Hlavní navigace

Agresivní viry: Útočníci přitvrzují a hledají cestičky

13. 9. 2011
Doba čtení: 5 minut

Sdílet

Jakmile se škodlivý kód okouká, je zapotřebí vymyslet novou variantu, která přiláká oběti. Útočníci však musí myslet také na překonání stále vylepšovaných ochran. Čím se nás aktuálně snaží překvapit?

Boj s viry je takřka nekonečný, z pohledu útočníků i výrobců bezpečnostního softwaru má hned několik tváří. Staré známé pravidlo říká, že útočníci jsou vždy o krok napřed: jakmile přijdou s inovací, musí tvůrci bezpečnostních barikád reagovat. I když se to na první pohled nemusí zdát, prochází škodlivý kód bouřlivým vývojem a zajímavými obměnami, jednotlivé viry jsou navrhovány tak, aby překonaly co možná nejsložitější zabezpečení.

Aktuální zpráva Intelligence Report společnosti Symantec odhaluje výrazný nárůst agresivních technik spojených s rychle se měnícím polymorfním malwarem. Celkem 1 e-mail z 280,9 byl v červenci identifikován jako nebezpečný a jedná se tak o více než dvojnásobný nárůst za poslední půlrok, což ukazuje na mnohem agresivnější strategii ze strany počítačových zločinců. Pro úplnost dodejme, že polymorfní viry jsou takové viry, které mají různé varianty díky odlišnému kódování, ve výsledku se tedy při detekce jedná o rozdílné vzorky, i když mají naprosto stejnou funkcionalitu.

Citovaná zpráva dále ukazuje, že malware je často součástí souborů určených ke spuštění, které jsou zabalené v ZIP formátu nebo maskované jako PDF či tradiční kancelářské dokumenty. „Tento nový agresivní přístup k šíření polymorfního malwaru je velmi nebezpečný a ohrožena je celá řada firem. Především by si měly dát pozor podniky, které se spoléhají pouze na tradiční bezpečnostní opatření, protože tento druh malwaru je navržen tak, aby se těmto technologiím vyhnul. Jednou z technik je změna spouštěcího kódu v téměř každé verzi malwaru a dochází i k drobným úpravám struktury kódu, takže pro mnoho antivirových produktů je identifikace hrozby velmi obtížná,“ říká Paul Wood ze společnosti Symantec.

Polymorfní viry samozřejmě nejsou žádnou novinkou, jedná se o techniku tvorby škodlivého kódu, která z pohledu útočníků s většími či menšími úspěchy funguje již dlouhou dobu. Pokud se však tvůrci na programování a vývoj těchto virů pořádně zaměří, je detekce obtížnější – naštěstí jsou už zapotřebí detailní technické znalosti, a tak se nejedná o obecné a hromadné útoky, kam spadá například phishing a další.

Agresivní malware
Lákadla využívaná tvůrci agresivního malwaru mohou mít různé podoby. Zdroj: Symantec

Zajímavou možností, jak lze dokumenty PDF zneužít, je spuštění vloženého kódu. V drtivé většině případů mu však v prohlížeči (jímž je nejčastěji Adobe Reader) předchází zobrazení varovného dialogu a dotaz směřující k uživateli, zda chce danou akci povolit. V tomto kroku se obrazně řečeno láme chleba, jelikož nemálo uživatelů další z mnoha dialogů automaticky odsouhlasí, jen aby už byl pryč. Vina tak podobně jako u jiných útoků padá na bedra samotného uživatele, jelikož je zapotřebí jeho interakce.

Část viny přímo na straně uživatelů

Pro méně zkušené útočníky a podvodníky je v dnešní době o něco těžší vymýšlet nové útoky, které by stoprocentně přelstily sofistikované bezpečnostní systémy, a tak se snaží držet zaběhlých scénářů. Klasické e-mailové požadavky na reset hesla Facebooku, PayPalu či eBay jsou naštěstí v hojném počtu ty tam, přední umístění zaujaly jiné alternativy. Mezi nejpopulárnější patří takzvané falešné antiviry, které v různých intervalech zažívají další z neslábnoucích vln renesance.

Falešné antiviry samozřejmě nepatří mezi novinky, kterými nás temná strana počítačové barikády proti naší vůli pravidelně zásobuje, v různých variantách se objevují již delší dobu. Představují jedny z nejlepších ukazatelů moderních trendů, jelikož právě ony zvládly oklamat nespočet běžných koncových uživatelů. Falešné antiviry svým tvůrcům vydělávají hodně peněz, vždy stačilo jen probudit v uživatelích strach a nabídnout jim rychlé a spolehlivé řešení. Co na tom, že je podvodné – uživatel získal pocit, že antivir opravdu zabral a byl za těch pár investovaných dolarů spokojen. A právě toto je hlavním zdrojem energie pečlivě připraveného a promazaného soukolí – kdyby uživatelé byli k vydání peněz donuceni (například pomocí ransomwaru), zbystří, a útočník tak nemusí dostat ani korunu.

Mezi agresivními polymorfními i jinými viry šířenými e-mailem a falešnými antiviry je možné vystopovat základní pojítko. V obou případech jde totiž o dlouhodobě používané techniky, které mají stále stejný základ, nicméně útočníci musí vytvářet inovace, neokoukané a průbojnější verze, jež zvýší šanci na úspěch. Při „hledání“ rizik na webu musí uživatelé vyvinout vlastní úsilí, tedy provést hledání a pak se v přehršli nalezených stránek nesprávně nasměrovat na nebezpečnou stránku. Oproti tomu druhá varianta, jež zneužívá e-mail pro šíření hrozeb, si cestu do počítače najde sama, pak již jen stačí, aby zvítězila zvědavost a uživatel se nechal přemluvit k otevření falešné přílohy, následování nebezpečného odkazu apod.


Klasické zneužití v podobě falešného antiviru. Zdroj: McAfee

BRAND24

Nebezpečí na cestách

Aktuální analýza dále ukazuje, že se phishingové útoky zaměřují na uživatele mobilních zařízení a snaží se objevit zranitelná místa. Zvýšil se například počet útoků na WAP stránky a weby umístěné v rámci domén s obsahem určeným pro mobilní zařízení (například .mobi). U tohoto útoku je zajímavé, že jde v oblasti mobilních telefonů tak trochu proti proudu, dokáže ale podvodníkům přinést větší množství obětí. Za standard jsou totiž považovány hlavně útoky cílící na chytré mobilní telefony, naproti tomu ataky pomocí zmíněných stránek postihnou i neobezřetné uživatele prakticky všech telefonů, které zvládnou připojení k internetu.

Do budoucna by nás mohly čekat těžké mobilní dny vinou těsného spojení (nejen) smartphonů s internetem, dnes už je v řadě případů těžké sledovat datový provoz, který neustále připojený mobil na cestách provází. V tomto případě samozřejmě přímo nemusí jít o zneužití samotnými útočníky, ale spíše uživatelovu nepozornost. Antivirová řešení pro mobily různých kvalit a od nejrůznějších dodavatelů jsou tu s námi již nějaký ten pátek, kromě klasické kontroly dat zvládnou také například ochranu přístupu do mobilu v případě jeho odcizení. Otázkou zůstává, nakolik jde o lákadla výrobců antivirů a z jaké části je mobily opravdu nutné chránit. Koncový uživatel by vždy měl nejprve zvážit, jestli ochranu svého mobilu vůbec potřebuje. Pokud v něm neuchovává citlivá data (například poštu, důležité dokumenty apod.), je často zbytečné podobnou ochranu vůbec zvažovat.

Byl pro vás článek přínosný?

Autor článku

Autor je odborníkem na počítačovou bezpečnost a moderní online služby. Pracuje jako konzultant na volné noze zejména pro finanční instituce.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).