W poprzednim odcinku.
Witam w drugiej części bliskich spotkań ze złośliwymi plikami PDF. W poprzednim odcinku przedstawione zostały informacje na temat budowy i potencjalnego zagrożenia jakim stają się pliki PDF. Szerokie możliwości jakie oferuje format zwróciły uwagę grup, które wykorzystując jego popularność rozpowszechniają wirusy, trojany i innego rodzaju złośliwe oprogramowanie. W poniższym artykule postaram się pokazać sposoby obrony przed atakami z wykorzystaniem plików PDF. Osoby bardziej zainteresowane znajdą opis w jaki sposób sprawdzić czy dany plik jest złośliwy i ewentualnie wyłuskać kod odpowiedzialny za zarażenie komputera.

Jak się (nie) zarazić.
Najwięcej złośliwych plików PDF udało się znaleźć na skompromitowanych serwisach WWW. Były one wykorzystywane jako jedna z metod infekowania komputerów poprzez przeglądarki WWW. Odkąd razem z Adobe Acrobat Reader’em instalowane są rozszerzenia do przeglądarek ta forma rozprzestrzeniania się zagrożeń związanych z plikami PDF jest najczęściej wykorzystywana. Typowym sposobem jest otwieranie pliku PDF w tzw. ramce pływającej (IFRAME), która jest niewidoczna dla użytkownika. W tle uruchamiana jest wtyczka, która otwiera przesłany plik i tym samym powoduje infekcję maszyny. Bardzo rzadko ale także zdarzają się złośliwe pliki PDF przesyłane w postaci załączników w SPAM’ie. W takim przypadku wymagana jest interakcja z użytkownikiem i zachęcenie go do otwarcia takiego pliku.
Ochroną przed zarażeniem się poprzez pliki PDF jest przede wszystkim zdrowy rozsądek. Nie należy otwierać plików pochodzących z nieznanych źródeł. Dobrą praktyką jest także wyłączenie obsługi plików PDF w przeglądarce. Dodatkowo możemy wyłączyć obsługę JavaScript’u w programie Adobe Acrobat Reader, lecz nie jest to rozwiązanie do końca skuteczne. Ale o tym za chwilę.
(more…)

Wszędobylski PDF.
Każdy z nas spotkał się z plikami PDF. Są one jednym z najpopularniejszych formatów służącym do przenoszenia i udostępniania informacji. Gdy w 1993 Adobe Systems opracowało jego pierwszą wersję najprawdopodobniej nie podejrzewało, że wzbudzi on tak duże zainteresowanie. Obecnie obsługa plików PDF jest możliwa w każdym systemie operacyjnym oraz w większości urządzeń przenośnych z uwzględnieniem najnowszych telefonów komórkowych. Powszechność formatu szybko wzbudziła zainteresowanie środowisk, które specjalizują się w poszukiwaniach podatności w programach oraz potencjalnych metod ich wykorzystania. Nie trzeba było długo czekać, aby w sieci pojawiły się pierwsze złośliwe pliki PDF wykorzystujące luki w najpopularniejszym programie do odczytu – Adobe Acrobat Readerze. Znaczny wzrost ilości krążących w sieci złośliwych PDF’ów nastąpił w drugiej połowie 2008 roku. Miało to najprawdopodobniej związek z uwolnieniem standardu przez Adobe Systems w lipcu 2008 i publikacją pełnego dokumentu opisującego strukturę i funkcjonalność formatu.

Udział procentowy aktywnych w sieci typów exploitów
związanych z plikami PDF
(w odniesieniu do maksimum aktywności w październiku 2008)

Źródło: Microsoft Security Intelligence Report volume 6 (July through December 2008)
CVE-2007-5659 – exploit związany z podatnością funkcji JavaScript CollabEmailInfo
CVE-2008-2992 – exploit związany z podatnością funkcji util.printf

(more…)

Conficker (znany także jako Downadup lub Kido), to najgłośniejszy medialnie i zarazem jeden z najgroźniejszych w ostatnim czasie robaków. Dla specjalistów zajmujących się bezpieczeństwem komputerowym jest ponadto bardzo interesujący ze względu na zastosowane przez jego twórców nieznane wcześniej rozwiązania. Na początku kwietnia informowaliśmy (zob. wiadomość Conficker – raport z pola walki), że monitorujemy ruch HTTP do pewnej liczby tzw. “polskich domen confickerowych”, z którymi miały się łączyć zarażone tym robakiem komputery. Nasze obserwacje kontynuowaliśmy przez miesiąc w ramach projektu nazwanego Confiture (skrót od Conficker capture). Realizowała go grupa specjalistów zwana NASK Conficker Working Group (w jej skład weszli specjaliści z trzech działów NASK: CERT Polska, Działu Domen, oraz Zespołu Integracji i Bezpieczeństwa). Wyniki obserwacji oraz płynące z nich wnioski umieściliśmy w raporcie, który można ściągnąć z naszej strony (plik PDF: Projekt Confiture). Poniżej przedstawiamy najistotniejsze fragmenty raportu.

Wstęp

Celem projektu Confiture była obserwacja ruchu HTTP do pewnej ilości domen pochodzących z tzw. kwietniowej puli confickerowych polskich nazw domenowych wygenerowanych przez zaimplementowany w robaku Conficker tzw. Algorytm Generujący Nazwy Domenowe (z ang. Domain Name Generation Algorithm). Domeny te miały być używane do ściągania przez zarażone komputery uaktualnień robaka (był to jeden ze sposobów, innym była dystrybucja poprzez wbudowany protokół P2P). Ponieważ robak komunikował się codziennie z innym zestawem domen, monitorowanych przez nas było co najmniej kilka domen “.pl” z każdej dziennej puli od pierwszego do trzydziestego kwietnia. Serwer DNS NASK w odpowiedzi na zapytania o te domeny zwracał adresy IP kierujące do naszego honeypota (a właściwie konfitury, czyli komputera-pułapki), który rejestrował wszystkie połączenia. Jednocześnie monitorowane były zapytania do wybranych serwerów secondary DNS dla domeny “.pl” o wszystkie confickerowe domeny “.pl” z puli kwietniowej. Ponadto nasze wyniki skorelowaliśmy z danymi pochodzącymi z dwóch źródeł zewnętrznych: systemu ARAKIS, oraz obserwacji prowadzonych przez specjalistów z Conficker Working Group.

(more…)

1. W jaki sposób phishing znalazł się na Twoim komputerze (dla początkujących).
2. Jak rozpoznać phishing (dla początkujących).
3. Jak się ustrzec przed phishingiem (dla początkujących).
4. Analiza uploadu złośliwego oprogramowania do maszyny ofiary.

 
Ad 1. W jaki sposób phishing znalazł się na Twoim komputerze ?

Jak więc wygląda współczesny phishing i skąd się spodziewać ataku?
Zacznę od stwierdzenia, że użyte powyżej sformułowanie “namawiania ofiary” w przypadku ostatnio obserwowanych phishingów nie oddaje istoty zjawiska. Cały mechanizm bazuje na złośliwym oprogramowaniu instalowanym na komputerze ofiary (oczywiście bez jej wiedzy). Infekcja następuje zazwyczaj po odwiedzeniu strony WWW. W tym momencie zapewne pojawia się pytanie, jak ofiara trafia na taką stronę i co to są za strony ? Przestępca nie próbuje wskazać adresu ofierze. Stara się za to dopisać złośliwy kod do jak największej liczby witryn. Oczywiście najlepiej gdyby była to popularna strona, odwiedzana przez dużą liczbę użytkowników (patrz nasz wcześniejszy artykuł Zagrożenie na www.pajacyk.pl – jednak malware, a nie reklama).

Mechanizm infekcji i podszywania się pod bank.
Jak wspomniałem, do kodu strony WWW zostaje dopisane “coś złośliwego”. Jest to zazwyczaj zaciemniony skrypt JavaScript. Z punktu widzenia użytkownika jest on niewidoczny. W przeglądarce nie pojawiają sią żadne dodatkowe obrazy czy tekst. Jednym słowem wszystko wydaje się być w porządku. W tle natomiast skrypt sprawdza kilka najpopularniejszych dziur np. w Internecie Explorerze, Firefoksie, Operze, Adobe Readerze czy kontrolkach ActiveX. Jeśli takową znajdzie, następuje załadowanie i uruchomienie za jej pośrednictwem złośliwego oprogramowania. Jest ono zazwyczaj ściągane z serwera zewnętrznego, bardzo często znajdującego się w Chinach czy Rosji. W następnej fazie złośliwe oprogramowanie ukrywa się w systemie i zaczyna nasłuchiwać połączeń do dedykowanych banków. Klient odwiedza stronę banku, podaje swój identyfikator i hasło do konta bankowego… Do tego momentu wszystko odbywa się prawidłowo. Jednak po kliknięciu w klawisz “zaloguj” pojawia się fałszywa strona z prośbą o podanie kilku kolejnych kodów jednorazowych. Po podaniu danych, są one wysyłane na serwer kontrolowany przez przestępcę. Ofierze zostaje zwrócona strona z komunikatem o niepoprawnym logowaniu.
Istnieje również wariant, w którym wyłudza się kody jednorazowe wysyłane za pośrednictwem sms’a (na razie wykorzystywany na niewielką skalę). Oszustwo odbywa się podczas dokonywania transakcji. Ofiara wykonuje zdefiniowany przez siebie przelew, dochodzi do momentu kiedy prosi bank o przesłanie kodu sms’owego i tutaj złośliwe oprogramowanie przejmuje prośbę, uzupełnia ją swoimi danymi i wysyła do banku. Ofiara dostaje smsa, w którym jest potwierdzenie transakcji dokonanej przez przestępcę. Jeśli nie zwróci uwagi na jego treść potwierdzi nie swoją operacje.

(more…)

Dwa dni temu, przy okazji naszych przewidywań dotyczących działań robaka Conficker po 1-szym kwietnia wspomnieliśmy, że monitorujemy pewną liczbę domen z którymi zarażone komputery miały się łączyć. W niniejszym artykule chcieliśmy podzielić się dotychczas uzyskanymi informacjami wynikającymi z tych obserwacji.

Wstęp

Domeny przez nas obserwowane pochodzą z kwietniowej listy “polskich nazw domenowych” (”.pl”) wygenerowanych przez rozpracowany przez specjalistów confickerowy Algorytm Generujący Domeny (z ang. Domain Generation Algorithm). Używamy od kilkunastu do kilkudziesięciu domen z  pierwszych dni kwietnia (robak komunikuje się codziennie z innym zestawem domen). Odpowiednie wpisy w serwerze DNS kierowały połączenia do domen na specjalny dedykowany komputer udający serwer www (tzw. honeypot). Aby uniknąć wykrycia i jak najbardziej upodobnić się do serwerów “confickerowych” odwzorowanie domena <-> adres IP wynosi 1:1.

Nasze obserwacje

Dotychczasowe nasze obserwacje potwierdzają ogólne przewidywania naukowców zajmujących się analizą robaka: od północy czasu GMT zanotowaliśmy wzrost liczby połączeń. Musieliśmy jednakże odfiltrować ruch, który jednoznacznie wskazywał na nie pochodzący od zainfekowanych komputerów. Pierwszym wyznacznikiem był występujący w protokole HTTP nagłówek User-Agent określający przeglądarkę, której klient używa do połączenia się z serwerem www. Conficker identyfikuje się jako Internet Explorer. Kolejnym ważnym punktem był nagłówek HTTP Host – robak najpierw zamienia adres domenowy na IP, a dopiero następnie wykonuje połączenie bezpośrednio na to IP. Odpadają więc wszystkie połączenia, które w nagłówku Host miały adres domenowy, a nie IP.

Na powyższym wykresie przedstawiono ilość połączeń HTTP GET w dziesięciominutowym oknie czasowym dla domen z 1-go kwietnia. Kolorem niebieskim oznaczono prawdopodobne połączenia zarażonych komputerów, natomiast czerwonym ruch, co do którego mamy pewność, że nie jest aktywnością robaka. Czerwony wykres rozpoczyna się z końcem wykresu niebieskiego, nie jest liczony od osi odciętych.

Okazało się, że “nie-confickerowych” połączeń było nadspodziewanie dużo – aż ok. 20% ruchu. Co więcej, ruch ten utrzymywał się na stałym poziomie. Wygląda więc na to, że badacze Confikera mogą mocno przyczynić się do obciążenia łączy i przypadkowych serwerów. Poza tym świadczy to o tym, że zainteresowanie/uwaga poświęcona robakowi jest póki co niewspółmierna do realnego zagrożenia.

Kolejny wykres przedstawia zestawienie połączeń HTTP GET (rozdzielczość, to również dziesięciominutowe okno czasowe) rozszerzone o domeny z dnia 2-go kwietnia (wykres zielony). Dodatkowo, aby pokazać skalę połączeń “nie-confickerowych”, wykres czerwony i niebieski rozdzielono.

(more…)

Pierwszego kwietnia (a więc już za chwilę) ma się zaktualizować najgroźniejszy ostatnimi czasy robak Conficker (zwany także Downadup lub Kido) i… No właśnie, i co? Wiele doniesień prasowych spekuluje najgorsze rzeczy. Wygląda jednak na to, że to szukanie (na wyrost) sensacji i sianie paniki.

Po pierwsze, złośliwe oprogramowanie bardzo często aktualizuje się na komputerze ofiary – Conficker nie jest wyjątkiem. Co więcej, w obecnej wersji tego robaka już istnieje mechanizm aktualizacji poprzez wbudowany protokół P2P! Oczekiwany na jutrzejszy dzień update jest więc lekko “przereklamowany” – byłaby to po prostu kolejna aktualizacja.

To co wydarzy się pierwszego kwietnia to zmiana algorytmu, dzięki któremu już zainfekowane komputery wyszukiwać będą potencjalne źródła update’ów.  Znane są (wygenerowane automatycznie według pewnego algorytmu) domeny, z którymi Conficker będzie się łączył. Zapewne wiele z nich jest już cały czas monitorowanych przez specjalistów od bezpieczeństwa. Przykładem jest tutaj chociażby CERT Polska - monitorujemy pewną liczbę domen, które w przeciągu kilku dni miały być użyte przez twórców Confickera. W przyszłości opublikujemy raport z naszych obserwacji.

Co się więc prawdopodobnie stanie? Każda instancja bota będzie usiłowała się połączyć poprzez HTTP GET z serwerami kryjącymi się pod nazwami z losowej puli 500 domen z 50 000 możliwych danego dnia, w celu sprawdzenia, czy udostępniane są nowe aktualizacje.  Najprawdopodobniej odpytywane przez zarażone komputery serwisy mogą być “zalane” połączeniami, w sposób niezamierzony wywołując efekt podobny jak w ataku DDoS. Narażone na DDoS są więc serwisy, których domeny zostały już wcześniej zarejestrowane w innych celach, nie związanych z Confickerem. Jednakże wydaje się mało prawdopodobne, by twórcy Confickera zdecydowali się na masową aktualizację akurat tego dnia, w którym wszyscy się tego spodziewają i większość specjalistów od bezpieczeństwa monitoruje te adresy. Może wręcz się okazać, że do aktualizacji z wykorzystaniem domen nie dojdzie, albowiem zostanie wykorzystany (lub już został) mechanizm P2P.

Pomimo, że uważamy iż nic wielkiego nie stanie się pierwszego kwietnia, to nie zmienia to faktu, że Conficker stanowi duże zagrożenie. Nie należy zatem wpadać w panikę, tylko upewnić się czy infekcja nie występuje na własnym komputerze / we własnej sieci.

Przykładowe narzędzia służące do usuwania Confickera:

• Microsoft Windows Malicious Software Removal Tool
• F-Secure
• McAfee Avert Stinger

Więcej szczegółów o samym robaku i jego związku z pierwszym kwietnia:

• www.secureworks.com
• Know Your Enemy: Containing Conficker (The Honeynet Project)
• SRI International Conficker C Analysis

Poniżej publikujemy listę kwietniowych domen “.pl” (posortowane alfabetycznie), które mają być użyte przez robaka. Jeżeli wasza domena przypadkiem znajduje się na niej – warto przygotować się na ewentualny atak DDoS.

• www.cert.pl/PDF/conficker_pl.txt (133 KB)

Polecamy także poprzednie nasze wiadomości związane z tym zagrożeniem:

• Conficker/Downadup – krajobraz Polski
• Masowy atak nowego robaka
• Krytyczna aktualizacja Microsoft Windows (MS08-067)

W niedzielę 22 lutego na kilku forach internetowych pojawiły się wypowiedzi zaniepokojonych internautów informujące, że ich programy antywirusowe wykrywają złośliwe oprogramowanie na stronie www.pajacyk.pl (na przykład Avast identyfikował je jako VBS:Malware-gen). Przeprowadzona przez nas analiza potwierdziła zagrożenie – jak się okazało do kodu strony Pajacyka został doklejony skrypt JavaScript przekierowujący na inną stronę infekującą internautów trojanem ZBot. Fragment źródła strony z przekierowującym skryptem (zapamiętany przez nas około godziny 10:00 w poniedziałek 23 lutego) wyglądał następująco:

