Читаем Журнал PC Magazine/RE №01/2010 полностью

Самый опасный инструментарий компьютерных преступников наших дней – ботнеты, объединенные в сеть компьютеры, на которые каким-либо образом было установлено вредоносное ПО для управления извне и которые используются для дальнейшего распространения цифровой заразы, а также рассылки спама, взлома учетных записей и тому подобной деятельности. Исследователи из Калифорнийского университета в Санта-Барбаре изучают ботнеты и разрабатывают методики противодействия их распространению весьма радикальным способом – внедряясь в уже существующие вредоносные сети.

Калифорнийских компьютерных инженеров заинтересовал такой весьма распространенный в наши дни тип Web-атаки, как drive-by downloading. Невинный, на первый взгляд, термин drive-by («мимоездом») родился в США в лихие тридцатые. Так называли в то время довольно распространенный тип мафиозных разборок – когда в зарвавшегося конкурента или слишком уж неподкупного чиновника стреляли прямо из проносящегося автомобиля, часто даже не сбавляя скорости.

Сейчас под drive-by downloading подразумевают загрузку вредоносного ПО на компьютер пользователя, который посещает вполне легитимный, на первый, взгляд сайт. Пару лет назад можно было с уверенностью утверждать, что Web-заразу не подцепить, если не разгуливать намеренно по порносайтам или хранилищам всевозможного «вареза».

Однако теперь – как раз благодаря освоенной «черными хакерами» мощи ботнетов – удается взламывать вполне добропорядочные сайты и незаметно внедрять на них загрузочные скрипты. В результате круг подверженных заражению пользовательских ПК серьезнейшим образом расширяется, особенно если удается подсадить загрузочный скрипт на сайт популярного портала или социальной сети.

Исследователи из Калифорнийского университета решили изучить проблему изнутри, установив в своей лаборатории несколько мощных ПК безо всякой защиты и намеренно допустив их вовлечение в Mebroot – известный с 2007 г. крупный ботнет, скрипты которого поражают загрузочный сектор (MBR) компьютеров, работающих под ОС семейства Windows. Сами же эти скрипты представляют собой код на Javascript, который стоящие за Mebroot «черные хакеры» активно – и нередко результативно – внедряют в разнообразные добропорядочные сайты, главным образом социальной и бизнес-направленности.

Собственно же drive-by downloading с зараженного сайта производится тогда, когда его посетитель получает от внедренного на сайт скрипта ссылку на страницу с вредоносным кодом, продолжая оставаться в полной уверенности, что ссылка эта вполне легитимная. Бороться с такой напастью не просто: внести сайт, на котором размещена зараза, в черный список невозможно, поскольку каждый день этот сайт – новый.

Получив необходимые данные, калифорнийские исследователи смогли на некоторое время перехватить управление частью Mebroot – предвычислив ближайшие актуальные Web-адреса хранилищ загрузочного вредоносного кода, зарегистрировав их на себя и разместив там собственные скрипты для drive-by downloading, которые не наносили вреда «зараженным» пользователям, но собирали неперсонифицированную информацию об их системах.

Выяснилось, что наиболее подвержены опасностям drive-by downloading те, кто до сих пор хранит верность Windows XP, – среди вовлеченных в перехваченный сегмент Mebroot таковых оказалось 64 %. Еще 23 % составили системы с Windows Vista и более 6 % – компьютеры под управлением Mac OS X 10.4 и 10.5.