Какие характеристики описывают программу червь

Содержание

Сетевые черви (worm) — это программы, способные к самостоятельному распространению своих копий среди узлов в пределах локальной сети, а также по глобальным связям, перемещаясь от одного компьютера к другому без всякого участия в этом процессе пользователей сети.

Поскольку большинство сетевых червей передаются в виде файлов, основным механизмом их распространения являются сетевые службы, основанные на файловом обмене. Так, червь может рассылать свои копии по сети в виде вложений в сообщения электронной почты или путем размещения ссылок на зараженный файл на каком-либо веб-сайте. Однако существуют и другие разновидности червей, которые для своей экспансии используют более сложные приемы, например, связанные с ошибками («дырами») в программном обеспечении.

Главная цель и результат деятельности червя состоит в том, чтобы передать свою копию на максимально возможное число компьютеров. При этом для поиска компьютеров — новых потенциальных жертв — черви задействуют встроенные в них средства. Типичная программа-червь не удаляет и не искажает пользовательские и системные файлы, не перехватывает электронную почту пользователей, не портит содержимое баз данных, а наносит вред атакованным компьютерам путем потребления их ресурсов. Если червь обладает возможностью повторного заражения, то число его копий растет лавинообразно, и вредоносные программы все более и более загружают процессор, захватывая новые области памяти, отбирая пропускную способность сетевых соединений, пока, наконец, программы легальных пользователей не потеряют возможность выполняться.

Основы написания сценариев для начинающего хакера. Kali Linux. Часть 1

При создании типичного сетевого червя хакер, прежде всего, определяет перечень сетевых уязвимостей, которые он собирается использовать для проведения атак средствами создаваемого червя. Такими уязвимостями могут быть как известные, но не исправленные на некоторых компьютерах ошибки в программном обеспечении, так и пока неизвестные никому ошибки, которые обнаружил сам хакер. Чем шире перечень уязвимостей и чем более они распространены, тем больше узлов может быть поражено данным червем.

Червь состоит из двух основных функциональных компонентов: атакующего блока и блока поиска целей.

□ Атакующий блок состоит из нескольких модулей (векторов атаки), каждый из которых рассчитан на поражение конкретного типа уязвимости. Этот блок открывает «входную дверь» атакуемого хоста и передает через нее свою копию.

□ Блок поиска целей (локатор) собирает информацию об узлах сети, а затем на основании этой информации определяет, какие из исследованных узлов обладают теми уязвимостями, для которых хакер имеет средства атаки.

Эти два функциональных блока являются обязательными и присутствуют в реализации любой программы-червя. Некоторые черви нагружены их создателями и другими вспомогательными функциями, о которых мы скажем позже.

Упрощенно жизненный цикл червя может быть описан рекурсивной процедурой, состоящей из циклического запуска локатора и атакующего блока на каждом из последующих заражаемых компьютеров (рис. 24.5).

Информатика 2 курс 3 семестр Лекция 1.2

Рис. 24.5. Экспансия червя в сети

В начале каждого нового цикла червь, базирующийся на захваченном в результате предыдущей атаки компьютере, запускает локатор для поиска и формирования списка узлов-целей, пригодных для проведения каждой из специфических атак, а затем, используя средства атакующего блока, пытается эксплуатировать уязвимости узлов из этого списка. В результате успешной атаки червь копирует все свои программы на «новую территорию» и активирует локатор.

После этого начинается новый цикл. На рисунке показано, как червь лавинообразно распространяется по сети. Заражение тысяч компьютеров может занять всего несколько минут. Некоторые виды червей не нападают на уже зараженные и/или подвергающиеся атаке в данный момент узлы. Если же такая проверка не предусмотрена в алгоритме работы червя, то в сети случайным образом могут возникать очаги стихийных DoS-атак.

Локатор идентифицирует цели по адресам электронной почты, IP-адресам, характеристикам установленных на хостах операционных систем, номерам портов, типам и версиям приложений.

Для сбора информации локатор может предпринимать действия, связанные как с поисками интересующих данных на захваченном им в данный момент хосте, так и путем зондирования сетевого окружения. Простейший способ получить данные локально — прочитать файл, содержащий адресную книгу клиента электронной почты[73].

Помимо почтовых адресов, локатор может найти на узле базирования другие источники информации, такие как таблицы конфигурационных параметров сетевых интерфейсов, ARP-таблицы и таблицы маршрутизации. Зная IP-адреса хоста базирования и шлюзов, локатор достаточно просто может определить IP-адреса других узлов этой сети. Для идентификации узлов локатор может также использовать ICMP-сообщения или запросы ping, указывая в качестве адресов назначения все возможные IP-адреса. Для определения того, какие приложения работают на том или ином хосте, локатор сканирует различные хорошо известные номера TCP- и UDP-портов. Определив тип приложения, локатор пытается получить более детальные характеристики этого приложения.

Например, пусть некоторая программа-червь имеет в своем арсенале средства для атаки на некоторые версии веб-сервера Apache. Для поиска потенциальных жертв локатор этого червя зондирует узлы сети, посылая умышленно ошибочные запросы к веб-серверу:

GET / HTTP/1.1rnrn

Узел, на котором установлен сервер Apache, отвечает на такой запрос так, как и рассчитывал разработчик червя, то есть сообщением об ошибке, например, это может быть сообщение такого вида:

НТТР/1.1 400 Bad Request

Date: Mon, 23 Feb 2004 23:43:42 GMT

Server: Apache/1.3.19 (UNIX) (Red-Hat/Linux) mod_ssl/2.8.1

0penSSL/0.9.6 DAV/1.0.2 PHP/4.0.4pll mod_perl/1.24_01

Connection: close

Transfer-Encoding: chunked

Content-Type: text/html; charset=iso-8859-1

Из этого ответа локатор узнает о том, что на узле установлен веб-сервер Apache версии 1.3.19. Для червя этой информации может быть достаточно, чтобы внести данный узел в число целей.

Собрав данные об узлах сети, локатор анализирует их подобно тому, как это делает хакер при поиске уязвимых узлов. Для атаки выбираются узлы, удовлетворяющие некоторым условиям, которые говорят о том, что данный узел возможно обладает уязвимостями нужного типа (для них в атакующем блоке есть средства нападения). Понятно, что при таком «предположительном» способе отбора целей не всякая предпринятая атака обязательно приводит к успеху. Неудача рассматривается атакующим блоком червя как штатная ситуация, он просто сворачивает все свои действия, направленные на не поддавшийся атаке узел, и переходит к атаке следующей цели из списка, подготовленного локатором.

Читайте также:

Что такое программа receiver

Рассмотрим более подробно, как работает атакующий блок червя. Среди механизмов, позволяющих червю передать свою копию на удаленный узел, наиболее длинную историю имеет уязвимость ошибки переполнения буфера. Этот достаточно распространенный вид уязвимости связан с неправильной работой некоторых программ, когда у них переполняется буфер.

При трансляции программ, написанных на многих языках программирования, в исполняемом (объектном) модуле в сегменте локальных переменных отводится место для буферов, в которые будут загружаться данные при выполнении процедур ввода. Например, в программе веб-сервера должен быть предусмотрен буфер для размещения запросов, поступающих от клиентов. Причем размер буфера должен быть равен максимально допустимой для данного протокола длине запроса. В том же сегменте локальных переменных транслятор размещает команду возврата из процедуры, которой будет передано управление при завершении процедуры (рис. 24.6, а).

Для правильной работы программы очень важно, чтобы вводимые данные (в нашем примере — запрос клиента) всегда укладывались в границы отведенного для них буфера. В противном случае эти данные записываются поверх команды возврата из процедуры. А это, в свою очередь, означает, что процедура не сможет завершиться корректно: при передаче управления на адрес команды возврата процессор будет интерпретировать в качестве команды то значение из запроса, которое записано поверх команды возврата. Если такого рода переполнение возникло в результате случайной ошибки, то маловероятно, что значение, записанное поверх команды возврата, окажется каким-либо осмысленным кодом. Иное дело, если это переполнение было специально инициировано злоумышленником.

Рис. 24.6. Схема атаки на уязвимость ошибки переполнения буфера: а — структура адресного пространства программы до поступления злонамеренного запроса; б — после поступления злонамеренного запроса

Злоумышленник конструирует запрос так, чтобы сервер прореагировал на него предсказуемым и желательным для хакера образом. Для этого хакер посылает нестандартный запрос, размер которого превышает размер буфера (рис. 24.6, б). При этом среди данных запроса в том месте, которое приходится как раз на команду возврата, злоумышленник помещает команду перехода на вредоносный код червя. В простейшем случае таким вредоносным кодом может быть совсем небольшая программа, переданная в том же запросе.

Итак, атакующий блок червя посылает некорректный запрос уязвимому серверу, его буфер переполняется, код команды возврата из процедуры замещается кодом команды передачи управления вредоносной программе, которая выполняет копирование всех оставшихся программных модулей червя на вновь освоенную территорию.

Хотя рассмотренный подход применим к самым различным приложениям, для каждого типа приложений хакер должен сформировать специальный атакующий запрос, в котором смещение кода команды передачи управления вредоносной программе точно соответствовало бы местоположению команды возврата в процедуру атакуемого приложения. Именно поэтому для червя при проведении такого вида атак так важно получить информацию о типе и версиях программного обеспечения, установленного на узлах сети.

Помимо локатора и атакующего блока червь может включать некоторые дополнительные функциональные компоненты.

□ Блок удаленного управления и коммуникаций служит для передачи сетевым червям команд от их создателя, а также для взаимодействия червей между собой. Такая возможность позволяет хакеру координировать работу червей для организации распределенных атак отказа в обслуживании. Сетевые черви могут быть также использованы для организации параллельных вычислений при решении таких требующих большого объема вычислений задач, как, например, подбор секретного ключа шифрования или пароля.

□ Блок управления жизненным циклом может ограничивать работу червя определенным периодом времени.

□ Блок фиксации событий используется автором червя для оценки эффективности атаки, для реализации различных стратегий заражения сети или для оповещения других пользователей о повреждениях, нанесенных их компьютерам. Результатом работы данного блока может быть, например, список IP-адресов успешно атакованных машин, посланный хакеру в виде файла или сообщения электронной почты.

Вирусы

Вирус (virus) — это вредоносный программный фрагмент, который может внедряться в другие файлы.

Стремление злоумышленника сделать код вируса как можно более коротким часто ограничивает логику работы вируса очень простыми решениями, которые, однако, иногда приводят к весьма разрушительным последствиям. Так, например, один из реально существовавших вирусов, состоящий всего из 15 (!) байтов, записывал свою копию поверх других файлов в начало каждого сектора диска, в результате система очень быстро терпела крах. Некоторым утешением в таком и подобных ему случаях является то, что одновременно с крахом компьютера прекращает свое существование и вирус.

Вирус может внедрять свои фрагменты в разные типы файлов, в том числе в файлы исполняемых программ (рис. 24.7).

Рис. 24.7. Различные варианты расположения кода вируса в зараженных файлах

При этом возможны самые разные варианты: замещение кода, когда размер инфицированного файла не меняется, вставка вирусного кода целиком в начало или конец исходной программы, замена фрагментов программного кода фрагментами вируса с перестановкой замещенных фрагментов и без перестановки и т. д., и т. п. Более того, код вируса может быть зашифрован, чтобы затруднить его обнаружение антивирусными программами.

В отличие от червей вирусы (так же как и троянские программы) не содержат в себе встроенного механизма активного распространения по сети, они способны размножаться своими силами только в пределах одного компьютера. Как правило, передача копии вируса на другой компьютер происходит с участием пользователя.

Например, пользователь может записать свой файл, зараженный вирусом, на сетевой файловый сервер, откуда тот может быть скопирован всеми пользователями, имеющими доступ к данному серверу. Пользователь может также передать другому пользователю съемный носитель с зараженным файлом или послать такой файл по электронной почте. То есть именно пользователь является главным звеном в цепочке распространения вируса за пределы своего компьютера. Тяжесть последствий вирусного заражения зависит от того, какие вредоносные действия были запрограммированы в вирусе злоумышленником. Это могут быть мелкие, но раздражающие неудобства (замедление работы компьютера, уменьшение размеров доступной памяти, трата рабочего времени на переустановку приложений) или серьезные нарушения безопасности, такие как утечка конфиденциальных данных, разрушение системного программного обеспечения, частичная или полная потеря работоспособности компьютерной сети.

какие характеристики описывают программу червь выберите два варианта

Какие характеристики описывают программу червь выберите два варианта

Правильные ответы отмечены знаком +

Какие два объекта используются в асимметричном шифровании? (Выберите два варианта.)
+закрытый ключ
+открытый ключ
маркер
модуль TPM
ключ DES
—————————-
Назовите две типичные меры физической безопасности, используемые в организациях для защиты компьютеров и систем. (Выберите два варианта.)
Регулярное обновление всех компонентов операционной системы и антивирусного ПО.
Замена программных межсетевых экранов аппаратными.
Выполнение ежедневного резервного копирования данных.
+Внедрение биометрической аутентификации.
+Отключение функции автозапуска в операционной системе.
——————

Нужно утилизировать жесткий диск емкостью 2,5 Тбайт, содержащий конфиденциальную финансовую информацию. Какова рекомендуемая процедура для выполнения этой задачи?
Использовать функцию стирания данных.
Просверлить жесткий диск.
+Разбить пластины диска молотком.
Погрузить диск в слабый раствор питьевой соды.
——————
На беспроводном маршрутизаторе было настроено включение порта. Порт 25 был определен в качестве запускающего порта, а порт 113 — в качестве открытого порта. Как это повлияет на сетевой трафик?
Весь трафик, отправляемый на порт 25 во внутреннюю сеть, также сможет использовать порт 113.
Любой трафик, использующий порт 25 при выходе из внутренней сети, также сможет передаваться из порта 113.
Любой трафик, поступающий на порт 25, позволяет использовать исходящий порт 113.
+Весь трафик, отправляемый из порта 25, будет открывать порт 113, пропуская входящий трафик во внутреннюю сеть через порт 113.
—————————

Все пользователи, работающие на определенном компьютере с ОС Windows 7, могут установить неавторизованное ПО. Помимо обучения пользователей основам правильного поведения в сфере обеспечения безопасности, что еще следует выполнить для решения этой проблемы?
Изменить разрешения на файлы для пользователей на «Только для чтения».
+Включить UAC на компьютере.
Установить разрешения на папки для пользователей на «Запретить».
Отключить учетные записи этих пользователей.
————————-

Каков наиболее эффективный способ защиты беспроводного трафика?
фильтрация MAC-адресов беспроводного адаптера
+WPA2
WEP
сокрытие имени сети (SSID)
————————-
Какие две характеристики описывают программу-червь? (Выберите два варианта.)
находится в неактивном состоянии, пока не понадобится злоумышленнику
+переходит на новые компьютеры без какого-либо вмешательства или знания пользователя
+является саморазмножающейся
выполняется при запуске ПО на компьютере
заражает компьютеры, прикрепляясь к программному коду
—————————

Какое действие поможет инженеру определить, вызвана ли атака типа «отказ в обслуживании» вредоносным ПО на узле?
Установить лжеантивирусное ПО на узле.
Отключить ActiveX и Silverlight на узле.
+Отключить узел от сети.
Войти в узел от имени другого пользователя.
—————————-

Пользователь принимает телефонный звонок от лица, которое называется сотрудником компании по предоставлению ИТ-услуг и просит пользователя подтвердить свои имя пользователя и пароль для проведения аудита. Какую угрозу безопасности представляет собой этот телефонный звонок?
спам
распределенный отказ в обслуживании (DDoS)
+социотехника
анонимное использование кейлоггеров
—————————
Инженер занят устранением проблемы с безопасностью компьютера. Компьютер был подвергнут опасности злоумышленником из-за ненадежного пароля пользователя. Какое действие следует предпринять инженеру в качестве профилактической меры против возникновения этого типа атаки в будущем?
Просканировать компьютер с помощью защитного ПО.
Проверить физическую безопасность всех офисов.
+Убедиться в соблюдении политики безопасности.
Проверить наличие новейших исправлений и обновлений ОС компьютера.
—————————-
В чем заключается основная цель атак типа «отказ в обслуживании» (DoS-атак)?
получение всех адресов в адресной книге на сервере
упрощение доступа к внешним сетям
+устранение способности целевого сервера обрабатывать дополнительные запросы
сканирование данных на целевом сервере
—————————

Какие две характеристики сетевого трафика отслеживаются, если сетевой инженер настроил межсетевой экран компании на работу в качестве фильтра пакетов? (Выберите два варианта.)
+протоколы
скорость пакетной передачи
физические адреса
размер пакета
+порты
——————————
Какая технология обеспечения безопасности на физическом уровне может хранить сведения для проверки подлинности пользователей, включать защиту лицензии ПО, предоставлять шифрование, а также аппаратную и программную проверку подлинности, специфичную для размещающей системы?
+модуль доверенной платформы (Trusted Platform Module, TPM)
двухфакторная защита
доступ с помощью карточки-ключа
биометрическая аутентификация
————————
Какие две меры безопасности защитят рабочее место от атак типа социотехники? (Выберите два варианта.)
+регистрирование и сопровождение посетителей на территории компании
шифрование всех конфиденциальных данных, которые хранятся на серверах
+обеспечение того, чтобы при каждом использовании карточки доступа доступ предоставлялся только одному пользователю
выполнение ежедневного резервного копирования данных
регулярное обновление всех компонентов операционной системы и антивирусного ПО
————————-
В какой ситуации компьютерный инженер использует команду fixmbr в командной строке компьютера под управлением ОС Windows XP для решения проблемы с безопасностью?
+при повреждении главной загрузочной записи системного диска вирусом
если разрешения для папки для членов группы с правами пользователей являются неверными
если неавторизованные пользователи изменили настройки CMOS и требуется сбросить пароль CMOS
при повреждении загрузочного сектора системного диска вирусом
———————-

Cisco ответы на главы и экзамены.

Страницы

24 November 2014

Правильные ответы отмечены знаком +

Какие два объекта используются в асимметричном шифровании? (Выберите два варианта.)
+закрытый ключ
+открытый ключ
маркер
модуль TPM
ключ DES
—————————-

Назовите две типичные меры физической безопасности, используемые в организациях для защиты компьютеров и систем. (Выберите два варианта.)
Регулярное обновление всех компонентов операционной системы и антивирусного ПО.
Замена программных межсетевых экранов аппаратными.
Выполнение ежедневного резервного копирования данных.
+Внедрение биометрической аутентификации.
+Отключение функции автозапуска в операционной системе.
——————

Срез знаний по дисциплине «Безопасность функционирования информационных систем»

Ищем педагогов в команду «Инфоурок»

Министерство образования, науки и молодёжной политики

государственное бюджетное профессиональное образовательное учреждение

«Краснодарский колледж электронного приборостроения»

Источник: historyclothing.ru

Work Blog

Business EIN Fullz
Loan Applying Tools for Spamming CC/Logs/Personal Info/Bank Account Info
Hac-king Stuff with complete guide, tools Spamming stuff
2021/2022 Fra*d Bib*e updated
Mailers/Shells/C-panels
RDP’s/SMTP’s/Key Loggers/Viruses

Many other stuff we can provide on demand, just ordered
Hot Tools with tutorials

USA Database SSN DOB DL Fullz/Pros
High CS Pros 700+
DUMPS with Pins Guaranteed Results

Many other stuff we can provide on demand, just ordered
Hot https://work-edit.blogspot.com/2017/04/chapter-12.html» target=»_blank»]work-edit.blogspot.com[/mask_link]

какие характеристики описывают программу червь выберите два варианта

Какие характеристики описывают программу червь выберите два варианта

Cisco ответы на главы и экзамены.

Страницы

24 November 2014

Срез знаний по дисциплине «Безопасность функционирования информационных систем»

Work Blog

Составьте блок схему и программу вычисления значения функции вариант 3

Напиши программу которая в последовательности натуральных чисел определяет количество чисел кратных

Как записать музыку на сд диск в формате сд программа

Какая нужна программа на телефон чтобы скачивать музыку на телефон

Если не хватает места на диске с для установки программы

Задачи по ознакомлению с формой и геометрическими фигурами в программе радуга

Как расширение имени файла связано с форматом файла и программой обработки

Что программа 12111 переводит число 50 в число 20 определите значение b