XI Международная студенческая научная конференция Студенческий научный форум - 2019

В сети существует много доступных в свободной продаже троянов-шпионов.

N0F1L3

Первая версия трояна был написана на .NET, вторая, названная N0F1L3v2, – на С#. Его специализация была направлена на хищении паролей из браузеров.

Первый релиз требовал для работы .NET 2.0 и библиотеку sqlite3.dll. Похищенные пароли он сохранял в текстовый файл с HTML-разметкой прямо на зараженной машине, а затем отправлял его на сервер.

Вторая версия отличалась от первой отсутствием зависимостей, благодаря чему могла работать на чистой системе, так же она позволяла получать информацию из Firefox, чего первая модификация не могла. N0F1L3 собирал из браузеров cookies, данные автозаполнения форм и пароли, копировал с рабочего стола файлы с расширениями .doc, .docx, .txt и .log. Для N0F1L3 был создан PHP – админ в котором отслеживалась статистика и логи. Все версии N0F1L3 хорошо обнаруживаются антивирусами.

Kratos

Kratos был написан на C++ автором трояна N0F1L3. В дополнение к уже реализованным у его предшественника функциям, Kratos умеет делать скриншоты и копировать файлы из папки клиента Telegram. Так же новой функцией послужил поиск и отправка данных клиента Steam. Kratos использовал PHP – админ аналогичный N0F1L3.

AZORult

AZORult широко известен в кругах коммерческих троянов, обладающий большим набором функциональных возможностей. Троян похищает сохраненные пароли, данные форм и cookies из 33 различных браузеров. В админе трояна имеется специальный конвертер, позволяющий просматривать содержимое файлов cookies в формате JSON. AZORult может получать пароли из почтовых клиентов Outlook и Thunderbird, FTP-клиентов FileZilla и WinSCP, IM-клиентов Pidgin и Psi/Psi+. Из Skype он способен скопировать переписку, из Telegram – идентификаторы сессий, из клиента Steam – файлы ssfn и vdf. Список криптовалют, кошельки которых в состоянии украсть AZORult, весьма внушителен: он насчитывает 38 наименований.

Среди возможностей AZORult не только стандартные вроде создания скриншотов, но и поиск на зараженной машине файлы по имени, размеру или маске с рекурсивным обходом вложенных директорий. Он в состоянии собирать информацию о программном окружении и аппаратной конфигурации (включая геолокацию, список установленных приложений и работающих процессов), а также скачивать и запускать с управляющего сервера заданный файл. AZORult имеет функцию автоматического самоудаления после отправки отчета, если она включена в админе, и способен работать с серверами. Были зафиксированы случаи заражения с помощью Word, Excel и Google Update. Не всегда антивирусные программы могут сразу распознать AZORult.

Eredel

Eredel был написан языке программирования С#, обладающий вполне стандартным набором функций: кража cookies и паролей из Chromium-based браузеров, создание скриншотов, копирование файлов из папок FileZilla и Telegram, а также изображений, архивов и документов, которые пользователь по неосмотрительности забыл на рабочем столе. Из интересных особенностей Eredel стоит отметить наличие специального Telegram-бота, c помощью которого можно настроить троян. Eredel отлично детектируется наиболее популярными антивирусами.

Большинство коммерческих троянов похожи друг на друга, но каждый работает по-своему. Ассортимент таких программ очень широк, поэтому всегда можно найти подходящий вариант.

СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ

Жебричук А. В., Ниценко В. С. Угрозы информационной безопасности организации. – 2016.

Шаньгин В. Информационная безопасность. – Litres, 2017.

Казарин О. В. Безопасность программного обеспечения компьютерных систем. – М. : Изд-во МГУЛ, 2003.