Сучасні інформаційні загрози: “Затишшя перед бурею”, Комерція, Різне, статті

Перше півріччя 2006 відрізнялося підвищеною складністю технологічних проблем, які доводилося вирішувати антивірусним компаніям, великою кількістю новинок вірусної думки – «концептів», а також все зростаючим інтересом хакерів до Microsoft Office. В цілому все це виглядало як бурхливий протистояння ідей, що генеруються обома сторонами вірусної війни. Проактивність, криптографія, руткіт-технології, уразливості були гарячими темами у першому півріччі цього року.

Але після сплеску активності неминуче настає час затишшя, коли сторони намагаються зробити висновки та оцінити ступінь правильності чи провальність тієї чи іншої концепції. Третій квартал 2006 року і став якраз таким часом, яке співпало з періодом загального прагнення до відпочинку – літніми місяцями.


У третьому кварталі не було жодної значної епідемії, хоча серпня очікується з деяким хвилюванням – але скоріше з данини до традиції: в останні три роки в серпні завжди траплялися потужні вірусні епідемії. Згадаймо 2003 рік, уразливість MS03-026 і черв’як Lovesan. Серпень 2004 приніс нам хробаків Zafi і Bagle, а в 2005 черв’як Bozori (Zotob), що використовує уразливість MS05-039, вразив мережі CNN, ABC, New York Times і ще безлічі інших організацій в США.


У третьому кварталі не було зафіксовано і нових концептуальних вірусів, і це теж пов’язано з тим, що вірусописьменниками потрібен час на усвідомлення тих можливостей, які ними в надлишку були продемонстровані новими PoC-вірусами в першому півріччі. У загальному і цілому, все було тихо і спокійно – йшла звичайна рутинна позиційна війна за Інтернет.


Уразливості


Здається що слово «вразливість» зустрічається в наших квартальних звітах вже набагато частіше ніж «вірус». І це повною мірою відображає ситуацію, що склалася в інформаційній безпеці. Давно вже пішли в минуле часи, коли віруси могли існувати і розповсюджуватися просто так, з волі їхніх творців і безтурботних користувачів. Роки боротьби між вірусописьменниками з одного боку і антивірусними компаніями і виробниками програмного забезпечення з іншого, привели до того, що в даний час практично всі шкідливі програми, здатні викликати епідемії, так чи інакше використовують різні проломи в програмах.


Мережеві черв’яки, які отримали «право на життя» через вразливостей в службах Windows – найяскравіший приклад того, як використання дір в софті може привести до епідеміями глобального масштабу. Уразливості в браузері Internet Explorer стали живильним середовищем для поширення тисяч троянських програм. Все це змушує нас як експертів з тривогою очікувати інформації про кожною новою знайденою критичної уразливості, особливо якщо для неї ще немає відповідного виправлення від виробника.


 

Уразливості в Microsoft Office


Про проблему вразливості в Microsoft Office, дуже швидко стала однією з ключових у сфері інформаційної безпеки, ми вже писали у звіті за другий квартал 2006 року. Починаючи з березня, ми ледь встигали фіксувати появу то однієї, то іншої уразливості в різних продуктах, які входять до складу пакета Microsoft Office. Під приціл «blackhat» потрапили і Word, і Excel, і Power Point. За три місяці число подібних «Дірок» склало майже десяток, і всі вони ставали відомими ще до опублікування патча від Microsoft, який закриває відповідну «дірку».


Більш того, вирусописатели пристосувалися до існуючого у Microsoft графіком випуску оновлень (кожен другий вівторок місяця) і стали випускати в світ свої вироби лише через декілька днів (не більше тижні) після чергового «планового» патча. В результаті практично цілий місяць нова уразливість могла бути використана хакерами, а користувачі все це час залишалися без захисту, наданої компанією-виробником даного програмного забезпечення.


Але й це було ще не найсумнішим в цій історії. І ми, і інші антивірусні компанії в процесі боротьби з шкідливими програмами, що використовують уразливість в Office, проводили власний аналіз «дірок». Стало очевидно, що в їх основі лежить по суті одна і та ж проблема формату документів, що використовують OLE-технологію (файли, створені за допомогою MS Office). Проблема не вирішувалася випуском патчів для кожної знайденої діри – компанії Microsoft необхідно було повністю переглянути технологію обробки структури OLE-об’єктів. Вихідні раз на місяць патчі нагадували заплатки на рибальському мережі – загальне число місць в OLE-об’єкти, які потенційно можуть бути вразливі, становить більше ста.


Доходило до смішного: ми, в «Лабораторії Касперського», навіть укладали між собою парі «через скільки днів після виходу патча з’явиться нова уразливість в Office». Питання про те, чи з’явиться вона, навіть не вставав. Мова дійсно йшла про дні.


У третьому кварталі нічого не змінилося. Зловмисники, серед яких виділялися своєю активністю китайські хакери, продовжували «дивувати» Microsoft все новими і новими троянськими програмами, а Microsoft продовжувала дотримуватися традиційного графіка випуску оновлень.


Липень (3 уразливості):



Август (2 уразливості):



Вересень (1 уразливість):



Слід чітко розуміти, що майже за кожною з цих вразливостей стоять іноді десятки троянських програм, які були виявлені або у поштовому трафіку, або на комп’ютерах користувачів. Повинен сказати найтепліші слова на адресу наших колег з інших антивірусних компаній, у першу чергу з Trend Micro, що виявлялися мимовільними відкривачами цих вразливостей і троянців і повідомляли Microsoft про чергову проблему. Як було сказано вище, особливо активно використовували ці вразливості для поширення троянських програм китайські вирусописатели. Китайські бекдори Hupigon, PcClient, Hackarmy були націлені на користувачів в Європі, Азії та США. Можливо, ця боротьба антивірусних компаній проти хакерів стала основною причиною масових DDoS-атак, яким піддавалися в ці місяці сайти деяких AV-вендорів саме з боку зомбі-мереж, створених такими троянцями.


 

Випадковість чи спланована атака?


Дозволю собі висловити сміливу думку. Можливо, ми маємо справу не зі звичайним сплеском хакерського уваги до програмного продукту. Можливо, це добре спланована і ретельно здійснювана атака на Microsoft. Ким і для чого?


За всіма атаками не проглядається однієї і тієї ж хакерської групи, так що важко повірити в простий збіг: протягом півроку (!) Кожен місяць нові «діри» виявляються стараннями різних хакерів відразу ж після виправлення старих. Послухайте, так не буває, щоб розрізнені вирусописатели в різних країнах світу всі як один перейнялися ідеєю «публікації» вразливостей з оглядкою на графік оновлень Microsoft. Якщо до них в руки потрапляє новий експлоїт, ніхто з них не чекає кілька тижнів, щоб його використовувати. У світі кіберзлочинності діє той же закон, що і в будь-якому бізнесі – «Час – гроші». А ланцюжок «експлоїти – час гроші» ми вже спостерігали у випадку з уразливістю в обробці WMF-файлів, коли експлоїт уразливості продавався на деяких хакерських форумах за $ 4000 (див. звіт за 4-й квартал 2005 року).


Як відомо, MS Office є другим основним продуктом Microsoft і приносить їй майже половину всього прибутку. Office фактично є стандартом для офісних додатків і практично не має конкурентів на ринку. Подібна ситуація не може влаштовувати інші компанії, які без особливого успіху вже багато років намагаються зробити популярними власні аналогічні продукти.


У більшості країн не існує юридичної заборони на пошук вразливостей, тому пошук і публікація вразливостей в продуктах конкурентів відноситься скоріше до області етичної, ніж юридичною. Тенденція виявлення нових вразливостей через лічені дні після попереднього патча більше схожа на спробу дискредитації Microsoft в цілому як компанії-фахівця в галузі інформаційної безпеки і дискредитації її системи планового випуску оновлень зокрема.


