2019/02/22 13:18:48

Троян

Троян (троянский конь, троянская программа, троянец) - тип вредоносных программ, основной целью которых является вредоносное воздействие по отношению к компьютерной системе. В данную категорию входят программы, осуществляющие различные несанкционированные пользователем действия: сбор информации и ее передачу злоумышленнику, ее разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера в неблаговидных целях.

Содержание

Особенности

Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособность зараженного компьютера (например, троянские программы, разработанные для распределенных DoS-атак на удаленные ресурсы сети). Трояны отличаются отсутствием механизма создания собственных копий.

Некоторые трояны способны к автономному преодолению защиты компьютерной системы, с целью проникновения и заражения системы. В общем случае, троян попадает в систему вместе с вирусом либо червем, в результате неосмотрительных действий пользователя или же активных действий злоумышленника.

Большинство троянских программ предназначено для сбора конфиденциальной информации. Их задача, чаще всего, состоит в выполнении действий, позволяющих получить доступ к данным, которые не подлежат широкой огласке. К таким данным относятся пользовательские пароли, регистрационные номера программ, сведения о банковских счетах и т. д. Остальные троянцы создаются для причинения прямого ущерба компьютерной системе, приводя ее в неработоспособное состояние.

Виды троянских программ

Наиболее распространены следующие виды троянов:

  • Клавиатурные шпионы (Trojan-SPY) - трояны, постоянно находящиеся в памяти и сохраняющие все данные поступающие от клавиатуры с целью последующей передачи этих данных злоумышленнику. Обычно таким образом злоумышленник пытается узнать пароли или другую конфиденциальную информацию
  • Похитители паролей (Trojan-PSW) - трояны, также предназначенные для получения паролей, но не использующие слежение за клавиатурой. Обычно в таких троянах реализованы способы извлечения паролей из файлов, в которых эти пароли хранятся различными приложениями
  • Утилиты удаленного управления (Backdoor) - трояны, обеспечивающие полный удаленный контроль над компьютером пользователя. Существуют легальные утилиты такого же свойства, но они отличаются тем, что сообщают о своем назначении при установке или же снабжены документацией, в которой описаны их функции. Троянские утилиты удаленного управления, напротив, никак не выдают своего реального назначения, так что пользователь и не подозревает о том, что его компьютер подконтролен злоумышленнику. Наиболее популярная утилита удаленного управления - Back Orifice
  • Анонимные smtp-сервера и прокси (Trojan-Proxy) - трояны, выполняющие функции почтовых серверов или прокси и использующиеся в первом случае для спам-рассылок, а во втором для заметания следов хакерами
  • Модификаторы настроек браузера (Trojan-Cliker) - трояны, которые меняют стартовую страницу в браузере, страницу поиска или еще какие-либо настройки, для организации несанкционированных обращений к интернет-ресурсам
  • Инсталляторы прочих вредоносных программ (Trojan-Dropper) - трояны, представляющие возможность злоумышленнику производить скрытую установку других программ
  • Загрузчики вредоносных программ (Trojan Downloader) - трояны, предназначенные для загрузки на компьютер-жертву новых версий вредоносных программ, или рекламных систем
  • Уведомители об успешной атаке (Trojan-Notifier) - трояны данного типа предназначены для сообщения своему "хозяину" о зараженном компьютере
  • "Бомбы" в архивах (ARCBomb) - трояны, представляющие собой архивы, специально оформленные таким образом, чтобы вызывать нештатное поведение архиваторов при попытке разархивировать данные - зависание или существенное замедление работы компьютера, заполнение диска большим количеством "пустых" данных
  • Логические бомбы - чаще не столько трояны, сколько троянские составляющие червей и вирусов, суть работы которых состоит в том, чтобы при определенных условиях (дата, время суток, действия пользователя, команда извне) произвести определенное действие: например, уничтожение данных
  • Утилиты дозвона - сравнительно новый тип троянов, представляющий собой утилиты dial-up доступа в интернет через платные почтовые службы. Такие трояны прописываются в системе как утилиты дозвона по умолчанию и влекут за собой крупные счета за пользование интернетом

Принцип действия троянских программ

Все "Троянские кони" имеют две части: клиент и сервер. Клиент осуществляет управление серверной частью программы по протоколу TCP/IP. Клиент может иметь графический интерфейс и содержать в себе набор команд для удалённого администрирования.

