Вредоносный код – это компьютерный скрипт, специально разработанный для создания и эксплуатации уязвимостей в системе. Злоумышленники разрабатывают вредоносный код для внесения несанкционированных изменений в компьютерную систему, ее повреждения или организации долговременного доступа к ней. Результатом действия вредоносного кода может стать загрузка бэкдора, нарушение системы защиты, кража информации и другой ущерб для файлов и компьютера.
Вредоносный код – это «язык», с помощью которого злоумышленники могут манипулировать компьютерной системой, провоцируя ее на опасные действия. Он создается путем добавления изменений или расширений к существующему программному коду, используемому в компьютерных программах, файлах и инфраструктуре.
Вредоносный код – это главный инструмент подавляющего большинства кибератак. Хакеры ищут и находят слабые места в языках компьютерного программирования. Затем они пишут «фразы» – так называемые скрипты или списки команд, предназначенные для эксплуатации уязвимостей в этих языках. Такие скрипты можно использовать неоднократно, причем этот процесс можно автоматизировать с помощью макрокоманд, которые для краткости называют макросами.
Если бы хакерам и прочим злоумышленникам пришлось вручную выполнять все задачи, связанные с использованием уязвимостей в компьютерных системах, это потребовало бы от них очень много времени. К сожалению, использование вредоносного кода позволяет автоматизировать атаки. Существует даже код, способный воспроизводиться, распространяться и совершать вредоносные действия самостоятельно. В других случаях требуются действия пользователей для загрузки вредоносного кода или взаимодействия с ним.
Действие вредоносного кода может иметь следующий результат:
Чтобы знать, как защитить себя, давайте разберемся, как работают эти угрозы.
Вредоносный код способен манипулировать любым программируемым компонентом компьютерной системы. С его помощью можно воздействовать как на масштабные компоненты системы (например, сетевую инфраструктуру), так и на более мелкие, такие как приложения и программы для компьютеров и мобильных устройств. Веб-сервисы, такие как веб-сайты и онлайн-серверы, также могут стать мишенями для атаки. Вредоносным кодом можно заразить любое компьютерное устройство, например:
С помощью вредоносных скриптов и программ хакеры взламывают отдельные элементы компьютерных систем. При этом они могут преследовать несколько целей:
Создание и распространение вредоносного кода происходит в несколько этапов. Для перехода на каждый новый этап вредоносному скрипту могут потребоваться действия пользователя или какая-либо активность на компьютере. Однако некоторые разновидности вредоносного кода могут действовать совершенно автономно. Большинство атак с помощью вредоносного кода происходит по следующей схеме:
Поиск уязвимости и написание кода – это первая фаза атаки. Прежде чем взломать систему, злоумышленнику нужно получить инструмент для взлома. Для этого нужно написать вредоносный код, но можно использовать или модифицировать уже существующий.
Результатом может быть автоматически исполняемое приложение, способное активировать само себя и принимать различные формы. Это могут быть макросы и скрипты на JavaScript, элементы управления ActiveX, командлеты Powershell, пуш-контент, плагины, сценарные языки или другие языки программирования, предназначенные для усовершенствования веб-страниц и электронной почты.
Проникновение вредоносного кода в компьютерные системы может происходить через интерфейсные разъемы, такие как USB, или через сетевые соединения, такие как мобильная связь или Wi-Fi. Для успешного проникновения вредоносного кода нужно всего лишь найти способ доставить его на устройство.
Масштабные атаки осуществляются через каналы, имеющие широкий охват, например через популярные веб-сайты и спам-рассылку. Если атака имеет более конкретную цель, хакеры используют методы социальной инженерии, например целевой фишинг. Иногда вредоносный код удается внедрить в корпоративную сеть компании через сотрудника, который подключает зараженное USB-устройство к своему рабочему компьютеру.
Если вредоносный код совместим с системой, которая подверглась атаке, то происходит его активация. Результатом атаки с помощью вредоносного кода могут стать следующие несанкционированные действия:
Вредоносный код может использоваться для непосредственного взлома систем, для обеспечения вторичной вредоносной активности или для самовоспроизводства и распространения. В любом случае, оригинальный код должен перемещаться с одного устройства на другое.
Угроза может распространяться практически через любой канал передачи данных, в том числе:
Стандартный путь для проникновения вредоносного кода в систему – через зараженный сайт или вредоносную ссылку/вложение в электронном письме. Угроза может исходить не только из очевидно вредоносного источника, но и из вполне легитимного. Злоумышленники используют для своих целей любые средства – от общественных USB-портов для зарядки до инструментов обновления ПО.
