В общем случае любая так называемая программная закладка — это техническое решение, которой злоумышленник может использовать для входа в компьютерную систему. Обычные пользователи используют защищенные пути, использующие блоки логанов и пароли для входа в систему. Для большей защиты системы даже администратор системы может добавить некоторые защитные свойства к этой системе, но злоумышленник может легко использовать установленную закладку для входа в систему без пароля или авторизации.

Как известно, большинство злоумышленников должны уметь маскировать и защищать свою закладку в системе жертве. Им не нравится, что бы какой то другой злоумышленник использовал это же слабое место для входа в систему жертвы и из менял их конфигурации. Поэтому опытной злоумышленник после получения доступа всегда защищает обнаруженное им слабое место, которое используется для получения доступа к системе.

Злоумышленник всегда старается сделать очень защищенную закладку, даже еще более защищенную, чем предусмотренный разработчиками путь для входа в систему. Обычный пользователь может использовать только один пароль для пользования системой, но подобная несанкционированная закладка может потребовать использования нескольких аутентификаций или SSH слоя, чтобы позволить злоумышленнику многократно пользоваться атакуемой системой. Эксперты знают, что обычно сложнее войти в систему жертвы из инсталлированной закладки в сравнении с процедурой обычной регистрации.

8.З.1.2. Основные пути внедрения программных закладок

В большинстве случаев после установления факта перехвата управления системой со стороны злоумышленника, он устанавливает специальную программную закладку в системе жертвы для получения неограниченного доступа в будущем.

Один из наиболее широко используемых на практике способов инсталляции закладки состоит в использовании программного обеспечения ActiveX. Как только пользователь посещает сайт, встроенный ActiveX может автоматически запускаться в системе. При этом большинство сайтов в интернете отображают сообщение о запуске ActiveX в форме голосового обмена информации в реальном времени, загружая приложения или проверяя пользователя. При этом очень часто используется ряд приложений для улучшения возможностей сайтов (приложения Java) которые имеют ограниченный доступ к системе, но с ActiveX злоумышленник имеет полное управление над машиной, которая выполняет данный ActiveX.

Microsoft много раз официально сообщала о реализации мероприятий политики безопасности для защиты системы от этого мошенничества. Например должно соблюдаться условие, что разработчики ActiveX обязаны подписать свои опубликованные файлы ActiveX и подпись должна быть действующей. Если какой-либо пользователь хочет запустить ActiveX без действующей подписи, браузер показывает предупреждение касательно проблем с безопасностью, которые могут случиться после запуска ActiveX. К сожалению, большинство пользователей не обращают внимания на это предупреждение и запускают любой ActiveX, который встраивается для просмотра страницы сайта. Следует иметь ввиду, что это может быть очень опасным — запускать ActiveX без действующей подписи из неизвестного источника.

8.3.1.3. Механизмы организации необнаруживаемого управления

Злоумышленники обычно используют различные механизмы для того, чтобы сделать свои закладки необнаруживаемыми и неотслеживаемыми. Если системный администратор видит необычное поведение системы, он может понять, что может быть вызвано вирусом или закладкой, поэтому он будет вынужден искать закладку и злоумышленник больше не сможет получить доступ к системе. Если администратор сможет отследить назначение таких пакетов, он также сможет в итоге выявить злоумышленника. По этой причине опытные злоумышленники всегда стараются спрятать свои связи и задачи закладки. При этом они используют несколько способов выполнить подобное сокрытие, некоторые из них мы коротко ниже описываем.

8.3.1.4. Использование криптографии

Во многих ситуациях злоумышленники используют криптографию для кодирования передаваемых данных между системой жертвой и злоумышленником. Они использую различные методы шифрования для подачи команд и передачи данных между машиной жертвой и системой злоумышленника, прозрачные для системного администратора при мониторинге сетевого трафика и поведения.

В большинстве случаев нет необходимости использовать какой-то оригинальный метод шифрования, так как злоумышленник обычно использует только стандартные алгоритмы кодирования для сокрытия данных во время передачи. Если злоумышленник использует очень мощный метод (типа RSA), он может вызвать увеличенную загрузку ЦПУ машины жертвы и время передачи удлинится.