Серверная часть программы - устанавливается на компьютере жертвы и не содержит графического интерфейса. Серверная часть предназначена для обработки (выполнения) команд от клиентской части и передаче запрашиваемых данных злоумышленнику. После попадания в систему и захвата контроля, серверная часть трояна прослушивает определённый порт, периодически проверяя соединение с интернетом и если соединение активно, она ждёт команд от клиентской части. Злоумышленник при помощи клиента пингует определённый порт инфицированного узла (компьютера жертвы). Если серверная часть была установлена, то она ответит подтверждением на пинг о готовности работать, причём при подтверждении серверная часть сообщит взломщику IP-адрес компьютера и его сетевое имя, после чего соединение считается установленным. Как только с Сервером произошло соединение, Клиент может отправлять на него команды, которые Сервер будет исполнять на машине-жертве. Также многие трояны соединяются с компьютером атакующей стороны, который установлен на приём соединений, вместо того, чтобы атакующая сторона сама пыталась соединиться с жертвой.

Известные трояны

2019

Около 90% попыток заражения банковскими троянами Buhtrap и RTM пришлись на Россию

19 февраля «Лаборатория Касперского» сообщила, что за неполные два месяца 2019 года защитными решениями компании были зафиксированы попытки заражения Buhtrap примерно на 200 устройствах, в 2018 году этот показатель составил более трёх тысяч. Атаки RTM были заблокированы более чем у 30 тысяч пользователей (в 2018 – почти 140 тысяч пользователей). Значительный рост числа атак этих двух видов корпоративных троянцев начался в III квартале 2018-го года, и с тех пор их интенсивность остается на высоком уровне.

Динамика атак RTM и Buhtrap

Банковские троянцы Buhtrap и RTM нацелены на малый и средний бизнес. Злоумышленников прежде всего интересуют бухгалтеры, а среди профессиональных сфер – информационные технологии, преимущественно региональные компании, юриспруденция и малое производство.

Buhtrap распространяется через эксплойты, внедрённые в новостные сайты, при условии, что используется браузер Internet Explorer. При загрузке вредоносного скрипта с заражённого ресурса применяется шифрованный протокол WebSocket, что затрудняет анализ и позволяет обойти детектирование объекта с помощью некоторых защитных решений. Вредоносное ПО распространяется с использованием уязвимости, известной с 2018 года.

Зловред RTM атакует пользователей посредством фишинговых рассылок. Темы и тексты сообщений содержат информацию, характерную для переписки с финансовыми структурами: например, «Заявка на возврат», «Копии документов за прошлый месяц» или «Просьба оплатить дебиторскую задолженность». Заражение происходит после перехода по ссылке или открытия вложения.

Buhtrap и RTM в связке с подгружаемыми модулями дают полный контроль над заражённой системой. Конечной целью злоумышленников является кража денежных средств со счетов юридических лиц. Оценить совокупный ущерб крайне сложно, при этом, по подсчётам «Лаборатории Касперского», злоумышленники проводят нелегальные транзакции, каждая из которых не превышает одного миллиона рублей. Кража происходит посредством подмены реквизитов в платёжных поручениях, как это делалось в рамках вредоносной кампании TwoBee, или вручную с помощью средств удалённого доступа.

«
В последний год мы наблюдаем всплеск атак Buhtrap. В 2018 году количество детектов этого вредоносного ПО выросло на 74% по сравнению с 2017. Более того, на устройства некоторых пользователей после установки Buhtrap также загружается другой банковский троянец RTM, что позволяет совершать ещё большее число мошеннических операций. В 2018 году мы наблюдали увеличение количества атак RTM на 5000%. Для защиты от данной угрозы следует обратить особое внимание специалистов по безопасности на защиту рабочих станций сотрудников финансовых отделов: установить последние обновления и защитные решения с модулем поведенческого детектирования, запретить запуск утилит удалённого администрирования на таких компьютерах, если это возможно.
Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского»
»

В Сети активизировался троян SpeakUp для серверов Linux

14 февраля 2019 года стало известно, что компания Check Point Software Technologies Ltd., выявила очередной троян, нацеленный на серверы Linux, — бэкдор, распространяющий криптомайнер XMRig. Вредоносное ПО, получившее название SpeakUp, способно доставлять любую полезную нагрузку и запускать ее на скомпрометированных компьютерах.

Данный троян пока не обнаруживается антивирусами ни одного поставщика программ безопасности. Он был распространен с помощью серии эксплойтов, основанных на последовательностях команд центра управления, включая 8-ю, наиболее эксплуатируемую уязвимость — инъекция команд в HTTP-заголовки. Исследователи Check Point рассматривают Speakup как серьезную угрозу, поскольку его можно использовать для загрузки и распространения любых вредоносных программ.

В январе первые четыре строчки рейтинга самых активных вредоносных программ заняли криптомайнеры. Coinhive остается главным вредоносным ПО, атаковавшим 12% организаций по всему миру. XMRig снова стал вторым по распространенности зловредом (8%), за которым последовал криптомайнер Cryptoloot (6%). Несмотря на то, что в январском отчете представлены четыре криптомайнера, половина всех вредоносных форм из первой десятки может использоваться для загрузки дополнительного вредоносного ПО на зараженные машины.

«
В январе произошли небольшие изменения в формах вредоносных программ, ориентированных на организации по всему миру, однако мы находим другие способы распространения вредоносных программ. Подобные угрозы являются серьезным предупреждением о грядущих угрозах. Бэкдоры, такие как Speakup, могут избежать обнаружения, а затем распространять потенциально опасное вредоносное ПО на зараженные машины. Поскольку Linux широко используется именно на корпоративных серверах, мы ожидаем, что Speakup станет угрозой для многих компаний, масштабы и серьезность которой будут расти в течение года. Кроме того, второй месяц подряд в тройке самых активных вредоносных программ в России оказывается BadRabbit.Так что злоумышленники используют все возможные уязвимости для получения прибыли.
Василий Дягилев, глава представительства Check Point Software Software Technologies в России и СНГ
»

Самое активное вредоносное ПО января 2019:

(Стрелки показывают изменение позиции по сравнению с предыдущим месяцем.)

  • ↔ Coinhive (12%) — криптомайнер, предназначенный для онлайн-майнинга криптовалюты Monero без ведома пользователя, когда он посещает веб-страницу. Встроенный JavaScript использует большое количество вычислительных ресурсов компьютеров конечных пользователей для майнинга и может привести к сбою системы.
  • ↔ XMRig (8%) — Программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.
  • ↑ Cryptoloot (6%) — криптомайнер, использующий мощность ЦП или видеокарты жертвы и другие ресурсы для майнинга криптовалюты, зловред добавляет транзакции в блокчейн и выпускает новую валюту.

Hiddad, модульный бэкдор для Android, который предоставляет привилегии загружаемому вредоносному ПО, заменил Triada на первом месте в списке мобильных вредоносных программ. На втором месте расположился Lotoor, в то время как троян Triada спустился на третье место.

Самые активные мобильные угрозы января 2019:

  • Hiddad — Модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы.
  • Lotoor — программа использует уязвимости в операционной системе Android, чтобы получить привилегированный root-доступ на взломанных мобильных устройствах.
  • Triada — модульный троян для Android, который предоставляет привилегии суперпользователя для загружаемых вредоносных программ, а также помогает внедрить их в системные процессы.

Исследователи Check Point также проанализировали наиболее эксплуатируемые уязвимости. CVE-2017-7269 остался на первом месте (47%). Также в тройке утечка информации через репозитории веб-сервера Git (46%) и критические уязвимости библиотеки OpenSSL TLS DTLS Heartbeat (45%).

Global Threat Impact Index и ThreatCloud Map разработаны ThreatCloud intelligence, самой большой совместной сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud, содержащая на февраль 2019 года более 250 миллионов адресов, проанализированных для обнаружения ботов, более 11 миллионов сигнатур вредоносных программ и более 5,5 миллионов зараженных сайтов, продолжает ежедневно идентифицировать миллионы вредоносных программ.

2018

Android-троян HeroRat крадет данные с помощью Telegram-бота

Компания Eset 21 июня 2018 года сообщила об открытии Android-трояна HeroRat, который управляет зараженными устройствами и крадет данные с помощью бота в Telegram.

HeroRat — RAT-троян (Remote Administration Tool) для удаленного управления скомпрометированными устройствами. Авторы предлагают его в аренду по модели Malware-as-a-Service (вредоносное ПО в качестве услуги). Доступны три комплектации (бронзовая, серебряная и золотая), которые различаются набором функций и ценой — $25, $50 и $100 соответственно. Исходный код вредоносной программы продается за $650. Предусмотрен видеоканал техподдержки.

HeroRat ищет жертв через неофициальные магазины Android-приложений, социальные сети и мессенджеры. Атакующие маскируют троян под приложения, обещающие биткоины в подарок, бесплатный мобильный интернет или накрутку подписчиков в соцсетях. При этом в Google Play данной угрозы не обнаружено. Большинство заражений зафиксировано в Иране.

Когда пользователь установит и запустит вредоносное приложение, на экране появится всплывающее окно. В нем сообщается, что программа не может работать на устройстве и будет удалена. В Eset наблюдали образцы с сообщениями на английском и персидском языках (в зависимости от языковых настроек). После «удаления» иконка приложения исчезнет, а троян продолжит работу скрытно от пользователя.

Операторы HeroRat управляют зараженными устройствами через Telegram с помощью бота. Троян позволяет перехватывать и отправлять сообщения, красть контакты, совершать вызовы, записывать аудио, делать скриншоты, определять местоположение устройства и менять настройки. Для управления функциями предусмотрены интерактивные кнопки в интерфейсе Telegram-бота — пользователь получает набор инструментов в соответствии с выбранной комплектацией.

Передача команд и кража данных с зараженных устройств реализована в рамках протокола Telegram — эта мера позволяет противодействовать обнаружению трояна.

Антивирусные продукты Eset детектируют угрозу как Android/Spy.Agent.AMS и Android/Agent.AQO.

Microsoft Security Intelligence Report

Корпорация Microsoft опубликовала в апреле 2018 года отчет об угрозах информационной безопасности Security Intelligence Report за период с февраля 2017 года. Он базируется на данных, полученных защитными программами и сервисами компании (Данные о количестве обнаруженных угроз, а не о случаях заражения). Информация была предоставлена корпоративными и частными пользователями, которые согласились делиться ей с привязкой к геолокации.

Широкое распространение ботнетов и вирусов-вымогателей привело к тому, что количество устройств в России, столкнувшихся с киберугрозами в период с февраля 2017 года по январь 2018 года, достигло 25-30% в среднем в месяц, тогда как аналогичный показатель в первом квартале 2017 года был почти в два раза меньше – 15%. Самые высокие показатели были зафиксированы в Пакистане, Непале, Бангладеше и Украине (33,2% или выше), самые низкие – в Финляндии, Дании, Ирландии и США (11,4% или ниже).

Согласно данным Windows Defender Security Intelligence, самой часто встречающейся категорией нежелательного ПО стали трояны. Процент их распространения с февраля 2017 года по январь 2018 года вырос с 6% до 10%. Показатели других видов вредоносного ПО (дропперов, обфускаторов, вирусов-вымогателей и т.д.) составили менее 1%.

2017

В Google Play бум троянцев, маскирующихся под мобильные приложения банков

Group-IB в конце ноября 2017 года отметила волну массового распространения троянцев, маскирующихся под мобильные приложения ведущих банков страны. Специалисты Group-IB блокируют ресурсы, с которых идет распространение этих приложений, но их объем постоянно растет.

Group-IB: приложения-подделки для Android выполнены на очень высоком уровне — и по дизайну, и по механике заражения

Трояны, предназначенные для мобильных устройств под управлением ОС Android, распространяются не через официальный магазин Google Play, а через рекламные объявления в поисковых системах.

«
Android является основной мишенью вирусописателей просто в силу своей распространенности — подавляющее большинство смартфонов в мире работают под управлением этой системы, — отмечает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — И больше 97% вредоносных программ пишутся именно под Android, поскольку, во-первых, уровень защиты Google Play до сих пор уступает защищенности официального магазина приложений iOS, во-вторых, установить приложения под Android из неофициальных источников гораздо проще, чем под iOS.
»

Злоумышленники смогли вывести свои приложения на первые строки поисковиков с помощью SEO. В ответ на пользовательские запросы формата «скачать приложение банка ХХХ» на первых страницах поисковиков им выводились сообщения, ведущие на зараженные троянами приложения.

«
Большинство пользователей не остановило даже то, что для установки такого рода программ им необходимо разрешить инсталляцию приложений из недоверенных источников в настройках безопасности своих устройств, — говорится в публикации Group-IB. — Как правило, об опасности такого подхода операционная система предупреждает сразу же после получения согласия пользователя. Однако в данном случае жертвы фишинг-атаки были согласны взять на себя все риски.
»

Эксперты Group-IB отметили, что приложения-подделки были выполнены на очень высоком уровне — и по дизайну, и по механике заражения. Это сбивает с толку многих пользователей, не обращающих внимание на подозрительные «мелочи», такие как сомнительное название домена, переадресацию на сторонний ресурс и так далее.

Вредоносные приложения требовали разрешение на чтение и отправку SMS-сообщений и, естественно, логин и пароль от личного кабинета и реквизиты платежной карты. В итоге операторы вредоносного приложения переводили деньги со счета жертвы на свои ресурсы, заодно «подавляя» получение SMS-сообщений от банка, информировавшего о мошеннических транзакциях.

Эксперты Group-IB смогли установить, что распространитель нынешних банковских троянцев может быть связан с автором мошеннических ресурсов по продаже авиабилетов, с которыми Group-IB активно боролась в конце 2016 — начале 2017 года (тогда были закрыты более трех десятков таких ресурсов).[1]

Как отличить фальшивые приложения от подлинных

  1. Официальные приложения будут распространяться только через Google Play; ссылки на скачивание публикуются на сайтах самих банков. Если приложения размещены где-то еще, это, вероятнее всего, фальшивка.
  2. Особенное внимание следует обращать на доменные имена, откуда предлагается скачать приложение. Злоумышленники нередко используют домены, чьи названия похожи на официальные, но отличаются на один-два символа, или же используют домены второго уровня и ниже.
  3. Смартфоны снабжены мерами защиты от наиболее распространенных угроз, и если смартфон выводит сообщение о том, что то или иное приложение несет угрозу, его ни в коем случае не стоит устанавливать. В случае обнаружения фальшивых банковских приложений о них настоятельно рекомендуется уведомлять службы безопасности банков. Этим пользователи уберегут и себя, и других от множества неприятностей.
  4. Если вы заметили что-либо подозрительное на сайте, с которого предлагается скачать приложение, сразу же сообщите об этом в службу безопасности банка или в официальную группу банка в социальных сетях, не забыв приложить скриншот.

Троянец-шифровальщик парализовал работу целого города в США

Администрация округа Ликинг в штате Огайо в феврале вынуждена была отключить свои серверы и системы телефонной связи, чтобы остановить распространение троянца-шифровальщика[2].

Стало известно, что более тысячи компьютеров в США, относящихся к сетям администрации одного из американских округов, оказались заражены. Все системы были отключены, чтобы заблокировать дальнейшее распространение зловреда, предотвратить потерю данных и сохранить улики для расследования.

Все приемные и административные учреждения работают, но работа с ними возможна только при личном визите.

Размер требуемого выкупа представители администрации не называют; они также отказываются комментировать вероятность выплаты. По словам члена окружной комиссии Ликинга Тима Бабба (Tim Bubb), сейчас ведутся консультации с экспертами по кибербезопасности и правоохранительными органами.

Ручной режим

Отключение телефонных линий и сетевых коммуникаций означает, что все службы округа, в чьей работе задействованы информационные технологии, перешли на "ручной режим". Это касается даже центра помощи 911: телефоны и рации спасателей работают, но доступа к компьютерам нет. По крайней мере, вызовы полиции, пожарных и скорой помощи по-прежнему принимаются, но, как выразился директор центра спасения Шон Грейди (Sean Grady), работа службы в том, что касается скорости обработки вызовов, отброшена на четверть века назад.

2016: Вымогающий $28 тыс. троян

Администрация муниципального колледжа в Лос-Анджелесе выплатила огромный выкуп за возвращение доступа к данным, зашифрованным троянцем-вымогателем, - 28 тысяч долларов.[3]

Атака на учебное заведение случилась в канун Нового года. Зашифрованными оказались сотни тысяч файлов, в результате из строя вышли практически все внутренние сервисы, включая электронную почту и системы обмена сообщениями.

Выплаты хакерам за возврат зашифрованных ими данных растут

На школьном сервере обнаружилось требование от хакеров в течение семи дней выплатить выкуп в биткоинах, в противном случае злоумышленники обещали уничтожить секретный ключ шифрования и лишить колледж возможности вернуть доступ к данным.

Тут же выяснилось, что восстановить данные из резервных копий невозможно. После совещания с привлечёнными экспертами по безопасности, администрация колледжа пришла к выводу, что иных вариантов кроме как выплатить требуемую сумму, у неё не осталось.

28 тысяч долларов - это самый крупный выкуп, информация о котором попала в публичное пространство. По некоторым сведениям, случаются и более масштабные выплаты, но жертвы - обычно это крупные предпочитают их не афишировать. В 2016 году средняя "ставка" со стороны кибервымогателей составляла 679 долларов, годом ранее - 294 доллара.

Более чем двухкратный рост, по всей видимости, связан с увеличившимся количеством инцидентов, закончившихся выплатами выкупа, причём в суммах, значительно превышающих "среднюю ставку". В феврале 2016 года Пресвитерианский медицинский центр в Голливуде после атаки шифровальщиком выплатил выкуп в размере 17 тысяч долларов.[4]

«
Это очень плохой прецедент – когда официальная структура идёт на поводу у преступников, выплачивает выкуп и вдобавок сообщает об этом публично. Теперь ставки будут расти и дальше, - говорит Дмитрий Гвоздев, генеральный директор компании "Монитор безопасности". - если организации готовы выплачивать пятизначные суммы, то будут расти и требования. Единственный эффективный способ противодействовать шифровальщикам - это регулярное "холодное" резервирование данных, правильная настройка доступа к ним при работе и плотное взаимодействие с правоохранительными органами.
»

В 2016 году Европол, полиция Голландии, «Лаборатория Касперского» и McAfee (Intel Security) объявили о создании проекта No More Ransom, нацеленного на борьбу с шифровальщиками-вымогателями. Постепенно к проекту подключились и многие другие организации. На сайте размещено более двух десятков инструментов, с помощью которых жертвы разных шифровальщиков могут попытаться вернуть себе доступ к потерянным данным. [5]К сожалению, далеко не все шифровальщики обладают уязвимостями, позволяющими их «взламывать».

Смотрите также





Ссылки

Примечания