Вирусописательство и коммерция


В наши дни

уже практически не встретишь сообщений о массовой эпидемии червя, который распространялся бы просто для самоутверждения автора, ради забавы, да ради чего угодно, не включая коммерса. Всё, что сейчас активно распространяется, всё, чем сейчас заражаются пользовательские (и не только) машины, нацелено на профит их создателей, и в целом, среди доминирующей массы "школьной малвари", встречаются очень интересные (технологически новые) экземпляры. Достаточно взглянуть на листы "TOP10" основных угроз на сайтах самых известных антивирусных вендоров. О более интересных экземплярах сотрудники АВ контор предпочитают даже писать в блогах своих компаний с анализом средней глубины сэмпла. На общем фоне от 90% "простой" малвари можно выявить некие интересные 10% сэмплов, работа в которых организована более интересней, выразительней и сложней в плане используемых технологий.

Это говорит о том, что помимо скрипт-кидди и искусные программеры (вэиксеры) сменили вектор направления с for-fun на profit. Ведь теперь они помимо самоутверждения могут монетизировать свои знания и навыки. Более того, многие предприимчивые люди, не плохо разбирающиеся в современном IT мире, собирают целые группы из талантливых программистов и хакеров, создавая полноценные проекты, нацеленные на заражение большого количества пользовательских машин, с целью дальнейшей их монетизации, вектор которой начинается от продажи конфиденциальной информации и подмены выдачи поисковых запросов до поднятия на зараженной машине прокси серверов и использования машин в качестве зомби сетей для атаки класса DDoS. Весь этот вектор атаки при должном подходе и грамотной квалификации разработчиков приносит далеко не малые доходы, и такой бизнес уже не редкость, а целая индустрия.

Хотелось бы также отметить несколько слов о таком векторе атак, как атаки на правительственные организации промышленного масштаба. Такие атаки обычно спонсируются спец. службами развитых государств, которые серьезно относятся к привлечению программистов высочайшего класса и основательным планированием такой атаки. Любой человек, более-менее связанный с современным IT, хотя бы раз слышал о таких троянцах, как Stuxnet, Duqu, Flame Gaus, Red October. Всё перечисленнoе выше, а также многое другое, что еще только предстоит выявить сотрудникам АВ контор, носит в себе далеко не массовый характер. Обычно это таргетированные атаки до 1.5к зараженных машин в "заведомо нужном секторе". Такое "кибероружие" XXI века доказывает нам всем, что всё ведет к тому, что межправительственные кибератаки - это не миф, а суровая реальность, актуальность которой будет расти из года в год. Иногда в сми просачиваются новости о том, что то или иное государство набирает команду так называемых "кибер войнов". Такие войска есть в Штатах, в Израиле, теперь и в России. И ведь всё это делается не просто так.

Давайте попробуем разобраться, почему всё это происходит. Представьте, что Вы опытный программист, имеющий в арсенале огромный багаж знаний в одной или нескольких областях программирования, системного администрирования, систем защиты, устройства внутренностей ОС, реверсинга и т.д. Какие у вас есть варианты монетизации своих знаний? Устроиться на работу в некую IT конторку, где ваши знания будут финансово оценивать далеко не так, как вам бы того хотелось. Вы можете стать фрилансером, выполняя некоторую работу. Но, во-первых, действительно интересных проектов очень мало; во-вторых, за них хорошо заплатят лишь единицы. Что же остаётся? Вот именно! VX индустрия с упором на написание malware с целью монетизации своих знаний. Тут важно отметить, что такой заработок может стать полноценным и постоянным при должном подходе к делу. Вот поэтому malware-индустрия с каждым днем пополняется рядами новых адептов. Подтверждением тому могут стать всё новые отчеты антивирусных вендоров о свежих найденных угрозах. Не поленитесь, гляньте их, там много интересного бывает :)


Да че уж там, многое сменилось...

Если в 90-ых годах payload (полезная нагрузка) вируса была в виде сообщения или деструктивного действия в какое-то число определенного месяца, то сейчас неудобства пользователей зараженных машин смещены к нулю в целях скрытной работы в системе, и теперь малварь с легкостью уживается практически с любым другим софтом пользователя.

Полиморфизм и метаморфизм сменились с локального на server-side уровень (основная работа по генерации новых сэмплов происходит на стороне сервера), черви теперь являются всего лишь дропперами (переносчиками в себе) зашифрованного бота.

Антивирусы также обросли бородатыми технологиями в виде виртуальных машин, HIPS, систем детектирования на основе репутации и многого другого. Базы стали обновляться не раз в двое суток, а два раза в час. Для более популярных и распространенных угроз появились свои собственные трекеры для более быстрого реагирования. Да и пользователя теперь не удивишь иконкой текстового файла или mp3 с расширением .exe. Доминирующий источник заражений пользователей теперь приходит на drive-by атаки.


Что же будет дальше...

В ближайшем будущем и антивирусы, и малварьная индустрия выйдут на новый уровень. Малварь кодеры сменят вектор заражения с массовых атак на таргетированные цели. Цели эти будут составлять компьютеры и компьютерные сети, имеющие лишь наибольший интерес для атакующих. Такими целями будут являться правительственные организации, ведомственные структуры, крупные технологические компании, банки и т.д, словом, все те машины, информация на которых может быть монетизирована либо использована в каких-нибудь целях. Антивирусы начнут вводить алгоритмы детектирования на основе природных алгоритмов DNA (Evo-gen от Avast тому пример), тем самым вызывая огромное количество ложных срабатываний (введите в google evo-gen ;)), а малварь-кодеры всегда будут на шаг впереди, так как антивирусам со всеми их кодо-анализаторами, эвристиками, виртуальными машинами остаётся довольствоваться сэмплами уже совершенных успешных атак (Duqu, Красный октябрь етц).

К тому же уже давно активно используются зарекомендовавшие себя руткит и буткит технологии (и их модификации, представляющие серьезную угрозу для AV индустрии), которые способны создавать собственные зашифрованные разделы и контейнеры внутри самих ос, тем самым не оставляя ни малейшего шанса для обнаружения антивирусам.

Что же нас ждет как сцену? Ну, давайте пофилософствуем, что же будет дальше.

Варинт 1. Мы все умрем. Шутка:). Глобализация и скамерс доведут сцену до состояния, когда каждый будет сам себе и кодер, и реверсер, и сэллер. Т.е. без общей инфы останется только узкий круг специалистов, которые будут делать не особо качественный софт ввиду острой нехватки времени. Невозможно охватить все направления разом. Я знаю лишь узкий круг людей, способных на все разом. Кажется пальцев одной руки хватит...

Варинт 2. По-мере нарастания информационного голода одиночки будут объединяться и сообща пилить софт для монетизации. Вариант более светлый нежели первый, если бы не одно НО. Как попасть к таким людям? Вероятно, придется нехило качать скилл и всячески его показывать, чтобы стать заметным и востребованным.

Варинт 3. Совместными усилиями сцена перейдет на уровни значительно выше доступных. Скажем, на правительство будет работать огромное количество спецов, которые станут делать исключительно таргетированную малварь. В таких условиях конкуренция сведется к дележке незначительных долей рынка, таких как кардинг и ддос. Понятие хакер загонят окончательно в зад. И будут использовать как ярлык (аналог текущего киддис, ну или просто придурок). В текущий момент существенно зажимаются болты для монетизации как одиночкам так и небольшим группам. Трэкеры, аверы, сплоиты. Все падает на уровни вниз. Если раньше траф не считали за продукт, то теперь за него бьются. Если раньше пробив на паках был под 35%, то сейчас и 10% радуются до слез. А что дальше? Будем фейки слать? Мобилы заражать? Ой... Понесло меня что-то. И я вышел за пункт 3...

Варинт 4. Его пока не вижу. Сказать, что мы сейчас резко поумнеем и начнем сообща наращивать скилл, не могу. Слишком глубоко засела монетизация, и в любом раскладе кто-то будет стремиться сорвать бабла с коллективного разума. Нужен принципиально новый виток эволюции, чтобы родить новую сцену. Старая погибла, новая сцена ужасна... Жду третьего поколения... Боюсь...


Всё уже придумано до нас...? Неа! :)

У многих в головах укоренился шаблон, что всё, что можно - уже придумано, написано, описано, реализовано! Но это не так, далеко не так. XXI век, век технологий, и каждый день что-то изобретается, а ведь все это потенциально перспективно для Нас, и может навести как на улучшение старых идей, так и на создание потенциально новых. Практически каждая технология может быть использована в vx целях. Вирусы пишут на скриптах (вири под скрипты CFF Explorer), вирусы-скрипты под MatLab и Wolfram Mathematica.


Почему old-school вэиксеры не любят современных малварь кодеров?

Большинство old-school вэиксеров пренебрежительно относятся к сегодняшним малварь-кодерам, так как считают, что те портят искусство своими "жалкими поделками" и пытаются на этом заработать, тем самым меняя отношение с уважения вэиксеров на отвращение к ним. К сожалению, доминирующая часть малвари сегодня "унылый примитив", на котором некоторые ведь умудряются зарабатывать.

Если быть откровенным, то vx-сцена в привычном её понимании вымерла! Но тут кроется скрытый смысл. Вымерло само понятие о старом vx, о vx ради искусства (идея 90-х и 2000-ых). Если посмотреть на современную malware-сцену, то, по сути, это та же vx-сцена, в которой присутствуют и "примитивные поделки", и выдающиеся произведения искусства. Сменился лишь вектор направленности с самоутверждения на получение выгоды (идея vx с целью коммерса). Основная мысль тут не в том, что монетизация загубила идейность VX, а в том, что идейность 21-го века и есть монетизация!


Собратья наши...Господа хэккеры

Подискуссируем на тему около-vx, на тему хэка. Что сейчас там? А там сейчас просматривается очень интересная картина. Представьте себе крохотный зеленый росток, снова и снова пробивающийся через толщу асфальта к солнцу. Это ярко описывает то, что происходит сейчас в хэк-сцене. Росток - это настоящие интеллектуальные люди, посвятившие жизнь IT. Не просто системные администраторы, которые не желают рости выше, оставаясь из года в год на том же уровне, а люди, постоянно совершенствующие свой скилл, познающие всё новые технологии, изучающие всё новые языки программирования, открывающие свои концепты в разных IT областях - эти люди тру хакеры. Асфальт же в свою очередь - это та толща коммерса, рипперов, перекупщиков, правительственных запретов и так далее.

Многие "ведут свои дела" в коммерсе, для многих работа в реале перешла в режим работы онлайн. И это эволюция, так возможно и должно было быть!

Что же касается тех, кто продуктивно способствует поддержке развития новых адептов, а также позволяет общаться и "старичкам" - старожилам прошлых лет? Говоря о ру-хэк-сцене, можно по пальцам пересчитать площадки, на которых есть жизнь, не без присутствия коммерса правда, но и не на одном нём. Хотелось бы отдать дань почести и уважения тем людям, кто безвозмездно, просто так(!) всё еще поддерживает эти площадки, иногда даже оплачивая хостинговые компании и антиДдос из своего кармана. При этом устраивая конкурсы на "самую интересную статью", привлекая "умы" к написанию интересных материалов, а также создавая приятные условия для написания коллективного кода, разработки коллективных проектов для мемберов таких площадок. Тут хотелось бы сказать всем им огромное человеческое спасибо, ибо усилия ваши вознаградятся сполна!


Дух и цели. Философские рассуждения.

Тут хотелось бы процитировать слова одного человека, который застал те времена, когда хэк-сцена росла семимильными шагами:
"Отдельно хочется рассказать о причинах и следствиях, да и к тому же давно хотелось осветить свои мысли о том, кто же такой хакер.
Давайте попробуем вдуматься в то, что происходит сейчас! Массовая информация окончательно подменила понятие о самой концептуальности слова ХАКЕР! Если вы не в курсе, то раньше хакерами назывались те люди, которые своим умом раскручивали сложные уязвимости в важном программном обеспечении или с помощью социальной инженерии получали доступы к сетям важных организаций. Добывали доступы или информацию и затем просто сообщали админу о том, как они это сделали и как защититься от этого. Если информация специально затиралась или подменялась ради шутки - это был крякер... КРЯКЕР! Были вирмэйкеры и честные кодеры. Были киддисы и старательные новички. Но хакер - это персонаж исключительно высшей квалификации. И он хороший.
Благодаря подмене значения теперь хакером называют каждого недоумка, у которого получилось воспользоваться паблик продуктом на компьютере некомпетентного пользователя. Это печально. Что же такое old-school (олд-скул)? Старый череп? :) Почему старожилы прошлых лет так цепляются за это понятие и принципы?
Да все просто, уважаемые читатели. Старички попробовали того, что никому из новичков уже не достанется и очень горюют по тем временам. Так как же это было в то время?
А было все просто. Не забывайте, что становление форумов происходило во времена, когда антивирусные компании и другие средства защиты были на стадии зарождения и двигались очень мелкими шажками. Когда не было готовых примеров кода того или иного функционала. Когда мануалы были первейшим источником информации.
Ну и главное - когда это было просто привольно и интересно. Дело в том, что в те времена не было такой глобальной монетизации. Мы все были молоды. Помнится, самым молодым из нас было около 10-11 лет. Профессионалам было около 16. Мы не заворачивались деньгами. Мы жадно впитывали информацию. И она была нашим наркотиком. Любой 200-300 страничный топ начинался со слов "Пацаны! Зацените, что нарыл!". И дальше шло миллион постов о том, что же это может быть, и как это можно заюзать. Большинство из нас просто делилось информацией и репутация была тем круче, чем выше уровень знаний. Никто никого не кидал. Да потому, что и коммерса как такового особо не было. Мы ловили малварь, реверсили, делали билдеры и балдели от своего могущества. Затем писали новую или обсуждали старую. И никого не волновала упущенная выгода. В паблик слету уходили свежайшие баги супер-популярных cms. И зачем? Да просто ради дефейсов. Дефейс был приколом для самоутверждения. И никто не задумывался особо над получением трафа или сливом баз и спамом по мыльникам. Это просто не нужно было никому.
О чем это я? Да о том, что мы из изобилия информации и дружеских отношений как-то резко перешли к общему скамерсу. К кидалову и жестокой молчанке по исследованиям в своих сферах. В лучшем случае 3-5 человек делятся между собой инфой и сообща что-то пилят, а потом монетезируют и злостно делят бабло. Тьфу. Противно."


Мысли о совмещении навыков сторожил и будущего "старой"-новой vx сцены

Возможно имеет смысл разработать полноценный framework под задачи размножения malware (некоторые попытки были предприняты в framework Metasploit, но там ориентация велась все же на девелоп эксплоитов). Полноценный червь, использующий последние уязвимости и социальную инженерию, созданный с техниками усложнения детектируемости, таких как мета\полиморфизма, пермутации и многого другого с учетом последних наработок. Тем самым, поставив вызов и самому себе, и ав индустрии. И, возможно, даже спровоцировать возрождение того былого, чем в понятии у сторожил old-school являетя vx-сцена.

Другой путь возрождения vx в понимании прежних тенденций может стать написание (читай объединение) всего уже существующего, а также нового материала в упорядоченной структуре, начиная от "примитива для MS-DOS" (признаться, в те времена некоторые такие вирусы примитивом не считались и были большой головной болью для AV индустрии), заканчивая технологиями, актуальными в наши дни. В качестве материала можно использовать некоторые прекрасные статьи о вирусной концептуальности, а также о методах кодогенерации, полиморфизме, метаморфизме, пермутации и многих других технологиях.
Структурировать всё это для юных умов в одном месте задача нетривиальная. Но зато в будущем эти усилия будут награждены новыми неординарными умами юных дарований, мыслящими далеко за гранью стандартного понимания программирования вирусов в целом. Ведь если AV индустрия приступила к использованию алгоритмов, позаимствованных у природы, позаимствовать алгоритмы размножения могут и вэиксеры. Ведь и сейчас существует огромное количество вирусов и бактерий, с которыми не может справиться современная медицина и антибиотика. Только после крупной эпидемии, за которой выделяются огромные средства, и начинается разработка вакцины против них (провожу аналогию с компьютерными вирусами и AV).

Тем не менее я сторонник мнения, чтобы порог вхождения для вэиксера стал более высоким. Тем самым, вернув дань уважения квалифицированным вэиксерам, набор знаний которых далеко превосходит знания многих сотрудников антивирусных контор. А также сотрудников компаний интернет безопасности, отсеяв тех, кому положено стать водителем автобуса или школьным учителем.

Ведь только наиталантливейшие вэиксеры будут способны представить миру кардинально новую модель современного концептуального вируса, основанную на какой-нибудь математической модели, который совершенно невозможно будет детектировать стандартными, существующими сегодня средствами в AV индустрии. Тот факт, что уже появляются вирусы, не имеющие собственного тела, и в качестве полезной нагрузки, собирающие свой код из системных библиотек, в корне меняет представление и об эвристике, и об эмуляции в целом, не представляя возможным даже классифицировать подобный вирус. Я бы назвал такой вирус hostless вирусом, что значило бы вирус не имеющий собственного тела вообще.

Хоть сегодняшние экземпляры являются не боевыми, а всего лишь Poc (Proof Of Concept), полная реализация подобного концепта не за горами. Далее, аппаратная виртуализация - технология, я бы сказал, для VX ;), так как её использование в vx-целях может существенно осложнить задачу обнаружения для антивирусов. Антивирусы по сути своей не готовы к чему-то кардинально новому, и реакцией на какой-нибудь концептуальный вирус 2014-2020 гг. будет максимум заглушка, обход которой у авторов этого вируса займет считанные минуты, если вообще такая заглушка сможет быть организована.

К тому же важно будет задуматься о создании такого портала, где любой вэиксер смог бы высказывать своё мнение, делиться наработками и идеями, не боясь быть обвиненным в чем-либо, а также портале, имеющим демократическую администрацию, где без явных, четких оснований не будут банить никого. Такой портал должен быть расположен там, где его не смогут закрыть или заблокировать. Лозунг должен быть не иначе как

"VX - свобода ума и мысли!"
"VXER - гений своего дела!"

Только с такими установками можно ожидать подъема числа талантливых вэиксеров. И не важно их объединяющей мотивацией будет получение профита, самоутверждение, концептуальность написанного, разоблачение (вспомните Эдварда Сноудена! Респект ему!) или всё это вместе, ведь только вместе мы сила!


______________________________
d3m & Ar3s
2013

Inception E-Zine