Читаем Особенности киберпреступлений в России: инструменты нападения и защиты информации полностью

Представьте, что любой файл, доступный на этих обнаруженных открытых папках, можно модифицировать, добавив вредоносный код, или просто закинуть в любую директорию или субдиректорию вредоносный файл.

Обнаруженный компьютер может использоваться злоумышленниками как заблагорассудится, хоть прокси-сервер на нем развертывай, хоть атаки с него проводи. Мы даже не обсуждаем, что можно просто скопировать данные, хранящиеся на доступном хосте, и использовать их во вред пользователю.

Такое отношение пользователей к информационной безопасности наблюдается не только на бытовом уровне. Похожая картина наблюдается и в коммерческом, и в государственном секторе[45]. И это легко доказать, приведя еще несколько примеров, но не будем отвлекаться и тратить на это драгоценное время читателя.

Приведенный пример с открытыми ресурсами был обнаружен в течение десяти минут, пока автор набирал текст предыдущих абзацев, поэтому не нужно быть гением и обладать глубокими знаниями математической статистики и теории вероятностей, чтобы представить, какая бездна открытых уязвимостей и «тарелочек с голубой каемочкой» таится в сегменте отечественной сети.

Справедливости ради необходимо отметить, что тот же фокус можно повторить и с зарубежным диапазоном IP-адресов. Кстати сказать, по имеющейся и, конечно же, неподтвержденной информации, разведслужбы некоторых стран (не нашей) в автоматическом режиме осуществляют подобные сканирования, загрузку обнаруженных файлов и их анализ.

Конечно, это все игры с простыми программами. Теперь представим, что можно сделать, если это целенаправленная атака и будут использоваться более серьезные инструменты, специальные сканеры, «хорошие» вредоносные программы или популярные ресурсы.

Один из самых ярких примеров подмены легального программного обеспечения инфицированным произошел в 2016 году, когда в скачиваемой с официального сайта программе, предназначенной для организации удаленного доступа Ammyy Admin[46], обнаружилась вредоносная программа.

Вот небольшой пример анализа атакованной системы.

Анализ зараженной системы

Рассматриваемый носитель информации не содержал разметки файловой системы, поэтому с целью дальнейшего изучения носителя было осуществлено восстановление ранее содержащейся разметки файловой системы, структуры и содержимого на представленном объекте.

В корневой директории исследуемого жесткого диска восстановлен файл с наименованием mbrkiller.exe, являющийся программой, предназначенной для удаления главной загрузочной области и таблицы разделов на жестком диске, создавая видимость отсутствия информации.

Подобными программами пользуются злоумышленники после завершения преступных действий, как уже указывалось в предыдущей части, с целью замедления реакции на инцидент и сокрытия следов.

Анализ действий пользователя операционной системы показал, что пользователь вводил в строке браузера ключевое слово «ammyy» и открывал официальный сайт, после чего совершил загрузку программы с официального сайта разработчика.

Обнаруженный после запуска программы-инсталлятора файл 632A.tmp в директории \AppData\Local\Temp\ классифицируется как вредоносная программа типа Trojan-Spy.Win64.Lurk.

В период времени, совпадающий со временем установки программы, в журнале операционной системы System.evtx содержится запись:

В системе установлена служба.

В то же время в директории \AppData\Local\Temp\ создается файл AA_v3.exe, являющийся программой для удаленного управления.

Помимо этого, компьютерное исследование носителя информации выявило, что злоумышленники, получив доступ к операционной системе, загрузили на зараженную машину в директорию C: \intel\ программы для изучения сетевого окружения компании (logParser.exe, netscan.exe).

Анализ обнаруженных данных указывает на то, что вредоносная компьютерная программа была загружена при установке программы удаленного доступа «Ammyy Admin», являющейся модифицированной версией легального программного продукта либо закамуфлированного под него.

К слову сказать, в мае-июне 2016 года в ходе совместной операции Управления «К» БСТМ МВД РФ и ФСБ РФ были задержаны лица, причастные к распространению и использованию указанной выше вредоносной программы[47].

Обзор возможных продолжений фишинг-атаки был бы неполным без рассмотрения актуальных атак на мобильный телефон.

В начале книги упоминались варианты рассылки фишинговых сообщений, принуждающих пользователей мобильного телефона устанавливать на свой телефон различные приложения или загружать файлы.