F-Secure
Transkrypt
F-Secure
Raport na temat zagrożeń Druga połowa 2012 r. Protecting the irreplaceable | www.f-secure.com Laboratoria F-Secure W laboratoriach F-Secure w Helsinkach w Finlandii i w Kuala Lumpur w Malezji eksperci od bezpieczeństwa nieustannie pracują, aby zapewnić internautom ochronę przed zagrożeniami czyhającymi w sieci. W każdym momencie personel F-Secure monitoruje światową sytuację w zakresie bezpieczeństwa, aby szybko i efektywnie radzić sobie z nagłymi epidemiami wirusów i złośliwego oprogramowania. Ochrona przez całą dobę Pracę Response Labs wspierają automatyczne systemy, które śledzą zagrożenia w czasie rzeczywistym, gromadząc i analizując setki tysięcy próbek danych każdego dnia. Przestępcy, którzy wykorzystują wirusy i złośliwe oprogramowanie do celów zarobkowych, nieustannie pracują nad nowymi sposobami ataku. Sytuacja wymaga ciągłej czujności, aby internauci zawsze byli chronieni. PRZEDMOWA Dziś najłatwiej paść ofiarą ataku złośliwego oprogramowania przez surfowanie po sieci. Nie zawsze tak było. Lata temu podstawowym nośnikiem zagrożeń były dyskietki. Później dzielenie się plikami wykonywalnymi. Następnie załączniki do wiadomości e-mail. Ale od pięciu lat głównym źródłem złośliwego oprogramowania są strony internetowe. Sieć WWW jest problemem głównie ze względu na pakiety exploitów. Pakiety takie jak BlackHole, Cool Exploit, Eleanore, Incognito, Yes lub Crimepack automatyzują proces infekowania komputerów poprzez wykorzystywanie błędów w oprogramowaniu. Nie byłoby exploitów bez luk w zabezpieczeniach. W ostatecznym rozrachunku luki te są zwykłymi usterkami, to znaczy błędami programistycznymi. Usterki pojawiają się dlatego, że programy są pisane przez ludzi, a ludzie się mylą. Usterki w oprogramowaniu stanowią problem, od kiedy mamy programowalne komputery — i z pewnością nie znikną. Usterki nie miały większego znaczenia, dopóki nie upowszechnił się dostęp do Internetu. Jeśli podczas pracy z edytorem tekstu otworzyliśmy uszkodzony dokument, zdarzało się, że przestawał on działać. Bywało to irytujące, ale nie stanowiło poważnego problemu. Mogliśmy stracić niezapisaną pracę w innych otwartych dokumentach, ale nic ponadto. Mikko HyppÖnen Chief Research Officer F-Secure Sytuacja jednak się zmieniła wraz z nadejściem Internetu. Usterki, które dotychczas były co najwyżej dokuczliwe, nagle można było wykorzystać do przejęcia kontroli nad komputerem. Jednak nawet najpoważniejsze luki w zabezpieczeniach są bezużyteczne dla napastnika, jeśli zostaną załatane. Dlatego najcenniejsze exploity są wymierzone w usterki, które USTERKI W OPROGRAMOWANIU STANOWIĄ PROBLEM, OD KIEDY MAMY PROGRAMOWALNE KOMPUTERY — I Z PEWNOŚCIĄ NIE ZNIKNĄ. nie są znane producentowi podatnego na atak programu. Oznacza to, że producent nie może naprawić usterki i wydać poprawki eliminującej lukę w zabezpieczeniach. Jeśli poprawka jest dostępna, a luka w zabezpieczeniach zaczyna być wykorzystywana przez napastników pięć dni po wypuszczeniu poprawki, użytkownicy mają pięć dni na reakcję. Jeśli poprawka jest niedostępna, użytkownicy w ogóle nie mają czasu, aby się zabezpieczyć - dosłownie zero dni. Stąd wzięło się określenie „luka dnia zerowego” (Zero Day Vulnerability): użytkownicy są podatni na atak, nawet jeśli zainstalowali wszystkie dostępne poprawki. Jednym z kluczowych mechanizmów bezpieczeństwa pozostaje instalowanie poprawek. Trzeba dbać o aktualizowanie wszystkich systemów, ponieważ radykalnie ogranicza to ryzyko infekcji. W przypadku zagrożeń dnia zerowego poprawki są niedostępne, ale tutaj z pomocą mogą przyjść produkty antywirusowe. Nieustannie ścigamy się z napastnikami. Ten wyścig szybko się nie skończy. PRZEDMOWA 3 Streszczenie raportu Streszczenie raportu W minionej połowie roku wyróżniały się trzy rodzaje zagrożeń: botnety (szczególnie ZeroAccess), exploity (zwłaszcza wymierzone w deweloperską platformę Javy) oraz bankowe trojany (Zeus). ZeroAccess był z pewnością najbardziej dominującym botnetem w 2012 r., widocznym zwłaszcza we Francji, Stanach Zjednoczonych i Szwecji. Był też jednym z najaktywniej rozwijanych i najbardziej zyskownych botnetów minionego roku. W raporcie opisujemy metody dystrybucji oraz system płatności w „programie partnerskim” ZeroAccess, a także dwie aktywności, które generowały największe przychody: oszukiwanie na kliknięciach i generowanie bitmonet. Oprócz ZeroAccess, innymi godnymi uwagi botnetami w 2012 r. były Zeus, Carberp, Dorkbot i SpamSoldier (botnet mobilny). Java była głównym celem większości ataków opartych na exploitach, które zaobserwowaliśmy w minionej połowie roku. Widać to doskonale w statystyce 10 najczęstszych wykryć zarejestrowanych przez nasz system monitoringu oparty na chmurze. Detekcje specyficznych dla Javy luk CVE-2012-4681 i CVE-2012-5076 oraz ogólne detekcje Majava, które również identyfikują próbki wykorzystujące luki związane z Javą, stanowiły jedną trzecią próbek wykrytych w tym okresie, w czym dużą rolę odegrały pakiety exploitów. Ponadto exploity wymierzone w inne programy, takie jak czytnik dokumentów PDF (CVE-2010-0188) oraz czcionka Windows TrueType (CVE-2011-3402), mocno zaznaczyły swoją obecność w drugiej połowie 2012 r., o czym będzie mowa w dalszej części raportu. Jeśli chodzi o trojany bankowe, w 2012 r. najgłośniej było o botnecie zwanym Zeus — jest to zarazem nazwa złośliwego oprogramowania, które infekuje komputery użytkowników. Analiza obszaru dystrybucji Zeusa wskazuje, że do największej liczby infekcji doszło w Stanach Zjednoczonych, Włoszech i Niemczech. Oprócz funkcji trojana bankowego Zeus pełni rolę backdoora („tylnych drzwi”) i może być bezpośrednio kontrolowany przez serwery dowodzenia (C&C) botnetu. Badanie różnych zbiorów poleceń używanych przez pochodne Zeusa (znane jako Citadel i Ice IX) pozwala wywnioskować, jakie inne złośliwe operacje może wykonywać to oprogramowanie. W kwestii bezpieczeństwa online, przyjrzymy się niejednoznacznej roli, jaką odgrywa hosting stron internetowych. Jest on coraz tańszy i bardziej przyjazny dla użytkowników, więc nadaje się dobrze do rozpowszechniania złośliwego oprogramowania i reklam. Zajmiemy się też atakami wieloplatformowymi, czyli skoordynowanymi kampaniami wymierzonymi w wiele różnych platform (stacjonarnych i mobilnych), często z wykorzystaniem wielu złośliwych programów. Android i Symbian pozostają głównymi celami ataków jeśli chodzi o platformy mobilne. wymierzone w nie było odpowiednio 79 i 19 proc. wszystkich nowych wariantów złośliwego oprogramowania zidentyfikowanych w 2012 r. Streszczenie raportu 4 SPIS TREŚCI Niniejszy raport na temat zagrożeń omawia trendy i nowe wydarzenia zaobserwowane w krajobrazie zagrożeń mobilnych przez analityków F-Secure Labs w drugiej połowie 2012 r. Dołączono też studia przypadków poświęcone najważniejszym, szeroko rozpowszechnionym zagrożeniom z tego okresu. WSPÓŁAUTORZY Broderick Aquilino Karmina Aquino Christine Bejerasco Edilberto Cajucom Su Gim Goh Alia Hilyati Timo Hirvonen Mikko Hypponen Sarah Jamaludin Jarno Niemela Mikko Suominen Chin Yick Low Sean Sullivan Marko Thure Juha Ylipekkala Przedmowa3 Streszczenie raportu 4 Spis treści 5 Kalendarz incydentów 6 Przegląd7 Godne uwagi 10 Hasło11 Szpiegostwo korporacyjne Studia przypadków 12 14 Boty15 ZeroAccess17 Zeus21 Exploity25 Sieć WWW 28 Ataki wieloplatformowe 32 Zagrożenia mobilne 35 Źródła38 spis treści 5 Kalendarz incydentów Kalendarz incydentów, druga połowa 2012 r. (lipiec – grudzień)* jul Aug SEPT Koniec wsparcia FBI dla DNSChanger Znaleziono wieloplatformowe tylne drzwi do systemów intelowskich/OS X Znaleziono komercyjne wieloplatformowe narzędzia do monitoringu Ogłoszono złośliwe oprogramowanie wymierzone w Iran Włamanie na konta e-mail rządu Indii Gauss kontynuuje program „Igrzysk Olimpijskich” Blackhole aktualizowany szybciej od łatania usterek Aktualizacja Javy zamyka trzy luki w zabezpieczeniach Atak na Matta Honana podkreśla słabe strony systemów kont Online Wiadomości Zagrożenia PC Zagrożenia mobilne Haktywizm i szpiegostwo KALENDARZ INCYDENTÓW OCT Piątek nadprogramowych poprawek Tylne drzwi Imuler.B znalezione w OS X Złośliwe oprogramowanie podpisane certyfikatem Adobe Ogłoszono exploit interfejsu Samsung TouchWiz Kontrowersje związane z Huawei w Kongresie Stanów Zjednoczonych Kwestie wpływu rządów na internet poruszane na konferencji ITU Telecom World ‘12 NOV DEC Odcięto internetowe połączenie z Syrią Berlińska policja ostrzeżona o trojanach bankowych w Androidzie Pakiet Cool Exploit rywalizuje z Blackhole Znaleziono nowy wariant Mac Revir Znaleziono nowy rootkit do Linuksa Dexter atakuje systemy kasowe (POS) Akta australijskiego szpitala przetrzymywane dla okupu Odkryto zagrożenie dla Maców w witrynie poświęconej Dalajlamie. Jedna szkodliwa reklama uderza w fiński ruch internetowy Ogłoszono atak Eurograbber na europejskie banki Ogłoszono exploit procesora Samsung Exynos Źródła: zob. strona 38. 6 PRZEGLĄD ZMIANY W KRAJOBRAZIE ZAGROŻEŃ W przeciwieństwie do pierwszej połowy 2012 r., w drugiej połowie roku nie odnotowano poważnej epidemii złośliwego oprogramowania na żadnej platformie. W okresie tym doszło natomiast do kilku incydentów będących przykładem pomysłowości hakerów, znajdujących wciąż nowe sposoby na przejmowanie komputerów, danych lub pieniędzy użytkowników. Do incydentów tych należało włamanie na konta Gmail i Apple Matta Honana z magazynu Wired, które obnażyło słabe strony systemów kont; epizod z certyfikatem Adobe, w którym napastnicy wykradli cyfrowy certyfikat Adobe, aby podpisać nim złośliwe oprogramowanie używane do ukierunkowanych ataków oraz atak Eurograbber, w którym wykorzystano wariant Zeusa do kradzieży pieniędzy od różnych przedsiębiorstw i banków w Europie. Co interesujące, w 2012 r. wzrosła publiczna świadomość zagrożeń oraz podatności na ataki przez Internet. Raporty o domniemanych działaniach przeciwko irańskim instalacjom jądrowym zwróciły uwagę na ataki sponsorowane przez państwo. Na konferencji operatorów telekomunikacyjnych poświęconej podstawowym kwestiom infrastrukturalnym dyskutowano o ładzie internetowym i o roli, jaką mogą odegrać w nim rządy. Ponadto w zeszłym roku amerykańscy politycy, którzy nie cieszą się opinią znawców techniki, wyrażali obawy o to, że rozwiązania IT do wrażliwych systemów rządowych dostarczane przez zagraniczne korporacje mogą nie być godne zaufania. Choć zapewne należy cieszyć się z tego, że więcej ludzi zwraca uwagę na tematy, które uważano dotychczas za nieistotne lub akademickie. Czas pokaże, czy wyższa świadomość zagrożeń zaowocuje zwiększeniem bezpieczeństwa w sieci. Najbardziej godnym uwagi aspektem drugiej połowy 2012 r. nie było jakieś pojedyncze wydarzenie, ale raczej nasilanie się różnych trendów, które zaobserwowaliśmy w pierwszych dwóch kwartałach — takich jak rozwój botnetów, „standaryzacja” wykorzystywania luk w zabezpieczeniach oraz popularyzacja pakietów exploitów. Jeśli chodzi o botnety, w ostatnich kilku latach gracze z różnych branż — telekomunikacji, bezpieczeństwa, a nawet administracji rządowej — podjęli skoordynowane inicjatywy na rzecz powstrzymania, a przynajmniej ograniczenia działań różnych botnetów, które przejęły kontrolę nad milionami komputerów i były używane do oszustw finansowych oraz ataków online. Doprowadziło to do całkowitego wyłączenia lub poważnego ograniczenia takich botnetów, jak Rustock, Zeus i DNSChanger. Niestety, pomimo tych godnych pochwały wysiłków botnety regularnie zmartwychwstają, często z nowymi strategiami lub mechanizmami czerpania zysków. Ponadto operatorzy botnetów agresywnie reklamują swoje „produkty” wśród innych hakerów i dystrybutorów złośliwego oprogramowania. Oferują programy partnerskie z atrakcyjnymi „opłatami za instalację” oraz „wypożyczalniami botnetów”, które pozwalają napastnikom wykorzystać połączoną moc zainfekowanych hostów do ataków lub prowadzenia innych szkodliwych działań. Te wyrafinowane taktyki biznesowe przynoszą istotne zyski. W niektórych przypadkach, takich jak ZeroAccess, odrodzone botnety liczą miliony zainfekowanych hostów. Więcej informacji o botnetach znajduje się w studiach przypadków „Boty” (str. 15), „ZeroAccess” (str. 17) i „Zeus” (str. 21). Inną zmianą, którą zaobserwowaliśmy w zeszłym roku, jest rosnąca popularność wykorzystywania luk w zabezpieczeniach, często idąca w parze z prostymii taktykami socjotechnicznymi. W przeciwieństwie do poprzednich lat, w których większość infekcji wiązała się z trojanami, 2012 był bez wątpienia rokiem exploitów — w drugiej połowie 2012r. PRZEGLĄD 7 10 NAJCZĘSTSZYCH DETEKCJI