Читаем Особенности киберпреступлений в России: инструменты нападения и защиты информации полностью

При использовании целенаправленной атаки применяются вредоносные программы, не определяемые практически никакими средствами защиты, из-за того что их версии не внесены еще ни в одну базу. Не самый интересный пример, поэтому попробуем найти для демонстрации еще что-нибудь интересное.

Внесем в поиск программы DC++ слово «program», как будто нам нужно что-то из программ, и внесем слово «пираты», как будто мы хотим найти что-либо по этой тематике.

Поиск выдал список, содержащий программу с громким названием «[Program for hacking any Website] + Crack (RUS + Multi) working version (2017) — Download.exe» и файл «Пираты Карибского моря 5 HD 2017.exe».

Первое, что необходимо показать, — что не все антивирусные программы детектируют угрозу. Чтобы это продемонстрировать, мы, как и ранее, загрузим наш зловредный файл для анализа на ресурс https://www.virustotal.com.

После проведенного анализа видно, что 25 из 66 антивирусных систем распознали угрозу, хотя она даже на невооруженный глаз очевидна.

Здесь сознательно не будет приводиться список антивирусных продуктов, которые автоматически определили, а какие промолчали. Связано это не с тем, что какой-то продукт лучше, а какой-то хуже, это просто стечение обстоятельств, связанное с моментом попадания конкретного вредоносного продукта в базу антивирусной системы.

Так вот, загруженный файл [Program for hacking any Website] + Crack (RUS + Multi) working version (2017) — Download.exe, конечно, не является никакой утилитой для взлома сайтов, это обыкновенный бэкдор с броским названием файла.

Проверка файла «Пираты Карибского моря 5 HD 2017.exe» показала (рис. 2.13), что 59 из 66 антивирусных систем распознали бэкдор, но связано это лишь с тем, как оказалось, что компиляция его была осуществлена еще в июне 2012 года, то есть сам вредонос невероятно древний.

Рис. 2.13.Результат проверки файла на ресурсе virustotal.com

Рыбак, использующий этот образец программы для фишинга, просто меняет название файла, следуя статистике (рейтингу) поисковых запросов пользователей, даже не удосуживаясь переупаковать вредонос. Он, подобно старику, использует потрепанные сети, но все-таки является киберпреступником, использующим фишинг в надежде на то, что в сети может попасться золотая рыбка…

Мимолетный анализ вредоносного файла при помощи ресурса virustotal.com позволяет определить сервер передачи данных и сервер злоумышленника (рис. 2.14).

Рис. 2.14.Определение сервера при анализе вредоносного файла на ресурсе virustotal.com

Продолжая эту тему, можно упомянуть, что есть простой скрипт, который собирает статистику самых популярных поисковых запросов, вводимых пользователями при поиске файлов, и в автоматическом режиме создает файлы с такими именами в открытом доступе злоумышленника.

Вот пример файлов (рис. 2.15), выставленных для раздачи пользователям сети одним таким рыбаком-любителем:

Рис. 2.15.Файлы пользователя сети DC++, доступные для загрузки

Если посмотреть список распространяемых данным пользователем файлов, то можно заметить, что у него под множество различных поисковых фраз есть подходящие файлы (рис. 2.16) различной тематики.

Рис. 2.16.Директории пользователя сети DC++

В каждой директории находятся файлы с названиями популярных произведений, программ, игр и так далее.

Поблагодарим virustotal.com и антивирусные продукты за помощь в демонстрации и двинемся дальше.

Не всегда для атаки необходимо создавать подставной ресурс. Достаточно получить доступ к чужому ресурсу, с которого регулярно происходит загрузка файлов или программ.

Одной из разновидностей фишинга, рассматриваемом в этой части, является подмена файлов на общедоступных ресурсах либо ресурсах, имеющих уязвимости.

Практически все хакеры пользовались сканерами сети, позволяющими проводить сканирование по заданному диапазону IP-адресов с целью изучения сетевого окружения и отыскания открытых ресурсов, доступных для записи.

Чаще всего осуществляется поиск открытых ресурсов NetBIOS, FTP или http, содержащих уязвимые веб-приложения (скрипты), позволяющие осуществлять загрузку файлов на сервер или вносить изменения в конфигурации. Основной задачей такой атаки является подмена обычного файла зараженным бэкдором либо загрузка на ресурс вредоносной программы под видом обычного безвредного файла.

Несколько слов про общедоступные ресурсы.

NetBIOS-ресурсы представляют собой директории или диски, к которым предоставлен общий доступ.

К таким ресурсам относятся так называемые папки обмена, сетевые папки, раньше называемые «шары», или «расшаренные» папки. Название произошло от английских слов: share — доля, shаred — общий.

На волне криптовалютного помешательства слово «шара» уже употребляется в другом значении[44], так что не нужно путать.