5. díl Trojský kůň: schopný podvodník schopný všeho
Předposlední díl našeho virového miniseriálu věnujeme škodlivým kódům, které v praxi označujeme jako trojské koně, nebo trojany. Jak vás už určitě napadlo, toto pojmenování má kořeny v notoricky známém příběhu o trojské válce z řecké mytologie. Podle báje řečtí válečníci ukrytí v útrobách gigantického dřevěného koně lstí lehce dobyli město, které jim před tím roky vzdorovalo... V podobném duchu fungují i současní trojští koně ve světě informačních technologií. Nepokořují už nedobytné hradby hrdých měst, ale používají různých lstí k tomu, aby se dostaly za pomyslné hradby našich počítačů.
Co je to trojan?
Zařazení určitého škodlivého kódu jako trojana může být v praxi problém. Nezřídka se setkáváme s tím, že jeden zdroj hovoří o trojanu, ale jiný zdroj označuje stejný škodlivý kód jako backdoor (zadní vrátka). Zařazení do té "správné škatulky" je často o to obtížnější, že mnoho virových kódů kombinuje více funkcionalit, které spadají do navzájem zcela odlišných skupin.
Trojana nejčastěji definujeme jako program, který navenek deklaruje určitou legitimní činnost prospěšnou pro uživatele, ale ve skutečnosti obsahuje jednu nebo více skrytých rutin, které mu škodí. Typickým příkladem trojana tak mohou být různé freewarové aplikace dostupné ke stažení na internetu, které obsahují spyware či adware, v nejhorším případě backdoor. Uživatel si stáhne třeba program, který mu vypracuje kondiciogram, ale vedle toho posbírá v systému veškerá hesla a odešle je e-mailem svému autorovi. Většina trojanů také není vybavena rutinami, které by umožňovaly jejich samovolné šíření, jak to známe např. u e-mailových červů nebo souborových virů.
Jak se může projevovat?
Škodlivé kódy označované v praxi jako trojští koně se mohou chovat jako:
Dropper (tzv. spouštěč) Škodlivý kód, jehož hlavním (a často jediným) úkolem je z internetu stáhnout a nainstalovat na infikovaný počítač jeden nebo více dalších škodlivých aplikací. Droppery se dnes používají zcela běžně. Jsou menší, takže se snadněji přenášejí a díky svému maskování vzbuzují menší podezření. A dnešní počítače jsou už beztak většinou připojeny k internetu, takže není problém si cokoliv dalšího stáhnout... Backdoor/Bot Velmi častý způsob projevu trojanů, které v tomto případě slouží jako maskování pro instalaci škodlivých kódů zadních vrátek. Infikovaný počítač se tak dostává zcela pod kontrolu vzdáleného útočníka, který si s ním může dělat vše, co uzná za vhodné (viz minulé pokračování tohoto seriálu). Tyto trojští koně mohou být postaveny na bázi osvědčených backdoorů, jako je SubSeven, NetBus apod.
Spyware Trojan v tomto případě propašuje na cílovou stanici aplikaci, která jednorázově posbírá uživatelská hesla (nebo jiné zajímavé informace) a odešle je útočníkovi. Cílem se mohou stát jakákoliv hesla, která se v systému běžně vyskytují, nebo může být útok zaměřen na hesla do konkrétního systému (např. on-line banking apod.). Stejně tak bývá různý také způsob, jakým se k útočníkovi dopravují nalezená data e-mail, FTP přenos atp.
Keylogger Pracuje podobně jako špionážní aplikace zmíněné v předešlém bodě. Rozdíl je v tom, že jeho činnost je spojitá a probíhá neustále v širším časovém horizontu. Dnešní typické keyloggery se do operačního systému instalují formou DLL komponenty, která na pozadí monitoruje stisknuté klávesy. Monitoring může být plošný nebo omezený pouze na konkrétní spouštěcí akce (např. spuštění určitého programu). V poslední době jsou keyloggery stále častěji do operačního systému ukrývány pomocí rootkitů na úrovni kernelu.
Žertovné prográmky Většinou (ale nemusí tomu tak být) jde o neškodné aplikace, sloužící pro pobavení (nebo pozlobení) např. kolegů v zaměstnání obracení obrazu monitoru vzhůru nohama, zaplnění pracovní plochy neslušnými obrázky apod. Záminka, pod kterou je takový trojan podstrkován, závisí na fantazii a tvůrčím potenciálu člověka, který jej šíří.
Některé používané triky
Fantazie pisatelů škodlivých kódů je opravdu bezbřehá. Přesvědčujeme se o tom dnes a denně. Triky, které používají k tomu, aby uživatele přesvědčili ke spuštění trojského koně, jsou nadmíru rozmanité.
Trojané v P2P sítích Široce používaný způsob "maskování" škodlivého obsahu se uplatňuje zejména v P2P sítích. Např. e-mailoví červi často na disku infikovaného počítače cíleně vyhledávají adresáře, u kterých lze předpokládat, že jsou sdíleny (ať už do P2P síti nebo v rámci lokální sítě). Většinou jdou po názvech, ve kterých se objevují fráze jako "shar" (od anglického sdílet), "upload" apod. Pokud červ adresář s takovým názvem najde, umístí do něj množství svých kopií s různými atraktivními názvy vytvořenými podle zásad sociálního inženýrství (např. XXX hardcore images.exe, WinXP_allver_crack.exe, Serials.txt.exe, Porno pics archive.zip apod.). Předpokládá se, že tyto soubory zlákají některého ze vzdálených uživatelů natolik, že si nějaký stáhnou a spustí. Z praxe víme, že tato metoda funguje poměrně dobře. Pokud tedy používáte P2P sítě, nezapomeňte svoje úlovky vždy zkontrolovat antivirovým programem.
Odkazy ve spamu Zajímavý způsob, jak někoho nachytat, se už několikrát v minulosti vyskytnul ve spamu. Místo odkazu, který se v nevyžádaných reklamních sděleních používá k odhlášení uživatele z databáze pro zasílání (remove me... apod.) se zde totiž může vyskytovat odkaz na infikovanou webovou stránku. A pokud nemáte řádně záplatovaný internetový prohlížeč či zabezpečený počítač, můžete se dočkat nejednoho nemilého překvapení.
Antivirové trojany Snad nejzákeřnější způsob, jak uživateli vnutit trojského koně, je jeho maskování za antivirovou aplikaci. S touto metodou se nejčastěji setkáváme u e-mailových červů. V textu infikované zprávy je uživateli zpravidla velice sugestivně popsáno, před čím ho přiložená antivirová utilita bude chránit a jaká hrůza ho může potkat, pokud si ji nenainstaluje. Vzbuzení strachu je nadmíru účinná metoda... WMF trojané Na přelomu roku 2005 a 2006 se objevila bezpečnostní chyba operačních systémů Windows, která může být zneužita mimo jiné i trojany k šíření prostřednictvím obrázků. Konkrétně se jedná o chybu ve zpracování obrázků (Vulnerability in Graphics Rendering Engine) ve formátu WMF (Windows Metafile), které mohou obsahovat vložený škodlivý kód. Samotné spuštění tohoto kódu je možné díky přetečení zásobníku (buffer overflow). Chyba je řešena záplatou vydanou v letošním prvním Microsoft Security Bulletinu MS06-001. Jejím zneužitím může být na počítač s nezáplatovaným operačním systémem propašován škodlivý kód jednoduše prostřednictvím webové stránky s "infikovaným" WMF obrázkem nebo pomocí červa (ať už e-mailového nebo IM) s takovým obrázkem v příloze. V nebezpečí nejsou jen uživatelé Internet Exploreru (jak je v praxi obvyklé), ale také Firefoxu, Opery a dalších alternativních internetových prohlížečů. Uživatelé si musí dávat pozor, jaké WMF obrázky otevírají (v některých prohlížečích je při otevírání WMF obrázku zobrazeno dialogové okno, které je třeba potvrdit, čímž dojde k infikovaní počítače).
V rámci prevence se zvláště ve firemních sítích doporučuje blokovat obsah s WMF soubory přímo na úrovni HTTP a SMTP vstupních bran, které to umožňují. Situace je o to komplikovanější, že pouhá filtrace souborů s WMF příponou není zcela spolehlivým řešením. Nesmíme zapomenout, že příponu souboru lze změnit a tedy i obrázky vypadající jako BMP, GIF, PNG, JPG, JPEG, JPE, JFIF, DIB, RLE, EMF, TIF, TIFF a ICO, které jsou ve Windows zpracovávány podobným způsobem, mohou být ve skutečnosti ve formátu WMF a být nositeli škodlivého kódu. Na nezáplatovaných systémech je nebezpečné nejen jejich otevírání v programu MSPAINT (Paintbrush, Kreslení), ale i pouhé indexování programem Google Desktop Search. "Infikované" WMF obrázky se dosud objevily na desítkách webových stránek. I když tyto stránky byly takřka vždy poskytovatelem záhy odstraněny, není vyloučeno, že se mohou vyskytnout nové na jiných místech. Zaznamenány byly také případy výskytu v elektronické poště a systémech IM (ICQ apod.).
