Ewolucja z艂o艣liwego oprogramowania: lipiec - wrzesie艅 2006

Alexander Gostev
Starszy analityk wirus贸w, Kaspersky Lab

Pierwsza po艂owa 2006 roku charakteryzowa艂a si臋 z艂o偶ono艣ci膮 problem贸w technologicznych, z jakimi musia艂y si臋 zmierzy膰 firmy antywirusowe, ogromn膮 liczb膮 nowych program贸w typu "proof of concept" oraz wzrastaj膮cym zainteresowaniem pakietem Microsoft Office ze strony haker贸w. Wydawa艂o si臋, 偶e obie strony wojny wirusowej tocz膮 ze sob膮 zaci臋ty pojedynek, w kt贸rym chodzi o idee. W pierwszej po艂owie tego roku gor膮cym tematem by艂a ochrona proaktywna, kryptografia, technologie rootkit i luki w zabezpieczeniach. Jednak po wzmo偶onej aktywno艣ci nieuchronnie nastaje okres spokoju, kiedy obie strony pr贸buj膮 oceni膰 wyniki swojej pracy i okre艣li膰, w jakim stopniu dane podej艣cie czy koncepcja okaza艂y si臋 skuteczne (lub nie). Trzeci kwarta艂 2006 roku by艂 w艂a艣nie takim okresem refleksji i letniego odpoczynku.

W okresie tym nie wyst膮pi艂a 偶adna znacz膮ca epidemia wirusowa. Jak zwykle, bran偶a antywirusowa z niepokojem czeka艂a na sierpie艅. By艂a to bardziej kwestia tradycji ni偶 rzeczywistego zagro偶enia - przez ostatnie trzy lata sierpie艅 zawsze przynosi艂 powa偶n膮 epidemi臋 wirusow膮. 2003: Lovesan i luka MS03-026. 2004: Zafi oraz Bagle. 2005: Bozori (znany tak偶e jako Zotob), kt贸ry wykorzystywa艂 luk臋 MS05-039 w celu sparali偶owania sieci CNN, ABC, the New York Times i wielu innych organizacji w Stanach Zjednoczonych.

W trzecim kwartale nie powsta艂y 偶adne nowe wirusy typu "proof of concept". Wynika to z tego, 偶e tw贸rcy wirus贸w potrzebowali czasu na wykorzystanie mo偶liwo艣ci zwi膮zanych z pojawieniem si臋 w pierwszej po艂owie 2006 roku ogromnej ilo艣ci nowych wirus贸w typu "proof of concept".

Na froncie wirusowym panowa艂 spok贸j, a ca艂a aktywno艣膰 stanowi艂a w g艂贸wnej mierze codzienn膮 walk臋 o  pozycj臋 w Internecie.   

Luki

Wygl膮da na to, 偶e w naszych raportach kwartalnych s艂owo "luka" pojawia si臋 cz臋艣ciej ni偶 s艂owo "wirus". Dok艂adnie odzwierciedla to trendy panuj膮ce obecnie w bezpiecze艅stwie informatycznym. Dawno min臋艂y ju偶 czasy, gdy istnienie i rozprzestrzenianie si臋 wirus贸w zale偶a艂o od kaprysu ich tw贸rc贸w. Lata zmaga艅 pomi臋dzy autorami wirus贸w po jednej stronie a firmami antywirusowymi po drugiej doprowadzi艂y do tego, 偶e prawie wszystkie z艂o艣liwe programy zdolne do wywo艂ania epidemii rozprzestrzeniaj膮 si臋 za po艣rednictwem luk w zabezpieczeniach. Robaki sieciowe, kt贸re swoje istnienie zawdzi臋czaj膮 lukom w us艂ugach Windows, s膮 doskona艂ym przyk艂adem tego, jak b艂臋dy w zabezpieczeniach mog膮 prowadzi膰 do globalnych epidemii. Luki w przegl膮darce Internet Explorer przyczyni艂y si臋 do powstania tysi臋cy program贸w troja艅skich. Wszystko to sprawia, 偶e wszyscy wstrzymujemy oddech po pojawieniu si臋 informacji o nowych lukach krytycznych, zw艂aszcza gdy na dan膮 luk臋 nie istnieje 艂ata.

Luki w pakiecie Microsoft Office

W naszym raporcie obejmuj膮cym drugi kwarta艂 2006 roku zwr贸cili艣my uwag臋 na problem, kt贸ry bardzo szybko sta艂 si臋 kluczow膮 kwesti膮 bezpiecze艅stwa informatycznego. Od marca z trudem nad膮偶ali艣my za ogromn膮 ilo艣ci膮 luk wykrywanych w produktach Microsoft Office. Cel atak贸w czarnych kapeluszy stanowi艂y programy Word, Excel i PowerPoint. W ci膮gu zaledwie trzech miesi臋cy liczba luk w zabezpieczeniach wzros艂a do prawie dwunastu. Informacje o wszystkich tych lukach pojawi艂y si臋, zanim jeszcze Microsoft zdo艂a艂 opublikowa膰 odpowiedni膮 艂at臋.

Co wi臋cej, sta艂o si臋 oczywiste, 偶e tw贸rcy wirus贸w dostosowali swoje dzia艂ania do zwyczaju Microsoftu, kt贸ry publikuje 艂aty wed艂ug ustalonego grafiku, w ka偶dy drugi wtorek miesi膮ca. Tw贸rcy z艂o艣liwego oprogramowania zacz臋li wypuszcza膰 swoje twory zaledwie kilka dni po opublikowaniu przez Microsoft najnowszych 艂at. W rezultacie, u偶ytkownicy pozostawali bez ochrony przez prawie miesi膮c, a hakerzy mogli w tym czasie wykorzystywa膰 najnowsze luki.

Nie jest to jednak najwi臋kszy problem. Analizuj膮c z艂o艣liwe programy, kt贸re w celu rozprzestrzeniania si臋 wykorzystuj膮 luki w pakiecie Office, zar贸wno Kaspersky Lab jak i inne firmy antywirusowe bada艂y r贸wnie偶 luki w zabezpieczeniach. Sta艂o si臋 jasne, 偶e u podstaw wszystkich tych luk le偶a艂 jeden problem w dokumentach OLE (pliki stworzone przy u偶yciu pakietu Microsoft Office). Opublikowanie 艂aty dla ka偶dej luki nie rozwi膮za艂oby problemu - Microsoft musia艂by ca艂kowicie zmieni膰 technologi臋 stosowan膮 do przetwarzania obiekt贸w OLE. Publikowanie 艂at ka偶dego miesi膮ca by艂o jak przyklejanie ma艂ych plastr贸w na du偶膮 ran臋 - liczba potencjalnych luk w zabezpieczeniach obiekt贸w OLE przekroczy艂a 100. 

W okresie mi臋dzy lipcem a wrze艣niem nic tak naprawd臋 si臋 nie zmieni艂o. Szkodliwi u偶ytkownicy - z kt贸rych najaktywniejszymi byli chi艅scy hakerzy - nadal atakowali produkty Microsoftu nowymi trojanami, a Microsoft nadal publikowa艂 艂aty zgodnie z swoim grafikiem.

lipiec (3 luki):

  • Microsoft Security Bulletin MS06-037
  • Luki w zabezpieczeniach programu Microsoft Excel mog膮 pozwoli膰 na zdalne wykonanie kodu (917285)
  • Microsoft Security Bulletin MS06-038
  • Luki w zabezpieczeniach pakietu Microsoft Office mog膮 pozwoli膰 na zdalne wykonanie kodu (917284)
  • Microsoft Security Bulletin MS06-039
  • Luki w filtrach pakietu Microsoft Office mog膮 pozwoli膰 na zdalne wykonanie kodu (915384)

sierpie艅 (2 luki):

  • Microsoft Security Bulletin MS06-047
  • Luki w zabezpieczeniach Microsoft Visual Basic for Applications mog膮 pozwoli膰 na zdalne wykonanie
  • kodu (921645)
  • Microsoft Security Bulletin MS06-048
  • Luki w zabezpieczeniach pakietu Microsoft Office mog膮 pozwoli膰 na zdalne wykonanie kodu (922968)

wrzesie艅 (1 luka):

  • Microsoft Security Bulletin MS06-054
  • Luki w zabezpieczeniach programu Microsoft Publisher mog膮 pozwoli膰 na zdalne wykonanie kodu (910729)

Sytuacja stawa艂a si臋 groteskowa. W Kaspersky Lab zacz臋li艣my nawet zak艂ada膰 si臋 o to, ile czasu up艂ynie od momentu opublikowania poprzedniej 艂aty do czasu wykrycia nowej luki w pakiecie Office. Pytanie dotyczy艂o nie tego, czy nowa luka zostanie wykryta, ale kiedy: w ka偶dym przypadku by艂a to jedynie kwestia czasu. Nied艂ugiego czasu. W tym miejscu powinni艣my doda膰, 偶e dla prawie wszystkich tych luk pojawi艂y si臋 tuziny trojan贸w, kt贸re zosta艂y wykryte w ruchu pocztowym lub w komputerach u偶ytkownik贸w. Podzi臋kowania nale偶膮 si臋 naszym kolegom z bran偶y antywirusowej, w szczeg贸lno艣ci specjalistom z firmy Trend Micro, kt贸rzy wykryli zar贸wno luki, jak i wykorzystuj膮ce je trojany i poinformowali o problemie firm臋 Microsoft.

Jak ju偶 wspominali艣my, chi艅scy tw贸rcy wirus贸w wykazali si臋 szczeg贸ln膮 aktywno艣ci膮 w wykorzystywaniu tych luk i u偶ywaniu ich do rozprzestrzeniania program贸w troja艅skich. U偶ytkownicy z Europy, Azji i Stan贸w Zjednoczonych padli ofiar膮 atak贸w backdoor贸w Hupigon, PcClient i HackArmy. Ataki DoS na producent贸w oprogramowania antywirusowego, kt贸re przeprowadzane by艂y z sieci zombie stworzonych przez te trojany, stanowi艂y prawdopodobnie produkt uboczny tocz膮cej si臋 walki pomi臋dzy hakerami a firmami antywirusowymi.

Przypadek czy zaplanowany atak?

Pozwol臋 sobie na do艣膰 kontrowersyjny pogl膮d: by膰 mo偶e to, czego jeste艣my teraz 艣wiadkami, nie jest zwyk艂膮 aktywno艣ci膮 haker贸w, ale dok艂adnie zaplanowanym i przeprowadzonym atakiem na firm臋 Microsoft. Je艣li jest tak w rzeczywisto艣ci, kto za tym stoi i jakie s膮 jego motywy.

Nie zdo艂ali艣my ustali膰, czy za wszystkie te ataki odpowiedzialna jest jedna grupa haker贸w. Trudno uwierzy膰 w taki zbieg okoliczno艣ci - w przeci膮gu sze艣ciu miesi臋cy kliku niepowi膮zanych ze sob膮 haker贸w wykry艂o nowe luki w zabezpieczeniu kr贸tko po tym, jak opublikowano 艂aty na stare luki. Nie, takie rzeczy si臋 nie zdarzaj膮. Je艣li hakerzy wejd膮 w posiadanie nowego exploita, z pewno艣ci膮 nie b臋d膮 czeka膰 kilku tygodni, zanim go wykorzystaj膮. W ko艅cu powiedzenie "czas to pieni膮dz" ma zastosowanie nie tylko w biznesie, ale r贸wnie偶 w odniesieniu do cyberprzest臋pczo艣ci. Mi臋dzy exploitami a pieni臋dzmi istnieje zwi膮zek - przyk艂adem mo偶e by膰 exploit na luk臋 WMF, kt贸ry na niekt贸rych forach dla haker贸w sprzedawano za 4 000 dolar贸w (zobacz Ewolucja z艂o艣liwego oprogramowania: lipiec - wrzesie艅 2005.)

Jak wiemy, MS Office jest drugim najwa偶niejszym produktem Microsoftu i przynosi firmie oko艂o po艂owy jej zysk贸w. Office jest de facto standardem i posiada monopol na rynku. Naturalnie taki stan rzeczy nie podoba si臋 konkurencji, kt贸ra od roku pr贸buje stworzy膰 podobne produkty.

Prawo wi臋kszo艣ci pa艅stw nie zabrania szukania luk w zabezpieczeniach. Dlatego te偶 to, czy przeczesujesz konkurencyjne produkty w celu znalezienia luk, jest bardziej kwesti膮 etyki ni偶 przepis贸w prawnych. Tendencja do wykrywania nowych dziur zaledwie kilka dni po pojawieniu si臋 艂at na wcze艣niejsze b艂臋dy wygl膮da na pr贸b臋 zdyskredytowania Microsoftu jako eksperta w dziedzinie bezpiecze艅stwa informacji, a w szczeg贸lno艣ci na atakowanie jego zwyczaju publikowania 艂at wed艂ug ustalonego grafiku.

Microsoft posiada wielu wrog贸w. Dlatego te偶 skoordynowana kampania dyskredytuj膮ca firm臋, w kt贸ra wykorzystuje problem luk oraz publikowanie 艂at wed艂ug ustalonego grafiku, rzeczywi艣cie mog艂a zaszkodzi膰 reputacji giganta oprogramowania komputerowego. 

Sytuacja pozostaje niezwykle skomplikowana. Chocia偶 pod koniec tego kwarta艂u liczba luk w zabezpieczeniach spad艂a do zera (bior膮c pod uwag臋 Biuletyny Bezpiecze艅stwa opublikowane przez Microsoft), nie oznacza to, 偶e problem zosta艂 rozwi膮zany. Wprost przeciwnie, spodziewamy si臋 jeszcze wi臋kszej ilo艣ci z艂o偶onych atak贸w na Microsoft Office. Dlaczego? Poniewa偶 Microsoft udost臋pni艂 Office 2007 do otwartych test贸w beta, zapewniaj膮c tym samym hakerom "nowy darmowy obiekt badawczy".

Raport ten - chocia偶 powsta艂 w pa藕dzierniku - analizuje r贸wnie偶 luki usuwane przez 艂aty, kt贸re wprawdzie zosta艂y opublikowane w pa藕dzierniku, ale wykryto je jeszcze we wrze艣niu.

pa藕dziernik:

  • Microsoft Security Bulletin MS06-058
  • Luki w zabezpieczeniach programu Microsoft PowerPoint mog膮 umo偶liwi膰 zdalne wykonanie kodu (924163)
  • Microsoft Security Bulletin MS06-059
  • Luki w zabezpieczeniach programu Microsoft Excel mog膮 umo偶liwi膰 zdalne wykonanie kodu (924164)
  • Microsoft Security Bulletin MS06-060
  • Luki w zabezpieczeniach programu Microsoft Word mog膮 umo偶liwi膰 zdalne wykonanie kodu (924554)
  • Microsoft Security Bulletin MS06-062
  • Luki w zabezpieczeniach pakietu Microsoft Office mog膮 umo偶liwi膰 zdalne wykonanie kodu (922581)

Bez komentarza.

Wie艣ci z frontu mobilnego

Problem mobilnych z艂o艣liwych program贸w w szczeg贸lny spos贸b interesuje nie tylko firm臋 Kaspersky Lab, ale r贸wnie偶 mnie osobi艣cie. Nasi regularni czytelnicy wiedz膮, 偶e ostatnio opublikowali艣my wiele materia艂贸w na ten temat, mi臋dzy innymi w naszym p贸艂rocznym raporcie i artykule zatytu艂owanym "Ewolucja mobilnego z艂o艣liwego oprogramowania". Teksty te zawiera艂y przegl膮d wszystkich najnowszych typ贸w i klas mobilnego z艂o艣liwego oprogramowania. Tak wi臋c pozostaje nam tylko zanalizowa膰 incydenty, jakie wyst膮pi艂y od lipca do wrze艣nia 2006 r.

W okresie tym tylko trzy mobilne z艂o艣liwe programy wyr贸偶ni艂y si臋 spo艣r贸d masy prymitywnych trojan贸w podobnych do Skullera.

Comwar 3.0

Przyjrzyjmy si臋 im w kolejno艣ci, w jakiej si臋 pojawi艂y. W sierpniu firmy antywirusowe otrzyma艂y nowy wariant szkodnika Comwar - najbardziej rozpowszechnionego robaka rozprzestrzeniaj膮cego si臋 za po艣rednictwem MMS-贸w.

Szczeg贸艂owa analiza wykaza艂a, 偶e robak ten zawiera nast臋puj膮ce ci膮gi tekstowe:

  • CommWarrior Outcast: The Dark Masters of Symbian.
  • The Dark Side has more power!
  • CommWarrior v3.0 Copyright (c) 2005-2006 by e10d0r
  • CommWarrior is freeware product. You may freely distribute it in it's original unmodified form.

Nowy wariant r贸偶ni艂 si臋 od poprzednich nie tylko numerem wersji (3.0), ale r贸wnie偶 tym, 偶e rosyjski autor wprowadzi艂 kilka innowacji technicznych. By艂 to pierwszy wariant, kt贸ry wykorzystywa艂 technologi臋 infekowania plik贸w: robak szuka艂 w telefonie innych plik贸w SIS i zapisywa艂 si臋 do nich. Zapewnia艂o mu to dodatkow膮 metod臋 propagacji, opr贸cz tradycyjnych metod wykorzystuj膮cych MMS-y i technologi臋 Bluetooth.

Zasadniczo, Comwar wykorzystuje obecnie wszystkie mo偶liwe wektory przenikania do urz膮dze艅. Wszystkie, z wyj膮tkiem jednego. Pod koniec sierpnia udowodni艂 to inny robak - Mobler.a.

Mobler.A

Mobler.a by艂 pierwszym wirusem wieloplatformowym zdolnym do infekowania zar贸wno systemu Symbian jak i Windows. Jego metoda rozprzestrzeniania si臋 jest nast臋puj膮ca: robak kopiuje si臋 z komputera do telefonu i na odwr贸t. Je艣li zostanie uruchomiony na komputerze PC, zrzuca plik SIS na dysk E:. Plik ten zawiera kilka pustych plik贸w i nadpisuje nimi kilka aplikacji systemowych. Zawiera r贸wnie偶 komponent Win32 robaka, kt贸ry kopiuje si臋 do wymiennej karty pami臋ci urz膮dzenia i zrzuca plik o nazwie autorun.inf. Je艣li zainfekowany telefon jest pod艂膮czony do komputera i zostanie podj臋ta pr贸ba uzyskania dost臋pu do wymiennej karty pami臋ci, robak automatycznie si臋 uruchomi i zainfekuje komputer. 

Mobler.a jest kodem typu "proof of concept" stworzonym przez nieznanego autora; jednak stosowana przez niego metoda propagacji teoretycznie mog艂aby sta膰 si臋 jedn膮 z najpopularniejszych metod wykorzystywanych do infekowania urz膮dze艅 mobilnych. Mo偶liwe, 偶e mia艂aby te偶 wi臋kszy wp艂yw na ewolucj臋 mobilnego z艂o艣liwego oprogramowania ni偶 metoda rozprzestrzeniania si臋 za po艣rednictwem MMS-贸w, poniewa偶 celem atak贸w by艂yby nie tylko urz膮dzenia przeno艣ne ale r贸wnie偶 komputery. Naturalnie, komputery zawieraj膮 dane, kt贸re mog膮 zainteresowa膰 cyberprzest臋pc贸w. Uwzgl臋dniaj膮c powy偶sze, wirus Mobler.a powinien zosta膰 uznany za now膮 metod臋 atakowania komputer贸w osobistych, a nie ca艂kowicie nowy spos贸b przenikania do telefon贸w kom贸rkowych.

Acallno

Og贸lnie, z艂o艣liwe oprogramowanie znajduje si臋 w stanie stagnacji. Prawie wszystkie mo偶liwe technologie, typy i klasy wirus贸w dla smartfon贸w dzia艂aj膮cych pod kontrol膮 systemu Symbian zosta艂y ju偶 zaimplementowane. Stosunkowo niewielka liczba w艂a艣cicieli smartfon贸w (w por贸wnaniu z w艂a艣cicielami komputer贸w) oraz fakt, 偶e infekowanie telefon贸w nie przynosi oczywistych zysk贸w finansowych to czynniki, kt贸re hamuj膮 masowe rozprzestrzenianie si臋 mobilnego z艂o艣liwego oprogramowania. Zasoby, kt贸re mo偶na obecnie ukra艣膰 z telefonu s膮 ograniczone - nale偶y do nich ksi膮偶ka adresowa, logi rozm贸w telefonicznych i SMS-贸w, a celem trojana Acallno s膮 w艂a艣nie dane dotycz膮ce SMS-贸w.

Acallno, kt贸rego celem jest szpiegowanie u偶ytkownika okre艣lonego telefonu, zosta艂 stworzony przez komercyjn膮 firm臋. Program mo偶e zosta膰 tak skonfigurowany, aby dzia艂a艂 na okre艣lonym telefonie zgodnie z kodem IMEI telefonu. W rezultacie, nie b臋dzie dzia艂a艂, je艣li zostanie skopiowany na inny telefon. Pozwala mu to maskowa膰 swoj膮 obecno艣膰 w systemie. Na tej podstawie, jak r贸wnie偶 z powodu jego funkcji szpiegowskich zaliczamy go do z艂o艣liwych program贸w. Trojan ten (bo w ten spos贸b go klasyfikujemy, mimo 偶e program sprzedawany jest legalnie) wysy艂a kopie wszystkich wys艂anych i otrzymanych wiadomo艣ci SMS na specjalnie skonfigurowany numer.

Wesber

Poza tym, 偶e mo偶na ukra艣膰 ich zawarto艣膰, mo偶liwe jest r贸wnie偶 wykorzystanie wiadomo艣ci SMS do kradzie偶y pieni臋dzy z konta subskrybenta. Funkcj臋 t臋 posiada Wesber, najnowszy trojan dla J2ME. Wesber zosta艂 po raz pierwszy wykryty na pocz膮tku wrze艣nia i jest to drugi trojan, o kt贸rym wiemy, 偶e potrafi dzia艂a膰 zar贸wno na smartfonach jak i na ogromnej wi臋kszo艣ci wsp贸艂czesnych urz膮dze艅 przeno艣nych, poniewa偶 zosta艂 napisany dla platformy Java.

Podobnie jak jego poprzednik RedBrowser, Wesber.a wysy艂a kilka SMS-贸w na p艂atny numer. Subskrybent obci膮偶any jest kwot膮 2,99 dolar贸w za ka偶dy wys艂any SMS. Do niedawna bez trudu mo偶na by艂o wykorzystywa膰 p艂atne numery rosyjskich operator贸w telefonii kom贸rkowej. Gdyby taki trojan rozpowszechni艂 si臋, trudno by艂oby wy艣ledzi膰 winnego. Ostatnio jednak operatorzy telefonii kom贸rkowej przej臋li si臋 wzrostem oszustw zwi膮zanych z SMS-ami i zacz臋li podejmowa膰 w tej sprawie pewne dzia艂ania, 艂膮cznie z utrudnieniem zarejestrowania takich numer贸w.

Na tym ko艅czy si臋 nasz przegl膮d mobilnego z艂o艣liwego oprogramowania z trzeciego kwarta艂u 2006 roku. Jednak z bezpiecze艅stwem urz膮dze艅 przeno艣nych wi膮偶e si臋 niebezpo艣rednio inny temat: z艂o艣liwe oprogramowanie dla sieci WiFi.

Robaki dla sieci Wi-Fi: prawie rzeczywisto艣膰

W sierpniu Intel poinformowa艂, 偶e w funkcji Wi-Fi procesor贸w Intel Centrino wykryto powa偶n膮 luk臋. Chocia偶 szczeg贸艂y dotycz膮ce tej luki nie zosta艂y podane do wiadomo艣ci publicznej, wiadomo by艂o, 偶e luka mog艂a pozwoli膰 na "dowolne wykonanie kodu na atakowanym systemie z przywilejami na poziomie j膮dra". W kr贸tkim czasie opublikowano 艂at臋 dla zagro偶onych laptop贸w. Nas jednak najbardziej uderzy艂 fakt, 偶e to, co wcze艣niej istnia艂o tylko w teorii, sta艂o si臋 niemal rzeczywisto艣ci膮. Mam na my艣li oczywi艣cie robaki dla sieci Wi-Fi.

Robaki dla sieci Wi-Fi mog膮 dzia艂a膰 na wiele r贸偶nych sposob贸w, nie b臋d臋 jednak wchodzi艂 w szczeg贸艂y, aby nie podawa膰 tw贸rcom wirus贸w gotowych pomys艂贸w. Jest to jednak do艣膰 oczywiste. Luka w zabezpieczeniu chip贸w Intela Centrino przybli偶a moment pojawienia si臋 robaka, kt贸ry b臋dzie rozprzestrzenia艂 si臋 z jednego laptopa na inny w obr臋bie sieci Wi-Fi. Zasada jest bardzo prosta - musimy tylko przypomnie膰 sobie klasyczne robaki sieciowe z przesz艂o艣ci, takie jak Lovesan, Sasser i Slammer. Robak wykrywa niezabezpieczony laptop i wysy艂a specjalnie stworzony pakiet w celu wykorzystania tej luki. Szkodnik mo偶e nast臋pnie wys艂a膰 na atakowany komputer swoje cia艂o i cykl infekowanie-rozprzestrzenianie zaczyna si臋 od nowa. Jedyna trudno艣膰 polega na znalezieniu ofiar, kt贸re mo偶na zaatakowa膰. Wybieranie ofiar na podstawie adres贸w MAC by艂oby stosunkowo trudne, natomiast selekcjonowanie ich na podstawie adres贸w IP nie dzia艂a艂aby w tym przypadku. Jednak robak m贸g艂by wykorzysta膰 adresy IP do atakowania s膮siednich komputer贸w w punkcie dost臋powym Wi-Fi. W tym miejscu nie powinni艣my oczywi艣cie zapomina膰, 偶e wiele laptop贸w jest skonfigurowanych do automatycznego wyszukiwania punkt贸w dost臋powych Wi-Fi.

Chcia艂bym podkre艣li膰, 偶e jest to tylko jedna z mo偶liwych metod, jakie m贸g艂by wykorzysta膰 robak dla sieci Wi-Fi. Luki w kartach sieciowych Wi-Fi wci膮偶 s膮 rzadkim zjawiskiem, nie wiadomo jednak, co zdarzy si臋 w przysz艂o艣ci. W ko艅cu jeszcze nie tak dawno temu mobilne z艂o艣liwe oprogramowanie wydawa艂o si臋 wymys艂em science fiction.

Wirusy komunikator贸w internetowych

W zesz艂ym roku jeden z g艂贸wnych problem贸w bezpiecze艅stwa IT stanowi艂y z艂o艣liwe programy rozprzestrzeniaj膮ce si臋 za po艣rednictwem klient贸w komunikator贸w internetowych, takich jak ICQ, MSN oraz AOL. Na pocz膮tku 2005 roku pojawi艂y si臋 liczne prymitywne robaki komunikator贸w internetowych. Udowodni艂y one, 偶e odno艣niki do zainfekowanych stron internetowych wysy艂ane za po艣rednictwem tego narz臋dzia stanowi膮 prawie tak samo skuteczn膮 metod臋 infekowania jak wysy艂anie z艂o艣liwego kodu w wiadomo艣ciach e-mail. Interesuj膮ce jest to, 偶e chocia偶 wszystkie klienty komunikator贸w internetowych posiadaj膮 funkcj臋 "wy艣lij plik", autorzy takich robak贸w albo postanowili jej nie wykorzystywa膰, albo nie wiedzieli, w jaki spos贸b funkcja ta mo偶e u艂atwi膰 szkodnikowi przenikni臋cie do systemu.

Od 2005 roku wi臋kszo艣膰 atak贸w na komunikatory internetowe polega艂o na wysy艂aniu odno艣nik贸w prowadz膮cych do strony www, kt贸ra zawiera艂a z艂o艣liwy plik. Istnieje du偶e prawdopodobie艅stwo, 偶e ludzie otworz膮 odno艣nik, kt贸ry wys艂a艂 im znajomy lub przyjaciel (wiele trojan贸w wysy艂a odno艣niki do os贸b z listy kontakt贸w komunikatora internetowego). Gdy u偶ytkownik kliknie taki odno艣nik, z艂o艣liwy program przeniknie do systemu. W tym celu szkodnik mo偶e wykorzysta膰 r贸偶ne luki w przegl膮darce Internet Explorer albo mo偶e zosta膰 pobrany i uruchomiony na komputerze ofiary.

Rozwin臋艂y si臋 dwa g艂贸wne trendy w ewolucji i implementacji tej metody. Wi膮偶膮 si臋 one 艣ci艣le z tym, 偶e w r贸偶nych krajach popularne s膮 r贸偶ne klienty komunikator贸w internetowych. W Europie i Stanach Zjednoczonych celem wi臋kszo艣ci atak贸w na komunikatory internetowe s膮 u偶ytkownicy MSN i AOL. Z kolei w Rosji najbardziej zagro偶eni s膮 u偶ytkownicy komunikator贸w ICQ, Miranda i Trillian. Wynika to z tego, 偶e AOL i MSN nie s膮 rozpowszechnione w Rosji, a tym samym nie stanowi膮 popularnego celu atak贸w. Podobna sytuacja ma miejsce w Chinach, gdzie najpopularniejszym klientem komunikator贸w internetowych jest QQ.

Robaki komunikator贸w internetowych r贸偶ni膮 si臋 tak偶e w zale偶no艣ci od regionu. Na Zachodzie g艂贸wne zagro偶enie dla tego typu narz臋dzi stanowi膮 robaki komunikator贸w internetowych, mi臋dzy innymi dobrze znane Kelvir, Bropia i Licat, kt贸re atakuj膮 AOL i MSN. Opr贸cz zdolno艣ci rozprzestrzeniania si臋, wi臋kszo艣膰 robak贸w komunikator贸w internetowych instaluje r贸wnie偶  inne z艂o艣liwe programy do systemu. Przyk艂adem jest Bropia (posiadaj膮cy najwi臋ksz膮 liczb臋 wariant贸w spo艣r贸d program贸w atakuj膮cych komunikatory internetowe), kt贸ry instaluje na komputerze ofiary backdoora Backdoor.Win32.Rbot, przekszta艂caj膮c go w kolejn膮 maszyn臋 zombie wchodz膮c膮 w sk艂ad botnetu. Istnieje r贸wnie偶 wiele robak贸w, kt贸re atakuj膮 popularny chi艅ski klient komunikatora internetowego QQ.

Zupe艂nie inaczej wygl膮da sytuacja komunikator贸w ICQ. Poprzez ICQ rozprzestrzenia si臋 bardzo niewielka liczba robak贸w. Rosyjscy u偶ytkownicy staj膮 si臋 natomiast celem licznych trojan贸w, w szczeg贸lno艣ci znanego programu typu Trojan Spy - LdPinch

Niekt贸re warianty tego programu posiadaj膮 bardzo interesuj膮ce funkcje. Po przenikni臋ciu do komputera ofiary i zebraniu informacji, kt贸rych potrzebuje zdalny szkodliwy u偶ytkownik, trojan wysy艂a kontaktom ICQ odno艣nik do strony, na kt贸rej zosta艂 umieszczony. W trzecim kwartale 2006 roku w rosyjskim segmencie Internetu mia艂o miejsce kilka epidemii - setki tysi臋cy u偶ytkownik贸w otrzyma艂o od swoich kontakt贸w odno艣niki, kt贸re obiecywa艂y "zabawne zdj臋cia" lub "zdj臋cia z wakacji". Naturalnie, ich 藕r贸d艂em by艂y komputery zainfekowane trojanem, a nie osoby, od kt贸rych rzekomo pochodzi艂y.

Niestety, w przeciwie艅stwie do MSN, ICQ nie podejmuje 偶adnych krok贸w maj膮cych na celu filtrowanie zawarto艣ci oraz usuwanie z wiadomo艣ci takich odno艣nik贸w, aby zapobiec dostarczenia ich do u偶ytkownik贸w. Po wzmo偶onej aktywno艣ci robak贸w komunikator贸w internetowych, jaka mia艂a miejsce w zesz艂ym roku, Microsoft zablokowa艂 odno艣niki do plik贸w wykonywalnych. Jednak filtr taki nie stanowi panaceum na wszystko, poniewa偶 poza wysy艂aniem odno艣nik贸w do zainfekowanych plik贸w, szkodliwy u偶ytkownik mo偶e wys艂a膰 odno艣niki do stron www, kt贸re zawieraj膮 exploity dla przegl膮darek. W rezultacie, ofiar膮 infekcji mo偶e pa艣膰 osoba korzystaj膮ca z nie za艂atanej przegl膮darki. Obecny algorytm filtra MSN r贸wnie偶 nie jest idealny, jak pokazuje opisany poni偶ej incydent. 

Pod koniec wrze艣nia w zachodnim segmencie Internetu wykryto wzmo偶on膮 aktywno艣膰 robak贸w komunikator贸w internetowych. Najwi臋ksz膮 aktywno艣ci膮 wykaza艂 si臋 IM-Worm.Win32.Licat. Robak ten wykorzystywa艂 MSN w celu wysy艂ania odno艣nik贸w, kt贸re wygl膮da艂y tak:

Odno艣niki te prowadzi艂y do r贸偶nych trojan贸w typu downloader, kt贸re instalowa艂y z kolei oprogramowanie adware (Adware.Win32.Softomate) i inne programy troja艅skie zwi膮zane z adware. Naturalnie, Licat.c instaluje na komputerze ofiary r贸wnie偶 samego siebie i rozpoczyna si臋 kolejny cykl propagacji.

Chocia偶 wydawa艂oby si臋, 偶e filtr MSN powinien blokowa膰 podobne wiadomo艣ci,  Licat.c nadal rozprzestrzenia艂 si臋 aktywnie. Analiza wykaza艂a, 偶e filtr MSN nie blokuje odno艣nik贸w do pliku PIF, je艣li plik ma rozszerzenie inne ni偶 .pif. Innymi s艂owy, filtr uwzgl臋dnia艂 wielko艣膰 liter i nie dzia艂a艂, gdy zosta艂y u偶yte wielkie litery. Dziur臋 t臋 wykorzystali tw贸rcy robaka, tworz膮c odno艣niki z rozszerzeniem PIF, kt贸re by艂y przepuszczane przez filtr. Poinformowali艣my o tym firm臋 Microsoft, kt贸ra szybko zaj臋艂a si臋 tym problemem. 

Wszystkie te przyk艂ady pokazuj膮, 偶e nie istnieje 偶aden spos贸b ochrony przed szkodnikami, kt贸re do rozprzestrzeniania si臋 stosuj膮 takie metody. G艂贸wnym problemem jest czynnik ludzki: ludzie maj膮 zaufanie do odno艣nik贸w, kt贸re otrzymali od przyjaci贸艂 albo wsp贸艂pracownik贸w, a obecna sytuacja przypomina czasy robak贸w pocztowych, gdy niczego nie podejrzewaj膮cy u偶ytkownicy uruchamiali pliki otrzymywane za po艣rednictwem poczty elektronicznej. Teraz z kolei bez wahania klikaj膮 odno艣niki wysy艂ane za po艣rednictwem komunikator贸w internetowych. 

Rada, jak膮 dali艣my p贸艂tora roku temu, jest nadal aktualna. Zalecamy administratorom system贸w i specjalistom ds. bezpiecze艅stwa IT, aby mieli 艣wiadomo艣膰 potencjalnego zagro偶enia ze strony komunikator贸w internetowych i w ramach polityki bezpiecze艅stwa firmy rozwa偶yli zakazanie korzystania z nich. Dodatkowo, bior膮c pod uwag臋 spos贸b, w jaki robaki te przenikaj膮 do komputer贸w ofiar (poprzez otwierany w przegl膮darce odno艣nik), nale偶y monitorowa膰 ca艂y przychodz膮cy ruch HTTP.

I znowu luki...

Pomi臋dzy lipcem a wrze艣niem 2006 roku powa偶ne zagro偶enie dla u偶ytkownik贸w stanowi艂y nie tylko liczne luki w pakiecie Microsoft Office, ale r贸wnie偶 dwie inne dziury wykryte w produktach Microsoftu. Pierwsza z nich, opisana w Biuletynie Bezpiecze艅stwa Microsoftu MS06-040, przypomina luk臋 wykryt膮 w sierpniu 2003 roku, kt贸ra zosta艂a opisana w biuletynie MS03-026. Te dwie luki mia艂y ze sob膮 wiele wsp贸lnego. Obie by艂y najbardziej niebezpiecznym typem luki, tzn. pozwala艂y osobie atakuj膮cej na wykonanie dowolnego kodu. W sierpniu 2003 roku luka MS03-026 przyczyni艂a si臋 do du偶ej epidemii robaka Lovesan oraz powstania setek podobnych robak贸w. R贸wnie偶 w sierpniu 2006 roku istnia艂o niebezpiecze艅stwo wyst膮pienia podobnej katastrofy, poniewa偶 exploit na t臋 luk臋 by艂 publicznie dost臋pny i tw贸rcy wirus贸w mogli wykorzysta膰 go do stworzenia w艂asnych destrukcyjnych robak贸w.

Naturalnie, tw贸rcy wirus贸w nie pozostali oboj臋tni na te wiadomo艣ci. Zaledwie kilka dni po opublikowaniu 艂aty przez firm臋 Microsoft pojawi艂y si臋 liczne programy wykorzystuj膮ce luk臋 MS06-040 na wolno艣ci. Pierwszym z nich by艂 Backdoor.Win32.Vanbot (znany r贸wnie偶 jako Mocbot). Na szcz臋艣cie, program ten potrafi艂 atakowa膰 tylko komputery dzia艂aj膮ce pod kontrol膮 systemu Windows 2000 i Windows XP SP1. U偶ytkownicy, kt贸rzy zainstalowali dodatek SP 2 dla systemu XP, byli bezpieczni. Szkodnik ten nie spowodowa艂 globalnej epidemii z jeszcze innego powodu: Backdoor.Win32.Vanbot nie by艂 robakiem zdolnym do samodzielnego rozprzestrzeniania si臋, ale backdoorem kontrolowanym poprzez sie膰 IRC. Backdoor m贸g艂 si臋 rozprzestrzenia膰 tylko po otrzymaniu odpowiedniej instrukcji od swojego autora, co ogranicza艂o jego propagacj臋. Wygl膮da na to, 偶e autor zamierza艂 wykorzysta膰 ten program do stworzenia botnetu, kt贸ry m贸g艂by dalej wykorzysta膰.

W ci膮gu kolejnych kilku dni pojawi艂o si臋 wiele innych program贸w wykorzystuj膮cych luk臋 MS06-040. Wszystkie z nich stanowi艂y wariacj臋 na temat botneta sk艂adaj膮cego si臋 z backdoor贸w. Wiele ze starych z艂o艣liwych program贸w, takich jak Rbot i SdBot, zosta艂y po prostu wyposa偶one w nowe exploity. Zacz臋艂y pojawia膰 si臋 programy mutanty zawieraj膮ce kilkana艣cie z najbardziej niebezpiecznych exploit贸w dla systemu Windows, kt贸re wykorzystywa艂y szereg r贸偶nych luk, od MS03-026 do najnowszej luki MS06-040. Oczywi艣cie, programy takie mia艂y wi臋ksz膮 szans臋 ni偶 inne na przenikni臋cie do komputer贸w ofiar. Na szcz臋艣cie, natura samej luki i sk艂ad exploit贸w nie r贸偶ni艂y si臋 tak bardzo od tych, kt贸re by艂y ju偶 nam znane (by艂y bardzo podobne do luki MS04-011 i MS05-039), dzi臋ki czemu wiele producent贸w oprogramowania antywirusowego i zap贸r ogniowych mog艂o zablokowa膰 ataki wirus贸w bez konieczno艣ci 艂atania swoich produkt贸w. Za偶egnano w ten spos贸b niebezpiecze艅stwo epidemii, a sierpie艅 2006 roku nie by艂 kolejnym czarnym miesi膮cem dla firm antywirusowych.

Sytuacja mog艂a ulec zmianie w kolejnym miesi膮cu, gdy 19 wrze艣nia w Internecie zacz臋艂a kr膮偶y膰 wiadomo艣膰 o najnowszej luce w przegl膮darce Internet Explorer. Luka w przetwarzaniu dokument贸w VML (Vector Markup Language) pozwala艂a zdalnemu szkodliwemu u偶ytkownikowi na stworzenie skryptu, kt贸ry wykonywa艂by dowolny kod na komputerze ofiary, gdy u偶ytkownik odwiedza艂 zainfekowan膮 stron臋.

Tego samego dnia Sunbelt Software og艂osi艂 wykrycie exploita wykorzystuj膮cego luk臋 na niekt贸rych rosyjskich stronach pornograficznych stworzonych przez haker贸w. Wiele os贸b s膮dzi艂o, 偶e za stworzenie i rozprzestrzenienie exploita odpowiedzialni byli rosyjscy hakerzy, tak jak w przypadku wykrytej w grudniu 2005 r. luki w przetwarzaniu plik贸w WMF. Jednak nasze badanie nie wykaza艂o 偶adnego oczywistego zwi膮zku pomi臋dzy luk膮 VML a Rosjanami.

Szwedzka firma Secunia oceni艂a t臋 luk臋 jako "ekstremalnie krytyczn膮". Luka ta otrzyma艂a najwy偶szy z mo偶liwych poziom贸w zagro偶enia, poniewa偶 mog艂a by膰 wykorzystywana na ka偶dej wersji systemu Windows, gdy u偶ytkownicy korzystali z przegl膮darki Internet Explorer.

Luka ta spowodowana jest b艂臋dem w bibliotece Microsoft Vector Graphics Rendering (vgx.dll) wyst臋puj膮cym podczas przetwarzania pewnej zawarto艣ci w dokumentach Vector Markup Language (VML). B艂膮d ten mo偶na wykorzysta膰, aby spowodowa膰 przepe艂nienie bufora, na przyk艂ad poprzez sk艂onienie u偶ytkownika do obejrzenia zainfekowanego dokumentu VML. Pozwala to na wykonanie dowolnego kodu na komputerze ofiary.

Kolejne dni przynios艂y ogromn膮 ilo艣膰 stron hakerskich zawieraj膮cych exploity skryptowe wykorzystuj膮ce luk臋 VML. Wielu tw贸rc贸w wirus贸w pr贸bowa艂o wykorzysta膰 sytuacj臋, aby dostarczy膰 swoje trojany na komputery u偶ytkownik贸w. Sytuacj臋 jeszcze bardziej komplikowa艂 fakt, 偶e luka VML by艂a tak zwan膮 luk膮 "zero-day" - Microsoft nie opublikowa艂 偶adnej 艂aty. Zgodnie z grafikiem, 艂ata mia艂a by膰 opublikowana po trzech tygodniach, 10 pa藕dziernika. Taka sytuacja wydarzy艂a si臋 ju偶 po raz drugi: tw贸rcy wirus贸w aktywnie wykorzystywali luk臋, infekcje wyst臋powa艂y na masow膮 skal臋, nie udost臋pniono jednak poprawki. Pierwszy taki przypadek mia艂 miejsce w grudniu 2005 roku i dotyczy艂 luki WMF. Tym razem, tak jak poprzednio, niezale偶ni specjali艣ci ds. bezpiecze艅stwa opublikowali w艂asne, nieoficjalne 艂aty. W ten spos贸b chciano zapewni膰 u偶ytkownikom przynajmniej cz臋艣ciow膮 ochron臋 do czasu opublikowania przez Microsoft oficjalnej 艂aty.

Na szcz臋艣cie, Microsoft szybko doceni艂 wag臋 sytuacji i natychmiast opublikowa艂 艂at臋. 艁ata zosta艂a udost臋pniona 26 wrze艣nia, zaledwie tydzie艅 po jej zidentyfikowaniu. Zosta艂a zawarta w Biuletynie Bezpiecze艅stwa Microsoft MS06-055 i znacznie zmniejszy艂a liczb臋 infekcji. Jednak luka ta, jak r贸wnie偶 szereg innych dobrze znanych luk w przegl膮darce Internet Explorer, nadal jest wykorzystywana przez haker贸w. Zalecamy wszystkim u偶ytkownikom, aby aktualizacj臋 swoich system贸w potraktowali jako spraw臋 priorytetow膮.

Podsumowanie

Wydarzenia, jakie mia艂y miejsce w trzecim kwartale 2006 roku, sk艂aniaj膮 mnie do wysuni臋cia wniosku, 偶e zar贸wno Internet jak i bezpiecze艅stwo informatyczne stoj膮 u progu zupe艂nie nowego etapu. Powiedzia艂bym, 偶e drugi etap ewolucji wirus贸w i rozwi膮za艅 antywirusowych mamy ju偶 za sob膮.

Pierwszy etap mia艂 miejsce w latach 90, kiedy wykrywanie na podstawie sygnatur by艂o wystarczaj膮ce do pokonania prostych wirus贸w. Na tym etapie z艂o艣liwy kod nie by艂 zaawansowany technicznie i nie wykorzystywa艂 z艂o偶onych metod infekcji.

Pocz膮tek nowego tysi膮clecia przyni贸s艂 robaki pocztowe i sieciowe. W celu rozprzestrzeniania si臋 programy te wykorzystywa艂y luki oraz czynnik ludzki. Zdolno艣膰 robak贸w do infekowania ogromnej ilo艣ci komputer贸w w bardzo kr贸tkim czasie spowodowa艂 narodzenie si臋 cyberprzest臋pczo艣ci, a technologie wykorzystywane przez wirusy sta艂y si臋 bardziej z艂o偶one, podobnie jak szereg r贸偶nych z艂o艣liwych program贸w. Du偶膮 rol臋 odegra艂 tu spam, phishing, mobilne z艂o艣liwe oprogramowanie, luki w przegl膮darkach i sprz臋cie sieciowym, jak r贸wnie偶 zagro偶enia po艂膮czone, kt贸re rozprzestrzenia艂y si臋 nie tylko za po艣rednictwem poczty elektronicznej, ale r贸wnie偶 Internetu i komunikator贸w internetowych. Czas reakcji sta艂 si臋 krytycznym czynnikiem dla firm antywirusowych, kt贸re zacz臋艂y wykorzystywa膰 emulacj臋 kodu, technologie anti-rootkit oraz techniki ochrony poufnych danych u偶ytkownika.

W 2006 roku nie pojawi艂y si臋 偶adne ca艂kowicie nowe koncepcje, co znajduje wyraz w naszych raportach. Tw贸rcy wirus贸w zaciekle pr贸buj膮 broni膰 swoich twor贸w przed nowymi technologiami proaktywnymi, tworz膮c kod "proof of concept" dla nowych platform oraz skupiaj膮c si臋 na szukaniu luk w zabezpieczeniach. Nie znajduje to jednak du偶ego odzwierciedlenia w rzeczywisto艣ci: tzn. nie pojawiaj膮 si臋 zagro偶enia, kt贸re mog艂yby spowodowa膰 milionowe straty, tak jak mia艂o to miejsce w przesz艂o艣ci w przypadku robak贸w Klez, Mydoom, Lovesan i Sasser.

Zjawiska, kt贸rych jeste艣my obecnie 艣wiadkami, s膮 czasem interesuj膮ce, sporadycznie zaawansowane pod wzgl臋dem technicznym (na przyk艂ad wirusy wykorzystuj膮ce techniki kryptograficzne). Og贸lnie, jednak, wydaje si臋, 偶e poprzeczka zosta艂a obni偶ona. Zagro偶enia nie maj膮 ju偶 charakteru globalnego i nie s膮 skuteczne tak d艂ugo jak wcze艣niej. Nie dzieje si臋 nic nowego. Mamy do czynienia z tym samym, nieustaj膮cym strumieniem trojan贸w, wirus贸w i robak贸w - jedyna r贸偶nica polega na tym, 偶e znacznie zwi臋kszy艂a si臋 ich liczba.

Naturalnie, niekt贸rzy mog膮 nie zgadza膰 si臋 z t膮 opini膮. Mimo to, uwa偶am, 偶e dzisiejsi tw贸rcy wirus贸w i cyberprzest臋pcy dostosowali swoje metody do wsp贸艂czesnej bran偶y antywirusowej. Obecnie obserwujemy pewien rodzaj stanu r贸wnowagi. Firmy antywirusowe pracuj膮 do granic swoich mo偶liwo艣ci, je艣li chodzi o szybko艣膰, i w du偶ym stopniu osi膮gn臋艂y ju偶 techniczne granice pod wzgl臋dem stosowanych technologii. Tw贸rc贸w wirus贸w "satysfakcjonuje" obecny czas reakcji firm antywirusowych - kt贸ry mo偶e wynosi膰 kilka godzin, a nawet minut - oraz to, co mog膮 w tym czasie "osi膮gn膮膰".

Je偶eli sytuacja wygl膮da tak, jak j膮 przedstawi艂em, w najbli偶szej przysz艂o艣ci b臋d膮 musia艂y nast膮pi膰 jakie艣 zmiany. Firmy antywirusowe przejd膮 do ofensywy i wsp贸lnym wysi艂kiem st艂umi膮 "powstanie" wirusowe, albo tw贸rcy wirus贸w wymy艣l膮 co艣 ca艂kowicie nowego, podnosz膮c poprzeczk臋 firmom antywirusowym.

殴r贸d艂o:
Kaspersky Lab