Программные закладки: типы, способы внедрения и защиты

      Главные компоненты серверной части

• D.I.R.T. Control Center Configuration - предоставляет удобный доступ к двум наиболее важным конфигурационным файлам системы D.I.R.T. - "Import Files", где содержится перечень файлов с журналами регистрации, полученными от клиентских компьютеров, и "D.I.R.T. Generator", где настраиваются параметры конфигурации для генерирования новых "жучков". После импортирования в базу новых клиентов можно просматривать их журналы регистрации в html формате с настраиваемыми шаблонами.
• Target Manager - менеджер "целей". Содержит перечень всех клиентских компьютеров, находящихся под наблюдением и позволяет добавлять, удалять, редактировать, активировать/деактивировать "цели", а также генерировать "жучки" для новых "целей". Внешний вид окна менеджера "целей" показан на рисунке 3.
• D.I.R.T. Remote Access - терминал для связи с клиентской частью. Позволяет записывать файлы на клиентский компьютер или с него, запускать программы на клиентском компьютере, давать различные команды и управлять "жучком", устанавливать/обновлять дополнительные компоненты и многое другое.

     Таким образом, видно, что даже минимальные возможности D.I.R.T. дают серьезный повод задуматься специалистам по сетевой безопасности.

     Дополнением к D.I.R.T. является технология с романтическим  названием H.O.P.E. (Harnessing the Omnipotent Power of the Electron - "управление всемогущей силой электрона"), имеющая отнюдь не столь романтическое предназначение - автоматизация процесса генерирования "жучков" и их массового внедрения на клиентские компьютеры через сеть Интернет. В числе вышеупомянутых 140 файлов, добытых хакерами, самой программы H.O.P.E. не оказалось, зато была получена презентация в формате PowerPoint, описывающая возможности и функции этой технологии. 

      Программно-аппаратный продукт H.O.P.E. поставляется тем агентствам, которые обладают сайтовой лицензией  на D.I.R.T. Принцип его работы состоит  в том, что, при посещении сервера H.O.P.E. пользователем, автоматически  генерируется "жучок" системы D.I.R.T., который снабжается уникальным кодом для идентификации и определения местоположения клиента. Все перемещения "жучка" фиксируются в журнале регистрации сервера. Таким образом, сложно предположить масштабы распространения системы D.I.R.T.

      Даже  межсетевые экраны не являются помехой  на пути D.I.R.T. Обход защиты достигается  за счет использования технологии AntiSec. Предназначается AntiSec для поиска всех известных межсетевых экранов и  их незаметной нейтрализации.

4. Paparazzi

      Небольшая программа под говорящим названием PAPARAZZI, созданная Industar Cybernetics Corp., призвана осуществлять контроль за происходящим на офисных компьютерах, и делает это довольно-таки оригинальным способом.

      Программа состоит из двух независимо работающих модулей - "агента", который тайком устанавливается на компьютере "подопытного" и делает с заданной регулярностью скриншоты, и "монитора", доступ к которому имеет администратор. "Монитор" позволяет просмотреть накопившиеся данные или изменить настройки PAPARAZZI - варьировать частоту кадров, удалить или сортировать их, приостановить наблюдение на любое время.  

Рис. 4. Рабочее окно программы Paparazzi. Version 0.2 

      Файлы данных тщательно защищены от обнаружения и просмотра. Для пользования PAPARAZZI нужно помнить (и сохранять в тайне) пароль и код доступа. Не зная их, воспользоваться программой или просмотреть снимки просто невозможно. При деинсталляции все следы работы PAPARAZZI полностью уничтожаются. 

5. Распознавание троянских программ

      Большинство программных средств, предназначенных  для защиты от троянских программ, в той или иной степени использует так называемое согласование объектов. При этом в качестве объектов фигурируют файлы и каталоги, а согласование представляет собой способ ответить на вопрос, изменились ли файлы и каталоги с момента последней проверки. В ходе согласования характеристики объектов сравниваются с характеристиками, которыми они обладали раньше. Берется, к примеру, архивная копия системного файла и ее атрибуты сравниваются с атрибутами этого файла, который в настоящий момент находится на жестком диске. Если атрибуты различаются и никаких изменений в операционную систему не вносилось, значит в компьютер, скорее всего, проник троянец.

      Одним из атрибутов любого файла является отметка о времени его последней  модификации: всякий раз, когда файл открывается, изменяется  и сохраняется  на диске, автоматически вносятся соответствующие  поправки. Однако отметка времени не может служить надежным индикатором наличия в системе троянца. Дело в том, что ею очень легко манипулировать. Можно подкрутить назад системные часы, внести изменения в файл, затем снова вернуть часы в исходное состояние, и отметка о времени модификации файла останется неизменной.

      То  же самое происходит и с размером файла. Нередко текстовый файл, который изначально занимал 8 Кбайт дискового пространства, после редактирования и сохранения имеет тот же самый размер. Несколько иначе ведут себя двоичные файлы. Вставить в чужую программу фрагмент собственного кода так, чтобы она не утратила работоспособности и в откомпилированном виде сохранила свой размер, достаточно непросто. Поэтому размер файла является более надежным показателем, чем отметка о времени внесения в него последних изменений.

      Злоумышленник, решивший запустить в компьютер  троянца, обычно пытается сделать его  частью системного файла. Такие файлы  входят в дистрибутив операционной системы и их присутствие на любом  компьютере, где эта операционная система установлена, не вызывает никаких подозрений. Однако любой системный файл имеет вполне определенную длину. Если данный атрибут будет каким-либо образом изменен, это встревожит пользователя.

      Зная  это, злоумышленник постарается  достать исходный текст соответствующей программы и внимательно проанализирует его на предмет присутствия в нем избыточных элементов, которые могут быть удалены безо всякого ощутимого ущерба. Тогда вместо найденных избыточных элементов он вставит в программу своего троянца и перекомпилирует ее заново. Если размер полученного двоичного файла окажется меньше или больше размера исходного, процедура повторяется. И так до тех пор, пока не будет получен файл, размер которого в наибольшей степени близок к оригиналу (если исходный файл достаточно большой, этот процесс может растянуться на несколько дней).

      Итак, в борьбе с троянцами положиться на отметку о времени последней  модификации файла и его размер нельзя, поскольку злоумышленник  может их довольно легко подделать. Более надежной в этом отношении является так называемая контрольная сумма файла. Для ее подсчета элементы файла суммируются, и получившееся в результате число объявляется его контрольной суммой. Например, в операционной системе SunOS существует специальная утилита sum, которая выводит на устройство стандартного вывода STDOUT контрольную сумму файлов, перечисленных в строке аргументов этой утилиты.

      Однако  и контрольную сумму в общем  случае оказывается не так уж трудно подделать. Поэтому для проверки целостности файловой системы компьютера используется особая разновидность алгоритма вычисления контрольной суммы, называемая односторонним хэшированием.

      Функция хэширования называется односторонней, если задача отыскания двух аргументов, для которых ее значения совпадают, является труднорешаемой. Отсюда следует, что функция одностороннего хэширования может быть применена для того, чтобы отслеживать изменения, вносимые злоумышленником в файловую систему компьютера, поскольку попытка злоумышленника изменить какой-либо файл так, чтобы значение, полученное путем одностороннего хэширования этого файла, осталось неизменным, обречена на неудачу.

      Исторически сложилось так, что большинство  утилит, позволяющих бороться с проникновением в компьютерную систему троянских  программ путем однонаправленного хэширования файлов, было создано для операционных систем семейства UNIX. Одной из наиболее удобных в эксплуатации и эффективных является утилита TripWire. Она позволяет производить однонаправленное хэширование файлов при помощи нескольких алгоритмов. Вычисленные хэш-значения файлов хранятся в специальной базе данных, которая, в принципе, является самым уязвимым звеном утилиты TripWire. Поэтому пользователям TripWire предлагается в обязательном порядке принимать дополнительные меры защиты, чтобы исключить доступ к этой базе данных со стороны злоумышленника (например, помещать ее на съемном носителе, предназначенном только для чтения).

     Средства  борьбы с троянцами в операционных системах семейства Windows (95/98/NT) традиционно являются частью их антивирусного программного обеспечения.

3. Логические  бомбы

      Логическая бомба (logic bomb) — скрытый код в системе, который активизируется по возникновению определенного события (чаще всего в определенное время).

      Например, уволенный работник может оставить логическую бомбу на компьютере, которая спустя месяц после его ухода сотрет все содержимое диска.

      Эти программные закладки оказывают, как правило, разрушающие воздействия на атакованную систему и обычно нацелены на полное выведение системы из строя. В отличие от вирусов логические бомбы не размножаются или размножаются ограниченно.

      Логические бомбы всегда предназначены для атаки на конкретную компьютерную систему. После того как разрушающее воздействие завершено, то, как правило, логическая бомба уничтожается.

      Иногда выделяют особый класс логических бомб - временные бомбы, для которых условием срабатывания является достижение определенного момента времени.

      Характерным свойством логических бомб является то, что реализуемые ими негативные воздействия на атакованную систему носят исключительно разрушающий характер. Логические бомбы, как правило, не используются для организации НСД к ресурсам системы, их единственной задачей является полное или частичное разрушение системы.

4. Мониторы

      Мониторы - это программные закладки, перехватывающие те или иные потоки данных, протекающие в атакованной системе. В частности, к мониторам относятся перехватчики паролей второго рода.

      Целевое назначение мониторов может быть самым разным: 

• полностью или частично сохранять перехваченную информацию в доступном злоумышленнику месте;
• искажать потоки данных;
• помещать в потоки данных навязанную информацию;
• полностью или частично блокировать потоки данных;
• использовать мониторинг потоков данных для сбора информации об атакованной системе.

      Мониторы позволяют перехватывать самые различные информационные потоки атакуемой системы. Наиболее часто перехватываются следующие потоки:

• потоки данных, связанные с чтение, записью и другими операциями над файлами;
• сетевой трафик;
• потоки данных, связанные с удалением информации с дисков или из оперативной памяти компьютера (так называемая «сборка мусора»).

5. Компьютерные черви

      Вирус  -  одна из разновидностей злоумышленного кода, который распространяется, прикрепляясь к исполняемому файлу или документу (заражая его). Вирусы могут содержать деструктивные функции, например стирание случайных файлов на диске, форматирование диска или даже стирание Flash-BIOS компьютера.

      Червь — это злоумышленная программа, распространяющая свои копии. В отличие от вируса, червь не прикрепляется к другим файлам, а распространяется в виде копии сам. Чаще всего встречаются почтовые черви (e-mail worms), распространяющиеся по электронной почте. При открытии сообщения, зараженного червем, червь активизируется и рассылает сообщения, содержащие свои копии, по адресам из адресной книги получателя. Эпидемия почтового червя может вызвать перегрузку каналов связи и «крах» системы электронной почты.