Home → Analizy → Zagrożenia → Kaspersky Security Bulletin → Kaspersky Security Bulletin, styczeń - czerwiec 2006: Złośliwe oprogramowanie dla platform innych niż Win32
W tej części półrocznego raportu omówione zostaną złośliwe programy i luki w uniksowych systemach operacyjnych, łącznie z systemem Mac OS X, który opiera się na Uniksie. Obecnie OS X cieszy się sporym zainteresowaniem specjalistów ds. bezpieczeństwa, większym niż inne uniksowe systemy operacyjne.
Unix powoli ale pewnie odbiera rynek Windowsowi, zarówno jeśli chodzi o serwery, jak i użytkowników końcowych. Jednak system ten nie osiągnął jeszcze popularności, która motywowałaby twórców wirusów do pisania tak dużej liczby złośliwych programów jak w przypadku systemu Win32. OS X może okazać się kanałem, poprzez który coraz więcej użytkowników komputerów zaznajomi się z uniksowymi systemami operacyjnymi - konsekwencją tego będzie wzrost liczby złośliwych programów dla tej platformy.
Sam fakt, że OS X opiera się na FreeBSD oraz Mach pozwala na zaimplementowanie technologii uniksowych.
Poniższy rysunek pokazuje liczbę złośliwych programów atakujących uniksowe systemy operacyjne w pierwszej połowie 2006 roku.
![]() Rysunek 1. Liczba złośliwych programów dla uniksowych systemów operacyjnych |
Rysunek ukazuje z jednej strony wzmożone zainteresowanie twórców złośliwego oprogramowania systemem OS X, z drugiej strony niewielki spadek zainteresowania innymi systemami uniksowymi.
Jeszcze przed swoim debiutem Mac OS X for x86 zwrócił uwagę specjalistów z branży bezpieczeństwa.
Zainteresowanie wrosło jeszcze bardziej, po tym jak Apple ogłosił przejście na popularne procesory Intel. Spowodowało to aktywniejsze poszukiwanie luk, zarówno w systemie operacyjnym, jak i tworzonych dla niego aplikacjach. Przykładem może być popularna wśród użytkowników Maca przeglądarka internetowa Safari, w której zidentyfikowano luki więcej niż jeden raz.
Michale Lehn wykrył w Safari lukę, która pozwala na uruchomienie zdalnego kodu z archiwum zip.
Fulldisclosure, znana lista mailingowa dotycząca bezpieczeństwa, opublikowała przykłady kodu uruchamianego za pomocą luki w tej przeglądarce. Gdy Safari ładuje stronę zawierającą kod, użytkownikowi ukazuje się SRCOD (Spinning Rainbow Cursor of Death - odpowiednik klepsydry znanej z systemów Windows). Następnie, Safari przestaje działać.
Należy podkreślić, że z innymi popularnymi przeglądarkami internetowymi, takimi jak FireFox, Opera czy IE, wiąże się tyle samo problemów z Safari. Luki o różnym znaczeniu nieustannie wykrywane są we wszystkich tych przeglądarkach, a niektóre z nich mogą nawet być wykorzystywane przez specjalnie napisane trojany.
Safari nie jest jedyną aplikacją w systemie OS X, w której znaleziono błędy. Apple opublikował już kilka aktualizacji dla systemu OS X, które mają wyeliminować luki w różnych aplikacjach.
Na początku lutego wykryto wiele złośliwych programów typu "proof of concept" dla systemu OS X.
Leap. Robak komunikatorów internetowych dla systemu OS X, który pojawił się w lutym 2006 roku. Szkodnik ten rozprzestrzenia się za pomocą komunikatora iChat, wysyłając swoje kopie do wszystkich kontaktów w książce adresowej.
![]() Rysunek 2. Podczas rozprzestrzeniania się robaka pojawia się okno dialogowe. |
Inqtana. Robak oparty na Javie. Pojawił się prawie w tym samym czasie co Leap. Szkodnik ten rozprzestrzenia się za pośrednictwem technologii Bluetooth i wykorzystuje starą lukę (Bugtraq ID 13491), która po raz pierwszy została upubliczniona w maju 2005.
Zarówno Leap, jak i Inqtana są robakami typu "proof of concept": ich istnienie potwierdza możliwość stworzenia takich programów. W przyszłości użytkownicy powinni być przygotowani na pojawienie się tych robaków na wolności, a twórcy systemu OS X muszą zachować czujność.
Zajmijmy się teraz tradycyjnymi systemami uniksowymi. Podczas gdy liczne luki identyfikowane w jądrze Linuksa powodują, że twórcy biją na alarm, nastąpił niewielki spadek liczby złośliwych programów dla tego systemu operacyjnego, który jest jednym z najpopularniejszych systemów uniksowych.
Na uwagę zasługuje również pojawienie się kolejnego wirusa wieloplatformowego - Virus.Multi.Bi. Próby stworzenia złośliwego programu tego typu podejmowano już wcześniej, a Virus.Multi.Bi jest wariacją na znany już temat. Do tej samej kategorii należą inne wirusy, takie jak Virus.Multi.Etapux i Virus.Multi.Pelf.
Virus.Multi.Bi, Virus.Multi.Etapux i Virus.Multi.Pelf) są wirusami typu "proof of concept". Ich głównym celem jest udowodnienie możliwości stworzenia programów infekujących zarówno system Linux jak i Win32. Unix atakowany jest głównie przez backdoory i szereg różnych narzędzi klasyfikowanych jako narzędzia hakerskie. Można to wyjaśnić tym, że atakowane komputery z systemem Unix zazwyczaj wykorzystywane są jako platforma do dalszych ataków. Po włamaniu się do konta na komputerze z Uniksem można je wykorzystać do uruchomienia snifferów, backdoorów i przeprowadzania ataków DoS.
Poniższy rysunek ukazuje rozkład tych złośliwych programów.
![]() Rysunek 3. Rozkład złośliwych programów atakujących Uniksa. |
Ewolucja złośliwych programów odzwierciedla ewolucję całej branży komputerowej. Dlatego właśnie, jeżeli chodzi o bezpieczeństwo systemów operacyjnych innych niż Windows, niewiele osób zaprzeczy, że złośliwe programy dla takich platform są nie tylko możliwe do stworzenia, ale istnieją już w rzeczywistości. Co więcej, integrowanie różnych technologii zachęca szkodliwych użytkowników do szukania rozwiązań, które będą działały na różnych platformach.
Na podstawie przedstawionych wyżej informacji można sformułować następujące wnioski:
1. Wraz ze wzrostem popularności systemu OS X będzie się zwiększać liczba ataków na ten system operacyjny i jego aplikacje. Gdy OS X osiągnie "masę krytyczną", szkodliwi użytkownicy zwrócą większą uwagę na komputery z systemem OS X, co spowoduje pojawienie się złośliwego oprogramowania dla tego systemu na wolności.
2. Innym potencjalnym celem jest platforma 64-bitowa. Z jednej strony, nowe technologie stwarzają dodatkowe trudności, jednak innowacje zawsze przyciągają zagorzałych specjalistów ds. bezpieczeństwa. W przyszłości pojawią się prawdopodobnie złośliwe programy dla uniksowych systemów operacyjnych dla 64-bitowych procesorów.
Reasumując, niewielka liczba złośliwych programów w dowolnym środowisku nie oznacza, że spraw bezpieczeństwa nie należy traktować poważnie. W końcu, ani Linux, ani OS X, ani żaden inny system operacyjny nie jest z natury bezpieczniejszy niż Windows, a użytkownicy powinni podjąć odpowiednie środki ostrożności, bez względu na to, jak bezpiecznie się czują.
Źródło:![]() |
Analizy
Blog