Отчеты о вредоносном ПО

Развитие вредоносных программ в 2004 году

Каждое поколение «писателей» вредоносных программ стоит на плечах своих предшественников. Поэтому неудивительно, что зародыши цветущих буйным цветом программ 2004 года появились еще в прошлом году.

Lovesan «популяризовал» использование брешей в операционной системе для заражения уязвимых машин через интернет. Кроме того, он включал в себя функцию DDoS-атаки (вирус атаковал сервер с обновлениями для Windows).

Sobig.f побил все предыдущие рекорды (на пике его распространения каждое десятое электронное письмо было заражено этим вирусом) с помощью использования спамерских технологий. Этот вирус также инициировал «цепную реакцию»: каждый новый вариант червя создавал сеть инфицированных компьютеров, которая позднее использовалась в качестве платформы для новой эпидемии.

Использование уязвимостей в операционных системах для того, чтобы обосноваться в корпоративной сети, сегодня стало обыденным явлением.

Когда в сентябре 2003 года появился Swen, ничто не предвещало беды: вирус казался еще одним средством массовой рассылки сообщений. Однако успех этого вируса пришел к нему благодаря социальной инженерии. Социальная инженерия — термин, описывающий психологические дыры в системе безопасности. В случае с вирусами и червями это означает обман ничего не подозревающих пользователей с целью запуска ими зараженного вложения. Swen маскировался под обновление от Microsoft, призванное закрыть бреши в операционной системе, манипулируя растущим желанием пользователей защитить свои компьютеры от несанкционированных вторжений извне.

Тенденции, описанные выше, продолжали развиваться и дальше — и примером тому служат угрозы, с которыми мы столкнулись в 2004 году.

Использование уязвимостей в операционных системах для того, чтобы обосноваться в корпоративной сети, сегодня стало обыденным явлением, так как авторы вредоносных программ обратили свое внимание на «помощь» в виде брешей в приложениях и операционных системах. Некоторые вирусы 2004 года — Sasser, Padobot, Bobax — использовали системные уязвимости как единственный метод атаки, распространяясь через интернет от компьютера к компьютеру, абсолютно не используя при этом «традиционные» методы. Другие вредоносные программы, среди которых можно выделить Plexus, а также бесчисленные варианты Bagle, Netsky и Mydoom, совмещали в себе использование брешей в операционных системах с другими методами заражения (например, массовую рассылку, а также использование сетевых ресурсов — к примеру, технологии P2P).

Множество «успешных» с точки зрения автора вредоносного кода вирусов являют собой связку различных видов атак. И все большее количество таких «связок» содержат в себе троянскую компоненту того или иного типа. Обычно троянцы устанавливаются в систему с помощью вируса или червя. Так как в троянцев обычно не встроена система размножения и заражения других компьютеров, они часто воспринимаются как угроза менее опасная, чем вирусы или черви. Однако, эффект появления троянца в системе может быть опасен и непредсказуем. Троянцы не просто становятся сложнее, они все чаще используются в откровенно преступных целях.

Множество «успешных» с точки зрения автора вредоносного кода вирусов являют собой связку различных видов атак.

Едва отгремело празднование нового 2004 года, как дал о себе знать троянский proxy-сервер, Mitglieder. Тысячи пользователей ICQ получили сообщение со ссылкой, ведущей на сайт, на котором находилась эта троянская программа. Mitglieder использовал одну из двух уязвимостей в MS Internet Explorer, позволявших установить и запустить proxy-сервер на машине без ведома пользователя. Затем вирус открывал на машине один из портов, чтобы получать и принимать почту. В результате сеть зараженных машин стала армией «зомби», рассылающих спам по всему интернету. Mitglieder сделал троянские proxy-сервера отдельной категорией вредоносных программ, очень близкой к спам-индустрии. Из-за этой вредоносной программы получила широкое распространение массовая рассылка сообщений и писем со ссылками на зараженные сайты.

Многие угрозы безопасности, последовавшие за Mitglieder, использовали троянскую технологию. Bagle, червь, судя по всему, того же авторства, что и Mitglieder, либо устанавливал троянский proxy-сервер, либо скачивал его из интернета. В любом случае, червь был просто новой версией Mitglieder, включавшей в себя возможности распространения по email. Bagle распространялся с машин, ранее зараженных Mitglieder. Это указывает на еще одну важную характеристику угроз уходящего 2004 года: троянские компоненты использовались с целью создания платформ для дальнейшей эпидемии. Эта техника привела к широкому распространению не только Bagle, но и Netsky, Mydoom, а также других подобных червей. Когда выходил очередной вариант такого червя, количество зараженных машин увеличивалось; при достижении критической массы происходила новая эпидемия. Именно таким образом Mydoom достиг своего успеха, побив даже рекорды червя Sobig и став причиной самой масштабной эпидемии в истории интернета на сегодняшний день. Червь применял методы социальной инженерии, организовывал атаку на сайт www.sco.com, из-за этого вышедший из строя на несколько месяцев, и оставлял на зараженном компьютере троянскую программу, которая использовалась для заражения другими версиями вируса, последовавшими за главной эпидемией.

Авторы Bagle и Netsky также впервые использовали закрытие паролем вложений в зараженные письма — очевидно, для того, чтобы усложнить обнаружение вредоносной программы.

В 2004 году мы также были свидетелями битвы между соперничающими вирусописателями. Вирус Netsky не просто заражал компьютеры — он также удалял любые экземпляры вируса Mydoom, Bagle и Mimail. В довершение ко всему, авторы вируса Netsky объявили войну авторам Bagle. На пике такой «войны» каждый день появлялось несколько экземпляров обоих червей, содержавших в своем теле угрозы в адрес недругов.

Авторы Bagle и Netsky также впервые использовали закрытие паролем вложений в зараженные письма — очевидно, для того, чтобы усложнить обнаружение вредоносной программы. Сам пароль содержался в теле письма, так что у пользователя были все данные для открытия подобного вложения.

Техника массовой рассылки зараженных писем, эффективная еще со времен вируса Melissa в марте 1999 года, с тех пор использовалась при распространении многих известных вирусов. Однако не стоит забывать про другие методы распространения. Один из них мы уже обсуждали: прямое заражение с использованием брешей в операционных системах (примеры тому — Lovesan, Welchia, Sasser). Практика, ставшая известной в 2004 году — распространение ссылок, ведущих на сайт, где находится вредоносный код. Троянская программа Mitglieder, о которой шла речь ранее, не единственная из распространявшихся таким образом: данный метод распространения использовался множеством червей.

Netsky, например, распространял себя, рассылая письма, содержащие ссылки на ранее зараженные машины. Похожим образом вел себя Bizex, первый ICQ-червь. Bizex проникал на компьютеры с помощью ICQ, рассылая по всему контактному листу пользователя ссылки на сайт, где содержалось тело червя. Когда пользователи переходили по ссылке, червь загружался на компьютер пользователя, и цикл повторялся. Snapper и Wallon действовали похожим образом, но загружали на компьютер жертвы троянские программы, которые автор червей помещал на веб-сайты.

Почтовые адреса со ссылками, как и следовало ожидать, не воспринимаются пользователями как угроза безопасности компьютера. Многие пользователи с большей вероятностью перейдут по ссылке в письме, чем откроют вложение. Также этот метод позволяет эффективно обойти периметр защиты, выстроенный провайдерами: их межсетевые экраны могут блокировать вложения с подозрительными расширениями (exe, scr и так далее), но письма со ссылками беспрепятственно минуют эту защиту. Несомненно, этот метод будет использоваться и далее — до тех пор, пока пользователи не перестанут беспечно относиться к ссылкам, приходящим по электронной почте.

Многие пользователи с большей вероятностью перейдут по ссылке в письме, чем откроют вложение.

Мы также отметили существенное увеличение количества троянских программ-шпионов, призванных красть конфиденциальную финансовую информацию. Десятки новых вариантов таких программ появляются на свет каждую неделю, часто различаясь по своей функциональности и форме. Некоторые из них просто шпионят за клавиатурой, отсылая пароли, введенные пользователем, по электронной почте автору троянца. Троянцы с более сложной структурой представляют автору полный контроль над компьютером жертвы, посылая данные на удаленные серверы и получая дальнейшие команды с этих серверов.

Такой тотальный контроль над компьютерами часто является целью авторов троянских программ. Зараженные машины включаются в сети «ботов», получая от злоумышленников команды к действию на IRC-каналах или веб-сайтах. Еще более сложные троянцы, как некоторые варианты Agobot, соединяют все зараженные машины в одну P2P-сеть. Когда такая сеть ботов создана — ее можно взять в аренду для распространения спама или использовать при DDoS-атаках (так работали троянские компоненты Wallon, Plexus, Zafi и Mydoom).

Также растет число программ, которые сами по себе не являются вредоносными, но оставляют в системе троянскую программу (Trojan-Dropper) или загружают ее из интернета (Trojan-Downloader). У тех и других одна цель: установить на зараженной машине вредоносное программное обеспечение, будь то вирус, червь или другая троянская программа. Для достижения своей цели они, однако, используют разные методы.

Программы класса Trojan-Dropper содержат в себе дополнительный вредоносный код. Они либо устанавливают другую вредоносную программу, либо обновляют ее до новой версии. Такие программы могут содержать несколько не зависящих друг от друга частей вредоносного кода (с разным поведением, а иногда даже с разными авторами). По сути своей, это архиватор вредоносных программ, который способен архивировать различные виды вредоносного кода. Часто программы класса Trojan-Dropper используются для распространения уже известных троянских программ, потому что гораздо проще написать такой архиватор, нежели совершенно нового троянца, который пройдет незамеченным мимо антивируса. Большинство программ этого класса написаны на Visual Basic Script (VBS) или JavaScript (JS). Их код достаточно прост, они могут выполнять различные задачи.

Вирусописатели часто используют программы, загружающие троянцев на компьютер, точно так же, как и программы с троянской компонентой. Разница в том, что программа-загрузчик может быть гораздо более полезна для злоумышленника. Во-первых, загрузчики гораздо меньше по размеру. Во-вторых, такие программы могут бесконечно загружать все новые и новые версии вредоносной программы. Как и программы с троянской компонентой, загрузчики часто написаны на скрипт-языках, таких, как VBS и JS, но в отличие от первых загрузчики часто используют уязвимости в MS Internet Explorer.

Эти программы используются не только для установки другого вредоносного кода. Их частое применение — в установке без ведома пользователя так называемых adware и pornware, программ, которые, не являясь вирусами, тем не менее, собирают информацию о пользователе. Adware — это программы, которые отображают рекламу, иногда баннеры, без ведома и согласия пользователя. Pornware — это программы, которые соединяются с платными порнографическими сайтами также без ведома и согласия пользователя.

Очевидно, что компьютерный андеграунд осознал потенциал заработка в сети с помощью собственных вредоносных творений.

Использование троянских программ для кражи паролей, доступа к конфиденциальной информации, DDoS-атак и распространения спама выводит на первый план важное изменение в природе угроз безопасности: их коммерциализацию. Очевидно, что компьютерный андеграунд осознал потенциал заработка в сети с помощью собственных вредоносных творений. К этой области действий также относится использование «зомби-машин» и распродажа зомби-сетей на аукционах для спаммеров. Или, к примеру, вымогательство, когда такая же сеть зомби-машин используется для показательных DDoS-атак на сайт жертвы (заплати нам, или твой сайт перестанет работать, когда мы начнем полноценную DDoS-атаку). В дополнение к этому, существует также воровство логинов и паролей пользователей. Стоит упомянуть и о так называемом «фишинге» — афере, позволяющей обмануть пользователей так, чтобы они отправили злоумышленникам информацию о своих банковских счетах (имя пользователя, пароль, PIN-код и т.д.)

В 2004 году впервые появились угрозы безопасности мобильных устройств. Cabir, первый вирус для мобильных телефонов, появился в июне. Это был, если можно так выразиться, «концептуальный проект», подтверждающий возможность создания вирусов для подобных платформ. Авторами вируса оказалась группа вирусописателей, называющая себя 29A. Дело Cabir продолжили Duts в июле (дело рук той же 29A) и троянец Brador в августе, нацелившись на платформу PocketPC. Количество мобильных устройств растет день ото дня, а с ним — и использование технологий беспроводной связи (802.11b, Bluetooth и т.п.). Такие устройства достаточно сложны — они используют IP-сервисы, предоставляют доступ в интернет и легко включаются в корпоративные сети, а также позволяют пользователям устанавливать дистанционное соединение с другими устройствами или сетями. К несчастью, их безопасность оставляет желать лучшего; такие устройства часто находятся вне пределов системы безопасности корпоративной сети. Подобные устройства уже сейчас содержат в себе конфиденциальную информацию, а значит, могут стать притягательной мишенью для атак злоумышленников.

В 2004 году впервые появились угрозы безопасности мобильных устройств.

2004 год ознаменовался также громкими арестами авторов вредоносного кода. В феврале была арестована бельгийская вирусописательница Gigabyte. В мае два злоумышленника были задержаны в Германии. Первым был Свен Яшен (Sven Jaschan), сознавшийся в причастности к написанию вируса Sasser и некоторых вариантов Netsky. Второй программист был арестован за создание бесчисленных вариантов Agobot. Эти аресты последовали за объявлением Microsoft наград за информацию, которая приведет к поимке авторов вирусов.

В июле венгерский подросток, называющий себя Laszlo K, был признан виновным в распространении Magold.a, червя, эпидемия которого отгремела в Венгрии в мае 2003 года. Подросток был приговорен к двум годам условно и выплате 2400 долларов для покрытия судебных издержек. В том же месяце компьютерный техник из Тайваня был арестован и осужден в Испании за распространение троянской программы Cabrotor: Оскар Лопес Хинарейос был приговорен к двум годам тюремного заключения. Кроме этого, аресты состоялись в Тайване, Канаде и Румынии. В августе Джефри Ли Парсон (Jeffrey Lee Parson), подросток из Миннесоты, предстал перед судом и был обвинен в нанесении ущерба компьютерам путем создания червя Lovesan.b.

Молниеносное распространение вирусов и червей на протяжении последних лет выявило глобальную угрозу безопасности. Закон, однако, тоже не стоит на месте, и постепенно объединение властей разных стран для поимки преступников становится глобальным феноменом. Один пример успешной деятельности такого рода — это октябрьский арест 28 человек в шести странах одновременно по обвинению в краже личных данных. В операции принимали участие разведка США, Национальный комитет по борьбе с преступностью Соединенного Королевства, Ванкуверский департамент полиции по борьбе с финансовой преступностью (Канада), Королевская конная полиция (Канада), Европол и полицейские агентства в Беларуси, Польше, Швеции, Нидерландах и Украине.

Не так давно российский «фишер» был арестован в Бостоне и обвинен во множественных случаях рэкета, краже личных данных и незаконном использовании устройств для считывания информации с кредитных карт.

Творения рук злоумышленников будут совершенствоваться, авторы программ будут добавлять в них новые возможности, чтобы сделать их еще более эффективными.

Что день грядущий нам готовит? Скорее всего, нам предстоит увидеть «все то же самое, только больше». До тех пор, пока техники, описанные выше, эффективны в атаках на пользователей PC, авторы вредоносного кода будут продолжать их использование. Мы говорим о проверенных вирусописателями методах, таких, как массовая рассылка и использование брешей в операционных системах для атаки уязвимых компьютеров, а также распространение троянских программ для кражи информации, создания платформ для DDoS-атак или распространения спама. Также мы говорим о техниках, вошедших в употребление в этом году — к примеру, использование ссылок на вредоносный код в письмах. Ключевой фактор в том, что эти методы хорошо зарекомендовали себя как среди авторов вредоносного кода, так и среди тех, кто платит им за создание программ для нелегального заработка. Конечно, творения рук злоумышленников будут совершенствоваться, авторы программ будут добавлять в них новые возможности, чтобы сделать их еще более эффективными, и алгоритмы «самозащиты» для того, чтобы сделать их обнаружение и удаление более сложным. Как и в прошлом, авторы вредоносных программ скажут новое слово в их написании. В частности, их целью вполне могут стать мобильные устройства, которые в больших количествах используются как корпорациями, так и обычными пользователями.

Наиболее значимые случаи распространения вирусов (эпидемии)

Mydoom.a (февраль 2004) и Sasser.a (май 2004).

Наиболее важные изменения по сравнению с прошлыми годами

Криминализация интернета, миграция вирусописателей и хакеров в разработку принудительных рекламных систем, а с другой стороны — более высокая оперативность антивирусных компаний, активизация «полицейских мероприятий», которые часто завершаются поимкой и осуждением виновных.

Основные тенденции прошедшего 2004 года

  • Так называемые adware (рекламные системы) становятся одной из основных проблем компьютерной безопасности.
  • Почтовый трафик переполнен спамом, работа с почтой без антиспама в большинстве случаев становится невозможной.
  • Массовые успешные атаки на интернет-банки.
  • Многочисленные случаи интернет-рэкета (DDoS-атаки с последующим вымогательством).
  • Антивирусные компании вынуждены подключать средства защиты от adware.
  • Скорость реакции антивирусных компаний становится одним из основных критериев качества предоставляемой защиты.
  • Появление многочисленных антиспамовых решений; стандартом де-факто для почтовых провайдеров становится использование каких-либо подобных решений.
  • Успешные расследования и аресты (около 100 хакеров арестовано, трое — в двадцатке самых разыскиваемых ФБР преступников).

Развитие вредоносных программ в 2004 году

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике