Raport F-Secure! Wirusy, robaki, phishing od czerwca do grudnia 2006
Thursday, 11 January 2007
Liczba masowych ataków robaków, wirusów i innych złośliwych programów zdecydowanie zmalała w 2006 r. Natomiast zostały one zastąpione przez precyzyjnie przemyślane i zaplanowane uderzenia na konkretnie wybrany cel np. system banku, firmy, aukcji internetowej. Cyberprzestępcy korzystają z oprogramowania maskującego, takiego jak rootkit, aby ukryć nieuprawniony sposób dostępu do systemu, a następnie kradną cenne informacje dla własnej korzyści finansowej lub na zlecenie innych osób bądź organizacji.
Najważniejsze zagrożenia z sieci w drugiej połowie 2006 r. to:
Rosnąca popularność ataków typu phishing, która dodatkowo wiąże się z wtórną sprzedażą domen o nazwach łudząco podobnych do witryn znanych banków i innych instytucji finansowych jak np. citi-bank.com. Nowym problemem jest sprzedaż domen zawierających akcentowane litery takie jak „á” lub „í, co umożliwia tworzenie fałszywych stron typu vísa.com, pàypal.com lub paypàl.com, których odróżnienie od legalnych witryn jest niezwykle trudne.
Werazov, czyli zakrojona na szeroką skalę operacja przesyłania spamu w oparciu o samoaktualizującego się robaka.
Luki XXS, które umożliwiają ataki na serwisy społecznościowe jak np MySpace. Jednym z przykładów może być robak o nazwie Samy, który został napisany w celu zdobycia popularności. Złośliwa aplikacja w ciągu kilu godzin dodawała ok. miliona nowych osób do grona znajomych użytkownika. Natomiast inny robak wykorzystując lukę w oprogramowaniu Macromedia Flash kierował odwiedzających na strony z pornografią.
Stale rosnąca liczba wirusów atakujących urządzenia mobilne – obecnie znanych jest ponad 300 ich rodzajów. Pojawiły się także programy szpiegowskie, które zapisują do dziennika informacje o wiadomościach SMS i połączeniach głosowych, umożliwiają zdalne podsłuchiwanie i potajemne zestawianie połączeń konferencyjnych. W niektórych przypadkach oferta uzupełniona jest o usługi lokalizacyjne. Narzędzia te mogą służyć do szpiegostwa przemysłowego, kradzieży tożsamości i podszywania się pod inne osoby.
Fałszywe nazwy domen ułatwiają phishing
Wyjątkowo aktywny rynek wtórny dla nazw domen wzbudził w październiku zainteresowanie zespołu F-Secure Research. Chodzi o nazwy domen, które były już wcześniej zarejestrowane, a teraz są ponownie sprzedawane. Przykładowo, oczekiwana cena za domeny hell.com i auction.com, które zostały wystawione na sprzedaż w październiku, oscylowała w okolicach kilku milionów dolarów. Tymczasem pierwotnie zostały one zarejestrowane za około 5 do 15 USD.
Jednak w większości przypadków, domeny są sprzedawane za kilkaset do kilku tysięcy dolarów. Największymi serwisami, które specjalizują się we wtórnym obrocie domenami, są Sedo i Moniker. Zespół badawczy był szczególnie zainteresowany możliwością kupna domen, które w oczywisty sposób należą do banków lub innych instytucji finansowych, takich jak chasebank-online.com, citi-bank.com i bankofamerica.com.
Lista zawierała jeszcze około 30 serwisów wystawionych na sprzedaż, a ich nazwy były łudząco podobne do rzeczywistych odpowiedników. Powstaje pytanie, kto chciałby kupić takie domeny, o ile nie jest przedstawicielem danego banku lub oszustem, posługującym się phishingiem?
Zespół badawczy zauważył również, że wspomniane powyżej firmy sprzedają domeny, które w swojej nazwie zawierają akcentowane litery, takie jak „á” lub „í” zamiast normalnego „a” bądź „i”. W ten sposób powstają nazwy domen typu vísa.com, pàypal.com lub paypàl.com, których odróżnienie od legalnych witryn jest niezwykle trudne. Sedo odpowiedziało na pytanie o podejrzany charakter transakcji sprzedaży nazw serwisów, które wydają się legalne, ale nie są. Jeremiah Johnston, generalny radca prawny Sedo, stwierdził, że firma chce „zrównoważyć prawa wszystkich użytkowników”. Dodał również, że właściciele znaków towarowych czasami nękają „wielu posiadaczy legalnych domen”.
