Nowy
Nowy
malware
malware
Jest się czego bać
Jest się czego bać
Leszek Ignatowicz
Leszek Ignatowicz
wersja 0.140  maj 2014
Warszawa, czerwiec 2014
Warszawa, czerwiec 2014
Ebookpoint.pl kopia dla: kp89@riseup.net
2
SysClinic.pl Projekt DeRATyzacja kOMPUTERA
Samowystarczalni umysłowo
są jedynie geniusze i głupcy
Stanisław Jerzy Lec
Leszek IGNATOWICZ
Nowy malware.
Jest się czego bać
ISBN: 978-83-7853-387-0
Wydanie I, czerwiec 2014
Projekt okładki: Leszek IGNATOWICZ
Korekta: Agnieszka Kwiatkowska
Autor zezwala na bezpłatne kopiowanie i przekształcanie na inne
formaty niniejszej publikacji pod warunkiem zachowania całości i
niezmiennoÅ›ci treÅ›ci oraz Copyright© 2014 by Leszek IGNATOWICZ
Copyright© 2014 by Leszek IGNATOWICZ
Ebookpoint.pl kopia dla: kp89@riseup.net
Spis Treści
CO TO JEST NOWY MALWARE?...................................................4
PROPAGACJA I FUNKCJONALNOÅšCI...........................................6
ZA
OÅšLIWE DOKUMENTY.............................................................8
MALWARE NA STRONACH WWW...............................................10
UKRYWANIE SI
W SYSTEMIE..................................................11
Polimorfizm.............................................................................11
Metamorfizm...........................................................................12
Zaciemnianie kodu (ang. obfuscation).........................................12
Kompresowanie binarne (ang. binary packing).............................13
Wirtualizacja jako zaciemnienie kodu..........................................13
Modyfikacja systemu typu rootkit...............................................14
Rootkit trybu użytkownika (ang. User Mode Rootkit)...................14
Rootkit trybu jadra - bootkit (ang. Kernel Mode Rootkit)..............14
Ukryta komunikacja z serwerem nadzorujÄ…cym............................15
ZRÓB TO SAM - PAKIET ZEUS...................................................16
CRYPTOLOCKER, CYFROWY BANDYTA......................................18
ANTYWIRUSY A NOWY MALWARE............................................19
PODSUMOWANIE  TWARDE FAKTY.........................................20
y
RÓDA
A, EBOOKI, ZASOBY ONLINE..........................................21
Ebookpoint.pl kopia dla: kp89@riseup.net
Co to jest nowy malware? 4
Co to jest nowy malware?
Co to jest nowy malware i czy jest się czego bać? Zdaje sobie sprawę z
tego, że tytuł jest niejasny, lecz i sama tematyka tego eseju jest dość
mroczna. Zacznę więc od wyjaśnienia, dla kogo i po co napisałem tego
ebooka.
Cyfrowy świat już na dobre wkroczył w nasze życie, lecz czy na pewno
przyniósł same dobrodziejstwa? Wielu z nas się nad tym nie zastanawia. A
może warto? Przecież znaczący wpływ internetu i cyfrowych mediów na
nasze życie jest bezsporny. Mamy świadomość zagrożeń w realu  nie
zostawiamy na parkingu otwartego samochodu, czy też otwartego
mieszkania wychodząc do pracy. Natomiast zagrożenia w wirtualnym
świecie są bagatelizowane, a nawet świadomie ignorowane  to mnie nie
dotyczy, bo w moim komputerze nie ma nic cennego, co warto ukraść. No
to można ukraść sam komputer, czyli zamienić go w zdalnie sterowanego
zombie i wykorzystać w różnych niecnych celach, np. do rozsyłania
spamu, czy też do ataku typu rozproszona odmowa usługi (ang. DDoS).
Znanym zagrożeniem w cyfrowym świecie są wirusy, lecz jakie to
zagrożenie skoro mamy antywirusy? I jedno i drugie nie bardzo przystaje
do rzeczywistości. Po pierwsze, dziś już prawie nie ma wirusów, a te
nieliczne, które są, to raczej hybrydowy malware. Słowo  malware
powstało z połączenia angielskich słów  malicious ,  software  złośliwe
oprogramowanie. Do dziś często używa się niepoprawnego określenia
 wirusy obejmując nim wszelkie kategorie złośliwego oprogramowania. A
o tym, jak sobie radzą antywirusy ze współczesnym, czyli nowym
malwarem, będzie mowa w dalszej części ebooka.
Copyright© 2014 by Leszek.Ignatowicz@SysClinic.pl
Ebookpoint.pl kopia dla: kp89@riseup.net
Co to jest nowy malware? 5
Co więc będziemy traktować jako malware? W najszerszym sensie
będzie to oprogramowanie instalowane bez świadomej zgody, a często i
bez wiedzy użytkownika na komputerze lub smartfonie, realizujące różne
szkodliwe funkcje. Od tak łagodnych, jak wyświetlanie niechcianych
reklam (programy typu adware), do tak drastycznych, jak zaszyfrowanie
plików użytkownika w celu wymuszenia okupu. A najczęściej będzie to
potajemne wykradanie informacji z komputera lub smartfona ofiary i
używanie ich w różnych celach. Może to być uzyskanie dostępu do konta
bankowego i jego opróżnienie. Będzie to dotkliwa i realna strata, chociaż
zaistniała w przestrzeni wirtualnej. Równie dotkliwa może być tzw.
kradzież tożsamości, czyli nielegalne uzyskanie poufnych danych ofiary,
umożliwiających łatwą realizację różnych przestępstw w jej imieniu i na jej
koszt. Oznacza to poważne kłopoty prawowitego właściciela tożsamości,
ponieważ udowodnienie, że przestępstwa dokonał ktoś inny, może być
bardzo trudne, tak jak trudne jest wykrycie współczesnego, nowego
malware. Mitem jest skuteczność antywirusów opartych na sygnaturowym
rozpoznawaniu szkodników  technologii sprzed ponad 20 lat.
Jest się więc czego bać? Moja wiedza o samym malware i sposobach
ochrony przed nim jest z racji mojego doświadczenia zawodowego spora,
a mimo to obawiam się, że może on przeniknąć niezauważony do mojego
komputera. DziÅ› jeszcze nie ma skutecznego oprogramowania
automatycznie i niezawodnie chroniÄ…cego przed lawinowo narastajÄ…cÄ… falÄ…
coraz bardziej wyrafinowanego złośliwego oprogramowania. Owszem,
istnieją programy narzędziowe umożliwiajcie wnikliwe zbadanie
komputera, lecz po pierwsze - już po zaistnieniu infekcji, a po drugie -
zinterpretowanie wyników sprawdzenia nie jest łatwe. Dlatego do banku
loguję się używając specjalnej wersji Linuxa, uruchamianej z pendrive'a.
Chcesz się dowiedzieć, jak przenika do komputerów, ukrywa się w
systemie i prowadzi szkodliwe działania nowy malware  czytaj dalej.
Copyright© 2014 by Leszek.Ignatowicz@SysClinic.pl
Ebookpoint.pl kopia dla: kp89@riseup.net
Propagacja i funkcjonalności 6
Propagacja i funkcjonalności
Wirusy komputerowe znane od ponad 25 lat rozprzestrzeniajÄ… siÄ™ za
pomocÄ… mechanizmu replikacji, zresztÄ… w swojej istocie analogicznego do
biologicznych wirusów. Potrzebują nosiciela - wkomponowują się w pliki
wykonywalne i aktywujÄ… w momencie uruchomienia zainfekowanego pliku,
zarażając kolejne pliki. Taka infekcja zwykle szeroko się rozprzestrzenia,
stąd też dość szybko są wytwarzane sygnatury i antywirusy skutecznie ją
zwalczają. Klasyczne wirusy tylko się rozprzestrzeniają lub też dodatkowo
wykonują jakieś działania destrukcyjne. Dziś takie wirusy występują
rzadko, lecz sam mechanizm rozprzestrzeniana jest czasami
wykorzystywany we współczesnym złośliwym oprogramowaniu jako
składnik hybrydowego malware'u.
Groz
niejsze od wirusów są robaki, ponieważ rozprzestrzeniają
samodzielnie swoje kopie. A co gorsza, kopie te nie sÄ… identyczne w
formie binarnej, a wykazują takie samo działanie. Robaki z reguły realizują
dwie funkcje  rozprzestrzeniajÄ… siÄ™ i wykonujÄ… zaprogramowane
szkodliwe działania określane w języku angielskim jako payload. Do
rozprzestrzeniania się wykorzystują luki w systemach i sieciach, a także
przenośne nośniki danych, takie jak pendrive'y lub dyski USB, a nawet
urządzenia mobilne i wiadomości SMS. Infekcja następuje w momencie
podłączenia zarażonego nośnika do komputera lub odebrania SMS'a z
dołączoną kopią robaka. Są trudne do wytępienia. Wykorzystują z reguły
kilka mechanizmów propagacji. Właśnie z powodu rozprzestrzeniania się
hybrydowego robaka sieciowego w armii amerykańskiej w 2008 roku
całkowicie zabroniono używania nośników USB (więcej informacji w
artykule Under Worm Assault, Military Bans Disks, USB Drives).
Copyright© 2014 by Leszek.Ignatowicz@SysClinic.pl
Ebookpoint.pl kopia dla: kp89@riseup.net
Propagacja i funkcjonalności 7
Najbardziej liczne i najgroz
niejsze są konie trojańskie, zwane też
trojanami. Nie sÄ… zdolne do samodzielnej propagacji. Do skutecznego
wbudowania siÄ™ w system operacyjny komputera lub smartfona potrzebujÄ…
pomocy użytkownika lub innego złośliwego oprogramowania (tzw.
dowloader lub dropper). Okazuje się, że dość łatwo można skłonić
użytkownika do tego, żeby sam zainstalował trojana - przy pomocy tzw.
inżynierii społecznej. W dużym uproszczeniu są to różne sposoby
omamiania nieświadomego użytkownika tak, aby zrobił to, na czym zależy
napastnikowi. Więcej na ten temat w świetnej publikacji  Social
Engineering: The Art of Human Hacking , Copyright© 2011 by Christopher
Hadnagy, Published by Wiley Publishing, Inc.
Trojany zazwyczaj są zagnieżdżone w innym programie instalowanym
intencjonalnie przez użytkownika lub ukrywają się w systemie i potajemnie
realizują szkodliwe funkcje  zwykle zdalne przejęcie kontroli nad
komputerem i włączenie jako tzw. zombie lub bota do sieci zwanej
botnetem. Przykładem jest bardzo niebezpieczny trojan bankowy ZeuS.
Trojany zdecydowanie dominują, co widać na poniższym wykresie.
Copyright© 2014 by Leszek.Ignatowicz@SysClinic.pl
Ebookpoint.pl kopia dla: kp89@riseup.net
Złośliwe dokumenty 8
Złośliwe dokumenty
Antywirusy dobrze chroniÄ… przed szeroko rozpowszechnionym i dobrze
znanym malwarem. Podobne rozwiÄ…zania sÄ… wykorzystywane do ochrony
serwerów pocztowych - eliminują złośliwe załączniki, zawarte w
przesyłanych mailach. Opracowano więc nowy rodzaj ataków, który
wykorzystuje luki w popularnych aplikacjach, takich jak Adobe Reader i
Microsoft Office. Pliki PDF lub DOC /DOCX znane każdemu użytkownikowi
komputera, są powszechnie używane do zapisywania i wymiany
informacji. Takich plików nie można blokować na serwerach pocztowych,
bo uniemożliwiłoby to normalną komunikację emailową.
Ataki z wykorzystaniem złośliwych dokumentów eksploatują luki, czyli
błędy, w bardzo rozbudowanych aplikacjach, służących do
zaprezentowania ich zawartości użytkownikowi. Specjalnie spreparowany
plik PDF lub DOC (DOCX, RTF) powoduje błędne działanie obsługującej go
aplikacji, co może umożliwić wykonanie dowolnego kodu na atakowanym
komputerze. Zwykle jest to początek infekcji, która może zakończyć się
zainstalowaniem trojana z wbudowanym rootkitem.
Złośliwe pliki dokumentów są zwykle przesyłane jako załączniki do
maili. Skuteczne zainfekowanie atakowanego komputera nastÄ…pi po
otworzeniu przesłanego pliku, do czego zachęca intrygująca treść maila.
Masowe ataki wykorzystują zwykle jakieś ważne wydarzenia w celu
zaciekawienia ofiary treścią załącznika. Bardzo groz
ne sÄ… ataki
ukierunkowane, bo wykorzystujÄ… informacje o konkretnej instytucji w celu
przygotowania wiarygodnie wyglądającej treści maila.
Copyright© 2014 by Leszek.Ignatowicz@SysClinic.pl
Ebookpoint.pl kopia dla: kp89@riseup.net
Złośliwe dokumenty 9
Jak dokładnie przebiega atak? Ofiara skuszona treścią maila dwukrotnie
klika na pliku załącznika. Powoduje to uruchomienie aplikacji
zarejestrowanej w systemie Windows do obsługi plików tego typu  dla
pliku PDF będzie to zwykle Adobe Reader. Aplikacja przetwarza zawartość
klikniętego pliku i jeśli natrafi na odpowiednio spreparowany obiekt
binarny (ang. stream), który wykorzystuje lukę w tej aplikacji, spowoduje
to błąd przepełnienia pamięci (stosu lub sterty). A następnie załadowanie
do pamięci złośliwego kodu (ang. shellcode), zawartego w klikanym pliku.
Zwykle powoduje on zapisanie w pamięci i uruchomienie kodu pliku
wykonywalnego EXE, umieszczonego w dokumencie, a następnie
wyświetlanie treści  czystego dokumentu. W tym samym czasie złośliwy
plik EXE (malware) jest zapisywany na dysku i podejmuje dalsze szkodliwe
działania - komputer jest już trwale zainfekowany. Jeśli treść dokumentu
nie zostanie wyświetlona, to prawdopodobnie infekcja się nie powiodła,
ponieważ np. luka w aplikacji została już załatana (ang. patched).
Złośliwe dokumenty to najczęściej pliki PDF wykorzystujące luki Adobe
Reader's JavaScript engine (ok. 50%), pliki DOC /DOCX Microsoft Word
(ok. 40%), a także Microsoft Excel i Microsoft PowerPoint. Inne formaty
(pliki graficzne, video lub audio) sÄ… wykorzystywane znacznie rzadziej.
Poniżej rzeczywisty przykład (ze zbiorów autora ebooka) złośliwego
załącznika do maila, pliku PDF  obiekt stream zawiera skompresowany,
zaciemniony (ang. obfuscated) kod binarny nowego malware'u.
Copyright© 2014 by Leszek.Ignatowicz@SysClinic.pl
Ebookpoint.pl kopia dla: kp89@riseup.net
Malware na stronach WWW 10
Malware na stronach WWW
Złośliwe dokumenty są zwykle wykorzystywane w atakach
skierowanych, jako załączniki, do starannie przygotowanych (tak, aby
sprawiały wrażenie autentycznych) emaili. Natomiast do szerzej
skierowanych ataków wykorzystywany jest malware zagnieżdżony na
stronach webowych. I nie zawsze sÄ… to strony o podejrzanej reputacji,
pornograficzne czy z nielegalnym oprogramowaniem. Nierzadko sÄ… to
znane i użyteczne strony, które zostały zhakowane, co oznacza uzyskanie
możliwości dowolnej modyfikacji ich zawartości. Może być to zmiana treści
strony (ang. defacement) lub złośliwa modyfikacja jej kodu, umożliwiająca
zainstalowanie malware'u na komputerze ofiary. W tym celu najczęściej są
wykorzystywane podatności (inaczej luki, czy też błędy) środowiska Java
niezbędnego do prawidłowego wyświetlania stron webowych (JavaScript).
Według danych firmy Sourcefire w 2013 roku malware wykorzystujący
podatności Javy, tzw. exploity Javy, stanowił ponad 90% ogółu exploitów
na stronach webowych (pozostałe 10% dotyczy zawartości typu Flash lub
PDF). Jak przebiega taki atak zwany drive-by-download? Otóż wystarczy,
że zarażona strona zostanie wyświetlona w przeglądarce. Nie trzeba klikać
na konkretne linki. Atak powiedzie się, jeśli wykorzystywana przez
przeglądarkę wersja Javy jest podatna, czyli niezałatana. Czasami dlatego,
że nie ma jeszcze stosownej łatki (atak typu 0-day), a najczęściej dlatego,
że użytkownik nie zaktualizował Javy w swoim komputerze.
Złośliwy kod może być umieszczony bezpośrednio na zhakowanej
stronie lub też wykorzystywać niewidoczne w oknie przeglądarki
przekierowanie do innej strony zawierającej malware (złośliwy iFrame
width=0 height=0 frameborder=0).
Copyright© 2014 by Leszek.Ignatowicz@SysClinic.pl
Ebookpoint.pl kopia dla: kp89@riseup.net
Ukrywanie siÄ™ w systemie 11
Ukrywanie siÄ™ w systemie
Nowy malware z jednej strony realizuje coraz bardziej wymyślne
szkodliwe funkcjonalności, a z drugiej coraz skuteczniej infekuje systemy,
długotrwale unikając wykrycia. Znany jest fakt, ze wykrywalność
najbardziej zaawansowanego malware'u jest bardzo niska. Antywirusy sÄ…
bezradne wobec takich technik, jak polimorfizm czy metamorfizm. Wynika
to ze słabości technologii opartej na wykrywaniu sygnaturowym, to znaczy
rozpoznawaniu określonych wzorców binarnych lub ich sum kontrolnych
(ang. checksums) - historycznie wirusów, a obecnie malware'u
hybrydowego. Obie powyższe techniki bazują na zmienianiu formy
binarnej złośliwego oprogramowania przy zachowaniu jego szkodliwych dla
ofiary funkcjonalności.
Polimorfizm
Szyfrowanie formy binarnej wirusa jest techniką, która zapobiega
wykryciu szkodnika przez antywirusy. Uruchomienie takiego wirusa czy też
hybrydowego malware'u spowoduje najpierw jego odszyfrowanie, a
następnie wykonanie właściwego złośliwego kodu. Proste techniki
szyfrowania typu XOR (exlusive OR) mogą być skutecznie rozpoznane
przez antywirusy, ponieważ funkcja szyfrująca /deszyfrująca jest stała.
Polimorfizm również bazuje na szyfrowaniu kodu wirusa, lecz zawiera
wbudowany silnik (ang. engine), który za każdym jego uruchomieniem
generuje odmienną funkcję szyfrującą /deszyfrującą. Tak więc wirus
polimorficzny (lub hybryda) z każdą infekcją kolejnego pliku zmienia
całkowicie swoją formę binarną, zachowując niezmienione funkcjonalności.
Copyright© 2014 by Leszek.Ignatowicz@SysClinic.pl
Ebookpoint.pl kopia dla: kp89@riseup.net
Ukrywanie siÄ™ w systemie 12
Metamorfizm
Metamorfizm - podobnie jak polimorfizm - zmienia formÄ™ binarnÄ…
malware'u, aby uniknąć wykrycia przez antywirusy. Tym razem jednak
wbudowana procedura zmienia sam kod wirusa. Może na przykład
zmieniać wykorzystywane rejestry, wstawiać instrukcje puste (NOP) lub
stosować za każdym razem odmienne instrukcje skoku itp. W wyniku tych
zmian z każdą infekcją zmienia się kod wirusa, co bardzo utrudnia jego
wykrywanie, a detekcje sygnaturowe wręcz uniemożliwia.
Zaciemnianie kodu (ang. obfuscation)
InnÄ… technikÄ… utrudniania wykrycia i analizy malware'u jest
zaciemnianie kodu. Polega ona na przetransformowaniu oryginalnego kodu
programu z jego logicznym przebiegiem na formÄ™ mocno zagmatwanÄ…,
jednak zachowującą oryginalne funkcjonalności. Jest używana nie tylko w
oprogramowaniu złośliwym, lecz także czasami dla ochrony praw
autorskich legalnych aplikacji. Znacznie redukuje szanse na poprawnÄ…
dekompilację kodu i bardzo utrudnia inżynierię wsteczną (ang. reverse
engineering). I właśnie to jest celem producentów złośliwego
oprogramowania  uniemożliwienie analizy funkcjonalności malware'u, co
istotnie utrudni jego zwalczanie. Warto w tym miejscu podkreślić, że
współcześnie przestępcza działalność jest zorganizowana na wzór
legalnego biznesu. Oferuje w pełni profesjonalne produkty z gwarancją i
wsparciem technicznym typu hotline. Wykorzystuje najnowocześniejsze
modele biznesowe, np. Malware as a Service (MaaS) na wzór Software as
a Service (w skrócie SaaS, z ang. oprogramowanie jako usługa). Więcej
na ten temat w publikacji  Blackhatonomics An Inside Look at the
Economics of Cybercrime , Copyright ©2013 Elsevier, Inc.
Copyright© 2014 by Leszek.Ignatowicz@SysClinic.pl
Ebookpoint.pl kopia dla: kp89@riseup.net
Ukrywanie siÄ™ w systemie 13
Kompresowanie binarne (ang. binary packing)
Jest to technika polegajÄ…ca na poddaniu kodu binarnego kompresji oraz
dodaniu do niego procedury rozpakowujÄ…cej. W wyniku powstaje trudny
do wykrycia i analizy malware. Kompresja nie tylko zmniejsza rozmiar
pliku wykonywalnego, lecz również zmienia jego formę binarną, oczywiście
zachowując oryginalne funkcjonalności malware'u. Jest to swoisty
recykling znanego malware'u wykrywanego przez większość antywirusów,
bowiem poddanie go binarnej kompresji ponownie zapewnia mu
niewykrywalność. Packery binarne zwykle są częścią składową zestawów
do samodzielnego konfigurowania malware'u (ang. crimeware kits),
sprzedawanych w cybernetycznym podziemiu jako produkty komercyjne -
 klient samodzielnie  uzdatnia malware do ponownego użycia.
Wirtualizacja jako zaciemnienie kodu
Najnowszą techniką zaciemniania kodu w celu uniknięcia detekcji i
utrudnienia analizy malware'u jest zastosowanie maszyny wirtualnej.
Złośliwy kod jest wykonywany w środowisku wirtualnym. Istotnie utrudnia
to jego analizę, ponieważ oprogramowanie służące do tego celu w takim
przypadku jest całkowicie nieprzydatne. Malware chroniony przez
wirtualizację jest więc bardzo niebezpiecznym i wyrafinowanym
zagrożeniem.
Tradycyjne metody zaciemniania modyfikujÄ… formÄ™ binarnÄ… kodu, lecz
ostatecznie jest on wykonywany na platformie procesora Intel z
wykorzystaniem jego instrukcji. Natomiast wirtualizacja malware'u daje w
wyniku formę binarną składająca się z programu ładującego (ang. Boot
Strap Code), interpretera maszyny wirtualnej (ang. VM Interpreter) oraz
właściwego kodu złośliwego oprogramowania (ang. Byte Code). Jest to
kod wykorzystujący inne instrukcje niż np. procesora Intel x86.
Copyright© 2014 by Leszek.Ignatowicz@SysClinic.pl
Ebookpoint.pl kopia dla: kp89@riseup.net
Ukrywanie siÄ™ w systemie 14
Modyfikacja systemu typu rootkit
Najbardziej wyrafinowane trojany po zainstalowaniu na komputerze
ofiary aktywnie ukrywają swoja obecność w systemie. Są niewykrywalne
nie tylko przez programy antywirusowe, lecz także przez zaawansowane
oprogramowanie do analizy systemu. Nie tylko pliki składowe malware'u,
lecz także złośliwe procesy lub złośliwe wątki wstrzyknięte do użytecznych
procesów są całkowicie niewykrywalne. Właśnie takie funkcjonalności
zapewnia oprogramowanie, które przejmuje pełną kontrolę nad systemem
operacyjnym komputera, czyli rootkit - nazwa pochodzi z systemów Unix,
w których root oznacza użytkownika o najwyższych uprawnieniach. Rootkit
zapewnia niewidzialność szkodliwego działania malware'u poprzez
nadzorowanie systemu i modyfikowanie informacji dostarczanych przez
funkcje systemowe, np. usuwa z listy procesów proces malware'u oraz
oczywiście swój własny, ukrywa niektóre klucze rejestru, pliki itp.
Rootkit trybu użytkownika (ang. User Mode Rootkit)
Ten rootkit ukrywa szkodliwe działanie wykorzystując procesy zwykłego
użytkownika. Przechwytuje on krytyczne funkcje procesu poprzez
modyfikację tablicy adresów funkcji importowanych przez proces (IAT).
Może również wstrzykiwać biblioteki (DLL) lub inny kod do pamięci
aktywnego procesu użytkownika. Często jest to proces eksploratora
Windows lub przeglądarki internetowej, ponieważ oba są niezbędne i
aktywne w czasie normalnego używania komputera.
Rootkit trybu jÄ…dra - bootkit (ang. Kernel Mode Rootkit)
Jest to jeszcze lepiej ukryta modyfikacja systemu operacyjnego
polegająca na zainstalowaniu złośliwych sterowników urządzeń
systemowych lub wstrzyknięciu złośliwego kodu w procesy systemowe.
Copyright© 2014 by Leszek.Ignatowicz@SysClinic.pl
Ebookpoint.pl kopia dla: kp89@riseup.net
Ukrywanie siÄ™ w systemie 15
Ukryta komunikacja z serwerem nadzorujÄ…cym
Nawet najbardziej zaawansowany malware, realizujÄ…c funkcje do
których został przeznaczony, musi komunikować się za pośrednictwem
internetu z serwerem/serwerami nadzorujÄ…cymi (ang. Command and
Control, C&C). Jest to jego pięta achillesowa, bo komunikację sieciową
można wykryć niezależnie od tego, że malware pozostaje w ukryciu. Nie
jest to jednak łatwe, ponieważ malware wykorzystuje wyrafinowane
sposoby ukrywania swojej aktywności sieciowej. Może to być ukrywanie
ruchu sieciowego malware'u poprzez wykorzystanie aplikacji, które są ze
swej natury sieciowe. Najczęściej są to przeglądarki internetowe,
oprogramowanie zdalnego dostępu itp. Muszą się one łączyć, realizując
funkcje, do których zostały przeznaczone. Trudno jest zbadać, czy jakiś
wątek takiej aplikacji nie realizuje złośliwego połączenia. Żeby utrudnić
analizę, komunikacja nie jest ciągła, lecz nawiązywana co jakiś czas,
czasami bardzo długi. Bot Andromeda komunikuje się z serwerem C&C co
ponad 6 dni. Oczywiście sesja komunikacji trwa dość krótko  tyle, ile
trzeba, aby wyprowadzić skradzione dane lub też zaktualizować malware.
W celu utrudnienia wykrycia lokalizacji serwera C&C wykorzystane sÄ…
pośrednie zarażone komputery (tzw. zombie), działające jako proxy na
niestandardowych portach (Fast Flux lub Dynamic DNS). Jednak przy
zastosowaniu specjalistycznego oprogramowania można wykryć i
przechwycić taki złośliwy ruch sieciowy. Odczytanie jego zawartości jest
bardzo istotne dla analizy i unieszkodliwienia malware'u i/lub
serwera/serwerów C&C. Niestety często jest niemożliwe. Nowy malware
korzysta z szyfrowania komunikacji przy pomocy SSL, SSH (ang. Secure
Shell) lub własnych implementacji  może to być np. BitTorrent,
wykorzystujÄ…cy specyficzne szyfrowanie. Jest on zresztÄ… ulubionym
narzędziem hakerów i cyberprzestępców, ponieważ jest oparty na modelu
komunikacji P2P (ang. peer-to-peer), trudnej do śledzenia i analizy, a przy
tym stosunkowo niezawodnej.
Copyright© 2014 by Leszek.Ignatowicz@SysClinic.pl
Ebookpoint.pl kopia dla: kp89@riseup.net
Zrób to sam - pakiet ZeuS 16
Zrób to sam - pakiet ZeuS
Trojan bankowy ZeuS, znany także jako Zbot i WSNPoem, to świetny
przykład nowego malware'u. Zasługuje na szczególną uwagę z kliku
względów. Istnieje od 2007 roku i nie tylko nie został unieszkodliwiony,
lecz wyewoluował w szczególnie groz
ny malware. Prawdopodobnie powstał
w Rosji lub innym kraju rosyjskojęzycznym. Umożliwia pełną kontrolę nad
zainfekowanym komputerem, lecz jego podstawowÄ… funkcjÄ… jest
wykradanie z komputera wszelkich danych uwierzytelniajÄ…cych do
serwisów online, a zwłaszcza do bankowości internetowej. Umożliwia
niezauważalne w czasie ataku wyciągnięcie wszystkich pieniędzy z konta
bankowego dostępnego przez internet. W parze z trojanem ZitMo (ZeuS-
in-the-Mobile) instalowanym na smartfonie przełamuje bez problemu
dwustopniowe uwierzytelnianie przy pomocy SMS-ów z banku (kody TAN).
Copyright© 2014 by Leszek.Ignatowicz@SysClinic.pl
Ebookpoint.pl kopia dla: kp89@riseup.net
Zrób to sam - pakiet ZeuS 17
Trojan ZitMo jest instalowany przy pomocy ZeuS'a, który wstrzykuje na
legalnej stronie banku dodatkową treść, jak na przedniej stronie  z
ródło:
securelist.pl. Nie można jej odróżnić od treści umieszczonych na stronie
przez bank, ponieważ jest wkomponowana lokalnie w przeglądarce (ang.
webinject), a nawiązana sesja z bankiem jest jak najbardziej prawidłowa 
zgadza się adres internetowy, połączenie jest szyfrowane i oczywiście
certyfikat banku jest autentyczny. Zresztą w podobny sposób trojan ZeuS
omamia użytkownika, aby autoryzował przelew na konto przestępców. No
nie! Na to sÄ… zbyt przebiegli. WykorzystujÄ… konta zwerbowanych za
pomocą oszukańczych maili nieświadomych, skuszonych ofertą łatwego
zarobku ludzi, zwanych  słupami (ang. money mule).
ZeuS od strony technicznej jest bardzo wyrafinowanym malwarem, lecz
jego skuteczne wykorzystanie nie wymaga zaawansowanej wiedzy. Został
zaprojektowany jako swoisty pakiet (ang. crimeware kit) do
samodzielnego użycia i dostosowania do zaatakowania wybranych ofiar.
Obejmuje on graficzne środowisko: tzw. builder, służący do
wygenerowania unikatowego binarnego malware'u oraz panel
administratora (web admin panel) serwera C&C. Ten sam builder służy do
skonfigurowania trojana przeciwko użytkownikom dowolnie wybranych
banków. Zestaw ZeuS jest dostępny na czarnym rynku internetowym za
niewygórowaną cenę  builder za 4000$ (z
ródło: Prevx, marzec 2009), a
panel administratora za 700$ (z
ródło: RSA Security, kwiecień 2008).
Trojan ZeuS jest szeroko stosowany na całym świecie właśnie ze
względu na połączenie dwóch pozornie sprzecznych ze sobą cech. Z jednej
strony jest to stale rosnÄ…ce wyrafinowanie techniczne, zapewniajÄ…ce
wysoką skuteczność infekowania ofiar (drive-by-download, maile ze
złośliwymi plikami PDF, a także nośniki przenośne USB), a z drugiej strony
łatwość użycia, nawet przez początkujących cyberprzestępców. Więcej na
temat sposobu działania tego trojana w artykule ZeuS na polowaniu.
Copyright© 2014 by Leszek.Ignatowicz@SysClinic.pl
Ebookpoint.pl kopia dla: kp89@riseup.net
Cryptolocker, cyfrowy bandyta 18
Cryptolocker, cyfrowy bandyta
Trojan ZeuS jest niewątpliwie przebiegłym i skutecznym złodziejem,
natomiast Cryptolocker jest bezwzględnym bandytą, najgroz
niejszym
przedstawicielem tzw. ransomeware (ang. ransom  okup). Przestępcy w
realu zwykle żądają okupu za uwolnienie porwanej i uwięzionej ofiary. A
co może być ofiarą w cyfrowym świecie  to, co najcenniejsze w naszych
komputerach, czyli pliki z naszymi dokumentami, fotografiami, filmami itp.
Trwała utrata dostępu do naszych plików w komputerze to niemały kłopot,
a czasem nawet dramat, np. utrata prawie gotowej pracy dyplomowej,
projektu czy szczególnie cennych zdjęć. Nie każdy robi kopie zapasowe na
przenośnych nośnikach zewnętrznych. Często kopie są na tym samym
fizycznym dysku twardym, np. na drugiej partycji, oznaczonej zwykle jako
dysk logiczny D: (w systemach Windows).
Jak działa Cryptolocker? Mechanizmy infekcji są typowe  maile
spamowe ze złośliwymi załącznikami lub linkami, pliki z tzw. aktywatorami
(ang. keygen) komercyjnego oprogramowania, jak również przenośne
nośniki USB. Po przedostaniu się do komputera Cryptolocker szyfruje
wszystkie pliki użytkownika i wyświetla komunikat z żądaniem opłaty 
okupu (od 100 do 300$ lub 2 Bitcoiny) za ich odszyfrowanie. Szkodnik nie
ukrywa się w systemie, bo jego wykrycie i usunięcie nie odszyfruje plików.
Nie da się ich odzyskać, ponieważ Cryptolocker wykorzystuje silne
szyfrowanie, chyba, że ofiara zapłaci okup.
W cyberprzestępczym podziemiu pojawił się ostatnio jeszcze bardziej
zaawansowany malware tego typu  Prison Locker, zwany też Power
Locker, dostarczany jako pakiet z interfejsem graficznym do jego
konfiguracji. Znakomicie ułatwia to jego skuteczne użycie przeciw ofiarom.
Copyright© 2014 by Leszek.Ignatowicz@SysClinic.pl
Ebookpoint.pl kopia dla: kp89@riseup.net
Antywirusy a nowy malware 19
Antywirusy a nowy malware
Antywirusy sÄ… nadal najpopularniejszym rodzajem oprogramowania
ochronnego przed malwarem. Pojawiły się ćwierć wieku temu. Przez wiele
lat skutecznie chroniły nasze komputery przed wirusami, wykorzystując
technologię sygnaturowego rozpoznawania szkodników. Polega ona na
poszukiwaniu w badanych plikach określonych wzorców bajtowych,
zawartych w tzw. bazie sygnatur. Najpopularniejsze obecnie sÄ… trzy
rodzaje sygnatur: powstałe z wykorzystaniem funkcji skrótu (ang. hash),
wzorce bajtowe i sygnatury heurystyczne. Rozpoznanie malware'u, co daje
szansę zablokowania szkodnika, jest możliwe tylko w przypadku, gdy
program antywirusowy zawiera odpowiedniÄ… do jego binarnego kodu
sygnaturę. Na tej podstawie można ocenić skuteczność współczesnych
antywirusów. Jest ona dobra dla znanego malware'u oraz nikła dla nowego
lub dla nowych form binarnych znanego malware'u. W tym pierwszym
przypadku może sięgać 100%, a w drugim nie przekracza kilku procent
(5%, z
ródło: www.imperva.com, grudzień 2012). A wg oceny firmy
Symantec wynosi ogólnie około 45% (z
ródło: online.wsj.com, maj 2014).
Dlaczego skuteczne przez wiele lat antywirusy stały się niewydolne w
starciu z nowym malwarem? Są dwa główne powody. Po pierwsze wzrost
ilości malware'u jest blisko wykładniczy, co nawet przy zastosowaniu
zautomatyzowanych metod analizy i wytwarzania sygnatur jest dla
producentów antywirusów wyzwaniem ponad miarę. Druga przyczyna jest
związana z faktem, że nowoczesny malware rzadko masowo infekuje
komputery. Działa skrycie, atakując lokalnie niewielką liczbę komputerów
 po prostu może nie zostać schwytany i przeanalizowany, a więc nie
będzie możliwe wytworzenie wykrywającej go sygnatury.
Copyright© 2014 by Leszek.Ignatowicz@SysClinic.pl
Ebookpoint.pl kopia dla: kp89@riseup.net
Podsumowanie  twarde fakty 20
Podsumowanie  twarde fakty
Współczesny malware wyewoluował w ciągu minionej dekady ze
stosunkowo prostych wirusów i robaków, mających jedynie się replikować,
w wyrafinowane aplikacje sieciowe, realizujące różne szkodliwe funkcje.
Wirusy z już minionej epoki miały za zadanie zainfekowanie jak
największej liczby komputerów, co miało przynieść ich twórcom swoistą
hakerską sławę. Czasami nie realizowały nawet intencjonalnie
wprowadzonego złośliwego działania (ang. payload). W ciągu ostatnich lat
nastąpiła radykalna zmiana. Nowy malware jest tworzony nie dla sławy,
lecz dla zysku. Im bardziej niewidzialny i skierowany na wybrane ofiary,
tym lepiej. Liczy się tylko skuteczność wyliczana w finansowym zysku. Jest
traktowany jako produkt, poddany zresztą regułom wzorowanym na
legalnym biznesie. Wysokiej klasy specjaliści wytwarzają coraz bardziej
zaawansowane technicznie złośliwe oprogramowanie, inni zajmują się jego
dystrybucją, często oferując nawet wsparcie techniczne, a jeszcze inni
posługują się nim w przestępczej działalności. Warto podkreślić, że jest to
bardzo dochodowa działalność i stosunkowo mało ryzykowna w
porównaniu z tradycyjną przestępczością. Trudno ją wykryć, a jeszcze
trudniej zdobyć dowody wystarczające do skazania cyberprzestępcy. Nie
ma najmniejszej wątpliwości, że ten cyberprzestępczy biznes będzie nadal
się rozwijał. Nowy malware będzie nadal atakował komputery i coraz
częściej wszelkiego rodzaju urządzenia mobilne, szczególnie smartfony z
systemem Android. Będzie jeszcze bardziej niewidzialny i skuteczny. A do
 opanowania otwiera siÄ™ internet rzeczy (ang. Internet of Things, IoT).
Niedawno firma  Proofpoint wykryła pierwszą lodówkę podłączoną do
botnetu i wysyłającą spam  z
ródło: technowinki.onet.pl. Czy jest więc się
czego bać? Na pewno warto się nad tym zastanowić...
Copyright© 2014 by Leszek.Ignatowicz@SysClinic.pl
Ebookpoint.pl kopia dla: kp89@riseup.net
y
ródła, ebooki, zasoby online 21
y
ródła, ebooki, zasoby online
y
ródła:
"Modern Malware For Dummies" by Lawrence C. Miller, CISSP, 2012
Sysintegrus  bastion ochrony komputerów przed malwarem, 2012
The Worldwide Malware Signature Counter, Triumfant, Inc.
Raport FireEye, Inc. "Linia Maginota w cyberbezpieczeństwie...", 2014
Raport FireEye, Inc. "Cybersecurity's Maginot Line...", 2014
Ransomware: a Q&A, 2014 - w języku angielskim
Ebooki:
"DeRATyzacja komputerów. Jak schwytać i ubić trojany...", 2013
Fragment ebooka "DeRATyzacja..." w formacie PDF, Helion, 2013
"Nowy malware. Czas się bronić! Dla początkujących" - w oprac.
"Nowy malware. Czas się bronić! Dla zaawansowanych" - w oprac.
Zasoby online:
Projekt SysClinic.pl DeRATyzacja kOMPUTERA
BleepingComputer.com - w języku angielskim
SystemClinic.pl - forum Malware
Copyright© 2014 by Leszek.Ignatowicz@SysClinic.pl
Ebookpoint.pl kopia dla: kp89@riseup.net