20. rocznica robaka internetowego – czas na podsumowania i wnioski (cz.2)

Data publikacji: 07/11/2008, CERT Polska

Witty computer wormDwa dni temu przy okazji dwudziestej rocznicy powstania internetowego robaka opublikowaliśmy pierwszą część opracowania, w którym podsumowujemy i analizujemy rozwój jaki się dokonał w przeciągu tych dwudziestu lat wśród zagrożeń dla użytkowników Internetu. Dzisiaj kolej na drugą ostatnią część.

Problemy stwarzane przez ogólnie pojęte szkodliwe oprogramowanie spowodowały powstanie aplikacji i urządzeń, których celem była ochrona całych sieci bądź pojedynczych komputerów. Powstawało wiele firm, które specjalizowały się tylko w tej dziedzinie i opracowywały wiele autorskich rozwiązań. W 2004 roku po raz pierwszy narzędzia, które zostały stworzone do ochrony, same stały się celem robaka Witty. Co ciekawe atakował on produkty tylko jednej firmy: ISS (Internet Security Systems), m.in. firewalle i systemy typu IDS. Wykorzystując ich podatność był w stanie bardzo szybko się rozprzestrzeniać. Początkowa prędkość propagacji była tak duża (w ciągu pierwszych 10 sekund działalności zostało zainfekowanych 110 hostów, w kolejnych 20 sekundach “tylko” 50 nowych), że wzbudziło to podejrzenia, iż robak posiadał wcześniej zdefiniowaną listę docelowych adresów IP pod którymi działało podatne oprogramowanie. Z czasem prędkość rozprzestrzeniania się spadła, choć i tak była imponująca (ok. 12 000 komputerów w przeciągu 45 minut). Cały kod robaka mieścił się w pojedynczym pakiecie UDP. Witty był silnie złośliwy. Oprócz autopropagacji, konsekwencją której było wygenerowanie dużego ruchu w sieci, nadpisywał lub kasował losowe bloki na dyskach doprowadzając z czasem do uszkodzenia całego systemu plików. Robak miał jeszcze jedną charakterystyczną cechę: zaatakował w niecałe 48 godzin od opublikowania przez ISS informacji o luce, co było na owe czasy wynikiem rekordowym. Uwydatniło to słabość systemów w postaci opieszałym aktualizowaniu oprogramowania przez administratorów, bowiem jak się okazało wielu z nich nie zainstalowało na poprawek czas (zob. wiadomość Witty nie dał szans administratorom).

Aktywność takich robaków, jak Slammer, Blaster czy Sasser nie słabnie od lat (co potwierdzają m.in. wspomniane wcześniej obserwacje systemu ARAKIS). Nie oznacza to jednak, że cyberprzestępcy nie wymyślają nowych rodzajów ataków. Obecnie obserwowany trend w propagacji malware’u przez Internet wskazuje na to, że coraz częściej do infekowania internautów używane są luki w tzw. programach klienckich (czyli takich, które pozwalają użytkownikowi łączyć się z serwerem), w szczególności w przeglądarkach internetowych i dodatkach do nich. Aby wykorzystać je w tym ostatnim przypadku wystarczy odpowiednio zmodyfikować kod strony www (najczęściej poprzez wstrzyknięcie złośliwego JavaScripta lub odnośnika do zewnętrznej złośliwej strony www). Odwiedzający ją nieświadomy użytkownik jest zarażany bez jakiejkolwiek dodatkowej interakcji (tzw. atak drive-by-download). Ewentualnie można go odpowiednio “zachęcić”, by sam uruchomił jakiś kod nie mając oczywiście świadomości, że jest szkodliwy. Zatem nie ma potrzeby atakować w sposób bezpośredni (aktywny) zwykłego użytkownika – wystarczy umieścić malware na stronie i czekać, aż internauci sami na nią wejdą i się zainfekują. Dzięki temu można być mniej “widocznym” w sieci, bo zamiast aktywnie poszukiwać ofiary generując podejrzany ruch, malware czeka, aż ofiara “znajdzie” jego. Głównym celem robaków w takim przypadku stały się więc serwery www. Wraz z rozwojem Web 2.0 znacznie łatwiej działać robakom atakującym i modyfikującym treść (wstrzykującym złośliwy kod) stron www – nie trzeba polegać tylko na podatnościach serwerów www, wystarczy błędnie napisany skrypt php, asp itp. Robaki PHP, które wykorzystując błędy Sasser computer wormw skryptach różnych znanych aplikacji nie skupiając się na jednej były wielokrotnie widziane przez system ARAKIS (zob. wiadomość Robak wykorzystujący luki w skryptach PHP). Niejeden profesjonalny serwis www padł też ich ofiarą – chociażby ostatnio miała miejsce infekcja stron internetowych Serious Magic należącej do firmyAdobe Systems (zob wiadomość Infekcja na stronach internetowych Serious Magic – internauci zgrożeni)

Oczywiście to nie oznacza zupełnego zarzucenia starszych metod infekcji: dalej popularne jest wykorzystanie e-maili. Coraz częściej malware propagowany jest także przez sieci P2P (sieci te wykorzystywane są także coraz chętniej, zamiast IRC, do zarządzania botnetami). Cały czas bardzo popularna i nadzwyczaj skuteczna jest socjotechnika, czyli namówienie internauty, by sam z własnej woli uruchomił (złośliwy) program. W dalszym ciągu po Internecie grasują Sassery, Blastery itp. Ostatnio wykryto w systemach z rodziny Windows groźną lukę, która może być wykorzystywana przez nowego robaka (pisaliśmy o niej w wiadomości Krytyczna aktualizacja Microsoft Windows). Specjaliści od bezpieczeństwa IT potwierdzają, że taki robak już jest wypuszczony do Internetu, lecz nie są to jakieś masowe ilości (przynajmniej na razie nie może być mowy o epidemii). System ARAKIS nie zaobserwował do tej pory aktywności nowego robaka. Być może ze względu na pewne podobieństwa wykorzystywanej luki do tych używanych przez inne robaki (m.in. Sassera) nie jest opłacalne dla cyberprzestęcpców rozwijanie nowego kodu – można go (i jemu podobne) zablokować dosyć łatwo chociażby poprzez filtrowanie na firewallu pakietów kierowanych na porty 445 i 139 TCP (nie wspominając o zwykłej aktualizacji systemu). Warto także zauważyć, że coraz rzadziej wykrywane są tak poważne luki, że mogą być wykorzystane w podobny sposób przez robaki. Obecnie rozwijane metody infekcji (głównie omówione wcześniej wykorzystujące przeglądarkę internetową) oraz te już sprawdzone są najprawdopodobniej bardziej opłacalne i przynoszą lepsze rezultaty.

botnetJaki jest obecny cel infekowania użytkowników Internetu? Z historii wynika, że najpierw robaki miały pokazać niedoskonałości aplikacji bądź systemów, przynosić sławę twórcom, czy złośliwie usuwać z systemu różne pliki, wyświetlać zabawne lub obraźliwe komunikaty, itp. W chwili obecnej prawdziwym celem twórców malware’u są pieniądze a motywacją zwyczajna chęć zysku. Zdobywają je na różne sposoby. Mogą instalować w systemach ofiar programy szpiegujące i wykradające hasła do kont bankowych czy różnych płatnych gier on-line. Mogą używać szantażu, jak np. twórcy wirusa Gpcode/PGPcoder, który szyfruje pliki multimedialne i dokumenty i odszyfrowuje dopiero wtedy, gdy ofiara wpłaci na konto cyberprzestępcy określoną sumę pieniędzy. Wreszcie (najpowszechniejsza metoda) tworzą z zainfekowanego komputera członka botnetu (tzw. komputer-zombie). Ofiary najczęściej nie zdają sobie sprawy, że ich komputer jest jednym z tysięcy, a nawet być może milionów komputerów kontrolowanych przez właścicieli botnetu (tzw. botmasterów). Co najwyżej zauważą spowolnienie jego pracy lub połączenia internetowego, ponieważ wykorzystywane są zasoby systemowe oraz sieciowe – cyberprzestępcy używają ich do świadczenia swoim “klientom” odpłatnie takich usług, jak rozsyłanie spamu reklamowego, atak DDoS na serwery konkurencji, itp.

Co zatem zrobić, by nie paść ofiarą cyberprzestępców? Nie ma, niestety, niezawodnego rozwiązania. Nie ma także co liczyć na całkowite wyeliminowanie malware’u. W praktyce jesteśmy świadkami swoistego „wyścigu zbrojeń” pomiędzy cyberprzestępcami a osobami walczącymi z nimi. Powinniśmy zatem pilnować, by używane przez nas oprogramowanie i system operacyjny były zawsze zaktualizowane. Mocno zalecane jest używanie systemu antywirusowego oraz firewalla (najlepiej, gdyby także używał ich nasz dostawca Internetu). Przede wszystkim jednak musimy być ostrożni w trakcie surfowania po Internecie i mieć ograniczone zaufanie do wszystkich stron www, e-maili czy wiadomości w komunikatorach internetowych. Zdrowego rozsądku nic nie zastąpi, tak jak edukacji na ten temat (w myśl zasady, że przeciwnik lepiej poznany jest mniej groźny).