2. Onlayn dasturlar video foto va audioga ishlov berish platformalari

Foydalanuvchi rejimida ishlovchi rutkitlarga o‘tilishi jarayoni

Download 249,23 Kb.

bet	7/12
Sana	22.07.2022
Hajmi	249,23 Kb.
	#835720

1 2 3 4 5 6 7 8 9 ... 12

Bog'liq
POKIZA JUMAEVANING DIPLOM ISHI

3.2.Foydalanuvchi rejimida ishlovchi rutkitlarga o‘tilishi jarayoni
Foydalanuvchi rejimida ishlovchi rutkitlarga o‘tilishi jarayoni – hozirgi rutkit ishlab chiquvchilarda kuzatilayotgan tendensiyalardan biridir. Masalan,Sophos tadqiqotchilari ZeroAccess rutkiti dasturchilari to‘liq ravishda ushbu rejimdan foydalanishga o‘tganligini aniqladilar. Bizning fikrimizcha, bunday harakatlarning sabablari quyidagilar bo‘lishi mumkin:

Yuqorida ham aytilganidek, yadro rejimida ishlovchi rutkitni ishlab chiqish juda murakkab bo‘lib, uni jabrlanuvchining sistemasiga sezdirmasdan joylashtirish va o‘z hujumlari uchun foydalanish borasida badniyat kimsalarda yetarli malaka bo‘lmasligi mumkin va shu sababli ham ular osonroq yo‘lni tanlashadi.
Bunday rutkitni ishlab chiqish va modifikatsiya qilish uchun ko‘p vaqt ketadi. Badniyat kimsa esa vaqt masalasida chegaralangan bo‘lishi mumkin, masalan, u kompaniya perimetrida aniqlangan zaiflikdan hali u bartaraf etilmasidan va xavfsizlik yangilanishlari o‘rnatilmasidan oldin, yoki boshqa xakerlik guruhlari uloqni ilib ketishidan avval foydalanib qolishga ulgurishi kerak. Badniyatli kimsalar tez harakat qiladi: eksployt haqida xabar topgandan boshlab zaiflikdan foydalanib qolishga bo‘lgan birinchi urinishlar orasida bir sutkadan kamroqbir sutkadan ham kamroq vaqt o‘tishi mumkin. Va agar to‘daning qo‘lida qo‘llash uchun shay bo‘lgan vosita bo‘lmasa, albatta bu vaqt shunday vositani yaratish uchun kamlik qiladi.
Agar yadro rejimida ishlovchi rutkitning boshlang‘ich kodida xatolik mavjud bo‘lsa, unda, operatsion tizim ish faoliyatida o‘nglab bo‘lmas o‘zgarishlar yuzaga kelishi mumkin va bu esa to‘dani fosh qilib qo‘yadi hamda hujumni barbod qiladi.
Himoya sistemasi shundoq ham zaif ekaniga amin bo‘lgan to‘dalar uchun hujum vositasini murakkablashtirishga hojat yo‘q. Agar kompaniya perimetriga kirish nuqtasi topilgan bo‘lsa va kuzatuvlar perimetrning himoyasi zaif tashkillanganini ko‘rsatsa, demak, xavfsizlik tizimida jiddiy kamchiliklar mavjud bo‘lib, shu tufayli, ko‘p resurs talab qiladigan va fosh bo‘lib qolgan taqdirda katta to‘polon ko‘taradigan yadro rejimi rutkitlaridan foydalanish unchalik ham maqsadga muvofiq bo‘lmaydi.

