Kaspersky Security Bulletin 2008

Transkrypt

1 Kaspersky Security Bulletin 2008 Ewolucja szkodliwego oprogramowania Aleksander Gostew Oleg Zajcew Siergiej Golowanow Witalij Kamliuk

2 Spis treści 2008 rok w skrócie... 3 Trendy 2008 roku... 5 Rootkity... 6 Rustock.c: trendy 6 Bootkity 7 Inne trendy związane z rootkitami w 2008 roku 7 Szkodliwe programy atakujące gry... 9 Główne cechy szkodliwych programów atakujących gry 10 Rozprzestrzenianie szkodliwych programów atakujących gry 12 Przesyłanie skradzionych danych 13 Prognoza 14 Ataki na portale społecznościowe Dlaczego atakowane są portale społecznościowe? 15 Szkodliwe programy 16 Ataki na portale społecznościowe w 2008 roku 18 Szkodliwe programy: aktywność sieciowa Porty wykorzystywane przez szkodliwe programy. Połączenia sieciowe 20 Zapytania sieciowe 21 Domeny drugiego poziomu atakowane przez szkodliwe programy 22 Usługi DDNS oraz cyberprzestępcy 23 Wnioski 24 Prognozy na 2009 rok Globalne epidemie 26 Trojany atakujące gry: spadek aktywności 26 Malware Phishing/Scam 28 Migracja na inne platformy/systemy operacyjne 29 2

3 2008 rok w skrócie W 2008 roku zakończyła się epoka epidemii. W okresie tym, trwającym od 2000 r. i charakteryzującym się dużą liczbą robaków (które początkowo rozprzestrzeniały się za pośrednictwem poczty elektronicznej, a następnie ataków sieciowych), największe nasilenie epidemii miało miejsce w latach Lata to okres, który cechował się szybkim wzrostem liczby programów trojańskich tworzonych w celu kradzieży informacji, głównie dotyczących kont bankowych oraz gier online. W okresie tym w przemyśle tworzenia szkodliwego oprogramowania widoczny jest wyraźny podział pracy : różne grupy osób uczestniczą w różnych etapach rozwoju produktu związanych z tworzeniem, dystrybucją i wykorzystywaniem szkodliwych programów. Biznes cyberprzestępczy przekształcił się w sieć usług, jakie oferują sobie wzajemnie cyberprzestępcy. Wielu zapamięta rok 2007 jako ten, w którym nastąpił upadek tak zwanego niekomercyjnego szkodliwego oprogramowania. Z kolei w 2008 roku wymarły ekskluzywne szkodliwe programy, tzn. takie, które były tworzone i wykorzystywane przez jedną lub dwie osoby. Większość trojanów i wirusów wykrytych w 2008 roku zostało stworzonych wyłącznie na sprzedaż. W tym samym czasie twórcy szkodliwego oprogramowania oferowali również usługi wsparcia technicznego. Doradzali między innymi, jak obejść ochronę antywirusową, gdyby produkty antywirusowe zaczęły wykrywać określone pliki. Światowym liderem w dziedzinie rozwoju szkodliwych programów zostały Chiny. Chińscy hakerzy nie ograniczali się do tworzenia własnych programów trojańskich, ale zaczęli również lokalizować obce (głównie rosyjskie) szkodliwe programy. Stworzyli między innymi chińskie wersje popularnych exploitów, takich jak IcePack, FirePack czy MPack, oraz zlokalizowali kilka wariantów trojanów Pinch i Zeus. Ponadto, chińscy cyberprzestępcy nadal aktywnie poszukiwali luk w zabezpieczeniach popularnego oprogramowania, w szczególności Microsoft Office oraz Microsoft Windows. Ich działania okazały się stosunkowo skuteczne a największym osiągnięciem okazało się zidentyfikowanie luki w zabezpieczeniach NetAPI Windows. W rezultacie, koniec 2008 roku charakteryzował się dużą liczbą ataków wykorzystujących lukę w zabezpieczeniach MS Między kwietniem a październikiem 2008 roku przeprowadzono dwa masowe ataki hakerów na strony internetowe, które nie miały sobie równych w historii Internetu. W pierwszym z nich (kwiecień-czerwiec 2008) zaatakowane zostały ponad dwa miliony zasobów internetowych na całym świecie. Hakerzy wykorzystali wstrzykiwanie SQL w celu osadzania poleceń w kodzie zaatakowanej strony, które przekierowywało użytkowników na strony cyberprzestępców. Te z kolei infekowały komputery użytkowników szkodliwym oprogramowaniem. Mimo to w 2008 roku trendy ustanawiali głównie rosyjskojęzyczni twórcy wirusów. Nadal agresywnie wykorzystywali model Malware 2.0, który charakteryzuje się kilkoma głównymi cechami: po pierwsze, różne szkodliwe moduły wykonują różne funkcje; po drugie, w celu zapewnienia komunikacji pomiędzy modułami wykorzystywane są standardowe 3

4 środki; po trzecie, kanały transmisji danych oraz centra kontroli są zabezpieczone przed penetracją. Najlepszym przykładem ilustrującym to zjawisko były dwa niebezpieczne rootkity wykryte w 2008 roku - Rustock.c (zaklasyfikowany przez firmę Kaspersky Lab jako Virus.Win32.Rustock.A) oraz Sinowal (Bootkit). Rootkity te zawierały przełomowe technologie, które wcześniej nie były znane w branży antywirusowej. Pod względem rozmiaru i złożoności struktura tych dwóch szkodliwych programów przewyższała tę stworzoną dla robaków Zhelatin i Warezov. Zgodnie z przewidywaniami, w 2008 roku powróciły wirusy plikowe. Pierwotna szkodliwa funkcjonalność, infekowanie plików, została rozszerzona o kilka nowych funkcji: wirusy potrafią teraz kraść dane i, co ważniejsze, mogą rozprzestrzeniać się za pośrednictwem nośników wymiennych, dzięki czemu w krótkim czasie mogą wywołać masowe infekcje. Prawie wszystkie z dzisiejszych wirusów to wirusy polimorficzne, co stwarza dodatkowe problemy producentom rozwiązań antywirusowych, gdyż utrudnia tworzenie procedur wykrywania i leczenia w akceptowalnym przedziale czasowym. Okazało się, że robaki znajdujące się na dyskach USB flash potrafią obejść tradycyjną ochronę sieci korporacyjnych (np. rozwiązanie antywirusowe dla serwerów pocztowych, zapora sieciowa i rozwiązanie antywirusowe dla serwerów plików). Po przeniknięciu lokalnych sieci, na skutek obejścia ochrony, robaki te mogą szybko rozprzestrzenić się w całej sieci, kopiując się do wszystkich dostępnych zasobów sieciowych. Ciągły wzrost popularności portali społecznościowych oraz ich aktywne wykorzystywanie w państwach z dużą liczbą nowych użytkowników Internetu (Azja Południowo Wschodnia, Indie, Chiny, Ameryka Południowa, Turcja, Afryka Północna i były Związek Socjalistycznych Republik Radzieckich) spowodowały, że ataki przeprowadzane na i za pośrednictwem takich portali nie stanowiły już odosobnionych przypadków, a raczej zjawisko będące na porządku dziennym. Według szacunków ekspertów, współczynnik skuteczności rozprzestrzeniania szkodliwego kodu za pośrednictwem portali społecznościowych wynosi w przybliżeniu 10% i jest znacznie wyższy niż współczynnik skuteczności rozprzestrzeniania szkodliwego oprogramowania za pośrednictwem poczty elektronicznej (który wynosi 1%). W 2008 roku zaprzestano rozprzestrzeniania wielu wariantów robaka Zhelatin (znanego również jako Storm Worm). Prawie dwuletnia historia tego robaka (jego pierwsze warianty pojawiły się w styczniu 2007 r.) zrodziła wiele pytań. Niemalże mityczny botnet robaka Storm, który według niektórych szacunków składał się z ponad 2 milionów komputerów (według innych szacunków z 50 milionów), nigdy w pełni nie zrealizował swojego potencjału i przewidywane gigantyczne wysyłki spamowe, jak również ataki DDoS nigdy nie miały miejsca. Jednym z powodów może być zamknięcie RBN (Russian Business Network), firmy hostingowej wykorzystywanej przez cyberprzestępców. Po tym, jak rozgorzały dyskusje o tym, jak sieć ta może być zamieszana w niemal każdą aktywność przestępczą w Internecie, nieznani właściciele RBN przenieśli swój biznes na strony hostingowe na 4

