Как защититься от вирусов антивирусом?
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6357
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7064
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4342
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3072
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3864
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3883
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6373
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3222
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3517
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7336
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10699
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12425
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14066
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9180
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7131
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5437
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4671
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3478
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3203
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3441
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3075
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Как защититься от вирусов антивирусом?

Блог:  Спроси у эксперта |  Автор:  Вячеслав Медведев |  Категория:  Системное администрирование 02.04.2012 - 03:31

 

Современные вредоносные программы, создаваемые профессиональными программистами, работающими в составе жестко структурированных криминальных систем, уже не позволяют защититься от вирусов, просто поставив антивирус. В связи с этим в предыдущей статье* уже говорилось о том, что технические специалисты, отвечающие в своих компаниях за информационную безопасность, должны уметь в совершенстве использовать программные продукты и их компоненты, а в случае возникновения новых угроз — уметь обосновать необходимость закупки новых продуктов или их компонентов.

Вполне ожидаемо в комментариях было высказано обвинение в скрытой рекламе. Поэтому необходимо прояснить, почему некоторые вендоры, и в частности «Доктор Веб», предлагают такую широкую линейку средств защиты информации. Действительно, нельзя отрицать желание любого вендора продавать все продукты, имеющиеся в продуктовой линейке, — их разработка должна окупаться. Но почему создавались все эти продукты? Разве дело только в стремлении компании составить предложение на все случаи жизни, или разработчики антивирусного ПО по своим должностным обязанностям знают несколько больше о реальности тех или иных угроз и, как герои Сервантеса, хотят достичь благой цели полной защищенности своих клиентов? Попробуем разобраться**.

Одной из самых актуальных целей для создателей вредоносных программ на данный момент являются системы дистанционного банковского обслуживания. Поэтому именно эти угрозы мы и рассмотрим подробнее.

Зайдем на http://updates.drweb.com и в поиске введем Carberp. Итого для обновлений за 2012-03-02 (дата на момент написания статьи):

Trojan.Carberp.14(2) Trojan.Carberp.15(7) Trojan.Carberp.194 Trojan.Carberp.195 Trojan.Carberp.196 Trojan.Carberp.197 Trojan.Carberp.198 Trojan.Carberp.199 Trojan.Carberp.200 Trojan.Carberp.201 Trojan.Carberp.202 Trojan.Carberp.203 Trojan.Carberp.204 Trojan.Carberp.205 Trojan.Carberp.206 Trojan.Carberp.207 Trojan.Carberp.208(14) Trojan.Carberp.209 Trojan.Carberp.210 Trojan.Carberp.211 Trojan.Carberp.213 Trojan.Carberp.214 Trojan.Carberp.215 Trojan.Carberp.216 Trojan.Carberp.217 Trojan.Carberp.218 Trojan.Carberp.219 Trojan.Carberp.220 Trojan.Carberp.221 Trojan.Carberp.222 Trojan.Carberp.224 Trojan.Carberp.225 Trojan.Carberp.226 Trojan.Carberp.227 Trojan.Carberp.228 Trojan.Carberp.229 Trojan.Carberp.230 Trojan.Carberp.231 Trojan.Carberp.232 Trojan.Carberp.233 Trojan.Carberp.234 Trojan.Carberp.235 Trojan.Carberp.236 Trojan.Carberp.237 Trojan.Carberp.238 Trojan.Carberp.239 Trojan.Carberp.240 Trojan.Carberp.241 Trojan.Carberp.242 Trojan.Carberp.243 Trojan.Carberp.244 Trojan.Carberp.245 Trojan.Carberp.246 Trojan.Carberp.247 Trojan.Carberp.248 Trojan.Carberp.249 Trojan.Carberp.250 Trojan.Carberp.251 Trojan.Carberp.252 Trojan.Carberp.253 Trojan.Carberp.254 Trojan.Carberp.255 Trojan.Carberp.256 Trojan.Carberp.257 Trojan.Carberp.258 Trojan.Carberp.259 Trojan.Carberp.260 Trojan.Carberp.261 Trojan.Carberp.262 Trojan.Carberp.263 Trojan.Carberp.264 Trojan.Carberp.265 Trojan.Carberp.266 Trojan.Carberp.267 Trojan.Carberp.29(14) Trojan.Carberp.33(10) Trojan.Carberp.45(4) Trojan.Carberp.5(3) Trojan.Carberp.60(6) Trojan.Carberp.61 Trojan.Carberp.80 

Как известно, троянцы семейства Trojan.Carberp нацелены на хищение денежных средств компаний и частных лиц. Распространяется Trojan.Carberp с использованием набора эксплойтов Black Hole Exploit Kit — коллекции уязвимостей, эксплуатирующих ошибки и недокументированные возможности современного ПО, в частности, браузеров и операционных систем. В большинстве случаев жертве Black Hole не нужно предпринимать вообще никаких действий для того, чтобы «получить троянца»: заражение происходит автоматически при просмотре инфицированных веб-сайтов.

