Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

2005: Ewolucja złośliwego oprogramowania dla systemów *nix

Tagi:

Konstantin Sapronov

Raport ten stanowi przegląd ewolucji złośliwego oprogramowania, które w 2005 roku atakowało platformy *nix. Na podstawie statystyk dotyczących zeszłego roku określono trendy w złośliwym oprogramowaniu, jak również kierunki jego rozwoju w niedalekiej przyszłości.

Wstęp

Historia komputerów i wirusów komputerowych nie narodziła się wraz z systemem Windows czy DOS. Pierwszy wirus komputerowy - robak, który pojawił się w 1988 roku - został stworzony dla systemu Unix. Jednak prawdziwy rozwój wirusologii komputerowej nastąpił dopiero wtedy, gdy miliony użytkowników zaczęło pracować na komputerach działających pod kontrolą systemu DOS, a później Windows. Ewolucja złośliwego oprogramowania odzwierciedla ewolucję całej branży komputerowej: popularność platformy można mierzyć liczbą wykrytych na wolności wirusów, które ją atakują.

Prym wiedzie oczywiście platforma Intel + Win32 (Win32 jako platforma programowa, Intel jako platforma sprzętowa). Mówiąc ściśle, najczęściej atakowaną platformą jest obecnie 32-bitowy Intel. Jednak w niedalekiej przyszłości sytuacja może się zmienić, ponieważ coraz większą popularność zyskują platformy 64-bitowe. Już teraz istnieją wirusy typu "proof of concept" (demonstrujące możliwości wykorzystania nowej technologii do złośliwych i szkodliwych celów) dla Win64.

Jednak obok głównego nurtu zawsze istnieje jakaś alternatywa. Taką główną alternatywą dla systemów Windows stanowił w pewnym momencie OS/2. Obecnie są nimi Linux, FreeBSD i inne odmiany Uniksa, przy czym Linux, wraz ze swoimi licznymi implementacjami, jest niekwestionowanym liderem. W wielu przypadkach Linux wybierany jest częściej niż Windows, i to nie tylko dla serwerów, ale również dla komputerów biurkowych. Niewykluczone, że wkrótce wzejdzie również gwiazda MacOS X; po tym jak Apple przeszedł na procesory Intel, popularność Macintosha rośnie w gwałtownym tempie.

Głównym celem ataków złośliwego oprogramowania są komputery użytkowników końcowych. Programy trojańskie, takie jak Trojan-Spy, Trojan-Downloader i Trojan-Dropper stanowią większość złośliwych programów dla Win32. Natomiast systemy działające pod kontrolą Linuksa atakowane są głównie przez backdoory. Programy te zapewniają zdalnym szkodliwym użytkownikom dostęp do zainfekowanego komputera, który może być następnie wykorzystany jako platforma do ataków na inne komputery.

Gdy tylko określona platforma staje się popularniejsza, natychmiast tworzone są dla niej wirusy i inne złośliwe programy. Najpierw są to zazwyczaj wirusy typu "proof of concept" (PoC), które nie zawierają żadnej szkodliwej dodatkowej funkcji, mają jedynie udowodnić, że zainfekowanie komputera określoną metodą jest możliwe. No początku do wiadomości publicznej podawane są informacje o wykryciu określonej luki w systemie operacyjnym lub aplikacji. Informacje te mogą następnie posłużyć do tworzenia exploitów czy backdoorów wykorzystujących wykryte luki. Producenci oprogramowania publikują łaty na znane luki, co z kolei skłania twórców wirusów do poszukiwania nowych metod i słabych punktów umożliwiających ataki. W efekcie, liczba powstających złośliwych programów rośnie w lawinowym tempie. Tak właśnie wygląda obecnie sytuacja złośliwego oprogramowania dla platformy Win32. W przypadku innych platform, sytuacja nie jest jeszcze krytyczna, jednak to tylko kwestia czasu.

Pomimo względnego spokoju, jakim mogą cieszyć się użytkownicy platform innych niż Windows, oni również stają się ofiarami ataków złośliwego oprogramowania. Poniższa sekcja zawiera niektóre właściwości alternatywnych platform oraz kierunki ewolucji złośliwego oprogramowania.

Statystyki

Opisany wcześniej proces ewolucji złośliwego kodu ułatwi zrozumienie i interpretację zaprezentowanych poniżej danych.

Sekcja ta zawiera opis ewolucji złośliwego oprogramowania dla różnego rodzaju systemów uniksowych. Jak wykazuje poniższy wykres, w porównaniu z 2004 rokiem nastąpił znaczny wzrost liczby wszystkich typów złośliwego oprogramowania zaliczanych przez firmę Kaspersky Lab do kategorii MalWare.

Liczba szkodliwych programów dla poszczególnych systemów *nix wykrytych przez firmę Kaspersky Lab w latach 2004 - 2005

Niemal 100% wzrost w stosunku do zeszłego roku świadczy o tym, że twórcy wirusów intensywnie atakują systemy działające pod kontrolą Linuksa.

Nie jest to żadną niespodzianką zważywszy na to, że Linux jest najpopularniejszym systemem uniksowym. Należy pamiętać, że chociaż Linux działa na różnych platformach RISC, rzadko spotykamy pliki binarne, które różnią się od x86. W przypadku innych platform RISC, takich jak SPARC, powszechniejsze są pliki binarne dla SunOS. Próbki takie są z reguły zbiorem niewielkich narzędzi, napisanych i skompilowanych dla określonych wersji systemu operacyjnego w celu zaatakowania określonego serwera. Przykładem może być sniffer, backdoor, logcleaner i moduły jądra maskujące działania osoby atakującej - taka kolekcja określana jest jako rootkit. Rootkity tworzone są w celu ataku na określoną maszynę. Atak zaplanowany na konkretny cel jest o wiele trudniejszy do wykrycia i zwalczenia niż trojan wypuszczony przez domorosłego programistę.

Główną różnicą między złośliwymi programami atakującymi Uniksa a szkodnikami dla Win32 jest brak kompresorów. Kompresory często wykorzystywane są w celu utrudnienia wykrycia i analizy złośliwych programów. Jak dotąd napotkane przez nas złośliwe programy dla Uniksa wykorzystywały jedynie UPX i kilka jego zmodyfikowanych wersji.

Ogólnie, pod względem typów złośliwego kodu sytuacja Uniksa odzwierciedla sytuację Win32. Zmniejsza się liczba wirusów infekujących pliki na dysku lokalnym. Tego typu wirusy tworzone są najczęściej jedynie dla celów badawczych i nie zawierają żadnej dodatkowej szkodliwej funkcji. Jednak wirusy z błędami w kodzie mogą spowodować niezamierzone szkody polegające na uszkodzeniu plików podczas wstrzykiwania do nich kodu. Żaden z wirusów dla Uniksa nie spowodował epidemii - zasadniczo wirusy te są interesujące jedynie ze statystycznego punktu widzenia. Czasami jednak trafia się ciekawy okaz: przykładem może być Virus.Linux.Grip, który w celu generowania kodów klucza wykorzystuje interpreter Brain Fuck. Następnie wykorzystuje kody do szyfrowania TEA (Tiny Encryption Algorithm).

Virus.Linux.Grip nie posiada praktycznego zastosowania i jest interesujący tylko dla naukowców. Osoby piszące tego typu wirusy kierują się pewnie filozofią Linusa Torvaldsa - "just for fun".

Osobną historię stanowią programy pisane w celu zainfekowania serwerów, tak aby można je było później wykorzystać jako platformy do przyszłych ataków. Jest wiele takich programów - mogą to być programy typu backdoor, exploit, sniffer, flooder lub inne narzędzia hakerskie. Wraz ze wzrostem popularności samego Linuksa ich liczba gwałtownie wzrasta.

W zeszłym roku wykryto kilka robaków dla Linuksa. Należał do nich między innymi Net-Worm.Linux.Lupper oraz Net-Worm.Linux.Mare, który stanowił swego rodzaju wariację na temat wprowadzony przez Luppera. Oba robaki wykorzystują tę sama lukę i stosują podobne metody rozprzestrzeniania się. Jednym z ich komponentów jest backdoor Tsumani. Wraz z ewolucją tego robaka (rozwojem nowych wariantów) dodawane były nowe funkcje. Najnowszy wariant robaka Net-Worm.Linux.Mare pobierał ircbota, który działał jak backdoor.

Inny "incydent" w świecie Linuksa miał miejsce we wrześniu 2005 roku, gdy okazało się, że koreańska dystrybucja Mozilli zainstalowana na publicznym serwerze zawierała pliki binarne zainfekowane wirusem Virus.Linux.Rs.

