Казалось бы, самый очевидный способ защититься от любого компьютерного шпиона — установить антивирус и навсегда забыть о проблеме. Но «очевидный» — не синоним слову «эффективный». Большинство антивирусных программ ловит троянов примерно так же, как контрразведчики вычисляют настоящих шпионов: по отпечаткам пальцев, то есть методом сигнатурного детектирования.
INFO
Сигнатура — это хранящийся в специальной базе уникальный идентификатор файла, с помощью которого можно отличить его от других. Если образец этого вредоносного файла ранее не исследовался в вирусной лаборатории и его сигнатура не добавлена в базы, антивирус не сможет опознать его.
Есть разные способы обойти сигнатурный детект — «Хакер» о них неоднократно писал. Остается еще эвристика. Но и эвристические механизмы поиска угроз, опирающиеся на поведенческий анализ, выполнение программы в песочнице и прочие ухищрения, — не панацея, иначе антивирусы не сталкивались бы с ложными срабатываниями. Иными словами, даже если на твоем компьютере установлена самая современная защита, это отнюдь не означает, что ты в безопасности.
Какие же коммерческие программы-шпионы наиболее популярны сейчас на рынке и как вычислить их присутствие в системе?
FinFisher
Кибершпионская софтина под названием FinFisher, она же FinSpy, была разработана компанией Gamma Group и применялась, по слухам, для политической слежки за журналистами и диссидентами в разных странах мира. Программу в 2011 году слил в WikiLeaks Джулиан Ассанж, после чего она стала достоянием анонимусов и подверглась пристальному изучению со стороны специалистов по информационной безопасности и прочих заинтересованных лиц. «Хакер» уже рассказывал об этой замечательной программе.
FinFisher может перехватывать переписку жертвы в социальных сетях, отслеживать почтовые сообщения, работать кейлоггером, предоставлять доступ к хранящимся на инфицированной машине файлам, а также записывать видео и аудио с помощью встроенного микрофона и камеры. Существуют сборки FinFisher под Windows, macOS и Linux. Кроме того, были созданы мобильные версии трояна практически для всех существующих сегодня платформ: Android, iOS, BlackBerry, Symbian и Windows Mobile.
Схема распространения FinFisher типична для троянов: шпион раздавался с помощью загрузчиков, которые рассылались по электронной почте под видом полезных приложений или прилетали на компьютер с обновлениями ранее установленной безопасной программы. В одной из атак, исследованных ребятами из ESET, использовалась также реализация схемы MITM: при попытке скачать нужную программу ничего не подозревающая жертва перенаправлялась на фишинговый сайт, откуда загружала дистрибутив «с сюрпризом». В рассмотренном ESET примере FinFisher был встроен в дистрибутив утилиты TrueCrypt. Ирония заключается в том, что юзер, желающий защитить свои данные и зашифровать диск для пущей безопасности, своими руками устанавливал spyware на собственную машину.
Создатели постарались сделать работу FinFisher максимально незаметной и всячески затруднить обнаружение трояна. В его коде имеются функции антиотладки, предотвращения запуска в виртуальной машине, противодействия дизассемблированию, а сам код обфусцирован. Кроме того, программа старается действовать в зараженной системе незаметно и лишний раз не обращать на себя внимание пользователя.
Защита
Выловить FinFisher на устройстве вручную — весьма нетривиальная задача. Известные семплы успешно детектируются и удаляются популярными антивирусными программами, а вот неизвестные… С ними сложнее.
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.
Я уже участник «Xakep.ru»