DRM trojané Další v poslední době čím dál běžnější metodou šíření trojanů je zneužívání technologie DRM (Digital Rights Management), která jinak slouží k ochraně autorských práv. Fungovat to může tak, že si stáhnete z internetu např. soubor WMV (Windows Media Video). Pokud si ho následně spustíte ve Windows Media Playeru, vyžaduje stažení DRM licence. Vtip je v tom, že není stažena licence, ale nežádoucí škodlivý kód (spyware, dialer, backdoor apod.), který infikuje váš počítač. Podobné poněkud rozporuplné zákeřné praktiky používají v praxi některé zájmové skupiny prosazující autorská práva na internetu. Do P2P sítí např. podstrkují WMA soubory s falešným požadavkem na stažení DRM licence. Jak jste jistě uhodli, ve skutečnosti se stahuje něco jiného, co uživatele P2P sítě jistě nepotěší. Bezpečnostní odborníci tak právem již nějaký čas poukazují na to, že technologie DRM se stává další bezpečnostní dírou do systému, což uživatele od jejího používání spíše odrazuje. Příkladem podobné kauzy z poslední doby je také tzv. Sony DRM rootkit. Vydavatelství Sony BMG jednoduše ukrylo do některých hudebních CD nahrávek ze své produkce trojského koně, který měl za úkol se starat o to, aby si uživatelé tato CD nepřepalovali. K ukrytí tohoto "ochranného" softwaru byl ale využit rootkit, který byl stejným způsobem záhy zneužit také backdoorem Breplibot. Zmíněný rootkit skrývá před uživatelem všechny soubory, které jsou uvozeny textovým řetězcem "$sys". Tato kauza vzbudila mezi širokou veřejností poměrně široký negativní ohlas a společnost Sony BMG byla přinucena "infikovaná" CD nejenom vyměnit, ale také přistoupila na jisté formy odškodnění postižených zákazníků. Doufejme, že tento případ bude pro hudební vydavatele dostatečným mementem a budou příště k těmto svým aktivitám přistupovat s větším rozmyslem a s ohledem na možné bezpečnostní souvislosti. Prosazování autorských práv je jistě chvályhodná činnost, ale určitě by se tak nemělo činit na úkor někoho jiného. Podle některých odborníků by totiž teoreticky mohla nastat i situace, kdy kombinace dvou různých rootkitů může na jednom počítači způsobit zcela nepředvídatelnou reakci, přinejhorším kolizi, při které bude zasažený počítač zcela nepoužitelný.
Jak se zbavit trojana?
Trojští koně se do operačního systému instalují podobným způsobem jako ostatní druhy škodlivých kódů. Tzn. nakopírují se na pevný disk a zajišťují si svoje spouštění při startu systému modifikací registru, případně se navazují na vybrané aplikace. S většinou běžně se vyskytujících trojanů si dokáže poradit antivirový program, na některé stačí i nástroje pro eliminaci spywaru.
Jak to půjde dál?
Vzhledem k tomu, že techniky používané trojany jsou staré jako lidstvo samo a stále fungují, dá se očekávat, že ani trojané z virové scény jen tak nevymizí. Mějte se tedy i nadále na pozoru a důvěřujte pouze tomu, co si vaši důvěru zaslouží podle hesla "důvěřuj, ale prověřuj".
Tento seriál vzniká ve spolupráci s firmou AEC Data Security Company.6 0160/OK o
HTTP (Hyper Text Transfer Protocol) komunikační protokol používaný pro přenos např. obsahu webových stránek.
SMTP (Simple Mail Transfer Protocol) komunikační protokol sloužící k přenosu zpráv elektronické pošty.
DLL (Dynamic Link Library) jedna z modulárních komponent Windows sloužící k realizaci různých služeb systému.
P2P síť (Peer-to-peer síť) síť sloužící ke vzájemné výměně dat mezi připojenými uživateli.
IM (Instant-messaging) řešení pro komunikaci mezi uživateli prostřednictvím krátkých textových zpráv, zasílaných po internetu. Typickým příkladem je program ICQ.
PŘEDPLATNÉ
ČLÁNKY DO MAILU