5 całym świecie, od Singapuru po Ukrainę, i zaczęli prowadzić swoją działalność w mniej jawny sposób. Jesienią zeszłego roku w cyberprzestępczość wymierzono kilka poważnych ciosów. Dzięki skoordynowanym działaniom dostawców usług internetowych, rządów i firm antywirusowych zamknięto Atrivo/Intercage, EstDomains oraz McColo. Zamknięcie McColo spowodowało gwałtowny spadek ilości spamu w Internecie o ponad 50%. W rezultacie przestało działać wiele botnetów, które wcześniej były zarządzane za pośrednictwem tych zasobów. Chociaż w ciągu kilku tygodni ilość spamu zaczęła wracać do poprzedniego poziomu, incydent ten stanowi jedno z najważniejszych zwycięstw ostatnich lat. Trendy 2008 roku Zarówno branża antywirusowa, jak i bezpieczeństwa IT, padły ofiarą najważniejszych incydentów 2008 roku, które można podzielić na cztery główne grupy: Rootkity Portale społecznościowe Gry online Botnety Nikogo nie zdziwiło, że obszary te znalazły się w centrum uwagi. Incydenty, które miały miejsce, pokazały, że wykorzystywane technologie i metody nadal będą ewoluować i staną się w przyszłości bardziej wyrafinowane. Rozprzestrzenianie rootkitów stanowiło poważniejszy problem niż w poprzednim roku. Firma Kaspersky Lab opublikowała trzy duże badania dotyczące tego zagrożenia: Rustock mit czy rzeczywistość?, Ewolucja rootkitów oraz Bootkit: wyzwanie 2008 roku. Wszystkie te publikacje wyjaśniają, w jaki sposób rootkity mogą być wykorzystywane do przeprowadzania wyrafinowanych ataków. Pokazują również, że cała branża antywirusowa musi połączyć wysiłki, aby znaleźć sposób na wykrywanie i leczenie aktywnych rootkitów. Jak dotąd ciągła ewolucja systemu Windows nie przyniosła żadnych efektów. Rootkity nadal będą istniały i będą stawały się coraz bardziej wyrafinowane. Tak jak przewidywaliśmy, w zeszłym roku portale społecznościowe stanowiły popularny cel ataków. Portale te przyciągają coraz więcej użytkowników i wpływają na rozwój Internetu. Oferują ogromne możliwości w zakresie promowania nowych serwisów jak również reklamy. W krajach rozwiniętych prawie wszyscy użytkownicy Internetu są zarejestrowani na portalach społecznościowych. Gwałtownie wzrasta również popularność takich serwisów w Azji Południowo Wschodniej. Kolejnym szybko rosnącym segmentem są gry online. Gry online nie stanowią części Internetu, są jednak wykorzystywane jako sposób komunikacji i stanowią ważny element współczesnego społeczeństwa. Gry online są bardzo popularne, zwłaszcza w Korei Południowej, Chinach i Azji Południowo-Wschodniej, przez co stanowią atrakcyjny cel dla twórców wirusów. 5

6 Trojany atakujące gry wyprzedziły trojany, których celem są użytkownicy systemów płatności online i systemów bankowych. Obecnie programy te często posiadają zdolność infekowania plików i potrafią rozprzestrzeniać się za pośrednictwem nośników wymiennych. Oprócz tego wykorzystywane są do tworzenia botnetów. Jednym z głównym celów wspomnianych chińskich ataków hakerskich było rozprzestrzenianie trojanów atakujących gry. Botnet słowo, które jeszcze kilka lat temu używane było tylko przez personel firm antywirusowych w 2008 roku stało się powszechnie stosowanym terminem. Botnety stały się głównym źródłem spamu, ataków DDoS, zaczęły być również wykorzystywane do rozprzestrzeniania nowych szkodliwych programów. Oprócz artykułów poświęconych konkretnym incydentom w 2008 roku opublikowaliśmy tekst zatytułowany Biznes botnetowy, który stanowi poradnik dla początkujących dotyczący botnetów. Jak już wspominaliśmy, nadal lekceważy się rzeczywisty zasięg problemu botnetów oraz ich wpływ na przemysł tworzenia wirusów. Bezpieczeństwo Internetu jako całości zależy od rozwiązania tego problemu w tym celu niezbędna jest współpraca branży antywirusowej, podmiotów regulujących Internet jak również organów rządowych i ścigania. Już teraz podejmowane są działania w tym kierunku. W 2008 roku odbyło się kilka konferencji poświęconych temu zagadnieniu. Częścią tego procesu było również zamknięcie Atrivo oraz McColo. Jednak kwestia ta nie została jeszcze rozwiązana i w 2009 roku botnety nadal będą głównym problemem. Rootkity W 2008 roku miały miejsce dwa główne zdarzenia związane z rootkitami. Pierwszym z nich była analiza niesławnego rootkita Rustock.c. O rootkicie tym głośno było nie tyle ze względu na wykorzystane w nim technologie, co pogłoski na temat niemożności zidentyfikowania go. Drugim wydarzeniem było pojawienie się na wolności ogromnej liczby wariantów bootkita (Sinowal). Kaspersky Lab klasyfikuje rootkita Rustock.c jako Virus.Win32.Rustock.a ze względu na jego zdolność infekowania plików. Rustock.c: trendy 1. Infekowanie plików jako metoda autostartu Metoda infekowania plików wykorzystana przez rootkita Rustock.c przypomina metodę stosowaną przez standardowe wirusy plikowe. Jedyna różnica polega na tym, że Rustock.c infekuje sterownik systemowy, co daje mu kilka przewag pod względem maskowania swojej aktywności. Rootkit nie wykorzystuje osobnego sterownika, dlatego nie ma potrzeby ukrywania go ani na dysku twardym, ani w pamięci. Nie trzeba również ukrywać skojarzonego z nim klucza rejestru. Oprócz ukrycia obecności rootkita w systemie zainfekowanie sterownika systemowego utrudnia wyczyszczenie zainfekowanej maszyny. Jeżeli komputer jest zainfekowany standardowym rootkitem, wystarczy tylko usunąć komponenty rootkita z dysku twardego. Jednak w tym przypadku do przywrócenia 6

7 zainfekowanego sterownika niezbędna jest kopia zapasowa lub wykorzystane rozwiązanie antywirusowe musi zawierać procedurę leczenia. 2. Personalizacja rootkita oraz połączenie z komponentami sprzętowymi Jedną z istotnych cech rootkita Rustock.c jest to, że dropper rootkita przechwytuje informacje systemowe dotyczące zaatakowanych maszyn i wysyła je do serwera internetowego, gdzie na podstawie otrzymanych danych tworzone jest ciało rootkita. Zaszyfrowane ciało rootkita jest następnie wysyłane do droppera. Połączenie z komponentami sprzętowymi, wraz z szyfrowaniem ciała rootkita oraz technikami zapobiegającymi emulacji zintegrowanymi w rootkicie, utrudniają zarówno automatyczne wykrywanie jak i analizę. Techniki zaimplementowane w rootkicie Rustock.c były dalej rozwijane. W grudniu 2008 roku wykryto występującą na wolności próbkę tego rootkita (obecnie firma Kaspersky Lab klasyfikuje ją jako Trojan.Win32.Pakes.may), która wykorzystuje tę samą technikę. Rootkit ten infekuje sterownik systemowy ndis.sys w czasie pobierania zaszyfrowanego ciała rootkita z panda-server.ru. Kod, który infekuje ndis.sys, jest zaszyfrowany. Podczas pobierania uruchamiany jest specjalny kod, który deszyfruje sterownik i przekazuje mu kontrolę. Wspomniana próbka implementuje wszystkie główne technologie wykorzystane w rootkicie Rustock.c: zaszyfrowane ciało rootkita jest pobierane ze strony cyberprzestępców, w celu ochrony rootkita przed analizą wykorzystywana jest kryptografia oraz techniki zapobiegające debugowaniu. Rootkit ten działa również w sposób podobny do Rustocka; wysyła spam poprzez wstrzykiwanie do procesów systemowych kodu, który pobiera szablony i parametry masowych wysyłek. Kod ten przeprowadza również masowe wysyłki. Bootkity Próbki bootkita (proof of concept lub wersje demonstracyjne), które skutecznie implementowały wykorzystane technologie, pojawiły się w latach , po publikacji materiałów znanych jako eeye Bootroot. Występujące na wolności próbki rootkitów były wykrywane w 2007 roku, a ich największa liczba pojawiła się w 2008 roku. Najsławniejszym bootkitem jest Trojan-Spy.Win32.Sinowal. Bootkit ten wykorzystuje koncepcję podobną do tej wykorzystywanej przez wirusy sektora rozruchowego z ery DOS-a. Bootkit infekuje sektor rozruchowy lub sektor MBR dysku systemowego, co pozwala mu przejąć kontrolę, zanim zostanie załadowane jądro systemu operacyjnego i uruchomiony program antywirusowy. Po przejęciu kontroli bootkit lokalizuje się w przestrzeni adresowej jądra i maskuje swoje sektory na dysku. Wykorzystywane są do tego klasyczne metody, zwykle filtrowanie pakietów IRP. Dropper bootkita otwiera dysk w trybie odczytu/zapisu sektora, co pozwala na wykrywanie takich operacji przy użyciu emulacji, systemu oceny zagrożeń lub systemu HIPS/PDM, a następnie blokowanie droppera. Inne trendy związane z rootkitami w 2008 roku W 2008 roku rozwijane były następujące technologie związane z rootkitami: 7

8 1. Technologie tworzone w celu zwalczania programów i narzędzi antywirusowych. W 2008 roku te technologie autoochrony nieustannie zmieniały się. Do najpopularniejszych należały: - Blokowanie lub uszkadzanie plików antywirusowych. Pliki są identyfikowane poprzez wykorzystywanie maski nazwy pliku lub sygnatury. Metoda blokowania przy użyciu sygnatury jest bardziej niebezpieczna ze względu na swój uniwersalny charakter. - Instalacja rootkita poprzez zamianę sterowników systemowych, np. beep.sys. W tym przypadku, sterownik nie musi być rejestrowany w rejestrze systemowym; podczas przeglądania dzienników zdarzeń nie będzie widoczny żaden dodatkowy (niesankcjonowany) sterownik. - Wykorzystywanie nowych metod autoochrony i maskowania. Oprócz standardowych metod przechwytywania funkcji KiST, łączenia kodu maszynowego funkcji jądra czy filtrowania IRP cyberprzestępcy zaczęli łączyć kod sterownika IRP oraz wykorzystywać standardową procedurę systemową CallBack, aby pracować z rejestrem. Ponadto aktywnie wykorzystywane są metody zwalczania rozwiązań do ochrony przed rootkitami: - blokowanie dostępu do plików jądra, uniemożliwiające analizowanie kodu maszynowego takich plików, co jest konieczne w celu przywrócenia jądra w pamięci i szukania przechwyconych funkcji; - zastępowanie kontekstu plików jądra i plików należących do rootkita; z reguły dokonuje się tego poprzez przechwytywanie otwartych funkcji plików i otwieranie kolejnego pliku systemowego EXE zamiast otwierania jądra; - uniemożliwianie otwierania dysku w trybie odczytu/zapisu sektora; zwalcza to rozwiązania antywirusowe i antyrootkitowe wykorzystujące własne algorytmy parsowania systemu plików; - przechwytywanie funkcji NTSaveKey i NTSaveKeyEx w celu uniemożliwienia tworzenia i parsowania zrzutu rejestru systemowego (metoda ta jest wykorzystywana w najnowszej generacji rootkita TDSS); - śledzenie punktów przechwytywania i ich przywracanie (metoda ta była wykorzystywana od czasu pojawienia się rootkita A311 Death, obecnie nadal jest aktywnie wykorzystywana, na przykład w najnowszych wariantach rootkita RDSS). 2. Nowe technologie maskowania obecności obiektów na dysku. Opierają się one na modyfikowaniu obiektów tablicy MFT (Master File Table) podczas odczytu lub bezpośrednio na dysku. Technologie te nie są jeszcze powszechnie wykorzystywane, jednak prawdopodobnie nadal będą ewoluowały. Metoda ta może wyglądać następująco: rootkit oblicza lokalizację fizyczną odpowiedniego rekordu MFT i podczas odczytu zamienia rekord MFT pliku chronionego na przykładowo rekord obiektu systemowego. Umożliwia to zamaskowanie zawartości plików bez konieczności wykorzystywania klasycznych punktów przechwytywania. Innym przykładem jest modyfikowanie indeksów woluminu NTFS (zidentyfikowano to we wrześniu 2008 roku w komponencie rootkita trojana Trojan- GameThief.Win32.OnLineGames.snjl). 8

9 Szkodliwe programy atakujące gry Chociaż w przypadku większości gier online, sprzedawanie wirtualnych przedmiotów za prawdziwe pieniądze jest zabronione, liczba osób, które chcą je kupić, wzrasta. W większości przypadków nabywców nie interesuje pochodzenie takich przedmiotów: nie obchodzi ich, czy przedmiot został zdobyty legalnie czy też skradziony właścicielowi przy użyciu szkodliwego kodu. Taka sytuacja naturalnie zachęca twórców wirusów; prowadzi również do wzrostu cen oraz kryminalizacji rynku wirtualnych przedmiotów. W 2008 roku liczba szkodliwych programów stworzonych w celu kradzieży haseł do gier online stale rosła: w roku tym zidentyfikowano nowych trojanów atakujących gry aż trzykrotnie więcej niż w 2007 roku (32 374). Liczba szkodliwych programów stworzonych w celu kradzieży haseł do gier online Spośród szkodliwych programów atakujących gry online, najpowszechniejsza była rodzina Trojan-GameThief.Win32.OnLineGames. Celem szkodliwych programów z tej rodziny jest kradzież haseł do kilku gier online jednocześnie: obecnie 65,4% wszystkich trojanów atakujących gry należy do tej rodziny. Latem 2008 roku nastąpił spory wzrost aktywności tych trojanów: w sierpniu firma Kaspersky Lab wykryła prawie nowych programów należących do rodziny Trojan-GameThief.Win32.OnLineGames jeden nowy szkodliwy program wykrywany był co cztery minuty. Z kolei inna rodzina, Trojan-GameThief.Win32.WOW, która atakuje tylko grę World of Warcraft, do listopada 2008 roku wykazywała aktywność na stałym poziomie. W listopadzie hakerzy włamali się na około stron, umieszczając na nich szkodliwy kod. Najbardziej ucierpiały strony europejskie i amerykańskie, ponieważ w tych regionach znajduje się największa liczba graczy World of Warcraft. Incydent ten został celowo za- 9

10 planowany na 13 listopada, czyli datę publikacji Wrath of the Lich King, drugiego rozszerzenia World of Warcraft. Liczba szkodliwych programów (według rodziny) kradnących hasła do gier online w 2008 roku Przeważającą większość szkodliwych programów tworzonych w celu kradzieży haseł do gier online stanowią trojany atakujące gry, natomiast wirusy i robaki stanowią około 10% takich szkodników. Jednak we wrześniu 2008 roku wzmożoną aktywność wykazały samodzielnie rozprzestrzeniające się szkodliwe programy, jednocześnie gwałtownie wzrosła liczba wariantów Worm.Win32.AutoRun. Główne cechy szkodliwych programów atakujących gry Szkodliwe programy atakujące gry online w 2008 roku charakteryzowały się następującymi cechami: Jeden szkodliwy program może zawierać moduły kradnące hasła do kilku gier online; Szkodliwe programy atakujące gry mogą zawierać backdoora umożliwiającego stworzenie sieci z zainfekowanych maszyn (botnet); W szkodliwych programach atakujących gry powszechnie wykorzystuje się szyfrowanie i programy pakujące w celu uniemożliwienia wykrycia lub analizy programu; Szkodliwe programy atakujące gry aktywnie przeciwdziałają wykryciu ich przez rozwiązania antywirusowe; 10

11 Programy te wykorzystują technologie rootkit. W 2008 roku najbardziej zaawansowanym technicznie szkodliwym programem atakującym gry był Trojan-GameThief.Win32.Magania. Rodzina ta była odpowiedzialna za najważniejsze incydenty związane ze szkodliwymi programami atakującymi gry. W czerwcu 2008 roku trojan ten został zmodyfikowany o ile wcześniej wykorzystywany był do atakowania użytkowników gry Gamania ( w 2008 roku potrafił kraść hasła do prawie wszystkich znanych gier online, łącznie z: World of Warcraft Lineage Lineage 2 FunTown ZhengTu Perfect World Dekaron Siwan Mojie HuangYi Online RuneScape Rexue Jianghu ROHAN Online Seal Online Lord of the Rings Maple Story Reign of Revolution Talesweaver ZodiacOnline. Trojan-GameThief.Win32.Magania skutecznie wykorzystywał wiele metod, które uniemożliwiały wykrycie go i usunięcie z zainfekowanych komputerów. 11

12 Technologie rootkit w trojanie Trojan-GameThief.Win32.Magania Rozprzestrzenianie szkodliwych programów atakujących gry W 2008 roku do rozprzestrzeniania szkodliwych programów atakujących gry powszechnie wykorzystywane były poniższe metody: Wykorzystywanie niezidentyfikowanych luk w zabezpieczeniach zasobów sieciowych w celu zainfekowania dużej liczby stron; Wykorzystywanie nieznanych luk w zabezpieczeniach oprogramowania klienckiego; Tworzenie uaktualnień dla szkodliwych programów w częstszych odstępach niż publikowanie uaktualnień dla oprogramowania antywirusowego; Masowe wysyłki zawierające odsyłacze do zainfekowanych stron. Jeżeli weźmiemy sto dowolnych nowych szkodliwych programów, prawdopodobnie każdy z nich zdoła zainfekować średnio pięciuset użytkowników. Tak wysoki współczynnik infekcji jest możliwy dzięki wykorzystaniu luk w zabezpieczeniach oprogramowania na zaatakowanych maszynach. W 2007 roku kampanię przeciwko szkodliwym programom atakującym gry prowadzili producenci rozwiązań antywirusowych, twórcy gier online oraz administratorzy serwerów gier. W 2008 roku przyłączyli się do nich administratorzy zaatakowanych stron internetowych oraz twórcy oprogramowania wykorzystywanego przez oszustów w celu przemycenia szkodliwego oprogramowania na komputery użytkowników. Jednym z ważniejszych incydentów, jakie miały miejsce w 2008 roku, było wykorzystanie przez cyberprzestępców błędu w przetwarzaniu plików XML w przeglądarce Internet Explorer w celu rozprzestrzeniania trojana Trojan-GameThief.Win32.Magania. Luka MS08-78 była tak szeroko rozpowszechniona, że według Microsoftu zainfekowanych zostało 0,2% wszystkich użytkowników Internetu. 12

13 Lokalizacja serwerów, na których umieszczono exploity w celu rozprzestrzeniania trojanów atakujących gry W rozprzestrzenianiu szkodliwego programu pomaga również jego szybka (i częsta) modyfikacja; program zostaje zmieniony, zanim do antywirusowych baz danych zostanie dodana sygnatura. W 2008 roku najważniejszymi wydarzeniami związanymi ze szkodliwym oprogramowaniem atakującym gry były: Kwiecień 2008 roku. Nieznani cyberprzestępcy włamali się na ponad stron internetowych w celu zainfekowania odwiedzających je użytkowników trojanem Trojan-GameThief.Win32.OnLineGames. Lipiec 2008 rok. Przeprowadzono masową wysyłkę zawierającą odsyłacze do wirusa polimorficznego Virus.Win32.Alman.b. Wirus ten zawiera moduł kradnący hasła do gier online. Wirus Alman.b został wykryty w kwietniu 2007 roku. Sierpień 2008 roku. Na pokładzie międzynarodowej stacji kosmicznej wykryto trojana Trojan-GameThief.Win32.Magania. Grudzień 2008 rok. Luka MS08-78 w zabezpieczeniach przeglądarki Internet Explorer została wykorzystana do rozprzestrzeniania szkodliwych programów z rodziny Trojan-GameThief.Win32.Magania. Przesyłanie skradzionych danych Szkodliwe programy wysyłały skradzione hasła cyberprzestępcom za pośrednictwem poczty elektronicznej do wyznaczonych serwerów, które następnie przesyłały informacje cyberprzestępcom. Adresy IP serwerów zmieniają się regularnie, w niektórych przypadkach kilka razy dziennie. Metoda ta gwarantuje cyberprzestępcom anonimowość, a częsta zmiana nazw domen zapobiega umieszczeniu serwerów przekierowujących na czarnej liście. 13

