Przed laty hakerzy przejmowali kontrolę nad komputerami bez żadnych wyrafinowanych sztuczek. Kompletny kod wirusa lub konia trojańskiego umieszczali w jednej paczce, zwykle szyfrowanej. Trafiała ona do różnych serwisów, często legalnych, a do ataku wystarczały eksploity wykorzystujące luki w bezpieczeństwie przeglądarki Internet Explorer lub proste sztuczki socjotechniczne. Ponieważ kod wirusa rozpowszechniającego się po sieci był niezmienny, można było go łatwo wykryć. Dlatego hakerzy opracowali narzędzia, które zapewniały dużą zmienność tego kodu. Jednak najważniejsze zasady zarażania - podobne działanie, wywoływanie tych samych funkcji systemu operacyjnego - pozostawały niezmienione. Wykorzystali to producenci oprogramowania antywirusowego, wprowadzając narzędzia heurystyczne oraz usprawnione analizatory behawioralne. Ponieważ kod nadal można było wykryć, hakerzy zmienili taktykę - kod był generowany w locie, by utrudnić wykrycie. Ale jego jedna cecha nadal się nie zmieniła - kod do infekcji był pobierany z jednego miejsca, a cały proces odbywał się automatycznie.

Tajna ramka

Umieszczenie kodu JavaScript wymuszającego pobranie jakiegoś składnika jest zbyt oczywiste, by pozostało niezauważone. Dlatego hakerzy opracowali metodę maskującą - zamiast dużej porcji kodu, umieszczają niewielką niewidoczną ramkę IFRAME, która wywołuje kod JavaScript z innej strony. Po odpowiednim zaciemnieniu kodu, ukryciu adresu za pomocą usług skracania adresu, takich jak tinyurl.com, dodatkowa zawartość strony może pozostać niezauważona przez długi czas.

W wykrywaniu takich ataków w dłuższym czasie pomaga mechanizm oceniania reputacji strony, który sprawdza ewentualną obecność linków, prowadzących do wirusów. Tę technikę stosuje od kilku lat Trend Micro w swoich narzędziach ochrony przed złośliwym kodem. Wykorzystywanie IFRAME stało się zresztą tak nagminne, że twórcy bardzo dobrego dodatku NoScript do Firefoksa wdrożyli opcję blokady ramek IFRAME.

Mały złośliwy program

Gdy twórcy oprogramowania antywirusowego zaczęli stosować narzędzia bazujące na reputacji strony, hakerzy, pracujący już dla przestępczego podziemia, opracowali technikę zarażania komputerów - za otwarcie drogi do maszyny użytkownika odpowiedzialny był niewielki program, który sam w sobie nie zawierał szkodliwego kodu, ale pobierał i instalował jego kolejne składniki z różnych serwerów, nierzadko w postaci zaszyfrowanych paczek z fragmentami pliku wykonywalnego. Złożenie ostatecznej wersji kodu odbywało się już na przejętym komputerze, przy czym paczki były tak skonstruowane, że oprogramowanie antywirusowe rzadko podnosiło alarm.

Aby maksymalnie utrudnić rozpoznanie przyczyn infekcji, niewielka aplikacja pozostaje zwykle ukryta. Najczęściej jest to niewielki kod JavaScript umieszczony w ramce IFRAME, najczęściej na stronie o wysokiej reputacji. Czas życia takiej ramki na konkretnej witrynie jest krótki, liczony w dniach. Dzięki temu, że pobierany kod nie wykonuje działań typowych dla wirusa pobieranego w jednym pliku, alarm jest podnoszony dopiero gdy specjaliści zdążą przeanalizować kod.

Gdzie kryją się wirusy

Złośliwy program pobiera właściwe składniki infekcji z różnych źródeł. Początkowo do tego celu stosowano przejęte serwisy internetowe, niezwiązane z branżą IT. Zazwyczaj były to słabo zabezpieczone strony różnych organizacji wykorzystujących nieaktualne oprogramowanie serwera. Obecnie koszty profesjonalnego hostingu spadły, więc cyberprzestępcy korzystają z normalnych umów hostingowych opłacanych kartami płatniczymi prepaid. Nadal jednak wykorzystywane są serwisy hostujące różne strony, tym chętniej, im lepszą reputację te strony mają.

