Dlaczego antywirus nie działa

Kilkanaście lat temu oprogramowanie antywirusowe było najważniejszą barierą ochronną dla firmowych komputerów. Obecnie jest zaledwie jedną z wielu, a skuteczność klasycznych antywirusów wobec nowych zagrożeń drastycznie spada. Niektórzy badacze uważają, że już jest równa zeru i poszukiwanie zagrożeń powinno odbywać się zupełnie inaczej.

Jeszcze dziesięć lat temu firmy polegały na narzędziach ochrony stacji roboczych i antywirus obok zapory sieciowej IP był podstawową barierą obronną. Dziś wielu specjalistów uważa, że jego skuteczność radykalnie spadła, a niekiedy programy antywirusowe bywają wykorzystywane do ataku przeciw firmowym komputerom. W antywirusie, podobnie jak w każdej skomplikowanej aplikacji, są luki w bezpieczeństwie, które można wykorzystać do ataku. Podstawowym problemem jest jednak spadek skuteczności.

Napastnicy znają narzędzia obrony

Cyberprzestępcy mają istotną przewagę nad użytkownikami, którzy korzystają z antywirusów: mogą w trakcie przygotowania ataku sprawdzić w laboratorium wykrywalność danego kodu przez określone produkty. Powszechnie korzystają także z narzędzi takich jak Virus Total, które sprawdza wysłany plik za pomocą wielu różnych antywirusów. W praktyce oznacza to, że złośliwe oprogramowanie będzie przygotowane tak dobrze, iż uniknie detekcji przez prawie każdy skaner antywirusowy na rynku. Jednym ze skutecznych sposobów omijania zabezpieczeń jest wprowadzanie polimorficznego szyfrowania kodu – niektóre serwery przygotowywały osobną wersję dla każdego pobrania złośliwego oprogramowania. Oprogramowanie antywirusowe bazujące tylko na sygnaturach jest wtedy bezbronne. Pewną szansę daje narzędzie, które korzysta z innych metod obrony, np. oceny reputacji plików, linków i stron.

Zobacz również:

Firmy na celowniku ZeuSa

Najpopularniejszym złośliwym oprogramowaniem jest koń trojański z rodziny ZeuS i SpyEye. Głównym zadaniem tego pakietu jest kradzież informacji uwierzytelnienia do systemów bankowości elektronicznej. Oprócz keyloggera narzędzie to zawiera moduł podmiany stron internetowych, moduł proxy SOCKS, który umożliwia skorzystanie z przejętego komputera jako serwera pośredniczącego przy połączeniu internetowym, a także inne wtyczki, takie jak podmiana zawartości systemowego schowka Microsoft Windows. Trojan ten jest przyczyną bardzo wielu kradzieży, szczególnie narażeni są użytkownicy systemów bankowych, którzy nie korzystają z dwuskładnikowego uwierzytelnienia przy każdej operacji. Początkowo złodzieje kradli pieniądze z kont użytkowników prywatnych, także w Polsce, przy czym niekiedy łup przekraczał kilkadziesiąt tysięcy złotych. Obecnie złodzieje wzięli na cel także małe firmy i instytucje samorządowe, w których zabezpieczenia są niekiedy niewystarczające, a pieniądze dużo większe. Przykładem udanego ataku z użyciem keyloggera jest kradzież pieniędzy kilku polskich gmin – m.in. gminy Błażowa (250 tys. zł, grudzień 2013 r.) Gidle (317 tys. zł, luty 2014 r.) i Rząśnia (niemal 500 tys. zł, październik 2014 r.). We wszystkich przypadkach złodzieje podmienili numer rachunku odbiorcy, a następnie zalogowali się do serwisu transakcyjnego prawdopodobnie przez serwer proxy i zlecili przelew na rachunek założony na podstawioną osobę. Ta osoba, zachęcona fałszywą ofertą pracy, podejmowała gotówkę i zlecała szybki przekaz pieniędzy za granicę, często na Ukrainę lub do Rosji. Raporty takich firm jak RSA czy Symantec udowadniają, że kradzieże pieniędzy z firmowych rachunków bankowych obsługiwanych przez internet zdarzają się w różnych krajach i Polska wcale nie jest wyjątkiem.

Mark Patterson z amerykańskiej firmy Patco, która już w 2009 r. została okradziona na ponad 0,5 mln USD mimo aktualnego antywirusa, mówi: „myślę, że w oprogramowanie antywirusowe nadal warto inwestować. Nie polegałbym jednak na nim jako na zabezpieczeniu transakcji bankowych”.

Złodzieje do ataku na rachunki bankowe Patco prowadzone w Ocean Bank wykorzystali jeden z wariantów najpowszechniejszego konia trojańskiego na świecie – był to ZeuS. Z kwoty ponad 0,5 mln USD złodziejom udało się przetransferować za granicę aż 345 tys. Po tym włamaniu wprowadzono procedurę potwierdzania każdej większej transakcji przez telefon. Wszystkie omawiane ataki łączył jeden fakt: na firmowych komputerach znajdował się koń trojański, który służył do kradzieży pieniędzy użytkowników bankowości elektronicznej.

Niedostateczne zabezpieczenia

W praktyce najbardziej narażeni są użytkownicy, którzy w ograniczony sposób korzystają z dwuskładnikowego uwierzytelnienia. Niektórzy z nich często realizują przelewy zdefiniowane, które można zmienić. Inni z kolei polegają na tym, że numer rachunku przenosi się przez schowek z oryginalnego dokumentu prosto do przeglądarki internetowej. Wszystkie słabości może wykorzystać koń trojański zainstalowany na stacji roboczej, przejmujący sesję użytkownika i wprowadzający w locie zmiany do wyświetlanej strony WWW serwisu transakcyjnego banku.


TOP 200