Что такое вредоносный код?

Определение вредоносного кода

Вредоносный код – это компьютерный скрипт, специально разработанный для создания и эксплуатации уязвимостей в системе. Злоумышленники разрабатывают вредоносный код для внесения несанкционированных изменений в компьютерную систему, ее повреждения или организации долговременного доступа к ней. Результатом действия вредоносного кода может стать загрузка бэкдора, нарушение системы защиты, кража информации и другой ущерб для файлов и компьютера.

Что такое вредоносный код?

Вредоносный код – это «язык», с помощью которого злоумышленники могут манипулировать компьютерной системой, провоцируя ее на опасные действия. Он создается путем добавления ‎изменений или расширений к существующему программному коду, используемому в компьютерных ‎программах, файлах и инфраструктуре.‎

Вредоносный код – это главный инструмент подавляющего большинства кибератак. Хакеры ищут и находят слабые места в языках компьютерного программирования. Затем они пишут «фразы» – так называемые скрипты или списки команд, предназначенные для эксплуатации уязвимостей в этих языках. Такие скрипты можно использовать неоднократно, причем этот ‎процесс можно автоматизировать с помощью макрокоманд, которые для краткости называют ‎макросами.

Если бы хакерам и прочим злоумышленникам пришлось вручную выполнять все задачи, связанные ‎с использованием уязвимостей в компьютерных системах, это потребовало бы от них очень много времени. К сожалению, использование вредоносного кода позволяет автоматизировать атаки. Существует даже код, способный воспроизводиться, распространяться и совершать вредоносные действия самостоятельно. В других случаях требуются действия пользователей для загрузки ‎вредоносного кода или взаимодействия с ним.

Действие вредоносного кода может иметь следующий результат:

• повреждение данных;
• DDoS-атака;
• кража учетных данных и конфиденциальной информации;
• вымогание денег;
• другие неприятности и неудобства.

Чтобы знать, как защитить себя, давайте разберемся, как работают эти угрозы.

Как действует вредоносный код?

Вредоносный код способен манипулировать любым программируемым компонентом компьютерной системы. С его помощью можно воздействовать как на масштабные компоненты системы (например, сетевую инфраструктуру), так и на более мелкие, такие как приложения и программы для компьютеров и мобильных устройств. Веб-сервисы, такие как веб-сайты и онлайн-серверы, также могут стать мишенями для атаки. Вредоносным кодом можно заразить любое компьютерное устройство, например:

• традиционные устройства: настольные компьютеры, ноутбуки, мобильные телефоны, планшеты;
• IoT-устройства (устройства интернета вещей): устройства «умного дома», информационно-развлекательные системы автомобиля (IVI);
• сетевое оборудование: модемы, роутеры, серверы.

С помощью вредоносных скриптов и программ хакеры взламывают отдельные элементы компьютерных систем. При этом они могут преследовать несколько целей:

1. внедрить вредоносный код для заражения и дальнейшего распространения;
2. получить доступ к конфиденциальной информации, хранящейся во взломанной системе;
3. начать слежку за действиями пользователей во взломанной системе;
4. проникнуть еще глубже внутрь системы.

Создание и распространение вредоносного кода происходит в несколько этапов. Для перехода на каждый новый этап вредоносному скрипту могут потребоваться действия пользователя или какая-либо активность на компьютере. Однако некоторые разновидности вредоносного кода могут действовать совершенно автономно. Большинство атак с помощью вредоносного кода происходит по следующей схеме:

1. поиск и изучение уязвимостей;
2. написание кода для эксплуатации уязвимостей;
3. проникновение вредоносного кода в компьютерную систему;
4. активация кода с помощью сопутствующей программы или без нее.

Поиск уязвимости и написание кода – это первая фаза атаки. Прежде чем взломать систему, злоумышленнику нужно получить инструмент для взлома. Для этого нужно написать вредоносный код, но можно использовать или модифицировать уже существующий.

Результатом может быть автоматически исполняемое приложение, способное активировать само себя и принимать различные формы. Это могут быть макросы и скрипты на JavaScript, элементы управления ActiveX, командлеты Powershell, пуш-контент, плагины, сценарные языки или другие языки программирования, предназначенные для усовершенствования веб-страниц и электронной почты.

Проникновение вредоносного кода в компьютерные системы может происходить через интерфейсные разъемы, такие как USB, или через сетевые соединения, такие как мобильная связь или Wi-Fi. Для успешного проникновения вредоносного кода нужно всего лишь найти способ доставить его на устройство.

Масштабные атаки осуществляются через каналы, имеющие широкий охват, например через популярные веб-сайты и спам-рассылку. Если атака имеет более конкретную цель, хакеры используют методы социальной инженерии, например целевой фишинг. Иногда вредоносный код удается внедрить в корпоративную сеть компании через сотрудника, который подключает зараженное USB-устройство к своему рабочему компьютеру.

Если вредоносный код совместим с системой, которая подверглась атаке, то происходит его активация. Результатом атаки с помощью вредоносного кода могут стать следующие несанкционированные действия:

• изменение данных (несанкционированное шифрование, ослабление защиты и т. д.);
• удаление или повреждение данных (на веб-сайтах, серверах и т. д.);
• похищение данных (учетных данных, персональной информации и т. д.);
• проникновение в системы с ограниченным доступом (частные сети, электронные почтовые ящики и т. д.);
• другие вредоносные действия (тиражирование и распространение вредоносного кода, установка удаленного контроля над устройством и т. д.).

Как распространяется вредоносный код?

Вредоносный код может использоваться для непосредственного взлома систем, для обеспечения вторичной вредоносной активности или для самовоспроизводства и распространения. В любом случае, оригинальный код должен перемещаться с одного устройства на другое.

Угроза может распространяться практически через любой канал передачи данных, в том числе:

• онлайн-сети: внутренние сети, пиринговые файлообменники, часто посещаемые веб-сайты и т. д.;
• средства общения: электронную почту, SMS-сообщения, пуш-уведомления, мобильные мессенджеры и т. д.;
• беспроводные каналы связи – Bluetooth и т. д.;
• интерфейсы для подключения устройств – USB и т. д.

Стандартный путь для проникновения вредоносного кода в систему – через зараженный сайт или вредоносную ссылку/вложение в электронном письме. Угроза может исходить не только из очевидно вредоносного источника, но и из вполне легитимного. Злоумышленники используют для своих целей любые средства – от общественных USB-портов для зарядки до инструментов обновления ПО.

Вредоносную нагрузку не всегда легко распознать, но общедоступные соединения для передачи данных и службы обмена сообщениями – это основные пути передачи вредоносного кода. Кроме того, хакеры часто встраивают вредоносный код в ссылки и вложения.

Разновидности вредоносного кода

Некоторые разновидности вредоносного кода находят слабые места в защите компьютера и получают доступ к ценным данным. Их список постоянно растет. Перечислим наиболее распространенные из них.

Вирусы

Вирус – это самовоспроизводящийся вредоносный код, который прикрепляется к программам с поддержкой макросов для активации. Этот вредоносный код распространяется через документы и другие загружаемые файлы. После активации вирус начинает размножаться и распространяться внутри системы и через подключенные к ней сети.

Черви

Черви, как и вирусы, – это тоже самовоспроизводящийся и самораспространяющийся код. Однако им для этого не нужны никакие дополнительные средства. Как только компьютерный червь проникает на устройство, он начинает действовать совершенно автономно. Ему не нужна поддержка запускаемой пользователем программы.

Троянские программы

Троянцы – это файлы-ловушки, которые несут в себе вредоносную нагрузку. Для активации кода пользователь должен открыть файл или запустить программу. Троянцы не умеют воспроизводиться или распространяться в автономном режиме. Однако они могут быть переносчиками вирусов, компьютерных червей и другого вредоносного кода.

Межсайтовый скриптинг (XSS)

Межсайтовый скриптинг – это внедрение вредоносных команд в веб-приложение, в результате чего вредоносный код попадает в веб-браузер пользователя. Такой вредоносный код может видоизменять контент веб-сайтов, перехватывать конфиденциальную информацию и заражать устройство пользователя.

Бэкдоры

Бэкдор – это вредоносный код, который позволяет киберпреступникам получить удаленный доступ к атакуемой системе. С его помощью они могут не только похитить конфиденциальную информацию (например, корпоративные базы данных), но и организовать целевую продолжительную атаку повышенной сложности (атака типа APT).

В дальнейшем злоумышленники могут перемещаться по системе горизонтально, уничтожать данные или установить на компьютер шпионское ПО. Подобные атаки могут быть нацелены на объекты самого высокого уровня. Так, Счетная палата США даже выпустила предупреждение о том, что вредоносный код представляет угрозу для национальной безопасности.

Примеры атак с помощью вредоносного кода

Вредоносный код может быть очень разнообразным, и в недавнем прошлом он был весьма активен. Вот наиболее известные из таких атак.

Троянец Emotet

Троянскую программу Emotet впервые обнаружили в 2014 году. В результате эволюции Emotet из вредоносной программы превратился в почтовый спам, переносящий вредоносный код. Чтобы обманом вынудить пользователей загрузить троянца, злоумышленники используют фишинговые приемы: например, пишут в теме письма фразу «Требуется срочный платеж».

Проникнув на устройство, Emotet запускает скрипты, которые доставляют вирусы, устанавливают вредоносное ПО для взаимодействия с командными серверами с целью создания ботнета и т. д. В 2018 году атаки этого троянца временно прекратились, но затем он вернулся уже в качестве SMS-угрозы.

Червь Stuxnet

Компьютерный червь Stuxnet и его преемники начали атаковать инфраструктуру государственных объектов в 2010 году. Первая задокументированная атака была направлена на ядерный проект Ирана. Червь распространялся через USB-накопители и выводил из строя критически важное оборудование. Stuxnet прекратил свое существование, но его исходный код использовался для осуществления схожих узконаправленных атак вплоть до 2018 года.

Как защититься от атак с помощью вредоносного кода

Лучшая защита от большинства вредоносных атак – это антивирусное ПО с функцией автоматического обновления, которое способно удалять вредоносные программы и обеспечивать безопасность на уровне веб-браузера. Но предотвратить заражение вредоносным кодом с помощью только лишь антивирусной программы не всегда возможно.

Антивирусное ПО, как правило, защищает от вирусов и других видов вредоносных программ. В более широком смысле вредоносный код включает веб-скрипты, которые используют уязвимости для загрузки вредоносных программ. Поэтому не все антивирусные программы могут противостоять заражению или другим последствиям, возникшим в результате действия вредоносного кода.

И хотя антивирусные продукты необходимы для проактивного удаления заражений и защиты устройств, мы рекомендуем пользователям принять дополнительные меры безопасности.

• Установите ПО для защиты от скриптов, чтобы предотвратить несанкционированный запуск JavaScript и связанного с ним кода.
• Будьте внимательны при переходе по ссылкам и загрузке вложений. Любое электронное письмо или SMS-сообщение, содержащее ссылку или вложение, может быть переносчиком вредоносного кода.
• Активируйте защиту от всплывающих окон в браузере, чтобы предотвратить загрузку вредоносного контента в незатребованных окнах браузера с помощью скриптов.
• Не используйте вход с правами администратора для ежедневных задач. Высокий уровень доступа обычно требуется для того, чтобы запустить скрипты и программы автоматически.
• Используйте резервное копирование данных, чтобы защитить файлы и документы, существующие в одном экземпляре.
• С осторожностью используйте любое общедоступное соединение для передачи данных. Подключение USB-устройств – это рутинное действие, но таким способом легко передается вредоносный код. Общедоступные сети Wi-Fi тоже часто используются злоумышленниками для доставки вредоносного кода.
• Установите и правильно настройте файервол, чтобы блокировать несанкционированные подключения. Если вредоносный код проникнет на ваше устройство и попытается установить внешнее соединение для загрузки вредоносного ПО, файервол сможет этому помешать. Убедитесь в том, что ваш файервол по умолчанию блокирует все соединения и внесите в белый список все ожидаемые и доверенные запросы.

Полезные ссылки:

• Что такое ботнет?
• Инфографика: уязвимости программного обеспечения
• Вредоносное ПО для мобильных устройств
• Отличие компьютерных вирусов от сетевых червей