Лаборатория компьютерной криминалистики

За 18 лет работы мы стремительно выросли до одной из ведущих международных компаний по предотвращению и расследованию киберпреступлений, высоко ориентированной на достижение результата. Мы находим преступников по цифровым следам и формируем доказательную базу, востребованную как в российских, так и иностранных судах.

Благодаря нашей обширной базе данных и собственным технологическим разработкам мы успешно расследуем самые сложные инциденты ИБ, требующие высокого качества экспертизы.

Валерий Баулин Руководитель департамента сервисов по кибербезопасноти

Многоуровневый анализ

Команда профессионалов

Омерзительная шестерка

ILOVEYOU

Первым экспонатом кунсткамеры китайского художника стал вирус с романтическим названием ILOVEYOU, также известный как LoveLetter. Вирус был разослан по электронной почте с Филиппин в ночь на 5 мая 2000 года.

К письму с заголовком ILoveYou прилагался файл LoveLetter («Любовное послание»). При открытии вирус рассылал копию самого себя всем контактам в адресной книге Microsoft Outlook. Также он перезаписывал личные файлы, включая документы, изображения и аудио. Только в США число атакованных пользователей превысило 2,5 млн. Среди пострадавших оказались парламенты Англии и скандинавских стран, конгресс США, а также Пентагон. За невиданный размах ILOVEYOU даже внесли в Книгу рекордов Гиннесса. На сайте аукциона утверждается, что суммарный ущерб от вируса достиг $15 млрд.

WannaCry

Прогремевший на весь мир вирус-шифровальщик WannaCry ожидаемо вошел в коллекцию Го О Дуна. Массовая эпидемия началась 12 мая 2017 года. Вирус атаковал компьютеры под управлением Windows, шифровал все файлы пользователя и требовал выкуп в биткоинах за расшифровку. Жертвы вымогателей пополняли биткоин-кошельки в надежде вернуть свои файлы, но чаще всего впустую.

Менее чем за неделю были заражены до 300 тыс. компьютеров по меньшей мере в 150 странах, сообщала информационная служба McClatchy со ссылкой на американских экспертов.
Вирус блокировал работу множества организаций и предприятий: больниц, аэропортов, банков, заводов. В частности, вирус поразил серверы национальной системы здравоохранения Великобритании, чем причинил ущерб на £92 млн (около $120 млн), по данным британского министерства здравоохранения и социальной защиты. В ряде британских госпиталей было отложено выполнение назначенных медицинских процедур, обследований и срочных операций. На прием к врачам оказались отменены 19 тыс. записей.

WannaCry до сих пор продолжает периодически заражать компьютеры, хотя уже и в меньших масштабах, отметили в Techcrunch. Согласно данным на сайте аукциона, общий ущерб от действия вируса приблизился к $4 млрд.

BlackEnergy 2

Вирус BlackEnergy 2 создали на базе довольно простого троянца BlackEnergy, который применялся злоумышленниками с 2007 года для проведения DDoS-атак. Однако новая версия была значительно модернизирована и теперь представляет собой набор инструментов для самых разных деструктивных задач. Например, программа может уничтожить жесткий диск, перезаписав всю информацию на нем случайным массивом данных.

MyDoom

MyDoom («Моя погибель») стал одной из самых разрушительных программ за всю историю вирусописания. Эпидемия началась 26 января 2004 года, когда почтовый червь стал с молниеносной скоростью распространяться по интернету. Антивирусная компания MessageLabs к 4 февраля 2004 года зарегистрировала свыше 21 млн инфицированных писем.
MyDoom удалял некоторые файлы с жесткого диска и организовывал DoS-атаки на разные сайты.

По данным компании mi2g, ущерб от деятельности MyDoom на вторую половину 2 февраля 2004 года оценивался в $39 млрд. Сюда вошли задержки онлайн-платежей, потери пропускной способности сетей, восстановление работоспособности инфицированных систем и т.д.

SoBig

Червь SoBig распространялся через электронную почту как вирусный спам. Днем рождения вируса считается 9 января 2003 года. Чтобы заразиться, пользователь самостоятельно запускал зараженный файл. Вредоносное ПО значительно замедляло работу компьютера и пересылало себя дальше по почте. SoBig затронул сотни тысяч компьютеров и нанес ущерб мировой экономике более чем на $37 млрд.

DarkTequila

DarkTequila — это сложная и трудноуловимая вредоносная программа, нацеленная главным образом на пользователей в Мексике. Вирус создавался с целью воровать финансовую информацию пользователей, а также логины и пароли для входа на популярные веб-сайты. Вредоносная программа распространяется через письма от мошенников и USB-устройства. По данным «Лаборатории Касперского», вирус активен с 2013 года. DarkTequila нанес убытки на миллионы долларов множеству пользователей.

Организация защиты информации в информационных технологиях

Имеющиеся в настоящее время средства противодействия компьютерным вирусам достаточны для того, чтобы предотвратить серьезный ущерб от их воздействия. Однако это возможно только при внимательном отношении к данной проблеме. За последнее время большинство вирусных эпидемий возникало в среде малоквалифицированных пользователей.

Для противодействия компьютерным вирусам и другим типам вредоносных программ в ИТ применяется комплекс мер и средств защиты, среди которых можно выделить следующие виды, представленные на рис. 8.10.

Юридические меры защиты от компьютерных вирусов.

Для успешной борьбы с распространением вирусов и других типов вредоносных программ в нашей стране необходимо совершенствовать отечественное законодательство в этой области.

Административные и организационные меры защиты от компьютерных вирусов на современном этапе являются более действенными. Они заключаются в составлении четких планов профилактических мероприятий и планов действия на случай возникновения заражений.

В подразделениях предприятий и организаций, связанных с эксплуатацией (использованием) программного обеспечения, применяются более жесткие административные и организационные меры по сравнению с подразделениями, занятыми разработкой приложений и прикладных программных продуктов для ИТ. Это чаще всего оказывается возможным, т. к. в эксплуатирующих подразделениях предприятий и организаций собственная разработка программного обеспечения не производится и все новые программы они получают от разработчиков или вышестоящих организаций через специальные подразделения, адаптирующие программные средства к реальным условиям экономического объекта.

С другой стороны, наличие вируса, «троянского коня» или другой вредоносной программы в ИТ зачастую приводит к гораздо более тяжелым последствиям, т. к. они имеют дело с реальной экономической, производственной или иной информацией.

Для подразделений, занятых разработкой специальных вспомогательных программ, по сравнению с эксплуатирующими, административные и организационные меры должны быть более мягкими. Платой за чрезмерное администрирование является существенное снижение темпов и качества разработки программных продуктов.

• вирус или другая вредоносная программа поступает вместе с программным обеспечением, предназначенным для последующего использования в работе;
• вирус или другой тип вредоносной программы поступает в систему при приеме сообщений по сети;
• вирус или другая вредоносная программа приносятся персоналом с программами, не относящимися к эксплуатируемой системе;

вирус или другой тип вредоносной программы преднамеренно создаются обслуживающим персоналом.

Источник вируса легко выявляется, если в эксплуатируемой ИТ производится разграничение доступа пользователей к привилегированным функциям и оборудованию, присутствуют надежные средства регистрации процесса всего технологического цикла, включая регистрацию внутримашинных процессов. Особенно важными являются меры разграничения доступа в вычислительных сетях.

Программно-аппаратные меры защиты основаны на использовании программных антивирусных средств и специальных аппаратных средств (специальных плат), с помощью которых производится контроль зараженности вычислительной системы, контроль доступа, шифрование данных и регистрация попыток обращения к данным.

Наиболее часто в ИТ используются два метода защиты от вирусов с помощью использования специального программного обеспечения:

1. Применение «иммуностойких» программных средств, защищенных от возможности несанкционированной модификации (разграничение доступа, методы самоконтроля и самовосстановления).
2. Применение специальных антивирусных программных средств, осуществляющих:
   • постоянный контроль возникновения отклонений в деятельности прикладных программ;
   • периодическую проверку наличия других возможных следов вирусной активности (например, обнаружение нарушений целостности программного обеспечения);
   • входной контроль новых программ и файлов перед их использованием (по характерным признакам наличия в их теле вирусных образований);
   • удаление вирусов и по возможности восстановление пораженных файлов.

В настоящее время на рынке программных продуктов имеется довольно большое число специальных антивирусных программ. В основе работы большинства их лежит принцип поиска сигнатуры вирусов.

Обычно в антивирусные программы входит периодически обновляемая база данных сигнатур вирусов. Антивирусная программа просматривает компьютерную систему, проводя сравнение и отыскивая соответствие с сигнатурами в базе данных. Когда программа находит соответствие, она пытается убрать обнаруженный вирус .

По методу работы антивирусные программы подразделяются на следующие основные виды, представленные на рис. 8.11.

Вирус-фильтр (сторож) — это резидентная программа, обнаруживающая свойственные для вирусов действия и требующая от пользователя подтверждения на их выполнение. В качестве проверяемых действий выступают:

• обновление программных файлов и системной области диска;
• форматирование диска;

резидентное размещение программы в оперативной памяти и т. д.

Пользователь в ответ на это должен либо разрешить выполнение действия, либо запретить его. Подобная часто повторяющаяся «назойливость», раздражающая пользователя, и то, что объем оперативной памяти уменьшается из-за необходимости постоянного нахождения в ней вирус-фильтра, являются главными недостатками этих программ. К тому же эти программы не лечат файлы или диски, для этого необходимо использовать другие антивирусные программы.

Однако вирус-фильтры позволяют обеспечить определенный уровень защиты персонального компьютера от деструктивных действий вирусов.

Детектор (сканер) — это специальные программы, предназначенные для просмотра всех возможных мест нахождения вирусов (файлы, операционная система, внутренняя память и т. д.) и сигнализирующие об их наличии.

Дезинфектор (доктор) — это программа, осуществляющая удаление вируса из программного файла или памяти ПК. Если это возможно, то дезинфектор восстанавливает нормальное функционирование ПК. Однако ряд вирусов искажает систему так, что ее исходное состояние дезинфектор восстановить не может.

Программы-вакцины, или иммунизаторы, относятся к резидентным программам. Они модифицируют программы и диски таким образом, что это не отражается на работе программ, но вирус, от которого производится вакцинация, считает их уже зараженными и не внедряется в них.

Полидетектор-дезинфектор — это интегрированные программы, позволяющие выявить вирусы в персональном компьютере, обезвредить их и по возможности восстановить пораженные файлы и программы. В некоторых случаях программы этого семейства позволяют блокировать зараженный файл от открытия и перезаписи.

Однако, несмотря на все меры антивирусной защиты, стопроцентной гарантии от вирусов в настоящее время не существует.

Поэтому в целях защиты информационной технологии от компьютерных вирусов необходимо соблюдать следующие правила:

Правило первое. Следует осторожно относиться к программам и документам, полученным из глобальных сетей. Перед тем, как запустить файл на выполнение или открыть документ, базу данных и прочее, необходимо в обязательном порядке проверить их на наличие вирусов.

Правило второе. Для уменьшения риска заразить файл на сервере локальной вычислительной сети следует активно использовать стандартные возможности защиты сетей:

• ограничение прав пользователей;
• установку атрибутов «только для чтения» или «только на запуск» для выполняемых файлов;
• скрытие (закрытие) важных разделов диска и директорий.

В локальных вычислительных сетях следует использовать специализированные антивирусные средства, проверяющие все файлы, к которым идет обращение. Если это по каким-либо причинам невозможно, необходимо регулярно проверять сервер обычными антивирусными средствами. Необходимо также перед тем, как запустить новое программное обеспечение , проверить его на тестовом персональном компьютере, не подключенном к общей сети.

Правило третье. Следует приобретать дистрибутивные копии программных продуктов у официальных поставщиков. При этом значительно снижается вероятность заражения.

Правило четвертое. Следует хранить дистрибутивные копии программного обеспечения (в том числе копии операционной системы), причем копии желательно хранить на защищенных от записи машинных носителях.

Следует пользоваться только хорошо зарекомендовавшими себя источниками программного обеспечения.

Правило пятое. Не следует запускать непроверенные файлы, в том числе полученные из компьютерной сети. Желательно использовать только программы, полученные из надежных источников. Перед запуском новых программ обязательно следует проверять их одним или несколькими антивирусными средствами.

Правило шестое. Необходимо пользоваться утилитами проверки целостности информации. Такие утилиты сохраняют в специальных базах данных информацию о системных областях дисков (или целиком системные области) и информацию о файлах. Следует периодически сравнивать информацию, хранящуюся в подобной базе данных, с информацией, записанной на винчестере. Любое несоответствие может служить сигналом о появлении вируса.

Правило седьмое. Следует периодически сохранять на внешнем носителе файлы, с которыми ведется работа.

Для эффективности защиты информации от компьютерных вирусов необходимо использовать комплекс всех известных способов и средств, выполняя мероприятия непрерывно.

Практическое задание

Разработайте и приведите графическое изображение схемы технологического процесса обработки информации на одном из ниже перечисленных экономических объектов:

• торговой организации;
• образовательного учреждения;
• филиала банка;
• налоговой инспекции;
• страховой организации;
• производственного предприятия;
• бухгалтерии учреждения.

Практическое задание

Задание 1

Отправьте по электронной почте данные по производственной задаче: сведения о заказах фирмы ОАО «Винчестер», представленные в таблице.

Сведения о заказах фирмы ОАО «Винчестер»

Месяц	Наименование товара	Объемы заказа, шт.	Количество заказов
Январь	ПК	75	10
Февраль	Ноутбук	80	12
Март	ПК	62	8
Апрель	ПК	52	9
Май	ПК	48	10
Июнь	ПК	20	5
Июль	ПК	10	6
Август	Ноутбук	15	7
Сентябрь	Ноутбук	95	15
Октябрь	ПК	82	10
Ноябрь	ПК	100	20
Декабрь	ПК	110	21

Задание 2

С помощью электронной почты отправьте информацию, представленную в графическом виде (гистограмма, диаграмма или график), используя данные задания 1.

Где скачать вирусы?

Если теста Eicar вам не достаточно, то вот вам сервисы, на которых можно найти разного типа вирусы.

Имейте ввиду какие-то браузеры могут блокировать переход на некоторые сервисы. Так что добавляйте во «временно разрешенные».

Vxvault

Первый сайт о котором я расскажу называется Vxvault. Здесь вы можете найти список вирусов, который обновляется ежедневно, почти в реальном времени.

Все вредоносные программы подсвечиваются тремя цветами:

• Желтый — вероятно что вредонос уже удален
• Темно желтый — вредонос удален
• Зеленый — вредонос доступен для скачивания

Кроме этого сайт показывает хэш файла, IP-адрес и имеет базовые инструменты для изучения малвари.

Malc0de

Следующий сайт для скачивания вирусов — это Malc0de. Не плохой сервис. Есть поиск. Часто обновляется.

Clean-Mx

Clean-Mx — это еще один сайт позволяющий скачать вирусы. Это мой любимый сервис. Данный сервис позволяет искать малварь и предлагает другую полезную информацию.

Malshare

Malshare — сервис для поиска примеров вредоносных программ. Регистрация не требуется. Поиска нет, но есть дополнительные инструменты.

AVCaesar

AVCaesar — еще один подобный сервис, который позволяет скачать вирус. Для работы с ним требуется регистрация. Есть поиск по хэшам и имени.

Virusign

Virusign.com — хороший сайт, много сэмплов. Часто обновляется. Регистрация не требуется.

Virusshare

Virusshare — хороший сайт. Огромная база сэмплов. Для скачивания вредоносного ПО необходимо зарегистрироваться.

OpenMalware

OpenMalware — не плохой сайт. Есть поиск по базе данных. Для скачивания вирусов необходима бесплатная регистрация.

На этом все. Этих сервисов должно хватить всем. Я надеюсь что после прочтения данной статьи никто из вас не заразится вирусами, а только узнает о них больше.

В будущем я собираюсь написать инструкции о том, как в домашних условиях создать лабораторию для исследования вирусов. Поэтому, если вы интересуетесь информационной безопасностью или просто хотите стать более продвинутым пользователем, то подписка на наши паблики в соц сетях вам очень не помешает.

Диагностика

С целью обнаружения вложенных компьютерных вирусов из проходящего трафика производится сборка сессий, распознавание по нескольким популярным протоколам прикладного уровня и выделение переданных по ним объектов. Для диагностики на инфицированность все извлеченные файлы отправляются на проверку антивирусным средством Dr.Web (выбор обусловлен наличием сертификата безопасности и скоростными характеристиками). В случае обнаружения заражения выделенный из трафика файл сохраняется в специальный «контейнер» (для защиты от непреднамеренного запуска) и формируется сообщение в виде информационного пакета безопасности.

