Pięć szkodników, które odmienią branżę bezpieczeństwa

Cyberprzestępczość to profesja, która nie ogranicza się tylko do tworzenie złośliwego kodu. Jest coraz więcej przypadków, kiedy bezpieczne oprogramowanie jest modyfikowane tak, aby służyć do przeprowadzania ataków czy dystrybucji wirusów.

Gartner przewiduje, że w 2020 roku aż 30% międzynarodowych firm padnie ofiarą bezpośredniego ataku grup przestępczych lub niezależnych cyberaktywistów. Szkodliwe oprogramowanie i narzędzia umożliwiające wykorzystywanie lub w bezpieczeństwie są tworzone i sprzedawane z gwarancją, że pokonają mechanizmy bezpieczeństwa. Co więcej, mimo ogromnych nakładów na ochronę - według Gartnera, firmy wydały w 2014 r. 71 mld dolarów na zabezpieczenia – firmy straciły w tym okresie w wyniku działań cyberprzestępców aż 400 mld dolarów.

Dzisiejsze zabezpieczenia opierają się na założeniu, że potrafimy rozróżnić co jest dobre, a co złe (np. filtry treści). Takie podejście jest jednak niewystarczające, jeśli zagrożenia zmieniają się bardzo szybko i są w stanie pokonać najnowsze technologie bezpieczeństwa. Dlatego warto przyjrzeć się kilku innowacyjnym zagrożeniom, które mogą mieć spory wpływ na branżę bezpieczeństwa IT.

Zobacz również:

Regin

To oprogramowanie jest używane co najmniej od 2008 r. do szpiegowania rządów, infrastruktury operatorów, instytucji badawczych, a także pojedynczych użytkowników. W odróżnieniu od innych zaawansowanych zagrożeń, Regin nie został zaprojektowany do szybkiego wygenerowania zysków i wycofania się. To zagrożenie przeprowadza atak w pięciu fazach, wykorzystując pełne szyfrowanie przesyłanego kodu i modułową konstrukcję. Dodatkowo fakt, że jest w użyciu od 2008 r. sprawia, że warto przyjrzeć mu się bliżej.

Możliwość rozszerzenia podstawowego kodu (rdzenia) o dodatkowego modułu (payload) sprawia, że Regin to cała platforma, wykorzystywana do długotrwałego zbierania danych i stałego monitorowania użytkowników. To pierwszy przypadek szkodliwego kodu, który służył jednocześnie do szpiegowania korporacji, jak i instytucji rządowych. Mimo jego złożoności, Regin infekuje komputery w dość powszechny sposób, wykorzystując luki w przeglądarkach internetowych i podrobione strony internetowe (phishing).

QWERTY

W styczniu 2015 r. badacze wykryli szkodliwy kod, który otrzymał nazwę QWERTY. Jest to wtyczka do Regina służąca do rejestrowania klawiszy wciskanych na klawiaturze przez użytkownika (keylogger). Wykrycie tej wtyczki miało duże znaczenie dla branży bezpieczeństwa, ale mimo to Regin nadal będzie infekować komputery. Wtyczka QWERTY jest przechowywana wewnątrz zaszyfrowanego i skompresowanego systemu plików Virtual File System. Mówiąc inaczej, pliki tej wtyczki nie są zapisane bezpośrednio w komputerze użytkownika. Ten szkodnik skutecznie wymyka się zabezpieczeniom, które wykorzystują bazy sygnatur do wykrywania infekcji lub uruchamiają podejrzany kod w odizolowanym środowisku. Ponieważ coraz więcej korzystamy z Internetu, infekcje poprzez strony internetowe będą zdarzać się coraz częściej. Liczba wariacji szkodliwego kodu rośnie tak szybko, że twórcy aplikacji zabezpieczających nie nadążają za tworzeniem nowych sygnatur.

SoakSoak

W grudniu 2014 ponad 100 tys. stron postawionych na WordPressie zostało zainfekowanych szkodnikiem SoakSoak, które zamienił te strony w platformę do ataków. Jest to przykład wykorzystania podatnej usługi jako wektora do dalszego ataku. Przy ponad 70 milionach stron internetowych wykorzystujących WordPressa, autorzy tego szkodnika mieli potencjalnie bardzo dużą bazę do wykorzystania. W tym czasie Google rozpoznał jako zagrożenie nieco ponad 10% tych zainfekowanych stron. Bez wiedzy właścicieli witryn były one wykorzystywane do dalszego rozpowszechniania złośliwego kodu.

Skeleton Key

Zagrożenia komputerowe stają się coraz bardziej złożone i inteligentne. Jednocześnie przybywa takich, których zadaniem jest wykradanie danych. W styczniu 2015 r. wykryto Skeleton Key, które celem są kontrolery domeny Active Directory. Infekcja rozpoczyna się od administratorów AD (z reguły poprzez strony internetowe). Szkodnik modyfikuje następnie działanie kontrolera domeny, dzięki czemu może maskować swoją obecność i uzyskać dostęp do danych czy wiadomości e-mail. Ponieważ szkodnik nie generuje nietypowego ruchu w sieci, unika wykrycia przez mechanizmy czułe na anomalie w sieci. Problemy z jego wykryciem mają również zabezpieczenia działające w oparciu o sygnatury zagrożeń oraz uruchamiające podejrzany kod w wirtualnym środowisku. Przed branżą bezpieczeństwa staje pytanie, jak wyeliminować tego rodzaju złośliwy kod.

Google AdSense (malvertising)

Każdego dnia w Internecie pojawia się 100 tysięcy nowych stron internetowych. Kiedy przestępcy zaczęli w styczniu 2015 r. wykorzystywać Google AdSense do rozpowszechniania szkodliwych reklam, pojedyncza strona internetowa zawierała do ośmiu różnych skryptów od zewnętrznych firm i odnosiła się do zasobów rozproszonych po 250 domenach. Ponieważ Google nie sprawdza (nawet nie może tego robić) treści udostępnianych przez tę platformę, rozpoznaje tylko 1 na 1600 certyfikowanych stron jako zainfekowane. W efekcie niezweryfikowane, nieznane treści są wyświetlane na urządzeniach końcowych, czego skutkiem jest znacznie podwyższone ryzyko infekcji podczas odwiedzania popularnych serwisów internetowych. W omawianym przypadku szkodliwa reklama była bardzo „agresywna” i po kliknięciu kierowała użytkownika na stronę, z której automatycznie, bez żadnej interakcji do komputera było pobierane szkodliwe oprogramowanie. Gdyby atak był bardziej subtelny, mógł przez dłuższy czas pozostać niezauważony.


TOP 200