kaspersky security bulletin 2008vs.kaspersky.pl/download/analizy/ksb_2008_ewolucja_malware.pdfnikogo...
TRANSCRIPT
Kaspersky Security Bulletin 2008
Ewolucja szkodliwego oprogramowania
Aleksander Gostew
Oleg Zajcew
Siergiej Golowanow
Witalij Kamliuk
2
Kaspersky Security Bulletin 2008 Ewolucja szkodliwego oprogramowania
Spis treści
2008 rok w skrócie .................................................................................................................. 3
Trendy 2008 roku .................................................................................................................... 5
Rootkity ................................................................................................................................... 6 Rustock.c: trendy 6 Bootkity 7 Inne trendy związane z rootkitami w 2008 roku 7
Szkodliwe programy atakujące gry ....................................................................................... 9 Główne cechy szkodliwych programów atakujących gry 10 Rozprzestrzenianie szkodliwych programów atakujących gry 12 Przesyłanie skradzionych danych 13 Prognoza 14
Ataki na portale społecznościowe ...................................................................................... 15 Dlaczego atakowane są portale społecznościowe? 15 Szkodliwe programy 16 Ataki na portale społecznościowe w 2008 roku 18
Szkodliwe programy: aktywność sieciowa ........................................................................ 19 Porty wykorzystywane przez szkodliwe programy. Połączenia sieciowe 20 Zapytania sieciowe 21 Domeny drugiego poziomu atakowane przez szkodliwe programy 22 Usługi DDNS oraz cyberprzestępcy 23 Wnioski 24
Prognozy na 2009 rok ........................................................................................................... 25 Globalne epidemie 26 Trojany atakujące gry: spadek aktywności 26 Malware 2.5 27 Phishing/Scam 28 Migracja na inne platformy/systemy operacyjne 29
3
Kaspersky Security Bulletin 2008 Ewolucja szkodliwego oprogramowania
2008 rok w skrócie
W 2008 roku zakończyła się epoka epidemii. W okresie tym, trwającym od 2000 r. i cha-
rakteryzującym się dużą liczbą robaków (które początkowo rozprzestrzeniały się za po-
średnictwem poczty elektronicznej, a następnie ataków sieciowych), największe nasilenie
epidemii miało miejsce w latach 2003-2005.
Lata 2007-2008 to okres, który cechował się szybkim wzrostem liczby programów trojań-
skich tworzonych w celu kradzieży informacji, głównie dotyczących kont bankowych oraz
gier online. W okresie tym w przemyśle tworzenia szkodliwego oprogramowania widocz-
ny jest wyraźny „podział pracy”: różne grupy osób uczestniczą w różnych etapach rozwo-
ju produktu związanych z tworzeniem, dystrybucją i wykorzystywaniem szkodliwych pro-
gramów. Biznes cyberprzestępczy przekształcił się w sieć usług, jakie oferują sobie wza-
jemnie cyberprzestępcy.
Wielu zapamięta rok 2007 jako ten, w którym nastąpił upadek tak zwanego niekomercyj-
nego szkodliwego oprogramowania. Z kolei w 2008 roku wymarły „ekskluzywne” szkodli-
we programy, tzn. takie, które były tworzone i wykorzystywane przez jedną lub dwie oso-
by. Większość trojanów i wirusów wykrytych w 2008 roku zostało stworzonych wyłącznie
na sprzedaż. W tym samym czasie twórcy szkodliwego oprogramowania oferowali rów-
nież usługi wsparcia technicznego. Doradzali między innymi, jak obejść ochronę antywi-
rusową, gdyby produkty antywirusowe zaczęły wykrywać określone pliki.
Światowym liderem w dziedzinie rozwoju szkodliwych programów zostały Chiny. Chińscy
hakerzy nie ograniczali się do tworzenia własnych programów trojańskich, ale zaczęli
również lokalizować obce (głównie rosyjskie) szkodliwe programy. Stworzyli między in-
nymi chińskie wersje popularnych exploitów, takich jak IcePack, FirePack czy MPack,
oraz zlokalizowali kilka wariantów trojanów Pinch i Zeus. Ponadto, chińscy cyberprze-
stępcy nadal aktywnie poszukiwali luk w zabezpieczeniach popularnego oprogramowa-
nia, w szczególności Microsoft Office oraz Microsoft Windows. Ich działania okazały się
stosunkowo skuteczne a największym osiągnięciem okazało się zidentyfikowanie luki
w zabezpieczeniach NetAPI Windows. W rezultacie, koniec 2008 roku charakteryzował
się dużą liczbą ataków wykorzystujących lukę w zabezpieczeniach MS08-067.
Między kwietniem a październikiem 2008 roku przeprowadzono dwa masowe ataki hake-
rów na strony internetowe, które nie miały sobie równych w historii Internetu. W pierw-
szym z nich (kwiecień-czerwiec 2008) zaatakowane zostały ponad dwa miliony zasobów
internetowych na całym świecie. Hakerzy wykorzystali wstrzykiwanie SQL w celu osa-
dzania poleceń w kodzie zaatakowanej strony, które przekierowywało użytkowników na
strony cyberprzestępców. Te z kolei infekowały komputery użytkowników szkodliwym
oprogramowaniem.
Mimo to w 2008 roku trendy ustanawiali głównie rosyjskojęzyczni twórcy wirusów. Nadal
agresywnie wykorzystywali model Malware 2.0, który charakteryzuje się kilkoma główny-
mi cechami: po pierwsze, różne szkodliwe moduły wykonują różne funkcje; po drugie,
w celu zapewnienia komunikacji pomiędzy modułami wykorzystywane są standardowe
4
Kaspersky Security Bulletin 2008 Ewolucja szkodliwego oprogramowania
środki; po trzecie, kanały transmisji danych oraz centra kontroli są zabezpieczone przed
penetracją.
Najlepszym przykładem ilustrującym to zjawisko były dwa niebezpieczne rootkity wykryte
w 2008 roku - Rustock.c (zaklasyfikowany przez firmę Kaspersky Lab jako
Virus.Win32.Rustock.A) oraz Sinowal (Bootkit). Rootkity te zawierały przełomowe techno-
logie, które wcześniej nie były znane w branży antywirusowej. Pod względem rozmiaru
i złożoności struktura tych dwóch szkodliwych programów przewyższała tę stworzoną dla
robaków Zhelatin i Warezov.
Zgodnie z przewidywaniami, w 2008 roku powróciły wirusy plikowe. Pierwotna szkodliwa
funkcjonalność, infekowanie plików, została rozszerzona o kilka nowych funkcji: wirusy
potrafią teraz kraść dane i, co ważniejsze, mogą rozprzestrzeniać się za pośrednictwem
nośników wymiennych, dzięki czemu w krótkim czasie mogą wywołać masowe infekcje.
Prawie wszystkie z dzisiejszych wirusów to wirusy polimorficzne, co stwarza dodatkowe
problemy producentom rozwiązań antywirusowych, gdyż utrudnia tworzenie procedur wy-
krywania i leczenia w akceptowalnym przedziale czasowym. Okazało się, że robaki znaj-
dujące się na dyskach USB flash potrafią obejść tradycyjną ochronę sieci korporacyjnych
(np. rozwiązanie antywirusowe dla serwerów pocztowych, zapora sieciowa i rozwiązanie
antywirusowe dla serwerów plików). Po przeniknięciu lokalnych sieci, na skutek obejścia
ochrony, robaki te mogą szybko rozprzestrzenić się w całej sieci, kopiując się do wszyst-
kich dostępnych zasobów sieciowych.
Ciągły wzrost popularności portali społecznościowych oraz ich aktywne wykorzystywanie
w państwach z dużą liczbą nowych użytkowników Internetu (Azja Południowo Wschodnia,
Indie, Chiny, Ameryka Południowa, Turcja, Afryka Północna i były Związek Socjalistycz-
nych Republik Radzieckich) spowodowały, że ataki przeprowadzane na i za pośrednic-
twem takich portali nie stanowiły już odosobnionych przypadków, a raczej zjawisko będą-
ce na porządku dziennym. Według szacunków ekspertów, współczynnik skuteczności
rozprzestrzeniania szkodliwego kodu za pośrednictwem portali społecznościowych wyno-
si w przybliżeniu 10% i jest znacznie wyższy niż współczynnik skuteczności rozprzestrze-
niania szkodliwego oprogramowania za pośrednictwem poczty elektronicznej (który wy-
nosi 1%).
W 2008 roku zaprzestano rozprzestrzeniania wielu wariantów robaka Zhelatin (znanego
również jako Storm Worm). Prawie dwuletnia historia tego robaka (jego pierwsze warianty
pojawiły się w styczniu 2007 r.) zrodziła wiele pytań. Niemalże mityczny „botnet robaka
Storm”, który według niektórych szacunków składał się z ponad 2 milionów komputerów
(według innych szacunków z 50 milionów), nigdy w pełni nie zrealizował swojego poten-
cjału i przewidywane gigantyczne wysyłki spamowe, jak również ataki DDoS nigdy nie
miały miejsca.
Jednym z powodów może być zamknięcie RBN (Russian Business Network), firmy ho-
stingowej wykorzystywanej przez cyberprzestępców. Po tym, jak rozgorzały dyskusje
o tym, jak sieć ta może być zamieszana w niemal każdą aktywność przestępczą
w Internecie, nieznani właściciele RBN przenieśli swój biznes na strony hostingowe na
5
Kaspersky Security Bulletin 2008 Ewolucja szkodliwego oprogramowania
całym świecie, od Singapuru po Ukrainę, i zaczęli prowadzić swoją działalność w mniej
jawny sposób.
Jesienią zeszłego roku w cyberprzestępczość wymierzono kilka poważnych ciosów.
Dzięki skoordynowanym działaniom dostawców usług internetowych, rządów i firm anty-
wirusowych zamknięto Atrivo/Intercage, EstDomains oraz McColo. Zamknięcie McColo
spowodowało gwałtowny spadek ilości spamu w Internecie – o ponad 50%. W rezultacie
przestało działać wiele botnetów, które wcześniej były zarządzane za pośrednictwem tych
zasobów. Chociaż w ciągu kilku tygodni ilość spamu zaczęła wracać do poprzedniego
poziomu, incydent ten stanowi jedno z najważniejszych zwycięstw ostatnich lat.
Trendy 2008 roku
Zarówno branża antywirusowa, jak i bezpieczeństwa IT, padły ofiarą najważniejszych in-
cydentów 2008 roku, które można podzielić na cztery główne grupy:
Rootkity
Portale społecznościowe
Gry online
Botnety
Nikogo nie zdziwiło, że obszary te znalazły się w centrum uwagi. Incydenty, które miały
miejsce, pokazały, że wykorzystywane technologie i metody nadal będą ewoluować i sta-
ną się w przyszłości bardziej wyrafinowane.
Rozprzestrzenianie rootkitów stanowiło poważniejszy problem niż w poprzednim roku.
Firma Kaspersky Lab opublikowała trzy duże badania dotyczące tego zagrożenia:
„Rustock – mit czy rzeczywistość?”, „Ewolucja rootkitów” oraz „Bootkit: wyzwanie 2008
roku”. Wszystkie te publikacje wyjaśniają, w jaki sposób rootkity mogą być wykorzysty-
wane do przeprowadzania wyrafinowanych ataków. Pokazują również, że cała branża an-
tywirusowa musi połączyć wysiłki, aby znaleźć sposób na wykrywanie i leczenie aktyw-
nych rootkitów. Jak dotąd ciągła ewolucja systemu Windows nie przyniosła żadnych efek-
tów. Rootkity nadal będą istniały i będą stawały się coraz bardziej wyrafinowane.
Tak jak przewidywaliśmy, w zeszłym roku portale społecznościowe stanowiły popularny
cel ataków. Portale te przyciągają coraz więcej użytkowników i wpływają na rozwój Inter-
netu. Oferują ogromne możliwości w zakresie promowania nowych serwisów jak również
reklamy. W krajach rozwiniętych prawie wszyscy użytkownicy Internetu są zarejestrowani
na portalach społecznościowych. Gwałtownie wzrasta również popularność takich serwi-
sów w Azji Południowo Wschodniej. Kolejnym szybko rosnącym segmentem są gry onli-
ne. Gry online nie stanowią części Internetu, są jednak wykorzystywane jako sposób ko-
munikacji i stanowią ważny element współczesnego społeczeństwa. Gry online są bardzo
popularne, zwłaszcza w Korei Południowej, Chinach i Azji Południowo-Wschodniej, przez
co stanowią atrakcyjny cel dla twórców wirusów.
6
Kaspersky Security Bulletin 2008 Ewolucja szkodliwego oprogramowania
Trojany atakujące gry wyprzedziły trojany, których celem są użytkownicy systemów płat-
ności online i systemów bankowych. Obecnie programy te często posiadają zdolność in-
fekowania plików i potrafią rozprzestrzeniać się za pośrednictwem nośników wymiennych.
Oprócz tego wykorzystywane są do tworzenia botnetów. Jednym z głównym celów
wspomnianych chińskich ataków hakerskich było rozprzestrzenianie trojanów atakujących
gry.
„Botnet” – słowo, które jeszcze kilka lat temu używane było tylko przez personel firm an-
tywirusowych – w 2008 roku stało się powszechnie stosowanym terminem. Botnety stały
się głównym źródłem spamu, ataków DDoS, zaczęły być również wykorzystywane do
rozprzestrzeniania nowych szkodliwych programów.
Oprócz artykułów poświęconych konkretnym incydentom w 2008 roku opublikowaliśmy
tekst zatytułowany „Biznes botnetowy”, który stanowi poradnik dla początkujących doty-
czący botnetów. Jak już wspominaliśmy, nadal lekceważy się rzeczywisty zasięg proble-
mu botnetów oraz ich wpływ na przemysł tworzenia wirusów. Bezpieczeństwo Internetu
jako całości zależy od rozwiązania tego problemu – w tym celu niezbędna jest współpra-
ca branży antywirusowej, podmiotów regulujących Internet jak również organów rządo-
wych i ścigania. Już teraz podejmowane są działania w tym kierunku. W 2008 roku odby-
ło się kilka konferencji poświęconych temu zagadnieniu. Częścią tego procesu było rów-
nież zamknięcie Atrivo oraz McColo. Jednak kwestia ta nie została jeszcze rozwiązana
i w 2009 roku botnety nadal będą głównym problemem.
Rootkity
W 2008 roku miały miejsce dwa główne zdarzenia związane z rootkitami. Pierwszym z
nich była analiza niesławnego rootkita Rustock.c. O rootkicie tym głośno było nie tyle ze
względu na wykorzystane w nim technologie, co pogłoski na temat niemożności zidentyfi-
kowania go. Drugim wydarzeniem było pojawienie się na wolności ogromnej liczby wa-
riantów bootkita (Sinowal).
Kaspersky Lab klasyfikuje rootkita Rustock.c jako Virus.Win32.Rustock.a ze względu na
jego zdolność infekowania plików.
Rustock.c: trendy
1. Infekowanie plików jako metoda autostartu
Metoda infekowania plików wykorzystana przez rootkita Rustock.c przypomina metodę
stosowaną przez standardowe wirusy plikowe. Jedyna różnica polega na tym, że
Rustock.c infekuje sterownik systemowy, co daje mu kilka przewag pod względem ma-
skowania swojej aktywności. Rootkit nie wykorzystuje osobnego sterownika, dlatego nie
ma potrzeby ukrywania go ani na dysku twardym, ani w pamięci. Nie trzeba również
ukrywać skojarzonego z nim klucza rejestru. Oprócz ukrycia obecności rootkita w syste-
mie zainfekowanie sterownika systemowego utrudnia wyczyszczenie zainfekowanej ma-
szyny. Jeżeli komputer jest zainfekowany standardowym rootkitem, wystarczy tylko usu-
nąć komponenty rootkita z dysku twardego. Jednak w tym przypadku do przywrócenia
7
Kaspersky Security Bulletin 2008 Ewolucja szkodliwego oprogramowania
zainfekowanego sterownika niezbędna jest kopia zapasowa lub wykorzystane rozwiąza-
nie antywirusowe musi zawierać procedurę leczenia.
2. Personalizacja rootkita oraz połączenie z komponentami sprzętowymi
Jedną z istotnych cech rootkita Rustock.c jest to, że dropper rootkita przechwytuje infor-
macje systemowe dotyczące zaatakowanych maszyn i wysyła je do serwera internetowe-
go, gdzie na podstawie otrzymanych danych tworzone jest ciało rootkita. Zaszyfrowane
ciało rootkita jest następnie wysyłane do droppera. Połączenie z komponentami sprzęto-
wymi, wraz z szyfrowaniem ciała rootkita oraz technikami zapobiegającymi emulacji zin-
tegrowanymi w rootkicie, utrudniają zarówno automatyczne wykrywanie jak i analizę.
Techniki zaimplementowane w rootkicie Rustock.c były dalej rozwijane. W grudniu 2008
roku wykryto występującą na wolności próbkę tego rootkita (obecnie firma Kaspersky Lab
klasyfikuje ją jako Trojan.Win32.Pakes.may), która wykorzystuje tę samą technikę.
Rootkit ten infekuje sterownik systemowy ndis.sys w czasie pobierania zaszyfrowanego
ciała rootkita z panda-server.ru. Kod, który infekuje ndis.sys, jest zaszyfrowany. Podczas
pobierania uruchamiany jest specjalny kod, który deszyfruje sterownik i przekazuje mu
kontrolę. Wspomniana próbka implementuje wszystkie główne technologie wykorzystane
w rootkicie Rustock.c: zaszyfrowane ciało rootkita jest pobierane ze strony cyberprze-
stępców, w celu ochrony rootkita przed analizą wykorzystywana jest kryptografia oraz
techniki zapobiegające debugowaniu. Rootkit ten działa również w sposób podobny do
Rustocka; wysyła spam poprzez wstrzykiwanie do procesów systemowych kodu, który
pobiera szablony i parametry masowych wysyłek. Kod ten przeprowadza również maso-
we wysyłki.
Bootkity
Próbki bootkita (proof of concept lub wersje demonstracyjne), które skutecznie implemen-
towały wykorzystane technologie, pojawiły się w latach 2005-2006, po publikacji materia-
łów znanych jako eEye Bootroot. Występujące na wolności próbki rootkitów były wykry-
wane w 2007 roku, a ich największa liczba pojawiła się w 2008 roku.
Najsławniejszym bootkitem jest Trojan-Spy.Win32.Sinowal. Bootkit ten wykorzystuje kon-
cepcję podobną do tej wykorzystywanej przez wirusy sektora rozruchowego z ery DOS-a.
