Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja złośliwego oprogramowania: październik - grudzień 2005

Tagi:

Alexander Gostev
Senior Virus Analyst, Kaspersky Lab

Rok 2005 obfitował w incydenty związane z bezpieczeństwem IT. Wiele z nich zostało omówionych w naszych raportach kwartalnych. Najnowszy raport opisuje trendy występujące w czwartym kwartale 2005 roku, miedzy innymi pojawienie się wirusów dla nowych platform oraz luki "zero day".

  1. Sober - unikatowy robak
  2. Ewolucja Krottena i cybernetyczny szantaż
  3. Luki "zero day"
  4. Mobilne złośliwe oprogramowanie
  5. Konsole do gier - nowa platforma dla wirusów?
  6. Rootkit Sony

Sober - unikatowy robak

15 listopada 2005 r. bawarska policja opublikowała notkę prasową ostrzegającą przed pojawieniem się nowej wersji robaka pocztowego Sober, nie podając jednak, na czym opiera swe doniesienia. Ponieważ Sober został stworzony w Niemczech, firmy antywirusowe na całym świecie potraktowały to ostrzeżenie niezwykle poważnie. Zaledwie dzień później, 16 listopada, firma Kaspersky Lab otrzymała próbkę najnowszej wersji tego robaka. Próbka ta, Sober.y wywołała wkrótce epidemię wirusową.

18 listopada miliony użytkowników z Europy Zachodniej otrzymały dziwne wiadomości e-mail. Wiadomości różniły się między sobą, wszystkie jednak informowały adresatów, że ściągając z Internetu muzykę lub pliki wideo, naruszyli prawa autorskie. Wiadomości pochodziły rzekomo od FBI. Użytkownicy zostali poproszeni o otwarcie załączonego pliku, który miał zawierać dowody wykroczenia.

Był to kolejny przykład doskonale przemyślanej socjotechniki, którą Sober już raz się posłużył wiosną 2005 roku. Tym razem metoda również okazała sie skuteczna i dziesiątki (a nawet setki) użytkowników, nie podejrzewając żadnego podstępu, otworzyło załącznik wiadomości wypuszczając na wolność robaka Sober.y. W ten sposób wywołali kolejną epidemię. Sober wykorzystywał wszystkie zainfekowane maszyny do masowego rozsyłania wiadomości e-mail, w ruchu pocztowym zaczęły więc krążyć dziesiątki milionów jego kopii.

Wiadomości pochodzące rzekomo od FBI spowodowały jeszcze inną szkodę. W ich treści podano numer centrali telefonicznej FBI. Skutek był taki, że użytkownicy nie tylko otworzyli załącznik, ale niektórzy z nich zadzwonili bezpośrednio do FBI, przeprowadzając swoisty atak DDoS na centralę telefoniczną.

Epidemia osiągnęła swój szczyt na początku grudnia. Sober.y był jednym z najskuteczniejszych wirusów w roku 2005 pod względem zainfekowanych maszyn i wiadomości w ruchu pocztowym.

Sukces rodziny Sober jest w pewnym sensie zagadką. Trudno powiedzieć, dlaczego robaki Sober zdołały spowodować epidemię takich rozmiarów. Z technicznego punktu widzenia robak ten jest bardzo prymitywny - został napisany w Visual Basicu i jest dość duży. Visual Basic jest niezwykle prostym językiem programowania, którego praktycznie każdy jest w stanie się nauczyć. Większość wirusów pisanych jest dzisiaj w języku C/C++ lub asemblerze. Innym popularnym środowiskiem jest Delphi. Visual Basic wykorzystywany jest zwykle do tworzenia prostych, a nawet prymitywnych szkodników - poza Soberem, nie przychodzi mi do głowy żaden wirus napisany w tym języku, który wywołał globalną epidemię.

Ostatnie epidemie wirusowe wywoływane były zazwyczaj przez wirusy, takie jak Lovesan, Slammer, Sasser, Mytob oraz cały szereg różnych botów, które w celu rozprzestrzeniania się wykorzystywały krytyczne luki w systemie Windows. Sober nie wykorzystuje żadnych błędów w systemie, a jedynie błędy ludzkie, podobnie jak Mydoom, robak, który spowodował największą epidemię w historii komputerowej wirusologii.

Zagrożenia wirusowe ewoluują. Na początku złośliwe programy powstawały w celu wyrządzania niewielkich szkód (jak np. NetSky, Sasser i Lovesan), ostatnio jednak tworzone są z myślą o uzyskaniu dostępu do informacji użytkowników (Mytob, Bagle) i wykorzystaniu ich do osiągnięcia korzyści finansowych. Twórcy wirusów odchodzą od wywoływania globalnych epidemii na rzecz epidemii lokalnych, których ofiarami padają określone grupy użytkowników. Brak poważnych epidemii w roku 2005 możemy zawdzięczać częściowo branży antywirusowej, która potrafi zahamować epidemie, zanim osiągną rozmiary globalne. Taki względny spokój nie trwał jednak przez cały rok: w czwartym kwartale pojawił się Sober - robak napisany w prostym języku, który do rozprzestrzeniania się nie wykorzystuje żadnej luki, a jedynie pocztę elektroniczną. Nic nie wskazywało na to, że Sober został stworzony dla osiągnięcia zysku: robak nie kradł danych, nie tworzył botnetów, ani nie przeprowadzał ataków DoS. Sober w ogóle nie powinien przetrwać, a mimo to znalazł się na szczycie rankingów najpopularniejszych szkodliwych programów w czwartym kwartale 2005 roku. Brzmi to dziwnie, a biorąc pod uwagę wszystko to, o czym powiedzieliśmy wcześniej, wręcz niewiarygodnie.

Rodzina robaków Sober ma już dwa lata. Prawie każdy jej wariant stanowił znaczące wydarzenie w świecie wirusów. Poza szkodliwymi funkcjami robaka, jego autor wykorzystuje go do rozsyłania skrajnie prawicowej propagandy. Sober jest więc przykładem wirusów politycznych, o których pisałem w ostatnim raporcie. Nie można wykluczyć aresztowania autora robaka w najbliższej przyszłości; być może ostrzeżenie policji bawarskiej przed potencjalną epidemią Sobera oznacza, że organy ścigania są bliskie złapania jego twórcy.

Ewolucja Krottena i cybernetyczny szantaż

W poprzednich raportach oraz dzienniku analityków pisaliśmy o nowej klasie złośliwych programów tworzonych w jednym tylko celu: uzyskania pieniędzy od użytkowników. Programy te działają w niezwykle prosty sposób: po przeniknięciu do maszyny ofiary szyfrują jej dane, a następnie żądają zapłaty za odszyfrowanie. Typowymi przykładami takich złośliwych programów są: GpCode (zobacz http://viruslist.pl/analysis.html?newsid=85) oraz JuNy (zobacz http://viruslist.pl/weblog.html?weblogid=186).

Niektórzy użytkownicy kontaktują się z autorami tych programów i płacą żądaną sumę. Inni wykazują większy spryt i przesyłają pliki do firm antywirusowych. Na szczęście, autorzy programów tego typu nie posiadają dużych umiejętności kryptograficznych. Analitycy z Kaspersky Lab nie mieli żadnych problemów ze złamaniem algorytmu szyfrującego. Zdołaliśmy nie tylko odszyfrować zaszyfrowane pliki, ale także dodać tę funkcję do naszej antywirusowej bazy danych.

We wrześniu 2005 roku wykryliśmy nowego trojana o nazwie Krotten - wtedy nazywał się jeszcze Trojan.Win32.Agent.il. Analiza wykazała, że mamy do czynienia z kolejnym cyberszantażem przy użyciu trojana. Jednak metody stosowane przez Krottena znacznie różniły się od tych, które wykorzystywał GpCode czy JuNy. Trojan ten nie szyfrował plików użytkownika; jego działanie było o wiele subtelniejsze, ponieważ modyfikował on rejestr systemu Windows, przez co ograniczał czynności, które mógł wykonać użytkownik.

W szczególności, Krotten blokuje Edytor rejestru (regedit.exe), uniemożliwia uruchomienie Menedżera zadań, zamknięcie okien przeglądarki Internet Explorer oraz Eksploratora Windows, jak również uzyskanie dostępu do konfiguracji plików i folderów; szkodnik modyfikuje menu Start, uniemożliwia uruchomienie wiersza poleceń itd.

Oczywiście używanie tak bardzo zmodyfikowanego komputera jest praktycznie niemożliwe. Za przywrócenie jego normalnego działania autorzy Krottena żądali 25 hrywien (waluta Ukrainy), tj. równowartości 5 dolarów.

W ciągu następnych miesięcy wykryliśmy ponad 30 modyfikacji Krottena i wciąż otrzymujemy nowe próbki.

Przypadek Krottena pokazuje, że wymuszenia internetowe cieszą się coraz większą popularnością wśród twórców wirusów. Jest to bardzo niebezpieczny trend, który nasila się z każdym miesiącem. Można go określić jako osobny rodzaj cyberprzestępczości. Inne przestępstwa cybernetyczne nie są dla nas niczym nowym: w ciągu ostatnich lat przywykliśmy do przypadków kradzieży różnych danych użytkownika - numerów kart kredytowych, haseł i innych informacji. Cyberprzestępcy wykorzystują te dane na różne sposoby - mogą je odsprzedać lub wykorzystać do kradzieży tożsamości. Jednakże banki internetowe, systemy płatności elektronicznej oraz firmy antywirusowe wprowadzają działania, które skutecznie przeciwdziałają takim przestępstwom. W efekcie są one coraz trudniejsze do popełnienia i coraz mniej opłacalne. Poza tym na scenie pojawiła się nowa generacja twórców wirusów - twórcy ci nie chcą, ani nie potrafią tworzyć skomplikowanych koni trojańskich. Są to dzieciaki, które dorastają i zwracają się w kierunku szantażu cybernetycznego. Dlaczego mieliby kraść dane, które trudno później sprzedać? O wiele łatwiej jest naciągnąć użytkowników na drobne sumy - a jeśli będzie ich wystarczająco wielu, zysk będzie odpowiednio duży.

Luki "zero day"

Pojawienie się krytycznych luk w systemie Windows nieuchronnie prowadzi do zwiększenia aktywności wirusów, a czasem do globalnych epidemii. Byliśmy tego świadkami w sierpniu 2003 roku, kiedy Lovesan wykorzystał lukę RPC DCOM, oraz w kwietniu 2004 roku, gdy Sasser zainfekował kilka milionów komputerów na całym świecie wykorzystując do rozprzestrzeniania się lukę LSASS. Podobna sytuacja miała miejsce w związku z luką Plug'n'Play, opisaną szczegółowo w Biuletynie firmy Microsoft MS05-039

Mobilne złośliwe oprogramowanie

Ewolucja złośliwych programów dla urządzeń przenośnych osiągnęła w czwartym kwartale 2005 roku fazę stabilną. Odnotowaliśmy stały wzrost liczby nowych programów trojańskich. Potwierdziły się przewidywania zawarte w naszym raporcie kwartalnym, opublikowanym we wrześniu 2005 roku.

Przykładem może być koń trojański o nazwie - jest to pierwszy trojan dla urządzeń przenośnych przeznaczony do kradzieży danych użytkownika. PBstealer zdobywa dostęp do książki adresowej zainfekowanego urządzenia i wysyła ją poprzez Bluetootha do najbliższego dostępnego urządzenia. W ostatnim kwartale nastąpił również znaczny wzrost liczby trojanów posiadających podwójne funkcje. Trojany takie są tworzone nie tylko w celu infekcji telefonów, ale także każdego rodzaju komputera PC, do którego podłączony jest telefon.

Należy wspomnieć tu również o trojanach "wandalach" - do tej grupy należy większość złośliwych programów dla smartfonów. Nie tylko niszczą one pliki systemowe, zastępując je niedziałającymi kopiami lub kasując informacje, ale również blokują dostęp do danych. Na przykład trojany z rodziny instalują hasło dostępu do karty pamięci urządzenia. W przypadku usunięcia złośliwych programów użytkownik nie będzie mógł uzyskać dostępu do danych na karcie. Możliwe, że kolejnym etapem ewolucji tych trojanów będzie szyfrowanie danych oraz żądanie zapłaty za ich przywrócenie, tak jak w przypadku wirusów Gpcode i Krotten (napisanych dla komputerów PC).

Pod koniec 2005 roku hipotetyczna epidemia złośliwych programów dla urządzeń przenośnych stała się rzeczywistością. Po tym jak firma Kaspersky Lab rozpoczęła sprzedaż oprogramowania antywirusowego dla telefonów przenośnych na terenie Rosji i Wspólnoty Niepodległych Państw, natychmiast zaczęły napływać zgłoszenia o zainfekowanych urządzeniach. Wcześniej opieraliśmy nasze wnioski na domysłach lub przeprowadzanych eksperymentach. Ogromna większość zgłoszonych infekcji została spowodowana wirusem , który rozprzestrzenia się poprzez Bluetooth. Wirusa wykryto w ponad 30 państwach. Na podstawie tych informacji można przypuszczać, że kolejny taki robak również spowoduje globalną epidemię.

Większość nowych złośliwych programów dla urządzeń przenośnych pochodzi z Azji (głównie z Chin i Południowej Korei), co stanowi powód do niepokoju. Duża gęstość zaludnienia oraz wysoki odsetek osób z dostępem do komputerów i telefonów komórkowych stwarzają idealne warunki do potencjalnej epidemii. Nie powinniśmy również zapominać, że w tej części świata znajduje się Tajlandia, Malezja i Indonezja, które stanowią główne cele turystyczne. Infekując telefony turystów, nowy złośliwy program mógłby łatwo rozprzestrzenić się z tej strefy geograficznej do pozostałej części świata.

Konsole do gier - nowa platforma dla wirusów?

Na początku października 2005 roku nastąpił nowy etap ewolucji złośliwego oprogramowania. Twórcy wirusów zainteresowali się nową platformą, co skłania nas do zastanowienia się nad przyszłością bezpieczeństwa urządzeń cyfrowych.

Pojawiły się złośliwe programy atakujące konsole do gier. Kilka lat temu nikt nie pomyślałby, że taki rozwój sytuacji jest możliwy. Ostrzeżenia przed złośliwymi programami, które atakują kuchenki mikrofalowe lub lodówki, traktowano wtedy jako żart. Jednak rzeczywistość potwierdziła najgorsze obawy branży IT.

Pierwszą ofiara stała się konsola PlayStation Portable firmy Sony. Na wielu stronach pojawił się trojan podszywający się pod grę. Jego działanie było podobne do działania trojanów dla telefonów komórkowych: kasował on system plików konsoli, przez co urządzenie nie mogło działać. Kilka dni później wykryto dwa kolejne trojany, tym razem dla Nintendo DS. Jednak w obu przypadkach infekowane były tylko konsole, na których używano kopii pirackich gier. Ponieważ legalne gry kosztują sporo pieniędzy, takie "złamane" konsole są bardzo popularne. Istnieje również ogromna liczba grup hakerskich specjalizująca się w kopiowaniu i łamaniu gier.

Pojawienie się wirusów dla określonej platformy zależy od kilku czynników. Te same czynniki można odnieść do konsol do gier. Są to:

  1. Popularność konsol do gier. Konsole cieszą się ogromnym zainteresowaniem i stanowią pewnego rodzaju standard w świecie gier. Używają ich dziesiątki milionów ludzi na całym świecie.
  2. Dokumentacja platform do gier. Grupy hakerów dokładnie przeanalizowały wewnętrzną strukturę konsol trzech głównych producentów (Sony, Nintendo oraz Microsoft), aby móc czerpać zyski ze sprzedaży pirackich gier. Na różnych stronach i forach internetowych można dowiedzieć się, jak złamać konsole.
  3. Obecność luk. Główna luka polega na możliwości uzyskania dostępu przez użytkownika do plików systemowych. Jeśli potrafi dokonać tego użytkownik - wirus także.

Ponieważ wszystkie te trzy kryteria zostały spełnione w przypadku konsol do gier, pojawienie się koni trojańskich dla tej platformy było tylko kwestią czasu. Jak dotąd nie wykryto żadnych innych złośliwych programów. Jednak drzwi zostały już uchylone i szkodliwi użytkownicy z pewnością pokuszą się pchnąć je dalej.

Innym ważnym czynnikiem jest powszechna tendencja tworzenia nowych konsol, które można połączyć z Internetem i administrować centralnie. Wcześniej dotyczyło to jedynie komputerów (łącznie z urządzeniami PDA) i telefonów. Jednak urządzenia i technologie wciąż ewoluują. Niektórzy mówią o połączeniu każdej konsoli z Siecią i umożliwieniu użytkownikowi zdalnej kontroli, o połączeniu ze sobą konsol do gier, urządzeń AGD i inteligentnych domów za pomocą technologii bezprzewodowych, takich jak WiFi, Bluetooth i IrDA. To znacznie zwiększa ryzyko związane z wykorzystywaniem takich technologii. W każdym z tych urządzeń pojawią się luki, co oznacza, że każde z nich może stać się celem ataków hakerów. Jeśli dodamy do tego odwieczny problem bezpieczeństwa sieci bezprzewodowych, nawet nieodległa przyszłość nie wygląda optymistycznie. Tradycjonalne programy antywirusowe mogą okazać się bezużyteczne.

Rootkit Sony

Duże zamieszanie w mediach wywołało oświadczenie specjalisty ds. bezpieczeństwa Marka Russinovicha o wykryciu rootkita w module DRM płyt dystrybuowanych Sony. Ukazało się wiele artykułów na ten temat, a do sądów trafiło kilka pozwów przeciwko Sony. Bez wątpienia, rootkit Sony, obok luk w systemie Windows, jest nie tylko jednym z najważniejszych incydentów, jakie miały miejsce w branży bezpieczeństwa w czwartym kwartale 2005 roku, ale jednym z najważniejszych wydarzeń w całym roku.

Ponieważ szczegóły tej historii są powszechnie dostępne, zamiast przytaczać je na nowo przyjrzymy się ogólnej sytuacji i pokusimy o wyciągnięcie wniosków.

Za sprawą firmy Sony setki tysięcy komputerów na całym świecie zawierało oprogramowanie ukrywające przed użytkownikiem pewne pliki i procesy. W rezultacie, teoretycznie każdy plik, którego nazwa zaczynała się od $sys$, stawał się niewidoczny, chyba że zastosowano specjalne narzędzia. Jest to dość ryzykowna funkcja, ponieważ może zostać wykorzystana przez złośliwe programy w celu zamaskowania swej obecności w systemie. Nic dziwnego, że po ujawnieniu rootkita Sony, szkodliwi użytkownicy postanowili ją wykorzystać. Kilka dni po tym, jak Russinovich poinformował o zidentyfikowaniu rootkita, wykryliśmy backdoora, który instalował się do systemu pod nazwą zaczynającą się od $sys$. Nazwaliśmy go Backdoor.Win32.Breplibot.b.

