ИССЛЕДОВАНИЕ МЕХАНИЗМА РАСПРОСТРАНЕНИЯ ВИРУСОВ-ШИФРОВАЛЬЩИКОВ В ИНФОРМАЦИОННЫХ СЕТЯХ

Вредоносное программное обеспечение, включающее в себя компьютерные вирусы, троянские программы и сетевые черви, троянские программы, а также сетевые атаки злоумышленников – это всё то, что составляет уже практическую повседневную опасность не только для пользователей информационных технологий, но и для компаний, объединенных корпоративной сетью. Работоспособность информационных сетей в условиях совершенствующихся компьютерных атак во многом зависит от того, как организована их защита.

Эффективная защита от потенциальных компьютерных атак невозможна без их детальной классификации, облегчающей их выявление и задачу противодействия им. В настоящее время известно большое количество различных типов классификационных признаков. В качестве таких признаков может быть выбрано, например, разделение на пассивные и активные, внешние и внутренние атаки, умышленные и неумышленные и т.д.

Наиболее детально с точки зрения уязвимостей в системном, прикладном и сетевом программном обеспечении описывает атаки классификация, используемая в программном продукте Nessus, предназначенном для анализа безопасности серверов:

• «черные ходы» (Backdoors);
• ошибки в CGI скриптах (CGI abuses);
• атаки типа "отказ в обслуживании" (Denial of Service);
• ошибки в программах — FTP-серверах (FTP);
• наличие на компьютере сервиса Finger или ошибки в программах, реализующих этот сервис (Finger abuses);
• ошибки в реализации межсетевых экранов (Firewalls);
• ошибки, позволяющие пользователю, имеющему терминальный вход на данный сервер, получить права администратора (Gain a shell remotely);
• ошибки, позволяющие атакующему удаленно получить права администратора (Gain root remotely);
• прочие ошибки, не вошедшие в другие категории (Misc);
• ошибки в программах — NIS-серверах (NIS); ошибки в программах — RPC-серверах (RPC);
• уязвимости, позволяющие атакующему удаленно получить любой файл с сервера (Remote file access);
• ошибки в программах — SMTP-серверах (SMTP problems); неиспользуемые сервисы (Useless services).

Кроме того, по типу программной среды они подразделяются на уязвимости в операционной системе, уязвимости в определенном сервисе и уязвимости в определенном программном обеспечении. Для определения уязвимости в операционной системе используется параметр Host/OS, уязвимости в конкретных сервисах и в определенном программном обеспечении классифицируются по группам.

Данная классификация не охватывает всех существующих сетевых атак, за пределами рассмотрения остаются такие опасные атаки, как атаки типа "отказ в обслуживании", перехват данных и атаки, направленные на сетевое оборудование, однако в ней используется классификационный признак – «по характеру уязвимости», что наиболее сильно приближает данную классификацию к современным реалиям.

Наиболее популярным у злоумышленников стало использование уязвимостей системного программного обеспечения. Такая тенденция появилась, в основном, после того, как в августе 2016 группа, именующая себя как «The Shadow Brokers», объявила, что она взломала Агентство национальной безопасности (АНБ), и в апреле 2017 года опубликовала некоторые виды украденного «кибер-оружия». В частности, в украденных данных содержалась информация о найденных уязвимостях в протоколе Server Message Block (SMB), которой подвержены компьютеры, работающие на основе операционной системы Windows, а также эксплойты для эксплуатации этих уязвимостей. Впоследствии опубликованные уязвимости были использованы неизвестными лицами для создания сетевого червя-вымогателя WannaCry и проведения одной из самых масштабных кибератак. Также стало известно о публикации уязвимостей нулевого дня. Все опубликованные уязвимости — эксплойты и прочие инструменты, которые можно считать кибероружием, нацеленные на получение несанкционированного доступа к системам семейства Windows. Как известно из опубликованных данных, авторство бэкдора DoublePulsar также принадлежит АНБ.

В общем смысле вирус-шифровальщик – это вредоносная программа, которая заражает компьютер и шифрует на нем файлы, удаляет теневые копии файлов, таким образом делая невозможным восстановление предыдущих версий файлов. Шифруются все файлы со стандартными расширениями .jpg, .png, .doc, .xls, .dbf и т.д. Другими словами, шифруются картинки, документы, таблицы, файлы баз данных и другие стандартные файлы, которые как раз и представляют весь интерес для пользователя. Для получения доступа к файлам вирус предлагает совершить платеж.

WannaCry содержится в двух файлах:

• файл, который имеет функциональность сетевого червя;
• ZIP-файл, который содержит необходимые компоненты для шифрования пользовательских файлов посредством генерации уникального 128 битного ключа при помощи алгоритма AES, который затем шифруется с помощью открытого RSA-ключа. Данные алгоритмы выбраны неслучайно: AES является производительным и достаточно устойчивым к криптоанализу, RSA также является алгоритмом, устойчивым к криптоанализу, основывающимся на вычислительной сложности задачи факторизации больших целых чисел [1].

Первый файл, помимо функциональности сетевого червя, использует эксплоит EternalBlue, который реализует уязвимость в реализации протокола SMBv1 – злоумышленник, сформировав и передав на удалённый узел особо подготовленный пакет, способен получить удалённый доступ к системе и запустить на ней произвольный код. Более 500 000 компьютеров были заражены в течение первых двух недель, а в мае 2017 года была распространена основная атака WannaCry.

