ZeuS na polowaniu
Analityk szkodliwego oprogramowania, Kaspersky Lab
- O infekcj臋 nietrudno...
- Niebezpiecznie bieg艂y
- Zmienny i szeroko rozpowszechniony
- Skala infekcji
- Preferowane domeny
- Miejsca problematyczne
- Sposoby ochrony
W jak偶e cudownych czasach przysz艂o nam 偶y膰! Dzi臋ki Internetowi mo偶emy dokonywa膰 zakup贸w i p艂aci膰 za us艂ugi szybko i wygodnie. Co za niewiarygodna wygoda. Nie musisz nawet wstawa膰 z 艂贸偶ka, aby zrobi膰 zakupy w spo偶ywczym, a nawet kupi膰 jacht lub nowy dom na drugim kra艅cu 艣wiata - a przy tym jaki ogromy wyb贸r! Granie na gie艂dzie czy zawieranie transakcji biznesowych online jest dzi艣 powszechnym zjawiskiem.
Naturalnie, aby skorzysta膰 z tych mo偶liwo艣ci, musimy najpierw zalogowa膰 si臋 do odpowiedniego systemu i wskaza膰 konto, z kt贸rego zostan膮 wys艂ane pieni膮dze.
Pieni膮dze! Pieni膮dze! Pieni膮dze!... Tam, gdzie pojawiaj膮 si臋 pieni膮dze, z pewno艣ci膮 znajd膮 si臋 osoby, kt贸re spr贸buj膮 zagarn膮膰 je dla siebie. Co gorsze, niekt贸rzy b臋d膮 nawet pr贸bowali si臋gn膮膰 po pieni膮dze, kt贸re s膮 w艂asno艣ci膮 kogo艣 innego. Tak si臋 dzieje w 艣wiecie pieni臋dzy elektronicznych. Oszu艣ci zrobi膮 wszystko co w ich mocy, aby przyw艂aszczy膰 sobie cudze pieni膮dze, a najpewniejszym sposobem osi膮gni臋cia tego celu jest sprawienie, aby system p艂atno艣ci elektronicznych "uwierzy艂", 偶e oszust jest prawowitym w艂a艣cicielem konta. Je偶eli mu si臋 uda, b臋dzie m贸g艂 zrobi膰 ze 艣rodkami na koncie swojej ofiary wszystko, co tylko zechce.
Najpowszechniejsz膮 metod膮 "przekonania" systemu , 偶e masz prawo dost臋pu do danego konta e-money i mo偶esz nim zarz膮dza膰, jest podanie nazwy w艂a艣ciciela (numeru karty kredytowej lub zarejestrowanego pseudonimu itd.) oraz poprawnego has艂a (kodu PIN, s艂owa kodowego itd.). To zwykle wystarczy, aby system "rozpozna艂" u偶ytkownika. W jaki spos贸b oszu艣ci uzyskuj膮 informacje osobiste u偶ytkownik贸w kont? Szkodliwi u偶ytkownicy maj膮 w swoim arsenale pot臋偶ne narz臋dzie: trojany. Cyberprzest臋pcy wykorzystuj膮 je, aby pokona膰 bariery i zdoby膰 wszystkie informacje u偶ytkownika, jakich potrzebuj膮, bez wzbudzania jakichkolwiek podejrze艅, 偶e nast膮pi艂a kradzie偶 danych.
O infekcj臋 nietrudno...
Surfuj膮c po Internecie bez odpowiednich zabezpiecze艅, nietrudno zainfekowa膰 sw贸j system szkodliwym programem. Poniewa偶 programy i systemy operacyjne s膮 niezwykle z艂o偶one, cz臋sto zawieraj膮 kilka s艂abych "punkt贸w", kt贸re nie s膮 widoczne dla niewprawnego oka. Jednak takie s艂abe punkty w nietypowych sytuacjach mog膮 prowadzi膰 do krytycznych b艂臋d贸w, np. gdy u偶ytkownik pracuje z danymi, kt贸re nie zosta艂y uwzgl臋dnione przez programist贸w. Takimi b艂臋dami mo偶na manipulowa膰 i wykorzystywa膰 je do uruchamiania szkodliwego oprogramowania w systemie u偶ytkownika. Szkodliwe programy wyst臋puj膮 w r贸偶nych postaciach i rozmiarach, jednak najbardziej rozpowszechnione s膮 trojany.