Bootkit infekuje sektor rozruchowy lub sektor MBR dysku systemowego, co pozwala mu
przejąć kontrolę, zanim zostanie załadowane jądro systemu operacyjnego i uruchomiony
program antywirusowy. Po przejęciu kontroli bootkit lokalizuje się w przestrzeni adreso-
wej jądra i maskuje swoje sektory na dysku. Wykorzystywane są do tego klasyczne me-
tody, zwykle filtrowanie pakietów IRP. Dropper bootkita otwiera dysk w trybie odczy-
tu/zapisu sektora, co pozwala na wykrywanie takich operacji przy użyciu emulacji, syste-
mu oceny zagrożeń lub systemu HIPS/PDM, a następnie blokowanie droppera.
Inne trendy związane z rootkitami w 2008 roku
W 2008 roku rozwijane były następujące technologie związane z rootkitami:
8
Kaspersky Security Bulletin 2008 Ewolucja szkodliwego oprogramowania
1. Technologie tworzone w celu zwalczania programów i narzędzi antywirusowych.
W 2008 roku te technologie autoochrony nieustannie zmieniały się. Do najpopularniej-
szych należały:
- Blokowanie lub uszkadzanie plików antywirusowych. Pliki są identyfikowane poprzez
wykorzystywanie maski nazwy pliku lub sygnatury. Metoda blokowania przy użyciu sy-
gnatury jest bardziej niebezpieczna ze względu na swój uniwersalny charakter.
- Instalacja rootkita poprzez zamianę sterowników systemowych, np. beep.sys. W tym
przypadku, sterownik nie musi być rejestrowany w rejestrze systemowym; podczas prze-
glądania dzienników zdarzeń nie będzie widoczny żaden dodatkowy (niesankcjonowany)
sterownik.
- Wykorzystywanie nowych metod autoochrony i maskowania. Oprócz standardowych
metod przechwytywania funkcji KiST, łączenia kodu maszynowego funkcji jądra czy fil-
trowania IRP cyberprzestępcy zaczęli łączyć kod sterownika IRP oraz wykorzystywać
standardową procedurę systemową CallBack, aby pracować z rejestrem. Ponadto aktyw-
nie wykorzystywane są metody zwalczania rozwiązań do ochrony przed rootkitami:
- blokowanie dostępu do plików jądra, uniemożliwiające analizowanie kodu maszy-
nowego takich plików, co jest konieczne w celu przywrócenia jądra w pamięci i szu-
kania przechwyconych funkcji;
- zastępowanie kontekstu plików jądra i plików należących do rootkita; z reguły do-
konuje się tego poprzez przechwytywanie otwartych funkcji plików i otwieranie ko-
lejnego pliku systemowego EXE zamiast otwierania jądra;
- uniemożliwianie otwierania dysku w trybie odczytu/zapisu sektora; zwalcza to roz-
wiązania antywirusowe i antyrootkitowe wykorzystujące własne algorytmy parsowa-
nia systemu plików;
- przechwytywanie funkcji NTSaveKey i NTSaveKeyEx w celu uniemożliwienia two-
rzenia i parsowania zrzutu rejestru systemowego (metoda ta jest wykorzystywana
w najnowszej generacji rootkita TDSS);
- śledzenie punktów przechwytywania i ich przywracanie (metoda ta była wykorzy-
stywana od czasu pojawienia się rootkita A311 Death, obecnie nadal jest aktywnie
wykorzystywana, na przykład w najnowszych wariantach rootkita RDSS).
2. Nowe technologie maskowania obecności obiektów na dysku. Opierają się one na mo-
dyfikowaniu obiektów tablicy MFT (Master File Table) podczas odczytu lub bezpośrednio
na dysku. Technologie te nie są jeszcze powszechnie wykorzystywane, jednak prawdo-
podobnie nadal będą ewoluowały. Metoda ta może wyglądać następująco: rootkit oblicza
lokalizację fizyczną odpowiedniego rekordu MFT i podczas odczytu zamienia rekord MFT
pliku chronionego na – przykładowo – rekord obiektu systemowego. Umożliwia to zama-
skowanie zawartości plików bez konieczności wykorzystywania klasycznych punktów
przechwytywania. Innym przykładem jest modyfikowanie indeksów woluminu NTFS (zi-
dentyfikowano to we wrześniu 2008 roku w komponencie rootkita trojana Trojan-
GameThief.Win32.OnLineGames.snjl).
9
Kaspersky Security Bulletin 2008 Ewolucja szkodliwego oprogramowania
Szkodliwe programy atakujące gry
Chociaż w przypadku większości gier online, sprzedawanie wirtualnych przedmiotów za
prawdziwe pieniądze jest zabronione, liczba osób, które chcą je kupić, wzrasta. W więk-
szości przypadków nabywców nie interesuje pochodzenie takich przedmiotów: nie ob-
chodzi ich, czy przedmiot został zdobyty legalnie czy też skradziony właścicielowi przy
użyciu szkodliwego kodu. Taka sytuacja naturalnie zachęca twórców wirusów; prowadzi
również do wzrostu cen oraz kryminalizacji rynku wirtualnych przedmiotów.
W 2008 roku liczba szkodliwych programów stworzonych w celu kradzieży haseł do gier
online stale rosła: w roku tym zidentyfikowano 100 397 nowych trojanów atakujących gry
– aż trzykrotnie więcej niż w 2007 roku (32 374).
Liczba szkodliwych programów stworzonych
w celu kradzieży haseł do gier online
Spośród szkodliwych programów atakujących gry online, najpowszechniejsza była rodzi-
na Trojan-GameThief.Win32.OnLineGames. Celem szkodliwych programów z tej rodziny
jest kradzież haseł do kilku gier online jednocześnie: obecnie 65,4% wszystkich trojanów
atakujących gry należy do tej rodziny. Latem 2008 roku nastąpił spory wzrost aktywności
tych trojanów: w sierpniu firma Kaspersky Lab wykryła prawie 12 000 nowych programów
należących do rodziny Trojan-GameThief.Win32.OnLineGames – jeden nowy szkodliwy
program wykrywany był co cztery minuty.
Z kolei inna rodzina, Trojan-GameThief.Win32.WOW, która atakuje tylko grę World of
Warcraft, do listopada 2008 roku wykazywała aktywność na stałym poziomie. W listopa-
dzie hakerzy włamali się na około 10 000 stron, umieszczając na nich szkodliwy kod.
Najbardziej ucierpiały strony europejskie i amerykańskie, ponieważ w tych regionach
znajduje się największa liczba graczy World of Warcraft. Incydent ten został celowo za-
10
Kaspersky Security Bulletin 2008 Ewolucja szkodliwego oprogramowania
planowany na 13 listopada, czyli datę publikacji Wrath of the Lich King, drugiego rozsze-
rzenia World of Warcraft.
Liczba szkodliwych programów (według rodziny)
kradnących hasła do gier online w 2008 roku
Przeważającą większość szkodliwych programów tworzonych w celu kradzieży haseł do
gier online stanowią trojany atakujące gry, natomiast wirusy i robaki stanowią około 10%
takich szkodników. Jednak we wrześniu 2008 roku wzmożoną aktywność wykazały sa-
modzielnie rozprzestrzeniające się szkodliwe programy, jednocześnie gwałtownie wzrosła
liczba wariantów Worm.Win32.AutoRun.
Główne cechy szkodliwych programów atakujących gry
Szkodliwe programy atakujące gry online w 2008 roku charakteryzowały się następują-
cymi cechami:
Jeden szkodliwy program może zawierać moduły kradnące hasła do kilku gier on-line;
Szkodliwe programy atakujące gry mogą zawierać backdoora umożliwiającego stworzenie sieci z zainfekowanych maszyn (botnet);
W szkodliwych programach atakujących gry powszechnie wykorzystuje się szy-frowanie i programy pakujące w celu uniemożliwienia wykrycia lub analizy pro-gramu;
Szkodliwe programy atakujące gry aktywnie przeciwdziałają wykryciu ich przez rozwiązania antywirusowe;
11
Kaspersky Security Bulletin 2008 Ewolucja szkodliwego oprogramowania
Programy te wykorzystują technologie rootkit.
W 2008 roku najbardziej zaawansowanym technicznie szkodliwym programem atakują-
cym gry był Trojan-GameThief.Win32.Magania. Rodzina ta była odpowiedzialna za naj-
ważniejsze incydenty związane ze szkodliwymi programami atakującymi gry. W czerwcu
2008 roku trojan ten został zmodyfikowany – o ile wcześniej wykorzystywany był do ata-
kowania użytkowników gry Gamania (http://en.wikipedia.org/wiki/Gamania), w 2008 roku
potrafił kraść hasła do prawie wszystkich znanych gier online, łącznie z:
World of Warcraft
Lineage
Lineage 2
FunTown
ZhengTu
Perfect World
Dekaron Siwan Mojie
HuangYi Online
RuneScape
Rexue Jianghu
ROHAN Online
Seal Online
Lord of the Rings
Maple Story
Reign of Revolution
Talesweaver
ZodiacOnline.
Trojan-GameThief.Win32.Magania skutecznie wykorzystywał wiele metod, które unie-
możliwiały wykrycie go i usunięcie z zainfekowanych komputerów.
12
Kaspersky Security Bulletin 2008 Ewolucja szkodliwego oprogramowania
Technologie rootkit w trojanie Trojan-GameThief.Win32.Magania
Rozprzestrzenianie szkodliwych programów atakujących gry
W 2008 roku do rozprzestrzeniania szkodliwych programów atakujących gry powszechnie
wykorzystywane były poniższe metody:
Wykorzystywanie niezidentyfikowanych luk w zabezpieczeniach zasobów sieciowych w celu zainfekowania dużej liczby stron;
Wykorzystywanie nieznanych luk w zabezpieczeniach oprogramowania klienckiego;
Tworzenie uaktualnień dla szkodliwych programów w częstszych odstępach niż publi-kowanie uaktualnień dla oprogramowania antywirusowego;
Masowe wysyłki zawierające odsyłacze do zainfekowanych stron.
Jeżeli weźmiemy sto dowolnych nowych szkodliwych programów, prawdopodobnie każdy
z nich zdoła zainfekować średnio pięciuset użytkowników. Tak wysoki współczynnik in-
fekcji jest możliwy dzięki wykorzystaniu luk w zabezpieczeniach oprogramowania na za-
atakowanych maszynach. W 2007 roku kampanię przeciwko szkodliwym programom ata-
kującym gry prowadzili producenci rozwiązań antywirusowych, twórcy gier online oraz
administratorzy serwerów gier. W 2008 roku przyłączyli się do nich administratorzy za-
atakowanych stron internetowych oraz twórcy oprogramowania wykorzystywanego przez
oszustów w celu przemycenia szkodliwego oprogramowania na komputery użytkowni-
ków.
Jednym z ważniejszych incydentów, jakie miały miejsce w 2008 roku, było wykorzystanie
przez cyberprzestępców błędu w przetwarzaniu plików XML w przeglądarce Internet
Explorer w celu rozprzestrzeniania trojana Trojan-GameThief.Win32.Magania. Luka
MS08-78 była tak szeroko rozpowszechniona, że według Microsoftu zainfekowanych zo-
stało 0,2% wszystkich użytkowników Internetu.
13
Kaspersky Security Bulletin 2008 Ewolucja szkodliwego oprogramowania
Lokalizacja serwerów, na których umieszczono exploity w celu rozprzestrzeniania
trojanów atakujących gry
W rozprzestrzenianiu szkodliwego programu pomaga również jego szybka (i częsta) mo-
dyfikacja; program zostaje zmieniony, zanim do antywirusowych baz danych zostanie do-
dana sygnatura.
W 2008 roku najważniejszymi wydarzeniami związanymi ze szkodliwym oprogramowa-
niem atakującym gry były:
Kwiecień 2008 roku. Nieznani cyberprzestępcy włamali się na ponad 1 500 000 stron in-
ternetowych w celu zainfekowania odwiedzających je użytkowników trojanem
Trojan-GameThief.Win32.OnLineGames.
Lipiec 2008 rok. Przeprowadzono masową wysyłkę zawierającą odsyłacze do wirusa po-
limorficznego Virus.Win32.Alman.b. Wirus ten zawiera moduł kradnący hasła do gier on-
line. Wirus Alman.b został wykryty w kwietniu 2007 roku.
Sierpień 2008 roku. Na pokładzie międzynarodowej stacji kosmicznej wykryto trojana
Trojan-GameThief.Win32.Magania.
Grudzień 2008 rok. Luka MS08-78 w zabezpieczeniach przeglądarki Internet Explorer
została wykorzystana do rozprzestrzeniania szkodliwych programów z rodziny
Trojan-GameThief.Win32.Magania.
Przesyłanie skradzionych danych
Szkodliwe programy wysyłały skradzione hasła cyberprzestępcom za pośrednictwem
poczty elektronicznej do wyznaczonych serwerów, które następnie przesyłały informacje
cyberprzestępcom. Adresy IP serwerów zmieniają się regularnie, w niektórych przypad-
kach kilka razy dziennie.
Metoda ta gwarantuje cyberprzestępcom anonimowość, a częsta zmiana nazw domen
zapobiega umieszczeniu serwerów przekierowujących na czarnej liście.
14
Kaspersky Security Bulletin 2008 Ewolucja szkodliwego oprogramowania
Lokalizacja serwera przekierowującego, do którego wysyłane są e-maile zawierające skradzione hasła
Serwery dostarczające exploity, szkodliwe programy oraz e-maile zawierające skradzione
hasła zlokalizowane są głównie w Azji i na Dalekim Wschodzie.
Prognoza
Globalny kryzys gospodarczy prawdopodobnie nie będzie miał żadnego wpływu na bran-
żę gier i w 2009 roku światy gier online nadal będą rozwijane.
W 2009 roku przewidujemy następujące główne trendy:
Tworzenie infrastruktury wykorzystywanej do automatycznego generowania i roz-przestrzeniania szkodliwych programów kradnących hasła do gier online;
Wykorzystywanie nowych kanałów dostarczania szkodliwych programów do użyt-kowników (komunikatory internetowe, sieci P2P itd.);
Powszechne wykorzystywanie luk „zero-day” (dla których nie istnieją jeszcze po-prawki) w aplikacjach i systemach operacyjnych;
Powszechne wykorzystywanie luk „zero-day” w celu włamywania się na strony in-ternetowe i rozprzestrzeniania szkodliwych programów atakujących gry;
Powszechne wykorzystywanie wirusów plikowych oraz robaków sieciowych w celu kradzieży haseł do gier online;
Ataki stają się coraz bardziej rozpowszechnione i wyrafinowane. Działania użytkowników
gier online przyczyniają się do wzrostu rynku wirtualnych przedmiotów, który z kolei sta-
nowi źródło dochodów cyberprzestępców i twórców wirusów.
15
Kaspersky Security Bulletin 2008 Ewolucja szkodliwego oprogramowania
Ataki na portale społecznościowe
W ostatnich latach portale społecznościowe stały się jednym z najpopularniejszych zaso-
bów w Internecie. RelevantView oraz eVOC Insights przewidują, że w 2009 roku z portali
społecznościowych będzie korzystało około 80% wszystkich użytkowników Internetu –
ponad miliard osób.
Rosnąca popularność portali społecznościowych nie umknęła uwadze cyberprzestępców;
w 2008 roku serwisy te stanowiły wylęgarnię szkodliwych programów i spamu oraz nowe
źródło nielegalnych dochodów w Internecie.
Dlaczego atakowane są portale społecznościowe?
Z reguły użytkownicy portali społecznościowych ufają innym użytkownikom. To oznacza,
że bez namysłu akceptują wiadomości wysłane przez osobę znajdującą się na ich liście
przyjaciół; tym samym ułatwiają cyberprzestępcom wykorzystywanie takich wiadomości
do rozprzestrzeniania odsyłaczy do zainfekowanych stron. W celu skłonienia odbiorcy do
kliknięcia odsyłacza zawartego w wiadomości, a w rezultacie pobrania szkodliwego pro-
gramu, stosowne są różne metody.
W jaki sposób można rozprzestrzeniać szkodliwe oprogramowanie:
a) Użytkownik otrzymuje od zaufanego kontaktu odsyłacz, który prowadzi na przykład do
klipu wideo.
b) Użytkownik zostaje poinformowany, że w celu obejrzenia filmu musi zainstalować
określony program.
c) Po zainstalowaniu program ten kradnie konto użytkownika i wysyła szkodliwy program
do zaufanych kontaktów ofiary.
Opisana wyżej metoda przypomina sposób rozprzestrzeniania robaków pocztowych.
Jednak współczynnik skuteczności rozprzestrzenianego szkodliwego kodu za pośrednic-
twem portali społecznościowych wynosi około 10% i przewyższa skuteczność rozprze-
strzeniania szkodliwego oprogramowania za pośrednictwem poczty elektronicznej (która
wynosi 1%).
Skradzione nazwy i hasła należące do użytkowników portali społecznościowych mogą
być wykorzystywane do wysyłania odsyłaczy do zainfekowanych stron, spamu lub oszu-
kańczych wiadomości (np. prośby o pilny przelew pieniędzy). Wszystko to pozwala cy-
berprzestępcom zarobić pieniądze.
Obecnie w Internecie można znaleźć szeroki wachlarz ofert cyberprzestępców: od wła-
mywania się na konta znajdujące się na portalach społecznościowych po przeprowadza-
nie wysyłek na adresy z listy kontaktów lub zbieranie informacji o konkretnym użytkowni-
ku.
16
Kaspersky Security Bulletin 2008 Ewolucja szkodliwego oprogramowania
Oferta usług włamywania się na konta
Szkodliwe programy
Pod koniec 2008 roku kolekcja firmy Kaspersky Lab zawierała ponad 43 000 szkodliwych
plików związanych z portalami społecznościowymi.
Całkowita liczba szkodliwych programów atakujących
portale społecznościowe
Liczba programów atakujących portale społecznościowe otrzymanych przez laboratorium
antywirusowe firmy Kaspersky Lab pokazuje, że serwisy te stają się coraz popularniej-
szym celem dla cyberprzestępców.
17
Kaspersky Security Bulletin 2008 Ewolucja szkodliwego oprogramowania
Liczba szkodliwych programów atakujących popularne portale społecznościowe
W poniższej tabeli porównano współczynnik ryzyka poprzez zestawienie liczby szkodli-
wych programów, które atakowały użytkowników różnych portali społecznościowych
(http://en.wikipedia.org/wiki/List_of_social_networking_websites) w 2008 roku z liczbą za-
rejestrowanych na nich użytkowników.
Portal społecz-
nościowy
Liczba szko-
dliwych pro-
gramów wy-
krytych w 2008
roku
Liczba zareje-
strowanych
użytkowników
Prawdopodobień-
stwo zainfekowania
użytkownika
Lokalizacja geogra-
ficzna większości zare-
jestrowanych użyt-
kowników (źródło: le-
monde.fr)
Odnoklassniki 3 302 22 000 000 0,0150% Rosja
Orkut 5 984 67 000 000 0,0089% Ameryka Łacińska
Bebo 2 375 40 000 000 0,0059% Europa
Livejournal 846 18 000 000 0,0047% Rosja
Friendster 2 835 90 000 000 0,0032% Region Azji Pacyficznej
Myspace 7 487 253 000 000 0,0030% Ameryka Północna
Facebook 3 620 140 000 000 0,0026% Ameryka Północna
Cyworld 301 20 000 000 0,0015% Korea Południowa
Skyblog 28 2 200 000 0,0013% Francja
Współczynnik ryzyka dla najpopularniejszych portali społecznościowych
Zwycięzcą pod względem liczby szkodliwych programów na jednego użytkownika jest ro-
syjski portal “Odnoklassniki.ru”. Najbardziej globalny portal społecznościowy, МуSpace,
znajduje się dopiero na szóstym miejscu, mimo że prowadzi pod względem całkowitej
liczby szkodliwych programów rozesłanych wśród jego użytkowników w 2008 roku.
Wśród szkodliwych programów atakujących takie portale można wyróżnić szeroki wa-
chlarz zachowań: Trojan-Spy, Trojan-PSW, Worm, Trojan itd.
18
Kaspersky Security Bulletin 2008 Ewolucja szkodliwego oprogramowania
Ataki na portale społecznościowe w 2008 roku
Styczeń 2008. Na portalu społecznościowym Facebook umieszczono aplikację flashową
o nazwie Secret Crush zawierającą odsyłacz do programu AdWare. Zanim administrato-
rzy portalu usunęli tę aplikację, zdążyło ją pobrać ponad 1,5 miliona użytkowników.
Maj 2008. Firma Kaspersky Lab wykryła trojana o nazwie Trojan-
Mailfinder.Win32.Myspamce.a rozprzestrzeniającego spam za pośrednictwem poleceń na
portalu MySpace. W tym samym tygodniu na rosyjskim portalu “VKontakte” został znale-
ziony robak sieciowy o nazwie Net-Worm.Win32.Rovud.a. Robak ten rozsyłał zainfeko-
wany odsyłacz do zaufanych kontaktów zaatakowanych użytkowników. Kilka dni później
użytkownicy portalu “Odnoklassniki.ru” otrzymali spam zawierający odsyłacz do portalu
miss-runet.net oraz prośbę, aby głosowali na jedną z kandydatek. Komputery osób, które
uległy prośbie, zostały zainfekowane programem z rodziny Trojan-Dropper.Win32.Agent.
Czerwiec 2008. W miesiącu tym został rozesłany spam rzekomo pochodzący od admini-
stratorów portalu “Odnoklassniki.ru”. Wiadomości zachęcały użytkowników do odwiedze-
nia strony głównej tego portalu za pośrednictwem zawartego w wiadomości odsyłacza;
jednak po tym, jak użytkownik odwiedził tę stronę, na jego komputerze instalowany był
trojan downloader. Po zainstalowaniu trojan ten pobierał dalsze szkodliwe pliki, a następ-
nie przekierowywał ofiarę na prawdziwą stronę “Odnoklassniki.ru”.
Lipiec 2008. Kaspersky Lab zidentyfikował kilka incydentów dotyczących portali
Facebook, MySpace oraz VKontakte. Net-Worm.Win32.Koobface.a rozprzestrzeniał się
poprzez portal MySpace w sposób podobny do tego, jaki wykorzystywał wykryty w maju
trojan Trojan-Mailfinder.Win32.Myspamce.a. Kolejny wariant tego robaka,
Net-Worm.Win32.Koobface.b, rozprzestrzeniał się poprzez portal Facebook. Robak ten
wysyłał wiadomości do „przyjaciół” zainfekowanych użytkowników. W obu przypadkach
polecenia i wiadomości wysłane przez te robaki zawierały odsyłacze do fałszywego porta-
lu w stylu YouTube, które zapraszały użytkowników do pobierania „nowej wersji programu
Flash Player”. Zamiast odtwarzacza multimedialnego na zaatakowane maszyny pobiera-
ny był robak.
Wiadomości spamowe wysyłane do użytkowników portalu VKontakte zawierały odsyłacze
do serwera, który przekierowywał użytkowników na strony pornograficzne. Użytkownicy
dowiadywali się, że w celu obejrzenia filmu muszą pobrać kodek, który w rzeczywistości
okazywał się być szkodnikiem o nazwie Trojan.Win32.Crypt.ey. W rezultacie, wśród
pierwszych pięciu wyników wyszukiwania przy użyciu dowolnej wyszukiwarki widniały ad-
resy zainfekowanych stron. Kaspersky Lab szacuje, że w ciągu kilku godzin ukradziono
około 4 000 kont na portalu VKontakte.
Sierpień 2008. W miesiącu tym ofiarą ataku cyberprzestępców padł Twitter, portal spo-
łecznościowy cieszący się coraz większą popularnością. Na specjalnie stworzonej stronie
użytkownika zostało umieszczone zdjęcie reklamujące film erotyczny. Użytkownik, który
kliknął zdjęcie był proszony o pobranie „nowej wersji Adobe Flasha”, która w rzeczywisto-
ści była trojanem Trojan-Downloader.Win32.Banload.sco.
19
Kaspersky Security Bulletin 2008 Ewolucja szkodliwego oprogramowania
Grudzień 2008. Na portalu VKontakte rozprzestrzeniane były odsyłacze do szkodliwych
programów dla telefonów komórkowych. Ze skradzionych kont na portalach społeczno-
ściowych wysyłano na adresy kontaktów z listy wiadomości oferujące darmowe dołado-
wania kont telefonów komórkowych. Wiadomości zawierały odsyłacze, które mogłyby zo-
stać wykorzystane do zainstalowania w telefonie aplikacji Java w celu uzyskania dostępu
do usługi darmowego doładowania. Aplikacją tą był w rzeczywistości Trojan-
SMS.J2ME.Konov.b.; po zainstalowaniu trojan wysyłał wiadomość SMS na pięć krótkich
numerów bez wiedzy oraz zgody użytkownika. Każda wiadomość SMS kosztowała 250
rubli (około 10 dolarów).
Naturalnie nie jest to kompletna lista incydentów związanych z portalami społecznościo-
wymi. Wymieniliśmy jedynie najbardziej interesujące przypadki, jakie miały miejsce
w 2008 roku.
Wnioski
Wśród przełomowych technologii IT 2008 roku znalazły się portale społecznościowe, jak
również wirtualizacja i technologia Cloud Computing. Niestety wraz z ich ewolucją pojawi-
ły się nowe zagrożenia dla użytkowników takich zasobów.
W 2008 roku wzrósł poziom ewolucji zagrożeń atakujących portale społecznościowe.
Ataki na takie strony nie stanowią już odosobnionych incydentów, ale coraz lepiej prospe-
rujący biznes, w którym uczestniczą cyberprzestępcy.
Na czarnym rynku wartość ma wszystko, co jest związane z kontami na portalach spo-
łecznościowych: istnieje duże zapotrzebowanie na dane osobowe użytkowników, a popu-
larną usługą oferowaną przez cyberprzestępców jest włamywanie się na konta w celu ich
późniejszego wykorzystania do rozsyłania spamu. Komercjalizacja przyczyniła się do
wzrostu liczby szkodliwych programów atakujących portale społecznościowe. Istnieje du-
że prawdopodobieństwo, że trend ten utrzyma się.
Szkodliwe programy: aktywność sieciowa
Aktywność szkodliwych programów w skali globalnej od zawsze była interesującym tema-
tem. Pułapki (tzw. honeypots) stanowią najpopularniejsze narzędzie zbierania informacji
dotyczących aktywności sieciowej szkodliwych programów. Jednak systemy te zwykle
monitorują jedynie własne kanały internetowe i rejestrują tylko próby atakowania obser-
wowanych serwerów. To oznacza, że ogromna większość aktywności sieciowej szkodli-
wego oprogramowania pozostaje niezauważona.
Zebraliśmy dane statystyczne dotyczące aktywności sieciowej, monitorując szkodliwe
programy oraz identyfikując tworzone przez nie połączenia sieciowe. Podejście to pozwa-
la obiektywnie ocenić aktywność cyberprzestępczą w sieciach lokalnych oraz w Interne-
cie.
Statystyki dotyczące połączeń wykorzystujących protokół UDP nie są szczególnie intere-
sujące, ponieważ szkodliwe programy rzadko wykorzystują ten protokół. Dlatego poniżej
zbadaliśmy tylko statystyki dotyczące połączeń TCP. Przedstawione dane odpowiadają
dominującej sytuacji z końca 2009 roku i nie obejmują aktywności sieciowej legalnych
20
Kaspersky Security Bulletin 2008 Ewolucja szkodliwego oprogramowania
programów. Dużą część ruchu internetowego generują boty. Przedstawione tu dane od-
zwierciedlają typową aktywność botnetów.
Porty wykorzystywane przez szkodliwe programy. Połączenia sieciowe
Które porty są najczęściej wykorzystywane do ustanawiania połączeń sieciowych przez szkodliwe programy?
Połączenia sieciowe wykorzystywane przez szkodliwe programy
Najpopularniejszymi pod względem połączeń sieciowych (TCP) wykorzystywanych przez
szkodliwe programy okazały się porty 139, 445 oraz 135. Porty te są wykorzystywane
w usługach sieciowych Microsoft Windows, głównie w usługach współdzielenia plików
w sieci Windows z wykorzystaniem protokołu NetBIOS. Należy zaznaczyć, że chociaż
Windows wykorzystuje ten protokół do zautomatyzowanej dystrybucji wiadomości, po-
wyższy diagram nie zawiera statystyk dotyczących standardowych połączeń systemu
operacyjnego.
Ponad 96% przeanalizowanych przez nas połączeń sieciowych wykorzystywanych przez
szkodliwe programy miało miejsce na portach 139, 445 oraz 135. Tak duży odsetek zwią-
zany jest z luką w zabezpieczeniach MS08-067, która została wykryta w październiku
2008 roku w usłudze sieciowej Windows. Na szczęście, w celu zwiększenia bezpieczeń-
stwa prawie wszyscy dostawcy usług internetowych zablokowali ruch sieciowy do tych
portów. NetBIOS znany jest jako potencjalne źródło luk w zabezpieczeniach systemów
operacyjnych z rodziny Windows od czasu wprowadzenia systemów Windows 95 i Win-
dows 98. Możemy się tylko domyślać, co stałoby się z Internetem w przeciągu kilku minut
w październiku, gdyby dostawcy usług internetowych nie zaczęli filtrować NetBIOS! Mimo
to luka w zabezpieczeniach MS08-067 to nadal aktualny problem dla niektórych sieci, np.
sieci domowych i sieci organizacji komercyjnych oraz rządowych, w których protokół
NetBIOS zwykle nie jest blokowany.
21
Kaspersky Security Bulletin 2008 Ewolucja szkodliwego oprogramowania
Zapytania sieciowe
Diagram pokazujący popularność różnych portów nie byłby kompletny bez porównania
liczby połączeń sieciowych z liczbą zapytań sieciowych do portów wysyłanych przez
szkodliwe programy, które tworzą te połączenia. Termin „zapytanie” definiujemy tutaj jako
transfer jednego lub większej liczby pakietów sieciowych. Jeżeli program ustanawia 1 000
połączeń z tym samym portem, uznaje się, że jest to jedno zapytanie sieciowe do tego
portu.
Zapytania sieciowe szkodliwych programów
Z powyższego diagramu wynika, że 34% zapytań sieciowych wysyłanych przez szkodliwe
programy kontaktuje się z portem 80, który jest standardowym portem dla serwerów sie-
ciowych. Port ten jest również najczęściej wykorzystywany przez legalne programy.
Port 80 zwykle jest wykorzystywany przez szkodliwe programy w celu ustanowienia połą-
czeń ze stronami cyberprzestępców. W takich przypadkach aktywność sieciową można
uznać za surfowanie użytkownika po Sieci. Port 80 wykorzystywany jest przez liczne ro-
dziny botów i trojany, łącznie z Trojan-PSW.Win32.Zbot, Backdoor.Win32.Sinowal oraz
różnymi modyfikacjami trojana Trojan-GameThief.Win32.OnLineGames. Szkodliwe pro-
gramy wykorzystują go również do ustanowienia połączeń z centrami kontroli botnetów.
Na drugim miejscu znajduje się niestandardowy port 8000, wykorzystywany przez legalne
programy, takie jak HP Web Jetadmin, ShoutCast Server, Dell OpenManage oraz wiele
innych aplikacji opartych na technologii Java RMI, z których wszystkie wykorzystują wła-
sny protokół.
Nasze badanie wykazało, że port 8000 jest wykorzystywany przez rodzinę
Backdoor.Win32.Hupigon. Rodzina ta, stworzona przez chińskich hakerów, jest najpraw-
dopodobniej najszybciej rosnącą rodziną szkodliwych programów wykrytych przez firmę
Kaspersky Lab. Pod koniec 2008 roku nasza kolekcja liczyła ponad 110 000 różnych mo-
dyfikacji Hupigona.
Czym więc wyróżnia się port 8000? Odpowiedź jest całkiem prosta – port ten jest wyko-
rzystywany przez QQ - najpopularniejszy komunikator internetowy w Chinach. Chińscy
22
Kaspersky Security Bulletin 2008 Ewolucja szkodliwego oprogramowania
użytkownicy wykorzystują tę usługę do kontrolowania zainfekowanych komputerów. Ist-
nieje również wersja Hupigona wykorzystująca port 8181. Rodzina Hupigon jest liderem
wśród szkodliwych programów pod względem całkowitej liczby zapytań sieciowych –
Hupigon stoi za prawie co trzecim zapytaniem sieciowym do unikatowego portu pocho-
dzącym od szkodliwego programu!
Inny niestandardowy port – 3460 – wykorzystywany był w 7% przeanalizowanych przez
nas zapytań sieciowych wysyłanych przez szkodliwe programy. Zapytania do tego portu
wysyłane były głównie przez backdoora Backdoor.Win32.Poison, znanego również jako
Poison Ivy. Szkodliwe programy z tej rodziny to boty wykorzystywane do tworzenia nie-
wielkich botnetów (do 200 komputerów). Oprogramowanie to jest popularne, ponieważ
można je pobrać za darmo na stronie producenta. Poison nie pozwala na wysyłanie dużej
liczby osadzonych poleceń jednocześnie do kilku komputerów i najczęściej wykorzysty-
wany jest przez cyberprzestępców nowicjuszy. Niektórzy administratorzy systemów nie-
wielkich sieci wykorzystują go jako narzędzie zdalnej administracji.
Domeny drugiego poziomu atakowane przez szkodliwe programy
Poniższy diagram pokazuje domeny drugiego poziomu atakowane przez szkodliwe pro-
gramy, które wykorzystują najpopularniejszy port 80.
Zapytania szkodliwych programów do domen drugiego poziomu
Większość domen drugiego poziomu, z którymi kontaktują się szkodliwe programy, nale-
ży do chińskich serwisów DNS.
Prawie 40% szkodliwych programów łączy się z poddomenami 3322.org. Co możemy
powiedzieć o tym dostawcy i dlaczego przyciąga cyberprzestępców?
Domena 3322.ord jest częścią dużego chińskiego projektu o nazwie cn99.com, który po-
siada ponad 35 milionów użytkowników. Popularność cn99.com w Chinach można łatwo
wyjaśnić tym, że dostarcza on darmowe konta pocztowe oraz domeny trzeciego poziomu.
Zgodnie z Kontraktem Serwisowym, klientom cn99.com nie wolno używać tych usług
w sposób sprzeczny z chińskim i międzynarodowym prawem. Ponadto, Kontrakt zobo-
wiązuje właściciela skrzynki pocztowej/domeny, aby używał autentycznych informacji
23
Kaspersky Security Bulletin 2008 Ewolucja szkodliwego oprogramowania
osobowych, a w przypadku ich zmiany niezwłocznie je uaktualniał. Niestety, nie po-
wstrzymuje to cyberprzestępców, którzy wykorzystują cn99.com, przed podawaniem fał-
szywych danych osobowych.
Wystarczy rzut oka na listę najpopularniejszych domen drugiego poziomu, aby zrozu-
mieć, jaki jest powód ich popularności: wszyscy dostawcy posiadający te domeny oferują
usługę znaną jako DDNS (Dynamic Domain Name System).
Usługi DDNS oraz cyberprzestępcy
Zadaniem usługi DDNS jest znalezienie serwerów z dynamicznymi adresami IP. Do kogo
skierowana jest taka usługa? Mogą wykorzystywać ją legalni użytkownicy, którzy łączą
swoje komputery z Internetem przy użyciu linii ADSL z adresami zewnętrznymi pobrany-
mi z puli internetowych adresów IP. Z reguły, dostawcy usług internetowych przydzielają
nowo podłączonemu modemowi ADSL adres IP z puli adresów IP, jakie mają do swojej
dyspozycji. Wraz z każdym nowym połączeniem zmienia się adres IP. Jeżeli użytkownik
nie posiada fizycznego dostępu do swojego komputera, a chce połączyć się zdalnie, musi
znać adres IP, który w danym momencie zapewni mu dostęp do jego komputera. Do-
stawcy usług DDNS umożliwiają zarejestrowanie domeny (np. myhomepc.dyndns.org),
a następnie połączenie się z komputerem poprzez podanie nazwy domeny. Niektórzy
producenci modemów ADSL implementują obsługę DDNS do oprogramowania służącego
do zarządzania modemem. Jeżeli modem jest poprawnie skonfigurowany, kontaktuje się
z dostawcą usługi DDNS za każdym razem, gdy ustanawiane jest połączenie interneto-
we, informuje go o aktualnych adresach IP. Następnie program użytkownika, który kon-
taktuje się ze zdalnym komputerem przy pomocy nazwy hosta, wysyła zapytanie DNS dla
adresu IP z nazwą myhomepc.dyndns.org. Zapytanie przechodzi przez łańcuch serwerów
DNS i ostatecznie dociera do dostawcy DDNS, który zna aktualny adres IP komputera,
ponieważ przechowuje najnowszą wiadomość z modemu ADSL.
Ten typ usługi pozwala cyberprzestępcom szybko i łatwo zarejestrować nowe domeny
przy zachowaniu anonimowości oraz zmienić informacje DNS o ciągłym wykorzystywaniu
serwera.
Ponadto, zainfekowane komputery z zewnętrznymi adresami IP mogą być wykorzysty-
wane jako tymczasowe centra kontroli botnetów. Jeżeli komputer jest wyłączony, cyber-
przestępca może ręcznie lub automatycznie przełączyć się na inny zainfekowany kompu-
ter, przy czym centrum kontroli zawsze jest dostępne za pośrednictwem domeny od do-
stawcy DDNS.
Z tego powodu usługi DDNS są tak popularne wśród cyberprzestępców. Szacujemy, że
około 50% domen wykorzystywanych przez szkodliwe programy należy do dostawców
DDNS.
24
Kaspersky Security Bulletin 2008 Ewolucja szkodliwego oprogramowania
Wnioski
Najpopularniejsze typy szkodliwych programów wykazują aktywność sieciową: programy
trojańskie wysyłają przechwycone dane cyberprzestępcom, robaki sieciowe próbują zna-
leźć i zainfekować inne komputery w sieciach lokalnych, boty spamowe rozsyłają wiado-
mości spamowe, boty DDoS atakują serwery internetowe, boty łączą się z centrami C&C.
Boty i robaki sieciowe są najbardziej aktywne, poza tym zachowanie to można skutecznie
połączyć w jednej aplikacji. Program wykrywany jako robak lub trojan może mieć również
funkcję bota, dzięki której zainfekowany komputer może stać się częścią botnetu. W re-
zultacie, za ruch sieciowy tworzony przez większość szkodliwych programów w Internecie
odpowiedzialne są botnety.
Analiza danych statystycznych dotyczących zapytań sieciowych wysyłanych przez szko-
dliwe programy oraz 10 najpopularniejszych domen drugiego poziomu atakowanych
przez szkodliwe programy potwierdzają, że w 2008 roku chińscy hakerzy i cyberprze-
stępcy byli liderami pod względem tworzenia szkodliwego oprogramowania. Chińska ro-
dzina Hupigon, która wykorzystuje niestandardowe porty 8000 i 8181, odpowiadała za
29% zapytań sieciowych wysyłanych przez szkodliwe programy, podczas gdy ogromna
większość domen drugiego poziomu atakowanych przez szkodliwe programy należy do
chińskich serwisów DNS.
Chociaż Chiny wprowadziły narodowy program filtrowania ruchu sieciowego – Wielki
Chiński Cybermur – przewidujemy, że w 2009 roku aktywność chińskich hakerów wzro-
śnie. Szkodliwe programy tworzone przez chińskich cyberprzestępców atakują głównie
konta gier online i przede wszystkim stanowią zagrożenie dla graczy w Chinach i innych
państwach. W 2009 roku nie przewidujemy na tym polu żadnej zmiany. Jednak programy
tworzone przez chińskich hakerów mogą zacząć stanowić zagrożenie ze względu na ro-
snącą tendencję włączania backdoorów do programów trojańskich przeznaczonych do
kradzieży haseł do gier online.
Ponad jedna trzecia zapytań sieciowych odbywa się na porcie 80, który jest standardo-
wym portem. Generalnie, po tym jak szkodliwy program połączy się z portem 80, zostanie
pobrana strona internetowa i ustanowione połączenie z centrum C&C botnetu. Cyber-
przestępcy martwią się, że prędzej czy później ich konkurenci lub organy ścigania pozna-
ją adres ich centrum C&C, co spowoduje zamknięcie nazwy domeny lub serwera. Z tego
powodu cyberprzestępcy nieustannie szukają sposobów szybkiej modyfikacji informacji
DNS centrów C&C i preferują wykorzystywanie serwerów internetowych, które oferują
anonimowość. Z tego powodu usługi DDNS cieszą się największą popularnością wśród
oszustów: dostawcy usług DDNS posiadają ponad 50% domen drugiego poziomu, które
stanowią cel szkodliwych programów, oraz wszystkie 10 najpopularniejszych domen dru-
giego poziomu. W 2009 roku dostawcy usług DDNS podejmą prawdopodobnie bardziej
zdecydowane działania mające na celu zwalczanie nielegalnej aktywności, co prawdopo-
dobnie przyczyni się do pojawienia się usług DDNS typu „abuse-proof” podobnie jak do-
stawcy usług hostingowych typu RBN zostali oddzieleni od legalnych usług hostingowych.
25
Kaspersky Security Bulletin 2008 Ewolucja szkodliwego oprogramowania
Ze względu na ogromną popularność usług DDNS wśród cyberprzestępców oraz wzrost
przepustowości przewidujemy pojawienie się nowych typów aktywności przestępczej
specjalizujących się w rozwijaniu nowych podejść do zapewniania anonimowości adre-
sów/nazw serwerów sieciowych.
Wraz z każdą identyfikacją luki w zabezpieczeniach systemu Windows pojawia się duża
liczba szkodliwych programów tworzonych w celu znajdowania „podatnych na ataki” ma-
szyn. Podobnie jest w przypadku innych aplikacji działających w sieci. Szkodliwe progra-
my skanujące sieć tworzą wiele dodatkowych połączeń sieciowych. Poza zużyciem prze-
pustowości może to spowodować przepełnienie w tabelach tłumaczenia adresów na ta-
nich routerach, co może doprowadzić do całkowitego odłączenia sieci lokalnej od Interne-
tu. Już teraz stanowi to dość powszechny problem dla sieci domowych, które w celu uzy-
skiwania dostępu do Internetu wykorzystują jeden router.
Zainteresowanie cyberprzestępców lukami w zabezpieczeniach sieci wzrasta. W 2009
roku prawdopodobnie zostaną zidentyfikowane nowe luki w zabezpieczeniach sieci.
W rezultacie, użytkownicy niewielkich sieci mogą stracić dostęp do Internetu. Aby tego
uniknąć wszystkie komputery w sieci lokalnej muszą być zabezpieczone przed infekcją.
Prognozy na 2009 rok
Rok temu w biuletynie „Kaspersky Security Bulletin 2007” zamieściliśmy prognozy na rok
2008. Skupiliśmy się na problemach, które miały szansę stać się najpoważniejszymi
w 2008 roku.
Malware 2.0 – dalsza ewolucja rozproszonych komponentów szkodliwego opro-gramowania.
Rootkity i bootkity – początek epidemii spowodowanych programami wykorzystu-jącymi te technologie
Wirusy plikowe – kolejny etap w ewolucji klasycznych wirusów: wirusy plikowe bę-dą stawały się bardziej wyrafinowane, a inne typy szkodliwych programów będą wykorzystywały techniki infekowania plików
Portale społecznościowe – odejście od zagrożeń typu „proof of concept” i ataków próbnych na rzecz ataków masowych
Zagrożenia mobilne – wzrost liczby ataków na telefony komórkowe i wykorzysty-wanie tych ataków do uzyskiwania korzyści finansowych.
Jak pokazują trendy oraz sekcje zawierające dane statystyczne zawarte w tych rapor-
tach, nasze przewidywania sprawdziły się.
Nasze prognozy na rok 2009 opierają się na tym samym modelu. Problemy, jakie napo-
tkaliśmy w 2008 roku, będą stanowiły jeszcze poważniejsze zagrożenie w 2009 roku.
Dzisiejsze zagrożenia nie znikną. Nie ma potrzeby przytaczać wzrostu liczby ataków na
gry online i portale społecznościowe, nieustannej ewolucji technologii wirusowych, wzro-
stu liczby botnetów czy ewolucji cyberprzestępczości jako biznesu i jako usługi. Wszyst-
kie to już widzieliśmy.
26
Kaspersky Security Bulletin 2008 Ewolucja szkodliwego oprogramowania
W poniższych prognozach zostały omówione trendy, które być może nie są w pełni
ukształtowane, ale bez wątpienia będą miały istotny wpływ na ewolucję zagrożeń w 2009
roku.
Globalne epidemie
Uznaliśmy, że długa era globalnych epidemii dobiegła końca. Twórcy wirusów nie prefe-
rują już tworzenia robaków, które infekują miliony komputerów na całym świecie. Uwa-
żamy jednak, że w 2009 roku sytuacja ta znów się zmieni - spodziewamy się nowych po-
ważnych incydentów, które pod względem zasięgu prześcigną wydarzenia, jakie miały
miejsce w latach 2006-2008.
Naszym zdaniem, cyberprzestępczość wkroczyła w okres nasycenia rynku: liczba osób
i grup uczestniczących w tym procederze osiągnęła punkt, w którym konkurencja jest
nieuchronna. Konkurencja istniała od zawsze, z reguły jednak ograniczała się do konfliktu
interesów między kilkoma grupami dotyczącego jednego wąskiego obszaru. Obecnie
konkurencja ma skalę globalną, przekraczając lokalne granice. Rywalizacja pomiędzy ro-
syjskimi, chińskimi, brazylijskimi, ukraińskimi oraz tureckimi cyberprzestępcami nie ogra-
nicza się do wykorzystywanych przez nich technologii. Walczą również o klientów oraz
osoby, które mogą realizować zamówienia, oraz o lepsze kanały w celu gromadzenia,
sprzedawania i przetwarzania danych oraz o zasoby hakerskie itd.
W 2009 roku przewidujemy wzrost liczby cyberprzestępców. Głównym powodem jest glo-
balny kryzys gospodarczy: wzrost liczby bezrobotnych, wraz ze spadkiem liczby oferowa-
nych miejsc pracy w branży IT spowodowanym zamykaniem projektów, spowoduje, że
wielu wysoce wykwalifikowanych programistów albo pozostanie bez pracy, albo na sku-
tek obniżenia się ich dochodów będzie potrzebowało pieniędzy. Niektóre z tych osób bę-
dą aktywnie rekrutowane przez cyberprzestępców, inne natomiast uznają to za dobry
sposób zarabiania pieniędzy. Ponieważ umiejętności techniczne nowych rekrutów znacz-
nie przewyższają umiejętności większości cyberprzestępców, spowoduje to ostrą rywali-
zację.
Wszystkie te czynniki spowodują wzrost liczby ofiar. Będzie toczyła się ostra walka
o każdy tysiąc zainfekowanych komputerów, ponieważ jedynym sposobem na przetrwa-
nie cyberprzestępców jest infekowanie jak największej liczby maszyn w jak najkrótszym
czasie. Do stworzenia botnetu składającego się ze 100 000 maszyn – w celu wywołania
globalnej epidemii - konieczne jest zaatakowanie kilku milionów komputerów. Aby utrzy-
mać botnet, trzeba przeprowadzać regularne ataki.
Trojany atakujące gry: spadek aktywności
Przewidywany przez na spadek aktywności trojanów atakujących gry jest sprzeczny ze
stanowiskiem utrzymywanym przez większość firm antywirusowych. Wierzymy jednak, że
spadek ten będzie wynikiem zarówno kryzysu gospodarczego jak i wzmożonej rywalizacji
pomiędzy cyberprzestępcami.
W ciągu ostatnich dwóch lat trojany atakujące gry stały się najbardziej rozpowszechnio-
nymi szkodliwymi programami. Obecnie istnieją setki tysięcy takich programów; przewyż-
27
Kaspersky Security Bulletin 2008 Ewolucja szkodliwego oprogramowania
szają liczebnie programy trojańskie tworzone w celu kradzieży informacji dotyczących
kart kredytowych oraz bankowości online.
Przewagę trojanów atakujących gry można wyjaśnić nie tylko specjalizowaniem się chiń-
skich cyberprzestępców w tym typie szkodliwych trojanów, ale również tym, że w wyniku
coraz większej konkurencji zarabianie pieniędzy poprzez defraudację kart kredytowych
oraz ataki na użytkowników banków stało się o wiele trudniejsze. W rezultacie, potencjal-
ne dochody cyberprzestępców znacznie zmalały.
Cyberprzestępcy z Rosji lub Europy Wschodniej, którzy wcześniej tworzyli wirusy zarzuci-
li ten rodzaj przestępstwa, albo zmienili kierunek, i obecnie zajmują się tworzeniem i roz-
przestrzenianiem programów AdWare oraz fałszywych rozwiązań antywirusowych.
Azjatyccy cyberprzestępcy specjalizują się w trojanach atakujących gry, wykorzystując do
tego chińskie know-how. Jednak ze względu na łatwość tworzenia szkodliwych progra-
mów atakujących gry, liczba potencjalnych ofiar jest ogromna, a rynek szkodliwego opro-
gramowania atakującego gry jest nasycony. Kradzież wirtualnych przedmiotów nie ozna-
cza już automatycznie dużych, łatwych zysków. (Podobna sytuacja z tzw. trojanami ban-
kowymi kilka lat temu doprowadziła do spadku liczby takich programów.) Chociaż pienią-
dze, jakie można dzisiaj zarobić, zadowoliłyby cyberprzestępcę trzy lata temu, chiński
wzrost gospodarczy spowodował wzrost apetytu na zyski wśród cyberprzestępców.
O ile dochody osób, które żyją z kradzieży wirtualnych przedmiotów, skurczyły się, konku-
rencja pomiędzy cyberprzestępcami staje się coraz ostrzejsza. Firmy antywirusowe radzą
sobie z zalewem szkodliwych programów atakujących użytkowników gier online, użyt-
kownicy stają się coraz bardziej świadomi problemów bezpieczeństwa, a producenci gier
podjęli działania w celu powstrzymania nielegalnych operacji z wykorzystaniem skradzio-
nych kont i przedmiotów. Chociaż za wcześnie jeszcze, aby obwieszczać koniec szkodli-
wego oprogramowania atakującego gry, liczba nowych szkodliwych programów atakują-
cych gry online oraz liczba grup cyberprzestępczych specjalizujących się w ich tworzeniu
z pewnością zmniejszy się.
Malware 2.5
Malware 2.0 został zastąpiony nowym modelem koncepcyjnym – dużymi rozproszonymi
systemami botnetów. Model ten, stworzony przez rosyjskich hakerów i zaimplementowa-
ny w rootkicie Rustock.c, bootkicie Sinowal i kilku innych szkodliwych programach, okazał
się zarówno niezwykle skuteczny jak i niezawodny.
Model ten charakteryzuje się następującymi cechami:
Brakiem stałego centrum kontroli botneta – zamiast tego występuje tzw. „botnet mi-
grujący”, o którym pisaliśmy w naszym artykule na temat bootkita. Centrum kontroli
nieustannie migruje z jednego adresu IP, lub serwera do innego, lub może też znik-
nąć na jakiś czas. Obecnie istnieje system tworzenia losowo wybranych adresów
dla centrum kontroli, który umożliwia cyberprzestępcom zabezpieczenie centrum
kontroli przed jego wykryciem oraz „zdjęciem”, jak również wybranie jego lokalizacji.
28
Kaspersky Security Bulletin 2008 Ewolucja szkodliwego oprogramowania
Wykorzystaniem silnych algorytmów kryptograficznych do komunikacji między cen-
trum kontroli a maszynami w botnecie. Nawet po uzyskaniu dostępu do centrum
kontroli lub przechwyceniu przesyłanych danych analitycy nie są w stanie przejąć
kontroli nad botnetem, ponieważ wykorzystuje on klucze szyfrowania znane tylko
właścicielowi botneta.
Wykorzystaniem uniwersalnych centrów kontroli do zarządzania wieloma różnymi
botnetami. Koncepcja ta pochodzi od „uniwersalnego kodu” wykorzystanego
w szkodniku o nazwie Zbot: szkodliwe programy tworzone przez różnych autorów
mogą komunikować się z tym samym centrum kontroli. Obecnie istnieje wyraźny
trend w kierunku zarządzania różnymi botnetami z jednego centrum kontroli.
Technologie te są ściśle związane z przetwarzaniem rozproszonym oraz tworzeniem sys-
temów, które działają pod dużym obciążeniem ogromnych ilości danych (architektura
High Load). Technologie te są również wykorzystywane w wyszukiwarkach oraz służą ja-
ko podstawa technologii „Cloud Computing” wykorzystywanej między innymi przez wiele
firm antywirusowych.
Przewidujemy coraz większą rywalizację między cyberprzestępczymi grupami w zakresie
tworzenia wysoce odpornych systemów rozproszonych. Szkodliwi użytkownicy potrafiący
tworzyć własne systemy będą mieli wpływ na ogólny krajobraz zagrożeń w przyszłości.
Dzieciaki skryptowe zostaną zastąpione przez poważnych specjalistów, którzy mają moż-
liwość pracy w obrębie modelu Malware 2.5.
Phishing/Scam
Oszustwa typu phishing to kolejny rodzaj cyberprzestępstw, w których obserwujemy
wpływ światowego kryzysu gospodarczego. Przewidujemy, że ataki phishingowe staną
się intensywniejsze.
Po pierwsze, kryzys spowoduje, że użytkownicy staną się bardziej wyczuleni na wszyst-
ko, co wiąże się z systemami płatności elektronicznych oraz bankowości online. Nie zna-
czy to jednak, ze będą ostrożniejsi wobec potencjalnych oszustw. Okres, w którym banki
upadają, przechodzą w inne ręce lub mają problemy z wypłatami gotówki, stwarza
ogromne możliwości ataków na użytkowników.
Po drugie, poziom techniczny wymagany do rozwijania i rozprzestrzeniania nowych
szkodliwych programów zmusi cyberprzestępców do poszukiwania prostszych i łatwiej-
szych sposobów zarabiania pieniędzy. Phishing może być jednym z atrakcyjniejszych
rozwiązań.
Z drugiej strony konkurencja między phisherami wzrasta. Wykorzystanie fałszywej strony
internetowej banku już nie wystarczy, aby oszukać użytkowników. Dlatego ataki staną się
bardziej wyrafinowane i intensywniejsze.
Ogólnie, można powiedzieć, że sytuacja gospodarcza spowoduje zmniejszenie puli pie-
niędzy dostępnych w Internecie, szczególnie gdy systemy płatności elektronicznych będą
doświadczały poważnych problemów uniemożliwiających im wymianę wirtualnych pienię-
dzy na prawdziwą gotówkę.
29
Kaspersky Security Bulletin 2008 Ewolucja szkodliwego oprogramowania
Migracja na inne platformy/systemy operacyjne
Coraz większa rywalizacja między cyberprzestępcami oraz konieczność infekowania jak
największej liczby komputerów spowoduje migrację zagrożeń na platformy, które wcze-
śniej nie były popularnym celem ataków. Ucierpią platformy inne niż Windows, przede
wszystkim Mac OS oraz platformy mobilne. Wcześniej szkodliwe programy atakujące te
platformy były w większości kodem typu „proof of concept”; teraz platformy te mają wy-
starczająco duży udział w rynku, aby zainteresowali się nimi cyberprzestępcy. Z platfor-
mami tymi wiąże się wiele nierozwiązanych kwestii bezpieczeństwa, a ich użytkownicy
zasadniczo nie są przygotowani na ataki szkodliwego oprogramowania.