G Data
Whitepaper 2009
Cum ajunge malware-ul în computerele de afaceri?
Ralf Benzmüller & Werner Klier
Laboratoarele de securitate G Data
1. Care este scopul malware-ului?
Motivele pentru crearea şi distribuirea de malware au suferit o modificare notabilă în
ultimii câţiva ani.
În timp ce în stadiul incipient, dezvoltarea unui virus de calculator a fost în primul rând sub formă de competiţie între amatori, deoarece specialiştii de calculator îşi măsurau puterea unul împotriva altuia, atacatorii de astăzi sunt în primul rând, motivaţi de câştigul financiar.
„Digital underground” îşi instalează o economie subterană sănătoasă, în care, structuri organizate impecabil produc, perfecţionează şi distribuie malware profesional.
În economia criminalităţii cibernetice, are loc un comerţ în plină expansiune, folosind toate tipurile imaginabile de bunuri şi servicii digitale. Pe platforme de tranzacţionare corespunzătoare, informaţii cu privire la noi găuri de securitate descoperite, sunt disponibile să se observe cum malware este format spre a exploata astfel de găuri. Scriitorii, chiar oferă o garanţie funcţională şi îşi aprovizionează clienţii, cu versiuni de upgrade gratuit în cadrul perioadei de garanţie.
Armatele de calculatoare infectate, aşa-numitele zombi, au devenit parte dintr-un botnet, şi sunt
disponibile spre închiriere zilnic pentru executarea de campanii de spam sau atacuri orientate împotriva site-urilor web nepopulare sau servere de mail.
Şi chiar pe link-ul trecut în lanţul creării valorii penale, conversia informaţiilor capturate, de exemplu, datele unui card de credit în numerar, este acoperită de criminali cibernetici în piaţa digitală. Pentru a face acest lucru, companiile fantomă recrutează utilizatorii de PC-uri ca "agenţi financiari", care mai apoi, de asemenea, vor face propriile conturi bancare private disponibile pentru tranzacţii financiare dubioase.
Pentru o lungă perioadă de timp obiectivul principal al unui atac nu va mai fi crearea de malware,
care are drept scop exclusiv la distribuirea la scară largă. Astăzi, reţelele de afaceri sunt din ce în ce mai vizate de atacatori pentru că ele conţin toate tipurile de informaţii demne de spionaj care pot fi vândute, sau pentru că infrastructura reţelelor vizate poate fi exploatată în scopuri criminale.
Fig. 1: Privire de ansamblu asupra sectoarelor individuale ale economiei de e-crime
Aşa cum arată figura 1, e-crima economică este o reţea bine strânsă de diferite "sectoare economice". În fundal sunt jucătorii individuali, care furnizează malware-ului, cunoştinţe despre găuri de securitate şi de furt de date. Acest lucru este vândut sau închiriat de către distribuitori pe
pe pieţele speciale de tranzacţionare pentru "clienţii criminali" şi, în final convertite în numerar de către intermediari în aşa-numitul proces de încasare.
2. Cum fac criminalii cibernetici bani din malware?
Criminalii online fac profit utilizând o gamă largă de abordări şi metode. În acest sens, un rol important îl are utilizarea armatelor de computere infectate, care sunt sub controlul atacatorilor. Aceste aşa-numite botnet pot efectua o serie de activităţi ilegale, prin care să permită ca sume mari de bani să fie transferate prin digital underground.
2.1 Botnets
Botnets sunt axele de susţinere a infrastructurii eCrime. Acestea nu sunt utilizate numai pentru a transmite spam-uri şi pentru a executa respingerea atacurilor asupra serviciului. Computerele Zombie sunt, de asemenea, utilizate pentru a găzdui paginile de tip phishing şi malware şi de a cerceta adresele din server-ul de e-mail. De aceea nu este surprinzător că numărul de calculatoare botnet a crescut puternic până astăzi. În timp ce calculatoarele botnets au fost segmentate în unităţi mai mici de câteva mii de zombi, numărul de botnet " a crescut, de asemenea, în mod semnificativ.
