Мысли об информационной безопасности (Черви)
Всем привет!
Продолжаем погружение в мир информационной безопасности. Я уже рассказывал про типичные ошибки людей, рассказывал про фишинг, вишинг, спам, слабые пароли, про мошенников и про много чего еще с чем можно ознакомиться на канале. И сегодня как вы поняли из названия я предлагаю познакомить вас с очередным видом малвары – Червями.
Что такое черви в цифровом мире?
Как вы понимаете говорить мы будем не про дождевых червей, с которыми ходим на рыбалку и не про паразитных ленточных червей, которые заражают живых существ и в них обитают. А будем говорить про цифровых паразитов, которые зачастую опаснее своих живых аналогов.
Червь — это один из наиболее опасных и распространённых типов вредоносного программного обеспечения в сфере информационной безопасности. Если по-простому, то это один из видов «вирусов», но в отличие от обычных вирусов, которые внедряются в существующие файлы и требуют запуска со стороны человека, черви существуют как отдельные программы и используют уязвимости операционных систем или приложений для проникновения на новые устройства.
Его основной механизм действия — самокопирование. Попав на компьютер, червяк сканирует компьютер на наличие путей дальнейшего копирования. Например, проверяет стоит ли почтовый клиент, открыт ли мессенджер, вставлена ли флешка, подключен ли компьютер к сети и есть ли в этой сети другие уязвимые устройства. И через эти «каналы распространения» он копирует себя дальше, для этого он использует открытые порты, слабые пароли, ошибки в почтовых клиентах или сетевых службах. После заражения червь может замедлять работу системы, создавать ботнеты (сети из заражённых компьютеров) для проведения DDoS-атак по командам из вне, рассылки спама, кражи персональных данных или служить «входной точкой» для других вредоносных программ. Все зависит от того какую «полезную нагрузку» в него добавил его создатель и для какой цели червяк был создан.
Но как и откуда черви появились? И почему называются, именно червяк?
Как появились черви?
Происхождение компьютерных червей уходит корнями в 1960-е годы, задолго до появления современного интернета. В 1961 году в американской компании Bell Labs была создана игра под названием «Дарвин». Её суть заключалась в том, что одни программы-«организмы» должны были захватывать оперативную память компьютера, вытесняя чужие «организмы». Это считается одним из первых концептуальных прототипов самораспространяющегося кода, который по своей логике предвосхитил появление будущих сетевых червей. А уже первые черви как вредоносные программы появились позже и начались с простого эксперимента.
В 1971 году программист Боб Томас, работавший в компании Bolt, Beranek and Newman, создал программу под названием Creeper ее и считают первым компьютерным червем. Самое интересное, что целью Боба было не навредить, а просто проверить теорию: может ли программа перемещаться с одного компьютера на другой по сети (тогда это была сеть ARPANET). Creeper делал именно это — он «переползал» с машины на машину и на экране заражённого компьютера появлялась надпись:
«I'M THE CREEPER: CATCH ME IF YOU CAN» («Я — Криппер: поймай меня, если сможешь»).
Затем другой программист, Рэй Томлинсон (тот самый, который придумал символ @ для электронной почты), написал программу Reaper. Это был, по сути, первый в истории антивирус. Его задачей было тоже ползать по сети, находить копии Creeper и останавливать их работу.
Кстати, именно из-за это способности таких программ «переползать» с одного компьютера на другой по сети, самостоятельно распространяя свои копии через различные информационные каналы без разрешения пользователя и закрепился термин - «червь» (worm).
И лишь в конце 1980-х годов стали появляться зловреды. Знаменитый Morris Worm (1988) заразил тысячи компьютеров с UNIX-системами. В дальнейшем мир столкнулся с такими угрозами, как ILOVEYOU (2000), Code Red (2001), Mydoom (2004), Conficker (2008), WannaCry (2017) и тд. Эти инциденты приводили к многомиллионным убыткам, парализовывали работу компаний и государственных учреждений по всему миру. О них мы и поговорим далее.
Самые известные инциденты с червями
Самым первым червем, получившим широкое распространение в сети ARPANET стал - Morris Worm (1988). Его создал аспирант Роберт Моррис. Червь не был предназначен для уничтожения данных, но из-за ошибки в коде он бесконтрольно размножался, что привело к отказу в работе тысяч компьютеров. Ущерб от атаки составил миллионы долларов, а сам инцидент привлёк внимание всего мира к проблеме киберугроз.
«Золотой эрой» червей принято считать период с 2000 по 2010 год. Именно тогда мир столкнулся со следующими вредителями:
ILOVEYOU (2000) Один из самых «романтичных» и разрушительных червей. Он распространялся по электронной почте с темой «ILOVEYOU» и вложением «LOVE-LETTER-FOR-YOU.TXT.vbs». Пользователи, открывшие вложение, запускали скрипт, который повреждал файлы и рассылал червя всем контактам из адресной книги. За несколько дней было заражено около 10% всех подключённых к интернету компьютеров, а общий ущерб превысил $10 млрд. Среди пострадавших оказались Пентагон и парламент Великобритании.
MyDoom (2004) Этот червь стал самым дорогостоящим в истории. Он распространялся через электронную почту и на пике эпидемии отвечал за четверть всего мирового почтового трафика. MyDoom не только заражал компьютеры, но и использовал их для DDoS-атак на сайты таких корпораций как Microsoft. Ущерб от его деятельности оценивается в $38,5 млрд.
Stuxnet (2010) Первый в истории пример кибероружия. Червь был нацелен не на обычных пользователей, а на промышленную инфраструктуру — конкретно на иранские центрифуги для обогащения урана. Stuxnet вывел из строя около 20% оборудования, существенно замедлив ядерную программу страны. Самое интересное что по легенде Stuxnet был создан из-за одной фотографии сделанной на ядерном объекте Ирана, на которой было видно какая программа использовалась для управления центрифугами, а для аутентификации червь пробовал предустановленные производителем логины и пароли (и даже на таком секретном объекте люди не меняли дефолтные пароли и поплатились).
Mirai (2016) Червь для устройств интернета вещей (IoT). Он заражал умные камеры, роутеры и другие гаджеты со стандартными паролями, объединяя их в огромные ботнеты. С помощью Mirai была проведена одна из самых мощных DDoS-атак в истории, которая временно отключила значительную часть интернета на восточном побережье США.
WannaCry (2017) Глобальная эпидемия шифровальщика, который использовал уязвимость Windows (EternalBlue). WannaCry зашифровал данные на более чем 200 000 компьютерах в 150 странах мира и требовал выкуп в биткоинах. Ущерб превысил $4 млрд. В России пострадали крупные государственные и коммерческие структуры: МВД, РЖД, Сбербанк, «Мегафон». Из интересного, что эпидемия WannaCry была остановлена случайно, благодаря бывшему хакеру, который решил проанализировать код червя. Увидел в нем адрес управляющего сервера, как он считал, но доменное имя оказалось не существующим и как только он зарегистрировал доменное имя и как только что-то стало отзываться по этому адресу шифрования остановились. Но до сих пор остатки WannaCry гуляют по сетям предприятий.
NotPetya (2017) Изначально маскировался под программу-вымогатель Petya, но на деле оказался «вайпером» — вредоносом, уничтожающим данные без возможности восстановления. Он распространялся через бэкдор в бухгалтерском ПО и нанёс колоссальный ущерб бизнесу по всему миру. Например, датская логистическая компания Moller-Maersk оценила свои потери из-за простоя в $200–300 млн.
Как защититься от червей?
И как же защититься от этих зловредов? Если честно, на 100% это не возможно, но можно минимизировать вероятность соблюдая простые правила:
Используйте современный (не бесплатный) антивирус и регулярно обновляйте его базы.
Своевременно устанавливайте обновления безопасности для операционной системы и всех установленных у вас программ.
Не открывайте электронные письма и вложения от неизвестных отправителей, особенно с заметной/побуждающей темой письма.
Старайтесь избегайте использование пиратских программ (да, да, даже в текущей ситуации в стране), кряков и загрузки файлов с левых неофициальных источников.
Обязательно проверяйте антивирусом ВСЕ внешние носители перед использованием, даже свои.
Регулярно создавайте резервные копии важных данных.
Помимо соблюдения этих правил приучите себя обращать внимание на косвенные признаки заражения вашего компьютера:
Резкое замедление работы компьютера и интернета, без видимых причин.
Исчезновение или повреждение файлов.
Письма в отправленных вашего почтового ящика, которые вы не отправляли.
Антивирус, firewall, защитник Windows или другие установленные вами средства защиты информации отключены или не запускаются.
Появление новых, неизвестных вам программ.
Если какой то признак совпал, не паникуйте. Все они указывают что ваш компьютер возможно заразился червем, но не говорят точно. Для подтверждения теории можно провести ряд процедур:
Немедленно отключить устройство от интернета и локальной сети.
Обновите антивирусные базы и проведите полное сканирование системы. Не используйте быструю проверку, так как червь может находиться в системных папках или автозагрузке. И если вы сейчас читаете это, а антивирус у вас не установлен, то идите и сейчас установите… пожалуйста)
Если антивирус не запускается, используйте загрузочный диск (Live CD/USB). Если вы подозреваете, что червь блокирует работу антивируса или глубоко интегрирован в систему, перезагрузите компьютер с помощью специального аварийного диска (например, Kaspersky Rescue Disk, Dr.Web LiveDisk). Это позволит запустить проверку вне зараженной операционной системы, что значительно повышает шансы на обнаружение.
Так как основная задача червя самокопирование, то проверьте сетевой трафик, автозагрузку и планировщик задач:
Откройте «Диспетчер задач» (Ctrl+Shift+Esc) и перейдите на вкладку «Производительность» -> «Ethernet» (или «Wi-Fi»). Если вы не используете интернет, но сетевая активность (отправка/получение данных) присутствует — это тревожный знак.
В том же «Диспетчере задач» есть вкладка «Журнал приложений» и «Процессы». Обратите внимание на незнакомые процессы, которые потребляют много ресурсов процессора или сети.
Введите команду netstat -ano. Она покажет все активные сетевые подключения и идентификаторы процессов (PID), которые их используют. Если вы видите множество подключений к внешним IP-адресам от неизвестного процесса — это признак сетевого червя или ботнета.
Откройте «Диспетчер задач» (Ctrl+Shift+Esc) и перейдите на вкладку -> «Автозагрузка». Просмотрите список программ, запускающихся вместе с системой. Если там есть подозрительные или незнакомые приложения, отключите их.
Также если если сможете проверьте библиотеку планировщика задач на наличие подозрительных заданий с непонятными названиями.
Если вы обнаружили и удалили червя:
Немедленно смените все пароли (от почты, соцсетей, банковских приложений), так как они могли быть украдены.
Обновите операционную систему и все установленные программы, чтобы закрыть уязвимости, через которые проник червь.
Проверьте другие ваши устройства, которые находятся в той же сети что и зараженный компьютер или в которые вы вставляли флешки с зараженного компьютера, так как червь мог распространиться на них.
Включите автоматическое обновление баз антивируса и регулярно создавайте резервные копии важных данных на какой-нибудь внешний носитель (внешний жесткий диск или флешку).
Если же вы чувствуете с ваш компьютер заражен, но вы думаете, что не сможете это подтвердить или подтвердить не получается, или удаление не помогло, или вы не уверены что помогло, как можно скорее обращайтесь в специализированный центр.
Вывод
На этом «вводную» лекцию по ползучим негодяям я завершаю, надеюсь она была вам полезна, и вы узнали что-то новое для себя. Черви одни из старейших видов вредоносов, но актуальность их не спадает до сих пор. И в очередной раз хочу вас попросить не забивать на свою безопасность и безопасность ваших данных и не думать, что все эти страшилки про кого-то другого, а не про вас. А я продолжу знакомить вас с миром ИБ и угрозами в цифровом мире, ведь врага надо знать в лицо.
Помните:
Кто осведомлен, тот вооружен.
Ставьте пальцы вверх и оставляйте комментарии, а я пошел формулировать новые Мысли Starого.
Подписывайтесь на все мои остальные мои ресурсы:
Если у вас есть мысли, факты, истории, которыми вы хотели бы поделиться, присылайте на почту: stariithinks@gmail.com или stariithinks@yandex.ru
