Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kaspersky Security Bulletin 2006: Szkodliwe programy dla systemów uniksowych

Tagi:

Konstantin Sapronov

Wszystkie systemy operacyjne wykorzystywane we współczesnym świecie IT można podzielić na dwie kategorie: systemy Microsoftu oraz systemy uniksowe. Ta część biuletynu Kaspersky Lab poświęcona jest szkodliwym programom atakującym systemy uniksowe.

  1. Ewolucja szkodliwego oprogramowania
  2. Szkodliwe programy dla systemów uniksowych
  3. Mobilne szkodliwe programy
  4. Ataki internetowe
  5. Spam w 2006 roku

Najpopularniejszym systemem uniksowym jest Linux. Mimo że stanowi on jedną z głównych alternatyw dla systemów Windows, w dalszym ciągu jest wykorzystywany przede wszystkim w zastosowaniach serwerowych. Podobnie jak w przypadku innych systemów uniksowych, stacje robocze oparte na Linuksie są użytkowane prawie wyłącznie przez entuzjastów i profesjonalistów. Twórcy szkodliwego oprogramowania i inni cyberprzestępcy praktycznie przestali interesować się Linuksem, ponieważ nie należy on ani do "podziemia", ani do głównego nurtu. Oznacza to, że atakowanie tego systemu nie pozwala na szybkie i łatwe zarobienie pieniędzy. Z tego powodu wiele szkodliwych programów stworzonych dla Linuksa w 2006 roku miało postać kodu "proof of concept" i exploitów wykorzystujących nowe luki. Pojawiło się także wiele modyfikacji istniejących już szkodliwych programów.

Mimo że liczba luk wykrywanych w systemach uniksowych jest praktycznie taka sama, jak dla systemów Windows, całkowicie nowe szkodliwe programy dla Uniksów są rzadkością. Tak długo, jak ograniczona popularność systemów uniksowych będzie skupiać uwagę cyberprzestępców na rozwiązaniach Microsoftu, użytkownicy Uniksa mogą spać w miarę spokojnie. Oczywiście, producenci systemów dokładają wszelkich starań, aby łaty usuwające ewentualne luki pojawiały się najszybciej, jak to tylko możliwe, jednak użytkownicy nie zawsze przykładają wagę o ich pobierania i instalowania.

Przegląd 2006 roku

Liczba szkodliwych programów zwiększa się każdego roku. Nie dotyczy to jednak wirusów powstających dla środowiska Unix. Szkodliwe programy dla Uniksa stanowią zaledwie małą część wszystkich niebezpiecznych aplikacji, a w roku 2006 proporcje te jeszcze bardziej się uwidoczniły.

Statystyki za rok 2005 dotyczące szkodliwych programów dla środowiska Unix zostały przygotowane na podstawie liczby sygnatur dodanych do antywirusowych baz danych firmy Kaspersky Lab. Oznacza to, że wszystkie warianty, nawet te różniące się w niewielkim stopniu, zostały potraktowane jako nowe szkodliwe programy.

W 2006 roku zmieniliśmy metody zliczania nowych szkodliwych programów. Jako nowe traktowane są wyłącznie programy, które nie są modyfikacjami istniejących szkodników.

W rezultacie, całkowita liczba szkodliwych programów dla systemów uniksowych spadła w 2006 roku o 43%.

Szkodliwe programy dla platform uniksowych

Spadek liczby nowych szkodliwych programów dla systemów uniksowych jest jeszcze bardziej widoczny podczas porównywania jej z liczbą wszystkich szkodliwych programów, która w 2006 roku wzrosła o 41%. Do tego wzrostu przyczyniły się jednak przede wszystkim szkodliwe programy dla platformy Windows.

Linux jest najpopularniejszym systemem uniksowym. Potwierdza to fakt, że znakomita większość uniksowych szkodliwych programów powstaje właśnie dla Linuksa. Jednak, wiele z tych szkodników może zostać łatwo przeniesionych na inne platformy, łącznie z OS X.


Liczba szkodliwych programów dla systemów uniksowych


Podział szkodliwych programów z uwzględnieniem poszczególnych platform

Jedną z ważniejszych nowości w 2006 roku było pojawienie się szkodliwych programów dla systemu OS X wśród niebezpiecznych aplikacji atakujących platformy uniksowe. OS X jest stosunkowo nowym systemem operacyjnym (jego pierwsza wersja pojawiła się w 2001 roku) wywodzącym się z takich rozwiązań jak Mach oraz FreeBSD. Popularność tego systemu zaczęła gwałtownie rosnąć wraz z przejściem firmy Apple na procesory x86. W 2006 roku firma Kaspersky Lab dodała OS X do swojego systemu klasyfikacji szkodliwego oprogramowania jako oddzielną platformę.

Mimo że szkodliwe oprogramowanie dla OS X stanowi zaledwie 4% szkodników dla systemów uniksowych, system ten gwałtownie zyskuje popularność i wydaje się, że pod względem liczby niebezpiecznych aplikacji może w niedalekiej przyszłości zagrozić nawet Linuksowi.

Tendencja zniżkowa w liczbie szkodliwych programów dla systemów uniksowych będzie trwać do momentu, gdy systemy te staną się bardziej popularne wśród użytkowników komputerów. Twórcom szkodliwych programów i innym cyberprzestępcom nie opłaca się atakować Uniksów - przy tak małej liczbie użytkowników nie jest możliwe uzyskanie odpowiednio wysokich korzyści finansowych. Z tego samego powodu wyszukiwaniem luk w systemach Unix zajmują się przede wszystkim profesjonaliści z branży bezpieczeństwa IT.

W listopadzie 2006 roku ruszył projekt Month of Kernel Bugs (MoKB - http://projects.info-pull.com/mokb/). Jego założeniem było wykrywanie i ujawnianie luk w jądrach różnych systemów operacyjnych. Okazało się, że najwięcej luk wykryto w jądrze Linuksa (11 luk) a na drugim miejscu znalazł się OS X (10 luk). W badaniach uwzględniono także FreeBSD, Sun OS, systemy Microsoftu oraz różne sterowniki.

Liczba problemów zidentyfikowanych w jądrze Linuksa oraz w jego aplikacjach ukazuje, że twórcy szkodliwego kodu otrzymują całą masę możliwości. Można zatem podejrzewać, że w przyszłości (wraz ze wzrostem popularności) Linux będzie musiał się zmierzyć z takimi samymi problemami, jakie obecnie dotykają systemów Microsoftu.

Podział szkodliwych programów dla systemów uniksowych pod względem zachowania

Statystyki ukazują, że podział uniksowych szkodliwych programów pod względem zachowania prawie nie zmienia się już od trzech lat.


Rodzaje szkodliwych programów dla systemów uniksowych

Exploity i backdoory w dalszym ciągu pozostają w czołówce. Programy sklasyfikowane jako hacktool zajmują trzecie miejsce. Inne rodzaje szkodliwych programów - robaki, trojany oraz rootkity - łącznie osiągnęły wynik niewiele większy niż same programy hacktool. Zestawienie to jest praktycznie identyczne każdego roku i rok 2006 nie przyniósł tutaj żadnych niespodzianek.

Wynik backdoorów jest tak wysoki ze względu na to, że Unix jest przede wszystkim wykorzystywany w zastosowaniach serwerowych. Z reguły serwery takie oferują zdalny dostęp i inne usługi sieciowe. W rezultacie backdoor zainstalowany na serwerze (i posiadający uprawnienia użytkownika root) daje zdalnemu cyberprzestępcy pełny dostęp do zasobów samego serwera, jak i wszystkich zasobów sieciowych. Zainfekowany serwer może zostać wykorzystany, między innymi, jaki platforma do wysyłania spamu oraz do przeprowadzania ataków na inne komputery.

Exploity i narzędzia hakerskie mogą być wykorzystywane do identyfikowania luk w systemie. Wynika z tego, że narzędzia te mogą zostać użyte w dobrych i złych celach. Eksperci z branży bezpieczeństwa mogą użyć programu takiego jak Metasploit do wykrycia ewentualnych luk i załatania ich, natomiast hakerzy wykryją luki i wykorzystają je do uzyskania zdalnego dostępu.

Mimo że szkodliwy kod większości szkodliwych programów dla systemów uniksowych można stosunkowo łatwo znaleźć w Internecie, zaledwie kilka z nich zdołało ewoluować. Nowe warianty tych szkodników różnią się nieznacznie od pierwowzorów a czasami posiadają inny kod binarny tylko dlatego, że zmienione zostały ustawienia kompilatora.

Podobnie jak w przypadku platformy Windows, wirusy dla Uniksów pojawiają się coraz rzadziej. Ten rodzaj szkodliwego oprogramowania nie został w ogóle uwzględniony na wykresie 3, ponieważ w 2006 roku wykryliśmy tylko jednego wirusa dla Uniksa: Virus.Multi.Bi.

Jak wskazuje przedrostek 'Multi' w nazwie, wirus ten może infekować więcej niż jedną platformę. Virus.Multi.Bi atakuje pliki wykonywalne PE oraz Elf, jest nierezydentny i powstał w asemblerze. Nie jest to pierwszy wirus infekujący zarówno pliki wykonywalne systemu Windows, jak i Linux, jednak szkodników takich jest bardzo mało - mniej niż dwanaście.


Komunikat wyświetlany po uruchomieniu wirusa Bi w systemie Windows

Większość sieci komputerowych ma charakter heterogeniczny. Sieci takie zawierają komputery działające pod kontrolą różnych systemów operacyjnych. Z tego powodu coraz częściej obserwujemy próby tworzenia szkodliwych programów działających na więcej niż jednej platformie. Wieloplatformowe szkodniki nie staną się może powszechne, jednak nieustające starania cyberprzestępców pozwalają na wyciągnięcie pewnych wniosków odnośnie takich zagrożeń. Wieloplatformowy szkodliwy program może powstać przy jednoczesnym użyciu różnych języków skryptowych pozwalających na stworzenie kodu działającego w różnych systemach operacyjnych (każdy z docelowych systemów musi jednak być wyposażony w odpowiedni interpreter poleceń).

Jak wspomniałem powyżej, większość szkodliwych programów jest tworzona z uwzględnieniem tego, jak dana platforma jest wykorzystywana: jako stacja robocza, komputer domowy, czy też serwer. Jeżeli Linux nagle stanie się popularny wśród użytkowników domowych lub jako stacja robocza, cyberprzestępcy błyskawicznie skupią się na tej platformie.

OS X - platforma przyszłości

Bez wątpienia przejście firmy Apple na architekturę x86 spopularyzowało system OS X. Coraz więcej użytkowników traktuje ten system jako alternatywę nie tylko dla Windowsa, ale i Linuksa. Atrakcyjny wizualnie interfejs i duża stabilność pracy to cechy, które mogą przyciągać wielu nowych użytkowników. Eksperci z branży bezpieczeństwa także zaczynają coraz poważniej traktować tę platformę.

Jednak, bardzo obiecujący początek nie okazał się być zwiastunem rewolucji: przejście na procesory Intela nie spowodowało tak dużego wzrostu liczby użytkowników systemu OS X, jak życzyłaby sobie tego firma Apple. Co za tym idzie, OS X nie stał się celem komercyjnych działań cyberprzestępców. Pojawiły się jednak pewne szkodliwe programy typu "proof of concept", o których warto wspomnieć.

Pierwszy z nich pojawił się w lutym 2006 roku: IM-Worm.OSX.Leap. Jest to robak rozprzestrzeniający się za pośrednictwem komunikatora iChat. Szkodnik wysyła swoje kopie do wszystkich użytkowników znajdujących się na liście kontaktów.


Komunikat wyświetlany po uruchomieniu robaka IM-Worm.OSX.Leap

Kolejny robak, Worm.OSX.Inqtana, pojawił się w tym samym czasie co Leap. Inqtana powstał przy użyciu Javy i rozprzestrzenia się za pośrednictwem połączeń Bluetooth. Szkodnik korzysta ze starej luki CVE-2005-1333 wykrytej w maju 2005 roku.

Pod koniec roku pojawiła się modyfikacja robaka Inqtana - Worm.OSX.Niqtana. Sposób działania tego robaka jest identyczny, jednak wykorzystuje on inne luki: CVE-2005-0716 dla systemu OS X 10.3.x oraz CVE-2006-1471 dla systemu OS X 10.4.x.

Pojawienie się w listopadzie 2006 roku kolejnego programu proof of concept dla systemu OS X - Virus.OSX.Macarena - było w pewnym sensie przełomowe. Była to pierwsza próba stworzenia wirusa dla systemu Mac OS X, który infekuje pliki wykonywalne o formacie mach-o. Wirus infekuje wyłącznie pliki zapisane w folderze, z którego został uruchomiony i działa tylko na platformach Intel, zatem nie stanowi żadnego zagrożenia dla posiadaczy starszych komputerów firmy Apple (działających w oparciu o procesory PowerPC).

Twórcy wszystkich wymienionych szkodliwych programów mieli na celu jedynie zademonstrowanie możliwości stworzenia szkodliwego kodu dla platformy OS X. W przyszłości możemy się spodziewać programów tego typu na wolności, a wówczas zarówno użytkownicy komputerów Apple, jak i twórcy systemu OS X będą musieli zacząć poważnie myśleć o kwestiach bezpieczeństwa. Mimo że żaden z wymienionych szkodników nie został nigdy wykryty na wolności, liczba użytkowników postrzegających system OS X jako bezpieczniejszy od rozwiązań Microsoftu znacznie spadła.

Podsumowanie i prognozy

Pod względem szkodliwego oprogramowania rok 2006 był dla środowiska uniksowego całkiem spokojny. Nie pojawiła się żadna epidemia. Nie zanotowano żadnego poważnego incydentu związanego z bezpieczeństwem.

Jednak, użytkownicy Uniksa nie mogą zapominać o kwestiach związanych z bezpieczeństwem. Cyberprzestępcy mają w przypadku systemów uniksowych takie same możliwości tworzenia szkodliwych programów, jak w świecie rozwiązań Microsoftu. Twórcy oprogramowania regularne publikują uaktualnienia usuwające błędy i luki w zabezpieczeniach. Jednak obowiązek pobierania i instalowania tych uaktualnień należy do użytkowników i nie mogą oni o nim zapominać.

Oczekiwaliśmy, że w roku 2006 cyberprzestępcy będą na dużą skalę wykorzystywać nowe technologie, takie jak Mac OS X oraz 64-bitowe procesory i systemy operacyjne. Technologie te nie miały jak na razie dużego wpływu na świat komputerów, w związku z czym możemy oczekiwać pewnych zmian w roku bieżącym.

Prognozy na rok 2007:

  • Mac OS X, jako system operacyjny o największym potencjale, przyciągnie sporą liczbę użytkowników systemów Windows oraz Linux.
  • Wykorzystywanie Linuksa przez producentów różnych urządzeń, takich jak smartfony, komputery pokładowe w samochodach, konsole do gier (na przykład, Playstaton 3), zaowocuje pojawieniem się nowych szkodliwych programów dla tych platform.
  • Cyberprzestępcy chcą dotrzeć do możliwie największej liczby użytkowników, dlatego będziemy obserwować dalszy rozwój wieloplatformowych szkodliwych programów.
  • Do rozprzestrzeniania szkodliwych programów będą wykorzystywane nowe kanały, takie jak Bluetooth, WiFi oraz Skype.

Nowe technologie będą wchodziły na rynek oferując coraz więcej możliwości dla wszystkich, łącznie z cyberprzestępcami. Oczywiście, mamy nadzieję, że liczba szkodliwych programów dla Uniksów dalej będzie spadać, jednak nie kosztem popularności tej platformy.

Źródło:
Kaspersky Lab