Kaspersky Security Bulletin 2008vs.kaspersky.pl/download/analizy/ksb_2008_ewolucja_malware.pdfNikogo...

Kaspersky Security Bulletin 2008

Ewolucja szkodliwego oprogramowania

Aleksander Gostew

Oleg Zajcew

Siergiej Golowanow

Witalij Kamliuk

2

Kaspersky Security Bulletin 2008 Ewolucja szkodliwego oprogramowania

Spis treści

2008 rok w skrócie .................................................................................................................. 3

Trendy 2008 roku .................................................................................................................... 5

Rootkity ................................................................................................................................... 6 Rustock.c: trendy 6 Bootkity 7 Inne trendy związane z rootkitami w 2008 roku 7

Szkodliwe programy atakujące gry ....................................................................................... 9 Główne cechy szkodliwych programów atakujących gry 10 Rozprzestrzenianie szkodliwych programów atakujących gry 12 Przesyłanie skradzionych danych 13 Prognoza 14

Ataki na portale społecznościowe ...................................................................................... 15 Dlaczego atakowane są portale społecznościowe? 15 Szkodliwe programy 16 Ataki na portale społecznościowe w 2008 roku 18

Szkodliwe programy: aktywność sieciowa ........................................................................ 19 Porty wykorzystywane przez szkodliwe programy. Połączenia sieciowe 20 Zapytania sieciowe 21 Domeny drugiego poziomu atakowane przez szkodliwe programy 22 Usługi DDNS oraz cyberprzestępcy 23 Wnioski 24

Prognozy na 2009 rok ........................................................................................................... 25 Globalne epidemie 26 Trojany atakujące gry: spadek aktywności 26 Malware 2.5 27 Phishing/Scam 28 Migracja na inne platformy/systemy operacyjne 29

3


2008 rok w skrócie

W 2008 roku zakończyła się epoka epidemii. W okresie tym, trwającym od 2000 r. i cha-

rakteryzującym się dużą liczbą robaków (które początkowo rozprzestrzeniały się za po-

średnictwem poczty elektronicznej, a następnie ataków sieciowych), największe nasilenie

epidemii miało miejsce w latach 2003-2005.

Lata 2007-2008 to okres, który cechował się szybkim wzrostem liczby programów trojań-

skich tworzonych w celu kradzieży informacji, głównie dotyczących kont bankowych oraz

gier online. W okresie tym w przemyśle tworzenia szkodliwego oprogramowania widocz-

ny jest wyraźny „podział pracy”: różne grupy osób uczestniczą w różnych etapach rozwo-

ju produktu związanych z tworzeniem, dystrybucją i wykorzystywaniem szkodliwych pro-

gramów. Biznes cyberprzestępczy przekształcił się w sieć usług, jakie oferują sobie wza-

jemnie cyberprzestępcy.

Wielu zapamięta rok 2007 jako ten, w którym nastąpił upadek tak zwanego niekomercyj-

nego szkodliwego oprogramowania. Z kolei w 2008 roku wymarły „ekskluzywne” szkodli-

we programy, tzn. takie, które były tworzone i wykorzystywane przez jedną lub dwie oso-

by. Większość trojanów i wirusów wykrytych w 2008 roku zostało stworzonych wyłącznie

na sprzedaż. W tym samym czasie twórcy szkodliwego oprogramowania oferowali rów-

nież usługi wsparcia technicznego. Doradzali między innymi, jak obejść ochronę antywi-

rusową, gdyby produkty antywirusowe zaczęły wykrywać określone pliki.

Światowym liderem w dziedzinie rozwoju szkodliwych programów zostały Chiny. Chińscy

hakerzy nie ograniczali się do tworzenia własnych programów trojańskich, ale zaczęli

również lokalizować obce (głównie rosyjskie) szkodliwe programy. Stworzyli między in-

nymi chińskie wersje popularnych exploitów, takich jak IcePack, FirePack czy MPack,

oraz zlokalizowali kilka wariantów trojanów Pinch i Zeus. Ponadto, chińscy cyberprze-

stępcy nadal aktywnie poszukiwali luk w zabezpieczeniach popularnego oprogramowa-

nia, w szczególności Microsoft Office oraz Microsoft Windows. Ich działania okazały się

stosunkowo skuteczne a największym osiągnięciem okazało się zidentyfikowanie luki

w zabezpieczeniach NetAPI Windows. W rezultacie, koniec 2008 roku charakteryzował

się dużą liczbą ataków wykorzystujących lukę w zabezpieczeniach MS08-067.

Między kwietniem a październikiem 2008 roku przeprowadzono dwa masowe ataki hake-

rów na strony internetowe, które nie miały sobie równych w historii Internetu. W pierw-

szym z nich (kwiecień-czerwiec 2008) zaatakowane zostały ponad dwa miliony zasobów

internetowych na całym świecie. Hakerzy wykorzystali wstrzykiwanie SQL w celu osa-

dzania poleceń w kodzie zaatakowanej strony, które przekierowywało użytkowników na

strony cyberprzestępców. Te z kolei infekowały komputery użytkowników szkodliwym

oprogramowaniem.

Mimo to w 2008 roku trendy ustanawiali głównie rosyjskojęzyczni twórcy wirusów. Nadal

agresywnie wykorzystywali model Malware 2.0, który charakteryzuje się kilkoma główny-

mi cechami: po pierwsze, różne szkodliwe moduły wykonują różne funkcje; po drugie,

w celu zapewnienia komunikacji pomiędzy modułami wykorzystywane są standardowe

4


środki; po trzecie, kanały transmisji danych oraz centra kontroli są zabezpieczone przed

penetracją.

Najlepszym przykładem ilustrującym to zjawisko były dwa niebezpieczne rootkity wykryte

w 2008 roku - Rustock.c (zaklasyfikowany przez firmę Kaspersky Lab jako

Virus.Win32.Rustock.A) oraz Sinowal (Bootkit). Rootkity te zawierały przełomowe techno-

logie, które wcześniej nie były znane w branży antywirusowej. Pod względem rozmiaru

i złożoności struktura tych dwóch szkodliwych programów przewyższała tę stworzoną dla

robaków Zhelatin i Warezov.

Zgodnie z przewidywaniami, w 2008 roku powróciły wirusy plikowe. Pierwotna szkodliwa

funkcjonalność, infekowanie plików, została rozszerzona o kilka nowych funkcji: wirusy

potrafią teraz kraść dane i, co ważniejsze, mogą rozprzestrzeniać się za pośrednictwem

nośników wymiennych, dzięki czemu w krótkim czasie mogą wywołać masowe infekcje.

Prawie wszystkie z dzisiejszych wirusów to wirusy polimorficzne, co stwarza dodatkowe

problemy producentom rozwiązań antywirusowych, gdyż utrudnia tworzenie procedur wy-

krywania i leczenia w akceptowalnym przedziale czasowym. Okazało się, że robaki znaj-

dujące się na dyskach USB flash potrafią obejść tradycyjną ochronę sieci korporacyjnych

(np. rozwiązanie antywirusowe dla serwerów pocztowych, zapora sieciowa i rozwiązanie

antywirusowe dla serwerów plików). Po przeniknięciu lokalnych sieci, na skutek obejścia

ochrony, robaki te mogą szybko rozprzestrzenić się w całej sieci, kopiując się do wszyst-

kich dostępnych zasobów sieciowych.

Ciągły wzrost popularności portali społecznościowych oraz ich aktywne wykorzystywanie

w państwach z dużą liczbą nowych użytkowników Internetu (Azja Południowo Wschodnia,

Indie, Chiny, Ameryka Południowa, Turcja, Afryka Północna i były Związek Socjalistycz-

nych Republik Radzieckich) spowodowały, że ataki przeprowadzane na i za pośrednic-

twem takich portali nie stanowiły już odosobnionych przypadków, a raczej zjawisko będą-

ce na porządku dziennym. Według szacunków ekspertów, współczynnik skuteczności

rozprzestrzeniania szkodliwego kodu za pośrednictwem portali społecznościowych wyno-

si w przybliżeniu 10% i jest znacznie wyższy niż współczynnik skuteczności rozprzestrze-

niania szkodliwego oprogramowania za pośrednictwem poczty elektronicznej (który wy-

nosi 1%).

W 2008 roku zaprzestano rozprzestrzeniania wielu wariantów robaka Zhelatin (znanego

również jako Storm Worm). Prawie dwuletnia historia tego robaka (jego pierwsze warianty

pojawiły się w styczniu 2007 r.) zrodziła wiele pytań. Niemalże mityczny „botnet robaka

Storm”, który według niektórych szacunków składał się z ponad 2 milionów komputerów

(według innych szacunków z 50 milionów), nigdy w pełni nie zrealizował swojego poten-

cjału i przewidywane gigantyczne wysyłki spamowe, jak również ataki DDoS nigdy nie

miały miejsca.

Jednym z powodów może być zamknięcie RBN (Russian Business Network), firmy ho-

stingowej wykorzystywanej przez cyberprzestępców. Po tym, jak rozgorzały dyskusje

o tym, jak sieć ta może być zamieszana w niemal każdą aktywność przestępczą

w Internecie, nieznani właściciele RBN przenieśli swój biznes na strony hostingowe na

5


całym świecie, od Singapuru po Ukrainę, i zaczęli prowadzić swoją działalność w mniej

jawny sposób.

