Особенности киберпреступлений в России: инструменты нападения и защиты информации (Масалков) - страница 53

Мимолетный анализ вредоносного файла при помощи ресурса virustotal.com позволяет определить сервер передачи данных и сервер злоумышленника (рис. 2.14).

Рис. 2.14.Определение сервера при анализе вредоносного файла на ресурсе virustotal.com

Продолжая эту тему, можно упомянуть, что есть простой скрипт, который собирает статистику самых популярных поисковых запросов, вводимых пользователями при поиске файлов, и в автоматическом режиме создает файлы с такими именами в открытом доступе злоумышленника.

Вот пример файлов (рис. 2.15), выставленных для раздачи пользователям сети одним таким рыбаком-любителем:

Рис. 2.15.Файлы пользователя сети DC++, доступные для загрузки

Если посмотреть список распространяемых данным пользователем файлов, то можно заметить, что у него под множество различных поисковых фраз есть подходящие файлы (рис. 2.16) различной тематики.

Рис. 2.16.Директории пользователя сети DC++

В каждой директории находятся файлы с названиями популярных произведений, программ, игр и так далее.

Поблагодарим virustotal.com и антивирусные продукты за помощь в демонстрации и двинемся дальше.

Не всегда для атаки необходимо создавать подставной ресурс. Достаточно получить доступ к чужому ресурсу, с которого регулярно происходит загрузка файлов или программ.

Одной из разновидностей фишинга, рассматриваемом в этой части, является подмена файлов на общедоступных ресурсах либо ресурсах, имеющих уязвимости.

Практически все хакеры пользовались сканерами сети, позволяющими проводить сканирование по заданному диапазону IP-адресов с целью изучения сетевого окружения и отыскания открытых ресурсов, доступных для записи.

Чаще всего осуществляется поиск открытых ресурсов NetBIOS, FTP или http, содержащих уязвимые веб-приложения (скрипты), позволяющие осуществлять загрузку файлов на сервер или вносить изменения в конфигурации. Основной задачей такой атаки является подмена обычного файла зараженным бэкдором либо загрузка на ресурс вредоносной программы под видом обычного безвредного файла.

Несколько слов про общедоступные ресурсы.

NetBIOS-ресурсы представляют собой директории или диски, к которым предоставлен общий доступ.

К таким ресурсам относятся так называемые папки обмена, сетевые папки, раньше называемые «шары», или «расшаренные» папки. Название произошло от английских слов: share — доля, shаred — общий.

На волне криптовалютного помешательства слово «шара» уже употребляется в другом значении[44], так что не нужно путать.

В операционных системах MS Windows по умолчанию имеются доступные директории — это все доступные логические диски-файлы (рис. 2.17), символ $ показывает, что они скрыты, но это мало что меняет.