Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kaspersky Security Bulletin 2008: Ewolucja szkodliwego oprogramowania

Tagi:

Siergiej Golowanow
Aleksander Gostew
Witalij Kamliuk
Oleg Zajcew
  1. Ewolucja szkodliwego oprogramowania
  2. Statystyki
  3. Ewolucja spamu

2008 rok w skrócie

W 2008 roku zakończyła się epoka epidemii. W okresie tym, trwającym od 2000 r. i charakteryzującym się dużą liczbą robaków (które początkowo rozprzestrzeniały się za pośrednictwem poczty elektronicznej, a następnie ataków sieciowych), największe nasilenie epidemii miało miejsce w latach 2003-2005.

Lata 2007-2008 to okres, który cechował się szybkim wzrostem liczby programów trojańskich tworzonych w celu kradzieży informacji, głównie dotyczących kont bankowych oraz gier online. W okresie tym w przemyśle tworzenia szkodliwego oprogramowania widoczny jest wyraźny "podział pracy": różne grupy osób uczestniczą w różnych etapach rozwoju produktu związanych z tworzeniem, dystrybucją i wykorzystywaniem szkodliwych programów. Biznes cyberprzestępczy przekształcił się w sieć usług, jakie oferują sobie wzajemnie cyberprzestępcy.

Wielu zapamięta rok 2007 jako ten, w którym nastąpił upadek tak zwanego niekomercyjnego szkodliwego oprogramowania. Z kolei w 2008 roku wymarły "ekskluzywne" szkodliwe programy, tzn. takie, które były tworzone i wykorzystywane przez jedną lub dwie osoby. Większość trojanów i wirusów wykrytych w 2008 roku zostało stworzonych wyłącznie na sprzedaż. W tym samym czasie twórcy szkodliwego oprogramowania oferowali również usługi wsparcia technicznego. Doradzali między innymi, jak obejść ochronę antywirusową, gdyby produkty antywirusowe zaczęły wykrywać określone pliki.

Światowym liderem w dziedzinie rozwoju szkodliwych programów zostały Chiny. Chińscy hakerzy nie ograniczali się do tworzenia własnych programów trojańskich, ale zaczęli również lokalizować obce (głównie rosyjskie) szkodliwe programy. Stworzyli między innymi chińskie wersje popularnych exploitów, takich jak IcePack, FirePack czy MPack, oraz zlokalizowali kilka wariantów trojanów Pinch i Zeus. Ponadto, chińscy cyberprzestępcy nadal aktywnie poszukiwali luk w zabezpieczeniach popularnego oprogramowania, w szczególności Microsoft Office oraz Microsoft Windows. Ich działania okazały się stosunkowo skuteczne a największym osiągnięciem okazało się zidentyfikowanie luki w zabezpieczeniach NetAPI Windows. W rezultacie, koniec 2008 roku charakteryzował się dużą liczbą ataków wykorzystujących lukę w zabezpieczeniach MS08-067.

Między kwietniem a październikiem 2008 roku przeprowadzono dwa masowe ataki hakerów na strony internetowe, które nie miały sobie równych w historii Internetu. W pierwszym z nich (kwiecień-czerwiec 2008) zaatakowane zostały ponad dwa miliony zasobów internetowych na całym świecie. Hakerzy wykorzystali wstrzykiwanie SQL w celu osadzania poleceń w kodzie zaatakowanej strony, które przekierowywało użytkowników na strony cyberprzestępców. Te z kolei infekowały komputery użytkowników szkodliwym oprogramowaniem.

Mimo to w 2008 roku trendy ustanawiali głównie rosyjskojęzyczni twórcy wirusów. Nadal agresywnie wykorzystywali model Malware 2.0, który charakteryzuje się kilkoma głównymi cechami: po pierwsze, różne szkodliwe moduły wykonują różne funkcje; po drugie, w celu zapewnienia komunikacji pomiędzy modułami wykorzystywane są standardowe środki; po trzecie, kanały transmisji danych oraz centra kontroli są zabezpieczone przed penetracją.

Najlepszym przykładem ilustrującym to zjawisko były dwa niebezpieczne rootkity wykryte w 2008 roku - Rustock.c (zaklasyfikowany przez firmę Kaspersky Lab jako Virus.Win32.Rustock.A) oraz Sinowal (Bootkit). Rootkity te zawierały przełomowe technologie, które wcześniej nie były znane w branży antywirusowej. Pod względem rozmiaru i złożoności struktura tych dwóch szkodliwych programów przewyższała tę storzoną dla robaków Zhelatin i Warezov.

Zgodnie z przewidywaniami, w 2008 roku powróciły wirusy plikowe. Pierwotna szkodliwa funkcjonalność, infekowanie plików, została rozszerzona o kilka nowych funkcji: wirusy potrafią teraz kraść dane i, co ważniejsze, mogą rozprzestrzeniać się za pośrednictwem nośników wymiennych, dzięki czemu w krótkim czasie mogą wywołać masowe infekcje. Prawie wszystkie z dzisiejszych wirusów to wirusy polimorficzne, co stwarza dodatkowe problemy producentom rozwiązań antywirusowych, gdyż utrudnia tworzenie procedur wykrywania i leczenia w akceptowalnym przedziale czasowym. Okazało się, że robaki znajdujące się na dyskach USB flash potrafią obejść tradycyjną ochronę sieci korporacyjnych (np. rozwiązanie antywirusowe dla serwerów pocztowych, zapora sieciowa i rozwiązanie antywirusowe dla serwerów plików). Po przeniknięciu lokalnych sieci, na skutek obejścia ochrony, robaki te mogą szybko rozprzestrzenić się w całej sieci, kopiując się do wszystkich dostępnych zasobów sieciowych.

Ciągły wzrost popularności portali społecznościowych oraz ich aktywne wykorzystywanie w państwach z dużą liczbą nowych użytkowników Internetu (Azja Południowo Wschodnia, Indie, Chiny, Ameryka Południowa, Turcja, Afryka Północna i były Związek Socjalistycznych Republik Radzieckich) spowodowały, że ataki przeprowadzane na i za pośrednictwem takich portali nie stanowiły już odosobnionych przypadków, a raczej zjawisko będące na porządku dziennym. Według szacunków ekspertów, współczynnik skuteczności rozprzestrzeniania szkodliwego kodu za pośrednictwem portali społecznościowych wynosi w przybliżeniu 10% i jest znacznie wyższy niż współczynnik skuteczności rozprzestrzeniania szkodliwego oprogramowania za pośrednictwem poczty elektronicznej (który wynosi 1%).

W 2008 roku zaprzestano rozprzestrzeniania wielu wariantów robaka Zhelatin (znanego również jako Storm Worm). Prawie dwuletnia historia tego robaka (jego pierwsze warianty pojawiły się w styczniu 2007 r.) zrodziła wiele pytań. Niemalże mityczny "botnet robaka Storm", który według niektórych szacunków składał się z ponad 2 milionów komputerów (według innych szacunków z 50 milionów), nigdy w pełni nie zrealizował swojego potencjału i przewidywane gigantyczne wysyłki spamowe, jak również ataki DDoS nigdy nie miały miejsca.

Jednym z powodów może być zamknięcie RBN (Russian Business Network), firmy hostingowej wykorzystywanej przez cyberprzestępców. Po tym, jak rozgorzały dyskusje o tym, jak sieć ta może być zamieszana w niemal każdą aktywność przestępczą w Internecie, nieznani właściciele RBN przenieśli swój biznes na strony hostingowe na całym świecie, od Singapuru po Ukrainę, i zaczęli prowadzić swoją działalność w mniej jawny sposób. Jesienią zeszłego roku w cyberprzestępczość wymierzono kilka poważnych ciosów. Dzięki skoordynowanym działaniom dostawców usług internetowych, rządów i firm antywirusowych zamknięto Atrivo/Intercage, EstDomains oraz McColo. Zamknięcie McColo spowodowało gwałtowny spadek ilości spamu w Internecie - o ponad 50%. W rezultacie przestało działać wiele botnetów, które wcześniej były zarządzane za pośrednictwem tych zasobów. Chociaż w ciągu kilku tygodni ilość spamu zaczęła wracać do poprzedniego poziomu, incydent ten stanowi jedno z najważniejszych zwycięstw ostatnich lat.

Trendy 2008 roku

Zarówno branża antywirusowa, jak i bezpieczeństwa IT, padły ofiarą najważniejszych incydentów 2008 roku, które można podzielić na cztery główne grupy:

  • Rootkity
  • Portale społecznościowe
  • Gry online
  • Botnety

Nikogo nie zdziwiło, że obszary te znalazły się w centrum uwagi. Incydenty, które miały miejsce, pokazały, że wykorzystywane technologie i metody nadal będą ewoluować i staną się w przyszłości bardziej wyrafinowane.

Rozprzestrzenianie rootkitów stanowiło poważniejszy problem niż w poprzednim roku. Firma Kaspersky Lab opublikowała trzy duże badania dotyczące tego zagrożenia: "Rustock - mit czy rzeczywistość?", "Ewolucja rootkitów" oraz "Bootkit: wyzwanie 2008 roku". Wszystkie te publikacje wyjaśniają, w jaki sposób rootkity mogą być wykorzystywane do przeprowadzania wyrafinowanych ataków. Pokazują również, że cała branża antywirusowa musi połączyć wysiłki, aby znaleźć sposób na wykrywanie i leczenie aktywnych rootkitów. Jak dotąd ciągła ewolucja systemu Windows nie przyniosła żadnych efektów. Rootkity nadal będą istniały i będą stawały się coraz bardziej wyrafinowane.

Tak jak przewidywaliśmy, w zeszłym roku portale społecznościowe stanowiły popularny cel ataków. Portale te przyciągają coraz więcej użytkowników i wpływają na rozwój Internetu. Oferują ogromne możliwości w zakresie promowania nowych serwisów jak również reklamy. W krajach rozwiniętych prawie wszyscy użytkownicy Internetu są zarejestrowani na portalach społecznościowych. Gwałtownie wzrasta również popularność takich serwisów w Azji Południowo Wschodniej. Kolejnym szybko rosnącym segmentem są gry online. Gry online nie stanowią części Internetu, są jednak wykorzystywane jako sposób komunikacji i stanowią ważny element współczesnego społeczeństwa. Gry online są bardzo popularne, zwłaszcza w Korei Południowej, Chinach i Azji Południowo-Wschodniej, przez co stanowią atrakcyjny cel dla twórców wirusów.

Trojany atakujące gry wyprzedziły trojany, których celem są użytkownicy systemów płatności online i systemów bankowych. Obecnie programy te często posiadają zdolność infekowania plików i potrafią rozprzestrzeniać się za pośrednictwem nośników wymiennych. Oprócz tego wykorzystywane są do tworzenia botnetów. Jednym z głównym celów wspomnianych chińskich ataków hakerskich było rozprzestrzenianie trojanów atakujących gry.

"Botnet" - słowo, które jeszcze kilka lat temu używane było tylko przez personel firm antywirusowych - w 2008 roku stało się powszechnie stosowanym terminem. Botnety stały się głównym źródłem spamu, ataków DDoS, zaczęły być również wykorzystywane do rozprzestrzeniania nowych szkodliwych programów.

Oprócz artykułów poświęconych konkretnym incydentom w 2008 roku opublikowaliśmy tekst zatytułowany "Biznes botnetowy", który stanowi poradnik dla początkujących dotyczący botnetów. Jak już wspominaliśmy, nadal lekceważy się rzeczywisty zasięg problemu botnetów oraz ich wpływ na przemysł tworzenia wirusów. Bezpieczeństwo Internetu jako całości zależy od rozwiązania tego problemu - w tym celu niezbędna jest współpraca branży antywirusowej, podmiotów regulujących Internet jak również organów rządowych i ścigania. Już teraz podejmowane są działania w tym kierunku. W 2008 roku odbyło się kilka konferencji poświęconych temu zagadnieniu. Częścią tego procesu było również zamknięcie Atrivo oraz McColo. Jednak kwestia ta nie została jeszcze rozwiązana i w 2009 roku botnety nadal będą głównym problemem.

Rootkity

W 2008 roku miały miejsce dwa główne zdarzenia związane z rootkitami. Pierwszym z nich była analiza niesławnego rootkita Rustock.c. O rootkicie tym głośno było nie tyle ze względu na wykorzystane w nim technologie, co pogłoski na temat niemożności zidentyfikowania go. Drugim wydarzeniem było pojawienie się na wolności ogromnej liczby wariantów bootkita (Sinowal). Kaspersky Lab klasyfikuje rootkita Rustock.c jako Virus.Win32.Rustock.a ze względu na jego zdolność infekowania plików.

Rustock.c: trendy

  1. Infekowanie plików jako metoda autostartu.

    Metoda infekowania plików wykorzystana przez rootkita Rustock.c przypomina metodę stosowaną przez standardowe wirusy plikowe. Jedyna różnica polega na tym, że Rustock.c infekuje sterownik systemowy, co daje mu kilka przewag pod względem maskowania swojej aktywności. Rootkit nie wykorzystuje osobnego sterownika, dlatego nie ma potrzeby ukrywania go ani na dysku twardym, ani w pamięci. Nie trzeba również ukrywać skojarzonego z nim klucza rejestru. Oprócz ukrycia obecności rootkita w systemie zainfekowanie sterownika systemowego utrudnia wyczyszczenie zainfekowanej maszyny. Jeżeli komputer jest zainfekowany standardowym rootkitem, wystarczy tylko usunąć komponenty rootkita z dysku twardego. Jednak w tym przypadku do przywrócenia zainfekowanego sterownika niezbędna jest kopia zapasowa lub wykorzystane rozwiązanie antywirusowe musi zawierać procedurę leczenia.

  2. Personalizacja rootkita oraz połączenie z komponentami sprzętowymi.

    Jedną z istotnych cech rootkita Rustock.c jest to, że dropper rootkita przechwytuje informacje systemowe dotyczące zaatakowanych maszyn i wysyła je do serwera internetowego, gdzie na podstawie otrzymanych danych tworzone jest ciało rootkita. Zaszyfrowane ciało rootkita jest następnie wysyłane do droppera. Połączenie z komponentami sprzętowymi, wraz z szyfrowaniem ciała rootkita oraz technikami zapobiegającymi emulacji zintegrowanymi w rootkicie, utrudniają zarówno automatyczne wykrywanie jak i analizę.

Techniki zaimplementowane w rootkicie Rustock.c były dalej rozwijane. W grudniu 2008 roku wykryto występującą na wolności próbkę tego rootkita (obecnie firma Kaspersky Lab klasyfikuje ją jako Trojan.Win32.Pakes.may), która wykorzystuje tę samą technikę. Rootkit ten infekuje sterownik systemowy ndis.sys w czasie pobierania zaszyfrowanego ciała rootkita z panda-server.ru. Kod, który infekuje ndis.sys, jest zaszyfrowany. Podczas pobierania uruchamiany jest specjalny kod, który deszyfruje sterownik i przekazuje mu kontrolę. Wspomniana próbka implementuje wszystkie główne technologie wykorzystane w rootkicie Rustock.c: zaszyfrowane ciało rootkita jest pobierane ze strony cyberprzestępców, w celu ochrony rootkita przed analizą wykorzystywana jest kryptografia oraz techniki zapobiegające debugowaniu. Rootkit ten działa również w sposób podobny do Rustocka; wysyła spam poprzez wstrzykiwanie do procesów systemowych kodu, który pobiera szablony i parametry masowych wysyłek. Kod ten przeprowadza również masowe wysyłki.

Bootkity

Próbki bootkita (proof of concept lub wersje demonstracyjne), które skutecznie implementowały wykorzystane technologie, pojawiły się w latach 2005-2006, po publikacji materiałów znanych jako eEye Bootroot. Występujące na wolności próbki rootkitów były wykrywane w 2007 roku, a ich największa liczba pojawiła się w 2008 roku. Najsławniejszym bootkitem jest Trojan-Spy.Win32.Sinowal. Bootkit ten wykorzystuje koncepcję podobną do tej wykorzystywanej przez wirusy sektora rozruchowego z ery DOS-a. Bootkit infekuje sektor rozruchowy lub sektor MBR dysku systemowego, co pozwala mu przejąć kontrolę, zanim zostanie załadowane jądro systemu operacyjnego i uruchomiony program antywirusowy. Po przejęciu kontroli bootkit lokalizuje się w przestrzeni adresowej jądra i maskuje swoje sektory na dysku. Wykorzystywane są do tego klasyczne metody, zwykle filtrowanie pakietów IRP. Dropper bootkita otwiera dysk w trybie odczytu/zapisu sektora, co pozwala na wykrywanie takich operacji przy użyciu emulacji, systemu oceny zagrożeń lub systemu HIPS/PDM, a następnie blokowanie droppera.

