"Drive-by download" - w poszukiwaniu remedium

Marta Janus
Analityk zagro偶e艅, Kaspersky Lab Polska
Cz艂onek GReAT (Global Research and Analysis Team)

 

Skutecznie, znaczy przez przegl膮dark臋!

Metoda "Drive-by download" jest w dzisiejszych czasach jedn膮 z najcz臋stszych metod infekcji systemu. W wielkim skr贸cie polega ona na tym, 偶e do kodu strony znajduj膮cej si臋 na serwerze wstrzykiwany jest z艂o艣liwy skrypt zawieraj膮cy odno艣nik do witryny serwuj膮cej szkodliwe oprogramowanie. Po wej艣ciu na podobnie zmodyfikowan膮 stron臋 nast臋puje niewidoczne dla u偶ytkownika przekierowanie do szkodliwego adresu, uruchomienie exploita, a nast臋pnie pobranie i instalacja szkodliwego oprogramowania na komputerze ofiary.

Co sprawi艂o, 偶e ten spos贸b rozprzestrzeniania sta艂 si臋 tak popularny i ch臋tnie wykorzystywany przez wsp贸艂czesne zagro偶enia? Przede wszystkim jego prostota dzia艂ania, a zarazem niesamowita skuteczno艣膰, na kt贸r膮 sk艂adaj膮 si臋 liczne czynniki. Spr贸bujmy wymieni膰 te najwa偶niejsze:

  1. Internet jako medium - skuteczno艣ci tego czynnika nie trzeba chyba t艂umaczy膰. Daje on pewno艣膰 jak najszerszego grona odbiorc贸w;
  2. Wykorzystanie istniej膮cych witryn internetowych - tym razem tw贸rcy malware'u nie musz膮 trudzi膰 si臋 i tworzy膰 w艂asnych portali, a nast臋pnie stara膰 si臋 nak艂oni膰 u偶ytkownika do odwiedzenia zainfekowanej strony. Jak偶e wygodny dla nich jest fakt, 偶e ka偶dy u偶ytkownik Internetu surfuje po Sieci niemal codziennie!
  3. Wykorzystanie zaufania - jeden z kluczowych czynnik贸w determinuj膮cych skuteczno艣膰. Czemu bowiem mieliby艣my nie ufa膰 znanym portalom internetowym, czy te偶 witrynom naszych znajomych, kt贸re odwiedzamy cz臋sto, a kt贸re nigdy dot膮d nie stanowi艂y zagro偶enia?
  4. Nieprzewidywalno艣膰 - nie spos贸b jest zmniejszy膰 ryzyko infekcji, ograniczaj膮c ilo艣膰 odwiedzanych stron, nie da si臋 bowiem przewidzie膰, kt贸ra witryna mo偶e zosta膰 zainfekowana i kiedy;
  5. "Przezroczysto艣膰" infekcji - ca艂y proces infekcji zachodzi bez udzia艂u u偶ytkownika i poza zasi臋giem jego wzroku: nie ma konieczno艣ci klikni臋cia odno艣nika, wyra偶enia zgody na instalacj臋 czy potwierdzenia komunikatu; szkodliwa witryna otwiera si臋 w niewidocznej ramce, nie ma wi臋c nawet 偶adnych symptom贸w wskazuj膮cych na to, 偶e dzieje si臋 co艣 niepokoj膮cego;

Inn膮 interesuj膮c膮 cech膮 metody "drive-by download" s膮 dwa wektory ataku. W przypadku "tradycyjnych" sposob贸w infekcji, atak jest ukierunkowany w jedn膮 stron臋: jego cz膮stkowym celem jest u偶ytkownik ko艅cowy - pojedynczy komputer, zazwyczaj podpi臋ty do Sieci. Tutaj natomiast, opr贸cz zwyk艂ych stacji roboczych, ofiar膮 ataku padaj膮 r贸wnie偶 serwery WWW. Je艣li u偶ytkownik zainfekowany sposobem "drive-by download" posiada dost臋p do jakichkolwiek kont FTP, szkodliwe oprogramowanie na jego komputerze przechwytuje dane do logowania, a nast臋pnie loguje si臋 na serwerze i rozpoczyna infekowanie znajduj膮cych si臋 tam plik贸w HTML i PHP. Przywr贸cenie starych wersji plik贸w niestety nie pomo偶e: b臋d膮 one modyfikowane na nowo, dop贸ki wirus nie zostanie usuni臋ty z zainfekowanego komputera. Rodzi si臋 taki schemat, w kt贸rym zainfekowane strony internetowe infekuj膮 komputery odwiedzaj膮cych je u偶ytkownik贸w, zainfekowane komputery u偶ytkownik贸w natomiast dbaj膮 o to, aby zarazi膰 jak najwi臋ksz膮 ilo艣膰 stron internetowych.

Dodajmy wi臋c jeszcze jeden punkt do naszej listy:

  1. Dwutorowo艣膰 ataku - zapewnia wi臋ksz膮 skuteczno艣膰 i szybko艣膰 rozprzestrzeniania si臋 zagro偶enia.

Panaceum na "drive-by"?

Jak wynika z powy偶szych punkt贸w, "drive-by download" okazuje si臋 by膰 metod膮 innowacyjn膮, skuteczn膮 i relatywnie prost膮 w implementacji. Nie nale偶y si臋 wi臋c spodziewa膰, 偶e straci ona na popularno艣ci - przynajmniej nie w ci膮gu najbli偶szych paru lat. Nie oznacza to jednak, 偶e powinni艣my si臋 podda膰 i z pokor膮 przyjmowa膰 to, co nam funduj膮 cyberprzest臋pcy. Nie mo偶emy ca艂kowicie zatrzyma膰 propagacji szkodliwego oprogramowania, mo偶emy jednak stara膰 si臋 zmniejszy膰 jego zasi臋g, ograniczy膰 skutki i utrudni膰 rozw贸j. Im wy偶ej b臋dziemy stawia膰 poprzeczk臋, tym bardziej b臋dziemy bezpieczni.

Praca u podstaw

Nie艂atwo jest znale藕膰 skuteczne rozwi膮zanie, ograniczaj膮ce ilo艣膰 infekcji, do kt贸rych dochodzi drog膮 "drive-by download". Najwi臋kszy ci臋偶ar jest tu po艂o偶ony na pojedyncze komputery w sieci, poniewa偶 to one s膮 odpowiedzialne za szerzenie infekcji. 殴le b膮d藕 wcale niechronionych komputer贸w jest wci膮偶 bardzo wiele i niestety nie zanosi si臋 na to, 偶eby mia艂o si臋 to zmieni膰 samo z siebie - chocia偶by dlatego, 偶e wielu u偶ytkownik贸w po prostu nie dba o bezpiecze艅stwo, a przecie偶 nie spos贸b ich do tego zmusi膰.

Kluczem do "zwyk艂ego" u偶ytkownika jest edukacja, ale edukacja aktywna, w kt贸r膮 sam m贸g艂by si臋 zaanga偶owa膰, w przeciwie艅stwie do pasywnego przegl膮dania artyku艂贸w w Internecie. Edukacja taka powinna si臋 rozpoczyna膰 si臋 w najni偶szym mo偶liwym przedziale wiekowym, czyli w wieku szkolnym lub przedszkolnym. W dzisiejszych czasach komputer trafia w r臋ce dziecka bardzo wcze艣nie - cz臋sto towarzyszy on nawet pierwszym pr贸bom czytania i pisania. Chyba nie b臋dzie wi臋c przesad膮 stwierdzenie, 偶e stanowi on istotny element wychowania i rozwoju m艂odego cz艂owieka. W tym 艣wietle edukacja zwi膮zana z odpowiednim u偶ywaniem komputera i zasob贸w Internetu wydaje si臋 wr臋cz nieodzowna, a zasady bezpiecznego korzystania z Sieci powinny sta膰 si臋 jej integraln膮 cz臋艣ci膮. Program takiego nauczania powinien by膰 nowoczesny i elastyczny, a zaj臋cia prowadzone w spos贸b interaktywny i atrakcyjny dla okre艣lonej grupy wiekowej. M艂odzi ludzie przyjmuj膮 wiedz臋 spontanicznie, a stosownie wpojone zachowania przechodz膮 z czasem w dobre nawyki. Ponadto, szkolenia z podstaw bezpiecze艅stwa komputerowego powinny by膰 przeprowadzane w ka偶dej firmie, w kt贸rej pracownicy na co dzie艅 korzystaj膮 z komputer贸w. Dobrym pomys艂em by艂aby r贸wnie偶 organizacja specjalnych kurs贸w dla senior贸w.

Odpowiednio przeprowadzona edukacja skutkowa膰 b臋dzie bardziej 艣wiadomym spo艂ecze艅stwem oraz, co za tym idzie, bezpieczniejszym Internetem.

Zbiorowa odpowiedzialno艣膰

To jednak s膮 plany d艂ugoterminowe, a z zagro偶eniem musimy si臋 zmaga膰 na co dzie艅. Co zrobi膰, aby zmniejszy膰 ilo艣膰 infekcji ju偶 dzi艣, b膮d藕 w niedalekiej przysz艂o艣ci? Sprawa jest o tyle powa偶na, 偶e - jak w przypadku wi臋kszo艣ci samorozprzestrzeniaj膮cych si臋 zagro偶e艅 - nie chodzi tu tylko o infekcj臋 naszego komputera, ale r贸wnie偶 o szerzenie zagro偶enia dalej. Im lepiej b臋dziemy dba膰 o w艂asne bezpiecze艅stwo, tym bezpieczniejszy b臋dzie Internet.

Jak wi臋c powinni艣my si臋 broni膰? C贸偶, potencjaln膮 ofiar膮 mo偶e pa艣膰 ka偶dy Internauta i ka偶da strona - na to nie ma regu艂y. Przede wszystkim nale偶y si臋 stosowa膰 do og贸lnie przyj臋tych zasad bezpiecze艅stwa, tak cz臋sto dzi艣 wspominanych: aktualne wersje oprogramowania, aktualny system operacyjny, dobrze skonfigurowana zapora sieciowa oraz ochrona antywirusowa z modu艂em heurystycznym b臋d膮 tutaj niekwestionowan膮 podstaw膮. Na pewno dobrym, acz nieco drastycznym pomys艂em b臋dzie te偶 wy艂膮czenie obs艂ugi Javascriptu w przegl膮darce internetowej, jednak nie ochroni to przed wszystkimi atakami typu "drive-by download", na przyk艂ad przed wstrzykni臋ciem ramki iframe w "czystym" HTML. W艂a艣ciciele stron internetowych tym bardziej powinni dba膰 o bezpiecze艅stwo swoich maszyn, k艂ad膮c szczeg贸lny nacisk na silne has艂a do kont FTP i skanowanie plik贸w przed umieszczeniem ich na serwerze.

Dzia艂ajmy dwutorowo!

Cyberprzest臋pcy atakuj膮 z dw贸ch stron, co zapewnia im du偶o wi臋ksz膮 skuteczno艣膰. Skuteczna obrona wymaga wi臋c podj臋cia dzia艂a艅 na obu frontach. Tak, jak zmniejszenie ilo艣ci zainfekowanych komputer贸w b臋dzie skutkowa膰 w mniejszej ilo艣ci zainfekowanych stron, tak i ograniczenie infekcji stron spowoduje spadek infekcji stacji roboczych. Czy istnieje spos贸b, jaki mog艂yby zastosowa膰 firmy hostingowe, aby zapobiec rozprzestrzenianiu si臋 szkodnik贸w w plikach przechowywanych na ich serwerach? Tradycyjne zabezpieczenia na serwerze WWW - cho膰 sk膮din膮d oczywi艣cie niezb臋dne - w tym wypadku nie maj膮 wi臋kszego wp艂ywu. Z punktu widzenia serwera nie jest tutaj przeprowadzany 偶aden atak: klient poprawnie loguje si臋 na swoje konto, a nast臋pnie wykonuje dzia艂ania, do kt贸rych ma uprawnienia.

Serwer nie jest w stanie rozr贸偶ni膰, czy zalogowany do niego u偶ytkownik jest wirusem czy nie, jednak ma mo偶liwo艣膰 oceny plik贸w wgrywanych na serwer. Ka偶dy plik uploadowany na serwer powinien by膰 skanowany pod k膮tem obecno艣ci szkodliwego kodu. Co prawda statyczne skanowanie plik贸w HTML i PHP nie jest na tyle skuteczne, by zablokowa膰 wi臋kszo艣膰 atak贸w, jednak zawsze jaki艣 procent szkodliwych stron by艂by w ten spos贸b odrzucany. Pomys艂 ten wydaje si臋 by膰 prosty i ma艂o oryginalny, mimo to nadal niewielu administrator贸w stosuje takie rozwi膮zanie na swoich serwerach. Problemem s膮 prawdopodobnie jego skutki uboczne - konieczno艣膰 przeskanowania ka偶dego pojedynczego pliku oznacza w sumie o wiele wy偶sze zu偶ycie zasob贸w serwera.

Skutecznie, znaczy drastycznie?

Gdyby ka偶dy u偶ytkownik Internetu sumiennie przestrzega艂 g艂贸wnych zasad bezpiecze艅stwa, stosuj膮c aktualizacje, oprogramowanie antywirusowe i odpowiednie wtyczki do przegl膮darki, ka偶dy posiadacz strony dba艂 o bezpiecze艅stwo swojego konta FTP, a ka偶da firma hostingowa stosowa艂a regularne skanowanie plik贸w wgrywanych na serwer, by膰 mo偶e uda艂oby si臋 zwalczy膰 - albo przynajmniej w du偶ym stopniu ograniczy膰 - ataki typu "drive-by download". Inne skuteczne metody, kt贸re w du偶ej mierze pomog艂yby wyeliminowa膰 problem, s膮 zbyt restrykcyjne lub zbyt niewygodne, aby pr贸bowa膰 ich implementacji, a im bardziej skuteczna metoda, tym wi臋ksze efekty uboczne. Ci臋偶ko raczej wyobrazi膰 sobie "bezpieczny" Internet, w kt贸rym zabronione jest automatyczne wgrywanie plik贸w na serwer, stosowanie znacznika iframe, zaciemnionych skrypt贸w Javascript, czy mo偶e nawet odno艣nik贸w do zewn臋trznych stron w og贸le... Jak zawsze jednak, trzeba znale藕膰 kompromis mi臋dzy bezpiecze艅stwem a wygod膮 u偶ytkowania. Wydaje mi si臋, 偶e kilka prostych zasad przedstawionych wcze艣niej w tym artykule zwi臋ksza bezpiecze艅stwo nie wp艂ywaj膮c bardzo niekorzystnie na swobod臋 korzystania z Internetu.

Strategiczne punkty walki z atakami typu "drive-by download"

  • Edukacja u偶ytkownik贸w, w tym zwr贸cenie uwagi na odpowiedzialno艣膰 zbiorow膮.
  • Szczeg贸lny nacisk na bezpiecze艅stwo komputer贸w, z kt贸rych wykonywane s膮 po艂膮czenia FTP.
  • Skanowanie plik贸w po stronie serwera przed umieszczeniem ich w docelowym folderze.
殴r贸d艂o:
Kaspersky Lab