Кто-то верит в домовых и полтергейст, кто-то — в снежного человека, кто-то — в то, что разработчик малвари и прочего нелегального софта может гарантировать собственную анонимность, просто накрыв бинарник упаковщиком или обфусцировав код. Отдельные индивидуумы убеждены, будто их деятельностью никогда не заинтересуются компетентные органы, если созданные ими программы не наносят прямого материального ущерба, не распространяются на территории России или пострадавшие не напишут в полицию толстую пачку заявлений. Трудно сказать, на чем именно основывается подобная самоуверенность.
Факты же упрямо демонстрируют нам совершенно иную картину. Деанонимизация авторов вредоносных программ стал уже настолько привычным делом, что подобные инциденты в последнее время никого не удивляют. Ну, спалили еще одного кодера. Кое-кто и вовсе бравирует собственной неуязвимостью и безнаказанностью: дескать, вот он я, пусть попробуют поймать, да только кому я нужен? Нужен, и еще как.
Да кому я нужен?
Начнем с того, что обе присутствующие на российском рынке отечественные антивирусные компании очень тесно взаимодействуют с правоохранительными органами, чего совершенно не скрывают. Хотя бы по той простой причине, что они вынуждены регулярно получать у суровых организаций с названиями из трех букв лицензии и сертификаты на разработку средств защиты конфиденциальной информации, на работу с криптографией, на защиту персональных данных и далее со всеми остановками. А это означает, что упомянутые компании регулярно проходят проверки со стороны этих организаций и плотно общаются с их представителями.
Кроме того, все они имеют лицензии на проведение технических экспертиз и исследований с использованием методов форензики, причем регулярно используют эти лицензии по назначению — в том числе в интересах государства. Наконец, ходят упорные слухи, что многие работающие на рынке информационной безопасности фирмы в обязательном порядке отправляют куда надо регулярные отчеты о текущей вирусной и киберкриминальной обстановке. Если в такой отчет, помимо сухой статистики, можно включить конкретные сведения о разоблаченном вирмейкере, упустят ли аналитики такую возможность? Ответ, в общем-то, очевиден.
Но есть и хорошая новость, юзернейм. Если однажды утром вы проснулись знаменитым, потому что ваше имя внезапно попало в новостные ленты антивирусных компаний, это означает одно из двух. Либо вы уже сидите в тесном зарешеченном помещении в ожидании суда, либо представители закона не проявили к вашей персоне заслуженного внимания.
Существует такое понятие, как тайна следствия, разглашать которую нельзя ни под каким соусом. Если в отношении некоего абстрактного хакера Ване органы правопорядка проводят какие-либо мероприятия, об этом вряд ли расскажут в интернетах до тех пор, пока кодеру Ване не будет предъявлено обвинение или он не предстанет перед судом. Только вот радоваться, обнаружив себя, любимого, в новостях, тоже глупо: это однозначно свидетельствует о том, что вы уже на карандаше, а о вашем творчестве оперативно сообщили куда следует. И в какой-то не очень прекрасный момент равнодушие со стороны людей в погонах может внезапно смениться пристальным интересом. Обстоятельства, знаете ли, иногда складываются совершенно причудливым образом.
Это он, это он, ваш тотальный деанон!
Абсолютно во всех известных широкой общественности случаях деанонимизации причину случившегося следует искать в зеркале. Вирмейкеры порой палятся на таких мелочах, которые со стороны выглядят сущей нелепицей. Ну казалось бы, зачем хранить на серваке, где поднята админка ботнета, личные файлы? Зачем сбрасывать стату по работе другого ботнета эсэмэсками на номер мобильного телефона с левой симкой, если этот номер ранее неоднократно светился в объявлениях по продаже компьютерных потрошков с указанием города и даже, вы не поверите, ближайшей станции метро? Кто надоумил юного гения организовать C&C трояна на публичном хостинге, где крутится сайт папиной фирмы, при этом жестко вбив URL прямо в код?
Складывается впечатление, что подобные глупости совершают исключительно кодеры, которых природа наделила одной-единственной извилиной, да и та анатомически расположена где-то в районе непосредственного контакта организма со стулом. Однако наступить на грабли может буквально каждый. Особенно если он не выработал полезной привычки внимательно смотреть себе под ноги.
В каждой строчке только точки
Как известно, отлаживание — это мучительный процесс избавления программы от лажи. Для облегчения этого самого процесса некоторые компиляторы добавляют в бинарник специальные отладочные строки. В них порой содержится полный путь к папке, где хранились исходники проекта, причем этот путь иногда включает имя пользователя винды, например:
1 | C:\Users\Vasya Pupkin\Desktop\Super_Virus\ProjectVirus1.vbp |
В процессе реверсинга вся эта радость неизбежно вылезает наружу. Одно дело, если имя учетки придумали те же самые ребята, которые сочиняют непроизносимые названия для товаров в магазине IKEA. Но зачастую строка включает настоящее имя и даже — страшно подумать — фамилию незадачливого создателя вируса. Благодаря этому обстоятельству вычислить его становится намного проще, хотя результат не гарантирован: мало ли на нашей планете обитает однофамильцев? Однако наличие в образце вредоноса отладочной строки с фамилией и характерной структурой папок может стать еще одним доказательством причастности человека к написанию программы, если за него возьмутся всерьез.
Даже если вместо имени пользователя в обнаруженной исследователями строчке значится ник, это все равно даст важную зацепку. Большинство людей, не страдающих паранойей, использует один и тот же псевдоним на различных ресурсах. Это их и подводит. Любой желающий очень быстро отыщет посты интересующего его персонажа на форумах, его страничку на гитхабе и профайл в твиттере. Понять, что все эти «цифровые следы» оставило одно и то же лицо, несложно: одинаковый аватар, схожая подпись, один и тот же текст, размещенный на разных площадках… Дальше потянется ниточка, которая куда-нибудь да приведет.
Вывод прост: раз уж кодер взялся за написание программы, которую кто-то, вероятно, захочет исследовать, нужно соблюдать правила элементарной гигиены и внимательно следить за тем, чтобы в код не попало ничего лишнего.
Вот вам мыло душистое и полотенце пушистое
Еще одно распространенное природное явление — хранение адресов электронной почты в виде незашифрованных символьных значений. Характерные строки — это первое, на что обращает внимание в дизассемблированном коде реверс-инженер. Притом некоторые индивидуумы полагают, будто достаточно поксорить строчку, чтобы надежно спрятать свой адрес на мейл.ру от посторонних глаз. Нет, недостаточно.
Если в коде внезапно обнаруживается мыло, оно тут же вбивается в гуголь. Дальше возможны варианты. По адресу электропочты через несколько последовательных шагов может отыскаться и учетка в телеграме, и страничка пользователя в социальных сетях, и факт его регистрации на форумах вместе со всеми сообщениями. А может не нагуглиться ничего. Второй вариант случается, если предусмотрительный кодер не использует один и тот же ящик для технических целей и личной переписки.
Не стучите, открыто!
Еще веселее, когда какой-нибудь непризнанный гений прописывает прямо в коде логин и пароль, например от админки бота или от облачного хранилища, куда трой заливает утянутые с компьютера пользователя файлы. Совсем хорошо, если один и тот же пароль используется везде, где только можно — и для авторизации в админке, и на почтовом сервере, и в социальных сетях.
В этой связи невольно вспоминается один недавний случай, когда некий анонимус решил проверить трояна-стилера на собственном компьютере. Стилер, что характерно, отработал на пять баллов. В результате в облако, логин и пароль от которого хранились в открытом виде в самом трое, с компа нашего естествоиспытателя было выгружено все исподнее, наглядно продемонстрировав исследователям его неприкрытую жоизнь и богатый внутренний мир.
Ваш домен выключен или находится вне зоны обслуживания
Кое-кто очень любит забивать прямо в код адреса управляющих серверов, даже несмотря на то, что прогрессивное человечество давным-давно придумало DGA — алгоритмы динамической генерации доменных имен. Примеры таких решений можно без особого труда найти в этих ваших интернетах.
И дело не в том, что DGA повышает живучесть троя (накрылся один управляющий сервак — софтина автоматически подключается к следующему), и даже не в том, что сервер, если его адрес известен, можно сбрутить, засинкхолить или заDDoSить. Вычислить можно и сгенерированный адрес, вдумчиво покурив алгоритм, но тут вступают в действия иные механизмы защиты — верификация подписи сервера, шифрование при передаче данных и прочие.
Даже если сломать админку у исследователя не получилось, очень много полезной информации можно добыть, воспользовавшись службой whois. И скрытие имени держателя домена помогает далеко не всегда. А еще можно поискать другие сайты на том же IP-адресе, посмотреть, что на них находится, и попробовать зайти оттуда. В принципе, многие слышали термин CloudFlare, но вот разбираться, что это такое, всем обычно лень.
Некоторые гуманоиды и вовсе поднимают админки у публичных хостеров либо на площадках, где крутятся другие их проекты или сайты работодателя. Комментировать такое я, пожалуй, не стану: глумиться над подобным грешно, а плакать уже сил нет.
И смех и грех
Гордыня — это смертный грех. А грешников, как утверждают религиозные деятели, ждет неминуемое наказание. Далеко не все вирмейкеры готовы оставаться в тени и тихонечко стричь бабло, им хочется славы, почета и уважения, внимания публики и бурных оваций. В результате кое-кто начинает записывать видосы о компиляции и обфускации троев и выкладывать скринкасты на ютубе. Позабыв при этом закрыть в браузере вкладочки со своей страничкой «Вконтакте» и окошки проводника, где на HD-разрешении можно разглядеть очень много интересного.
Другой персонаж компрометирующих роликов не снимал, зато выкладывал в интернет крайне интересные статьи о методах обхода UAC, написании сплоитов, повышении привилегий в системе и прочих вирмейкерских трюках. С конкретными примерами, конечно. Вычислили его очень просто: по этому самому коду, вернее по характерным именам переменных, комментам, манере реализации некоторых функций — в общем, сравнив выложенные в паблик исходники и кодес из IDA Pro. Отпираться оказалось бессмысленно — код он размещал в личном блоге за собственной подписью. Фаталити.
Вместо послесловия
Методов идентификации авторов малвари существует великое множество, я упомянул только о самых очевидных из них. Выводы тоже вполне очевидны: в кабинет к следователю вирмейкеров приводит собственная некомпетентность и распнаплевательское отношение к элементарным вопросам безопасности. Впрочем, это, возможно, и неплохо: помнится, один похожий на Льва Толстого дядька что-то писал про естественный отбор. Который, по его мнению, в целом способствует повышению выживаемости вида.
10 самых опасных компьютерных вирусов
Brain
Этот вирус в данном хит-параде самый безобидный. Все потому, что он был одним из первых. Распространялся через дискеты. Разработка лежит на совести братьев Амджата и Базита Алви (Amdjat и Basit Faroog Alvi). Эти ребята запустили его в 1986 году. Но обнаружить “неладное“ специалистам удалось только спустя год летом.
Говорят, только в США вирус заразил более 18 тысяч компьютеров. Забавный факт: в основе разработки лежали исключительно благие намерения. То есть, братья хотели наказывать местных пиратов, ворующих программное обеспечение их фирмы.
А еще Brain занял почетное место первого в мире стелс-вируса. При попытке чтения зараженного сектора, он “подставлял“ его незараженный оригинал. Выловить такой было очень сложно.
Jerusalem
Второе название - “Пятница, 13“. А первое возникло благодаря стране его появления - Израилю (в 1988-м). Чем опасна эта “пятница“? Тем, что скачивалась с дискеты. И как только наступало время Х (пятница, 13) - вирус тут же удалял абсолютно все данные с жесткого диска. В те времена мало кто верил в существование компьютерных вирусов. Антивирусных программ и вовсе почти не существовало. Поэтому Jerusalem на пользователей наводил ужас.
Червь Морриса
А этот “червь“ разбушевался в ноябре 1988 года. Он блокировал работу компьютеров своим хаотичным и бесконтрольным размножением. Из-за него, собственно, и вышла из строя вся (не слишком глобальная на те времена) Сеть. Обрати внимание: сбой длился совсем недолго, зато успел нанести серьезные убытки. Эксперты оценили их в $96 миллионов.
Michelangelo («March6»)
“Микеланджело“ бушевал в 1992 году. Он через дискеты проникал на загрузочный сектор диска, и тихо сидел там, пока не наступало 6 марта. Как только приходило время Х, “Марк“ тут же форматировал жесткий диск. Его появление было на руку всем компаниям, занимающимся разработкой антивирусного софта. Они тогда раздули истерию до невероятных масштабов. Хотя, вирус поиздевался всего над 10 тысячами машин.
Чернобыль (CIH)
Создал его тайванский студент (в 1998 году). По инициалам последнего и назван был этот вредоносный софт. Суть ПО: через интернет, электронную почту и диски, вирус попадал в компьютер, и прятался внутри других программ. А 26 апреля активировался. И не просто стирал всю информацию на винчестере, но и повреждал аппаратную часть компьютера.
Пик “Чернобыля“ пришелся на апрель 1999 года. Тогда пострадали более 300 тысяч машин (в основном Восточная Азия). И даже после того, как все раструбили информацию о наличии такого вредителя, он еще долго скрывался на компьютерах, и продолжал свои черные делишки.
Melissa
Создан в 1999 году. Это первый всемирно известный почтовый червь. В его основе - заражение файлов документов MS Word. После этого “Мелисса“ рассылал свои копии через MS Outlook, благодаря чему распространялся с бешеной скоростью. Сумма нанесенного им ущерба - более $100 миллионов.
ILOVEYOU («Письмо счастья»)
Кто-то в 2000 году додумался написать довольно таки милый вирус. Он приходил на почту в виде сообщения “I LOVE YOU“ с вложенным файлом. Пользователи скачивали его и... На жестком диске селился скрипт, который:
- рандомно отсылал письма в невероятных количествах;
- удалял важные файлы на ПК.
Результаты просто шокирующие: ущерб, нанесенный этим “письмом“, “грохнул“ 10% всех существовавших на тот момент компьютеров. В денежном эквиваленте - это $5,5 миллиардов.
Nimda (2001 год)
Название - “admin“, написанное наоборот. Попадая на компьютер, вирус тут же “выписывал“ себе права администратора, и начинал:
- изменять-нарушать конструкцию сайтов;
- блокировать доступ на хосты, IP-адреса и т.д.
На компьютеры проникал столь виртуозно и эффективно, что уже через 22 минуты после создания стал самым распространенным в интернете.
My Doom (2004 год)
Это еще один почтовый вирус. Работал по нарастающей: каждый следующий компьютер отправлял спама еще больше, чем предыдущий. Еще одна особенность My Doom - был способен модифицировать операционную систему, блокировать доступ к сайтам антивирусных компаний, новостным лентам и разделам сайта Microsoft.
На счету этого ПО даже DDоS-атака на сайт Microsoft . Говорят, этот досих пор неизученный ужас написали сторонники Linux. Таким образом они, мол, пытались подорвать авторитет Windows.
Conficker (2008 год)
Это один из самых свежих всемирно известных червей. Он атакует только “винду“ (от Windows 2000 до Windows 7, и даже Windows Server 2008 R2), а именно:
- находит уязвимости операционки;
- отключает сервисные службы и обновление Windows;
- блокирует доступ к сайтам ряда производителей антивирусов.
Ущерб в денежном эквиваленте считать до сих пор никто так и не взялся. Вероятно, из-за того, что Conflicker во всем мире заразил более 12 миллионов машин.
Важно! По всем вопросам, если не знаете, что делать и куда обращаться:
Звоните 8-800-777-32-63.
Бесплатная горячая юридическая линия.