Inne trendy związane z rootkitami w 2008 roku

W 2008 roku rozwijane były następujące technologie związane z rootkitami:

  1. Technologie tworzone w celu zwalczania programów i narzędzi antywirusowych. W 2008 roku te technologie autoochrony nieustannie zmieniały się. Do najpopularniejszych należały:
    • Blokowanie lub uszkadzanie plików antywirusowych. Pliki są identyfikowane poprzez wykorzystywanie maski nazwy pliku lub sygnatury. Metoda blokowania przy użyciu sygnatury jest bardziej niebezpieczna ze względu na swój uniwersalny charakter.
    • Instalacja rootkita poprzez zamianę sterowników systemowych, np. beep.sys. W tym przypadku, sterownik nie musi być rejestrowany w rejestrze systemowym; podczas przeglądania dzienników zdarzeń nie będzie widoczny żaden dodatkowy (niesankcjonowany) sterownik.
    • Wykorzystywanie nowych metod autoochrony i maskowania. Oprócz standardowych metod przechwytywania funkcji KiST, łączenia kodu maszynowego funkcji jądra czy filtrowania IRP cyberprzestępcy zaczęli łączyć kod sterownika IRP oraz wykorzystywać standardową procedurę systemową CallBack, aby pracować z rejestrem. Ponadto aktywnie wykorzystywane są metody zwalczania rozwiązań do ochrony przed rootkitami:
      • blokowanie dostępu do plików jądra, uniemożliwiające analizowanie kodu maszynowego takich plików, co jest konieczne w celu przywrócenia jądra w pamięci i szukania przechwyconych funkcji;
      • zastępowanie kontekstu plików jądra i plików należących do rootkita; z reguły dokonuje się tego poprzez przechwytywanie otwartych funkcji plików i otwieranie kolejnego pliku systemowego EXE zamiast otwierania jądra;
      • uniemożliwianie otwierania dysku w trybie odczytu/zapisu sektora; zwalcza to rozwiązania antywirusowe i antyrootkitowe wykorzystujące własne algorytmy parsowania systemu plików;
      • przechwytywanie funkcji NTSaveKey i NTSaveKeyEx w celu uniemożliwienia tworzenia i parsowania zrzutu rejestru systemowego (metoda ta jest wykorzystywana w najnowszej generacji rootkita TDSS);
      • śledzenie punktów przechwytywania i ich przywracanie (metoda ta była wykorzystywana od czasu pojawienia się rootkita A311 Death, obecnie nadal jest aktywnie wykorzystywana, na przykład w najnowszych wariantach rootkita RDSS).
  2. Nowe technologie maskowania obecności obiektów na dysku. Opierają się one na modyfikowaniu obiektów tablicy MFT (Master File Table) podczas odczytu lub bezpośrednio na dysku. Technologie te nie są jeszcze powszechnie wykorzystywane, jednak prawdopodobnie nadal będą ewoluowały. Metoda ta może wyglądać następująco: rootkit oblicza lokalizację fizyczną odpowiedniego rekordu MFT i podczas odczytu zamienia rekord MFT pliku chronionego na - przykładowo - rekord obiektu systemowego. Umożliwia to zamaskowanie zawartości plików bez konieczności wykorzystywania klasycznych punktów przechwytywania. Innym przykładem jest modyfikowanie indeksów woluminu NTFS (zidentyfikowano to we wrześniu 2008 roku w komponencie rootkita trojana Trojan-GameThief.Win32.OnLineGames.snjl).

Szkodliwe programy atakujące gry

Chociaż w przypadku większości gier online, sprzedawanie wirtualnych przedmiotów za prawdziwe pieniądze jest zabronione, liczba osób, które chcą je kupić, wzrasta. W większości przypadków nabywców nie interesuje pochodzenie takich przedmiotów: nie obchodzi ich, czy przedmiot został zdobyty legalnie czy też skradziony właścicielowi przy użyciu szkodliwego kodu. Taka sytuacja naturalnie zachęca twórców wirusów; prowadzi również do wzrostu cen oraz kryminalizacji rynku wirtualnych przedmiotów.

W 2008 roku liczba szkodliwych programów stworzonych w celu kradzieży haseł do gier online stale rosła: w roku tym zidentyfikowano 100 397 nowych trojanów atakujących gry - aż trzykrotnie więcej niż w 2007 roku (32 374).

yr08_ongames_pic01_en.png
Liczba szkodliwych programów stworzonych w celu kradzieży haseł do gier online

Spośród szkodliwych programów atakujących gry online, najpowszechniejsza była rodzina Trojan-GameThief.Win32.OnLineGames. Celem szkodliwych programów z tej rodziny jest kradzież haseł do kilku gier online jednocześnie: obecnie 65,4% wszystkich trojanów atakujących gry należy do tej rodziny. Latem 2008 roku nastąpił spory wzrost aktywności tych trojanów: w sierpniu firma Kaspersky Lab wykryła prawie 12 000 nowych programów należących do rodziny Trojan-GameThief.Win32.OnLineGames - jeden nowy szkodliwy program wykrywany był co cztery minuty.

Z kolei inna rodzina, Trojan-GameThief.Win32.WOW, która atakuje tylko grę World of Warcraft, do listopada 2008 roku wykazywała aktywność na stałym poziomie. W listopadzie hakerzy włamali się na około 10 000 stron, umieszczając na nich szkodliwy kod. Najbardziej ucierpiały strony europejskie i amerykańskie, ponieważ w tych regionach znajduje się największa liczba graczy World of Warcraft. Incydent ten został celowo zaplanowany na 13 listopada, czyli datę publikacji Wrath of the Lich King, drugiego rozszerzenia World of Warcraft.

yr08_ongames_pic02s_en.png enlarge.gif
Liczba szkodliwych programów (według rodziny) kradnących
hasła do gier online w 2008 roku

Przeważającą większość szkodliwych programów tworzonych w celu kradzieży haseł do gier online stanowią trojany atakujące gry, natomiast wirusy i robaki stanowią około 10% takich szkodników. Jednak we wrześniu 2008 roku wzmożoną aktywność wykazały samodzielnie rozprzestrzeniające się szkodliwe programy, jednocześnie gwałtownie wzrosła liczba wariantów Worm.Win32.AutoRun.

Główne cechy szkodliwych programów atakujących gry

Szkodliwe programy atakujące gry online w 2008 roku charakteryzowały się następującymi cechami:

  • Jeden szkodliwy program może zawierać moduły kradnące hasła do kilku gier online;
  • Szkodliwe programy atakujące gry mogą zawierać backdoora umożliwiającego stworzenie sieci z zainfekowanych maszyn (botnet);
  • W szkodliwych programach atakujących gry powszechnie wykorzystuje się szyfrowanie i programy pakujące w celu uniemożliwienia wykrycia lub analizy programu;
  • Szkodliwe programy atakujące gry aktywnie przeciwdziałają wykryciu ich przez rozwiązania antywirusowe;
  • Programy te wykorzystują technologie rootkit.

W 2008 roku najbardziej zaawansowanym technicznie szkodliwym programem atakującym gry był Trojan-GameThief.Win32.Magania. Rodzina ta była odpowiedzialna za najważniejsze incydenty związane ze szkodliwymi programami atakującymi gry. W czerwcu 2008 roku trojan ten został zmodyfikowany - o ile wcześniej wykorzystywany był do atakowania użytkowników gry Gamania (http://en.wikipedia.org/wiki/Gamania), w 2008 roku potrafił kraść hasła do prawie wszystkich znanych gier online, łącznie z:

  • World of Warcraft
  • Lineage
  • Lineage 2
  • FunTown
  • ZhengTu
  • Perfect World
  • Dekaron Siwan Mojie
  • HuangYi Online
  • RuneScape
  • Rexue Jianghu
  • ROHAN Online
  • Seal Online
  • Lord of the Rings
  • Maple Story
  • Reign of Revolution
  • Talesweaver
  • ZodiacOnline.

Trojan-GameThief.Win32.Magania skutecznie wykorzystywał wiele metod, które uniemożliwiały wykrycie go i usunięcie z zainfekowanych komputerów.

yr08_ongames_pic03s.png enlarge.gif
Technologie rootkit w trojanie Trojan-GameThief.Win32.Magania

Rozprzestrzenianie szkodliwych programów atakujących gry

W 2008 roku do rozprzestrzeniania szkodliwych programów atakujących gry powszechnie wykorzystywane były poniższe metody:

  • Wykorzystywanie niezidentyfikowanych luk w zabezpieczeniach zasobów sieciowych w celu zainfekowania dużej liczby stron;
  • Wykorzystywanie nieznanych luk w zabezpieczeniach oprogramowania klienckiego;
  • Tworzenie uaktualnień dla szkodliwych programów w częstszych odstępach niż publikowanie uaktualnień dla oprogramowania antywirusowego;
  • Masowe wysyłki zawierające odsyłacze do zainfekowanych stron.

Jeżeli weźmiemy sto dowolnych nowych szkodliwych programów, prawdopodobnie każdy z nich zdoła zainfekować średnio pięciuset użytkowników. Tak wysoki współczynnik infekcji jest możliwy dzięki wykorzystaniu luk w zabezpieczeniach oprogramowania na zaatakowanych maszynach. W 2007 roku kampanię przeciwko szkodliwym programom atakującym gry prowadzili producenci rozwiązań antywirusowych, twórcy gier online oraz administratorzy serwerów gier. W 2008 roku przyłączyli się do nich administratorzy zaatakowanych stron internetowych oraz twórcy oprogramowania wykorzystywanego przez oszustów w celu przemycenia szkodliwego oprogramowania na komputery użytkowników.

Jednym z ważniejszych incydentów, jakie miały miejsce w 2008 roku, było wykorzystanie przez cyberprzestępców błędu w przetwarzaniu plików XML w przeglądarce Internet Explorer w celu rozprzestrzeniania trojana Trojan-GameThief.Win32.Magania. Luka MS08-78 była tak szeroko rozpowszechniona, że według Microsoftu zainfekowanych zostało 0,2% wszystkich użytkowników Internetu.

yr08_ongames_pic04s.png enlarge.gif
Lokalizacja serwerów, na których umieszczono exploity w celu
rozprzestrzeniania trojanów atakujących gry

W rozprzestrzenianiu szkodliwego programu pomaga również jego szybka (i częsta) modyfikacja; program zostaje zmieniony, zanim do antywirusowych baz danych zostanie dodana sygnatura.

W 2008 roku najważniejszymi wydarzeniami związanymi ze szkodliwym oprogramowaniem atakującym gry były:

Kwiecień 2008. Nieznani cyberprzestępcy włamali się na ponad 1 500 000 stron internetowych w celu zainfekowania odwiedzających je użytkowników trojanem Trojan-GameThief.Win32.OnLineGames.

Lipiec 2008. Przeprowadzono masową wysyłkę zawierającą odsyłacze do wirusa polimorficznego Virus.Win32.Alman.b. Wirus ten zawiera moduł kradnący hasła do gier online. Wirus Alman.b został wykryty w kwietniu 2007 roku.

Sierpień 2008. Na pokładzie międzynarodowej stacji kosmicznej wykryto trojana Trojan-GameThief.Win32.Magania.

Grudzień 2008. Luka MS08-78 w zabezpieczeniach przeglądarki Internet Explorer została wykorzystana do rozprzestrzeniania szkodliwych programów z rodziny Trojan-GameThief.Win32.Magania.

Przesyłanie skradzionych danych

Szkodliwe programy wysyłały skradzione hasła cyberprzestępcom za pośrednictwem poczty elektronicznej do wyznaczonych serwerów, które następnie przesyłały informacje cyberprzestępcom. Adresy IP serwerów zmieniają się regularnie, w niektórych przypadkach kilka razy dziennie.

Metoda ta gwarantuje cyberprzestępcom anonimowość, a częsta zmiana nazw domen zapobiega umieszczeniu serwerów przekierowujących na czarnej liście.

yr08_ongames_pic05s.png enlarge.gif
Lokalizacja serwera przekierowującego, do którego wysyłane są e-maile zawierające skradzione hasła

Serwery dostarczające exploity, szkodliwe programy oraz e-maile zawierające skradzione hasła zlokalizowane są głównie w Azji i na Dalekim Wschodzie.

Prognoza

Globalny kryzys gospodarczy prawdopodobnie nie będzie miał żadnego wpływu na branżę gier i w 2009 roku światy gier online nadal będą rozwijane.

W 2009 roku przewidujemy następujące główne trendy:

  • Tworzenie infrastruktury wykorzystywanej do automatycznego generowania i rozprzestrzeniania szkodliwych programów kradnących hasła do gier online;
  • Wykorzystywanie nowych kanałów dostarczania szkodliwych programów do użytkowników (komunikatory internetowe, sieci P2P itd.);
  • Powszechne wykorzystywanie luk "zero-day" (dla których nie istnieją jeszcze poprawki) w aplikacjach i systemach operacyjnych;
  • Powszechne wykorzystywanie luk "zero-day" w celu włamywania się na strony internetowe i rozprzestrzeniania szkodliwych programów atakujących gry;
  • Powszechne wykorzystywanie wirusów plikowych oraz robaków sieciowych w celu kradzieży haseł do gier online;

Ataki stają się coraz bardziej rozpowszechnione i wyrafinowane. Działania użytkowników gier online przyczyniają się do wzrostu rynku wirtualnych przedmiotów, który z kolei stanowi źródło dochodów cyberprzestępców i twórców wirusów.

Ataki na portale społecznościowe

W ostatnich latach portale społecznościowe stały się jednym z najpopularniejszych zasobów w Internecie. RelevantView oraz eVOC Insights przewidują, że w 2009 roku z portali społecznościowych będzie korzystało około 80% wszystkich użytkowników Internetu - ponad miliard osób.

Rosnąca popularność portali społecznościowych nie umknęła uwadze cyberprzestępców; w 2008 roku serwisy te stanowiły wylęgarnię szkodliwych programów i spamu oraz nowe źródło nielegalnych dochodów w Internecie.

Dlaczego atakowane są portale społecznościowe?

Z reguły użytkownicy portali społecznościowych ufają innym użytkownikom. To oznacza, że bez namysłu akceptują wiadomości wysłane przez osobę znajdującą się na ich liście przyjaciół; tym samym ułatwiają cyberprzestępcom wykorzystywanie takich wiadomości do rozprzestrzeniania odsyłaczy do zainfekowanych stron. W celu skłonienia odbiorcy do kliknięcia odsyłacza zawartego w wiadomości, a w rezultacie pobrania szkodliwego programu, stosowne są różne metody.

W jaki sposób można rozprzestrzeniać szkodliwe oprogramowanie:

  1. Użytkownik otrzymuje od zaufanego kontaktu odsyłacz, który prowadzi na przykład do klipu wideo.
  2. Użytkownik zostaje poinformowany, że w celu obejrzenia filmu musi zainstalować określony program.
  3. Po zainstalowaniu program ten kradnie konto użytkownika i wysyła szkodliwy program do zaufanych kontaktów ofiary.

Opisana wyżej metoda przypomina sposób rozprzestrzeniania robaków pocztowych. Jednak współczynnik skuteczności rozprzestrzenianego szkodliwego kodu za pośrednictwem portali społecznościowych wynosi około 10% i przewyższa skuteczność rozprzestrzeniania szkodliwego oprogramowania za pośrednictwem poczty elektronicznej (która wynosi 1%).

Skradzione nazwy i hasła należące do użytkowników portali społecznościowych mogą być wykorzystywane do wysyłania odsyłaczy do zainfekowanych stron, spamu lub oszukańczych wiadomości (np. prośby o pilny przelew pieniędzy). Wszystko to pozwala cyberprzestępcom zarobić pieniądze.

Obecnie w Internecie można znaleźć szeroki wachlarz ofert cyberprzestępców: od włamywania się na konta znajdujące się na portalach społecznościowych po przeprowadzanie wysyłek na adresy z listy kontaktów lub zbieranie informacji o konkretnym użytkowniku.

yr08_socnet_pic01s.png enlarge.gif
Oferta usług włamywania się na konta

Szkodliwe programy

Pod koniec 2008 roku kolekcja firmy Kaspersky Lab zawierała ponad 43 000 szkodliwych plików związanych z portalami społecznościowymi.

yr08_socnet_pic02_en.png
Całkowita liczba szkodliwych programów atakujących portale społecznościowe

Liczba programów atakujących portale społecznościowe otrzymanych przez laboratorium antywirusowe firmy Kaspersky Lab pokazuje, że serwisy te stają się coraz popularniejszym celem dla cyberprzestępców.

yr08_socnet_pic03_en.png
Liczba szkodliwych programów atakujących popularne portale społecznościowe

W poniższej tabeli porównano współczynnik ryzyka poprzez zestawienie liczby szkodliwych programów, które atakowały użytkowników różnych portali społecznościowych (http://en.wikipedia.org/wiki/List_of_social_networking_websites) w 2008 roku z liczbą zarejestrowanych na nich użytkowników.

Portal
społecznościowy
Liczba
szkodliwych programów
wykrytych
2008 roku
Liczba zarejestrowanych
użytkowników
Prawdopodobieństwo
zainfekowania
użytkownika
Lokalizacja
geograficzna
większości
zarejestrowanych
użytkowników (źródło:
lemonde.fr)
Odnoklassniki 3 302 22 000 000 0,015% Rosja
Orkut 5 984 67 000 000 0,0089% Ameryka Łacińska
Bebo 2 375 40 000 000 0,0059% Europa
Livejournal 846 18 000 000 0,0047% Rosja
Friendster 2835 90 000 000 0,0032% Region Azji Pacyficznej
Myspace 7487 253 000 000 0,003% Ameryka Północna
Facebook 3620 140 000 000 0,0026% Ameryka Północna
Cyworld 301 20 000 000 0,0015% Korea Południowa
Skyblog 28 2 200 000 0,0013% Francja

Współczynnik ryzyka dla najpopularniejszych portali społecznościowych

Zwycięzcą pod względem liczby szkodliwych programów na jednego użytkownika jest rosyjski portal “Odnoklassniki.ru". Najbardziej globalny portal społecznościowy, MySpace, znajduje się dopiero na szóstym miejscu, mimo że prowadzi pod względem całkowitej liczby szkodliwych programów rozesłanych wśród jego użytkowników w 2008 roku.

Wśród szkodliwych programów atakujących takie portale można wyróżnić szeroki wachlarz zachowań: Trojan-Spy, Trojan-PSW, Worm, Trojan itd.

Ataki na portale społecznościowe w 2008 roku

Styczeń 2008. Na portalu społecznościowym Facebook umieszczono aplikację flashową o nazwie Secret Crush zawierającą odsyłacz do programu AdWare. Zanim administratorzy portalu usunęli tę aplikację, zdążyło ją pobrać ponad 1,5 miliona użytkowników.

Maj 2008. Firma Kaspersky Lab wykryła trojana o nazwie Trojan-Mailfinder.Win32.Myspamce.a rozprzestrzeniającego spam za pośrednictwem poleceń na portalu MySpace. W tym samym tygodniu na rosyjskim portalu “VKontakte" został znaleziony robak sieciowy o nazwie Net-Worm.Win32.Rovud.a. Robak ten rozsyłał zainfekowany odsyłacz do zaufanych kontaktów zaatakowanych użytkowników. Kilka dni później użytkownicy portalu “Odnoklassniki.ru" otrzymali spam zawierający odsyłacz do portalu miss-runet.net oraz prośbę, aby głosowali na jedną z kandydatek. Komputery osób, które uległy prośbie, zostały zainfekowane programem z rodziny Trojan-Dropper.Win32.Agent.

Czerwiec 2008. W miesiącu tym został rozesłany spam rzekomo pochodzący od administratorów portalu “Odnoklassniki.ru". Wiadomości zachęcały użytkowników do odwiedzenia strony głównej tego portalu za pośrednictwem zawartego w wiadomości odsyłacza; jednak po tym, jak użytkownik odwiedził tę stronę, na jego komputerze instalowany był trojan downloader. Po zainstalowaniu trojan ten pobierał dalsze szkodliwe pliki, a następnie przekierowywał ofiarę na prawdziwą stronę “Odnoklassniki.ru".

Lipiec 2008. Kaspersky Lab zidentyfikował kilka incydentów dotyczących portali Facebook, MySpace oraz VKontakte. Net-Worm.Win32.Koobface.a rozprzestrzeniał się poprzez portal MySpace w sposób podobny do tego, jaki wykorzystywał wykryty w maju trojan Trojan-Mailfinder.Win32.Myspamce.a. Kolejny wariant tego robaka, Net-Worm.Win32.Koobface.b, rozprzestrzeniał się poprzez portal Facebook. Robak ten wysyłał wiadomości do "przyjaciół" zainfekowanych użytkowników. W obu przypadkach polecenia i wiadomości wysłane przez te robaki zawierały odsyłacze do fałszywego portalu w stylu YouTube, które zapraszały użytkowników do pobierania "nowej wersji programu Flash Player". Zamiast odtwarzacza multimedialnego na zaatakowane maszyny pobierany był robak.

Wiadomości spamowe wysyłane do użytkowników portalu VKontakte zawierały odsyłacze do serwera, który przekierowywał użytkowników na strony pornograficzne. Użytkownicy dowiadywali się, że w celu obejrzenia filmu muszą pobrać kodek, który w rzeczywistości okazywał się być szkodnikiem o nazwie Trojan.Win32.Crypt.ey. W rezultacie, wśród pierwszych pięciu wyników wyszukiwania przy użyciu dowolnej wyszukiwarki widniały adresy zainfekowanych stron. Kaspersky Lab szacuje, że w ciągu kilku godzin ukradziono około 4 000 kont na portalu VKontakte.

Sierpień 2008. W miesiącu tym ofiarą ataku cyberprzestępców padł Twitter, portal społecznościowy cieszący się coraz większą popularnością. Na specjalnie stworzonej stronie użytkownika zostało umieszczone zdjęcie reklamujące film erotyczny. Użytkownik, który kliknął zdjęcie był proszony o pobranie "nowej wersji Adobe Flasha", która w rzeczywistości była trojanem Trojan-Downloader.Win32.Banload.sco.

Grudzień 2008. Na portalu VKontakte rozprzestrzeniane były odsyłacze do szkodliwych programów dla telefonów komórkowych. Ze skradzionych kont na portalach społecznościowych wysyłano na adresy kontaktów z listy wiadomości oferujące darmowe doładowania kont telefonów komórkowych. Wiadomości zawierały odsyłacze, które mogłyby zostać wykorzystane do zainstalowania w telefonie aplikacji Java w celu uzyskania dostępu do usługi darmowego doładowania. Aplikacją tą był w rzeczywistości Trojan-SMS.J2ME.Konov.b.; po zainstalowaniu trojan wysyłał wiadomość SMS na pięć krótkich numerów bez wiedzy oraz zgody użytkownika. Każda wiadomość SMS kosztowała 250 rubli (około 10 dolarów).

Naturalnie nie jest to kompletna lista incydentów związanych z portalami społecznościowymi. Wymieniliśmy jedynie najbardziej interesujące przypadki, jakie miały miejsce w 2008 roku.

Wnioski

Wśród przełomowych technologii IT 2008 roku znalazły się portale społecznościowe, jak również wirtualizacja i technologia Cloud Computing. Niestety wraz z ich ewolucją pojawiły się nowe zagrożenia dla użytkowników takich zasobów.

W 2008 roku wzrósł poziom ewolucji zagrożeń atakujących portale społecznościowe. Ataki na takie strony nie stanowią już odosobnionych incydentów, ale coraz lepiej prosperujący biznes, w którym uczestniczą cyberprzestępcy.

Na czarnym rynku wartość ma wszystko, co jest związane z kontami na portalach społecznościowych: istnieje duże zapotrzebowanie na dane osobowe użytkowników, a popularną usługą oferowaną przez cyberprzestępców jest włamywanie się na konta w celu ich późniejszego wykorzystania do rozsyłania spamu. Komercjalizacja przyczyniła się do wzrostu liczby szkodliwych programów atakujących portale społecznościowe. Istnieje duże prawdopodobieństwo, że trend ten utrzyma się.

Szkodliwe programy: aktywność sieciowa

Aktywność szkodliwych programów w skali globalnej od zawsze była interesującym tematem. Pułapki (tzw. honeypots) stanowią najpopularniejsze narzędzie zbierania informacji dotyczących aktywności sieciowej szkodliwych programów. Jednak systemy te zwykle monitorują jedynie własne kanały internetowe i rejestrują tylko próby atakowania obserwowanych serwerów. To oznacza, że ogromna większość aktywności sieciowej szkodliwego oprogramowania pozostaje niezauważona.

Zebraliśmy dane statystyczne dotyczące aktywności sieciowej, monitorując szkodliwe programy oraz identyfikując tworzone przez nie połączenia sieciowe. Podejście to pozwala obiektywnie ocenić aktywność cyberprzestępczą w sieciach lokalnych oraz w Internecie.

Statystyki dotyczące połączeń wykorzystujących protokół UDP nie są szczególnie interesujące, ponieważ szkodliwe programy rzadko wykorzystują ten protokół. Dlatego poniżej zbadaliśmy tylko statystyki dotyczące połączeń TCP. Przedstawione dane odpowiadają dominującej sytuacji z końca 2009 roku i nie obejmują aktywności sieciowej legalnych programów. Dużą część ruchu internetowego generują boty. Przedstawione tu dane odzwierciedlają typową aktywność botnetów.

Porty wykorzystywane przez szkodliwe programy. Połączenia sieciowe

Które porty są najczęściej wykorzystywane do ustanawiania połączeń sieciowych przez szkodliwe programy?

yr08_network_pic01s_en.png enlarge.gif
Połączenia sieciowe wykorzystywane przez szkodliwe programy

Najpopularniejszymi pod względem połączeń sieciowych (TCP) wykorzystywanych przez szkodliwe programy okazały się porty 139, 445 oraz 135. Porty te są wykorzystywane w usługach sieciowych Microsoft Windows, głównie w usługach współdzielenia plików w sieci Windows z wykorzystaniem protokołu NetBIOS. Należy zaznaczyć, że chociaż Windows wykorzystuje ten protokół do zautomatyzowanej dystrybucji wiadomości, powyższy diagram nie zawiera statystyk dotyczących standardowych połączeń systemu operacyjnego.

Ponad 96% przeanalizowanych przez nas połączeń sieciowych wykorzystywanych przez szkodliwe programy miało miejsce na portach 139, 445 oraz 135. Tak duży odsetek związany jest z luką w zabezpieczeniach MS08-067, która została wykryta w październiku 2008 roku w usłudze sieciowej Windows. Na szczęście, w celu zwiększenia bezpieczeństwa prawie wszyscy dostawcy usług internetowych zablokowali ruch sieciowy do tych portów. NetBIOS znany jest jako potencjalne źródło luk w zabezpieczeniach systemów operacyjnych z rodziny Windows od czasu wprowadzenia systemów Windows 95 i Windows 98. Możemy się tylko domyślać, co stałoby się z Internetem w przeciągu kilku minut w październiku, gdyby dostawcy usług internetowych nie zaczęli filtrować NetBIOS! Mimo to luka w zabezpieczeniach MS08-067 to nadal aktualny problem dla niektórych sieci, np. sieci domowych i sieci organizacji komercyjnych oraz rządowych, w których protokół NetBIOS zwykle nie jest blokowany.

Zapytania sieciowe

Diagram pokazujący popularność różnych portów nie byłby kompletny bez porównania liczby połączeń sieciowych z liczbą zapytań sieciowych do portów wysyłanych przez szkodliwe programy, które tworzą te połączenia. Termin "zapytanie" definiujemy tutaj jako transfer jednego lub większej liczby pakietów sieciowych. Jeżeli program ustanawia 1 000 połączeń z tym samym portem, uznaje się, że jest to jedno zapytanie sieciowe do tego portu.

yr08_network_pic02s_en.png enlarge.gif
Zapytania sieciowe szkodliwych programów

Z powyższego diagramu wynika, że 34% zapytań sieciowych wysyłanych przez szkodliwe programy kontaktuje się z portem 80, który jest standardowym portem dla serwerów sieciowych. Port ten jest również najczęściej wykorzystywany przez legalne programy.

Port 80 zwykle jest wykorzystywany przez szkodliwe programy w celu ustanowienia połączeń ze stronami cyberprzestępców. W takich przypadkach aktywność sieciową można uznać za surfowanie użytkownika po Sieci. Port 80 wykorzystywany jest przez liczne rodziny botów i trojany, łącznie z Trojan-PSW.Win32.Zbot, Backdoor.Win32.Sinowal oraz różnymi modyfikacjami trojana Trojan-GameThief.Win32.OnLineGames. Szkodliwe programy wykorzystują go również do ustanowienia połączeń z centrami kontroli botnetów.

Na drugim miejscu znajduje się niestandardowy port 8000, wykorzystywany przez legalne programy, takie jak HP Web Jetadmin, ShoutCast Server, Dell OpenManage oraz wiele innych aplikacji opartych na technologii Java RMI, z których wszystkie wykorzystują własny protokół.

Nasze badanie wykazało, że port 8000 jest wykorzystywany przez rodzinę Backdoor.Win32.Hupigon. Rodzina ta, stworzona przez chińskich hakerów, jest najprawdopodobniej najszybciej rosnącą rodziną szkodliwych programów wykrytych przez firmę Kaspersky Lab. Pod koniec 2008 roku nasza kolekcja liczyła ponad 110 000 różnych modyfikacji Hupigona.

Czym więc wyróżnia się port 8000? Odpowiedź jest całkiem prosta - port ten jest wykorzystywany przez QQ - najpopularniejszy komunikator internetowy w Chinach. Chińscy użytkownicy wykorzystują tę usługę do kontrolowania zainfekowanych komputerów. Istnieje również wersja Hupigona wykorzystująca port 8181. Rodzina Hupigon jest liderem wśród szkodliwych programów pod względem całkowitej liczby zapytań sieciowych - Hupigon stoi za prawie co trzecim zapytaniem sieciowym do unikatowego portu pochodzącym od szkodliwego programu!

Inny niestandardowy port - 3460 - wykorzystywany był w 7% przeanalizowanych przez nas zapytań sieciowych wysyłanych przez szkodliwe programy. Zapytania do tego portu wysyłane były głównie przez backdoora Backdoor.Win32.Poison, znanego również jako Poison Ivy. Szkodliwe programy z tej rodziny to boty wykorzystywane do tworzenia niewielkich botnetów (do 200 komputerów). Oprogramowanie to jest popularne, ponieważ można je pobrać za darmo na stronie producenta. Poison nie pozwala na wysyłanie dużej liczby osadzonych poleceń jednocześnie do kilku komputerów i najczęściej wykorzystywany jest przez cyberprzestępców nowicjuszy. Niektórzy administratorzy systemów niewielkich sieci wykorzystują go jako narzędzie zdalnej administracji.

Domeny drugiego poziomu atakowane przez szkodliwe programy

Poniższy diagram pokazuje domeny drugiego poziomu atakowane przez szkodliwe programy, które wykorzystują najpopularniejszy port 80.

yr08_network_pic03s_en.png enlarge.gif
Zapytania szkodliwych programów do domen drugiego poziomu

Większość domen drugiego poziomu, z którymi kontaktują się szkodliwe programy, należy do chińskich serwisów DNS.

Prawie 40% szkodliwych programów łączy się z poddomenami 3322.org. Co możemy powiedzieć o tym dostawcy i dlaczego przyciąga cyberprzestępców?

Domena 3322.ord jest częścią dużego chińskiego projektu o nazwie cn99.com, który posiada ponad 35 milionów użytkowników. Popularność cn99.com w Chinach można łatwo wyjaśnić tym, że dostarcza on darmowe konta pocztowe oraz domeny trzeciego poziomu. Zgodnie z Kontraktem Serwisowym, klientom cn99.com nie wolno używać tych usług w sposób sprzeczny z chińskim i międzynarodowym prawem. Ponadto, Kontrakt zobowiązuje właściciela skrzynki pocztowej/domeny, aby używał autentycznych informacji osobowych, a w przypadku ich zmiany niezwłocznie je uaktualniał. Niestety, nie powstrzymuje to cyberprzestępców, którzy wykorzystują cn99.com, przed podawaniem fałszywych danych osobowych.

Wystarczy rzut oka na listę najpopularniejszych domen drugiego poziomu, aby zrozumieć, jaki jest powód ich popularności: wszyscy dostawcy posiadający te domeny oferują usługę znaną jako DDNS (Dynamic Domain Name System).

Usługi DDNS oraz cyberprzestępcy

Zadaniem usługi DDNS jest znalezienie serwerów z dynamicznymi adresami IP. Do kogo skierowana jest taka usługa? Mogą wykorzystywać ją legalni użytkownicy, którzy łączą swoje komputery z Internetem przy użyciu linii ADSL z adresami zewnętrznymi pobranymi z puli internetowych adresów IP. Z reguły, dostawcy usług internetowych przydzielają nowo podłączonemu modemowi ADSL adres IP z puli adresów IP, jakie mają do swojej dyspozycji. Wraz z każdym nowym połączeniem zmienia się adres IP. Jeżeli użytkownik nie posiada fizycznego dostępu do swojego komputera, a chce połączyć się zdalnie, musi znać adres IP, który w danym momencie zapewni mu dostęp do jego komputera. Dostawcy usług DDNS umożliwiają zarejestrowanie domeny (np. myhomepc.dyndns.org), a następnie połączenie się z komputerem poprzez podanie nazwy domeny. Niektórzy producenci modemów ADSL implementują obsługę DDNS do oprogramowania służącego do zarządzania modemem. Jeżeli modem jest poprawnie skonfigurowany, kontaktuje się z dostawcą usługi DDNS za każdym razem, gdy ustanawiane jest połączenie internetowe, informuje go o aktualnych adresach IP. Następnie program użytkownika, który kontaktuje się ze zdalnym komputerem przy pomocy nazwy hosta, wysyła zapytanie DNS dla adresu IP z nazwą myhomepc.dyndns.org. Zapytanie przechodzi przez łańcuch serwerów DNS i ostatecznie dociera do dostawcy DDNS, który zna aktualny adres IP komputera, ponieważ przechowuje najnowszą wiadomość z modemu ADSL.

Ten typ usługi pozwala cyberprzestępcom szybko i łatwo zarejestrować nowe domeny przy zachowaniu anonimowości oraz zmienić informacje DNS o ciągłym wykorzystywaniu serwera.

Ponadto, zainfekowane komputery z zewnętrznymi adresami IP mogą być wykorzystywane jako tymczasowe centra kontroli botnetów. Jeżeli komputer jest wyłączony, cyberprzestępca może ręcznie lub automatycznie przełączyć się na inny zainfekowany komputer, przy czym centrum kontroli zawsze jest dostępne za pośrednictwem domeny od dostawcy DDNS.

Z tego powodu usługi DDNS są tak popularne wśród cyberprzestępców. Szacujemy, że około 50% domen wykorzystywanych przez szkodliwe programy należy do dostawców DDNS.

Wnioski

Najpopularniejsze typy szkodliwych programów wykazują aktywność sieciową: programy trojańskie wysyłają przechwycone dane cyberprzestępcom, robaki sieciowe próbują znaleźć i zainfekować inne komputery w sieciach lokalnych, boty spamowe rozsyłają wiadomości spamowe, boty DDoS atakują serwery internetowe, boty łączą się z centrami C&C. Boty i robaki sieciowe są najbardziej aktywne, poza tym zachowanie to można skutecznie połączyć w jednej aplikacji. Program wykrywany jako robak lub trojan może mieć również funkcję bota, dzięki której zainfekowany komputer może stać się częścią botnetu. W rezultacie, za ruch sieciowy tworzony przez większość szkodliwych programów w Internecie odpowiedzialne są botnety.

Analiza danych statystycznych dotyczących zapytań sieciowych wysyłanych przez szkodliwe programy oraz 10 najpopularniejszych domen drugiego poziomu atakowanych przez szkodliwe programy potwierdzają, że w 2008 roku chińscy hakerzy i cyberprzestępcy byli liderami pod względem tworzenia szkodliwego oprogramowania. Chińska rodzina Hupigon, która wykorzystuje niestandardowe porty 8000 i 8181, odpowiadała za 29% zapytań sieciowych wysyłanych przez szkodliwe programy, podczas gdy ogromna większość domen drugiego poziomu atakowanych przez szkodliwe programy należy do chińskich serwisów DNS.

Chociaż Chiny wprowadziły narodowy program filtrowania ruchu sieciowego - Wielki Chiński Cybermur - przewidujemy, że w 2009 roku aktywność chińskich hakerów wzrośnie. Szkodliwe programy tworzone przez chińskich cyberprzestępców atakują głównie konta gier online i przede wszystkim stanowią zagrożenie dla graczy w Chinach i innych państwach. W 2009 roku nie przewidujemy na tym polu żadnej zmiany. Jednak programy tworzone przez chińskich hakerów mogą zacząć stanowić zagrożenie ze względu na rosnącą tendencję włączania backdoorów do programów trojańskich przeznaczonych do kradzieży haseł do gier online.

Ponad jedna trzecia zapytań sieciowych odbywa się na porcie 80, który jest standardowym portem. Generalnie, po tym jak szkodliwy program połączy się z portem 80, zostanie pobrana strona internetowa i ustanowione połączenie z centrum C&C botnetu. Cyberprzestępcy martwią się, że prędzej czy później ich konkurenci lub organy ścigania poznają adres ich centrum C&C, co spowoduje zamknięcie nazwy domeny lub serwera. Z tego powodu cyberprzestępcy nieustannie szukają sposobów szybkiej modyfikacji informacji DNS centrów C&C i preferują wykorzystywanie serwerów internetowych, które oferują anonimowość. Z tego powodu usługi DDNS cieszą się największą popularnością wśród oszustów: dostawcy usług DDNS posiadają ponad 50% domen drugiego poziomu, które stanowią cel szkodliwych programów, oraz wszystkie 10 najpopularniejszych domen drugiego poziomu. W 2009 roku dostawcy usług DDNS podejmą prawdopodobnie bardziej zdecydowane działania mające na celu zwalczanie nielegalnej aktywności, co prawdopodobnie przyczyni się do pojawienia się usług DDNS typu "abuse-proof" podobnie jak dostawcy usług hostingowych typu RBN zostali oddzieleni od legalnych usług hostingowych.

Ze względu na ogromną popularność usług DDNS wśród cyberprzestępców oraz wzrost przepustowości przewidujemy pojawienie się nowych typów aktywności przestępczej specjalizujących się w rozwijaniu nowych podejść do zapewniania anonimowości adresów/nazw serwerów sieciowych.

Wraz z każdą identyfikacją luki w zabezpieczeniach systemu Windows pojawia się duża liczba szkodliwych programów tworzonych w celu znajdowania "podatnych na ataki" maszyn. Podobnie jest w przypadku innych aplikacji działających w sieci. Szkodliwe programy skanujące sieć tworzą wiele dodatkowych połączeń sieciowych. Poza zużyciem przepustowości może to spowodować przepełnienie w tabelach tłumaczenia adresów na tanich routerach, co może doprowadzić do całkowitego odłączenia sieci lokalnej od Internetu. Już teraz stanowi to dość powszechny problem dla sieci domowych, które w celu uzyskiwania dostępu do Internetu wykorzystują jeden router.

Zainteresowanie cyberprzestępców lukami w zabezpieczeniach sieci wzrasta. W 2009 roku prawdopodobnie zostaną zidentyfikowane nowe luki w zabezpieczeniach sieci. W rezultacie, użytkownicy niewielkich sieci mogą stracić dostęp do Internetu. Aby tego uniknąć wszystkie komputery w sieci lokalnej muszą być zabezpieczone przed infekcją.

Prognozy na 2009 rok

Rok temu w biuletynie "Kaspersky Security Bulletin 2007" zamieściliśmy prognozy na rok 2008. Skupiliśmy się na problemach, które miały szansę stać się najpoważniejszymi w 2008 roku.

  • Malware 2.0 - dalsza ewolucja rozproszonych komponentów szkodliwego oprogramowania.
  • Rootkity i bootkity - początek epidemii spowodowanych programami wykorzystującymi te technologie.
  • Wirusy plikowe - kolejny etap w ewolucji klasycznych wirusów: wirusy plikowe będą stawały się bardziej wyrafinowane, a inne typy szkodliwych programów będą wykorzystywały techniki infekowania plików.
  • Portale społecznościowe - odejście od zagrożeń typu "proof of concept" i ataków próbnych na rzecz ataków masowych.
  • Zagrożenia mobilne - wzrost liczby ataków na telefony komórkowe i wykorzystywanie tych ataków do uzyskiwania korzyści finansowych.

Jak pokazują trendy oraz sekcje zawierające dane statystyczne zawarte w tych raportach, nasze przewidywania sprawdziły się.

Nasze prognozy na rok 2009 opierają się na tym samym modelu. Problemy, jakie napotkaliśmy w 2008 roku, będą stanowiły jeszcze poważniejsze zagrożenie w 2009 roku. Dzisiejsze zagrożenia nie znikną. Nie ma potrzeby przytaczać wzrostu liczby ataków na gry online i portale społecznościowe, nieustannej ewolucji technologii wirusowych, wzrostu liczby botnetów czy ewolucji cyberprzestępczości jako biznesu i jako usługi. Wszystkie to już widzieliśmy.

W poniższych prognozach zostały omówione trendy, które być może nie są w pełni ukształtowane, ale bez wątpienia będą miały istotny wpływ na ewolucję zagrożeń w 2009 roku.

Globalne epidemie

Uznaliśmy, że długa era globalnych epidemii dobiegła końca. Twórcy wirusów nie preferują już tworzenia robaków, które infekują miliony komputerów na całym świecie. Uważamy jednak, że w 2009 roku sytuacja ta znów się zmieni - spodziewamy się nowych poważnych incydentów, które pod względem zasięgu prześcigną wydarzenia, jakie miały miejsce w latach 2006-2008.

Naszym zdaniem, cyberprzestępczość wkroczyła w okres nasycenia rynku: liczba osób i grup uczestniczących w tym procederze osiągnęła punkt, w którym konkurencja jest nieuchronna. Konkurencja istniała od zawsze, z reguły jednak ograniczała się do konfliktu interesów między kilkoma grupami dotyczącego jednego wąskiego obszaru. Obecnie konkurencja ma skalę globalną, przekraczając lokalne granice. Rywalizacja pomiędzy rosyjskimi, chińskimi, brazylijskimi, ukraińskimi oraz tureckimi cyberprzestępcami nie ogranicza się do wykorzystywanych przez nich technologii. Walczą również o klientów oraz osoby, które mogą realizować zamówienia, oraz o lepsze kanały w celu gromadzenia, sprzedawania i przetwarzania danych oraz o zasoby hakerskie itd.

W 2009 roku przewidujemy wzrost liczby cyberprzestępców. Głównym powodem jest globalny kryzys gospodarczy: wzrost liczby bezrobotnych, wraz ze spadkiem liczby oferowanych miejsc pracy w branży IT spowodowanym zamykaniem projektów, spowoduje, że wielu wysoce wykwalifikowanych programistów albo pozostanie bez pracy, albo na skutek obniżenia się ich dochodów będzie potrzebowało pieniędzy. Niektóre z tych osób będą aktywnie rekrutowane przez cyberprzestępców, inne natomiast uznają to za dobry sposób zarabiania pieniędzy. Ponieważ umiejętności techniczne nowych rekrutów znacznie przewyższają umiejętności większości cyberprzestępców, spowoduje to ostrą rywalizację.

Wszystkie te czynniki spowodują wzrost liczby ofiar. Będzie toczyła się ostra walka o każdy tysiąc zainfekowanych komputerów, ponieważ jedynym sposobem na przetrwanie cyberprzestępców jest infekowanie jak największej liczby maszyn w jak najkrótszym czasie. Do stworzenia botnetu składającego się ze 100 000 maszyn - w celu wywołania globalnej epidemii - konieczne jest zaatakowanie kilku milionów komputerów. Aby utrzymać botnet, trzeba przeprowadzać regularne ataki.

Trojany atakujące gry: spadek aktywności

Przewidywany przez na spadek aktywności trojanów atakujących gry jest sprzeczny ze stanowiskiem utrzymywanym przez większość firm antywirusowych. Wierzymy jednak, że spadek ten będzie wynikiem zarówno kryzysu gospodarczego jak i wzmożonej rywalizacji pomiędzy cyberprzestępcami.

W ciągu ostatnich dwóch lat trojany atakujące gry stały się najbardziej rozpowszechnionymi szkodliwymi programami. Obecnie istnieją setki tysięcy takich programów; przewyższają liczebnie programy trojańskie tworzone w celu kradzieży informacji dotyczących kart kredytowych oraz bankowości online.

Przewagę trojanów atakujących gry można wyjaśnić nie tylko specjalizowaniem się chińskich cyberprzestępców w tym typie szkodliwych trojanów, ale również tym, że w wyniku coraz większej konkurencji zarabianie pieniędzy poprzez defraudację kart kredytowych oraz ataki na użytkowników banków stało się o wiele trudniejsze. W rezultacie, potencjalne dochody cyberprzestępców znacznie zmalały.

Cyberprzestępcy z Rosji lub Europy Wschodniej, którzy wcześniej tworzyli wirusy zarzucili ten rodzaj przestępstwa, albo zmienili kierunek, i obecnie zajmują się tworzeniem i rozprzestrzenianiem programów AdWare oraz fałszywych rozwiązań antywirusowych.

Azjatyccy cyberprzestępcy specjalizują się w trojanach atakujących gry, wykorzystując do tego chińskie know-how. Jednak ze względu na łatwość tworzenia szkodliwych programów atakujących gry, liczba potencjalnych ofiar jest ogromna, a rynek szkodliwego oprogramowania atakującego gry jest nasycony. Kradzież wirtualnych przedmiotów nie oznacza już automatycznie dużych, łatwych zysków. (Podobna sytuacja z tzw. trojanami bankowymi kilka lat temu doprowadziła do spadku liczby takich programów.) Chociaż pieniądze, jakie można dzisiaj zarobić, zadowoliłyby cyberprzestępcę trzy lata temu, chiński wzrost gospodarczy spowodował wzrost apetytu na zyski wśród cyberprzestępców.

O ile dochody osób, które żyją z kradzieży wirtualnych przedmiotów, skurczyły się, konkurencja pomiędzy cyberprzestępcami staje się coraz ostrzejsza. Firmy antywirusowe radzą sobie z zalewem szkodliwych programów atakujących użytkowników gier online, użytkownicy stają się coraz bardziej świadomi problemów bezpieczeństwa, a producenci gier podjęli działania w celu powstrzymania nielegalnych operacji z wykorzystaniem skradzionych kont i przedmiotów. Chociaż za wcześnie jeszcze, aby obwieszczać koniec szkodliwego oprogramowania atakującego gry, liczba nowych szkodliwych programów atakujących gry online oraz liczba grup cyberprzestępczych specjalizujących się w ich tworzeniu z pewnością zmniejszy się.

Malware 2.5

Malware 2.0 został zastąpiony nowym modelem koncepcyjnym - dużymi rozproszonymi systemami botnetów. Model ten, stworzony przez rosyjskich hakerów i zaimplementowany w rootkicie Rustock.c, bootkicie Sinowal i kilku innych szkodliwych programach, okazał się zarówno niezwykle skuteczny jak i niezawodny.

Model ten charakteryzuje się następującymi cechami:

  • Brakiem stałego centrum kontroli botneta - zamiast tego występuje tzw. "botnet migrujący", o którym pisaliśmy w naszym artykule na temat bootkita. Centrum kontroli nieustannie migruje z jednego adresu IP, lub serwera do innego, lub może też zniknąć na jakiś czas. Obecnie istnieje system tworzenia losowo wybranych adresów dla centrum kontroli, który umożliwia cyberprzestępcom zabezpieczenie centrum kontroli przed jego wykryciem oraz "zdjęciem", jak również wybranie jego lokalizacji.
  • Wykorzystaniem silnych algorytmów kryptograficznych do komunikacji między centrum kontroli a maszynami w botnecie. Nawet po uzyskaniu dostępu do centrum kontroli lub przechwyceniu przesyłanych danych analitycy nie są w stanie przejąć kontroli nad botnetem, ponieważ wykorzystuje on klucze szyfrowania znane tylko właścicielowi botneta.
  • Wykorzystaniem uniwersalnych centrów kontroli do zarządzania wieloma różnymi botnetami. Koncepcja ta pochodzi od "uniwersalnego kodu" wykorzystanego w szkodniku o nazwie Zbot: szkodliwe programy tworzone przez różnych autorów mogą komunikować się z tym samym centrum kontroli. Obecnie istnieje wyraźny trend w kierunku zarządzania różnymi botnetami z jednego centrum kontroli.

Technologie te są ściśle związane z przetwarzaniem rozproszonym oraz tworzeniem systemów, które działają pod dużym obciążeniem ogromnych ilości danych (architektura High Load). Technologie te są również wykorzystywane w wyszukiwarkach oraz służą jako podstawa technologii "Cloud Computing" wykorzystywanej między innymi przez wiele firm antywirusowych.

Przewidujemy coraz większą rywalizację między cyberprzestępczymi grupami w zakresie tworzenia wysoce odpornych systemów rozproszonych. Szkodliwi użytkownicy potrafiący tworzyć własne systemy będą mieli wpływ na ogólny krajobraz zagrożeń w przyszłości. Dzieciaki skryptowe zostaną zastąpione przez poważnych specjalistów, którzy mają możliwość pracy w obrębie modelu Malware 2.5.

Phishing/Scam

Oszustwa typu phishing to kolejny rodzaj cyberprzestępstw, w których obserwujemy wpływ światowego kryzysu gospodarczego. Przewidujemy, że ataki phishingowe staną się intensywniejsze.

Po pierwsze, kryzys spowoduje, że użytkownicy staną się bardziej wyczuleni na wszystko, co wiąże się z systemami płatności elektronicznych oraz bankowości online. Nie znaczy to jednak, ze będą ostrożniejsi wobec potencjalnych oszustw. Okres, w którym banki upadają, przechodzą w inne ręce lub mają problemy z wypłatami gotówki, stwarza ogromne możliwości ataków na użytkowników.

Po drugie, poziom techniczny wymagany do rozwijania i rozprzestrzeniania nowych szkodliwych programów zmusi cyberprzestępców do poszukiwania prostszych i łatwiejszych sposobów zarabiania pieniędzy. Phishing może być jednym z atrakcyjniejszych rozwiązań.

Z drugiej strony konkurencja między phisherami wzrasta. Wykorzystanie fałszywej strony internetowej banku już nie wystarczy, aby oszukać użytkowników. Dlatego ataki staną się bardziej wyrafinowane i intensywniejsze.

Ogólnie, można powiedzieć, że sytuacja gospodarcza spowoduje zmniejszenie puli pieniędzy dostępnych w Internecie, szczególnie gdy systemy płatności elektronicznych będą doświadczały poważnych problemów uniemożliwiających im wymianę wirtualnych pieniędzy na prawdziwą gotówkę.

Migracja na inne platformy/systemy operacyjne

Coraz większa rywalizacja między cyberprzestępcami oraz konieczność infekowania jak największej liczby komputerów spowoduje migrację zagrożeń na platformy, które wcześniej nie były popularnym celem ataków. Ucierpią platformy inne niż Windows, przede wszystkim Mac OS oraz platformy mobilne. Wcześniej szkodliwe programy atakujące te platformy były w większości kodem typu "proof of concept"; teraz platformy te mają wystarczająco duży udział w rynku, aby zainteresowali się nimi cyberprzestępcy. Z platformami tymi wiąże się wiele nierozwiązanych kwestii bezpieczeństwa, a ich użytkownicy zasadniczo nie są przygotowani na ataki szkodliwego oprogramowania.