Отчеты о вредоносном ПО

*nix malware — итоги 2005 и тенденции развития

Основной целью данной статьи является обзор ситуации в 2005 году в области malware на платформах, отличных от Windows. На основе статистики по прошлым годам сделана попытка проследить тенденции, а также предположить некоторые перспективы и направления развития malware в ближайшем будущем.

История компьютеров, и вирусов в том числе, начиналась отнюдь не с Windows, и даже не с DOS. Как известно, первый компьютерный вирус-червь появился в 1988 году и был написан для Unix. Но настоящий расцвет компьютерных вирусов начался только тогда, когда персональные компьютеры появились у миллионов пользователей, работающих под ОС DOS, а затем и под Windows. Тенденции развития вирусной сцены повторяют тенденции развития компьютерной индустрии в целом. О популярности той или иной платформы можно судить и по тому, как много вирусов для данной платформы появляется в природе.

Конечно, безоговорочным лидером является Intel + Win32 платформа (т.е. Win32 как soft-платформа и Intel как hard). Надо сделать небольшое уточнение: именно 32-разрядный intel пока является основной платформой. Но в ближайшем времени ситуация будет плавно меняться в сторону 64-разрядных платформ. И уже сейчас есть несколько концептуальных вредоносных программ для Win64.

Но наряду с мейнстримом всегда есть альтернатива. Основной альтернативой Windows когда-то была OS/2, а сейчас Linux, FreeBSD и другие Unix. Linux во всем своем многообразии — безоговорочный лидер. Медленно, но верно она отвоевывает у Windows не только сервера, но и десктопы пользователей. Возможно, в ближайшее время взойдет звезда MacOS X. С переходом Apple на Intel-процессоры популярность и доступность Macintosh сильно увеличивается.

Главной мишенью для атак являются пользовательские ПК. Основной поток вредоносных программ для Win32 — это различные трояны (Trojan-Spy, Trojan-Downloader, Trojan-Dropper). На Linux это в большей степени бэкдоры, которые предоставляют удаленный доступ к скомпрометированной машине для использования ее в качестве площадки для атак на другие компьютеры.

Как только увеличивается популярность платформы, под нее начинают появляться вирусы и другие вредоносные программы. Первоначально они носят характер PoC (proof of concept), то есть являются концептуальными примерами, в которых, как правило, нет зловредного кода, несущего деструктивные действия. Они лишь показывают возможность использования уязвимостей. Сначала появляется информация об уязвимостях ОС и приложений. Затем эти теоретические знания материализуются в код в виде эксплойтов, бэкдоров, использующих эти уязвимости. Конечно, производители ПО закрывают известные уязвимости, что в свою очередь заставляет вирусописателей искать новые способы атак. В конце концов поток malware растет просто лавинообразно. Именно это сейчас и происходит на Win32. На других платформах этого пока нет, но, возможно, только пока.

Несмотря на относительно спокойную жизнь, пользователи альтернативных платформ тоже подвергаются атакам вредоносных программ. Именно об этих платформах, их особенностях и тенденциях развития мы и будем говорить ниже.

Статистика и тенденции

Вышеописанный процесс разобран так подробно лишь для того, чтобы можно было лучше понять и интерпретировать представленные ниже статистические данные.

Представленная информация показывает динамику развития malware для различных Unix-подобных систем. А в общем по сравнению с предыдущим годом налицо количественный рост malware по всем направлениям.

Число вредоносных программ для Unix-систем в коллекции
«Лаборатории Касперского» по итогам 2004 и 2005 годов.

Несложно заметить, что вектор malware направлен в сторону Linux. Здесь наблюдается почти стопроцентный рост malware.

Это и неудивительно — ведь эта платформа наиболее популярна среди всех Unix-систем. Стоит добавить, что несмотря на то что Linux работает на различных RISC-платформах, бинарные файлы, отличные от x86, встречаются крайне редко. Под другие RISC-платформы, например под SPARC, скорее можно встретить образец бинарного файла для SunOS. Как правило, эти образцы — набор отдельных небольших утилит, которые написаны и скомпилированы под конкретную версию ОС и нацелены на конкретный сервер. Например, sniffer, backdoor, logcleaner, модуль ядра для скрытия действий атакующего — такой набор называется rootkit. Руткиты предназначены для атаки на совершенно конкретную машину, то есть в данном случае мы имеем четко спланированную атаку, бороться с которой будет сложней, чем просто с трояном, запускаемым скрипт-кидом.

Отличительной особенностью Unix malware является отсутствие различных пакеров исполняемых файлов, которые затрудняют процесс анализа и обнаружения вредоносной программы. Кроме UPX и его легкой модификации мне ничего не встречалось.

В общем и целом по типу вредоносного кода картина на Unix повторяет ситуацию на Win32-фронте. Чистых вирусов, заражающих файлы на локальном диске, становится все меньше. В основном они создаются ради забавы и не совершают никаких разрушающих действий. Разве что из-за ошибки создателя при внедрении своего кода в файл они портят сам файл, и он становится нерабочим. Эпидемий до сих пор отмечено не было, и вирусы под Unix в целом носят «коллекционный» характер. Хотя иногда встречаются интересные экземпляры. Например, Virus.Linux.Grip. Этот вирус интересен тем, что использует интерпретатор языка brain fuck для генерации шифр-ключа, который в свою очередь используется для шифрования по алгоритму tea.

Но все это представляет интерес лишь в исследовательских целях и не несет никакого практического значения. Написание таких вирусов полностью отражает идею Linus Torwalds «Just for Fun».

Другое дело — программы, которые предназначены для взлома серверов и затем их использования как площадки для дальнейших атак. Таких программ много. Речь идет о бэкдорах, эксплойтах, сниферах, флудерах и других hacktool’ах. Их количество, как и популярность самой Linux, постоянно растет.

Прошедший год был отмечен также несколькими червями. Например, Net-Worm.Linux.Lupper и вариацией на ту же тему Net-Worm.Linux.Mare. Оба они используют одни и те же уязвимости и похожие способы распространения. Одним из компонентов их является backdoor Tsunami. В процессе развития червя (т.е. перехода от предыдущей версии к более новой) к его функционалу добавляются новые возможности, так, например, в последней версии Net-Worm.Linux.Mare по одной из ссылок скачивается IRCBot, выполняющий функцию бэкдора.

Еще один инцидент в мире Linux: в сентябре прошлого года на одном из публичных серверов были обнаружены дистрибутивы популярного веб-браузера Mozilla корейской локализации, содержащие инфицированные бинарные файлы. Файлы были заражены вирусом Virus.Linux.Rst.

Вот, пожалуй, и все, что было интересного с точки зрения вирусов для Linux в 2005 году. По сравнению с эпидемиями Scalper и Slapper в 2002 и 2003 годах наблюдается некоторое затишье.

Темой руткитов, которая на Win32 цветет вовсю, на Linux, похоже, переболели. Ничего принципиально нового, лишь изредка вариации на старые темы.

На остальных Unix-платформах все еще спокойнее. Да это и понятно: ведь популярностью ни с Linux, ни с Windows остальные Unix-системы сравниться не могут.

Статистические данные, представленные ниже, сделаны на основе анализа антивирусных баз на разные моменты времени. Пустоты в диаграммах — это отсутствие представителей данного семейства на данной платформе в коллекции «Лаборатории Касперского».

Количества и поведения вредоносных программ для ОС Linux в коллекции «Лаборатории Касперского» по итогам 2004 и 2005 годов.
Количества и поведения вредоносных программ для ОС FreeBSD в коллекции «Лаборатории Касперского» по итогам 2004 и 2005 годов.
Количества и поведения вредоносных программ для ОС Sun в коллекции «Лаборатории Касперского» по итогам 2004 и 2005 годов.
Количества и поведения вредоносных программ для прочих Unix ОС в коллекции «Лаборатории Касперского» по итогам 2004 и 2005 годов.

Перспективы

Прогнозы, как известно, дело неблагодарное, и все может очень сильно измениться буквально за полгода. И все же рискнем.

Прежде всего, грядет эра 64-битной архитектуры, и как только она прочно обоснуется на компьютерах пользователей, мир virmaker’ов отреагирует на этот факт соответствующим образом. Здесь тоже есть свои сложности, так как бинарный код под AMD64 и под IA64 разный, поэтому под каждую платформу необходимо откомпилировать отдельную версию.

Еще большие надежды подает Apple. Переход на Intel-процессоры может стать революционным. Однако не только прекрасный дизайн компьютеров Apple, но и тот факт, что OS X можно назвать «Unix с человеческим лицом», могут сделать его хитом для пользователей ПК.

Ядро OS X основано на FreeBSD, поэтому опыт и идеи, используемые для написания malware для FreeBSD, могут быть использованы и для OS X. Вдобавок ко всему разработчики системы внесли еще и свои ошибки. За последние пару недель мы имеем два PoC (Proof of Concept) червя для OS X, которые наглядно иллюстрируют использование ошибок в архитектуре системы. Затем был эксплойт для веб-браузера Safari, позволяющий запустить скрипт и выполнить команды на компьютере пользователя. OS X может быть достаточно благодатной почвой для исследований в области безопасности, для этого есть все предпосылки.

Еще одним из бурно развивающихся направлений IT-индустрии являются мобильные устройства. И здесь Linux тоже выступает как альтернатива Symbian и Windows Mobile.

Многие крупные производители или уже производят, или анонсировали выпуск устройств с Linux на борту. Для появления вредоносных программ остается лишь дождаться критической массы подобных устройств у пользователей.

Возможно, бурный рост какой-нибудь новой технологии даст развитие и новым направлениям в вирусных технологиях. Ныне экзотическая среда распространения (какой была bluetooth) может стать вполне обычной не только для мобильных телефонов, но и для ПК.

*nix malware — итоги 2005 и тенденции развития

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике