艢mier膰 robak贸w komunikator贸w internetowych?
Wst臋p
W artykule tym przedstawiono analiz臋 ewolucji robak贸w komunikator贸w internetowych (IM-Worm) od pocz膮tku 2005 roku. Tekst zosta艂 napisany z europejskiego punktu widzenia: oznacza to, 偶e nie zawiera informacji o niekt贸rych robakach, kt贸re nie by艂y szeroko rozpowszechnione w Europie. Nie uwzgl臋dnia r贸wnie偶 z艂o艣liwych program贸w dla pewnych komunikator贸w, takich jak ICQ, kt贸re nie s膮 szczeg贸lnie popularne w Europie.
Chocia偶 pierwszy robak komunikator贸w internetowych pojawi艂 si臋 w 2001 roku, szkodniki tego typu rozpowszechni艂y si臋 dopiero na pocz膮tku 2005 roku. Przygl膮daj膮c si臋 temu okresowi, przekonamy si臋, jak wa偶ne jest rozr贸偶nienie robak贸w komunikator贸w internetowych ze wzgl臋du na cel, w jakim zosta艂y napisane.
Robaki, takie jak
Pojawienie si臋 robak贸w Bropia, Kelvir i Prex
Bropia, Kelvir i
W odpowiedzi na wzrost wsp贸艂czynnik贸w wykrywania robak贸w z tej rodziny przez ochron臋 proaktywn膮 firmy Kaspersky Lab autor (lub autorzy) zacz臋li wykorzystywa膰 inn膮, nieznan膮 jeszcze w tym czasie kompresj臋 UPack. W czasie pisania (tego artyku艂u) UPack by艂 jednym z najpowszechniej wykorzystywanych program贸w pakuj膮cych przez tw贸rc贸w z艂o艣liwych program贸w.
Dwa tygodnie po pojawieniu si臋 pierwszego robaka Bropia wykryto pierwszego Kelvira. Te dwie rodziny s膮 do siebie bardzo podobne, z jedn膮 istotn膮 r贸偶nic膮.
Zar贸wno Bropia jak i Kelvir zawieraj膮 IRCBoty. G艂贸wnym celem tych robak贸w jest zainstalowanie programu IRCBot.
Podczas gdy Bropia rozsy艂any jest jako jeden plik zawieraj膮cy robaka komunikator贸w internetowych, w kt贸rym jest osadzony IRCBot, Kelvir zazwyczaj przedostaje si臋 do komputera jako samorozpakowuj膮ce si臋 archiwum (RAR), kt贸re zawiera dwa oddzielne pliki - jest to robak komunikator贸w internetowych i IRCBot.
Wczesne warianty robak贸w Bropia i Kelvir by艂y regularnie umieszczane na holenderskich serwerach. To, jak r贸wnie偶 fakt, 偶e Holandia posiada jeden z najwy偶szych na 艣wiecie odsetk贸w u偶ytkownik贸w komunikator贸w MSN w po艂膮czeniu z brakiem 艣wiadomo艣ci niebezpiecze艅stwa ze strony robak贸w komunikator贸w internetowych, spowodowa艂o znaczn膮 liczb臋 lokalnych epidemii.
Programy IRCBot wykorzystywane by艂y do masowej instalacji AdWare. Jest zatem ca艂kiem prawdopodobne, 偶e ich autorzy - kt贸rym p艂acono za ka偶dy program adware zainstalowany na komputerze - osi膮gali spore zyski.
Prex, trzecia z opisywanych tutaj rodzin, oparta jest na kodzie z robak贸w Bropia/Kelvir. Robaki z rodziny Prex zosta艂y zaklasyfikowane na pocz膮tku do klasy trojan贸w komunikator贸w internetowych (Trojan-IM), a nie robak贸w komunikator贸w internetowych (IM-Worm). Powodem by艂o to, 偶e Prex rozprzestrzenia odno艣nik do IRCBota, a nie do samego siebie. Zgodnie z klasyfikacj膮 wirus贸w firmy Kaspersky Lab, programy takie s膮 trojanami, a nie robakami. Jednak ze wzgl臋du na to, 偶e pliki na serwerach internetowych zawsze mog膮 zosta膰 zmienione, zdecydowali艣my si臋 zaliczy膰 ten rodzaj z艂o艣liwego oprogramowania do klasy robak贸w komunikator贸w internetowych. W rzeczywisto艣ci wci膮偶 toczy si臋 dyskusja, czy z艂o艣liwy program tego typu, kt贸ry rozprzestrzenia si臋 za po艣rednictwem komunikator贸w internetowych jest trojanem czy robakiem.
Poniewa偶 robaki Bropia, Kelvir i Prex s膮 bardzo do siebie podobne, liczne warianty szkodnik贸w z wszystkich tych rodzin wykrywane s膮 przy pomocy naszej sygnatury wirusa Pierwsze warianty robak贸w komunikator贸w internetowych wykorzystywa艂y prymitywne i wypr贸bowane metody socjotechniki, aby zach臋ci膰 u偶ytkownik贸w do klikania wys艂anego przez robaka odno艣nika. Najcz臋艣ciej chodzi艂o o nazwy plik贸w o rozszerzeniach .scr lub .pif. Plik lub odno艣nik sugerowa艂 zazwyczaj, 偶e zawarto艣膰 ma charakter humorystyczny lub seksualny, w tym celu tw贸rcy tych wirus贸w cz臋sto pos艂ugiwali si臋 osob膮 Paris Hilton.
Nasze dane jasno pokazuj膮, 偶e robaki, kt贸re wykorzystywa艂y pliki o rozszerzeniach .pif, powodowa艂y znacznie wi臋ksze epidemie ni偶 te o rozszerzeniach .scr. Wynika to z pewno艣ci膮 z tego, 偶e ludzie b艂臋dnie odczytywali je jako gif (lub .tiff), kt贸ry wskazuje na plik graficzny.
Oznacza艂o to, ze tw贸rcy wirus贸w woleli wykorzystywa膰 rozszerzenie .pif, poniewa偶 przynosi艂o im to lepsze rezultaty. Znacznie zwi臋kszy艂a si臋 r贸wnie偶 liczba robak贸w u偶ywaj膮cych rozszerzenia .pif. Mimo to robaki wykorzystuj膮ce rozszerzenie .scr nie znikn臋艂y ca艂kowicie.
Du偶e epidemie przyczyni艂y si臋 do tego, 偶e robaki komunikator贸w internetowych sta艂y si臋 mniej skuteczne; u偶ytkownicy byli coraz bardziej 艣wiadomi zagro偶e艅 i istnia艂o coraz mniejsze prawdopodobie艅stwo, 偶e zainfekuj膮 swoje komputery. Oznacza艂o to, 偶e agresorzy musieli wymy艣li膰 nowe metody socjotechniki.
Tw贸rcy wirus贸w zacz臋li dodawa膰 do odno艣nik贸w r贸偶ne tre艣ci, aby wydawa艂y si臋 bardziej prawdopodobne. Metoda ta okaza艂a si臋 skuteczna, o czym 艣wiadczy艂 wzrost liczby zg艂osze艅 od zainfekowanych u偶ytkownik贸w. Jednak kolejne posuni臋cie tw贸rc贸w wirus贸w mia艂o jeszcze powa偶niejsze skutki. W kwietniu 2005 roku zacz臋li艣my obserwowa膰 warianty Kelvira, kt贸re rozprzestrzenia艂y si臋 jako odno艣nik do serwera obs艂uguj膮cego PHP.
W jaki spos贸b wykorzystywany jest w tym przypadku PHP? PHP u偶ywany jest g艂贸wnie do tworzenia dynamicznych stron WWW i aplikacji serwerowych. Klient, w tym przypadku u偶ytkownik, mo偶e dostarczy膰 dane do przetworzenia przez serwer.
Przyk艂ad:
Pictures.php jest uruchamianym na serwerze skryptem PHP. Wszystko, co znajduje si臋 za "?", to dane przekazane do przetworzenia przez skrypt PHP.
To, co nast膮pi, zale偶y od tego, jak zosta艂 napisany skrypt PHP. Najcz臋stszy scenariusz w przypadku robaka komunikator贸w internetowych jest taki, 偶e adres e-mail zostanie przechowany w bazie danych i wykorzystany podczas wysy艂ania spamu. Nast臋pnie pojawi si臋 plik wykonywalny do pobrania przez u偶ytkownika - w rzeczywisto艣ci b臋dzie to robak komunikator贸w internetowych.
Po pierwsze, odno艣nik nie wygl膮da jak plik wykonywalny. Jest wi臋c bardziej prawdopodobne, 偶e u偶ytkownik go kliknie. Klikni臋cie odno艣nika umo偶liwia przechwycenie adresu e-mail odbiorcy, nawet je艣li u偶ytkownik nie wykona programu zaproponowanego do pobrania. Po drugie, dzi臋ki w艂膮czeniu adresu e-mail wiadomo艣膰 wydaje si臋 bardziej spersonalizowana. Taka personalizacja jest kluczem do skutecznej socjotechniki. Po trzecie, odno艣nik wydaje si臋 prowadzi膰 do galerii umieszczonej na serwerze.
Nast臋pnie zosta艂 wykryty wariant Kelvira z funkcjonalno艣ci膮 "chatbota". Robak ten wykorzystywa艂 zestaw fraz, aby nawi膮zywa膰 rozmow臋 z potencjaln膮 ofiar膮, zanim wysy艂a艂 do niej odno艣nik.
Jednak wysy艂anie "odno艣nika z rozszerzeniem .php" pozosta艂o (i wci膮偶 jest) ulubion膮 metod膮 autor贸w robak贸w komunikator贸w internetowych, prawdopodobnie dlatego, 偶e spos贸b ten uwa偶any jest za najbardziej skuteczny. Poniewa偶 "odno艣niki z rozszerzeniem .php" oferuj膮 wiele zmiennych, z punktu widzenia socjotechniki tw贸rcy wirus贸w bez problemu mog膮 to wykorzysta膰.
W pierwszej po艂owie 2005 roku, sta艂o si臋 oczywiste, 偶e tw贸rcy wirus贸w atakuj膮 g艂贸wnie komunikatory MSN, poniewa偶 w ten spos贸b mog膮 zainfekowa膰 maksymaln膮 liczb臋 u偶ytkownik贸w. Z tego powodu z艂o艣liwe programy dla innych komunikator贸w nie przesz艂y przez tak oczywisty proces ewolucji pod wzgl臋dem socjotechniki i bardziej lub mniej przeskoczy艂y pocz膮tkowe etapy ewolucji.
Na ewolucj臋 z艂o艣liwych program贸w dla innych klient贸w komunikator贸w internetowych wp艂yn膮艂 jeden istotny czynnik: analiza sk艂adniowa HTML. Komunikatory, takie jak AIM obs艂uguj膮 (podstawow膮) analiz臋 sk艂adniow膮 HTML, kt贸ra oferuje tw贸rcom wirus贸w stosuj膮cym socjotechnik臋 wiele opcji. Analiz臋 sk艂adniow膮 HTML mo偶na bardzo 艂atwo wykorzysta膰 tworz膮c "fa艂szywe" odno艣niki/adresy URL, kt贸re sk艂oni膮 odbiorc贸w do ich klikania.
To, 偶e MSN nie obs艂uguje analizy sk艂adniowej HTML, jest jedn膮 z trzech g艂贸wnych przyczyn przej艣cia tw贸rc贸w wirus贸w z atakowania komunikator贸w MSN na komunikatory AIM.
Drugi pow贸d to taki, 偶e niewiele os贸b wykorzystuje zar贸wno komunikatory MSN jak i AIM.
Trzecim i ostatnim wed艂ug mnie powodem jest to, 偶e podczas gdy tw贸rcy wirus贸w mogli bez trudu zwie艣膰 u偶ytkownik贸w komunikatora AIM, oszukanie u偶ytkownik贸w MSN sta艂o si臋 o wiele trudniejsze. Nie dlatego, 偶e spo艂eczno艣膰 u偶ytkownik贸w MSN jest bardziej 艣wiadoma potencjalnych zagro偶e艅, ale cz臋艣ciowo dlatego, 偶e MSN podj膮艂 kilka drastycznych dzia艂a艅.
MSN blokowa艂 na przyk艂ad wszystkie wiadomo艣ci zawieraj膮ce ".pif" na poziomie sieciowym. Blokowane by艂y r贸wnie偶 wiadomo艣ci zawieraj膮ce "gallery.php" i "download.php". Poza tymi zabezpieczeniami, p贸藕niejsze wersje komunikatora MSN Messenger nie przyjmuj膮 plik贸w o rozszerzeniach, kt贸re mog膮 wskazywa膰 na potencjalne niebezpiecze艅stwo, takich jak .pif, .scr i innych.
Chocia偶 istnieje wiele rodzin robak贸w komunikator贸w internetowych, kt贸re atakuj膮 sie膰 AIM, obecnie nie s膮 one tak istotne. Przyk艂adem jest robak Chocia偶 robaki komunikator贸w internetowych wykorzystuj膮cych technologi臋 rootkit w celu maskowania swojej aktywno艣ci zacz臋li艣my wykrywa膰 ju偶 w maju 2005 roku, sekcja ta po艣wi臋cona jest nieco innemu zagadnieniu.
Jedn膮 z interesuj膮cych r贸偶nic mi臋dzy z艂o艣liwymi programami, kt贸re rozprzestrzeniaj膮 si臋 poprzez MSN, a z艂o艣liwymi programami rozprzestrzeniaj膮cymi si臋 poprzez AIM, jest to, 偶e robak atakuj膮cy komunikator MSN jest osobnym komponentem/plikiem. W przypadku z艂o艣liwych program贸w, kt贸re rozprzestrzeniaj膮 si臋 za po艣rednictwem AIM, funkcjonalno艣膰 ta zazwyczaj w艂膮czona jest do cia艂a z艂o艣liwego programu; procedura rozprzestrzeniania jest cz臋sto drugorz臋dna w stosunku do g艂贸wnej funkcji.
Istniej膮 z艂o艣liwe programy rozprzestrzeniaj膮ce si臋 poprzez MSN, kt贸re zachowuj膮 si臋 w podobny spos贸b: na przyk艂ad niekt贸re warianty robaka Jest tak偶e wiele SdBot贸w i Rbot贸w, kt贸rych zdolno艣膰 do rozprzestrzeniania si臋 poprzez AIM stanowi jedynie jeden ma艂y podzbi贸r ich funkcji. Niekt贸re szkodniki z kategorii Trojan-Downloader, takie jak rodzina Banload, posiadaj膮 podobn膮 funkcjonalno艣膰.
Wszystko to utrudnia okre艣lenie liczby z艂o艣liwych program贸w ze zdolno艣ci膮 do rozprzestrzeniania si臋 poprzez AIM. Jedno jest pewne: jest o wiele wi臋cej z艂o艣liwych program贸w, kt贸re potrafi膮 rozprzestrzenia膰 si臋 za po艣rednictwem AIM, ni偶 mog艂oby si臋 wydawa膰 na pierwszy rzut oka.
Jaki jest pow贸d tej r贸偶nicy mi臋dzy liczb膮 z艂o艣liwych program贸w rozprzestrzeniaj膮cych si臋 za po艣rednictwem MSN a tych rozprzestrzeniaj膮cych si臋 poprzez AIM? Prawie wszystkie kody robak贸w komunikatora MSN wci膮偶 pisane s膮 w j臋zyku Visual Basic, podczas gdy wi臋kszo艣膰 szkodnik贸w, kt贸re rozprzestrzeniaj膮 si臋 poprzez AIM pisanych jest w j臋zyku C. Niedo艣wiadczeni tw贸rcy wirus贸w mog膮 skutecznie wyci膮膰 i wklei膰 kod w j臋zyku C do kodu 藕r贸d艂owego IRCBota bez wp艂ywu na jego funkcjonalno艣膰, poniewa偶 wszystkie popularne otwarte kody 藕r贸d艂owe IRCBot贸w pisane s膮 w tym j臋zyku. Nie jest tak jednak w przypadku kodu w Visual Basic. Ta pula gotowych kod贸w prowadzi do zwi臋kszenia liczby z艂o艣liwych program贸w, kt贸re rozprzestrzeniaj膮 si臋 za po艣rednictwem komunikatora AIM.
Na pocz膮tku tego artyku艂u podj臋li艣my kilka kwestii dotycz膮cych ewolucji technicznej robak贸w komunikator贸w internetowych. Jednak zagadnienie to ma jeszcze inne interesuj膮ce aspekty.
W maju 2005 roku zauwa偶yli艣my, 偶e do robak贸w komunikator贸w internetowych dodawane s膮 pewne funkcje. Pakiety: robaki komunikator贸w internetowych/backdoor, takie jak Kelvir i Bropia nie s膮 ju偶 tak popularne. Wygl膮da na to, 偶e tw贸rcy z艂o艣liwych program贸w mieli kilka powod贸w, aby je rozdzieli膰.
Obecnie do艣膰 powszechny jest nast臋puj膮cy scenariusz:
U偶ytkownik otrzymuje odno艣nik za po艣rednictwem komunikatora internetowego. Po klikni臋ciu go albo zostaje przeniesiony na stron臋 internetow膮, kt贸ra zawiera exploita, a wtedy na jego komputerze zostaje automatycznie zainstalowany z艂o艣liwy program, albo proszony jest o pobranie i/lub uruchomienie pliku wykonywalnego, tj. IRCBota. Po tym jak Backdoor zostanie wykonany, pobierze automatycznie robaka komunikator贸w internetowych, albo za po艣rednictwem kana艂u IRC otrzyma polecenie, aby pobra膰 ten plik. Tego typu robaki s膮 wci膮偶 bardzo podobne do Kelvira, jest jednak jedna du偶a r贸偶nica: rozprzestrzeniaj膮 si臋 tylko na polecenie.
Robak zacznie si臋 rozprzestrzenia膰 dopiero po tym, jak operator IRC wyda okre艣lone polecenie w kanale, lub na jedn膮 konkretn膮 maszyn臋. Nale偶y zwr贸ci膰 uwag臋 na to, 偶e w takich przypadkach robak rozprzestrzenia si臋 jako odno艣nik do Backdoora, a nie do samego siebie.
Podej艣cie to posiada kilka zalet:
Istniej膮 warianty robak贸w Kelvir i Opanki, kt贸re potrafi膮 wysy艂a膰 dynamiczne wiadomo艣ci i/lub pobiera膰 odno艣niki. Oznacza to, 偶e osoba obs艂uguj膮ca bot posiada pe艂n膮 kontrol臋 nad zawarto艣ci膮 wysy艂an膮 przez robaki komunikator贸w internetowych. Jest to obecnie standard dla backdoor贸w, kt贸re potrafi膮 rozprzestrzenia膰 si臋 poprzez komunikator AIM.
W styczniu 2006 roku natrafili艣my na
Szkodnik ten nie tylko potrafi rozprzestrzenia膰 odno艣niki do du偶ej liczby sieci komunikator贸w internetowych. Mo偶liwe jest r贸wnie偶 zmienianie wiadomo艣ci i odsy艂acza do szkodliwego kodu. By膰 mo偶e jest to najwy偶sza faza rozwoju funkcjonalno艣ci robak贸w komunikator贸w internetowych.
W artykule tym nie przeanalizowano z艂o艣liwych program贸w, takich jak Od czasu, gdy po raz pierwszy pojawi艂y si臋 robaki komunikator贸w internetowych, obserwowali艣my znaczne zmiany: w metodach dystrybucji, w stopniu zaawansowania wykorzystywanego kodu i w celach atak贸w na sieci komunikator贸w internetowych. Dodatkowo, wiadomo艣ci dynamiczne pomagaj膮 przed艂u偶y膰 cykl 偶ycia z艂o艣liwych program贸w i botnet贸w, a dzi臋ki kontrolowaniu rozprzestrzeniania z艂o艣liwych program贸w ich tw贸rcy mog膮 unikn膮膰 zwr贸cenia na siebie uwagi.
W wi臋kszo艣ci przypadk贸w, robak komunikator贸w internetowych nie powinien by膰 traktowany jako samodzielny z艂o艣liwy program, a raczej jako "s艂uga", kt贸ry mo偶e pomaga膰 w rozprzestrzenianiu si臋 IRCBota.
Pojawienie si臋 szkodnika IRCBot.lo pokazuje, 偶e robak internetowy jest wektorem infekcji, kt贸ry nie zosta艂 jeszcze w pe艂ni wyeksploatowany. Poza tym, kod ten mo偶na 艂atwo skopiowa膰, co potencjalnie mo偶e prowadzi膰 do znacznego wzrostu liczby IRCBot贸w mog膮cych rozprzestrzenia膰 odno艣niki we wszystkich du偶ych sieciach komunikator贸w internetowych. Jest ca艂kiem prawdopodobne, 偶e w przysz艂o艣ci zaczniemy otrzymywa膰 zg艂oszenia o rosn膮cej liczbie atak贸w na inne sieci komunikator贸w internetowych.
Zdolno艣膰 rozprzestrzeniania si臋 poprzez komunikatory internetowe jest funkcjonalno艣ci膮, kt贸r膮 bez w膮tpienia tw贸rcy wirus贸w b臋d膮 nadal wykorzystywa膰 w swoich wielofunkcyjnych IRCBotach. Mo偶liwe jednak, 偶e w d艂u偶szej perspektywie proces wymierania wyspecjalizowanych z艂o艣liwych program贸w, kt贸re rozprzestrzeniaj膮 si臋 za po艣rednictwem komunikator贸w internetowych, b臋dzie kontynuowany.
Komunikator internetowy AOL
Niewidoczne robaki komunikator贸w internetowych
Ewolucja techniczna
Wniosek
殴r贸d艂o:
Kaspersky Lab