În timp ce controlul folosit era aproape exclusiv bazat pe IRC (Internet Relay Chat; bazat pe textul de chat al sistemului), următoarea etapă de dezvoltare a fost crearea de botnet care folosesc alte protocoale de control. Botnet-urile recente, cum ar fi botnet-ul Storm Infamous, sunt proiectate ca reţele peer-to-peer (P2P). În mod similar puternicul botnet Zunker comunică prin HTTP. După închiderea dubioasă a ISP, McColo, câteva botnet-uri au pierdut comanda şi controlul calculatorului şi au fost prin urmare, incapabile de acţiune. Ca urmare, botnet-urile Srizbi şi Storm au dispărut. Botnet-uri mai noi, de exemplu, Waledac sau Conficker, pot genera mai multe opţiuni de contact, diferite, astfel încât botnet-urile să fie întotdeauna disponibile. Mai mult decât atât, mecanismele de camuflaj sunt din ce în ce mai sofisticate, în timp ce backdoors sunt deghizate în mod eficient cu update-uri frecvente şi rootkits. Programele şi datele pentru o anumită lucrare sau ordin, sunt transmise direct în prealabil şi, ulterior, eliminat din nou.
2.2 Spam
Spam-ul este o afacere mare. Nu este doar furnizorul de produse promovate de pe urma cărora se obţine profit. Spam-ul este, în principal, trimis utilizând botnet. Pentru a trimite 2 milioane de email-uri timp de peste 14 zile, spammer-ul Solomon a plătit 195.20 milioane $, mesajele de poştă electronică au costat 495 $. Lucrând cu situaţii neplăcute inutile, furtul de software şi replici inferioare, este foarte profitabil chiar şi cu cea mai scăzută rată de răspuns. Produsele semi-legale, care sunt promovate prin spam, au o clientelă care este mai mare decât s-ar crede de obicei. Şi nu este doar o chestiune de afaceri frauduloase, prin care clienţii sunt jecmăniţi cu plata pentru mărfuri. Jeremy Jaynes, în momentul în care era al 8-lea spammer din lume, s-a bucurat să încaseze un cec lunar de până la 750.000 dolari.
2.3 Şantajul
În cazul în care magazinul web al unei companii este foarte profitabilă sau societatea este dependent de timpul de prelucrare al email-urilor, atunci societatea este deschisă la şantaj din cauza atacurilor cu privire la acest serviciu.
Reţeaua de PC-uri a unui botnet pot bombarda un site sau server de mail cu întrebare fără rost. Corespunzător la întrebarea în masă a server-ului, sistemul devine suprasolicitat, astfel încât serviciul normal nu mai este este posibil.
Magazinele online de pariuri şi cazinouri nu sunt singurele care pot fi şantajate cu ajutorul
acestor atacuri distribuite-denial-of-service (DDoS). Oricine care învârte o sumă de 5 – 6 cifre pe oră, sau este responsabil pentru furnizarea unei comunităţi de jocuri cu servicii, ocazional, este dispus să plătească o răscumpărare, care este adesea doar o fracţiune din pierderile potenţiale de venituri. Sumele în cauză sunt de obicei patru cifre. Cifrele nedeclarate sunt foarte mari.
Atacurile DDoS sunt, de asemenea, folosite în scopuri politice. În Estonia, de la sfârşitul lunii aprilie şi începutul lunii Mai 2007, serverele de ministere, autorităţi guvernamentale, bănci, ziare şi companii au fost infectate. Mutarea unui monument închinat militar rus a provocat multe resentimente în rândul populaţiei ruse. Deoarece demonstraţiile au fost suprimate violent, botnet-urile au fost folosite ca un instrument politic.
