Черви вирусы распространяющиеся в сети во вложенных файлах в почтовое сообщение

Обновлено: 05.07.2024

Червь (сетевой червь) - тип вредоносных программ, распространяющихся по сетевым каналам, способных к автономному преодолению систем защиты автоматизированных и компьютерных систем, а также к созданию и дальнейшему распространению своих копий, не всегда совпадающих с оригиналом, осуществлению иного вредоносного воздействия.

Содержание

Виды червей

В зависимости от путей проникновения в операционную систему черви делятся на:

Решение проблем безопасности ICS / SCADA

ICS включает в себя большой сегмент многоуровневой архитектуры OT, охватывающей множество различных типов устройств, систем, элементов управления и сетей, которые управляют производственными процессами. Наиболее распространенными из них являются системы SCADA и распределенные системы управления (DCS) [1] .

Ряд вызовов сыграли свою роль в эволюции кибератак, которые влияли на системы ОТ на протяжении многих лет. Среди них:

• Недостаточность инвентаризации устройств OT. Организации не могут защитить активы – будь то путем применения патчей или проведения проверок безопасности если они не имеют полного контроля над средой.
• Недостаточность удаленного доступа к сети. Большинство технологий, лежащих в основе ICS, основаны на ограниченном физическом доступе и скрытых компонентах и ​​протоколах связи.
• Устаревшее аппаратное и программное обеспечение. Многие системы ICS и SCADA используют устаревшее аппаратное обеспечение или устаревшие операционные системы, которые несовместимы или слишком деликатны для поддержки современных технологий защиты. Часто такое оборудование развернуто в средах, где системы не могут быть отключены для исправления или обновления.
• Плохая сегментация сети. Среды OT, как правило, функционируют используя установки полного доверия, такая модель плохо переносится в новые конвергентные среды IT/OT. Стандартная практика безопасности разделения сетей на функциональные сегменты, ограничивающие данные и приложения, которые могут мигрировать из одного сегмента в другой, в ICS в целом используется не очень часто.
• Ограниченный контроль доступа и управление разрешениями. Поскольку ранее изолированные или закрытые системы становятся взаимосвязанными, элементы управления и процессы, которые предписывали доступ, часто становятся запутанными.

К счастью, риски, которые приводят к угрозам безопасности для ICS / SCADA, становятся все более широко признанными и, как следствие, более приоритетными для многих крупных организаций. Правительственные органы, включая Группу реагирования на компьютерные чрезвычайные ситуации (Control Systems Cyber Emergency Response Team – ICS-CERT) в США и Центр защиты национальной инфраструктуры (Centre for Protection of National Infrastructure – CPNI) в Великобритании, в настоящее время публикуют рекомендации и советы относительно использования передовых методов обеспечения безопасности ICS.

Оценивая наиболее значительные кибератаки на системы промышленного управления (ICS) за последнее десятилетие, мы можем увидеть, насколько далеко продвинулись технологические возможности преступников. Однако, возможно, еще более тревожным моментом является их готовность причинять вред не только цифровой инфраструктуре, но и физической, негативно влияя на отдельных сотрудников и целые компании. Stuxnet, пожалуй, один из первых в серии вредоносных атак на ICS, который продемонстрировал организациям по всему миру масштабы влияния кибератак на физическую инфраструктуру.

Появление новых механизмов угроз и атак коренным образом изменило специфику функционирования систем промышленного управления (ICS) и SCADA. Далее мы перечислим некоторые из наиболее заметных кибератак на ICS, которые произошли за последнее десятилетие, а также опишем их влияние на современные стратегии по обеспечению безопасности критически важной инфраструктуры.

К сожалению, определение червя отсутствует в государственных стандартах и распорядительных документах, поэтому здесь приведено лишь интуитивное определение, дающее представление о принципах работы и выполняемых функциях этого типа вредоносных программ.

Определение 1: Червь (сетевой червь) — тип вредоносных программ, распространяющихся по сетевым каналам, способных к автономному преодолению систем защиты автоматизированных и компьютерных сетей, а также к созданию и дальнейшему распространению своих копий, не всегда совпадающих с оригиналом, и осуществлению иного вредоносного воздействия.

Жизненный цикл

Так же как для вирусов, жизненный цикл червей можно разделить на определенные стадии:

1. Проникновение в систему

4. Подготовка копий

5. Распространение копий

Стадии 1 и 5, вообще говоря, симметричны и характеризуются в первую очередь используемыми протоколами и приложениями.

Стадия 4 — Подготовка копий — практически ничем не отличается от аналогичной стадии в процессе размножения вирусов. Сказанное о подготовке копий вирусов без изменений применимо и к червям.

Каналы распространения

На этапе проникновения в систему черви делятся преимущественно по типам используемых протоколов:

· Сетевые черви — черви, использующие для распространения протоколы Интернет и локальных сетей. Обычно этот тип червей распространяется с использованием неправильной обработки некоторыми приложениями базовых пакетов стека протоколов tcp/ip

· IRC-черви — черви, распространяющиеся по каналам IRC (Internet Relay Chat)

· P2P-черви — черви, распространяющиеся при помощи пиринговых (peer-to-peer) файлообменных сетей

На этапе активации черви делятся на две большие группы, отличающиеся как по технологиям, так и по срокам жизни:

1.Для активации необходимо активное участие пользователя

2.Для активации участие пользователя не требуется вовсе либо достаточно лишь пассивного участия

Под пассивным участием пользователя во второй группе понимается, например, просмотр писем в почтовом клиенте, при котором пользователь не открывает вложенные файлы, но его компьютер, тем не менее, оказывается зараженным.

Отличие в этих подходах глубже, чем может показаться на первый взгляд. Активация сетевого червя без участия пользователя всегда означает, что червь использует бреши в безопасности программного обеспечении компьютера. Это приводит к очень быстрому распространению червя внутри корпоративной сети с большим числом станций, существенно увеличивает загрузку каналов связи и может полностью парализовать сеть. Именно этот метод активации использовали черви Lovesan и Sasser. В результате вызванной таким сетевым червем эпидемии, используемая брешь закрывается администраторами либо пользователями, и по мере уменьшения компьютеров с открытой брешью эпидемия завершается. Для повторения эпидемии разработчикам вирусов приходится эксплуатировать другую брешь. В итоге, эпидемии, вызванные активными червями, существеннее влияют на работу сети в целом, однако случаются значительно реже, чем эпидемии пассивных сетевых червей. Обязательной мерой защиты от таких эпидемий является своевременная установка заплат безопасности. Отметим также, что особенно уязвимыми для этого типа червей являются операционные системы с заложенными возможностями удаленного управления или запуска программ - это семейство Microsoft Windows NT/2000/XP/2003.

Поиск "жертв"

Способ поиска компьютера-жертвы полностью базируется на используемых протоколах и приложениях. В частности, если речь идет о почтовом черве, производится сканирование файлов компьютера на предмет наличия в них адресов электронной почты, по которым в результате и производится рассылка копий червя.

Точно так же Интернет-черви сканируют диапазон IP адресов в поисках уязвимых компьютеров, а P2P черви кладут свои копии в общедоступные каталоги клиентов пиринговых сетей. Некоторые черви способны эксплуатировать списки контактов интернет-пейджеров, таких как ICQ, AIM, MSN Messenger, Yahoo! Messenger и др.

Подготовка копий для распространения

Сказанное ранее о подготовке копий для распространения вирусов, применимо и для червей.

Наиболее часто среди червей встречаются упрощенные реализации метаморфизма. Некоторые черви способны рассылать свои копии в письмах, как с внедрением скрипта приводящего к автоматической активации червя, так и без внедрения. Такое поведение червя обусловлено двумя факторами: скрипт автоматической активации повышает вероятность запуска червя на компьютере пользователя, но при этом уменьшает вероятность проскочить антивирусные фильтры на почтовых серверах.

Бесплатное участие. Свидетельство СМИ сразу.
До 500 000 руб. ежемесячно и 10 документов.

КРОССВОРД № 9

Вопросы по горизонтали: 1

По вертикали: 1.Полиморфик. 2

Бесплатный просмотр. Свидетельства участникам
для аттестации за минуту.

Сетевые черви (network worms) — это тип вредоносных программ, которые способны распространяться по локальной сети и интернету, создавая свои копии. В отличие от файловых вирусов, сетевые черви могут использовать для размножения сетевые протоколы и устройства.

Классификация и способы распространения

Основной признак различия между сетевыми червями — это способ, посредством которого они распространяются по удаленным компьютерам. Выделяют две группы таких механизмов.

К первой группе относятся способы, использующие ошибки администрирования и уязвимости в ПО. Вредоносные агенты в автоматическом режиме выбирают целевые машины и атакуют их.

• Репликация через сеть. Червь находит удаленные ПК и воспроизводит себя в разных каталогах, где можно осуществлять запись. Поиск каталогов выполняется с помощью функций операционной системы. Возможны попытки открыть общий сетевой доступ к дискам зараженного компьютера.
• Репликация через уязвимости операционной системы, программ и приложений. Черви ищут машины с уязвимым ПО и отправляют запрос либо сетевой пакет для эксплуатации изъянов, обеспечивая попадание произвольного кода в машину жертвы.
• Репликация через ресурсы общего пользования. Червь попадает на сервер, изменяет файлы и ожидает, пока пользователь их загрузит и запустит уже на своем компьютере.
• Паразитирование на других вредоносных программах. Например, червь находит ПК, который уже заражен бекдором, и использует этот хакерский инструмент для собственного распространения.

Вторую группу механизмов распространения составляет социальная инженерия. В результате психологического манипулирования пользователь сам запускает вредоносный объект. Представителями этой группы являются:

Объект воздействия

Объектом воздействия сетевых червей являются ПК, ноутбуки, планшеты любых пользователей. Так как основной целью такого вредоносного агента является создание копий самого себя с их последующим распространением на другие устройства по сети, последствия работы червя могут быть следующими:

• замедленная работа компьютера,
• уменьшение места на жестком диске и объема свободной оперативной памяти,
• возникновение посторонних файлов,
• проблемы с работой какой-либо программы или приложения,
• появление ошибок, внезапное выключение машины, самопроизвольная перезагрузка,
• потеря данных.

Источник угрозы

Источником распространения сетевых червей являются злоумышленники. Они создают вредоносные программы для разных целей — например, для нанесения вреда компьютерам конкретных людей или организаций, для получения возможности рассылать спам с зараженной техники или захватить управление удаленным устройством. Впрочем, червей создают также и ради шутки либо для демонстрации возможностей их существования: в конце концов, их определяющей функциональностью является размножение и самораспространение, а не причинение ущерба.

Анализ риска

Как отмечено выше, червь может быть относительно безобиден, лишь создавая дополнительную нагрузку на компьютер и сеть. Тем не менее, многие черви имеют и по-настоящему вредоносные функции вроде уничтожения данных или отключения систем безопасности.

Читайте также:

  
• Сообщение о кощее бессмертном
  
• Ооо глобус сообщение конкурсного о передаче путем погашения фарвазов
  
• Сообщение на тему как поднять самооценку по обществознанию
  
• Симбиоз бактерий с другими организмами сообщение
  
• Как написать сообщение классу в дневник ру