Отчеты о вредоносном ПО

Современные информационные угрозы, IV квартал 2005

В очередной статье традиционного цикла аналитических публикаций от «Лаборатории Касперского» мы рассматриваем события последнего квартала прошлого года.

Sober — уникальный червь

15 ноября 2005 года полиция Баварии опубликовала пресс-релиз, сообщавший о том, что в ближайшие дни возможно появление новой версии почтового червя Sober. Данное предупреждение не сопровождалось подробными комментариями о том, как полиции удалось прийти к такому заключению. Однако, учитывая однозначно немецкое происхождение червя Sober, антивирусные компании всего мира исключительно серьезно отнеслись к данному предупреждению. Уже на следующий день, 16 ноября, «Лаборатория Касперского» получила образец нового варианта Sober. Как оказалось, именно этот вариант, получивший название Sober.y, и стал причиной вирусной эпидемии, разразившейся в последующие дни.

18 ноября миллионы пользователей в Западной Европе получили по электронной почте странное письмо. Текст несколько варьировался, но, как правило, там говорилось, что получатель обвиняется в нарушении авторских прав и незаконной загрузке из интернета различных музыкальных и видеофайлов. Письмо якобы было направлено из штаб-квартиры ФБР. В качестве приложения был прикреплен файл, в котором, как сообщалось в письме, содержались собранные доказательства. Получателю предлагалось ознакомиться с ними.

18 ноября миллионы пользователей в Западной Европе получили по электронной почте странное письмо.

Это был один из самых изощренных трюков социальной инженерии последнего времени; однажды (весной 2005 года) он уже был использован в черве Sober. Однако десятки (а возможно, и сотни) тысяч пользователей поверили таким письмам и запустили вложенный файл. Sober.y вырвался на свободу, и эпидемия начала развиваться по восходящей. Теперь уже в рассылку червя включились все зараженные компьютеры пользователей и десятки миллионов копий червя начали циркулировать в почтовом трафике.

Примененный автором червя трюк с поддельным письмом из ФБР, помимо запуска файла, имел и побочный эффект. Многие получатели писем позвонили по указанному телефону приемной ФБР. Номер телефона был верным, и в течение нескольких дней на него производилась своеобразная телефонная DDoS-атака.

Пик эпидемии был пройден только в начале декабря. Sober.y стал одним из наиболее успешных вирусов 2005 года по числу зараженных машин и проценту зараженных писем в почтовом трафике.

Я пытаюсь понять, в чем заключаются причины такого успеха данного червя и семейства Sober в целом. Казалось бы, нет никаких предпосылок для эпидемии подобных масштабов. С технологической точки зрения Sober крайне примитивен. Он написан на языке Visual Basic, который не отличается малым размером создаваемого кода. VB считается крайне простым языком, легко доступным для освоения. Практически все современные вирусы создаются либо на C/C++, либо на ассемблере. Также весьма велик процент вирусов, написанных на Delphi. На VB обычно пишутся несложные, даже скорее примитивные вирусы, без каких-то особых приемов. Я не могу припомнить ни одного вируса, вызвавшего глобальные эпидемии и написанного на VB. Кроме Sober.

Идем далее. Мы уже привыкли к тому, что глобальные эпидемии последних лет вызывались исключительно вирусами, использовавшими для своего размножения какую-либо критическую уязвимость в Windows: Lovesan, Slammer, Sasser, Mytob, сотни различных ботов. Sober не использует никаких уязвимостей. Кроме одной — человека. И тут уже применяется метод социальной инженерии. Метод, на котором базировался червь Mydoom, ставший причиной крупнейшей в истории вирусной эпидемии.

Sober не использует никаких уязвимостей. Кроме одной — человека.

Мы постоянно говорим о том, что вирусные угрозы меняются. Меняются от хулиганских поделок (NetSky, Sasser, Lovesan) в сторону CrimeWare (Mytob, Bagle), и вместе с этим вирусописатели уходят от практики глобальных эпидемий, предпочитая им небольшие локальные, но адресованные конкретным группам пользователей. То, что в 2005 году не было ни одной по-настоящему крупной эпидемии, отчасти является и заслугой антивирусных компаний, которые создали эффективные методики обнаружения и пресечения эпидемий на ранних стадиях. Казалось, что все именно так и будет еще какое-то время. Но тут появляется Sober — написанный на простом языке программирования, без использования каких-либо уязвимостей, с единственным способом распространения — по электронной почте, без очевидной коммерческой цели (не ориентирован на кражу данных, не создает ботнеты, не проводит DoS-атаки и т.д.). У него не должно было быть никаких шансов на существование, однако он — «номер один» среди вирусов IV квартала 2005 года. Это все весьма странно и мало объяснимо с тех точек зрения, которые я упомянул выше.

А ведь семейству Sober исполнилось уже два года. И почти каждый из его вариантов был заметным явлением на вирусной сцене. Кроме всего прочего, автор червя Sober постоянно использует его для пропаганды своих неофашистских взглядов. Sober — ярчайший пример «политического» вируса. О тенденциях развития таких вирусов я писал в прошлом отчете. Я не исключаю того, что в ближайшее время автор червя будет арестован, и пресс-релиз баварской полиции, предупреждавший о возможной эпидемии, является сигналом того, что расследование идет и оно на верном пути. Но я не исключаю и того, что 6 января 2006 года мы столкнемся с новым вариантом Sober, поскольку именно на этот день запрограммирована активация функции загрузки «обновлений» в Sober.y, и тогда десятки тысяч зараженных компьютеров скачают из интернета новую версию червя и все повторится снова.

Krotten — развитие технологии «вирусного шантажа»

Мы уже писали о появлении особого класса вредоносных программ, которые созданы с целью вымогательства денег у пользователей. Принцип их действия крайне прост. Попадая в компьютер жертвы, они шифруют различными методами шифрования имеющиеся файлы, а затем предлагают пострадавшему заплатить некую сумму денег за расшифровку данных. Наиболее яркими представителями таких программ являются Gpcode и JuNy.

Некоторые пользователи в подобной ситуации действительно идут на контакт с злоумышленниками, выплачивая тем затребованные ими суммы. Другие пользователи поступают гораздо умней, направляя зашифрованные файлы нам. К счастью, криптографические познания авторов подобных вирусов не слишком глубоки, и используемые ими алгоритмы шифрования достаточно легко взламываются вирусными аналитиками «Лаборатории Касперского». Поэтому во всех случаях нам с успехом удавалось не только расшифровать документы, но и реализовать эту функцию непосредственно в антивирусных базах.

В сентябре 2005 года нами был обнаружен первый вариант троянской программы Krotten. Тогда он еще назывался Trojan.Win32.Agent.il и был прислан нам несколькими российскими пользователями. В ходе анализа данной программы было установлено, что это очередной Троян-вымогатель, однако принцип его действия значительно отличается от известных Gpcode и JuNy. Автор троянца не стал заниматься шифрованием пользовательских данных. Он использовал метод топора, просто внося изменения в системный реестр Windows, с целью ограничения пользовательских действий.

В частности, Krotten блокирует запуск самого системного реестра (Regedit), запуск «Диспетчера задач» (Task Manager):

  • блокирует закрытие окон проводника, окон Internet Explorer;
  • блокирует доступ к настройкам файлов и папок;
  • изменяет содержание меню «Пуск» («Start»);
  • блокирует запуск командной строки и другие действия.

Понятно, что при подобных изменениях в системе, работать на таком компьютере становится практически невозможно. За восстановление работоспособности злоумышленник требует 25 гривен (валюта Украины, равны примерно 5 долларам США).

За несколько последующих месяцев мы обнаружили более трех десятков вариантов данного троянца и продолжаем получать новые.

Этот случай свидетельствует о том, что технология шантажа пользователей становится все более и более популярной в среде вирусописателей. Это очень опасная тенденция, которая с каждым месяцем будет все больше усиливаться. Фактически, это уже является отдельным видом интернет-преступности, причем самого низкого, грубого уровня. В прошлые годы мы в основном сталкивались с кражей пользовательских данных: файлов, номеров кредитных карточек, паролей и другой информации. Эта информация затем использовалась преступниками в собственных целях. Однако усилия, предпринимаемые системами интернет-банкинга, платежных систем и антивирусных компаний по противодействию подобным троянским программам и людям, их использующим, в настоящее время сделали подобный вид киберпреступности не таким доходным и простым, как ранее. Вместе с этим, на вирусную сцену вышло новое поколение вирусописателей, которые не хотят и не умеют создавать сложные троянские программы. Script-kiddies подросли и занялись шантажом. Зачем красть данные и пароли, чтобы потом с трудом пытаться их «обналичить»? Они выбирают более простой и грубый метод — метод прямого вымогательства денег у пользователей.

Уязвимости 0-Day

Критические уязвимости в операционной системе Windows неизменно приводят к всплеску вирусной активности, а порой и к глобальным эпидемиям. Так было в августе 2003 года, когда Lovesan использовал уязвимость в службе RPC DCOM, так было в апреле 2004, когда автор Sasser заразил несколько миллионов компьютеров по всему миру, через уязвимость в службе LSASS. Так было в этом году с уязвимостью MS05-039 в службе Plug’n’Play. Но это все уязвимости системного уровня, которые дают возможность прямого проникновения извне, через порты. Существует еще один компонент Windows, который напрямую ответственен за громадное число случаев заражения. Я говорю о браузере Internet Explorer. Количество обнаруженных в нем дыр уже давно исчисляется десятками. Самые опасные из них позволяют злоумышленникам установить на ваш компьютер любой файл при простом посещении вами зараженного web-сайта. Exploit.HTML.Mht, Trojan-Downloader.JS/VBS.Psyme, IframeBof и еще несколько уязвимостей являются основной причиной заражения компьютеров в настоящее время.

Сразу две критические уязвимости в Windows были преданы огласке еще до того, как для них были опубликованы исправления.

К счастью, до сих пор нам удавалось избегать ситуации, когда в публичный доступ попадал эксплойт уязвимости, от которой еще не было патча. В среде специалистов по безопасности подобные эксплойты называются «0-day». Если в ситуации с вирусами, которые используют уже известную уязвимость, проблему можно решить путем установки патча от Microsoft, то для вирусов, основанных на 0-day, таких патчей еще не существует. Microsoft до сих пор удавалось контролировать этот процесс путем сотрудничества с компаниями, специализирующимися на поиске уязвимостей. Несмотря на то что с момента обнаружения некоторых дыр до момента их исправления порой проходило несколько месяцев, эту информацию удавалось держать в тайне и она была недоступна широкому кругу людей.

Однако конец 2005 года оказался переломным в этом плане. Сразу две критические уязвимости в Windows, обнаруженные с разницей в один месяц, были преданы огласке еще до того, как для них были опубликованы исправления. В обоих случаях уязвимости были использованы для распространения вредоносных программ.

21 ноября 2005 года британская группа исследователей под странным названием Computer Terrorism опубликовала Proof of Concept эксплойта против полностью пропатченной версии IE. Дыра заключалась в обработке java script функции ‘window()’. Впервые о подобной уязвимости стало известно еще в мае 2005 года, однако на тот момент специалисты Microsoft не смогли найти способов ее использования для выполнения произвольного кода в системе и сочли ее некритичной. Как следствие, выпуск исправления для нее был отложен на долгое время.

Исследователи из Computer Terrorism смогли разобраться в уязвимости лучше, чем Microsoft. Их PoC после небольшой доработки позволял установить в систему файл и выполнить его, без согласия и уведомления пользователя.

Вирусописателям потребовалось чуть больше недели, чтобы начать размещать на сайтах в Интернете вредоносный код эксплойта. Нами было зафиксировано несколько троянских программ, распространявшихся таким образом. Единственным средством борьбы с уязвимостью является полное отключение Java Script в IE, но этим способом пользуется крайне малое число пользователей. Несколько десятков (а возможно и сотен) миллионов людей по всему миру оказались без защиты перед подобными троянцами. Это был первый случай, когда у нас были троянские программы, использующие брешь в Windows, а заплатки от Microsoft еще не было.

Единственным средством борьбы с уязвимостью является полное отключение Java Script в IE.

Казалось бы, в такой ситуации Microsoft должен был приложить максимум усилий для скорейшего исправления проблемы. Ведь эта компания последнее время очень активно позиционирует себя как одного из лидеров борьбы с компьютерными вирусами, выпускает собственные антивирусные решения и борется с вирусописателями судебными мерами. Однако в данном случае Microsoft повел себя более чем странно. Представители компании заявили, что, несмотря на критичность проблемы, они не собираются выпускать патч вне очереди. (С 2004 года Microsoft перешел на практику ежемесячного выпуска обновлений, которые публикуются каждый второй вторник месяца. В этот раз выпуск патча был назначен на 13 декабря и сдвигать сроки MS не собирался.)

Я не знаю, чем было вызвано такое решение. Я не хочу думать, что специалисты Microsoft не смогли сделать патч быстро и поэтому тянули время. Я не хочу думать, что ради соблюдения формального принципа «патчи раз в месяц» Microsoft пошел на то, чтобы оставить своих пользователей без защиты. Я просто констатирую факт: прошло три недели с момента опубликования PoC. Прошло полгода с момента первого сообщения об уязвимости. Все это время каждый из пользующихся IE мог быть заражен (и зараженные действительно были) по вине Microsoft. Это вопиющий факт, который можно было бы считать случайностью, если бы менее чем через две недели ситуация не повторилась, причем в гораздо более серьезной форме.

26 декабря несколько антивирусных компаний получили от своих пользователей, агентов, а также систем автоматического поиска и сбора подозрительных файлов несколько загадочных WMF-файлов. При их анализе выяснилось, что в них содержится исполняемый код, предназначенный для загрузки файлов с различных сайтов, известных в качестве распространителей adware/spyware программ. Исполнение вредоносного кода осуществлялось при попытке открытия WMF-файла, а также при некоторых других действиях, например при открытии с помощью «Проводника» каталога, в котором находился файл, при попытке просмотра свойств файла. Выполнение кода происходило на всех существующих версиях операционной системы Windows (включая Windows 95/98) со всеми установленными обновлениями.

Стало ясно, что мы столкнулись с очередной 0-Day уязвимостью, о которой Microsoft еще ничего не известно. Самым печальным фактом было то, что об уязвимости в вирусописательских кругах стало известно не только раньше, чем в Microsoft, но и раньше, чем в любой крупной исследовательской компании, специализирующейся на поисках уязвимостей.

За одну неделю было обнаружено более тысячи вредоносных «картинок».

В течение двух последующих дней многими экспертами был произведен анализ уязвимости и были опубликованы соответствующие информационные бюллетени, а практически все антивирусные компании выпустили процедуры эвристического детектирования опасных wmf-файлов. Однако джинн уже вырвался из бутылки и все новые и новые троянские программы, использующие данную дыру, наводнили интернет. За одну неделю было обнаружено более тысячи (!!!) вредоносных «картинок». Ситуация грозила выйти из-под контроля, ведь уязвимыми были все без исключения компьютеры, работающие под управлением операционной системы Windows всех версий, — а это сотни миллионов машин по всему миру. Были обнаружены несколько червей, а также ряд массовых спам-рассылок, в которых также использовался вредоносный код эксплойта.

К счастью, по срокам это событие совпало с рождественскими каникулами в странах Западной Европы и США, а также новогодними праздниками. В эти дни число активных пользователей интернета значительно снижено, и, что самое главное, крупные корпорации в эти дни тоже не работали. Только это спасло интернет от одной из самых крупных проблем последних лет.

«А что же Microsoft?» — спросите вы.

Microsoft второй раз подряд повел себя «странно». Гигант из Редмонда взял «гроссмейстерскую паузу» в несколько дней, ограничившись изданием информационного бюллетеня KB912840, в котором констатировал факт обнаружения уязвимости и привел список уязвимых версий Windows. После чего с чувством выполненного долга удалился на празднование Нового года. Чуть больше конкретики появилось только 3 января, когда Microsoft заявил о том, что патч выйдет согласно «утвержденному графику», а именно 10 января. В качестве оправдания приводились аргументы о необходимости тщательного тестирования патча на всех версиях Windows и на всех локализациях. Также представители Microsoft пытались позиционировать проблему как «критическую, но не имеющую зафиксированной масштабной вирусной эпидемии».

Под валом критики, Microsoft не выдержала и 6 января 2006 года выпустила обновление MS06-001.

Мир IT-безопасности буквально взорвался. Второй раз в течение месяца мы столкнулись с ситуацией, когда Microsoft оказался не только не способен быстро решить проблему, но и адекватно воспринимать создавшуюся ситуацию. Количество критических, гневных, а порой и оскорбительных статей в адрес детища Билла Гейтса сравнялось по числу с количеством обнаруженных вредоносных wmf-файлов. Одновременно с этим произошла утечка бета-версии патча от Microsoft для Windows XP. Она была опубликована на нескольких сайтах в Интернете вкупе еще с одним неофициальным исправлением, созданным автором IDA Ильфаком Гульфановым, и стала единственным способом решить проблему, не дожидаясь официальной поддержки.

В конце концов, под валом критики, Microsoft не выдержала и 6 января 2006 года выпустила обновление MS06-001, исправляющее уязвимость в обработке WMF-файлов.

Отложим в сторону колчан с отравленными стрелами, ситуация ясна и все уже сказано неоднократно. Оставим рассуждения о поведении MS другим экспертам, а выводы предлагаем всем сделать самостоятельно.

Остановимся на другой стороне проблемы, а именно на том, что уязвимость изначально была обнаружена представителями андеграунда.

Одними из первых покупателей стали представители криминального adware/ spyware бизнеса.

Проведенное нами расследование выявило примерную картину произошедшего. Вероятнее всего, уязвимость была найдена неизвестным автором примерно 1 декабря 2005 года, плюс-минус несколько дней. Еще несколько дней ушло на создание примера эксплойта, позволяющего выполнить произвольный код в системе. Примерно с середины декабря на нескольких специализированных сайтах в интернете начинают появляться предложения о продаже данного эксплойта. Судя по всему, продажей эксплойта занималось несколько (2-3) конкурирующих групп хакеров из России. Что интересно, зачастую продавцы сами не знали сути уязвимости. Эксплойт предлагался для покупки по цене 4 тысячи долларов США. Одними из первых покупателей стали представители криминального adware/spyware бизнеса. От них же впоследствии и произошла утечка эксплойта в паблик.

Мы не знаем, кто первым обнаружил эту уязвимость, мы только знаем о тех людях, которые были причастны к распространению эксплойта и его модификации. Эти данные, плюс явный «русский след» во всей этой истории, позволяют сделать вывод о том, почему же уязвимость не была продана ими одной из компаний, занимающихся «поиском» уязвимостей, например eEye или iDefence. Во-первых, эти люди сами не обладали точным представлением о принципах работы уязвимости, во-вторых, они изначально были ориентированы на продажу эксплойта киберкриминальным кругам, и в-третьих, сообщения о продаже эксплойта не попали в поле зрения компаний-исследователей, поскольку, как уже было отмечено, в основном эксплойт предлагался на русском черном рынке.

Мобильные тенденции

В целом в четвертом квартале 2005 года ситуация с вирусами для мобильных телефонов оставалась стабильной. Поток новых троянских программ равномерно нарастал, укладываясь в ожидаемые нами расчеты. Многие из тенденций развития вредоносных программ для смартфонов, которые были отмечены в сентябрьской статье, полностью подтвердились. В первую очередь это выразилось в появлении первой программы, ориентированной на кражу пользовательских данных. Троянец Pbstealer получает доступ к адресной книге зараженного телефона и отсылает ее через Bluetooth на первое доступное устройство.

Значительно выросла популяция троянцев двойного назначения — ориентированных на одновременное заражение не только телефона, но и персонального компьютера, который подключается к такому телефону.

Не стоит забывать и о троянцах-вандалах, которые составляют подавляющее большинство вредоносных программ для смартфонов. Теперь в их арсенале, помимо порчи системных файлов путем их подмены неработающими копиями или удаления информации, появились и средства для блокировки данных. Семейство троянских программ Cardblock устанавливает пароль доступа на съемную карту памяти телефона, и в случае удаления вируса из телефона, доступ к этим данным становится невозможным. Очевидно, что следующим шагом эволюции может стать шифрование данных с последующим требованием денег за восстановление данных (аналогично ситуации с троянцем Gpcode или Krotten на PC).

Эпидемия мобильного вируса перешла из разряда футуристической теории в категорию суровой реальности.

Другим неприятным фактом IV квартала стало то, что эпидемия мобильного вируса перешла из разряда футуристической теории в категорию суровой реальности. Мы начали продажи своего антивируса для мобильных телефонов в России и странах бывшего СССР, и сразу же получили массу случаев подтверждения заражения, о которых ранее могли только догадываться или строить свои выводы на основе собственных экспериментов по ловле вирусов в «дикой природе». В большинстве случаев речь идет о старом знакомом — черве Cabir, распространяющемся через Bluetooth и обнаруженном уже более чем в трех десятках стран по всему миру. Очевидно, что в случае появления нового мобильного червя аналогичного поведения мы станем свидетелями еще одной глобальной эпидемии.

Тревожным фактом становится то, что большинство новых вредоносных программ поступает из Азиатского региона, в первую очередь из Китая и Южной Кореи. Повышенная плотность населения в этих странах, а также высокий уровень компьютеризации и телефонизации населения является усугубляющим фактором, создающим дополнительные возможности для начала массовой эпидемии мобильных вирусов в этом регионе мира. Не стоит забывать и том, что расположенные там же Таиланд, Малайзия и Индонезия являются одними из мировых центров туризма, а значит, любая эпидемия моментально выйдет за пределы региона, путем распространения вируса через телефоны туристов.

Игровые приставки — новая платформа для вирусов?

В начале октября 2005 года мы стали свидетелями редкого явления в вирусной эволюции. Вредоносные программы пробрались на новую платформу и заставили задуматься о дальнейших перспективах развития цифровых устройств.

Вирусы завелись в игровых приставках! О таком развитии нельзя было и подумать несколько лет назад, а некоторые прогнозы относительно появления вирусов, поражающих микроволновые печи или холодильники, воспринимались широкими массами как шутки. Очередной раз реальность подтвердила самые пессимистичные ожидания.

Первой жертвой стала игровая приставка PlayStation Portable компании Sony. Опубликованный на ряде сайтов под видом игры троянец удаляет системные файлы на устройстве, выводя её из строя, что очень похоже на базовое поведение троянцев для мобильных телефонов. А еще через несколько дней было обнаружено два троянца, атакующих другую игровую платформу — Nintendo DS. Во всех случаях риску заражения были подвержены не стандартные устройства, а «взломанные», то есть те, которые позволяют загружать на исполнение пиратские копии игр. Подобные «взломанные» приставки пользуются большой популярностью по причине высокой стоимости лицензионных игр. Также существует большое количество хакерских групп, специализирующихся на взломе и копировании игр для приставок.

Можно сказать, что сложилась ситуация, полностью описанная в трех основных принципах появления вирусов для определенной системы, а именно:

  1. Популярность системы. Рынок игровых приставок и игр для них испытывает очередной бум популярности, фактически давно став де-факто стандартом игровой индустрии. Приставками пользуются десятки миллионов людей во всем мире.
  2. Документированность платформы. Несмотря на то что основных производителей игровых платформ три (Sony, Nintendo, Microsoft), внутренняя структура каждой из платформ достаточно хорошо изучена многочисленными хакерскими группами и постоянно подстегивается прибылями, которые приносит продажа пиратских копий игр для приставок. Информацией о том, как взломать приставку, соответствующие форумы и сайты буквально наводнены.
  3. Наличие уязвимостей. Главной уязвимостью является возможность для пользователя получить доступ к системным файлам устройства. А как известно, вирус может все то, что может сделать пользователь.

