Все операционные системы, существующие в современном компьютерном мире, несмотря на все их многообразие, можно свести к двум основным категориям: ОС Microsoft и Unix-подобные ОС. Данный документ представляет собой обзор вирусной ситуации для Unix-подобных операционных систем.
- Развитие вредоносных программ
- Вредоносные программы для Unix-подобных систем
- Вредоносные программы для мобильных устройств
- Интернет-атаки
- Спам в 2006 году
Самой популярной Unix-подобной ОС является Linux. Linux, хоть и остается главной альтернативой Windows, но используется в основном в качестве серверных решений. В качестве рабочих станций Linux (как и остальные Unix-подобные ОС) продолжают использовать лишь энтузиасты и профессионалы. Вирусописателей и прочих киберкриминальных персонажей Linux, видимо, стал интересовать значительно меньше — это уже не андеграунд, с одной стороны, и не распространенный мейнстрим, позволяющий строить на нем киберкриминальный бизнес, — с другой. Поэтому значительную долю потока зловредов в 2006 году составляли концептуальные разработки и эксплойты, демонстрирующие новые уязвимости, а также рекомпилированные версии уже известных программ.
Появление действительно новых экземпляров зловредных программ является редким событием. В то же время уязвимостей как в программах под Unix и Linux, так и в самом ядре ОС, обнаруживается ничуть не меньше, чем в ПО под Windows. Поэтому пользователи Unix могут быть относительно спокойны лишь до тех пор, пока эта ОС не станет достаточно популярной для того, чтобы представлять интерес для киберзлоумышленников. Конечно, разработчики стараются быстро исправлять найденные уязвимости, а производители дистрибутивов выпускают обновления, но ведь обновления еще надо установить, а это уже задача пользователей, которые не всегда принимают необходимые меры.
Основные итоги 2006 года
Из года в год общий поток зловредных программ растет, но этого нельзя сказать о вредоносных программах для Unix. Их количество всегда составляло незначительную долю от общего числа вредоносных программ, а в 2006 году произошло значительное уменьшение числа Unix-зловредов по сравнению с предыдущими годами.
В 2005 году статистика по вредоносным программам для Unix-подобных систем в «Лаборатории Касперского» собиралась по антивирусным базам, и число новых вредоносных программ соответствовало количеству записей в базах. То есть при наличии двух (или более) незначительно отличающихся друг от друга модификаций одной вредоносной программы в число новых попадали оба варианта (все варианты).
В 2006 году методика подсчета числа вредоносных программ изменилась: в качестве новых учитываются только те вредоносные программы, которые не являются модификациями уже существующих в базах.
В результате применения новой методики, число вредоносных программ для Unix-подобных систем в 2006 году уменьшилось на 43%.
Распределение по платформам вредоносных программ для различных Unix-систем
Уменьшение числа новых вредоносных файлов для Unix-систем имеет еще более выраженный характер на фоне общего потока вредоносных программ, который за прошедший год вырос на 41%. Он представлен в основном зловредами для Windows, тем самым относительная доля Unix-составляющей оказалась еще меньше. Объяснить такую ситуацию можно лишь невысокой популярностью Unix у обычных пользователей (см. выше).
То, что Linux является самой популярной системой из всех Unix, подтверждается и тем фактом, что подавляющее большинство зловредного ПО предназначено именно для этой ОС. Хотя многие вредоносные программы могут без особого труда быть перенесены на другие Unix, в том числе и OS X.
Число вредоносных программ для Unix-платформ.
Долевое распределение вредоносных программ для различных Unix-платформ в 2006 году.
Появление долевого сегмента OS X в распределении вредоносных программ для Unix-подобных систем является основным отличием 2006 года по сравнению с предыдущими годами. OS X — это молодая OC (первый релиз — 2001 г.) с большим наследием (Mach и FreeBSD), но переход компании Apple на x86-процессоры значительно увеличил ее популярность. В 2006 году «Лаборатория Касперского» тоже добавила OS X как платформу в свою классификацию зловредного ПО.
И хотя сейчас доля вредоносных программ для OS X составляет всего 4%, эта операционная система приобретает все больше поклонников, и похоже, что именно OS X будет отбирать проценты популярности у других Unix-систем, в том числе и у Linux.
Тенденция к уменьшению числа новых зловредов для Unix должна сохраниться до тех пор, пока Unix-системы не станут популярны на десктопах пользователей. В настоящий момент у вирусописателей и других киберкриминальных элементов нет мотивации для написания зловредного кода: денег на небольшом количестве Unix-пользователей много не заработать. По той же причине поиском уязвимостей в Unix-системах занимаются в основном профессиональные исследователи безопасности.
В ноябре 2006 года был запущен проект «the Month of Kernel Bugs» (MoKB) , целью которого является обнаружение и публикация уязвимостей в ядрах различных ОC. Согласно полученным в ноябре результатам исследования, среди всех операционных систем Linux оказался лидером по числу обнаруженных уязвимостей — в его ядре было найдено 11 уязвимостей, в OS X — 10. В этом списке также отметились FeeBSD, Sun OS, Microsoft и производители драйверов.
Судя по количеству обнаруживаемых проблем как в самом ядре Linux, так и в приложениях для нее, возможностей для написания зловредного кода для Linux ничуть не меньше, чем для Windows, и в будущем ситуация с Linux-платформой может стать такой же небезопасной, как и с Windows.
Распределение поведений Unix-ориентированных вредоносных программ
Анализируя статистику, можно отметить, что на протяжении последних трех лет качественный состав потока в целом меняется незначительно.
Распределение поведений Unix-ориентированных вредоносных программ.
Как и в предыдущие годы, эксплойты и backdoor’ы составляют основную часть всего вредоносного потока. Hacktool занимает третье место в списке популярности зловредных программ под Unix. Остальные — черви, трояны, руткиты — все вместе имеют долю чуть большую, чем hacktool. В целом это из года в год повторяющаяся картина, в таком распределении нет ничего необычного.
Преобладание backdoor’ов как класса можно объяснить спецификой использования компьютеров с Unix: основное применение Unix — это различные сервера. Как правило, такие сервера предоставляют удаленный доступ и другие сетевые службы. Установленный на машине backdoor, да еще с правами root, позволяет получить полный доступ к машине, а значит, и к ресурсам сети. Кроме того, инфицированная машина может быть использована для реализации последующих атак на другие компьютеры, рассылок спама или еще каких-нибудь задач.
Эксплойты и хакерские утилиты можно использовать как со злым умыслом — для взлома, так и с добрыми намерениями — для обнаружения уязвимостей. Так, например, Metasploit могут использовать, c одной стороны, специалисты по безопасности для тестирования на наличие уязвимостей, с другой — хакеры. А сетевая утилита netcat может выполнять функции backdoor’а и запускаться на взломанной машине для предоставления удаленного доступа.
Несмотря на то что большинство зловредов для Unix-платформ можно найти в исходных текстах, очень немногие из них получили свое развитие: их новые версии отличаются очень незначительно, а иногда и вовсе имеют разный бинарный код лишь из-за изменений опций компилятора.
Вирусы на Unix, как, впрочем, и на Windows, в целом становятся редким видом вредоносных программ. На рис. 3 среди поведений вредоносных программ для Unix вирусы отсутствуют, поскольку единственным новым вирусом, обнаруженным в 2006 году, был Virus.Multi.Bi.
Как видно из названия, вирус имеет платформу Multi, т.е. предназначен для нескольких платформ: Virus.Multi.Bi заражает исполняемые файлы PE- и Elf-формата. Он является нерезедентным вирусом, написан на асcемблере и достаточно прост (заражает файлы только в текущем каталоге). Это не первый кроссплатформенный вирус для Windows-Linux, однако общее число таких вредоносных программ не превышает десятка.
Окно, появляющееся при запуске дроппера Bi на windows.
В настоящий момент современные сети представляют собой гетерогенные системы, в которых используются разные платформы и операционные системы, поэтому попытки создать зловредный код, работающий на разных платформах, встречаются все чаще. Кроссплатформенное вредоносное ПО, возможно, и не станет обычным явлением, но попытки его создания позволяют сделать вывод о тенденции развития в создании вредоносных программ в этом направлении. Этому способствует и использование различных скриптовых языков, позволяющее создать одинаково работающий в разных ОС код (правда, при этом требуется наличие установленного в системе интерпретатора языка).
Как отмечалось выше, качественный состав зловредного кода обусловлен прежде всего тем, как используется данная платформа: в качестве рабочих станций, домашних компьютеров или серверов. Смещение интересов пользователей обязательно отразится на качественном составе вредоносного потока. И если вдруг Linux станет популярен на десктопах пользователей, акценты киберпреступников, безусловно, сместятся в сторону этой платформы.
OS X — самая перспективная платформа
С переходом на x86-архитектуру OS X, несомненно, стала более популярной платформой. Все больше пользователей рассматривают Mac OS X как альтернативу не только для Windows, но и для Linux. Красивый интерфейс и стабильность позволяют этой ОС заполучить в свои ряды новых почитателей. Исследователей безопасности эта платформа привлекает своей относительной новизной — настоящему кодокопателю интересней исследовать новые платформы и технологии.
Однако многообещающее начало года не имело достойного продолжения: переход на x86-архитектуру не привел к стремительному росту числа пользователей OS X. В результате, OS X не стала пока предметом коммерческого интереса киберзлоумышленников. Но появилось несколько заслуживающих внимания концептуальных зловредов для этой платформы.
В феврале появился первый из них, IM-Worm.OSX.Leap. Этот червь распространяется через instant-messaging клиента для OS X iChat, рассылая себя по адресной книге.
Окно, возникающее при запуске IM-Worm.OSX.Leap.
Другой червь, Worm.OSX.Inqtana, появился почти в одно время с Leap. Inqtana, написан на Java и распространяется через Bluetooth, используя старую уязвимость CVE-2005-1333, которая была опубликована еще в мае 2005 года.
Под конец года история Inqtana получила продолжение. Червь Worm.OSX.Niqtana стал вариацией на ту же тему, он также распространяется через Bluetooth, но использует другие уязвимости: CVE-2005-0716 для OS X 10.3.x и CVE-2006-1471 для 10.4.x.
Появление в начале ноября очередного концепта Virus.OSX.Macarena для OS X демонстрирует новые горизонты в этой области. Macarena — это первая попытка создания вируса для Mac OS X, заражающего исполняемые файлы mach-o формата. Вирус заражает только файлы из текущего каталога и только для intel-платформы, т.е. не опасен для ppc-архитектуры.
Эти зловреды имеют концептуальный характер, они показывают возможности создания программ подобного рода, и в будущем стоит ожидать их появления «в диком виде». И пользователям, да и разработчикам OS X, придется более серьезно относиться к вопросам безопасности. И хотя данные зловреды и не встречаются в дикой природе, но все же после их появления число сторонников мнения, что платформа Macintosh безопаснее, чем Windows, заметно сократилось.
Выводы и прогнозы
Для Unix-сообщества 2006 год был в целом спокойным с точки зрения вредоносной активности. Никаких эпидемий или серьезных происшествий не случилось.
Однако пользователям на Unix не стоит беспечно относиться к проблемам безопасности. Возможностей для написания зловредного кода для Unix-подобных ОС ничуть не меньше, чем для Windows. Производители ПО регулярно выпускают обновления, исправляющие ошибки в их программных продуктах, но об их установке и правильной настройке должны заботиться сами пользователи.
В какой-то степени 2006 год был годом ожиданий широкого внедрения некоторых новых технологий, таких как Mac OS X для x86 и 64-разрядных процессоров и ОС. Однако эти технологии пока не сильно изменили мир, но в будущем это изменение обязательно должно произойти. К этим переменам готовятся как злоумышленники, так и специалисты по компьютерной безопасности.
Если говорить о прогнозах, то можно предположить следующее:
- Mac OS X, подававшая большие надежды, продолжает оставаться самым перспективным игроком среди ОС, и в 2007 году часть пользователей как Windows, так и Linux могут перейти на Mac OS X.
- Можно предположить, что с дальнейшим проникновением Linux на различные устройства, будь то мобильные телефоны, бортовые компьютеры автомобилей или игровые приставки, такие как PS3, появится вредоносное ПО, нацеленное на пользователей подобной электроники.
- Кроссплатформенность также может получить свое развитие, поскольку первоочередная задача для злоумышленников — охватить более широкий круг пользователей.
- В обиход войдут и новые способы распространения вредоносных программ, которые будут массово использовать современные технологии, такие, например, как bluetooth, wi-fi или skype.
Новые технологии не стоят на месте, а с их внедрением появляются новые возможности их использования в различных, в том числе и преступных, аспектах. Конечно, хотелось бы, чтобы тенденция 2006 года по снижению числа вредоносных программ для UNIX-подобных ОС сохранилась и в будущем — но не благодаря снижению популярности UNIX-платформ.
Kaspersky Security Bulletin 2006. Вредоносные программы для Unix-подобных систем