W trzecim kwartale 2005 r. miało miejsce kilka istotnych wydarzeń, które z pewnością wywrą znaczący wpływ w nadchodzących miesiącach na branżę bezpieczeństwa informatycznego. Koniec lata jest tradycyjnie okresem wzmożonej aktywności wirusowej. Rok 2005 nie był wyjątkiem.

1. Krytyczna luka w Microsoft Windows Plug'n'Play
2. Sprzętowe rozwiązania antywirusowe i luka w Cisco IOS
3. Socjotechnika
4. Robaki komunikatorów internetowych (IM-Worms)
5. Złośliwe programy dla urządzeń przenośnych

Krytyczna luka w Microsoft Windows Plug'n'Play

W ostatnich analizach wielokrotnie wskazywaliśmy na zmianę wektorów ataków. W miejsce robaków sieciowych i pocztowych zaczynają pojawiać się wirusy, które do rozprzestrzeniania wykorzystują luki w aplikacjach sieciowych, głównie w przeglądarce Internet Explorer. Jednym z efektów jest wzrost liczby zaatakowanych stron. Na takich stronach umieszczane są exploity dla Internet Explorera, co oznacza, że odwiedzający je użytkownicy, zainstalują na swoich komputerach trojany.

Najlepszym przykładem tego rodzaju działań są ataki hakerów na południowokoreańskie portale z grami on-line. Na takich stronach umieszczane są zazwyczaj trojany szpiegujące, które kradną hasła do gier on-line "Legend of Mir" i "LineAge". Rosyjscy hakerzy wykazali się równie dużą aktywnością co ich zagraniczni koledzy; najczęściej umieszczanym przez nich trojanem jest LdPinch, o którym pisaliśmy już niejednokrotnie.

Zauważyliśmy, że ataki tego typu nasilają się w okresie, w którym nie są wykrywane żadne luki krytyczne w zabezpieczeniu systemu Windows. Nie dziwi wobec tego fakt wystąpienia wielu takich ataków w ostatnim czasie - należy pamiętać, że od zidentyfikowania dziury w zabezpieczeniu Windows LSASS minął ponad rok i od tego czasu znaczna liczba komputerów narażonych na ataki została "załatana".

Taki stan bezpieczeństwa nie mógł jednak utrzymać się długo. 9 sierpnia Microsoft ujawnił listę luk, dla których publikował łaty. Właśnie w tym czasie korporacja opublikowała łatę dla uznanej za krytyczną luki w zabezpieczeniu usługi Plug'n'Play (MS05-039). Jak zwykle nie trzeba było długo czekać na reakcję ze strony członków podziemia komputerowego, którzy próbowali zidentyfikować tę lukę i napisać kod wykorzystującego ją szkodnika. Lista zagrożonych systemów operacyjnych zawierała wszystkie bieżące wersje systemu MS Windows:

• Microsoft Windows 2000 (SP4);
• Microsoft Windows XP (SP1 lub SP2);
• Microsoft Windows XP Professional x64 Edition;
• Microsoft Windows Server 2003;
• Microsoft Windows Server 2003 (dla procesorów Itanium);
• Microsoft Windows Server 2003 x64 Edition.

Oznaczało to, że w przypadku powstania kodu skutecznie wykorzystującego lukę w usłudze PnP zagrożone byłyby setki milionów komputerów na całym świecie.

Już dzień po ogłoszeniu luki w zabezpieczeniu usługi Plug'n'Play rosyjski haker "houseofdabus" napisał kod typu "proof of concept" (demonstracja nowej technologii) wykorzystujący tę lukę. Działał on jednak tylko na komputerach pracujących pod kontrolą systemu operacyjnego Windows 2000. 12 sierpnia kod ten został umieszczony na wszystkich głównych stronach związanych z bezpieczeństwem, co doprowadziło do powstania ogromnej liczby złośliwych programów wykorzystujących omawianą lukę.

Warto zaznaczyć, że nie był to pierwszy raz, gdy "houseofdabus" podziałał jak katalizator epidemii wirusowej. Jego wirus typu "proof of concept" pomógł robakowi Sasser, odpowiedzialnemu za globalną epidemię w maju 2004 r., oraz wielu innym wykorzystać lukę w zabezpieczeniu LSASS. Przy okazji chcielibyśmy zwrócić uwagę na podobieństwo luk w usłudze Plug'n'Play oraz LSASS, Ukazują je poniższe zrzuty ekranu.

13 sierpnia wykryte zostały nowe warianty robaka Mytob (jest to stara rodzina robaków). Zastąpiono w nich po prostu exploita dla usługi LSASS odpowiednikiem dla usługi PnP. W ciągu kolejnych kilku dni wykryto szereg robaków i botów zawierających identyczny kod. Niektóre z nich trafiły na czołówki doniesień medialnych i spowodowały jeden z najbardziej nagłośnionych incydentów 2005 r. Przyczynił się do tego fakt, że zainfekowane tymi robakami zostały sieci jednych z głównych amerykańskich firm z przemysłu informacyjnego - łącznie z ABC i CNN. Nie ma sensu podawać tu szczegółów tego incydentu, gdyż informacje na ten temat są szeroko dostępne. Nie można tu jednak mówić o globalnej epidemii wywołanej przez jednego robaka na skalę porównywalną do tych spowodowanych przez robaki Sasser oraz LoveSan.

Luka w usłudze PnP uruchomiła szereg niewielkich zlokalizowanych epidemii wywołanych wieloma różnymi robakami i botami. Przyczyny tego są dość oczywiste. Po pierwsze, exploit nie działał na wszystkich platformach, a jedynie na komputerach z zainstalowanym systemem Windows 2000 z SP4. Twórcy wirusa wykorzystali gotowy kod nie zadając sobie trudu zbadania luki. Gdyby wirus typu "proof of concept" pochodzący od rosyjskiego hakera posiadał możliwości infekowania systemów XP oraz Windows 2003, epidemia byłaby z pewnością o wiele większa. Po drugie, duże znaczenie miało podobieństwo luk w zabezpieczeniu usługi PnP oraz LSASS. Podczas ataku na komputer luki te zachowują się w podobny sposób i wyświetlają identyczny komunikat o błędzie. Użytkownicy komputerów, które wcześniej zostały zainfekowane kodem wykorzystującym lukę w zabezpieczeniu usługi LSASS, wiedzieli już z doświadczenia, jak należy postąpić w takiej sytuacji i mogli samodzielnie rozwiązać problem, zanim jeszcze stał się poważny. Poza tym wcześniejsze epidemie przyczyniły się do wzrostu wiedzy technicznej użytkowników. Trudno byłoby teraz znaleźć osobę, która nie korzysta z rozwiązań antywirusowych lub zapór ogniowych. Jednak dwa lata temu nie było to tak powszechną praktyką.

Zarówno indywidualni użytkownicy, jak i duże przedsiębiorstwa udowodniły, że są przygotowani na publikację nowych luk w zabezpieczeniach systemu Windows oraz gotowi na niezwłoczne zainstalowanie łat. Tam, gdzie pojawiła się infekcja, szybko sobie z nią poradzono. Pozwala to sądzić, że prawdziwie globalne epidemie, które następowały po wykryciu nowych luk w systemie Windows i potrafiły sparaliżować całe segmenty Internetu, nie będą w przyszłości stanowiły tak wielkiego zagrożenia.

Interesującym wydarzeniem związanym z prezentowanym zagadnieniem było aresztowanie dwóch mężczyzn podejrzanych o udział w stworzeniu robaków z rodziny Mytob. Jak już wspomniano, Mytob był pierwszym robakiem wykorzystującym lukę w zabezpieczeniu usługi PnP (robaki z rodziny Mytob były również najpopularniejszymi szkodnikami w 2005 r.). 26 sierpnia Farid Essebar (Diabl0) i Atilla Ekici (Coder) zostali jednocześnie zatrzymani w Maroko i Turcji. Pierwszy z nich podejrzewany jest o stworzenie samego robaka. Drugi aresztowany miał być jego wspólnikiem, rozpowszechniać robaka i nadzorować kanały IRC, które wykorzystywane były do kontroli zainfekowanych komputerów. Śledztwo w tej sprawie jeszcze trwa, można jednak śmiało powiedzieć, że we wrześniu odnotowano znaczny spadek liczby nowych wariantów robaka Mytob.

Incydent ten pokazuje, że autorzy wirusów, które wyrządziły poważne szkody dużym firmom, są już ścigani przez policję i stawiani przed sądem.

Sprzętowe rozwiązania antywirusowe i luka w Cisco IOS

Luka w usłudze PnP, o której pisaliśmy wcześniej, potwierdziła opinię ekspertów w dziedzinie bezpieczeństwa IT, że jednym z najskuteczniejszych sposobów zapobiegania globalnym epidemiom jest rozwiązanie antywirusowe zintegrowane ze sprzętem sieciowym.

Jeśli rozwiązanie antywirusowe zostanie zintegrowane z routerem/switchem, będzie mogło wykryć w ruchu sieciowym ciało wirusa lub pakiety, które wysyłane są przy użyciu exploita. Po wykryciu pakiet taki może zostać przekierowany, tak aby nie dotarł do użytkownika końcowego.

Obecnie prawie wszyscy więksi producenci sprzętu sieciowego (Cisco, Juniper, SonicWall, Zyxel itd.) współpracują z firmami antywirusowymi oferując swoim klientom takie sprzętowe rozwiązania antywirusowe.

Nie ma wątpliwości, że tego rodzaju ochrona jest niezwykle skuteczna, aczkolwiek bardzo kosztowna. W rezultacie wielu specjalistów z dziedziny bezpieczeństwa IT skupiło swe wysiłki na potencjalnych zagrożeniach związanych z tym rodzajem rozwiązań. Prawdą jest, że atak na sprzęt sieciowy mógłby spowodować daleko poważniejsze problemy dla Internetu niż pojedynczy robak, który infekuje jedynie komputery działające pod kontrolą systemu Windows. Gdyby nastąpił taki atak, wszyscy użytkownicy sieci mogliby zostać pozbawieni dostępu do Internetu, niezależnie od używanego przez nich systemu operacyjnego.

Sprawę komplikuje jeszcze bardziej fakt, że w zeszłym roku doszło do wycieku fragmentów lub całego kodu źródłowego systemu operacyjnego IOS firmy Cisco. 13 maja 2004 r. został ujawniony cały kod źródłowy Cisco IOS w wersji 12.3 i 12.3t. W wyniku ataku na sieć międzynarodowej firmy przedostał się na zewnątrz zarchiwizowany plik o rozmiarze 800 MB.

System operacyjny Internetwork (IOS) wykorzystywany jest jako platforma programowa większości switchów i routerów Cisco. Poza tym dane sugerują, że Cisco posiada około 60% udziału w światowym rynku routerów.

Latem 2005 r. światem bezpieczeństwa IT wstrząsnęły wyniki badania przeprowadzonego przez Michaela Linna z ISS, znanej firmy z branży bezpieczeństwa informatycznego.

W kwietniu 2005 r. wykrył on krytyczną lukę w Cisco, która umożliwiła przeprowadzenie ataku DoS na urządzenie oraz wykonanie dowolnego kodu w systemie. Luka ta teoretycznie może zagrozić całej infrastrukturze Internetu. Informacja o niej została przesłana do Cisco, jednak po ponad trzech miesiącach luka wciąż nie została naprawiona.

ISS ocenił stopień potencjalnego niebezpieczeństwa na podstawie wiedzy o tym, że kod źródłowy IOS znajdował się już w rękach podziemia komputerowego. Zasadne było więc założenie, że jego członkowie wiedzieli już o lukach.

Firma ISS sama przyczyniła się do powstania niewielkiej epidemii wirusów, o czym wciąż pamiętali specjaliści ds. bezpieczeństwa IT. W marcu 2005 r. wykryto lukę w opublikowanym przez tę firmę oprogramowaniu i pomimo faktu, że dziura ta została dość szybko naprawiona wielu klientów firmy ISS zostało zainfekowanych robakiem Witty, który zaczął rozprzestrzeniać się zaledwie dwa dni po wykryciu luki.

Linn zasugerował, że szczegóły dotyczące luki powinny zostać przedstawione na konferencji "BlackHat" - jednej z największych na świecie konferencji poświęconych bezpieczeństwu. Pomimo ryzyka, że zostanie pozwany do sądu i zwolniony z pracy, praca Linna "The Holy Grail: Cisco IOS Shellcode and Exploitation Techniques" została opublikowana. Oznaczało to, że informacja o luce była dostępna teraz dla szerokiego grona zainteresowanych stron, mimo że firma Cisco próbowała ukryć szczegóły. Obecnie Cisco prowadzi sprawę sądową przeciwko Linnowi.

Artykuł Linna wzbudził zainteresowanie, a jego praca nad zidentyfikowaniem luki w IOS znalazła kontynuatorów. Od czasu do czasu pojawiają się informacje, że niezależni eksperci stworzyli już wirusa typu "proof of concept" dla IOS, odkryli, w jaki sposób można uruchomić losowo wybrany kod itd. Chociaż nie istnieje oficjalne potwierdzenie żadnej z tych informacji, specjaliści z firmy Kaspersky Lab uważają, że nie należy tego lekceważyć. Według nich, już w tym momencie istnieje możliwość przeprowadzenia ataku na Internet z wykorzystaniem dziury w zabezpieczeniu oprogramowania sprzętu sieciowego.