У Microsoft багато ворогів. Велике число вразливостей і пов’язані з ними безперервні вірусні атаки дійсно можуть дискредитувати MS Office в очах користувачів.


Ситуація продовжує залишатися вкрай складною. Хоча число знайдених в MS Office вразливостей (судячи з кількості Microsoft Security Bulletin) Пішло до кінця кварталу на спад – це зовсім не означає, що проблема вирішена. Навпаки, нам слід очікувати ще більш витончених видів атак на Microsoft Office. Це пов’язано з тим, що Microsoft вже зробила доступним для відкритого бета-тестування пакет Office 2007, а значить, у хакерів з’являється ще один об’єкт для дослідження.


Цей звіт пишеться в жовтні, і у нас вже є можливість дізнатися про те, скільки ж вразливостей в Office було виправлено жовтневим набором оновлення. Я думаю, що ми можемо з повною підставою віднести їх до третього кварталу, оскільки всі вразливості були виявлені у вересні 2006 року.


Жовтень:



Я залишаю цей список без коментарів.


 

Мобільні новини


Проблема мобільних вірусів завжди була і залишається однією з найбільш цікавих як для «Лабораторії Касперського», так і для мене особисто. Читачі, які стежать за нашими публікаціями, звернули увагу, що останнім часом по цій темі нами було випущено кілька матеріалів. Це і розділ про мобільні віруси в нашому піврічному звіті, і стаття «Введення в мобільну вірусологію» у двох частинах. У цих матеріалах були повністю розкриті і розглянуті всі існуючі види і класи мобільних шкідливих програм. Поза увагою залишилася тільки частина подій третього кварталу 2006 року, і саме про них і піде мова нижче.


Мобільних вірусів, які заслуговують на окрему увагу і виділяються із загальної маси примітивних skuller-подібних троянців, було виявлено три штуки. Розглянемо їх у порядку появи.


 

Comwar v3.0: можливість зараження файлів


У серпні в руки антивірусних компаній потрапив черговий зразок самого поширеного MMS-хробака Comwar. При його детальному аналізі з’ясувалося, що черв’як містить в собі такі текстові рядки:



Відмінність від попередніх варіантів полягала не тільки в номері версії – «3.0», а й у черговий технологічної новинки, застосованої російським автором Comwar. У цьому варіанті він вперше застосував можливість зараження файлів. Хробак шукає на телефоні інші sis-файли і дописує себе в них. Таким чином, він отримує ще один спосіб поширення, крім традиційних MMS і Bluetooth.


В ComWar реалізовані практично всі можливі на сьогоднішній день шляху проникнення і розповсюдження для мобільних вірусів. Все, крім одного. І цей шлях був показаний в кінці серпня іншим хробаком – Mobler.a.


 

Mobler.a: під ударом знову комп’ютер?


Цей черв’як став першим кросплатформним зловредів, здатним функціонувати на операційних системах Symbian і Windows. А функція поширення полягає в копіюванні себе з комп’ютера на телефон і назад.


Будучи запущеним на персональному комп’ютері, він створює на диску E: (як правило, саме як диск E: монтуються підключаються до комп’ютера мобільні пристрої) свій sis-файл. Цей файл містить в собі декілька файлів-пустушок і перезаписує ними ряд системних додатків телефону. Також у файлі міститься Win32-компонента хробака, який копіюється на знімну карту пам’яті телефону і доповнюється файлом autorun.inf. Якщо такий заражений телефон підключити до комп’ютера і спробувати з цього комп’ютера звернутися до знімною карті пам’яті телефону, – відбудеться автозапуск хробака і зараження комп’ютера.


Поки це всього лише концептуальна розробка невідомого автора, але в теорії подібний спосіб розповсюдження мобільних вірусів може стати одним з найбільш використовуваних. Можливо навіть, що він надасть набагато більший вплив на мобільний вірусологію, ніж можливість поширення через MMS, так як під ударом може опинитися не тільки телефон, але і комп’ютер – з настільки жаданими для зловмисника даними. Швидше за все, варто розглядати Mobler.a не як новий спосіб проникнення в телефон, а саме як черговий вектор атаки на персональні комп’ютери користувачів.


 

Acallno – sms-шпигун


Світ мобільних вірусів, за великим рахунком, перебуває зараз у стані застою. Практично всі можливі технології, види і класи шкідливих програм для Symbian-смартфонів уже реалізовані. Від дійсно масового поширення подібних вірусів нас рятує поки що низька (у порівнянні з комп’ютерами) поширеність смартфонів і відсутність явної «комерційної» вигоди від зараження телефону. Інформація, яку містить телефон, не надто цікавий об’єкт для шахраїв: адресна книга, список скоєних дзвінків, тексти і «адреси» прінятихотправленних SMS. Але саме на збір інформації про SMS і націлений ще один цікавий представник мобільного світу – троянець Acallno.


Це комерційна розробка якоїсь фірми, яка призначена для шпигунства за користувачем конкретного телефону. Acallno налаштовується на конкретний телефон за його IMEI-коду (International Mobile Equipment Identity) і не буде працювати на іншому телефоні при простому копіюванні його файлів. Він приховує свою присутність в системі, і це, укупі з функцією шпигунства, змушує нас ставитися до нього як до шкідливої програмі. Троянець (ми класифікуємо його саме так, хоч він і продається цілком легально) дублює всі прийняті і відправлені SMS з телефону, на який він завантажений, на спеціально настроєний номер.


 

Wesber: крадіжка грошей з мобільного рахунку


Крім того, що можна красти тексти і «адреси» SMS, за допомогою SMS можна красти і реальні гроші – з мобільного рахунку абонента. І ця можливість повною мірою реалізована в черговому J2ME-троянця Wesber. Виявлений в самому початку вересня фахівцями нашої компанії, Wesber є другим відомим нам троянським додатком, здатним функціонувати не тільки на смартфонах, але і практично на будь-яких сучасних мобільних телефонах – завдяки тому, що він написаний для платформи Java (J2ME).


Як і його попередник троянець RedBrowser, Wesber.a займається тим, що відсилає на платний premium номер кілька SMS. За кожну з них з мобільного рахунку абонента списується сума в 2.99 долара США. До недавнього часу процедура функціонування подібних premium-номерів у російських мобільних операторів була вкрай проста, і вийти на слід зловмисника, якби подібні троянці стали масовими, було б досить проблематично. В даний час мобільні оператори, стурбовані зростанням числа випадків SMS-шахрайства, стали вживати заходів протидії, зокрема, посилювати правила реєстрації подібних premium-номерів.


На цьому розповідь про мобільні віруси третього кварталу 2006 року можна було б і закінчити, але є ще одна тема. Вона безпосередньо не пов’язана з мобільними телефонами, однак, безсумнівно, відноситься до проблеми безпеки бездротових пристроїв і мереж.


 

WiFi-черв’яки – майже реальність


У серпні компанія Intel оголосила про наявність серйозної вразливості в процесорах Intel Centrino, а саме в частині функцій роботи з бездротовими мережами Wi-Fi. Подробиці уразливості, природно, детально не афішувалися, проте було відомо, що мова йде про «Execute arbitrary code on the target system with kernel-level privileges». Моментально було випущено відповідне виправлення для проблемних ноутбуків, але нас в цій історії цікавить те, що раніше могло здаватися тільки теоретичними міркуваннями, а зараз ледь не стало реальністю. Я говорю про WiFi-хробаків.


Сценаріїв роботи такого черв’яка може бути декілька, і всім їм краще залишатися неозвученими, щоб не підштовхнути вірусотворців до реалізації якого-небудь з них. Однак, в даному випадку все досить очевидно. При наявності подібної уразливості в Intel Centrino існує певна ймовірність появи черв’яка, який буде перебиратися з ноутбука на ноутбук в радіусі дії його WiFi-адаптера. Принцип роботи досить простий – досить згадати класичних мережевих черв’яків Lovesan, Sasser або Slammer. Черв’як виявляє уразливий ноутбук і посилає на нього спеціальний пакет-експлоїт уразливості. В результаті атакований комп’ютер надасть черв’якові можливість для передачі на нього свого тіла і виконання чергового циклу зараження-розповсюдження. Єдину складність може представляти тільки пошук жертви для атаки, оскільки перебір по MAC-адресу представляється вельми нетривіальним завданням, а варіант з вибором по IP-адресою тут не пройде. Втім, своїх «сусідів» по ​​точці доступу черв’як може атакувати саме по IP-адресами. І не варто забувати про те, що безліч ноутбуків мають включений за умовчанням режим пошуку WiFi-точок.


Підкреслюю, що це тільки один з можливих сценаріїв роботи WiFi-хробаків. Наявність вразливостей в бездротових адаптерах поки ще рідкість, але хто знає, що нас чекає в майбутньому? Нещодавно в саму можливість існування вірусів для мобільних телефонів багато хто не вірив …


 

Віруси в системах миттєвого обміну повідомленнями


Протягом останнього року однією з найбільш помітних проблем інформаційної безпеки стали шкідливі програми, що поширюються за допомогою IM-клієнтів таких служб як ICQ, MSN, AOL. Незважаючи на те, що всі інтернет-пейджери володіють можливістю передачі файлів, автори IM-хробаків уникають (або просто не вміють використовувати) цього способу проникнення в систему. Початок 2005 року було ознаменовано появою безлічі примітивних IM-хробаків, які продемонстрували, що спосіб розсилки лінків на шкідливі програми, розміщені на заражених сайтах, є майже настільки ж ефективним, як відправка вірусів поштою. З тих пір і понині основним видом IM-атаки є відправка посилання на спеціально підготовлений веб-сайт, на якому і знаходиться сама шкідлива програма.


Багато троянці розсилають посилання по контакт-листу IM-клієнта. Отриману від свого знайомого посилання користувач з великою ймовірністю відкриє, і в цей момент шкідлива програма (через експлоїти різних вразливостей в Internet Explorer або шляхом прямого завантаження і запуску) проникає в систему.


Поступово у розвитку та реалізації цього методу сформувалося два основних напрямки, пов’язаних з використанням різних IM-клієнтів у різних країнах світу. Якщо в країнах Європи і США основні вірусні IM-атаки організовуються проти користувачів MSN і AOL, то в Росії мішенями атаки є користувачі ICQ (і різних альтернативних ICQ-клієнтів – Miranda, Trillian і т.д.). Це викликано тим, що в Росії MSN і AOL практично не розповсюджені і не користуються популярністю, також як в Китаї, де основним клієнтом для миттєвого обміну повідомленнями є програма QQ.


Крім відмінності в атакованих IM-клієнтах, існує і спеціалізація за типами розповсюджуваних шкідливих програм. На Заході основну загрозу становлять IM-хробаки – широко відомі такі сімейства як Kelvir, Bropia, Licat, атакуючі AOL і MSN. Крім саморозмноження більшість IM-хробаків здатні встановлювати в систему та інші шкідливі програми. Так, наприклад, найбільш численний в даний час за кількістю варіантів черв’як Bropia встановлює на заражений комп’ютер Backdoor.Win32.Rbot, тим самим включаючи його в мережу «зомбі-машин» – так званий «ботнет» (botnet). Існує також деякий кількість хробаків, що атакують китайський інтернет-пейджер QQ.


З ICQ (і Росією) ситуація зворотна. Черв’яків, які б поширювалися через ICQ, вкрай мало. Натомість російським користувачам докучають численні троянські програми, в першу чергу сумно відомий троянець-шпигун LdPinch. Деякі варіанти цього троянця мають досить цікавою функцією: потрапивши в користувальницький комп’ютер і вкравши цікавлять автора троянця дані, шкідлива програма починає розсилати по контакт-листу IM-клієнта зараженого комп’ютера посилання на сайт, де розміщений LdPinch. У третьому кварталі 2006 року в Рунеті сталося кілька помітних епідемій подібного роду, коли протягом дня сотні і тисячі користувачів ICQ отримували від своїх знайомих посилання на шкідливі файли під виглядом посилань на «прикольні картинки» чи «літні фотографії». Зрозуміло, що, насправді, комп’ютери цих знайомих були заражені даними троянцями, і розсилка з заражених комп’ютерів здійснювалася шкідливою програмою.


На жаль, ICQ поки не робить ніяких спроб по створенню якогось фільтра, який би міг видаляти подібні посилання з повідомлень, припиняючи їх доставку користувачам, як це зроблено в MSN. Microsoft довелося піти на такий крок і блокувати будь-які посилання, що містять вказівку на виконувані файли, саме після значних епідемією IM-хробаків в минулому році. Втім, існуючий фільтр, як і раніше не є панацеєю, оскільки, крім посилань на заражені файли, зловмисники можуть розсилати посилання на веб-сторінки, що містять різні експлоїти для браузерів. В результаті користувачі непропатченних браузерів все одно можуть бути заражені. Та й нинішній алгоритм роботи MSN-фільтра далекий від досконалості, що показує проаналізований нашими експертами інцидент, що трапився у вересні.


В кінці вересня в західному сегменті Інтернету був зафіксований черговий сплеск активності IM-хробаків, найбільш помітним з яких став IM-Worm.Win32.Licat.c.


Черв’як розсилав через MSN посилання наступного вигляду:

Всі номери вели на різні троянці-завантажувачі, які, в свою чергу, встановлювали в систему рекламні програми (AdWare.Win32.Softomate) та інші пов’язані з AdWare троянські програми. Зрозуміло, одночасно на заражені комп’ютери встановлювався і сам Licat.c, що вело до чергового циклу розсилки.


MSN-фільтр, як нам здавалося, повинен був успішно блокувати подібні повідомлення, проте черв’як активно поширювався. Аналіз, проведений нашим аналітиком Роулі Шоуенбергом, показав, що MSN-фільтр не блокує посилання, в яких PIF-файл має розширення, відмінне від «. pif». Простіше кажучи, він був «РеЄсТрОзАлЕжНі» і не реагував на заголовні букви – фільтр пропускав посилання з розширенням «. PIF»! Автори хробака використовували цю уразливість. Ми повідомили Microsoft про дану проблему, і незабаром помилка була виправлена.


Всі ці приклади показують, що в даний час не існує надійного захисту від подібного способу розповсюдження вірусів. Основною проблемою є людський фактор: довіра до посилань, що приходять від знайомих, дуже велике. Ситуація нагадує час появи поштових черв’яків, коли користувачі бездумно запускали будь-які файли, що приходять поштою. Зараз вони з тим же успіхом відкривають надсилаються через IM посилання.


Рада, даний нами півтора роки тому, як і раніше залишається актуальним. Ми рекомендуємо системним адміністраторам і фахівцям у сфері IT-безпеки в даний час звернути максимальну увагу на підвищену небезпеку IM-клієнтів і, можливо, внести в корпоративні політики безпеки правила, що забороняють використання подібних програм. Крім того, враховуючи спосіб проникнення подібних хробаків на комп’ютер (через посилання, що відкривається в уразливому браузері), необхідно обов’язково перевіряти весь вхідний HTTP-трафік.


 

І ще про уразливість


У третьому кварталі 2006 року найбільшу загрозу для користувачів представляли крім множинних вразливостей в Microsoft Office (про що йшлося вище) ще дві інші проломи в продуктах Microsoft. Перша з них, що отримала позначення MS06-040, Змусила багатьох згадати серпень 2003 року. Адже між уразливістю MS06-040 і тієї серпневої вразливістю MS03-026 виявилося настільки багато спільного. Почати з того, що обидві вони ставилися до самого небезпечного з відомих класів дірок – можливості виконання довільного коду для Windows-платформ шляхом мережевої атаки. У серпні 2003 року уразливість MS03-026 призвела до гігантської епідемії хробака Lovesan і породила потім ще сотні аналогічних черв’яків. Серпень 2006 міг стати таким же небезпечним, тим більше що експлоїт уразливості був опублікований, і будь вірусопісатель міг, використовуючи його, створити власного руйнівного хробака.


Автори вірусів, звичайно ж, не залишилися в стороні від цієї новини і вже через усього день після виходу патча від Microsoft запустили в Інтернет кілька шкідливих програм, які використовували MS06-040. Першим з них став Backdoor.Win32.VanBot (також відомий як Mocbot). На щастя, він міг успішно атакувати тільки комп’ютери, що працюють під управлінням Windows 2000 і Windows XP SP1. Користувачі XP SP2 не були в групі ризику. Другим фактором, через який глобальна епідемія не відбулася, було те, що це був не хробак, який міг сам поширюватися, а бекдор, керований через IRC (звідси чітко простежується мета авторів VanBot – створення ботнету для подальшого використання). Бекдор міг поширюватися тільки по команді автора, що обмежувало масштаби його проникнення.


У наступні дні з’явилося ще кілька програм, також використовують MS06-040, і всі вони були аналогічними варіаціями на тему бекдор-ботнету. Багато хто з старих шкідливих програм, такі як Rbot і SdBot, просто поповнили свій арсенал експлойтів новим, і нам стали попадатися справжні «мутанти», озброєні десятком найнебезпечніших експлойтів для Windows – починаючи від MS03-026 і закінчуючи MS06-040. Зрозуміло, що «пробивна здатність» таких зловредів незмірно вище, ніж у конкурентів. На щастя, технологічна суть уразливості і вміст експлоїта не дуже значно відрізнялися від уже відомих раніше і були дуже схожі на MS04-011 і MS05-039, що дозволило багатьом виробникам антивірусних програм і файрволов блокувати ці вірусні атаки без будь-якого оновлення продуктів. Епідемії вдалося уникнути, і серпень 2006 року не став черговий «чорною датою» в історії вірусного протистояння.


Все могло змінитися через місяць – у вересні. 19 числа Інтернет облетіла новина про виявлення чергової дірки в браузері Internet Explorer. Уразливість ставилася до процедури в обробці VML – мови розмітки векторної графіки і дозволяла зловмисникові скласти скрипт, що виконує в системі довільний код при відвідуванні інфікованого сайту.


В той день фахівці Sunbelt Software виявили експлоїти – реалізації атаки через уразливість – на деяких російських порносайтах, створених хакерами. Цей факт змусив багатьох вважати саме російських хакерів причетними до створення та поширення даного експлоїта, як це було в ситуації з проломом в обробці WMF-файлів в грудні 2005 року. Однак наше власне розслідування не виявило чіткого «Російського сліду» в історії з VML.


Датська компанія Secunia присвоїла дірці рейтинг «екстремально критична» (найвищий рівень загрози), і викликано це було тим, що вона може бути експлуатувати на будь-якій версії Windows при використанні Internet Explorer.






Уразливість існує через помилку перевірки границь даних у Microsoft Vector Graphics Rendering (VML) бібліотеці (vgx.dll) при обробці певних VML документів. Віддалений користувач може за допомогою спеціально сформованого VML документа, що містить занадто довгий метод fill всередині тега rect, викликати переповнення стека і виконати довільний код на цільовій системі.


Наступні дні принесли з собою масу нових хакерських сайтів зі скриптами-експлойтів уразливості VML. Безліч вірусописьменників постаралися використовувати ситуацію для впровадження своїх троянців на комп’ютери користувачів. Ситуація вкрай ускладнювалася тим, що це був так званий 0-Day експлоїт, тобто для нього ще не існувало патча від Microsoft. І, згідно з графіком випуску оновлень, патч повинен був з’явитися тільки через три тижні, 10 жовтня. Фактично другий раз за рік ми зіткнулися з подібною проблемою – експлоїт є, активно використовується вірусописьменниками, відзначені масові випадки зараження, а виправлення немає. Перший раз це було в грудні 2005 року з WMF. Як і тоді, у вересні 2006 деякі незалежні експерти і компанії випустили свої власні неофіційні патчи, що закривають діру. Це робилося для того, щоб забезпечити користувачам хоч якийсь захист в очікуванні офіційного виправлення від Microsoft.


На щастя, компанія Microsoft швидко усвідомила всю тяжкість ситуації, що склалася і порушила свій графік випуску оновлень. Патч був підготовлений і опублікований в рекордно короткий термін – вже 26 вересня, через всього лише тиждень після відкриття уразливості. Пролом отримала ідентифікатор MS06-055, і випуск патча значно збив потік заражень. В даний час MS06-055 продовжує використовуватися хакерами поряд з іншими відомими уразливими Internet Explorer, і ми закликаємо всіх користувачів терміново встановити виправлення, якщо вони до цих пір цього не зробили.


 

Висновок


Всі ці події третього кварталу 2006 року наводять на думку про те, що Інтернет і сфера інформаційної безпеки стоять на порозі чогось кардинально нового. Беруся зробити висновок про те, що другий етап розвитку вірусів і антивірусних технологій завершений.


Перший етап відноситься до 90-х років минулого століття, коли для боротьби з простими вірусами було досить нескладних сигнатурних методів детектування. Віруси не відрізнялися великою технологічністю, і проблема зараження вирішувалася досить просто.


З початком нового тисячоліття лідерство захопили поштові та мережеві черв’яки, що використовують для свого розмноження і вразливості, і людський фактор. Здатність черв’яків до масових заражень за короткий час привела до зростання кіберзлочинності бізнесу; вірусні технології значно ускладнилися, як збільшився і спектр шкідливих програм. На перший план вийшли швидкість реакції антивірусних компаній, технології емуляції коду, протидія руткитам, захист конфіденційних даних користувачів, спам, фішинг, мобільні віруси, уразливості в браузерах і мережевому устаткуванні і багатовекторні загрози, що поширюються не тільки через пошту, а й IM мережі та інтернет-пейджери.


Спостерігається протягом усього 2006 року тренд вичерпання старих ідей як захисту, так і нападу знаходить підтвердження в наших звітах. Вірусописьменники судорожно кидаються в спробах протистояти сучасним технологіям захисту – намагаються створювати концептуальні віруси для нових платформ, закопуються все глибше і глибше в пошук вразливостей, але все це не знаходить великої реалізації в реальних умовах. Під «Великої реалізацією» я маю на увазі дійсно серйозні загрози, здатні завдати багатомільярдних збитків, як це робили черви Klez, Mydoom, Lovesan, Sasser в минулі роки.


Те, що відбувається зараз – це місцями цікаво, місцями дуже технологічно і серйозно (криптографія у вірусах, наприклад), але в цілому загрози зараз не настільки глобальні і довгострокові, як раніше. Можна констатувати вельми значне зниження рівня протистояння: нічого дійсно нового – все той же потік одних і тих же троянців, вірусів, хробаків, тільки збільшився в кілька разів.


Це думка, звичайно, здасться спірним дуже багатьом, але мені здається, що сучасні вирусописатели-кіберзлочинці пристосувалися до існуючих досягнень антивірусної думки і не прагнуть перейти в наступ. Вірусописьменників влаштовує час реакції антивірусних компаній, яке становить часом лічені години, а то й хвилини, і ті результати, яких зловмисники встигають досягти за цей час. А антивірусні компанії не можуть працювати швидше, ніж зараз, і досягли в масі своїй нема кого технологічного межі у протидії загрозам.


Якщо ситуація йде саме так, як я собі її уявляю, то незабаром все має змінитися. Або антивірусні компанії перейдуть в наступ і «дотиснуть» цей вірусний вал, або вірусна думка народить щось зовсім нове, що задасть нові планки і стандарти антивірусного захисту.


Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*