Вредоносные программы
последствия кибератак
1.62M
Category: informaticsinformatics

5ЛК 5 (1)

1.

КАЗАНСКИЙ ГОСУДАРСТВЕННЫЙ
ЭНЕРГЕТИЧЕСКИЙ УНИВЕРСИТЕТ
Лекция №5
ВИДЫ УГРОЗ
ОСНОВЫ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
Лектор: Зарипова Римма Солтановна

2.

ВИДЫ УГРОЗ
Самые
распространенные
угрозы как для
отдельных
пользователей,
так и для
предприятий:
(слайд не писать)

3. Вредоносные программы

ВРЕДОНОСНЫЕ ПРОГРАММЫ
По способу распространения и вредоносной
нагрузки вредоносные программы делятся на 4 типа:
компьютерные вирусы;
черви;
трояны;
другое вредоносное ПО и спам (нежелательная
корреспонденция).
Вредоносные программы постоянно эволюционируют. Основной тенденцией
их развития является полиморфизм (способность, когда одна команда
выполняет разные действия в зависимости от того, с каким объектом она
работает). Сегодня сложно провести границу между вирусом, червем и
троянской программой – они используют почти одни и те же механизмы.
Небольшая разница заключается лишь в степени этого использования.

4.

Первый в истории компьютерный вирус под названием
«Creeper» был написан Бобом Томасом из компании BBN
Technologies в 1971 году. Creeper был экспериментальной
самовоспроизводящейся программой, которая не имела
никакого злого умысла. Она лишь отображала простое
сообщение: "Я - Крипер. Поймай меня, если сможешь!«
В 1986 году Амджад Фарук Алви и Басит Фарук Алви
написали первый вирус для ПК – это был вирус для
загрузочного сектора под названием «Brain», чтобы
предотвратить
несанкционированное
копирование
созданного ими программного обеспечения. Brain считается
первым компьютерным вирусом для IBM PC и совместимых
компьютеров.

5.

Вредоносные действия вредоносных программ. Они могут:
• блокировать доступ к ОС или ПО;
• изменять, удалять и шифровать данные;
• запоминать вводимые пароли, посещаемые ресурсы, открываемые
документы;
• извлекать почтовые адреса из документов и отправлять их спамерам
или самостоятельно производить рассылку вируса;
• нарушать работу банковских и др. финансовых программ, получать из
них персональные данные и отправлять их злоумышленникам;
• размножаться через эл. почту, локальную сеть, интернет, онлайн-игры,
информационные носители, службы мгновенного обмена сообщениями,
заражённые файлы и пр.;
• скачивать новые вирусы, превращать устройство в рассадник вирусов;
• сильно замедлять или полностью останавливать работу ОС и ПО;
• тайно использовать ресурсы компьютера, например, рассылать спам;
• звонить на платные телефонные номера, рассылать платные смс.

6.

1. КОМПЬЮТЕРНЫЕ ВИРУСЫ
Компьютерный вирус – это программа, способная
самопроизвольно внедряться и внедрять свои копии
в другие программы, файлы, системные области
компьютера и в вычислительные сети с целью
создания
всевозможных
помех
работе
на
компьютере.
Компьютерные вирусы наносят ущерб системе за счет
быстрого размножения и разрушения среды обитания.
Они пишутся специально для получения доступа к
компьютеру без разрешения его владельца с целью
кражи или уничтожения компьютерных данных.

7.

Тем или иным способом вирусная программа попадает в ПК и
заражает файлы, ПО. Программа, внутри которой находится вирус,
называется зараженной. Когда зараженная программа начинает
работу, то сначала управление получает вирус. Вирус находит и
заражает другие программы, а также выполняет вредоносные действия.
Например, портит файлы и т.д.
После того, как вирус выполнит свои действия, он передает
управление той программе, в которой он находится, и она работает
как обычно. Тем самым внешне работа зараженной программы
выглядит так же, как и незараженной. Поэтому далеко не сразу
пользователь узнаёт о присутствии вируса в машине.
Многие разновидности вирусов устроены так, что при запуске
зараженной программы вирус остается в памяти ПК и время от времени
заражает программы и выполняет нежелательные действия на ПК. Пока
на ПК заражено относительно мало программ, наличие вируса может
быть практически незаметным.

8.

Большинство систем заражаются вирусами из-за ошибок в ПО,
уязвимости ОС и плохой защиты. По данным независимой
организации, занимающейся анализом и оценкой антивирусного и
защитного ПО, каждый день обнаруживается около 560 000 новых
вредоносных программ.
Существуют различные типы компьютерных вирусов, которые
можно разделить на категории в зависимости от происхождения,
возможностей распространения, мест хранения, заражаемых
файлов и разрушительной природы.
ОСНОВНЫЕ ПРИЗНАКИ ВИРУСА:
способность к саморазмножению;
скрытность;
деструктивность (разрушение / нарушение структуры).

9.

Жизненный цикл вируса включает 4 этапа:
проникновение на устройство;
активация;
поиск объектов для заражения;
подготовка и внедрение копий.
Путями проникновения вируса могут служить все каналы,
по которым можно скопировать файл. Заражение вирусом
возможно, если пользователь каким-либо образом его
активировал, например, скопировал или получил по почте
зараженный файл и сам его запустил или просто открыл.
Заражение вирусом обычно происходит при открытии
или запуске зараженного файла, программы, вредоносного
вложения.

10.

ПРИЗНАКИ ЗАРАЖЕНИЯ
• прекращение работы или неправильная работа ПО,
• медленная работа компьютера,
• невозможность загрузки ОС,
• исчезновение файлов и каталогов,
• искажение содержимого файлов и каталогов,
• изменение размеров файлов, их времени
модификации,
• уменьшение размера оперативной памяти,
• посторонние сообщения, изображения, звуковые
сигналы,
• частые сбои и зависания компьютера и др.

11.

Классификация вирусов по способу заражения
• Резидентные – при заражении ПК оставляют в
оперативной памяти свою резидентную часть,
которая
потом
перехватывает
обращение
операционной системы к объектам заражения
(файлам, загрузочным секторам дисков и т. п.) и
внедряется в них. Резидентные вирусы находятся в
памяти и являются активными до выключения или
перезагрузки ПК.
• Нерезидентные – не заражают память ПК и
являются активными ограниченное время.

12.

Классификация по деструктивным воздействиям
• Безвредные – не наносят вред работе ПК, кроме
расхода свободной памяти на диске из-за своего
распространения. В них реализован только механизм
самораспространения.
• Неопасные – не наносят вред ПО, не мешают работе
ПК, но уменьшают свободную память на диске.
Появляются разные эффекты (звук, видео).
• Опасные – приводят к серьезным сбоям в работе ПК.
Разрушают ПО и данные.
• Очень опасные – могут приводить к разрушению и
потере ПО, данных, стиранию информации в системных
областях дисков и необходимой для работы ПК.

13.

Классификация вирусов по особенностям алгоритма
• Паразиты – изменяют содержимое файлов и
секторов, легко обнаруживаются.
• Черви – вычисляют адреса сетевых компьютеров и
отправляют по ним свои копии.
• Стелсы

перехватывают
обращение
ОС
к
пораженным файлам и секторам и подставляют вместо
них чистые области.
• Мутанты

содержат
алгоритм
шифровкидешифровки, ни одна из копий не похожа на другую.
• Трояны – не способны к самораспространению, но
маскируясь под полезное ПО, разрушают загрузочный
сектор и файловую систему.

14.

Классификация по методу маскировки
• Шифрованные – используют шифрование для
сокрытия своего основного тела, меняя ключ шифрования
при каждом заражении, что позволяет маскировать сигнатуру
(характерные признаки).
• Полиморфные – сочетают шифрование с изменением
кода дешифратора, делая каждую копию вируса
уникальной, но сохраняя начальный функционал после
распаковки.
• Метаморфные – не используют
шифрование, а
переписывают свой код, используя методы перестановки,
вставки мусорных инструкций и изменения регистров.

15.

Классификация вирусов по среде обитания
• Сетевые – распространяются по различным
компьютерным сетям.
• Файловые – внедряются в исполняемые модули
(COM, EXE).
• Загрузочные – внедряются в загрузочные сектора
диска или сектора, содержащие программу загрузки
диска.
• Файлово-загрузочные – внедряются в загрузочные
сектора и в исполняемые модули.
• Макровирусы

внедряются
в
макросы
приложений (Word, Excel, др. офисные программы)

16.

17.

Вирусы, заражающие файлы, называются файловыми.
Вирус в зараженных исполняемых файлах начинает свою
работу при запуске той программы, в которой он находится.
Наиболее опасны те вирусы, которые после своего запуска
остаются в памяти резидентно, то есть они могут заражать
файлы и выполнять вредоносные действия до следующей
перезагрузки компьютера. А если они заразят любую
программу из автозапуска компьютера, то и при перезагрузке с
жесткого диска вирус снова начнет свою работу.
Файловые вирусы внедряются в файлы или создают
файлы-двойники (компаньон-вирусы), или используют
особенности организации файловой системы (linkвирусы) и заражают файлы.

18.

Загрузочные
вирусы
заражают
загрузочные
сектора жестких дисков и мобильных носителей.
Такой вирус начинает свою работу при начальной
загрузке компьютера и становится резидентным, т.е.
проникает в основную память и постоянно находится в
памяти компьютера. За счет качественной шифровки их
сложно выявить и удалить. Вирусы нарушают процесс
загрузки, делают работу ОС нестабильной, блокируют
жесткие диски.
Примеры: Stone, Form, Ping Pong, Disk Killer.

19.

Макровирусы заражают макропрограммы и файлы
документов систем обработки информации: Word,
Excel, Office. В этих системах вирусы получают
управление при открытии / закрытии зараженного файла,
перехватывают стандартные файловые функции и затем
заражают файлы, к которым идет обращение. Многие
макровирусы резидентны: они активны не только в
момент открытия / закрытия файла, но и до тех пор, пока
активен сам редактор. Для размножения макровирусы
используют возможности макроязыков и при их помощи
переносят себя из одного зараженного файла в другие.
Пример: вирус Win32/Conficker, атаковавший ОС
Windows.

20.

Сетевые вирусы распространяются через компьютерные
сети и интернет, используя протоколы или команды сетей и
электронной почты. Сетевые вирусы «живут» в интернете и
попадают в компьютер, когда пользователь загружает с сервера
заражённый вирусом файл. Они проникают в память компьютера
из компьютерной сети, вычисляют сетевые адреса других
компьютеров и рассылают по этим адресам свои копии. Такие
вирусы могут создавать рабочие файлы на дисках системы, но
могут вообще не обращаться к ресурсам компьютера (за
исключением оперативной памяти).
Пример: XMasTree, Вирус Морриса (Internet Worm) и др.
ILOVEYOU — классический почтовый червь, рассылал свои
копии по адресным книгам пользователей. Code Red атаковал вебсерверы, используя уязвимости в протоколе HTTP.

21.

ПРИМЕРЫ КОМПЬЮТЕРНЫХ ВИРУСОВ
Зомби – это вид вирусов, позволяющий хакерам
управлять
устройствами
без
разрешения
их
владельцев. При попадании в ПК они могут долго себя не
проявлять пока не поступит команда от управляющей
программы. Она «будит» вирус и он начинает атаки,
которые заключаются в нанесении вреда системе или
рассылке спама. Заражение ПК идет постепенно до тех
пор, пока в ПК не будет нужный объем вирусов Зомби для
поражения запланированных целей. Вредоносное ПО
способно атаковать крупные компании, сети различных
предприятий и организаций.
Известные примеры Зомби: Andromeda, Mirai и ZeuS.

22.

ПРИМЕРЫ КОМПЬЮТЕРНЫХ ВИРУСОВ
Руткиты – специальные программы-маскировщики,
цель которых скрыть деятельность других вирусов и
активность преступников. Для этого руткиты используют
разные ухищрения. Например, изменяют работу ОС,
отключают / запускают разные функции, блокируют
антивирусные ПО, чтобы они не нашли маскировщика в
ПК. Используется киберпреступниками для получения
контроля над целевым компьютером или сетью. Руткиты
могут внедряться на разных уровнях системы — от
пользовательских приложений до ядра ОС, что делает их
обнаружение крайне сложным.
Самые известные вирусы Rootkit: Stuxnet, TDL-1 и TDL-2.

23.

2. ПРОГРАММЫ-ВЫМОГАТЕЛИ
Это вредоносное ПО, блокирующее доступ к файлам, системе и
вымогающие у пользователей деньги за разблокировку. Пример:
WannaCry, который шифровал файлы и требовал выкуп в
криптовалюте.
Наиболее распространенные пути заражения программами-вымогателями –
это
посещение
вредоносных
веб-сайтов,
загрузка
вредоносных
вложений и небезопасные надстройки, загружаемые вместе с программами.
Достаточно одного неосторожного действия, чтобы стать жертвой программывымогателя. Очевидно, что изменение расширений файлов, повышенная
активность процессора и другая сомнительная активность на компьютере
могут говорить о заражении.
При удалении программы-вымогателя доступны 3 варианта. Первый –
заплатить выкуп, что категорически не рекомендуется. Поэтому лучше
попытаться удалить программу-вымогатель с устройства. Если это не удалось, то
остается только сбросить настройки гаджета до заводских.

24.

3. ТРОЯНСКИЙ КОНЬ
Это программа, скрывающая свою зловредность под
видом полезного ПО. После проникновения на ПК троян
активируется с помощью действий пользователя или через
уязвимости в ПО самостоятельно заражает систему. Обычно
трояны маскируются под игровые или развлекательные
программы и наносят вред под красивые картинки или музыку.
Трояны обычно не размножаются самостоятельно, а требуют
запуска пользователем. Они крадут данные, шпионят или
открывают удаленный доступ хакерам. Деструктивные
функции: уничтожение, перехват и передача информации,
изменение кода ПО. Признаки заражения: замедление работы
ПК, появление неизвестных файлов, самопроизвольное открытие
окон, странная активность сети.

25.

Трояны имеют только одно назначение – нанести ущерб
целевому ПК путем выполнения несанкционированных
пользователем действий: кражи, порчи или удаления
конфиденциальных данных, нарушения работоспособности ПК
или использования его ресурсов в неблаговидных целях.
Трояны прячутся в безвредных программах. Они неопасные
пока пользователь их не запустит. Поэтому их сложно выявить
до начала активной деятельности.
Трояны наносят существенный вред ПК.
Самостоятельно размножаться они не могут до того
момента пока жертва сама не впустит «коня» в систему.
Пример: троян Zeus для кражи банковских данных.
Trojan Plug x, Trojan.Yontoo.1 и Trojan.Hosts.

26.

Классификация троянов по типу вредоносной нагрузки
похитители паролей – предназначены для кражи паролей
путем поиска на зараженном ПК специальных файлов, которые их
содержат;
утилиты скрытого удаленного управления – это трояны,
которые обеспечивают несанкционированный удаленный
контроль над заражённым ПК. Это даёт возможность скрытно
загружать, отсылать, запускать или уничтожать файлы;
логические бомбы – способны при срабатывании
заложенных в них условий (в конкретный день, время суток, в ответ
на определенное действие пользователя или команды извне)
выполнять какое-либо действие, например, удаление файлов;
клавиатурные шпионы – постоянно находясь в оперативной
памяти, записывают все данные, поступающие от клавиатуры, с
целью последующей их передачи мошенникам;

27.

с анонимным SMTP- и прокси-сервером – троян
превращает зараженный ПК в машину скрытой рассылки
спама и незаконной деятельности от чужого имени.
утилиты дозвона – в скрытом от пользователя режиме
инициируют подключение к платным сервисам Интернета;
модификаторы настроек браузера – меняют стартовую
страницу в браузере, страницу поиска или еще какие-либо
настройки, открывают дополнительные окна, имитируют
нажатия на рекламные баннеры и т.п.;
организаторы DDoS-атак – трояны наносят вред
другим
удаленным
ПК
и
сетям,
не
нарушая
работоспособности зараженного ПК.

28.

4. ФИШИНГ
Это атаки, в которых злоумышленники выдают себя
за надежные организации с целью получения
конфиденциальной информации (например, паролей от
почты,
кредитных карт). Фишинг представляет
собой рассылку писем, похожих на рекламу и
сообщения от авторитетных источников. При переходе
по ссылке пользователь попадает на поддельный сайт, где
требуется ввести информацию для входа в аккаунт. В итоге
мошенники могут получить доступ к личным данным.
Пример: поддельные электронные письма от банков с
просьбой предоставить логины и пароли или от
известных магазинов о розыгрыше призов и подарков.

29.

РАЗНОВИДНОСТИ ФИШИНГА
Байтинг – атаки, побуждающие жертв перейти по ссылке
в письме или сообщении без запугивания. Метод основан на
заманчивом предложении и любопытстве жертвы. Они обещают
призы и выгодные предложения. Пример, пользователю может
прийти письмо от Apple с поздравлением и сообщением о выигрыше
новой модели iPhone. Сложно удержаться и не перейти по ссылке,
чтобы получить приз.
Фарминг – атака, направленная на получение личных данных
через поддельные сайты. Это атака, при которой даже не нужно
кликать по ссылке. Пользователя автоматически перенаправляют
на поддельный сайт, даже если он зашёл по проверенной
ссылке. Это происходит из-за вируса, который устанавливает
вредоносный код на DNS-сервер. При вводе пароля или данных
карт мошенники легко их похищают.

30.

РАЗНОВИДНОСТИ ФИШИНГА
Смишинг (Smishing = sms+phishing) – это SMS-фишинг.
Мошенники отправляют смс с вредоносными ссылками под
видом банков, почтовых служб или госструктур, заставляя перейти по
ссылке и ввести данные.
Вишинг (Vishing = voice+phishing) – это голосовой фишинг.
Злоумышленники звонят жертве, часто используя роботаавтоответчик, и выдают себя за сотрудников службы безопасности,
техподдержки, чтобы выудить пароли, коды, выманить деньги.
Помни! В любой непонятной ситуации главное не паниковать.
Всегда всё можно проверить. Вежливо попрощайтесь с собеседником
и позвоните на телефон организации, представителем которой
назвался звонивший.
Смишинг и вишинг используют коммуникацию, байтинг –
любопытство, фарминг – техническую подмену инфраструктуры

31.

5. СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ
Использование психологических методов для манипуляции
людьми с целью получения конфиденциальной информации,
побуждение другого человека к действию в чьих-то интересах.
Пример: обман пользователей с целью получения доступа к ресурсам
через телефонные звонки.
Суть социальной инженерии заключается в применении только психологических методов
воздействия на людей, убеждения, внушения доверия и хитрости. В основе методов всегда лежит
манипулирование базовыми эмоциями человека: страхом, жадностью, эмпатией.
Основная задача социального инженера — «подобрать ключ» к каждому человеку и сыграть на
его чувствах и эмоциях так, чтобы он забыл про осторожность и совершил нужные
злоумышленнику действия. В результате успешных атак с применением методов социальной
инженерии жертва добровольно и обычно без подозрений предоставляет злоумышленнику
важные данные (логины и пароли от учетных записей, реквизиты банковских карт) или
возможности для получения доступа к системе в обход ограничений безопасности.
Типичным примером атаки социального инженера является звонок или рассылка сообщений
клиенту банка от лица сотрудника этого банка. Клиенту сообщают, что его карта заблокирована и
под предлогом восстановления карты просят предоставить реквизиты и кодовое слово.

32.

6. ФОРСИРОВАННЫЙ ВЗЛОМ (БРУТФОРС)
Это попытки взлома с помощью словарных атак. Злоумышленники
по списку перебирают самые распространенные слова, фразы,
комбинации цифр с целью вскрыть учетную запись пользователя. В
случае успешной атаки открывается доступ к банковским счетам,
соц. сетям, файлам. Пример: использование словарей для угадывания
паролей. Атака на эл. ящики с использованием программ для перебора
паролей.
Атака по словарю включает три основных этапа.
1. Злоумышленник составляет список возможных паролей (словарь для
перебора), включающий самые распространенные слова и комбинации цифр.
2. Он использует специализированное ПО для автоматического перебора
паролей и взлома учетных записей.
3. После успешного взлома уязвимой учетной записи преступник извлекает
конфиденциальные данные жертвы и использует их в своих целях: для
мошенничества, финансовой выгоды, совершения вредоносных действий.

33.

7. ИНСАЙДЕРСКИЕ УГРОЗЫ
Это действия против компании, исходящие от лиц,
обладающих внутренним доступом к её ресурсам
(данные, ИС, корпоративная инфраструктура).
Инсайдеры (сотрудники и партнеры) имеют права
доступа к корпоративной информации и возможность
взлома системы безопасности. Этот вид угроз становятся
всё более серьезной проблемой, так как они трудно
обнаружимы, а ущерб от них может быть значительным.
Делятся на 2 типа:

34.

Случайные инсайдеры — это сотрудники, чьи небрежные или
ошибочные действия могут привести к серьёзным последствиям.
Например, случайное удаление, изменение данных, использование слабых
паролей, открытие фишинговых писем, загрузка зараженных файлов.
Пример: сотрудник, случайно отправивший документ с конфиденциальной
информацией не тому адресату, может привести к утечке данных и поставить
компанию под угрозу юридической ответственности. Такие ошибки могут быть
вызваны низким уровнем осведомленности в вопросах ИБ, что подчеркивает
важность регулярного обучения и строгих процедур безопасности.
Преднамеренные инсайдеры — это сотрудники, намеренно
совершающие действия для нанесения ущерба компании. Мотивы:
личная выгода, месть, неудовлетворенность условиями работы, получение
выгоды от конкурентов. Эти атаки включают кражу интеллектуальной
собственности, коммерческой информации, финансовых данных, саботаж.
Пример: сотрудник целенаправленно передает конфиденциальные данные
конкурентам или удаляет важные файлы, зная, что это нарушит работу
компании. Преднамеренные инсайдеры часто действуют скрытно.

35.

8. DoS-атака
DoS-атака («отказ в обслуживании») – это атака, при
которой одна система отправляет вредоносные
запросы, создавая чрезмерную нагрузку, что делает
получение услуги невозможным.
Если таких отправителей несколько – это DDoS-атаки.
DoS-атаки дёшевы и эффективны, поэтому часто
используются при в ходе нечестной борьбы с конкурентами
и в других незаконных целях. DoS- и DDoS-атаки чаще
всего устраиваются на государственные учреждения.

36.

У DoS-атаки один источник, а у DDoS — несколько. При этом запросы могут
идти как с устройств злоумышленников, так и с заражённых вирусом устройств
других пользователей.

37.

9. DDoS-атаки
DDoS-атаки – атаки, направленные на перегрузку сервера
трафиком, исходящим из нескольких источников (например, с
группы устройств), чтобы затруднить доступ к ресурсам. Это
разновидность DoS-атаки. Пример: атака Anonymous на сайты
правительственных учреждений.
Чаще всего в DDoS-атаках используются ботнеты — сети
удаленно управляемых устройств, зараженных вредоносным
ПО. По команде с управляющего сервера устройства начинают
направлять запросы на целевой ресурс, вызывая временный отказ
в обслуживании. Ботнет может состоять как из персональных
компьютеров, так и из устройств интернета вещей (IoT).

38. последствия кибератак

ПОСЛЕДСТВИЯ КИБЕРАТАК
Утрата персональных данных клиентов и сотрудников.
Фальсификация учетных данных.
Заражение сетей программами-вымогателями.
Заражение вредоносным ПО.
Стоит отметить, что объектами фишинговых атак чаще всего
становятся сотрудники компаний, занимающихся оптовой торговлей.
Самыми распространенными темами фишинговых писем являются
предупреждения о необходимости сменить пароль к учетной записи
или скачать обновление. Также распространены уведомления о
получении денег, выигрыше, о возможном списании средств и
ссылки на компрометирующие видео и фото.

39.

Домашнее задание (краткий конспект)
Опишите принцип действия вируса, зону его поражения, названия примеров, меры
защиты для следующих типов вирусов:
1. Вирус загрузочного сектора
2. Вирус прямого действия
3. Вирус перезаписи
4. Скрипт-вирус
5. Каталоговый вирус
6. Полиморфный вирус
7. Резидентный вирус памяти
8. Макровирус
9. Вирус-компаньон
10. Многосторонний вирус
11. FAT-вирус
12. Какая самая дорогая кибератака всех времен?
13. Перечислите признаки заражения ПК вирусом.
14. В чем принципиальное различие между компьютерным вирусом и компьютерным
червем с точки зрения способа распространения?
15. Что такое стелс-вирусы и какие конкретно технологии они используют, чтобы
оставаться невидимыми для антивирусов?
English     Русский Rules