Hlavní navigace

Agresivní viry: Útočníci přitvrzují a hledají cestičky

Pavel Čepský 13. 9. 2011

Jakmile se škodlivý kód okouká, je zapotřebí vymyslet novou variantu, která přiláká oběti. Útočníci však musí myslet také na překonání stále vylepšovaných ochran. Čím se nás aktuálně snaží překvapit?

Boj s viry je takřka nekonečný, z pohledu útočníků i výrobců bezpečnostního softwaru má hned několik tváří. Staré známé pravidlo říká, že útočníci jsou vždy o krok napřed: jakmile přijdou s inovací, musí tvůrci bezpečnostních barikád reagovat. I když se to na první pohled nemusí zdát, prochází škodlivý kód bouřlivým vývojem a zajímavými obměnami, jednotlivé viry jsou navrhovány tak, aby překonaly co možná nejsložitější zabezpečení.

Aktuální zpráva Intelligence Report společnosti Symantec odhaluje výrazný nárůst agresivních technik spojených s rychle se měnícím polymorfním malwarem. Celkem 1 e-mail z 280,9 byl v červenci identifikován jako nebezpečný a jedná se tak o více než dvojnásobný nárůst za poslední půlrok, což ukazuje na mnohem agresivnější strategii ze strany počítačových zločinců. Pro úplnost dodejme, že polymorfní viry jsou takové viry, které mají různé varianty díky odlišnému kódování, ve výsledku se tedy při detekce jedná o rozdílné vzorky, i když mají naprosto stejnou funkcionalitu.

Citovaná zpráva dále ukazuje, že malware je často součástí souborů určených ke spuštění, které jsou zabalené v ZIP formátu nebo maskované jako PDF či tradiční kancelářské dokumenty. „Tento nový agresivní přístup k šíření polymorfního malwaru je velmi nebezpečný a ohrožena je celá řada firem. Především by si měly dát pozor podniky, které se spoléhají pouze na tradiční bezpečnostní opatření, protože tento druh malwaru je navržen tak, aby se těmto technologiím vyhnul. Jednou z technik je změna spouštěcího kódu v téměř každé verzi malwaru a dochází i k drobným úpravám struktury kódu, takže pro mnoho antivirových produktů je identifikace hrozby velmi obtížná,“ říká Paul Wood ze společnosti Symantec.

Polymorfní viry samozřejmě nejsou žádnou novinkou, jedná se o techniku tvorby škodlivého kódu, která z pohledu útočníků s většími či menšími úspěchy funguje již dlouhou dobu. Pokud se však tvůrci na programování a vývoj těchto virů pořádně zaměří, je detekce obtížnější – naštěstí jsou už zapotřebí detailní technické znalosti, a tak se nejedná o obecné a hromadné útoky, kam spadá například phishing a další.

Agresivní malware
Lákadla využívaná tvůrci agresivního malwaru mohou mít různé podoby. Zdroj: Symantec

Zajímavou možností, jak lze dokumenty PDF zneužít, je spuštění vloženého kódu. V drtivé většině případů mu však v prohlížeči (jímž je nejčastěji Adobe Reader) předchází zobrazení varovného dialogu a dotaz směřující k uživateli, zda chce danou akci povolit. V tomto kroku se obrazně řečeno láme chleba, jelikož nemálo uživatelů další z mnoha dialogů automaticky odsouhlasí, jen aby už byl pryč. Vina tak podobně jako u jiných útoků padá na bedra samotného uživatele, jelikož je zapotřebí jeho interakce.

Část viny přímo na straně uživatelů

Pro méně zkušené útočníky a podvodníky je v dnešní době o něco těžší vymýšlet nové útoky, které by stoprocentně přelstily sofistikované bezpečnostní systémy, a tak se snaží držet zaběhlých scénářů. Klasické e-mailové požadavky na reset hesla Facebooku, PayPalu či eBay jsou naštěstí v hojném počtu ty tam, přední umístění zaujaly jiné alternativy. Mezi nejpopulárnější patří takzvané falešné antiviry, které v různých intervalech zažívají další z neslábnoucích vln renesance.

Falešné antiviry samozřejmě nepatří mezi novinky, kterými nás temná strana počítačové barikády proti naší vůli pravidelně zásobuje, v různých variantách se objevují již delší dobu. Představují jedny z nejlepších ukazatelů moderních trendů, jelikož právě ony zvládly oklamat nespočet běžných koncových uživatelů. Falešné antiviry svým tvůrcům vydělávají hodně peněz, vždy stačilo jen probudit v uživatelích strach a nabídnout jim rychlé a spolehlivé řešení. Co na tom, že je podvodné – uživatel získal pocit, že antivir opravdu zabral a byl za těch pár investovaných dolarů spokojen. A právě toto je hlavním zdrojem energie pečlivě připraveného a promazaného soukolí – kdyby uživatelé byli k vydání peněz donuceni (například pomocí ransomwaru), zbystří, a útočník tak nemusí dostat ani korunu.

Mezi agresivními polymorfními i jinými viry šířenými e-mailem a falešnými antiviry je možné vystopovat základní pojítko. V obou případech jde totiž o dlouhodobě používané techniky, které mají stále stejný základ, nicméně útočníci musí vytvářet inovace, neokoukané a průbojnější verze, jež zvýší šanci na úspěch. Při „hledání“ rizik na webu musí uživatelé vyvinout vlastní úsilí, tedy provést hledání a pak se v přehršli nalezených stránek nesprávně nasměrovat na nebezpečnou stránku. Oproti tomu druhá varianta, jež zneužívá e-mail pro šíření hrozeb, si cestu do počítače najde sama, pak již jen stačí, aby zvítězila zvědavost a uživatel se nechal přemluvit k otevření falešné přílohy, následování nebezpečného odkazu apod.


Klasické zneužití v podobě falešného antiviru. Zdroj: McAfee

Nebezpečí na cestách

Aktuální analýza dále ukazuje, že se phishingové útoky zaměřují na uživatele mobilních zařízení a snaží se objevit zranitelná místa. Zvýšil se například počet útoků na WAP stránky a weby umístěné v rámci domén s obsahem určeným pro mobilní zařízení (například .mobi). U tohoto útoku je zajímavé, že jde v oblasti mobilních telefonů tak trochu proti proudu, dokáže ale podvodníkům přinést větší množství obětí. Za standard jsou totiž považovány hlavně útoky cílící na chytré mobilní telefony, naproti tomu ataky pomocí zmíněných stránek postihnou i neobezřetné uživatele prakticky všech telefonů, které zvládnou připojení k internetu.

Do budoucna by nás mohly čekat těžké mobilní dny vinou těsného spojení (nejen) smartphonů s internetem, dnes už je v řadě případů těžké sledovat datový provoz, který neustále připojený mobil na cestách provází. V tomto případě samozřejmě přímo nemusí jít o zneužití samotnými útočníky, ale spíše uživatelovu nepozornost. Antivirová řešení pro mobily různých kvalit a od nejrůznějších dodavatelů jsou tu s námi již nějaký ten pátek, kromě klasické kontroly dat zvládnou také například ochranu přístupu do mobilu v případě jeho odcizení. Otázkou zůstává, nakolik jde o lákadla výrobců antivirů a z jaké části je mobily opravdu nutné chránit. Koncový uživatel by vždy měl nejprve zvážit, jestli ochranu svého mobilu vůbec potřebuje. Pokud v něm neuchovává citlivá data (například poštu, důležité dokumenty apod.), je často zbytečné podobnou ochranu vůbec zvažovat.

Našli jste v článku chybu?

15. 9. 2011 8:27

Zen (neregistrovaný)

At si kazdy uziva, co jset mu libo.
Nekdo se bavi s 10^6 viru, jiny ma znamych viru jednotky ....


14. 9. 2011 22:22

tany (neregistrovaný)

A největší část chyb je na výrobci OS

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu