Kaspersky Security Bulletin

Kaspersky Security Bulletin, январь-июнь 2006. Вредоносные программы для не Win32-платформ

  1. Развитие вредоносных программ
  2. Вредоносные программы для не Win32-платформ
  3. Интернет-атаки
  4. Вредоносные программы для мобильных устройств
  5. Спам в первом полугодии 2006 года

В этой части полугодового отчета речь пойдет о вредоносных программах и уязвимостях на Unix-подобных операционных системах. Так как Mac OS X по своей сути является Unix, она также будет рассмотрена в данном разделе. Более того, сейчас OS X представляет больший интерес для исследователей, чем другие Unix-подобные операционные системы.

Основные итоги полугодия

С одной стороны, Unix продолжает, хотя и небыстро, отвоевывать рынок у Windows-платформы как среди серверов, так и среди компьютеров пользователей, но до популярности, которая подтолкнула бы вирусописателей к созданию такого количества зловредных программ, как для Win32, Unix еще далеко. OS X может стать той причиной, которая приведет к большей распространенности Unix-подобных операционных систем на компьютерах пользователей, а значит и к большему количеству вредоносных программ.

Тот факт, что в основе OS X лежат freebsd и mach, позволяет применять многие технологии из мира Unix в OS X.

Итоги за первое полугодие по числу вредоносных программ для Unix-подобных ОС проиллюстрированы следующей диаграммой:


Число вредоносных программ для Unix-подобных ОС.

Диаграмма отражает появившийся интерес к OS X, с одной стороны, и некоторый спад интереса к остальным представителям Unix-подобных ОС.

Mac OSX

Не успев появиться на рынке операционных систем, Mac OSX для x86 сразу же привлекла внимание специалистов по безопасности.

После анонса Apple о переходе на популярные intel-процессоры интерес к системе возрос, что проявилось и в более активном поиске уязвимостей как в самой ОС, так и в приложениях для нее. Например, популярный среди Mac-пользователей веб-браузер Safari отметился в списке уязвимых приложений не один раз.

Michael Lehn обнаружил уязвимость в Safari, которая позволяет запуск произвольного кода из zip-архива.

В full-disclosure, авторитетном списке рассылки по проблемам безопасности, были опубликованы примеры кода, реализующего уязвимости в Safari. При обработке Safari страниц, содержащих такой код, можно наблюдать SRCOD (Spinning Rainbow Cursor Of Death). После чего Safari завершает работу.

Справедливости ради стоит отметить, что и другие популярные браузеры FireFox, Opera и IE также не отстают от Safari в этом отношении. Во всех этих браузерах постоянно находят уязвимости разной степени опасности, часть которых может быть использована при написании, например, троянских программ.

Но Safari — далеко не единственное приложение в OS X, где были обнаружены ошибки. Apple уже выпустила несколько обновлений для OS X, устраняющих уязвимости в различных приложениях. .

Кроме того, в начале февраля появилось несколько концептуальных зловредов для OS X.

  • Leap. Этот IM-Worm для OS X появился в феврале 2006 года. Червь распространяется через instant-messaging клиента для OS X — iChat, рассылая себя по адресной книге.

    Диалоговое окно, появляющееся в процессе распространения червя.
  • Inqtana. Практически одновременно с Leap появился другой Java-червь, поражающий OS X; он получил название Inqtana. Он распространяется через Bluetooth и использует старую уязвимость Bugtraq ID 13491, которая была опубликована еще в мае 2005.

Оба червя носят концептуальный характер: их появление говорит о возможности создания программ подобного рода. И в будущем пользователям стоит ожидать их появления в «диком» виде, да и разработчикам OS X придется более серьезно относиться к вопросам безопасности.

Linux

Теперь о более традиционных Unix. В то время как уязвимости, которые обнаруживаются в ядре Linux (и количество которых не так мало), заставляют разработчиков бить тревогу, небольшое уменьшение числа вредоносных программ наблюдается даже для этой ОС, самой популярной из всех Unix.

Стоит отметить появление очередного кроссплатформенного вируса Virus.Multi.Bi. Попытки создания подобного рода вредоносных программ уже предпринимались, и этот вирус — не более чем очередная вариация на данную тему. В нашей коллекции уже существуют такие вирусы: Virus.Multi.Etapux, Virus.Multi.Pelf.

Все три упомянутых вируса (Virus.Multi.Bi, Virus.Multi.Etapux, Virus.Multi.Pelf) являются концептуальными вирусами. Основной целью их создания является демонстрация возможности создания программ подобного рода.

В целом для Unix традиционно преобладание в общей массе зловредного кода backdoor’ов и различных утилит, которые можно классифицировать как hacktool. Это объясняется тем, каким образом используются скомпрометированные Unix-машины — в основном в качестве плацдарма для дальнейших этак. Получив акаунт на Unix-машине, ее можно использовать для запуска sniffer’ов, DoS’еров и backdoor’ов.

Такое распределение отражено на диаграмме, представленной ниже.


Распределение вредоносных программ для Unix.

Тенденции и прогнозы

Тенденции развития вредоносных программ отражают тенденции развития компьютерной индустрии в целом. Поэтому, оценивая ситуацию в области не-Windows операционных систем, можно отметить, что теперь уже мало кто отрицает возможность создания и существования здесь вредоносных программ. Кроме того, интеграция различных технологий ведет к тому, что злоумышленники ищут такие решения, которые будут работать на различных платформах.

Исходя из вышесказанного, можно предположить, что нас может ожидать в ближайшем будущем. Можно выделить два основных направления.

  1. С дальнейшей популяризацией OS X число атак как на саму ОС, так и на ее приложения увеличится. И если OS X наберет «критическую массу», ее пользователи станут представлять интерес для злоумышленников, что приведет к появлению вредоносных программ для OS X в «диком» виде.
  2. Другой вектор возможных атак — это 64-битная платформа. С одной стороны, новые технологии создают дополнительные сложности, с другой — новизна всегда привлекает настоящих исследователей. Итак, в ближайшее время стоит ожидать появления вредоносных программ для Unix-подобных операционных систем для 64-разрядных intel-процессоров.

В заключение хотелось бы отметить, что существование лишь небольшого количества вредоносных программ для любой среды не дает оснований беспечно относиться к вопросам безопасности. Ни Linux, ни OS X, ни любая другая операционная система не являются более защищенной, чем Windows.

Kaspersky Security Bulletin, январь-июнь 2006. Вредоносные программы для не Win32-платформ

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике