Hlavní navigace

Recyklace virů se útočníkům vyplácí, neinovují

Pavel Čepský

Čas od času se objeví nová hrozba, který rozvíří vody počítačové a síťové bezpečnosti. Proč ale vlastně tak zřídka, z jakého důvodu se potýkáme stále dokola se stejnými parazity?

Občas se zdá, že útočníci zlenivěli, již nechtějí (nebo nemohou) vymýšlet nové, zase o něco úspěšnější útoky. Snad jednou z novinek, tedy alespoň co se principu a vyhlédnutých cílů týká, za posledních několik měsíců představoval Stuxnet, možná Night Dragon, nicméně nešlo o převratné inovace, které by zalarmovaly celý svět a donutily každého majitele zařízení připojení k síti bát se o svá data a systém. Prvenství ve vývoji síťových útoků tedy tak trochu paradoxně během posledního roku vyhrávají DDoS útoky ve jménu Wikileaks, které poprvé proslavily koncept cíleného útoku s obrovským množstvím dobrovolných uživatelů.

Pokud si zalistujete statistikami škodlivého kódu a jeho výskytu během několika posledních měsíců, pak se na prvních místech v různých žebříčcích umisťují vždy stejné typu malwaru. Nejde přitom jen o krátké časové okno, ale rizika známá několik let, která se na výsluní drží na první pohled nepřekonatelnou silou. Začarovaný kruh nekončí, top hrozbami jsou stále Conficker a zneužití Autorun informací. K tomu se o bronzovou medaili většinou perou různé downloadery.

Základní schéma útoku Night Dragon. Zdroj: McAfee

Před koncem roku 2008 došlo k objevení a prvnímu zneužívání zranitelnosti Microsoftu, která mohla v operačních systémech Windows otevřít cestu pro vzdálené spuštění kódu a jíž se věnoval security bulletin s pořadovým označením MS08–067. Ačkoliv tak byla záplata k dispozici, v druhé polovině ledna dalšího roku se rychlostí blesku začal šířit škodlivý kód, který danou zranitelnost zneužíval.

Recyklace se vyplácí

Neblaze proslulým hlavním hrdinou představeného malwarového thrilleru se stal právě červ Conficker (též známý jako Downadup), jenž během poměrně krátké doby nakazil více než deset milionů počítačů. Jedná se o jeden z příkladů, kdy za rozšíření mohou sami uživatelé nebo nezodpovědní správci, jelikož oprava se distribuovala pomocí automatických aktualizací ještě před největším rozmachem. Nyní je to již více než dva roky, co byla hrozba detekována, nicméně například podle aktuálních statistik společnosti Eset stále spoluvévodí malwarovému světu.

Třetím rokem tedy koluje stejný kód a stále se jej nepodařilo značně utlumit, stejně tak jako útočníci nedokázali vyvinout nové riziko, před kterým bychom se měli další roky klepat. Zhruba po dobu tří týdnů, od prvního rozšíření v prosinci 2008 po polovinu ledna 2009, si Conficker vybudoval slušnou základnu pro případné další útoky. Po více než dvou letech je v různých mutacích stále velice aktivní (srovnejte s jiným škodlivým kódem), na počátku přitom byla ona „prkotina“ s nezáplatovanou zranitelností.

Přehled hrozeb v únoru 2011. Zdroj: Eset

V případě Confickeru je důvod jeho nesmrtelnosti nasnadě, první silná vlna si rychle vybudovala základnu infikovaných strojů, které jsou dále využity k dalším útokům. Navíc také Conficker zpočátku patřil mezi škodlivý kód, jejž z pohledu začínajících uživatelů nebylo nejsnazší odstranit, a tak získal ještě větší časové okno pro další šíření. Konečně do třetice je zde více mutací, jelikož Conficker prošel postupnou evolucí, z pohledu útočníků je vždy snazší upravit již existující a dostatečně fungující „mustr“, než vyvíjet vše od prvního škodlivého bajtu. Vývoj různých variant Confickeru nejlépe dokumentují databáze bezpečnostních společností, jednu z nich najdete například na stránkách Symantecu, které riziko označují jako W32.Downadup.

Není třeba vynalézat kolo

Pokud použijeme aktuální statistiky společnosti Eset, tak se Conficker umístil na druhém místě s necelými čtyřmi procenty mezi všemi hrozbami. Kdo získal pomyslnou zlatou medaili? Stala se jí další stálice na poli škodlivého kódu, která má označení INF.Autorun – jedná se tedy o kategorii malwaru, který zneužívá možnosti automatického spuštění obsahu z externích médií připojených ve Windows. Původně se jednalo o CD a DVD disky, nyní však soubory autorun.inf ve své nebezpečné variantě vládnou hlavně různým USB flash diskům a externím pevným diskům.

I přes déle trvající nebezpečí a stále častější zneužití mají USB úložiště z pohledu útočníků stále tu výhodu, že patří mezi přehlížená rizika. V drtivé většině internetových kaváren nebo jinak veřejně přístupných počítačích zpravidla nebudete mít problém na USB klíčenku ukládat data, stejně tak z ní kopírovat přinesené soubory do počítače. Možná vám nastolená bezpečnostní politika zatrhne celou řadu jiných akcí v systému, ale s připojeným USB diskem budete nejspíš moci pracovat. A nejde jen o to, že kdokoliv může do počítače přinést cokoliv, ale ve světě USB virů také o možnost automatického zkopírování.

Prvotní obrana je v uvedeném případě již z podstaty obdobná jako u klasických souborových virů, jelikož se z principu jedná o stejnou hrozbu. Základním stavebním kamenem by se tak měl stát antivirový program s průběžnou kontrolou všech přistupovaných souborů v reálném čase, případně vypnutí nebo alespoň ne automatické povolení spuštění souboru autorun.inf při připojení USB zařízení do počítače. Viry šířené prostřednictvím zneužití autorun informací mají tu nevýhodu, že i mezi nimi se najdou zástupci, kteří se na první pohled nijak neprojevují – bez antiviru tedy riziko po dlouhou dobu nemusíte vůbec odhalit.

I zneužití Autorun informací stále dokola drží přední příčky žebříčků nebezpečného kódu, každý měsíc se s železnou pravidelností objevuje na vedoucích pozicích. Jedním z důvodů jsou zde opět různé mutace, nejedná se totiž o konkrétní virus nebo jeho dvě či tři varianty, ale rodinu škodlivého kódu. Pokud tedy i v příštím měsíci budete upozorněni na toto riziko, nepanikařte, nejde o hrůzostrašnou revoluci, ale spíše evoluci. Bohužel se rodina tohoto škodlivého kódu postupem času rozrostla, a tak i z tohoto důvodu mají útočníci-začátečníci snadno dostupnou inspiraci pro vytvoření vlastní varianty, nemusí proto vytvářet zbrusu nový malware.

Specializované programy pro ochranu USB jsou k dispozici

Rychlé zbohatnutí bez práce

O první příčky se bez ustání perou Conficker a viry zneužívající Autorun informace, na dalších předních místech s nimi rotují hrozby, které mívají více jepičí život. Vezměme tedy společné prvky těchto dvou zmíněných klasik. Jak Conficker, tak zneužití Autorun informací se vyvinulo ve více mutací, které se i přes dlouhodobou detekci stále šíří – zasažená cílová skupina je tedy široká. Obě rizika navíc (ve srovnání například s výše zmíněnými vzorky Stuxnet a Night Dragon) postihují obrovské množství systémů, nejsou úzce specializovaná, a tak je lze využít k budování rozsáhlejších botnetů, které jsou dnes v hledáčku profesionálních útočníků a zdrojem jejich příjmů.

Navíc k recyklaci stávajícího, po dlouhou dobu zjevně fungujícího konceptu není zapotřebí programovat vše od základu, vymýšlet vektory šíření a pohybovat se na tenké hraně mezi úspěchem a neúspěchem – dřívější tvůrci již vše připravili, stačí se vhodně připojit, okopírovat jejich koncept. Popsané základní ingredience jsou osvědčené a osobně tipuji, že se nějaký ten měsíc s převratnou novinkou nesetkáme. Vždy je snazší naskočit do pomalu jedoucího vlaku a nechat se vést i vézt, než onu pomyslnou lokomotivu uvést do pohybu a určovat její směr od prvního pražce útočníkovy nevyzpytatelné ces­ty.

Našli jste v článku chybu?

29. 3. 2011 22:44

Hujer007 (neregistrovaný)

Vy nikdy nepoužíváte Překladač Google? :)

29. 3. 2011 15:12

anonymous (neregistrovaný)

abych si tam zrusil ucet.

perlicky jako "autorun informace" ci spekulace o tom ci onom zalozene na statistikach symantecu.

je nutne umet oddelit marketing AV firem od reality. pokud jim to autor zere, je beznadejne ztracen a pro smich.

co alureon (TDL3)? co zeus? co 0day vektory adobe flash/msie/ff3 za posledni rok?

ze by se po fiasku hgbary snake-oil security experti presunuli do cech?

Podnikatel.cz: Změny v cestovních náhradách 2017

Změny v cestovních náhradách 2017

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

Vitalia.cz: Test na HIV je zdarma i za pět set

Test na HIV je zdarma i za pět set

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

DigiZone.cz: Perspektivy TV v roce 1939 podle časopisu Life

Perspektivy TV v roce 1939 podle časopisu Life

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Vitalia.cz: Pamlsková vyhláška bude platit jen na základkách

Pamlsková vyhláška bude platit jen na základkách

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy