Современные
информационные технологии/4. Информационная безопасность
Матвієнко
І.В., керівник Бойко В.В.
Донецький
національний технічний університет
Дослідження вірусної активності в телекомунікаційних системах кампусного
типу
1. Постановка задачі
Метою дослідження є з’ясування механізмів розповсюдження
вірусних загроз в мережах кампусного типу, та загальне формулювання критеріїв
для подальшої розробки методу протидії розповсюдженню вірусної активності в
подібних системах.
Методологія дослідження полягає в наступному:
1)
Загальний аналіз шкідливих програм та способів їх дії і розповсюдження,
виходячи із всесвітньої практики боротьби з вірусами;
2) Аналіз
існуючих загроз в реальній системі з використанням статистики, при
спостереженні за вже існуючою мережею учбового корпусу;
3)
Виділення актуальних загроз для даного типу систем.
2. Аналіз матеріалів з Інтернет
Серед головних загроз для телекомунікаційних мереж можна
виділити дві основні, що в свою чергу є найбільш небезпечними:
- Хакерські атаки;
- Вірусна активність.
Методи боротьби з першою загрозою реалізуються за
допомогою впровадження політики та системи безпеки в телекомунікаційних
мережах. Типовою атакою може бути, наприклад, DoS
атака (Denial of Service), що призводить до відмови в обслуговуванні на певний час головного вузла
мережі.
Можливі й інші точкові атаки, наприклад для заволодіння
паролем адміністратора мережі і подальшого спричинення шкоди інформації. Даний
вид загрози ліквідується за допомогою аутентифікації доступу до важливих
елементів мережі.
Для ефективності парольної аутентифікації необхідно
дотримання стандартної адміністративної політики парольного захисту [1].
Як показує практика для подібних систем найбільшу загрозу
становить вірусна активність, що впливає наступним чином:
- Призводить до суттєвого зниження продуктивності системи
в цілому;
- Втрата або ушкодження даних в системі;
- Збір та передача важливої інформації до зловмисника з
подальшим перехопленням контролю над системою.
Методи проникнення вірусних програм в мережу через робочі
станції та мобільні пристрої, що підключені до мережі, наведені нижче.
Користувач самостійно, через незнання не бажаючи цього,
або навмисно запускає програму-вірус на виконання – так званий «троянський
кінь».
Без відома користувача за рахунок помилок в
ОС(операційних системах) та ПЗ(програмному забезпеченні), що використовується
користувачем та в мережному устаткуванні. При цьому користувач жодним чином
наочно не може розпізнати загрозу. Частими випадками є розповсюдження мережних
вірусів через вразливість мережних підсистем розповсюджених ОС та ПЗ.
Компанії по розробці антивірусного ПЗ та дослідницькі
центри виділяють наступні типи шкідливих програм:
- Віруси та мережні черви;
- Троянські програми;
- Шкідливі утиліти.
Серед перелічених типів лише мережні черви мають
здатність до несанкціонованого користувачем самостійного розмноження на робочих
станціях та в комп’ютерних мережах. Головною ознакою, за якою відрізняють типи
поведінки вірусів та червів, є спосіб їхнього розповсюдження по локальних та мережних
ресурсах.
До даної категорії шкідливих програм відносять наступні
поведінки: Email-Worm, IM-Worm, IRC-Worm, Net-worm, P2P-Worm, Worm, Virus.
На відміну від червів, віруси, троянські програми та
шкідливі утиліти не використовують мережних засобів для свого розповсюдження та
проникнення на інші комп’ютери.
3. Аналіз існуючих загроз в мережі учбового корпусу
Наведені вище загрози є загальними для сукупності усіх
мереж, в тому числі й Інтернет. В розглядуваному випадку необхідно виділити з
них актуальні для даного типу систем.
Дослідження проблеми розповсюдження шкідливого трафіку
було виконано в реальній телекомунікаційній мережі учбового корпусу
університету за допомогою збору статистики роботи антивірусного програмного
забезпечення серверів мережі.
Використовуване антивірусне програмне забезпечення (NOD32)
встановлено на головних файлообмінних серверах мережі
корпусу.
Метою даного аналізу є виділення з вище наведеної
класифікації шкідливих об’єктів тих, що є в log-файлах
серверів досліджуваної мережі. Після чого необхідно провести аналіз методів
їхнього розповсюдження в мережі за аналітичними даними антивірусних лабораторій
і сформувати загальні принципи їхніх дій в мережі.
На основі даних з лістингів сформуємо таблицю 1 шкідливих
програм, що були зафіксовані в log-файлах.
Варто також зауважити, що до цієї таблиці доцільно внести
шкідливі програми з рейтингів найбільш активних вірусів, бо саме вони можуть
стати загрозою роботі системи в найближчий час. Ці рейтинги можна дізнатись на
Інтернет ресурсах антивірусних лабораторій [2],
[3].
