Совершение киберпреступления
Этап совершения киберпреступления содержит шесть стадии — получение доступа, расширение полномочий, кража информации, зомби-рование, уничтожение следов и отказ в обслуживании.
Этап совершения КП подробно представлен на рис.5
рис.3.4 Этап совершения кибепреступления
Получение доступа
Имея определенные цели, мотивы и задачи киберпреступник получает доступ к объекту. На стадии получения доступа, злоумышленник решает проблемы обхода систем защиты объекта, а также получения доступа к интересующему информационному ресурсу с минимальными правами.
Варианты получения доступа к объекту, то есть взлом системы подробно представлены в зарубежной литературе Макклуре С, Скембрэй Док., Куртц Дне, российской литературе Левина М.
Получив доступ к объекту с ограниченными правами, злоумышленник при помощи специализированных утилит производит эскалацию своих привилегий, т.е расширяет свои полномочия.
Расширение полномочий
Чтобы получить информацию с взломанной машины и остальной части сети, необходимо расширить привилегии до статуса более мощной учетной записи.
Этот процесс называется расширением привилегий. Этот термин в общих чертах описывает процесс расширения возможностей владельца текущей учетной записи пользователя до возможностей более привилегированной учетной записи, такой как учетная запись администратора или запись SYSTEM. С точки зрения преступника, взлом учетной записи пользователя и последующая атака по расширению привилегий может быть проще, чем поиск на удаленной системе уязвимого места, которое сразу же могло предоставить права уровня суперпользователя. В любом случае, прошедший аутентификацию злоумышленник, скорее всего, будет иметь в своем распоряжении больше ресурсов, чем тот, кто не прошел аутентификацию, независимо от уровня привилегий.
В Windows каждый субъект доступа обладает некоторым (возможно, пустым) набором привилегий. Привилегии представляют собой права на выполнение субъектом действий, касающихся системы в целом, а не отдельных ее объектов.
Существуют следующие привилегии (наиболее основные):
- архивирование файлов и каталогов;
- завершение работы операционной системы и перезагрузка компьютера;
- изменение системного времени;
- доступ к компьютеру из сети;
- разрешение локального входа;
- отладка программ;
- принудительное удаленное завершение работы;
- загрузка и выгрузка драйверов устройств;
- управление аудитом и журналом безопасности;
- создание файла подкачки;
- увеличение приоритета диспетчирования;
- изменение параметров среды;
- смена владельца файлов или иных объектов;
- создание журналов безопасности.
При входе в систему пользователь (преступник) получает привилегии, а затем расширяет их до уровня, необходимого для решения поставленных целей.
Некоторые из перечисленных привилегий позволяют злоумышленнику, обладающим ими, преодолевать те или иные элементы защиты операционной системы. Рассмотрим эти привилегии.
- Привилегия создавать резервные копии информации позволяет пользователю игнорировать разграничение доступа при чтении файлов, директорий, ключей и значений реестра. Аналогично – восстанавливать.
- Привилегия назначать процессам высокий приоритет позволяет пользователю "завесить" операционную систему, создав процесс с высоким приоритетом и введя его в вечный цикл.
- Пользователь, обладающий привилегией изменять системные переменные среды, может, изменив значения переменных path и windir, добиться того, чтобы поиск операционной системой исполняемых модулей для загрузки начинался с личной директории пользователя. Если затем пользователь поместит в эту директорию под именем одной из системных библиотек программную закладку, при первом же обращении операционной системы к данной библиотеке данная программная закладка будет запущена с полномочиями системного процесса.
- Привилегия отлаживать программы позволяет пользователю обращаться к любому процессу по любому методу доступа. В частности, программа, запущенная таким пользователем, может изменить произвольным образом содержимое адресного пространства любого процесса операционной системы, что предоставляет такому пользователю практически неограниченные полномочия.
- Привилегия загружать и выгружать драйверы и сервисы позволяет пользователю выполнять произвольный код от имени и с правами операционной системы (псевдопользователя SYSTEM). Пользователь может внедрять в операционную систему программные закладки под видом драйверов и сервисов. Учитывая, что драйверы устройств Windows NT могут игнорировать большинство защитных функций операционной системы, эта привилегия дает обладающему ею субъекту практически неограниченные полномочия.
- Привилегия аудитора позволяет пользователю маскировать свои несанкционированные действия, изменяя политику аудита таким образом, чтобы эти действия не регистрировались.
- Привилегия добавлять записи в журнал аудита (создание журналов безопасности) позволяет пользователю записывать в журнал аудита произвольную информацию, в том числе и информацию, компрометирующую других пользователей.