U偶ytkownicy, kt贸rzy bez namys艂u klikaj膮 odsy艂acze w wiadomo艣ciach przesy艂anych za po艣rednictwem poczty elektronicznej lub komunikator贸w internetowych czy te偶 odwiedzaj膮 nieznan膮 stron臋 internetow膮 (b膮d藕 dobrze znan膮, ale zhakowan膮) ryzykuj膮 pobranie szkodliwego oprogramowania na sw贸j komputer. Szkodnik taki zagnie藕dzi si臋 na komputerze i wykona swoj膮 brudn膮 robot臋, a u偶ytkownik nawet niczego nie zauwa偶y. Aby sk艂oni膰 u偶ytkownika do zaakceptowania dzia艂a艅 szkodliwego oprogramowania, jak gdyby by艂y czynno艣ciami zwyk艂ego, legalnego programu, trojan przeniknie do us艂ug systemowych i wstrzyknie sw贸j kod lub zamaskuje si臋 pod postaci膮 wa偶nej funkcji.
Po tym, jak trojan rozpocznie swoje szkodliwe dzia艂anie w systemie, b臋dzie rezydowa艂 tam w niesko艅czono艣膰, chyba 偶e zostanie zainstalowana ochrona antywirusowa. Jego funkcje mog膮 obejmowa膰 nawet "szpiegowanie" aktywno艣ci u偶ytkownika, oprogramowania uruchomionego przez u偶ytkownika oraz wprowadzanych lub otrzymywanych przez niego danych.
Jednym z najpowszechniejszych zagro偶e艅, kt贸re mo偶na znale藕膰 na komputerach nieostro偶nych u偶ytkownik贸w, jest trojan szpieguj膮cy o nazwie ZBot. Nazwa ta jest po艂膮czeniem pierwszej litery pseudonimu autora Trojana, ZeuS, oraz s艂owa "bot", kt贸re oznacza robota sieciowego - program automatycznie wykonuj膮cy wyznaczone zadanie. W tym przypadku, zadaniem jest kradzie偶 danych osobowych u偶ytkownika.
Niebezpiecznie bieg艂y
Trojany w rodzinie ZBot (ZeuS) po raz pierwszy pojawi艂y si臋 w 2007 roku. Poniewa偶 ich konfiguracja jest prosta i mo偶na je 艂atwo wykorzystywa膰 do kradzie偶y danych online, ZeuS sta艂 si臋 jednym z najbardziej rozpowszechnionych i najlepiej sprzedaj膮cych si臋 program贸w szpieguj膮cych dost臋pnych na czarnym rynku internetowym.
Przyjrzyjmy si臋 dok艂adnie, dlaczego ten trojan stanowi tak powa偶ne zagro偶enie. Poni偶ej znajduje si臋 kr贸tki przegl膮d dzia艂a艅, jakie ZeuS mo偶e wykona膰 po przenikni臋ciu do systemu ofiary:
- Wszystko, co "zapami臋tujesz" na komputerze (np. gdy zaznaczasz opcj臋 "zapami臋taj has艂o"), staje si臋 dost臋pne dla trojana, niezale偶nie od tego, czy jest to tw贸j login, has艂o czy jakikolwiek rodzaj danych automatycznie uzupe艂nianych w formularzach na stronach internetowych.
- Nawet je偶eli nie zaznaczysz automatycznego zapami臋tywania danych, trojan zarejestruje wszelkie uderzenia klawiszy na Twojej klawiaturze, a sekwencja znak贸w wykorzystywanych do uzyskania dost臋pu do Twoich kont online b臋dzie "monitorowana" oraz wysy艂ana do os贸b kontroluj膮cych bota.
- W celu uniemo偶liwienia monitorowania uderze艅 klawiszy oraz innych danych wiele stron internetowych stosuje specjalne wirtualne klawiatury. Aby wprowadzi膰 swoje has艂a, u偶ytkownicy klikaj膮 lewym przyciskiem myszy klawisze wirtualnej klawiatury, kt贸ra pojawia si臋 na ich monitorach. W tym przypadku, ZeuS wykorzystuje inny mechanizm przechwytywania danych u偶ytkownika: jak tylko zostanie wci艣ni臋ty lewy przycisk myszy, ZeuS wykona zrzut ekranu, umo偶liwiaj膮c identyfikacj臋 klawiszy klikanych na wirtualnej klawiaturze.
- ZeuS kontroluje wszystkie dane przesy艂ane za po艣rednictwem przegl膮darki internetowej. Gdy spr贸bujesz otworzy膰 stron臋 internetow膮, kt贸ra zosta艂a ju偶 zarejestrowana przez plik konfiguracyjny ZeuSa, trojan mo偶e zmodyfikowa膰 jej kod, zanim b臋dzie to widoczne w oknie przegl膮darki internetowej. Modyfikacje obejmuj膮 dodawanie nowych p贸l, w kt贸rych u偶ytkownicy zostan膮 poproszeni o wprowadzanie informacji osobowych i prywatnych. Za艂贸偶my, 偶e strona Twojego banku nagle prosi Ci臋 o podanie informacji innych ni偶 nazwa u偶ytkownika i has艂o, takich jak na przyk艂ad kod PIN, a Ty b臋dziesz przekonany, 偶e widzisz oficjaln膮 stron臋 swojego banku. Na tym polega podst臋p! 呕膮danie podania kodu PIN zosta艂o dodane przez ZeuSa, prawdziwy kod strony banku nie zawiera takiego 偶膮dana i nie m贸g艂by. Po wprowadzeniu kod zostanie przechwycony przez trojana i wys艂any szkodliwemu u偶ytkownikowi, kt贸ry go kontroluje.
- Podczas rejestrowania si臋 na niekt贸rych stronach internetowych tworzony jest specjalny podpis cyfrowy, kt贸ry jest sprawdzany przy ka偶dej kolejnej wizycie na stronie. Je偶eli Twoja przegl膮darka nie dostarczy stronie poprawnego certyfikatu, nie b臋dziesz mia艂 do niej pe艂nego dost臋pu. Je偶eli komputer zostanie zainfekowany ZeuSem, trojan odnajdzie te certyfikaty bezpiecze艅stwa, ukradnie je i wy艣le szkodliwemu u偶ytkownikowi.
- Je偶eli szkodliwy u偶ytkownik b臋dzie chcia艂, aby Tw贸j komputer wykonywa艂 nielegalne dzia艂ania (takie jak wysy艂anie spamu), ZeuS pozwoli mu zainstalowa膰 oprogramowanie, jakiego potrzebuje do tego celu.
Je偶eli Tw贸j komputer zostanie zainfekowany przez ZeuSa, a Ty trzymasz na nim co艣, co warto ukra艣膰, cyberprzest臋pca na pewno to ukradnie. Nawet je艣li nie posiadasz nic, co mo偶e skusi膰 cyberprzest臋pc臋, istnieje szansa, 偶e i tak Ci nie odpu艣ci - Tw贸j komputer mo偶e zosta膰 wykorzystany do cel贸w cyberprzest臋pczych.
Kontrolowane przez szkodliwego u偶ytkownika zainfekowane komputery s膮 wykorzystywane do budowy botnetu, zwanego r贸wnie偶 sieci膮 zombie. Szkodliwy u偶ytkownik kontroluje zainfekowane komputery, kt贸re tworz膮 sie膰, jak lalkarz swoje kukie艂ki. U偶ytkownicy zwykle w og贸lne nie podejrzewaj膮, 偶e ich komputery wysy艂aj膮 spam lub 偶e cyberprzest臋pca "porwa艂" ich po艂膮czenie internetowe, aby ukradkiem uzyska膰 dost臋p do sieci. U偶ytkownicy mog膮 miesi膮cami 偶y膰 w b艂ogiej nie艣wiadomo艣ci, podczas gdy ich komputery s膮 pionkami w rozgrywkach cyberprzest臋pc贸w.
Zmienny i szeroko rozpowszechniony
ZeuS jest bardzo skuteczn膮 metod膮 gromadzenia danych i tworzenia botnet贸w, kt贸re cyberprzest臋pcy mog膮 wykorzystywa膰 na wiele r贸偶nych sposob贸w do realizowania swoich cel贸w. Trojan ten mo偶e by膰 wykorzystywany na wiele sposob贸w, dzi臋ki czemu jest popularny w艣r贸d cyberprzest臋pc贸w.
Obecnie prawie ka偶dy, kto chce wyrz膮dzi膰 szkody w systemach innych u偶ytkownik贸w, mo偶e zdoby膰 kopi臋 trojana ZeuS. Plik konfiguracyjny mo偶na 艂atwo dostosowa膰 do indywidualnych potrzeb, a nast臋pnie zaszyfrowa膰 go przy u偶yciu specjalnej metody, tym samym ukrywaj膮c jego algorytm przed programami antywirusowymi. Podczas zakupu programu szkodliwi u偶ytkownicy mog膮 nawet zam贸wi膰 egzemplarz z dodatkowymi opcjami, kt贸re nie s膮 zawarte w podstawowym kodzie. Obecnie ZeuS posiada mocn膮 pozycj臋 na rynku szkodliwego oprogramowania.
Przyjrzyjmy si臋, jak zwi臋ksza艂a si臋 skala rozpowszechnienia tego trojana. Wykres poni偶ej pokazuje liczb臋 nowo wykrytych wariant贸w (pr贸bek) w poszczeg贸lnych miesi膮cach.
Liczba nowych wariant贸w ZeuSa w poszczeg贸lnych miesi膮cach (2007 - 2009)
Przed jesieni膮 2007 roku ZeuS by艂 rozprzestrzeniany tylko przez swojego tw贸rc臋. W po艂owie 2007 roku autor tego trojana zaprzesta艂 jego sprzeda偶y. Jednak hakerom w jaki艣 spos贸b uda艂o si臋 przechwyci膰 konstruktora ZeuSa.
Bardziej szczeg贸艂owe informacje na temat botnet贸w zawieraj膮 nast臋puj膮ce artyku艂y:
Przedsi臋biorczy cyberprzest臋pcy zacz臋li pracowa膰 nad modyfikacjami kodu i rozprzestrzenianiem nowych wersji trojana. Od pa藕dziernika 2007 roku liczba wariant贸w ZeuSa zacz臋艂a wzrasta膰, a w 2008 roku trojan ten posiada艂 ju偶 baz臋 sta艂ych klient贸w. Do wrze艣nia 2008 roku nie odnotowywano znacz膮cych zmian w jego aktywno艣ci, jedynie sta艂y nap艂yw oko艂o pi臋ciuset nowych wariant贸w ZeuSa miesi臋cznie.
Znacz膮cy wzrost rozpowszechnienia ZeuSa nast膮pi艂 pod koniec 2008 roku i by艂 艣ci艣le zwi膮zany z globalnym kryzysem gospodarczym. W tym czasie prac臋 straci艂o zar贸wno wielu programist贸w, jak i do艣wiadczonych u偶ytkownik贸w. W tych trudnych okoliczno艣ciach, jak mo偶na by艂o si臋 spodziewa膰, niekt贸rzy z nich przeszli na "ciemn膮 stron臋" i postanowili spr贸bowa膰 swoich si艂 w innym fachu - oszustwach internetowych. Do kogo si臋 zwr贸cili? Najprawdopodobniej do sprzedawc贸w ZeuSa, programu, kt贸ry posiada艂 ju偶 ugruntowan膮 pozycj臋.
Rekordowa liczba wariant贸w (5 079) ZeuSa zosta艂a odnotowana w maju 2009 roku. Wyobra藕cie sobie tylko - ponad 5 000 wersji jednego trojana miesi臋cznie! Trojan ten uzyska艂 status "bestsellera" w艣r贸d szkodliwych program贸w. Poniewa偶 metody, kt贸re mog艂y zosta膰 wykorzystane do szyfrowania kodu tego programu, sta艂y si臋 wi臋kszo艣ci powszechnie znane, systemy antywirusowe potrafi艂y rozpoznawa膰 je i automatycznie dodawa膰 do antywirusowych baz danych.
Jednak tw贸rcy wirus贸w nieustannie aktualizuj膮 algorytmy szyfrowania, utrudniaj膮c analiz臋 takich program贸w. Na pocz膮tku 2009 roku tw贸rcy wirus贸w zauwa偶yli zwi臋kszone zapotrzebowanie na ZeuSa i postanowili dokona膰 znacz膮cych zmian w pierwotnej wersji trojana. W szczeg贸lno艣ci, obejmowa艂y one ulepszanie algorytmu szyfrowania, kodu programu i pliku konfiguracyjnego.
ZeuS regularnie zmienia sw贸j wygl膮d. Po zainfekowaniu systemu aktualizuje si臋 przy u偶yciu r贸偶nych adres贸w internetowych. Dlatego je偶eli komputery u偶ytkownik贸w pobior膮 nowe warianty tego trojana, antidotum na wcze艣niejsze warianty nie zadzia艂a. W tym przypadku kluczowe znaczenie ma szybki czas reakcji, dlatego analitycy wirus贸w musz膮 by膰 czujni dzie艅 i noc. Je偶eli pojawi si臋 nowy algorytm, a system nie posiada odpowiednich narz臋dzi, aby sobie z nim poradzi膰, analitycy musz膮 natychmiast zareagowa膰, zapewniaj膮c odpowiedni膮 ochron臋 przed takim wariantem.
Od momentu pojawienia si臋 pierwszej wersji ZeuSa odnotowali艣my ponad 40 000 wariant贸w tego trojana. Pod wzgl臋dem liczby wersji i liczby r贸偶nych adres贸w (cz臋sto zwanych "centrami kontroli"), pod kt贸rymi przechowywane s膮 dane szkodliwych u偶ytkownik贸w i z kt贸rych wysy艂ane s膮 polecenia maszynom zombie, ZeuS jest z pewno艣ci膮 jednym z najpopularniejszych istniej膮cych szkodliwych program贸w.
Skala infekcji
Aby mie膰 og贸lne poj臋cie skali rozprzestrzenienia ZeuSa, przyjrzyjmy si臋 kilku faktom dotycz膮cym liczby komputer贸w zainfekowanych tym trojanem, kontrolowanych przez szkodliwych u偶ytkownik贸w.
W 2009 roku w Stanach Zjednoczonych opublikowano raport dotycz膮cy wykrycia 3,6 miliona komputer贸w zainfekowanych ZeuSem w tym kraju. Naturalnie, jest to liczba przybli偶ona - w rzeczywisto艣ci mo偶e by膰 znacznie wy偶sza. Jednak oszacowanie rzeczywistej liczby zainfekowanych komputer贸w jest prawie niemo偶liwe, zw艂aszcza 偶e u偶ytkownicy indywidualni cz臋sto nie s膮 艣wiadomi, 偶e ich komputery zosta艂y przechwycone przez trojana.
Na pocz膮tku 2009 roku wydarzy艂o si臋 co艣 dziwnego: oko艂o 100 000 komputer贸w nagle przesta艂o si臋 uruchamia膰 - wszystkie mniej wi臋cej w tym samym czasie. Sta艂o si臋 jasne, 偶e komputery te zosta艂y przej臋te w celu stworzenia botnetu ZeuSa, a z centrum kontroli wys艂ano polecenie uszkodzenia systemu operacyjnego u偶ytkownika (tak, ZeuS jest zdolny r贸wnie偶 do tego...). Analitycy pr贸bowali dociec, dlaczego tak si臋 sta艂o, i zaproponowali dwa mo偶liwe wyja艣nienia: (1) haker w艂ama艂 si臋 do centrum kontroli botnetu i wys艂a艂 polecenie do zainfekowanych komputer贸w, aby spowodowa膰 problemy "w艂a艣cicielom" botnetu lub (2) w艂a艣ciciele botnetu sami wys艂ali to polecenie, po tym jak uzyskali potrzebne informacje. Drugie wyja艣nienie oznacza艂oby, 偶e szkodliwy u偶ytkownik planowa艂 wykorzysta膰 ten dodatkowy czas, jaki uzyska艂, aby wyci膮gn膮膰 艣rodki z kont ofiar przy u偶yciu skradzionych danych, w czasie gdy ofiary pr贸bowa艂yby przywr贸ci膰 swoje systemy do dzia艂ania. Jednak偶e pierwszy scenariusz jest bardziej prawdopodobny. Dlaczego? Mniej wi臋cej w tym czasie w艂a艣ciciel botneta ZeuSa pojawi艂 si臋 na jednym z for贸w hakerskich, prosz膮c o rad臋 dotycz膮c膮 ochrony botneta przed nieautoryzowanym dost臋pem. Wyja艣ni艂, 偶e straci艂 kontrol臋 nad swoj膮 sieci膮 z艂o偶on膮 z setek tysi臋cy zainfekowanych maszyn po tym, jak inny haker w艂ama艂 si臋 do centrum kontroli jego botnetu (tego rodzaju incydenty s膮 powszechne w kr臋gach haker贸w). Zaskakuj膮ce jest to, 偶e cyberprzest臋pca nie wydawa艂 si臋 bardzo zaniepokojony utrat膮 setki tysi臋cy komputer贸w znajduj膮cych si臋 pod jego kontrol膮, poniewa偶 szybko stworzy艂 dwa nowe botnety: jeden sk艂ada艂 si臋 z 30 000, a drugi - oko艂o 3 000 zainfekowanych maszyn.
Ostatnio wykryty du偶y botnet ZeuSa nazywa si臋 Kneber. W lutym 2010 roku NetWitness, firma zajmuj膮ca si臋 bezpiecze艅stwem korporacyjnym z siedzib膮 w Stanach Zjednoczonych, poinformowa艂a o wykryciu komputer贸w zainfekowanych ZeuSem w 2 500 organizacjach w 196 pa艅stwach na ca艂ym 艣wiecie. W sumie wykryto 76 000 zainfekowanych komputer贸w. Wszystkie z nich by艂y po艂膮czone z adresami internetowymi zarejestrowanymi na jedn膮 osob臋: Hilary Kneber. Oczywi艣cie jest to jedynie pseudonim.
To by艂 zaledwie wierzcho艂ek g贸ry lodowej. Odizolowane incydenty zwi膮zane z wykryciem botnetu zwi臋kszy艂y szacowane liczby przypadk贸w tak zwanej infekcji ZeuSbotem do milion贸w.
Preferowane domeny
Ka偶dy plik konfiguracyjny ZeuSa wskazuje adres internetowy, z kt贸rego korzysta trojan na komputerze ofiary. Jak tylko u偶ytkownik odwiedzi stron臋 internetow膮 zapisan膮 w pliku konfiguracyjnym i wprowadzi swoje dane, ZeuS przechwyci je i prze艣le szkodliwemu u偶ytkownikowi.
Eksperci z Kaspersky Lab przeanalizowali oko艂o trzech tysi臋cy plik贸w konfiguracyjnych ZeuSa i zauwa偶yli schemat w adresach internetowych.
