Публикации

Криминальное чтиво

Плохой, вредный, злой

На прошлой неделе содержание некоторых новостей раздела «компьютерная безопасность» напоминало сценарий увлекательного вестерна. Преобразовав корпоративную сеть в городок Дикого Запада, вредоносные коды в бандитов, компьютеры назвав домами, а сисадмина произведя в шерифы, можно было представить приблизительно следующее:

Воспользовавшись беспечностью шерифа, банда Zotob под покровом ночи тайком захватила дом на окраине города. На этом злодеи не остановились: они вламывались в дома беспечных жителей, и через короткое время все поселение оказалось под их контролем. Как выяснилось, одновременно было захвачено несколько городов, в том числе довольно крупных. Обнаружив кое-где конкурирующие банды, разбойники Zotob начали с ними настоящую войну (волнующие сцены дуэлей). Жизнь в захваченном городе парализована. Под музыку Эннио Марриконе шериф тоскливо потягивает виски и размышляет о своем незавидном будущем.

Между тем, многим было не до шуток. По некоторым подсчетам, в Сети распространялось более 12 ботов, использующих Plug and Play уязвимость Windows 2000, обнаруженную накануне. Атаку червей некоторые даже назвали самой значительной атакой года.

Атака года?

Наибольшую опасность, по мнению экспертов, представляли собой Zotob.e и Esbot.a (названия, используемые разными антивирусными компаниями, варьируются). Обе вредоносные программы включали код, который открывал IRC-канал, и могли загрузить с серверов злоумышленников дополнительные коды, превратив захваченные компьютеры в зомби для рассылки спама или осуществления DDoS-атак.

Среди 175 пострадавших компаний оказались Associated Press, CNN, Canadian Imperial Bank of Commerce, Caterpillar, Daimler/Chrysler, General Electric, SBC Communications и United Parcel Service. По информации телеканала CNN, пострадали также ABCNews, New York Times и Конгресс США. Возможно, именно поэтому вокруг происходящего было столько шума.

«Лаборатории Касперского» сообщила, что не получала информации от своих пользователей в России и за рубежом о реальных случаях заражений, вызванных червем Zotob. Не было отмечено и увеличения сетевой активности как возможного следствия работы червя. Таким образом, по мнению экспертов ЛК, заметной вирусной эпидемии в Интернете не было.

Руководитель исследовательской группы X-force Гюнтер Оллман (Gunter Ollmann) также считает, что уровень опасности Zotob и его собратьев сильно преувеличен. Однако, по его словам, трудно сказать, сколько машин на самом деле было заражено, поскольку операторы ботнетов стараются замаскировать свое присутствие в сети.

«Червивые» войны. Эпизод 2

Войны между червями уже «гремели» в прошлом году: за контроль над зараженными PC сражались создатели Bagle, NetSky и MyDoom. Нечто подобное происходит и сейчас.

Червь Bozori пытается «загасить» более раннюю версию червя Zotob и другие вредоносные коды и стать единовластным хозяином захваченной машины. Семейство IRC-ботов, использующее ту же Plug and Play уязвимость, стремится убрать конкурирующие PnP-боты.

И сегодня, и год назад речь идет, прежде всего, о создании зомби-сетей для рассылки спама. Хотя предполагается целый букет опасных вероятностей.

По словам Грэма Клули (Graham Cluley), старшего консультанта по вопросам технологий компании Sophos, захватив контроль над компьютером, эти черви могут использовать его для рассылки спама, осуществления DDoS-атак, кражи конфиденциальной информации или распространения новых версий вредоносного кода на другие компьютеры. За атаками стоят организованные криминальные группы, стремящиеся к наживе.

Микко Хиппонен (Mikko Hypponen), старший исследователь компании F-Secure, предполагает, что военные действия на стороне новых червей ведут три различные группировки вирусописателей, стремящиеся создать самую большую сеть зараженных машин.

Ничего личного

Впрочем, есть и другие мнения. Кое-кто из экспертов не зафиксировал драматических сражений между вредоносными кодами. А Гюнтер Оллман считает, что имеют место не войны криминальных групп, а обычная работа ботнетов.

«Как правило, боты содержат код для автоматического выключения антивирусного ПО или блокирования доступа к обновлениям, которые могут выявить вредоносный код или перехватить у злоумышленников контроль над машиной», — говорит Оллман.

Как бы то ни было, все эксперты сходятся в одном: стремление сделать деньги на ботнетах — вот движущая сила всех атак. С зомби-машин в настоящее время рассылается 56-62% всех спамовых писем. По информации Symantec, аренда ботнета из 5500 зомби-машин в среднем обходится спамерам, фишерам и другим злодеям в $350 в неделю. Никакой романтики — сплошной капитализм.

Что червь грядущий нам готовит?

Эксперты говорят, что основная тенденция в развитии вредоносных программ связана с bot-червями. В чем ни у кого не возникает сомнений, так это в том, что в войне между вирусописателями и специалистами по компьютерной безопасности перемирия не предвидится.

Дэвид Санчо (David Sancho), главный специалист по антивирусным исследованиям компании Trend Micro, полагает, что в ближайшем будущем сетевые черви станут более быстрыми и можно ожидать сокращения времени их распространения.

Основания для прогнозов Санчо приводит следующие. В настоящее время все bot-черви строятся по модульному принципу. Это значит, что автор программы может выбирать различные методы атаки, включая использование брешей в системах защиты, массовую почтовую рассылку, непосредственное размножение, а также их различные сочетания. Результат — специализированный червь, разработанный специально для выполнения своей задачи: похищения информации и установления контроля за инфицированным ПК.

Идея модульности этих типов червей была реализована и в двух сетевых червях, упоминаемых выше и ставших «гвоздем» информационных выпусков на прошлой неделе. Бреши в сетевой системе защиты могут использоваться для проникновения сразу после того, как опубликован код, иллюстрирующий это слабое место. Создатели модульных червей могут быстро модифицировать уже существующий код, перекомпилировать — и получить готовый к распространению новый вид опасного червя.

Ниже приведен список, в котором показано время, прошедшее с момента обнаружения бреши в системе защиты до появления червя, использующего эту брешь (информация и названия вредоносных кодов Trend Micro):

WORM_NIMDA: 366 дней,

WORM_SLAMMER: 185 дней,

WORM_BLASTER: 26 дней,

WORM_SASSER: 18 дней,

WORM_ZOTOB: 4 дня.

Кроме того, по мнению эксперта Trend Micro, в будущем вредоносные программы будут использовать технологии захвата потоков RSS и полиморфные атаки с использованием изменяемого кода.

Так что любители криминального чтива еще смогут получить удовольствие от захватывающих сюжетов новостей, имеющих отношение к компьютерной безопасности, — разумеется, при условии, что их собственные компьютеры надежно защищены от всех интернет-угроз.

При подготовке статьи использована информация
TechWeb, The Register и компании Trend Micro.

Криминальное чтиво

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике