Мы возвращаемся со второй частью бестиария вредоносных программ, у которых разные задачи, возможности и повадки. В первой части мы рассказали что такое полезная нагрузка, чем отличается вирус от других вредоносов и дали краткий экскурс по почти десятку видов ВПО. Во второй части руководитель отдела по анализу вредоносного кода компании F.A.C.C.T. Дмитрий Купин продолжает делиться описаниями типов вредоносных программ.
Бестиарий: виды вредоносных программ (продолжение)
Имплант (Implant) — вредоносная программа, генерируемая фреймворком пост-эксплуатации, например, Metasploit, Cobalt Strike, Sliver, Mythic. По сути имплант является полезной нагрузкой, выполняющей основные деструктивные действия, схожие с бэкдором / трояном удаленного доступа.
Средство удаленного администрирования (Remote Access Tool - RAT) — легитимная программа для удаленного администрирования, которая была несанкционированно установлена в системе, тем самым предоставляя злоумышленникам скрытый удаленный доступ.
Стилер (Stealer) – вредоносная программа для кражи аутентификационных данных от различных сервисов и программ с зараженного компьютера: логины и пароли, куки-файлы, история веб-браузера, скрины рабочего стола, данные банковских карт, секретные фразы криптокошельков.
Кейлоггер (Keylogger) – клавиатурный шпион, программное обеспечение, способное перехватывать и фиксировать все действия пользователя на клавиатуре, движения и нажатия кнопок мыши. По сути кейлоггер является частным случаем вредоносной программы класса шпион.
Шпион (Spyware) — вредоносная программа, включающая в себя функциональные возможности кейлоггера и/или стилера, а также способная создавать снимки экрана, записывать потоковое видео с экрана пользователя, записывать звук с микрофона и видео с веб-камеры. Главное отличие шпиона от кейлоггера или стилера это не только обилие шпионских техник, а именно цель длительного скрытого мониторинга за действиями пользователя в системе.
JS-сниффер (JS Sniffer) — несколько строк кода, которые внедряются злоумышленниками на сайт для перехвата вводимых пользователем данных: номеров банковских карт, имен, адресов, логинов, паролей и т.д. Полученные платежные данные злоумышленники, как правило, продают на специализированных форумах в даркнете.
- Руткит (Rootkit) — вредоносная программа, позволяющая злоумышленнику скрыть собственную активность или активность других вредоносных программ в скомпрометированной системе. Руткиты в зависимости от уровня привилегий могут быть пользовательского уровня и уровня ядра.
Буткит (Bootkit) — вредоносный код, который запускается до старта ОС. Буткит может быть помещен в загрузочный сектор жесткого диска или в прошивку различных устройств.
Бот, агент (Bot, Agent) — вредоносная программа, являющаяся частью ботнета, которая выполняет различные команды, поступающие от командного центра. Как правило, командный центр имеет специальную панель администрирования для удобного взаимодействия с множеством скомпрометированных устройств.
Архивная бомба (Archive bomb) — вредоносный файл в виде архива, который содержит большое количество файлов огромных размеров, что при его распаковке приводит к заполнению всей оперативной памяти и места на носителе информации и тем самым нарушает работу средств защиты и компьютера в целом. Частным случаем является ZIP-бомба.
В нашем Telegram-канале и других площадках F.A.C.C.T. мы регулярно рассказываем о том, какие вредоносные программы используют в атаках киберпреступники, как их доставляют и маскируют, а также даем рекомендации как от них защититься.