Adresy podzielono wed艂ug domen, aby zidentyfikowa膰 najcz臋艣ciej wykorzystywane rodzaje domen najwy偶szego poziomu:
Domeny najwy偶szego poziomu najcz臋艣ciej atakowane przez ZeuSa
Najcz臋艣ciej atakowanymi domenami s膮 naturalnie domeny mi臋dzynarodowe .org oraz .com, kt贸rych w艂a艣cicielami s膮 g艂贸wnie organizacje i du偶e firmy.
Jakie rodzaje witryn internetowych .com atakuje ZeuS w szczeg贸lno艣ci? Z kt贸rych stron trojan pr贸buje przechwytywa膰 informacje osobiste wprowadzane za po艣rednictwem zainfekowanych komputer贸w? W艣r贸d stron mi臋dzynarodowych mo偶na wy艂oni膰 czternastu lider贸w:
Domeny .com najcz臋艣ciej atakowane przez ZeuSa
Zaledwie trzy z jedenastu najpopularniejszych zasob贸w szkodliwych u偶ytkownik贸w w domenie .com nie s膮 bezpo艣rednio zwi膮zane z bankami - s膮 to komercyjne serwisy internetowe. Paypal.com 艂膮czy wirtualne pieni膮dze wykorzystywane w transakcjach online z pieni臋dzmi ze 艣wiata realnego w postaci kart kredytowych i debetowych. Podobnie jak PayPal, E-gold.com pozwala u偶ytkownikom stworzy膰 konto z jednostkami wirtualnych pieni臋dzy, kt贸re mog膮 by膰 wykorzystywane w Sieci do dokonywania p艂atno艣ci finansowych, i wi膮偶e je z cen膮 z艂ota i innych cennych metali. eBay.com to bardzo popularny internetowy serwis aukcyjny, kt贸ry r贸wnie偶 wykorzystuje konta online, poprzez kt贸re u偶ytkownicy mog膮 wystawi膰 swoje przedmioty na aukcji. Pozosta艂e zasoby to strony internetowe bank贸w transkontynentalnych oferuj膮cych us艂ugi bankowo艣ci internetowej (mo偶liwo艣膰 zarz膮dzania kontem bankowym online) oraz/lub inne.
Domeny krajowe najcz臋艣ciej wykorzystywane przez szkodliwych u偶ytkownik贸w s膮 zarejestrowane przez Hiszpani臋 i Wielk膮 Brytani臋. Pa艅stw te przyci膮gaj膮 uwag臋 szkodliwych u偶ytkownik贸w, poniewa偶 posiadaj膮 najwi臋cej stron internetowych oferuj膮cych us艂ugi zarz膮dzania finansami online. Ka偶de z tych pa艅stw posiada oko艂o 20 bankowych witryn internetowych odwiedzanych przez mniej wi臋cej tak膮 sam膮 liczb臋 os贸b, podczas gdy w innych krajach dzia艂a zaledwie garstka tego typu stron internetowych zarejestrowanych w domenach krajowych.
Nie oznacza to jednak, 偶e w Hiszpanii i Wielkiej Brytanii znajduje si臋 najwi臋cej cyberprzest臋pc贸w. Powszechnie wiadomo, 偶e oszu艣ci internetowi wol膮 okrada膰 obywateli i organizacje z innych kraj贸w, poniewa偶 organy 艣cigania pa艅stwa, w kt贸rym mia艂a miejsce kradzie偶, napotkaj膮 problemy prawne, gdy b臋d膮 pr贸bowa艂y poci膮gn膮膰 do odpowiedzialno艣ci szkodliwego u偶ytkownika mieszkaj膮cego w innym kraju.
Miejsca problematyczne
Opr贸cz atakowanych adres贸w URL zebrali艣my r贸wnie偶 dane statystyczne dotycz膮ce adres贸w internetowych, stanowi膮cych 藕r贸d艂a infekcji trojanem oraz drogi, jak膮 przebywaj膮 skradzione informacje. Po przeanalizowaniu danych stworzyli艣my map臋 lokalizacji serwer贸w wykorzystywanych do szkodliwych cel贸w.
Mapa lokalizacji serwer贸w ZeuSa
Jak wida膰, adresy zainfekowanych stron s膮 rozsiane po ca艂ym 艣wiecie. Cz臋艣ciej jednak szkodliwi u偶ytkownicy wykorzystuj膮 serwery dostawc贸w europejskich, p贸艂nocnoameryka艅skich, rosyjskich i chi艅skich. Nietrudno zgadn膮膰, dlaczego - wszystkie te pa艅stwa maj膮 jedn膮 cech臋 wsp贸ln膮: dobrze rozwini臋te us艂ugi hostingowe.
Regiony o najwi臋kszym skoncentrowaniu centr贸w kontroli ZeuSa
Cz臋sto nie mo偶na ustali膰 lokalizacji okre艣lonego szkodliwego u偶ytkownika, zwykle jednak nie jest to informacja krytyczna. Poj臋cie "tw贸rca wirus贸w" nie uwzgl臋dnia granic ani r贸偶nic narodowych. Mo偶e oznacza膰 osob臋 ze Szwecji, Chin lub Argentyny siedz膮c膮 w kawiarni gdzie艣 w Honolulu, kt贸ra zarejestrowa艂a stron臋 internetow膮 w domenie .ru (na przyk艂ad microsoftwindowsxp.ru), w rzeczywisto艣ci utrzymywan膮 na serwerze w艂oskiego dostawcy.
Sposoby ochrony
Poni偶ej zostan膮 om贸wione najprostsze sposoby ochrony komputera przed trojanem ZeuS? Jak si臋 oka偶e, nie r贸偶ni膮 si臋 od standardowych "zasad higieny internetowej".
Nigdy nie nale偶y klika膰 nieznanego odsy艂acza w wiadomo艣ciach, w kt贸rych obce osoby namawiaj膮 nas do zrobienia czego艣. Odsy艂acze prowadz膮ce do szkodliwych program贸w s膮 zamieszczane w wiadomo艣ciach wysy艂anych za po艣rednictwem poczty elektronicznej i komunikator贸w internetowych. Szkodliwi u偶ytkownicy opanowali podstawy wiedzy o psychice ludzkiej i potrafi膮 wykorzysta膰 s艂abo艣膰 lub naiwno艣膰 u偶ytkownik贸w, aby zwabi膰 ich na swoje zainfekowane strony. Bardzo cz臋sto spotykamy adresy internetowe, kt贸re przypominaj膮 adresy znanych, legalnych stron, w kt贸rych zmieniono kilka liter, np. hxxp://www.vkontkate.ru. Ostatnio taktyka ta by艂a do艣膰 cz臋sto wykorzystywana. B膮d藕 ostro偶ny - nie daj si臋 z艂apa膰 na takie sztuczki!
Wiadomo艣ci mog膮 zawiera膰 neutralny tekst - taki, kt贸ry m贸g艂by zosta膰 wys艂any przez znajomego: "Cze艣膰! Jak si臋 uda艂 wyjazd weekendowy? Musisz to zobaczy膰! Sprawd藕, nie uwierzysz: http://rss.lenta-news.ru/xxxxxx/vesti.exe". Zwr贸膰 uwag臋 na rozszerzenie pliku .exe na ko艅cu - wskazuje ono na plik wykonywalny systemu Windows. Jednak odsy艂acz nie zaprowadzi ci臋 na stron臋 serwisu informacyjnego, jak mo偶na by s膮dzi膰 na pierwszy rzut oka. Zamiast tego zostaniesz skierowany na zainfekowan膮 stron臋. Trzeba jednak pami臋ta膰, 偶e pliki wykonywalne nie s膮 jedynymi rodzajami plik贸w, jakie stanowi膮 zagro偶enie - dokumenty w formacie .pdf (Adobe Reader), .ppt (Microsoft Power Point), .swf (Adobe Flash) oraz innych r贸wnie偶 mog膮 zawiera膰 szkodliwy program. Dokumenty te posiadaj膮 do艣膰 z艂o偶on膮 struktur臋, a podczas uruchamiania wymagaj膮 zaawansowanych oblicze艅. Co wi臋cej, programi艣ci udost臋pnili mechanizm, poprzez kt贸ry mo偶na dodawa膰 kod programu (na przyk艂ad javascript). Dane wybrane przez szkodliwego u偶ytkownika w takich dokumentach mog膮 spowodowa膰 b艂膮d w programie wykorzystywanym do otwierania tych format贸w, co pozwala na uruchomienie szkodliwego kodu na maszynie ofiary. Je偶eli na maszynie jest zainstalowany program antywirusowy z najnowszymi bazami szkodliwego oprogramowania, a u偶ytkownik regularnie aktualizuje swoje oprogramowanie, posiada do艣膰 dobr膮 ochron臋: istnieje niewielkie ryzyko, 偶e jakie艣 program lub dokument zostanie zidentyfikowany jako szkodliwy i jego uruchomienie zostanie zablokowane; lub programi艣ci zidentyfikuj膮 luk臋 i opracuj膮 艂at臋, kt贸ra zostanie dostarczona na czas.
W wiadomo艣ciach e-mail, dokumentach programu MS Word oraz podobnych, jak r贸wnie偶 na stronach internetowych, prawdziwy adres w odsy艂aczu mo偶e by膰 ukryty. Widoczny b臋dzie jedynie opis odsy艂acza, kt贸ry mo偶e zawiera膰 wszystko, co wed艂ug autora mo偶e zwr贸ci膰 uwag臋 potencjalnych ofiar. W takich przypadkach prawdziwy adres (nawet on mo偶e by膰 sfa艂szowany) zwykle pojawia si臋 w dymku wy艣wietlanym po najechaniu kursorem myszki na odsy艂acz lub w dolnej cz臋艣ci okna przegl膮darki. Je偶eli adres nie zostanie od razu wy艣wietlony w 偶adnym z tych miejsc, nale偶y przejrze膰 w艂a艣ciwo艣ci odsy艂acza. Je偶eli nie jeste艣 pewien, dok膮d prowadzi odsy艂acz, najlepiej nie r贸b nic - nie klikaj go!
Czy jeste艣 zadowolony ze swojego systemu operacyjnego? Zapami臋tuje dla Ciebie mn贸stwo rzeczy, pomaga Ci wykona膰 wiele czynno艣ci i zapewnia szybki dost臋p do danych bez bombardowania Ci臋 pro艣bami o potwierdzenie czynno艣ci lub proszenia o podanie has艂a za ka偶dym razem, gdy chcesz co艣 zrobi膰. Czujesz si臋 swobodnie pracuj膮c na swoim systemie i u偶ywaj膮c obs艂ugiwanych przez niego program贸w. Je偶eli jednak jeden z tych program贸w jest szkodliwy, Twoje poczucie bezpiecze艅stwa mo偶e okaza膰 si臋 zgubne. Cyberprzest臋pca ma r贸wnie 艂atwy dost臋p do Twoich danych co Ty. Na przyk艂ad, wszystko, co "wie" Twoja przegl膮darka, mo偶e "zobaczy膰" szkodliwy program. Niestety, im bardziej system jest przyjazny dla u偶ytkownika, tym 艂atwiej mo偶e zosta膰 wykorzystany przez cyberprzest臋pc臋. U偶ytkownikom zaleca si臋 nie wykorzystywa膰 funkcji zapami臋tywania hase艂 w przegl膮darkach internetowych.
Zalecamy r贸wnie偶 wy艂膮czenie w przegl膮darce opcji uruchamiania kodu Javascript lub innych program贸w lub plik贸w w oknie iframe/frame. Naturalnie ogranicza to mo偶liwo艣ci przegl膮dania. Musisz jednak dokona膰 wyboru: wygoda i wygl膮d czy bezpiecze艅stwo? Dobrym rozwi膮zaniem jest r贸wnie偶 wy艂膮czenie opcji obs艂ugi kodu Javascript w programie Adobe Reader, kt贸ry umo偶liwia przegl膮danie plik贸w .pdf. W ko艅cu zawsze mo偶esz ponownie w艂膮czy膰 te opcje dla zaufanych stron internetowych i dokument贸w.
Obecnie istniej膮 dwie g艂贸wne metody zapewniaj膮ce do艣膰 skuteczn膮 ochron臋 p艂atno艣ci online. Pierwsza, opr贸cz podania loginu i has艂a, wymaga potwierdzenia transakcji telefonicznie. Utrudnia to pr贸by uzyskania dost臋pu do cudzych pieni臋dzy. Opr贸cz Twojego loginu i has艂a szkodliwy u偶ytkownik musia艂by zdoby膰 r贸wnie偶 Tw贸j telefon, co raczej trudno zrealizowa膰 za po艣rednictwem Internetu (lub musia艂by stworzy膰 kopi臋 Twojej karty SIM, co brzmi jak scena wyj臋ta z filmu szpiegowskiego). Mo偶e wydawa膰 si臋 to dziwne, jednak wi臋kszo艣膰 serwis贸w nie korzysta z tej stosunkowo prostej metody potwierdzania. Druga metoda jest wykorzystywana g艂贸wnie przez banki i polega na tym, 偶e instytucje te wydaj膮 u偶ytkownikowi (tj. swojemu klientowi) klucz sprz臋towy (urz膮dzenie USB), kt贸ry jest podpinany do komputera i stosowany do potwierdzania, 偶e osob膮, kt贸ra pr贸buje uzyska膰 dost臋p do konta bankowego jest sam klient. Trzeba jednak pami臋ta膰, 偶e wszystkie takie klucze sprz臋towe s膮 takie same. Szkodliwi u偶ytkownicy ju偶 udowodnili, 偶e potrafi膮 艂ama膰 systemy bezpiecze艅stwa oparte na urz膮dzeniach USB.
呕yczymy Wam przyjemnego surfowania! W pe艂ni wykorzystujcie mo偶liwo艣ci technologiczne, jakie oferuje Internet. Uwa偶ajcie i kierujcie si臋 zdrowym rozs膮dkiem, jak wtedy, gdy poruszacie si臋 na drodze.
殴r贸d艂o:![]() |