Все эти три фактора совпали, что и привело к появлению троянских программ. И несмотря на то что за прошедшее время нами не было обнаружено новых вирусов, важна сама возможность их существования. Дверь приоткрыта, и ей неминуемо воспользуются злоумышленники.

Еще более важной является общемировая тенденция по созданию новых классов устройств, способных объединяться в сети, иметь выход в Интернет и управляться из единого центра. Если раньше к числу таких устройств относились только компьютеры (включая карманные) и телефоны, то сейчас мы наблюдаем всплеск в развитии технологии. «Подключить к сети все что можно и дать пользователю возможность управлять всем дистанционно» — основной лозунг этого движения. Игровые приставки, бытовая техника, «умные дома» — все соединяется друг с другом, причем как правило при помощи беспроводных технологий (WiFi, Bluetooth, IrDA). Таким образом число рисков при использовании этих технологий возрастает многократно. Все устройства будут иметь уязвимые места, все устройства станут объектом внимания со стороны хакеров. Прибавьте к этому вечные проблемы безопасности беспроводных сетей — и вы получите весьма пессимистическую картину, причем ближайшего будущего. Картину, для которой не будут подходить традиционные антивирусные решения.

Руткит Sony

История о том, как независимый исследователь Марк Руссинович обнаружил руткит в DRM-модуле музыкальных дисков компании Sony, широко известна. О ней написано множество статей, а против Sony выдвинуто несколько судебных исков. Без сомнения, этот случай, наряду с уязвимостями в Windows, является не только одним из самых важных событий в индустрии компьютерной безопасности IV квартала 2005 года, но и одной из основных тем всего года.

Я не буду пересказывать здесь эту историю целиком и отслеживать хронологию событий. Думаю, что все наши читатели и так достаточно хорошо осведомлены о произошедшем инциденте. Мы с вами попробуем проанализировать ситуацию в целом и попробуем сделать выводы.

Сложилась ситуация, когда несколько сотен тысяч компьютеров оказались оснащены средствами для скрытия файлов и процессов от пользователя.

Итак, «благодаря» компании Sony, сложилась ситуация, когда несколько сотен тысяч компьютеров в мире оказались оснащены средствами для скрытия файлов и процессов в системе от пользователя. Фактически это означало, что любой файл, имевший название, начинающееся с «$sys$» становился невидимым для стандартных средств. Понятно, что подобный функционал однозначно является рискованным и легко может быть использован вредоносными программами для своего сокрытия в системе. Собственно, это и произошло сразу же, как стало известно о подобной возможности. Спустя несколько дней после того, как Руссинович опубликовал в своем блоге информацию о рутките, нами уже был обнаружен бэкдор, устанавливающий себя в систему с именем, начинающимся с $sys$. Им стал Backdoor.Win32.Breplibot.b. (Собственно, первооткрывателями данного бэкдора стали наши коллеги из антивирусной компании Trend Micro, мы же стали первыми, кто точно классифицировал его как новый вариант Breplibot.)

Затем подобный прием стали использовать и другие вирусы, что неудивительно, учитывая возможное число уязвимых компьютеров, а также проблемы некоторых антивирусных программ в выявлении руткитов.

Фактически это был один из крупнейших инцидентов в истории, когда мы столкнулись с тем, что «виновником» вирусной активности стала сторонняя компания, а не Microsoft. До сих пор авторы вирусов ориентировались на уязвимости в Windows, теперь же причиной атаки стала Sony. Именно этот факт, как мне кажется, является весьма важным во всей этой истории. Налицо явная дифференциация векторов атак на пользователей. Повышенное внимание к поиску уязвимостей в продуктах не только от Microsoft, так явно выраженное в последние пару лет, должно было привести к тому, что плодами этих исследований воспользуются киберпреступники. Мы ожидали подобное изменение тренда, однако предполагалось, что объектом атаки станут уязвимости в антивирусных продуктах и/или сетевых устройствах компании Cisco (а именно операционная система IOS). Впрочем, не исключено, что в случае с Sony свою роль сыграло то, что уязвимость была крайне проста в использовании, а также весьма широко афиширована в средствах массовой информации.

Итак, мы можем сделать следующие выводы:

  1. Использование хакерских технологий (руткит) не считается компаниями-производителями программных продуктов недопустимым с моральной и технической точки зрения. После того, как руткиты были использованы в некоторых AdWare, они фактически стали считаться в программистской среде приятной возможностью для защиты своих программ. О том, что данная технология имеет весьма сомнительные с моральной точки зрения позиции, а также может быть использована в злонамеренных целях — авторы этих программ забывают.
  2. Наличие низкого уровня программирования у специалистов крупных софтверных компаний. Я говорю не только о том, что количество уязвимостей в современных программных продуктах уже давно превысило все допустимые нормы. Я говорю, о том, что зачастую они даже не умеют писать то, за что берутся. Пример с тем, как программисты из First4Internet (компании, создавшей руткит по заказу Сони), еще год назад сами искали информацию о возможностях для скрытия файлов в системе — более чем показателен. Оценивать же созданный ими руткит с точки зрения технологии просто не хочется.
  3. Microsoft и ее Windows больше не являются единственной причиной и виновниками вирусных эпидемий. Теперь эта вина по праву ложится на любую компанию, чьи популярные программные продукты содержат уязвимости или недокументированные функции. Отныне, любая из таких уязвимостей может стать объектом для вирусной атаки на пользователей.
  4. Вирусописатели переходят от тактики слежения за уязвимостями в Windows и использованию их постфактум, к тактике самостоятельного поиска уязвимостей в Windows и слежениюиспользованию уязвимостей в программных продуктах других компаний. Этот вывод обобщает историю с руткитом от Сони и уязвимостью в обработке WMF-файлов в Windows.
  5. Антивирусные компании все чаще и чаще будут сталкиваться с ситуацией, когда интересы защиты пользователей могут идти вразрез с интересами крупных софтверных компаний, использующих рискованные технологии. Понятно, что интересы защиты пользователей диктуют необходимость детектирования и удаления руткита из системы, с другой стороны компания-производитель не преследует криминальных целей и пытается защитить свою программу. Необходима выработка совместного решения на проблему в целом, как со стороны антивирусного сообщества, так и со стороны софтверных компаний.

Итоги четвертого квартала

Последний квартал 2005 года запомнился нам, в основном, по широко растиражированному прессой скандалу вокруг системы защиты от копирования, примененной в аудио-CD, выпускаемых звукозаписывающим подразделением компании Sony, и долгое время остававшейся открытой всем ветрам критической уязвимости в обработчике файлов формата WMF в Microsoft Windows.

В конечном итоге Sony поддалась давлению со стороны ИТ-профессионалов и опубликовала утилиту, позволяющую удалять руткит с пользовательских компьютеров. Также было объявлено о бесплатной замене защищенных пресловутой XCP-защитой аудио-CD на аналогичные диски уже не содержащие никаких руткит-компонентов.

Уязвимость в обработчике WMF была устранена в начале января 2006-го года, хотя для этого Microsoft также понадобилось почувствовать на себе давление общественности.

В четвертом квартале случилась одна из самых крупных эпидемий 2005 года — эпидемия Sober.y. Эпидемия сопровождалась загадочными предупреждениями со стороны немецкой полиции, показательными примерами очередных успехов социальной инженерии и общим недоумением от того, как этот технически весьма несложный почтовый червь сумел заразить подобное количество компьютеров.

Напоследок позвольте еще раз напомнить вам о программах типа Gpcode и Krotten. Последние события показывают, что эта форма интернет-мошенничества начинает встречаться нам все чаще и чаще, а рост технической сложности подобных программ ставит под угрозу возможность восстановления вашей информации (мы, конечно, не рассматриваем в качестве достойного варианта выполнение требований шантажистов). Будьте бдительны, не запускайте незнакомые программы, всегда устанавливайте критические обновления операционной системы и регулярно обновляйте базы вашего антивируса.

О дальнейшем развитии ситуации в области интернет-безопасности мы расскажем вам весной наступившего года.

Современные информационные угрозы, IV квартал 2005

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике