Malware - żarty się skończyły
-
- Józef Muszyński,
- 09.12.2010
Dzisiejsze kody złośliwe znacząco różnią się od tych sprzed 10 laty, kiedy to większość z nich pisali młodzi ludzie szukający rozgłosu, a użytkownicy stosunkowo łatwo potrafili rozpoznać zagrożenia. Obecnie malware tworzone przez zawodowców stosuje się do kradzieży pieniędzy, przechwytywania wrażliwych danych, transakcji bankowych czy haseł, a także fałszowania tożsamości. Każdego dnia ofiary malware tracą dziesiątki milionów dolarów w internecie.
Według danych Panda Labs, w 2009 r. zidentyfikowano ponad 25 mln różnych programów malware - to więcej niż liczba wszystkich złośliwych programów zidentyfikowanych we wszystkich poprzednich latach. Jest to statystyka bardzo niepokojąca, bo pokazuje również, że programy złośliwe liczebnie przerosły już legalne.
Dostawcy narzędzi do ochrony sieci podają, że 48% komputerów skanowanych przez ich systemy rozpoznawania zagrożeń jest zainfekowanych przez jakiś rodzaj malware, a ponad 60% spośród nich to konie trojańskie, prowadzące do szkodliwego oprogramowania umożliwiającego kradzież danych.
Ewolucja kodów złośliwych
W większości przypadków użytkownicy końcowi podstępem skłaniani są do uruchamiania złośliwego programu w postaci trojana. Użytkownik końcowy często instaluje oprogramowanie "polecane" przez witrynę, do której ma zaufanie. W rzeczywistości witryna nic takiego nie rekomenduje - twórcy malware włamują się na legalne strony, wykorzystując luki i modyfikują ich zawartość, włączając w nie skrypty Java, które przekierowują użytkownika w odpowiednie miejsce. Kody złośliwe mogą być też ukryte w banerach i dołączane do strony przez legalne usługi reklamowe. W każdym takim przypadku, podczas przeglądania legalnej strony przez użytkownika ładowany jest kod JavaScript i użytkownik zachęcany jest do zainstalowania programu lub kierowany do innej lokalizacji, gdzie atak jest kontynuowany.
Trojany ukrywają się pod różnymi postaciami: fałszywych skanerów antywirusowych, "niezbędnych łatek", spreparowanych plików PDF lub kodeków potrzebnych do wyświetlenia atrakcyjnego wideo.
Nowym wektorem ataków trojanów stały się obecnie sieci społecznościowe. Przykładem jest znany trojan bankowy Zeus, który dostał "drugie życie" właśnie w sieciach społecznościowych, oraz podobny trojan bankowy - URL Zone, dodatkowo pozwalający na ocenę konta ofiary, pomagając napastnikowi podjąć właściwą decyzję w zakresie priorytetów kradzieży.
Niektóre malware skanują komputery użytkowników, poszukując w nich podatnego oprogramowania, ale zazwyczaj użytkownik końcowy sam infekuje swój komputer, instalując aplikacje, których należy unikać.
Na początku instaluje się program złośliwy nazywany downloaderem. Po zainstalowaniu, z zaatakowanej maszyny łączy się on z "bazą" (serwerem webowym) po dalsze instrukcje (technika "phoning home"). Downloader ma często instrukcje do kontaktowania się z serwerem dynamicznych usług DNS, w celu uzyskania bieżącej lokalizacji webowego serwera-bazy. Dynamiczna usługa DNS jest bezpłatna, łatwa do skonfigurowania i umożliwia wykorzystanie zainfekowanych komputerów, niemających stałych adresów IP, co utrudnia namierzenie ich fizycznej lokalizacji. Rekord z adresem DNS, otrzymany przez downloadera, jest ważny krótko (liczony w minutach).Ta technika szybkich zmian komplikuje wykrywanie i usuwanie malware.
Downloader jest kierowany do kolejnego serwera, skąd sprowadza nowy program lub odbiera instrukcje. Ta sekwencja wyszukiwania i sprowadzania nowych programów i instrukcji może powtarzać się w kilkunastu cyklach. W końcu program finalny i instrukcje zostaną zainstalowane na komputerze ofiary, który będzie teraz pod kontrolą serwerów botnetu.
