Страница загружается...
Авторское право ©2023 ESET, spol. s r.o.
ESET Glossary разработано компанией ESET, spol. s r.o.
Дополнительные сведения можно получить на сайте https://www.eset.com.
Все права защищены. Ни одна часть этой документации не может воспроизводиться,
храниться в системе получения и передаваться в любой форме или любыми средствами, в том
числе электронными и механическими способами, с помощью фотокопирования, записи,
сканирования, а также любыми другими способами без письменного разрешения автора.
ESET, spol. s r.o. оставляет за собой право изменять любое описанное прикладное программное
обеспечение без предварительного уведомления.
Служба технической поддержки: https://support.eset.com
ПРОВ. 19.04.2023
1 Знакомство с глоссарием ESET 1 ......................................................................................................
1.1 Рекламные программы 1 ..............................................................................................................
1.2 Ботнет 1 ......................................................................................................................................
1.3 Ложное срабатывание (ЛС) 2 ........................................................................................................
1.4 Программы-упаковщики 2 ............................................................................................................
1.5 Потенциально опасные приложения 2 ...........................................................................................
1.6 Потенциально нежелательные приложения 3 ................................................................................
1.7 Программы-вымогатели 7 .............................................................................................................
1.8 Руткит 8 ......................................................................................................................................
1.9 Возвратно-ориентированное программирование 9 ..........................................................................
1.10 Шпионские программы 9 .............................................................................................................
1.11 Программа-троян 10 ...................................................................................................................
1.12 Вирус 10 ....................................................................................................................................
1.13 Червь 11 ....................................................................................................................................
1.14 Подстановка учетных данных 11 .................................................................................................
1.15 Атака путем подделки записей кэша DNS 11 ...............................................................................
1.16 DoS-атака 12 ..............................................................................................................................
1.17 Атака по протоколу ICMP 12 .......................................................................................................
1.18 Сканирование портов 12 .............................................................................................................
1.19 SMB Relay 13 ..............................................................................................................................
1.20 Десинхронизация TCP 13 ............................................................................................................
1.21 Атака червей 14 .........................................................................................................................
1.22 Подделка записей кэша ARP 14 ..................................................................................................
2 Угрозы, распространяемые через электронную почту 14 ..............................................................
2.1 Рекламные объявления 15 ............................................................................................................
2.2 Мистификации 15 ........................................................................................................................
2.3 Фишинг 16 ...................................................................................................................................
2.4 Распознавание мошеннических сообщений 16 ...............................................................................
2.4 Правила 17 ...............................................................................................................................
2.4 «Белый» список 17 ......................................................................................................................
2.4 «Черный» список 18 ....................................................................................................................
2.4 Исключение 18 ..........................................................................................................................
2.4 Контроль на стороне сервера 18 ......................................................................................................
2.5 Расширенный модуль сканирования памяти 18 ..............................................................................
2.6 Защита банковской оплаты 19 ......................................................................................................
2.7 Защита от ботнетов 20 .................................................................................................................
2.8 Система обнаружения DNA Detections 20 .......................................................................................
2.9 ESET LiveGrid® 20 ........................................................................................................................
2.10 Блокировщик эксплойтов 21 .......................................................................................................
2.11 Блокировщик эксплойтов Java 21 ................................................................................................
2.12 ESET LiveSense 22 ......................................................................................................................
2.13 Машинное обучение 22 ..............................................................................................................
2.14 Защита от сетевых атак 23 .........................................................................................................
2.15 Защита от программ-вымогателей 23 ..........................................................................................
2.16 Защита от атак на основе сценариев 23 .......................................................................................
2.17 Защищенный браузер 24 ............................................................................................................
2.18 Модуль сканирования UEFI 24 .....................................................................................................
2.19 Файл-предохранитель 25 ............................................................................................................
2.20 Взаимоблокировка 25 .................................................................................................................
1
Знакомство с глоссарием ESET
Глоссарий ESET содержит комплексный обзор текущих угроз, а также технологий ESET, которые
защищают вас от них.
Темы разделены на главы, в которых описывается следующее.
• Обнаружения. В том числе компьютерные вирусы, черви, троянские программы,
потенциально нежелательные приложения и т. п.
• Удаленные атаки. Угрозы, которые встречаются в локальных сетях или в Интернете.
• Угрозы, распространяемые через электронную почту. В том числе: письма-
мистификации, фишинг, мошенничество и т. п.
• Технологии ESET. Это функции продуктов, доступные в решениях ESET по обеспечению
безопасности.
Рекламные программы
Под рекламной программой понимается программное обеспечение, существующее за счет
рекламы. Программы, демонстрирующие пользователю рекламные материалы, относятся к
этой категории. Рекламные приложения часто автоматически открывают всплывающие окна с
рекламой в веб-браузере или изменяют домашнюю страницу. Рекламные программы часто
распространяются в комплекте с бесплатными программами. Это позволяет их создателям
покрывать расходы на разработку полезных (как правило) программ.
Сами по себе рекламные программы не опасны, но они раздражают пользователей. Опасность
заключается в том, что в рекламных программах могут быть реализованы дополнительные
функции слежения, подобно шпионским программам.