Idąc cały czas tropem phishingu, pod koniec sierpnia zespół badawczy otrzymał sygnał, że serwis phishingowy udający PayPal został najwyraźniej zaprojektowany w celu przeprowadzania ataku typu man-in-the-middle na hasło użytkownika. Strona wyświetlała okienko logowania, wyglądające na oryginalne. Użytkownik musiał wpisać prawidłową nazwę użytkownika i hasło. Zespół założył, że oszust, pozostając niewidocznym, przesyłał następnie dane logowania do prawdziwego serwisu PayPal. Każdy, kto padł jego ofiarą, ujawniał zarówno swoje hasło, jak i najprawdopodobniej numer karty kredytowej, jeśli dał się nabrać na ten niezwykle przekonujący fortel. Na szczęście alarm został wszczęty zanim serwis zdołał wyrządzić szkody. Powiadomienia o fałszywej stronie zostały wysłane do stosownych władz. Najprawdopodobniej ataki phishingowe typu man-in-the-middle staną się w przyszłości prawdziwym problemem.
Podobny motyw legalnej firmy przyczyniającej się do działalności oszustów pojawił się pod koniec sierpnia, gdy odkryto, że Tripod, czyli bezpłatna usługa hostingu, oferowana przez Lycos, utrzymywała na swoich serwerach wiele serwisów phishingowych.
- pay-pal-redirect.tripod.com
- pay-pal-jack-pot.tripod.com
- pay-pal-upgrade.tripod.com/asfafsa.html
- gontham5.tripod.com/paypal.html
- wakabu2.tripod.com/paypal.html
- pp-account.tripod.com/paypal.html
Zespół badawczy zastanawiał się, dlaczego Tripod nie podjął bardziej zdecydowanych kroków, żeby przeciwdziałać zakładaniu przez użytkowników serwisów o nazwach w stylu „pay-pal-redirect” lub przynajmniej od czasu do czasu nie skanowano tworzone przez użytkowników treści w poszukiwaniu oczywistych kopii stron logowania do serwisów eBay lub PayPal. We wszystkich wypadkach serwisy Tripod i PayPal otrzymały powiadomienia o nadużyciach ze strony powyższych witryn. Dziesięć godzin później pięć z nich zostało zablokowanych przez Tripod.
Warezov trafia na czołówki gazet
W 2006 r. byliśmy świadkami tylko dwóch dużych, „tradycyjnych” epidemii robaków pocztowych: Nyxem oraz Warezov.
Masowe ataki z wykorzystaniem robaka Warezov zaczęły się w sierpniu. Warezov i wiele jego odmian rozsyłało się automatycznie jako załącznik w wiadomości email na adresy odszukane w zainfekowanych komputerach. W niektórych wypadkach zainfekowany załącznik uruchamiał się samoczynnie. W innych konieczne było, aby użytkownik otworzył taki załącznik. Warezov próbuje również pobrać swoje zaktualizowane warianty z określonej strony lub stron internetowych.
Po uruchomieniu pliku robaka, pojawia się okno komunikatu pełniące rolę kamuflażu. Robak instaluje się w taki sposób, aby był uruchamiany przy starcie Windows. Po uaktywnieniu instaluje się w systemie i tworzy klucz startowy w rejestrze Windows. Następnie pozostaje aktywny w pamięci systemowej. W tym czasie przeszukuje określone pliki w komputerze (np. pliki HTML) na wszystkich dostępnych dyskach twardych pod kątem zawartych w nich adresów email. Na koniec łączy się z dostępnym serwerem pocztowym i wysyła swoją kopię pod znalezione adresy.
Interesującą cechą tego robaka był fakt, że potrafił się samodzielnie rozprzestrzeniać, podobnie jak robaki email sprzed kilku lat. Był to również bez wątpienia najbardziej masowo rozsyłany atak spamowy w 2006 r. W początkowym etapie wszystkie warianty korzystały z tej samej strony do pobierania dodatkowych komponentów i aktualizacji: gadesunheranwui.com. Domena ta została zarejestrowana przez autorów robaka specjalnie w tym celu.
Prawdziwy cel Warezova stał się jasny w listopadzie – było to wysoce skoordynowane ćwiczenie w rozprzestrzenianiu spamu. Komputery zarażone robakiem pobierały dodatkowe komponenty, które ze zmiennym opóźnieniem zaczynały wysyłać niechciane wiadomości, reklamujące Viagrę, Valis, Valium i klony Xanax. Niechciane wiadomości wyglądały podobnie do poniższej:
Zespół badawczy skojarzył wirusa ze spamem za pomocą analizy domen, używanych przez grupę, która stworzyła Warezova, do dystrybucji składników wirusa i do hostingu fałszywych stron reklamujących Viagrę.
Warezov rozprzestrzenia się dzięki rozsyłaniu lekko zmodyfikowanych wersji komponentu służącego do pobierania danych. Spamerzy zmieniają jego kod gdy tylko główne programy antywirusowe zaczną wykrywać ten konkretny składnik. Gdy moduł pobierający zostanie uruchomiony na komputerze, łączy się z adresem, pod którym znajdują się inne składniki do pobrania. Typowy URL mógłby wyglądać np. tak:
- yuhadefunjinsa.com/chr/grw/lt.exe
Spamowe wiadomości zawierają odnośniki do fałszywych stron oferujących Viagrę. Co ciekawe, domeny wykorzystywane przez fałszywe sklepy z Viargą mają nie tylko nazwy podobne do adresów URL zawierających komponenty do pobrania, ale także te same informacje rejestracyjne. Wszystkie domeny, które widzieliśmy, można podzielić na zaledwie trzy grupy: domeny zarejestrowane na „ Wang Pang”, „Dima Li” oraz „Bai Ming”
Porównując domeny używane przez wirusa z domenami w wiadomościach spamowych, widać, że pokrywają się one ze sobą, co dowodzi, że stanowią część jednej operacji.
W listopadzie Warezov wciąż się rozprzestrzeniał, a firma F-Secure w tym samym tempie dodawała szczepionki. Dzięki ułożeniu w logiczną całość poszczególnych elementów, nowe warianty robaka są teraz automatycznie blokowane przez mechanizm System Control w F-Secure Internet Security 2007. Mimo to, Warezov jeszcze przez jakiś czas pozostanie robakiem przysparzającym użytkownikom problemów.
Serwisy społecznościowe zagrożone robakiem
Pod koniec lipca zespół badawczy odkrył nowe przykłady robaków atakujących aplikacje webowe, wykorzystujących luki w serwisach internetowych, umożliwiające ataki typu XSS (Cross Site Scripting – polegające na wysyłaniu do klienta niesprawdzonego kodu, pobranego z zewnątrz). Jest to nowa kategoria złośliwego oprogramowania i coraz większy problem serwisów w Internecie. Najczęściej wybieranym celem są teraz serwisy społecznościowe, co ma związek z ich olbrzymią popularnością i bazą użytkowników. Serwis MySpace został zaatakowany już przez dwa takie robaki – Samy w październiku 2005 r. i Flash w lipcu 2006 r. Robak Samy został napisany przez kogoś, kto chciał zyskać popularność w MySpace. Jego autor zaprojektował go w taki sposób, aby robak przemierzał strony serwisu, dodając w szaleńczym tempie poszczególne osoby do listy przyjaciół autora. Wynik: ponad milion „przyjaciół” w ciągu kilku godzin. Robak Flash wykorzystywał lukę oprogramowania Macromedia Flash w celu przekierowania użytkowników z serwisu MySpace do niestosownych treści.
W lipcu MySpace padło też ofiarą złośliwej reklamy bannerowej, uruchomionej w serwisie. Banner wykorzystywał lukę w obsłudze WMF w Windows, wyświetlając niechciane reklamy na komputerach ponad miliona użytkowników, których maszyny nie były odpowiednio zabezpieczone.
W następstwie tych ataków postanowiliśmy sprawdzić, na ile bezpieczne są inne popularne serwisy społecznościowe w obliczu robaków wykorzystujących luki XSS. Wybraliśmy dwa serwisy tego typu spośród ścisłej czołówki. Łączna liczba ich użytkowników wynosi 80 milionów. W ciągu pół godziny odkryliśmy ponad pół tuzina dających się potencjalnie wykorzystać za pomocą robaków luk XSS w każdym serwisie! Poszukiwania zakończyliśmy po odkryciu sześciu luk, ale nie ma wątpliwości, że jest ich znacznie więcej. Napastnik mający przeciętną wiedzę na temat javascriptu mógłby w ciągu góra jednego dnia stworzyć robaka wykorzystującego jedną z nich.
Warto też wziąć pod uwagę następującą kwestię: Banner reklamowy wykorzystujący lukę WMF pomyślnie dotarł do około miliona użytkowników. Zautomatyzowany robak, wykorzystujący w podobnie złośliwy sposób słabość WMF lub inną, podobną lukę w przeglądarce, być może nawet dopiero co wykrytą, mógłby potencjalnie dosięgnąć dużo większą grupę niezabezpieczonych maszyn. Teoretycznie mogliby to być nawet wszyscy użytkownicy serwisu...
Zalecamy wszystkim użytkownikom, żeby instalowali uaktualnienia w swoich komputerach, natomiast twórcy aplikacji webowych powinni zacząć podchodzić bardziej poważnie do kwestii bezpieczeństwa. Problemy z XSS już dawno temu przestały być błahe. W obliczu phishingu i rozwoju robaków atakujących aplikacje internetowe, stanowią one poważne niebezpieczeństwo, narażając na atak miliony użytkowników w bardzo krótkim czasie. Oczywiście zespół badawczy powiadomił o wykrytych problemach dotknięte nimi serwisy i współpracuje z nimi nad ich usunięciem. Zagrożenie jest ewidentne – miejmy tylko nadzieję, że społeczność tworząca złośliwe oprogramowanie nie będzie w stanie zbyt szybko zareagować.
Robaki międzyplatformowe – zagrożenie na przyszłość?
Późną jesienią zespół badawczy F-Secure napotkał międzyplatformowego robaka, który teoretycznie jest w stanie rozprzestrzeniać się z komputerów PC na urządzenia mobilne i z powrotem. Robak o nazwie Mobler przenosi się między platformami Symbian a Windows. Choć w Windows jest dość poważnym zagrożeniem, w urządzeniach z systemem Symbian jest mniej groźny – w zasadzie kopiuje się tylko na kartę pamięci i próbuje podstępem zmusić użytkownika do zarażenia komputera PC.
Od strony technicznej, nie ma automatycznego mechanizmu rozprzestrzeniania, dzięki któremu Mobler mógłby sam kopiować się z jednej platformy na drugą. Po prostu tworzy pakiet instalacyjny Symbian, który umieszcza plik wykonywalny Windows na karcie pamięci urządzenia mobilnego. Plik ten jest widoczny jako folder systemowy w Eksploratorze Windows, dlatego użytkownik może go przypadkowo otworzyć i zainfekować komputer podczas przeglądania plików na karcie pamięci.
Mobler w swojej obecnej postaci nie stwarza bezpośredniego zagrożenia dla użytkowników urządzeń mobilnych. Jest jednak możliwe, że autorzy wirusa mogą go wykorzystać jako podstawę dla bardziej złośliwego oprogramowania.
M-wirusy – zagrożenie cały czas rośnie
W drugiej połowie 2006 roku ciągle powstawały nowe odmiany złośliwych kodów atakujących urządzenia mobilne. W lipcu ich ilość przekroczyła 300 poznanych odmian. Nadal najczęściej wybieraną przez ich twórców platformą jest Symbian, która jest najczęściej stosowana przez producentów inteligentnych telefonów.
Commwarrior – reaktywacja...
Późną jesienią, Zespół badawczy F-Secure odkrył nową odmianę znanego już wcześniej wirusa Commwarrior nazwanego SymbOS/Commwarrior.Q. Nie byłoby w tym nic dziwnego, gdyby nie fakt, że Commwarrior.Q. nie jest po prostu ulepszoną wersją Commwarrior.B., ale zupełnie nowym wariantem złośliwego kodu z dodatkowymi funkcjonalnościami.
Commwarrior.Q. posiada podobne cechy do Commwarrior.C. – podobnie jak on rozprzestrzenia się za pomocą łącza Bluetooth i wiadomości MMS, infekując karty pamięci. Dodatkowo Commwarrior.Q. instaluje się w plikach instalacyjnych gier o rozszerzeniu SIS. To oznacza, że wirus może rozsyłać się samoczynnie. Jest także, pierwszą znaną odmianą złośliwego kodu, który wykorzystuje pliki instalacyjne SIS do replikacji.
Mobilne oprogramowanie szpiegujące – czy to już poważny problem?
Zespół badawczy na początku przewidywał, że konie trojańskie z mechanizmami szpiegującymi, stworzone dla telefonów komórkowych z systemem Symbian OS będą miały raczej ograniczony zasięg, a cały problem sprowadzi się do kilku dostawców tworzących narzędzia szpiegujące do telefonów typu smartphone. Okazuje się jednak, że powstała już całkiem pokaźna branża, która jak do tej pory zdołała uniknąć rozgłosu i umknąć uwadze. Jest obecnie kilku dostawców, którzy albo tworzą oprogramowanie do telefonów z systemem Symbian, albo oferują sprzętowo zmodyfikowane wersje niemal każdego, dostępnego telefonu. Wszystkie zbadane telefony i aplikacje miały podobne możliwości.
Zwykle jest to przekazywanie wiadomości SMS, zapisywanie do dziennika informacji o wiadomościach SMS i połączeniach głosowych, zdalne podsłuchiwanie i potajemne zestawianie połączeń konferencyjnych. W niektórych przypadkach oferta uzupełniona jest o usługi lokalizacyjne. Oznacza to, że ofiara która ma w swoim telefonie zainstalowaną w pełni funkcjonalną aplikację szpiegowską, jest całkowicie pozbawiona prywatności podczas rozmów, natomiast osoba kontrolująca oprogramowanie ma dostęp do wszystkich informacji.
Dostawcy oprogramowania szpiegowskiego twierdzą, że ich aplikacje powinny być wykorzystywane wyłącznie w zgodzie z lokalnym prawem, a także, że typowym zastosowaniem dla tego typu narzędzi jest śledzenie niewiernych małżonków lub kontrolowanie wykorzystania telefonu przez dzieci. Jednak narzędzia te mają również swoje mroczniejsze oblicze – mogą posłużyć do szpiegostwa przemysłowego, kradzieży tożsamości i podszywania się pod inne osoby.
Jedna z badanych aplikacji szpiegujących, Acallno.A., przekazuje wszystkie otrzymane lub wysłane wiadomości SMS pod dodatkowy numer telefonu, skonfigurowany przez osobę, która ją zainstalowała. Zespół badawczy dodał wykrywanie oprogramowania Acallno.A jako aplikacji szpiegującej do pakietu F-Secure Mobile Anti-Virus. Acallno.A to pseudonim nadany aplikacji, która ma w rzeczywistości inną nazwę. Wynika to z faktu, że zadaniem F-Secure jest informowanie klientów o potencjalnie złośliwym oprogramowaniu, a nie promowanie komercyjnych narzędzi szpiegowskich.
Na szczęście aplikacja Acallno.A jest ograniczona kodem IMEI urządzenia docelowego, dlatego bez bezpośredniego dostępu do telefonu nie można jej wysłać do dowolnego użytkownika. Nie może ona również zostać dodana do konia trojańskiego lub innego mechanizmu masowej instalacji. Narzędzia monitorujące nie zawsze są nielegalne, a Acallno.A lub podobne programy mogą mieć swoje zgodne z prawem zastosowania. Natomiast użytkownicy mogą tak skonfigurować aplikację Anti-Virus, żeby umożliwiła działanie wykrytych aplikacji szpiegowskich. W takich wypadkach należy sięgnąć po dokumentację produktu.
Błędy w Centrino otwierają potencjalną lukę dla wirusów w sieciach WLAN
Na początku sierpnia Intel opublikował zestaw łat dla rozwiązania Intel Centrino. Nie byłoby to nic szczególnego, gdyby nie fakt, że Centrino to nie tylko procesor, ale również zintegrowana sieć WLAN i inne mechanizmy laptopów. Błędy nie są związane z procesorem, ale właśnie z mechanizmami bezprzewodowymi, które należą do najczęściej wykorzystywanych przez podróżujących użytkowników.
Błędy, do których udostępniono łaty, są poważne. Najgorszy z nich „potencjalnie mógłby posłużyć napastnikom znajdującym się w zasięgu stacji Wi-Fi do wykonania dowolnego kodu na zaatakowanym komputerze”. Teoretycznie zatem, ktoś mógłby napisać wirusa WLAN, który przedostałby się z jednego laptopa na drugi, jeśli komputery będące w zasięgu punktu dostępowego byłyby blisko siebie. Problem ten występuje nie tylko w maszynach z Intel Centrino. Podobną słabość w swoich sterownikach ma np. system operacyjny do komputerów Mac. We wszystkich przypadkach zalecamy sprawdzenie, czy sterowniki do obsługi sieci Wi-Fi są zaktualizowane do najnowszej wersji.
Raport dostępny jest też jako plik audio/video, o zagrożeniach z Internetu mówi Mikko Hypponen, Szef Zespołu badawczego F-Secure.
Więcej informacji na stronie http://www.f-secure.com/2006
Zobacz również: Security Awareness