Разработкой и «продвижением» Trojan.Carberp занимается организованная группа злоумышленников: разработчики находятся в одной стране, серверы, с которых непосредственно распространяется троянец, — в другой, организаторы — в третьей.

На данный момент ситуация с Trojan.Carberp напоминает ситуацию с прошлогодним WinLock’ом — новые модификации, протестированные заранее на последних версиях антивирусов, выходили ежедневно. И, естественно, антивирусам требовалось время, чтобы начать удалять новый для них вид угрозы. При этом Trojan.Carberp гораздо опаснее — если WinLock просто не давал работать, блокируя доступ к ОС, и требовал отправки СМС, то Trojan.Carberp направлен на длительную работу в системе.

Если посмотреть на назначение самого Trojan.Carberp, то он непосредственно служит для хищения паролей от программ ДБО (дистанционного банковского обслуживания) и торговых платформ, а также кражи паролей от других программ (браузеров, месседжеров, ftp-клиентов, почтовых клиентов, и т. д.), напоминая тем самым знаменитый Zeus. Более того, Trojan.Carberp может реализовать и функционал по заказу — благодаря расширяемой архитектуре данная троянская программа имеет возможность скачивать специальные встраиваемые дополнения (плагины) для выполнения других деструктивных действий.

Подытоживая, можно отметить, что современные вредоносные программы:

1.             Создаются профессионалами и на момент создания зачастую не обнаруживаются антивирусами — и, более того, предпринимают попытки удаления антивируса.

2.             Используют самые последние разработки в области создания вредоносного ПО. Тот же Trojan.Carberp для перехвата связанной с работой ДБО информации использует различные методы: это логирование нажатий пользователем клавиш, вклинивание в HTTP-трафик в поисках учетных данных и передаваемых значений экранных форм, встраивание в процессы программ системы «Банк-Клиент», создание скриншотов в моменты ввода важной информации, перехваты отдельных функций, которые могут участвовать в передаче данных, поиск и похищение сертификатов и ключей. Все варианты троянцев зашифрованы вирусными упаковщиками. Среди команд, которые способен выполнять Trojan.Carberp, имеются директивы запуска произвольных файлов на инфицированном компьютере, команда установки сеанса «удаленного рабочего стола» по протоколу RDP и даже удаления на зараженном ПК операционной системы. Таким образом, имеется возможность выполнения банковских проводок с использованием удаленного доступа — в уже имеющейся или параллельной сессии.

3.             Отлично маскируются в системе. Trojan.Carberp, запускаясь на инфицированной машине, предпринимает целый ряд действий для того, чтобы уйти от средств контроля и наблюдения. После успешного запуска троянец внедряется в другие работающие приложения, а свой основной процесс завершает, таким образом, вся его дальнейшая работа происходит частями внутри сторонних процессов, что является его характерным свойством. Миф о том, что появление любого вируса можно заметить визуально, изжил себя окончательно.

4.             Конкурируют между собой — в Trojan.Carberp имеется возможность уничтожения «конкурирующих» банковских троянцев.

5.             Действуют в составе ботнетов, управляемых из одного (или нескольких) командных центров. Таким образом, зараженная машина или сеть служит еще и источником заражения.

6.             Благодаря наличию функций удаленного управления и возможности использования плагинов созданы условия для организации атаки на конкретную компанию по заказу извне. На данный момент имеются версии плагинов под большинство известных банковских систем.

Что может противопоставить этому системный администратор, имея в наличии антивирус? Если он использует только антивирус (или точнее — файловый монитор, отслеживающий файловую активность), то ничего. Да, через некоторое время новая зараза будет найдена, но за это время деньги уже уйдут.

Но современный антивирус не равен файловому антивирусу. В его составе есть в том числе и системы ограничения доступа. С их помощью можно разрешить доступ сотрудникам только к избранным сайтам (вспоминаем, что Trojan.Carberp распространяется через взломанные сайты, направленные на публикацию финансовой или бухгалтерской информации). Антивирус имеет функцию проверки ссылок — это тоже нужно использовать. Антивирус не должен позволять сотрудникам изменять настройки самостоятельно по причине, что «все тормозит» — то есть должна быть система централизованного управления, через которую будут распространяться настройки.

Все антивирусы рано или поздно начнут ловить новую модификацию, но одни начнут это делать раньше, другие позже (в том числе и в зависимости от того, где находятся их вирусные аналитики). В связи с этим является правильной практика, рекомендованная СТО БР РФ (и реализуемая в банках) по использованию нескольких антивирусов — до того, как файл дойдет до пользователя, он должен быть проверен двумя антивирусами — например, на шлюзе и почтовом сервере или на почтовом сервере и машине пользователя.

Современные угрозы служат и аргументом для перехода на системы типа Линукс — на данный момент для этой ОС вирусов создано гораздо меньше. Однако смена ОС, с которой будут производиться операции с банком, не является однозначным решением проблемы. Так, уже существует первый банковский троянец для платформы Android — Android.SpyEye.1. Риску заражения вредоносной программой Android.SpyEye.1 подвержены в первую очередь пользователи, компьютеры которых уже инфицированы троянской программой SpyEye. При обращении к различным банковским сайтам, адреса которых присутствуют в конфигурационном файле троянца, в просматриваемую пользователем веб-страницу осуществляется инъекция постороннего содержимого, которое может включать различный текст или веб-формы. Таким образом, ничего не подозревающая жертва загружает в браузере настольного компьютера или ноутбука веб-страницу банка, в котором у нее открыт счет, и обнаруживает сообщение о том, что банком введены в действие новые меры безопасности, без соблюдения которых пользователь не сможет получить доступ к системе «Банк-Клиент», а также предложение загрузить на мобильный телефон специальное приложение, содержащее троянскую программу.

После загрузки и инсталляции на мобильном устройстве Android.SpyEye.1 перехватывает и отправляет злоумышленникам все входящие СМС-сообщения (на данный момент технология подтверждения платежа по СМС считается самой надежной). Android.SpyEye.1 может представлять опасность для владельцев мобильных устройств, поскольку способен передавать в руки вирусописателей конфиденциальную информацию.

Статистика доступная в сети Интернет показывает, что компании в большинстве своем закупают только системы защиты рабочих станций и (иногда) файловых серверов. Но серверные системы имеют гораздо больше возможностей по фильтрации вредоносного и нежелательного контента!

Практика показывает, что платежи могут осуществляться не только с машин, расположенных в бухгалтерии, но и с личных домашних ПК, а также с мобильных устройств. Таким образом, на данный момент нужно защищать все машины и мобильные устройства, с которыми так или иначе работают сотрудники компании (что, кстати, может служить для них неким бонусом).

В итоге:

1.             Использования собственно антивируса (файлового монитора) недостаточно для защиты от существующих угроз.

2.             Использование системы антивирусной защиты (в терминах компании «Доктор Веб» — комплексной защиты) позволяет в значительной мере снизить риск заражения — в том числе за счет использования системы распределения доступа, проверки на серверных системах и т. д.

3.             Специалисты, отвечающие за безопасность локальных систем, должны уметь в режиме реального времени гибко реагировать на возникающие угрозы — и знание того, как можно использовать имеющиеся возможности систем, что нужно на самом деле закупать, чем аргументировать перед руководством необходимость того или иного решения, для них обязательно.

 * Сисадмин и путь меча http://samag.ru/blog/art/Ask_expert/18

** Конспирологические теории о том, что антивирусные компании сами разрабатывают вирусы, а фармакологи ежегодно выпускают вирусы гриппа в Китае, оставим без внимания.

Комментарии
  25.01.2014 - 09:55 |  beralex

"Конспирологические теории о том, что антивирусные компании сами разрабатывают вирусы" -- и вот опять, Вячеслав, у Вас прямо какой-то пунктик на эту тему. Если это "бред сивой кобылы", ну зачем же тогда Вы это постоянно пишете? Или все-таки что-то подобное имеет место, отсюда и жалкие попытки оправдаться?

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru