Примечание: Данная статья написана мною с целью разложить по полочкам всю информацию, что я пытаюсь освоить в ходе изучения данной обширной темы. Поэтому пишу исключительно свои мысли, наверняка по ходу текста будут встречаться неточности или ошибки, буду рад их исправить.
В условиях стремительно прогрессирующей компьютеризации, вопрос информационной безопасности является как никогда важным в настоящее время. Сейчас почти каждый персональный компьютер имеет доступ в Интернет, уже не говоря об коммерческих организациях, государственных структурах и т.д.
Очевидно, что на каждом компьютере может содержаться информация, представляющая интерес для другого человека, будь это текстовый файл, фотография или база данных пользователей почтового сервера. Чтобы обезопасить компьютер от угрозы взлома существует множество программ, способов и техник — это антивирусы, файерволы, всевозможные системы контроля доступа и т.д. В идеале самая безопасная схема — это отсутствие Интернета на компьютере, содержащем секретную информацию, однако даже этот вариант позволяет обезопасить компьютер только от удаленного взлома. В последующих статьях я постараюсь сделать обзор существующих в настоящее время компьютерных угроз и возможные способы борьбы с ними.
Настройка политики паролей учетных записей на ПК без домена, в домене.
Компьютерные вирусы
Компью́терный ви́рус — разновидность компьютерных программ или вредоносный код, отличительной особенностью которых является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру (Wiki).
Рассмотрим классификацию компьютерных вирусов для более четкого понимания термина. Более подробная классификация вирусов приведена на www.hackzone.ru/articles/view/id/669.
1. Трояны и бэкдоры
Наиболее распространенный тип вирусов, в основном распространяемый по электронной почте. Чтобы не вызывать подозрений, исполняемый вирусный файл маскируется под известный формат, например документ MS Word, PDF, или графический jpeg. В свою очередь здесь существует тоже несколько способов сокрытия вредоносного содержимого.
В большинстве случаев троян представляет собой PE- файл, поэтому получив на электронную почту файл *****.exe среднестатистический пользователь, обладающий некоторой компьютерной грамотностью, скорее всего такой файл открывать не станет. Иногда троян маскируется под тот же самый текстовый документ, заменяя свою иконку на значок документа MS Word 2007, хотя по факту файл имеет расширение .exe или .scr (файл заставки Windows), а так как у большинства пользователей Windows параметр отображения расширений файлов не активирован, то для них вирусный файл будет отображаться просто как текстовый документ, который, при соответствующем названии будет непременно открыт.
Такая схема маскировки является наиболее примитивной и без труда будет обнаружена антивирусом (если же конечно он установлен). Наиболее сложным способом скрыть вирус является уязвимость по переполнению буфера в таких продуктах как Microsoft Office и Adobe Acrobat.
Как защитить компьютер ноутбук от вирусов и сетевых атак
На данную тему в Интернете содержится много информации, поэтому нет смысла полностью описывать принцип действия данной уязвимости, в общем же случае переполнение буфера — это явление, которое возникает, когда компьютерная программа записывает данные за пределами выделенного в памяти буфера. В общем виде процесс выглядит следующим образом. Вирус содержится в теле документа MS Word или Adobe Acrobat, однако чтобы ему отработать необходимо, чтобы всё тот же MS Word в ходе открытия документа выполнил переполненную хакером функцию, в результате чего адрес возврата из функции в основное тело программы изменится на адрес начала вирусного кода. То есть когда пользователь открывает документ, вместе с этим выполняется вирусный код, внешне заметить это довольно сложно, например, при открытии инфицированного документа Word, программа может очень быстро перезапуститься, после чего откроется текст самого документа. Подробное описание данного вида уязвимости я постараюсь разобрать в следующих статьях.
Учитывая, что компьютерный вирус — это все-таки полноценная программа, то нецелесообразно компилировать её в виде одного исполняемого файла. Во-первых, маскируя вирус в документе, есть большая вероятность раскрыть вредоносный характер файла по его значительно выросшему объему, чем у обычного документа.
Во-вторых, если тело вируса размещается в системе в виде единственного исполняемого файла или .dll библиотеки, то его гораздо проще детектировать и удалить из системы. Поэтому чаще всего при написании троянов используется модульный принцип разбиения тела вируса.
Так, например, существует модуль-загрузчик (Loader), который и помещается в тело текстового документа или другого носителя, после чего, при успешном размещении в системе он подключается к удаленному центру управления и докачивает дополнительные модули, если это конечно необходимо. Разновидностью троянов являются бэкдоры (Backdoor), которые, размещаясь в инфицированной системе, получают возможность к удаленному управлению зараженным компьютером.
