История компьютерных вирусов

 image

Стартап StopTheHacker завершил первый раунд финансирования и объявил о запуске коммерческих SaaS-услуг по безопасности вебсайтов.

Размер инвестиций составил 1,1 миллион долларов США от государственных и частных инвесторов, в число которых вошли фонд Runa Capital и Брайан Несмит, бывший президент компании Blue Coat.

image

Мы настолько привыкли к вирусам, что сложно даже представить себе интернет без вредоносного софта. Но мало кто отдает себе отчет, каких масштабов достигла проблема.

«Мы инвестировали в StopTheHacker, потому что они представляют собой будущее рынка услуг по безопасности, – говорит представитель фонда Runa Capital. – Технология StopTheHacker – это новый тип защиты вебсайтов, жизненно необходимый для большинства современных бизнесменов. Они будут точно уверены в том, что их сайты, интернет-магазины и клиенты постоянно находятся под надежной защитой. При этом не нужны никакие дополнительные программы или оборудование».

На сегодняшний день более 75% сайтов довольно уязвимы. Каждый день шесть тысяч сайтов попадают в черный список Google из-за неумышленного заражения вредоносными программами. В общей сложности ими заражено от 2,5% до 5% всех вебсайтов, что совпадает с данными о зараженности компьютеров вирусами десять лет назад. Существующие антивирусные решения могут обезвредить только 40% распространяющегося в сети вредоносного ПО: ситуация в области сетевых угроз постоянно меняется, и более 100 миллионов сайтов не имеют достаточной защиты.

image

«Защита интернет-сайтов – это направление будущего для информационной безопасности, — говорит Брайан Несмит, бывший президент Blue Coat. – Я вложил свои деньги в StopTheHacker, потому что их технология — это прорыв в своей области. Она не использует стандартные методы защиты, основанные на сигнатурах; система искусственного интеллекта (ИИ) постоянно отслеживает новые разновидности вредоносного ПО и выстраивает профиль возникающих угроз. Сегодня, в условиях постоянно изменяющихся интернет-угроз, это насущная необходимость».

Система искусственного интеллекта StopTheHacker была создана после четырех лет исследований в Университете Калифорнии и изначально финансировалась Национальным научным фондом США. Она самостоятельно адаптируется к ситуации, постоянно отслеживая новое вредоносное ПО и создавая профиль возникающих угроз. Это позволяет сервисам StopTheHacker определять атаки нулевого дня, предпринятые ранее неизвестными программами. Эта простая, эффективная и экономически выгодная SaaS-модель не требует ни найма специалистов, ни установки дополнительных программ или оборудования.

«Число веб-серверов растет очень быстро, и, соответственно, увеличивается количество попыток хакеров, как опытных, так и неопытных, нажиться на слабых местах в защите сайтов. Это очень распространенная проблема. Ущерб, нанесенный торговой марке, репутации и отношениям с клиентами, означает серьезные убытки для облачных и онлайн-бизнесов, — говорит Петер Йенсен, руководитель стартапа. – Сотрудничая со StopTheHacker, веб-хостеры и поставщики услуг смогут снизить связанные с атаками хакеров расходы на дата-центры и техподдержку, а также поддерживать безопасность инфраструктуры для своих клиентов».

image

Вирусы, черви, трояны и ботнеты эволюционируют с невероятной скоростью, умнеют и системы защиты. Но в общем, вся сеть сегодня — это линия фронта. Пока сидишь за броневой плитой брандмауэров и антивирусов, этого можно не замечать. Но попробуйте выйти в сеть на системе хотя бы годичной давности и как следует прогуляться по сети — очень быстро ваш компьютер будет взломан и заражен, ваши личные данные утекут в сеть и сверх того вы еще примете участие в рассылке спама и дос-атаке.

По статистике, более трети всех подключенных к интернету компьютеров заражены вирусами, червями или ботнетами. Бороться с этим бесполезно — открытая архитектура интернета идеально подходит для вирусов, и в будущем эту проблему решат радикально — каждый пользователь будет хранить у себя локальную копию интернета, а в он-лайн выходить только по необходимости и в бронированном скафандре.

Угроза настолько велика, что в мае 2011 года президент США Барак Обама подписал распоряжение о формализации и регламентации кибератак как вида военных действий. Выведение из строя компьютеров при помощи вирусов и террористических спецподразделений приравнено к военной агрессии. Соответственно кибератаки противника приравниваются к военному нападению и отныне могут быть признаны основанием для начала полномасштабной войны.

image

По оценкам экспертов, в 2013 году на защиту от кибератак Вашингтону придется истратить 10,7 млрд. долл. В 2008 году на эти цели ушло 7,4 млрд. долл. В самое ближайшее время практически такую же сумму Белому дому придется выделить и на обеспечение киберзащиты электросетей и других объектов национальной инфраструктуры гражданского назначения.

Вот итог полувековой истории интернета — его создали в 1969 году для защиты от военного нападения, а в 2011 году эта сеть сама стала главной целью противника. Больше всех по теме «интернет-войны» преуспели немцы — не имея своей армии, большую часть оборонного бюджета ФРГ направляла на развитие информационных технологий.

image

Всего один пример. В 1980 году выходит основательное исследование Ричарда Кларка «Технологический терроризм». В книге достаточно подробно, с большим упреждением описываются все направления терроризма начала ХХI века. Большое внимание уделяется атакам на ЭВМ. Это писалось еще до начала эры персональных компьютеров, когда не существовало самого понятия вирусов. По иронии судьбы, работы Кларка сыграли большую роль в рассредоточении накопителей информации и создании сети Интернета, что как раз породило идеальную среду для вирусных атак. Уже через год после выхода книги в Германии появляется знаменитый Chaos Computer Club, специализирующийся на «работе» с вирусами.

image
Логотип ССС на захваченном хакерами конгресхаусе в честь 20-летия группы.

Международную известность клуб получил в 1989 году, когда группа хакеров под руководством Карла Коха была арестована за проникновение в корпоративные сети правительства США. Обвинение утверждало, что хакеры похитили исходные коды военной операционной системы и передали их КГБ. Однако дело быстро замяли из-за исчезновения обвиняемых. Позднее их обгоревшие останки были найдены в лесу у города Целле. Уголовное дело не возбуждалось, т.к. полиция Германии сразу признала гибель Коха суицидом.

image
Карл Кох при жизни.

О ССС сняты десятки фильмов и написаны сотни книг, влияние клуба не имеет аналогов — его члены входят в правительственные структуры и занимали видные посты даже в ICANN.

Конкретно же история вирусов начиналась, как и положено, невинным экспериментом.

1988 — выстрелы в воздух

2 ноября сын эксперта АНБ по компьютерной безопасности Роберт Моррис решил проверить, что будет, если к обычному вирусу добавить немного хаоса и включить функцию хаотичного самокопирования. До этого момента вирусы не копировали себя, если обнаруживали, что машина уже инфицирована. Поэтому админы просто подсовывали вирусу его муляж и тот успокаивался. Моррис же просто добавил таймер, по которому вирус безусловно копировал себя и тем самым продолжал размножаться незаметно для админов с их болванками.

image
Trololo-man собственной персоной.

Это была бы обычная самокопирующаяся программа, если бы Моррис был прилежным студентом, но… Незначительная логическая ошибка в коде программы привела к катастрофе. Компьютеры многократно заражались червём, и каждый дополнительный экземпляр замедлял работу компьютера быстро исчерпывая ресурсы. Очень быстро вирус вырвался за пределы стен родного универа.

Червь использовал давно известные уязвимости в почтовом сервере Sendmail, сервисах Finger, rsh/rexec с подбором паролей по словарю. Словарь был небольшой — всего лишь около 400 ключевых слов, но в конце 1980-x о компьютерной безопасности мало кто задумывался, и имя учётной записи (обычно реальное имя пользователя) часто совпадало с паролем.

Червь использовал также маскировку, дабы скрыть своё присутствие в компьютере: он удалял свой исполняемый файл, переименовывал свой процесс в sh и каждые три минуты ветвился.

Эпидемия поразила около шести тысяч узлов ARPANET. В институт Беркли со всей страны были приглашены лучшие специалисты по компьютерной безопасности того времени для нейтрализации последствий вредоносного действия вируса. Но им так и не удалось вычислить автора чудесного вируса.

image
Дискета с исходным кодом червя Морриса, хранящаяся в Музее Науки в Бостоне.

Однако его отец, компьютерный эксперт Агентства национальной безопасности, доходчиво объяснил, что сыну лучше во всём сознаться. Суд приговорил его к трём годам условно, 10 тысячам долларов штрафа и 400 часам общественных работ.

Червь Морриса стал отправной точкой в компьютерной безопасности. Именно после него разработчики придумали /etc/shadow, а также паузы после неправильного ввода пароля.

Именно эти события легли в основу фильма Хакеры. Интернет из тыловой службы министерства обороны США превратился в линию фронта.

1998 — проба пера

Как сейчас помню радость, что интернет в этом году еще был роскошью и я подключался к нему лишь урывками и то после двух часов ночи. Мои менее экономные друзья тогда серьезно раскошелились на покупку новых материнок. Думаю, многие читатели еще помнят знаменитый WIN.CIH. 26 числа каждого месяца он необратимо портил flash-память на материнской плате.

image

26 апреля 1999 года, в годовщину Чернобыльской аварии вирус активизировался и уничтожил данные на жёстких дисках. На некоторых компьютерах было испорчено содержимое микросхем BIOS. Именно совпадение даты активации вируса и даты аварии на ЧАЭС дали вирусу второе название — «Чернобыль», которое в народе даже более известно, чем «CIH». По различным оценкам, от вируса пострадало около полумиллиона персональных компьютеров по всему миру.

Вирус был написан в Тайване студентом Чэнь Инхао (родился 26 апреля 1975 года) и в течение мая-июня 1998 г. разослан в ряд электронных конференций Интернет. 27 июня сообщения о повреждениях, нанесенных этим вирусом, поступили из Юго-Восточной Азии, из США и ряда других стран. У нас этот вирус также обнаружен — в середине лета 1998 г. в Москве и в Новосибирске.

image
Чэнь Инхао за работой.

При заражении файлов вирус ищет в них «дыры» (блоки неиспользуемых данных) и записывает в них свой код. Присутствие таких «дыр» обусловлено структурой PE-файлов: позиция каждой секции в файле выровнена на определенное значение, указанное в PE-заголовке, и в большинстве случаев между концом предыдущей секции и началом последующей есть некоторое количество байт, которые не используются программой. Вирус ищет в файле такие неиспользуемые блоки, записывает в них свой код и увеличивает на необходимое значение размер модифицированной секции. Размер заражаемых файлов при этом не увеличивается.

Но главное отличие вируса было в другом. Он первым научился инфицировать не только компьютеры, но и вебсайты — а именно массу игровых серверов в США, откуда копии игр разошлись по всему миру. В начале осени того же года вышли и разбежались по СНГ пиратские CD с популярными компьютерными играми, зараженные этим вирусом.

Благодаря заражению сайтов эпидемия приобрела глобальный характер — были уничтожены даже компьютеры не подключенные к сети. Ущерб от Чернобыля составил $80 миллионов.

1999 — социализация

В пятницу, 26 марта 1999 года, W97M/Melissa стал главной темой в интернете и мировых СМИ. По приблизительным оценкам, вирус поразил не менее 20% всех деловых PC. Вирус распространялся настолько быстро, что Intel, Microsoft и другие корпорации, которые использовали Outlook, были вынуждены отключить свои e-mail сервера, чтобы хоть каким-то образом воспрепятствовать распространению заражения.

image

Развивая успех WIN.CIH, вирус использовал Microsoft Outlook для отсылки самого себя на 50 адресов из списка контактов пользователя. Таким образом, жертва сама предоставляла базу данных для заражения. Ущерб от вируса составил $600 миллионов.

Однако Мелисса мало чему научила пользователей, всего через год свет увидел самый разрушительный вирус в истории — ILOVEYOU. Также известный как Loveletter и The Love Bug. Распространение было сколь бесхитростным, столь и гениальным: email с темой “ILOVEYOU” и вложением “Любовное письмо для вас” – файлом TXT.vbs. После выполнения скрипта, подобно Melissa, вирус рассылал себя по контактам Microsoft Outlook.

image

Вирус даже попал в книгу рекордов гиннеса как самый разрушительный в истории, поразив более трех миллионов компьютеров по всему миру и нанеся ущерба на $15 миллиардов.

2001 — атака на сервера

После неимоверного успеха «почтовых вирусов» антивирусные компании закрывают дыры в безопасности и вирусы переключаются на публичные сайты и сервера. Собственно с 2001 года и можно отсчитывать современную эпоху в компьютерной безопасности. Один за одним идут «серверные вирусы»:

Code red — вирус, использующий уязвимости Microsoft Internet Information Server. Также известный как Bady, Code Red предназначался для нанесения максимального ущерба, все зараженные им сайты выглядели соответственно:

image

После этого вирус начинал поиск других уязвимых сайтов. Приблизительно через 20 дней все веб сайты должны были начать DDoS (distributed denial of service) атаку на определенные IP адреса, включая Web-сервер Белого Дома. Меньше чем через неделю, вирус заразил около 400,000 серверов. Ущерб составил $3 миллиарда.

2003 — заражение сайтов

Сразу два червя начинают массовое заражение интернет-сайтов: Blaster и Sobiq. За первые же сутки Собик производит более миллиона собственных копий. Цель вируса — получить все возможные электронные адреса хранящиеся на компьютере и передать им свою копию. Ну а MSBLAST.exe не нуждается в представлении, думаю, все помнят его в лицо:

image

Главной задачей мсбласта была DDOS атака на сайт windowsupdate.com — все зараженные машины с 16 августа начинают беспрерывно отправлять запросы на обновление системы и сайт падает, не выдержав нагрузки.

Совокупный ущерб от червей составил $20 миллиардов. Microsoft объявило награду в 250,000 $ для любого, кто может предоставить информацию о создателе Sobiq.F. Ищут до сих пор. Побочным эффектом обоих червей стал колосальный рост интернет-траффика. Этот эффект нашел свое применение уже в следующем году.

2004 — интернет останавливается

Неизвестная группа хакеров запускает цепную реакцию из трех коварных червей. 18 января интернет поражает 100 модификаций червя Bagle. Он рассылает себя по почте как и Собик, но при этом на зараженном компьютере открывается доступ к порту TCP, который может использоваться для выуживания злоумышленником любой интересующий его информации. Все копии вируса самоуничтожаются 28 января 2004 года.

А уже 26 января начинается эпидемия MyDoom. Распространялся по почте и через пиринговую сеть Kazaa. Но в этот раз эффект почувствовали не только пораженные машины — на пике эпидемии червь увеличил загрузку интернета на 10 процентов, а время загрузки Web-сайтов на 50%.

image

Результат был настолько успешен, что в первые часы инфицирования на каждые 10 отосланных писем приходилось одно инфицированное этим вирусом. MyDoom был запрограммирован на прекращения своего распространения после 12 февраля 2004 года.

30 апреля интернет добивает третий червь — Sasser. Используя уязвимости Windows 2000 и XP вирус достиг значительных успехов и вызвал отключение спутниковой связи для нескольких французских новостных агентств. Также этот вирус вызвал отмену нескольких авиарейсов копании Delta Airline и отключение компьютеров многих компаний во всем мире. После успешного копирования, червь начинал поиск других незащищенных систем и копировал себя. Зараженные этим вирусом компьютеры отличались редкой нестабильностью работы и частыми перезагрузками, вызванными в сбое процесса lsass.exe:

image

В итоге расследования автором вирусов был назван 17-летний школьник из Германии, запустившим мировую эпидемия в качестве подарка себе на день рождения. Из-за несовершеннолетия он избежал какого-либо наказания.

С этого момента эксперты перестают подсчитывать ущерб от вирусов, т.к. суммы переваливают за десятки и сотни миллиардов долларов.

В ноябре 2004 года появляется и первый червь распространяющийся только через веб-сайты. Santy был написан на скриптовом языке Perl и использующий уязвимости форумов на phpBB. Вирус просто отправлял в гугл запрос, содержащий строку «Powered by phpBB», и получал таким образом адреса атакуемых форумов. Затем, сформировав некорректный запрос к файлу viewtopic.php, получал возможность выполнять на сервере произвольный код и заменял содержимое всех файлов с расширением asp, htm, jsp, php, phtm, shtm на «This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation X», где X — номер поколения червя.

image

Уже за сутки с момента своего появления 20 декабря 2004 червём было удачно атаковано 40 тысяч сайтов. На вторые сутки Google уже не проводил поиск по фразе «Powered by phpBB». После этого появились модификации червя, использующие другие поисковые системы.

2007 — эра ботнетов

Теперь вирусы не просто инфицируют сайты, они создают ботнеты и защищают их. Червь Storm появился 17 января 2007 года и только за первую неделю заразил два миллиона компьютеров.

По инерции Storm называют «червём», хотя на самом деле эта зараза комплексного характера, и помимо метода распространения, характерного для почтовых червей, Storm Worm имеет функции трояна/бэкдора, а также может выполнять роль «DDoS-бота» — программы, используемой для проведения DDoS-атак.

image

Но главной проблемой является даже не сам червь, а созданная им сеть заражённых компьютеров. Её точные размеры точно не известны, но по некоторым оценкам, количество компьютеров-«зомби» уже перевалило за несколько десятков миллионов. Таким образом, совокупная вычислительная мощь ботнета, созданного Storm, может в разы превосходить самые мощные суперкомпьютеры планеты.

Известный специалист в области компьютерной безопасности Брюс Шнайер в октябре утверждал, что размеры ботнета по-прежнему колеблются между 1 и 50 миллионами. По мнению Шнайера, Storm — это будущее вредоносных программ как таковых. Ботнет Storm ведёт себя как колония муравьёв с чётким распределением ролей между машинами.

Эпидемия червя началась с компьютеров в Европе и Соединенных Штатах 19 января 2008 года, когда, прикрываясь темой урагана в Европе, пользователям повалились письма с предложением открыть вложенный файл с названиями Full Clip.exe, Full Story.exe, Read More.exe или Video.exe.

image

Все попавшиеся на удочку машины автоматически объединялись в ботнет, но в отличие от других сетей, он не использовал специальный управляющий сервер, доступ к которому легко перекрыть. Принцип управления Storm больше напоминает пиринговую сеть, в которой зараженные ноды подключаются к своему управляющему хосту (он руководит обычно 30-45 зомби), а хосты взаимодействуют между друг другом. Причем роль хоста в случае необходимости может занять любая из нод. Вся сеть устроена так, что полного списка нодов нет ни у кого, поэтому точные размеры ботнета так и остались загадкой.

Помимо функций по работе с ботнетом, Storm устанавливает в системе руткит: Win32.agent.dh, посредством которого держатели ботнета могли стащить любую конфиденциальную информацию, рассылать спам и устраивать мощные DDoS-атаки.

Как утверждает Джош Корман, сотрудник подразделения IBM Internet Security Systems, червь Storm отслеживает IP-адреса, с которых совершаются попытки зондирования его управляющих серверов, и организует DDoS-атаки на эти адреса. По словам эксперта, в результате исследователи, которым удалось собрать какие-то факты о Storm, боятся их публиковать.

2010 — это война

image
Иранское руководство любуется новенькими центрифугами Siemens.

Этот год стал поворотным пунктом в истории компьютерной безопасности, т.к. вирус Stuxnet вывел из строя атомную программу Ирана. Используя уязвимость Microsoft Windows, вирус заражал компьютеры, но ничем себя не выдавал — его целью были контроллеры марки Simatic Step 7, использующиеся в центрифугах для обогащения урана. Stuxnet скрытно прописывает себя на программируемые чипы (их используют для контроля за производством), маскируется и убивает какой-то важный процесс. Не случайный процесс, а возвращающий определенный код. К сожалению, что этот код значит, пока неизвестно. Но именно в 2009-2010 годах на иранских урановых фабриках начались массовые поломки центрифуг, приведшие к остановке всей ядерной программы.

Причем для создания вируса явно были приложены усилия крупной организации с неограниченным бюджетом. Вирус занимает полмегабайта кода на ассемблере, С и С++. Более того — вирус был подписан краденой цифровой подписью. Злоумышленники скорее всего украли подписи из тайваньских отделений фирм MicronJ и RealTek. Странный факт, но офисы этих фирм находятся в одном и том же здании в городе Шинчу. Если это не простое совпадение, то это значит кто-то физически проник в комнаты, зашел на соответствующие компьютеры, выкрал ключи. Тут уже никак не списать произошедшее на действия школьника-одиночки.

image

Как говорится, добро пожаловать в XXI век.

habrahabr.ru/company/runacap/blog/138171/

Вверх