Вредоносную нагрузку не всегда легко распознать, но общедоступные соединения для передачи данных и службы обмена сообщениями – это основные пути передачи вредоносного кода. Кроме того, хакеры часто встраивают вредоносный код в ссылки и вложения.
Некоторые разновидности вредоносного кода находят слабые места в защите компьютера и получают доступ к ценным данным. Их список постоянно растет. Перечислим наиболее распространенные из них.
Вирус – это самовоспроизводящийся вредоносный код, который прикрепляется к программам с поддержкой макросов для активации. Этот вредоносный код распространяется через документы и другие загружаемые файлы. После активации вирус начинает размножаться и распространяться внутри системы и через подключенные к ней сети.
Черви, как и вирусы, – это тоже самовоспроизводящийся и самораспространяющийся код. Однако им для этого не нужны никакие дополнительные средства. Как только компьютерный червь проникает на устройство, он начинает действовать совершенно автономно. Ему не нужна поддержка запускаемой пользователем программы.
Троянцы – это файлы-ловушки, которые несут в себе вредоносную нагрузку. Для активации кода пользователь должен открыть файл или запустить программу. Троянцы не умеют воспроизводиться или распространяться в автономном режиме. Однако они могут быть переносчиками вирусов, компьютерных червей и другого вредоносного кода.
Межсайтовый скриптинг – это внедрение вредоносных команд в веб-приложение, в результате чего вредоносный код попадает в веб-браузер пользователя. Такой вредоносный код может видоизменять контент веб-сайтов, перехватывать конфиденциальную информацию и заражать устройство пользователя.
Бэкдор – это вредоносный код, который позволяет киберпреступникам получить удаленный доступ к атакуемой системе. С его помощью они могут не только похитить конфиденциальную информацию (например, корпоративные базы данных), но и организовать целевую продолжительную атаку повышенной сложности (атака типа APT).
В дальнейшем злоумышленники могут перемещаться по системе горизонтально, уничтожать данные или установить на компьютер шпионское ПО. Подобные атаки могут быть нацелены на объекты самого высокого уровня. Так, Счетная палата США даже выпустила предупреждение о том, что вредоносный код представляет угрозу для национальной безопасности.
Вредоносный код может быть очень разнообразным, и в недавнем прошлом он был весьма активен. Вот наиболее известные из таких атак.
Троянскую программу Emotet впервые обнаружили в 2014 году. В результате эволюции Emotet из вредоносной программы превратился в почтовый спам, переносящий вредоносный код. Чтобы обманом вынудить пользователей загрузить троянца, злоумышленники используют фишинговые приемы: например, пишут в теме письма фразу «Требуется срочный платеж».
Проникнув на устройство, Emotet запускает скрипты, которые доставляют вирусы, устанавливают вредоносное ПО для взаимодействия с командными серверами с целью создания ботнета и т. д. В 2018 году атаки этого троянца временно прекратились, но затем он вернулся уже в качестве SMS-угрозы.
Компьютерный червь Stuxnet и его преемники начали атаковать инфраструктуру государственных объектов в 2010 году. Первая задокументированная атака была направлена на ядерный проект Ирана. Червь распространялся через USB-накопители и выводил из строя критически важное оборудование. Stuxnet прекратил свое существование, но его исходный код использовался для осуществления схожих узконаправленных атак вплоть до 2018 года.
Лучшая защита от большинства вредоносных атак – это антивирусное ПО с функцией автоматического обновления, которое способно удалять вредоносные программы и обеспечивать безопасность на уровне веб-браузера. Но предотвратить заражение вредоносным кодом с помощью только лишь антивирусной программы не всегда возможно.
Антивирусное ПО, как правило, защищает от вирусов и других видов вредоносных программ. В более широком смысле вредоносный код включает веб-скрипты, которые используют уязвимости для загрузки вредоносных программ. Поэтому не все антивирусные программы могут противостоять заражению или другим последствиям, возникшим в результате действия вредоносного кода.
И хотя антивирусные продукты необходимы для проактивного удаления заражений и защиты устройств, мы рекомендуем пользователям принять дополнительные меры безопасности.
Полезные ссылки:
Мы используем файлы cookie, чтобы сделать работу с сайтом удобнее. Продолжая находиться на сайте, вы соглашаетесь с этим. Подробную информацию о файлах cookie можно прочитать здесь.