Snadno zneužitelná USB zařízení mají špatnou pověst vinou otevírání a spouštění přidruženého škodlivého kódu, který má cestu otevřenou pomocí souboru autorun.inf. Tušíte správně, jedná se o jednu z typických hrozeb, která dlouhodobě sužuje uživatele Windows a jež se pravidelně drží na předních místech měsíčních malwarových žebříčků. Není divu – během uplynulých měsíců a let si škodlivý kód z této kategorie vyžádal velké množství obětí. Zneužití USB disků nebo dalších vyměnitelných médií skrze tento známý princip nepatří mezi novinky, ukazuje ale, že úspěšné scénáře vydrží dlouhou dobu.
Poslední týdny však ukazují naději v alespoň o trochu lepší zítřky, jelikož podle stávajících výsledků došlo k propadu této hrozby ze špice. Statistiky společnosti ESET poukázaly na dominanci hrozby HTML/ScrInject.B malwarovým (6,75 % globálního podílu), na druhou pozici se posunul HTML/IFrame.B se 4,54 % a konečně zmíněný malware INF/Autorun, který donedávna statistikám dlouhodobě vévodil, je nyní na třetím místě s podílem 4,32 % ve světě. Pro úplnost dodejme, že nechvalně proslulý vítěz žebříčku HTML/ScrInject.B je generická detekce webových HTML stránek obsahující falešný script nebo iframe tag, který přesměrovává prohlížeč na specifickou URL adresu obsahující škodlivý software.
Klasickým CD a DVD již v mnoha případech zvoní hrana nejen kvůli Internetu, ale také vinou USB disků, jejichž ceny klesají rychlostí blesku. Bohužel si ale celá řada uživatelů i firem stále neuvědomuje související rizika. Tedy alespoň dlouho dobu neuvědomovala, postupně se i díky stoupajícímu zájmu objevilo několik specializovaných nástrojů, které se zaměřují právě na riziko přidružené k USB zařízením a zpracování autorun informací. Pokud se propad těchto hrozeb (v řeči čísel klesajícím podílem celkového malwaru zachyceným „in the wild“) potvrdí i během následujících měsíců, vyhráli uživatelé další malou bitvu v nekonečné válce se síťovými podvodníky a útočníky.
V případě zneužití autorun informací je důležité uvědomit si nejen klasické vektory útoku, ale i ty méně často zneužívané. Podvody se netýkají pouze fyzických médií (CD, DVD, USB pevných disků, flash disků, …), nýbrž i podvodně vytvořených a chytře sdílených ISO souborů s informacemi zkompilovanými přímo v sobě. Nejčastějším příkladem mohou být obrazy nejnovějších her, odkazy, na něž jsou v rámci warezových fór hojně sdíleny). Útočník poskytne pirátskou kopii a doporučí připojení v některém virtualizačním programu. Otevření instalátoru na základě daných autorun údajů pak nikoho nepřekvapí, a i když vše funguje podle očekávání, škodlivý kód si na pozadí může vykonávat své. Šanci na úspěch navíc zvyšuje i druhá vlna útoku, a sice v podobě instalace cracku či spuštění keygenu z neznámého zdroje. Vždyť co by pro zdarma nabytý (v těchto případech ukradený) software lidé neudělali…
Jednou ze speciálních možností zneužití USB je ztráta citlivých informací v případě krádeže. Ochranu poskytne šifrování všeho druhu
Hrozba pro každého
Ať se nám to líbí nebo ne, zneužití USB zařízení představuje jednu z velice populárních cest, kterými se útočníci pokoušejí dostat do počítače. Vždyť přeci o klasických hrozbách vědí již i naprostí začátečníci (program jakože „zdarma“, phishingové e-maily, pokusy apod.), ale co když si běžný uživatel donese flashku od kamaráda nebo si na svou vlastní právě stáhl tolik potřebná data v internetové kavárně? Zde už ostražitost nemusí být natolik velká, a tak i počítačově gramotnější uživatelé číhající hrozbu často podcení.
O rizicích pro USB se velice často hovoří, nicméně málokdy jsou k dispozici praktické ukázky škodlivého kódu a konkrétní popis toho, co daný malware přesně dělá. Univerzálním představitelem, jehož scénáře se drží i ostatní viry tohoto typu, je SillyFD-AA. V kořenové složce tento záškodník vytvoří skrytý soubor autorun.inf, čímž může dojít při zapojení USB flash disku nebo jakéhokoliv jiného vyměnitelného média ke spuštění souboru s červem, který mimo jiné mění některé položky v systémovém registru. Infikovaný počítač se navíc pozná podle textu „Hacked by 1BYTE“ zobrazujícího se v záhlaví okna prohlížeče Internet Explorer. Obdobný model tohoto letitého červa se stal vzorem také pro řadu současných hrozeb stejného zaměření.
Ï přes déle trvající nebezpečí a stále častější zneužití mají USB úložiště z pohledu útočníků stále tu výhodu, že patří mezi přehlížená rizika. V drtivé většině internetových kaváren nebo jinak veřejně přístupných počítačích zpravidla nebudete mít problém na USB klíčenku ukládat data, stejně tak z ní kopírovat přinesené soubory do počítače. Možná vám nastolená bezpečnostní politika zatrhne celou řadu jiných akcí v systému, ale s připojeným USB diskem budete nejspíš moci pracovat. A nejde jen o to, že kdokoliv může do počítače přinést cokoliv, ale ve světě USB virů také o možnost automatického zkopírování.
Tak jako se zneužití dočkávají pracovní přenosné počítače, jež pendlují mezi firemní sítí a domácími profily po skončení šichty, je jednou z variabilních cest šíření virů také USB. I když si třebas svůj systém strážíte jako oko v hlavě a patříte mezi neuživatele antivirů, kteří se hájí tím, že virus nechytnou, protože surfují s rozumem, postačí jediné připojení USB klíčenky k sousedovu zavirovanému počítači a virus už je jen krůček od toho, aby se pak zabydlel i ve vašem systému. I když tedy antivir nepoužíváte, jelikož surfujete naprosto bezpečně, zkuste si čas od času aspoň jednorázový test některým ze zdarma dostupných produktů.
USB porty a akce s nimi je dobré sledovat, například i pomocí specializovaných nástrojů
Přicházejí lepší zítřky?
Proč ale USB viry zneužívající autorun informace během výše citovaných statistik nedávné doby klesly na popularitě, resp. klesl jejich počet v oběhu? Jedním z důvodů může být již větší zprofanovanost této hrozby a krátká životnost – nezapomínejme na to, že viry používají USB pouze jako cestu k infiltraci, posléze mají všechny běžné charakteristiky. Pro výrobce bezpečnostních produktů tak není problém nový vzorek a jeho případné budoucí mutace zařadit do aktualizované databáze signatur, navíc síť pečlivě spletená z heuristické analýzy dokáže zajistit včasnou proaktivní obranu.
S USB úložišti pracujeme na každém kroku, bereme je již jako samozřejmost. Stejně jako se vyplatí opatrnost v případě surfování Internetem a pobytu online, musíme stále myslet na offline hrozby. Diskety již sice vymřely, nicméně jejich USB nástupci nejsou univerzálním všelékem, i když by k tomu první slovo jejich nezkráceného názvu mohlo svádět. Doufejme, že pokles rizik zneužívajících tuto cestu infiltrace v minulém měsíci není jen lokálním trendem a klesající tendence bude pokračovat.