Расширение привилегий — это очень мощный вид атак, которые используются для повышения уровня прав учетной записи пользователя до уровня администратора.
Кража информации
После расширения полномочий до необходимого злоумышленнику уровня, он производит кражу информации, которая возможна в двух реализациях:
· непосредственный перенос информации на компьютер, с которого злоумышленник получил доступ;
· копирование на общие ресурсы типа файлообменных серверов, а затем перенос с этих ресурсов на нужный компьютер.
Если в первом случае отследить компьютер, на который произошел перенос информации, не представляет больших сложностей, то во втором процедура поиска может зайти в тупик из-за большей территориальной удаленности аппаратной части этого сервера или из-за его анонимности.
Произведя кражу информации, злоумышленник оценивает ее значимость и принимает решение произвести зомбирование объекта, переходя тем самым на стадию- зомбирование.
Зомбирование
Злоумышленник негласно для легального пользователя переносит на объект необходимые вредоносные программы.
Сначала переносится специализированная программа класса «Downloader» необходимой версии и назначения, в последствии именно эта программа в автоматическом режиме будет проводить остальные переносы вредоносных кодов от класса “scanner” – для периодического изучения изменений информации до “rootkit”- для скрытного удаленного администрирования данного объекта.
После переноса на объект всех необходимых вредоносных программ, злоумышленник периодически проводит аудит ресурсов, эксплуатирует аппаратные и информационные ресурсы объекта и т. д. В последнее время стала актуальна тенденция объединения зараженных компьютеров посредством специализированных вредоносных программ в «зомби - сети», благодаря которым можно управлять одновременно несколькими зараженными компьютерами.
Программы, которые позволяют киберпреступникам удаленно управлять зараженными машинами (каждой в отдельности, частью компьютеров, входящих в сеть, или всей сетью целиком) без ведома пользователя. Такие программы называются ботами.
Ботнеты обладают мощными вычислительными ресурсами, являются грозным кибероружием и хорошим способом зарабатывания денег для злоумышленников. При этом зараженными машинами, входящими в сеть, хозяин ботнета может управлять откуда угодно: из другого города, страны или даже с другого континента, а организация Интернета позволяет делать это анонимно.
Управление компьютером, который заражен ботом, может быть прямым и опосредованным. В случае прямого управления злоумышленник может установить связь с инфицированным компьютером и управлять им, используя встроенные в тело программы-бота команды. В случае опосредованного управления бот сам соединяется с центром управления или другими машинами в сети, посылает запрос и выполняет полученную команд.
Зараженные вредоносной программой-ботом компьютеры, находящиеся под тайным контролем киберпреступников, называют еще зомби-компьютерами, а сеть, в которую они входят, – зомби-сетью.
Использование ботнетов
Ботнеты могут использоваться злоумышленниками для решения криминальных задач разного масштаба:
· Рассылка спама. Многотысячные ботнеты позволяют спамерам осуществлять с зараженных машин миллионные рассылки в течение короткого времени. Кроме обеспечения скорости и масштабности рассылок, ботнеты решают еще одну проблему спамеров. Адреса, с которых активно рассылается спам, зачастую попадают в черные списки почтовых серверов, и письма, приходящие с них, блокируются или автоматически помечаются как спам. Рассылка спама с сотен тысяч зомби-машин позволяет не использовать для рассылки одни и те же адреса.
· Кибершантаж. Ботнеты широко используются и для проведения DDoS атак (Distributed Denial of Service – распределенная атака типа «отказ в обслуживании»). В ходе такой атаки с зараженных ботом машин создается поток ложных запросов на атакуемый сервер в Сети. В результате сервер из-за перегрузки становится недоступным для пользователей.
· Анонимный доступ в Сеть. Злоумышленники могут обращаться к серверам в Сети, используя зомби-машины, и от имени зараженных машин совершать киберпреступления - например, взламывать веб-сайты или переводить украденные денежные средства.
· Кража конфиденциальных данных. Этот вид криминальной деятельности, пожалуй, никогда не перестанет привлекать киберпреступников, а с помощью ботнетов улов в виде различных паролей (для доступа к E-Mail, ICQ, FTP-ресурсам, веб-сервисам) и прочих конфиденциальных данных пользователей увеличивается в тысячи раз. Бот, которым заражены компьютеры в зомби-сети, может скачать другую вредоносную программу – например, троянца, ворующего пароли. В таком случае инфицированными троянской программой окажутся все компьютеры, входящие в эту зомби-сеть, и злоумышленники смогут заполучить пароли со всех зараженных машин. Украденные пароли перепродаются или используются, в частности, для массового заражения веб-страниц (например, пароли для всех найденных FTP-аккаунтов) с целью дальнейшего распространения вредоносной программы-бота и расширения зомби-сети.
Однако наступает момент, когда появляется необходимость убрать все следы пребывания на данном объекте по каким либо причинам. Так киберпреступление переходит на следующую стадию – уничтожение следов, реализующееся в виде специализированных кодов, которые после сокрытия следов самоуничтожаются.
В итоге эксплуатации объекта на нем не остается никаких очевидных следов, а поэтому определить злоумышленника и привлечь к ответственности становится делом практически невозможным.
Сокрытие следов
Сокрытие следов может быть реализовано путем:
· Создание подложных учетных записей. Практически каждый системный администратор понимает, что учетные записи с правами суперпользователя являются критически важными ресурсами сточки зрения защиты и аудита. Учетные записи с неприметными именами, которые наделены привилегиями суперпользователя, отслеживать труднее. Злоумышленник обязательно сделает попытку создать такую учетную запись на взломанной системе.
· Удаление записей из журналов
· Скрытие файлов. Скрытие файлов — стандартный метод действий злоумышленников и встречается почти при каждом случае компрометации системы. При расследовании взломов мы практически всегда находили скрытые файлы, загруженные хакерами в чужую систему.
Отказ в обслуживании
Иногда злоумышленники, не получив доступа к нужной им системе, прибегают к блокированию (DoS — Denial of Service). В результате подвергнувшаяся блокированию АС перестает отвечать на запросы легальных пользователей, т.е. возникает состояние "отказ в обслуживании". Причем далеко не всегда состояние DoS AC является самой целью злоумышленников. Часто оно инициируется для того, чтобы вынудить администратора перезагрузить систему. Однако нередко это нужно злоумышленнику, чтобы выдать свою систему за систему, намеренно переведенную им в состояние DoS. Наконец, в последнее время состояние DoS, от которого не застрахована ни одна современная АС, подключенная к Internet, используется в качестве средства кибертерроризма.
Этап расследования КП
Этап расследования киберпреступления подробно описан на рис.3.5
Рис.3.5 Этап расследования киберпреступлений
Определение параметров
Зная ущерб причиненный злоумышленником, происходит определение параметров расследования КП, которую проводит эксперт и следователь.
Обычно, возбуждению уголовного дела предшествует предварительная проверка материалов, поступивших в правоохранительные органы. В этой связи, следователь может заблаговременно ознакомиться с собранными по делу материалами, совместно с оперативными сотрудниками выбрать в тактическом отношении наиболее оптимальный момент для возбуждения дела, а также определить характер и последовательность первоначальных следственных действий, организационных и иных мероприятий
На данном этапе подлежат установлению[2]:
· факт совершения преступления (не является ли событие следствием непреодолимых факторов - погодных условий, природных катастроф, самопроизвольных технических аварий, поломок и неполадок);
· непосредственная причина нарушения безопасности компьютерной информации и орудий ее обработки; предмет преступного посягательства;
· категория компьютерной информации (общего пользования или конфиденциальная);
· место и время совершения преступления; способ совершения преступления;
· совершено ли преступление дистанционно извне помещения (по каналам электросвязи и локальной сети ЭВМ);
· режим работы с компьютерной информацией, орудиями ее обработки и средствами их защиты;
· с помощью каких конкретно СВТ совершено преступление (тип, вид, модификация, функциональное назначение, техническое состояние и другие признаки);
· конкретный терминал или участок сети (абонентский (регистрационный) номер, код, шифр, рабочая частота), режим их работы и ответственное лицо;
· имела ли место утечка конфиденциальной информации (какой именно, откуда, при каких обстоятельствах);
· размер материального ущерба, из чего он складывается;
· с какими служебными действиями, с операциями технологического процесса связано преступление, кто из должностных лиц или работников несет ответственность и имеет непосредственное отношение к ним в силу технологии производства, должностных инструкций (обязанностей) или командно - административного управления; личность подозреваемого и основные ее характеристики (обладает ли специальными познаниями, в какой области и каков их уровень);
· не совершено ли преступление группой лиц, каковы роль и характер каждого участника преступления; мотив преступления;
· кто является потерпевшим (физическое или юридическое лицо);
· кому было известно о намерениях преступников, кто участвовал в сокрытии преступления и его следов;
· причины и условия, способствовавшие совершению и сокрытию преступления, что усугубило их проявление - не обусловлено ли это нарушениями нормативных актов, положений, инструкций, правил, организации работы другими лицами, кем именно и по каким причинам.