Jedną z poważnych przeszkód w przeprowadzeniu takiego ataku jest stosunkowo ograniczony krąg osób posiadających odpowiednią wiedzę i doświadczenie. Innym czynnikiem powstrzymującym przed takim atakiem jest brak wyraźnych korzyści finansowych, jakie mógłby przynieść. Cyber-przestępcy nie mają żadnego interesu w sparaliżowaniu pojedynczych segmentów Internetu. Jest jednak bardzo prawdopodobne, że wirus typu "proof of concept" dla IOS pojawi się zupełnie niespodziewanie, tak jak w przypadku robaka Morris w 1988 r. i robaka Slammer w 2003 r.

Nie mamy żadnych wątpliwości, że w najbliższej przyszłości nastąpi zmiana podejścia twórców wirusów i hakerów. Będą oni szukali luk w sprzęcie sieciowym, zaporach ogniowych i rozwiązaniach antywirusowych zamiast w tradycyjnych systemach operacyjnych - Windows/Unix i związanych z nimi aplikacjach.

Socjotechnika

Temat ten regularnie pojawia się w naszych przeglądach i analizach. Nieustannie podkreślamy, że czynnik ludzki jest jednym z fundamentów polityki bezpieczeństwa. Większość firm, szczególnie tych w sektorze finansowym, powinno traktować tę sprawę priorytetowo. W ostatnim przeglądzie zauważyliśmy, że twórcy wirusów i hakerzy odchodzą od przeprowadzania masowych ataków na rzecz atakowania określonych struktur biznesowych, traktując każdy cel indywidualnie. W rezultacie, trudniej jest przeciwdziałać takim atakom przy użyciu standardowych narzędzi ochrony.

Nie znaczy to jednak, że zwykli użytkownicy nie powinni mieć się na baczności, ale raczej nauczyć się rozpoznawać takie ataki. Komputer, który posiada uaktualniony system operacyjny i nie ma zainstalowanych zagrożonych aplikacji, może zostać zainfekowany równie skutecznie jak "niezałatany" komputer. Jest to właśnie jeden z głównych problemów, z jakimi boryka się obecnie branża bezpieczeństwa informatycznego. W tym przypadku najprostszym sposobem przeniknięcia do systemu jest wykorzystanie metod socjotechniki. Polega to na przyciągnięciu uwagi użytkownika atakowanego systemu i skłonienie go do wykonania określonych czynności, takich jak na przykład: odwiedzenie jakiejś strony i wprowadzenie pewnych informacji, pobranie i uruchomienie pliku czy otwarcie pliku załączonego do wiadomości e-mail.

Wyobraźnia osób stosujących socjotechnikę nie zna granic. Dość niedawno byliśmy świadkami jednego z bardziej interesujących przykładów ataków typu phishing, w którym ofiary nie były skłaniane do odwiedzenia określonych stron WWW i wprowadzenia tam odpowiednich danych. Zamiast tego użytkownikom wysłano faksem formularz. Jest to stosunkowo nowa metoda. Użytkownicy, którzy słyszeli o sfałszowanych stronach i niebezpieczeństwie podawania danych dotyczących konta i innych informacji poprzez Internet mogą mieć uśpioną czujność, jeśli zostaną poproszeni o przekazanie ich danych osobowych faksem. Brak zaufania do systemów on-line może przyczynić się do zwiększonego zaufania do tradycyjnych systemów transmisji danych off-line (takich jak telefon i fax). Jak pokazuje powyższy przykład, osoby wykorzystujące socjotechnikę posiadają dużą znajomość psychologii użytkowników Internetu i doskonale potrafią wykorzystywać współczesne niepokoje.

W tym miejscu należy podkreślić, że podejmowane przez niektóre firmy próby stworzenia przeglądarki, która mogłaby ustalić, czy odwiedzana strona jest prawdziwa, lub chroniłaby informacje przechowywane na komputerze potencjalnej ofiary nie powiodą się w 100%, ponieważ firmy te nigdy nie zdołają całkowicie rozwiązać problemu a twórcy wirusów i scamerzy zawsze będą ich wyprzedzać o krok .

Trzeci kwartał 2005 r. obfitował w katastrofy. Zasmuca bardzo fakt, że cyber-przestępcy nie wahają się wykorzystać do własnych celów nieszczęścia innych ludzi (jak również żerować na ludzkiej ciekawości odnośnie wszelkiego rodzaju katastrof, zarówno tych naturalnych, jak i przemysłowych). W sierpniu i wrześniu pojawiły się ogromne ilości masowo rozsyłanych wiadomości typu spam oraz zawierających wirusy, które w tematach nawiązywały do niedawnych katastrof. Pod względem ilości masowo wysyłanych wiadomości sytuacja przypominała w najgorszym razie aktywność odnotowaną w grudniu i styczniu na przełomie lat 2004/2005, gdy scamerzy wykorzystywali tsunami w południowo wschodniej Azji.

Głównymi tematami wykorzystywanymi w tym kwartale były eksplozja w Londynie (lipiec) oraz huragany Katrina i Rita (sierpień - wrzesień).

Zaledwie kilka dni po wybuchu bomb w londyńskim metrze firmy antywirusowe wykryły kilka podobnych do siebie złośliwych programów. Do najbardziej rozprzestrzenianych z tych masowo rozsyłanych szkodników należały: Email-Worm.Win32.Vote, Email-Worm.Win32.Chet (który prawdopodobnie został napisany w Rosji) oraz SpamTool.Win32.Delf.h

Jednak twórcy wirusów i scamerzy najbardziej szaleli w okresie koniec sierpnia/początek września, w tym samym czasie, gdy na południowym wybrzeżu Stanów Zjednoczonych szalał jeden z najpotężniejszych huraganów w ostatniej dekadzie. Dzień po uderzeniu Katriny użytkownicy Internetu zostali zasypani dziesiątkami wiadomości e-mail z tytułami, takimi jak "obejrzyj film video", "poznaj rzeczywiste liczby zabitych", "pilna wiadomość od prezydenta" itp. Wszystkie te wiadomości miały jeden cel: zwabić użytkowników na specjalnie stworzone strony WWW, które zawierały exploity dla przeglądarki Internet Explorer. Jak można się było spodziewać Exploit.HTML.Mht był jednym z wykorzystanych do tego celu exploitów. Pojawiły się również stosunkowo nowe programy tego typu, takie jak Exploit.JS.JavaPrxy oraz IframeBof. Jednak w wielu przypadkach zdalni agresorzy cybernetyczni nie zadawali sobie nawet trudu umieszczenia exploitów na stronie, tylko zachęcali nieostrożnych użytkowników do pobrania pliku, który w rzeczywistości był trojanem.

Działania cyber-przestępców nie ograniczały się do zainstalowania trojanów na komputerach ofiar. Niektórzy z nich próbowali ukraść pieniądze w bardziej bezpośredni sposób, wysyłając wiadomości e-mail z prośbą o datki dla ofiar huraganu. Autorzy tych wiadomości podszywali się pod organizacje pomocy. Instytut SANS przeprowadził niezależne badanie, z którego wynikało, że gwałtownie wzrosła liczba domen zawierających słowo "Katrina". Badanie to dostępne jest na stronie http://isc.sans.org/diaryimages/katrina.png.

Właśnie tu wyobraźnia osób stosujących socjotechnikę ukazała się w pełnej krasie. Przy "zbieraniu" datków przechwycili oni również informacje dotyczące kart kredytowych ofiarodawców. Aby "ułatwić" użytkownikom ofiarowanie datków, przestępcy stworzyli strony, na których osoby chcące wspomóc ofiary katastrofy miały wprowadzić numery swoich kart kredytowych. Oczywiście dane te dostały się w ręce cyber-przestępców.

Te wypróbowane metody zostały ponownie zastosowane zaledwie kilka dni później, gdy w Stany Zjednoczone uderzył huragan Rita. Na szczęście tym razem spustoszenia miały znacznie mniejszą skalę i prawdopodobnie dlatego liczba fałszywych wiadomości i złośliwych programów wykorzystujących sytuację była mniejsza.

Ostatnie incydenty po raz kolejny pokazują, że socjotechnika wciąż stanowi zagrożenie a wykorzystywane metody wciąż ewoluują. Pracownicy firm powinni być przeszkoleni odnośnie rozpoznawania takich ataków, a użytkownicy domowi zachować szczególną ostrożność i sceptycyzm w stosunku do wiadomości, w których proszeni są o pomoc finansową. Należy o tym pamiętać szczególnie po wszelkiego rodzaju katastrofach.

Robaki komunikatorów internetowych (IM-Worms)

W pierwszym raporcie kwartalnym odnotowaliśmy, że pojawiła się nowa klasa robaków sieciowych - robaki komunikatorów internetowych (IM-Worms) - które ewoluują w zastraszająco szybkim tempie. Robaki te rozprzestrzeniają się za pośrednictwem szeregu różnych komunikatorów internetowych. W raporcie zwrócono uwagę na fakt, że ewolucja tej klasy robaków przypominała bardzo ewolucję robaków P2P. Zauważono również, że wiele czynników wskazuje na to, że robaki komunikatorów internetowych znajdują się w początkowym etapie ewolucji (większość z nich została napisana w języku programowania Visual Basic i jest oparta na jednym standardowym kodzie). Faza największego rozwoju robaków komunikatorów internetowych przypadła na wiosnę i lato 2005 r. Wtedy szkodniki te wykazywały największy współczynnik wzrostu z wszystkich klas robaków sieciowych. W pierwszej połowie roku 2005 wykrywaliśmy średnio 28 nowych robaków komunikatorów internetowych na miesiąc. Dla porównania: gdy robaki P2P znalazły się u szczytu ewolucji w 2003 r., każdego tygodnia wykrywanych było średnio 10 nowych wariantów.

Jednak niespodziewanie sytuacja się zmieniła. Fala robaków komunikatorów internetowych nagle ustała. W momencie tworzenia tego raportu wykrywamy średnio jedną nową wersję na tydzień i są to zazwyczaj jedynie trochę zmodyfikowane wersje znanych już rodzin robaków. Co się stało ze złośliwymi programami dla komunikatorów internetowych?

Głównymi celami tych robaków były firmy AOL i MSN, których klienci stanowią większość użytkowników komunikatorów internetowych. Obie firmy podjęły działania w celu zapewnienia ochrony swoim użytkownikom: najpierw poprzez zablokowanie transmisji plików z nazwami i rozszerzeniami, o których wiadomo było, że wykorzystywane są przez autorów robaków komunikatorów internetowych. Chociaż robaki te rzadko wykorzystują transmisję plików jako metodę rozprzestrzeniania się, krok ten przyniósł zauważalny efekt. Kolejnym działaniem było zablokowanie głównej metody rozprzestrzeniania się robaków komunikatorów internetowych: odsyłaczy prowadzących do plików zawierających właściwy kod robaka.

Działania te usunęły większość luk wykorzystywanych przez twórców wirusów. Co ważniejsze, usunęły luki wykorzystywane przez robaki komunikatorów internetowych oparte na kodzie źródłowym krążącym w podziemiu komputerowym. Kod wykorzystywany przez robaki komunikatorów internetowych jest w większości dość słabej jakości. Doszliśmy do wniosku, że większość tych robaków powstaje w rękach małolatów nie posiadających dużych umiejętności z zakresu programowania. Gdy gotowy kod okazał się już bezwartościowy, ci samozwańczy twórcy wirusów nie potrafili stworzyć własnych metod rozprzestrzeniania robaków, co znalazło odbicie w znacznym spadku liczby nowych robaków.

Uważamy jednak, że równie istotne znaczenie miała luka w PnP, o której pisaliśmy w pierwszej części naszego raportu. Dlaczego na początku tego roku zaobserwowaliśmy tak gwałtowne zahamowanie aktywności i ewolucji robaków komunikatorów internetowych? Ponieważ nie wykryto nowych krytycznych luk w systemie Windows i twórcy wirusów musieli znaleźć inne popularne metody transmisji danych w celu rozprzestrzeniania swoich szkodników. Poczta elektroniczna nie spełniała ich wymagań z wielu obiektywnych przyczyn, o których wspominaliśmy już wcześniej. Sieci P2P i kanały IRC tracą obecnie na popularności. Stosunkowo niewielka liczba ich użytkowników oznacza, że nie stanowią one poważnego przedmiotu zainteresowania twórców wirusów. Pozostały więc tylko komunikatory internetowe. Wydaje się całkiem prawdopodobne, że to właśnie przyczyniło się do wzrostu liczby złośliwych programów atakujących tę platformę.

Jednak luka w PnP podziałała jak katalizator, sprawiając, że twórcy wirusów skierowali swoje zainteresowania w zupełnie innym kierunku. Istnieje kilka popularnych klientów IM i wydaje się niemożliwe, aby twórcy wirusów stworzyli uniwersalnego robaka, który zaatakowałby je wszystkie. Poza tym, programiści systemów AOL i MSN podjęli działania zabezpieczające te aplikacje. W rezultacie, luka w PnP oferowała autorom wirusów znacznie większe możliwości, a liczba komputerów mogących zostać zaatakowanych była o wiele większa niż w przypadku komunikatorów internetowych.

Wszystkie powyższe fakty potwierdzają, że luka PnP była najbardziej znamiennym incydentem roku 2005 w dziedzinie bezpieczeństwa informatycznego. Znacznie zmieniła krajobraz wirusów i z pewnością będzie miała wpływ na ewolucję złośliwych programów przez kolejne miesiące.

Robaki komunikatorów internetowych powtórzyły historię robaków P2P, których liczba gwałtownie wzrosła, po czym równie szybko spadła. Przyczyny tych wzrostów i spadków są bardzo podobne dla obu klas robaków; robaki P2P stały się znacznie mniej popularne po ogłoszeniu luk w usługach RPC DCOM i LSASS. Robaki komunikatorów internetowych prawdopodobnie nie spowodują znaczących epidemii w kolejnych miesiącach i nie będą stanowiły poważnego zagrożenia. Jednak jeśli w systemie Windows nie zostaną wykryte nowe luki, twórcy wirusów mogą z czasem powrócić do wykorzystywania komunikatorów internetowych jako platform do rozprzestrzeniania swoich szkodników.

Złośliwe programy dla urządzeń przenośnych

Niedawno firma Kaspersky Lab opublikowała analizę złośliwych programów dla urządzeń przenośnych zawierającą prognozę rozwoju tego typu szkodników. Jednym z głównych wniosków tego opracowania było to, że obecna sytuacja związana ze złośliwymi programami dla urządzeń przenośnych (odchodzenie autorów wirusów od tworzenia starych zagrożeń na rzecz skutecznych wirusów dla urządzeń przenośnych) nie zmieni się przynajmniej przez następne sześć miesięcy. Oznacza to, że nadal będziemy świadkami stałego napływu wirusów będących jedynie modyfikacjami starszych złośliwych programów. Od czasu do czasu może pojawić się innowacja technologiczna.

Od publikacji raportu nasze przewidywania okazały się słuszne. Pojawiło się kilka nowych trojanów dla Symbiana, które posiadają pewne nowe funkcje.

Pod koniec września został wykryty Cardtrap (Trojan.SymbOS.Cardtrap). Posiada on wszystkie funkcje, w które powinien być wyposażony trojan dla Symbiana: podczas instalowania się do systemu trojan nadpisuje niektóre pliki zawierające oprogramowanie systemowe (firmware) ich pustymi lub zainfekowanymi kopiami. Różni się od istniejących trojanów tym, że oprócz nadpisywania plików instaluje również na karcie pamięci dwa złośliwe programy dla systemu Win32. Pierwszym z nich jest wariant wielofunkcyjnego backdoora o nazwie Padobot, drugim natomiast jest znany wariant robaka pocztowego Rays. Przy okazji warto nadmienić, że jest to drugi raz, gdy urządzenia przenośne zostały zainfekowane robakiem Rays - pierwszy przypadek miał miejsce pod koniec sierpnia, gdy około 4 000 graczy Zen Neeon MP3 w Japonii zostało zainfekowanych tym szkodnikiem. Wciąż nie wiadomo dokładnie, w jaki sposób gracze ci zostali zainfekowani, producent nie opublikował jeszcze wyników śledztwa przeprowadzonego w tej sprawie.

Padobot i Rays, nawet gdy zainstalują się na karcie pamięci, nie stanowią bezpośredniego zagrożenia dla urządzeń przenośnych. Te złośliwe programy mogą zostać uruchomione tylko w środowisku Windows. Wydaje się, że autor robaka Padobot liczy, że zainfekowany telefon zostanie podłączony do komputera i wtedy pliki będą mogły zostać wykonane, infekując kamputer. W tym celu autorzy skonstruowali Padobota w taki sposób, aby instalował się na karcie pamięci jako plik autorun. Jednak, o ile nam wiadomo, w systemie Windows nie można automatycznie uruchomić plików z karty pamięci, tak więc nie istnieje żadne ryzyko. Rays instaluje się na karcie jako plik o nazwie system.exe z ikoną wykorzystywaną zazwyczaj przy folderach, nie plikach. Oznacza to, że robak mógłby zostać uruchomiony, gdyby użytkownik pomylił ikonę pliku z ikoną foldera i próbował ją otworzyć.

Nigdy wcześniej nie spotkaliśmy się z podobnym zachowaniem złośliwych programów dla urządzeń przenośnych, polegającym na próbie jednoczesnego zainfekowania dwóch systemów operacyjnych. W pewnym sensie przywołuje to na myśl robaka Lasco. W tym przypadku jednak komponent dla systemu Windows przeszukiwał komputer w celu znalezienia plików w formacie .sis i próbował zainfekować je komponentem dla Symbiana.

Przykład ten ukazuje, że twórcy wirusów wciąż uważają system Windows za swój główny cel, a infekowanie telefonów trojanem jest jedynie krokiem w kierunku przenikania komputerów biurkowych.

Drugim interesującym trojanem dla Symbiana był Cardblock, który został wykryty pod koniec września. Trojan ten stanowi poważne zagrożenie, gdyż posiada bardzo destrukcyjną funkcję dodatkową.

Po zainstalowaniu usuwa katalogi systemowe oraz informacje o aplikacjach zainstalowanych na komputerze ofiary. W rezultacie zostanie usunięta książka adresowa przechowywana w pamięci telefonu, jak również zapisane wiadomości SMS i MMS. Wiele modeli kieszonkowych nie można wtedy uruchomić i wymagają twardego resetu.

Innowacją jest tu sposób, w jaki trojan atakuje kartę pamięci MMC. Trojan blokuje ją wykorzystując losowo wygenerowane hasło i dopóki karta będzie pozostawała w zainfekowanym telefonie, urządzenie będzie funkcjonowało poprawnie. Jednak po restarcie urządzenia lub umieszczeniu karty w innym telefonie, zostanie ona zablokowana. Bez hasła nie będzie można uzyskać dostępu do danych przechowywanych na karcie, a ponieważ hasło generowane jest losowo, użytkownik nie będzie w stanie go odgadnąć.

W przypadku Cardblocka nie chodzi tylko o usuwanie czy uszkadzanie danych przechowywanych na urządzeniu. Jest to pierwszy krok w kierunku stworzenia trojana dla urządzeń przenośnych, który będzie zachowywał się w podobny sposób do trojana dla systemu Windows o nazwie Gpcode, o którym wspominaliśmy w poprzednim raporcie kwartalnym. Trojan ten szyfruje dane użytkownika i żąda okupu za ich odszyfrowanie. Jest to bardzo niepokojący sygnał i jeśli stanie się trwałym trendem, będzie to oznaczało, ze cyber-przestępcy znaleźli sposób na zarobienie pieniędzy na infekowaniu urządzeń przenośnych.

W trakcie tworzenia tego raportu otrzymaliśmy informacje o wykryciu pierwszego trojana dla konsol do gier. Pierwszą ofiarą stała się kieszonkowa konsola Sony PlayStationPortable - trojan atakujący to urządzenie usuwał pliki systemowe, w wyniku czego konsola przestawała poprawnie funkcjonować. Zachowanie to jest bardzo podobne do trojanów dla telefonów komórkowych. Kilka dni później wykryto trojana atakującego Nintendo DS. Być może te nowe trojany dla konsol do gier sygnalizują, że twórcy wirusów znaleźli sobie nowy obiekt zainteresowania. Powrócimy do tego tematu w naszym ostatnim raporcie kwartalnym 2005 r.

Wnioski

Trzeci kwartał 2005 r. był niezwykle zróżnicowany pod względem incydentów i cyber-zagrożeń. W ostatnich trzech miesiącach nie tylko pojawiły się doniesienia o nowych lukach krytycznych w systemach Windows (jak dotąd żadna z nich nie została w pełni wykorzystana) ale także o potencjalnych zagrożeniach ze strony powszechnie stosowanych routerów Cisco. Urządzeniom przenośnym zagrażają teraz nowe, bardziej złożone trojany, a spamerzy i phisherzy aktywnie wykorzystują występujące licznie katastrofy naturalne.

Z drugiej strony, w okresie tym nie wystąpiły żadne epidemie na dużą skalę. Szum medialny towarzyszący jednej z wersji robaka Mytob nie był spowodowany możliwościami rozprzestrzeniania się tego robaka. Przyczyną było raczej to, że robak ten uderzył w media, ponieważ niektóre firmy nie uaktualniły ani nie "załatały" swoich systemów bezpieczeństwa na czas.

Nasz kolejny raport będzie zawierał analizę incydentów z czwartego kwartału oraz podsumowanie całego roku.

Źródło: Kaspersky Lab