Если пользователь решает использовать бесплатный программный продукт, ему стоить
уделить особое внимание установке программы. Чаще всего программа установки
предупреждает об установке дополнительной рекламной программы. Зачастую пользователь
имеет возможность отказаться от его установки и установить необходимую программу без
рекламной.
Некоторые программы нельзя установить без рекламных модулей, или их функциональность
будет ограничена. Это приводит к тому, что рекламная программа часто получает доступ к
системе на «законных» основаниях, так как пользователь дал согласие на ее установку. В этом
случае лучше перестраховаться. В случае обнаружения на компьютере файла,
классифицированного как рекламная программа, рекомендуется удалить его, так как он с
большой вероятностью содержит вредоносный код.
Ботнет
Бот или веб-робот — это автоматизированная вредоносная программа, которая сканирует
блоки сетевых адресов и заражает уязвимые компьютеры. Это позволяет хакерам захватить
контроль над множеством компьютеров одновременно и превратить их в ботов (называемых
2
также зомби). Зачастую хакеры используют ботов для заражения больших количеств
компьютеров, которые образуют сеть — так называемый ботнет. Как только ботнет проник в
ваш компьютер, его могут использовать при распределенных атаках типа «отказ в
обслуживании» (DDoS), в качестве прокси, а также для выполнения автоматизированных задач
в Интернете без вашего ведома (например, для отправки спама, вирусов или кражи личной и
конфиденциальной информации, такой как банковские учетные данные или номера кредитных
карт).
Ложное срабатывание (ЛС)
С реальной точки зрения, нет гарантии 100-процентного обнаружения или нулевой
вероятности неправильно классифицировать чистые объекты как обнаружение вредоносных
программ.
Ложное срабатывание — это ошибочная классификация чистого файла или приложения как
вредоносной программы или потенциально нежелательного приложения.
Программы-упаковщики
Упаковщик — это самораспаковывающийся исполняемый файл, в котором содержится
несколько видов вредоносных программ.
Наиболее распространенными упаковщиками являются UPX, PE_Compact, PKLite и ASPack. Одни и
те же вредоносные программы могут быть обнаружены разными способами, если их сжатие
выполнено при помощи разных упаковщиков. Кроме того, упаковщики обладают свойством,
благодаря которому их сигнатуры со временем изменяются, что усложняет задачу
обнаружения и удаления вредоносных программ.
Потенциально опасные приложения
Существует множество нормальных программ, предназначенных для упрощения
администрирования подключенных к сети компьютеров. Однако злоумышленники могут
использовать их для причинения вреда. Программное обеспечение ESET позволяет
обнаруживать такие приложения.
В качестве потенциально опасных приложений выступает нормальное коммерческое
программное обеспечение. В эту категорию входят такие программы, как средства удаленного
доступа, приложения для взлома паролей и клавиатурные шпионы (программы, записывающие
нажатия клавиш на клавиатуре).
Если потенциально опасное приложение обнаружено и работает на компьютере (но
пользователь не устанавливал его), следует обратиться к администратору сети или удалить
приложение.
3
Потенциально нежелательные приложения
Потенциально нежелательные приложения представляют собой довольно широкую категорию
программного обеспечения, задачей которого не является однозначно вредоносная
деятельность в отличие от других типов вредоносных программ, например вирусов или
троянских программ. Однако такие приложения могут устанавливать дополнительное
нежелательное программное обеспечение, изменять поведение цифрового устройства, а
также выполнять действия без запроса или разрешения пользователя.
К потенциально нежелательным приложениям могут относиться следующие категории
приложений: программы для показа рекламы, оболочки загрузок, различные панели
инструментов для браузеров, программы с вводящим в заблуждение поведением, пакетное
программное обеспечение, программы слежки, прокси-программы (приложения для общего
доступа к Интернету), программы для майнинга криптовалют, программы для очистки реестра
(только для ОС Windows) или любые другие пограничные программы, а также программное
обеспечение, которое использует противозаконные или по крайней мере неэтичные действия
(не запрещенные законом) и которое конечный пользователь может расценить как
нежелательное, когда узнает о последствиях его возможной установки.
Потенциально опасные приложения — это приложения, которые сами по себе являются
законным программным обеспечением (зачастую коммерческие программы), но используются
злоумышленниками ненадлежащим образом. Пользователи программного обеспечения ESET
могут включать и отключать обнаружение приложений этих типов.
В некоторых ситуациях может показаться, что преимущества такого потенциально
нежелательного приложения перевешивают риски. Поэтому компания ESET помещает эти
приложения в категорию незначительного риска, в отличие от других вредоносных программ,
например троянских программ или червей.
• Предупреждение! Обнаружено потенциально нежелательное приложение
• Параметры
• Оболочки
• Программы для очистки реестра
• Потенциально нежелательное содержимое
Иллюстрированные инструкции
Сведения о том, как сканировать и удалять потенциально нежелательные приложения в
продуктах ESET для Windows для домашнего использования, см. в статье базы знаний ESET.
Предупреждение! Обнаружено потенциально
нежелательное приложение
Когда обнаруживается потенциально нежелательное приложение, можно решить, какое
действие следует выполнить.
1.Очистить/отключить: действие прекращается, и потенциально нежелательное
4
приложение не попадает в систему.
Параметр Отключить отображается для уведомлений о потенциально нежелательных
приложениях во время загрузки с веб-сайта, а параметр Очистить отображается для
уведомлений о файлах на диске.
2.Пропустить: эта функция позволяет потенциально нежелательному приложению
проникнуть в систему.
3.Исключить из обнаружения: чтобы разрешить обнаруженному файлу, который уже
сохранен на компьютере, и впредь работать без прерываний, щелкните элемент
Расширенные параметры, установите флажок Исключить из обнаружения и щелкните
Пропустить.
4.Исключить сигнатуру из обнаружения: чтобы разрешить всем файлам,
идентифицированным по специальному имени обнаружения (сигнатуре), и впредь
работать на компьютере без прерываний (как для существующих файлов, так и для
загружаемых из Интернета), щелкните Расширенные параметры, установите флажок
Исключить сигнатуру из обнаружения и щелкните Пропустить. Если сразу после
этого отобразятся дополнительные окна обнаружения, содержащие идентичное имя
обнаружения, щелкните «Пропустить», чтобы закрыть их (любые дополнительные окна
связаны с обнаружением, которое возникло до того, как сигнатура была исключена из
обнаружения).
Параметры
При установке программы ESET можно включить обнаружение потенциально нежелательных
приложений (см. изображение ниже).
5
Предупреждение
Потенциально нежелательные приложения могут устанавливать рекламные программы и
панели инструментов или содержать рекламу и другие нежелательные и небезопасные
программные компоненты.
Эти параметры можно в любое время изменить в разделе параметров программы. Чтобы
включить или отключить обнаружение потенциально нежелательных, небезопасных или
подозрительных приложений, следуйте нижеприведенным инструкциям.
1. Откройте продукт ESET.
2. Нажмите клавишу F5, чтобы перейти к разделу Дополнительные настройки.
3. Щелкните Модуль обнаружения (также известный в более ранних версиях как модуль
защиты от вирусов или Компьютер) и на свое усмотрение включите или отключите
параметры Включить обнаружение потенциально нежелательных приложений,
Включить обнаружение потенциально опасных приложений и Включить
обнаружение подозрительных приложений. Чтобы подтвердить настройки, нажмите
кнопку ОК.
6
Иллюстрированные инструкции
Более подробные инструкции о том, как настроить продукты для обнаружения или
игнорирования потенциально нежелательных приложений, приведены в следующих
статьях базы знаний ESET:
• ESET NOD32 Antivirus / ESET Internet Security / ESET Smart Security Premium
• ESET Cyber Security для macOS/ESET Cyber Security Pro для macOS
• ESET Endpoint Security / ESET Endpoint Antivirus for Windows
• ESET Mobile Security для Android
Оболочки
Оболочка — специальное приложение, используемое на некоторых файлообменных ресурсах.
Это стороннее средство, устанавливающее программу, которую вы намеревались загрузить, в
комплекте с другим программным обеспечением, например панелью инструментов или
рекламной программой, которые могут изменять домашнюю страницу вашего веб-браузера
или параметры поиска. При этом файлообменные ресурсы часто не уведомляют поставщиков
программного обеспечения или получателей загруженных файлов о внесенных изменениях и
скрывают настройки, позволяющие от них отказаться. Именно поэтому компания ESET считает
оболочки потенциально нежелательными приложениями и дает пользователям возможность
отказаться от их загрузки.
Программы для очистки реестра
Программы для очистки реестра — это программы, которые могут предполагать, что база
данных реестра Windows требует регулярного обслуживания или очистки. Использование этих
программ может привести к некоторым рискам для вашей компьютерной системы. Кроме того,
некоторые программы для очистки реестра делают неквалифицированные, не поддающиеся
7
проверке или иным образом неприемлемые утверждения о своих преимуществах или
генерируют вводящие в заблуждение отчеты о компьютерной системе на основе результатов
«бесплатного сканирования». Эти вводящие в заблуждение утверждения и отчеты направлены
на то, чтобы убедить вас приобрести полную версию или подписку, обычно не позволяя вам
оценить программу перед оплатой. По этим причинам ESET классифицирует такие программы,
как потенциально нежелательные приложения, и предоставляет вам возможность разрешать
им вход или блокировать их.
Потенциально нежелательное содержимое
Если в вашем продукте ESET включено обнаружение потенциально нежелательных
приложений, веб-сайты, которые имеют репутацию продвижения этих приложений или
которые имеют репутацию вводящих в заблуждение при выполнении действий, которые могут
иметь негативные последствия для их системы или просмотра, будут заблокированы как
потенциально нежелательный контент. Если вы получаете уведомление о том, что веб-сайт,
который вы пытаетесь посетить, классифицируется как потенциально нежелательный
контент, вы можете нажать Назад, чтобы перейти от заблокированной веб-страницы, или
щелкнуть Игнорировать и продолжить, чтобы разрешить загрузку сайта.
Дополнительные сведения по этой теме можно найти в этой статье базы знаний ESET.
Программы-вымогатели
Программы-вымогатели (также известные, как кодировщики файлов) — это тип вредоносных
программ, которые блокируют устройство или зашифровывают содержимое устройства и
вымогают деньги от пользователя за восстановление доступа к его содержимому.
8
Вредоносные программы этого типа могут содержать встроенный таймер с заданным сроком
оплаты, который необходимо соблюсти. Если срок не соблюден, цена повышается или доступ к
устройству утрачивается окончательно.
После заражения устройства кодировщик файлов может попытаться зашифровать общие
диски устройства. Этот процесс может создать иллюзию того, что вредоносная программа
распространяется по сети, но это не так. Эта ситуация происходит, когда общий диск на
файловом сервере зашифрован, но сам сервер не заражен вредоносной программой (если это
не сервер терминалов).
Авторы программ-вымогателей создают два ключа — открытый и закрытый — и внедряют
открытый ключ во вредоносную программу. Сама программа-вымогатель может быть частью
троянской программы или выглядеть как файл или изображение, которые вы можете получить
в письме электронной почты, в социальных сетях или в программах обмена мгновенными
сообщениями. После заражения компьютера вредоносная программа создает случайный
симметричный ключ и зашифровывает данные на устройстве. С помощью встроенного
открытого ключа она шифрует симметричный ключ. Затем программа-вымогатель требует
платеж за расшифровку данных. В сообщении с требованием платежа, которое отображается
на устройстве, может содержаться фальшивое предупреждение о том, что ваша система
используется для незаконных действий или содержит незаконное содержимое. От жертвы
требуют заплатить выкуп одним из целого ряда способов. Вариантами обычно являются
способы, которые трудно отследить, например с помощью цифровых (крипто-) валют, SMS-
сообщений с повышенным тарифом или предоплаченных ваучеров. После получения платежа
автор программы-вымогателя должен разблокировать устройство или с помощью закрытого
ключа расшифровать симметричный ключ, а затем — данные жертвы. Однако гарантия того,
что автор это сделает, отсутствует.
Дополнительные сведения о защите от программ-вымогателей
В продуктах ESET используются многоуровневые технологии, которые защищают
устройства от программ-вымогателей. Сведения о передовых методах защиты системы
от программ-вымогателей см. в статье базы знаний ESET.
Руткит
Руткитом называется вредоносная программа, которая предоставляет злоумышленникам
полный доступ к компьютеру, не проявляя при этом своего присутствия в системе. После
получения доступа к системе (обычно путем использования ее уязвимостей) руткиты
используют функции операционной системы, чтобы избежать обнаружения программным
обеспечением защиты от вирусов: используются механизмы маскировки процессов, файлов и
данных системного реестра. По этой причине их активность невозможно обнаружить
стандартными методами проверки.
Существует два уровня обнаружения, направленных на борьбу с руткитами.
1.Обнаружение при попытке доступа к системе. Их еще нет в системе, то есть они не
активны. Многие системы защиты от вирусов способны устранить руткиты на этом уровне
(при условии, что они действительно обнаруживают такие файлы как зараженные).
2.Обнаружение при попытке скрыться во время обычной проверки. Пользователям ESET
доступны преимущества технологии Anti-Stealth, которая также позволяет обнаруживать и
9
устранять активные руткиты.
Возвратно-ориентированное
программирование
Возвратно-ориентированное программирование (ВОП) — это типичная атака с повторным
использованием кода, в рамках которой злоумышленник применяет существующий код, чтобы
управлять потоком управления для получения вредоносного результата. ВОП-атака
представляет собой усовершенствованную версию атаки на переполнение буфера стека.
Переполнение буфера стека происходит, когда программа записывает данные в адрес памяти
в стеке вызовов программы за пределами нужной структуры данных, обычно с буфером
фиксированной длины.
ВОП — это метод эксплуатации уязвимостей, с помощью которого можно выполнить код в
целевой системе. Получив контроль над стеком вызовов, злоумышленник контролирует поток
существующей доверенной программы, запущенной на компьютере, и манипулирует им для
выполнения нужной задачи, не предусмотренной для данной программы.
Шпионские программы
К этой категории относятся все приложения, которые отправляют личную информацию без
ведома и согласия владельца. Шпионские программы используют функции слежения для
отправки различной статистической информации, такой как список посещенных веб-сайтов,
адреса электронной почты из списка контактов пользователя или список нажатий клавиш на
клавиатуре.
Авторы шпионских программ утверждают, что эти технологии служат для изучения
требований и интересов пользователей и позволяют создавать рекламные материалы, более
соответствующие целевой аудитории. Проблема заключается в том, что нет четкой границы
между полезными и вредоносными приложениями, и никто не гарантирует, что получаемая
информация не будет использована во вред. Данные, полученные шпионскими программами,
могут содержать защитные коды, PIN-коды, номера счетов и т. д. Шпионские программы часто
поставляются в комплекте с бесплатными версиями программ самими их авторами с целью
получения доходов или стимулирования продаж программного обеспечения. Часто
пользователей информируют о наличии шпионской программы во время установки основной
программы, чтобы поощрить их к приобретению платной версии, в которой шпионской
программы нет.
Примерами хорошо известного бесплатного программного обеспечения, вместе с которым
поставляется шпионское, могут служить клиенты пиринговых (P2P) сетей. Программы Spyfalcon и
Spy Sheriff (и многие другие) относятся к особой подкатегории шпионских программ.
Утверждается, что они предназначены для защиты от шпионских программ, но на самом деле
они сами являются таковыми.
В случае обнаружения на компьютере файла, классифицированного как шпионская программа,
рекомендуется удалить его, так как с высокой вероятностью он содержит злонамеренный код.
Как подкатегория шпионских программ клавиатурные шпионы могут быть аппаратными и
программными. Программные клавиатурные шпионы могут собирать только данные, которые
10
вводятся на одном веб-сайте или в одном приложении. Более усовершенствованные
клавиатурные шпионы могут записывать все вводимые данные, включая данные, которые
копируются/вставляются. Некоторые клавиатурные шпионы, разработанные специально для
мобильных устройств, могут записывать звонки, данные из приложений обмена сообщениями,
месторасположения или даже записи на микрофон или камеру.
Программа-троян
Исторически троянскими программами называли такой класс угроз, которые пытаются
маскироваться под полезные программы, тем самым заставляя пользователя запускать их.
Так как эта категория весьма широка, ее часто разбивают на несколько подкатегорий.
• Загрузчик — вредоносная программа, способная загружать другие угрозы из Интернета.
• Сбрасыватель — вредоносная программа, которая предназначена для заражения
компьютеров другими вредоносными программами.
• Черный ход — вредоносная программа, которая обменивается данными со
злоумышленниками, позволяя им получить доступ к компьютеру и контроль над ним.
• Клавиатурный шпион — программа, которая регистрирует все, что пользователь
набирает на клавиатуре, и отправляет эту информацию злоумышленникам.
• Программа дозвона — вредоносная программа, которая предназначена для подключения
к Интернету через телефонные номера с высокими тарифами вместо использования
поставщика интернет-услуг пользователя. При этом пользователь практически не может
заметить, что создано новое подключение. Программы дозвона могут нанести вред только
пользователям с модемами, которые в настоящее время почти не используются.
Если на компьютере обнаружен файл, классифицированный как троянская программа,
рекомендуется удалить его, так как он с большой вероятностью содержит злонамеренный код.
Вирус
Компьютерный вирус — это фрагмент вредоносного кода, который добавляется в начало или
конец файлов на компьютере. Название было выбрано из-за сходства с биологическими
вирусами, так как они используют похожие методы для распространения. Часто термином
«вирус» неверно обозначают любые типы угроз. Однако это понятие постепенно выводится из
употребления, и на смену ему приходит более точный термин «вредоносная программа».
Компьютерные вирусы атакуют в основном исполняемые файлы и документы. Компьютерный
вирус функционирует следующим способом: после запуска зараженного файла вызывается и
выполняется злонамеренный код. Это происходит до выполнения исходного приложения.
Вирус способен заразить все файлы, на запись в которые у пользователя есть права.
Компьютерные вирусы могут быть разными по целям и степени опасности. Некоторые из
вирусов особо опасны, так как могут целенаправленно удалять файлы с жесткого диска. С
другой стороны, некоторые вирусы не причиняют никакого вреда. Они просто раздражают
пользователя и демонстрируют возможности своих авторов.
11
Если ваш компьютер заражен вирусом, который не удается очистить, отправьте
соответствующие файлы в исследовательскую лабораторию ESET для изучения. В ряде случаев
зараженные файлы изменяются настолько, что их невозможно очистить. В таком случае их
нужно заменять чистыми копиями.
Червь
Компьютерные черви — это содержащие злонамеренный код программы, которые атакуют
главные компьютеры и распространяются через сеть. Основное различие между вирусами и
червями заключается в том, что черви могут распространяться самостоятельно, так как они не
зависят от зараженных файлов или загрузочных секторов. Черви распространяются, используя
адресную книгу пользователя или уязвимости в системе безопасности сетевых приложений.
Поэтому черви намного более подвижны, чем компьютерные вирусы. Благодаря широкой
популярности Интернета они могут распространяться по всему земному шару за считанные
часы или даже минуты после запуска. Эта способность быстро самостоятельно
реплицироваться делает черви более опасными, чем другие типы вредоносных программ.
Действующий в системе червь может доставить множество неудобств пользователю: он может
удалять файлы, снижать производительность системы или даже отключать другие программы.
По сути, компьютерный червь может выступать в качестве «транспортного средства» для
других типов заражений.
Если компьютер заражен червем, рекомендуется удалить зараженные файлы, поскольку они с
большой вероятностью содержат злонамеренный код.
Подстановка учетных данных
Подстановка учетных данных — это кибератака, при которой используются учетные данные со
взломанных баз данных. С этими учетными данными злоумышленники пытаются войти в
учетные записи на разных веб-сайтах, используя для этого боты и другие методы
автоматизации. Расчет злоумышленников основан на том, что многие пользователи
используют одинаковые учетные данные для разных веб-сайтов и служб. При успешной атаке
злоумышленники могут получить полный доступ к учетной записи и данным пользователей,
которые хранятся в ней. Злоумышленники могут воспользоваться этим доступом для кражи
персональных данных, проведения мошеннических транзакций, распространения спама или
других вредоносных действий.
Атака путем подделки записей кэша DNS
Атака путем подделки записей кэша DNS (сервер доменных имен) позволяет хакерам убедить
DNS-сервер любого компьютера в том, что предоставляемые подложные данные являются
истинными. Ложная информация кэшируется на определенное время, давая злоумышленникам
возможность перезаписать ответы DNS-сервера с IP-адресами. В результате при попытке
посещения веб-сайтов пользователь загружает компьютерные вирусы и черви вместо
исходного содержимого.
12
DoS-атака
DoS-атаки (атаки типа отказ в обслуживании) представляют собой попытку сделать компьютер
или сеть недоступными тем пользователями, для которых они предназначены. Обмен данными
между пользователями пораженного компьютера затруднен или невозможен в приемлемом
режиме. Компьютеры, подвергшиеся действию DoS-атаки, обычно должны быть перезагружены
для восстановления нормальной работы.
В большинстве случаев объектами этой атаки становятся веб-серверы, а целью является вывод
их из строя и, как следствие, их недоступность на некоторое время.
Атака по протоколу ICMP
Протокол ICMP — это популярный и широко распространенный интернет-протокол. Он
используется в основном для отправки сетевыми компьютерами различных сообщений об
ошибках.
Удаленные злоумышленники пытаются использовать уязвимости протокола ICMP. Протокол
ICMP предназначен для передачи данных в одном направлении без аутентификации. Это
позволяет злоумышленникам организовывать DoS-атаки (отказ в обслуживании) или атаки,
предоставляющие не имеющим на это права лицам доступ ко входящим и исходящим пакетам.
Типичными примерами атак по протоколу ICMP являются ping-флуд, флуд эхо-запросов по
протоколу ICMP и smurf-атаки. Компьютеры, подвергающиеся атаке по протоколу ICMP,
значительно замедляют свою работу (это касается всех приложений, использующих Интернет),
и у них возникают проблемы при подключении к Интернету.
Сканирование портов
Сканирование портов используется, чтобы определить, какие порты компьютера открыты на
узле сети. Сканер портов представляет собой программное обеспечение, которое
предназначено для поиска таких портов.
Компьютерный порт является виртуальной точкой, которая управляет сетевым трафиком в
обоих направлениях. Это является критичным с точки зрения сетевой безопасности. В больших
сетях данные, которые собираются с помощью сканера портов, могут помочь выявить
потенциальные уязвимости компьютерных систем. Такое использование является допустимым.
Однако сканеры часто используются злоумышленниками для взлома систем безопасности.
Первым шагом отправляется серия пакетов на каждый из портов. В зависимости от
полученных ответов определяется, какой из портов можно использовать. Сканирование не
причиняет вреда само по себе, но следует иметь в виду, что такая активность зачастую
является признаком попытки выявления уязвимости и последующей атаки злоумышленников
на систему.
Сетевые администраторы обычно советуют блокировать все неиспользуемые порты и
защищать используемые от неавторизованного доступа.
13
SMB Relay
SMB Relay и SMB Relay 2 являются особыми программами, которые способны атаковать
удаленные компьютеры. Эти программы используют уязвимость протокола SMB, который
встроен в NetBIOS. Если пользователь предоставляет общий доступ к каким-либо папкам через
локальную сеть, скорее всего это осуществляется с помощью протокола SMB.
В рамках обмена данными по локальной сети происходит обмен данными хеш-таблиц паролей.
SMB Relay принимает соединения по UDP на портах 139 и 445, транслирует пакеты, которыми
обмениваются клиент и сервер, и подменяет их. После подключения и аутентификации
соединение с клиентом прерывается. SMB Relay создает новый виртуальный IP-адрес. Чтобы
получить новый адрес, выполните следующую команду: net use \\192.168.1.1. После этого доступ
к адресу открыт для любой сетевой функции Windows. SMB Relay транслирует весь обмен
данными по протоколу SMB через себя, кроме процессов установления соединения и
аутентификации. Удаленная атакующая сторона может использовать IP-адрес, пока подключен
клиентский компьютер.
SMB Relay 2 работает на основе того же принципа, что и SMB Relay, но использует имена NetBIOS
вместо IP-адресов. Обе программы могут осуществлять атаки «злоумышленник в середине».
Эти атаки позволяют удаленной атакующей стороне считывать, вставлять и изменять
сообщения между двумя сторонами, не обнаруживая себя. Атакованные таким методом
компьютеры зачастую прекращают отвечать на запросы пользователя или внезапно
перезагружаются.
Для того чтобы избежать проблем подобного рода, рекомендуется использовать пароли для
аутентификации или ключи.
Десинхронизация TCP
Десинхронизация TCP — это метод, который используется при атаках TCP Hijacking. Она
инициируется процессом, в котором порядковый номер входящих пакетов отличается от
ожидаемого порядкового номера. Пакеты с непредусмотренным порядковым номером
пропускаются (или сохраняются в буфере, если они присутствуют в текущем окне
подключения).
При десинхронизации обе стороны обмена данными пропускают полученные пакеты. В этот
момент злоумышленники могут заразить и передать пакеты с правильным порядковым
номером. Злоумышленники могут даже манипулировать обменом данных и вносить в него
изменения.
В атаках путем подмены одного из участников целью является внедрение в двухсторонний
обмен данными между сервером и клиентом. Многие атаки в этом случае могут быть
предотвращены путем использования аутентификации для каждого из сегментов TCP. Кроме
того, следует использовать рекомендуемые параметры для сетевых устройств.
14
Атака червей
Компьютерные черви — это содержащие злонамеренный код программы, которые атакуют
главные компьютеры и распространяются через сеть. Сетевые черви используют уязвимости
системы безопасности различных приложений. Благодаря Интернету они распространяются по
всему земному шару за считанные часы после запуска в сеть.
Многих из атак червей (Sasser, SqlSlammer) можно избежать, используя настройки персонального
файервола по умолчанию или с помощью блокировки незащищенных и неиспользуемых
портов. Очень важно регулярно устанавливать новейшие пакеты обновления операционной
системы.
Подделка записей кэша ARP
Протокол разрешения адресов (Address Resolution Protocol, ARP) преобразует адреса на канальном
(MAC-адреса) и сетевом (IP-адреса) уровнях. Атака путем поделки записей кэша ARP позволяет
злоумышленникам перехватывать обмен данными между сетевыми устройствами за счет
повреждения таблиц ARP сети (сопоставлений MAC- и IP-адресов устройств).
На используемый по умолчанию сетевой шлюз злоумышленник отправляет фальшивое
ответное сообщение ARP, которое информирует, что MAC-адрес связан с IP-адресом другого
целевого объекта. Когда используемый по умолчанию шлюз получает это сообщение и
транслирует данное изменение на все другие устройства в сети, весь трафик целевого
объекта на любое другое сетевое устройство начинает проходить через компьютер
злоумышленника. Это действие позволяет злоумышленнику проверять или изменять трафик
перед его перенаправлением в надлежащее место назначения.
Угрозы, распространяемые через
электронную почту
Электронная почта — это средство общения со множеством преимуществ.
К сожалению, из-за высокой степени анонимности электронная почта и Интернет открывают
возможности для такой незаконной деятельности, как рассылка спама. К спаму относятся
незапрошенные рекламные сообщения, письма-мистификации и распространение вредоносных
программ. Уровень опасности и причиняемого неудобства еще более высок, поскольку
стоимость отправки спама минимальна, а у его создателей есть множество средств для
получения новых адресов электронной почты. Кроме того, количество и разнообразие спама
сильно затрудняют контроль над ним. Чем дольше используется адрес электронной почты, тем
выше вероятность того, что он попадет в базы данных, используемые для рассылки спама.
Вот некоторые советы, помогающие избежать этого.
• По возможности не размещайте свой адрес электронной почты в Интернете.
• Давайте свой адрес только тем, кому полностью доверяете.
• По возможности не используйте распространенные слова в качестве псевдонимов (чем
15
сложнее псевдоним, тем труднее отследить адрес).
• Не отвечайте на спам-сообщения, которые попадают в ваш почтовый ящик.
• Будьте осторожны при заполнении форм на веб-сайтах (особенно если они содержат
пункты типа «Да, я хочу получать информацию»).
• Используйте разные адреса электронной почты (например, заведите один адрес для
работы, другой для общения с друзьями и т. д.).
• Периодически меняйте адрес электронной почты.
• Используйте какое-либо решение для защиты от спама.
Рекламные объявления
Реклама в Интернете является одним из наиболее бурно развивающихся видов рекламы. Ее
преимуществами являются минимальные затраты и высокая вероятность непосредственного
общения с потребителем. Кроме того, сообщения доставляются практически мгновенно.
Многие компании используют электронную почту в качестве маркетингового инструмента для
эффективного общения с существующими и потенциальными клиентами.
Этот вид рекламы является нормальным, так как потребители могут быть заинтересованы в
получении коммерческой информации о некоторых товарах. Однако многие компании
занимаются массовыми рассылками нежелательных коммерческих сообщений. В таких случаях
реклама по электронной почте выходит за границы допустимого, и эти сообщения
классифицируются как спам.
Количество нежелательных сообщений уже стало проблемой, и при этом никаких признаков
его сокращения не наблюдается. Авторы нежелательных сообщений часто пытаются выдать
спам за нормальные сообщения.
Мистификации
Мистификацией называется ложная информация, распространяющаяся через Интернет.
Обычно мистификации рассылаются по электронной почте или с помощью таких средств
общения, как ICQ и Skype. Собственно сообщение часто представляет собой шутку или
городскую легенду.
Связанные с компьютерными вирусами мистификации направлены на то, чтобы вызвать у
получателей страх, неуверенность и сомнения, побуждая их верить в то, что «не поддающийся
обнаружению вирус» удаляет их файлы, крадет пароли или выполняет какие-либо другие
вредоносные действия на их компьютерах.
Некоторые мистификации работают, предлагая получателям переслать сообщение своим
знакомым, за счет чего увеличивается масштаб мистификации. Существуют мистификации,
которые передаются через мобильные телефоны, мистификации, представляющие собой
просьбы о помощи, предложения получить деньги из-за границы, и прочие. Часто бывает
невозможно понять мотивацию создателя мистификации.
16
Если сообщение содержит просьбу переслать его всем знакомым, это сообщение с большой
вероятностью является мистификацией. Существует большое количество веб-сайтов, которые
могут проверить, является ли сообщение нормальным. Прежде чем пересылать сообщение,
которое кажется вам мистификацией, попробуйте найти в Интернете информацию о нем.
Фишинг
Термин «фишинг» обозначает преступную деятельность, в рамках которой используются
методы социальной инженерии (манипулирование пользователем, направленное на получение
конфиденциальной информации). Целью фишинга является получение доступа к таким
конфиденциальным данным, как номера банковских счетов, PIN-коды и т. п.
Попытка получения информации обычно представляет собой отправку сообщения якобы от
доверенного лица или компании (такой как финансового учреждения или страховой
компании). Сообщение может казаться благонадежным и содержать изображения и текст,
которые могли изначально быть получены от источника, якобы являющегося отправителем
данного сообщения. Под разными предлогами (проверка данных, финансовые операции)
предлагается предоставить какую-либо личную информацию, такую как номера банковских
счетов, имена пользователя, пароли и т. д. Если такие данные предоставляются, они легко
могут быть украдены и использованы в преступных целях.
Банки, страховые компании и другие легитимные организации никогда не запрашивают имена
пользователей и пароли в незапрошенных сообщениях электронной почты.
Распознавание мошеннических сообщений
Вообще существует несколько признаков, которые могут помочь распознать спам
(нежелательные сообщения) в почтовом ящике. Если сообщение соответствует хотя бы
нескольким из этих критериев, оно, наиболее вероятно, является нежелательным.
• Адрес отправителя отсутствует в адресной книге получателя.
• Предлагается получить большую сумму денег, но сначала нужно оплатить небольшую
сумму.
• Под разными предлогами (проверка данных, финансовые операции) предлагается
предоставить какие-либо личные данные, такие как номера банковских счетов, имя
пользователя, пароль и т. д.
• Сообщение написано на иностранном языке.
• Предлагается покупка продукции, в которой получатель не заинтересован. Однако если
получателя заинтересовало предложение, следует проверить, является ли отправитель
надежным поставщиком (например, проконсультироваться с представителем
производителя продукции).
• Некоторые из слов намеренно написаны с ошибками, чтобы обмануть фильтр спама.
Например, «ваигра» вместо «виагра».
17
Правила
В контексте решений для защиты от спама и почтовых клиентов под правилами понимаются
инструменты обработки электронной почты. Правило состоит из двух логических частей:
1.условие (например, получение сообщения с определенного адреса или с определенной
темой письма);
2.действие (например, удаление сообщения, перемещение его в указанную папку).
Количество и сочетания правил зависят от конкретного решения по защите от спама. Правила
предназначены для борьбы со спамом (нежелательными сообщениями). Стандартные примеры
приведены далее.
1. Условие: во входящем сообщении содержатся некоторые слова, часто присутствующие в
нежелательных сообщениях.
2. Действие: удалить сообщение.
1. Условие: у входящего сообщения есть вложение с расширением .exe.
2. Действие: удалить вложение и доставить сообщение в почтовый ящик.
1. Условие: входящее сообщение отправлено сотрудником компании, в которой работает
пользователь.
2. Действие: переместить сообщение в папку «Работа».
Чтобы упростить администрирование и более эффективно отфильтровывать спам,
рекомендуется использовать сочетание правил в программах защиты от спама.
«Белый» список
В целом, белый список — это перечень объектов или лиц, которые являются приемлемыми или
имеют разрешение. Термин «белый список электронной почты» (разрешенные адреса)
означает список контактов, от которых разрешено получать сообщения. Такого рода списки
создаются на основе поиска по ключевым словам в адресах электронной почты, именах домена
или IP-адресах.
Если «белый» список работает в «исключительном» режиме, получение сообщений с других
адресов, доменов или IP-адресов будет блокироваться. Если же «белый» список не является
исключительным, такие сообщения не будут удаляться, а будут обрабатываться каким-либо
другим способом.
«Белый» список обладает противоположным «черному» списку назначением. «Белые» списки
сравнительно просто поддерживать, значительно проще, чем «черные». Для большей
эффективности фильтрации спама рекомендуется использовать и «белый», и «черный» списки.
/