F-Secure

Raport
na temat
zagrożeń
Druga połowa
2012 r.
Protecting the irreplaceable | www.f-secure.com
Laboratoria F-Secure
W laboratoriach F-Secure w Helsinkach
w Finlandii i w Kuala Lumpur w Malezji eksperci od
bezpieczeństwa nieustannie pracują, aby zapewnić
internautom ochronę przed zagrożeniami
czyhającymi w sieci.
W każdym momencie personel F-Secure
monitoruje światową sytuację w zakresie
bezpieczeństwa, aby szybko i efektywnie radzić
sobie z nagłymi epidemiami wirusów i złośliwego
oprogramowania.
Ochrona przez całą dobę
Pracę Response Labs wspierają automatyczne
systemy, które śledzą zagrożenia w czasie
rzeczywistym, gromadząc i analizując setki tysięcy
próbek danych każdego dnia. Przestępcy, którzy
wykorzystują wirusy i złośliwe oprogramowanie
do celów zarobkowych, nieustannie pracują nad
nowymi sposobami ataku. Sytuacja wymaga ciągłej
czujności, aby internauci zawsze byli chronieni.
PRZEDMOWA
Dziś najłatwiej paść ofiarą ataku złośliwego oprogramowania przez
surfowanie po sieci. Nie zawsze tak było. Lata temu podstawowym nośnikiem
zagrożeń były dyskietki. Później dzielenie się plikami wykonywalnymi.
Następnie załączniki do wiadomości e-mail. Ale od pięciu lat głównym
źródłem złośliwego oprogramowania są strony internetowe.
Sieć WWW jest problemem głównie ze względu na pakiety exploitów. Pakiety
takie jak BlackHole, Cool Exploit, Eleanore, Incognito, Yes lub Crimepack
automatyzują proces infekowania komputerów poprzez wykorzystywanie
błędów w oprogramowaniu.
Nie byłoby exploitów bez luk w zabezpieczeniach. W ostatecznym
rozrachunku luki te są zwykłymi usterkami, to znaczy błędami
programistycznymi. Usterki pojawiają się dlatego, że programy są pisane
przez ludzi, a ludzie się mylą. Usterki w oprogramowaniu stanowią problem,
od kiedy mamy programowalne komputery — i z pewnością nie znikną.
Usterki nie miały większego znaczenia, dopóki nie upowszechnił się dostęp
do Internetu. Jeśli podczas pracy z edytorem tekstu otworzyliśmy uszkodzony
dokument, zdarzało się, że przestawał on działać. Bywało to irytujące, ale nie stanowiło
poważnego problemu. Mogliśmy stracić niezapisaną pracę w innych otwartych
dokumentach, ale nic ponadto.
Mikko HyppÖnen
Chief Research Officer
F-Secure
Sytuacja jednak się zmieniła wraz z nadejściem Internetu. Usterki, które dotychczas
były co najwyżej dokuczliwe, nagle można było wykorzystać do przejęcia kontroli nad
komputerem.
Jednak nawet najpoważniejsze luki w zabezpieczeniach są bezużyteczne dla napastnika,
jeśli zostaną załatane. Dlatego najcenniejsze exploity są wymierzone w usterki, które
USTERKI W OPROGRAMOWANIU STANOWIĄ PROBLEM, OD KIEDY MAMY
PROGRAMOWALNE KOMPUTERY — I Z PEWNOŚCIĄ NIE ZNIKNĄ.
nie są znane producentowi podatnego na atak programu. Oznacza to, że producent
nie może naprawić usterki i wydać poprawki eliminującej lukę w zabezpieczeniach.
Jeśli poprawka jest dostępna, a luka w zabezpieczeniach zaczyna być wykorzystywana
przez napastników pięć dni po wypuszczeniu poprawki, użytkownicy mają pięć dni
na reakcję. Jeśli poprawka jest niedostępna, użytkownicy w ogóle nie mają czasu, aby
się zabezpieczyć - dosłownie zero dni. Stąd wzięło się określenie „luka dnia zerowego”
(Zero Day Vulnerability): użytkownicy są podatni na atak, nawet jeśli zainstalowali
wszystkie dostępne poprawki.
Jednym z kluczowych mechanizmów bezpieczeństwa pozostaje instalowanie
poprawek. Trzeba dbać o aktualizowanie wszystkich systemów, ponieważ radykalnie
ogranicza to ryzyko infekcji. W przypadku zagrożeń dnia zerowego poprawki
są niedostępne, ale tutaj z pomocą mogą przyjść produkty antywirusowe.
Nieustannie ścigamy się z napastnikami. Ten wyścig szybko się nie skończy.
PRZEDMOWA
3
Streszczenie raportu
Streszczenie raportu
W minionej połowie roku wyróżniały się trzy rodzaje zagrożeń: botnety (szczególnie
ZeroAccess), exploity (zwłaszcza wymierzone w deweloperską platformę Javy) oraz bankowe
trojany (Zeus).
ZeroAccess był z pewnością najbardziej dominującym botnetem w 2012 r., widocznym
zwłaszcza we Francji, Stanach Zjednoczonych i Szwecji. Był też jednym z najaktywniej
rozwijanych i najbardziej zyskownych botnetów minionego roku. W raporcie opisujemy
metody dystrybucji oraz system płatności w „programie partnerskim” ZeroAccess, a także
dwie aktywności, które generowały największe przychody: oszukiwanie na kliknięciach
i generowanie bitmonet. Oprócz ZeroAccess, innymi godnymi uwagi botnetami w 2012 r. były
Zeus, Carberp, Dorkbot i SpamSoldier (botnet mobilny).
Java była głównym celem większości ataków opartych na exploitach, które zaobserwowaliśmy
w minionej połowie roku. Widać to doskonale w statystyce 10 najczęstszych wykryć
zarejestrowanych przez nasz system monitoringu oparty na chmurze. Detekcje specyficznych
dla Javy luk CVE-2012-4681 i CVE-2012-5076 oraz ogólne detekcje Majava, które również
identyfikują próbki wykorzystujące luki związane z Javą, stanowiły jedną trzecią próbek
wykrytych w tym okresie, w czym dużą rolę odegrały pakiety exploitów. Ponadto exploity
wymierzone w inne programy, takie jak czytnik dokumentów PDF (CVE-2010-0188) oraz
czcionka Windows TrueType (CVE-2011-3402), mocno zaznaczyły swoją obecność w drugiej
połowie 2012 r., o czym będzie mowa w dalszej części raportu.
Jeśli chodzi o trojany bankowe, w 2012 r. najgłośniej było o botnecie zwanym Zeus — jest
to zarazem nazwa złośliwego oprogramowania, które infekuje komputery użytkowników.
Analiza obszaru dystrybucji Zeusa wskazuje, że do największej liczby infekcji doszło
w Stanach Zjednoczonych, Włoszech i Niemczech. Oprócz funkcji trojana bankowego Zeus
pełni rolę backdoora („tylnych drzwi”) i może być bezpośrednio kontrolowany przez serwery
dowodzenia (C&C) botnetu. Badanie różnych zbiorów poleceń używanych przez pochodne
Zeusa (znane jako Citadel i Ice IX) pozwala wywnioskować, jakie inne złośliwe operacje może
wykonywać to oprogramowanie.
W kwestii bezpieczeństwa online, przyjrzymy się niejednoznacznej roli, jaką odgrywa hosting
stron internetowych. Jest on coraz tańszy i bardziej przyjazny dla użytkowników, więc nadaje
się dobrze do rozpowszechniania złośliwego oprogramowania i reklam.
Zajmiemy się też atakami wieloplatformowymi, czyli skoordynowanymi kampaniami
wymierzonymi w wiele różnych platform (stacjonarnych i mobilnych), często z wykorzystaniem
wielu złośliwych programów.
Android i Symbian pozostają głównymi celami ataków jeśli chodzi o platformy mobilne. wymierzone w nie było odpowiednio 79 i 19 proc. wszystkich nowych wariantów złośliwego
oprogramowania zidentyfikowanych w 2012 r.
Streszczenie raportu
4
SPIS TREŚCI
Niniejszy raport na temat zagrożeń omawia trendy i nowe wydarzenia zaobserwowane w krajobrazie
zagrożeń mobilnych przez analityków F-Secure Labs w drugiej połowie 2012 r. Dołączono też studia przypadków
poświęcone najważniejszym, szeroko rozpowszechnionym zagrożeniom z tego okresu.
WSPÓŁAUTORZY
Broderick Aquilino
Karmina Aquino
Christine Bejerasco
Edilberto Cajucom
Su Gim Goh
Alia Hilyati
Timo Hirvonen
Mikko Hypponen
Sarah Jamaludin
Jarno Niemela
Mikko Suominen
Chin Yick Low
Sean Sullivan
Marko Thure
Juha Ylipekkala
Przedmowa3
Streszczenie raportu
4
Spis treści
5
Kalendarz incydentów
6
Przegląd7
Godne uwagi
10
Hasło11
Szpiegostwo korporacyjne
Studia przypadków
12
14
Boty15
ZeroAccess17
Zeus21
Exploity25
Sieć WWW
28
Ataki wieloplatformowe
32
Zagrożenia mobilne
35
Źródła38
spis treści
5
Kalendarz incydentów
Kalendarz incydentów, druga połowa 2012 r. (lipiec – grudzień)*
jul
Aug
SEPT
Koniec wsparcia FBI
dla DNSChanger
Znaleziono wieloplatformowe
tylne drzwi do systemów
intelowskich/OS X
Znaleziono komercyjne
wieloplatformowe narzędzia
do monitoringu
Ogłoszono złośliwe
oprogramowanie
wymierzone w Iran
Włamanie na konta e-mail
rządu Indii
Gauss kontynuuje program
„Igrzysk Olimpijskich”
Blackhole aktualizowany
szybciej od łatania usterek
Aktualizacja Javy zamyka trzy
luki w zabezpieczeniach
Atak na Matta Honana podkreśla
słabe strony systemów kont
Online
Wiadomości
Zagrożenia PC
Zagrożenia mobilne
Haktywizm i szpiegostwo
KALENDARZ INCYDENTÓW
OCT
Piątek nadprogramowych
poprawek
Tylne drzwi Imuler.B znalezione
w OS X
Złośliwe oprogramowanie
podpisane certyfikatem
Adobe
Ogłoszono exploit interfejsu
Samsung TouchWiz
Kontrowersje związane z Huawei
w Kongresie Stanów Zjednoczonych
Kwestie wpływu rządów na
internet poruszane na konferencji
ITU Telecom World ‘12
NOV
DEC
Odcięto internetowe
połączenie z Syrią
Berlińska policja ostrzeżona
o trojanach bankowych
w Androidzie
Pakiet Cool Exploit
rywalizuje z Blackhole
Znaleziono nowy wariant
Mac Revir
Znaleziono nowy rootkit
do Linuksa
Dexter atakuje systemy
kasowe (POS)
Akta australijskiego
szpitala przetrzymywane
dla okupu
Odkryto zagrożenie
dla Maców w witrynie
poświęconej Dalajlamie.
Jedna szkodliwa reklama
uderza w fiński ruch
internetowy
Ogłoszono atak Eurograbber
na europejskie banki
Ogłoszono exploit procesora
Samsung Exynos
Źródła: zob. strona 38.
6
PRZEGLĄD
ZMIANY W KRAJOBRAZIE ZAGROŻEŃ
W przeciwieństwie do pierwszej połowy 2012 r., w drugiej połowie roku nie odnotowano
poważnej epidemii złośliwego oprogramowania na żadnej platformie. W okresie tym doszło
natomiast do kilku incydentów będących przykładem pomysłowości hakerów, znajdujących
wciąż nowe sposoby na przejmowanie komputerów, danych lub pieniędzy użytkowników.
Do incydentów tych należało włamanie na konta Gmail i Apple Matta Honana z magazynu
Wired, które obnażyło słabe strony systemów kont; epizod z certyfikatem Adobe, w którym
napastnicy wykradli cyfrowy certyfikat Adobe, aby podpisać nim złośliwe oprogramowanie
używane do ukierunkowanych ataków oraz atak Eurograbber, w którym wykorzystano wariant
Zeusa do kradzieży pieniędzy od różnych przedsiębiorstw i banków w Europie.
Co interesujące, w 2012 r. wzrosła publiczna świadomość zagrożeń oraz podatności
na ataki przez Internet. Raporty o domniemanych działaniach przeciwko irańskim instalacjom
jądrowym zwróciły uwagę na ataki sponsorowane przez państwo. Na konferencji operatorów
telekomunikacyjnych poświęconej podstawowym kwestiom infrastrukturalnym dyskutowano
o ładzie internetowym i o roli, jaką mogą odegrać w nim rządy. Ponadto w zeszłym roku
amerykańscy politycy, którzy nie cieszą się opinią znawców techniki, wyrażali obawy o to,
że rozwiązania IT do wrażliwych systemów rządowych dostarczane przez zagraniczne
korporacje mogą nie być godne zaufania. Choć zapewne należy cieszyć się z tego, że więcej
ludzi zwraca uwagę na tematy, które uważano dotychczas za nieistotne lub akademickie. Czas
pokaże, czy wyższa świadomość zagrożeń zaowocuje zwiększeniem bezpieczeństwa w sieci.
Najbardziej godnym uwagi aspektem drugiej połowy 2012 r. nie było jakieś pojedyncze
wydarzenie, ale raczej nasilanie się różnych trendów, które zaobserwowaliśmy w pierwszych
dwóch kwartałach — takich jak rozwój botnetów, „standaryzacja” wykorzystywania luk
w zabezpieczeniach oraz popularyzacja pakietów exploitów.
Jeśli chodzi o botnety, w ostatnich kilku latach gracze z różnych branż — telekomunikacji,
bezpieczeństwa, a nawet administracji rządowej — podjęli skoordynowane inicjatywy
na rzecz powstrzymania, a przynajmniej ograniczenia działań różnych botnetów, które
przejęły kontrolę nad milionami komputerów i były używane do oszustw finansowych oraz
ataków online. Doprowadziło to do całkowitego wyłączenia lub poważnego ograniczenia
takich botnetów, jak Rustock, Zeus i DNSChanger.
Niestety, pomimo tych godnych pochwały wysiłków botnety regularnie zmartwychwstają,
często z nowymi strategiami lub mechanizmami czerpania zysków. Ponadto operatorzy
botnetów agresywnie reklamują swoje „produkty” wśród innych hakerów i dystrybutorów
złośliwego oprogramowania. Oferują programy partnerskie z atrakcyjnymi „opłatami
za instalację” oraz „wypożyczalniami botnetów”, które pozwalają napastnikom wykorzystać
połączoną moc zainfekowanych hostów do ataków lub prowadzenia innych szkodliwych
działań. Te wyrafinowane taktyki biznesowe przynoszą istotne zyski. W niektórych
przypadkach, takich jak ZeroAccess, odrodzone botnety liczą miliony zainfekowanych
hostów. Więcej informacji o botnetach znajduje się w studiach przypadków „Boty” (str. 15),
„ZeroAccess” (str. 17) i „Zeus” (str. 21).
Inną zmianą, którą zaobserwowaliśmy w zeszłym roku, jest rosnąca popularność
wykorzystywania luk w zabezpieczeniach, często idąca w parze z prostymii taktykami
socjotechnicznymi. W przeciwieństwie do poprzednich lat, w których większość infekcji
wiązała się z trojanami, 2012 był bez wątpienia rokiem exploitów — w drugiej połowie 2012r.
PRZEGLĄD
7
10 NAJCZĘSTSZYCH DETEKCJI W DRUGIEJ POŁOWIE 2012 I NAJBARDZIEJ DOTKNIĘTE KRAJE
ZeroAccess
27%
Majava
26%
Downadup
BlackHole
FR
us
US
CVE-2012-4681
6%
us
CVE-2011-3402
6%
fr
CVE-2010-0188
6%
fr
CVE-2012-5076
3%
PDF Exploits
3%
Sinowal
3%
fr my it
others
se
se
se
us
fr
nl
fr
se
nl
0
others
fi
fi
fi
se
fi
fr
9%
others
fr
br
11%
se dk
de
others
nl
fi
others
fi
nl
others
fr
se
others
se
de
se
25
others
50
others
fi
others
75
%
100
*Na podstawie statystyk z opartych na chmurze systemów monitoringu F-Secure od lipca do grudnia 2012 r.
wykrycia związane z exploitami stanowiły 28 proc. wszystkich detekcji w systemach
monitoringu F-Secure. Ponadto złośliwe oprogramowanie wykorzystujące luki
w deweloperskiej platformie Javy reprezentowało 68 proc. wszystkich detekcji
związanych z exploitami, które zostały zarejestrowane przez nasze systemy w drugiej
połowie roku.
Jeśli szczegółowo przyjrzymy się liście 10 najczęstszych detekcji (powyżej)
w naszych systemach chmurowych w drugiej połowie 2012 r., dwie spośród nich, które
reprezentują próbki wykorzystujące specyficzne dla Javy luki CVE-2012-4681 i CVE2012-5076, stanowią 9 proc. spośród najczęściej wykrywanych złośliwych programów.
Ponadto ogólne detekcje Majava, które reprezentują próbki wykorzystujące znane luki
w zabezpieczeniach, w tym specyficzne dla Javy luki CVE-2012-0507 i CVE-2012-1723,
stanowią kolejne 26 proc. spośród 10 najczęstszych detekcji. Są one drugim spośród
najczęściej wykrywanych problemów przez nasze systemy.Duża liczba wykryć
związanych z Javą świadczy z jednej strony o popularności tej platformy, a z drugiej
o jej podatności na działania twórców złośliwego oprogramowania.
Co ciekawe, jeśli rozważymy ogół ataków opartych na exploitach, choć w 2012 r.
zaobserwowaliśmy próby wykorzystania luk w zabezpieczeniach wielu różnych
platform i programów, ogromna większość przypadków była związana z zaledwie
czterema lukami — CVE-2011-3402 i CVE-2010-0188 (luki w zabezpieczeniach
Windows) oraz poprzednio wspomnianymi CVE-2012-4681 i CVE-2012-5076 (luki
w zabezpieczeniach Javy). Nawiasem mówiąc, odpowiedni producenci udostępnili
Przegląd
8
poprawki, które eliminują wszystkie te luki.
Taki dobór celów ataku bezpośrednio wynika z użycia popularnych pakietów exploitów,
takich jak Blackhole i Cool Exploit, które pozwalały na wykorzystanie wspomnianych luk,
często zanim producenci zdążyli je załatać. Nie dziwi zatem, że detekcje związane z BlackHole
stanowiły 9 proc. wszystkich próbek wśród 10 najczęściej wykrywanych problemów w drugiej
połowie 2012 r. Więcej informacji o tych exploitach znajduje się w studium przypadku „Exploity”
na stronie 25.
Wreszcie szybkie spojrzenie na statystyki Maca wskazuje, że choć komputery z systemem
Windows pozostają podstawowym celem ataków, platforma Mac przyciąga coraz więcej uwagi.
Oprócz poważnej epidemii Flashback na początku 2012 r. obserwowaliśmy wolny, ale stały
wzrost ilości złośliwego oprogramowania dla Maców. Przez cały rok wykryliśmy 121 nowych,
unikatowych wariantów, z czego większość należała do kategorii tzw. backdoors, czyli luk
w zabezpieczeniach systemu utworzonych umyślnie w celu późniejszego wykorzystania. Dla
porównania w 2011 r. zrejestrowaliśmy zaledwie 59 nowych, unikatowych rodzin atakujących
tę platformę.
85
z
7
4
+
Złośliwe oprogramowanie do Maców według typu,
styczeń – grudzień 2012 r.
razem=
121 wariantów*
„Tylne drzwi”, 85%
Inne, 4%
Fałszywe programy zabezpieczające, 4%
Trojany, 7%
* Dane oparte na liczbie unikatowych wariantów wykrytych od stycznia
do grudnia 2012 r., a nie na łącznej liczbie plików. Nie liczono oprogramowania
ryzykownego i przepakowanych instalatorów; złośliwe programy złożone
z wielu komponentów liczono tylko raz.
Przegląd
9
Godne uwagi
Hasło11
Szpiegostwo korporacyjne 12
HASŁO
HASŁO
Hasła komputerowe liczą sobie mniej więcej pięćdziesiąt lat.
Jeszcze dwadzieścia kilka lat temu często były własnością
wspólną — wiele osób używało tego samego hasła (lub zbioru
haseł) w celu uzyskania dostępu do systemów komputerowych.
W istocie używanie indywidualnych haseł w tamtym czasie
było innowacją.
Potem nastała era Internetu, a wraz z nią potrzeba korzystania
z coraz większej liczby haseł do kont. Z biegiem czasu doszło
do tego, że niektórzy mają dziesiątki haseł, które muszą
zapamiętać. Co gorsza, powinny to być „silne” hasła i nie należy
używać ich wielokrotnie w połączeniu z różnymi kontami.
Druga połowa 2012 r. dostarczyła aż nadto dowodów
ilustrujących problem z hasłami. Włamania, naruszenia
zabezpieczeń, zrzuty baz danych — to terminy, które
są obecnie znane statystycznym użytkownikom sieci (a nie
tylko znawcom techniki). Dostępna dziś moc obliczeniowa
sprawia, że hasła odporne na ataki siłowe są zbyt trudne
do zapamiętania.
ŻYWY TRUP
Ustal konta, których ewentualne przejęcie miałoby
najpoważniejsze konsekwencje, i upewnij się, że będą dobrze
chronione. Uwierzytelnianie dwuczynnikowe jest skuteczne,
ale nie daje stuprocentowej gwarancji. Warto korzystać
z każdej dostępnej opcji.
Na przykład Gmail pozwala użytkownikom tworzyć własne
pytania ochronne do resetowania hasła. Pytanie to wcale nie
musi być oparte na rzeczywistości. Może to po prostu być
kolejne „hasło”, które zapisujesz na kartce i przechowujesz
bezpiecznie w domu, gdzie tylko Ty masz do niego dostęp.
A jeśli jesteś rodzicem nastolatków... powinieneś „uświadomić”
ich w kwestiach użycia haseł. Nawyki wyrobione w młodości
będą miały ogromny wpływ na ich przyszłe życie online.
Miejmy nadzieję, że wkrótce pojawi się prawdziwy następca
hasła a ten sposób zabezpieczenia będzie mógł z godnością
przejść do historii. Niestety, droga do nowych rozwiązań może
okazać się wyboista. Warto przygotować się zawczasu, bo 2013
rok nie będzie łaskawy dla nieprzygotowanych.
Jeżeli nawet hasła są silne, systemy autoryzacji ich resetowania
są dalekie od doskonałości. Silne hasło na nic się nie zda,
jeśli można je zresetować z wykorzystaniem socjotechniki.
Hasło jako sposób zabezpieczenia jest martwe i wszyscy
o tym wiedzą. Niestety, jego następca jeszcze się
nie pojawił. Co zatem można zrobić w oczekiwaniu
na
lepsze
czasy?
Wyznaczyć
sobie
priorytety.
ZALECANA LEKTURA
•
•
•
•
•
•
Używaj menedżera haseł, takiego jak KeePass lub
Password Safe.
Usuń stare konta, których już nie używasz.
Oddziel powiązane konta.
Używaj „tajnego” adresu e-mail do zarządzania kontami.
Uważaj, co udostępniasz w mediach społecznościowych.
Jeśli dzielisz się osobistymi informacjami, nie wykorzystuj
ich do resetowania haseł.
Korzystaj z opcji uwierzytelniania dwuczynnikowego, jeśli
jest dostępna.
OFIARA HAKERÓW: HASŁA ZAWIODŁY I NADSZEDŁ
CZAS NA COŚ NOWEGO[1]
Matt Honan opisuje włamanie na konto, które zniszczyło
jego cyfrowe życie, i wyjaśnia jego skutki dla bezpieczeństwa
online
GOOGLE WYDAJE WOJNĘ HASŁOM
Dowiedz się więcej o eksperymencie Google’a z uwierzytelnianiem kont opartym na urządzeniu
ŹRÓDŁA
[1] Wired; Matt Honan; Hacked: passwords have failed and it’s time for something new; opublikowano 17 stycznia 2013 r.;
http://www.wired.co.uk/magazine/archive/2013/01/features/hacked?page=all
[2] Wired; Robert McMillan; Google declares war on the password; opublikowano 18 stycznia 2013 r.;
http://www.wired.com/wiredenterprise/2013/01/google-password/
HASŁO
11
ROSNĄCA POPULARNOŚĆ „ATAKÓW PRZY WODOPOJU”
IW czwartym kwartale 2012 r. zmieniła się natura szpiegostwa
korporacyjnego. Wcześniej niemal wszystkie zarejestrowane
ataki opierały się na użyciu specjalnie spreparowanych
dokumentów z exploitami i złośliwym oprogramowaniem.
Obecnie
szpiedzy
zaczęli
wykorzystywać
luki
w
zabezpieczeniach
przeglądarek
i
dodatków
do
przeglądarek,
aby
osiągać
swoje
cele
za pomocą tak zwanych „ataków przy wodopoju”.
Z biegiem lat na blogu F-Secure opisano liczne ataki
szpiegowskie, w których często wykorzystywano „zatrute”
załączniki do wiadomości e-mail przesyłanych bezpośrednio
do docelowej organizacji.
Ataki te kontrastują z najnowszym przypadkiem ataku przy
wodopoju — włamaniem do witryny Council of Foreign
Relations (CFR)[1] z 21 grudnia 2012 r. W witrynie umieszczono
poprzednio nieznany exploit,
„Porównanie tej listy ze spisem miliona najpopularniejszych który wpływał na wersje 6, 7 i 8
przeglądarki Internet Explorer (IE).
domen dostępnym w witrynie Alexa.com pokazuje, że 99,6
Samo przejęcie witryny nie było
proc. potencjalnych serwerów C&C znajduje się poza
celem napastników; posłużyła ona
tylko jako środek do infekowania
najpopularniejszymi domenami”.
odwiedzających, wśród których
naturalnie byli również członkowie
Noszą one taką nazwę, ponieważ zamiast przejmować
samego CFR. Ponieważ zaś do grona członków CFR należy
kontrolę nad przypadkową witryną i infekować każdego
polityczna elita Stanów Zjednoczonych oraz założyciele
odwiedzającego, napastnicy są bardziej wybredni, jeśli
międzynarodowych korporacji, lista potencjalnych celów jest
chodzi o użytkowników będących celem ataku oraz witrynę
bardzo interesująca.
używaną jako źródło zagrożenia. Atakują witrynę, która jest
często używana przez pracowników szpiegowanej organizacji.
Wzrost liczby ataków szpiegowskich przeprowadzanych
Kiedy pracownicy odwiedzają tę witrynę, atakowana jest ich
za pośrednictwem witryn internetowych prowadzi
przeglądarka lub komputer, zwykle poprzez wykorzystanie
do dwóch wniosków: po pierwsze, trend ten oznacza,
luki w zabezpieczeniach, która umożliwia zainstalowanie
że każda obecna w sieci firma obsługująca potencjalnie
trojanów lub zagrożeń typu backdoors. Od tego momentu
„interesujące” cele może stać się nieświadomym pośrednikiem
zainstalowane złośliwe oprogramowanie staje się bramą
w ataku; po drugie, organizacje te muszą znaleźć sposób
do właściwego celu: wewnętrznej sieci i (lub) komunikacji
na ograniczenie zagrożenia, aby chronić siebie i swoich klientów.
w firmie zainfekowanego pracownika.
Rysunek 1.: Zrzut ekranowy wiadomości e-mail i
złośliwego załącznika do pliku używanego do ataku
ukierunkowanego
szpiegostwo korporacyjne
12
szpiegostwo
SZPIEGOSTWO KORPORACYJNE
szpiegostwo
JAK DZIAŁA „ATAK PRZY WODOPOJU”
Atakowana
organizacja
www
Pakiet
exploitów
Napastnik
www
Napastnik zdobywa
dostęp do zainfekowanego
komputera
Firmy dysponujące istotnymi zasobami online, które mogą
być narażone na ataki przy wodopoju, muszą zainwestować
w zabezpieczenia sieci i serwerów. Warto też regularnie
sprawdzać, czy serwer WWW udostępnia tylko to, co powinien.
Obrona przed atakami przy wodopoju nie wymaga niczego,
czego i tak już nie używa się do odpierania bardziej
„przyziemnych” ataków internetowymi, które są wymierzone
w luki dnia zerowego, a przez to omijają zabezpieczenia
oparte na wykrywaniu znanych zagrożeń. Częścią systemu
bezpieczeństwa powinien oczywiście być korporacyjny
pakiet zabezpieczający z mechanizmami wykrywania
behawioralnego, który nie ogranicza się do statycznego
identyfikowania znanych złośliwych plików, ale aktywnie
wyszukuje i sygnalizuje podejrzane zachowania.
Jeśli jednak mamy do czynienia z zaawansowanymi
i uporczywymi atakami, jedna warstwa ochrony nie
wystarczy. Użytkownicy korporacyjni powinni korzystać
przynajmniej z bezpłatnego pakietu Exploit Mitigation
Toolkit (EMET) Microsoftu, aby uszczelnić zarządzanie
pamięcią systemową, która jest przydzielana aplikacjom
klienckim,
takim
jak
przeglądarki
internetowe,
Zainfekowany
komputer
dodatki do przeglądarek i czytniki dokumentów.
Drugą, bardzo skuteczną metodą hamowania zapędów
szpiegów jest filtrowanie adresów URL w firmowym serwerze
DNS w taki sposób, aby z komputerów użytkowników dało się
uzyskać dostęp tylko do określonych, aprobowanych witryn
publicznych. Ten środek ostrożności utrudnia napastnikowi
komunikację z zainstalowanymi trojanami i zapobiega
wysyłaniu skradzionych informacji do serwerów dowodzenia
(C&C).
Przy właściwej konfiguracji metoda ta ma również tę zaletę,
że nie wpływa na sposób, w jaki większość użytkowników
pracuje lub korzysta z Internetu. W F-Secure prowadzimy listę
znanych domen potencjalnie związanych ze szpiegostwem
korporacyjnym. Porównanie tej listy ze spisem miliona
najpopularniejszych domen dostępnym w witrynie Alexa.com
pokazuje, że 99,6 proc. potencjalnych serwerów C&C znajduje
się poza najpopularniejszymi domenami.
Jeśli więc Twoja organizacja znajduje się w posiadaniu
informacji, które mogłyby zainteresować inne firmy, warto
skorzystać z rozwiązania do filtrowania zapytań DNS, które jest
na tyle elastyczne, aby pozwalało użytkownikom na normalną
pracę, ale wystarczająco rygorystyczne, żeby blokowało
nieznane domeny. Choć napastnicy mogą użyć kanałów C&C,
które są trudniejsze do zablokowania, takich jak Twitter lub
Facebook, ten prosty środek ostrożności pokrzyżuje im szyki.
SOURCE
[1] The Washington Free Beacon; Chinese Hackers Suspected in Cyber Attack on Council on Foreign Relations; opublikowano 27 grudnia 2012 r.;
http://freebeacon.com/chinese-hackers-suspected-in-cyberattack-on-council-on-foreign-relations/
szpiegostwo korporacyjne
13
STUDIA
PRZYPADKÓW
BOTY
15
ZEROACCESS
17
ZEUS
21
EXPLOITY
25
STRONY INTERNETOWE
28
ATAKI WIELOPLATFORMOWE
32
URZĄDZENIA MOBILNE
35
BotY
Świat botów w 2012 r.
W ostatnich kilku latach różne organizacje podjęły skoordynowane działania na rzecz powstrzymania, lub przynajmniej ograniczenia
działań różnych botnetów, które odebrały milionom użytkowników kontrolę nad ich komputerami, danymi i pieniędzmi. Jednak
w 2012 r. wiele botnetów odrodziło się, często w bardziej agresywnej formie, z nowymi złośliwymi programami, w nowym
„opakowaniu” lub z nowymi strategiami marketingu i dystrybucji, a także ze skuteczniejszymi sposobami na zarabianie pieniędzy.
BotY
ZeroAccess
Spośród wszystkich botnetów, zaobserwowanych w ubiegłym
roku, z pewnością najszybciej rósł ZeroAccess. , Jak pokazuje
mapa infekcji po prawej stronie[27] zainfekował miliony
komputerów na świecie, w tym nawet 140 000 unikatowych
adresów IP w Stanach Zjednoczonych i Europie.
Szkodliwe oprogramowanie, które zmienia komputer
użytkownika w bota, zwykle znajduje się w złośliwych
witrynach, do których odwiedzenia użytkownik jest
podstępnie namawiany. Złośliwa witryna zawiera pakiet
exploitów( zwykle Blackhole), które podczas wizyty wyszukują
luki w zabezpieczeniach komputera. Po złamaniu zabezpieczeń
pakiet instaluje w nim oprogramowanie, które zmienia go w
bota ZeroAccess.
Bot codziennie pobiera nową listę reklam z serwera dowodzenia
(C&C) ZeroAccess. Ponieważ cała operacja sprowadza się
do oszukiwania na kliknięciach, szacuje się, że botnet
kosztuje uczciwych reklamodawców nawet 900 000
dolarów dziennie. Oszustwa na kliknięciach stają się coraz
częstsze, ponieważ internetowe sieci reklamowe nie mają
sposobu na odróżnienie kliknięć legalnych od nieuczciwych.
Innym źródłem dochodów ZeroAccess jest możliwość
generowania bitmonet (Bitcoin), wirtualnej waluty zarządzanej
przez infrastrukturę peer-to-peer (P2P). Moc obliczeniowa
botów jest używana do wykonywania skomplikowanych
obliczeń w celu znalezienia luki systemie weryfikacji transakcji
Bitcoin. Większa ilośćwirtualnej waluty oznacza z kolei większą
gotówkę, na którą można wymienić wirtualne monety. Ponad
połowa botnetu jest poświęcona generowaniu bitmonet dla
zysku. Więcej informacji o zarobkowej działalności ZeroAccess
można znaleźć w studium przypadku na stronie 17.
Zeus
Zeus i jego rywal/partner SpyEye są prawdopodobnie nadal
najszerzej dyskutowanymi trojanami bankowymi z 2012 r. Ktoś
nazwał Zeusa „Bogiem botnetów »zrób to sam«”. Pomimo
różnych prób likwidacji pod koniec grudnia 2012 r. projekt
ZeuS Tracker śledził niemal 900 serwerów C&C Zeusa na całym
Boty
Rysunek 1. Mapa Google Earth przedstawiająca infekcje ZeroAccess w
Stanach Zjednoczonych [1]. Czerwone znaczniki wskazują zainfekowany
unikatowy adres IP albo klaster adresów.
świecie. Liczba ta może nie odzwierciedlać rzeczywistych
rozmiarów botnetu, ponieważ najnowsze wersje Zeusa
zawierają protokół P2P, który utrzymuje komunikację
w ramach samego botnetu. Umożliwia to pobieranie plików
konfiguracyjnych i aktualizacji od innych zainfekowanych
hostów. Ta funkcja, ochrzczona mianem „Gameover” utrudnia
badaczom bezpieczeństwa śledzenie botnetu.
Oprócz wprowadzania funkcji Gameoever główną zmianą
w Zeusie były poprawki, które miały uczynić to złośliwe
programowanie bardziej przyjaznym dla użytkownika,
w rezultacie zwiększając jego atrakcyjność dla osób, które
dopiero zaczynają swoją „przygodę” z przestępczością
w Internecie. Zeus oferuje zaawansowany panel sterujący
administracyjny, dobrze napisany podręcznik oraz
kompilator, umożliwiając zarówno amatorom, jak i ekspertom
szybkie opracowanie i zbudowanie plików wykonywalnych
do infekowania komputerów ofiar.
Citadel, trzecia pochodna Zeusa, wyróżnia się możliwością
szybszego wdrażania nowych i wyspecjalizowanych funkcji
poprzez ulepszony interfejs użytkownika, co również
w tym przypadku ma na celu pomóc początkującym
hakerom w dystrybucji złośliwego oprogramowania.
Ta funkcja „dynamicznej konfiguracji” pozwala botmasterom
15
tworzyć iniekcje witryn „w locie”. Ma to kluczowe znaczenie
we współczesnym krajobrazie przestępczości online, ponieważ
boty są szybko likwidowane. Najważniejszą cechą Citadel jest
jednak system „zarządzania relacjami z klientami” z platformą
społecznościową do raportowania i poprawiania usterek. Ten
pakiet to bez wątpienia profesjonalne narzędzie i w bliskiej
przyszłości możemy oczekiwać stałego wzrostu liczby infekcji.
do konta bankowego.
Zainfekowana
Caberpem
aplikacja
mobilna
jest
dystrybuowana na platformie Android, a jej docelowymi
użytkownikami są klienci europejskich i rosyjskich banków.
Bankowość internetowa zyskuje na popularności w wielu
krajach, przez co transakcje online stają się atrakcyjnym
celem cyberprzestępców, więc botnety takie jak Carberp
prawdopodobnie będą nadal rozwijać się w 2013 r.
Carberp
Autorzy lub operatorzy Carberpa zmienili też sposób
jego rozpowszechniania, aby przyciągnąć uwagę innych
dystrybutorów złośliwego oprogramowania.. Od czasu
wskrzeszenia wykorzystuje nowy model „złośliwe
oprogramowanie jako usługa”, umożliwiając wynajęcie
botnetu za opłatą w wysokości do 2000 do 10 000 dolarów
miesięcznie. Ponadto kupujący ma do wyboru różne
możliwości konfiguracji botnetu. Najdroższa z nich obejmuje
infekcję sektora rozruchowego, co zwiększyło jego rynkową
cenę do 40 000 dolarów. Choć ceny wydają się wysokie,
opcja wypożyczania jest szczególnie atrakcyjna dla mniej
doświadczonych użytkowników, którzy po prostu potrzebują
środka do celu – to znaczy do zainstalowania większej liczby
trojanów w komputerach ofiar.
Carberp rozprzestrzenił się również na platformę mobilną
w postaci ataków „man in the mobile” („człowiek w urządzeniu
mobilnym”, odmiana ataku „człowiek w środku”). Aby atak
Carberp-in-the-mobile (CitMo) zadziałał, użytkownik musi
mieć zarówno aplikację mobilną, jak i komputer zainfekowany
stacjonarną wersją Carberpa. Zainstalowana aplikacja mobilna
potrafi przechwytywać wiadomości SMS z kodami mTAN
(mobilny numer autoryzacji transakcji), które są wysyłane
przez banki w celu uwierzytelniania transakcji internetowych
wykonywanych przez użytkownika. Przechwycony kod mTAN
jest przekazywany do zdalnego serwera, a stamtąd pobierany
przez trojan Carberp zainstalowany w komputerze tego
samego użytkownika i używany w celu uzyskania dostępu
DorkBot
DorkBot rozprzestrzenia się przez Skype’a i został odkryty
w październiku 2013 r. Oprogramowanie to wykrada konta
oraz hasła użytkowników Facebooka, Twittera, Netfliksa
i różnych komunikatorów internetowych. Z przejętego
konta społecznościowego DorkBot rozsyła do kontaktów
użytkownika fotografie z pytaniem, czy dołączony obraz
jest ich zdjęciem profilowym. Jeśli odbiorca nabierze się
na tę sztuczkę socjotechniczną, w jego komputerze
instalowane jest oprogramowanie typu „backdoor”
oraz robak DorkBot, który staje się częścią botnetu.
W przeciwieństwie do poprzednio wspomnianych botnetów
DorkBot czerpie zyski z okupów — dosłownie blokuje komputer
ofiary, rzekomo ze względu na obecność „nielegalnej treści”,
takiej jak pornografia lub piracka muzyka. Następnie domaga
się zapłacenia „kary” w wysokości 200 dolarów w ciągu 48
godzin, grożąc „zgłoszeniem sprawy agencji rządowej”
do dalszego ścigania karnego. DorkBot potrafi też dodatkowo
zarabiać na zainfekowanych hostach, wykorzystując
je do oszukiwania na kliknięciach, co przypadkowo
stwarza atrakcyjne źródło przychodu dla autorów.
Botnety mobilne
W embrionalnej fazie rozwoju są botnety operujące
na Androidzie. Te mobilne botnety robią dokładnie to, czym
zajmowały się pierwsze botnety komputerowe — to znaczy
generują spam.
SpamSoldier wysyła wiadomości SMS do stu urządzeń
z systemem Android (w Stanach Zjednoczonych) jednocześnie.
Nadawca nie ma pojęcia o tej aktywności, ponieważ wiadomości
są usuwane zaraz po wysłaniu, więc wysoki rachunek za telefon
bywa nieprzyjemną niespodzianką. Wiadomości mogą również
zawieraćłącza prowadzące do innych złośliwych programów,
które wzmacniają szkodliwy wpływ botów.
ŹRÓDŁO
[1] F-Secure Weblog; Sean Sullivan; The United States of ZeroAccess; opublikowano 20 września 2012r.;
http://www.f-secure.com/weblog/archives/00002430.html
BOTY
16
BOTY
Carberp jest najbardziej godny uwagi ze względu na powrót
z poprawionym produktem i podejściem „marketingowym”.
Caberp pojawił się po raz pierwszy w 2011 roku jako typowe
oprogramowanie do kradzieży danych bankowych, a jego
rozprzestrzenianie się zostało tymczasowo powstrzymane
przez rosyjskie agencje na początku 2012 r. Niestety, w grudniu
botnet pojawił się ponownie z nową możliwością infekowania
rekordu rozruchowego komputerów, komponentu, który
uruchamia się jeszcze przed głównym systemem operacyjnym,
przez co ukryte w nim złośliwe oprogramowanie jest
trudniejsze do wykrycia i usunięcia.
ZeRoAccess
Najbardziej rentowny botnet na świecie
ZeroAccess jest dziś jednym z najbardziej znanych botnetów. Badacze odkryli go po raz pierwszy w 2010 r., kiedy przyciągnął
wiele uwagi ze względu na zdolność do przerywania wszystkich procesów związanych z zabezpieczneiami w komputerach, w tym
produktami antywirusowymi. Kiedy jednak badacze skupili się na tych mechanizmach samoobrony, autor zrezygnował z nich i skupił
się na dopracowaniu niestandardowego protokołu sieciowego peer-to-peer (P2P) używanego wyłącznie przez ZeroAccess. Po tej
zmianie[1] ZeroAccess stał się łatwiejszy do wykrycia przez produkty antywirusowe, a mimo to rozprzestrzenił się błyskawicznie
dzięki ulepszonej technice P2P[2]. Sukces ten w dużej mierze jest zasługą programu partnerskiego.
Programy partnerskie to dobrze znana strategia
marketingowa, której używa wiele witryn zajmujących się
handlem elektronicznym[3]. Zasadniczo właściciel firmy,
który chce wypromować swoją witrynę e-handlową, umawia
się z właścicielami innych witryn, że będą kierować do niego
klientów (którzy być może dokonają zakupu). Właściciele
witryn są następnie wynagradzani za każdego potencjalnego
klienta.
Różnorodne metody dystrybucji używane przez licznych
partnerów przyczyniły się do dużej liczby wariantów instalatora
trojana, które są codziennie wykrywane przez produkty
antywirusowe. Każdy z partnerów ma tę samą motywację:
udział w przychodach gangu.
Rysunek 1. Operator botnetu szuka partnerów na podziemnym forum
Wykorzystując tę koncepcję, autor lub operator ZeroAccess
zdołał rozpowszechnić program na dużej liczbie komputerów
z pomocą partnerów.
Gang ZeroAccess reklamuje instalator złośliwego
oprogramowania na podziemnych rosyjskich forach, aktywnie
poszukując dystrybutorów. Jego celem jest znalezienie innych
cyberprzestępców, którzy lepiej znają się na dystrybucji
złośliwego oprogramowania i potrafią to robić skuteczniej.
Dystrybutorami złośliwego oprogramowania zwykle
są doświadczeni partnerzy. Każdy z nich stosuje
własne
metody
rozpowszechniania
instalatorów
ZeroAccess,
aby
spełnić
wymagania
rekrutera.
Do najpopularniejszych zaobserwowanych przez nas metod
dystrybucji należą pakiety exploitów, spam, programy
do pobierania trojanów oraz udostępnianie fałszywych plików
multimedialnych w serwisach P2P i w witrynach wideo, choć
szczegóły różnią się w zależności od dystrybutora.
ZeroAccess
METODY UŻYWANE PRZEZ DYSTRYBUTORÓW
ZEROACCESS
Metody dystrybucji
Trojan pobierający
pliki
Do komputera przemycany jest
trojany, który pobiera i instaluje
oprogramowanie botnetu
Pakiet exploitów
Wykorzystanie pakietu exploitów
(na przykład Blackhole) do instalacji
złośliwego oprogramowania bez wiedzy
użytkownika (drive-by-download).
Fałszywy plik
multimedialny,
generator kluczy albo
crack
Udostępnianie zainfekowanych plików
w sieciach P2P pod atrakcyjnymi
nazwami, takimi jak „microsoft.
office.2010.vl.editi.keygen.exe”
Serwisy P2P do
wymiany plików
Użycie serwisu wymiany plików do
hostingu instalatora ZeroAccess
Spam
Wysyłanie wiadomości e-mail z
załącznikiem lub łączem, które mogą
pozwolić na dalszy atak
17
ZeroAccess
Program partnerski: historia sukcesu ZeroAccess
STRUKTURA PROGRAMU PARTNERSKIEGO ZEROACCESSe
Operator botnetu
ZeroAccess
Pakiety
exploitów
Dystrybutor C
Spam
Ofiary
ZeroAccess
Dystrybutor B
Generowanie bitmonet
Dystrybutor A
Oszustwa na kliknięciach
PODZIEMNE FORUM
$$$
Trojan
pobierający
pliki
Dystrybutor n
Sieć P2P
skłonny zapłacić za nią od 500 do 1000 dolarów.
Partnerzy są wynagradzani w modelu „opłaty za instalację”
(Pay-Per-Install, PPI)[4], a stawka zależy od geograficznej
lokalizacji komputera, w którym udało się zainstalować
złośliwe oprogramowanie. Pomyślna instalacja w Stanach
Zjednoczonych przynosi największe profity — gang jest
Przy takich stawkach nie dziwi, że ZeroAccess jest bardzo
rozpowszechniony w Stanach Zjednoczonych[5]. W dalszej
kolejności pod względem wysokości prowizji są takie kraje,
jak Australia, Kanada, Wielka Brytania i inne. Niektórzy
dystrybutorzy publikują nawet zrzuty ekranowe z dowodem
płatności, aby potwierdzić rzetelność swojego rekrutera.
Gang ZeroAccess może sobie pozwolić na płacenie
tak wysokich stawek rekrutom, ponieważ armia botów
stworzonych w ramach programu partnerskiego przynosi
jeszcze większe zyski.
Rysunek 2. Dowody płatności dokonanych przez rekrutera
ZeroAccess
Po pomyślnej instalacji złośliwego oprogramowania
w komputerach ofiar, ZeroAccess rozpoczyna pobieranie
i instalowanie dodatkowych szkodliwych programów,
które zapewniają operatorom botnetu dochody z oszustw
na kliknięciach i generowania bitmonet.
18
Pomimo trudności z generowaniem bitmonet wprowadzenie
tej funkcji (przy jednoczesnej rezygnacji z problematycznego
mechanizmu samoobrony) świadczy o tym, że operatorzy
ZeroAccess bardzo ambitnie rozwijają swój botnet i nie boją
się podejmować ryzyka.
Podsumowanie
35%
Stany
Zjednoczone
38%
Inne
5% Włochy
5% Rumunia
5% Kanada
6% Indie
8% Japonia
*Na podstawie statystyk zgromadzonych z
krajowych sieci zarejestrowanych w ASN.
ZeroAccess
Generowanie bitmonet ma zbyt wiele ograniczeń.
Na przykład pomyślne wygenerowanie bitmonety zależy
od stopnia trudności wyznaczonego przez sieć Bitcoin i może
nawet wymagać odrobiny szczęścia[7]. Co więcej, komputer
ofiary musi działać na przyzwoitym procesorze, najlepiej
w połączeniu z układem GPU lub FPGA, przez rozsądny czas[8].
Nawet przy dużej liczbie botów problemy z rozwiązywaniem
bloków Bitcoin sprawiają, że generowanie bitmonet jest mniej
opłacalne od oszukiwania na kliknięciach, które wymaga
tylko, aby ofiara miała połączenie internetowe i przeglądarkę.
INFEKCJE ZEROACCESS WG KRAJU,
PROCENTOWO (%)
3538+8654
Operatorzy botnetu preferują wersję do oszukiwania
na kliknięciach, ponieważ od 2006 r.[6] jest to sprawdzona
metoda generowania przychodów z reklam w systemach
opłaty za kliknięcie (pay-per-click, PPC).
ZAROBKOWE DZIAŁANIA ZEROACCESS,
PROCENTOWO (%)
1783
Sukces botnetu ZeroAccess jako wielkiej, w pełni funkcjonalnej
„maszyny” do generowania zysków sugeruje, że problem
szybko nie zniknie. Oprogramowanie ZeroAccess – które
stwarza najbardziej bezpośrednie zagrożenie dla użytkowników
– będzie nadal czyhało na ofiary w złośliwych witrynach.
Program partnerski, który zachęca do rozprzestrzeniania
szkodliwych programów, przyciągnie jeszcze więcej
cyberprzestępców ze względu na reputację operatorów,
którzy rzetelnie płacą partnerom i zmieniają stawki prowizji
tak, aby zachować ich atrakcyjność. Wreszcie organizacja
przestępcza stojąca za botnetem dowiodła, że nie boi się
83%
eksperymentować i modyfikować „produktu” w celu uzyskania
Oszustwa
na
kliknięciach
nowych możliwości zarabiania pieniędzy. Oczekujemy zatem,
że botnet ZeroAccess będzie rósł i ewoluował, a w bliskiej
przyszłości wzbogaci się o nowe lub zaktualizowane funkcje.
17%
Generowanie
bitmonet
Źródła
[1] F-Secure Weblog; Threat Research; ZeroAccess’s Way of Self-Deletion; opublikowano 13 czerwca 2012;
http://www.f-secure.com/weblog/archives/00002385.html
[2] F-Secure Weblog; Sean Sullivan; ZeroAccess: We’re Gonna Need a Bigger Planet; opublikowano 17 września 2012;
http://www.f-secure.com/weblog/archives/00002428.html
[3] Wikipedia; Affiliate Marketing;
http://en.wikipedia.org/wiki/Affiliate_marketing
[4] Wikipedia; Compensation Methods;
http://en.wikipedia.org/wiki/Compensation_methods#Pay-per-install_.28PPI.29
[5] F-Secure Weblog; Sean Sullivan; The United States of ZeroAccess, opublikowano 20 września 2012;
http://www.f-secure.com/weblog/archives/00002430.html
[6] MSNBC; Associated Press; Google settles advertising suit for $90 million; opublikowano 8 marca 2006;
http://www.msnbc.msn.com/id/11734026/#.ULiDyN2sHvA
[7] Bitcoin Wiki; Target;
http://en.bitcoin.it/wiki/Target
[8] Wikipedia; Bitcoin;
http://en.wikipedia.org/wiki/Bitcoin
ZeroAccess
19
ZeroAccess
INFEKCJE ZEROACCESS W STANACH ZJEDNOCZONYCH, JAPONII I EUROPIE*
Europe
USA
japan
*Czerwone znaczniki wskazują zainfekowany unikatowy adres IP albo klaster adresów.
ZeroAccess
20
Zeus
Okradanie banków we współczesnej erze
Różne odmiany Zeusa stanowią znaczną część trojanów bankowych - przejmują kontrolę nad milionami komputerów na całym
świecie i powodują straty liczone w milionach dolarów. Jego typowe działanie polega na modyfikowaniu stron internetowych
w celu gromadzenia cennych informacji. Może to na przykład oznaczać dodanie sekcji, która prosi potencjalne ofiary o wprowadzenie
dodatkowych szczegółów logowania albo informacji osobistych podczas wizyty na stronie. Informacji tych używa się następnie
do uzyskania dostępu do internetowych kont ofiar i wykonywania nieautoryzowanych transakcji.
Geografia P2P Zeusa
CELE INIEKCJI WEDŁUG KRAJU
Spośród wszystkich pochodnych i wariantów szczególny
charakter ma wersja peer-to-peer (P2P), ponieważ jest
prywatna i tworzy jeden duży botnet. Inne odmiany zwykle
tworzą liczne, ale mniejsze botnety, każdy prowadzony przez
kogoś, kto kupił wersję Zeusa. Od końca sierpnia do połowy
listopada 2012 r. monitorowaliśmy boty P2P i śledziliśmy
witryny, które próbowały zainfekować poprzez iniekcje kodu.
88
47
•
•
•
osobista bankowość internetowa,
bankowość internetowa dla przedsiębiorstw (głównie
małych firm z Ameryki Północnej),
witryny inwestycyjne i handlowe,
serwisy kart kredytowych,
bardzo popularne globalne witryny (np. Amazon, eBay,
Facebook itd.).
Pod względem geograficznym głównym obszarem działania
Zeusa była Ameryka Północna, gdzie wziął on na cel 88
witryn ze Stanów Zjednoczonych i 23 z Kanady. Ważnymi
celami ataków było też kilka krajów europejskich. W danych
konfiguracyjnych wpisy związane z witrynami włoskimi były
aktywnie dodawane, usuwane i modyfikowane. Podczas
wszystkich tych zmian Włochy pozostawały jednym
z najczęściej atakowanych krajów. Jedno z czołowych miejsc
zajęła Polska - we wrześniu i październiku do listy dodano 15
polskich witryn ( jeszcze w sierpniu na liście nie było żadnej
polskiej witryny). Prawdziwą niespodzianką była liczba
atakowanych banków bliskowschodnich w porównaniu
z liczbą infekcji w tym samym regionie.
Jeśli chodzi o liczbę komputerów zainfekowanych wersją P2P
zeus
10
Zeus
11
Reszta świata
14
Niemcy
15
Polska
Kanada
Stany
Zjednoczone
18
Arabia
Saudyjska
Zjednoczone
Emiraty Arabskie
•
•
23
Włochy
Dane konfiguracje ujawniły, że w badanym okresie celem
ataków iniekcyjnych było 644 unikatowych adresów URL,
ze szczególnym naciskiem na witryny z Ameryki Północnej.
Nie wszystkie adresy URL zawierały nazwy domenowe. Czasem
do identyfikacji docelowej witryny służyła tylko ścieżka,
a wiele domen miało kilka prowadzących do nich adresów
URL, używających różnych ścieżek. Po wykluczeniu adresów
URL bez nazw domenowych i zduplikowanych domen
pozostały 243 unikatowe domeny. Ogółem atakowane
witryny można podzielić na następujące kategorie:
Zeusa, na pierwszym miejscu znalazły się Stany Zjednoczone,
a na drugim Włochy. Liczba ta opiera się na 5395 przypadkowych
próbkach przeanalizowanych od lipca do listopada. Kraje
na dalszych pozycjach nie wyróżniają się tłumu,
ponieważ różnice w liczbie infekcji są nieznaczne.
DZIESIĘĆ KRAJÓW Z NAJWIĘKSZĄ LICZBĄ
INFEKCJI WERSJĄ P2P ZEUSA
KRAJ
UNIKATOWE
ADRESY IP
% WSZYSTKICH
ADRESÓW IP
Stany Zjednoczone
1809
33.53%
Włochy
439
8.14%
Niemcy
205
3.80%
Gruzja
203
3.76%
Meksyk
179
3.32%
Kanada
168
3.11%
Indie
167
3.10%
Brazylia
143
2.65%
Rumunia
133
2.47%
Tajwan
110
2.04%
21
Co miesiąc Stany Zjednoczone i Włochy plasowały się
na początku stawki pod względem liczby infekcji. Kiedy celami
stały się polskie witryny, liczba infekcji w Polsce wzrosła ponad
dwukrotnie, ale stanowiła zaledwie dwa procent łącznej liczby
infekcji nawet w najwyższym punkcie w listopadzie.
i Ice IX najwcześniejsza data podana w odpowiedniej tabeli
reprezentuje dzień, w którym wykryliśmy pierwszą próbkę
pochodnej. Jeśli jednak chodzi o wariant P2P, pierwszą
próbkę otrzymaliśmy 3 września 2011 r., a pierwsze zmiany
w poleceniach „tylnych drzwi” zaobserwowaliśmy sześć
miesięcy później.
PROCENT (%) ZAINFEKOWANYCH ADRESÓW IP
W poniższych tabelach wymieniono wszystkie wywoływane
polecenia. Niektóre z nich mogą nie realizować żadnych
funkcji, nie śledziliśmy też zmian w działaniu poszczególnych
poleceń. Warto zauważyć, że daty w tabelach reprezentują
dzień, w którym otrzymaliśmy pierwszą próbkę z danym
poleceniem, a nie dzień, w którym autor Zeusa wprowadził
zmiany.
70%
60%
Polska
Tajwan
Meksyk
Indie
Kanada
Niemcy
Gruzja
Włochy
Stany
Zjednoczone
50%
40%
30%
20%
10%
LIP
SIE
WRZ
PAŹ
LIS
W 2012 roku zespół Dell SecureWorks Counter Threat Unit[3]
zdołał połączyć się z około 100 000 botów P2P Zeusa. Jeśli
przyjąć tę liczbę za minimalny rozmiar botnetu, można
stwierdzić, że większość dostawców usług internetowych
(P2P) najbardziej dotkniętych przez wersję P2P Zeusa ma
do czynienia z kilkoma tysiącami infekcji w komputerach
klientów.
Nowe polecenia backdoorów („tylnych drzwi”) w
pochodnych Zeusa
Wywoływalne polecenia w botnecie Zeus
Wariant P2P
Polecenia
Data pierwszej obserwacji
fs_find_by_keywords **
2012-03-30
fs_find_add_keywords
2012-04-09
fs_find_execute
2012-04-09
fs_pack_path
2012-05-24
ddos_address
2012-05-24
ddos_execute
2012-05-24
ddos_type
2012-05-24
ddos_url
2012-05-24
** Polecenie fs_find_by_keywords było dostępne w wariancie
P2P przez krótki czas; po raz ostatni zaobserwowano je w próbce
otrzymanej 3 kwietnia 2012 r.
Citadel
Polecenia
dns_filter_add
Data pierwszej
obserwacji
2011-12-10
dns_filter_remove
2011-12-10
url_open
2012-02-12
module_download_disable
2012-05-07
module_download_enable
2012-05-07
module_execute_disable
2012-05-07
Zeus to nie tylko trojan bankowy. Od pierwszej wersji
zawierał pewne funkcje „tylnych drzwi” kontrolowane przez
posiadacza botnetu za pomocą prostych skryptów. Skrypty te
są dostarczane do zainfekowanych komputerów przez serwery
dowodzenia (C&C).
module_execute_enable
2012-05-07
info_get_antivirus
2012-05-07
info_get_firewall
2012-05-07
info_get_software
2012-05-07
ddos_start
2012-07-03
Różne pochodne (tzn. Citadel, Ice IX i P2P), które pojawiły
się po tym, jak kod źródłowy Zeusa 2 wyciekł do internetu,
otrzymują radykalnie różne polecenia. Polecenia te stanowią
dobry wskaźnik tempa rozwoju każdej pochodnej. Citadel
zajmuje pierwsze miejsce z 20 nowymi poleceniami, podczas
gdy Ice IX otrzymał tylko jedno, przez co jest najbardziej
zbliżony do bazowej wersji 2.0.8.9. W przypadku Citadel
ddos_stop
2012-07-03
close_browsers
2012-09-11
webinjects_update
2012-09-11
download_file
2012-09-11
search_file
2012-09-11
tokenspy_update
2012-09-11
zeus
Zeus
80%
upload_file
2012-09-11
tokenspy_disable
2012-10-06
bot_transfer
2012-10-06
22
Zeus 2 Timeline of Notable Events
Polecenia
bot_update_exe
Data pierwszej
obserwacji
2011-11-03
Niektóre botnety Zeusa obecnie nie tylko pełnią funkcje
bankowego trojana, ale również mogą być używane
do rozproszonych ataków blokady usług (DDoS) na wybrane
witryny, przy czym zainteresowani mogą wynająć botnet
za stosowną opłatą. Jak można wywnioskować na podstawie
poleceń „tylnych drzwi”, zarówno Citadel, jak i wersja P2P
otrzymały funkcje DDoS latem, ale przyczyna aktualizacji
wersji P2P może być inna. Według zespołu Dell SecureWorks
Counter Threat Unit[3], operatorzy wariantu P2P używali
ataków DDoS, aby zablokować ofiarom bankowego trojana
dostęp do kont do momentu zakończenia nielegalnych
transakcji. Może więc funkcje DDoS dodano po to, aby uniknąć
wynajmowania botnetów stron trzecich, które były używane
do przeprowadzania ataków od listopada 2011 r. do lata 2012 r.
01.04.2010
Narodziny Zeusa 2.0.0.0
xx.10.2010
Autor SpyEye otrzymuje kod źródłowy Zeusa[1]
xx.04.2011
Najwcześniejsza znana data debiutu Ice IX[2]
xx.05.2011
Kod źródłowy Zeus 2.0.8.9 wycieka do
internetu
Pierwsza publiczna sprzedaż Ice IX w
internecie
Najwcześniejszy wariant P2P Zeusa
zidentyfikowany przez FS Labs
xx.08.2011
03.09.2011
05.09.2011
03.11.2011
xx.11.2011
Pierwsza zarejestrowana domena zapasowa
wariantu P2P Zeusa
Najwcześniejsza próbka Ice IX
zidentyfikowana przez FS Labs
Gang P2P zaczyna używać ataków DDoS w
swojej działalności[3]
xx.12.2011
Pierwsza data identyfikacji Citadel[4]
10.12.2011
Pierwsza próbka wersji Citadel
zaobserwowana przez FS Labs
Zeus
Ice IX
30.03.2012
Pierwsza zmiana w poleceniach tylnych
drzwi wariantu P2P Zeusa
07.05.2012
Citadel otrzymuje polecenia tylnych drzwi
do sterowania dodatkowymi modułami
14.05.2012
Niestandardowy wariant Zeusa 2, który
zawiera funkcje wymuszania okupu
24.05.2012
Funkcje DDoS dodane do wariantu P2P
Zeusa
Funkcje DDoS dodane do wersji Citadel
03.07.2012
ŹRÓDŁA
[1] KrebsonSecurity; Brian Krebs; SpyEye v. ZeuS Rivalry Ends in Quiet Merger; opublikowano 24 października 2010 r.;
http://krebsonsecurity.com/2010/10/spyeye-v-zeus-rivalry-ends-in-quiet-merger/
[2] RSA FraudAction Research Labs; New Trojan Ice IX Written Over Zeus’ Ruins; opublikowano 24 sierpnia 2011 r.;
http://blogs.rsa.com/rsafarl/new-trojan-ice-ix-written-over-zeus-ruins/
[3] Dell SecureWorks; Brett Stone-Goss; The Lifecycle of Peer-to-Peer (Gameover) ZeuS;opublikowano 23 lipca 2012 r.;
http://www.secureworks.com/cyber-threat-intelligence/threats/The_Lifecycle_of_Peer_to_Peer_Gameover_ZeuS/
[4] Seculert Blog; Citadel - An Open-Source Malware Project; opublikowano 8 lutego 2012 r.;
http://blog.seculert.com/2012/02/citadel-open-source-malware-project.html
zeus
23
ExploityDziesięć najczęściej atakowanych luk
w zabezpieczeniach w 2012 r.
Z perspektywy zwykłego użytkownika najbardziej
prawdopodobnym scenariuszem, w którym ktośspróbuje
wykorzystać lukę w zabezpieczeniach jego komputera,
jest odwiedzenie złośliwej lub przejętej przez napastnika
witryny internetowej. Choć niektóre ataki nadal wykorzystują
tradycyjne taktyki socjotechniczne, które raczej nie zwiodą
czujnego użytkownika („Kliknij to łącze, aby otrzymać
nagrodę!” albo „Pobierz kodek, aby obejrzeć ten fascynujący
film!”), w bardziej zaawansowanych przypadkach użytkownicy
nie widzą żadnych jawnych symptomów ataku - włamanie do
komputera zachodzi szybko i po cichu, w krótkim okresie,
kiedy ma on styczność ze złośliwą witryną.
W niektórych przypadkach atak jest specjalnie przygotowany
pod kątem określonej grupy użytkowników. Do takich grup
należą klienci określonych banków (kiedy chodzi o kradzież
pieniędzy) albo pracownicy określonej firmy lub branży (kiedy
chodzi o szpiegostwo korporacyjne lub polityczne, zobacz
studium przypadku „Szpiegostwo korporacyjne” na stronie 12).
Takie ukierunkowane ataki nie są niczym nowym — od wielu lat
obserwujemy przypadki spear phishingu, czyli precyzyjnego
wyłudzania informacji. Główna różnica polega na tym, że
w ostatnich kilku latach napastnicy nie czekają, aż użytkownik
pobierze zainfekowany załącznik albo wprowadzi poufne dane
na złośliwej stronie udającej prawdziwy portal, ale korzystają
z exploitow i (lub) pakietów exploitów, aby bezpośrednio
włamać się do komputera użytkownika, bez żadnych działań
z jego strony.
W 2012 r. używano szerokiej gamy exploitów, ale statystyki
z chmurowych systemów monitoringu F-Secure wskazują,
że w większości krajów gros wykrytych exploitów ma związek
z zaledwie czterema lukami w zabezpieczeniach, zgłoszonymi
w ciągu minionych dwóch lat i opatrzonymi oficjalnymi
identyfikatorami Common Vulnerabilities and Exposures
(CVE). Może to wynikać z faktu, że niektóre najpopularniejsze
dziś pakiety exploitów, zwłaszcza BlackHole i Cool Exploit,
zawierają exploity wymierzone właśnie w te luki. Jak
na ironię, większość tych luk została załatana w poprawkach
wypuszczonych
przez
odpowiednich
producentów
oprogramowania. Dwie inne luki specyficzne dla Javy, choć
znacznie mniej popularne niż pierwsze cztery, również były
celem tylu ataków, że są godne odnotowania.
exploity
Luki CVE najczęściej atakowane w 2012 r.:
CVE-2011-3402
Usterka w mechanizmie analizy czcionek TrueType używanym
przez sterowniki jądra różnych systemów operacyjnych
Windows (w tym XP, Vista i Windows 7) pozwala napastnikom
wykonywać dowolny kod na komputerze użytkownika.
Do ataku używa się dokumentu Worda albo strony internetowej
ze specjalnie spreparowanymi, złośliwymi danymi czcionki.
Więcej informacji o tej luce w zabezpieczeniach można znaleźć
w infografice na stronie 27.
CVE-2010-0188
Usterka w programie Adobe Reader i różnych wersjach
Adobe Acrobat pozwala napastnikom wykorzystać specjalnie
spreparowany dokument PDF do spowodowania awarii
aplikacji, a w konsekwencji blokady usług. Według raportów,
dokument PDF może też zainstalować w atakowanym systemie
złośliwy plik, który następnie łączy się ze zdalną witryną
i oczekuje dalszych instrukcji.
CVE-2012-4681
Luki w zabezpieczeniach środowiska Java Runtime Environment
(JRE) działającego w przeglądarkach internetowych pozwalają
napastnikom wykorzystać specjalnie spreparowany aplet
do uruchomienia dowolnego kodu w zaatakowanym
komputerze. Użytkownicy najczęściej padają ofiarą złośliwego
apletu wtedy, kiedy zostaną skierowani (z wykorzystaniem
socjotechniki albo zatrutych wyników wyszukiwania)
do złośliwej witryny zawierającej aplet.
CVE-2012-5076
Usterka w komponencie JRE oprogramowania Oracle Java SE 7
Update 7 i starszych wersji pozwala napastnikom wykorzystać
specjalnie spreparowany aplet do uruchomienia dowolnego
kodu w zaatakowanym komputerze, zazwyczaj w celu pobrania
dodatkowych złośliwych plików.
CVE-2012-0507
Usterka w klasie AtomicReferenceArray różnych wersji języka
Oracle Java zasadniczo pozwala napastnikom wydostać się
z „piaskownicy”, czyli zamkniętego środowiska instalacji
Javy, i wykonywać różne złośliwe działania na zaatakowanym
komputerze.
CVE-2012-1723
Usterka w maszynie wirtualnej HotSpot w komponencie
JRE różnych wersji języka Oracle Java pozwala napastnikom
wydostać się z „piaskownicy”, czyli zamkniętego środowiska
instalacji Javy, i wykonywać różne złośliwe działania
na zaatakowanym komputerze.
25
exploity
W 2012 r. wykorzystywanie znanych luk w często używanych
programach lub systemach operacyjnych stało się jedną
z najpopularniejszych, jeśli nie najpopularniejszą techniką
stosowaną przez dystrybutorów złośliwego oprogramowania,
hakerów i napastników w celu uzyskania dostępu albo kontroli
nad komputerem użytkownika.
Holandia
Belgia
Występowanie
exploitów: 139
Występowanie
exploitów: 121
2011-3402:
2010-0188:
2012-4681:
2012-5076:
2011-3402
2012-4681
2011-3402
39%
32%
17%
9%
2010-0188
2012-5076
2010-0188
2011-3402:
2010-0188:
2012-4681:
2012-5076:
2012-4681
2012-5076
Szwecja
2011-3402
INFOGRAFIKA
Najczęściej atakowane luki CVE
10 najczęściej atakowanych krajów
Druga połowa 2012 r.
2010- 2012-4681
0188
2012-4681
2010-0188
Występowanie
exploitów: 102
2012-5076
2011-3402:
2010-0188:
2012-4681:
2012-5076:
2010-0188
20113402 2012-4681 20125076
20122011-3402 5076
Włochy
Niemcy
Francja
Exploit Prevalence: 88
2010-0188:
2012-4681:
2011-3402:
2012-5076:
Exploit Prevalence: 78
2012-4681:
32%
2010-0188:
26%
2011-3402:
22%
2012-5076:
15%
Exploit Prevalence: 69
2011-3402:
32%
2010-0188:
28%
2012-4681:
24%
2012-5076:
13%
38%
29%
22%
8%
2012-5076
2012-4681
20113402
20100188
20100188
2012-5076
Stany Zjednoczone
Exploit Prevalence: 87
2012-4681:
2012-5076:
2011-3402:
2010-0188:
2011-3402
20124681
47%
25%
16%
9%
31%
29%
29%
9%
Infografika przedstawia 10 krajów, w których najczęściej
atakowano znane luki CVE w drugiej połowie 2012 r.,
uszeregowanych według występowania exploitów (liczby
detekcji związanych z CVE na 1000 użytkowników z danego
kraju) w tym okresie. Na przykład w drugiej połowie 2012 r.
nasze systemy wykryły exploit związany z CVE u 139 na każdy
1000 użytkowników z Holandii. Przedstawiono też 4 luki
CVE najczęściej atakowane w każdym kraju oraz ich udział
procentowy we wszystkich detekcjach CVE w danym kraju.
2010-0188
20124681
20122011-3402 5076
36%
35%
16%
11%
Wielka
Brytania
Exploit Prevalence:
67
2011-3402:
30%
2012-4681:
28%
2010-0188:
28%
2012-5076:
11%
2010-0188
2010-0188
2012-5076
2012-5076
2011-3402
2011- 20123402 4681
2012-4681
Polska
Finlandia
Exploit Prevalence:
61
2010-0188:
35%
2012-5076:
24%
2011-3402:
21%
2012-4681:
16%
Exploit Prevalence:
45
2010-0188:
33%
2012-5076:
25%
2011-3402:
21%
2012-4681:
17%
Szwecja
infograFIKA
Belgia
72 56
Holandia
Wykorzystywanie luki
CVE-2011-3402
Wielka
Brytania
USA
34
21
11Dania
16
13
17
Polska
Germany
25
Najwięcej ataków na użytkowników,
15 najczęściej atakowanych krajów
25
Francja
Austria
27
Grecja
15
Liczba wykryć związanych z CVE-2011-3402 na 1000
użytkowników z danego kraju, według danych
zarejestrowanych przez chmurowe systemy
monitoringu F-Secure w drugiej połowie 2012 r.
19 Czechy
Hiszpania
Na przykład w Belgii 72 na 1000 użytkowników zgłosiło
wykrycie związane z CVE-2011-3402 w drugiej połowie
roku.
Szwajcaria
40
21 Włochy
2% Blackhole
11
Inne
Cool
87%
Wkrótce później pojawił się exploit, który wykorzystuje
tę lukę m.in. do instalowania szkodliwego oprogramowania
w podatnych systemach.
Bądź Cool
W drugiej połowie 2012 r. większość
złośliwych witryn z exploitem CVE2011-3042 używało pakietu Cool
Exploit do atakowania niczego
nie podejrzewających gości.
1000=
CVE-2011-3402 980=
CVE-2010-0188 950=
CVE-2012-5076 500=
CVE-2012-0507 100=
CVE-2012-4681
135 000
Ukraina
Wielka Brytania
Rosja
Niemcy
26%
26%
Francja
Exploit ten został użyty po raz pierwszy w złośliwym
programie Duqu, który atakował tylko wybrane organizacje
w niektórych krajach. W październiku dodano go do Cool
Exploit, a wkrótce potem do pięciu innych pakietów.
Szybko stał się on jednym z exploitów napotykanych
najczęściej przez zwykłych użytkowników komputerów
w drugiej połowie 2012 r.
34%
+872
Stany Zjednoczone
11%
Identyfikator CVE-2011-3402 odnosi się do ujawnionej
w 2011 r. luki w zabezpieczeniach komponentu Windows,
który odpowiada za obsługę czcionek TrueType.
Strefa Euro
60 proc. złośliwych witryn, w których znajdowały
się pakiety z exploitem CVE-2011-3042, było
zarejestrowanych w zaledwie dwóch krajach:
we Francji i w Niemczech.
Największe przeboje
Choć luka CVE-2011-3402 jest względnie nowa, zajęła
drugie miejsce pod względem częstości detekcji
związanych z CVE, które zostały zarejestrowane przez
chmurowe systemy monitoringu F-Secure w drugiej
połowie 2012 r.
Sieć WWW
Szarzejąca sieć
Publikowanie treści w sieci nigdy nie było tak łatwe. Wszystko
można skopiować i zachować dla potomności, a witryny
internetowe da się tworzyć w ciągu kilku sekund bez żadnej
technicznej wiedzy. Cieszy to każdego, od początkujących
właścicieli firm, którzy chcą minimalnym kosztem dotrzeć
z produktem do szerszego grona odbiorców, do aktywistów,
którzy chcą pozostać anonimowi, a jednocześnie nagłośnić
swoją sprawę — i oczywiście przestępców, którzy chcą
czerpać zyski z zainfekowanych komputerów, ukradzionych
danych i przejętych kont bankowych.
20 domen najwyższego poziomu (TLD) ze
złośliwymi adresami URL, sierpień-grudzień 2012 r.
TLD
%
.in
1.10
.com
44.51
.pl
1.01
.ru
6.62
.uk
0.84
.net
6.53
.eu
0.65
.org
4.44
.it
0.58
.ua
3.67
.kr
0.55
.info
2.49
.fr
0.54
.cn
2.41
.es
0.52
.cc
2.17
.nl
0.51
.de
1.53
.biz
0.50
.br
1.18
TOTAL
82.35
Hosting/przekazywanie treści
Dawniej przestępcy udostępniali złośliwe produkty w specjalnie
przygotowanych do tego celu witrynach. Niedawne postępy
w branży hostingu sprawiły, że ta opcja stała się jeszcze bardziej
atrakcyjna dla osób o nieczystych intencjach.
Hosting witryn internetowych stał się tak powszechny i tani,
że domeny można kupować hurtem, a w dodatku pojawił się
hosting poddomen, który sprawia, że udostępnianie treści
sieć www
w sieci jest jeszcze tańsze, czasem wręcz darmowe.
Witryny hostingowe są różnorodne i bardziej lub mniej
sprzyjają hostingowi złośliwego oprogramowania. Na przykład
serwisy zdjęciowe nie są jeszcze szeroko wykorzystywane
do dystrybucji szkodliwych programów. Jednak niektóre
typy witryn z natury dobrze nadają się do rozpowszechniania
złośliwej treści. Oto niektóre najczęściej nadużywane usługi:
•
•
•
•
•
dostawcy DDNS,
hosting poddomen i przekierowywania,
hosting blogów i treści,
hosting plików,
sklepy z aplikacjami.
Usługi te są faworyzowane ze względu na łatwość użycia,
wysoki stopień anonimowości oraz to, że są tanie, a nawet
darmowe. Choć w każdej z nich odnotowano rosnącą ilość
złośliwego oprogramowania, najbardziej oczywistym celem
są dostawcy DDNS i sklepy z aplikacjami (więcej informacji
o
hostingu
złośliwego
oprogramowania
w sklepach z aplikacjami znajduje się w studium
przypadku „Urządzenia mobilne” na stronie 35).
W miarę poszerzania się oferty hostingu poddomen przez
dostawców DDNS rosła ilość przekazywanej przez nie złośliwej
treści. Analiza jednego z trzech czołowych dostawców DDNS
(no-ip.com, dnsdynamic.org i changeip.com) wykazała,
że w 165 na 189 obsługiwanych domen (87 proc.) znajduje się
złośliwa treść.
To oszacowanie reprezentuje zaledwie 1 proc. wszystkich
złośliwych adresów URL w badanym okresie, ale nie uwzględnia
złośliwej treści udostępnianej przez innych dostawców, takich
jak afraid.org, który obecnie ma do dyspozycji 98 302 domeny.
Kolejną sprawą jest hosting poddomen i przekierowywania.
Choć ustąpił pola dostawcom DDNS, witryny te nadal
funkcjonują i rozpowszechniają swoją część złośliwej treści.
Wiele z nich (np. uni.me, 110mb.com, vv.cc, x10.mx i rr.nu) jest
używanych do hostingu złośliwego oprogramowania. Choć
duży gracz, co.cc, zniknął w tajemniczych okolicznościach,
większość dostawców hostingu poddomen nadal prosperuje.
Witryny oferujące hosting plików, blogów i innych treści
bynajmniej nie pozostają w tyle. Choć spełniają one potrzeby
szerokich mas użytkowników, jednocześnie pozwalają
przestępcom na łatwą dystrybucję produktów. Weźmy
na przykład Wordpress, obecnie najpopularniejszy
internetowy system zarządzania treścią (Content Management
28
Sieć WWW
We współczesnej sieci WWW nasila się pewien niepokojący
trend. Dynamiczny hosting różnych wirtualnych zasobów,
który pozwala z błyskawiczną prędkością udostępniać
ogromną ilość treści, jednocześnie sprawia, że szary krajobraz
online staje się coraz bardziej przewidywalny. Coraz większe
grono odbiorców ma do czynienia z coraz większą ilością
złośliwego oprogramowania i treści.
System, CMS) z 59-procentowym udziałem w rynku[1]. Jego
intuicyjność zrewolucjonizowała sferę tworzenia treści,
oferując głos i obecność w cyberświecie nawet autorom
bez żadnych umiejętności technicznych. Ponieważ jednak
przestępcy również znają dane statystyczne, pakiety exploitów
atakują witryny udostępniane przez Wordpress, używając ich
jako stron przekierowujących do złośliwegooprogramowania.
Wreszcie witryny oferujące hosting plików pozwalają łatwo
udostępniać w sieci zarówno legalne pliki, jak i złośliwe
oprogramowanie. Znaczna część złośliwych plików
próby oszustwa, rozprzestrzenia się dalej.
Sieci dystrybucji reklam
W dzisiejszej „erze upodmiotowienia” ktoś musi zapłacić
rachunek za infrastrukturę stojącą za różnymi platformami,
które umożliwiają bezpłatną publikację treści. Techcrunch
przeprowadził interesującą analizę[2] współczesnych technik
monetyzacji używanych przez serwisy reklamowe oraz ich
wpływu na krajobraz mobilny. W opracowaniu tym pojawiła
się również kwestia ciemniejszej strony reklam, tak zwanego
malvertisingu.
Malvertising to szybko nasilający się
trend. Rzut oka na ranking domen
w serwisie Alexa pozwala zrozumieć,
dlaczego: spośród 1000 czołowych
domen 5,9 proc. należy do sieci
dystrybucji reklam. Oczywiście,
użytkownicy nie odwiedzają samych
serwisów reklamowych, ale inne
witryny udostępniające treść, które pobierają reklamy
z serwerów.
„ANALIZA JEDNEGO Z TRZECH CZOŁOWYCH
DOSTAWCÓW DDNS ... WYKAZAŁA, ŻE W 165 NA 189
OBSŁUGIWANYCH DOMEN (87 PROC.) ZNAJDUJE SIĘ
ZŁOŚLIWA TREŚĆ.”
Sieci i serwisy społecznościowe
Choć sieci i serwisy społecznościowe pozwalają
na skuteczną dystrybucję zagrożonej treści, duzi gracze, tacy
jak Facebook i Twitter, są bardzo zaangażowani w poprawę
bezpieczeństwa. Facebook nawiązał współpracę z ekspertami
od bezpieczeństwa, licząc na oczyszczenie ogromnej ilości
danych przepływającej każdego dnia przez jego systemy,
a wysiłki te zostały w dużej mierze uwieńczone sukcesem.
Ilość złośliwych aplikacji i oszustw publikowanych na stronach
Facebooka zmniejszała się z biegiem lat, a drugiej połowie
2012 r. znaleźliśmy w tym serwisie społecznościowym
niespełna 30 „szarych” aplikacji. Twitter oferuje własną usługę
skracania adresów URL (t.co), aby wyeliminować jak najwięcej
podejrzanego oprogramowania z udostępnianych łączy.
Choć Facebook i Twitter zwierają szyki, pozostają jeszcze inne
witryny społecznościowe, często obsługujące użytkowników
z jednego kraju, które miewają własne problemy
z bezpieczeństwem.
Zasadniczy problem z serwisami społecznościowymi
polega na tym, że są one idealnym narzędziem do ataków
socjotechnicznych. Pomimo ciągłej edukacji użytkowników
i rosnącej świadomości zagrożeń zawsze trafi się ktoś, kto
kliknie „apetyczne” łącze — i podejrzana treść, zazwyczaj
sieć www
Obecnie wiele witryn wyświetla treść nie tylko z własnej
domeny, ale również z zewnętrznych, niezależnych źródeł.
Weźmy na przykład witrynę ESPN. Oprócz właściwego adresu
espn.go.com pobiera ona treść z następujących lokalizacji:
•
•
•
•
espncdn.com – formatowanie i treść stron,
dl-rms.com, doubleclick.net, 2mdn.net,
scorecardresearch.com, ooyala.com, adnxs.com,
adroll.com, mktoresp.com – reklamy i łącza związane z
monetyzacją,
chartbeat.com, google-analytics.com, etc – statystyki
ruchu internetowego,
typekit.com, etc – zestawy czcionek/oprogramowanie.
Wiele źródeł treści sprawia, że bezpieczeństwo witryny nie
zależy już od niej samej, ale również od integralności sieci
dystrybucji reklam, a nawet bezpieczeństwa używanych
czcionek i programów. Niestety, trudno jest zarządzać
bezpieczeństwem, kiedy jest ono rozproszone po tylu różnych
elementach.
Przestępcy to wiedzą i chętnie wykorzystują. Najczęstsze
do tej pory ataki z wykorzystaniem reklam polegają
na dystrybucji złośliwej reklamy i naruszeniu zabezpieczeń
platformy reklamowej, która obsługuje docelową witrynę.
Klarowny przykład miał miejsce wtedy, kiedy sieć reklamowa
obsługująca jedną z najpopularniejszych fińskich witryn,
suomi24, przypadkowo puściła w obieg szkodliwą reklamę.
29
Sieć WWW
przechowywanych w tych witrynach jest bezpośrednio
pobierana przez trojany bez żadnej interwencji użytkownika.
Hosting plików stanowi atrakcyjną alternatywę dla
napastników, którzy w innych okolicznościach musieliby uciec
się do trudniejszego technicznie dynamicznego DNS, hostingu
poddomen, a nawet domen autonomicznych.
Poniedziałek 3 grudnia 2012 r.
Sobota 24 listopada 2012 r. Niedziela 25 listopada 2012 r. Poniedziałek 26 listopada 2012 r. Wtorek 27 listopada 2012 r.
Ponieważ suomi24 jest jedną z 15 czołowych witryn w Finlandii,
spowodowało to radykalny wzrost liczby detekcji w okresie
od 1-4 grudnia 2012 r.[3]
najczęściej odwiedzanych witryn i przyjrzyjmy się, co właściwie
na niej mamy. W rankingu można znaleźć wyszukiwarki, witryny
społecznościowe, witryny informacyjne i handlowe oraz różne
serwisy hostingu treści, plików i reklam.
Ataki na sieci reklamowe, choć trudniejsze technicznie,
są również skuteczne. Przykładem może być niedawny atak
opisany przez Websense[4], który polegał na przejęciu samego
serwera reklamowego w celu rozpowszechniania złośliwego
„56 SPOŚRÓD 1000 CZOŁOWYCH DOMEN ALEXA
ŁO ZŁOŚLIWĄ TREŚĆ,
ZWYKLE W POSTACI ŁĄCZA ALBO PRZEKIEROWANIA
DO ZŁOŚLIWEGO OPROGRAMOWANIA LUB PRÓB
WYŁUDZENIA INFORMACJI”.
kodu.
Innym popularnym mechanizmem malvertisingu jest serwis
skracania adresów URL adf.ly, który płaci użytkownikom
za udostępnianie łączy. Alexa umieszcza go na pozycji 76
najczęściej odwiedzanej witryny na świecie, 37 w Indiach.
Serwis ma bardzo szeroki zasięg — prowadzą do niego łącza
z 116 165 witryn. Aby uzyskać lepszy wgląd w złośliwe reklamy
dystrybuowane za pośrednictwem adf.ly, Malekal[5] śledził
rozpowszechnianie się malvertisingu w tym serwisie przez cały
2012 r.
Rzut oka na 100 najczęściej odwiedzanych witryn
Sprawdźmy teraz dostępną w serwisie Alexa listę 1000
SIEĆ WWW
Wtorek 4 grudnia 2012 r.
Hosting plików reprezentuje 1,9 proc. najczęściej
odwiedzanych witryn, a różne witryny społecznościowe — 3,4
proc. Sieci dystrybucji reklam stanowią 5,9 proc. spośród 1000
czołowych witryn. Choć w drugiej połowie 2012 r. tylko
nieliczne rozpowszechniały złośliwą treść, z pewnością
stanowią atrakcyjny cel dla napastników i w związku z tym
powinny zostać zabezpieczone.
Największa ilość złośliwej treści pochodziła z serwisów
hostingu treści. W drugiej połowie 2012 r. 56 spośród
1000 czołowych domen Alexa (5,6 proc.) przechowywało
złośliwą treść, zwykle w postaci łącza albo przekierowania
do złośliwego oprogramowania lub prób wyłudzenia
informacji. Co ciekawsze, odkryliśmy, ze 95,4 proc.
spośród wszystkich złośliwych adresów URL w tych
56 witrynach należało do zaledwie garstki domen.
Warto podkreślić, że do tej pory braliśmy pod uwagę tylko
ewidentnie złośliwe programy lub oszustwa; nie uwzględniliśmy
działań na granicy legalności, które wykorzystują obawy
o zdrowie, piękno, pieniądze i sprawność seksualną, aby
nakłonić ofiary do rozstania się z informacjami lub gotówką.
Matactwa tego typu również pną się w górę rankingów,
zwłaszcza na poziomie poszczególnych krajów. Na przykład
pod koniec roku 2 proc. spośród 500 najpopularniejszych
argentyńskich witryn udostępniało zewnętrzne strony
30
SIEĆ WWW
Rysunek 1.: Porównanie liczby
detekcji w Finlandii zgłoszonych
przez system monitoringu
chmurowego F-Secure w
okresach 24-27 listopada i 1-4
grudnia 2012 r.
Niedziela 2 grudnia 2012 r.
Liczba detekcji:
Liczba detekcji:
Sobota 1 grudnia 2012 r.
z sondażami lub nagrodami. Oferty szybkiego
wzbogacenia się lub zdobycia nagrody nie są też rzadkością
w Australii, Hiszpanii, Islandii, na Węgrzech i w Armenii.
Przedsięwzięcia tego typu uważa się jednak zwykle
za „potencjalnie niepożądane”, a nie „złośliwe”, więc mają one
inny odcień szarości.
TOP DOMAINS HOSTING MALWARE, AS LISTED
IN ALEXA’S TOP 1000 DOMAINS FOR H2 2012
DOMENA
OPIS
MAIL.RU
hosting blogów, hosting
plików, różne usługi
LETITBIT.NET
hosting plików
CLOUDFRONT.NET
hosting i dystrybucja treści,
różne usługi
DROPBOX.COM
hosting plików
HOTFILE.COM
hosting plików
FC2.COM
hosting blogów, hosting
plików, różne usługi
GOOGLE.COM
hosting dokumentów, hosting
plików, wyszukiwarka, różne
usługi
site hosting, various services
SENDSPACE.COM
hosting plików
4SHARED.COM
hosting plików
BLOGSPOT.DE
hosting blogów
AMAZONAWS.COM
hosting ogólny, usługi webowe,
różne inne usługi
SAPO.PT
hosting witryn
UCOZ.COM
hosting witryn
RAPIDSHARE.COM
hosting plików
To naprawdę zdumiewające, ile wolności oferuje internet
i jak ściśle łączy obywateli sieci. Ponieważ obecnie jedynym
warunkiem wstępnym jest możliwość dostępu do internetu
z poziomu dowolnego urządzenia, jakie akurat jest pod ręką,
stał się on prawdziwym źródłem upodmiotowienia ludzi
z każdego zakątka globu.
Ciemną stroną tego renesansu jest jednak to, że złośliwe
działania również mogą uderzyć z każdego zakątka internetu.
Zmieniła się definicja bezpieczeństwa w internecie. Choć
niektóre witryny nadal są bezpieczniejsze niż inne, nic nie
gwarantuje już stuprocentowego bezpieczeństwa.
Z perspektywy użytkowników oznacza to, że bezpieczeństwo
w internecie staje się w coraz większym stopniu kwestią osobistą.
Minimalizacja zagrożeń wymaga wielu warstw zabezpieczeń
i zdrowej dozy paranoi.
UWAGA:
Dane z witryny Alexa.com porównano z rankingami URL
niezależnych partnerów. Statystyki dotyczące złośliwego
oprogramowania za okres od sierpnia do grudnia 2012 r.
pochodzą z systemów monitoringu chmurowego F-Secure.
SIEĆ WWW
COMCAST.NET
Podsumowanie
ŹRÓDŁA
[1] Opensource CMS; CMS Market Share;
http://www.opensourcecms.com/general/cms-marketshare.php
[2] Techcrunch; Keith Teare; Unnatural Acts And The Rise Of Mobile; opublikowano 29 grudnia 2012 r.;
http://techcrunch.com/2012/12/29/unnatural-acts-and-therise-of-mobile/
[3] F-Secure Weblog; Sean Sullivan; Finnish Website Attack via Rogue Ad; opublikowano 5 grudnia 2012 r.;
http://www.f-secure.com/weblog/archives/00002468.html
[4] Websense; Dissecting Cleartrip.com website compromise: Malicious ad tactics uncovered; opublikowano 29 czerwca 2012 r.;
http://community.websense.com/blogs/securitylabs/archive/2012/06/29/cleartrip-com-compromised-maliciousad-tactics-uncovered.aspx
[5] Malekal’s site; Malvertising adf.ly => Ransomware Sacem /
Police Nationale; opublikowano 13 marca 2012 r.;
http://www.malekal.com/2012/03/13/malvertising-adf-lyransomware-sacem-police-nationale/
SIEĆ WWW
31
Ataki wieloplatformowe
Nie tylko Windows
Pogląd, że Mac jest wolny od złośliwego oprogramowania, a Windows podatne na infekcje, stał się przestarzały. W miarę rosnącej
popularności Maca autorzy złośliwego oprogramowania nie będą już ignorować tego rynku. To samo można powiedzieć o mobilnych
systemach operacyjnych. W obliczu różnorodnych platform i rosnącej liczby urządzeń coraz mniej praktyczne stają się ataki, które
działają tylko w określonym systemie.
W drugiej połowie 2012 r. odnotowaliśmy kilka przypadków ataków wieloplatformowych, w których złośliwe programy działały w
systemach operacyjnych różnego typu. Ataki składały się z wielu komponentów — niektórych neutralnych, innych specyficznych
dla systemu — przy czym komponenty neutralne zwykle były czynnikiem infekcji komponentami specyficznymi dla systemu.
W większości przypadków komponenty nie należały do jednej rodziny i były kompilacją narzędzi uzyskanych z różnych źródeł,
od oprogramowania open source do kodu nabytego na czarnym rynku.
Rozwój ataków wieloplatformowych
ataki wymierzone w inne platformy, począwszy od kilku
złośliwych apletów Javy wykorzystujących te same luki
w zabezpieczeniach. W pierwszym przypadku[3], taplet
sprawdza platformę komputera użytkownika, po czym
instaluje oprogramowanie specyficzne dla systemu.
W systemie Windows aplet instaluje typowe „tylne drzwi”,
a w Macu narzędzie zdalnego dostępu o nazwie Matahari[4].
Drugi przypadek obejmował liczne incydenty[5] zasadniczo
stanowiące ciągły, falowy atak na pewne organizacje
pozarządowe (NGO), który trwał do końca 2012 roku[6]. Polegał
na przesyłaniu do potencjalnych celów wiadomości e-mail,
które zawierały (a) albo złośliwe łącze[7] twykorzystujące
luki w zabezpieczeniach Javy, albo (b) złośliwy załącznik
wykorzystujący usterki w pakiecie Microsoft Office. Niektóre
złośliwe wiadomości zawierały łącza, które sprawdzały
przeglądarkę użytkownika i pobierały tylko komponenty
specyficzne dla platformy; inne pobierały hurtem wszystkie
aplety w nadziei na to, że któryś będzie pasował. Różne
strategie infekcji sugerują, że za atakami stały różne
grupy. Długotrwałość ataków oraz
to, że napastnicy zawczasu wiedzieli,
że
organizacje
pozarządowe
używają zarówno komputerów Mac,
jak i Windows, może świadczyć
o motywacji politycznej.
Następnie pojawił się trojan Boonana, który działa
w komputerach z instalacją Javy, bez względu na system
operacyjny. W przeciwieństwie do starszych złośliwych
programów Javy, które nie uwzględniały specyfiki
poszczególnych
platform,
Boonana
wykorzystuje
komponenty charakterystyczne dla platformy i nie zdaje się
wyłącznie na Javę. Trojan ten rozprzestrzeniał
się w sieciach społecznościowych —
zwłaszcza na Facebooku — jesienią 2010
r. i został ochrzczony mianem „Koobface”.
Wielu z nas nadal pamięta fałszywy program
zabezpieczający Mac Defender, o którym było
głośno w maju 2011 r. Ponieważ był to pierwszy
przypadek epidemii na platformie Mac, wielu
Rysunek 1.: Odpowiednik Mac Defendera
w Windows
przeoczyło fakt, że w rzeczywistości atak był
Każda platforma jest celem, nikt
wymierzony w wiele platform. Podobnie jak
nie jest bezpieczny
w przypadku DNSChangera, witryny udostępniające program
Kolejne złośliwe aplety Javy odkryto w drugiej połowie 2012
przesyłały wersję dla Maca lub Windows (rysunek 1), w zależności
r. [9,10]. Większość wysiłków koncentrowało się na infekowaniu
od nagłówka User Agent podanego przez przeglądarkę.
komputerów Windows i Mac, ale napastnicy znaleźli czas, aby
przygotować złośliwe moduły do Linuksa. Zamiast jednak
W pierwszym kwartale 2012 r. epidemia trojana Flashback
wykorzystywać luki w zabezpieczeniach oprogramowania,
w systemach Mac dowiodła, że trzeba zacząć traktować
aplet uderza w najsłabsze ogniwo łańcucha zabezpieczeń —
poważniej złośliwe oprogramowanie atakujące platformy
niedoinformowanych użytkowników. Napastnicy próbują się
[2]
inne niż Windows . Po Flashbacku pojawiły się kolejne
Ataki wieloplatformowe
32
MultiplatformA
Ataki wieloplatformowe wykorzystujące wiele złośliwych
programów nie są nowym zjawiskiem, które pojawił się
kilka miesięcy temu; obserwowano je już od jakiegoś czasu.
W listopadzie 2011 r. FBI ujawniło, że ponad cztery miliony
użytkowników zostały zainfekowane trojanem DNSChanger.
Ten złośliwy program, który pozostaje w obiegu od 2007
r., infiltruje komputery Windows i Mac, udając kodek
potrzebny od odtwarzania filmów pornograficznych. Witryna
udostępniająca trojana sprawdza typ przeglądarki użytkownika
i przesyła mu odpowiedni instalator. Instalator zmienia
ustawienia systemu nazw domenowych (DNS) w taki sposób,
aby przekierowywać ruch do niepożądanych witryn. Niektóre
warianty DNSChangera mogą również wpływać na routery[1].
dostać do systemu, używając
bezpłatnego
narzędzia
do testów penetracyjnych,
Social Engineer Toolkit (SET)[11].
Perspektywy
To
normalne,
że
narzędzia
do monitoringu obsługują wiele
platform. Użytkownicy coraz częściej
wykorzystują
urządzenia
mobilne
Nasilający się trend nie oszczędził
do codziennych zadań, a nawet
nawet systemów uniksowych.
do pracy, więc narzędzia do monitoringu
Niebawem na czarnym rynku
powinny dysponować możliwością
zaczęto sprzedawać narzędzie
rejestrowania ich działań. Przyszłe
zdalnego dostępu o nazwie
złośliwe oprogramowanie atakujące
NetWire (rysunek 2). Ma ono
zarówno platformy stacjonarne, jak
komponenty
serwerowe
Rysunek 2: Generator serwerów NetWire
i mobilne prawdopodobnie będzie
do systemów Windows, Mac,
nadal
pochodzić
z
pakietów
Linux i Solaris, które można
do monitoringu. Zamiast jednak tworzyć
kontrolować z poziomu jednego programu klienckiego.
programy działające w każdym systemie, autor może skupić się
na czołowych platformach stacjonarnych i mobilnych
Ataki wieloplatformowe nie ograniczają się do komputerów
używanych przez masowego konsumenta. Pominąwszy
stacjonarnych. W lipcu 2012 r. odkryto witrynę, która
monitoring,
trend
oprogramowania
działającego
rozpowszechniała fałszywy instalator Skype do urządzeń
na
platformach
stacjonarnych
i
mobilnych
zapewnie
nie będzie
[12]
mobilnych
.
Witryna
się nasilał. Nie bierzemy tu pod uwagę oprogramowania
podejmowała różne działania
w rodzaju Zitmo, ponieważ nie jest ono wymierzone
w zależności od systemu
w urządzenia mobilne. Komponenty mobilne są tylko
operacyjnego
urządzenia.
uzupełnieniem stacjonarnych[19].
W przypadku systemów
Android
i
Symbian
Jeśli chodzi o złośliwe oprogramowanie skupione
przesyłała
trojan
SMS
na platformach stacjonarnych, Windows i Mac pozostaną
w postaci pakietu APK
głównymi celami. Można jednak również oczekiwać kilku
i
programu
Javy;
incydentów z atakami na Linux. Liczba mobilnych ataków
w
urządzeniach
iOS
wieloplatformowych prawdopodobnie się zmniejszy, ponieważ
Rysunek 3: Fałszywa instalacja
wyświetlała stronę symulującą
udział rynkowy Symbiana wciąż spada, a krajobraz mobilny jest
aplikacji iOS
postępy instalacji (rysunek 3),
zasadniczo zdominowany przez jedną platformę — Android.
choć żadna instalacja nie miała miejsca.
Zespół Citizen Lab zidentyfikował też kilka innych próbek
używanych do ukierunkowanych ataków i należących
do pakietu o nazwie Remote Control System[17]. Znaleziono tylko
wersje do systemów Windows i Mac, ale według oficjalnego
promocyjnego wideo (rysunek 4) dostępne są również wersje
do systemów Android, iOS, BlackBerry, Symbian i Linux [18].
ATAKI WIELOPLATFORMOWE
MULTIPLATFORMA
W bardziej zaawansowanych atakach to samo złośliwe
oprogramowanie może być wymierzone zarówno
w platformy stacjonarne, jak i mobilne, jak w przypadku trojana
FinSpy. Podczas najazdu na siedzibę państwowych służb
bezpieczeństwa po egipskiej rewolucji w 2011 r. protestujący
weszli w posiadanie dokumentu, w którym firma Gamma
International oferowała byłemu reżimowi sprzedaż pakietu
do monitoringu o nazwie FinSpy[13]. Nikt nie zaobserwował
rzeczywistej próbki aż do zeszłego roku, kiedy zespół Citizen
Lab zidentyfikował kilka próbek należących do pakietu[14].
Wśród odkrytych wersji był FinSpy do Windows oraz FinSpy
Mobile[15] do systemów Android, iOS, BlackBerry, Windows
Mobile i Symbian. Z ujawnionego opisu produktu wynika,
że dostępne są również wersje do systemów Mac i Linux, choć
nie znaleziono ich próbek[16].
Rysunek 4.: Promocyjne wideo Remote Control System
33
ŹRÓDŁA
MultiplatformA
[1] F-Secure Weblog; Sean Sullivan; FBI: Operation Ghost Click; opublikowano 10 listopada 2011 r.;
http://www.f-secure.com/weblog/archives/00002268.html
[2] F-Secure Weblog; Sean Sullivan; Mac Flashback Infections; opublikowano 5 kwietnia 2012 r.;
http://www.f-secure.com/weblog/archives/00002345.html
[3] Computer Weekly; Warwick Ashford; Malware targets Macs and PCs; opublikowano 30 kwietnia 2011 r.;
http://www.computerweekly.com/news/2240149271/New-malware-targets-Macs-and-PCs
[4] Matahari: A simple reverse HTTP shell;
http://www.matahari.sourceforge.net
[5] F-Secure Weblog; Broderick Aquilino; More Mac Malware Exploitiing Java; opublikowano 30 kwietnia 2012r.;
http://www.f-secure.com/weblog/archives/00002348.html
[6] F-Secure Weblog; Sean Sullivan; New Mac Malware Found on Dalai Lama Related Website; opublikowano 3 grudnia 2012 r.;
http://www.f-secure.com/weblog/archives/00002466.html
[7] F-Secure Weblog; Sean Sullivan; China Targets Macs Used By NGO #Tibet; opublikowano 20 marca 2012 r.;
http://www.f-secure.com/weblog/archives/00002334.html
[8] F-Secure Weblog; Sean Sullivan; More Mac Malware (Word Exploit) Targeting NGOs; opublikowano 28 marca 2012 r.;
http://www.f-secure.com/weblog/archives/00002339.html
[9] F-Secure Weblog; Karmina Aquino; Multi-Platform Backdoor Lurks in Colombian Transport Site; opublikowano 28 marca 2012 r.;
http://www.f-secure.com/weblog/archives/00002397.html
[10] F-Secure Weblog; Broderick Aquilino; Multi-Platform Backdoor with Intel OS X Binary; opublikowano 13 lipca 2012 r.;
http://www.f-secure.com/weblog/archives/00002400.html
[11] TrustedSec; Social Engineer Toolkit;
https://www.trustedsec.com/downloads/social-engineer-toolkit/
[12] F-Secure Weblog; Karmina Aquino; Not Your Normal Skype Download; opublikowano 9 lipca 2012 r.;
http://www.f-secure.com/weblog/archives/00002396.html
[13] F-Secure Weblog; Mikko Hyppönen; Egypt, FinFisher Intrusion Tools and Ethics; opublikowano 8 marca 2011 r.;
http://www.f-secure.com/weblog/archives/00002114.html
[14] CitizenLab; From Bahrain With Love: FinFisher’s Spy Kit Exposed?; opublikowano 25 lipca 2012 r.;
https://citizenlab.org/2012/07/from-bahrain-with-love-finfishers-spy-kit-exposed/
[15] CitizenLab; The SmartPhone Who Loved Me: FinFisher Goes Mobile?; opublikowano 29 sierpnia 2012 r.;
https://citizenlab.org/2012/08/the-smartphone-who-loved-me-finfisher-goes-mobile/
[16] Wikileaks; FinSpy: Remote Monitoring & Infection Solutions;
http://wikileaks.org/spyfiles/files/0/289_GAMMA-201110-FinSpy.pdf
[17] CitizenLab; Backdoors are Forever: Hacking Team and the Targeting of Dissent; opublikowano 10 października 2012 r.;
https://citizenlab.org/2012/10/backdoors-are-forever-hacking-team-and-the-targeting-of-dissent/
[18] HackingTeam; The Solution;
http://www.hackingteam.it/index.php/remote-control-system
[19] F-Secure Weblog; Sean Sullivan; Berlin Police: Beware Android Banking Trojans; opublikowano 15 listopada 2012 r.;
http://www.f-secure.com/weblog/archives/00002457.html
Ataki wieloplatformowe
34
UrządzeniaStalemobilne
rosnący rynek zagrożeń
Zagrożenia mobilne nadal skupiają się na dwóch platformach — Androidzie, który reprezentował 79 proc. nowych wariantów
złośliwego oprogramowania w 2012 r., oraz Symbianie z pozostałymi 19 proc. nowych wariantów. Choć zagrożenia zidentyfikowane
w poprzednich latach nadal nękały użytkowników większości platform mobilnych, nie powstawało wiele nowych złośliwych
programów. Przez cały 2012 r. zidentyfikowano zaledwie jeden nowy wariant na platformach BlackBerry i PocketPC i tylko dwa nowe
warianty dla iPhone’a i Java ME (J2ME). Autorzy złośliwego oprogramowania skoncentrowali wysiłki na dwóch najpowszechniejszych
dziś platformach mobilnych — Androidzie i Symbianie.
NOWE RODZINY I WARIANTY,
1-4 KWARTAŁ 2012 r.
Android
W trzecim kwartale 2012 r. Android reprezentował 75
proc. globalnego rynku smartfonów, lub trzy spośród
czterech urządzeń sprzedanych w tym kwartale, a zatem
był najpopularniejszym mobilnym systemem operacyjnym
na świecie[1].
Ponadto w drugim kwartale 2012 r. Chiny oficjalnie prześcignęły
Stany Zjednoczone jako największy rynek użytkowników
smartfonów. Aparaty z Androidem reprezentowały 81 proc.
tego rynku, więc nie powinno dziwić, że wiele nowych
rodzin złośliwego oprogramowania wykrytych w zeszłym
roku atakowało użytkowników Androida w kontynentalnych
Chinach.
Kradzież danych i działalność zarobkowa
Dominacja Androida sprawiła, że stał się on naturalnym celem
większości nowego złośliwego oprogramowania. W badanym
okresie na platformie tej odkryto 238 nowych, unikatowych
wariantów.
Większość z tych programów jest rozpowszechniana w postaci
„strojanizowanych” aplikacji, czyli legalnych programów
z dołączonym złośliwym komponentem. Nowe warianty
są
zwykle
klasyfikowane
jako
trojany
albo
narzędzia monitorujące i potrafią wykradać dane
użytkownika albo śledzić jego ruchy i działania.
Podobnie jak ich odpowiedniki z Symbiana, programy
te zwykle próbują zarabiać na użytkownikach poprzez
potajemne subskrybowanie płatnych usług SMS albo
telefonowanie na numery premium. Poufne dane
zebrane z urządzeń są często po cichu przekazywane do
zdalnego serwera, prawdopodobnie do przyszłego użytku
w niepożądanym kontekście.
100
90
80
70
60
50
40
30
20
10
25+25+a
Q1
33+33+34a
Q2
WSZYSTKIE ZAGROŻENIA
Android
Blackberry
iOS
50+50+a
Q3
25+25+a
Q4
J2ME
Windows Mobile
Symbian
Rysunek 1.: Nowe rodziny i warianty złośliwego oprogramowania
zidentyfikowane w kwartałach 2012 r.
Tymczasem w 2012 r. Google nadal pracował nad zwiększeniem
bezpieczeństwa platformy Android, zwłaszcza w sklepie Play
Store (dawniej Android Market). Polegało to na dodaniu
mechanizmu ograniczającego możliwości exploitów
urządzenia Mobilne
w aktualizacji 4.1[2] oraz (opcjonalnej) funkcji weryfikowania
aplikacji w aktualizacji 4.2[3]. Z myślą o użytkownikach, którzy
z różnych przyczyn nie mogli zainstalować tych aktualizacji,
35
Mobilne
Boosting security
przygotowano kolejny środek bezpieczeństwa w postaci
Bouncera, narzędzia do skanowania aplikacji w Play Store,
które podobno ograniczyło liczbę złośliwych programów
oferowanych w sklepie.
Ponadto we wrześniu 2012 r. Google przejął usługę analizy
plików VirusTotal[4]. Choć firma nie ogłosiła przyszłych planów
i nie poinformowała, jak zintegruje nowo nabytą usługę
ze swoimi mechanizmami bezpieczeństwa, można
przypuszczać, że odegra ona kluczową usługę we wzmacnianiu
zabezpieczeń platformy.
Choć skuteczność działań Google’a bywa kwestionowana,
reprezentują one konkretny krok w kierunku lepszej ochrony
danych i urządzeń użytkowników Androida. W miarę, jak
Android zdobywa coraz bardziej dominującą pozycje –
a przez to staje się faworyzowanym celem twórców złośliwego
oprogramowania – bezpieczeństwo danych i urządzeń
pozostanie ważną kwestią dla użytkowników tej platformy.
Symbian
Inaczej niż plany rozwoju Symbiana, scena złośliwego
oprogramowania ma się dobrze. Od pewnego czasu źródłem
większości złośliwego oprogramowania do Symbiana
są Chiny. Inne państwa są nadal reprezentowane na naszym
radarze, choć występują pewne różnice pod względem
jakości i ilości. W krajach zachodnich mamy do czynienia
głównie z komercyjnym oprogramowaniem szpiegowskim
ukierunkowanym na użytkowników mobilnych, podczas gdy
w Chinach złośliwe oprogramowanie służy przede wszystkim
do monetyzacji ofiar.
komórkowych, aby generować przychody. Najprostszym,
najbardziej logicznym sposobem obracania infekcji
w pieniądze jest wykorzystanie wbudowanego mechanizmu
rozliczeniowego i wysyłanie wiadomości SMS, które po cichu
subskrybują płatne usługi. Bardziej zaawansowana metoda —
zautomatyzowane telefonowanie na numery premium — jest
niewiele trudniejsza.
Zaobserwowaliśmy też chińskie złośliwe programy, które
naśladują zachowanie użytkowników i po cichu korzystają
z usług WAP, co jest następnie rozliczane przez operatora
komórkowego. Podobnie niektóre rodziny złośliwego
oprogramowania mogą działać jako skryptowane boty, grając
w regularne, choć proste sieciowe gry przeglądarkowe.
Kradzież danych, potajemne działania i samoobrona
Typowy złośliwy program do Symbiana to trojan, który
podszywa się pod aktualizację systemu lub legalną aplikację.
Model uprawnień, który ma chronić urządzenie przed instalacją
szkodliwego oprogramowania, pozwala podpisanym cyfrowo
aplikacjom na podejmowanie nieoczekiwanych działań.
Na przykład mniej więcej ten sam zbiór uprawnień, którego
wymaga gra akcji, pozwala na pobieranie i instalowanie nowego
oprogramowania z internetu bez interwencji użytkownika.
Mechanizmy monetyzacji
Niemal każda złośliwa aplikacja do Symbiana uzyskuje
programowo dostęp do numerów International Mobile
Equipment Identity (IMEI) i International Mobile Subscriber
Identity (IMSI). Oprogramowanie motywowane zarobkowo
może też uzyskiwać dostęp do informacji osobistych, takich
jak wiadomości SMS, lokalizacja, głos lub dane wprowadzane
z klawiatury. Wiele programów odczytuje bazę kontaktów,
głównie po to, aby wysyłać do nich niepożądane i złośliwe
wiadomości SMS.
Sama liczba urządzeń z Symbianem, które są w obiegu
w Chinach, sprawia, że autor złośliwego oprogramowania
nie musi zainfekować znacznego odsetka telefonów
Ukrywanie szkodliwych działań przed użytkownikiem
to charakterystyczna cecha złośliwego oprogramowania.
Zagrożenia mobilne motywowane zarobkowo, 2012 r.
Motywowane
zarobkowo
34
40
Q2 2012
26
32
Q3 2012
Q4 2012
27
67
42
33
Rysunek 2.: Podział złośliwego oprogramowania na motywowane i niemotywowane zarobkowo w 2012 r.
urządzenia Mobilne
36
Mobilne
Q1 2012
Niemotywowane
zarobkowo
Wiele próbek prezentuje użytkownikom wiarygodną fasadę,
aby zwieść ich czujność. Inne po prostu ukrywają swoją
obecność — na przykład większość legalnych aplikacji do
Symbiana ma ikonę, którą użytkownik może wybrać w celu
uruchomienia programu; złośliwe programy zwykle nie mają
ikony i uruchamiają się po cichu podczas instalacji i rozruchu
urządzenia.
Inne programy działają w bardziej wyrafinowany sposób
i unikają wykrycia poprzez blokowanie zwykłych powiadomień
systemowych, przerywanie procesów odpowiedzialnych
za wyświetlanie wiadomości na ekranie, a nawet tymczasowe
wyciszanie dźwiękowego sygnału wiadomości. Każde
zarejestrowane zdarzenie systemowe jest usuwane
z urządzenia.
Niemal każdy złośliwy program do Symbiana kontaktuje
się przez internet ze zdalnym serwerem. Większość próbek
po prostu pobiera nowe oprogramowanie do cichej instalacji,
ale statyczna analiza pokazuje, że niektóre pozwalają
użytkownikowi (napastnikowi) na zdalne aktywowanie funkcji
za pośrednictwem pliku konfiguracyjnego lub specjalnego
skryptu. Komunikacja jest zwykle maskowana lub szyfrowana.
Aby ukryć instrukcje wysyłane przez zdalnego napastnika,
złośliwe oprogramowanie przechwytuje wiadomości
od napastnika, zanim system dostarczy je do skrzynki
odbiorczej. Inną często spotykaną taktyką jest wstrzymywanie
się ze złośliwymi działaniami, aż telefon nie będzie pod
bezpośrednią kontrolą użytkownika, ponieważ wykrywanie
trybu bezczynności jest bardzo proste.
Wiele złośliwych aplikacji próbuje uniknąć wykrycia przez
produkty zabezpieczające, zwykle poprzez wyszukiwanie
i przerywanie ich procesów. Bardziej agresywnym rozwiązaniem
jest całkowite odinstalowanie produktu zabezpieczającego.
Mogą też uniemożliwiać użytkownikowi odinstalowanie
podejrzanej lub niepożądanej aplikacji, przerywając proces
dezinstalatora.
Perspektywy
Zauważyliśmy, że od pewnego czasu komponenty złośliwych
programów do Symbiana są używane wielokrotnie,
a oprogramowanie bardziej przypomina dopracowany
produkt, niż prowizorycznie połączone fragmenty
skopiowanego i wklejonego kodu.
Trudno powiedzieć, czy autorzy złośliwego oprogramowania
po prostu chcą oszczędzić sobie pracy poprzez wprowadzenie
modularyzacji i dynamicznych funkcji, czy też robią
to celowo, aby utrudnić analizę i inżynierię wsteczną kodu. Być
może obie motywacje są połączone. Tak czy inaczej sugeruje
to, że złośliwe oprogramowanie do Symbiana będzie nadal
ewoluować i pozostanie zagrożeniem na rynkach takich jak
Chiny, gdzie Symbian ma nadal mocną pozycję.
[1] IDC; IDC - Press Release: Android Marks Fourth Anniversary Since Launch with 75.0% Market Share in Third Quarter, According to IDC;
opublikowano 1 listopada 2012 r.;
http://www.idc.com/getdoc.jsp?containerId=prUS23771812#.UPzbakU3S3A
[2] Android Developers; Jelly Bean Android 4.1;
http://developer.android.com/about/versions/jelly-bean.html
[3] Android Developers; Jelly Bean Android 4.2;
http://developer.android.com/about/versions/jelly-bean.html
[4] Virustotal Blog; An update from VirusTotal; opublikowano 7 września 2012 r.;
http://blog.virustotal.com/2012/09/an-update-from-virustotal.html
urządzenia mobilne
37
Mobile
Źródła
ŹRÓDŁA
Kalendarz incydentów w drugiej połowie
2012 r.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
F-Secure Weblog; DNSChanger Wrap Up; opublikowano 9 lipca
2012 r.;
http://www.f-secure.com/weblog/archives/00002395.html
F-Secure Weblog; Multi-platform Backdoor with Intel OS X
Binary; 13 lipca 2012 r.;
http://www.f-secure.com/weblog/archives/00002400.html
F-Secure Weblog; Emails from Iran; opublikowano 23 lipca 2012;
http://www.f-secure.com/weblog/archives/00002403.html
F-Secure Weblog; Gauss: the Latest Event in the Olympic
Games; opublikowano 10 sierpnia 2012 r.;
http://www.f-secure.com/weblog/archives/00002406.html
F-Secure Weblog; Blackhole: Faster Than the Speed of Patch;
opublikowano 28 sierpnia 2012 r.;
http://www.f-secure.com/weblog/archives/00002414.html
F-Secure Weblog; Java SE 7u7 AND SE 6u35 Released;
opublikowano 30 sierpnia 2012 r.;
http://www.f-secure.com/weblog/archives/00002415.html
F-Secure Weblog; Cosmo The Hacker God; opublikowano
13 września 2012 r.; http://www.f-secure.com/weblog/
archives/00002427.html
F-Secure Weblog; It’s Out of Cycle Patch Friday; opublikowano
21 września 2012 r.;
http://www.f-secure.com/weblog/archives/00002431.html
F-Secure Weblog; Backdoor:OSX/Imuler.B No Likes Wireshark;
opublikowano 24 września 2012 r.;
http://www.f-secure.com/weblog/archives/00002432.html
F-Secure Weblog; Samsung TouchWiz Devices Vulnerable to
Mischief; opublikowano 26 września 2012 r.;
http://www.f-secure.com/weblog/archives/00002434.html
F-Secure Weblog; Adobe Cert Used to Sign Malware;
opublikowano 28 września 2012 r.;
http://www.f-secure.com/weblog/archives/00002435.html
F-Secure Weblog; Hackable Huawei; opublikowano 10
października 2012 r.; http://www.f-secure.com/weblog/
archives/00002442.html
CitizenLab; Morgan Marquis-Boire; Backdoors are Forever:
Hacking Team and the Targeting of Dissent; opublikowano 10
października 2012 r.;
http://citizenlab.org/2012/10/backdoors-are-forever-hackingteam-and-the-targeting-of-dissent/
F-Secure Weblog; New Variant of Mac Revir Found;
opublikowano 14 listopada 2012 r.;
http://www.f-secure.com/weblog/archives/00002455.html
F-Secure Weblog; Berlin Police: Beware Android Banking
Trojans; opublikowano 15 listopada 2012 r.;
http://www.f-secure.com/weblog/archives/00002457.html
F-Secure Weblog; Cool-er Than Blackhole?;opublikowano
16 listopada 2012 r.; http://www.f-secure.com/weblog/
archives/00002458.html
F-Secure Weblog; A New Linux Rootkit; opublikowano 20
listopada 2012 r.;
http://www.f-secure.com/weblog/archives/00002459.html
F-Secure Weblog; Google Joins World War 3.0; opublikowano
23 listopada 2012 r.; http://www.f-secure.com/weblog/
źródła
archives/00002461.html
19. F-Secure Weblog; Next Week: “World War”; opublikowano
23 listopada 2012 r.; http://www.f-secure.com/weblog/
archives/00002443.html
20. The Register; Iain Thomson;Syria cuts off internet and mobile
communications; opublikowano 29 listopada 2012 r.; http://
www.theregister.co.uk/2012/11/29/syria_internet_blackout/
21. F-Secure Weblog; New Mac Malware Found on Dalai Lama
Related Website; opublikowano 3 grudnia 2012 r.;
http://www.f-secure.com/weblog/archives/00002466.html
22. F-Secure Weblog; Finnish Website Attack via Rogue Ad;
opublikowano 5 grudnia 2012 r.; http://www.f-secure.com/
weblog/archives/00002468.html
23. The Register; John Leyden; Major £30m cyberheist pulled off
using MOBILE malware; opublikowano 7 grudnia 2012 r.; http://
www.theregister.co.uk/2012/12/07/eurograbber_mobile_
malware_scam/
24. F-Secure Weblog; Australian Medical Records Encrypted, Held
Ransom; opublikowano 10 grudnia 2012 r.;
http://www.f-secure.com/weblog/archives/00002469.html
25. The Register; Neil McAllister; Dexter malware targets point of
sale systems worldwide; opublikowano 14 grudnia 2012 r.;
http://www.theregister.co.uk/2012/12/14/dexter_malware_
targets_pos_systems/
26. The Register; Phil Muncaster; 10,000 Indian government and
military emails hacked; opublikowano 21 grudnia 2012 r.;
http://www.theregister.co.uk/2012/12/21/indian_government_
email_hacked/
38
Krótko o
F-Secure
F-Secure chroni cyfrowe życie konsumentów i
przedsiębiorstw od ponad 20 lat. Nasze usługi
bezpieczeństwa internetowego i przechowywania
treści w chmurze są dostępne u ponad 200
operatorów z ponad 40 krajów na całym świecie i
darzone zaufaniem w milionach domów i firm.
W 2011 r. firma odnotowała przychody w wysokości
146 mln euro i zatrudniała ponad 900 pracowników
w 20 międzynarodowych biurach. F-Secure
Corporation jest notowana na giełdzie NASDAQ
OMX Helsinki Ltd. od 1999 r.
Chronimy
niezastąpione
Własne materiały F-Secure. © F-Secure Corporation 2012.
Wszystkie prawa zastrzeżone.
F-Secure i symbole F-Secure to zastrzeżone znaki towarowe
F-Secure Corporation, a nazwy i symbole/logo F-Secure
są albo znakami towarowymi, albo zastrzeżonymi znakami
towarowymi F-Secure Corporation.
Protecting the irreplaceable | f-secure.com