14 Lokalizacja serwera przekierowującego, do którego wysyłane są e zawierające skradzione hasła Serwery dostarczające exploity, szkodliwe programy oraz e zawierające skradzione hasła zlokalizowane są głównie w Azji i na Dalekim Wschodzie. Prognoza Globalny kryzys gospodarczy prawdopodobnie nie będzie miał żadnego wpływu na branżę gier i w 2009 roku światy gier online nadal będą rozwijane. W 2009 roku przewidujemy następujące główne trendy: Tworzenie infrastruktury wykorzystywanej do automatycznego generowania i rozprzestrzeniania szkodliwych programów kradnących hasła do gier online; Wykorzystywanie nowych kanałów dostarczania szkodliwych programów do użytkowników (komunikatory internetowe, sieci P2P itd.); Powszechne wykorzystywanie luk zero-day (dla których nie istnieją jeszcze poprawki) w aplikacjach i systemach operacyjnych; Powszechne wykorzystywanie luk zero-day w celu włamywania się na strony internetowe i rozprzestrzeniania szkodliwych programów atakujących gry; Powszechne wykorzystywanie wirusów plikowych oraz robaków sieciowych w celu kradzieży haseł do gier online; Ataki stają się coraz bardziej rozpowszechnione i wyrafinowane. Działania użytkowników gier online przyczyniają się do wzrostu rynku wirtualnych przedmiotów, który z kolei stanowi źródło dochodów cyberprzestępców i twórców wirusów. 14

15 Ataki na portale społecznościowe W ostatnich latach portale społecznościowe stały się jednym z najpopularniejszych zasobów w Internecie. RelevantView oraz evoc Insights przewidują, że w 2009 roku z portali społecznościowych będzie korzystało około 80% wszystkich użytkowników Internetu ponad miliard osób. Rosnąca popularność portali społecznościowych nie umknęła uwadze cyberprzestępców; w 2008 roku serwisy te stanowiły wylęgarnię szkodliwych programów i spamu oraz nowe źródło nielegalnych dochodów w Internecie. Dlaczego atakowane są portale społecznościowe? Z reguły użytkownicy portali społecznościowych ufają innym użytkownikom. To oznacza, że bez namysłu akceptują wiadomości wysłane przez osobę znajdującą się na ich liście przyjaciół; tym samym ułatwiają cyberprzestępcom wykorzystywanie takich wiadomości do rozprzestrzeniania odsyłaczy do zainfekowanych stron. W celu skłonienia odbiorcy do kliknięcia odsyłacza zawartego w wiadomości, a w rezultacie pobrania szkodliwego programu, stosowne są różne metody. W jaki sposób można rozprzestrzeniać szkodliwe oprogramowanie: a) Użytkownik otrzymuje od zaufanego kontaktu odsyłacz, który prowadzi na przykład do klipu wideo. b) Użytkownik zostaje poinformowany, że w celu obejrzenia filmu musi zainstalować określony program. c) Po zainstalowaniu program ten kradnie konto użytkownika i wysyła szkodliwy program do zaufanych kontaktów ofiary. Opisana wyżej metoda przypomina sposób rozprzestrzeniania robaków pocztowych. Jednak współczynnik skuteczności rozprzestrzenianego szkodliwego kodu za pośrednictwem portali społecznościowych wynosi około 10% i przewyższa skuteczność rozprzestrzeniania szkodliwego oprogramowania za pośrednictwem poczty elektronicznej (która wynosi 1%). Skradzione nazwy i hasła należące do użytkowników portali społecznościowych mogą być wykorzystywane do wysyłania odsyłaczy do zainfekowanych stron, spamu lub oszukańczych wiadomości (np. prośby o pilny przelew pieniędzy). Wszystko to pozwala cyberprzestępcom zarobić pieniądze. Obecnie w Internecie można znaleźć szeroki wachlarz ofert cyberprzestępców: od włamywania się na konta znajdujące się na portalach społecznościowych po przeprowadzanie wysyłek na adresy z listy kontaktów lub zbieranie informacji o konkretnym użytkowniku. 15

16 Szkodliwe programy Oferta usług włamywania się na konta Pod koniec 2008 roku kolekcja firmy Kaspersky Lab zawierała ponad szkodliwych plików związanych z portalami społecznościowymi. Całkowita liczba szkodliwych programów atakujących portale społecznościowe Liczba programów atakujących portale społecznościowe otrzymanych przez laboratorium antywirusowe firmy Kaspersky Lab pokazuje, że serwisy te stają się coraz popularniejszym celem dla cyberprzestępców. 16

17 Liczba szkodliwych programów atakujących popularne portale społecznościowe W poniższej tabeli porównano współczynnik ryzyka poprzez zestawienie liczby szkodliwych programów, które atakowały użytkowników różnych portali społecznościowych ( w 2008 roku z liczbą zarejestrowanych na nich użytkowników. Portal społecznościowy Liczba szkodliwych programów wykrytych w 2008 roku Liczba zarejestrowanych użytkowników Prawdopodobieństwo zainfekowania użytkownika Lokalizacja geograficzna większości zarejestrowanych użytkowników (źródło: lemonde.fr) Odnoklassniki ,0150% Rosja Orkut ,0089% Ameryka Łacińska Bebo ,0059% Europa Livejournal ,0047% Rosja Friendster ,0032% Region Azji Pacyficznej Myspace ,0030% Ameryka Północna Facebook ,0026% Ameryka Północna Cyworld ,0015% Korea Południowa Skyblog ,0013% Francja Współczynnik ryzyka dla najpopularniejszych portali społecznościowych Zwycięzcą pod względem liczby szkodliwych programów na jednego użytkownika jest rosyjski portal Odnoklassniki.ru. Najbardziej globalny portal społecznościowy, МуSpace, znajduje się dopiero na szóstym miejscu, mimo że prowadzi pod względem całkowitej liczby szkodliwych programów rozesłanych wśród jego użytkowników w 2008 roku. Wśród szkodliwych programów atakujących takie portale można wyróżnić szeroki wachlarz zachowań: Trojan-Spy, Trojan-PSW, Worm, Trojan itd. 17

18 Ataki na portale społecznościowe w 2008 roku Styczeń Na portalu społecznościowym Facebook umieszczono aplikację flashową o nazwie Secret Crush zawierającą odsyłacz do programu AdWare. Zanim administratorzy portalu usunęli tę aplikację, zdążyło ją pobrać ponad 1,5 miliona użytkowników. Maj Firma Kaspersky Lab wykryła trojana o nazwie Trojan- Mailfinder.Win32.Myspamce.a rozprzestrzeniającego spam za pośrednictwem poleceń na portalu MySpace. W tym samym tygodniu na rosyjskim portalu VKontakte został znaleziony robak sieciowy o nazwie Net-Worm.Win32.Rovud.a. Robak ten rozsyłał zainfekowany odsyłacz do zaufanych kontaktów zaatakowanych użytkowników. Kilka dni później użytkownicy portalu Odnoklassniki.ru otrzymali spam zawierający odsyłacz do portalu miss-runet.net oraz prośbę, aby głosowali na jedną z kandydatek. Komputery osób, które uległy prośbie, zostały zainfekowane programem z rodziny Trojan-Dropper.Win32.Agent. Czerwiec W miesiącu tym został rozesłany spam rzekomo pochodzący od administratorów portalu Odnoklassniki.ru. Wiadomości zachęcały użytkowników do odwiedzenia strony głównej tego portalu za pośrednictwem zawartego w wiadomości odsyłacza; jednak po tym, jak użytkownik odwiedził tę stronę, na jego komputerze instalowany był trojan downloader. Po zainstalowaniu trojan ten pobierał dalsze szkodliwe pliki, a następnie przekierowywał ofiarę na prawdziwą stronę Odnoklassniki.ru. Lipiec Kaspersky Lab zidentyfikował kilka incydentów dotyczących portali Facebook, MySpace oraz VKontakte. Net-Worm.Win32.Koobface.a rozprzestrzeniał się poprzez portal MySpace w sposób podobny do tego, jaki wykorzystywał wykryty w maju trojan Trojan-Mailfinder.Win32.Myspamce.a. Kolejny wariant tego robaka, Net-Worm.Win32.Koobface.b, rozprzestrzeniał się poprzez portal Facebook. Robak ten wysyłał wiadomości do przyjaciół zainfekowanych użytkowników. W obu przypadkach polecenia i wiadomości wysłane przez te robaki zawierały odsyłacze do fałszywego portalu w stylu YouTube, które zapraszały użytkowników do pobierania nowej wersji programu Flash Player. Zamiast odtwarzacza multimedialnego na zaatakowane maszyny pobierany był robak. Wiadomości spamowe wysyłane do użytkowników portalu VKontakte zawierały odsyłacze do serwera, który przekierowywał użytkowników na strony pornograficzne. Użytkownicy dowiadywali się, że w celu obejrzenia filmu muszą pobrać kodek, który w rzeczywistości okazywał się być szkodnikiem o nazwie Trojan.Win32.Crypt.ey. W rezultacie, wśród pierwszych pięciu wyników wyszukiwania przy użyciu dowolnej wyszukiwarki widniały adresy zainfekowanych stron. Kaspersky Lab szacuje, że w ciągu kilku godzin ukradziono około kont na portalu VKontakte. Sierpień W miesiącu tym ofiarą ataku cyberprzestępców padł Twitter, portal społecznościowy cieszący się coraz większą popularnością. Na specjalnie stworzonej stronie użytkownika zostało umieszczone zdjęcie reklamujące film erotyczny. Użytkownik, który kliknął zdjęcie był proszony o pobranie nowej wersji Adobe Flasha, która w rzeczywistości była trojanem Trojan-Downloader.Win32.Banload.sco. 18

19 Grudzień Na portalu VKontakte rozprzestrzeniane były odsyłacze do szkodliwych programów dla telefonów komórkowych. Ze skradzionych kont na portalach społecznościowych wysyłano na adresy kontaktów z listy wiadomości oferujące darmowe doładowania kont telefonów komórkowych. Wiadomości zawierały odsyłacze, które mogłyby zostać wykorzystane do zainstalowania w telefonie aplikacji Java w celu uzyskania dostępu do usługi darmowego doładowania. Aplikacją tą był w rzeczywistości Trojan- SMS.J2ME.Konov.b.; po zainstalowaniu trojan wysyłał wiadomość SMS na pięć krótkich numerów bez wiedzy oraz zgody użytkownika. Każda wiadomość SMS kosztowała 250 rubli (około 10 dolarów). Naturalnie nie jest to kompletna lista incydentów związanych z portalami społecznościowymi. Wymieniliśmy jedynie najbardziej interesujące przypadki, jakie miały miejsce w 2008 roku. Wnioski Wśród przełomowych technologii IT 2008 roku znalazły się portale społecznościowe, jak również wirtualizacja i technologia Cloud Computing. Niestety wraz z ich ewolucją pojawiły się nowe zagrożenia dla użytkowników takich zasobów. W 2008 roku wzrósł poziom ewolucji zagrożeń atakujących portale społecznościowe. Ataki na takie strony nie stanowią już odosobnionych incydentów, ale coraz lepiej prosperujący biznes, w którym uczestniczą cyberprzestępcy. Na czarnym rynku wartość ma wszystko, co jest związane z kontami na portalach społecznościowych: istnieje duże zapotrzebowanie na dane osobowe użytkowników, a popularną usługą oferowaną przez cyberprzestępców jest włamywanie się na konta w celu ich późniejszego wykorzystania do rozsyłania spamu. Komercjalizacja przyczyniła się do wzrostu liczby szkodliwych programów atakujących portale społecznościowe. Istnieje duże prawdopodobieństwo, że trend ten utrzyma się. Szkodliwe programy: aktywność sieciowa Aktywność szkodliwych programów w skali globalnej od zawsze była interesującym tematem. Pułapki (tzw. honeypots) stanowią najpopularniejsze narzędzie zbierania informacji dotyczących aktywności sieciowej szkodliwych programów. Jednak systemy te zwykle monitorują jedynie własne kanały internetowe i rejestrują tylko próby atakowania obserwowanych serwerów. To oznacza, że ogromna większość aktywności sieciowej szkodliwego oprogramowania pozostaje niezauważona. Zebraliśmy dane statystyczne dotyczące aktywności sieciowej, monitorując szkodliwe programy oraz identyfikując tworzone przez nie połączenia sieciowe. Podejście to pozwala obiektywnie ocenić aktywność cyberprzestępczą w sieciach lokalnych oraz w Internecie. Statystyki dotyczące połączeń wykorzystujących protokół UDP nie są szczególnie interesujące, ponieważ szkodliwe programy rzadko wykorzystują ten protokół. Dlatego poniżej zbadaliśmy tylko statystyki dotyczące połączeń TCP. Przedstawione dane odpowiadają dominującej sytuacji z końca 2009 roku i nie obejmują aktywności sieciowej legalnych 19

20 programów. Dużą część ruchu internetowego generują boty. Przedstawione tu dane odzwierciedlają typową aktywność botnetów. Porty wykorzystywane przez szkodliwe programy. Połączenia sieciowe Które porty są najczęściej wykorzystywane do ustanawiania połączeń sieciowych przez szkodliwe programy? Połączenia sieciowe wykorzystywane przez szkodliwe programy Najpopularniejszymi pod względem połączeń sieciowych (TCP) wykorzystywanych przez szkodliwe programy okazały się porty 139, 445 oraz 135. Porty te są wykorzystywane w usługach sieciowych Microsoft Windows, głównie w usługach współdzielenia plików w sieci Windows z wykorzystaniem protokołu NetBIOS. Należy zaznaczyć, że chociaż Windows wykorzystuje ten protokół do zautomatyzowanej dystrybucji wiadomości, powyższy diagram nie zawiera statystyk dotyczących standardowych połączeń systemu operacyjnego. Ponad 96% przeanalizowanych przez nas połączeń sieciowych wykorzystywanych przez szkodliwe programy miało miejsce na portach 139, 445 oraz 135. Tak duży odsetek związany jest z luką w zabezpieczeniach MS08-067, która została wykryta w październiku 2008 roku w usłudze sieciowej Windows. Na szczęście, w celu zwiększenia bezpieczeństwa prawie wszyscy dostawcy usług internetowych zablokowali ruch sieciowy do tych portów. NetBIOS znany jest jako potencjalne źródło luk w zabezpieczeniach systemów operacyjnych z rodziny Windows od czasu wprowadzenia systemów Windows 95 i Windows 98. Możemy się tylko domyślać, co stałoby się z Internetem w przeciągu kilku minut w październiku, gdyby dostawcy usług internetowych nie zaczęli filtrować NetBIOS! Mimo to luka w zabezpieczeniach MS to nadal aktualny problem dla niektórych sieci, np. sieci domowych i sieci organizacji komercyjnych oraz rządowych, w których protokół NetBIOS zwykle nie jest blokowany. 20

21 Zapytania sieciowe Diagram pokazujący popularność różnych portów nie byłby kompletny bez porównania liczby połączeń sieciowych z liczbą zapytań sieciowych do portów wysyłanych przez szkodliwe programy, które tworzą te połączenia. Termin zapytanie definiujemy tutaj jako transfer jednego lub większej liczby pakietów sieciowych. Jeżeli program ustanawia połączeń z tym samym portem, uznaje się, że jest to jedno zapytanie sieciowe do tego portu. Zapytania sieciowe szkodliwych programów Z powyższego diagramu wynika, że 34% zapytań sieciowych wysyłanych przez szkodliwe programy kontaktuje się z portem 80, który jest standardowym portem dla serwerów sieciowych. Port ten jest również najczęściej wykorzystywany przez legalne programy. Port 80 zwykle jest wykorzystywany przez szkodliwe programy w celu ustanowienia połączeń ze stronami cyberprzestępców. W takich przypadkach aktywność sieciową można uznać za surfowanie użytkownika po Sieci. Port 80 wykorzystywany jest przez liczne rodziny botów i trojany, łącznie z Trojan-PSW.Win32.Zbot, Backdoor.Win32.Sinowal oraz różnymi modyfikacjami trojana Trojan-GameThief.Win32.OnLineGames. Szkodliwe programy wykorzystują go również do ustanowienia połączeń z centrami kontroli botnetów. Na drugim miejscu znajduje się niestandardowy port 8000, wykorzystywany przez legalne programy, takie jak HP Web Jetadmin, ShoutCast Server, Dell OpenManage oraz wiele innych aplikacji opartych na technologii Java RMI, z których wszystkie wykorzystują własny protokół. Nasze badanie wykazało, że port 8000 jest wykorzystywany przez rodzinę Backdoor.Win32.Hupigon. Rodzina ta, stworzona przez chińskich hakerów, jest najprawdopodobniej najszybciej rosnącą rodziną szkodliwych programów wykrytych przez firmę Kaspersky Lab. Pod koniec 2008 roku nasza kolekcja liczyła ponad różnych modyfikacji Hupigona. Czym więc wyróżnia się port 8000? Odpowiedź jest całkiem prosta port ten jest wykorzystywany przez QQ - najpopularniejszy komunikator internetowy w Chinach. Chińscy 21

22 użytkownicy wykorzystują tę usługę do kontrolowania zainfekowanych komputerów. Istnieje również wersja Hupigona wykorzystująca port Rodzina Hupigon jest liderem wśród szkodliwych programów pod względem całkowitej liczby zapytań sieciowych Hupigon stoi za prawie co trzecim zapytaniem sieciowym do unikatowego portu pochodzącym od szkodliwego programu! Inny niestandardowy port 3460 wykorzystywany był w 7% przeanalizowanych przez nas zapytań sieciowych wysyłanych przez szkodliwe programy. Zapytania do tego portu wysyłane były głównie przez backdoora Backdoor.Win32.Poison, znanego również jako Poison Ivy. Szkodliwe programy z tej rodziny to boty wykorzystywane do tworzenia niewielkich botnetów (do 200 komputerów). Oprogramowanie to jest popularne, ponieważ można je pobrać za darmo na stronie producenta. Poison nie pozwala na wysyłanie dużej liczby osadzonych poleceń jednocześnie do kilku komputerów i najczęściej wykorzystywany jest przez cyberprzestępców nowicjuszy. Niektórzy administratorzy systemów niewielkich sieci wykorzystują go jako narzędzie zdalnej administracji. Domeny drugiego poziomu atakowane przez szkodliwe programy Poniższy diagram pokazuje domeny drugiego poziomu atakowane przez szkodliwe programy, które wykorzystują najpopularniejszy port 80. Zapytania szkodliwych programów do domen drugiego poziomu Większość domen drugiego poziomu, z którymi kontaktują się szkodliwe programy, należy do chińskich serwisów DNS. Prawie 40% szkodliwych programów łączy się z poddomenami 3322.org. Co możemy powiedzieć o tym dostawcy i dlaczego przyciąga cyberprzestępców? Domena 3322.ord jest częścią dużego chińskiego projektu o nazwie cn99.com, który posiada ponad 35 milionów użytkowników. Popularność cn99.com w Chinach można łatwo wyjaśnić tym, że dostarcza on darmowe konta pocztowe oraz domeny trzeciego poziomu. Zgodnie z Kontraktem Serwisowym, klientom cn99.com nie wolno używać tych usług w sposób sprzeczny z chińskim i międzynarodowym prawem. Ponadto, Kontrakt zobowiązuje właściciela skrzynki pocztowej/domeny, aby używał autentycznych informacji 22

23 osobowych, a w przypadku ich zmiany niezwłocznie je uaktualniał. Niestety, nie powstrzymuje to cyberprzestępców, którzy wykorzystują cn99.com, przed podawaniem fałszywych danych osobowych. Wystarczy rzut oka na listę najpopularniejszych domen drugiego poziomu, aby zrozumieć, jaki jest powód ich popularności: wszyscy dostawcy posiadający te domeny oferują usługę znaną jako DDNS (Dynamic Domain Name System). Usługi DDNS oraz cyberprzestępcy Zadaniem usługi DDNS jest znalezienie serwerów z dynamicznymi adresami IP. Do kogo skierowana jest taka usługa? Mogą wykorzystywać ją legalni użytkownicy, którzy łączą swoje komputery z Internetem przy użyciu linii ADSL z adresami zewnętrznymi pobranymi z puli internetowych adresów IP. Z reguły, dostawcy usług internetowych przydzielają nowo podłączonemu modemowi ADSL adres IP z puli adresów IP, jakie mają do swojej dyspozycji. Wraz z każdym nowym połączeniem zmienia się adres IP. Jeżeli użytkownik nie posiada fizycznego dostępu do swojego komputera, a chce połączyć się zdalnie, musi znać adres IP, który w danym momencie zapewni mu dostęp do jego komputera. Dostawcy usług DDNS umożliwiają zarejestrowanie domeny (np. myhomepc.dyndns.org), a następnie połączenie się z komputerem poprzez podanie nazwy domeny. Niektórzy producenci modemów ADSL implementują obsługę DDNS do oprogramowania służącego do zarządzania modemem. Jeżeli modem jest poprawnie skonfigurowany, kontaktuje się z dostawcą usługi DDNS za każdym razem, gdy ustanawiane jest połączenie internetowe, informuje go o aktualnych adresach IP. Następnie program użytkownika, który kontaktuje się ze zdalnym komputerem przy pomocy nazwy hosta, wysyła zapytanie DNS dla adresu IP z nazwą myhomepc.dyndns.org. Zapytanie przechodzi przez łańcuch serwerów DNS i ostatecznie dociera do dostawcy DDNS, który zna aktualny adres IP komputera, ponieważ przechowuje najnowszą wiadomość z modemu ADSL. Ten typ usługi pozwala cyberprzestępcom szybko i łatwo zarejestrować nowe domeny przy zachowaniu anonimowości oraz zmienić informacje DNS o ciągłym wykorzystywaniu serwera. Ponadto, zainfekowane komputery z zewnętrznymi adresami IP mogą być wykorzystywane jako tymczasowe centra kontroli botnetów. Jeżeli komputer jest wyłączony, cyberprzestępca może ręcznie lub automatycznie przełączyć się na inny zainfekowany komputer, przy czym centrum kontroli zawsze jest dostępne za pośrednictwem domeny od dostawcy DDNS. Z tego powodu usługi DDNS są tak popularne wśród cyberprzestępców. Szacujemy, że około 50% domen wykorzystywanych przez szkodliwe programy należy do dostawców DDNS. 23

24 Wnioski Najpopularniejsze typy szkodliwych programów wykazują aktywność sieciową: programy trojańskie wysyłają przechwycone dane cyberprzestępcom, robaki sieciowe próbują znaleźć i zainfekować inne komputery w sieciach lokalnych, boty spamowe rozsyłają wiadomości spamowe, boty DDoS atakują serwery internetowe, boty łączą się z centrami C&C. Boty i robaki sieciowe są najbardziej aktywne, poza tym zachowanie to można skutecznie połączyć w jednej aplikacji. Program wykrywany jako robak lub trojan może mieć również funkcję bota, dzięki której zainfekowany komputer może stać się częścią botnetu. W rezultacie, za ruch sieciowy tworzony przez większość szkodliwych programów w Internecie odpowiedzialne są botnety. Analiza danych statystycznych dotyczących zapytań sieciowych wysyłanych przez szkodliwe programy oraz 10 najpopularniejszych domen drugiego poziomu atakowanych przez szkodliwe programy potwierdzają, że w 2008 roku chińscy hakerzy i cyberprzestępcy byli liderami pod względem tworzenia szkodliwego oprogramowania. Chińska rodzina Hupigon, która wykorzystuje niestandardowe porty 8000 i 8181, odpowiadała za 29% zapytań sieciowych wysyłanych przez szkodliwe programy, podczas gdy ogromna większość domen drugiego poziomu atakowanych przez szkodliwe programy należy do chińskich serwisów DNS. Chociaż Chiny wprowadziły narodowy program filtrowania ruchu sieciowego Wielki Chiński Cybermur przewidujemy, że w 2009 roku aktywność chińskich hakerów wzrośnie. Szkodliwe programy tworzone przez chińskich cyberprzestępców atakują głównie konta gier online i przede wszystkim stanowią zagrożenie dla graczy w Chinach i innych państwach. W 2009 roku nie przewidujemy na tym polu żadnej zmiany. Jednak programy tworzone przez chińskich hakerów mogą zacząć stanowić zagrożenie ze względu na rosnącą tendencję włączania backdoorów do programów trojańskich przeznaczonych do kradzieży haseł do gier online. Ponad jedna trzecia zapytań sieciowych odbywa się na porcie 80, który jest standardowym portem. Generalnie, po tym jak szkodliwy program połączy się z portem 80, zostanie pobrana strona internetowa i ustanowione połączenie z centrum C&C botnetu. Cyberprzestępcy martwią się, że prędzej czy później ich konkurenci lub organy ścigania poznają adres ich centrum C&C, co spowoduje zamknięcie nazwy domeny lub serwera. Z tego powodu cyberprzestępcy nieustannie szukają sposobów szybkiej modyfikacji informacji DNS centrów C&C i preferują wykorzystywanie serwerów internetowych, które oferują anonimowość. Z tego powodu usługi DDNS cieszą się największą popularnością wśród oszustów: dostawcy usług DDNS posiadają ponad 50% domen drugiego poziomu, które stanowią cel szkodliwych programów, oraz wszystkie 10 najpopularniejszych domen drugiego poziomu. W 2009 roku dostawcy usług DDNS podejmą prawdopodobnie bardziej zdecydowane działania mające na celu zwalczanie nielegalnej aktywności, co prawdopodobnie przyczyni się do pojawienia się usług DDNS typu abuse-proof podobnie jak dostawcy usług hostingowych typu RBN zostali oddzieleni od legalnych usług hostingowych. 24

25 Ze względu na ogromną popularność usług DDNS wśród cyberprzestępców oraz wzrost przepustowości przewidujemy pojawienie się nowych typów aktywności przestępczej specjalizujących się w rozwijaniu nowych podejść do zapewniania anonimowości adresów/nazw serwerów sieciowych. Wraz z każdą identyfikacją luki w zabezpieczeniach systemu Windows pojawia się duża liczba szkodliwych programów tworzonych w celu znajdowania podatnych na ataki maszyn. Podobnie jest w przypadku innych aplikacji działających w sieci. Szkodliwe programy skanujące sieć tworzą wiele dodatkowych połączeń sieciowych. Poza zużyciem przepustowości może to spowodować przepełnienie w tabelach tłumaczenia adresów na tanich routerach, co może doprowadzić do całkowitego odłączenia sieci lokalnej od Internetu. Już teraz stanowi to dość powszechny problem dla sieci domowych, które w celu uzyskiwania dostępu do Internetu wykorzystują jeden router. Zainteresowanie cyberprzestępców lukami w zabezpieczeniach sieci wzrasta. W 2009 roku prawdopodobnie zostaną zidentyfikowane nowe luki w zabezpieczeniach sieci. W rezultacie, użytkownicy niewielkich sieci mogą stracić dostęp do Internetu. Aby tego uniknąć wszystkie komputery w sieci lokalnej muszą być zabezpieczone przed infekcją. Prognozy na 2009 rok Rok temu w biuletynie Kaspersky Security Bulletin 2007 zamieściliśmy prognozy na rok Skupiliśmy się na problemach, które miały szansę stać się najpoważniejszymi w 2008 roku. Malware 2.0 dalsza ewolucja rozproszonych komponentów szkodliwego oprogramowania. Rootkity i bootkity początek epidemii spowodowanych programami wykorzystującymi te technologie Wirusy plikowe kolejny etap w ewolucji klasycznych wirusów: wirusy plikowe będą stawały się bardziej wyrafinowane, a inne typy szkodliwych programów będą wykorzystywały techniki infekowania plików Portale społecznościowe odejście od zagrożeń typu proof of concept i ataków próbnych na rzecz ataków masowych Zagrożenia mobilne wzrost liczby ataków na telefony komórkowe i wykorzystywanie tych ataków do uzyskiwania korzyści finansowych. Jak pokazują trendy oraz sekcje zawierające dane statystyczne zawarte w tych raportach, nasze przewidywania sprawdziły się. Nasze prognozy na rok 2009 opierają się na tym samym modelu. Problemy, jakie napotkaliśmy w 2008 roku, będą stanowiły jeszcze poważniejsze zagrożenie w 2009 roku. Dzisiejsze zagrożenia nie znikną. Nie ma potrzeby przytaczać wzrostu liczby ataków na gry online i portale społecznościowe, nieustannej ewolucji technologii wirusowych, wzrostu liczby botnetów czy ewolucji cyberprzestępczości jako biznesu i jako usługi. Wszystkie to już widzieliśmy. 25