Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Gumblar: żegnaj Japonio

Witalij Kamliuk
Kaspersky Lab Expert
Dodany 6 maja 2010, 09:56 CEST
Tagi:

Gumblar po raz pierwszy pojawił się wiosną 2009 roku. Od tego czasu zwrócił uwagę wielu lokalnych dostawców usług internetowych w różnych państwach, ponieważ szkodnik ten kradnie dane uwierzytelniania FTP, wstrzykuje do legalnych stron internetowych "szkodliwe" odsyłacze i umieszcza backdoory na zhakowanych serwerach.

Ogólną architekturę systemu Gumblara opisywaliśmy już wcześniej. Jedyną rzeczą, jaka zmieniła się od tego czasu, jest liczba zhakowanych serwerów oraz dodatkowa warstwa serwerów w łańcuchu procesu infekcji. Proces infekcji rozpoczyna się teraz na legalnej stronie internetowej, do której wstrzyknięto znacznik <script> (html-redirector), który odnosi się do serwera z php (php-redirector) generującego javascript, który dalej przekierowuje przeglądarkę. Liczba takich przekierowań wynosi od jednego do czterech, na koniec przeglądarka pobiera zawartość z serwera, który jest właściwym infektorem. Ostatni serwer w łańcuchu posiada zestaw exploitów wykorzystywanych do przeprowadzania ataków na użytkowników Internetu. Najnowsze dane pokazują, ile adresów URL różnego typu bierze udział w tym procesie:

</center></strong>

Podane liczby pokazują tylko fragment całego obrazu, co oznacza, że rzeczywiste liczby mogą być znacznie wyższe. Na chwilę obecną nikt nie wie, jaka jest liczba zhakowanych maszyn klienckich przyłączonych do botnetu Gumblara, przypuszczamy jednak, że jest wyższa niż liczba zhakowanych serwerów, ponieważ liczba serwerów w rzeczywistości odzwierciedla jedynie liczbę zainfekowanych użytkowników, którzy posiadają własne strony internetowe i wykorzystują klienty FTP w zainfekowanym systemie.

Obliczyliśmy całkowitą liczbę backdoorów serwerów Gumblara: obecnie wynosi ona około 4 460.

System Gumblar jest niebezpieczny nie tylko ze względu na potencjalnie duży rozmiar botnetu, ale również połączoną moc zhakowanych serwerów. Doskonale zdają sobie z tego sprawę specjaliści zajmujący się badaniami nad bezpieczeństwem oraz dostawcy usług internetowych. Wielokrotnie próbowano ustalić, jak duży jest system Gumblara i kto za nim stoi.

Japonia należy do krajów, które przeznaczyły dużo zasobów na rozwiązanie problemu Gumblara, ponieważ:

  • Japońskie serwery znajdują się w pierwszej piątce pod względem liczby infekcji na całym świecie;
  • W Japonii liczba lokalnych szkodliwych programów nie jest tak wysoka jak w innych krajach, dlatego Gumblar – który ślepo przekracza międzynarodowe granice – szybko zyskał dużą popularność.

Śledziliśmy Gumblara od samego początku z naszego japońskiego laboratorium badawczego. Pobieranie nowych próbek, odszyfrowywanie i rozpakowywanie kodu maszynowego oraz wypakowywanie nowych adresów URL stało się codziennością nie tylko dla nas, ale również dla wielu analityków w Japonii.

</center></strong>

Twórcy Gumblara dostrzegli stałą aktywność z wielu japońskich numerów IP w formie ataków na ich system. Ciężka praca, jaką włożyliśmy w analizowanie tego zagrożenia, oraz dane online dostarczane z Japonii wywołały reakcję ze strony cyberprzestępców. Nie tak dawno temu natrafiliśmy na nowy wariant skryptu infektora stworzony przez twórców Gumblara, który weryfikuje, skąd pochodzi zdalny klient. Skrypt wykorzystuje darmową bazę danych pozwalającą określić państwo na podstawie IP w celu zlokalizowania kraju klienta. Jeżeli kraj okaże się Japonią, skrypt wstrzymuje się z atakiem. Poniżej część kodu, która jest za to odpowiedzialna:

</center></strong>

W wyróżnionej części kodu funkcja ‘gC’ uzyskuje kod kraju danego klienta i jeżeli wynosi on ‘111’ (który w bazie oznacza JP), kod ustawia wartość zmiennej ‘$zz’ na 0, co zatrzymuje aplikację.

Podobną aktywność zauważyliśmy w przypadku monitorowanych przez nas serwerów FTP. Japońskie serwery nie są już “re-infekowane”, podczas gdy inne kraje nadal są celem ataków (odstęp między kolejnymi infekcjami serwerów wynosi od 11 do 33 godzin).

Zła wiadomość dla cyberprzestępców jest taka, że jesteśmy międzynarodowym zespołem, dlatego mimo ich prób wykluczenia japońskich numerów IP nadal posiadamy zasoby pozwalające nam kontynuować badania z innych krajów.