Zagrożenia internetowe I kw. 2012

Przeczytaj także: Ataki DDoS II poł. 2011

Botnety

Obecnie botnety stanowią jedną z podstawowych technologii wykorzystywanych przez cyberprzestępców. Technologie te są rozwijane od kilku lat, a w wyniku ich ewolucji pojawiły się obecnie zdecentralizowane botnety i botnety zarządzane za pośrednictwem portali społecznościowych, przy czym główną metodę infekcji stanowią ataki drive-by download. Pod względem ewolucji botnetów rok 2011 okazał się stosunkowo spokojnym okresem - cyberprzestępcy nie wymyślili niczego radykalnie nowego. Wszystko jednak zmieniło się na początku 2012 r.

W I kwartale 2012 cyberprzestępcy po raz pierwszy stworzyli botnet przy użyciu „bezplikowego” bota. Eksperci ds. bezpieczeństwa wykryli mobilny botnet, który pod względem rozmiaru można porównać z typowymi botnetami opartymi na Windowsie, oraz botnet składający się z ponad pół miliona komputerów Apple działających pod kontrolą systemu Mac OSX.

Niewidzialny bot

W I kwartale 2012 r. odkryliśmy botnet stworzony przy użyciu nowej technologii: botmaster użył „bezplikowego” bota. Szkodnik ten należy do bardzo rzadkiej klasy szkodliwych programów, które istnieją jedynie w pamięci RAM komputera – bez zapisywania plików na dysku.

Problem ujawnił się w anomaliach występujących na zainfekowanych komputerach: po odwiedzeniu pewnych popularnych rosyjskich stron internetowych komputery te zaczęły wysyłać zapytania sieciowe do zasobów osób trzecich, po czym w niektórych przypadkach na ich dyskach twardych zaczęły pojawiać się zaszyfrowane pliki. Jednocześnie, na dyskach twardych nie pojawiły się żadne nowe pliki wykonywalne. Dalsza analiza pomogła zidentyfikować cały łańcuch biorący udział w infekowaniu komputerów i tworzeniu botnetu.

Na pierwszym etapie komputer był infekowany za pośrednictwem ataku drive-by wykorzystującego exploit Javy (luka CVE-2011-3544). Odsyłacz, który przekierowywał użytkowników na stronę internetową zawierającą exploita, został umieszczony w „zachęcie do przeczytania newsa” wyświetlanej na portalach informacyjnych, rozprzestrzenianej za pośrednictwem AdFox – rosyjskiej sieci dystrybucji banerów reklamowych.

Po skutecznym wykorzystaniu luki exploit wstrzykiwał szkodliwą bibliotekę DLL bezpośrednio do pamięci procesu Java zamiast pobierać szkodliwy plik na dysk twardy. Po uruchomieniu wstrzyknięty szkodliwy program działał „w imieniu” procesu Java, gromadząc informacje na temat stron odwiedzanych przez użytkownika. Jeżeli znalazły się wśród nich zasoby związane z bankowością, na komputerze użytkownika instalowany był trojan Lurk, który „poluje” na dane uwierzytelniające transakcje bankowości online.

Dzięki działaniom ekspertom z Kaspersky Lab, personelowi AdFox oraz badaczowi, który pragnie zachować anonimowość, udało się zahamować tę infekcję.

Mimo że szkodliwy proces pozostawał w pamięci RAM jedynie do czasu powtórnego uruchomienia systemu operacyjnego, infekcja rozprzestrzeniała się za pośrednictwem popularnych stron internetowych. Cyberprzestępcy potrafili infekować komputery każdego dnia, przez co utrzymali populację bota. Warto wspomnieć, że po powtórnym uruchomieniu systemu na dysku twardym komputera nie pozostały praktycznie żadne ślady infekcji czy gromadzenia danych.

W przypadku tego incydentu, w jednym niebezpiecznym szkodliwym programie połączono dwie znane technologie – wykorzystywanie luk w zabezpieczeniach oraz wstrzykiwanie do legalnego procesu bez zapisywania pliku na dysku twardym. Za każdym razem, gdy jest wykorzystywany „bezplikowy” bot, bardzo trudno jest zidentyfikować komputery, które tworzą botnet, ponieważ na dysku twardym nie pojawiają się żadne nowe pliki wykonywalne, a cyberprzestępcy wykonują wszystkie swoje działania „w imieniu” Javy, która jest legalnym procesem. Chociaż w przypadku tego i podobnych zagrożeń skuteczne okazuje się stosowanie łat, niestety problem polega na tym, że niektórzy użytkownicy nie łatają swoich systemów na czas. To oznacza, że w przyszłości możemy trafić na podobne szkodliwe oprogramowanie, jednak nie będzie ono już rozprzestrzeniane na masową skalę.