Jesienią zeszłego roku w cyberprzestępczość wymierzono kilka poważnych ciosów.

Dzięki skoordynowanym działaniom dostawców usług internetowych, rządów i firm anty-

wirusowych zamknięto Atrivo/Intercage, EstDomains oraz McColo. Zamknięcie McColo

spowodowało gwałtowny spadek ilości spamu w Internecie – o ponad 50%. W rezultacie

przestało działać wiele botnetów, które wcześniej były zarządzane za pośrednictwem tych

zasobów. Chociaż w ciągu kilku tygodni ilość spamu zaczęła wracać do poprzedniego

poziomu, incydent ten stanowi jedno z najważniejszych zwycięstw ostatnich lat.

Trendy 2008 roku

Zarówno branża antywirusowa, jak i bezpieczeństwa IT, padły ofiarą najważniejszych in-

cydentów 2008 roku, które można podzielić na cztery główne grupy:

Rootkity

Portale społecznościowe

Gry online

Botnety

Nikogo nie zdziwiło, że obszary te znalazły się w centrum uwagi. Incydenty, które miały

miejsce, pokazały, że wykorzystywane technologie i metody nadal będą ewoluować i sta-

ną się w przyszłości bardziej wyrafinowane.

Rozprzestrzenianie rootkitów stanowiło poważniejszy problem niż w poprzednim roku.

Firma Kaspersky Lab opublikowała trzy duże badania dotyczące tego zagrożenia:

„Rustock – mit czy rzeczywistość?”, „Ewolucja rootkitów” oraz „Bootkit: wyzwanie 2008

roku”. Wszystkie te publikacje wyjaśniają, w jaki sposób rootkity mogą być wykorzysty-

wane do przeprowadzania wyrafinowanych ataków. Pokazują również, że cała branża an-

tywirusowa musi połączyć wysiłki, aby znaleźć sposób na wykrywanie i leczenie aktyw-

nych rootkitów. Jak dotąd ciągła ewolucja systemu Windows nie przyniosła żadnych efek-

tów. Rootkity nadal będą istniały i będą stawały się coraz bardziej wyrafinowane.

Tak jak przewidywaliśmy, w zeszłym roku portale społecznościowe stanowiły popularny

cel ataków. Portale te przyciągają coraz więcej użytkowników i wpływają na rozwój Inter-

netu. Oferują ogromne możliwości w zakresie promowania nowych serwisów jak również

reklamy. W krajach rozwiniętych prawie wszyscy użytkownicy Internetu są zarejestrowani

na portalach społecznościowych. Gwałtownie wzrasta również popularność takich serwi-

sów w Azji Południowo Wschodniej. Kolejnym szybko rosnącym segmentem są gry onli-

ne. Gry online nie stanowią części Internetu, są jednak wykorzystywane jako sposób ko-

munikacji i stanowią ważny element współczesnego społeczeństwa. Gry online są bardzo

popularne, zwłaszcza w Korei Południowej, Chinach i Azji Południowo-Wschodniej, przez

co stanowią atrakcyjny cel dla twórców wirusów.

http://viruslist.pl/analysis.html?newsid=498




6


Trojany atakujące gry wyprzedziły trojany, których celem są użytkownicy systemów płat-

ności online i systemów bankowych. Obecnie programy te często posiadają zdolność in-

fekowania plików i potrafią rozprzestrzeniać się za pośrednictwem nośników wymiennych.

Oprócz tego wykorzystywane są do tworzenia botnetów. Jednym z głównym celów

wspomnianych chińskich ataków hakerskich było rozprzestrzenianie trojanów atakujących

gry.

„Botnet” – słowo, które jeszcze kilka lat temu używane było tylko przez personel firm an-

tywirusowych – w 2008 roku stało się powszechnie stosowanym terminem. Botnety stały

się głównym źródłem spamu, ataków DDoS, zaczęły być również wykorzystywane do

rozprzestrzeniania nowych szkodliwych programów.

Oprócz artykułów poświęconych konkretnym incydentom w 2008 roku opublikowaliśmy

tekst zatytułowany „Biznes botnetowy”, który stanowi poradnik dla początkujących doty-

czący botnetów. Jak już wspominaliśmy, nadal lekceważy się rzeczywisty zasięg proble-

mu botnetów oraz ich wpływ na przemysł tworzenia wirusów. Bezpieczeństwo Internetu

jako całości zależy od rozwiązania tego problemu – w tym celu niezbędna jest współpra-

ca branży antywirusowej, podmiotów regulujących Internet jak również organów rządo-

wych i ścigania. Już teraz podejmowane są działania w tym kierunku. W 2008 roku odby-

ło się kilka konferencji poświęconych temu zagadnieniu. Częścią tego procesu było rów-

nież zamknięcie Atrivo oraz McColo. Jednak kwestia ta nie została jeszcze rozwiązana

i w 2009 roku botnety nadal będą głównym problemem.

Rootkity

W 2008 roku miały miejsce dwa główne zdarzenia związane z rootkitami. Pierwszym z

nich była analiza niesławnego rootkita Rustock.c. O rootkicie tym głośno było nie tyle ze

względu na wykorzystane w nim technologie, co pogłoski na temat niemożności zidentyfi-

kowania go. Drugim wydarzeniem było pojawienie się na wolności ogromnej liczby wa-

riantów bootkita (Sinowal).

Kaspersky Lab klasyfikuje rootkita Rustock.c jako Virus.Win32.Rustock.a ze względu na

jego zdolność infekowania plików.

Rustock.c: trendy

1. Infekowanie plików jako metoda autostartu

Metoda infekowania plików wykorzystana przez rootkita Rustock.c przypomina metodę

stosowaną przez standardowe wirusy plikowe. Jedyna różnica polega na tym, że

Rustock.c infekuje sterownik systemowy, co daje mu kilka przewag pod względem ma-

skowania swojej aktywności. Rootkit nie wykorzystuje osobnego sterownika, dlatego nie

ma potrzeby ukrywania go ani na dysku twardym, ani w pamięci. Nie trzeba również

ukrywać skojarzonego z nim klucza rejestru. Oprócz ukrycia obecności rootkita w syste-

mie zainfekowanie sterownika systemowego utrudnia wyczyszczenie zainfekowanej ma-

szyny. Jeżeli komputer jest zainfekowany standardowym rootkitem, wystarczy tylko usu-

nąć komponenty rootkita z dysku twardego. Jednak w tym przypadku do przywrócenia

http://www.viruslist.pl/analysis.html?newsid=497

7


zainfekowanego sterownika niezbędna jest kopia zapasowa lub wykorzystane rozwiąza-

nie antywirusowe musi zawierać procedurę leczenia.

2. Personalizacja rootkita oraz połączenie z komponentami sprzętowymi

Jedną z istotnych cech rootkita Rustock.c jest to, że dropper rootkita przechwytuje infor-

macje systemowe dotyczące zaatakowanych maszyn i wysyła je do serwera internetowe-

go, gdzie na podstawie otrzymanych danych tworzone jest ciało rootkita. Zaszyfrowane

ciało rootkita jest następnie wysyłane do droppera. Połączenie z komponentami sprzęto-

wymi, wraz z szyfrowaniem ciała rootkita oraz technikami zapobiegającymi emulacji zin-

tegrowanymi w rootkicie, utrudniają zarówno automatyczne wykrywanie jak i analizę.

Techniki zaimplementowane w rootkicie Rustock.c były dalej rozwijane. W grudniu 2008

roku wykryto występującą na wolności próbkę tego rootkita (obecnie firma Kaspersky Lab

klasyfikuje ją jako Trojan.Win32.Pakes.may), która wykorzystuje tę samą technikę.

Rootkit ten infekuje sterownik systemowy ndis.sys w czasie pobierania zaszyfrowanego

ciała rootkita z panda-server.ru. Kod, który infekuje ndis.sys, jest zaszyfrowany. Podczas

pobierania uruchamiany jest specjalny kod, który deszyfruje sterownik i przekazuje mu

kontrolę. Wspomniana próbka implementuje wszystkie główne technologie wykorzystane

w rootkicie Rustock.c: zaszyfrowane ciało rootkita jest pobierane ze strony cyberprze-

stępców, w celu ochrony rootkita przed analizą wykorzystywana jest kryptografia oraz

techniki zapobiegające debugowaniu. Rootkit ten działa również w sposób podobny do

Rustocka; wysyła spam poprzez wstrzykiwanie do procesów systemowych kodu, który

pobiera szablony i parametry masowych wysyłek. Kod ten przeprowadza również maso-

we wysyłki.

Bootkity

Próbki bootkita (proof of concept lub wersje demonstracyjne), które skutecznie implemen-

towały wykorzystane technologie, pojawiły się w latach 2005-2006, po publikacji materia-

łów znanych jako eEye Bootroot. Występujące na wolności próbki rootkitów były wykry-

wane w 2007 roku, a ich największa liczba pojawiła się w 2008 roku.

Najsławniejszym bootkitem jest Trojan-Spy.Win32.Sinowal. Bootkit ten wykorzystuje kon-

cepcję podobną do tej wykorzystywanej przez wirusy sektora rozruchowego z ery DOS-a.

Bootkit infekuje sektor rozruchowy lub sektor MBR dysku systemowego, co pozwala mu

przejąć kontrolę, zanim zostanie załadowane jądro systemu operacyjnego i uruchomiony

program antywirusowy. Po przejęciu kontroli bootkit lokalizuje się w przestrzeni adreso-

wej jądra i maskuje swoje sektory na dysku. Wykorzystywane są do tego klasyczne me-

tody, zwykle filtrowanie pakietów IRP. Dropper bootkita otwiera dysk w trybie odczy-

tu/zapisu sektora, co pozwala na wykrywanie takich operacji przy użyciu emulacji, syste-

mu oceny zagrożeń lub systemu HIPS/PDM, a następnie blokowanie droppera.

Inne trendy związane z rootkitami w 2008 roku

W 2008 roku rozwijane były następujące technologie związane z rootkitami:

8


1. Technologie tworzone w celu zwalczania programów i narzędzi antywirusowych.

W 2008 roku te technologie autoochrony nieustannie zmieniały się. Do najpopularniej-

szych należały:

- Blokowanie lub uszkadzanie plików antywirusowych. Pliki są identyfikowane poprzez

wykorzystywanie maski nazwy pliku lub sygnatury. Metoda blokowania przy użyciu sy-

gnatury jest bardziej niebezpieczna ze względu na swój uniwersalny charakter.

- Instalacja rootkita poprzez zamianę sterowników systemowych, np. beep.sys. W tym

przypadku, sterownik nie musi być rejestrowany w rejestrze systemowym; podczas prze-

glądania dzienników zdarzeń nie będzie widoczny żaden dodatkowy (niesankcjonowany)

sterownik.

- Wykorzystywanie nowych metod autoochrony i maskowania. Oprócz standardowych

metod przechwytywania funkcji KiST, łączenia kodu maszynowego funkcji jądra czy fil-

trowania IRP cyberprzestępcy zaczęli łączyć kod sterownika IRP oraz wykorzystywać

standardową procedurę systemową CallBack, aby pracować z rejestrem. Ponadto aktyw-

nie wykorzystywane są metody zwalczania rozwiązań do ochrony przed rootkitami:

- blokowanie dostępu do plików jądra, uniemożliwiające analizowanie kodu maszy-

nowego takich plików, co jest konieczne w celu przywrócenia jądra w pamięci i szu-

kania przechwyconych funkcji;

- zastępowanie kontekstu plików jądra i plików należących do rootkita; z reguły do-

konuje się tego poprzez przechwytywanie otwartych funkcji plików i otwieranie ko-

lejnego pliku systemowego EXE zamiast otwierania jądra;

- uniemożliwianie otwierania dysku w trybie odczytu/zapisu sektora; zwalcza to roz-

wiązania antywirusowe i antyrootkitowe wykorzystujące własne algorytmy parsowa-

nia systemu plików;

- przechwytywanie funkcji NTSaveKey i NTSaveKeyEx w celu uniemożliwienia two-

rzenia i parsowania zrzutu rejestru systemowego (metoda ta jest wykorzystywana

w najnowszej generacji rootkita TDSS);

- śledzenie punktów przechwytywania i ich przywracanie (metoda ta była wykorzy-

stywana od czasu pojawienia się rootkita A311 Death, obecnie nadal jest aktywnie

wykorzystywana, na przykład w najnowszych wariantach rootkita RDSS).

2. Nowe technologie maskowania obecności obiektów na dysku. Opierają się one na mo-

dyfikowaniu obiektów tablicy MFT (Master File Table) podczas odczytu lub bezpośrednio

na dysku. Technologie te nie są jeszcze powszechnie wykorzystywane, jednak prawdo-

podobnie nadal będą ewoluowały. Metoda ta może wyglądać następująco: rootkit oblicza

lokalizację fizyczną odpowiedniego rekordu MFT i podczas odczytu zamienia rekord MFT

pliku chronionego na – przykładowo – rekord obiektu systemowego. Umożliwia to zama-

skowanie zawartości plików bez konieczności wykorzystywania klasycznych punktów

przechwytywania. Innym przykładem jest modyfikowanie indeksów woluminu NTFS (zi-

dentyfikowano to we wrześniu 2008 roku w komponencie rootkita trojana Trojan-

GameThief.Win32.OnLineGames.snjl).

9


Szkodliwe programy atakujące gry

Chociaż w przypadku większości gier online, sprzedawanie wirtualnych przedmiotów za

prawdziwe pieniądze jest zabronione, liczba osób, które chcą je kupić, wzrasta. W więk-

szości przypadków nabywców nie interesuje pochodzenie takich przedmiotów: nie ob-

chodzi ich, czy przedmiot został zdobyty legalnie czy też skradziony właścicielowi przy

użyciu szkodliwego kodu. Taka sytuacja naturalnie zachęca twórców wirusów; prowadzi

również do wzrostu cen oraz kryminalizacji rynku wirtualnych przedmiotów.

W 2008 roku liczba szkodliwych programów stworzonych w celu kradzieży haseł do gier

online stale rosła: w roku tym zidentyfikowano 100 397 nowych trojanów atakujących gry

– aż trzykrotnie więcej niż w 2007 roku (32 374).

Liczba szkodliwych programów stworzonych

w celu kradzieży haseł do gier online

Spośród szkodliwych programów atakujących gry online, najpowszechniejsza była rodzi-

na Trojan-GameThief.Win32.OnLineGames. Celem szkodliwych programów z tej rodziny

jest kradzież haseł do kilku gier online jednocześnie: obecnie 65,4% wszystkich trojanów

atakujących gry należy do tej rodziny. Latem 2008 roku nastąpił spory wzrost aktywności

tych trojanów: w sierpniu firma Kaspersky Lab wykryła prawie 12 000 nowych programów

należących do rodziny Trojan-GameThief.Win32.OnLineGames – jeden nowy szkodliwy

program wykrywany był co cztery minuty.

Z kolei inna rodzina, Trojan-GameThief.Win32.WOW, która atakuje tylko grę World of

Warcraft, do listopada 2008 roku wykazywała aktywność na stałym poziomie. W listopa-

dzie hakerzy włamali się na około 10 000 stron, umieszczając na nich szkodliwy kod.

Najbardziej ucierpiały strony europejskie i amerykańskie, ponieważ w tych regionach

znajduje się największa liczba graczy World of Warcraft. Incydent ten został celowo za-

10


planowany na 13 listopada, czyli datę publikacji Wrath of the Lich King, drugiego rozsze-

rzenia World of Warcraft.

Liczba szkodliwych programów (według rodziny)

kradnących hasła do gier online w 2008 roku

Przeważającą większość szkodliwych programów tworzonych w celu kradzieży haseł do

gier online stanowią trojany atakujące gry, natomiast wirusy i robaki stanowią około 10%

takich szkodników. Jednak we wrześniu 2008 roku wzmożoną aktywność wykazały sa-

modzielnie rozprzestrzeniające się szkodliwe programy, jednocześnie gwałtownie wzrosła

liczba wariantów Worm.Win32.AutoRun.

Główne cechy szkodliwych programów atakujących gry

Szkodliwe programy atakujące gry online w 2008 roku charakteryzowały się następują-

cymi cechami:

Jeden szkodliwy program może zawierać moduły kradnące hasła do kilku gier on-line;

Szkodliwe programy atakujące gry mogą zawierać backdoora umożliwiającego stworzenie sieci z zainfekowanych maszyn (botnet);

W szkodliwych programach atakujących gry powszechnie wykorzystuje się szy-frowanie i programy pakujące w celu uniemożliwienia wykrycia lub analizy pro-gramu;

Szkodliwe programy atakujące gry aktywnie przeciwdziałają wykryciu ich przez rozwiązania antywirusowe;

11


Programy te wykorzystują technologie rootkit.

W 2008 roku najbardziej zaawansowanym technicznie szkodliwym programem atakują-

cym gry był Trojan-GameThief.Win32.Magania. Rodzina ta była odpowiedzialna za naj-

ważniejsze incydenty związane ze szkodliwymi programami atakującymi gry. W czerwcu

2008 roku trojan ten został zmodyfikowany – o ile wcześniej wykorzystywany był do ata-

kowania użytkowników gry Gamania (http://en.wikipedia.org/wiki/Gamania), w 2008 roku

potrafił kraść hasła do prawie wszystkich znanych gier online, łącznie z:

World of Warcraft

Lineage

Lineage 2

FunTown

ZhengTu

Perfect World

Dekaron Siwan Mojie

HuangYi Online

RuneScape

Rexue Jianghu

ROHAN Online

Seal Online

Lord of the Rings

Maple Story

Reign of Revolution

Talesweaver

ZodiacOnline.

Trojan-GameThief.Win32.Magania skutecznie wykorzystywał wiele metod, które unie-

możliwiały wykrycie go i usunięcie z zainfekowanych komputerów.

http://en.wikipedia.org/wiki/Gamania

12


Technologie rootkit w trojanie Trojan-GameThief.Win32.Magania

Rozprzestrzenianie szkodliwych programów atakujących gry

W 2008 roku do rozprzestrzeniania szkodliwych programów atakujących gry powszechnie

wykorzystywane były poniższe metody:

Wykorzystywanie niezidentyfikowanych luk w zabezpieczeniach zasobów sieciowych w celu zainfekowania dużej liczby stron;

Wykorzystywanie nieznanych luk w zabezpieczeniach oprogramowania klienckiego;

Tworzenie uaktualnień dla szkodliwych programów w częstszych odstępach niż publi-kowanie uaktualnień dla oprogramowania antywirusowego;

Masowe wysyłki zawierające odsyłacze do zainfekowanych stron.

