Методы защиты от несанкционированно установленных кейлоггеров

Защита от «известных» несанкционированно установленных программных кейлоггеров:

• использование анти-шпионских программных продуктов и/или анти-вирусных программных продуктов известных производителей, с автоматическим обновлением сигнатурных баз.

 

Защита от «неизвестных» несанкционированно установленных программных кейлоггеров:

• использование анти-шпионских программных продуктов и/или анти-вирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют, так называемые эвристические (поведенческие) анализаторы, то есть не требующие наличия сигнатурной базы.

 

Защита от «известных» и «неизвестных» несанкционированно установленных программных кейлоггеров включает в себя использование антишпионских программных продуктов и/или анти-вирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют:

• постоянно обновляемые сигнатурные базы шпионских программных продуктов;
• эвристические (поведенческие) анализаторы, не требующие наличия сигнатурной базы.

 

Защита от несанкционированно установленных аппаратных кейлоггеров:

• тщательный внешний и внутренний осмотр компьютерных систем;
• использование виртуальных клавиатур;

Бэкдор, backdoor (от англ. back door, чёрный ход) — программа или набор программ, которые устанавливает взломщик (хакер) на взломанном им компьютере после получения первоначального доступа с целью повторного получения доступа к системе. При подключении предоставляет какой-либо доступ к системе (как правило, это командный интерпретатор: в GNU/Linux — Bash, в Microsoft Windows NT — cmd). Бэкдор — особо важная составляющая руткита.

 

Есть 2 вида предоставления shell-доступа:

«BindShell» — самый распространённый, работает по архитектуре «клиент-сервер», то есть бэкдор ожидает соединение.

«Back Connect» — применяется для обхода брандмауэров, бэкдор сам пытается соединиться с компьютером хакера.

 

Известные бэкдоры заносятся в базы антивирусных систем. Хакеры высокого класса используют собственноручно написанные либо модифицированные бэкдоры и руткиты, что делает их обнаружение и удаление затруднительным.

 

Основное назначение Backdoor – скрытное управление компьютером. Как правило, Backdoor позволяет копировать файлы с пораженного компьютера и наоборот, передавать на пораженный компьютер файлы и программы. Кроме того, обычно Backdoor позволяет получить удаленный доступ к реестру, производить системные операции (перезагрузку ПК, создание новых сетевых ресурсов, модификацию паролей и т.п.). Backdoor по сути открывает атакующему «черный ход» на компьютер пользователя. Опасность Backdoor увеличилась в последнее время в связи с тем, что многие современные сетевые черви или содержат в себе Backdoor-компоненту, или устанавливают ее после заражения ПК. Второй особенностью многих Backdoor программ является то, что они позволяют использовать компьютер пользователя для сканирования сети, проведения сетевых атак взлома сетей – при этом попытки взлома ведутся с компьютера ничего не подозревающего пользователя.

 

51. Краткая характеристика вредоносных программ: руткитов, троянов и бот-сетей.

 

Руткит (англ. rootkit, т.е. «набор root'а») — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.

 

Термин Rootkit исторически пришёл из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, снифферы, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты UNIX (в случае неядерного руткита). Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов, а также самого присутствия руткита в системе.

Классификация руткитов

По уровню привилегий

• Уровня пользователя (user-mode)
• Уровня ядра (kernel-mode)

По принципу действия

• изменяющие алгоритмы выполнения системных функций (Modify execution path)
• изменяющие системные структуры данных (Direct kernel object manupulation)