Głośnym przykładem z maja 2008 r. było włamanie na stronę firmy Honda, gdzie włamywacze umieścili tag JavaScript w ramce IFRAME, który powodował wykonywanie zestawu skryptów, częściowo pochodzących z innej domeny. Po wykryciu podatności przeglądarki Internet Explorer, instalowano jeden składnik, który pobierał następne. Wynikiem była instalacja złośliwego oprogramowania ZeuS/Zbot, który wyprowadzał pieniądze ofiar z serwisów bankowości elektronicznej. Prawidłowa reakcja administratorów serwisu polegała na natychmiastowym zamknięciu obecnej strony i analizie zarówno metod, jak i celu włamania.

Nie tylko pecety

Schemat ataku drive-by został skopiowany przez hakerów do infekcji telefonów. Firma Lookout Mobile Security podczas analizy wielu stron www znalazła przykłady umieszczania w kodzie IFRAME złośliwej aplikacji, atakującej system Android. Skrypt po stronie serwera wykrywał, że użytkownik korzysta z przeglądarki mobilnej i podstawiał jej paczkę ze złośliwym oprogramowaniem, która była pobierana automatycznie, bez interakcji użytkownika. Trojan ten nazywa się NotCompatible i jest obecny na wielu stronach, przy czym mechanizm ataku całkowicie ignoruje zwykłe pecety - koncentruje się wyłącznie na platformie Android.

Atak ten różni się jednak od metod stosowanych do zarażenia komputerów klasy PC i Mac. Użytkownik smartfona musi zainstalować ręcznie aplikację, a przedtem włączyć zgodę na instalację aplikacji spoza sklepu Google Play. Jeśli użytkownik tego nie zrobi (domyślnie, w przypadku większości urządzeń z Androidem, ta opcja powinna być wyłączona), wirus nie spowoduje szkód. Najbliższym odpowiednikiem podobnej przeszkody jest UAC w systemach Windows Vista i Windows 7 oraz mechanizm wymagający użycia hasła administratora w systemach typu UNIX, takich jak MacOS X lub Linux. Mimo wszystko sprytna socjotechnika może sprawić, że użytkownik zignoruje ostrzeżenia i zainstaluje aplikację.

Tajne wrota do sieci

Próbka kodu omawianego wirusa jest ciekawa. Aplikacja jest niewielka i sprawnie napisana. W odróżnieniu od aplikacji, które zaciemniają swoje rzeczywiste działanie przez duży nadmiar kodu, program ukrywa się bez korzystania z podobnych wybiegów. Jego głównym zadaniem jest uzyskanie zdalnego dostępu do prywatnych sieci, do których zarażony smartfon został dołączony. To duże zagrożenie, gdyż telefon zarażony podobnym wirusem może posłużyć do zdalnego przejęcia kontroli nad siecią dobrze chronioną przed atakami z zewnątrz przez zapory sieciowe i urządzenia IPS. Nawet obrona przed atakami prowadzonymi od wewnątrz nie zawsze wykrywa działanie takiego wirusa, gdyż korzysta on z interfejsu GSM/UMTS obecnego w większości smartfonów.

Aby ochronić się przed skutkami podobnych ataków, należy:

- prowadzić szkolenia z zakresu bezpieczeństwa smartfonów;

- wprowadzić politykę dystrybucji aplikacji tylko z zaufanych źródeł;

- utworzyć podsieci dla wszystkich smartfonów w firmie;

- terminować ruch GSM/UMTS w punkcie dostępu APN, który prowadzi do firmowej podsieci VPN, a nie bezpośrednio do internetu;

- prowadzić inspekcje ruchu za pomocą narzędzi takich jak IDS/IPS.