Часть таких программ обнаруживается системами защиты, и их работа блокирует-
ся. Но многие программы не детектируются как вирусы, поскольку их действия
часто идентичны типовым операциям пользователя. Обнаружить такие
программы-
трояны
весьма сложно. Поэтому важно периодически осуществлять контроль
запущенного на компьютере программного обеспечения.
Существует специальный класс программ, специализированных на поиске троянов.
В качестве примера можно привести Ad-aware от компании LavaSoft, которую
можно найти на сайте
http://www.lavasoftusa.com/
. Такие программы ориентиро-
ваны на поиск следов троянов (ключей в реестре, записей на жестком диске и т. п.)
и особенно полезны при выезде администратора в другую организацию для осуще-
ствления технической поддержки. Объем файлов установки позволяет быстро за-
грузить их из Сети и оперативно очистить компьютеры клиентов от вредоносных
кодов в случае обнаружения непредвиденных действий.
В качестве превентивных мер можно рекомендовать чаще осуществлять проверку
электронных подписей защищенных файлов системы, с помощью групповой поли-
тики повысить до максимума уровень безопасности офисных программ и обо-
зревателя Интернета, разрешить выполнение только подписанных электронной
подписью сценариев и т. п.
Поскольку администраторам достаточно часто приходится самостоятельно зани-
маться поиском троянских программ, опишем основные способы их автоматиче-
ского запуска. Итак, вредоносный код может быть запущен с использованием:
файлов
autoexec.bat
и
config.sys
— такой вариант используется нечасто, поскольку
новые операционные системы обычно не учитывают параметры этих файлов
(они задействовались при старте компьютера в Windows XP и более ранних вер-
сиях Windows, в новых версиях этих файлов нет);
файла
win.ini
— хотя этот файл сохраняется лишь в целях обратной совместимо-
сти, но включение программ в строки
run
и
load
этого файла позволяет обеспе-
чить их запуск системой;
папки
Автозагрузка
для всех пользователей и профиля текущего пользовате-
ля — достаточно просто проверить содержимое этой папки, чтобы обнаружить
такую программу;
ключей реестра, описывающих автоматически загружаемые программы:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Безопасность
465
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
Порядок загрузки программ из этих ключей следующий:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
StartUp Folder
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
П
РИМЕЧАНИЕ
Параметры
RunServices
и
RunServicesOnce
не используются в новых версиях ОС.
Администратор домена через групповую политику при старте системы может
отключить автоматический запуск программ, определенный в параметрах
Run
и
RunOnce
. Для этого используется меню
Конфигурация
компьютера | Админи-
стративные шаблоны | System | Logon |
с параметрами
Do not process...
и ана-
логичное меню для пользовательской части политики. Одновременно необходи-
мые программы могут быть назначены для автозагрузки через параметр группо-
вой политики. Эти значения записываются на компьютере в ветвях:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
браузера Browser Helper Object (BHO) — в Windows имеется возможность
встраивать в Internet Explorer специально разработанные программы, призван-
ные расширить функциональность этого обозревателя. Поскольку такие про-
граммы имеют практически неограниченные права доступа к локальной систе-
ме, хакеры часто используют эту технологию для отслеживания действий поль-
зователя, для показа рекламы, перенаправления на порносайты и т. п.
Эти программы подключаются по их GUID через ветвь реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper
Objects
Поскольку среди таких программ присутствуют и полезные расширения, то при
анализе системы необходимо найти в реестре программу, зарегистрировавшую
тот или иной GUID. Помочь в быстром поиске BHO могут такие утилиты, как
HijackThis (
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
);
некоторых других ключей, которые обычно не приводятся при описании воз-
можных вариантов автозапуска программ, однако возможность использования
которых также нельзя исключать:
466
Глава 9
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKCU\Software\Policies\Microsoft\Windows\System\Scripts
HKLM\Software\Policies\Microsoft\Windows\System\Scripts
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
Авторам не раз приходилось сталкиваться с ситуациями, когда запуск вредонос-
ного кода тщательно маскировался: зараженная программа создавала ничем не
выделяющийся процесс, который и пытался активизировать собственно вирус.
В подобных случаях помогут утилиты, отображающие иерархию процессов сис-
темы (рис. 9.12);
Рис. 9.12.
Программа Process Explorer позволяет увидеть
иерархию запущенных в системе процессов
запуска программ через назначения в расписании — вариант запуска, легко об-
наруживаемый простым просмотром назначенных заданий;
ActiveX — вариант используется не так часто, поскольку в современных ОС для
установки ActiveX требуется явное согласие пользователя при наличии у модуля
электронной подписи. Кроме того, в любой момент можно просмотреть уста-
Безопасность
467
новленные модули (меню
Свойства обозревателя |
вкладка
Общие | Парамет-
ры |
кнопка
Просмотр объектов
) и удалить ненужные;
служб и драйверов — установленный в виде нового драйвера или службы сто-
ронний код обычно трудно обнаружить, поскольку пользователю системы необ-
ходимо точно знать собственную настройку и список драйверов устройств. На-
пример, таким способом устанавливалась одна из версий защиты компакт-диска
от копирования. Кроме того, злоумышленники могут скрыть исполняемый код
из отображаемых процессов системы, тем самым не давая повода сомневаться
в надежности системы. Обнаружить такой код крайне сложно. Здесь следует
использовать специализированные средства (если программа защиты хоста
не блокирует код) по обнаружению руткитов — например, RootkitRevealer
(
http://technet.microsoft.com/ru-ru/sysinternals/bb897445
).
Редактирование списка автоматически загружаемых программ
Список автоматически загружаемых программ можно редактировать при помощи
утилиты msconfig
или вкладки
Автозагрузка
Диспетчера задач, что характерно для
Windows 10
(рис. 9.13). Утилита показывает как элемент автозагрузки, так и путь
Рис. 9.13.
Диспетчер задач: вкладка
Автозагрузка
468
Глава 9
его запуска и позволяет отключать загрузку элемента. В Windows 7 эта утилита по-
зволяет отключать даже службы. Правда, в более новых версиях Windows для
управления службами используется только оснастка
services.msc
(впрочем, ее мож-
но использовать и в Windows 7). В Windows 10 службами можно управлять с по-
мощью вкладки
Службы
Диспетчера задач (см. рис. 9.13).
Безопасность приложений
Сколь бы хорошо ни защищалась операционная система, сколь бы правильно ни
были написаны фильтры и политики брандмауэров, но если прикладное программ-
ное обеспечение или его уязвимости позволят получить доступ к защищенным
данным, то все предпринятые усилия окажутся напрасными. Примеры такого пове-
дения программ легко можно найти в Интернете: в смартфоны встроены програм-
мы, мониторящие активность пользователя, клиент Skype позволяет принять вызов
от человека, не входящего в список контактов (это означает, что из внешней сети
есть доступ к локальному компьютеру с возможностью выполнения действий, не
разрешенных пользователями) и т. п.
Основные принципы безопасности приложений
Прикладное ПО может явиться причиной утечки конфиденциальных данных не
только из-за ошибок его разработки, но и просто благодаря недостаточному внима-
нию к документированным функциям. Так, файлы документов, подготовленные
в программе Microsoft Word, кроме самого текста могут содержать и конфиденци-
альные данные, не предназначаемые для посторонних глаз: имена компьютера и
пользователя, путь к сетевому принтеру, список редактировавших документ лиц,
возможно, адреса их электронной почты и т. п. А если документ будет сохранен
с включенными версиями или режимом исправлений, то партнер сможет проследить,
например, позиции различных сотрудников по ценам, предлагаемым в документе,
что отнюдь не будет способствовать принятию варианта, наиболее благоприятного
для вашего предприятия.
Проконтролировать действия установленных программ практически невозможно.
Наиболее рациональный выход — это использование ПО с открытым кодом,
поскольку залогом его безопасности является независимая экспертиза. Но в силу
объективных обстоятельств это возможно далеко не всегда. Поэтому следует при-
держиваться нескольких принципов:
ограничьте минимумом количество программ, установленных на серверах и
станциях;
используйте средства контроля запуска программного обеспечения;
исключите возможность передачи данных с серверов в сеть Интернета (заблоки-
руйте, например, по их IP-адресам);
по возможности используйте программы анализа поведения.
Безопасность
469
Единый фонд дистрибутивов
и средства контроля запуска программного обеспечения
Для обеспечения безопасности приложений также необходимо:
во-первых, добиться, чтобы на предприятии существовал единый фонд дистри-
бутивов, чтобы все установки программ на рабочие станции и серверы выполня-
лись только из проверенного источника;
во-вторых, включать средства контроля запуска программ. Максимально без-
опасный вариант — запретить запуск любых программ по умолчанию и создать
исключения: те программы, которые необходимы для работы. Контроль запуска
программ можно реализовывать через групповые политики (вариант описан
в
главе 6
), но более тонкие настройки можно выполнить, применяя программы
защиты хоста.
На рис. 9.14 показан пример выбора параметров, которые можно использовать при
формировании правил запуска в программе Symantec Endpoint Protection. При по-
мощи подобных настроек: контроля доступа к параметрам реестра, к файлам и пап-
кам, попыткам запуска или прекращения процесса, загрузки библиотек — можно
очень точно настроить правила разрешения и блокирования.
Рис. 9.14.
Выбор критериев правил контроля запуска ПО
Неизменность системы
Одним из способов защиты системы от вредоносного кода является запрет на вне-
сение изменений на локальный диск. Традиционный совет для тех, кто не хочет
«подхватить» что-либо в Интернете, заключается в загрузке при путешествиях по
Сети с какого-либо LiveCD. Кстати, Microsoft подготовила специальную модифи-
кацию для Windows, предназначенную для интернет-кафе и игровых клубов, кото-
рая возвращает состояние системы к начальному после каждой перезагрузки.
Аналогичные решения присутствуют и среди бесплатных продуктов. Например, по
адресу
http://www.bitdisk.ru/
доступна программа BitDisk, которая также может
контролировать запись изменений во время работы системы. Бесплатная версия
программы после перезагрузки системы возвращает состояние к тому моменту, на
котором эта функция была включена. Платная версия позволяет переключаться
между режимами без перезагрузки и выбирать режимы сохранения изменений на
локальный диск.
470
Do'stlaringiz bilan baham: |