Xo‘sh, agar rutkitlarni ishlab chiqish, ayniqsa, yadro rejimida ishlovchi rutkitlarni tayyorlash shunchalik darajada qiyin bo‘lsa, unda nega to‘dalar ulardan foydalanishda davom etishmoqda? Javob juda oddiy: bunday to‘dalar odatda yetarlicha moliyaviy resurslarga va texnik ta’minotga ega bo‘lgan, kuchli malakali shaxslardan uyushgan to‘dalar bo‘ladi va ular uchun hujum muvaffaqiyatli chiqqan taqdirda, hujumni tashkillashda sarflangan barcha xarajatlar o‘zini oqlab ketadi. Bunday APT-to‘dalar ichida buyurtmaga ko‘ra turli ma’lumotlarni o‘marib beradiganlar, yoki buyurtmachi manfaati doirasida uning raqobatchilarining infratuzilmasida buzg‘unchilik qiladiganlar, shuningdek, hujumga tayyorgarlik uchun sarflangan mablag‘ni qoplashga yetib ortadigan miqdordagi mablag‘ni jabrlanuvchidan «undirib» oladigan to‘dalar ham mavjud.
Rutkitlar avvaliga Unix tizimlariga hujum uyushtirish uchun qo‘llanilgan va unda root foydalanuvchi nomidan maksimal vakolatlarga ega bo‘lish va buyruqlarning ijrosiga erishish uchun foydalanilgan. Termin ham shundan paydo bo‘lgan. Lekin, 1999-yildayoq Windows operatsion tizimi uchun mo‘ljallangan ilk rutkit paydo bo‘lgan edi va u NTRootkit deb nomlangan. Keyinroq esa macOS tizimlariga hujumlar uchun foydalanish mumkin bo‘lgan rutkitlar ham paydo bo‘ldi.
Rutkit vositasida uyushtirilgan hujumlar ichida eng taniqlisi – 2010-yilda kuzatilgan va Stuxnet deb nomlangan zararkunanda dasturning tarqalishi bilan bog‘liq bo‘lgan hujum kampaniyasi bo‘lgan edi. Stuxnet vositasida badniyat kimsalar yashirin ravishda ma’lumotlarni to‘plab borishgan va shuningdek, o‘zlari suqilib kirgan tarmoqlarda ijrochi fayllarni joylashtirishgan. Tekshirishlar natijasida ushbu zararkunanda dasturning yaratilishida AQSh va Isroil razvedkasining ham aloqasi borligi aniqlangan. O‘sha kollaboratsiyaning asosiy nishoni – Eron yadro sistemasini faoliyatdan to‘xtatib qo‘yish va mamlakat yadroviy infratuzilmasiga jismonan zarar keltirish bo‘lgan.
Oxirgi o‘n yillikda esa, rutkitlardan foydalanish ehtiyoji asosan ma’lumotlarni o‘marishga ixtisoslashgan kiberjinoyatchilar orasida yuzaga kelmoqda. Yaqin Sharqda olib borilgan kiberjosuslik kampaniyalaridan birida Flame nomli rutkitdan foydalangan xakerlar jabrlanuvchining tarmog‘idagi trafikni kuzatib borishgan va keylogger funksiyasini amalga oshirib, ekranlardan skrinshotlar yig‘ishgan.
Rutkitlar vositasida xakerlar nafaqat yashirincha ma’lumot yig‘ish va masofadan turib tizimga ruxsatsiz kirishadi, balki, u orqali to‘g‘ridan-to‘g‘ri moliyaviy manfaat ko‘rishni ham ko‘zlashadi. Masalan, Avast kompaniyasi bergan ma’lumotlarga qaraganda DirtyMoe nomli rutkit bilan bo‘lgan holatda mayner-modulini yashirish uchun ushbu rutkitni tarqatuvchi kiberjinoyatchilar 2021-yilning o‘zida 100000 dan ziyod kompyuterni zararlashgan. Atigi bir yil avval, ya'ni, 2020-yilda bu rutkitdan zararlangan kompyuterlar soni 10000 dan ortmas edi. Rutkitni bu tarzda keskin sakrash bilan tarqalishiga sabab, unga qo‘shilgan yangi modul bo‘lib, u zararkunandaning Windows operatsion tizimiga ega kompyuterlarda tarqalishini osonlashtirish uchun maxsus qo‘shilgan. Mazkur modul internetda ochiq SBM-portga ega kompyuterlarni izlaydi va topilgan ochiq portli kompyuterlarga masofadan turib kirish uchun hisob-ma’lumotlarini saralab-tanlab qo‘yib chiqadi.
Avast kompaniyasi vakillari DirtyMoe rutkiti drayverining boshlang‘ich kodida ko‘plab xatoliklarni aniqlashgan, bu esa kod fragmentlarining ayrimlari internetdan olinganligiga ishora qilishi mumkin. Zararkunandaning modullari Delphi tilida yozilgan bo‘lib, shu sababli, antiviruslar tomonidan osonlik bilan tutib olinadi. Shu sababli ham DirtyMoe rutkitini ishlab chiqqan dasturchilar boshlang‘ich kodni mujmallashtirish (obfuskatsiya qilish) uchun VMProtect’dan foydalanishgan.
Ba’zan ataylab qilmagan holda rutkitlarni yaratish hollari ham uchrab turadi. Masalan, 2016-yilda Capcom kompaniyasi tomonidan Street Fighter V o‘yinini yaratish chog‘ida shunday holat yuz bergan. O‘shanda kompaniya chiqargan yangilanish natijasida, begona kodning bajarilishidan yadro darajasida himoyalash tizimi (SMEP) o‘chirib qo‘yilgan va shu tariqa, badniyat kimsalar uchun mazkur o‘yin o‘rnatilgan kompyuterlarga masofadan kirish eshiklari lang ochilib qolgan edi. E’tiborliroq bo‘lgan foydalanuvchilar ushbu o‘yin uchun kelgan yangilanishning o‘rnatilishi chog‘ida, tizim darajasidagi vakolatlarni egallashga bo‘lgan so‘rovlar chiqib kela boshlashi bilan, o‘rnatish jarayonini to‘xtatib qo‘yishgan.
Moriya nomli rutkit esa TunnelSnake deb nomlagan kiberjosuslik kampaniyasi doirasida kamida 2018-yildan beri qo‘llab kelinmoqda. Jabrlanuvchilar orasida, shuningdek, Janubiy-Sharqiy Osiyo va Afrikaga taalluqli bo‘lgan ikkita diplomatik tashkilotlar ham mavjud. Mazkur zararkunanda dasturning asosiy nishoni – jabrlanuvchilarning IT-infratuzilmasiga masofadan kirib olish va destruktiv kodning yuklanishi va ishga tushirilishga erishish bo‘ladi. Bu rutkit Windows OT boshqaruvidagi obyektlarga mo‘ljallangan bo‘lib, u foydalanuvchi rejimi va yadro rejimlarining har ikkalasida ishlaydi. Dastlabki suqilib kirish vektori sifatida xakerlar internetda ma’lum bo‘lgan zaifliklardan foydalanishgan, taxminlarga ko‘ra, bu CVE-2017-7269 zaifligi bo‘lgan. Rutkitni ishlab chiqaruvchilar drayverlarni va PatchGuard modulni majburiy imzolanganligining tekshirilishini aylanib o‘tish mexanizmini ham ko‘zda tutishgan bo‘lib, ma’lumot uchun, PatchGuard moduli – sistema yadrosiga suqilib kirishga urinish qayd etilgan hollarda BSoD (Blue Screen of Death) – «ko‘k o‘lim ekrani»ni chaqiradi. Buning uchun ular VirtualBox virtual mashina drayveridan foydalanishgan. Bundan tashqari, bu rutkit boshqaruvchi server bilan aloqa o‘rnatilishi bo‘yicha tashabbus ko‘rsatmaydi va bu narsa uning yashirincha qolishiga xizmat qiladi.
Remsec (Cremes) rutkiti – modulli zararkunanda dastur, u Stider to‘dasi tomonidan kiberjosuslik maqsadlarida qo‘llaniladi. To‘da bu rutkit orqali kriptografik usullar yordamida trafikni himoyalash uchun mo‘ljallangan dasturiy ta’minotlar haqida ma’lumot to‘playdi. U o‘z o‘ljasini - davlat idoralari, ilmiy-tadqiqot muassasalari, telekommunikatsiya kompaniyalari orasidan sinchkovlik bilan tanlab oladi. Infratuzilmaga suqilib kirish uchun nolinchi kun zaifligidan foydalaniladi. Remsec rutkiti yadro rejimida ishlaydi va Windows’ga mo‘ljallangan. Uning modullari xakerlarga masofadan kirish imkonini ochish, zararkunanda dasturni kompyuteriga joylashtirish, tarmoqdagi trafikni qayd qilish, shuningdek klaviaturadagi tugmalarning bosilishlarini qayd qilib borish hamda to‘plangan ma’lumotlarni hujum qilayotgan to‘da serverlariga jo‘natish ishlarini amalga oshiradi. Modullarning aksariyat qismi Lua dasturlash tilida yozilgan. ESET tadqiqotchilarining aniqlashicha, rutkitning tizimga kirib olishida antivirus dasturlarining yadro rejimida ishlovchi legitim-qonuniy drayverlaridan foydalanilgan. Qizig‘i shundaki, o‘zining tizimdagi faolligini yashirish uchun Remsec rutkiti API-chaqiriqlarni tutmaydi va tizim hodisalaridan foydalanmaydi. Buning o‘rniga u shunchaki o‘z kodining ijrosini ta’minlaydigan yuqori darajadagi vakolatlarni egallab oladi.
Rutkitlarga qarshi kurash uchun endilikda nafaqat xavfsizlik tizimlarini ishlab chiquvchilar, balki operatsion tizimlarni yaratuvchilar ham qo‘shilishmoqda. Masalan, ommaviy ravishda Windows 10 tizimiga o‘tilishi avvaldan mavjud rutkitlarga jiddiy ta’sir qildi. Chunki, Windowsning mazkur talqinida rutkitlarga qarshi kurashishga mo‘ljallangan butun boshli chora-tadbirlar majmui ko‘zda tutilgan bo‘lib, bu haqida quyiroqda“Darkveb nimalarni taklif qilmoqda” bo‘limida alohida so‘z boradi.
Biroq, badniyat kimsalar ham jim qarab turishgani yo‘q. Masalan, nisbatan yangi hisoblangan Moriya rutkitida operatsion tizimdagi oldindan o‘rnatilgan himoya vositalarini aylanib o‘tish mexanizmi mavjud. Boz ustiga, rutkitlarni ishlab chiqarish jarayoniga endilikda operatsion tizimlarning mohiyatini chuqur biladigan hamda revers-muhandislik va dasturlash borasida yuqori malakaga ega bo‘lgan mutaxassislar ham jalb etilmoqda. Zararkunanda dasturlarni ishlab chiquvchi badniyatli kimsalar revers-muhandislik vositasida operatsion tizimlarning nozik joylarini hamda, o‘ziga xos jihatlarini aniqlab olishadi va zararkunanda dasturni kiritish uchun keyinchalik ushbu zaifliklardan foydalanishadi. Garchi, yuqorida bayon qilinganidek, rutkitlarni yaratish juda murakkab ish bo‘lishiga qaramay, baribir muntazam ravishda yangidan-yangi rutkitlar paydo bo‘lmoqda.
Yuqorida bayon qilinganlardan xulosa qilish mumkinki, rutkitlar juda katta xavfni o‘zida mujassam etadi, chunki:

ular badniyatli kimsalarga tizimdagi eng yuqori vakolatlarni egallash imkonini beradi
Kompyuterda zararli jarayon borayotganligini payqashni qiyinlashtiradi;
Rutkitlarni aniqlash va yo‘q qilish ham juda qiyin;
Rutkitlarning mavjudligi odatda hujumni puxta tayyorlangan va aniq maqsadni ko‘zlagan kiberto‘da tomonidan qilinayotganligidan dalolat beradi. Demak, rutkit aniqlanishigacha bo‘lgan paytda kompaniya infrastrukturasida xakerlar allaqachon nazorat o‘rnatishgan bo‘lishi mumkin.

Aksar hollarda rutkitlar vositasidagi hujumlar nafaqat ma’lumotlarning o‘marilishiga, balki, real moliyaviy yo‘qotishlarga ham sabab bo‘ladi. Lekin, bir necha sabablarga ko‘ra, bunday moliyaviy yo‘qotishlarning asl ko‘lamini aniqlashning doim ham iloji bo‘lavermaydi, chunki:

yuqori malakali xakerlar tomonidan qilingan hujumlarning oqibatlari juda uzoq vaqt mobaynida ko‘zdan panada qolishi mumkin, ayniqsa, xakerlar korxona tarmog‘ida yillar mobaynida bemalol o‘tirishgan bo‘lsa;
hujum oqibatlarini bartaraf etish uchun qilinadigan xarajatlarni ham hisoblash kerak bo‘ladi. Ba’zi hollardan rutkitni o‘chirib tashlashning imkoni bo‘lmaydi va IT-infratuzilmasining apparat ta’minoti to‘liq yangilashga ham to‘g‘ri keladi;
agar hujum ma’lumotlarni o‘marishga yo‘naltirilgan bo‘lsa, unda, o‘sha o‘g‘irlangan ma’lumotlarning pul qiymatidagi ekvivalentini hisoblash kerak bo‘ladi.

Rutkitlarni yaratish borasidagi barcha murakkabliklar va imkoniyatlar e’tiborga olinsa, ko‘p hollarda ulardan APT-to‘dalar foydalanishi ma’lum bo‘ladi. Bu darajadagi xakerlik to‘dalarining asosiy muddaosi – ma’lumotlarni o‘marish va kiberjosuslik hisoblanadi. Masalan, Equation Group to‘dasi o‘zining Yaqin Sharqdagi kiberjosuslik faoliyatida Flame nomli rutkitdan faol foydalanganfaol foydalangan. Tahlillarda ko‘rib chiqilgan rutkitlardan jami 77% qismi ularni tarqatuvchilar uchun ma’lumot yig‘ib berishgan mo‘ljallangan bo‘lgan. Taxminan uchdan bir holatda (31%) jinoyatchilar moddiy daromad ko‘rishni reja qilishgan bo‘lgan. Masalan, Yingbom rutkiti oddiy shaxslarga yo‘naltirilgan bo‘lgan. Eng kam uchraydigan muddao – jabrlanuvchining infratuzilmasidan boshqa hujumlarni uyushtirish uchun resurs sifatida foydalanishni ko‘zlovchi rutkitlardir. Bunday rutkitlar faqat 15% ulushda aniqlangan xolos.
Rutkitlarni tarqatishdagi asosiy usul (85% hollarda) sifatida badniyat kimsalar ijtimoiy muhandislik usullaridan foydalanadilar, bularga fishing xabarlar tarqatmalari, qalbaki saytlar hamda haqiqiylarini immitatsiyalovchi ilovalarni yaratish kiradi. Masalan, Scranos rutkitini tarqatgan xakerlar jismoniy shaxslarni nishonga olishgan, shu sababli ham uni tarqatish vositasi sifatida buzib kirilgan dasturiy ta’minotlar va fishing tarqatmalaridan foydalanishgan. Zararkunandalar ayniqsa 2019-yilda faollik ko‘rsatgan edi. Undan jabr chekkanlar orasida Xitoy, Hindiston, Ruminiya, Fransiya, Italiya, Braziliya va Indoneziya hududlariga taalluqli qaydlar mavjud. Kiberjinoyatchilarning bu orqali ko‘zlagan maqsadi moddiy manfaat ko‘rish va ma’lumotlarga ega chiqish bo‘lgan. Birinchi navbatda ularni kuki fayllari hamda, internet-bankingga kirish hisob qaydlari qiziqtirgan. Zararkunanda badniyatlilarga nafaqat masofadan kirishga ruxsat ochib va ma’lumotlarni to‘plab bergan , balki svchost.exe legitim-qonuniy jarayoniga o‘ziga tegishli yuklash modulini ham kiritib qo‘yishga erishgan. Kiberjinoyatchilar aksar hollarda Yuqoridagilarga qo‘shimcha ravishda reklama dasturlarini ham joylab qo‘yishgan va shu sababli ushbu zararkunanda sizga ham yuqmaganligini tekshirish uchun Facebook va YouTube’dagi harakatlaringizni tekshirib ko‘rishingiz kerak bo‘ladi. Agar, ushbu resurslarda sizning akkauntingiz tarixida turgan, lekin, o‘zingiz amalga oshirmagan xatti-harakatlarni uchratsangiz, demak, sizning hisob-qaydingizni o‘zingizdan boshqa yana kimdir ham nazorat qilayotgan bo‘lishi mumkin. Yana bir qiziq jihati shundaki, Scanros kompyuterni o‘chirishga buyruq tushishi hamonoq, o‘zini-o‘zi nusxalab oladi va keyingi safar kompyuterni yoqilganda avtomatik ravishda ishga tushirilishi uchun zamin hozirlab, buning uchun reyestrda maxsus kalit yaratib qo‘yadi.
Rutkitlar oilasini tahlil qilish natijalari shuni ko‘rsatdiki, rutkitlardan foydalanib qilingan hujumlardan 44% qismida badniyatli kimsalar davlat muassasalarini nishonga olishgan. Sal kamroq ulushda shuningdek fan va ta’lim muassasalari ularning nishoniga aylangan. Buning eng katta sababi shundaki, mazkur muassasalarda qayta ishlanadigan axborot katta ahamiyatli bo‘ladi va shu sababli ham badniyat kimsalarda kuchli qiziqish uyg‘otadi.
Moliya tashkilotlarini nishonga oluvchi rutkitlar ulushi 19% ni tashkil qilgan. Banklarga hujum qiluvchi rutkitlardan biriga misol – Kronos nomli rutkit hisoblanadi. Buyuk Britaniya va Hindistondagi qator banklar uning o‘ljasiga aylanishgan.
Rutkitlarning yarmidan ko‘prog‘i (56%) muayyan shaxslarga hujum qilish uchun yo‘naltirilgan. Bular asosan badniyatlilar uchun kiberjosuslik kampaniyasi nuqtai nazaridan ahamiyatga ega bo‘lgan yuqori lavozimlardagi amaldorlar, diplomatlar, yirik tashkilotlarning muhim xodimlari va ho kazolar bo‘lishi mumkin.
Ekspert Bill Demirkali 2020-yilda IB bo‘yicha Defcon konferensiyasida shunday hazil qilgan, Windows uchun sifatli rutkit yozish juda oson, buning uchun C yoki C++ dasturlash tilida dastur yaratish va loyihalarni yig‘ish, eksploytlarni ishlab chiqa olish, teskari ishlab chiqish bilan shug‘ullanish va Windows platformasida qurilmalar arxitekturasi bo‘yicha chuqur bilimga ega bo‘lishining o‘zi kifoya. Muvaffaqiyatli hujum uchun esa faqatgina yomon niyatlarda foydalanish uchun kamchiliklarga ega drayverni topish va undan foydalanish, so‘ngra rutkitni bildirmasdan kiritish va o‘rnatish zarur.
Rutkitni ishlab chiqish – juda murakkab jarayon, biroq tarmoqda, ayniqsa, darkvebda bu mavzuga oid axborot bisyor. Ma’lumotnoma (spravochnik) lardan tashqari u joydan «istalgan hamyon” uchun mos keladigan tayyor holdagi rutkitlarni ham, kod yozib beradigan yoki, buyurtmaga ko‘ra rutkit tayyorlab beradigan dasturchilik xizmatlarini ham topsa bo‘ladi. Shuningdek, u yerdan ishlab chiqilgan rutkit uchun xaridorlar, yoki, mijozlarni topish mumkin.
Darkvebdagi rus va ingliz tilli eng mashhur forumlarda rutkitlarni sotish, yoki xarid qilish, shuningdek, rutkit yaratuvchilarini izlash bo‘yicha berilgan e’lonlardagi narxlarning tahlili shuni ko‘rsatdiki, foydalanishga tayyor holdagi bitta rutkitning narxi 45 dan 100000 AQSh dollarigacha bo‘lishi mumkin ekan. Narx ish rejimidan, qaysi operatsion tizimga mo‘ljallanganligidan, qo‘shimcha funksiyalardan, hamda, foydalanish shartlaridan kelib chiqib shakllanadi.
Masalan, o‘rtacha 100-200 USD narxda rutkitni ijaraga olish mumkin, ya'ni, undan biror oy muddat ichida foydalanish uchun olsa bo‘ladi. .

Download 249,23 Kb.

Do'stlaringiz bilan baham:

1 2 3 4 5 6 7 8 9 ... 12