Občas se zdá, že útočníci zlenivěli, již nechtějí (nebo nemohou) vymýšlet nové, zase o něco úspěšnější útoky. Snad jednou z novinek, tedy alespoň co se principu a vyhlédnutých cílů týká, za posledních několik měsíců představoval Stuxnet, možná Night Dragon, nicméně nešlo o převratné inovace, které by zalarmovaly celý svět a donutily každého majitele zařízení připojení k síti bát se o svá data a systém. Prvenství ve vývoji síťových útoků tedy tak trochu paradoxně během posledního roku vyhrávají DDoS útoky ve jménu Wikileaks, které poprvé proslavily koncept cíleného útoku s obrovským množstvím dobrovolných uživatelů.
Pokud si zalistujete statistikami škodlivého kódu a jeho výskytu během několika posledních měsíců, pak se na prvních místech v různých žebříčcích umisťují vždy stejné typu malwaru. Nejde přitom jen o krátké časové okno, ale rizika známá několik let, která se na výsluní drží na první pohled nepřekonatelnou silou. Začarovaný kruh nekončí, top hrozbami jsou stále Conficker a zneužití Autorun informací. K tomu se o bronzovou medaili většinou perou různé downloadery.
Základní schéma útoku Night Dragon. Zdroj: McAfee
Před koncem roku 2008 došlo k objevení a prvnímu zneužívání zranitelnosti Microsoftu, která mohla v operačních systémech Windows otevřít cestu pro vzdálené spuštění kódu a jíž se věnoval security bulletin s pořadovým označením MS08–067. Ačkoliv tak byla záplata k dispozici, v druhé polovině ledna dalšího roku se rychlostí blesku začal šířit škodlivý kód, který danou zranitelnost zneužíval.
Recyklace se vyplácí
Neblaze proslulým hlavním hrdinou představeného malwarového thrilleru se stal právě červ Conficker (též známý jako Downadup), jenž během poměrně krátké doby nakazil více než deset milionů počítačů. Jedná se o jeden z příkladů, kdy za rozšíření mohou sami uživatelé nebo nezodpovědní správci, jelikož oprava se distribuovala pomocí automatických aktualizací ještě před největším rozmachem. Nyní je to již více než dva roky, co byla hrozba detekována, nicméně například podle aktuálních statistik společnosti Eset stále spoluvévodí malwarovému světu.
Třetím rokem tedy koluje stejný kód a stále se jej nepodařilo značně utlumit, stejně tak jako útočníci nedokázali vyvinout nové riziko, před kterým bychom se měli další roky klepat. Zhruba po dobu tří týdnů, od prvního rozšíření v prosinci 2008 po polovinu ledna 2009, si Conficker vybudoval slušnou základnu pro případné další útoky. Po více než dvou letech je v různých mutacích stále velice aktivní (srovnejte s jiným škodlivým kódem), na počátku přitom byla ona „prkotina“ s nezáplatovanou zranitelností.
Přehled hrozeb v únoru 2011. Zdroj: Eset
V případě Confickeru je důvod jeho nesmrtelnosti nasnadě, první silná vlna si rychle vybudovala základnu infikovaných strojů, které jsou dále využity k dalším útokům. Navíc také Conficker zpočátku patřil mezi škodlivý kód, jejž z pohledu začínajících uživatelů nebylo nejsnazší odstranit, a tak získal ještě větší časové okno pro další šíření. Konečně do třetice je zde více mutací, jelikož Conficker prošel postupnou evolucí, z pohledu útočníků je vždy snazší upravit již existující a dostatečně fungující „mustr“, než vyvíjet vše od prvního škodlivého bajtu. Vývoj různých variant Confickeru nejlépe dokumentují databáze bezpečnostních společností, jednu z nich najdete například na stránkách Symantecu, které riziko označují jako W32.Downadup.
Není třeba vynalézat kolo
Pokud použijeme aktuální statistiky společnosti Eset, tak se Conficker umístil na druhém místě s necelými čtyřmi procenty mezi všemi hrozbami. Kdo získal pomyslnou zlatou medaili? Stala se jí další stálice na poli škodlivého kódu, která má označení INF.Autorun – jedná se tedy o kategorii malwaru, který zneužívá možnosti automatického spuštění obsahu z externích médií připojených ve Windows. Původně se jednalo o CD a DVD disky, nyní však soubory autorun.inf ve své nebezpečné variantě vládnou hlavně různým USB flash diskům a externím pevným diskům.
I přes déle trvající nebezpečí a stále častější zneužití mají USB úložiště z pohledu útočníků stále tu výhodu, že patří mezi přehlížená rizika. V drtivé většině internetových kaváren nebo jinak veřejně přístupných počítačích zpravidla nebudete mít problém na USB klíčenku ukládat data, stejně tak z ní kopírovat přinesené soubory do počítače. Možná vám nastolená bezpečnostní politika zatrhne celou řadu jiných akcí v systému, ale s připojeným USB diskem budete nejspíš moci pracovat. A nejde jen o to, že kdokoliv může do počítače přinést cokoliv, ale ve světě USB virů také o možnost automatického zkopírování.
Prvotní obrana je v uvedeném případě již z podstaty obdobná jako u klasických souborových virů, jelikož se z principu jedná o stejnou hrozbu. Základním stavebním kamenem by se tak měl stát antivirový program s průběžnou kontrolou všech přistupovaných souborů v reálném čase, případně vypnutí nebo alespoň ne automatické povolení spuštění souboru autorun.inf při připojení USB zařízení do počítače. Viry šířené prostřednictvím zneužití autorun informací mají tu nevýhodu, že i mezi nimi se najdou zástupci, kteří se na první pohled nijak neprojevují – bez antiviru tedy riziko po dlouhou dobu nemusíte vůbec odhalit.
I zneužití Autorun informací stále dokola drží přední příčky žebříčků nebezpečného kódu, každý měsíc se s železnou pravidelností objevuje na vedoucích pozicích. Jedním z důvodů jsou zde opět různé mutace, nejedná se totiž o konkrétní virus nebo jeho dvě či tři varianty, ale rodinu škodlivého kódu. Pokud tedy i v příštím měsíci budete upozorněni na toto riziko, nepanikařte, nejde o hrůzostrašnou revoluci, ale spíše evoluci. Bohužel se rodina tohoto škodlivého kódu postupem času rozrostla, a tak i z tohoto důvodu mají útočníci-začátečníci snadno dostupnou inspiraci pro vytvoření vlastní varianty, nemusí proto vytvářet zbrusu nový malware.
Rychlé zbohatnutí bez práce
O první příčky se bez ustání perou Conficker a viry zneužívající Autorun informace, na dalších předních místech s nimi rotují hrozby, které mívají více jepičí život. Vezměme tedy společné prvky těchto dvou zmíněných klasik. Jak Conficker, tak zneužití Autorun informací se vyvinulo ve více mutací, které se i přes dlouhodobou detekci stále šíří – zasažená cílová skupina je tedy široká. Obě rizika navíc (ve srovnání například s výše zmíněnými vzorky Stuxnet a Night Dragon) postihují obrovské množství systémů, nejsou úzce specializovaná, a tak je lze využít k budování rozsáhlejších botnetů, které jsou dnes v hledáčku profesionálních útočníků a zdrojem jejich příjmů.
Navíc k recyklaci stávajícího, po dlouhou dobu zjevně fungujícího konceptu není zapotřebí programovat vše od základu, vymýšlet vektory šíření a pohybovat se na tenké hraně mezi úspěchem a neúspěchem – dřívější tvůrci již vše připravili, stačí se vhodně připojit, okopírovat jejich koncept. Popsané základní ingredience jsou osvědčené a osobně tipuji, že se nějaký ten měsíc s převratnou novinkou nesetkáme. Vždy je snazší naskočit do pomalu jedoucího vlaku a nechat se vést i vézt, než onu pomyslnou lokomotivu uvést do pohybu a určovat její směr od prvního pražce útočníkovy nevyzpytatelné cesty.