Nowy malware. Jest się czego bać. Leszek Ignatowicz. wersja maj 2014

Transkrypt

1 Nowy malware Jest się czego bać Leszek Ignatowicz wersja maj 2014 Warszawa, czerwiec 2014

2 2 SysClinic.pl Projekt DeRATyzacja komputera Samowystarczalni umysłowo są jedynie geniusze i głupcy Stanisław Jerzy Lec Leszek IGNATOWICZ Nowy malware. Jest się czego bać ISBN: Wydanie I, czerwiec 2014 Projekt okładki: Leszek IGNATOWICZ Korekta: Agnieszka Kwiatkowska Autor zezwala na bezpłatne kopiowanie i przekształcanie na inne formaty niniejszej publikacji pod warunkiem zachowania całości i niezmienności treści oraz Copyright 2014 by Leszek IGNATOWICZ Copyright 2014 by Leszek IGNATOWICZ

3 Spis Treści CO TO JEST NOWY MALWARE?...4 PROPAGACJA I FUNKCJONALNOŚCI...6 ZŁOŚLIWE DOKUMENTY...8 MALWARE NA STRONACH UKRYWANIE SIĘ W SYSTEMIE...11 Polimorfizm...11 Metamorfizm...12 Zaciemnianie kodu (ang. obfuscation)...12 Kompresowanie binarne (ang. binary packing)...13 Wirtualizacja jako zaciemnienie kodu...13 Modyfikacja systemu typu rootkit...14 Rootkit trybu użytkownika (ang. User Mode Rootkit)...14 Rootkit trybu jadra - bootkit (ang. Kernel Mode Rootkit)...14 Ukryta komunikacja z serwerem nadzorującym...15 ZRÓB TO SAM - PAKIET ZEUS...16 CRYPTOLOCKER, CYFROWY BANDYTA...18 ANTYWIRUSY A NOWY MALWARE...19 PODSUMOWANIE TWARDE FAKTY...20 ŹRÓDŁA, EBOOKI, ZASOBY ONLINE...21

4 Co to jest nowy malware? 4 Co to jest nowy malware? Co to jest nowy malware i czy jest się czego bać? Zdaje sobie sprawę z tego, że tytuł jest niejasny, lecz i sama tematyka tego eseju jest dość mroczna. Zacznę więc od wyjaśnienia, dla kogo i po co napisałem tego ebooka. Cyfrowy świat już na dobre wkroczył w nasze życie, lecz czy na pewno przyniósł same dobrodziejstwa? Wielu z nas się nad tym nie zastanawia. A może warto? Przecież znaczący wpływ internetu i cyfrowych mediów na nasze życie jest bezsporny. Mamy świadomość zagrożeń w realu nie zostawiamy na parkingu otwartego samochodu, czy też otwartego mieszkania wychodząc do pracy. Natomiast zagrożenia w wirtualnym świecie są bagatelizowane, a nawet świadomie ignorowane to mnie nie dotyczy, bo w moim komputerze nie ma nic cennego, co warto ukraść. No to można ukraść sam komputer, czyli zamienić go w zdalnie sterowanego zombie i wykorzystać w różnych niecnych celach, np. do rozsyłania spamu, czy też do ataku typu rozproszona odmowa usługi (ang. DDoS). Znanym zagrożeniem w cyfrowym świecie są wirusy, lecz jakie to zagrożenie skoro mamy antywirusy? I jedno i drugie nie bardzo przystaje do rzeczywistości. Po pierwsze, dziś już prawie nie ma wirusów, a te nieliczne, które są, to raczej hybrydowy malware. Słowo malware powstało z połączenia angielskich słów malicious, software złośliwe oprogramowanie. Do dziś często używa się niepoprawnego określenia wirusy obejmując nim wszelkie kategorie złośliwego oprogramowania. A o tym, jak sobie radzą antywirusy ze współczesnym, czyli nowym malwarem, będzie mowa w dalszej części ebooka.

5 Co to jest nowy malware? 5 Co więc będziemy traktować jako malware? W najszerszym sensie będzie to oprogramowanie instalowane bez świadomej zgody, a często i bez wiedzy użytkownika na komputerze lub smartfonie, realizujące różne szkodliwe funkcje. Od tak łagodnych, jak wyświetlanie niechcianych reklam (programy typu adware), do tak drastycznych, jak zaszyfrowanie plików użytkownika w celu wymuszenia okupu. A najczęściej będzie to potajemne wykradanie informacji z komputera lub smartfona ofiary i używanie ich w różnych celach. Może to być uzyskanie dostępu do konta bankowego i jego opróżnienie. Będzie to dotkliwa i realna strata, chociaż zaistniała w przestrzeni wirtualnej. Równie dotkliwa może być tzw. kradzież tożsamości, czyli nielegalne uzyskanie poufnych danych ofiary, umożliwiających łatwą realizację różnych przestępstw w jej imieniu i na jej koszt. Oznacza to poważne kłopoty prawowitego właściciela tożsamości, ponieważ udowodnienie, że przestępstwa dokonał ktoś inny, może być bardzo trudne, tak jak trudne jest wykrycie współczesnego, nowego malware. Mitem jest skuteczność antywirusów opartych na sygnaturowym rozpoznawaniu szkodników technologii sprzed ponad 20 lat. Jest się więc czego bać? Moja wiedza o samym malware i sposobach ochrony przed nim jest z racji mojego doświadczenia zawodowego spora, a mimo to obawiam się, że może on przeniknąć niezauważony do mojego komputera. Dziś jeszcze nie ma skutecznego oprogramowania automatycznie i niezawodnie chroniącego przed lawinowo narastającą falą coraz bardziej wyrafinowanego złośliwego oprogramowania. Owszem, istnieją programy narzędziowe umożliwiajcie wnikliwe zbadanie komputera, lecz po pierwsze - już po zaistnieniu infekcji, a po drugie - zinterpretowanie wyników sprawdzenia nie jest łatwe. Dlatego do banku loguję się używając specjalnej wersji Linuxa, uruchamianej z pendrive'a. Chcesz się dowiedzieć, jak przenika do komputerów, ukrywa się w systemie i prowadzi szkodliwe działania nowy malware czytaj dalej.

6 Propagacja i funkcjonalności 6 Propagacja i funkcjonalności Wirusy komputerowe znane od ponad 25 lat rozprzestrzeniają się za pomocą mechanizmu replikacji, zresztą w swojej istocie analogicznego do biologicznych wirusów. Potrzebują nosiciela - wkomponowują się w pliki wykonywalne i aktywują w momencie uruchomienia zainfekowanego pliku, zarażając kolejne pliki. Taka infekcja zwykle szeroko się rozprzestrzenia, stąd też dość szybko są wytwarzane sygnatury i antywirusy skutecznie ją zwalczają. Klasyczne wirusy tylko się rozprzestrzeniają lub też dodatkowo wykonują jakieś działania destrukcyjne. Dziś takie wirusy występują rzadko, lecz sam mechanizm rozprzestrzeniana jest czasami wykorzystywany we współczesnym złośliwym oprogramowaniu jako składnik hybrydowego malware'u. Groźniejsze od wirusów są robaki, ponieważ rozprzestrzeniają samodzielnie swoje kopie. A co gorsza, kopie te nie są identyczne w formie binarnej, a wykazują takie samo działanie. Robaki z reguły realizują dwie funkcje rozprzestrzeniają się i wykonują zaprogramowane szkodliwe działania określane w języku angielskim jako payload. Do rozprzestrzeniania się wykorzystują luki w systemach i sieciach, a także przenośne nośniki danych, takie jak pendrive'y lub dyski USB, a nawet urządzenia mobilne i wiadomości SMS. Infekcja następuje w momencie podłączenia zarażonego nośnika do komputera lub odebrania SMS'a z dołączoną kopią robaka. Są trudne do wytępienia. Wykorzystują z reguły kilka mechanizmów propagacji. Właśnie z powodu rozprzestrzeniania się hybrydowego robaka sieciowego w armii amerykańskiej w 2008 roku całkowicie zabroniono używania nośników USB (więcej informacji w artykule Under Worm Assault, Military Bans Disks, USB Drives).

7 Propagacja i funkcjonalności 7 Najbardziej liczne i najgroźniejsze są konie trojańskie, zwane też trojanami. Nie są zdolne do samodzielnej propagacji. Do skutecznego wbudowania się w system operacyjny komputera lub smartfona potrzebują pomocy użytkownika lub innego złośliwego oprogramowania (tzw. dowloader lub dropper). Okazuje się, że dość łatwo można skłonić użytkownika do tego, żeby sam zainstalował trojana - przy pomocy tzw. inżynierii społecznej. W dużym uproszczeniu są to różne sposoby omamiania nieświadomego użytkownika tak, aby zrobił to, na czym zależy napastnikowi. Więcej na ten temat w świetnej publikacji Social Engineering: The Art of Human Hacking, Copyright 2011 by Christopher Hadnagy, Published by Wiley Publishing, Inc. Trojany zazwyczaj są zagnieżdżone w innym programie instalowanym intencjonalnie przez użytkownika lub ukrywają się w systemie i potajemnie realizują szkodliwe funkcje zwykle zdalne przejęcie kontroli nad komputerem i włączenie jako tzw. zombie lub bota do sieci zwanej botnetem. Przykładem jest bardzo niebezpieczny trojan bankowy ZeuS. Trojany zdecydowanie dominują, co widać na poniższym wykresie.

8 Złośliwe dokumenty 8 Złośliwe dokumenty Antywirusy dobrze chronią przed szeroko rozpowszechnionym i dobrze znanym malwarem. Podobne rozwiązania są wykorzystywane do ochrony serwerów pocztowych - eliminują złośliwe załączniki, zawarte w przesyłanych mailach. Opracowano więc nowy rodzaj ataków, który wykorzystuje luki w popularnych aplikacjach, takich jak Adobe Reader i Microsoft Office. Pliki PDF lub DOC /DOCX znane każdemu użytkownikowi komputera, są powszechnie używane do zapisywania i wymiany informacji. Takich plików nie można blokować na serwerach pocztowych, bo uniemożliwiłoby to normalną komunikację ową. Ataki z wykorzystaniem złośliwych dokumentów eksploatują luki, czyli błędy, w bardzo rozbudowanych aplikacjach, służących do zaprezentowania ich zawartości użytkownikowi. Specjalnie spreparowany plik PDF lub DOC (DOCX, RTF) powoduje błędne działanie obsługującej go aplikacji, co może umożliwić wykonanie dowolnego kodu na atakowanym komputerze. Zwykle jest to początek infekcji, która może zakończyć się zainstalowaniem trojana z wbudowanym rootkitem. Złośliwe pliki dokumentów są zwykle przesyłane jako załączniki do maili. Skuteczne zainfekowanie atakowanego komputera nastąpi po otworzeniu przesłanego pliku, do czego zachęca intrygująca treść maila. Masowe ataki wykorzystują zwykle jakieś ważne wydarzenia w celu zaciekawienia ofiary treścią załącznika. Bardzo groźne są ataki ukierunkowane, bo wykorzystują informacje o konkretnej instytucji w celu przygotowania wiarygodnie wyglądającej treści maila.

9 Złośliwe dokumenty 9 Jak dokładnie przebiega atak? Ofiara skuszona treścią maila dwukrotnie klika na pliku załącznika. Powoduje to uruchomienie aplikacji zarejestrowanej w systemie Windows do obsługi plików tego typu dla pliku PDF będzie to zwykle Adobe Reader. Aplikacja przetwarza zawartość klikniętego pliku i jeśli natrafi na odpowiednio spreparowany obiekt binarny (ang. stream), który wykorzystuje lukę w tej aplikacji, spowoduje to błąd przepełnienia pamięci (stosu lub sterty). A następnie załadowanie do pamięci złośliwego kodu (ang. shellcode), zawartego w klikanym pliku. Zwykle powoduje on zapisanie w pamięci i uruchomienie kodu pliku wykonywalnego EXE, umieszczonego w dokumencie, a następnie wyświetlanie treści czystego dokumentu. W tym samym czasie złośliwy plik EXE (malware) jest zapisywany na dysku i podejmuje dalsze szkodliwe działania - komputer jest już trwale zainfekowany. Jeśli treść dokumentu nie zostanie wyświetlona, to prawdopodobnie infekcja się nie powiodła, ponieważ np. luka w aplikacji została już załatana (ang. patched). Złośliwe dokumenty to najczęściej pliki PDF wykorzystujące luki Adobe Reader's JavaScript engine (ok. 50%), pliki DOC /DOCX Microsoft Word (ok. 40%), a także Microsoft Excel i Microsoft PowerPoint. Inne formaty (pliki graficzne, video lub audio) są wykorzystywane znacznie rzadziej. Poniżej rzeczywisty przykład (ze zbiorów autora ebooka) złośliwego załącznika do maila, pliku PDF obiekt stream zawiera skompresowany, zaciemniony (ang. obfuscated) kod binarny nowego malware'u.