И те, и другие, в большинстве случаев маскируются под системные процессы, например, svchost.exe, а вирусными модулями являются .dll файлы. Основным отличием трояна от бэкдора является наличие у последнего клиентской и серверной частей. Таким образом серверная часть вместе с каким-нибудь «грузом» открывается пользователем на компьютере.
После успешного размещения всех инфицированных модулей на компьютере бэкдор начинает слать DNS запросы на удаленный центр управления, т.е. на компьютер злоумышленника с запущенным клиентом. Здесь опять же возможно два варианта событий, либо вирус непрерывно (или с небольшими интервалами) делает попытку установить соединение, не проверяя при этом, существует ли в данный момент подключение с Интернетом, либо же ждет когда на ПК установиться подключение. Когда соединение с компьютером злоумышленника установлено, происходит обмен информацией между клиентом и сервером. Это могут быть команды, данные и т.д. В следующей статье я постараюсь подробно разобрать принцип работы одного из бэкдоров.
Для полноценной работы вируса ему необходимо работать в ring0 (уровень ядра), где ему доступны все системные инструкции. Для перехода в ring0 могут использоваться различные способы — собственные написанные драйвера и прочие премудрости.
На данный момент одним из самых популярных бэкдоров являются ZeuS, и пришедший ему на смену SpyEye, созданные для кражи банковской информации с ПК. Оба вируса имеют панель управления через Web-интерфейс, где показано, на какой машине активирован вирус, и доступен ли он в данный момент онлайн.
Исходный код этого вируса доступен для скачивания в сети, хоть и его владелец предлагает сам вирус, а так же техническую поддержку всего за 10 тысяч рублей. ZeuS обладает кучей параметров для настройки серверной части, что таким образом облегчает жизнь для юного хакера — нет необходимости писать вирус самому.
Да и чтобы написать вирус такого уровня необходим огромный багаж знаний и полное понимание всех мельчайших деталей работы операционной системы (в данном случае Microsoft Windows). Единственно, что потребуется от юного хакера — это закриптовать вновь собранный ZeuS, чтобы его не обнаружили антивирусные программы. Объявлений по оказанию услуг на этот счет в сети можно найти несметное множество и за символическую плату в одну или две тысячи рублей, а иногда и больше. Вообще данный вирус требует отдельной статьи с подробным описанием принципа работы благодаря своему широкому диапазону возможностей.
Существуют еще так называемые мейлеры, принцип работы которых не сильно отличается от тех же троянов, просто источником приема украденных данных выступает электронная почта злоумышленника. Оригинальная атака проводилась на пользователей сайта job.ru, которым приходило предложение о приеме на работу в виде документа Microsoft Word, содержащего в себе троянскую программу.
- информационная безопасность
- вирусный анализ
Источник: habr.com
Что такое вирус RAT? Как происходит заражение ПК этим вирусом, и как от него защититься.
Всем привет! Сегодня мы поговорим о такой штуки как «вирус удаленного доступа» или же вирус RAT, вы узнаете все про этот вирус.
RAT — крыса (английский). Под аббревиатурой RAT скрывается не очень приятное для каждого пользователя обозначение трояна, с помощью которого злоумышленник может получить удалённый доступ к компьютеру. Многие ошибочно переводят эту аббревиатуру как Remote Administration Tool — инструмент для удалённого администрирования, но на самом же деле аббревиатура RAT означает Remote Access Trojan – программа троян для удалённого доступа.
На самом деле шпионская программа RAT это один из наиболее опасных вредоносных программ, который позволяет злоумышленнику получить не просто доступ к вашему компьютеру но и полный контроль над ним. Используя программу RAT, взломщик может удалённо установить клавиатурный шпион или другую вредоносную программу. Также с помощью данной программы хакер может заразить файлы и много чего ещё наделать без вашего ведома.
Как работает программа RAT?
1) Следить за действиями пользователя
2) Запускать файлы
3) Отключать и останавливать сервисы Windows
4) Снимать и сохранять скрины рабочего стола
5) Запускать Веб-камеру
6) Сканировать сеть
7) Скачивать и модифицировать файлы
8) Мониторить, открывать и закрывать порты
Прикалываться над чайниками и ещё многое другое.
Но ещё стоит добавить что функционал вируса зависит от качества софта, то есть платные ратники могут содержать намного больше функций и их будет сложнее обнаружить на вашем компьютере в ручную (и даже антивирус не увидит вредоносный файл если злоумышленник хорошо его закриптовал).
Популярные RAT-программы.
Но после этого списка не спеши бежать в Гугл и качать с какого нибудь GitHub слитые ратники, ведь если ты кого то с помощью него «хакнешь» это будет считаться как нарушение закона, статья 138 УК РФ или же статья 272 УК РФ. Вообщем я предупредил как делать не надо продолжаем.
Вот список ратников самые известные.
Наверное спросите какой из них самый популярный и лучший?
Лучший троян RAT на сегодня это DarkComet Rat(на хаЦкерском жаргоне просто Камета).
Как происходит заражение RAT-трояном.
Источник: dzen.ru
Программа которая без ведома пользователя открывает полный доступ к пк инфицированному
Блокирование несанкционированного доступа
Поищите очевидные признаки удаленного доступа. Если курсор двигается, программы запускаются и файлы удаляются без вашего участия, кто-то получил доступ к компьютеру. В этом случае выключите компьютер и отсоедините Ethernet-кабель.
- Если вы нашли незнакомые программы или скорость подключения к интернету упала, это не значит, что компьютер взломан.
- Многие программы, которые обновляются в автоматическом режиме, в процессе обновления открывают всплывающие окна.
Запустите Диспетчер задач или Мониторинг системы. При помощи этих утилит можно определить активные процессы.
- В Windows нажмите ^ Ctrl+⇧ Shift+⎋ Esc.
- В Mac OS откройте папки «Приложения» – «Утилиты» и нажмите «Мониторинг системы».
Обратите внимание на аномально высокую загруженность процессора. Она отображается в Диспетчере задач или в Мониторинге системы. Высокая загруженность процессора является нормальным явлением и не свидетельствует о взломе компьютера, но если она наблюдается тогда, когда компьютером никто не пользуется, скорее всего, множество процессов работает в фоновом режиме, что весьма подозрительно. Имейте в виду, что высокая загруженность процессора имеет место во время фонового обновления системы или скачивания больших файлов (о которых вы забыли).
Удалите файлы, найденные антивирусом. Если антивирус обнаружил вредоносные программы, удалите их или отправьте в «карантин» (это зависит от антивируса); в этом случае найденные программы больше не будут причинять вред компьютеру.
Просканируйте систему программой Anti-Malware. На полное сканирование уйдет около 30 минут. Возможно, Anti-Malware обнаружит программу-взломщик, которая контролирует компьютер.
Скачайте и запустите Malwarebytes Anti-Rootkit Beta. Эту программу можно бесплатно скачать на сайте malwarebytes.org/antirootkit/. Anti-Rootkit Beta обнаруживает и удаляет руткиты, которые являются вредоносными программами, позволяющими злоумышленнику закрепиться в системе и скрыть следы проникновения. На полное сканирование системы уйдет некоторое время.
Смените все пароли. Если компьютер взломан, скорее всего, злоумышленник получил ваши пароли при помощи кейлоггера. В этом случае смените пароли к различным учетным записям. Не используйте один и тот же пароль к нескольким аккаунтам.
Переустановите операционную систему, если не удается блокировать несанкционированный доступ к компьютеру. Это единственный надежный способ воспрепятствовать вторжению и избавиться от всех вредоносных файлов. Перед тем как переустановить систему, создайте резервную копию важных данных, так как в процессе переустановки системы вся информация будет удалена.
- Создавая резервную копию данных, сканируйте каждый файл, потому что есть риск, что старые файлы приведут к заражению переустановленной системы.
- Прочитайте эту статью, чтобы получить дополнительную информацию о том, как переустановить систему Windows или Mac OS.
Предотвращение несанкционированного доступа
Настройте брандмауэр. Если вы не владеете сервером или не запускаете программу для удаленного доступа, нет необходимости держать порты открытыми. Большинство программ, которым нужны открытые порты, работает по протоколу UPnP, то есть порты открываются и закрываются по мере необходимости. Постоянно открытые порты являются главной уязвимостью системы.
Устанавливайте надежные пароли. Каждая защищенная учетная запись или программа должна иметь уникальный и надежный пароль. В этом случае злоумышленник не сможет использовать пароль к одной учетной записи для взлома другой. В интернете найдите информацию о том, как пользоваться менеджером паролей.
Будьте осторожны с программами, которые скачаны из интернета. Многие бесплатные программы, которые можно найти в интернете, включают дополнительное и зачастую ненужное программное обеспечение. Поэтому во время установки любой программы выбирайте выборочную установку, чтобы отказаться от ненужного программного обеспечения. Также не скачивайте «пиратское» (нелицензионное) программное обеспечение, потому что оно может содержать вредоносный код.
Источник: pomogaemkompu.temaretik.com