Wkrótce pojawiły się kolejne wirusy. Biorąc pod uwagę liczbę zagrożonych komputerów oraz niezdolność niektórych programów antywirusowych do wykrywania rootkitów, nie było to żadnym zaskoczeniem.

Rootkit Sony stanowi wyjątek od reguły. Do tej pory autorzy wirusów tworzyli złośliwe programy wykorzystujące luki w systemie Windows, tym razem jednak do powstania szkodników przyczyniła się firma Sony. Osobiście uważam to za punkt zwrotny. Można powiedzieć, że nastąpiła zmiana wektorów ataków, ponieważ zaczęto szukać potencjalnych luk w produktach innych firm niż Microsoft. Wykryte luki prędzej czy później zostaną wykorzystane przez hakerów. Spodziewaliśmy się takiej zmiany, sądziliśmy jednak, że wykorzystywane będą luki w programach antywirusowych lub urządzeniach sieciowych firmy Cisco (w szczególności IOS). W przypadku Sony ogromne znaczenie miało to, że luka była łatwa do wykorzystania oraz szeroko nagłośniona.

Możemy wyciągnąć następujące wnioski:

  1. Wykorzystywanie przez twórców oprogramowania technologii rootkit powinno być niedopuszczalne (zarówno ze względów moralnych, jak i technicznych). Rootkity stosowane są w niektórych programach typu adware. Jest to pewien sposób zabezpieczenia programów. Ich autorzy zapominają, że podobne technologie są wątpliwe moralnie oraz mogą zostać wykorzystane do niewłaściwych celów.
  2. Specjaliści w dużych firmach software'owych posiadają słabe umiejętności programistyczne. Nie chodzi tu o liczbę luk w dostępnym oprogramowaniu, ale o to, że programiści nie w pełni rozumieją możliwości stworzonych przez siebie programów. Przykładem mogą być programiści z First4Internet (firmy, która stworzyła rootkita dla Sony), którzy jeszcze rok temu sami poszukiwali informacji na temat tego, jak można ukryć pliki w systemie. Dlatego z technicznego punktu widzenia trudno jest traktować stworzonego przez nich rootkita poważnie.
  3. Celem ataków wirusów nie jest już tylko firma Microsoft i system Windows. Każda firma tworząca popularne programy zawierające luki lub nieudokumentowane funkcje może potencjalnie spowodować epidemię. Każda taka luka lub funkcja może zostać wykorzystana do przeprowadzenia ataku.
  4. Twórcy wirusów nie ograniczają się już do śledzenia informacji o lukach w systemie Windows, aby następnie je wykorzystać. Teraz sami wykrywają luki, zarówno w systemach, jak i w programach firm innych niż Microsoft. Świadczy o tym zarówno incydent z rootkitem Sony, jak i luka WMF.
  5. Firmy antywirusowe coraz częściej będą znajdowały się w sytuacji, gdy interesy dużych producentów oprogramowania kolidują z interesami użytkowników. Oczywiście użytkownicy chcą, aby rootkity były wykrywane i usuwane z systemu; jednak niektórzy producenci mogą być zdania, że stosowanie tych technologii służy ochronie ich programów. Konieczne jest zatem osiągnięcie kompromisu w tej sprawie.

Wniosek

Ostatni kwartał 2005 roku obfitował w wydarzenia, które mogą mieć dalekosiężne skutki dla branży bezpieczeństwa oraz użytkowników. Bez wątpienia, rok 2006 przyniesie dalszą ewolucję złośliwego kodu. Luki będą wykrywane nie tylko w programach i systemach firmy Microsoft. To z kolei stworzy nowe możliwości dla twórców wirusów, hakerów i cyberprzestępców. Naturalnie branża antywirusowa będzie nadal śledziła rozwój złośliwych programów oraz rozwijała metody zwalczania nowych zagrożeń.