Boj s malwarem se stupňuje

8. 7. 2011

Sdílet

Jaký je celosvětově největší uživatel cloud computingu? Není to Microsoft, není to Google ani Amazon.com. Jsou to vládci botnetu Conficker s více než 4,6 milionů infikovaných počítačů...

Pokud by byl malware biologický, nacházel by se svět v sevření nejhorší pandemie v historii lidstva. V roce 2009 bylo identifikováno více než 25 milionů různých unikátních malwarových programů, což je více než všechny malwarové programy vytvořené za všechny předchozí roky (viz výroční report laboratoří Panda). To je dost neuvěřitelná statistika. Záškodnické programy nyní počtem mnohořádově převyšují programy užitečné.

Jaký je celosvětově největší uživatel cloud computingu? Není to Microsoft, není to Google ani Amazon.com. Jsou to vládci botnetu Conficker s více než 4,6 milionů infikovaných počítačů, které ovládají, - a vítězí tak s velkým náskokem. Někteří dodavatelé antimalwaru hlásí, že 48 procent počítačů, které kontrolovali, je infikováno nějakým druhem malwaru (APWG Phishing Activity Trends Report). Trojští koně představují až 66 procent všech hrozeb (laboratoře firmy Panda).

Nikdo se nerozmýšlí nad tím, co dělá malware: Pokouší se ukrást peníze, ať už prostřednictvím odcizení dat, bankovních převodů, ukradených hesel nebo odcizených identit. Každý den jsou ukradeny nic netušícím internetovým obětem desítky milionů dolarů. Obránci počítačů zatím nedokážou říci, co je největší hrozbou pro jejich prostředí. Pokud však největší hrozby neznáme, jak se proti nim můžeme náležitě bránit?

Soudobý malware se dramaticky liší od hrozeb, kterým jsme čelili před 10 lety, kdy byla většina záškodnických programů psána mladíky pokoušejícími se získat prestiž v kyberprostoru. Většina malwaru upozornila uživatele na svou existenci zobrazením zprávy, hudby (jako v případě řady virů Yankee Doodle Dandy), nebo nějakým jiným způsobem prostřednictvím neškodné rošťárny. Tak tomu kdysi bývalo...

 

Zcela nový malware

Současný malware je však psán profesionálními zločinci. Ve většině případů jsou uživatelé nevědomě přesvědčeni ke spuštění škodlivého programu v podobě trojského koně. Uživatelé si myslí, že instalují potřebný software, často „doporučovaný" webem, kterému důvěřují. Ve skutečnosti tyto weby nic takového nedoporučují. Výrobci malwaru rutinně vniknou na legitimní weby s využitím zjištěných zranitelností a upraví webové stránky tak, aby obsahovaly záškodnická přesměrování JavaScriptu. Nebo je záškodnický kód ukrytý v banneru na webové stránce a je dodáván legitimními inzertními službami.

Ať už je to jakkoli, když uživatel zobrazí stránky legitimního webu, načte se do jeho počítače záškodnický JavaScript a ten buďto požádá uživatele o instalaci programu, nebo přesměruje netušícího uživatele na jiný web, kde je o instalaci programu požádán.

 

Trojské koně vedou

Současné trojské koně se obvykle vydávají za stáhnutelné antivirové skenery, „nutné" opravy, špatně formátované soubory PDF nebo doplňkové videokodeky potřebné k zobrazení nějakého úžasného videa. Většina těchto podvodných programů má vzhled a chování skutečných aplikací. I profesionální ochránci proti malwaru považují za obtížné vysvětlit rozdíl mezi skutečným a podvodným programem.

Falešné (fake) programy jsou ještě úspěšnější při podvádění obětí, když vypadají, že pocházejí z populárních a dobře známých webů, kterým uživatelé důvěřují a navštěvují je roky bez problémů. Nebo jsou vypouštěny z některé oblíbené sociální sítě, jako Facebook či Twitter, kde jsou velkou módou mezi nejméně rozumnými uživateli počítačů.

Některé malwarové programy hledají v počítači uživatele zranitelný software, kterému chybí bezpečnostní opravy, ale uživatelé si obvykle způsobí infekce sami instalací aplikací, které by instalovat neměli.

Tím samozřejmě není vyloučen zřejmý vliv spamu, phishingu, adwaru a dalších útočných metod. Počítačové červy, viry a další metody pro zneužití počítačů se dohromady nevyrovnají velikosti hrozby sociálně navržených trojských koní, i když některé vícevektorové červi jako Conficker mají počty obětí počítané v milionech.

V obvyklém scénáři se první nainstalovaný záškodnický program nazývá stahovač (downloader). Jeho cílem je nainstalovat se do počítače oběti a potom tzv. zavolat domů na mateřskou základnu pro další pokyny. Stahovač má často pokyny kontaktovat dynamický DNS server, aby získal aktuální umístění zmíněného centra. Dynamický DNS server představuje jen další počítač infikovaný trojským koněm, který byl nainstalován do počítače netušícího uživatele.

Záznam adresy DNS přijatý stahovačem obsahuje adresu, která je funkční jen krátký čas -- někdy i jen 3 minuty. Tyto techniky „neustálých rychlých změn" komplikují snahy vypátrat a vymýtit malware. Stahovač bude případně přesměrován na jiný server (což je samozřejmě jen další kompromitovaný hostitel) a stáhne nový program nebo obdrží instrukce. Tato posloupnost hledání a stahování nových programů a instrukcí může probíhat mnoho cyklů.

Nakonec je do počítače oběti nainstalován finální program a pokyny s několika servery obsahujícími příkazy a řízení -- vše je podřízeno vlastníkům botnetu. Botnety mohou být svými vlastníky využity ke kradení peněz a k provádění distribuovaných útoků odepření služby (DDoS -- Distributed Denial of Service).

Botnet je vlastníkem také často pronajímán jiným zločincům, kteří ho potom používají ke svým účelům. Dobrým příkladem běžného botu a botnetu je Mariposa. V jednu chvíli kontroloval tento botnet více než 13 milionů počítačů ve více než 190 zemích. Duchovní otcové Mariposy nebyli vysoce nadaní géniové píšící malware -- byli to jen lidé, kteří si koupili na internetu za 300 dolarů příslušnou botnetovou sadu.

 

Sady „udělej si sám"

Malwarové sady typu „udělej si sám" (Do-it-yourself malware kiks) tu jsou již desítky let, ale teprve nyní jsou naprosto efektivní. Typický nástroj tohoto typu dokáže vytvořit v danou chvíli nezjistitelný malware pro vytváření nekalých aktivit svého vlastníka.

Použití těchto sad je stejně snadné jako kliknutí na pár zaškrtávacích políček. Výsledný malware se vláme na weby, aby začal infikovat netušící návštěvníky, vytváří lákavý spam a phishingové e-maily a provádí cokoli potřebného k vytvoření botnetu -- včetně botů, dynamických DNS serverů, kočovných mateřských webserverů a serverů obsahujících příkazy a řízení.

Mnoho sad je orientováno na obejití určitých typů ověřování a zaměřeno na konkrétní finanční instituce. Lepší botnetové nástroje obsahují důmyslné administrativní rozhraní, takže zločinci mohou zjistit statistiku celkových infekcí, napadené verze operačních systémů a použité triky. Za dalších 30 dolarů nabízejí tvůrci kitu dokonce i technickou podporu 24/7.

Tyto sady nejsou utajené. Při troše snahy je můžete najít na otevřeném trhu často jako „experimentální" nebo „testovací" produkty. Navíc existuje mnoho „poskytovatelů služeb", kteří chtějí pomoci zločincům využívajícím malware proměnit nepoctivé zisky na peníze v hotovosti.

bitcoin_skoleni

 

Tento článek vyšel v tištěném SecurityWorldu 3/2010.