Skrypt JS jest zaciemniony (ang. obfuscated) w celu utrudnienia jego analizy oraz oszukania silników antywirusowych – po zdekodowaniu zawiera on ukrytą ramkę IFRAME z inną stroną, która dokładnie w ten sam sposób przekierowuje do właściwej strony zawierającej exploit. Zagrożenie związane ze stroną Pajacyka potwierdził także nasz system klienckich honeypotów HoneySpider Network. Witryna w jednoznaczny sposób została sklasyfikowana jako złośliwa:

Dzięki wysoko-interaktywnym honeypotom przechwyciliśmy złośliwe pliki wykonywalne z trojanem, które były automatycznie ściągane i uruchamiane przez exploit umieszczony na stronie WWW (tzw. drive-by download):

Powyższą zawartość pobraną w wyniku odwiedzenia Pajacyka poddaliśmy skanowaniu antywirusowemu w serwisie VirusTotal – ponad połowa silników AV wykryła zagrożenie:
http://www.virustotal.com/pl/analisis/ce1ade3e46f3089ae3a267c2e0e264bb

Polska Akcja Humanitarna podała informację, że alarmy programów antywirusowych występujące po wejściu na witrynę Pajacyka są spowodowane obecnością reklamy w postaci wyskakującego okienka, którą bardziej czułe antywirusy klasyfikują jako złośliwe oprogramowanie, a zagrożenie nie istnieje. Niestety nie jest to prawdą – kod doklejony do strony infekował internautów, którzy odwiedzili Pajacyka w niedzielę lub poniedziałek rano. Zagrożenie zostało usunięte dopiero w poniedziałek około godziny 10:30. Według statystyk umieszczonych na www.pajacyk.pl, tylko w niedzielę witrynę odwiedziło prawie 100 tysięcy osób. Trudno oszacować ile z nich zostało zainfekowanych, ale skala problemu jest poważna.

Wszystkim osobom, które w tym czasie otworzyły stronę Pajacyka, zalecamy wykonanie pełnego skanowania systemu jednym ze skutecznych w tym przypadku programów antywirusowych (lista wykrywających to zagrożenie silników AV znajduje się w linku do analizy naszej próbki w serwisie VirusTotal). Ponadto w ochronie komputera przed niebezpiecznymi elementami stron WWW (w tym skryptami JavaScript przekierowującymi na złośliwe strony) pomagają wtyczki do przeglądarek blokujące takie elementy (na przykład dodatek NoScript do przeglądarki Firefox). Zapewniają one ochronę przed innymi stronami infekującymi odwiedzających, tym bardziej że przypadek Pajacyka nie jest odosobniony i takie witryny cały czas są obecne w sieci.

Mechanizm doklejania złośliwych skryptów do popularnych stron WWW często polega na wykorzystywaniu zdobytych haseł do serwerów FTP, na których strony te są hostowane. Jeśli komputer webmastera strony jest zainfekowany działającym w ten sposób koniem trojańskim, to przy aktualizacji strony za pomocą klienta FTP trojan przechwytuje dane logowania do konta FTP, po czym ściąga z serwera odpowiedni plik ze stroną główną (np. index.html, index.htm, index.php), dokleja złośliwy skrypt JS (często tuż za znacznikiem <body> lub tak jak w przypadku Pajacyka tuż przed znacznikiem </body>) i na koniec wysyła tak zmodyfikowaną wersję strony z powrotem na serwer FTP. Coraz popularniejsza jest też metoda zorientowana na wykorzystywanie haseł już zapamiętanych w klientach FTP – często dotyczą one aplikacji Total Commander. Dlatego, oczywiście oprócz posiadania programu antywirusowego z aktualną bazą sygnatur, zalecamy nie korzystać z mechanizmu zapamiętywania haseł w tego typu programach. Szczególnie webmasterzy powinni zwracać uwagę i sprawdzać, czy strony przez nich zarządzane nie zostały zaatakowane w podobny sposób.

Metoda polegająca na umieszczaniu przekierowań do złośliwych stron na innych popularnych witrynach zyskuje coraz większą popularność wśród cyberprzestępców, ponieważ zaufanie do takich stron jest duże (zdecydowanie większe niż na przykład do adresu wysłanego w spamie), a poza tym są one odwiedzane przez dużą liczbę niczego nie podejrzewających internautów (atakujący nie musi dodatkowo zachęcać do wejścia na taką stronę i rozsyłać jej adresu).