Понятие разрушающего программного воздействия

Тема 2.1. Проблема вирусного заражения и структура современных вирусов

Тема урока:

КЛАССИФИКАЦИЯ И МЕТОДЫ ВНЕДРЕНИЯ ПРОГРАММНЫХ ЗАКЛАДОК

Программой с потенциально опасными последствиями называется неко­торая программа, которая способна выполнить какие-либо из перечислен­ных ниже функций:

1) скрыть признаки своего присутствия в программной среде КС;

2) реализовать самодублирование, ассоциирование себя с другими програм­мами и (или) перенос своих фрагментов в иные (не занимаемые изна­чально указанной программой) области оперативной или внешней па­мяти;

3) разрушить (исказить произвольным образом) код программ в оператив­ной памяти КС;

4) перенести (сохранить) фрагменты информации из оперативной памяти в некоторые области оперативной или внешней памяти;

5) изменить произвольным образом, заблокировать и (или) подменить вы­водимый во внешнюю память или в канал связи массив информации ли­бо изменить его параметры.

Программы с потенциально опасными последствиями можно условно разделить на три класса.

1.Классические программы-вирусы. Особенность данного класса вред­ных программ заключается в ненаправленности их воздействия на конкрет­ные типы прикладных программы, а также в том, что во главу угла ставится самодублирование вируса.

2.Программы типа «программный червь» или «троянский конь» и фрагмен­ты программ типа «логический люк». В данном случае имеет место обратная ситуация: самодублирование не всегда присуще такого рода программам или фрагментам программ, но они обладают возможностью перехвата конфиден­циальной информации, или извлечения информации из сегментов систем безопасности, или разграничения доступа.

3. Программные закладки, или разрушающие программные воздействия (РПВ), — обобщенный класс программ (в смысле отсутствия конкретных признаков) с потенциально опасными последствиями, обязательно реали­зующие хотя бы один из пунктов 3—5 определения программы с потенциаль­но опасными последствиями.

Далее наряду с термином «программа с потенциально опасными послед­ствиями» будут использоваться термины «закладка», «программная заклад­ка» либо сокращение РПВ.

Кроме того, программные закладки можно классифицировать по методу и месту их внедрения и применения:

1) закладки, ассоциированные с программно-аппаратной средой компью­терной системы (основная BIOSили расширенные BIOS);

2) закладки, ассоциированные с программами первичной загрузки (находя­щиеся в Master Boot Record или Boot-секторах активных разделов), — за­грузочные закладки;

3) закладки, ассоциированные с загрузкой операционной среды;

4) закладки, ассоциированные с прикладным программным обеспечением общего назначения (встроенные в клавиатурные и экранные драйверы, программы тестирования компьютеров, утилиты);

5) исполняемые модули, содержащие только код закладки (как правило, внедряемые в файлы пакетной обработки типа.ВАТ);

6) модули-имитаторы, совпадающие по внешнему виду с некоторыми прог­раммами, требующими ввода конфиденциальной информации (наиболее характерны для Unix-систем);

7) закладки, маскируемые под программные средства игрового и развлека­тельного назначения (как правило, используются для первичного внедре­ния закладок).

Как видно, программные закладки имеют много общего с классическими вирусами, особенно в части ассоциирования себя с исполняемым кодом. Кроме того, программные закладки, как и многие известные вирусы класси­ческого типа, имеют развитые средства борьбы с отладчиками и дизассемб­лерами.

Для того чтобы закладка смогла выполнить какие-либо действия по отно­шению к прикладной программе или данным она должна получить управле­ние, т. е. процессор должен начать выполнять инструкции, относящиеся к ко­ду закладки. Это возможно только при одновременном выполнении двух условий:

1) закладка должна находиться в оперативной памяти до начала работы программы, которая является целью воздействия закладки, следователь­но, она должна быть загружена раньше или одновременно с этой прог­раммой;

2) закладка должна активизироваться по некоторому общему, как для заклад­ки, так и для программы событию, т. е. при выполнении ряда условий в программно-аппаратной среде управление должно быть передано прог­рамме-закладке. Данное событие далее будем называть активизирующим. Обычно выполнение указанных условий достигается путем анализа и об­работки закладкой общих относительно закладки и прикладной программы воздействий (как правило, прерываний) либо событий (в зависимости от ти­па и архитектуры операционной среды). Данные условия являются необхо­димыми, т. е. если они не выполнены, то активизация кода закладки не произойдет и код не сможет оказать какого-либо воздействия на работу при­кладной программы.

С учетом замечания о том, что закладка должна быть загружена в ОП раньше, чем цель ее воздействий, можно выделить программные закладки двух типов.

1. Закладки резидентного типа, находящиеся в памяти постоянно с некото­рого момента времени до окончания работы компьютера. Закладка может быть загружена в память при начальной загрузке компьютера, загрузке опе­рационной среды или запуске некоторой программы, а также запущена от­дельно.

2. Закладки нерезидентного типа, начинающие работу, как и закладки ре­зидентного типа, но заканчивающие ее самостоятельно через некоторый про­межуток времени или по некоторому событию, при этом выгружая себя из памяти целиком.

Модели взаимодействия прикладной программы и программной закладки

Определим области воздействия программных закладок на компьютер­ные системы. Для этого рассмотрим определенные модели закладок.

1. Модель «перехват». Программная закладка встраивается в ПЗУ, ОС или прикладное программное обеспечение и сохраняет все или избранные фрагменты обрабатываемой информации в скрытой области локальной или удаленной внешней памяти. Данная модель может быть двухэтапной: перво­начально сохраняются только атрибутивные признаки (например, имена или начала файлов), затем накопленная информация снимается, и злоумышлен­ник принимает решение о конкретных объектах дальнейшей атаки. Для дан­ной модели существенно наличие во внешней памяти места хранения инфор­мации, которое должно быть организовано таким образом, чтобы обеспечить ее сохранность на протяжении заданного промежутка времени и возмож­ность последующего съема.

2. Модель «троянский конь». Закладка встраивается в постоянно ис­пользуемое ПО и по некоторому активизирующему событию моделирует сбойную ситуацию на средствах хранения информации или в оборудовании компьютера (сети). Тем самым могут быть достигнуты две цели: во-первых, парализована нормальная работа компьютерной системы и, во-вторых, зло­умышленник (под видом ремонта) может ознакомиться с имеющейся в систе­ме или накопленной по модели «перехват» информацией. Событиями, акти­визирующими закладку, могут быть некоторый момент времени, либо сигнал из канала модемной связи, либо состояние некоторых счетчиков (например, число запусков программ).

3. Модель «наблюдатель». Закладка встраивается в сетевое или телеком­муникационное программное обеспечение. Пользуясь тем, что данное ПО обычно всегда активно, программная закладка осуществляет контроль за процессами обработки информации на данном компьютере, установку и уда­ление закладок, а также съем накопленной информации. Закладка может инициировать события для ранее внедренных закладок, действующих по мо­дели «троянский конь».

4. Модель «компрометация». Закладка либо передает заданную злоумыш­ленником информацию в канал связи, либо сохраняет ее, не полагаясь на гарантированную возможность последующего приема или снятия.

5. Модель «инициатор ошибок». Программная закладка искажает потоки данных, возникающие при работе прикладных программ, либо искажает входные потоки информации, либо инициирует возникающие при работе прикладных программ ошибки.

6. Модель «уборка мусора». В данном случае прямого воздействия РПВ может и не быть, так как изучаются остатки информации. В случае примене­ния программной закладки навязывается такой порядок работы, чтобы мак­симизировать количество остающихся фрагментов ценной информации. Злоумышленник получает либо данные фрагменты, используя закладки мо­делей 2 и 3, либо непосредственный доступ к компьютеру под видом ремон­та или профилактики.

У рассмотренных моделей закладок имеется важная общая черта — нали­чие операции записи, производимой закладкой (в оперативную или внеш­нюю память). При отсутствии данной операции никакое негативное влияние невозможно. Вполне понятно, что для направленного воздействия закладка должна также выполнять и операции чтения, иначе можно реализовать лишь функции разрушения.

Исполнение кода закладки может сопровождаться операциями несанкцио­нированной записи (НСЗ) (например, для сохранения некоторых фрагмен­тов информации) и несанкционированного считывания (НСЧ), которое мо­жет происходить отдельно от операций чтения прикладной программы или совместно с ними. При этом операции считывания и записи, возможно, и не связаны с получением информации.

Несанкционированная запись закладкой может происходить:

1) в массив данных, не совпадающий с пользовательской информацией, — сохранение информации;

2) в массив данных, совпадающий с пользовательской информацией или ее подмножеством, — искажение, уничтожение или навязывание информа­ции закладкой.

Следовательно, можно рассматривать три основные группы деструктив­ных функций, которые могут выполняться закладками:

1) сохранение фрагментов информации, возникающей при работе пользова­теля, прикладных программ, вводе (выводе) данных, во внешней памяти, в том числе различных паролей, ключей и кодов доступа, собственно кон­фиденциальных документов в электронном виде, либо безадресная комп­рометация фрагментов ценной информации (модели «перехват», «комп­рометация»);

2) изменение алгоритмов функционирования прикладных программ. Проис­ходит изменение собственно исходных алгоритмов работы программ (на­пример, программа разграничения доступа станет пропускать пользовате­лей по любому паролю (модели «искажение», «троянский конь»);

3) навязывание некоторого режима работы (например, при уничтожении информации блокирование записи на диск, при этом информация, естественно, не уничтожается) либо замена записываемой информа­ции, навязанной закладкой.

Итак, можно выделить следующие компоненты программной среды, в ко­торой существует закладка, — множество фрагментов кода прикладных прог­рамм, множество фрагментов кода закладки и множество событий как последовательностей передачи управления от одного фрагмента кода к дру­гому в программной среде. В последнем множестве выделяются события, по которым управление передается подмножеству фрагментов кода закладки (далее будем называть их активизирующими событиями).

Основные классы программных закладок

Программные закладки, отключающие защитные функции системы.

Во многих случаях программная закладка, внедренная в защищенную систему, может модифицировать машинный код или конфигурационные данные системы, тем самым полностью или частично отключая ее защитные функ­ции. В защищенной системе создается черный ход, позволяющий злоумыш­леннику работать в системе, обходя ее защитные функции.

Перехватчики паролей. Перехватчики паролей перехватывают имена и пароли, вводимые пользователями защищенной системы в процессе иден­тификации и аутентификации. В простейшем случае перехваченные имена и пароли сохраняются в текстовом файле, более сложные программные за­кладки пересылают эту информацию по сети на компьютер злоумышленника.

Существуют три основных вида архитектуры построения перехватчиков паролей.

Перехватчики паролей первого рода действуют по следующему алгорит­му. Злоумышленник запускает программу, которая имитирует приглаше­ние для входа пользователя в систему и ждет ввода. Когда пользователь вводит имя и пароль, закладка сохраняет их в доступном злоумышленнику месте, после чего завершает работу и осуществляет выход из системы поль­зователя-злоумышленника. По окончании работы закладки на экране появляется настоящее приглашение для входа пользователя в систему.

Перехватчики паролей второго рода перехватывают все данные, вводи­мые пользователем с клавиатуры. Простейшие программные закладки дан­ного типа просто сбрасывают все эти данные на жесткий диск компьютера или в любое другое место, доступное злоумышленнику. Более совершенные закладки анализируют перехваченные данные и отсеивают информацию, за­ведомо не имеющую отношения к паролям.

К перехватчикам паролей третьего рода относятся программные заклад­ки, полностью или частично подменяющие собой подсистему аутентификации защищенной системы. Поскольку задача создания такой программной закладки гораздо сложнее, чем задача создания перехватчика паролей перво­го или второго рода, этот класс программных закладок появился сравнитель­но недавно.

Программные закладки, превышающие полномочия пользователя. Эти за­кладки применяются для преодоления тех систем защиты, в которых реали­зовано разграничение доступа пользователей к объектам системы (в основ­ном эти закладки применяются против операционных систем). Закладки данного типа позволяют пользователю-злоумышленнику осуществлять до­ступ к тем объектам, доступ к которым ему запрещен согласно текущей по­литике безопасности. Средства и методы, используемые такими заклад­ками для превышения полномочий пользователя, в значительной мере опре­деляются архитектурой атакуемой системы. Чаще всего закладки данного класса используют ошибки в программном обеспечении системы.

Логические бомбы. Это программные закладки, оказывающие при опре­деленных условиях разрушающие воздействия на атакованную систему и обычно нацеленные на полное выведение системы из строя. В отличие от вирусов логические бомбы не размножаются или размножаются ограничен­но. Логические бомбы всегда предназначены для конкретной компьютерной системы — объекта атаки. После того как разрушающее воздействие завер­шено, логическая бомба уничтожается.

Иногда выделяют особый класс логических бомб — временные бомбы, для которых условием срабатывания является достижение определенного момента времени.

Характерным свойством логических бомб является то, что реализуемые ими негативные воздействия на атакованную систему носят исключительно разрушающий характер. Логические бомбы никогда не используются для ор­ганизации НСД к ресурсам системы, их единственной задачей является пол­ное или частичное разрушение системы.

Мониторы. Это программные закладки, перехватывающие те или иные потоки данных, протекающие в атакованной системе. В частности, к монито­рам относятся перехватчики паролей второго рода.

Целевое назначение мониторов может быть самым разным:

1) полностью или частично сохранять перехваченную информацию в до­ступном злоумышленнику месте;

2) искажать потоки данных;

3) помещать в потоки данных навязанную информацию;

4) полностью или частично блокировать потоки данных;

5) использовать мониторинг потоков данных для сбора информации об ата­кованной системе.

Мониторы позволяют перехватывать самые различные информационные потоки атакуемой системы, в том числе и сетевой трафик.

Сборщики информации об атакуемой среде. Программные закладки этого класса предназначены для пассивного наблюдения за программной средой, в которую внедрена закладка. Основная цель применения подоб­ных закладок заключается в первичном сборе информации об атакуемой системе. В дальнейшем эта информация используется при организации атаки системы, возможно, с применением программных закладок других классов.

Дата добавления: 2015-06-25; Просмотров: 1859; Нарушение авторских прав?; Мы поможем в написании вашей работы!