Najbardziej charakterystyczne zagro偶enia roku 2009

Panta rhei - "wszystko p艂ynie", to stwierdzenie pad艂o ponad 2,5 tysi膮ca lat temu, lecz do dzi艣 nie straci艂o na swej aktualno艣ci. Wszystko zmienia si臋, nic nie jest trwa艂e, mamy do czynienia z nieustannym ruchem, ci膮g艂ym post臋pem. Bardzo dobrze mo偶na to zaobserwowa膰 w 艣wiecie szeroko rozumianej techniki, gdzie ka偶dy rok przynosi ze sob膮 co艣 nowego. Jedne rozwi膮zania zyskuj膮 na popularno艣ci, inne popadaj膮 w zapomnienie; miejsce starych, niesprawdzaj膮cych si臋 ju偶 technologii zajmuj膮 nowe koncepcje, wdra偶ane s膮 kolejne innowacyjne pomys艂y. Ta zasada odnosi si臋 r贸wnie偶 do dziedziny bezpiecze艅stwa komputerowego: projektowanie coraz lepszych zabezpiecze艅 w codziennej walce z cyberprzest臋pcami zmusza tych ostatnich do regularnej modernizacji swoich narz臋dzi i metod. Jakie wi臋c zagro偶enia by艂y najbardziej charakterystyczne w minionym roku? Jakie szkodliwe programy by艂y najbardziej rozpowszechnione, a kt贸re najniebezpieczniejsze? Czy pojawi艂y si臋 zupe艂nie nowe, nieznane lub niepopularne wcze艣niej rozwi膮zania?

Najwi臋ksze epidemie 2009: Magania, Gumblar, PC Antispyware

Najpopularniejsze zagro偶enia 2009 mo偶na rozpatrywa膰 w trzech g艂贸wnych kategoriach:

  • zagro偶enia rozprzestrzeniaj膮ce si臋 przy pomocy dysk贸w przeno艣nych
  • zagro偶enia atakuj膮ce strony internetowe
  • fa艂szywe oprogramowanie antywirusowe

Prawdziw膮 zmor膮 kafejek internetowych, pracowni szkolnych i akademickich oraz punkt贸w ksero sta艂y si臋 robaki i trojany infekuj膮ce urz膮dzenia przeno艣ne (pendrive'y, dyski USB, odtwarzacze muzyki itp.). Kopiuj膮 si臋 one na takie urz膮dzenie i tworz膮 specjalny plik Autorun.inf, dzi臋ki kt贸remu - je艣li w艂膮czony jest mechanizm autostartu dysk贸w przeno艣nych, co dla wi臋kszo艣ci system贸w Windows jest ustawieniem domy艣lnym - startuj膮 wraz z podpi臋ciem dysku do komputera. Taki spos贸b infekcji zyska艂 ogromn膮 popularno艣膰 ze wzgl臋du na skuteczno艣膰 i szybko艣膰 rozprzestrzeniania si臋. Jednym z najcz臋艣ciej spotykanych w Polsce zagro偶e艅, nale偶膮cych do tej kategorii s膮 trojany z rodziny GameThief.Win32.Magania. O ile zagro偶enie to by艂o znane ju偶 wcze艣niej, intensywno艣膰 jego wyst臋powania wzros艂a kilkakrotnie w艂a艣nie w przeci膮gu ostatniego roku. Opr贸cz wykorzystywania dysk贸w przeno艣nych, do zara偶enia mo偶e doj艣膰 r贸wnie偶 w spos贸b "klasyczny" dla trojan贸w - szkodniki z tej rodziny zazwyczaj podszywaj膮 si臋 pod programy potencjalnie atrakcyjne dla gracza, na przyk艂ad dodatki, generatory kluczy lub cracki do znanych gier komputerowych. Ich g艂贸wnym celem jest wykradanie informacji dotycz膮cych kont w r贸偶nego rodzaju grach online. Jaki interes maj膮 w tym cyberprzest臋pcy? W czasach rosn膮cej popularno艣ci takich gier, dane te mog膮 stanowi膰 ca艂kiem niez艂e 藕r贸d艂o dochodu.

Kolejne zagro偶enie, kt贸re na przestrzeni ostatniego roku przerodzi艂o si臋 w istn膮 epidemi臋, stanowi膮 szkodniki modyfikuj膮ce witryny internetowe. Atakuj膮 one serwery, na kt贸rych znajduj膮 si臋 strony WWW i doklejaj膮 do kodu 藕r贸d艂owego wszystkich znalezionych plik贸w index.php / index.html odpowiedni znacznik HTML b膮d藕 skrypt w j臋zyku JavaScript, kt贸ry ma za zadanie przekierowa膰 u偶ytkownika pod z艂o艣liwy adres URL. Jest to tzw. atak drive-by download. Kr贸lem tej kategorii jest odkryty w marcu 2009 trojan o nazwie Trojan-Downloader.JS.Gumblar (od nazwy domeny gumblar.cn, kt贸ra swego czasu serwowa艂a gigabajty szkodliwego oprogramowania, nast臋pnie zosta艂a zast膮piona innymi adresami). Zainfekowana Gumblarem strona tworzy niewidoczn膮 dla przegl膮daj膮cego j膮 u偶ytkownika ramk臋, w kt贸rej wczytywany jest adres, zawieraj膮cy specjalnie spreparowany plik pdf b膮d藕 swf. Nast臋pnie poprzez luki w programach, takich jak Adobe Reader czy Flash Player, na komputerze ofiary instalowane jest szkodliwe oprogramowanie. Celem tego oprogramowania jest mi臋dzy innymi dalsze rozprzestrzenianie si臋 - tote偶 jedn膮 z jego funkcji jest wykradanie hase艂 do kont ftp, logowanie si臋 na te konta i infekowanie znajduj膮cych si臋 tam plik贸w php/html.



Rys. 1. Skrypt oraz znacznik HTML doklejone przez trojana Gumblar do kodu strony



Rys. 2. Skrypt po oczyszczeniu z zaciemnienia

Kolejn膮 kategori膮 szkodnik贸w, kt贸ra w roku 2009 prze偶y艂a ponowny rozkwit, s膮 aplikacje imituj膮ce oprogramowanie antywirusowe. Sama idea nie jest nowa - pierwsze tego typu programy powstawa艂y ju偶 na pocz膮tku lat 90 - jednak ze wzgl臋du na cz臋stotliwo艣膰 wyst臋powania, niew膮tpliwie nale偶y je zaliczy膰 do charakterystycznych zagro偶e艅 ubieg艂ego roku. Cel jest zawsze ten sam - wy艂udzenie jak najwi臋kszej ilo艣ci pieni臋dzy od nie艣wiadomych u偶ytkownik贸w. Metody mog膮 si臋 r贸偶ni膰 - od wzbudzania zaufania po zastraszenie czy ograniczenie funkcjonalno艣ci komputera. Spo艣r贸d bardzo wielu fa艂szywych antywirus贸w, z jakimi mieli艣my do czynienia w 2009 roku, za jedn膮 z najcz臋艣ciej spotykanych w Polsce mo偶na uzna膰 aplikacj臋 o nazwie PC Antispyware 2010 wyst臋puj膮c膮 w kilku wersjach (m. in. jako Antivirus Pro 2010 i Home Antivirus 2010). Po instalacji program ten przeprowadza symulacj臋 skanowania dysku i utwierdza nas w przekonaniu, 偶e nasz komputer jest zainfekowany ogromn膮 ilo艣ci膮 wszelkiego rodzaju zagro偶e艅. Niestety ta wielce u偶yteczna aplikacja nie daje nam mo偶liwo艣ci usuni臋cia rzekomych szkodnik贸w - w zamian za to zostajemy przekierowani na stron臋, na kt贸rej mo偶na zakupi膰 licencj臋 na program. Ceny wahaj膮 si臋 od kilkudziesi臋ciu do kilkuset dolar贸w, co w zestawieniu z bardzo szerokim rozpowszechnieniem fa艂szywych antywirus贸w pozwala szacowa膰, 偶e ich tw贸rcy zarabiaj膮 na nich naprawd臋 pot臋偶ne pieni膮dze.



Rys. 3: Jeden z fa艂szywych antywirus贸w z rodziny PC Antispyware

Najgro藕niejsze szkodniki 2009: Kido, Sinowal, Virut & Sality

Zagro偶enia z tej kategorii z pewno艣ci膮 mo偶na r贸wnie偶 zaliczy膰 do najpopularniejszych zagro偶e艅 2009 roku. Od wymienionych powy偶ej przypadk贸w odr贸偶nia je jednak wi臋ksza szkodliwo艣膰 i bardziej skomplikowany proces leczenia.

Kt贸偶 nie s艂ysza艂 o s艂ynnym robaku sieciowym Net-Worm.Win32.Kido, znanym r贸wnie偶 jako Conficker alias Downadup? Gdy m贸wimy o szkodnikach popularnych w ubieg艂ym roku to w艂a艣nie on pierwszy nasuwa si臋 na my艣l. Najstarsze jego warianty pojawi艂y si臋 pod koniec roku 2008, a ju偶 na pocz膮tku 2009 mieli艣my do czynienia z powa偶n膮 epidemi膮 Kido, botnetem licz膮cym setki tysi臋cy komputer贸w. Robak ten rozprzestrzenia si臋 na dwa sposoby: pierwszy z nich to (jak偶e charakterystyczny dla ubieg艂orocznych szkodnik贸w!) mechanizm autostartu dysk贸w przeno艣nych; drugi za艣 polega na wykorzystaniu luki w us艂udze Server system贸w Microsoft Windows, dzi臋ki kt贸rej robak atakuje komputery znajduj膮ce si臋 w sieci lokalnej. Co przes膮dzi艂o o tym, 偶e Kido zosta艂 zaliczony do najbardziej niebezpiecznych zagro偶e艅 2009? Z pewno艣ci膮 specyfika jego dzia艂ania, polegaj膮ca na wykradaniu poufnych danych z zainfekowanego komputera, a tak偶e umiej臋tno艣膰 sprytnego ukrywania si臋 w systemie ofiary - nie艣wiadomy u偶ytkownik mo偶e przez d艂ugi czas korzysta膰 z maszyny nie podejrzewaj膮c, 偶e znajduje si臋 ona pod obc膮 kontrol膮, i 偶e za jej pomoc膮 przeprowadzane s膮 ataki czy pope艂niane przest臋pstwa. Przede wszystkim jednak zawa偶y艂a tu niesamowita szybko艣膰, z jak膮 Kido si臋 rozprzestrzenia, do艂膮czaj膮c coraz to nowe stacje do swego rozsianego po ca艂ym 艣wiecie botnetu. Stworzona w ten spos贸b monstrualna sie膰 komputer贸w-zombie stanowi bardzo pot臋偶ne narz臋dzie w r臋kach cyberprzest臋pc贸w. Mo偶e pos艂u偶y膰 do wielu destruktywnych cel贸w, spo艣r贸d kt贸rych masowe ataki DDoS czy wysy艂anie spamu na ogromn膮 skal臋 to tylko mniej wyrafinowane przyk艂ady. Jak wiadomo, najbardziej niebezpieczne jest to, czego mo偶liwo艣ci nie jeste艣my w stanie do ko艅ca oceni膰 - botnet Kido do takich w艂a艣nie rzeczy nale偶y.

Kolejny szkodnik, kt贸ry pojawi艂 si臋 w 2008 roku ale znaczna cz臋艣膰 jego rozwoju przypada na rok 2009 to Backdoor.Win32.Sinowal, znany r贸wnie偶 pod nazw膮 Mebroot. Pod wzgl臋dem sposobu rozprzestrzeniania si臋 mo偶na go zaliczy膰 do tej samej kategorii co trojana Gumblar - wykorzystuje bowiem technik臋 drive-by download, stosuj膮c podmian臋 odsy艂aczy na stronach I 艣ci艣le wyspecjalizowane, spersonalizowane exploity - jednak jego dzia艂anie jest o wiele bardziej skomplikowane I niebezpieczne. 艁膮czy on w sobie tradycj臋 dawnych wirus贸w sektora startowego z cechami zaawansowanego rootkita i funkcjonalno艣ci膮 backdoora. Sinowal modyfikuje sektor rozruchowy dysku (MBR), wprowadzaj膮c do niego w艂asny kod, dzi臋ki czemu mo偶e dzia艂a膰 na komputerze zupe艂nie niewidoczny, wczytuj膮c si臋 do pami臋ci jeszcze zanim nast膮pi start systemu operacyjnego. Jako, 偶e w sektorze MBR nie mo偶e znajdowa膰 si臋 zbyt du偶a ilo艣膰 kodu, w艂a艣ciwy plik backdoora pobierany jest z Internetu po ka偶dym restarcie komputera; nie jest on zapisywany fizycznie na dysku tylko wczytywany bezpo艣rednio do pami臋ci. G艂贸wne zadanie Sinowala to szpiegowanie u偶ytkownika (ze szczeg贸lnym uwzgl臋dnieniem wpisywanych przez niego login贸w i hase艂 do r贸偶nych aplikacji i portali internetowych) i przesy艂anie tych danych na jeden ze szkodliwych serwer贸w. Zainfekowane komputery, podobnie jak w przypadku robaka Kido, tworz膮 ze wsp贸lnie botnet zombie.

Innymi szkodnikami, kt贸re parali偶owa艂y komputery w 2009 s膮 dwa "klasyczne" wirusy infekuj膮ce pliki: Virus.Win32.Virut I Virus.Win32.Sality. Pierwszy z nich pojawi艂 si臋 pod koniec 2007, na pocz膮tku 2008 zyska艂 miano jednego z najpopularniejszych zagro偶e艅, okupuj膮c raz za razem wysokie pozycje w comiesi臋cznych statystykach, a tradycj臋 t臋 z powodzeniem kontynuowa艂 w roku ubieg艂ym. Drugi z wymienionych infektor贸w pojawi艂 si臋 nieco wcze艣niej i nieco p贸藕niej zdoby艂 popularno艣膰, jednak w roku 2009 rami臋 w rami臋 z Virutem zajmowa艂 wysokie pozycje w naszych rankingach popularno艣ci szkodnik贸w, szczeg贸lnie za艣 popularna jest jego wersja aa, kt贸ra od wielu miesi臋cy znajduje si臋 w pierwszej pi膮tce najcz臋艣ciej wyst臋puj膮cych infekcji - i nic nie wskazuje na to, by mia艂a j膮 pr臋dko opu艣ci膰.

Oba szkodniki maj膮 wiele cech wsp贸lnych; wykorzystuj膮 polimorfizm, co utrudnia producentom oprogramowania antywirusowego skuteczne dodawanie ich sygnatur do baz; opr贸cz plik贸w wykonywalnych infekuj膮 r贸wnie偶 pliki php / html, dzi臋ki czemu zyskuj膮 dodatkow膮 metod臋 rozprzestrzeniania si臋 - drive-by download. Najbardziej charakterystyczn膮 cech膮 obu tych wirus贸w jest jednak to, 偶e 艂膮cz膮 si臋 one z serwerami IRC w oczekiwaniu na polecenia, a co za tym idzie - dzia艂aj膮 jednocze艣nie jako backdoor. Zainfekowane komputery i w tym przypadku staj膮 si臋 komputerami zombie. Oba wirusy s膮 na tyle trudne do usuni臋cia, 偶e wi臋kszo艣膰 producent贸w oprogramowania antywirusowego stworzy艂a specjalne narz臋dzia do leczenia systemu zara偶onego kt贸rym艣 z nich.

Co nowego w 2009? Rewolucja w Delphi

Kompletnie 艣wie偶ym pomys艂em, kt贸ry po raz pierwszy pojawi艂 si臋 w 2009 roku, jest Virus.Win32.Induc. Na chwil臋 obecn膮 dla przeci臋tnego u偶ytkownika nie jest on w gruncie rzeczy bardzo niebezpieczny - infekuje pliki, lecz nie wyrz膮dza 偶adnej szkody w systemie, nie przechwytuje 偶adnych informacji, nie otwiera "tylnej furtki". Innowacyjno艣膰 tego wirusa polega na tym, 偶e jego dzia艂anie jest skierowane w stron臋 producent贸w oprogramowania: zamiast bezpo艣redniego zara偶ania plik贸w wykonywalnych, poszukuje on na komputerze instalacji 艣rodowiska Borland Delphi, a nast臋pnie zara偶a jedn膮 z jego bibliotek, powoduj膮c, 偶e wszystkie programy kompilowane w tym 艣rodowisku b臋d膮 zawiera膰 bonusa w postaci z艂o艣liwego kodu. Pierwsza wersja wirusa Induc zosta艂a odkryta przez analityk贸w Kaspersky Lab w sierpniu ubieg艂ego roku. Od razu trafi艂a ona na list臋 najcz臋艣ciej spotykanych infekcji i do tej pory utrzymuje si臋 w jej pierwszej dziesi膮tce. W grudniu 2009 nast膮pi艂a intensywna ekspansja wirusa - 艣wiadczy o tym chocia偶by liczba jego modyfikacji dodawanych w grudniu do baz, kt贸ra wynosi kilka, kilkana艣cie a nawet kilkadziesi膮t rekord贸w dziennie.

Podsumowanie

Rok 2009 zdecydowanie do spokojnych nie nale偶a艂. Charakterystyczne dla roku 2008 trendy znacznie przybra艂y na intensywno艣ci (Magania, Sinowal, Sality, Virut), wybuch艂y nowe, bardzo niebezpieczne epidemie (Kido, Gumblar), powsta艂y innowacyjne idee, kt贸re mog膮 zrewolucjonizowa膰 poj臋cie malware'u (Induc). S艂owa-klucze, kt贸rymi bran偶a bezpiecze艅stwa IT mo偶e scharakteryzowa膰 miniony rok to:

  • Drive-by download
  • Autorun
  • Botnet
  • FakeAV
  • Backdoor / GameThief
  • Bootkit

Co zatem przyniesie ze sob膮 rok 2010? Na pewno kontynuacj臋 tych trend贸w, kt贸re sprawdzi艂y si臋 w roku ubieg艂ym, zapewniaj膮c cyberprzest臋pcom wymierne zyski. Przewiduje si臋 mi臋dzy innymi dalszy rozw贸j atak贸w na oraz poprzez portale internetowe, a tak偶e kontynuacj臋 linii szkodnik贸w infekuj膮cych pendrive'y i dyski USB. Coraz bardziej wyrafinowane staje si臋 fa艂szywe oprogramowanie antywirusowe, zyskuje ono nowe funkcje, coraz bardziej przypomina prawdziwe antywirusy. Bardzo wa偶n膮 cz臋艣ci膮 cyberprzest臋pczego 艣wiata zdaj膮 si臋 by膰 pot臋偶ne botnety, a ich si艂a ro艣nie wraz z ka偶dym przy艂膮czonym komputerem. Na popularno艣ci nie powinny straci膰 r贸wnie偶 trojany wyspecjalizowane do kradzie偶y danych zwi膮zanych z grami online.

Ponadto niew膮tpliwie nast膮pi rozw贸j szkodnik贸w atakuj膮cych portale spo艂eczno艣ciowe - do tej pory w Polsce nie by艂y one bardzo popularne, jednak na zachodzie jest to kolejne s艂owo-klucz dla roku 2009, wystarczy wspomnie膰 szeroko znanego robaka Net-Worm.Win32.Koobface. Wraz ze wzrastaj膮c膮 w艣r贸d polskich u偶ytkownik贸w popularno艣ci膮 mi臋dzynarodowych portali, takich jak Facebook, MySpace czy Twitter, mo偶na z du偶ym prawdopodobie艅stwem zak艂ada膰, 偶e ilo艣膰 infekcji rozprzestrzeniaj膮cych si臋 przez te portale szkodliwym oprogramowaniem na polskich komputerach r贸wnie偶 wzro艣nie. Prawdopodobnie spotkamy si臋 r贸wnie偶 z infekcjami specyficznymi dla polskich portali. Nie b臋dzie to jednak ca艂kowita nowo艣膰: pami臋tajmy, 偶e w lutym 2009 nast膮pi艂 pierwszy taki atak na portal nasza-klasa.pl. Coraz cz臋stszymi celami atak贸w staj膮 si臋 r贸wnie偶 sieci P2P, w szczeg贸lno艣ci za艣 jeden z najbardziej znanych protoko艂贸w - BitTorrent. Wirus Induc mo偶e da膰 pocz膮tek nowej generacji szkodnik贸w infekuj膮cych 艣rodowiska programistyczne i kompilatory. Chocia偶 jest to do艣膰 egzotyczna idea, mo偶e ona stanowi膰 du偶y potencja艂 finansowy dla cyberprzest臋p贸w.

Jak si臋 broni膰?

Na temat sposob贸w ochrony przed wszystkimi z wymienionych rodzajami szkodnik贸w zosta艂o napisane ju偶 wiele artyku艂贸w, ale nie zaszkodzi pokr贸tce przypomnie膰 najwa偶niejsze zasady bezpiecze艅stwa:

  • Wy艂膮cz mechanizm autostartu dysk贸w przeno艣nych w systemie Windows. W ten spos贸b skutecznie zminimalizujesz ryzyko infekcji z nap臋d贸w USB (takich jak pendrive).
  • Dbaj o regularne uaktualnianie systemu operacyjnego i oprogramowania na komputerze - zredukujesz ryzyko zostania ofiar膮 ataku typu drive-by download.
  • B膮d藕 nieufny w stosunku do nieznanego, niezweryfikowanego oprogramowania. Pomo偶e Ci to unikn膮膰 problem贸w zar贸wno z fa艂szywymi antywirusami, jak i trojanami kradn膮cymi dane z gier komputerowych.
  • Zadbaj o prawid艂owe skonfigurowanie zapory sieciowej, co ochroni Ci臋 przed atakami z p艂yn膮cymi z Sieci.
  • Zainstaluj oprogramowanie antywirusowe i w艂膮cz jego automatyczn膮 aktualizacj臋 oprogramowania antywirusowego z aktualn膮 baz膮 danych i wysokim poziomem heurystyki minimalizuje ryzyko zara偶enia wszelkim rodzajem szkodliwego oprogramowania.
殴r贸d艂o:
Kaspersky Lab