Są to jedyne incydenty spowodowane w 2005 roku przez złośliwe oprogramowanie dla Linuksa. Biorąc pod uwagę epidemie wywołane w 2002 i 2003 roku przez wirusy Scalper i Slapper miniony rok można uznać za spokojny.

Temat technologii rootkit dobrze sprzedaje się w mediach. Jednak w przeciwieństwie do sporej aktywności w świecie Win32, nie powstały żadne nowe rootkity dla Linuksa, a jedynie nowe odmiany już istniejących.

Jeżeli chodzi o inne platformy uniksowe, panuje jeszcze większy spokój. Nie ma w tym zresztą nic dziwnego zważywszy na to, że pod względem popularności inne platformy uniksowe nie mogą konkurować z Linuksem czy Windowsem.

Poniższe dane zostały uzyskane na podstawie analiz antywirusowych baz danych firmy Kaspersky Lab przeprowadzonych w różnym czasie. Niektóre kategorie nie zawierają żadnych danych, co oznacza, że kolekcja firmy Kaspersky Lab nie zawiera żadnego złośliwego oprogramowania z tej rodziny atakującego daną platformę.

Szkodliwe programy dla platformy Linux wykryte przez firmę Kaspersky Lab w latach 2004 - 2005

Szkodliwe programy dla platformy FreeBSD wykryte przez firmę Kaspersky Lab w latach 2004 - 2005

Szkodliwe programy dla platformy SunOS wykryte przez firmę Kaspersky Lab w latach 2004 - 2005

Szkodliwe programy dla platformy Unix wykryte przez firmę Kaspersky Lab w latach 2004 - 2005

Przyszłość

Chociaż powszechnie wiadomo, że prognozowanie jest ryzykowne, ponieważ w ciągu 6 miesięcy może się zdarzyć dosłownie wszystko, jesteśmy gotowi na takie ryzyko.

Przede wszystkim należy powiedzieć, że jesteśmy świadkami nastania ery architektury 64-bitowej. Gdy tylko architektura ta zyska popularność wśród użytkowników, nieuchronnie stanie się celem ataków twórców wirusów. Istnieją oczywiście pewne komplikacje, związane z tym, że kod binarny dla AMD64 i IA64 różnią się od siebie. Oznacza to, że dla każdej platformy musiałaby zostać skompilowana osobna wersja.

Apple daje szersze pole do rozwoju złośliwego oprogramowania; przejście na procesor Intel może okazać się posunięciem przełomowym. Fakt, że komputery Apple mają rewelacyjny design, a system OS X można nazwać "Uniksem z ludzką twarzą", może spowodować, że Apple stanie się hitem wśród użytkowników komputerów PC.

Jądro OS X opiera się na FreeBSD, tak więc twórcy złośliwego oprogramowania dla OS X mogą skorzystać z doświadczenia nabytego podczas tworzenia złośliwego oprogramowania dla FreeBSD. Poza tym, twórcy tego systemu operacyjnego również nie ustrzegli się błędów. W ciągu minionych kilku tygodni pojawiło się kilka robaków typu "proof of concept" dla OS X, co dobitnie świadczy o błędach w architekturze tego systemu. Powstał również exploit dla przeglądarki Safari, który umożliwia uruchomienie skryptu i wykonanie poleceń na komputerze użytkownika. Wygląda na to, że OS X może stać się obiecującym obszarem badań specjalistów zajmujących się bezpieczeństwem.

Inny szybko rozwijający się obszar stanowią urządzenia przenośne. Również tutaj Linux jest alternatywą dla systemów Symbian i Windows Mobile. Wielu głównych producentów opracowało już urządzenia z Linuksem lub planuje wprowadzić je do przyszłej oferty. Do ewolucji mobilnego złośliwego oprogramowania dla Linuksa niezbędna jest tylko krytyczna liczba użytkowników takich urządzeń.

Bodźcem do ewolucji złośliwego oprogramowania może być rozwój pewnych, nieznanych jeszcze lub mało popularnych technologii. Technologie i metody rozprzestrzeniania, które wydają się dzisiaj egzotyczne - tak jak Bluetooth kilka lat temu - mogą stać się wkrótce standardem, zarówno dla telefonów komórkowych, jak i komputerów PC.

Źródło:
Kaspersky Lab