От зората на модерните компютри софтуерът е толкова способен, колкото и програмистите, които са го създали. Техните намерения се превърнаха в негови възможности и това ни донесе свят от чудни и мощни приложения в голямо разнообразие от платформи и среди. По пътя това също води до създаването на невероятно злонамерен, а в някои случаи направо опасен софтуер. Разбира се, говорим за зловреден софтуер.
Съдържание
- Невинно раждане
- „Аз съм Creeper: Хвани ме, ако можеш.“
- Върхове и спадове
- Последните дни на лятото
- Вече не е игра
- Използвани уязвимости
- Дигитална война
- Вашите пари или вашите файлове
- Какво следва?
Всички сме попадали на злонамерен софтуер в даден момент. Може да сте били спам по време на разцвета на рекламния софтуер и изскачащите прозорци, изправени срещу неприятен троян които се опитаха да откраднат вашата самоличност или дори се занимаваха с парализираща системата част от изнудване ransomware. Днес милиони и милиони уникални програми са проектирани да насочват към вашата система, вашите файлове и вашия портфейл. Въпреки че всички те имат различни отпечатъци и траектории, всички те имат своите корени в скромно начало.
За да разберете зловреден софтуер, трябва да се върнете към дигиталната първична супа, която един ден ще еволюира в милионите злонамерени програми, срещу които се изправяме днес. Това е историята на злонамерения софтуер и на техниките, използвани в продължение на десетилетия за борба с него.
Свързани
- Разрушителната хакерска група REvil може да се върне от мъртвите
- Хакери искат 6 милиона долара от най-големия дилър на валута на дребно при атака на ransomware
Невинно раждане
Съвременният свят е изправен пред криминални и национални държавни хакерства, които могат да застрашат начина на живот на всеки. И все пак ранните дни на зловреден софтуер не съдържаха злонамереност. Тогава намерението беше да се види какво наистина е възможно с компютрите, а не да се наранява, краде или манипулира.
Идеята за вирус или самовъзпроизвеждащ се кодов низ е измислена за първи път от компютърен визионер Джон фон Нойман. През 1949 г. той постулира потенциала за „самовъзпроизвеждащ се автомат“, който ще може да предаде програмирането си на нова версия на себе си.
„Аз съм Creeper:
Хвани ме ако можеш.'
Първият известен записан екземпляр на компютърен вирус е Creeper Worm, разработен от Робърт Х. Томас през 1971 г. Първата итерация на Creeper не можа да се клонира, но успя да се премести от една система в друга. След това ще покаже съобщението „Аз съм Creeper: Хвани ме, ако можеш“.
Въпреки че изглежда вероятно първият самовъзпроизвеждащ се код и неговият създател да са загубени, първият записан екземпляр на такъв софтуер е Creeper Worm, разработен от Робърт Х. Томас през 1971 г в BBN Technologies. Creeper работеше с операционната система TENEX и беше впечатляващо усъвършенстван за времето си. За разлика от много от своите наследници, които биха изисквали физически носители за разпределяне на полезния си товар, Creeper успя да се движи между PDP-10 на DEC мейнфрейм компютри през най-ранната итерация на ARPANET, мрежа-прародител на интернет, която светът ще възприеме по-късно години. Първата итерация на Creeper не можа да се клонира, но успя да се премести от една система в друга. След това ще покаже съобщението „Аз съм Creeper: Хвани ме, ако можеш“.
По-късно беше създадена нова версия на Creeper от колегата на Томас от BBN Technologies, Рей Томлинсън – по-известен като изобретателя на имейла. Той наистина се дублира, което води до ранно разбиране на проблема, който подобни вируси или червеи могат да причинят. Как ги контролирате, след като ги изпратите? В крайна сметка Thomlinson създаде друга програма, наречена Reaper, която се движеше из мрежата и изтриваше всички копия на Creeper, които намери. Томлинсън не го знаеше, но той беше създал първото парче от антивирусен софтуер, започвайки надпревара във въоръжаването между хакери и специалисти по сигурността което продължава и до днес.
Creeper, макар и подигравателен в посланието си, не е проектиран да създава проблеми на системата. Всъщност, като самия Томлинсън обясни на компютърния историк Джорджи Далакоб, „Приложението Creeper не използваше недостатък на операционната система. Изследователските усилия бяха предназначени да разработят механизми за пренасяне на приложения към други машини с намерението да преместят приложението към най-ефективния компютър за неговата задача.
Върхове и спадове
В годините, последвали разпространението и последващото изтриване на вируса Creeper от тези древни мейнфрейм системи, се появиха няколко други зловреден софтуер, които повториха идеята. Самовъзпроизвеждащият се заешки вирус е създаден от неизвестен – но уж, много уволнен – програмист през 1974 г. и е последван малко след това от Животински вирус, която премина под формата на игра-викторина.
След това създаването на зловреден софтуер премина през една от периодичните си засушавания в развитието. Но всичко се промени през 1982 г., когато се появи Elk Cloner и започна да се надига нова вълна от вируси.
„С изобретяването на персоналния компютър хората започнаха да пишат вируси за зареждащ сектор, които се разпространяваха на дискети,“ Зонова аларма Скайлър Кинг каза пред Digital Trends. „Хората, които са пиратствали игри или са ги споделяли на дискети [са били заразени].“
Elk Cloner беше първият, който използва този вектор за атака, въпреки че беше напълно доброкачествен и не се смяташе, че се е разпространил далеч. Мантията му беше подета четири години по-късно от мозъчния вирус. Този софтуер технически беше мярка срещу пиратството създадена от двама пакистански братя, въпреки че имаше ефекта да направи някои заразени дискове неизползваеми поради грешки при изчакване.
„Това бяха нещо като първите вируси, както бихме ги считали“, каза Кинг. „И те се размножаваха, така че ако поставите дискета, те можеха да копират на нея и да се разпространяват по този начин.“ Промяната във вектора на атака беше забележително, тъй като насочването към система от различен ъгъл щеше да се превърне в отличителен белег на нов зловреден софтуер през годините, последван.
„Нещата някак се преместиха към страната на Unix с масовото използване на интернет и университети, като червеят Морис през ноември 1988 г.“, продължи Кинг. „Това беше интересно, защото червеят Morris беше [написан от] сина на ръководителя на NSA […] Той откри пропуск в два протокола, използвани в Unix. Пропускът в SMTP, протоколът за електронна поща, който ви позволява да изпращате имейл, [беше използван за] разпространението му и в рамките на един ден свали интернет, какъвто съществуваше през 1988 г.
Твърди се, че червеят Morris първоначално е проектиран да картографира интернет, но той бомбардира компютрите с трафик и множество инфекции може да ги забавят до обхождане. В крайна сметка се смята, че е свалил около 6000 системи. Робърт Морис, създателят на червея, стана първият човек, съден по Закона за компютърни измами и злоупотреби от 1986 г. Той беше осъден на три години пробация и глоба от 10 050 долара. Днес Морис е активен изследовател на архитектури на компютърни мрежи и титуляр професор в MIT.
Червеят Morris стана доказателство за концепцията за множество други зловреден софтуер от същия период, всички от които бяха насочени към сектори за зареждане. Това започна следващата вълна в развитието на вируса. Много варианти на тази идея бяха събрани под етикета „Stoned“ със забележителни записи като Whale, Tequila и прословутия Микеланджело, което ежегодно създаваше паника в организации със заразени системи.
Последните дни на лятото
През първите десетилетия от тяхното съществуване дори плодовитите и вредни вируси бяха с относително доброкачествен дизайн. „Те бяха просто хора, които се забавляваха, опитвайки се да получат доверие на улицата в ъндърграунд сцената, за да покажат какво могат“, каза Кинг пред Digital Trends.
Защитните методи обаче все още бяха далеч от авторите на вируси. Дори прост злонамерен софтуер като червея ILoveYou — който се появи през 2000 г. — може да причини безпрецедентни щети на системите по целия свят.
Червеят на любовното писмо
Malwarebytes„Вицепрезидентът по технологиите, Педро Бустаманте, го помни добре. „Това беше визуален основен скрипт, който беше масов имейл, който автоматично прикачваше скрипт, а [антивирусните фирми] не бяха готови да направят много откриване, базирано на скриптове тогава“, каза той.
Най-често се приписва създаването на червея на филипинския програмист Онел де Гузман, въпреки че той го е направил винаги е отричал да е развил своя вектор за атака и предполага, че той може да е пуснал червея чрез злополука. Някои слухове предполагат истинският виновник за създаването му беше негов приятел Майкъл Буен, който подмами Гузман да го пусне заради любовно съперничество. Червеят ILoveYou причини щети за над 15 милиарда долара в световен мащаб.
„Бяхме затворени в лабораториите на Panda около три дни за това. Хората не спаха."
„Бяхме затворени в лабораториите на Panda около три дни за това“, продължи Бустаманте. „Хората не спаха. Това беше епицентърът на движението на сценаристите, където всеки можеше да създаде сценарий и да направи масова поща и това щеше да има огромно разпространение. Огромен брой инфекции. Това обикновено беше възможно само с усъвършенстван мрежов червей навремето.
Zone Alarm's King се сблъска с подобни безсънни нощи с друг злонамерен софтуер, разпространяващ се разрастващ се интернет през това време, посочвайки по-специално Code Red и SQL Slammer проблемно.
Докато червеите и вирусите караха експертите по сигурността да им скубят косите, а директорите на компаниите се страхуваха от милионите или милиарди долари щети, които нанасяха, никой не знаеше, че войните със зловреден софтуер едва сега започват. Предстоеше им тъмен и опасен завой.
Вече не е игра
С нарастването на използването на интернет рекламните мрежи започнаха да печелят пари онлайн, а интернет-комуникациите печелят пари от инвеститори. Интернет се трансформира от малка общност, позната на малцина, в широко разпространено, основно средство за комуникация и легитимен начин за печелене на милиони долари. Последва мотивът за злонамерения софтуер, преминаващ от любопитство към алчност.
Картата на Kaspersky Cyberthreat в реално време показва кибератаки, извършващи се в момента по целия свят.
„Когато повече хора започнаха да използват интернет и хората гледаха реклами онлайн, а компаниите изчезнаха правейки пари от кликвания върху реклами, тогава започнахте да виждате възхода на рекламния и шпионския софтуер,” Кинг продължи. „Започнахте да виждате вируси, които се изпълняват на отделни компютри, които изпращат спам, за да се опитат да закупят продукти или рекламен софтуер които използваха измама с кликване, която показваше реклами за неща, така че да симулира кликване върху връзката, така че те биха направили пари."
Организираната престъпност скоро разбра, че умните програмисти могат да спечелят много пари от установени подземни предприятия. С това сцената със зловреден софтуер стана няколко нюанса по-тъмна. Предварително опаковани комплекти за зловреден софтуер, създадени от престъпни организации, започнаха да се появяват онлайн. Известни като MPack в крайна сметка бяха използвани за заразяване на всичко - от индивидуални домашни системи до банкови мейнфрейми. Тяхното ниво на сложност и връзка с престъпници от реалния свят повишават залозите за изследователите по сигурността.
„Тогава започнахме да виждаме някои от бандите, които стояха зад някои от тези по-модерни атаки и зловреден софтуер. Беше страшно."
„Открихме MPack в Panda Security и ние направихме разследване и голям вестник, който беше навсякъде в новините“, обясни Бустаманте от Malwarebytes. „Тогава започнахме да виждаме някои от бандите, които стояха зад някои от тези по-модерни атаки и зловреден софтуер. Беше страшно. Повечето изследователи в Panda казаха, че не искат името им да е близо до доклада.
Но докладът беше публикуван и той подчерта колко дълбоко са станали зловреден софтуер и организирани престъпни банди.
„Бяха много руски банди. Имахме снимки от техните събирания. Беше като компания“, каза Бустаманте. „Те имаха хора, занимаващи се с маркетинг, ръководители, събирания на компании, състезания за програмисти, които пишат най-добрия злонамерен софтуер, проследяване на партньори, имаха всичко. Беше невероятно. Те печелеха повече пари от нас.”
Тези пари бяха споделени с талантливи програмисти, като се гарантира, че организациите привличат най-добрите таланти, които могат. „Започнахме да виждаме снимки на мафиотски изглеждащи момчета от Източна Европа, които раздават луксозни коли на програмистите и куфари, пълни с пари“, каза той.
Използвани уязвимости
Преследването на печалба води до по-сложен зловреден софтуер и нови вектори на атака. The Zeus злонамерен софтуер, който се появи през 2006 г., използва основно социално инженерство, за да подмами хората да кликнат върху имейл връзки, в крайна сметка позволява на създателя да открадне информацията за вход на жертвите, финансовите данни, ПИН кодовете и Повече ▼. Той дори улесни т. нар. „човек в браузъра“, атаки, при които зловреден софтуер може да поиска информация за сигурност в момента на влизане, събирайки още повече информация от жертвите.
Новинарски клипове, показващи различни зловреден софтуер през годините.
Тези, които създават злонамерен софтуер, също научиха, че не трябва сами да използват софтуера и могат просто да го продадат на други. Комплектът MPack, на който Bustamante се натъкна в Panda Security в средата на 2000-те, беше перфектен пример. Той се актуализира месец за месец от ранното му създаване и редовно се препродава. Дори предполагаемият автор на Zeus, роденият в Русия Евгений Михайлович Богачев, започна да продава своя зловреден софтуер, преди да прехвърли управлението на платформата за зловреден софтуер Zeus на друг програмист. Той е на свобода и днес. ФБР има награда за информация, довела до ареста на Богачев, предлагайки цели 3 милиона долара на всеки, който може да помогне за залавянето му.
До 2007 г. всяка година се създава повече злонамерен софтуер, отколкото е съществувал през цялата история на зловредния софтуер и всяка нова масова атака разпалва огъня.
Продажбата на предварително опакован злонамерен софтуер по начина, по който направи Богачев, отбеляза друга промяна в създаването на зловреден софтуер. Сега, когато зловреден софтуер можеше да се използва за печелене на пари и авторите на вируси можеха да печелят пари, продавайки го като инструмент, той стана по-професионален. Зловреден софтуер е създаден в продукт, обикновено наричан комплект за експлойт.
„Наистина беше продаден като бизнес“, каза кралят на Zone Alarm пред Digital Trends. „Те [предложиха] поддръжка, софтуерни актуализации до най-новите експлойти, беше доста невероятно.“
До 2007 г. всяка година се създава повече зловреден софтуер, отколкото е съществувал през цялата история на зловреден софтуер, а масовите атаки срещу непрекъснато нарастващия брой компютри задвижиха бизнеса. Това стимулира възхода на мащабни ботнети които се предлагаха под наем на желаещите да извършват атаки за отказ на услуга. Но крайните потребители могат да бъдат подлъгани само да кликват върху връзки толкова дълго. Тъй като станаха по-образовани, експлойт комплектите и техните автори трябваше да се развият отново.
„[Авторите на зловреден софтуер] трябваше да измислят начин да инсталират заплахата автоматично“, каза главният изпълнителен директор на MalwareBytes Марчин Клецински пред Digital Trends. „Тук техниките за експлоатация, социалното инженерство и макросите в Powerpoint и Excel започнаха да стават много по-сложни.“
За щастие на авторите на зловреден софтуер, уебсайтовете и офлайн софтуерът започнаха да приемат принципите на Web 2.0. Взаимодействието с потребителите и създаването на сложно съдържание стават все по-разпространени. За да адаптират злонамерен софтуер, авторите започнаха да се насочват Internet Explorer, Office приложения и Adobe Reader, сред много други.
„Колкото по-сложен става софтуерът, толкова повече може да прави, колкото повече инженери работят върху него […] толкова по-податлив на грешки е софтуерът и толкова повече уязвимости ще откриете с течение на времето“, каза Клецински. „Тъй като софтуерът става все по-сложен и се появява Web 2.0, а Windows продължава да се развива, той става по-сложен и по-уязвим за външния свят.“
До 2010 г. изглеждаше, че зловреден софтуер с нестопанска цел почти е изчезнал, като нестопанската цел е почти изключителната мотивация за създаването му. Оказа се, че това е грешно. Светът внезапно научи, че организираната престъпност е нищо в сравнение с най-опасния зловреден софтуер, създаден тайно от нациите.
Дигитална война
Първият пример за нация, която проявява военната си мощ онлайн, беше Атака на Aurora в Google. Гигантът за търсене, дългогодишен като един от най-известните дигитални субекти в света, се оказа под продължителна атака в края на 2009 г. от хакери с връзки с Китайската освободителна армия. Когато останалият свят научи за него през януари 2010 г., това отбеляза повратна точка в това, на което експертите осъзнаха, че злонамереният софтуер и неговите автори са способни.
Атаката беше насочена към десетки технологични фирми на високо ниво като Adobe, Rackspace и Symantec и се смяташе, че са опит за модифициране на изходния код на различни софтуерни пакети. По-късни доклади предполагат, че е a Операция на китайското контраразузнаване за откриване на цели за подслушване на САЩ. Колкото и амбициозна и впечатляваща да беше тази атака обаче, тя беше надмината само месеци по-късно.
„Котката наистина излезе от торбата със Stuxnet,“ каза Бустаманте пред Digital Trends. „Преди това […] можехте да го видите в определени атаки и в неща като Пакистан, Индия в интернет беше отсечен под водата, [но] Stuxnet е мястото, където лайното удари вентилатора и всички започнаха да полудяват навън.”
„Свързване заедно на няколко уязвимости от нулевия ден [в Stuxnet], наистина напреднало насочване към конкретни ядрени съоръжения. Това е невероятно. Това е типът неща, които бихте видели само в роман.
Stuxnet беше създаден, за да саботира ядрената програма на Иран и проработи. Дори сега, осем години след появата му, специалистите по сигурността говорят за Stuxnet с тон на страхопочитание. „Свързване заедно на няколко уязвимости от нулевия ден, наистина напреднало насочване към конкретни ядрени съоръжения. Удивително е“, каза Бустаманте. „Това е типът неща, които бихте видели само в роман.“
Клецински беше също толкова впечатлен. „[…] ако погледнете експлойтите, използвани за офанзивна способност за киберсигурност, това беше адски добро. [Начинът, по който се разви след] компютрите с програмируема логика на Сименс? Беше красиво проектиран да унищожи центрофугите.
Въпреки че никой не пое отговорност за Stuxnet през следващите години, повечето изследователи на сигурността смятат, че това е дело на комбинирана работна група от САЩ и Израел. Това изглеждаше по-вероятно само когато други разкрития, като Хакване на фърмуера на твърдия диск на NSA, показа истинския потенциал на хакерите на националната държава.
Стилът на атака на Stuxnet скоро ще стане обичаен. Комплектите за експлоатация продължават да бъдат основен вектор за атака през следващите години, но както ни каза Бустаманте в нашия интервю, уязвимостите от нулевия ден, свързани заедно, сега са нещо, което Malwarebytes и неговите съвременници виждат всеки ден.
Това не е всичко, което виждат. Има нов феномен с произход, който може да бъде проследен почти назад до началото на нашата история. Това не е причинило край на проблемите в последно време и може да го направи в бъдеще.
Вашите пари или вашите файлове
Първата атака с ransomware технически се случи през далечната 1989 г., с СПИН троянецът. Изпратен на изследователите на СПИН на заразена дискета, зловреден софтуер ще изчака системата да се стартира 90 пъти, преди да шифровате файлове и да поискате плащане от $189 в брой, изпратено до адрес на пощенска кутия в Панама.
Въпреки че тази част от зловреден софтуер беше наречена троян по това време, идеята за принудително обфускиране на файлове, отказ на потребител достъпът до тяхната собствена система и изискването на някаква форма на плащане, за да я върнат към нормалното, се превърнаха в ключови компоненти на ransomware. Започна да се появява отново в средата на 2000 г., но беше така растежа на анонимната криптовалута биткойн което направи рансъмуера често срещан.
„Ако заразите някого с ransomware и го помолите да депозира в банкова сметка, тази сметка ще бъде закрита доста бързо“, обясни кралят на Zone Alarm. „Но ако помолите някого да депозира малко биткойни в портфейл, потребителите плащат. Наистина няма начин да го спрем.“
Разработчиците на рансъмуер улесняват жертвите да купуват криптовалута и да им я изпращат.
Като се има предвид колко трудно е да се регулира биткойн в ежедневните функции със законни употреби, има смисъл, че спирането му да бъде използван от престъпници е още повече. Особено след като хората плащат откупите. Точно както при експлойт комплектите и корпоративната структура, която ги подкрепя, разработчиците на ransomware улесняват възможно най-много жертвите да купуват криптовалута и да им я изпращат.
Но през втората половина на тийнейджърските години на 21ул век, започнахме да виждаме по-нататъшно развитие на тези тактики, тъй като отново тези, които пишат злонамерения софтуер, последваха парите.
„Това, което ме изненада при рансъмуера, е колко бързо премина от вас и мен към нашите компании“, каза Клецински. „Преди година или две ние бяхме тези, които се заразявахме, а не Malwarebytes, не SAP, Oracle и така нататък. Те ясно са видели парите и компаниите са готови да ги платят.
Какво следва?
За повечето от експертите, с които говорихме, ransomware продължава да бъде голямата заплаха те са загрижени за. Кралят на Zone Alarm искаше да говори за новите защити на неговата компания срещу ransomware и как бизнесът трябва да е наясно колко опасна е тактиката.
Kleczynski го вижда като изключително печеливш модел за авторите на злонамерен софтуер, особено когато донесете нарастването на заразените устройства за Интернет на нещата, които са съставлявали някои от най-големите ботнети, които светът някога е виждал.
Timelapse на DDoS атака, извършена през 2015 г. на Коледа.
Използвайки уебсайта на British Airways като пример, той зададе риторичния въпрос колко би си струвало тази компания да поддържа онлайн системата си за билети, ако бъде застрашена. Дали такава компания би била готова да плати на изнудвач 50 000 долара, ако уебсайтът й не работи дори за няколко часа? Би ли платило 10 000 долара само при заплахата от подобно действие?
С потенциала да загубите милиони от продажби или дори милиарди пазарна стойност, ако цените на акциите реагират на подобна атака, не е трудно да си представите свят, в който това е редовно явление. За Клецински това е просто старият свят, който най-накрая настига новия. Това е тактиката на организираната престъпност от миналото, която се прилага в съвременния свят.
„Днес е „Искате ли да закупите застраховка срещу ransomware?“ Би било жалко, ако уебсайтът ви не работи за 24 часа.“
„Преди това беше просто рекет. „Искате ли да закупите противопожарна застраховка? Би било жалко, ако нещо се случи с вашата сграда“, каза той. „Днес е „Искате ли да закупите застраховка срещу ransomware?“ Би било жалко, ако уебсайтът ви не работи за 24 часа.“
Това престъпно участие все още плаши Бустаманте от MalwareBytes, който ни казва, че компанията редовно вижда заплахи за своите разработчици, скрити в кода на зловреден софтуер.
Колкото и да са загрижени той и компанията за собствената си лична безопасност обаче, той вижда следващата вълна като нещо повече от обикновен рансъмуер. Той вижда това като нападение върху способността ни да възприемаме света около нас.
„Ако ме попитате каква е следващата вълна, това са фалшиви новини“, каза той. „Злонамереното рекламиране продължи […] вече е примамка за кликване и фалшиви новини. Разпространяването на този вид новини е името на играта и това ще бъде следващата голяма вълна. Имайки предвид как участващите национални държави изглежда са били в самата тази практика през последните години е трудно да си представим, че той греши.
Колкото и заплашителни да са злонамерените атаки от организираната престъпност, спонсорираните от правителството бдители и милитаризираните хакери, най-много уверението, което можете да получите в такъв момент на несигурност е, че най-слабото звено във веригата за сигурност почти винаги е краят потребител. Това си ти..
Страшно е, но и дава сила. Това означава, че въпреки че хората, които пишат зловреден софтуер, векторите на атаката и самата причина за създаването вирусите и троянските коне на първо място може да са се променили, най-добрите начини за безопасност онлайн са старите начини. Пазете силни пароли. Пач на вашия софтуер. И внимавайте какви линкове кликвате.
Както Malwarebytes Klecyzinski ни каза след нашето интервю, „Ако не сте параноик, няма да оцелеете.“
Препоръки на редакторите
- Microsoft току-що ви даде нов начин да се предпазите от вируси
- Хакерите използват откраднати сертификати на Nvidia, за да скрият зловреден софтуер
