13.10.2010 - Лазутчики киберкриминала

Защита была устроена на славу. Но Лазутчик точно знал, где существует дыра в обороне. Его готовили специально для того, чтобы он незаметно воспользовался лазейкой и проник в систему. Лазутчик обязательно это сделает и проведет любого — шпиона, вора или тайного агента, который заставит систему работать в интересах его Хозяев. Только бы дыру не закрыли…

Это не эпизод компьютерной игры. Приблизительно по такому сценарию действуют эксплойты — программы, использующие уязвимости в программном обеспечении и тайком проникающие на атакуемые компьютеры.

Уязвимости и эксплойты

Уязвимость — это недоработка в программном коде, которая при определенных условиях может использоваться злоумышленником в своих целях. А эксплойт — это программа, которая использует, или, как принято говорить, эксплуатирует уязвимость в программном обеспечении на локальном или удаленном компьютере с заведомо вредоносной целью.

Основная задача эксплойта — заражение атакуемого компьютера определенным зловредом. Так как эксплойт редко может быть большого размера, то в подавляющем большинстве случаев он содержит функционал даунлоадера (загрузчика). Как правило, все вредоносные действия происходят незаметно для пользователя. Правда, иногда может, например, браузер упасть, но вряд ли неспециалист заподозрит что-то неладное.

Уязвимости встречаются почти во всех программах, и популярные программы не исключение. По-видимому, как разработчики ни стараются, практически нереально избежать ошибок в программном коде. Уязвимость может быть как в самой программе, обрабатывающей формат файла, так, например, и в виртуальной машине, реализующей работу скрипта. Вследствие этого злоумышленники включают эксплойты в файлы разных форматов и разные протоколы: в JPEG, TIFF, BMP, GIF, ANI, LNK и др. Бывает, что файл целиком является эксплойтом, например скрипт, написанный на JavaScript и эксплуатирующий уязвимость в Internet Explorer.

В подавляющем большинстве случаев эксплойт содержит в себе так называемый шелл-код. Он представляет собой последовательность байт, которая является набором машинных инструкций и может быть исполнена процессором. Как правило, код загружает и запускает на компьютере пользователя полноценного зловреда. Однако бывают и такие уязвимости, при эксплуатации которых не происходит исполнения шелл-кода. Например, эксплойт, использующий уязвимость CVE-2010-1885 в центре справки и поддержки MicroSoft, исполняет html-код, в который обычно включают тэг

Некоторые эксплойты опасны ещё и тем, что их деятельность выполняется непосредственно доверенным приложением. Например, эксплойт использует уязвимость интернет-браузера и начинает загрузку зловреда. В этом случае файервол не блокирует загрузку, так как она выполняется программой, которой разрешены подобные действия.

Ваш компьютер под угрозой

Существует немало способов доставки эксплойта на компьютеры пользователей. Наиболее популярный — заражение легитимных ресурсов. Для этих целей чаще всего используются скриптовые загрузчики Gumblar и Pegel. На компьютеры посетителей взломанных сайтов, зараженных этими зловредами, загружается вредоносный скрипт, содержащий множество эксплойтов.

Как правило, в таких случаях злоумышленники используют так называемый эксплойт-пак — набор эксплойтов, в который входят эксплойты к уязвимостям в различных браузерах и прикладных программах. Расчет злоумышленников прост: ПО на атакуемых компьютерах установлено разное, поэтому использование набора различных эксплойтов повышает вероятность срабатывания хотя бы одного из них. Например, если на компьютере-жертве установлены Chrome и Adobe Reader, уязвимости в которых закрыты, а Java-движок от Sun уязвим, то один из эксплойтов в наборе, ориентированный на «дыру» в Java, сработает и загрузит на компьютер вредоносную программу.

Такой тип атак получил название drive-by download. Drive-by атаки особенно опасны, поскольку пользователь даже не подозревает о происходящем. Неслучайно именно с помощью drive-by загрузок распространяются в последнее время многие зловреды, в том числе такие опасные и сложные, как Zbot/ZeuS, TDSS, Sinowal, Virut.ce.

Приведем общую схему заражения компьютера пользователя ботом Zbot/ZeuS.

Схема заражения компьютера Zbot/Zeus с помощью эксплойтов

Первым этапом заражения компьютера является переход пользователя на сайт, инфицированный Trojan-Downloader.JS.Pegel. Затем Pegel переадресует его на страницу, содержащую эксплойт-пак. Далее производится попытка загрузить и установить непосредственно бот. Самым последним этапом является подключение зараженного компьютера к центру управления ботнетом и включение его в зомби-сеть.

Широко используются для распространения эксплойтов методы социальной инженерии. Например, пользователь может получить ссылку на «новое приватное сообщение» якобы от FaceBook или письмо от имени банка с предложением перейти на определенную страницу для «разблокировки счета». Пройдя по ссылке в таком поддельном сообщении, пользователь вполне может загрузить к себе на компьютер эксплойт.

На машины, уже зараженные Trojan-Downloader, даунлоадер может скачивать и устанавливать различные зловреды, в том числе эксплуатирующие уязвимости.

Но наиболее эффективно распространение эксплойтов с зараженного компьютера в локальной сети. В этом случае создается и рассылается на все компьютеры в сети специальный сетевой запрос, который приводит к эксплуатации уязвимости. Именно так по большей части распространяются опасные сетевые черви Kido и Lovesan. Этот способ позволяет заразить всю локальную сеть в кратчайшие сроки. Дальнейшее заражение невозможно прекратить до тех пор, пока не будет заделана брешь в уязвимом компоненте.

Они это сделали

В последнее время все самые значительные события в мире информационной безопасности, как правило, связаны с использованием злоумышленниками какой-либо уязвимости.

Появление сетевого червя Kido/Conficker можно без преувеличения назвать самым значительным событием последнего десятилетия в IT-индустрии. Особенностью этого зловреда является простота распространения, которое реализуется с использованием уязвимости MS08-067 в службе сервера Windows. Червю достаточно послать на атакуемый компьютер специально сформированный сетевой пакет. Если операционная система является непропатченой, то происходит исполнение вредоносного кода.

Другим довольно значительным событием недавнего времени стала целевая атака на Microsoft и Google с целью хищения конфиденциальных данных компаний. Атака была реализована с помощью вредоносного скрипта Aurora. Была задействована уязвимость CVE-2010-0249 в MS Internet Explorer.

Недавно появился червь Stuxnet, который использует новую уязвимость CVE-2010-2568 в LNK-файлах. С помощью этой уязвимости для распространения вредоносной программы достаточно специальным образом сформировать LNK-ярлык и доставить его на атакуемый компьютер. Когда пользователь открывает сетевую паку, содержащую такой ярлык, происходит запуск зловреда. Уязвимые ярлыки также можно распространять и по почте — если почтовый клиент попытается отобразить иконку, начнется загрузка вредоносной программы. В настоящее время появляется все больше и больше зловредов, которые используют уязвимость в LNK-файлах. К примеру, были обнаружены дропперы Sality.ag, которые распространяются с помощью уязвимых ярлыков.

Статистика детектирования эксплойта к уязвимости CVE-2010-2568

Судя по тому, что количество детектируемых эксплойтов к уязвимости CVE-2010-2568 остается на постоянном уровне даже после выпуска 2 августа официального патча от Microsoft (MS10 — 046), можно предположить, что злоумышленники не отказываются от использования этой уязвимости. Интересно, что каждое воскресенье на графике возникает «провал»: по-видимому, это связано с тем, что в выходные дни пользователи реже используют компьютеры.

Заплатки для программ

Очевидно, что незакрытые уязвимости в популярном софте могут привести к весьма плачевным последствиям. Поэтому компании, разрабатывающие соответствующее ПО, выпускают так называемые патчи, или заплатки. Они представляют собой небольшие программы, которые исправляют уязвимые файлы.

Автоматическое обновление программ, установленных на компьютерах пользователей, очень важно и влияет на безопасность операционной системы в целом. Компания Microsoft, продукты которой используются в подавляющем большинстве компьютеров по всему миру, стала первопроходцем в этой области. Так, уже ОС Windows 98 предполагала возможность бесплатно воспользоваться услугой Windows Update. С ее помощью можно было установить патчи для уязвимых приложений, более современные драйверы, дополнительные компоненты и т.д. для системы Windows. Со временем эта услуга переросла в более глобальный сервис Microsoft Update, тоже бесплатный, который сканирует систему на необходимость обновлений для определенных продуктов Microsoft, в частности SQL Server, Visual Studio, Office и др.

Если раньше киберкриминал использовал в основном уязвимости в семействе операционных систем MS Windows, то последние несколько лет внимание злоумышленников привлекают продукты компании Adobe, такие как Flash Player и Adobe Reader. Поначалу Adobe весьма неохотно и медленно исправляла обнаруженные бреши. Но со временем стало понятно, что такое положение вещей не удовлетворяет конечных пользователей. В результате был выпущен новый продукт Adobe Updater, который выполняет функции, аналогичные Windows Update — автоматически загружает и устанавливает заплатки для программ, установленных на пользовательском компьютере. В настоящее время компания Sun, Java-движок которой имеет бреши, используемые эксплойтами, также пытается наладить выпуск обновлений.

Разработчики антивирусов тоже не сидят сложа руки и выпускают обновления с детектированием опасных эксплойтов. Это позволяет хоть как-то сдержать натиск злоумышленников до того, как выйдет официальное обновление от производителя уязвимого ПО. Сотрудничество между Microsoft, Adobe и антивирусными компаниями уменьшает время реакции на угрозу и помогает лучше защитить пользователей.
Лучше вовремя, чем никогда

В настоящее время большинство атак в интернете начинается с использования эксплойтов, которые позволяют злоумышленникам незаметно загрузить нужную им вредоносную программу на компьютер пользователя. Кроме того, многие уязвимости дают киберпреступникам возможность получить полный доступ к системе. Как же защититься от такой напасти пользователям?

Первое, и самое главное, — необходимо вовремя устанавливать обновления для используемого программного обеспечения. К сожалению, по данным «Лаборатории Касперского», многие не обновляют своевременно ПО на своих компьютерах. Об этом свидетельствуют многочисленные незакрытые уязвимости, обнаруженные на машинах пользователей. При этом среди наиболее распространенных встречаются уязвимости, о которых известно уже несколько месяцев или даже лет.

Так, в третьем квартале 2010 года на компьютерах пользователей было обнаружено 31 425 011 незакрытых уязвимых приложений и файлов. По итогам квартала в TOP 10 попали в том числе уязвимости, обнаруженные в 2009, 2008 и даже в 2007 годах!

Многие заблуждаются, думая, что злоумышленники используют только новые бреши. Среди различных эксплойтов, которые попадают в наши ежемесячные рейтинги вредоносных программ, постоянно присутствуют и эксплойты к старым уязвимостям. Например, в августе 2010 года у вирусописателей были популярны эксплойты к отнюдь не новым уязвимостям CVE-2009-3867, CVE-2010-0806 и CVE-2010-0094.

За обновлениями необходимо внимательно следить и, если нужно, устанавливать их вручную. Обязательно активизируйте на компьютере такие службы, как Microsoft Update и Adobe Updater. Помимо обновлений для продуктов Microsoft и Adobe, не стоит обходить стороной и обновления для других программ например, для популярного музыкального проигрывателя Winamp.

Не пренебрегайте элементарными правилами компьютерной безопасности: не открывайте неизвестные письма в почте, не переходите по неизвестным ссылкам и т.д. Большинство современных браузеров, таких как Google Chrome, Mozilla Firefox и Internet Explorer, обладают специальными фильтрами, блокирующими фишинговые и вредоносные сайты. Используйте веб-браузер с такими встроенными фильтрами.

И, конечно же, на компьютере обязательно надо использовать полноценный антивирус с последними обновлениями, который будет противостоять эксплойтам, использующим еще не закрытые уязвимости.

Источник: securelist.com