АНАЛИЗ ВРЕДОНОСНЫХ ПРОГРАММ, ОРИЕНТИРОВАННЫХ НА ОС WINDOWS. ВОЗМОЖНОСТИ ИХ ВЫЯВЛЕНИЯ В СИСТЕМЕ ПРИ ПОМОЩИ ИСПОЛЬЗОВАНИЯ МЕТОДОВ ЦИФРОВОЙ КРИМИНАЛИСТИКИ

Одной из главных проблем, преследуемых любой популярный массовый цифровой продукт, - это приоритетность лидера рынка в глазах злоумышленников, в сравнении с менее популярными продуктами. Подтверждением факта длительности существования тенденции определения наиболее популярных участников рынка – в лице главных целей для разработки всевозможных вредоносных программных обеспечений, может послужить статистика количества наиболее популярных вредоносных программ, в сравнении с процентом использования тех или иных операционных систем.

Согласно отчету “Desktop Operating System Market Share Worldwide”, разработанному компанией STATCounter, процент использования ОС Windows, по сравнению с остальными операционными системами, составляет порядка 73,4% пользователей во всем мире. В то время, как на втором месте, по частоте использования, расположилась Mac OS, с порядка 15% от всего количества пользователей.

Однако, если перейти к анализу статистики появления новых вирусов за этот год, то корреляция между двумя этими платформами будет ещё выше. Так, за 2024 год, согласно собираемой статистике от AV-ATLAS, на Mac OS было выпущено порядка 25 тысяч новых экземпляров вредоносного ПО. Тогда как на Windows, лишь за один текущий год, было выпущено более 76 миллионов вредоносных программ, из которых лишь количество троянов составило более двух с половиной миллионов экземпляров.

И в связи с тем, что количество вредоносного ПО для ОС Windows растет как в общем количестве – так и в объемах ежегодно выпускаемых новых экземпляров вредоносных программ для данной системы, существует необходимость не только в систематизации знаний об имеющихся типах данного ПО, но и также о возможностях детектирования на предмет заражения системы.

Наиболее популярные категории вирусного программного обеспечения принято делить на Х типов:

1. Вымогательские программы (Ransomware) – вредоносное ПО, использующее шифрование для блокировки доступа к данным целей заражения с дальнейшим получением прибыли от жертв. Зачастую, жертва заражения частично или полностью оказывается неспособной к дальнейшему функционированию в связи с блокировкой данных;

2. Троянское ПО (Trojan) – ПО, зачастую, маскирующееся под легитимное ПО. При загрузке пользователем в систему, троян способен захватить устройство для дальнейших действий. Главная проблема заключается в сложности обнаружения данного ПО до момента заражения им;

3. Вирусы (Virus) – фрагмент кода программы, вставляющийся в отдельную исполняемую часть коды и выполняющийся при запуске программы. Может быть использован для кражи критических данных, проведения дальнейших DDoS-атак с адреса зараженного устройства или для реализации вымогательской атаки с шифрованием данных;

4. Руткиты (Rootkits) – ПО, предоставляющее злоумышленникам удаленный доступ к компьютеру цели с правами привилегированного пользователя системы. Могут быть доставлены в систему в составе Троянского вредоносного ПО, фишинговых рассылок с вложенными файлами или посредством установки в устройство через скомпрометированные носители.

5. Безфайловые заражения (Fileless Malware) – распространяются на целевые машины без использования каких-либо файлов с вредоносной нагрузкой. Примером данного заражения может являться DLL-заражение – метод, при котором зараженная составная кода попадает в приложения и саму систему благодаря установки Windows-приложениями библиотек динамической компоновки (DLL). На сегодняшний день, данный метод заражения признается одним из эффективнейших, по причине отсутствия возможности детектирования этого вида заражения при помощи антивирусных ПО.

6. Черви (Worms) – вид вредоносного ПО, разработанного для реализации конкретных уязвимостей легитимного программного обеспечения или операционных систем. Способны попасть путем нахождения в легитимном ПО заранее подготовленных разработчиками бэкдорами или неисправленными уязвимостями в этом ПО. После попадания в систему, могут быть использованы для кражи данных или реализации вымогательских атак.

Исходя из столь объемного количества известных типов вредоносного ПО, имеющих не только различные пути попадания в систему – но и отличающиеся виды нанесения ущерба цели, следует вывести и возможные варианты детектирования деятельности данного ПО в системе. Это позволит не только обнаруживать скрывающееся вредоносное ПО, но и повысит уровень безопасности системы при постоянном использовании и актуализации предложенных вариантов действий:

1. Анализ файловой системы наиболее часто применяется при попытке обнаружения потенциального шифровальщика в системе. Данный функционал предлагают такие программы, как AutoPsy или FTK Imager, ориентированные на глубокий анализ файлов и их версий, хранящихся на дисковых носителях. Как правило, при работе с данными программами в целях нахождения шифровальщика, можно обнаружить уже зашифрованные или недавно измененные файлы, а также отследить нетипичное изменение расширений файлов (такое как “.enc”, “.crypt”, “.locked”);

2. Мониторинг процессов системы и её сетевых подключений позволяет отслеживать наличие и активно скрытых или нетипичных исполняемых процессов, потребляющих различное количество ресурсов. Такие инструменты, как Process Explorer или Process Hacker – направлены на мониторинг активных процессов системы с целью их анализа для выявления подозрительных действий внутри. В то время, как WireShark и Netstat способны выявлять несанкционированные подключения устройства или входящий/исходящий трафик, указывающий на активность вредоносного программного обеспечения.

3. Анализ журналов системных событий Windows может хранить информацию о длительной деятельности на компьютере и способны помочь в выявление следов вымогательского ПО. Данными показателями может служить не только изменения файлов, но также запуск неизвестных программ или попытка изменения системных настроек компьютера.  Однако, так как журнал системных событий Windows несет в себе также описание множества всесторонне запускаемых и работающих процессов – для оптимизации работы с информацией из них рекомендуется использовать Event Viewer, обладающий функционалом фильтрации и поиска по устанавливаемым параметрам записей.

4. Анализ реестра Windows – реестр Windows является важным объектом для анализа, поскольку вредоносные программы могут вносить изменения в ключи автозапуска или скрывать свою деятельность посредством изменения параметров системы. Особое внимание стоит уделять разделам реестра, связанным с автозапуском (такими как HKC\Software\Microsoft\Windows\CurrentVersion\Run), а также ключам, используемым для сокрытия вредоноса в системе.

В целях эффективного анализа – можно использовать Regshot, обладающий возможностью создания и хранения копий реестра до и после заражения устройства, что позволит выявить подозрительные изменения реестра Windows.

5. Анализ памяти Windows – метод, исследующий оперативную память и её дампы на хранение в них ключей шифрования или других данных, позволяющих исследовать активные процессы и следы деятельности вредоносных программ. В качестве инструментов для проведения анализа памяти – следует использовать Volatility или Rekall.

Однако, важно отметить – что приведенные методы обнаружения и предотвращения деятельности вредоносного программного обеспечения в системе являются лишь стратегией по реагированию на случившиеся или потенциально-возможные заражения системы. И предложены они в целях недопущения распространения самого вредоносного ПО или последствий его воздействия. Они не являются полным гарантом безопасности, останавливающим все существующие вирусы, трояны, вымогатели и руткиты. Потому, в случае, если потеря любых данных всегда будет являться критической, стоит как можно чаще проводить резервное копирование критически важных файлов системы – во избежание нанесения непоправимого ущерба.

Подводя итоги проведенной работы, важно отметить полную реализацию поставленных для этой работы целей. В ходе проведения исследования удалось не только выделить классификацию вредоносного программного обеспечения, получивших наибольшее распространение для ОС Windows, но и также определить варианты обнаружения вредоносного ПО в системе при помощи методов, используемых в цифровой криминалистике.