Статистика по возможности эксплуатации уязвимости EternalBlue неутешительная [3]. Основная масса атак WannaCry уже прошла, но на многих узлах сети по-прежнему не закрыта уязвимость протокола SMBv1 (см. Рисунок 1). Более того, многие по-прежнему пользуются этой версией протокола SMB, безопасность которой уже давно была под сомнением.

Рисунок 1. Статистика возможности использования эксплоита EternalBlue

Для исследования механизма проникновения вирусов-шифровальщиков в информационную сеть посредством эксплуатации данной уязвимости был развернут тестовый стенд, включающий в себя:

• целевую систему – Windows Server 2016, 64 бит;
• атакуемую систему – GNU/Linux Debian, 64 бит. Данная система поддерживает работу инструментов Python v2.7, Ps1Encode, Metasploit Framework.

Обе системы находятся в одной подсети, что не влияет на результат исследования.

Реализация эксплоита написана на языке Python и хранится на компьютере злоумышленника вместе с образцом WannaCry. При этом образец вируса-шифровальщика лишен модуля, реализующего эксплоит, в связи с тем, что тестовое проникновение в атакуемую систему будет совершаться в два этапа.

В качестве входных параметров используются два параметра: IP-адрес целевой машины и имя потока (pipe name). Pipe – это тип общих ресурсов, который поддерживает протокол SMB.

Для доступа в целевую машину в экспоите используется функция, выполняющая команды загрузки и запуска в meterpreter (инструмент для создания, тестирования и использования эксплоитов), после чего эксплоит получает meterpreter-сессию на целевой машине с системными привилегиями. После этого целевая машина полностью находится под управлением атакуемой машины, что дает шанс загрузить в нее любой исполняемый код, в том числе образец вируса-шифровальщика.

EternalBlue не является первой критической уязвимостью, обнаруженной за эти годы в SMBv1, и исследователи безопасности уверены, что это далеко не последняя уязвимость. Таким образом, даже при использовании последних исправлений постоянное использование этого протокола является серьезной проблемой безопасности.

Microsoft пытается заставить компании прекратить использование SMBv1 в течение многих лет и даже создала список сторонних продуктов [2], таких как принтеры и программные продукты, которых следует избегать со стороны клиентов, поскольку они требуют включения этой старой версии протокола на компьютерах.

Ошибки кода не единственная проблема для SMBv1. По сравнению с SMBv2, который был представлен в Windows Vista и SMBv3, который был добавлен в Windows 8, SMBv1 не имеет существенных функций безопасности и оптимизации производительности. Например, он не поддерживает шифрование, поэтому злоумышленники, перехватывающие сетевой трафик, могут использовать атаку типа MITM.

Таким образом, можно выделить несколько фаз атаки современных вирусов-шифровальщиков:

• фаза 1: предполагает внешнюю разведку, которая направлена на сканирование, поиск организаций с конечными устройствами, на которых открыт порт 445 и где существует возможность использования эксплоита EternalBlue. В ходе данной фазы также создаются элементы (код), которые будут внедрены в процесс SMB. Фаза завершается использованием эксплоита EternalBlue и внедрением в системный процесс SMB, в том числе за счет создания записи в реестре Windows.

• фаза 2: предполагает внутреннюю разведку, которая также направлена на сканирование устройств с открытым портом 445, однако выполняется она теперь уже во внутренней сети организации. После использования эксплоита EternalBlue и внедрения в процесс SMB, вирус-шифровальщик копирует себя на уязвимые конечные устройства, используя DoublePulsar. Процесс повторяется на каждом зараженном компьютере.
• фаза 3: предполагает непосредственное получение контроля. На этом этапе вирус-шифровальщик полностью внедрен в информационную сеть. Начинается процесс шифрования файлов, после чего пользователю показывается окно с выкупом.

В ходе последнего этапа вирус также выполняет следующее:

• «убивает» процессы, которые имеют открытые базы данных, чтобы гарантировать доступ для их шифрования;
• не разрешает загрузку системы в режиме восстановления, скрывает корзину;
• получает доступ к системным файлам и удаляет существующие папки с теневыми копиями, чтобы не дать пользователю возможность восстановить информацию.

Для предотвращения размножения современных вирусов-шифровальщиков и предотвращения нарушения свойств информации, обрабатываемой в системе, не подходят методы, основанные на сигнатурных способах обнаружения вредоносного программного обеспечения. В условиях появления новых способов атак и вредоносных объектов наиболее эффективны механизмы динамической фильтрации пакетов и динамического анализа программного обеспечения, при котором исследуемый объект запускается в изолированной среде, где происходит дальнейшее исследование его активности.

Динамическая фильтрация пакетов дает возможность разрешить любой тип исходящего трафика, а для входящего трафика разрешить только тот трафик, который является ответом на направленный ранее запрос.

Динамический анализ программного обеспечения не полагается на сигнатурные механизмы обнаружения вредоносного кода и оценивает действия, выполняемые кодом, их безопасности и корректности в данном программном окружении.

Список литературы:

1. Бутакова Н.Г. Криптографические методы и средства защиты информации [Текст] : Учеб. пособие / Н. Г. Бутакова, Н. В. Федоров. - СПб. : ИЦ "Интермедия", 2017. - 384 с.
2. Информация о SMBv1. [Электронный ресурс]. – Режим доступа: https://blogs.technet.microsoft.com/filecab/2017/06/01/smb1-product-clearinghouse/ (дата обращения: 1.12.2017).
3. Статистика распространения EternalBlue [Электронный ресурс]. – Режим доступа: http://omerez.com/eternal-blues-stats-explained/ (дата обращения: 30.11.2017).