Jeżeli weźmiemy sto dowolnych nowych szkodliwych programów, prawdopodobnie każdy

z nich zdoła zainfekować średnio pięciuset użytkowników. Tak wysoki współczynnik in-

fekcji jest możliwy dzięki wykorzystaniu luk w zabezpieczeniach oprogramowania na za-

atakowanych maszynach. W 2007 roku kampanię przeciwko szkodliwym programom ata-

kującym gry prowadzili producenci rozwiązań antywirusowych, twórcy gier online oraz

administratorzy serwerów gier. W 2008 roku przyłączyli się do nich administratorzy za-

atakowanych stron internetowych oraz twórcy oprogramowania wykorzystywanego przez

oszustów w celu przemycenia szkodliwego oprogramowania na komputery użytkowni-

ków.

Jednym z ważniejszych incydentów, jakie miały miejsce w 2008 roku, było wykorzystanie

przez cyberprzestępców błędu w przetwarzaniu plików XML w przeglądarce Internet

Explorer w celu rozprzestrzeniania trojana Trojan-GameThief.Win32.Magania. Luka

MS08-78 była tak szeroko rozpowszechniona, że według Microsoftu zainfekowanych zo-

stało 0,2% wszystkich użytkowników Internetu.

13


Lokalizacja serwerów, na których umieszczono exploity w celu rozprzestrzeniania

trojanów atakujących gry

W rozprzestrzenianiu szkodliwego programu pomaga również jego szybka (i częsta) mo-

dyfikacja; program zostaje zmieniony, zanim do antywirusowych baz danych zostanie do-

dana sygnatura.

W 2008 roku najważniejszymi wydarzeniami związanymi ze szkodliwym oprogramowa-

niem atakującym gry były:

Kwiecień 2008 roku. Nieznani cyberprzestępcy włamali się na ponad 1 500 000 stron in-

ternetowych w celu zainfekowania odwiedzających je użytkowników trojanem

Trojan-GameThief.Win32.OnLineGames.

Lipiec 2008 rok. Przeprowadzono masową wysyłkę zawierającą odsyłacze do wirusa po-

limorficznego Virus.Win32.Alman.b. Wirus ten zawiera moduł kradnący hasła do gier on-

line. Wirus Alman.b został wykryty w kwietniu 2007 roku.

Sierpień 2008 roku. Na pokładzie międzynarodowej stacji kosmicznej wykryto trojana

Trojan-GameThief.Win32.Magania.

Grudzień 2008 rok. Luka MS08-78 w zabezpieczeniach przeglądarki Internet Explorer

została wykorzystana do rozprzestrzeniania szkodliwych programów z rodziny

Trojan-GameThief.Win32.Magania.

Przesyłanie skradzionych danych

Szkodliwe programy wysyłały skradzione hasła cyberprzestępcom za pośrednictwem

poczty elektronicznej do wyznaczonych serwerów, które następnie przesyłały informacje

cyberprzestępcom. Adresy IP serwerów zmieniają się regularnie, w niektórych przypad-

kach kilka razy dziennie.

Metoda ta gwarantuje cyberprzestępcom anonimowość, a częsta zmiana nazw domen

zapobiega umieszczeniu serwerów przekierowujących na czarnej liście.

14


Lokalizacja serwera przekierowującego, do którego wysyłane są e-maile zawierające skradzione hasła

Serwery dostarczające exploity, szkodliwe programy oraz e-maile zawierające skradzione

hasła zlokalizowane są głównie w Azji i na Dalekim Wschodzie.

Prognoza

Globalny kryzys gospodarczy prawdopodobnie nie będzie miał żadnego wpływu na bran-

żę gier i w 2009 roku światy gier online nadal będą rozwijane.

W 2009 roku przewidujemy następujące główne trendy:

Tworzenie infrastruktury wykorzystywanej do automatycznego generowania i roz-przestrzeniania szkodliwych programów kradnących hasła do gier online;

Wykorzystywanie nowych kanałów dostarczania szkodliwych programów do użyt-kowników (komunikatory internetowe, sieci P2P itd.);

Powszechne wykorzystywanie luk „zero-day” (dla których nie istnieją jeszcze po-prawki) w aplikacjach i systemach operacyjnych;

Powszechne wykorzystywanie luk „zero-day” w celu włamywania się na strony in-ternetowe i rozprzestrzeniania szkodliwych programów atakujących gry;

Powszechne wykorzystywanie wirusów plikowych oraz robaków sieciowych w celu kradzieży haseł do gier online;

Ataki stają się coraz bardziej rozpowszechnione i wyrafinowane. Działania użytkowników

gier online przyczyniają się do wzrostu rynku wirtualnych przedmiotów, który z kolei sta-

nowi źródło dochodów cyberprzestępców i twórców wirusów.

15


Ataki na portale społecznościowe

W ostatnich latach portale społecznościowe stały się jednym z najpopularniejszych zaso-

bów w Internecie. RelevantView oraz eVOC Insights przewidują, że w 2009 roku z portali

społecznościowych będzie korzystało około 80% wszystkich użytkowników Internetu –

ponad miliard osób.

Rosnąca popularność portali społecznościowych nie umknęła uwadze cyberprzestępców;

w 2008 roku serwisy te stanowiły wylęgarnię szkodliwych programów i spamu oraz nowe

źródło nielegalnych dochodów w Internecie.

Dlaczego atakowane są portale społecznościowe?

Z reguły użytkownicy portali społecznościowych ufają innym użytkownikom. To oznacza,

że bez namysłu akceptują wiadomości wysłane przez osobę znajdującą się na ich liście

przyjaciół; tym samym ułatwiają cyberprzestępcom wykorzystywanie takich wiadomości

do rozprzestrzeniania odsyłaczy do zainfekowanych stron. W celu skłonienia odbiorcy do

kliknięcia odsyłacza zawartego w wiadomości, a w rezultacie pobrania szkodliwego pro-

gramu, stosowne są różne metody.

W jaki sposób można rozprzestrzeniać szkodliwe oprogramowanie:

a) Użytkownik otrzymuje od zaufanego kontaktu odsyłacz, który prowadzi na przykład do

klipu wideo.

b) Użytkownik zostaje poinformowany, że w celu obejrzenia filmu musi zainstalować

określony program.

c) Po zainstalowaniu program ten kradnie konto użytkownika i wysyła szkodliwy program

do zaufanych kontaktów ofiary.

Opisana wyżej metoda przypomina sposób rozprzestrzeniania robaków pocztowych.

Jednak współczynnik skuteczności rozprzestrzenianego szkodliwego kodu za pośrednic-

twem portali społecznościowych wynosi około 10% i przewyższa skuteczność rozprze-

strzeniania szkodliwego oprogramowania za pośrednictwem poczty elektronicznej (która

wynosi 1%).

Skradzione nazwy i hasła należące do użytkowników portali społecznościowych mogą

być wykorzystywane do wysyłania odsyłaczy do zainfekowanych stron, spamu lub oszu-

kańczych wiadomości (np. prośby o pilny przelew pieniędzy). Wszystko to pozwala cy-

berprzestępcom zarobić pieniądze.

Obecnie w Internecie można znaleźć szeroki wachlarz ofert cyberprzestępców: od wła-

mywania się na konta znajdujące się na portalach społecznościowych po przeprowadza-

nie wysyłek na adresy z listy kontaktów lub zbieranie informacji o konkretnym użytkowni-

ku.

16


Oferta usług włamywania się na konta

Szkodliwe programy

Pod koniec 2008 roku kolekcja firmy Kaspersky Lab zawierała ponad 43 000 szkodliwych

plików związanych z portalami społecznościowymi.

Całkowita liczba szkodliwych programów atakujących

portale społecznościowe

Liczba programów atakujących portale społecznościowe otrzymanych przez laboratorium

antywirusowe firmy Kaspersky Lab pokazuje, że serwisy te stają się coraz popularniej-

szym celem dla cyberprzestępców.

17


Liczba szkodliwych programów atakujących popularne portale społecznościowe

W poniższej tabeli porównano współczynnik ryzyka poprzez zestawienie liczby szkodli-

wych programów, które atakowały użytkowników różnych portali społecznościowych

(http://en.wikipedia.org/wiki/List_of_social_networking_websites) w 2008 roku z liczbą za-

rejestrowanych na nich użytkowników.

Portal społecz-

nościowy

Liczba szko-

dliwych pro-

gramów wy-

krytych w 2008

roku

Liczba zareje-

strowanych

użytkowników

Prawdopodobień-

stwo zainfekowania

użytkownika

Lokalizacja geogra-

ficzna większości zare-

jestrowanych użyt-

kowników (źródło: le-

monde.fr)

Odnoklassniki 3 302 22 000 000 0,0150% Rosja

Orkut 5 984 67 000 000 0,0089% Ameryka Łacińska

Bebo 2 375 40 000 000 0,0059% Europa

Livejournal 846 18 000 000 0,0047% Rosja

Friendster 2 835 90 000 000 0,0032% Region Azji Pacyficznej

Myspace 7 487 253 000 000 0,0030% Ameryka Północna

Facebook 3 620 140 000 000 0,0026% Ameryka Północna

Cyworld 301 20 000 000 0,0015% Korea Południowa

Skyblog 28 2 200 000 0,0013% Francja

Współczynnik ryzyka dla najpopularniejszych portali społecznościowych

Zwycięzcą pod względem liczby szkodliwych programów na jednego użytkownika jest ro-

syjski portal “Odnoklassniki.ru”. Najbardziej globalny portal społecznościowy, МуSpace,

znajduje się dopiero na szóstym miejscu, mimo że prowadzi pod względem całkowitej

liczby szkodliwych programów rozesłanych wśród jego użytkowników w 2008 roku.

Wśród szkodliwych programów atakujących takie portale można wyróżnić szeroki wa-

chlarz zachowań: Trojan-Spy, Trojan-PSW, Worm, Trojan itd.

http://en.wikipedia.org/wiki/List_of_social_networking_websites

18


Ataki na portale społecznościowe w 2008 roku

Styczeń 2008. Na portalu społecznościowym Facebook umieszczono aplikację flashową

o nazwie Secret Crush zawierającą odsyłacz do programu AdWare. Zanim administrato-

rzy portalu usunęli tę aplikację, zdążyło ją pobrać ponad 1,5 miliona użytkowników.

Maj 2008. Firma Kaspersky Lab wykryła trojana o nazwie Trojan-

Mailfinder.Win32.Myspamce.a rozprzestrzeniającego spam za pośrednictwem poleceń na

portalu MySpace. W tym samym tygodniu na rosyjskim portalu “VKontakte” został znale-

ziony robak sieciowy o nazwie Net-Worm.Win32.Rovud.a. Robak ten rozsyłał zainfeko-

wany odsyłacz do zaufanych kontaktów zaatakowanych użytkowników. Kilka dni później

użytkownicy portalu “Odnoklassniki.ru” otrzymali spam zawierający odsyłacz do portalu

miss-runet.net oraz prośbę, aby głosowali na jedną z kandydatek. Komputery osób, które

uległy prośbie, zostały zainfekowane programem z rodziny Trojan-Dropper.Win32.Agent.

Czerwiec 2008. W miesiącu tym został rozesłany spam rzekomo pochodzący od admini-

stratorów portalu “Odnoklassniki.ru”. Wiadomości zachęcały użytkowników do odwiedze-

nia strony głównej tego portalu za pośrednictwem zawartego w wiadomości odsyłacza;

jednak po tym, jak użytkownik odwiedził tę stronę, na jego komputerze instalowany był

trojan downloader. Po zainstalowaniu trojan ten pobierał dalsze szkodliwe pliki, a następ-

nie przekierowywał ofiarę na prawdziwą stronę “Odnoklassniki.ru”.

Lipiec 2008. Kaspersky Lab zidentyfikował kilka incydentów dotyczących portali

Facebook, MySpace oraz VKontakte. Net-Worm.Win32.Koobface.a rozprzestrzeniał się

poprzez portal MySpace w sposób podobny do tego, jaki wykorzystywał wykryty w maju

trojan Trojan-Mailfinder.Win32.Myspamce.a. Kolejny wariant tego robaka,

Net-Worm.Win32.Koobface.b, rozprzestrzeniał się poprzez portal Facebook. Robak ten

wysyłał wiadomości do „przyjaciół” zainfekowanych użytkowników. W obu przypadkach

polecenia i wiadomości wysłane przez te robaki zawierały odsyłacze do fałszywego porta-

lu w stylu YouTube, które zapraszały użytkowników do pobierania „nowej wersji programu

Flash Player”. Zamiast odtwarzacza multimedialnego na zaatakowane maszyny pobiera-

ny był robak.

Wiadomości spamowe wysyłane do użytkowników portalu VKontakte zawierały odsyłacze

do serwera, który przekierowywał użytkowników na strony pornograficzne. Użytkownicy

dowiadywali się, że w celu obejrzenia filmu muszą pobrać kodek, który w rzeczywistości

okazywał się być szkodnikiem o nazwie Trojan.Win32.Crypt.ey. W rezultacie, wśród

pierwszych pięciu wyników wyszukiwania przy użyciu dowolnej wyszukiwarki widniały ad-

resy zainfekowanych stron. Kaspersky Lab szacuje, że w ciągu kilku godzin ukradziono

około 4 000 kont na portalu VKontakte.

Sierpień 2008. W miesiącu tym ofiarą ataku cyberprzestępców padł Twitter, portal spo-

łecznościowy cieszący się coraz większą popularnością. Na specjalnie stworzonej stronie

użytkownika zostało umieszczone zdjęcie reklamujące film erotyczny. Użytkownik, który

kliknął zdjęcie był proszony o pobranie „nowej wersji Adobe Flasha”, która w rzeczywisto-

ści była trojanem Trojan-Downloader.Win32.Banload.sco.

19


Grudzień 2008. Na portalu VKontakte rozprzestrzeniane były odsyłacze do szkodliwych

programów dla telefonów komórkowych. Ze skradzionych kont na portalach społeczno-

ściowych wysyłano na adresy kontaktów z listy wiadomości oferujące darmowe dołado-

wania kont telefonów komórkowych. Wiadomości zawierały odsyłacze, które mogłyby zo-

stać wykorzystane do zainstalowania w telefonie aplikacji Java w celu uzyskania dostępu

do usługi darmowego doładowania. Aplikacją tą był w rzeczywistości Trojan-

SMS.J2ME.Konov.b.; po zainstalowaniu trojan wysyłał wiadomość SMS na pięć krótkich

numerów bez wiedzy oraz zgody użytkownika. Każda wiadomość SMS kosztowała 250

rubli (około 10 dolarów).

Naturalnie nie jest to kompletna lista incydentów związanych z portalami społecznościo-

wymi. Wymieniliśmy jedynie najbardziej interesujące przypadki, jakie miały miejsce

w 2008 roku.

Wnioski

Wśród przełomowych technologii IT 2008 roku znalazły się portale społecznościowe, jak

również wirtualizacja i technologia Cloud Computing. Niestety wraz z ich ewolucją pojawi-

ły się nowe zagrożenia dla użytkowników takich zasobów.

W 2008 roku wzrósł poziom ewolucji zagrożeń atakujących portale społecznościowe.

Ataki na takie strony nie stanowią już odosobnionych incydentów, ale coraz lepiej prospe-

rujący biznes, w którym uczestniczą cyberprzestępcy.

Na czarnym rynku wartość ma wszystko, co jest związane z kontami na portalach spo-

łecznościowych: istnieje duże zapotrzebowanie na dane osobowe użytkowników, a popu-

larną usługą oferowaną przez cyberprzestępców jest włamywanie się na konta w celu ich

późniejszego wykorzystania do rozsyłania spamu. Komercjalizacja przyczyniła się do

wzrostu liczby szkodliwych programów atakujących portale społecznościowe. Istnieje du-

że prawdopodobieństwo, że trend ten utrzyma się.

Szkodliwe programy: aktywność sieciowa

Aktywność szkodliwych programów w skali globalnej od zawsze była interesującym tema-

tem. Pułapki (tzw. honeypots) stanowią najpopularniejsze narzędzie zbierania informacji

dotyczących aktywności sieciowej szkodliwych programów. Jednak systemy te zwykle

monitorują jedynie własne kanały internetowe i rejestrują tylko próby atakowania obser-

wowanych serwerów. To oznacza, że ogromna większość aktywności sieciowej szkodli-

wego oprogramowania pozostaje niezauważona.

Zebraliśmy dane statystyczne dotyczące aktywności sieciowej, monitorując szkodliwe

programy oraz identyfikując tworzone przez nie połączenia sieciowe. Podejście to pozwa-

la obiektywnie ocenić aktywność cyberprzestępczą w sieciach lokalnych oraz w Interne-

cie.

Statystyki dotyczące połączeń wykorzystujących protokół UDP nie są szczególnie intere-

sujące, ponieważ szkodliwe programy rzadko wykorzystują ten protokół. Dlatego poniżej

zbadaliśmy tylko statystyki dotyczące połączeń TCP. Przedstawione dane odpowiadają

dominującej sytuacji z końca 2009 roku i nie obejmują aktywności sieciowej legalnych

20


programów. Dużą część ruchu internetowego generują boty. Przedstawione tu dane od-

zwierciedlają typową aktywność botnetów.

Porty wykorzystywane przez szkodliwe programy. Połączenia sieciowe

Które porty są najczęściej wykorzystywane do ustanawiania połączeń sieciowych przez szkodliwe programy?

Połączenia sieciowe wykorzystywane przez szkodliwe programy

Najpopularniejszymi pod względem połączeń sieciowych (TCP) wykorzystywanych przez

szkodliwe programy okazały się porty 139, 445 oraz 135. Porty te są wykorzystywane

w usługach sieciowych Microsoft Windows, głównie w usługach współdzielenia plików

w sieci Windows z wykorzystaniem protokołu NetBIOS. Należy zaznaczyć, że chociaż

Windows wykorzystuje ten protokół do zautomatyzowanej dystrybucji wiadomości, po-

wyższy diagram nie zawiera statystyk dotyczących standardowych połączeń systemu

operacyjnego.

Ponad 96% przeanalizowanych przez nas połączeń sieciowych wykorzystywanych przez

szkodliwe programy miało miejsce na portach 139, 445 oraz 135. Tak duży odsetek zwią-

zany jest z luką w zabezpieczeniach MS08-067, która została wykryta w październiku

2008 roku w usłudze sieciowej Windows. Na szczęście, w celu zwiększenia bezpieczeń-

stwa prawie wszyscy dostawcy usług internetowych zablokowali ruch sieciowy do tych

portów. NetBIOS znany jest jako potencjalne źródło luk w zabezpieczeniach systemów

operacyjnych z rodziny Windows od czasu wprowadzenia systemów Windows 95 i Win-

dows 98. Możemy się tylko domyślać, co stałoby się z Internetem w przeciągu kilku minut

w październiku, gdyby dostawcy usług internetowych nie zaczęli filtrować NetBIOS! Mimo

to luka w zabezpieczeniach MS08-067 to nadal aktualny problem dla niektórych sieci, np.

sieci domowych i sieci organizacji komercyjnych oraz rządowych, w których protokół

NetBIOS zwykle nie jest blokowany.

21


Zapytania sieciowe

Diagram pokazujący popularność różnych portów nie byłby kompletny bez porównania

liczby połączeń sieciowych z liczbą zapytań sieciowych do portów wysyłanych przez

szkodliwe programy, które tworzą te połączenia. Termin „zapytanie” definiujemy tutaj jako

transfer jednego lub większej liczby pakietów sieciowych. Jeżeli program ustanawia 1 000

połączeń z tym samym portem, uznaje się, że jest to jedno zapytanie sieciowe do tego

portu.

Zapytania sieciowe szkodliwych programów

Z powyższego diagramu wynika, że 34% zapytań sieciowych wysyłanych przez szkodliwe

programy kontaktuje się z portem 80, który jest standardowym portem dla serwerów sie-

ciowych. Port ten jest również najczęściej wykorzystywany przez legalne programy.

Port 80 zwykle jest wykorzystywany przez szkodliwe programy w celu ustanowienia połą-

czeń ze stronami cyberprzestępców. W takich przypadkach aktywność sieciową można

uznać za surfowanie użytkownika po Sieci. Port 80 wykorzystywany jest przez liczne ro-

dziny botów i trojany, łącznie z Trojan-PSW.Win32.Zbot, Backdoor.Win32.Sinowal oraz

różnymi modyfikacjami trojana Trojan-GameThief.Win32.OnLineGames. Szkodliwe pro-

gramy wykorzystują go również do ustanowienia połączeń z centrami kontroli botnetów.

Na drugim miejscu znajduje się niestandardowy port 8000, wykorzystywany przez legalne

programy, takie jak HP Web Jetadmin, ShoutCast Server, Dell OpenManage oraz wiele

innych aplikacji opartych na technologii Java RMI, z których wszystkie wykorzystują wła-

sny protokół.

Nasze badanie wykazało, że port 8000 jest wykorzystywany przez rodzinę

Backdoor.Win32.Hupigon. Rodzina ta, stworzona przez chińskich hakerów, jest najpraw-

dopodobniej najszybciej rosnącą rodziną szkodliwych programów wykrytych przez firmę

Kaspersky Lab. Pod koniec 2008 roku nasza kolekcja liczyła ponad 110 000 różnych mo-

dyfikacji Hupigona.

Czym więc wyróżnia się port 8000? Odpowiedź jest całkiem prosta – port ten jest wyko-

rzystywany przez QQ - najpopularniejszy komunikator internetowy w Chinach. Chińscy

22


użytkownicy wykorzystują tę usługę do kontrolowania zainfekowanych komputerów. Ist-

nieje również wersja Hupigona wykorzystująca port 8181. Rodzina Hupigon jest liderem

wśród szkodliwych programów pod względem całkowitej liczby zapytań sieciowych –

Hupigon stoi za prawie co trzecim zapytaniem sieciowym do unikatowego portu pocho-

dzącym od szkodliwego programu!

Inny niestandardowy port – 3460 – wykorzystywany był w 7% przeanalizowanych przez

nas zapytań sieciowych wysyłanych przez szkodliwe programy. Zapytania do tego portu

wysyłane były głównie przez backdoora Backdoor.Win32.Poison, znanego również jako

Poison Ivy. Szkodliwe programy z tej rodziny to boty wykorzystywane do tworzenia nie-

wielkich botnetów (do 200 komputerów). Oprogramowanie to jest popularne, ponieważ

można je pobrać za darmo na stronie producenta. Poison nie pozwala na wysyłanie dużej

liczby osadzonych poleceń jednocześnie do kilku komputerów i najczęściej wykorzysty-

wany jest przez cyberprzestępców nowicjuszy. Niektórzy administratorzy systemów nie-

wielkich sieci wykorzystują go jako narzędzie zdalnej administracji.

Domeny drugiego poziomu atakowane przez szkodliwe programy

Poniższy diagram pokazuje domeny drugiego poziomu atakowane przez szkodliwe pro-

gramy, które wykorzystują najpopularniejszy port 80.

Zapytania szkodliwych programów do domen drugiego poziomu

Większość domen drugiego poziomu, z którymi kontaktują się szkodliwe programy, nale-

ży do chińskich serwisów DNS.

Prawie 40% szkodliwych programów łączy się z poddomenami 3322.org. Co możemy

powiedzieć o tym dostawcy i dlaczego przyciąga cyberprzestępców?

Domena 3322.ord jest częścią dużego chińskiego projektu o nazwie cn99.com, który po-

siada ponad 35 milionów użytkowników. Popularność cn99.com w Chinach można łatwo

wyjaśnić tym, że dostarcza on darmowe konta pocztowe oraz domeny trzeciego poziomu.

Zgodnie z Kontraktem Serwisowym, klientom cn99.com nie wolno używać tych usług

w sposób sprzeczny z chińskim i międzynarodowym prawem. Ponadto, Kontrakt zobo-

wiązuje właściciela skrzynki pocztowej/domeny, aby używał autentycznych informacji

23


osobowych, a w przypadku ich zmiany niezwłocznie je uaktualniał. Niestety, nie po-

wstrzymuje to cyberprzestępców, którzy wykorzystują cn99.com, przed podawaniem fał-

szywych danych osobowych.

Wystarczy rzut oka na listę najpopularniejszych domen drugiego poziomu, aby zrozu-

mieć, jaki jest powód ich popularności: wszyscy dostawcy posiadający te domeny oferują

usługę znaną jako DDNS (Dynamic Domain Name System).

Usługi DDNS oraz cyberprzestępcy

Zadaniem usługi DDNS jest znalezienie serwerów z dynamicznymi adresami IP. Do kogo

skierowana jest taka usługa? Mogą wykorzystywać ją legalni użytkownicy, którzy łączą

swoje komputery z Internetem przy użyciu linii ADSL z adresami zewnętrznymi pobrany-

mi z puli internetowych adresów IP. Z reguły, dostawcy usług internetowych przydzielają

nowo podłączonemu modemowi ADSL adres IP z puli adresów IP, jakie mają do swojej

dyspozycji. Wraz z każdym nowym połączeniem zmienia się adres IP. Jeżeli użytkownik

nie posiada fizycznego dostępu do swojego komputera, a chce połączyć się zdalnie, musi

znać adres IP, który w danym momencie zapewni mu dostęp do jego komputera. Do-

stawcy usług DDNS umożliwiają zarejestrowanie domeny (np. myhomepc.dyndns.org),

a następnie połączenie się z komputerem poprzez podanie nazwy domeny. Niektórzy

producenci modemów ADSL implementują obsługę DDNS do oprogramowania służącego

do zarządzania modemem. Jeżeli modem jest poprawnie skonfigurowany, kontaktuje się

z dostawcą usługi DDNS za każdym razem, gdy ustanawiane jest połączenie interneto-

we, informuje go o aktualnych adresach IP. Następnie program użytkownika, który kon-

taktuje się ze zdalnym komputerem przy pomocy nazwy hosta, wysyła zapytanie DNS dla

adresu IP z nazwą myhomepc.dyndns.org. Zapytanie przechodzi przez łańcuch serwerów

DNS i ostatecznie dociera do dostawcy DDNS, który zna aktualny adres IP komputera,

ponieważ przechowuje najnowszą wiadomość z modemu ADSL.

Ten typ usługi pozwala cyberprzestępcom szybko i łatwo zarejestrować nowe domeny

przy zachowaniu anonimowości oraz zmienić informacje DNS o ciągłym wykorzystywaniu

serwera.

Ponadto, zainfekowane komputery z zewnętrznymi adresami IP mogą być wykorzysty-

wane jako tymczasowe centra kontroli botnetów. Jeżeli komputer jest wyłączony, cyber-

przestępca może ręcznie lub automatycznie przełączyć się na inny zainfekowany kompu-

ter, przy czym centrum kontroli zawsze jest dostępne za pośrednictwem domeny od do-

stawcy DDNS.

Z tego powodu usługi DDNS są tak popularne wśród cyberprzestępców. Szacujemy, że

około 50% domen wykorzystywanych przez szkodliwe programy należy do dostawców

DDNS.

24


Wnioski

Najpopularniejsze typy szkodliwych programów wykazują aktywność sieciową: programy

trojańskie wysyłają przechwycone dane cyberprzestępcom, robaki sieciowe próbują zna-

leźć i zainfekować inne komputery w sieciach lokalnych, boty spamowe rozsyłają wiado-

mości spamowe, boty DDoS atakują serwery internetowe, boty łączą się z centrami C&C.

Boty i robaki sieciowe są najbardziej aktywne, poza tym zachowanie to można skutecznie

połączyć w jednej aplikacji. Program wykrywany jako robak lub trojan może mieć również

funkcję bota, dzięki której zainfekowany komputer może stać się częścią botnetu. W re-

zultacie, za ruch sieciowy tworzony przez większość szkodliwych programów w Internecie

odpowiedzialne są botnety.

Analiza danych statystycznych dotyczących zapytań sieciowych wysyłanych przez szko-

dliwe programy oraz 10 najpopularniejszych domen drugiego poziomu atakowanych

przez szkodliwe programy potwierdzają, że w 2008 roku chińscy hakerzy i cyberprze-

stępcy byli liderami pod względem tworzenia szkodliwego oprogramowania. Chińska ro-

dzina Hupigon, która wykorzystuje niestandardowe porty 8000 i 8181, odpowiadała za

29% zapytań sieciowych wysyłanych przez szkodliwe programy, podczas gdy ogromna

większość domen drugiego poziomu atakowanych przez szkodliwe programy należy do

chińskich serwisów DNS.

Chociaż Chiny wprowadziły narodowy program filtrowania ruchu sieciowego – Wielki

Chiński Cybermur – przewidujemy, że w 2009 roku aktywność chińskich hakerów wzro-

śnie. Szkodliwe programy tworzone przez chińskich cyberprzestępców atakują głównie

konta gier online i przede wszystkim stanowią zagrożenie dla graczy w Chinach i innych

państwach. W 2009 roku nie przewidujemy na tym polu żadnej zmiany. Jednak programy

tworzone przez chińskich hakerów mogą zacząć stanowić zagrożenie ze względu na ro-

snącą tendencję włączania backdoorów do programów trojańskich przeznaczonych do

kradzieży haseł do gier online.

Ponad jedna trzecia zapytań sieciowych odbywa się na porcie 80, który jest standardo-

wym portem. Generalnie, po tym jak szkodliwy program połączy się z portem 80, zostanie

pobrana strona internetowa i ustanowione połączenie z centrum C&C botnetu. Cyber-

przestępcy martwią się, że prędzej czy później ich konkurenci lub organy ścigania pozna-

ją adres ich centrum C&C, co spowoduje zamknięcie nazwy domeny lub serwera. Z tego

powodu cyberprzestępcy nieustannie szukają sposobów szybkiej modyfikacji informacji

DNS centrów C&C i preferują wykorzystywanie serwerów internetowych, które oferują

anonimowość. Z tego powodu usługi DDNS cieszą się największą popularnością wśród

oszustów: dostawcy usług DDNS posiadają ponad 50% domen drugiego poziomu, które

stanowią cel szkodliwych programów, oraz wszystkie 10 najpopularniejszych domen dru-

giego poziomu. W 2009 roku dostawcy usług DDNS podejmą prawdopodobnie bardziej

zdecydowane działania mające na celu zwalczanie nielegalnej aktywności, co prawdopo-

dobnie przyczyni się do pojawienia się usług DDNS typu „abuse-proof” podobnie jak do-

stawcy usług hostingowych typu RBN zostali oddzieleni od legalnych usług hostingowych.

25


Ze względu na ogromną popularność usług DDNS wśród cyberprzestępców oraz wzrost

przepustowości przewidujemy pojawienie się nowych typów aktywności przestępczej

specjalizujących się w rozwijaniu nowych podejść do zapewniania anonimowości adre-

sów/nazw serwerów sieciowych.

Wraz z każdą identyfikacją luki w zabezpieczeniach systemu Windows pojawia się duża

liczba szkodliwych programów tworzonych w celu znajdowania „podatnych na ataki” ma-

szyn. Podobnie jest w przypadku innych aplikacji działających w sieci. Szkodliwe progra-

my skanujące sieć tworzą wiele dodatkowych połączeń sieciowych. Poza zużyciem prze-

pustowości może to spowodować przepełnienie w tabelach tłumaczenia adresów na ta-

nich routerach, co może doprowadzić do całkowitego odłączenia sieci lokalnej od Interne-

tu. Już teraz stanowi to dość powszechny problem dla sieci domowych, które w celu uzy-

skiwania dostępu do Internetu wykorzystują jeden router.

Zainteresowanie cyberprzestępców lukami w zabezpieczeniach sieci wzrasta. W 2009

roku prawdopodobnie zostaną zidentyfikowane nowe luki w zabezpieczeniach sieci.

W rezultacie, użytkownicy niewielkich sieci mogą stracić dostęp do Internetu. Aby tego

uniknąć wszystkie komputery w sieci lokalnej muszą być zabezpieczone przed infekcją.

Prognozy na 2009 rok

Rok temu w biuletynie „Kaspersky Security Bulletin 2007” zamieściliśmy prognozy na rok

2008. Skupiliśmy się na problemach, które miały szansę stać się najpoważniejszymi

w 2008 roku.

Malware 2.0 – dalsza ewolucja rozproszonych komponentów szkodliwego opro-gramowania.

Rootkity i bootkity – początek epidemii spowodowanych programami wykorzystu-jącymi te technologie

Wirusy plikowe – kolejny etap w ewolucji klasycznych wirusów: wirusy plikowe bę-dą stawały się bardziej wyrafinowane, a inne typy szkodliwych programów będą wykorzystywały techniki infekowania plików

Portale społecznościowe – odejście od zagrożeń typu „proof of concept” i ataków próbnych na rzecz ataków masowych

Zagrożenia mobilne – wzrost liczby ataków na telefony komórkowe i wykorzysty-wanie tych ataków do uzyskiwania korzyści finansowych.

Jak pokazują trendy oraz sekcje zawierające dane statystyczne zawarte w tych rapor-

tach, nasze przewidywania sprawdziły się.

Nasze prognozy na rok 2009 opierają się na tym samym modelu. Problemy, jakie napo-

tkaliśmy w 2008 roku, będą stanowiły jeszcze poważniejsze zagrożenie w 2009 roku.

Dzisiejsze zagrożenia nie znikną. Nie ma potrzeby przytaczać wzrostu liczby ataków na

gry online i portale społecznościowe, nieustannej ewolucji technologii wirusowych, wzro-

stu liczby botnetów czy ewolucji cyberprzestępczości jako biznesu i jako usługi. Wszyst-

kie to już widzieliśmy.

26


W poniższych prognozach zostały omówione trendy, które być może nie są w pełni

ukształtowane, ale bez wątpienia będą miały istotny wpływ na ewolucję zagrożeń w 2009

roku.

Globalne epidemie

Uznaliśmy, że długa era globalnych epidemii dobiegła końca. Twórcy wirusów nie prefe-

rują już tworzenia robaków, które infekują miliony komputerów na całym świecie. Uwa-

żamy jednak, że w 2009 roku sytuacja ta znów się zmieni - spodziewamy się nowych po-

ważnych incydentów, które pod względem zasięgu prześcigną wydarzenia, jakie miały

miejsce w latach 2006-2008.

Naszym zdaniem, cyberprzestępczość wkroczyła w okres nasycenia rynku: liczba osób

i grup uczestniczących w tym procederze osiągnęła punkt, w którym konkurencja jest

nieuchronna. Konkurencja istniała od zawsze, z reguły jednak ograniczała się do konfliktu

interesów między kilkoma grupami dotyczącego jednego wąskiego obszaru. Obecnie

konkurencja ma skalę globalną, przekraczając lokalne granice. Rywalizacja pomiędzy ro-

syjskimi, chińskimi, brazylijskimi, ukraińskimi oraz tureckimi cyberprzestępcami nie ogra-

nicza się do wykorzystywanych przez nich technologii. Walczą również o klientów oraz

osoby, które mogą realizować zamówienia, oraz o lepsze kanały w celu gromadzenia,

sprzedawania i przetwarzania danych oraz o zasoby hakerskie itd.

W 2009 roku przewidujemy wzrost liczby cyberprzestępców. Głównym powodem jest glo-

balny kryzys gospodarczy: wzrost liczby bezrobotnych, wraz ze spadkiem liczby oferowa-

nych miejsc pracy w branży IT spowodowanym zamykaniem projektów, spowoduje, że

wielu wysoce wykwalifikowanych programistów albo pozostanie bez pracy, albo na sku-

tek obniżenia się ich dochodów będzie potrzebowało pieniędzy. Niektóre z tych osób bę-

dą aktywnie rekrutowane przez cyberprzestępców, inne natomiast uznają to za dobry

sposób zarabiania pieniędzy. Ponieważ umiejętności techniczne nowych rekrutów znacz-

nie przewyższają umiejętności większości cyberprzestępców, spowoduje to ostrą rywali-

zację.