Сгенерированные подсистемами информационные пакеты передаются в единую базу данных. Передача осуществляется в клиент-серверном режиме с периодичной посылкой сигналов об отправке очередной порции сообщений. Для быстроты пересылки ИПБ, «контейнеров» и статистической информации от подсистемы «Сенсор-Вирус» используется сжатие передаваемых данных. Для гарантии передачи разработан протокол передачи и выполняется проверка контрольных сумм данных.

Подсистема передачи и отображения технологической информации о состоянии работоспособности подсистем реализована на основе свободной системы мониторинга ZABBIX.

Вся информация хранится в СУБД PostgreSQL.

Подсистема визуализации позволяет через дружественный web-интерфейс отображать статистическую информацию об обнаруженных КА и КВ, а также производить первичный экспресс-анализ выявленных фактов атак и вирусов.

Узким местом системы является выявление компьютерных вирусов. Антивирусное средство имеет ограниченную скорость проверки на наличие компьютерных вирусов. Имеющийся опыт обработки и анализа сетевого трафика по каналам связи производительностью 100 Мбит/с свидетельствует о том, что очередь файлов к антивирусному средству на проверку может накапливаться и даже расти. При снижении интенсивности притока файлов в очередь – как правило, в ночное время – разбор очереди иногда продолжается несколько часов.

Для анализа извлеченных из гигабитного канала данных требуется поддерживать скорость антивирусной проверки достаточно высокой. Есть несколько путей решения этой задачи.

Первый путь – одновременный запуск нескольких демонов антивирусного средства в зависимости от характеристик процессора. Оптимальной конфигурацией на определенном смоделированном трафике является запуск трех демонов антивирусного средства, при этом каждый обрабатывает 16 потоков. Данная конфигурация позволяет почти в два раза повысить скорость определения зараженности объектов (см. рис. 3).

Второй путь – использование агрегации файлов, посылаемых антивирусному средству, в tar-архивы оптимального размера, что сокращает время обработки.

Третий путь – наращивание производительности аппаратной платформы. Один из вариантов – использование платформы с независимыми вычислительными модулями в едином серверном шасси 2U с общей дисковой подсистемой.

Использование указанных путей в формировании программно-аппаратных систем позволяет создавать системы разной комплектации в зависимости от требуемого функционала с целью контроля интернет-трафика на наличие сетевых атак и вирусов.

Для обеспечения требований безопасности ПАС предусмотрена возможность разделения информационных контуров на «открытый» и «закрытый» с хранением и обработкой данных в»закрытом» контуре, не имеющем выхода во внешние сети. Связь между контурами может обеспечиваться сертифицированным однонаправленным оптическим шлюзом (www.kbpm-ib.ru/odnsh). Возможна также организация криптозащиты канала передачи данных между удаленными сенсорами в «открытом» контуре и базой данных в «закрытом» контуре.

В перспективе предусматривается модернизация ПАС в части создания подсистемы визуализации с подключением к ней дополнительных функций, позволяющих:

• отображать результаты обработки на электронной карте с привязкой к географическим координатам сенсоров;
• использовать технологии GeoIP для локализации адресов атакующих машин;
• формировать отчетные документы.

В целом разработанная ПАС «Сенсор» рассматривается как средство оперативного контроля интернет-трафика в защищаемых компьютерных системах в ходе решения задачи обеспечения информационной безопасности.

Основные методы борьбы с вирусами

Сигнатурный метод обнаружения

Наверняка вы встречались с сообщениями антивируса, например, Антивируса Касперского, о том, что антивирусные базы устарели и их необходимо обновить. О каких базах идет речь?

Антивирусная лаборатория – разработчик антивируса – выявляет вирус, анализирует его, и выявляет так называемую сигнатуру. Сигнатура вируса (сигнатура атаки) – особый цифровой признак вредоносной программы, по которому её можно «узнать» и однозначно определить. Эти сигнатуры вносятся в базу данных, чье обновление регулярно скачивает пользователь вручную или по расписанию. Сообщение от антивируса об устаревании базы вирусов сигнализирует об ослаблении защиты и повышении вероятности подхватить какой-нибудь «свежак».

Достоинства этого метода:

1. Отработанная надежность. Метод применяется давно и с успехом, можно сказать что это основной метод обнаружения вируса.
2. Высокое быстродействие.

Недостатки:

1. Проблема лавинообразного увеличения сигнатур. Виноваты и рост количества новых вирусов и способность видоизменяться у «старых». В итоге базы сигнатур вырастают до неприличных размеров, так что теряется второе достоинство метода. Ситуацию разрешают путем особых оптимизаций, когда одна сигнатура описывает сразу множество вирусов, однако при этом возникает проблема ложных срабатываний, что уменьшает первое достоинство.
2. Проблема выявления новых вирусов. Считается, что сами пользователи вносят слишком маленький вклад в увеличение базы данных вирусов. То есть обнаружение новых вирусов – это как будто бы проблема разработчиков антивируса, что с одной стороны кажется справедливым, с другой является нарушением принципа «безопасность – дело каждого». Во многих антивирусах встроена функция «отправить на проверку», которой следует невозбранно пользоваться. Основные методы решения проблемы – это взаимный обмен информацией с другими антивирусными конторами, эвристический, (то есть интеллектуальный, использующих особый алгоритм) поиск вирусов в Интернете, быстрая реакция во время эпидемий и сознательность системных инженеров, анализирующих подозрительную активность в сети.

Эвристические методы обнаружения

Многие антивирусные программы содержат в себе модуль так называемого эвристического поиска вредоносных программ. Суть метода в анализе поведения всех запускаемых программ. Если в процессе работы системы вдруг обнаруживается «подозрительное» поведение приложения, то есть программа вдруг начинает делать то, что раньше не делала, то срабатывает тревога и эвристический модуль сообщает пользователю о потенциальной угрозе.

Достоинства метода:

1. Весьма перспективное направление, в будущем возможности эвристического модуля возрастут и компьютер и информация будут лучше защищены от неожиданных и новейших угроз.
2. Эвристический модуль может реагировать на угрозы, информации о которых нет в базе сигнатур.

Недостатки метода:

1. Ложное срабатывание на безопасные события. В итоге пользователь может в раздражении отключить эвристический модуль, уменьшив защиту.
2. Из-за особенностей работы эвристического модуля есть проблема излишнего потребления вычислительных мощностей. Попросту говоря, антивирус сжирает всю память и процессор, в итоге не то что в игры не поиграешь, в Word`е толком не поработаешь. Итог тот же – отключение модуля и уменьшение защиты.

Брандмауэр или файрвол

Брандмауэр предназначен для защиты от сетевых угроз – из локальной сети и Интернета.

Этот модуль далеко не всегда входит в стандартный набор антивируса, зачастую брандмауэр разрабатывается, поставляется и продается как отдельная программа.

Многие программы для соединения с удаленными компьютерами или серверами могут использовать небезопасные методы, оставляя «дырки» и уязвимости для проникновения извне.

Суть работы брандмауэра в контроле как входящего, так и исходящего трафика путем ограничения возможности устанавливать соединения с определенными удаленными ресурсами. Самый наглядный метод защиты – белые и черные списки сетевых ресурсов.

«Черный» список сетевых ресурсов – это список, например, сайтов, куда заходить нельзя, а «белый» список – это список ресурсов, куда только и можно заходить. Как нетрудно заметить, метод белого списка значительно более безопасен, но и сильно ограничивает возможности пользователя и программ.

Анализ риска

Пользователи персональных компьютеров порой не считают вредоносные программы серьезной угрозой, хотя часто становятся жертвами кражи учетных данных либо блокировки компьютера с требованием выкупа. Бизнес, наоборот, говорит об инфекциях как о существенной угрозе своей деятельности.

Распространение получают вредоносные программы, попадающие в устройства интернета вещей. Так, компания из Британии создала вирус-вымогатель для термостата, подключенного к Wi-Fi. Получив контроль над оборудованием, он способен опустить температуру до критической отметки и требовать денег. Подробнее о новой вредоносной программе можно прочитать в статье «Вирусы-вымогатели добрались до термостатов » .

Нет абсолютной защиты от инфекций, но снизить риск реализации угрозы можно. Для этого необходимо устанавливать новые версии операционных систем, следить за обновлением всех программ, использовать антивирусные решения от надежных производителей, не допускать к ПК посторонних лиц, не открывать подозрительные ссылки, письма и файлы, выполнять ряд других предохранительных мер.