Złośliwe programy: bootkit na celowniku

Przeczytaj także: Panda: nadchodzi szkodliwy Icepack

Zmierzenie skali epidemii poprzez zliczanie użytkowników, którzy skarżyli się, że ich komputery uruchamiają się powtórnie, nie byłoby najwłaściwsze. Kategoryczną odpowiedź mogłyby dostarczyć statystyki centrum kontroli botnetu; jednak eksperci nie mieli pełnego dostępu do panelu administracyjnego. Mimo to byli w stanie podać pewne dane liczbowe.

Badając incydent, Kaspersky Lab wyróżnił pięć głównych serwerów wykorzystywanych do pobierania exploitów. Aby przedstawić skalę zjawiska, dość powiedzieć, że w ciągu 24 godzin serwery te odwiedziło ponad 200 000 użytkowników ze Stanów Zjednoczonych.

Jak już wspomniano w raporcie, panel administracyjny wykorzystywany do kontrolowania botnetu nieustannie zmienia lokalizację według specjalnego algorytmu. Jednak nie wszystkie boty łączą się z nim, gdy jest "w ruchu". Biorąc to pod uwagę, z analiz wynika, że rozmiar botnetu osiągnął prawie 100 000 botów, co stanowi dość dużą liczbę. Należy zauważyć, że dane te dotyczą tylko amerykańskich użytkowników.

Metody ochrony

Autorzy bootkita podjęli ogromny wysiłek, aby stworzyć dobrze zabezpieczony, wysoce mobilny pakiet i starannie zaplanowali każdy etap, od zainfekowania użytkownika po zarządzanie botnetem. Zależało im, aby nie popełnić błędów, nawet w takich drobnych kwestiach jak wstrzykiwanie ramki iframe do kodu strony.

Z raportu wynika jednak, że mimo wyrafinowanych technologii wykorzystanych przez autorów bootkita współczesne produkty antywirusowe powinny potrafić zapobiec przeniknięciu szkodliwego kodu do komputera.

Podejście zastosowane przez cyberprzestępców (tzn. nakłonienie użytkowników do odwiedzenia zainfekowanych stron i wygenerowanie unikatowych exploitów) miało na celu nie tylko zainfekowanie jak największej liczby użytkowników, ale również zwalczanie różnych technologii zastosowanych w obecnych produktach antywirusowych.

Tak więc podmienianie odsyłaczy zamiast dodawania ramki iframe ma na celu zwalczanie tradycyjnego skanowania ruchu sieciowego; takie skanowanie powoduje, że podejrzana ramka iframe jest sprawdzana bardziej rygorystycznie lub całkowicie blokowana.

Biorąc pod uwagę dziesiątki, a czasami nawet setki legalnych stron, na które włamują się szkodliwi użytkownicy, aby dodać do nich szkodliwy kod, najlepszym sposobem ochrony przed takimi zagrożeniami jest zaimplementowanie technologii, która blokuje nieznane szkodliwe strony.

Exploity generowane są automatycznie dla każdego nowego użytkownika, jednak w przeciwieństwie do kodu exploita, który zmienia się za każdym razem, mechanizm zaciemniania pozostaje taki sam. To oznacza, że oprogramowanie antywirusowe jest w stanie wykryć zaciemniony skrypt przy pomocy wykrywania sygnaturowego lub heurystycznego.

Jeżeli mimo wszystko exploit zostanie pobrany na maszynę ofiary, nie będzie w stanie uruchomić się, jeśli użytkownik regularnie łata swój system operacyjny i aplikacje. Skaner luk w zabezpieczeniach potrafi wykryć "dziurawe" aplikacje.

Kaspersky Lab założył jednak, że użytkownik ma zainstalowaną "dziurawą" aplikację, dzięki czemu exploit mógł się uruchomić. Na maszynę ofiary zostanie pobrany dropper bootkita: ten plik wykonywalny jest tworzony na serwerze dla każdego użytkownika, dlatego wykrywanie na podstawie sygnatur jest utrudnione. Na tym etapie najskuteczniejszą metodą stosowaną przez produkt antywirusowy będzie ochrona proaktywna, która umożliwia analizowanie nieznanych plików, określenie ich funkcji i przeprowadzenie analizy heurystycznej kodu i zachowania szkodliwego programu.