Цепочка заражения (infection chain) — в индустрии информационной безопасности так называют совокупность инструментов многоступенчатой атаки, последовательно загружающих друг друга в зараженную систему. Конечной целью злоумышленников при этом является установка и запуск полезной нагрузки.
Цепочкой заражения иногда называют также список хостов, через которые при просмотре скомпрометированной страницы в браузер пользователя загружается вредоносный код. В подобных схемах злоумышленники обычно используют несколько веб-ресурсов, которые последовательно обращаются друг к другу, чтобы запустить скрипт, инициирующий загрузку вредоносной программы. Цепочка заражения получила свое название от аналогичного термина из биологии — так называется путь распространения инфекции в пределах группы людей.
Почему злоумышленники используют цепочки заражения
Основная задача цепочек заражения — доставка полезной нагрузки и обход средств обнаружения: инструменты начальных стадий (загрузчики) могут не нести в себе вредоносных функций и вообще быть легитимными программами, поэтому их сложнее детектировать. Кроме того, многоступенчатая атака повышает шанс закрепиться в системе. В частности, за закрепление может отвечать один из промежуточных инструментов цепочки заражения, который повторно доставит полезную нагрузку в систему в случае ее удаления.
Элементы цепочки заражения
Основным элементом цепочки заражения является полезная нагрузка — часть вредоносной программы, отвечающая за деструктивную активность в системе. Для доставки и запуска полезной нагрузки злоумышленник может использовать следующие средства:
- Эксплойт — инструмент, эксплуатирующий уязвимости в ПО для проникновения в целевую систему.
- Дроппер — программа со встроенным вредоносным кодом, который она должна скрытно извлечь и запустить на исполнение.
- Загрузчик — программа, способная скачивать вредоносный код с сетевых ресурсов.
- Установщик — программа, отвечающая за расшифровку, распаковку, сборку и настройку вредоносного кода, а также за размещение его файлов в целевой системе.
Запуск цепочки заражения
Внедрение вредоносного кода в систему может осуществляться разными способами, в частности:
- посредством эксплуатации уязвимости;
- через бэкдор или программу удаленного доступа (RAT);
- скрытой загрузкой из Интернета (так называемая drive-by-атака);
- с помощью уже присутствующей в системе вредоносной программы с функциями загрузчика;
- путем использования социальной инженерии.