Wszystkie te czynniki spowodują wzrost liczby ofiar. Będzie toczyła się ostra walka

o każdy tysiąc zainfekowanych komputerów, ponieważ jedynym sposobem na przetrwa-

nie cyberprzestępców jest infekowanie jak największej liczby maszyn w jak najkrótszym

czasie. Do stworzenia botnetu składającego się ze 100 000 maszyn – w celu wywołania

globalnej epidemii - konieczne jest zaatakowanie kilku milionów komputerów. Aby utrzy-

mać botnet, trzeba przeprowadzać regularne ataki.

Trojany atakujące gry: spadek aktywności

Przewidywany przez na spadek aktywności trojanów atakujących gry jest sprzeczny ze

stanowiskiem utrzymywanym przez większość firm antywirusowych. Wierzymy jednak, że

spadek ten będzie wynikiem zarówno kryzysu gospodarczego jak i wzmożonej rywalizacji

pomiędzy cyberprzestępcami.

W ciągu ostatnich dwóch lat trojany atakujące gry stały się najbardziej rozpowszechnio-

nymi szkodliwymi programami. Obecnie istnieją setki tysięcy takich programów; przewyż-

27


szają liczebnie programy trojańskie tworzone w celu kradzieży informacji dotyczących

kart kredytowych oraz bankowości online.

Przewagę trojanów atakujących gry można wyjaśnić nie tylko specjalizowaniem się chiń-

skich cyberprzestępców w tym typie szkodliwych trojanów, ale również tym, że w wyniku

coraz większej konkurencji zarabianie pieniędzy poprzez defraudację kart kredytowych

oraz ataki na użytkowników banków stało się o wiele trudniejsze. W rezultacie, potencjal-

ne dochody cyberprzestępców znacznie zmalały.

Cyberprzestępcy z Rosji lub Europy Wschodniej, którzy wcześniej tworzyli wirusy zarzuci-

li ten rodzaj przestępstwa, albo zmienili kierunek, i obecnie zajmują się tworzeniem i roz-

przestrzenianiem programów AdWare oraz fałszywych rozwiązań antywirusowych.

Azjatyccy cyberprzestępcy specjalizują się w trojanach atakujących gry, wykorzystując do

tego chińskie know-how. Jednak ze względu na łatwość tworzenia szkodliwych progra-

mów atakujących gry, liczba potencjalnych ofiar jest ogromna, a rynek szkodliwego opro-

gramowania atakującego gry jest nasycony. Kradzież wirtualnych przedmiotów nie ozna-

cza już automatycznie dużych, łatwych zysków. (Podobna sytuacja z tzw. trojanami ban-

kowymi kilka lat temu doprowadziła do spadku liczby takich programów.) Chociaż pienią-

dze, jakie można dzisiaj zarobić, zadowoliłyby cyberprzestępcę trzy lata temu, chiński

wzrost gospodarczy spowodował wzrost apetytu na zyski wśród cyberprzestępców.

O ile dochody osób, które żyją z kradzieży wirtualnych przedmiotów, skurczyły się, konku-

rencja pomiędzy cyberprzestępcami staje się coraz ostrzejsza. Firmy antywirusowe radzą

sobie z zalewem szkodliwych programów atakujących użytkowników gier online, użyt-

kownicy stają się coraz bardziej świadomi problemów bezpieczeństwa, a producenci gier

podjęli działania w celu powstrzymania nielegalnych operacji z wykorzystaniem skradzio-

nych kont i przedmiotów. Chociaż za wcześnie jeszcze, aby obwieszczać koniec szkodli-

wego oprogramowania atakującego gry, liczba nowych szkodliwych programów atakują-

cych gry online oraz liczba grup cyberprzestępczych specjalizujących się w ich tworzeniu

z pewnością zmniejszy się.

Malware 2.5

Malware 2.0 został zastąpiony nowym modelem koncepcyjnym – dużymi rozproszonymi

systemami botnetów. Model ten, stworzony przez rosyjskich hakerów i zaimplementowa-

ny w rootkicie Rustock.c, bootkicie Sinowal i kilku innych szkodliwych programach, okazał

się zarówno niezwykle skuteczny jak i niezawodny.

Model ten charakteryzuje się następującymi cechami:

Brakiem stałego centrum kontroli botneta – zamiast tego występuje tzw. „botnet mi-

grujący”, o którym pisaliśmy w naszym artykule na temat bootkita. Centrum kontroli

nieustannie migruje z jednego adresu IP, lub serwera do innego, lub może też znik-

nąć na jakiś czas. Obecnie istnieje system tworzenia losowo wybranych adresów

dla centrum kontroli, który umożliwia cyberprzestępcom zabezpieczenie centrum

kontroli przed jego wykryciem oraz „zdjęciem”, jak również wybranie jego lokalizacji.

28


Wykorzystaniem silnych algorytmów kryptograficznych do komunikacji między cen-

trum kontroli a maszynami w botnecie. Nawet po uzyskaniu dostępu do centrum

kontroli lub przechwyceniu przesyłanych danych analitycy nie są w stanie przejąć

kontroli nad botnetem, ponieważ wykorzystuje on klucze szyfrowania znane tylko

właścicielowi botneta.

Wykorzystaniem uniwersalnych centrów kontroli do zarządzania wieloma różnymi

botnetami. Koncepcja ta pochodzi od „uniwersalnego kodu” wykorzystanego

w szkodniku o nazwie Zbot: szkodliwe programy tworzone przez różnych autorów

mogą komunikować się z tym samym centrum kontroli. Obecnie istnieje wyraźny

trend w kierunku zarządzania różnymi botnetami z jednego centrum kontroli.

Technologie te są ściśle związane z przetwarzaniem rozproszonym oraz tworzeniem sys-

temów, które działają pod dużym obciążeniem ogromnych ilości danych (architektura

High Load). Technologie te są również wykorzystywane w wyszukiwarkach oraz służą ja-

ko podstawa technologii „Cloud Computing” wykorzystywanej między innymi przez wiele

firm antywirusowych.

Przewidujemy coraz większą rywalizację między cyberprzestępczymi grupami w zakresie

tworzenia wysoce odpornych systemów rozproszonych. Szkodliwi użytkownicy potrafiący

tworzyć własne systemy będą mieli wpływ na ogólny krajobraz zagrożeń w przyszłości.

Dzieciaki skryptowe zostaną zastąpione przez poważnych specjalistów, którzy mają moż-

liwość pracy w obrębie modelu Malware 2.5.

Phishing/Scam

Oszustwa typu phishing to kolejny rodzaj cyberprzestępstw, w których obserwujemy

wpływ światowego kryzysu gospodarczego. Przewidujemy, że ataki phishingowe staną

się intensywniejsze.

Po pierwsze, kryzys spowoduje, że użytkownicy staną się bardziej wyczuleni na wszyst-

ko, co wiąże się z systemami płatności elektronicznych oraz bankowości online. Nie zna-

czy to jednak, ze będą ostrożniejsi wobec potencjalnych oszustw. Okres, w którym banki

upadają, przechodzą w inne ręce lub mają problemy z wypłatami gotówki, stwarza

ogromne możliwości ataków na użytkowników.

Po drugie, poziom techniczny wymagany do rozwijania i rozprzestrzeniania nowych

szkodliwych programów zmusi cyberprzestępców do poszukiwania prostszych i łatwiej-

szych sposobów zarabiania pieniędzy. Phishing może być jednym z atrakcyjniejszych

rozwiązań.

Z drugiej strony konkurencja między phisherami wzrasta. Wykorzystanie fałszywej strony

internetowej banku już nie wystarczy, aby oszukać użytkowników. Dlatego ataki staną się

bardziej wyrafinowane i intensywniejsze.

Ogólnie, można powiedzieć, że sytuacja gospodarcza spowoduje zmniejszenie puli pie-

niędzy dostępnych w Internecie, szczególnie gdy systemy płatności elektronicznych będą

doświadczały poważnych problemów uniemożliwiających im wymianę wirtualnych pienię-

dzy na prawdziwą gotówkę.

29


Migracja na inne platformy/systemy operacyjne

Coraz większa rywalizacja między cyberprzestępcami oraz konieczność infekowania jak

największej liczby komputerów spowoduje migrację zagrożeń na platformy, które wcze-

śniej nie były popularnym celem ataków. Ucierpią platformy inne niż Windows, przede

wszystkim Mac OS oraz platformy mobilne. Wcześniej szkodliwe programy atakujące te

platformy były w większości kodem typu „proof of concept”; teraz platformy te mają wy-

starczająco duży udział w rynku, aby zainteresowali się nimi cyberprzestępcy. Z platfor-

mami tymi wiąże się wiele nierozwiązanych kwestii bezpieczeństwa, a ich użytkownicy

zasadniczo nie są przygotowani na ataki szkodliwego oprogramowania.

Kaspersky Security Bulletin 2008vs.kaspersky.pl/download/analizy/ksb_2008_ewolucja_malware.pdfNikogo...

Documents

Transcript of Kaspersky Security Bulletin 2008vs.kaspersky.pl/download/analizy/ksb_2008_ewolucja_malware.pdfNikogo...