2. díl E-mailový červ, starý dobrý známý
Pokud alespoň občas používáte elektronickou poštu, jistě jsou e-mailoví červi
vaši staří dobří známí. Určitě jste se již někdy setkali s podezřele
vypadajícím e-mailem, který obsahoval přiložený soubor a text (nejspíše v
angličtině), jenž se vás snažil přesvědčit, abyste jej spustili. Pokud jste se
tímto způsobem už někdy nechali zmást a přiložený soubor spustili,
pravděpodobně se vaše PC stalo domovem minimálně jednoho škodlivého kódu a
zdrojem dalších infikovaných e-mailů předávaných všem, jejichž e-mailové adresy
byly tehdy na disku k dispozici.
Pokud chcete proniknout e-mailovým červům takříkajíc "pod kůži", určitě se vám
některé informace uvedené v tomto článku budou hodit.
Co to vlastně je?
Jako e-mailového červa označujeme škodlivý kód, který nepotřebuje hostitelskou
aplikaci a ke svému šíření zneužívá prostředky elektronické pošty. Bez čeho se
ale typický e-mailový červ neobejde, je "spolupráce" uživatele. Ten totiž
většinou musí červa z přiloženého souboru spustit nebo alespoň infikovaný
e-mail otevřít, aby se červ mohl spustit sám automaticky např. pomocí
bezpečnostní díry.
Kolik jich je?
Není tomu tak dávno, kdy byli e-mailoví červi naprosto dominantním druhem
škodlivých kódů. Statistiky z let 2001 až 2003 ukazují, že představovaly asi 80
až 90 % celkového objemu veškerých škodlivých kódů. Tato jejich naprostá
převaha kulminovala někdy v roce 2004, od té doby jsou již poněkud na ústupu.
E-mailoví červi ale svoje "místo na výsluní" neopouštějí. V porovnání s jinými
druhy škodlivých kódů je jich stále více než dost...
Co se výskytu e-mailových červů týká, zajímavé údaje najdete například na
www.messagelabs.com nebo na www.virovyradar.cz. Statistiky Messagelabs
vycházejí z velice slušného vzorku dat, který pochází od řady velkých firem a
korporací, jejichž poštovní servery tato firma chrání. Je ale třeba podotknout,
že jiné než e-mailem šířené škodlivé kódy zde nenajdete a tato statistika je
tedy do jisté míry zkreslená. Podobně je na tom Virový radar, který údaje pro
svoji statistiku bere z freemailového serveru Seznam.cz.
Cesta k dokonalosti
Schopnosti a možnosti e-mailových červů jsme na vlastní kůži poznali už někdy v
roce 1999. Jedním z prvních škodlivých kódů, který se opravdu masivně šířil
prostřednictvím elektronické pošty, byla v březnu uvedeného roku Melissa.
Jednalo se o makrovirus, který dokázal infikovat wordovské dokumenty. Šířil se
pod rouškou souboru LIST.DOC, který obsahoval přístupová hesla některých webů s
poněkud "choulostivým" obsahem. Pokud sexu chtivý uživatel neodolal a
infikovaný dokument otevřel, došlo k nakažení jeho počítače a rozeslání tohoto
dokumentu na prvních padesát kontaktů z adresáře poštovního klienta.
Daleko známější kauzou spojenou s e-mailovými červy byl notoricky známý
LoveLetter (alias ILoveYou, Lovebug...), který se na internetu poprvé objevil v
květnu roku 2000. Jednalo se o poměrně jednoduchý univerzální škodlivý kód
vytvořený ve VBS, původem z Filipín. Neměl problémy s lokalizovanými verzemi
operačních systémů, s jazykovými bariérami ani s různými verzemi operačních
systémů. Text infikovaného e-mailu byl vytvořen přesně v duchu zásad sociálního
inženýrství. Dvojité přípony přiloženého souboru (LOVE-LETTER-FOR-YOU.TXT.vbs)
si uživatel buď nevšimnul, nebo se mu díky nastavení Windows (nezobrazovat
přípony souborů známých typů) vůbec nezobrazila. Jako jeden z mála e-mailových
červů s sebou LoveLetter nesl také škodlivou rutinu mazal soubory s obrázky ve
formátu JPG a JPEG, čímž zarmoutil mnohé jejich sběratele. Jeho rozšíření po
celém světě trvalo asi tři hodiny. Inu, každý chtěl vědět, proč ho někdo, často
naprosto neznámý, tak miluje...
E-mailoví červi známí v počátcích své krátké historie ke svému šíření
zneužívali takřka výhradně prostředky e-mailového klienta, instalovaného na
infikované stanici. Kontakty shromážděné v rámci tohoto klienta byly často
jediným zdrojem adres dalších potencionálních obětí. Postupem času se e-mailoví
červi od této závislosti oprostili. Nejprve se naučili hledat e-mailové adresy
v souborech různých typů na disku infikovaného počítače, posléze do své
výzbroje přibraly i vlastní jednoduché poštovní klienty (tzv. SMTP motory),
jejichž prostřednictvím nyní infikované soubory nejčastěji rozesílají.
E-mailový červ současnosti
Dnešní typický e-mailový červ se vyznačuje řadou charakteristických vlastností.
Šíří se pomocí infikovaného e-mailu, jehož text je vytvořen v souladu se
zásadami sociálního inženýrství. Tento e-mail v podstatě vždy obsahuje falešnou
adresu odesílatele. Červ jednoduše dosadí některou z adres nalezených na disku
infikovaného počítače. Dnes už tedy nemá absolutně žádný význam odpovídat na
infikované e-maily upozorněním, že je odesílatel infikovaný. Stejně tak se
nemusíte divit, pokud vám přijde infikovaný e-mail od vás samotných. E-mailový
červ může kromě "standardní" zdvojené přípony používat i velký počet mezer mezi
"falešnou" a "skutečnou" příponou, což má podobný efekt, jako když je systém
nastaven na nezobrazování přípon souborů známých typů.
Poslední dobou se stále častěji setkáváme s tím, že soubor s červem je jaksi
navíc "zabalen" v ZIP archivu, který může být šifrován heslem. Tímto úhybným
manévrem se snaží zkomplikovat práci antivirovým programům, kontrolujícím
elektronickou poštu na serverech, a zvýšit tak svoje šance na úspěšné
proniknutí k adresátovi. Navíc mu to poskytuje další prostor pro využití
sociálního inženýrství: "...posílám ti něco tajného, tak jsem to raději
zašifroval...". Názorně je vývoj této metody vidět u jednotlivých variant červů
Bagle. Ten se nejprve šířil jako "klasický" spustitelný soubor. Pozdější
varianty už začínají využívat ZIP archiv. Od verze F už Bagle používá archiv
zajištěný heslem, uvedeným v textu e-mailu, od verze N pak archiv zajištěný
heslem, přičemž toto heslo je vloženo v e-mailu jako obrázek.
V praxi je až nevídané, v kolika procentech případů tento jednoduchý trik
funguje vzpomeňte si třeba na epidemii e-mailového červa Mydoom v lednu roku
2004. Ten v době vrcholící epidemie představoval asi 95 % všech zachycených
e-mailových infiltrací a byl zdrojem desetiny veškerého světového e-mailového
provozu. Mydoom s přehledem překonal předchozího rekordmana Sobig.F. Přitom by
ale úplně stačilo, kdyby se uživatelé zamysleli nad logikou věci: "Proč je
heslo, které je klíčem k tajným informacím, uloženo ve stejném e-mailu, kde se
nachází i šifrovaná příloha? Není to podezřelé?"
Sociální inženýrství
Jako sociální inženýrství označujeme soubor technik, kterými se např. hackeři
snaží uživatele přesvědčit, aby spustili nějaký soubor, sdělili jim informace o
konfiguraci PC, řekli jim svoje heslo apod. Je to metoda, která umožňuje
získávat informace cestou nejmenšího odporu místo pracného hledání si o ně
útočník prostě řekne. Jinak řečeno: "Amateurs hack systems, professionals hack
people" (volně přeloženo: "Amatéři se nabourávají do systémů, profesionálové se
nabourávají přímo do lidí").
Útočníci se snaží zneužívat zejména faktory, jako je stres (mám tady na drátě
zákazníka...), nebezpečí (mám podezření na útok...), změna identity (tady
náměstek ředitele...), důvěryhodná činnost (opravujeme vaši počítačovou síť
a...) atd. Tyto útoky jsou velmi nebezpečné zejména proto, že mohou přijít
prakticky odkudkoliv, útočník bývá obvykle dobře připraven a samotný útok je
velmi často přizpůsoben konkrétnímu cíli.
SMTP motor
Označení komponenty, která má na starosti odesílání e-mailu pomocí Simple Mail
Transfer Protokolu. U e-mailových červů se jedná o velice jednoduché nástroje,
které dokáží realizovat pouze nezbytné služby.
VBS
Visual Basic Skript jednoduchý skriptovací programovací jazyk. Aby škodlivý kód
vytvořený pomocí VBS fungoval, musí operační systém obsahovat komponentu
Windows Scripting Host, která je součástí operačních systémů počínaje Windows
2000 a Windows 98, nebo může být nainstalována současně s balíkem Office 2000
či prohlížečem Internet Explorer od verze 5.
Co je správně "červi" nebo "červy"?
Také nevíte, podle jakého vzoru skloňovat "počítačového červa"? Přestože
všechny dosavadní jazykové příručky charakterizují slovo "červ" jako podstatné
jméno rodu mužského životného, je třeba přihlédnout k tomu, že tyto příručky
zatím neuvažují o "počítačovém červu". V tomto významu je skloňování slova
"červ" rozkolísané, podobně jako např. u slova "počítačový agent" (v množném
čísle "počítačoví agenti" i "počítačové agenty"). Neměli bychom tedy především
směšovat životnost a neživotnost a správně psát např. "sužují nás počítačoví
červi" (podle vzoru pán) nebo "sužují nás počítačové červy" (podle vzoru hrad).
(Podle odpovědi na dotaz položený Ústavu pro jazyk český.)Další typickou
vlastností dnešního e-mailového červa jsou pokusy o maskování instalace do
infikovaného systému. Pěkným příkladem je třeba e-mailový červ Swen, který se
maskuje za bezpečnostní aktualizaci Microsoftu. Kromě vhodně formulovaného a
graficky velmi zdařile vyvedeného e-mailu používá několik dialogových oken,
simulujících instalaci domnělé bezpečnostní záplaty. Zajímavé je, že se do
systému skrytě instaluje i tehdy, pokud uživatel "aktualizaci" v prvním
dialogovém okně červa ukončí.
Pokud je e-mailový červ spuštěn, první věc, kterou zpravidla podnikne, je
kopírování svých souborů na disk počítače (zpravidla někam do systémových
adresářů Windows). Aby byl následně spouštěn současně s operačním systémem,
vytváří si v systémovém registru klíče, které to zajistí.
Když se červ v systému zabydlí, začíná provozovat další činnosti. Jednou z nich
je sbírání adres využitelných k dalšímu šíření. Zpravidla skenuje obsah všech
lokálních disků a hledá soubory s určitými příponami, u nichž je pravděpodobné,
že mohou obsahovat e-mailové adresy (HTML, HTM, TXT, DOC, RTF, WAB apod.).
Někteří červi dokáží využít i nalezená doménová jména (třeba aec.cz) a zkoušejí
je doplňovat různými jmény do formy e-mailové adresy (georg@aec.cz). Poměrně
rozšířenou funkcí je filtrování nalezených e-mailových adres tak, aby se mezi
adresáty infikovaných e-mailů nedostaly např. antivirové firmy, administrátoři,
univerzity apod.
Jak jsem si už uvedli, červi dříve zneužívali k rozesílání infikovaných e-mailů
přímo e-mailového klienta na infikované stanici. Dnes už se tento způsob
vyskytuje jen sporadicky. Drtivá většina červů disponuje vlastním SMTP motorem,
s jehož pomocí obsah infikovaných e-mailů generuje a rozesílá.
Pokud se již e-mailovému červu podaří systém infikovat, snaží se v něm udržet
co nejdéle a zůstat utajen. Proto zpravidla podniká některé aktivní kroky
směřující proti antivirovým programům, případně proti dalším bezpečnostním
aplikacím. Snaží se ukončovat jejich spuštěné procesy, maže jejich klíče v
systémovém registru nebo přímo soubory na disku, prostě "otupuje jejich
zbraně". Případně může blokovat některé součásti systému, které by mohly jeho
existenci ohrozit (např. editor registru).
A aby toho nebylo málo, velmi často se navíc ještě snaží na infikovaný počítač
instalovat další škodlivé kódy typu zadní vrátka, trojský kůň, keylogger apod.,
případně z něj dokáže udělat tzv. zombie, tedy počítač zneužitelný na dálku pro
šíření spamu nebo jiné nelegální činnosti. E-mailový červ tedy přestává být
primárním cílem svého tvůrce a je využíván "pouze" jako prostředek pro šíření
jiných škodlivých kódů, které jsou často daleko přesněji cíleny na konkrétní
oběť.
A co dál?
Předpovídat nejbližší vývoj e-mailových červů je poměrně obtížné. Můžeme
očekávat, že s tím, jak se neustále zdokonalují antivirové nástroje pro ochranu
elektronické pošty a kontrolu jejího obsahu, bude úspěšnost této formy
škodlivých kódů postupně klesat. Jejich autoři budou zcela jistě hledat
způsoby, jak tato úskalí obejít (důkazem je např. používání šifrovaného archivu
ZIP), s určitostí ale nelze odhadnout, do jaké míry se jim to bude dařit.
E-mailoví červi již zenitem své "kariéry" pravděpodobně prošli. Jejich
technologie se nijak výrazně nevyvíjí, ani neabsorbuje žádné výrazné novinky.
Jednotlivé exempláře si jsou podobné jako vejce vejci. Možná to bude znít
poněkud troufale, ale pokud si e-mailoví červi chtějí svoji "pozici na trhu"
udržet, budou se muset inspirovat např. u síťových červů a začlenit do svého
repertoáru třeba využívání bezpečnostních děr.
Doufejme ale, že se tak nestane a my se v budoucnu budeme moci při užívání
elektronické pošty cítit relativně bezpečně...