10 Malware na stronach WWW 10 Malware na stronach WWW Złośliwe dokumenty są zwykle wykorzystywane w atakach skierowanych, jako załączniki, do starannie przygotowanych (tak, aby sprawiały wrażenie autentycznych) i. Natomiast do szerzej skierowanych ataków wykorzystywany jest malware zagnieżdżony na stronach webowych. I nie zawsze są to strony o podejrzanej reputacji, pornograficzne czy z nielegalnym oprogramowaniem. Nierzadko są to znane i użyteczne strony, które zostały zhakowane, co oznacza uzyskanie możliwości dowolnej modyfikacji ich zawartości. Może być to zmiana treści strony (ang. defacement) lub złośliwa modyfikacja jej kodu, umożliwiająca zainstalowanie malware'u na komputerze ofiary. W tym celu najczęściej są wykorzystywane podatności (inaczej luki, czy też błędy) środowiska Java niezbędnego do prawidłowego wyświetlania stron webowych (JavaScript). Według danych firmy Sourcefire w 2013 roku malware wykorzystujący podatności Javy, tzw. exploity Javy, stanowił ponad 90% ogółu exploitów na stronach webowych (pozostałe 10% dotyczy zawartości typu Flash lub PDF). Jak przebiega taki atak zwany drive-by-download? Otóż wystarczy, że zarażona strona zostanie wyświetlona w przeglądarce. Nie trzeba klikać na konkretne linki. Atak powiedzie się, jeśli wykorzystywana przez przeglądarkę wersja Javy jest podatna, czyli niezałatana. Czasami dlatego, że nie ma jeszcze stosownej łatki (atak typu 0-day), a najczęściej dlatego, że użytkownik nie zaktualizował Javy w swoim komputerze. Złośliwy kod może być umieszczony bezpośrednio na zhakowanej stronie lub też wykorzystywać niewidoczne w oknie przeglądarki przekierowanie do innej strony zawierającej malware (złośliwy iframe width=0 height=0 frameborder=0).

11 Ukrywanie się w systemie 11 Ukrywanie się w systemie Nowy malware z jednej strony realizuje coraz bardziej wymyślne szkodliwe funkcjonalności, a z drugiej coraz skuteczniej infekuje systemy, długotrwale unikając wykrycia. Znany jest fakt, ze wykrywalność najbardziej zaawansowanego malware'u jest bardzo niska. Antywirusy są bezradne wobec takich technik, jak polimorfizm czy metamorfizm. Wynika to ze słabości technologii opartej na wykrywaniu sygnaturowym, to znaczy rozpoznawaniu określonych wzorców binarnych lub ich sum kontrolnych (ang. checksums) - historycznie wirusów, a obecnie malware'u hybrydowego. Obie powyższe techniki bazują na zmienianiu formy binarnej złośliwego oprogramowania przy zachowaniu jego szkodliwych dla ofiary funkcjonalności. Polimorfizm Szyfrowanie formy binarnej wirusa jest techniką, która zapobiega wykryciu szkodnika przez antywirusy. Uruchomienie takiego wirusa czy też hybrydowego malware'u spowoduje najpierw jego odszyfrowanie, a następnie wykonanie właściwego złośliwego kodu. Proste techniki szyfrowania typu XOR (exlusive OR) mogą być skutecznie rozpoznane przez antywirusy, ponieważ funkcja szyfrująca /deszyfrująca jest stała. Polimorfizm również bazuje na szyfrowaniu kodu wirusa, lecz zawiera wbudowany silnik (ang. engine), który za każdym jego uruchomieniem generuje odmienną funkcję szyfrującą /deszyfrującą. Tak więc wirus polimorficzny (lub hybryda) z każdą infekcją kolejnego pliku zmienia całkowicie swoją formę binarną, zachowując niezmienione funkcjonalności.

12 Ukrywanie się w systemie 12 Metamorfizm Metamorfizm - podobnie jak polimorfizm - zmienia formę binarną malware'u, aby uniknąć wykrycia przez antywirusy. Tym razem jednak wbudowana procedura zmienia sam kod wirusa. Może na przykład zmieniać wykorzystywane rejestry, wstawiać instrukcje puste (NOP) lub stosować za każdym razem odmienne instrukcje skoku itp. W wyniku tych zmian z każdą infekcją zmienia się kod wirusa, co bardzo utrudnia jego wykrywanie, a detekcje sygnaturowe wręcz uniemożliwia. Zaciemnianie kodu (ang. obfuscation) Inną techniką utrudniania wykrycia i analizy malware'u jest zaciemnianie kodu. Polega ona na przetransformowaniu oryginalnego kodu programu z jego logicznym przebiegiem na formę mocno zagmatwaną, jednak zachowującą oryginalne funkcjonalności. Jest używana nie tylko w oprogramowaniu złośliwym, lecz także czasami dla ochrony praw autorskich legalnych aplikacji. Znacznie redukuje szanse na poprawną dekompilację kodu i bardzo utrudnia inżynierię wsteczną (ang. reverse engineering). I właśnie to jest celem producentów złośliwego oprogramowania uniemożliwienie analizy funkcjonalności malware'u, co istotnie utrudni jego zwalczanie. Warto w tym miejscu podkreślić, że współcześnie przestępcza działalność jest zorganizowana na wzór legalnego biznesu. Oferuje w pełni profesjonalne produkty z gwarancją i wsparciem technicznym typu hotline. Wykorzystuje najnowocześniejsze modele biznesowe, np. Malware as a Service (MaaS) na wzór Software as a Service (w skrócie SaaS, z ang. oprogramowanie jako usługa). Więcej na ten temat w publikacji Blackhatonomics An Inside Look at the Economics of Cybercrime, Copyright 2013 Elsevier, Inc.

13 Ukrywanie się w systemie 13 Kompresowanie binarne (ang. binary packing) Jest to technika polegająca na poddaniu kodu binarnego kompresji oraz dodaniu do niego procedury rozpakowującej. W wyniku powstaje trudny do wykrycia i analizy malware. Kompresja nie tylko zmniejsza rozmiar pliku wykonywalnego, lecz również zmienia jego formę binarną, oczywiście zachowując oryginalne funkcjonalności malware'u. Jest to swoisty recykling znanego malware'u wykrywanego przez większość antywirusów, bowiem poddanie go binarnej kompresji ponownie zapewnia mu niewykrywalność. Packery binarne zwykle są częścią składową zestawów do samodzielnego konfigurowania malware'u (ang. crimeware kits), sprzedawanych w cybernetycznym podziemiu jako produkty komercyjne - klient samodzielnie uzdatnia malware do ponownego użycia. Wirtualizacja jako zaciemnienie kodu Najnowszą techniką zaciemniania kodu w celu uniknięcia detekcji i utrudnienia analizy malware'u jest zastosowanie maszyny wirtualnej. Złośliwy kod jest wykonywany w środowisku wirtualnym. Istotnie utrudnia to jego analizę, ponieważ oprogramowanie służące do tego celu w takim przypadku jest całkowicie nieprzydatne. Malware chroniony przez wirtualizację jest więc bardzo niebezpiecznym i wyrafinowanym zagrożeniem. Tradycyjne metody zaciemniania modyfikują formę binarną kodu, lecz ostatecznie jest on wykonywany na platformie procesora Intel z wykorzystaniem jego instrukcji. Natomiast wirtualizacja malware'u daje w wyniku formę binarną składająca się z programu ładującego (ang. Boot Strap Code), interpretera maszyny wirtualnej (ang. VM Interpreter) oraz właściwego kodu złośliwego oprogramowania (ang. Byte Code). Jest to kod wykorzystujący inne instrukcje niż np. procesora Intel x86.

14 Ukrywanie się w systemie 14 Modyfikacja systemu typu rootkit Najbardziej wyrafinowane trojany po zainstalowaniu na komputerze ofiary aktywnie ukrywają swoja obecność w systemie. Są niewykrywalne nie tylko przez programy antywirusowe, lecz także przez zaawansowane oprogramowanie do analizy systemu. Nie tylko pliki składowe malware'u, lecz także złośliwe procesy lub złośliwe wątki wstrzyknięte do użytecznych procesów są całkowicie niewykrywalne. Właśnie takie funkcjonalności zapewnia oprogramowanie, które przejmuje pełną kontrolę nad systemem operacyjnym komputera, czyli rootkit - nazwa pochodzi z systemów Unix, w których root oznacza użytkownika o najwyższych uprawnieniach. Rootkit zapewnia niewidzialność szkodliwego działania malware'u poprzez nadzorowanie systemu i modyfikowanie informacji dostarczanych przez funkcje systemowe, np. usuwa z listy procesów proces malware'u oraz oczywiście swój własny, ukrywa niektóre klucze rejestru, pliki itp. Rootkit trybu użytkownika (ang. User Mode Rootkit) Ten rootkit ukrywa szkodliwe działanie wykorzystując procesy zwykłego użytkownika. Przechwytuje on krytyczne funkcje procesu poprzez modyfikację tablicy adresów funkcji importowanych przez proces (IAT). Może również wstrzykiwać biblioteki (DLL) lub inny kod do pamięci aktywnego procesu użytkownika. Często jest to proces eksploratora Windows lub przeglądarki internetowej, ponieważ oba są niezbędne i aktywne w czasie normalnego używania komputera. Rootkit trybu jądra - bootkit (ang. Kernel Mode Rootkit) Jest to jeszcze lepiej ukryta modyfikacja systemu operacyjnego polegająca na zainstalowaniu złośliwych sterowników urządzeń systemowych lub wstrzyknięciu złośliwego kodu w procesy systemowe.

15 Ukrywanie się w systemie 15 Ukryta komunikacja z serwerem nadzorującym Nawet najbardziej zaawansowany malware, realizując funkcje do których został przeznaczony, musi komunikować się za pośrednictwem internetu z serwerem/serwerami nadzorującymi (ang. Command and Control, C&C). Jest to jego pięta achillesowa, bo komunikację sieciową można wykryć niezależnie od tego, że malware pozostaje w ukryciu. Nie jest to jednak łatwe, ponieważ malware wykorzystuje wyrafinowane sposoby ukrywania swojej aktywności sieciowej. Może to być ukrywanie ruchu sieciowego malware'u poprzez wykorzystanie aplikacji, które są ze swej natury sieciowe. Najczęściej są to przeglądarki internetowe, oprogramowanie zdalnego dostępu itp. Muszą się one łączyć, realizując funkcje, do których zostały przeznaczone. Trudno jest zbadać, czy jakiś wątek takiej aplikacji nie realizuje złośliwego połączenia. Żeby utrudnić analizę, komunikacja nie jest ciągła, lecz nawiązywana co jakiś czas, czasami bardzo długi. Bot Andromeda komunikuje się z serwerem C&C co ponad 6 dni. Oczywiście sesja komunikacji trwa dość krótko tyle, ile trzeba, aby wyprowadzić skradzione dane lub też zaktualizować malware. W celu utrudnienia wykrycia lokalizacji serwera C&C wykorzystane są pośrednie zarażone komputery (tzw. zombie), działające jako proxy na niestandardowych portach (Fast Flux lub Dynamic DNS). Jednak przy zastosowaniu specjalistycznego oprogramowania można wykryć i przechwycić taki złośliwy ruch sieciowy. Odczytanie jego zawartości jest bardzo istotne dla analizy i unieszkodliwienia malware'u i/lub serwera/serwerów C&C. Niestety często jest niemożliwe. Nowy malware korzysta z szyfrowania komunikacji przy pomocy SSL, SSH (ang. Secure Shell) lub własnych implementacji może to być np. BitTorrent, wykorzystujący specyficzne szyfrowanie. Jest on zresztą ulubionym narzędziem hakerów i cyberprzestępców, ponieważ jest oparty na modelu komunikacji P2P (ang. peer-to-peer), trudnej do śledzenia i analizy, a przy tym stosunkowo niezawodnej.

16 Zrób to sam - pakiet ZeuS 16 Zrób to sam - pakiet ZeuS Trojan bankowy ZeuS, znany także jako Zbot i WSNPoem, to świetny przykład nowego malware'u. Zasługuje na szczególną uwagę z kliku względów. Istnieje od 2007 roku i nie tylko nie został unieszkodliwiony, lecz wyewoluował w szczególnie groźny malware. Prawdopodobnie powstał w Rosji lub innym kraju rosyjskojęzycznym. Umożliwia pełną kontrolę nad zainfekowanym komputerem, lecz jego podstawową funkcją jest wykradanie z komputera wszelkich danych uwierzytelniających do serwisów online, a zwłaszcza do bankowości internetowej. Umożliwia niezauważalne w czasie ataku wyciągnięcie wszystkich pieniędzy z konta bankowego dostępnego przez internet. W parze z trojanem ZitMo (ZeuSin-the-Mobile) instalowanym na smartfonie przełamuje bez problemu dwustopniowe uwierzytelnianie przy pomocy SMS-ów z banku (kody TAN).

17 Zrób to sam - pakiet ZeuS 17 Trojan ZitMo jest instalowany przy pomocy ZeuS'a, który wstrzykuje na legalnej stronie banku dodatkową treść, jak na przedniej stronie źródło: securelist.pl. Nie można jej odróżnić od treści umieszczonych na stronie przez bank, ponieważ jest wkomponowana lokalnie w przeglądarce (ang. webinject), a nawiązana sesja z bankiem jest jak najbardziej prawidłowa zgadza się adres internetowy, połączenie jest szyfrowane i oczywiście certyfikat banku jest autentyczny. Zresztą w podobny sposób trojan ZeuS omamia użytkownika, aby autoryzował przelew na konto przestępców. No nie! Na to są zbyt przebiegli. Wykorzystują konta zwerbowanych za pomocą oszukańczych maili nieświadomych, skuszonych ofertą łatwego zarobku ludzi, zwanych słupami (ang. money mule). ZeuS od strony technicznej jest bardzo wyrafinowanym malwarem, lecz jego skuteczne wykorzystanie nie wymaga zaawansowanej wiedzy. Został zaprojektowany jako swoisty pakiet (ang. crimeware kit) do samodzielnego użycia i dostosowania do zaatakowania wybranych ofiar. Obejmuje on graficzne środowisko: tzw. builder, służący do wygenerowania unikatowego binarnego malware'u oraz panel administratora (web admin panel) serwera C&C. Ten sam builder służy do skonfigurowania trojana przeciwko użytkownikom dowolnie wybranych banków. Zestaw ZeuS jest dostępny na czarnym rynku internetowym za niewygórowaną cenę builder za 4000$ (źródło: Prevx, marzec 2009), a panel administratora za 700$ (źródło: RSA Security, kwiecień 2008). Trojan ZeuS jest szeroko stosowany na całym świecie właśnie ze względu na połączenie dwóch pozornie sprzecznych ze sobą cech. Z jednej strony jest to stale rosnące wyrafinowanie techniczne, zapewniające wysoką skuteczność infekowania ofiar (drive-by-download, maile ze złośliwymi plikami PDF, a także nośniki przenośne USB), a z drugiej strony łatwość użycia, nawet przez początkujących cyberprzestępców. Więcej na temat sposobu działania tego trojana w artykule ZeuS na polowaniu.

18 Cryptolocker, cyfrowy bandyta 18 Cryptolocker, cyfrowy bandyta Trojan ZeuS jest niewątpliwie przebiegłym i skutecznym złodziejem, natomiast Cryptolocker jest bezwzględnym bandytą, najgroźniejszym przedstawicielem tzw. ransomeware (ang. ransom okup). Przestępcy w realu zwykle żądają okupu za uwolnienie porwanej i uwięzionej ofiary. A co może być ofiarą w cyfrowym świecie to, co najcenniejsze w naszych komputerach, czyli pliki z naszymi dokumentami, fotografiami, filmami itp. Trwała utrata dostępu do naszych plików w komputerze to niemały kłopot, a czasem nawet dramat, np. utrata prawie gotowej pracy dyplomowej, projektu czy szczególnie cennych zdjęć. Nie każdy robi kopie zapasowe na przenośnych nośnikach zewnętrznych. Często kopie są na tym samym fizycznym dysku twardym, np. na drugiej partycji, oznaczonej zwykle jako dysk logiczny D: (w systemach Windows). Jak działa Cryptolocker? Mechanizmy infekcji są typowe maile spamowe ze złośliwymi załącznikami lub linkami, pliki z tzw. aktywatorami (ang. keygen) komercyjnego oprogramowania, jak również przenośne nośniki USB. Po przedostaniu się do komputera Cryptolocker szyfruje wszystkie pliki użytkownika i wyświetla komunikat z żądaniem opłaty okupu (od 100 do 300$ lub 2 Bitcoiny) za ich odszyfrowanie. Szkodnik nie ukrywa się w systemie, bo jego wykrycie i usunięcie nie odszyfruje plików. Nie da się ich odzyskać, ponieważ Cryptolocker wykorzystuje silne szyfrowanie, chyba, że ofiara zapłaci okup. W cyberprzestępczym podziemiu pojawił się ostatnio jeszcze bardziej zaawansowany malware tego typu Prison Locker, zwany też Power Locker, dostarczany jako pakiet z interfejsem graficznym do jego konfiguracji. Znakomicie ułatwia to jego skuteczne użycie przeciw ofiarom.

19 Antywirusy a nowy malware 19 Antywirusy a nowy malware Antywirusy są nadal najpopularniejszym rodzajem oprogramowania ochronnego przed malwarem. Pojawiły się ćwierć wieku temu. Przez wiele lat skutecznie chroniły nasze komputery przed wirusami, wykorzystując technologię sygnaturowego rozpoznawania szkodników. Polega ona na poszukiwaniu w badanych plikach określonych wzorców bajtowych, zawartych w tzw. bazie sygnatur. Najpopularniejsze obecnie są trzy rodzaje sygnatur: powstałe z wykorzystaniem funkcji skrótu (ang. hash), wzorce bajtowe i sygnatury heurystyczne. Rozpoznanie malware'u, co daje szansę zablokowania szkodnika, jest możliwe tylko w przypadku, gdy program antywirusowy zawiera odpowiednią do jego binarnego kodu sygnaturę. Na tej podstawie można ocenić skuteczność współczesnych antywirusów. Jest ona dobra dla znanego malware'u oraz nikła dla nowego lub dla nowych form binarnych znanego malware'u. W tym pierwszym przypadku może sięgać 100%, a w drugim nie przekracza kilku procent (5%, źródło: grudzień 2012). A wg oceny firmy Symantec wynosi ogólnie około 45% (źródło: online.wsj.com, maj 2014). Dlaczego skuteczne przez wiele lat antywirusy stały się niewydolne w starciu z nowym malwarem? Są dwa główne powody. Po pierwsze wzrost ilości malware'u jest blisko wykładniczy, co nawet przy zastosowaniu zautomatyzowanych metod analizy i wytwarzania sygnatur jest dla producentów antywirusów wyzwaniem ponad miarę. Druga przyczyna jest związana z faktem, że nowoczesny malware rzadko masowo infekuje komputery. Działa skrycie, atakując lokalnie niewielką liczbę komputerów po prostu może nie zostać schwytany i przeanalizowany, a więc nie będzie możliwe wytworzenie wykrywającej go sygnatury.

20 Podsumowanie twarde fakty 20 Podsumowanie twarde fakty Współczesny malware wyewoluował w ciągu minionej dekady ze stosunkowo prostych wirusów i robaków, mających jedynie się replikować, w wyrafinowane aplikacje sieciowe, realizujące różne szkodliwe funkcje. Wirusy z już minionej epoki miały za zadanie zainfekowanie jak największej liczby komputerów, co miało przynieść ich twórcom swoistą hakerską sławę. Czasami nie realizowały nawet intencjonalnie wprowadzonego złośliwego działania (ang. payload). W ciągu ostatnich lat nastąpiła radykalna zmiana. Nowy malware jest tworzony nie dla sławy, lecz dla zysku. Im bardziej niewidzialny i skierowany na wybrane ofiary, tym lepiej. Liczy się tylko skuteczność wyliczana w finansowym zysku. Jest traktowany jako produkt, poddany zresztą regułom wzorowanym na legalnym biznesie. Wysokiej klasy specjaliści wytwarzają coraz bardziej zaawansowane technicznie złośliwe oprogramowanie, inni zajmują się jego dystrybucją, często oferując nawet wsparcie techniczne, a jeszcze inni posługują się nim w przestępczej działalności. Warto podkreślić, że jest to bardzo dochodowa działalność i stosunkowo mało ryzykowna w porównaniu z tradycyjną przestępczością. Trudno ją wykryć, a jeszcze trudniej zdobyć dowody wystarczające do skazania cyberprzestępcy. Nie ma najmniejszej wątpliwości, że ten cyberprzestępczy biznes będzie nadal się rozwijał. Nowy malware będzie nadal atakował komputery i coraz częściej wszelkiego rodzaju urządzenia mobilne, szczególnie smartfony z systemem Android. Będzie jeszcze bardziej niewidzialny i skuteczny. A do opanowania otwiera się internet rzeczy (ang. Internet of Things, IoT). Niedawno firma Proofpoint wykryła pierwszą lodówkę podłączoną do botnetu i wysyłającą spam źródło: technowinki.onet.pl. Czy jest więc się czego bać? Na pewno warto się nad tym zastanowić...

21 Źródła, ebooki, zasoby online 21 Źródła, ebooki, zasoby online Źródła: "Modern Malware For Dummies" by Lawrence C. Miller, CISSP, 2012 Sysintegrus bastion ochrony komputerów przed malwarem, 2012 The Worldwide Malware Signature Counter, Triumfant, Inc. Raport FireEye, Inc. "Linia Maginota w cyberbezpieczeństwie...", 2014 Raport FireEye, Inc. "Cybersecurity's Maginot Line...", 2014 Ransomware: a Q&A, w języku angielskim Ebooki: "DeRATyzacja komputerów. Jak schwytać i ubić trojany...", 2013 Fragment ebooka "DeRATyzacja..." w formacie PDF, Helion, 2013 "Nowy malware. Czas się bronić! Dla początkujących" - w oprac. "Nowy malware. Czas się bronić! Dla zaawansowanych" - w oprac. Zasoby online: Projekt SysClinic.pl DeRATyzacja komputera BleepingComputer.com - w języku angielskim SystemClinic.pl - forum Malware