W DRUGIEJ POŁOWIE 2012 I NAJBARDZIEJ DOTKNIĘTE KRAJE ZeroAccess 27% Majava 26% Downadup BlackHole FR us US CVE-2012-4681 6% us CVE-2011-3402 6% fr CVE-2010-0188 6% fr CVE-2012-5076 3% PDF Exploits 3% Sinowal 3% fr my it others se se se us fr nl fr se nl 0 others fi fi fi se fi fr 9% others fr br 11% se dk de others nl fi others fi nl others fr se others se de se 25 others 50 others fi others 75 % 100 *Na podstawie statystyk z opartych na chmurze systemów monitoringu F-Secure od lipca do grudnia 2012 r. wykrycia związane z exploitami stanowiły 28 proc. wszystkich detekcji w systemach monitoringu F-Secure. Ponadto złośliwe oprogramowanie wykorzystujące luki w deweloperskiej platformie Javy reprezentowało 68 proc. wszystkich detekcji związanych z exploitami, które zostały zarejestrowane przez nasze systemy w drugiej połowie roku. Jeśli szczegółowo przyjrzymy się liście 10 najczęstszych detekcji (powyżej) w naszych systemach chmurowych w drugiej połowie 2012 r., dwie spośród nich, które reprezentują próbki wykorzystujące specyficzne dla Javy luki CVE-2012-4681 i CVE2012-5076, stanowią 9 proc. spośród najczęściej wykrywanych złośliwych programów. Ponadto ogólne detekcje Majava, które reprezentują próbki wykorzystujące znane luki w zabezpieczeniach, w tym specyficzne dla Javy luki CVE-2012-0507 i CVE-2012-1723, stanowią kolejne 26 proc. spośród 10 najczęstszych detekcji. Są one drugim spośród najczęściej wykrywanych problemów przez nasze systemy.Duża liczba wykryć związanych z Javą świadczy z jednej strony o popularności tej platformy, a z drugiej o jej podatności na działania twórców złośliwego oprogramowania. Co ciekawe, jeśli rozważymy ogół ataków opartych na exploitach, choć w 2012 r. zaobserwowaliśmy próby wykorzystania luk w zabezpieczeniach wielu różnych platform i programów, ogromna większość przypadków była związana z zaledwie czterema lukami — CVE-2011-3402 i CVE-2010-0188 (luki w zabezpieczeniach Windows) oraz poprzednio wspomnianymi CVE-2012-4681 i CVE-2012-5076 (luki w zabezpieczeniach Javy). Nawiasem mówiąc, odpowiedni producenci udostępnili Przegląd 8 poprawki, które eliminują wszystkie te luki. Taki dobór celów ataku bezpośrednio wynika z użycia popularnych pakietów exploitów, takich jak Blackhole i Cool Exploit, które pozwalały na wykorzystanie wspomnianych luk, często zanim producenci zdążyli je załatać. Nie dziwi zatem, że detekcje związane z BlackHole stanowiły 9 proc. wszystkich próbek wśród 10 najczęściej wykrywanych problemów w drugiej połowie 2012 r. Więcej informacji o tych exploitach znajduje się w studium przypadku „Exploity” na stronie 25. Wreszcie szybkie spojrzenie na statystyki Maca wskazuje, że choć komputery z systemem Windows pozostają podstawowym celem ataków, platforma Mac przyciąga coraz więcej uwagi. Oprócz poważnej epidemii Flashback na początku 2012 r. obserwowaliśmy wolny, ale stały wzrost ilości złośliwego oprogramowania dla Maców. Przez cały rok wykryliśmy 121 nowych, unikatowych wariantów, z czego większość należała do kategorii tzw. backdoors, czyli luk w zabezpieczeniach systemu utworzonych umyślnie w celu późniejszego wykorzystania. Dla porównania w 2011 r. zrejestrowaliśmy zaledwie 59 nowych, unikatowych rodzin atakujących tę platformę. 85 z 7 4 + Złośliwe oprogramowanie do Maców według typu, styczeń – grudzień 2012 r. razem= 121 wariantów* „Tylne drzwi”, 85% Inne, 4% Fałszywe programy zabezpieczające, 4% Trojany, 7% * Dane oparte na liczbie unikatowych wariantów wykrytych od stycznia do grudnia 2012 r., a nie na łącznej liczbie plików. Nie liczono oprogramowania ryzykownego i przepakowanych instalatorów; złośliwe programy złożone z wielu komponentów liczono tylko raz. Przegląd 9 Godne uwagi Hasło11 Szpiegostwo korporacyjne 12 HASŁO HASŁO Hasła komputerowe liczą sobie mniej więcej pięćdziesiąt lat. Jeszcze dwadzieścia kilka lat temu często były własnością wspólną — wiele osób używało tego samego hasła (lub zbioru haseł) w celu uzyskania dostępu do systemów komputerowych. W istocie używanie indywidualnych haseł w tamtym czasie było innowacją. Potem nastała era Internetu, a wraz z nią potrzeba korzystania z coraz większej liczby haseł do kont. Z biegiem czasu doszło do tego, że niektórzy mają dziesiątki haseł, które muszą zapamiętać. Co gorsza, powinny to być „silne” hasła i nie należy używać ich wielokrotnie w połączeniu z różnymi kontami. Druga połowa 2012 r. dostarczyła aż nadto dowodów ilustrujących problem z hasłami. Włamania, naruszenia zabezpieczeń, zrzuty baz danych — to terminy, które są obecnie znane statystycznym użytkownikom sieci (a nie tylko znawcom techniki). Dostępna dziś moc obliczeniowa sprawia, że hasła odporne na ataki siłowe są zbyt trudne do zapamiętania. ŻYWY TRUP Ustal konta, których ewentualne przejęcie miałoby najpoważniejsze konsekwencje, i upewnij się, że będą dobrze chronione. Uwierzytelnianie dwuczynnikowe jest skuteczne, ale nie daje stuprocentowej gwarancji. Warto korzystać z każdej dostępnej opcji. Na przykład Gmail pozwala użytkownikom tworzyć własne pytania ochronne do resetowania hasła. Pytanie to wcale nie musi być oparte na rzeczywistości. Może to po prostu być kolejne „hasło”, które zapisujesz na kartce i przechowujesz bezpiecznie w domu, gdzie tylko Ty masz do niego dostęp. A jeśli jesteś rodzicem nastolatków... powinieneś „uświadomić” ich w kwestiach użycia haseł. Nawyki wyrobione w młodości będą miały ogromny wpływ na ich przyszłe życie online. Miejmy nadzieję, że wkrótce pojawi się prawdziwy następca hasła a ten sposób zabezpieczenia będzie mógł z godnością przejść do historii. Niestety, droga do nowych rozwiązań może okazać się wyboista. Warto przygotować się zawczasu, bo 2013 rok nie będzie łaskawy dla nieprzygotowanych. Jeżeli nawet hasła są silne, systemy autoryzacji ich resetowania są dalekie od doskonałości. Silne hasło na nic się nie zda, jeśli można je zresetować z wykorzystaniem socjotechniki. Hasło jako sposób zabezpieczenia jest martwe i wszyscy o tym wiedzą. Niestety, jego następca jeszcze się nie pojawił. Co zatem można zrobić w oczekiwaniu na lepsze czasy? Wyznaczyć sobie priorytety. ZALECANA LEKTURA • • • • • • Używaj menedżera haseł, takiego jak KeePass lub Password Safe. Usuń stare konta, których już nie używasz. Oddziel powiązane konta. Używaj „tajnego” adresu e-mail do zarządzania kontami. Uważaj, co udostępniasz w mediach społecznościowych. Jeśli dzielisz się osobistymi informacjami, nie wykorzystuj ich do resetowania haseł. Korzystaj z opcji uwierzytelniania dwuczynnikowego, jeśli jest dostępna. OFIARA HAKERÓW: HASŁA ZAWIODŁY I NADSZEDŁ CZAS NA COŚ NOWEGO[1] Matt Honan opisuje włamanie na konto, które zniszczyło jego cyfrowe życie, i wyjaśnia jego skutki dla bezpieczeństwa online GOOGLE WYDAJE WOJNĘ HASŁOM Dowiedz się więcej o eksperymencie Google’a z uwierzytelnianiem kont opartym na urządzeniu ŹRÓDŁA [1] Wired; Matt Honan; Hacked: passwords have failed and it’s time for something new; opublikowano 17 stycznia 2013 r.; http://www.wired.co.uk/magazine/archive/2013/01/features/hacked?page=all [2] Wired; Robert McMillan; Google declares war on the password; opublikowano 18 stycznia 2013 r.; http://www.wired.com/wiredenterprise/2013/01/google-password/ HASŁO 11 ROSNĄCA POPULARNOŚĆ „ATAKÓW PRZY WODOPOJU” IW czwartym kwartale 2012 r. zmieniła się natura szpiegostwa korporacyjnego. Wcześniej niemal wszystkie zarejestrowane ataki opierały się na użyciu specjalnie spreparowanych dokumentów z exploitami i złośliwym oprogramowaniem. Obecnie szpiedzy zaczęli wykorzystywać luki w zabezpieczeniach przeglądarek i dodatków do przeglądarek, aby osiągać swoje cele za pomocą tak zwanych „ataków przy wodopoju”. Z biegiem lat na blogu F-Secure opisano liczne ataki szpiegowskie, w których często wykorzystywano „zatrute” załączniki do wiadomości e-mail przesyłanych bezpośrednio do docelowej organizacji. Ataki te kontrastują z najnowszym przypadkiem ataku przy wodopoju — włamaniem do witryny Council of Foreign Relations (CFR)[1] z 21 grudnia 2012 r. W witrynie umieszczono poprzednio nieznany exploit, „Porównanie tej listy ze spisem miliona najpopularniejszych który wpływał na wersje 6, 7 i 8 przeglądarki Internet Explorer (IE). domen dostępnym w witrynie Alexa.com pokazuje, że 99,6 Samo przejęcie witryny nie było proc. potencjalnych serwerów C&C znajduje się poza celem napastników; posłużyła ona tylko jako środek do infekowania najpopularniejszymi domenami”. odwiedzających, wśród których naturalnie byli również członkowie Noszą one taką nazwę, ponieważ zamiast przejmować samego CFR. Ponieważ zaś do grona członków CFR należy kontrolę nad przypadkową witryną i infekować każdego polityczna elita Stanów Zjednoczonych oraz założyciele odwiedzającego, napastnicy są bardziej wybredni, jeśli międzynarodowych korporacji, lista potencjalnych celów jest chodzi o użytkowników będących celem ataku oraz witrynę bardzo interesująca. używaną jako źródło zagrożenia. Atakują witrynę, która jest często używana przez pracowników szpiegowanej organizacji. Wzrost liczby ataków szpiegowskich przeprowadzanych Kiedy pracownicy odwiedzają tę witrynę, atakowana jest ich za pośrednictwem witryn internetowych prowadzi przeglądarka lub komputer, zwykle poprzez wykorzystanie do dwóch wniosków: po pierwsze, trend ten oznacza, luki w zabezpieczeniach, która umożliwia zainstalowanie że każda obecna w sieci firma obsługująca potencjalnie trojanów lub zagrożeń typu backdoors. Od tego momentu „interesujące” cele może stać się nieświadomym pośrednikiem zainstalowane złośliwe oprogramowanie staje się bramą w ataku; po drugie, organizacje te muszą znaleźć sposób do właściwego celu: wewnętrznej sieci i (lub) komunikacji na ograniczenie zagrożenia, aby chronić siebie i swoich klientów. w firmie zainfekowanego pracownika. Rysunek 1.: Zrzut ekranowy wiadomości e-mail i złośliwego załącznika do pliku używanego do ataku ukierunkowanego szpiegostwo korporacyjne 12 szpiegostwo SZPIEGOSTWO KORPORACYJNE szpiegostwo JAK DZIAŁA „ATAK PRZY WODOPOJU” Atakowana organizacja www Pakiet exploitów Napastnik www Napastnik zdobywa dostęp do zainfekowanego komputera Firmy dysponujące istotnymi zasobami online, które mogą być narażone na ataki przy wodopoju, muszą zainwestować w zabezpieczenia sieci i serwerów. Warto też regularnie sprawdzać, czy serwer WWW udostępnia tylko to, co powinien. Obrona przed atakami przy wodopoju nie wymaga niczego, czego i tak już nie używa się do odpierania bardziej „przyziemnych” ataków internetowymi, które są wymierzone w luki dnia zerowego, a przez to omijają zabezpieczenia oparte na wykrywaniu znanych zagrożeń. Częścią systemu bezpieczeństwa powinien oczywiście być korporacyjny pakiet zabezpieczający z mechanizmami wykrywania behawioralnego, który nie ogranicza się do statycznego identyfikowania znanych złośliwych plików, ale aktywnie wyszukuje i sygnalizuje podejrzane zachowania. Jeśli jednak mamy do czynienia z zaawansowanymi i uporczywymi atakami, jedna warstwa ochrony nie wystarczy. Użytkownicy korporacyjni powinni korzystać przynajmniej z bezpłatnego pakietu Exploit Mitigation Toolkit (EMET) Microsoftu, aby uszczelnić zarządzanie pamięcią systemową, która jest przydzielana aplikacjom klienckim, takim jak przeglądarki internetowe, Zainfekowany komputer dodatki do przeglądarek i czytniki dokumentów. Drugą, bardzo skuteczną metodą hamowania zapędów szpiegów jest filtrowanie adresów URL w firmowym serwerze DNS w taki sposób, aby z komputerów użytkowników dało się uzyskać dostęp tylko do określonych, aprobowanych witryn publicznych. Ten środek ostrożności utrudnia napastnikowi komunikację z zainstalowanymi trojanami i zapobiega wysyłaniu skradzionych informacji do serwerów dowodzenia (C&C). Przy właściwej konfiguracji metoda ta ma również tę zaletę, że nie wpływa na sposób, w jaki większość użytkowników pracuje lub korzysta z Internetu. W F-Secure prowadzimy listę znanych domen potencjalnie związanych ze szpiegostwem korporacyjnym. Porównanie tej listy ze spisem miliona najpopularniejszych domen dostępnym w witrynie Alexa.com pokazuje, że 99,6 proc. potencjalnych serwerów C&C znajduje się poza najpopularniejszymi domenami. Jeśli więc Twoja organizacja znajduje się w posiadaniu informacji, które mogłyby zainteresować inne firmy, warto skorzystać z rozwiązania do filtrowania zapytań DNS, które jest na tyle elastyczne, aby pozwalało użytkownikom na normalną pracę, ale wystarczająco rygorystyczne, żeby blokowało nieznane domeny. Choć napastnicy mogą użyć kanałów C&C, które są trudniejsze do zablokowania, takich jak Twitter lub Facebook, ten prosty środek ostrożności pokrzyżuje im szyki. SOURCE [1] The Washington Free Beacon; Chinese Hackers Suspected in Cyber Attack on Council on Foreign Relations; opublikowano 27 grudnia 2012 r.; http://freebeacon.com/chinese-hackers-suspected-in-cyberattack-on-council-on-foreign-relations/ szpiegostwo korporacyjne 13 STUDIA PRZYPADKÓW BOTY 15 ZEROACCESS 17 ZEUS 21 EXPLOITY 25 STRONY INTERNETOWE 28 ATAKI WIELOPLATFORMOWE 32 URZĄDZENIA MOBILNE 35 BotY Świat botów w 2012 r. W ostatnich kilku latach różne organizacje podjęły skoordynowane działania na rzecz powstrzymania, lub przynajmniej ograniczenia działań różnych botnetów, które odebrały milionom użytkowników kontrolę nad ich komputerami, danymi i pieniędzmi. Jednak w 2012 r. wiele botnetów odrodziło się, często w bardziej agresywnej formie, z nowymi złośliwymi programami, w nowym „opakowaniu” lub z nowymi strategiami marketingu i dystrybucji, a także ze skuteczniejszymi sposobami na zarabianie pieniędzy. BotY ZeroAccess Spośród wszystkich botnetów, zaobserwowanych w ubiegłym roku, z pewnością najszybciej rósł ZeroAccess. , Jak pokazuje mapa infekcji po prawej stronie[27] zainfekował miliony komputerów na świecie, w tym nawet 140 000 unikatowych adresów IP w Stanach Zjednoczonych i Europie. Szkodliwe oprogramowanie, które zmienia komputer użytkownika w bota, zwykle znajduje się w złośliwych witrynach, do których odwiedzenia użytkownik jest podstępnie namawiany. Złośliwa witryna zawiera pakiet exploitów( zwykle Blackhole), które podczas wizyty wyszukują luki w zabezpieczeniach komputera. Po złamaniu zabezpieczeń pakiet instaluje w nim oprogramowanie, które zmienia go w bota ZeroAccess. Bot codziennie pobiera nową listę reklam z serwera dowodzenia (C&C) ZeroAccess. Ponieważ cała operacja sprowadza się do oszukiwania na kliknięciach, szacuje się, że botnet kosztuje uczciwych reklamodawców nawet 900 000 dolarów dziennie. Oszustwa na kliknięciach stają się coraz częstsze, ponieważ internetowe sieci reklamowe nie mają sposobu na odróżnienie kliknięć legalnych od nieuczciwych. Innym źródłem dochodów ZeroAccess jest możliwość generowania bitmonet (Bitcoin), wirtualnej waluty zarządzanej przez infrastrukturę peer-to-peer (P2P). Moc obliczeniowa botów jest używana do wykonywania skomplikowanych obliczeń w celu znalezienia luki systemie weryfikacji transakcji Bitcoin. Większa ilośćwirtualnej waluty oznacza z kolei większą gotówkę, na którą można wymienić wirtualne monety. Ponad połowa botnetu jest poświęcona generowaniu bitmonet dla zysku. Więcej informacji o zarobkowej działalności ZeroAccess można znaleźć w studium przypadku na stronie 17. Zeus Zeus i jego rywal/partner SpyEye są prawdopodobnie nadal najszerzej dyskutowanymi trojanami bankowymi z 2012 r. Ktoś nazwał Zeusa „Bogiem botnetów »zrób to sam«”. Pomimo różnych prób likwidacji pod koniec grudnia 2012 r. projekt ZeuS Tracker śledził niemal 900 serwerów C&C Zeusa na całym Boty Rysunek 1. Mapa Google Earth przedstawiająca infekcje ZeroAccess w Stanach Zjednoczonych [1]. Czerwone znaczniki wskazują zainfekowany unikatowy adres IP albo klaster adresów. świecie. Liczba ta może nie odzwierciedlać rzeczywistych rozmiarów botnetu, ponieważ najnowsze wersje Zeusa zawierają protokół P2P, który utrzymuje komunikację w ramach samego botnetu. Umożliwia to pobieranie plików konfiguracyjnych i aktualizacji od innych zainfekowanych hostów. Ta funkcja, ochrzczona mianem „Gameover” utrudnia badaczom bezpieczeństwa śledzenie botnetu. Oprócz wprowadzania funkcji Gameoever główną zmianą w Zeusie były poprawki, które miały uczynić to złośliwe programowanie bardziej przyjaznym dla użytkownika, w rezultacie zwiększając jego atrakcyjność dla osób, które dopiero zaczynają swoją „przygodę” z przestępczością w Internecie. Zeus oferuje zaawansowany panel sterujący administracyjny, dobrze napisany podręcznik oraz kompilator, umożliwiając zarówno amatorom, jak i ekspertom szybkie opracowanie i zbudowanie plików wykonywalnych do infekowania komputerów ofiar. Citadel, trzecia pochodna Zeusa, wyróżnia się możliwością szybszego wdrażania nowych i wyspecjalizowanych funkcji poprzez ulepszony interfejs użytkownika, co również w tym przypadku ma na celu pomóc początkującym hakerom w dystrybucji złośliwego oprogramowania. Ta funkcja „dynamicznej konfiguracji” pozwala botmasterom 15 tworzyć iniekcje witryn „w locie”. Ma to kluczowe znaczenie we współczesnym krajobrazie przestępczości online, ponieważ boty są szybko likwidowane. Najważniejszą cechą Citadel jest jednak system „zarządzania relacjami z klientami” z platformą społecznościową do raportowania i poprawiania usterek. Ten pakiet to bez wątpienia profesjonalne narzędzie i w bliskiej przyszłości możemy oczekiwać stałego wzrostu liczby infekcji. do konta bankowego. Zainfekowana Caberpem aplikacja mobilna jest dystrybuowana na platformie Android, a jej docelowymi użytkownikami są klienci europejskich i rosyjskich banków. Bankowość internetowa zyskuje na popularności w wielu krajach, przez co transakcje online stają się atrakcyjnym celem cyberprzestępców, więc botnety takie jak Carberp prawdopodobnie będą nadal rozwijać się w 2013 r. Carberp Autorzy lub operatorzy Carberpa zmienili też sposób jego rozpowszechniania, aby przyciągnąć uwagę innych dystrybutorów złośliwego oprogramowania.. Od czasu wskrzeszenia wykorzystuje nowy model „złośliwe oprogramowanie jako usługa”, umożliwiając wynajęcie botnetu za opłatą w wysokości do 2000 do 10 000 dolarów miesięcznie. Ponadto kupujący ma do wyboru różne możliwości konfiguracji botnetu. Najdroższa z nich obejmuje infekcję sektora rozruchowego, co zwiększyło jego rynkową cenę do 40 000 dolarów. Choć ceny wydają się wysokie, opcja wypożyczania jest szczególnie atrakcyjna dla mniej doświadczonych użytkowników, którzy po prostu potrzebują środka do celu – to znaczy do zainstalowania większej liczby trojanów w komputerach ofiar. Carberp rozprzestrzenił się również na platformę mobilną w postaci ataków „man in the mobile” („człowiek w urządzeniu mobilnym”, odmiana ataku „człowiek w środku”). Aby atak Carberp-in-the-mobile (CitMo) zadziałał, użytkownik musi mieć zarówno aplikację mobilną, jak i komputer zainfekowany stacjonarną wersją Carberpa. Zainstalowana aplikacja mobilna potrafi przechwytywać wiadomości SMS z kodami mTAN (mobilny numer autoryzacji transakcji), które są wysyłane przez banki w celu uwierzytelniania transakcji internetowych wykonywanych przez użytkownika. Przechwycony kod mTAN jest przekazywany do zdalnego serwera, a stamtąd pobierany przez trojan Carberp zainstalowany w komputerze tego samego użytkownika i używany w celu uzyskania dostępu DorkBot DorkBot rozprzestrzenia się przez Skype’a i został odkryty w październiku 2013 r. Oprogramowanie to wykrada konta oraz hasła użytkowników Facebooka, Twittera, Netfliksa i różnych komunikatorów internetowych. Z przejętego konta społecznościowego DorkBot rozsyła do kontaktów użytkownika fotografie z pytaniem, czy dołączony obraz jest ich zdjęciem profilowym. Jeśli odbiorca nabierze się na tę sztuczkę socjotechniczną, w jego komputerze instalowane jest oprogramowanie typu „backdoor” oraz robak DorkBot, który staje się częścią botnetu. W przeciwieństwie do poprzednio wspomnianych botnetów DorkBot czerpie zyski z okupów — dosłownie blokuje komputer ofiary, rzekomo ze względu na obecność „nielegalnej treści”, takiej jak pornografia lub piracka muzyka. Następnie domaga się zapłacenia „kary” w wysokości 200 dolarów w ciągu 48 godzin, grożąc „zgłoszeniem sprawy agencji rządowej” do dalszego ścigania karnego. DorkBot potrafi też dodatkowo zarabiać na zainfekowanych hostach, wykorzystując je do oszukiwania na kliknięciach, co przypadkowo stwarza atrakcyjne źródło przychodu dla autorów. Botnety mobilne W embrionalnej fazie rozwoju są botnety operujące na Androidzie. Te mobilne botnety robią dokładnie to, czym zajmowały się pierwsze botnety komputerowe — to znaczy generują spam. SpamSoldier wysyła wiadomości SMS do stu urządzeń z systemem Android (w Stanach Zjednoczonych) jednocześnie. Nadawca nie ma pojęcia o tej aktywności, ponieważ wiadomości są usuwane zaraz po wysłaniu, więc wysoki rachunek za telefon bywa nieprzyjemną niespodzianką. Wiadomości mogą również zawieraćłącza prowadzące do innych złośliwych programów, które wzmacniają szkodliwy wpływ botów. ŹRÓDŁO [1] F-Secure Weblog; Sean Sullivan; The United States of ZeroAccess; opublikowano 20 września 2012r.; http://www.f-secure.com/weblog/archives/00002430.html BOTY 16 BOTY Carberp jest najbardziej godny uwagi ze względu na powrót z poprawionym produktem i podejściem „marketingowym”. Caberp pojawił się po raz pierwszy w 2011 roku jako typowe oprogramowanie do kradzieży danych bankowych, a jego rozprzestrzenianie się zostało tymczasowo powstrzymane przez rosyjskie agencje na początku 2012 r. Niestety, w grudniu botnet pojawił się ponownie z nową możliwością infekowania rekordu rozruchowego komputerów, komponentu, który uruchamia się jeszcze przed głównym systemem operacyjnym, przez co ukryte w nim złośliwe oprogramowanie jest trudniejsze do wykrycia i usunięcia. ZeRoAccess Najbardziej rentowny botnet na świecie ZeroAccess jest dziś jednym z najbardziej znanych botnetów. Badacze odkryli go po raz pierwszy w 2010 r., kiedy przyciągnął wiele uwagi ze względu na zdolność do przerywania wszystkich procesów związanych z zabezpieczneiami w komputerach, w tym produktami antywirusowymi. Kiedy jednak badacze skupili się na tych mechanizmach samoobrony, autor zrezygnował z nich i skupił się na dopracowaniu niestandardowego protokołu sieciowego peer-to-peer (P2P) używanego wyłącznie przez ZeroAccess. Po tej zmianie[1] ZeroAccess stał się łatwiejszy do wykrycia przez produkty antywirusowe, a mimo to rozprzestrzenił się błyskawicznie dzięki ulepszonej technice P2P[2]. Sukces ten w dużej mierze jest zasługą programu partnerskiego. Programy partnerskie to dobrze znana strategia marketingowa, której używa wiele witryn zajmujących się handlem elektronicznym[3]. Zasadniczo właściciel firmy, który chce wypromować swoją witrynę e-handlową, umawia się z właścicielami innych witryn, że będą kierować do niego klientów (którzy być może dokonają zakupu). Właściciele witryn są następnie wynagradzani za każdego potencjalnego klienta. Różnorodne metody dystrybucji używane przez licznych partnerów przyczyniły się do dużej liczby wariantów instalatora trojana, które są codziennie wykrywane przez produkty antywirusowe. Każdy z partnerów ma tę samą motywację: udział w przychodach gangu. Rysunek 1. Operator botnetu szuka partnerów na podziemnym forum Wykorzystując tę koncepcję, autor lub operator ZeroAccess zdołał rozpowszechnić program na dużej liczbie komputerów z pomocą partnerów. Gang ZeroAccess reklamuje instalator złośliwego oprogramowania na podziemnych rosyjskich forach, aktywnie poszukując dystrybutorów. Jego celem jest znalezienie innych cyberprzestępców, którzy lepiej znają się na dystrybucji złośliwego oprogramowania i potrafią to robić skuteczniej. Dystrybutorami złośliwego oprogramowania zwykle są doświadczeni partnerzy. Każdy z nich stosuje własne metody rozpowszechniania instalatorów ZeroAccess, aby spełnić wymagania rekrutera. Do najpopularniejszych zaobserwowanych przez nas metod dystrybucji należą pakiety exploitów, spam, programy do pobierania trojanów oraz udostępnianie fałszywych plików multimedialnych w serwisach P2P i w witrynach wideo, choć szczegóły różnią się w zależności od dystrybutora. ZeroAccess METODY UŻYWANE PRZEZ DYSTRYBUTORÓW ZEROACCESS Metody dystrybucji Trojan pobierający pliki Do komputera przemycany jest trojany, który pobiera i instaluje oprogramowanie botnetu Pakiet exploitów Wykorzystanie pakietu exploitów (na przykład Blackhole) do instalacji złośliwego oprogramowania bez wiedzy użytkownika (drive-by-download). Fałszywy plik multimedialny, generator kluczy albo crack Udostępnianie zainfekowanych plików w sieciach P2P pod atrakcyjnymi nazwami, takimi jak „microsoft. office.2010.vl.editi.keygen.exe” Serwisy P2P do wymiany plików Użycie serwisu wymiany plików do hostingu instalatora ZeroAccess Spam Wysyłanie wiadomości e-mail z załącznikiem lub łączem, które mogą pozwolić na dalszy atak 17 ZeroAccess Program partnerski: historia sukcesu ZeroAccess STRUKTURA PROGRAMU PARTNERSKIEGO ZEROACCESSe Operator botnetu ZeroAccess Pakiety exploitów Dystrybutor C Spam Ofiary ZeroAccess Dystrybutor B Generowanie bitmonet Dystrybutor A Oszustwa na kliknięciach PODZIEMNE FORUM $$$ Trojan pobierający pliki Dystrybutor n Sieć P2P skłonny zapłacić za nią od 500 do 1000 dolarów. Partnerzy są wynagradzani w modelu „opłaty za instalację” (Pay-Per-Install, PPI)[4], a stawka zależy od geograficznej lokalizacji komputera, w którym udało się zainstalować złośliwe oprogramowanie. Pomyślna instalacja w Stanach Zjednoczonych przynosi największe profity — gang jest Przy takich stawkach nie dziwi, że ZeroAccess jest bardzo rozpowszechniony w Stanach Zjednoczonych[5]. W dalszej kolejności pod względem wysokości prowizji są takie kraje, jak Australia, Kanada, Wielka Brytania i inne. Niektórzy dystrybutorzy publikują nawet zrzuty ekranowe z dowodem płatności, aby potwierdzić rzetelność swojego rekrutera. Gang ZeroAccess może sobie pozwolić na płacenie tak wysokich stawek rekrutom, ponieważ armia botów stworzonych w ramach programu partnerskiego przynosi jeszcze większe zyski. Rysunek 2. Dowody płatności dokonanych przez rekrutera ZeroAccess Po pomyślnej instalacji złośliwego oprogramowania w komputerach ofiar, ZeroAccess rozpoczyna pobieranie i instalowanie dodatkowych szkodliwych programów, które zapewniają operatorom botnetu dochody z oszustw na kliknięciach i generowania bitmonet. 18 Pomimo trudności z generowaniem bitmonet wprowadzenie tej funkcji (przy jednoczesnej rezygnacji z problematycznego mechanizmu samoobrony) świadczy o tym, że operatorzy ZeroAccess bardzo ambitnie rozwijają swój botnet i nie boją się podejmować ryzyka. Podsumowanie 35% Stany Zjednoczone 38% Inne 5% Włochy 5% Rumunia 5% Kanada 6% Indie 8% Japonia *Na podstawie statystyk zgromadzonych z krajowych sieci zarejestrowanych w ASN. ZeroAccess Generowanie bitmonet ma zbyt wiele ograniczeń. Na przykład pomyślne wygenerowanie bitmonety zależy od stopnia trudności wyznaczonego przez sieć Bitcoin i może nawet wymagać odrobiny szczęścia[7]. Co więcej, komputer ofiary musi działać na przyzwoitym procesorze, najlepiej w połączeniu z układem GPU lub FPGA, przez rozsądny czas[8]. Nawet przy dużej liczbie botów problemy z rozwiązywaniem bloków Bitcoin sprawiają, że generowanie bitmonet jest mniej opłacalne od oszukiwania na kliknięciach, które wymaga tylko, aby ofiara miała połączenie internetowe i przeglądarkę. INFEKCJE ZEROACCESS WG KRAJU, PROCENTOWO (%) 3538+8654 Operatorzy botnetu preferują wersję do oszukiwania na kliknięciach, ponieważ od 2006 r.[6] jest to sprawdzona metoda generowania przychodów z reklam w systemach opłaty za kliknięcie (pay-per-click, PPC). ZAROBKOWE DZIAŁANIA ZEROACCESS, PROCENTOWO (%) 1783 Sukces botnetu ZeroAccess jako wielkiej, w pełni funkcjonalnej „maszyny” do generowania zysków sugeruje, że problem szybko nie zniknie. Oprogramowanie ZeroAccess – które stwarza najbardziej bezpośrednie zagrożenie dla użytkowników – będzie nadal czyhało na ofiary w złośliwych witrynach. Program partnerski, który zachęca do rozprzestrzeniania szkodliwych programów, przyciągnie jeszcze więcej cyberprzestępców ze względu na reputację operatorów, którzy rzetelnie płacą partnerom i zmieniają stawki prowizji tak, aby zachować ich atrakcyjność. Wreszcie organizacja przestępcza stojąca za botnetem dowiodła, że nie boi się 83% eksperymentować i modyfikować „produktu” w celu uzyskania Oszustwa na kliknięciach nowych możliwości zarabiania pieniędzy. Oczekujemy zatem, że botnet ZeroAccess będzie rósł i ewoluował, a w bliskiej przyszłości wzbogaci się o nowe lub zaktualizowane funkcje. 17% Generowanie bitmonet Źródła [1] F-Secure Weblog; Threat Research; ZeroAccess’s Way of Self-Deletion; opublikowano 13 czerwca 2012; http://www.f-secure.com/weblog/archives/00002385.html [2] F-Secure Weblog; Sean Sullivan; ZeroAccess: We’re Gonna Need a Bigger Planet; opublikowano 17 września 2012; http://www.f-secure.com/weblog/archives/00002428.html [3] Wikipedia; Affiliate Marketing; http://en.wikipedia.org/wiki/Affiliate_marketing [4] Wikipedia; Compensation Methods; http://en.wikipedia.org/wiki/Compensation_methods#Pay-per-install_.28PPI.29 [5] F-Secure Weblog; Sean Sullivan; The United States of ZeroAccess, opublikowano 20 września 2012; http://www.f-secure.com/weblog/archives/00002430.html [6] MSNBC; Associated Press; Google settles advertising suit for $90 million; opublikowano 8 marca 2006; http://www.msnbc.msn.com/id/11734026/#.ULiDyN2sHvA [7] Bitcoin Wiki; Target; http://en.bitcoin.it/wiki/Target [8] Wikipedia; Bitcoin; http://en.wikipedia.org/wiki/Bitcoin ZeroAccess 19 ZeroAccess INFEKCJE ZEROACCESS W STANACH ZJEDNOCZONYCH, JAPONII I EUROPIE* Europe USA japan *Czerwone znaczniki wskazują zainfekowany unikatowy adres IP albo klaster adresów. ZeroAccess 20 Zeus Okradanie banków we współczesnej erze Różne odmiany Zeusa stanowią znaczną część trojanów bankowych - przejmują kontrolę nad milionami komputerów na całym świecie i powodują straty liczone w milionach dolarów. Jego typowe działanie polega na modyfikowaniu stron internetowych w celu gromadzenia cennych informacji. Może to na przykład oznaczać dodanie sekcji, która prosi potencjalne ofiary o wprowadzenie dodatkowych szczegółów logowania albo informacji osobistych podczas wizyty na stronie. Informacji tych używa się następnie do uzyskania dostępu do internetowych kont ofiar i wykonywania nieautoryzowanych transakcji. Geografia P2P Zeusa CELE INIEKCJI WEDŁUG KRAJU Spośród wszystkich pochodnych i wariantów szczególny charakter ma wersja peer-to-peer (P2P), ponieważ jest prywatna i tworzy jeden duży botnet. Inne odmiany zwykle tworzą liczne, ale mniejsze botnety, każdy prowadzony przez kogoś, kto kupił wersję Zeusa. Od końca sierpnia do połowy listopada 2012 r. monitorowaliśmy boty P2P i śledziliśmy witryny, które próbowały zainfekować poprzez iniekcje kodu. 88 47 • • • osobista bankowość internetowa, bankowość internetowa dla przedsiębiorstw (głównie małych firm z Ameryki Północnej), witryny inwestycyjne i handlowe, serwisy kart kredytowych, bardzo popularne globalne witryny (np. Amazon, eBay, Facebook itd.). Pod względem geograficznym głównym obszarem działania Zeusa była Ameryka Północna, gdzie wziął on na cel 88 witryn ze Stanów Zjednoczonych i 23 z Kanady. Ważnymi celami ataków było też kilka krajów europejskich. W danych konfiguracyjnych wpisy związane z witrynami włoskimi były aktywnie dodawane, usuwane i modyfikowane. Podczas wszystkich tych zmian Włochy pozostawały jednym z najczęściej atakowanych krajów. Jedno z czołowych miejsc zajęła Polska - we wrześniu i październiku do listy dodano 15 polskich witryn ( jeszcze w sierpniu na liście nie było żadnej polskiej witryny). Prawdziwą niespodzianką była liczba atakowanych banków bliskowschodnich w porównaniu z liczbą infekcji w tym samym regionie. Jeśli chodzi o liczbę komputerów zainfekowanych wersją P2P zeus 10 Zeus 11 Reszta świata 14 Niemcy 15 Polska Kanada Stany Zjednoczone 18 Arabia Saudyjska Zjednoczone Emiraty Arabskie • • 23 Włochy Dane konfiguracje ujawniły, że w badanym okresie celem ataków iniekcyjnych było 644 unikatowych adresów URL, ze szczególnym naciskiem na witryny z Ameryki Północnej. Nie wszystkie adresy URL zawierały nazwy domenowe. Czasem do identyfikacji docelowej witryny służyła tylko ścieżka, a wiele domen miało kilka prowadzących do nich adresów URL, używających różnych ścieżek. Po wykluczeniu adresów URL bez nazw domenowych i zduplikowanych domen pozostały 243 unikatowe domeny. Ogółem atakowane witryny można podzielić na następujące kategorie: Zeusa, na pierwszym miejscu znalazły się Stany Zjednoczone, a na drugim Włochy. Liczba ta opiera się na 5395 przypadkowych próbkach przeanalizowanych od lipca do listopada. Kraje na dalszych pozycjach nie wyróżniają się tłumu, ponieważ różnice w liczbie infekcji są nieznaczne. DZIESIĘĆ KRAJÓW Z NAJWIĘKSZĄ LICZBĄ INFEKCJI WERSJĄ P2P ZEUSA KRAJ UNIKATOWE ADRESY IP % WSZYSTKICH ADRESÓW IP Stany Zjednoczone 1809 33.53% Włochy 439 8.14% Niemcy 205 3.80% Gruzja 203 3.76% Meksyk 179 3.32% Kanada 168 3.11% Indie 167 3.10% Brazylia 143 2.65% Rumunia 133 2.47% Tajwan 110 2.04% 21 Co miesiąc Stany Zjednoczone i Włochy plasowały się na początku stawki pod względem liczby infekcji. Kiedy celami stały się polskie witryny, liczba infekcji w Polsce wzrosła ponad dwukrotnie, ale stanowiła zaledwie dwa procent łącznej liczby infekcji nawet w najwyższym punkcie w listopadzie. i Ice IX najwcześniejsza data podana w odpowiedniej tabeli reprezentuje dzień, w którym wykryliśmy pierwszą próbkę pochodnej. Jeśli jednak chodzi o wariant P2P, pierwszą próbkę otrzymaliśmy 3 września 2011 r., a pierwsze zmiany w poleceniach „tylnych drzwi” zaobserwowaliśmy sześć miesięcy później. PROCENT (%) ZAINFEKOWANYCH ADRESÓW IP W poniższych tabelach wymieniono wszystkie wywoływane polecenia. Niektóre z nich mogą nie realizować żadnych funkcji, nie śledziliśmy też zmian w działaniu poszczególnych poleceń. Warto zauważyć, że daty w tabelach reprezentują dzień, w którym otrzymaliśmy pierwszą próbkę z danym poleceniem, a nie dzień, w którym autor Zeusa wprowadził zmiany. 70% 60% Polska Tajwan Meksyk Indie Kanada Niemcy Gruzja Włochy Stany Zjednoczone 50% 40% 30% 20% 10% LIP SIE WRZ PAŹ LIS W 2012 roku zespół Dell SecureWorks Counter Threat Unit[3] zdołał połączyć się z około 100 000 botów P2P Zeusa. Jeśli przyjąć tę liczbę za minimalny rozmiar botnetu, można stwierdzić, że większość dostawców usług internetowych (P2P) najbardziej dotkniętych przez wersję P2P Zeusa ma do czynienia z kilkoma tysiącami infekcji w komputerach klientów. Nowe polecenia backdoorów („tylnych drzwi”) w pochodnych Zeusa Wywoływalne polecenia w botnecie Zeus Wariant P2P Polecenia Data pierwszej obserwacji fs_find_by_keywords ** 2012-03-30 fs_find_add_keywords 2012-04-09 fs_find_execute 2012-04-09 fs_pack_path 2012-05-24 ddos_address 2012-05-24 ddos_execute 2012-05-24 ddos_type 2012-05-24 ddos_url 2012-05-24 ** Polecenie fs_find_by_keywords było dostępne w wariancie P2P przez krótki czas; po raz ostatni zaobserwowano je w próbce otrzymanej 3 kwietnia 2012 r. Citadel Polecenia dns_filter_add Data pierwszej obserwacji 2011-12-10 dns_filter_remove 2011-12-10 url_open 2012-02-12 module_download_disable 2012-05-07 module_download_enable 2012-05-07 module_execute_disable 2012-05-07 Zeus to nie tylko trojan bankowy. Od pierwszej wersji zawierał pewne funkcje „tylnych drzwi” kontrolowane przez posiadacza botnetu za pomocą prostych skryptów. Skrypty te są dostarczane do zainfekowanych komputerów przez serwery dowodzenia (C&C). module_execute_enable 2012-05-07 info_get_antivirus 2012-05-07 info_get_firewall 2012-05-07 info_get_software 2012-05-07 ddos_start 2012-07-03 Różne pochodne (tzn. Citadel, Ice IX i P2P), które pojawiły się po tym, jak kod źródłowy Zeusa 2 wyciekł do internetu, otrzymują radykalnie różne polecenia. Polecenia te stanowią dobry wskaźnik tempa rozwoju każdej pochodnej. Citadel zajmuje pierwsze miejsce z 20 nowymi poleceniami, podczas gdy Ice IX otrzymał tylko jedno, przez co jest najbardziej zbliżony do bazowej wersji 2.0.8.9. W przypadku Citadel ddos_stop 2012-07-03 close_browsers 2012-09-11 webinjects_update 2012-09-11 download_file 2012-09-11 search_file 2012-09-11 tokenspy_update 2012-09-11 zeus Zeus 80% upload_file 2012-09-11 tokenspy_disable 2012-10-06 bot_transfer 2012-10-06 22 Zeus 2 Timeline of Notable Events Polecenia bot_update_exe Data pierwszej obserwacji 2011-11-03 Niektóre botnety Zeusa obecnie nie tylko pełnią funkcje bankowego trojana, ale również mogą być używane do rozproszonych ataków blokady usług (DDoS) na wybrane witryny, przy czym zainteresowani mogą wynająć botnet za stosowną opłatą. Jak można wywnioskować na podstawie poleceń „tylnych drzwi”, zarówno Citadel, jak i wersja P2P otrzymały funkcje DDoS latem, ale przyczyna aktualizacji wersji P2P może być inna. Według zespołu Dell SecureWorks Counter Threat Unit[3], operatorzy wariantu P2P używali ataków DDoS, aby zablokować ofiarom bankowego trojana dostęp do kont do momentu zakończenia nielegalnych transakcji. Może więc funkcje DDoS dodano po to, aby uniknąć wynajmowania botnetów stron trzecich, które były używane do przeprowadzania ataków od listopada 2011 r. do lata 2012 r. 01.04.2010 Narodziny Zeusa 2.0.0.0 xx.10.2010 Autor SpyEye otrzymuje kod źródłowy Zeusa[1] xx.04.2011 Najwcześniejsza znana data debiutu Ice IX[2] xx.05.2011 Kod źródłowy Zeus 2.0.8.9 wycieka do internetu Pierwsza publiczna sprzedaż Ice IX w internecie Najwcześniejszy wariant P2P Zeusa zidentyfikowany przez FS Labs xx.08.2011 03.09.2011 05.09.2011 03.11.2011 xx.11.2011 Pierwsza zarejestrowana domena zapasowa wariantu P2P Zeusa Najwcześniejsza próbka Ice IX zidentyfikowana przez FS Labs Gang P2P zaczyna używać ataków DDoS w swojej działalności[3] xx.12.2011 Pierwsza data identyfikacji Citadel[4] 10.12.2011 Pierwsza próbka wersji Citadel zaobserwowana przez FS Labs Zeus Ice IX 30.03.2012 Pierwsza zmiana w poleceniach tylnych drzwi wariantu P2P Zeusa 07.05.2012 Citadel otrzymuje polecenia tylnych drzwi do sterowania dodatkowymi modułami 14.05.2012 Niestandardowy wariant Zeusa 2, który zawiera funkcje wymuszania okupu 24.05.2012 Funkcje DDoS dodane do wariantu P2P Zeusa Funkcje DDoS dodane do wersji Citadel 03.07.2012 ŹRÓDŁA [1] KrebsonSecurity; Brian Krebs; SpyEye v. ZeuS Rivalry Ends in Quiet Merger; opublikowano 24 października 2010 r.; http://krebsonsecurity.com/2010/10/spyeye-v-zeus-rivalry-ends-in-quiet-merger/ [2] RSA FraudAction Research Labs; New Trojan Ice IX Written Over Zeus’ Ruins; opublikowano 24 sierpnia 2011 r.; http://blogs.rsa.com/rsafarl/new-trojan-ice-ix-written-over-zeus-ruins/ [3] Dell SecureWorks; Brett Stone-Goss; The Lifecycle of Peer-to-Peer (Gameover) ZeuS;opublikowano 23 lipca 2012 r.; http://www.secureworks.com/cyber-threat-intelligence/threats/The_Lifecycle_of_Peer_to_Peer_Gameover_ZeuS/ [4] Seculert Blog; Citadel - An Open-Source Malware Project; opublikowano 8 lutego 2012 r.; http://blog.seculert.com/2012/02/citadel-open-source-malware-project.html zeus 23 ExploityDziesięć najczęściej atakowanych luk w zabezpieczeniach w 2012 r. Z perspektywy zwykłego użytkownika najbardziej prawdopodobnym scenariuszem, w którym ktośspróbuje wykorzystać lukę w zabezpieczeniach jego komputera, jest odwiedzenie złośliwej lub przejętej przez napastnika witryny internetowej. Choć niektóre ataki nadal wykorzystują tradycyjne taktyki socjotechniczne, które raczej nie zwiodą czujnego użytkownika („Kliknij to łącze, aby otrzymać nagrodę!” albo „Pobierz kodek, aby obejrzeć ten fascynujący film!”), w bardziej zaawansowanych przypadkach użytkownicy nie widzą żadnych jawnych symptomów ataku - włamanie do komputera zachodzi szybko i po cichu, w krótkim okresie, kiedy ma on styczność ze złośliwą witryną. W niektórych przypadkach atak jest specjalnie przygotowany pod kątem określonej grupy użytkowników. Do takich grup należą klienci określonych banków (kiedy chodzi o kradzież pieniędzy) albo pracownicy określonej firmy lub branży (kiedy chodzi o szpiegostwo korporacyjne lub polityczne, zobacz studium przypadku „Szpiegostwo korporacyjne” na stronie 12). Takie ukierunkowane ataki nie są niczym nowym — od wielu lat obserwujemy przypadki spear phishingu, czyli precyzyjnego wyłudzania informacji. Główna różnica polega na tym, że w ostatnich kilku latach napastnicy nie czekają, aż użytkownik pobierze zainfekowany załącznik albo wprowadzi poufne dane na złośliwej stronie udającej prawdziwy portal, ale korzystają z exploitow i (lub) pakietów exploitów, aby bezpośrednio włamać się do komputera użytkownika, bez żadnych działań z jego strony. W 2012 r. używano szerokiej gamy exploitów, ale statystyki z chmurowych systemów monitoringu F-Secure wskazują, że w większości krajów gros wykrytych exploitów ma związek z zaledwie czterema lukami w zabezpieczeniach, zgłoszonymi w ciągu minionych dwóch lat i opatrzonymi oficjalnymi identyfikatorami Common Vulnerabilities and Exposures (CVE). Może to wynikać z faktu, że niektóre najpopularniejsze dziś pakiety exploitów, zwłaszcza BlackHole i Cool Exploit, zawierają exploity wymierzone właśnie w te luki. Jak na ironię, większość tych luk została załatana w poprawkach wypuszczonych przez odpowiednich producentów oprogramowania. Dwie inne luki specyficzne dla Javy, choć znacznie mniej popularne niż pierwsze cztery, również były celem tylu ataków, że są godne odnotowania. exploity Luki CVE najczęściej atakowane w 2012 r.: CVE-2011-3402 Usterka w mechanizmie analizy czcionek TrueType używanym przez sterowniki jądra różnych systemów operacyjnych Windows (w tym XP, Vista i Windows 7) pozwala napastnikom wykonywać dowolny kod na komputerze użytkownika. Do ataku używa się dokumentu Worda albo strony internetowej ze specjalnie spreparowanymi, złośliwymi danymi czcionki. Więcej informacji o tej luce w zabezpieczeniach można znaleźć w infografice na stronie 27. CVE-2010-0188 Usterka w programie Adobe Reader i różnych wersjach Adobe Acrobat pozwala napastnikom wykorzystać specjalnie spreparowany dokument PDF do spowodowania awarii aplikacji, a w konsekwencji blokady usług. Według raportów, dokument PDF może też zainstalować w atakowanym systemie złośliwy plik, który następnie łączy się ze zdalną witryną i oczekuje dalszych instrukcji. CVE-2012-4681 Luki w zabezpieczeniach środowiska Java Runtime Environment (JRE) działającego w przeglądarkach internetowych pozwalają napastnikom wykorzystać specjalnie spreparowany aplet do uruchomienia dowolnego kodu w zaatakowanym komputerze. Użytkownicy najczęściej padają ofiarą złośliwego apletu wtedy, kiedy zostaną skierowani (z wykorzystaniem socjotechniki albo zatrutych wyników wyszukiwania) do złośliwej witryny zawierającej aplet. CVE-2012-5076 Usterka w komponencie JRE oprogramowania Oracle Java SE 7 Update 7 i starszych wersji pozwala napastnikom wykorzystać specjalnie spreparowany aplet do uruchomienia dowolnego kodu w zaatakowanym komputerze, zazwyczaj w celu pobrania dodatkowych złośliwych plików. CVE-2012-0507 Usterka w klasie AtomicReferenceArray różnych wersji języka Oracle Java zasadniczo pozwala napastnikom wydostać się z „piaskownicy”, czyli zamkniętego środowiska instalacji Javy, i wykonywać różne złośliwe działania na zaatakowanym komputerze. CVE-2012-1723 Usterka w maszynie wirtualnej HotSpot w komponencie JRE różnych wersji języka Oracle Java pozwala napastnikom wydostać się z „piaskownicy”, czyli zamkniętego środowiska instalacji Javy, i wykonywać różne złośliwe działania na zaatakowanym komputerze. 25 exploity W 2012 r. wykorzystywanie znanych luk w często używanych programach lub systemach operacyjnych stało się jedną z najpopularniejszych, jeśli nie najpopularniejszą techniką stosowaną przez dystrybutorów złośliwego oprogramowania, hakerów i napastników w celu uzyskania dostępu albo kontroli nad komputerem użytkownika. Holandia Belgia Występowanie exploitów: 139 Występowanie exploitów: 121 2011-3402: 2010-0188: 2012-4681: 2012-5076: 2011-3402 2012-4681 2011-3402 39% 32% 17% 9% 2010-0188 2012-5076 2010-0188 2011-3402: 2010-0188: 2012-4681: 2012-5076: 2012-4681 2012-5076 Szwecja 2011-3402 INFOGRAFIKA Najczęściej atakowane luki CVE 10 najczęściej atakowanych krajów Druga połowa 2012 r. 2010- 2012-4681 0188 2012-4681 2010-0188 Występowanie exploitów: 102 2012-5076 2011-3402: 2010-0188: 2012-4681: 2012-5076: 2010-0188 20113402 2012-4681 20125076 20122011-3402 5076 Włochy Niemcy Francja Exploit Prevalence: 88 2010-0188: 2012-4681: 2011-3402: 2012-5076: Exploit Prevalence: 78 2012-4681: 32% 2010-0188: 26% 2011-3402: 22% 2012-5076: 15% Exploit Prevalence: 69 2011-3402: 32% 2010-0188: 28% 2012-4681: 24% 2012-5076: 13% 38% 29% 22% 8% 2012-5076 2012-4681 20113402 20100188 20100188 2012-5076 Stany Zjednoczone Exploit Prevalence: 87 2012-4681: 2012-5076: 2011-3402: 2010-0188: 2011-3402 20124681 47% 25% 16% 9% 31% 29% 29% 9% Infografika przedstawia 10 krajów, w których najczęściej atakowano znane luki CVE w drugiej połowie 2012 r., uszeregowanych według występowania exploitów (liczby detekcji związanych z CVE na 1000 użytkowników z danego kraju) w tym okresie. Na przykład w drugiej połowie 2012 r. nasze systemy wykryły exploit związany z CVE u 139 na każdy 1000 użytkowników z Holandii. Przedstawiono też 4 luki CVE najczęściej atakowane w każdym kraju oraz ich udział procentowy we wszystkich detekcjach CVE w danym kraju. 2010-0188 20124681 20122011-3402 5076 36% 35% 16% 11% Wielka Brytania Exploit Prevalence: 67 2011-3402: 30% 2012-4681: 28% 2010-0188: 28% 2012-5076: 11% 2010-0188 2010-0188 2012-5076 2012-5076 2011-3402 2011- 20123402 4681 2012-4681 Polska Finlandia Exploit Prevalence: 61 2010-0188: 35% 2012-5076: 24% 2011-3402: 21% 2012-4681: 16% Exploit Prevalence: 45 2010-0188: 33% 2012-5076: 25% 2011-3402: 21% 2012-4681: 17% Szwecja infograFIKA Belgia 72 56 Holandia Wykorzystywanie luki CVE-2011-3402 Wielka Brytania USA 34 21 11Dania 16 13 17 Polska Germany 25 Najwięcej ataków na użytkowników, 15 najczęściej atakowanych krajów 25 Francja Austria 27 Grecja 15 Liczba wykryć związanych z CVE-2011-3402 na 1000 użytkowników z danego kraju, według danych zarejestrowanych przez chmurowe systemy monitoringu F-Secure w drugiej połowie 2012 r. 19 Czechy Hiszpania Na przykład w Belgii 72 na 1000 użytkowników zgłosiło wykrycie związane z CVE-2011-3402 w drugiej połowie roku. Szwajcaria 40 21 Włochy 2% Blackhole 11 Inne Cool 87% Wkrótce później pojawił się exploit, który wykorzystuje tę lukę m.in. do instalowania szkodliwego oprogramowania w podatnych systemach. Bądź Cool W drugiej połowie 2012 r. większość złośliwych witryn z exploitem CVE2011-3042 używało pakietu Cool Exploit do atakowania niczego nie podejrzewających gości. 1000= CVE-2011-3402 980= CVE-2010-0188 950= CVE-2012-5076 500= CVE-2012-0507 100= CVE-2012-4681 135 000 Ukraina Wielka Brytania Rosja Niemcy 26% 26% Francja Exploit ten został użyty po raz pierwszy w złośliwym programie Duqu, który atakował tylko wybrane organizacje w niektórych krajach. W październiku dodano go do Cool Exploit, a wkrótce potem do pięciu innych pakietów. Szybko stał się on jednym z exploitów napotykanych najczęściej przez zwykłych użytkowników komputerów w drugiej połowie 2012 r. 34% +872 Stany Zjednoczone 11% Identyfikator CVE-2011-3402 odnosi się do ujawnionej w 2011 r. luki w zabezpieczeniach komponentu Windows, który odpowiada za obsługę czcionek TrueType. Strefa Euro 60 proc. złośliwych witryn, w których znajdowały się pakiety z exploitem CVE-2011-3042, było zarejestrowanych w zaledwie dwóch krajach: we Francji i w Niemczech. Największe przeboje Choć luka CVE-2011-3402 jest względnie nowa, zajęła drugie miejsce pod względem częstości detekcji związanych z CVE, które zostały zarejestrowane przez chmurowe systemy monitoringu F-Secure w drugiej połowie 2012 r. Sieć WWW Szarzejąca sieć Publikowanie treści w sieci nigdy nie było tak łatwe. Wszystko można skopiować i zachować dla potomności, a witryny internetowe da się tworzyć w ciągu kilku sekund bez żadnej technicznej wiedzy. Cieszy to każdego, od początkujących właścicieli firm, którzy chcą minimalnym kosztem dotrzeć z produktem do szerszego grona odbiorców, do aktywistów, którzy chcą pozostać anonimowi, a jednocześnie nagłośnić swoją sprawę — i oczywiście przestępców, którzy chcą czerpać zyski z zainfekowanych komputerów, ukradzionych danych i przejętych kont bankowych. 20 domen najwyższego poziomu (TLD) ze złośliwymi adresami URL, sierpień-grudzień 2012 r. TLD % .in 1.10 .com 44.51 .pl 1.01 .ru 6.62 .uk 0.84 .net 6.53 .eu 0.65 .org 4.44 .it 0.58 .ua 3.67 .kr 0.55 .info 2.49 .fr 0.54 .cn 2.41 .es 0.52 .cc 2.17 .nl 0.51 .de 1.53 .biz 0.50 .br 1.18 TOTAL 82.35 Hosting/przekazywanie treści Dawniej przestępcy udostępniali złośliwe produkty w specjalnie przygotowanych do tego celu witrynach. Niedawne postępy w branży hostingu sprawiły, że ta opcja stała się jeszcze bardziej atrakcyjna dla osób o nieczystych intencjach. Hosting witryn internetowych stał się tak powszechny i tani, że domeny można kupować hurtem, a w dodatku pojawił się hosting poddomen, który sprawia, że udostępnianie treści sieć www w sieci jest jeszcze tańsze, czasem wręcz darmowe. Witryny hostingowe są różnorodne i bardziej lub mniej sprzyjają hostingowi złośliwego oprogramowania. Na przykład serwisy zdjęciowe nie są jeszcze szeroko wykorzystywane do dystrybucji szkodliwych programów. Jednak niektóre typy witryn z natury dobrze nadają się do rozpowszechniania złośliwej treści. Oto niektóre najczęściej nadużywane usługi: • • • • • dostawcy DDNS, hosting poddomen i przekierowywania, hosting blogów i treści, hosting plików, sklepy z aplikacjami. Usługi te są faworyzowane ze względu na łatwość użycia, wysoki stopień anonimowości oraz to, że są tanie, a nawet darmowe. Choć w każdej z nich odnotowano rosnącą ilość złośliwego oprogramowania, najbardziej oczywistym celem są dostawcy DDNS i sklepy z aplikacjami (więcej informacji o hostingu złośliwego oprogramowania w sklepach z aplikacjami znajduje się w studium przypadku „Urządzenia mobilne” na stronie 35). W miarę poszerzania się oferty hostingu poddomen przez dostawców DDNS rosła ilość przekazywanej przez nie złośliwej treści. Analiza jednego z trzech czołowych dostawców DDNS (no-ip.com, dnsdynamic.org i changeip.com) wykazała, że w 165 na 189 obsługiwanych domen (87 proc.) znajduje się złośliwa treść. To oszacowanie reprezentuje zaledwie 1 proc. wszystkich złośliwych adresów URL w badanym okresie, ale nie uwzględnia złośliwej treści udostępnianej przez innych dostawców, takich jak afraid.org, który obecnie ma do dyspozycji 98 302 domeny. Kolejną sprawą jest hosting poddomen i przekierowywania. Choć ustąpił pola dostawcom DDNS, witryny te nadal funkcjonują i rozpowszechniają swoją część złośliwej treści. Wiele z nich (np. uni.me, 110mb.com, vv.cc, x10.mx i rr.nu) jest używanych do hostingu złośliwego oprogramowania. Choć duży gracz, co.cc, zniknął w tajemniczych okolicznościach, większość dostawców hostingu poddomen nadal prosperuje. Witryny oferujące hosting plików, blogów i innych treści bynajmniej nie pozostają w tyle. Choć spełniają one potrzeby szerokich mas użytkowników, jednocześnie pozwalają przestępcom na łatwą dystrybucję produktów. Weźmy na przykład Wordpress, obecnie najpopularniejszy internetowy system zarządzania treścią (Content Management 28 Sieć WWW We współczesnej sieci WWW nasila się pewien niepokojący trend. Dynamiczny hosting różnych wirtualnych zasobów, który pozwala z błyskawiczną prędkością udostępniać ogromną ilość treści, jednocześnie sprawia, że szary krajobraz online staje się coraz bardziej przewidywalny. Coraz większe grono odbiorców ma do czynienia z coraz większą ilością złośliwego oprogramowania i treści. System, CMS) z 59-procentowym udziałem w rynku[1]. Jego intuicyjność zrewolucjonizowała sferę tworzenia treści, oferując głos i obecność w cyberświecie nawet autorom bez żadnych umiejętności technicznych. Ponieważ jednak przestępcy również znają dane statystyczne, pakiety exploitów atakują witryny udostępniane przez Wordpress, używając ich jako stron przekierowujących do złośliwegooprogramowania. Wreszcie witryny oferujące hosting plików pozwalają łatwo udostępniać w sieci zarówno legalne pliki, jak i złośliwe oprogramowanie. Znaczna część złośliwych plików próby oszustwa, rozprzestrzenia się dalej. Sieci dystrybucji reklam W dzisiejszej „erze upodmiotowienia” ktoś musi zapłacić rachunek za infrastrukturę stojącą za różnymi platformami, które umożliwiają bezpłatną publikację treści. Techcrunch przeprowadził interesującą analizę[2] współczesnych technik monetyzacji używanych przez serwisy reklamowe oraz ich wpływu na krajobraz mobilny. W opracowaniu tym pojawiła się również kwestia ciemniejszej strony reklam, tak zwanego malvertisingu. Malvertising to szybko nasilający się trend. Rzut oka na ranking domen w serwisie Alexa pozwala zrozumieć, dlaczego: spośród 1000 czołowych domen 5,9 proc. należy do sieci dystrybucji reklam. Oczywiście, użytkownicy nie odwiedzają samych serwisów reklamowych, ale inne witryny udostępniające treść, które pobierają reklamy z serwerów. „ANALIZA JEDNEGO Z TRZECH CZOŁOWYCH DOSTAWCÓW DDNS ... WYKAZAŁA, ŻE W 165 NA 189 OBSŁUGIWANYCH DOMEN (87 PROC.) ZNAJDUJE SIĘ ZŁOŚLIWA TREŚĆ.” Sieci i serwisy społecznościowe Choć sieci i serwisy społecznościowe pozwalają na skuteczną dystrybucję zagrożonej treści, duzi gracze, tacy jak Facebook i Twitter, są bardzo zaangażowani w poprawę bezpieczeństwa. Facebook nawiązał współpracę z ekspertami od bezpieczeństwa, licząc na oczyszczenie ogromnej ilości danych przepływającej każdego dnia przez jego systemy, a wysiłki te zostały w dużej mierze uwieńczone sukcesem. Ilość złośliwych aplikacji i oszustw publikowanych na stronach Facebooka zmniejszała się z biegiem lat, a drugiej połowie 2012 r. znaleźliśmy w tym serwisie społecznościowym niespełna 30 „szarych” aplikacji. Twitter oferuje własną usługę skracania adresów URL (t.co), aby wyeliminować jak najwięcej podejrzanego oprogramowania z udostępnianych łączy. Choć Facebook i Twitter zwierają szyki, pozostają jeszcze inne witryny społecznościowe, często obsługujące użytkowników z jednego kraju, które miewają własne problemy z bezpieczeństwem. Zasadniczy problem z serwisami społecznościowymi polega na tym, że są one idealnym narzędziem do ataków socjotechnicznych. Pomimo ciągłej edukacji użytkowników i rosnącej świadomości zagrożeń zawsze trafi się ktoś, kto kliknie „apetyczne” łącze — i podejrzana treść, zazwyczaj sieć www Obecnie wiele witryn wyświetla treść nie tylko z własnej domeny, ale również z zewnętrznych, niezależnych źródeł. Weźmy na przykład witrynę ESPN. Oprócz właściwego adresu espn.go.com pobiera ona treść z następujących lokalizacji: • • • • espncdn.com – formatowanie i treść stron, dl-rms.com, doubleclick.net, 2mdn.net, scorecardresearch.com, ooyala.com, adnxs.com, adroll.com, mktoresp.com – reklamy i łącza związane z monetyzacją, chartbeat.com, google-analytics.com, etc – statystyki ruchu internetowego, typekit.com, etc – zestawy czcionek/oprogramowanie. Wiele źródeł treści sprawia, że bezpieczeństwo witryny nie zależy już od niej samej, ale również od integralności sieci dystrybucji reklam, a nawet bezpieczeństwa używanych czcionek i programów. Niestety, trudno jest zarządzać bezpieczeństwem, kiedy jest ono rozproszone po tylu różnych elementach. Przestępcy to wiedzą i chętnie wykorzystują. Najczęstsze do tej pory ataki z wykorzystaniem reklam polegają na dystrybucji złośliwej reklamy i naruszeniu zabezpieczeń platformy reklamowej, która obsługuje docelową witrynę. Klarowny przykład miał miejsce wtedy, kiedy sieć reklamowa obsługująca jedną z najpopularniejszych fińskich witryn, suomi24, przypadkowo puściła w obieg szkodliwą reklamę. 29 Sieć WWW przechowywanych w tych witrynach jest bezpośrednio pobierana przez trojany bez żadnej interwencji użytkownika. Hosting plików stanowi atrakcyjną alternatywę dla napastników, którzy w innych okolicznościach musieliby uciec się do trudniejszego technicznie dynamicznego DNS, hostingu poddomen, a nawet domen autonomicznych. Poniedziałek 3 grudnia 2012 r. Sobota 24 listopada 2012 r. Niedziela 25 listopada 2012 r. Poniedziałek 26 listopada 2012 r. Wtorek 27 listopada 2012 r. Ponieważ suomi24 jest jedną z 15 czołowych witryn w Finlandii, spowodowało to radykalny wzrost liczby detekcji w okresie od 1-4 grudnia 2012 r.[3] najczęściej odwiedzanych witryn i przyjrzyjmy się, co właściwie na niej mamy. W rankingu można znaleźć wyszukiwarki, witryny społecznościowe, witryny informacyjne i handlowe oraz różne serwisy hostingu treści, plików i reklam. Ataki na sieci reklamowe, choć trudniejsze technicznie, są również skuteczne. Przykładem może być niedawny atak opisany przez Websense[4], który polegał na przejęciu samego serwera reklamowego w celu rozpowszechniania złośliwego „56 SPOŚRÓD 1000 CZOŁOWYCH DOMEN ALEXA ŁO ZŁOŚLIWĄ TREŚĆ, ZWYKLE W POSTACI ŁĄCZA ALBO PRZEKIEROWANIA DO ZŁOŚLIWEGO OPROGRAMOWANIA LUB PRÓB WYŁUDZENIA INFORMACJI”. kodu. Innym popularnym mechanizmem malvertisingu jest serwis skracania adresów URL adf.ly, który płaci użytkownikom za udostępnianie łączy. Alexa umieszcza go na pozycji 76 najczęściej odwiedzanej witryny na świecie, 37 w Indiach. Serwis ma bardzo szeroki zasięg — prowadzą do niego łącza z 116 165 witryn. Aby uzyskać lepszy wgląd w złośliwe reklamy dystrybuowane za pośrednictwem adf.ly, Malekal[5] śledził rozpowszechnianie się malvertisingu w tym serwisie przez cały 2012 r. Rzut oka na 100 najczęściej odwiedzanych witryn Sprawdźmy teraz dostępną w serwisie Alexa listę 1000 SIEĆ WWW Wtorek 4 grudnia 2012 r. Hosting plików reprezentuje 1,9 proc. najczęściej odwiedzanych witryn, a różne witryny społecznościowe — 3,4 proc. Sieci dystrybucji reklam stanowią 5,9 proc. spośród 1000 czołowych witryn. Choć w drugiej połowie 2012 r. tylko nieliczne rozpowszechniały złośliwą treść, z pewnością stanowią atrakcyjny cel dla napastników i w związku z tym powinny zostać zabezpieczone. Największa ilość złośliwej treści pochodziła z serwisów hostingu treści. W drugiej połowie 2012 r. 56 spośród 1000 czołowych domen Alexa (5,6 proc.) przechowywało złośliwą treść, zwykle w postaci łącza albo przekierowania do złośliwego oprogramowania lub prób wyłudzenia informacji. Co ciekawsze, odkryliśmy, ze 95,4 proc. spośród wszystkich złośliwych adresów URL w tych 56 witrynach należało do zaledwie garstki domen. Warto podkreślić, że do tej pory braliśmy pod uwagę tylko ewidentnie złośliwe programy lub oszustwa; nie uwzględniliśmy działań na granicy legalności, które wykorzystują obawy o zdrowie, piękno, pieniądze i sprawność seksualną, aby nakłonić ofiary do rozstania się z informacjami lub gotówką. Matactwa tego typu również pną się w górę rankingów, zwłaszcza na poziomie poszczególnych krajów. Na przykład pod koniec roku 2 proc. spośród 500 najpopularniejszych argentyńskich witryn udostępniało zewnętrzne strony 30 SIEĆ WWW Rysunek 1.: Porównanie liczby detekcji w Finlandii zgłoszonych przez system monitoringu chmurowego F-Secure w okresach 24-27 listopada i 1-4 grudnia 2012 r. Niedziela 2 grudnia 2012 r. Liczba detekcji: Liczba detekcji: Sobota 1 grudnia 2012 r. z sondażami lub nagrodami. Oferty szybkiego wzbogacenia się lub zdobycia nagrody nie są też rzadkością w Australii, Hiszpanii, Islandii, na Węgrzech i w Armenii. Przedsięwzięcia tego typu uważa się jednak zwykle za „potencjalnie niepożądane”, a nie „złośliwe”, więc mają one inny odcień szarości. TOP DOMAINS HOSTING MALWARE, AS LISTED IN ALEXA’S TOP 1000 DOMAINS FOR H2 2012 DOMENA OPIS MAIL.RU hosting blogów, hosting plików, różne usługi LETITBIT.NET hosting plików CLOUDFRONT.NET hosting i dystrybucja treści, różne usługi DROPBOX.COM hosting plików HOTFILE.COM hosting plików FC2.COM hosting blogów, hosting plików, różne usługi GOOGLE.COM hosting dokumentów, hosting plików, wyszukiwarka, różne usługi site hosting, various services SENDSPACE.COM hosting plików 4SHARED.COM hosting plików BLOGSPOT.DE hosting blogów AMAZONAWS.COM hosting ogólny, usługi webowe, różne inne usługi SAPO.PT hosting witryn UCOZ.COM hosting witryn RAPIDSHARE.COM hosting plików To naprawdę zdumiewające, ile wolności oferuje internet i jak ściśle łączy obywateli sieci. Ponieważ obecnie jedynym warunkiem wstępnym jest możliwość dostępu do internetu z poziomu dowolnego urządzenia, jakie akurat jest pod ręką, stał się on prawdziwym źródłem upodmiotowienia ludzi z każdego zakątka globu. Ciemną stroną tego renesansu jest jednak to, że złośliwe działania również mogą uderzyć z każdego zakątka internetu. Zmieniła się definicja bezpieczeństwa w internecie. Choć niektóre witryny nadal są bezpieczniejsze niż inne, nic nie gwarantuje już stuprocentowego bezpieczeństwa. Z perspektywy użytkowników oznacza to, że bezpieczeństwo w internecie staje się w coraz większym stopniu kwestią osobistą. Minimalizacja zagrożeń wymaga wielu warstw zabezpieczeń i zdrowej dozy paranoi. UWAGA: Dane z witryny Alexa.com porównano z rankingami URL niezależnych partnerów. Statystyki dotyczące złośliwego oprogramowania za okres od sierpnia do grudnia 2012 r. pochodzą z systemów monitoringu chmurowego F-Secure. SIEĆ WWW COMCAST.NET Podsumowanie ŹRÓDŁA [1] Opensource CMS; CMS Market Share; http://www.opensourcecms.com/general/cms-marketshare.php [2] Techcrunch; Keith Teare; Unnatural Acts And The Rise Of Mobile; opublikowano 29 grudnia 2012 r.; http://techcrunch.com/2012/12/29/unnatural-acts-and-therise-of-mobile/ [3] F-Secure Weblog; Sean Sullivan; Finnish Website Attack via Rogue Ad; opublikowano 5 grudnia 2012 r.; http://www.f-secure.com/weblog/archives/00002468.html [4] Websense; Dissecting Cleartrip.com website compromise: Malicious ad tactics uncovered; opublikowano 29 czerwca 2012 r.; http://community.websense.com/blogs/securitylabs/archive/2012/06/29/cleartrip-com-compromised-maliciousad-tactics-uncovered.aspx [5] Malekal’s site; Malvertising adf.ly => Ransomware Sacem / Police Nationale; opublikowano 13 marca 2012 r.; http://www.malekal.com/2012/03/13/malvertising-adf-lyransomware-sacem-police-nationale/ SIEĆ WWW 31 Ataki wieloplatformowe Nie tylko Windows Pogląd, że Mac jest wolny od złośliwego oprogramowania, a Windows podatne na infekcje, stał się przestarzały. W miarę rosnącej popularności Maca autorzy złośliwego oprogramowania nie będą już ignorować tego rynku. To samo można powiedzieć o mobilnych systemach operacyjnych. W obliczu różnorodnych platform i rosnącej liczby urządzeń coraz mniej praktyczne stają się ataki, które działają tylko w określonym systemie. W drugiej połowie 2012 r. odnotowaliśmy kilka przypadków ataków wieloplatformowych, w których złośliwe programy działały w systemach operacyjnych różnego typu. Ataki składały się z wielu komponentów — niektórych neutralnych, innych specyficznych dla systemu — przy czym komponenty neutralne zwykle były czynnikiem infekcji komponentami specyficznymi dla systemu. W większości przypadków komponenty nie należały do jednej rodziny i były kompilacją narzędzi uzyskanych z różnych źródeł, od oprogramowania open source do kodu nabytego na czarnym rynku. Rozwój ataków wieloplatformowych ataki wymierzone w inne platformy, począwszy od kilku złośliwych apletów Javy wykorzystujących te same luki w zabezpieczeniach. W pierwszym przypadku[3], taplet sprawdza platformę komputera użytkownika, po czym instaluje oprogramowanie specyficzne dla systemu. W systemie Windows aplet instaluje typowe „tylne drzwi”, a w Macu narzędzie zdalnego dostępu o nazwie Matahari[4]. Drugi przypadek obejmował liczne incydenty[5] zasadniczo stanowiące ciągły, falowy atak na pewne organizacje pozarządowe (NGO), który trwał do końca 2012 roku[6]. Polegał na przesyłaniu do potencjalnych celów wiadomości e-mail, które zawierały (a) albo złośliwe łącze[7] twykorzystujące luki w zabezpieczeniach Javy, albo (b) złośliwy załącznik wykorzystujący usterki w pakiecie Microsoft Office. Niektóre złośliwe wiadomości zawierały łącza, które sprawdzały przeglądarkę użytkownika i pobierały tylko komponenty specyficzne dla platformy; inne pobierały hurtem wszystkie aplety w nadziei na to, że któryś będzie pasował. Różne strategie infekcji sugerują, że za atakami stały różne grupy. Długotrwałość ataków oraz to, że napastnicy zawczasu wiedzieli, że organizacje pozarządowe używają zarówno komputerów Mac, jak i Windows, może świadczyć o motywacji politycznej. Następnie pojawił się trojan Boonana, który działa w komputerach z instalacją Javy, bez względu na system operacyjny. W przeciwieństwie do starszych złośliwych programów Javy, które nie uwzględniały specyfiki poszczególnych platform, Boonana wykorzystuje komponenty charakterystyczne dla platformy i nie zdaje się wyłącznie na Javę. Trojan ten rozprzestrzeniał się w sieciach społecznościowych — zwłaszcza na Facebooku — jesienią 2010 r. i został ochrzczony mianem „Koobface”. Wielu z nas nadal pamięta fałszywy program zabezpieczający Mac Defender, o którym było głośno w maju 2011 r. Ponieważ był to pierwszy przypadek epidemii na platformie Mac, wielu Rysunek 1.: Odpowiednik Mac Defendera w Windows przeoczyło fakt, że w rzeczywistości atak był Każda platforma jest celem, nikt wymierzony w wiele platform. Podobnie jak nie jest bezpieczny w przypadku DNSChangera, witryny udostępniające program Kolejne złośliwe aplety Javy odkryto w drugiej połowie 2012 przesyłały wersję dla Maca lub Windows (rysunek 1), w zależności r. [9,10]. Większość wysiłków koncentrowało się na infekowaniu od nagłówka User Agent podanego przez przeglądarkę. komputerów Windows i Mac, ale napastnicy znaleźli czas, aby przygotować złośliwe moduły do Linuksa. Zamiast jednak W pierwszym kwartale 2012 r. epidemia trojana Flashback wykorzystywać luki w zabezpieczeniach oprogramowania, w systemach Mac dowiodła, że trzeba zacząć traktować aplet uderza w najsłabsze ogniwo łańcucha zabezpieczeń — poważniej złośliwe oprogramowanie atakujące platformy niedoinformowanych użytkowników. Napastnicy próbują się [2] inne niż Windows . Po Flashbacku pojawiły się kolejne Ataki wieloplatformowe 32 MultiplatformA Ataki wieloplatformowe wykorzystujące wiele złośliwych programów nie są nowym zjawiskiem, które pojawił się kilka miesięcy temu; obserwowano je już od jakiegoś czasu. W listopadzie 2011 r. FBI ujawniło, że ponad cztery miliony użytkowników zostały zainfekowane trojanem DNSChanger. Ten złośliwy program, który pozostaje w obiegu od 2007 r., infiltruje komputery Windows i Mac, udając kodek potrzebny od odtwarzania filmów pornograficznych. Witryna udostępniająca trojana sprawdza typ przeglądarki użytkownika i przesyła mu odpowiedni instalator. Instalator zmienia ustawienia systemu nazw domenowych (DNS) w taki sposób, aby przekierowywać ruch do niepożądanych witryn. Niektóre warianty DNSChangera mogą również wpływać na routery[1]. dostać do systemu, używając bezpłatnego narzędzia do testów penetracyjnych, Social Engineer Toolkit (SET)[11]. Perspektywy To normalne, że narzędzia do monitoringu obsługują wiele platform. Użytkownicy coraz częściej wykorzystują urządzenia mobilne Nasilający się trend nie oszczędził do codziennych zadań, a nawet nawet systemów uniksowych. do pracy, więc narzędzia do monitoringu Niebawem na czarnym rynku powinny dysponować możliwością zaczęto sprzedawać narzędzie rejestrowania ich działań. Przyszłe zdalnego dostępu o nazwie złośliwe oprogramowanie atakujące NetWire (rysunek 2). Ma ono zarówno platformy stacjonarne, jak komponenty serwerowe Rysunek 2: Generator serwerów NetWire i mobilne prawdopodobnie będzie do systemów Windows, Mac, nadal pochodzić z pakietów Linux i Solaris, które można do monitoringu. Zamiast jednak tworzyć kontrolować z poziomu jednego programu klienckiego. programy działające w każdym systemie, autor może skupić się na czołowych platformach stacjonarnych i mobilnych Ataki wieloplatformowe nie ograniczają się do komputerów używanych przez masowego konsumenta. Pominąwszy stacjonarnych. W lipcu 2012 r. odkryto witrynę, która monitoring, trend oprogramowania działającego rozpowszechniała fałszywy instalator Skype do urządzeń na platformach stacjonarnych i mobilnych zapewnie nie będzie [12] mobilnych . Witryna się nasilał. Nie bierzemy tu pod uwagę oprogramowania podejmowała różne działania w rodzaju Zitmo, ponieważ nie jest ono wymierzone w zależności od systemu w urządzenia mobilne. Komponenty mobilne są tylko operacyjnego urządzenia. uzupełnieniem stacjonarnych[19]. W przypadku systemów Android i Symbian Jeśli chodzi o złośliwe oprogramowanie skupione przesyłała trojan SMS na platformach stacjonarnych, Windows i Mac pozostaną w postaci pakietu APK głównymi celami. Można jednak również oczekiwać kilku i programu Javy; incydentów z atakami na Linux. Liczba mobilnych ataków w urządzeniach iOS wieloplatformowych prawdopodobnie się zmniejszy, ponieważ Rysunek 3: Fałszywa instalacja wyświetlała stronę symulującą udział rynkowy Symbiana wciąż spada, a krajobraz mobilny jest aplikacji iOS postępy instalacji (rysunek 3), zasadniczo zdominowany przez jedną platformę — Android. choć żadna instalacja nie miała miejsca. Zespół Citizen Lab zidentyfikował też kilka innych próbek używanych do ukierunkowanych ataków i należących do pakietu o nazwie Remote Control System[17]. Znaleziono tylko wersje do systemów Windows i Mac, ale według oficjalnego promocyjnego wideo (rysunek 4) dostępne są również wersje do systemów Android, iOS, BlackBerry, Symbian i Linux [18]. ATAKI WIELOPLATFORMOWE MULTIPLATFORMA W bardziej zaawansowanych atakach to samo złośliwe oprogramowanie może być wymierzone zarówno w platformy stacjonarne, jak i mobilne, jak w przypadku trojana FinSpy. Podczas najazdu na siedzibę państwowych służb bezpieczeństwa po egipskiej rewolucji w 2011 r. protestujący weszli w posiadanie dokumentu, w którym firma Gamma International oferowała byłemu reżimowi sprzedaż pakietu do monitoringu o nazwie FinSpy[13]. Nikt nie zaobserwował rzeczywistej próbki aż do zeszłego roku, kiedy zespół Citizen Lab zidentyfikował kilka próbek należących do pakietu[14]. Wśród odkrytych wersji był FinSpy do Windows oraz FinSpy Mobile[15] do systemów Android, iOS, BlackBerry, Windows Mobile i Symbian. Z ujawnionego opisu produktu wynika, że dostępne są również wersje do systemów Mac i Linux, choć nie znaleziono ich próbek[16]. Rysunek 4.: Promocyjne wideo Remote Control System 33 ŹRÓDŁA MultiplatformA [1] F-Secure Weblog; Sean Sullivan; FBI: Operation Ghost Click; opublikowano 10 listopada 2011 r.; http://www.f-secure.com/weblog/archives/00002268.html [2] F-Secure Weblog; Sean Sullivan; Mac Flashback Infections; opublikowano 5 kwietnia 2012 r.; http://www.f-secure.com/weblog/archives/00002345.html [3] Computer Weekly; Warwick Ashford; Malware targets Macs and PCs; opublikowano 30 kwietnia 2011 r.; http://www.computerweekly.com/news/2240149271/New-malware-targets-Macs-and-PCs [4] Matahari: A simple reverse HTTP shell; http://www.matahari.sourceforge.net [5] F-Secure Weblog; Broderick Aquilino; More Mac Malware Exploitiing Java; opublikowano 30 kwietnia 2012r.; http://www.f-secure.com/weblog/archives/00002348.html [6] F-Secure Weblog; Sean Sullivan; New Mac Malware Found on Dalai Lama Related Website; opublikowano 3 grudnia 2012 r.; http://www.f-secure.com/weblog/archives/00002466.html [7] F-Secure Weblog; Sean Sullivan; China Targets Macs Used By NGO #Tibet; opublikowano 20 marca 2012 r.; http://www.f-secure.com/weblog/archives/00002334.html [8] F-Secure Weblog; Sean Sullivan; More Mac Malware (Word Exploit) Targeting NGOs; opublikowano 28 marca 2012 r.; http://www.f-secure.com/weblog/archives/00002339.html [9] F-Secure Weblog; Karmina Aquino; Multi-Platform Backdoor Lurks in Colombian Transport Site; opublikowano 28 marca 2012 r.; http://www.f-secure.com/weblog/archives/00002397.html [10] F-Secure Weblog; Broderick Aquilino; Multi-Platform Backdoor with Intel OS X Binary; opublikowano 13 lipca 2012 r.; http://www.f-secure.com/weblog/archives/00002400.html [11] TrustedSec; Social Engineer Toolkit; https://www.trustedsec.com/downloads/social-engineer-toolkit/ [12] F-Secure Weblog; Karmina Aquino; Not Your Normal Skype Download; opublikowano 9 lipca 2012 r.; http://www.f-secure.com/weblog/archives/00002396.html [13] F-Secure Weblog; Mikko Hyppönen; Egypt, FinFisher Intrusion Tools and Ethics; opublikowano 8 marca 2011 r.; http://www.f-secure.com/weblog/archives/00002114.html [14] CitizenLab; From Bahrain With Love: FinFisher’s Spy Kit Exposed?; opublikowano 25 lipca 2012 r.; https://citizenlab.org/2012/07/from-bahrain-with-love-finfishers-spy-kit-exposed/ [15] CitizenLab; The SmartPhone Who Loved Me: FinFisher Goes Mobile?; opublikowano 29 sierpnia 2012 r.; https://citizenlab.org/2012/08/the-smartphone-who-loved-me-finfisher-goes-mobile/ [16] Wikileaks; FinSpy: Remote Monitoring & Infection Solutions; http://wikileaks.org/spyfiles/files/0/289_GAMMA-201110-FinSpy.pdf [17] CitizenLab; Backdoors are Forever: Hacking Team and the Targeting of Dissent; opublikowano 10 października 2012 r.; https://citizenlab.org/2012/10/backdoors-are-forever-hacking-team-and-the-targeting-of-dissent/ [18] HackingTeam; The Solution; http://www.hackingteam.it/index.php/remote-control-system [19] F-Secure Weblog; Sean Sullivan; Berlin Police: Beware Android Banking Trojans; opublikowano 15 listopada 2012 r.; http://www.f-secure.com/weblog/archives/00002457.html Ataki wieloplatformowe 34 UrządzeniaStalemobilne rosnący rynek zagrożeń Zagrożenia mobilne nadal skupiają się na dwóch platformach — Androidzie, który reprezentował 79 proc. nowych wariantów złośliwego oprogramowania w 2012 r., oraz Symbianie z pozostałymi 19 proc. nowych wariantów. Choć zagrożenia zidentyfikowane w poprzednich latach nadal nękały użytkowników większości platform mobilnych, nie powstawało wiele nowych złośliwych programów. Przez cały 2012 r. zidentyfikowano zaledwie jeden nowy wariant na platformach BlackBerry i PocketPC i tylko dwa nowe warianty dla iPhone’a i Java ME (J2ME). Autorzy złośliwego oprogramowania skoncentrowali wysiłki na dwóch najpowszechniejszych dziś platformach mobilnych — Androidzie i Symbianie. NOWE RODZINY I WARIANTY, 1-4 KWARTAŁ 2012 r. Android W trzecim kwartale 2012 r. Android reprezentował 75 proc. globalnego rynku smartfonów, lub trzy spośród czterech urządzeń sprzedanych w tym kwartale, a zatem był najpopularniejszym mobilnym systemem operacyjnym na świecie[1]. Ponadto w drugim kwartale 2012 r. Chiny oficjalnie prześcignęły Stany Zjednoczone jako największy rynek użytkowników smartfonów. Aparaty z Androidem reprezentowały 81 proc. tego rynku, więc nie powinno dziwić, że wiele nowych rodzin złośliwego oprogramowania wykrytych w zeszłym roku atakowało użytkowników Androida w kontynentalnych Chinach. Kradzież danych i działalność zarobkowa Dominacja Androida sprawiła, że stał się on naturalnym celem większości nowego złośliwego oprogramowania. W badanym okresie na platformie tej odkryto 238 nowych, unikatowych wariantów. Większość z tych programów jest rozpowszechniana w postaci „strojanizowanych” aplikacji, czyli legalnych programów z dołączonym złośliwym komponentem. Nowe warianty są zwykle klasyfikowane jako trojany albo narzędzia monitorujące i potrafią wykradać dane użytkownika albo śledzić jego ruchy i działania. Podobnie jak ich odpowiedniki z Symbiana, programy te zwykle próbują zarabiać na użytkownikach poprzez potajemne subskrybowanie płatnych usług SMS albo telefonowanie na numery premium. Poufne dane zebrane z urządzeń są często po cichu przekazywane do zdalnego serwera, prawdopodobnie do przyszłego użytku w niepożądanym kontekście. 