Введение

Cтатья "Современные интернет-атаки" предоставлена Sophos Plc и SophosLabs.

Август 2007 г.

Успешность конкретного образца вредоносного ПО определяется рядом факторов. К ним относятся способы распространения и объекты воздействия, порядок выполнения, скорость распространения и то, насколько успешно конкретный образец избегает обнаружения. Первые два фактора относятся к процессу распространения и реализации угрозы; они являются, пожалуй, наиболее значимыми факторами успешности атаки. Сложилось так, что успешность самых известных угроз зачастую определяется механизмом их доставки. Многочисленные вирусы и черви, распространяемые в массовых почтовых рассылках, вызывали значительный ущерб благодаря своей способности к исключительно быстрому и широкому распространению с помощью SMTP [1,2]. Угрозы, связанные с почтой, актуальны для интернет-пользователей по сей день; протокол SMTP по-прежнему регулярно используется для массовой спам-рассылки троянов [3]. CodeRed [4], вызвавший огромный ущерб, стал первым заметным "безфайловым" червем под Windows; его распространение объясняется использованием уязвимости в службе Microsoft IIS. Червь SQLSlam [5] вывел понятие "стремительного распространения" на новый уровень: по оценочным данным в течение первых нескольких минут его распространения было заражено от 100 до 200 тыс. компьютеров [6]. Воздействие, оказываемое распространением SQLSlam на трафик, ощущалось практически повсеместно; сообщается, что несколько корневых серверов имен в Интернете какое-то время были недоступны [7].

Зачастую почтовые угрозы используют методы социальной инженерии, чтобы заставить получателя запустить вредоносное вложение. По мере распространения тенденции к полному блокированию исполняемого контента непосредственно на почтовых серверах вне зависимости от наличия сведений о его вредоносности создатели подобных угроз перешли к использованию файлов в архивах, зачастую защищаемых паролями [8].

Вне зависимости от конкретного механизма доставки одной из желанных целей для создателей вредоносного ПО является возможность запуска кода без каких-либо действий пользователя. Самый распространенный способ достижения этой цели — использование уязвимости приложения [9] или операционной системы [10] для получения прав на выполнение. В последние годы эта тактика применялась многочисленными семействами сетевых червей, заражавших сетевые компьютеры с использованием различных уязвимостей [11]. Как рассказывается подробнее в этом документе, этот метод (применение т. н. эксплойтов) особенно характерен для интернет-атак. Использование уязвимостей в клиентских браузерах предоставляет вредоносным программам возможность выполнения кода даже в том случае, если пользователь просто перешел на вредоносную страницу. Такие атаки зачастую называют "drive-download" (попутная загрузка) [1 2].

К следующему разделу