Таблиця 1 Актуальні вірусні програми, що становлять
загрозу для системи
|
№ п/п |
Назва |
Тип |
Джерело |
|
1 |
Win32/Conficker.AA |
Worm |
Log NOD32 |
|
2 |
Win32/AutoRun.Agent.LK |
Worm |
Log NOD32 |
|
3 |
INF/Autorun |
Virus |
Log NOD32 |
|
4 |
Win32/Peerfrag.CE |
Worm |
Log NOD32 |
|
5 |
Worm |
Лабораторія
Касперського |
|
|
6 |
Virus |
Лабораторія
Касперського |
|
|
7 |
Trojan |
Лабораторія ESET |
|
|
8 |
Trojan |
Лабораторія Dr.Web |
|
|
9 |
Worm |
Лабораторія Dr.Web |
|
|
10 |
Net-Worm |
Лабораторія
Касперського |
|
|
11 |
Virus |
Лабораторія
Касперського |
|
|
12 |
Virus |
Лабораторія Dr.Web |
|
|
13 |
Win32.Mabezat.b |
Worm |
Лабораторія
Касперського |
|
14 |
Net-Worm |
Лабораторія Dr.Web |
|
|
15 |
Win32.Klone.bj |
Trojan-Arc Bomb |
Лабораторія ESET |
|
16 |
Trojan |
Лабораторія
Касперського |
|
|
17 |
Packed.Win32.Katusha.b |
Trojan-Arc Bomb |
Лабораторія
Касперського |
|
18 |
Worm.Win32.AutoIt.i |
Worm |
Лабораторія Dr.Web |
|
19 |
Trojan-Dropper |
Лабораторія
Касперського |
|
|
20 |
Email-Worm |
Лабораторія ESET |
Найбільш важливою інформацією для протидії загрозам в
мережі є методика їхнього розповсюдження. Як вже було з’ясовано на попередньому
етапі не всі шкідливі програми можуть розповсюджуватись в системі самостійно.
Тобто уражений клієнт може заразити інших лише вірусами типів: Worm та Net-Worm.
Для зараженням усіма іншими типами необхідний як мінімум
запуск вірусу на робочій станції «жертви» користувачем власноруч помилково,
через неуважність, тощо.
Отже зусилля по аналізу механізмів розповсюдження
шкідливих програм в системі треба зосередити на типах: Worm та Net-Worm.
Механізм розповсюдження типового Worm в мережі на прикладі Net-Worm.Win32.Kido.ih.
При зараженні
комп'ютера черв запускає HTTP сервер на випадковому TCP порту, який потім
використовується для завантаження файлу черва на інші комп’ютери.
Черв отримує
список IP адрес комп'ютерів, що знаходяться в мережному оточенні зараженої
машини і робить на них атаку, що використовує уразливість переповнення буфера
MS08-067 в сервісі «Сервер» [4]. Після
чого відбувається інсталяція черва.
Для того, щоб
скористатися вищевказаною вразливістю, черв намагається підключитися до
віддаленої машини під обліковим записом адміністратора. Для цього черв
послідовно перебирає послідовність запрограмованих паролей.
Механізм
розповсюдження типового черва сімейства Conficker та Win32.Conficker за даними досліджень лабораторії ESET [5] наведено нижче.
Черви
запускають на ураженому комп’ютері HTTP сервер. Після чого виконують спроби
підключення до інших комп’ютерів мережі через порти 139, 445 протоколу TCP у спробах використання вразливості сервісу «Сервер» на
віддалених комп’ютерах для подальшого завантаження на них своїх копій.
Черв типу Win32.Conficker.X використовує випадково обраний порт
протоколів UDP та TCP для підключення до «жертв».
Черв Win32.Conficker.AE для розповсюдження своїх копій, окрім вище
вказаних способів, використовує перебір IP адрес в мережах ураженого комп’ютера та використовує
відкриті для загального доступу папки на цих комп’ютерах. Для доступу до них
виконується перебір імен користувачів та паролів з власної бази.
Також може
використовувати вразливість системи авто запуску змінних накопичувачів в
системі Windows для копіювання себе на інший комп’ютер.
На рисунку 1
показана загальна схема вразливості типової логіки підключення до
телекомунікаційної мережі.
Рисунок 1 –
Вразливість стандартної схеми підключення до IP мережі
Висновки
Розповсюдження
мережних вірусів системою можливе через наступні вразливості:
1) Загальна
фізична та IP середа передачі даних. Ця уразливість може
бути ліквідована за допомогою організації з’єднань точка-точка між клієнтом та
сервером. В такому випадку навіть якщо комп’ютер клієнта уражений мережним
вірусом він зможе атакувати лише один вузол системи – сервер, а усі інші
клієнти для нього залишаться недосяжними.
2) Уразливість
служб «Сервер» та «Автоматичний запуск для змінних накопичувачів». Ці служби
можуть бути відключені клієнтом самостійно, проте вони завжди активовані за
умовчанням в системі Windows.
3) Неконтрольований доступ до Інтернет. Надання
доступу до Інтернет має супроводжуватись налаштуванням системи NAT на шлюзі до глобальної мережі та своєчасним оновленням
антивірусних баз шлюзу для запобігання несанкціонованих запитів з внутрішньої
мережі.
Виходячи з
цього, наступним кроком буде розробка критеріїв за якими має працювати метод
усунення небажаного трафіка та пропозиція варіанту реалізації цього метода.
Література:
1. Инструкция по организации парольной защиты
http://www.arnis.ru/pass_rules.htm
2. Дані спостережень антивірусної лабораторії «Касперського». http://www.kaspersky.ru/viruswatchlite?hour_offset=-2
3. Дані спостережень антивірусної
лабораторії Dr.Web. http://live.drweb.com/
4. Детальна
інформація про вразливість сервісу «Сервер» в ОС Windows. http://support.microsoft.com/kb/958644/ru
5. Інформація лабораторії ESET про механізми роботи мережних червів. http://www.eset.eu/support/encyclopaedia