100 90 80 70 60 50 40 30 20 10 25+25+a Q1 33+33+34a Q2 WSZYSTKIE ZAGROŻENIA Android Blackberry iOS 50+50+a Q3 25+25+a Q4 J2ME Windows Mobile Symbian Rysunek 1.: Nowe rodziny i warianty złośliwego oprogramowania zidentyfikowane w kwartałach 2012 r. Tymczasem w 2012 r. Google nadal pracował nad zwiększeniem bezpieczeństwa platformy Android, zwłaszcza w sklepie Play Store (dawniej Android Market). Polegało to na dodaniu mechanizmu ograniczającego możliwości exploitów urządzenia Mobilne w aktualizacji 4.1[2] oraz (opcjonalnej) funkcji weryfikowania aplikacji w aktualizacji 4.2[3]. Z myślą o użytkownikach, którzy z różnych przyczyn nie mogli zainstalować tych aktualizacji, 35 Mobilne Boosting security przygotowano kolejny środek bezpieczeństwa w postaci Bouncera, narzędzia do skanowania aplikacji w Play Store, które podobno ograniczyło liczbę złośliwych programów oferowanych w sklepie. Ponadto we wrześniu 2012 r. Google przejął usługę analizy plików VirusTotal[4]. Choć firma nie ogłosiła przyszłych planów i nie poinformowała, jak zintegruje nowo nabytą usługę ze swoimi mechanizmami bezpieczeństwa, można przypuszczać, że odegra ona kluczową usługę we wzmacnianiu zabezpieczeń platformy. Choć skuteczność działań Google’a bywa kwestionowana, reprezentują one konkretny krok w kierunku lepszej ochrony danych i urządzeń użytkowników Androida. W miarę, jak Android zdobywa coraz bardziej dominującą pozycje – a przez to staje się faworyzowanym celem twórców złośliwego oprogramowania – bezpieczeństwo danych i urządzeń pozostanie ważną kwestią dla użytkowników tej platformy. Symbian Inaczej niż plany rozwoju Symbiana, scena złośliwego oprogramowania ma się dobrze. Od pewnego czasu źródłem większości złośliwego oprogramowania do Symbiana są Chiny. Inne państwa są nadal reprezentowane na naszym radarze, choć występują pewne różnice pod względem jakości i ilości. W krajach zachodnich mamy do czynienia głównie z komercyjnym oprogramowaniem szpiegowskim ukierunkowanym na użytkowników mobilnych, podczas gdy w Chinach złośliwe oprogramowanie służy przede wszystkim do monetyzacji ofiar. komórkowych, aby generować przychody. Najprostszym, najbardziej logicznym sposobem obracania infekcji w pieniądze jest wykorzystanie wbudowanego mechanizmu rozliczeniowego i wysyłanie wiadomości SMS, które po cichu subskrybują płatne usługi. Bardziej zaawansowana metoda — zautomatyzowane telefonowanie na numery premium — jest niewiele trudniejsza. Zaobserwowaliśmy też chińskie złośliwe programy, które naśladują zachowanie użytkowników i po cichu korzystają z usług WAP, co jest następnie rozliczane przez operatora komórkowego. Podobnie niektóre rodziny złośliwego oprogramowania mogą działać jako skryptowane boty, grając w regularne, choć proste sieciowe gry przeglądarkowe. Kradzież danych, potajemne działania i samoobrona Typowy złośliwy program do Symbiana to trojan, który podszywa się pod aktualizację systemu lub legalną aplikację. Model uprawnień, który ma chronić urządzenie przed instalacją szkodliwego oprogramowania, pozwala podpisanym cyfrowo aplikacjom na podejmowanie nieoczekiwanych działań. Na przykład mniej więcej ten sam zbiór uprawnień, którego wymaga gra akcji, pozwala na pobieranie i instalowanie nowego oprogramowania z internetu bez interwencji użytkownika. Mechanizmy monetyzacji Niemal każda złośliwa aplikacja do Symbiana uzyskuje programowo dostęp do numerów International Mobile Equipment Identity (IMEI) i International Mobile Subscriber Identity (IMSI). Oprogramowanie motywowane zarobkowo może też uzyskiwać dostęp do informacji osobistych, takich jak wiadomości SMS, lokalizacja, głos lub dane wprowadzane z klawiatury. Wiele programów odczytuje bazę kontaktów, głównie po to, aby wysyłać do nich niepożądane i złośliwe wiadomości SMS. Sama liczba urządzeń z Symbianem, które są w obiegu w Chinach, sprawia, że autor złośliwego oprogramowania nie musi zainfekować znacznego odsetka telefonów Ukrywanie szkodliwych działań przed użytkownikiem to charakterystyczna cecha złośliwego oprogramowania. Zagrożenia mobilne motywowane zarobkowo, 2012 r. Motywowane zarobkowo 34 40 Q2 2012 26 32 Q3 2012 Q4 2012 27 67 42 33 Rysunek 2.: Podział złośliwego oprogramowania na motywowane i niemotywowane zarobkowo w 2012 r. urządzenia Mobilne 36 Mobilne Q1 2012 Niemotywowane zarobkowo Wiele próbek prezentuje użytkownikom wiarygodną fasadę, aby zwieść ich czujność. Inne po prostu ukrywają swoją obecność — na przykład większość legalnych aplikacji do Symbiana ma ikonę, którą użytkownik może wybrać w celu uruchomienia programu; złośliwe programy zwykle nie mają ikony i uruchamiają się po cichu podczas instalacji i rozruchu urządzenia. Inne programy działają w bardziej wyrafinowany sposób i unikają wykrycia poprzez blokowanie zwykłych powiadomień systemowych, przerywanie procesów odpowiedzialnych za wyświetlanie wiadomości na ekranie, a nawet tymczasowe wyciszanie dźwiękowego sygnału wiadomości. Każde zarejestrowane zdarzenie systemowe jest usuwane z urządzenia. Niemal każdy złośliwy program do Symbiana kontaktuje się przez internet ze zdalnym serwerem. Większość próbek po prostu pobiera nowe oprogramowanie do cichej instalacji, ale statyczna analiza pokazuje, że niektóre pozwalają użytkownikowi (napastnikowi) na zdalne aktywowanie funkcji za pośrednictwem pliku konfiguracyjnego lub specjalnego skryptu. Komunikacja jest zwykle maskowana lub szyfrowana. Aby ukryć instrukcje wysyłane przez zdalnego napastnika, złośliwe oprogramowanie przechwytuje wiadomości od napastnika, zanim system dostarczy je do skrzynki odbiorczej. Inną często spotykaną taktyką jest wstrzymywanie się ze złośliwymi działaniami, aż telefon nie będzie pod bezpośrednią kontrolą użytkownika, ponieważ wykrywanie trybu bezczynności jest bardzo proste. Wiele złośliwych aplikacji próbuje uniknąć wykrycia przez produkty zabezpieczające, zwykle poprzez wyszukiwanie i przerywanie ich procesów. Bardziej agresywnym rozwiązaniem jest całkowite odinstalowanie produktu zabezpieczającego. Mogą też uniemożliwiać użytkownikowi odinstalowanie podejrzanej lub niepożądanej aplikacji, przerywając proces dezinstalatora. Perspektywy Zauważyliśmy, że od pewnego czasu komponenty złośliwych programów do Symbiana są używane wielokrotnie, a oprogramowanie bardziej przypomina dopracowany produkt, niż prowizorycznie połączone fragmenty skopiowanego i wklejonego kodu. Trudno powiedzieć, czy autorzy złośliwego oprogramowania po prostu chcą oszczędzić sobie pracy poprzez wprowadzenie modularyzacji i dynamicznych funkcji, czy też robią to celowo, aby utrudnić analizę i inżynierię wsteczną kodu. Być może obie motywacje są połączone. Tak czy inaczej sugeruje to, że złośliwe oprogramowanie do Symbiana będzie nadal ewoluować i pozostanie zagrożeniem na rynkach takich jak Chiny, gdzie Symbian ma nadal mocną pozycję. [1] IDC; IDC - Press Release: Android Marks Fourth Anniversary Since Launch with 75.0% Market Share in Third Quarter, According to IDC; opublikowano 1 listopada 2012 r.; http://www.idc.com/getdoc.jsp?containerId=prUS23771812#.UPzbakU3S3A [2] Android Developers; Jelly Bean Android 4.1; http://developer.android.com/about/versions/jelly-bean.html [3] Android Developers; Jelly Bean Android 4.2; http://developer.android.com/about/versions/jelly-bean.html [4] Virustotal Blog; An update from VirusTotal; opublikowano 7 września 2012 r.; http://blog.virustotal.com/2012/09/an-update-from-virustotal.html urządzenia mobilne 37 Mobile Źródła ŹRÓDŁA Kalendarz incydentów w drugiej połowie 2012 r. 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. F-Secure Weblog; DNSChanger Wrap Up; opublikowano 9 lipca 2012 r.; http://www.f-secure.com/weblog/archives/00002395.html F-Secure Weblog; Multi-platform Backdoor with Intel OS X Binary; 13 lipca 2012 r.; http://www.f-secure.com/weblog/archives/00002400.html F-Secure Weblog; Emails from Iran; opublikowano 23 lipca 2012; http://www.f-secure.com/weblog/archives/00002403.html F-Secure Weblog; Gauss: the Latest Event in the Olympic Games; opublikowano 10 sierpnia 2012 r.; http://www.f-secure.com/weblog/archives/00002406.html F-Secure Weblog; Blackhole: Faster Than the Speed of Patch; opublikowano 28 sierpnia 2012 r.; http://www.f-secure.com/weblog/archives/00002414.html F-Secure Weblog; Java SE 7u7 AND SE 6u35 Released; opublikowano 30 sierpnia 2012 r.; http://www.f-secure.com/weblog/archives/00002415.html F-Secure Weblog; Cosmo The Hacker God; opublikowano 13 września 2012 r.; http://www.f-secure.com/weblog/ archives/00002427.html F-Secure Weblog; It’s Out of Cycle Patch Friday; opublikowano 21 września 2012 r.; http://www.f-secure.com/weblog/archives/00002431.html F-Secure Weblog; Backdoor:OSX/Imuler.B No Likes Wireshark; opublikowano 24 września 2012 r.; http://www.f-secure.com/weblog/archives/00002432.html F-Secure Weblog; Samsung TouchWiz Devices Vulnerable to Mischief; opublikowano 26 września 2012 r.; http://www.f-secure.com/weblog/archives/00002434.html F-Secure Weblog; Adobe Cert Used to Sign Malware; opublikowano 28 września 2012 r.; http://www.f-secure.com/weblog/archives/00002435.html F-Secure Weblog; Hackable Huawei; opublikowano 10 października 2012 r.; http://www.f-secure.com/weblog/ archives/00002442.html CitizenLab; Morgan Marquis-Boire; Backdoors are Forever: Hacking Team and the Targeting of Dissent; opublikowano 10 października 2012 r.; http://citizenlab.org/2012/10/backdoors-are-forever-hackingteam-and-the-targeting-of-dissent/ F-Secure Weblog; New Variant of Mac Revir Found; opublikowano 14 listopada 2012 r.; http://www.f-secure.com/weblog/archives/00002455.html F-Secure Weblog; Berlin Police: Beware Android Banking Trojans; opublikowano 15 listopada 2012 r.; http://www.f-secure.com/weblog/archives/00002457.html F-Secure Weblog; Cool-er Than Blackhole?;opublikowano 16 listopada 2012 r.; http://www.f-secure.com/weblog/ archives/00002458.html F-Secure Weblog; A New Linux Rootkit; opublikowano 20 listopada 2012 r.; http://www.f-secure.com/weblog/archives/00002459.html F-Secure Weblog; Google Joins World War 3.0; opublikowano 23 listopada 2012 r.; http://www.f-secure.com/weblog/ źródła archives/00002461.html 19. F-Secure Weblog; Next Week: “World War”; opublikowano 23 listopada 2012 r.; http://www.f-secure.com/weblog/ archives/00002443.html 20. The Register; Iain Thomson;Syria cuts off internet and mobile communications; opublikowano 29 listopada 2012 r.; http:// www.theregister.co.uk/2012/11/29/syria_internet_blackout/ 21. F-Secure Weblog; New Mac Malware Found on Dalai Lama Related Website; opublikowano 3 grudnia 2012 r.; http://www.f-secure.com/weblog/archives/00002466.html 22. F-Secure Weblog; Finnish Website Attack via Rogue Ad; opublikowano 5 grudnia 2012 r.; http://www.f-secure.com/ weblog/archives/00002468.html 23. The Register; John Leyden; Major £30m cyberheist pulled off using MOBILE malware; opublikowano 7 grudnia 2012 r.; http:// www.theregister.co.uk/2012/12/07/eurograbber_mobile_ malware_scam/ 24. F-Secure Weblog; Australian Medical Records Encrypted, Held Ransom; opublikowano 10 grudnia 2012 r.; http://www.f-secure.com/weblog/archives/00002469.html 25. The Register; Neil McAllister; Dexter malware targets point of sale systems worldwide; opublikowano 14 grudnia 2012 r.; http://www.theregister.co.uk/2012/12/14/dexter_malware_ targets_pos_systems/ 26. The Register; Phil Muncaster; 10,000 Indian government and military emails hacked; opublikowano 21 grudnia 2012 r.; http://www.theregister.co.uk/2012/12/21/indian_government_ email_hacked/ 38 Krótko o F-Secure F-Secure chroni cyfrowe życie konsumentów i przedsiębiorstw od ponad 20 lat. Nasze usługi bezpieczeństwa internetowego i przechowywania treści w chmurze są dostępne u ponad 200 operatorów z ponad 40 krajów na całym świecie i darzone zaufaniem w milionach domów i firm. W 2011 r. firma odnotowała przychody w wysokości 146 mln euro i zatrudniała ponad 900 pracowników w 20 międzynarodowych biurach. F-Secure Corporation jest notowana na giełdzie NASDAQ OMX Helsinki Ltd. od 1999 r. Chronimy niezastąpione Własne materiały F-Secure. © F-Secure Corporation 2012. Wszystkie prawa zastrzeżone. F-Secure i symbole F-Secure to zastrzeżone znaki towarowe F-Secure Corporation, a nazwy i symbole/logo F-Secure są albo znakami towarowymi, albo zastrzeżonymi znakami towarowymi F-Secure Corporation. Protecting the irreplaceable | f-secure.com