайдеру DNS, чтобы узнать, защищают ли они против атак DNS flood.
- Использование сети доставки контента (CDN) с Интернетом брандмауэр приложений (WAF) и встроенная защита от DDoS-атак. По сути, CDN находится между злоумышленником и вашим веб-сервером, поэтому он может разбавлять и / или блокировать атака до того, как она достигнет вашего веб-сервера.
Как всегда, вопросы и мысли оставляйте в комментариях!
Когда зомби-вредоносное ПО приводит к крупным атакам программ-вымогателей — Naked Security
Первое, что люди хотят знать, когда появляется новая история о вымогателях, — это: Сколько мошенники просят на этот раз?
К сожалению, это один из вопросов, который самим жертвам не нужно задавать, потому что шантажисты, которые только что напали на них, с радостью удостоверится, что они знают «цену».
В одной недавней и противоречивой истории учебное заведение в Шотландии столкнулось с требованием вымогательства на удивительно конкретную сумму денег.
Оказалось, что мошенники хвастались тем, насколько хорошо они знали об атакуемом колледже — сумма в точности соответствовала сумме на банковском счете колледжа, которая составляла весь бюджет на следующие 12 месяцев. (Колледж отказался заключить сделку, поэтому мошенники получили 0 фунтов стерлингов.)
Но гораздо более важный вопрос, как для жертв программ-вымогателей, так и для наблюдателей с широко открытыми глазами: Каким образом программа-вымогатель попала внутрь?
В самом деле, это, вероятно, самый важный вопрос из всех, на том основании, что мошенники уже знают, как они это сделали, уже сделали это однажды, поэтому, если вы не разберетесь, мошенники могут вернуться и сделать это. все сначала.
Или вторая группа мошенников может выяснить это для себя, или купить информацию у мошенников, которые были там раньше, и встать на пути.
В 2020 году мы провели опрос ИТ-менеджеров в 5000 компаниях в 26 разных странах и задали вопрос об атаках программ-вымогателей. Чуть более половины из них (51%) заявили, что в прошлом году они стали жертвами программ-вымогателей. Как будто это было недостаточно драматично, 40% этих жертв признали, что их ударили дважды или более — другими словами, если мошенники проникли один раз, те же самые мошенники или другие вернулись позже, чтобы повторить преступление.(Крошечным положительным моментом в этом опросе стало то, что из 94% жертв, которые восстановили свои данные, примерно трем четвертям удалось сделать это, не заплатив преступникам вымогательство. Интересно, что те, кто заплатил, тратили в среднем чуть меньше По 1,5 миллиона долларов каждый, включая выкуп, на возобновление работы. Те, кто выздоровел самостоятельно, потратили в среднем чуть менее 750 тысяч долларов.)
Как вымогатель попадает в
Как известно постоянным читателям, многие сетевые вторжения начинаются с того, что мошенники входят в систему, как если бы они были настоящими пользователями.
Иногда мошенники находят законный сервер удаленного доступа (например, RDP, сокращение от Remote Desktop Protocol ) с плохо подобранными паролями или небезопасной конфигурацией и угадывают или врываются внутрь.
Иногда мошенники заманивают подлинных пользователей на поддельную страницу входа, обычно с помощью хитро сформулированных фишинговых писем, и крадут их пароли.
Но в удивительном количестве инцидентов с программами-вымогателями механизм немедленной доставки при атаке оказывается существующим вредоносным ПО внутри сети.
Проще говоря, заражение зомби вредоносным ПО внутри вашей сети, также известное как бот (сокращение от программный робот ), может действовать как секретный троян удаленного доступа (RAT) для преступников.
Важно отметить, что боты работают даже на компьютерах, на которых строгие правила брандмауэра предотвращают входящие сетевые подключения, включая большинство домашних сетей, где входящие подключения обычно блокируются по умолчанию либо вашим маршрутизатором, либо вашим интернет-провайдером, либо обоими.
Ранние RAT, такие как пресловутый набор инструментов Back Orifice с конца 1990-х, полагались на входящие соединения.(Back Orifice по умолчанию прослушивает TCP-порт , 31337,
, элитный хакерский трюк.)
В то время многие, если не большинство домашних компьютеров были подключены напрямую к Интернету через выделенный модем для коммутируемого доступа, без маршрутизатора или брандмауэра для регулирования входящих подключений, а входящие подключения к прослушивающим сетевым портам на домашних ПК почти всегда были разрешены по умолчанию.
Но исчезновение коммутируемого доступа, преобладание домашних маршрутизаторов с односторонним трафиком и брандмауэр подключения по умолчанию в Windows быстро сделали технологию Back Orifice устаревшей.
Таким образом, в наши дни RAT и боты сами инициируют исходящие сетевые подключения, вместо того, чтобы прослушивать их.
Они подключаются к серверу, управляемому мошенниками, которые управляют ботом, в просторечии называемым botherders , и загружают свои команды оттуда.
Эти компьютеры, контролируемые преступниками, на жаргоне известны как серверы CnC , C&C или C2 , где две буквы C означают командование и управление .
Компактный, тихий и устойчивый
Как вы понимаете, зомби общего назначения с удаленным доступом был бы идеальным набором инструментов для киберпреступной банды, и поэтому неудивительно, что инструменты такого рода можно купить на подпольных форумах, если вы знаете, где смотреть.
Одним из таких инструментов, который, как мы видели, стоит всего 200 долларов, является небольшой, но хитрый «продукт», известный как SystemBC , который является компактным, тихим и надежным.
Там, где это возможно, SystemBC устанавливается как системная служба Windows, поэтому она может работать автоматически в фоновом режиме, даже если никто не входит в систему.
SophosLabs только что опубликовала технический анализ этого вредоносного ПО, которое члены группы быстрого реагирования Sophos обнаружили в основе нескольких недавних громких кампаний по вымогательству, для расследования которых они были вызваны.
Как объясняет Шон Галлахер из SophosLabs:
Хотя SystemBC существует уже больше года, мы заметили, что как его использование, так и его функции продолжают развиваться. […] За последние несколько месяцев мы продолжали обнаруживать сотни попыток развертывания SystemBC по всему миру.SystemBC использовался в недавних атаках Ryuk и Egregor, расследованных [командой Sophos Rapid Response]. […] В некоторых случаях SystemBC RAT был развернут на серверах после того, как злоумышленники получили учетные данные администратора и проникли глубоко в целевую сеть.
Как вы узнаете из отчета, SystemBC компактна и автономна, и она не только шифрует свой C&C трафик, но также использует сеть Tor для анонимности и маскировки:
Большинство коммуникаций CnC с SystemBC RAT осуществляется через соединение Tor.Коммуникационный элемент Tor в SystemBC, по-видимому, основан на mini-tor, библиотеке с открытым исходным кодом для облегченного подключения к анонимной сети Tor. [..T] Реализация клиента Tor в ботах очень похожа на реализацию, используемую в программе с открытым исходным кодом, включая широкое использование API Windows Crypto Next Gen (CNG).
SystemBC принимает команды, состоящие из полных программ, включая сценарии VBS, командные файлы BAT и CMD, сценарии PowerShell и исполняемые файлы Windows (файлы EXE и DLL).
Когда скрипт или BAT-файл отправляется боту, он записывается в папку TEMP и запускается оттуда, но при получении EXE или DLL он загружается непосредственно в память и запускается без записи копии исполняемого файла на диск. .
Другими словами, киберпреступник, который управляет или может купить доступ к сети, полной зомби удаленного доступа SystemBC…
… может тихо и легко сказать им всем запустить одну и ту же программу-вымогатель в одно и то же время, даже не оставляя впоследствии копию вымогателя.
Мы не уверены, откуда взялось название SystemBC . BC может быть сокращением от бэкдора подключения , клиента ботнета или бэкдора контроллера , или это может быть ссылка на Base Crypto , криптографические функции Windows, используемые вредоносным ПО, поэтому ему не нужно иметь третий -частная библиотека шифрования, такая как mbedTLS или OpenSSL, скомпилированная в нее. Продукты Sophos сообщают об этой вредоносной программе под названием HPMal / SysBRat-A .
Что делать?
- Прочитать отчет. Даже если вы не разбираетесь в технических вопросах, это легко понять и рассказать увлекательную историю, которая поможет вам понять, как думают киберпреступники и как они пытаются сделать свои массовые атаки настолько скрытными и неожиданными, насколько это возможно.
- Прочтите наши советы о том, как защитить себя от программ-вымогателей. Мошенники-вымогатели используют ряд приемов, чтобы первыми опереться на вашу сеть, включая рассылку фишинговых атак, взлом или угадывание паролей, а также поиск небезопасных или забытых серверов удаленного доступа в вашей общедоступной сети.
- Не отказывайтесь от осведомленности пользователей. Относитесь к своим пользователям с уважением и помогите им научиться быть более бдительными, и вы можете превратить их в дополнительные глаза и уши для своей основной группы кибербезопасности.
Ваш комментарий будет первым