În afară de deja menţionatele şantajişti folosind atacuri DDoS, există şi alte modalităţi de a şantaja victimele pentru a obţine bani. Mod de răscumparare; de exemplu, GPCoder, criptează anumite
fişiere din calculator. Oricine doreşte să recupereze conţinutul acestor fişiere, trebuie să achiziţioneze un program de decriptare care costă între 12 şi 200 dolari după caz.
În cazul în care companiile sunt implicate încă mai există alte metode de a obţine venituri. Un troian poate fi utilizat pentru a transfera pornografia infantilă, software ilegal şi/sau drepturi de autor protejate video şi fişierele audio pe computerul infectat al unui angajat. Atacatorul poate şantaja acum angajatul prin ameninţarea de a informa supraveghetorul sau poate şantaja compania prin ameninţarea de a informa poliţia.
2.4 Furtul de date
Comerţul cu date furate nu se limitează la furtul de carduri de credit şi a datelor bancare. Atacurile de tip fraudă sunt în prezent folosite pentru a fura date de acces pentru eBay, site-uri de reţele sociale, magazine online, conturi de e-mail şi multe altele. Keyloggers, malware-ul folosit pentru a înregistra loviturile cheie, pot fi folosite pentru a fura chiar mai multe date, de exemplu, datele de acces la serverele companiei, jocuri online, conţinutul (confidenţial) al e-mailurilor şi documentelor sau date de login pentru servere, forumuri şi VPN. În cazul în care un nou server de web proaspăt curăţat este re-infectat după doar câteva zile, este posibil ca administratorul de sistem să fi pierdut parola la un keylogger. Fişierul de log obţinut prin astfel de keyloggers sunt tranzacţionate în subteran, la preţuri începând de la câteva sute de euro pentru zeci de gigabytes. Aceste informaţii sunt apoi evaluate de către alte grupuri şi comercializate în continuare.
Datele furate sunt utilizate într-o varietate de moduri:
• datele unei cărţi de credit sunt utilizate pentru a tipări alte carduri de credit false, sau pentru a face cumpărături on-line de la magazine.
• datele bancare sunt utilizate pentru a efectua transferuri bancare neautorizate. Deoarece pentru conturile bancare private, suma de transfer este limitată (de la 5000 EUR se aplică măsuri speciale de securitate), randamentul în astfel de cazuri, este, de asemenea, limitat. Aceste restricţii nu se aplică la multe conturi bancare de afaceri.
Prin urmare hoţii bancari online, îşi consolidează activităţile lor pentru a face rost de un astfel de acces de date.
• conturile eBay furate sunt utilizate pentru a spăla banii furaţi prin comerţul on-line.
• accesul la jocurile online este utilizat pentru a fura monedele on-line şi ustensile.
• datele de autentificare pentru conturile de e-mail şi site-urile de reţele sociale este folosit pentru a trimite spam-ul în conformitate cu numele victimelor.
• furtul de date cu caracter personal este folosit pentru a deschide conturi în forumuri web speciale. Aceste conturi sunt apoi folosite pentru activităţi ilegale şi scenarii de înşelătorie.
2.5 Adware
Adware-ul înregistrează, uneori, comportamentul de surfing al utilizatorilor, afişează publicitatea la apel de la anumite pagini sau manipulează rezultatele de căutare. Adware câştigă venituri, fie în funcţie de numărul de click-uri generate (atunci când, de exemplu, pagina de pornire a computerului afectat este manipulată) fie în funcţie de versiunea instalată. Programele partenere corespondente pot fi găsite în forumuri on-line relevante. Deşi chiar şi marile companii din industria adware-lui au suferit inversări juridice în cursul anului trecut, cifrele pentru malware-ul de publicitate şi de potenţiale programe nedorite au crescut cu un factor de mai mare de cinci, în ultimii doi ani.
Concluzie: Acestea nu sunt în nici un caz toate modelele de afaceri folosite de infractori on-line. Oricum, acesta ar trebui să fie clar că acum activităţile criminale on-line sunt afaceri mari. Anual, criminalitatea on-line provoacă daune în intervalul de la zeci la sute de miliarde - adică mai mult decât traficul de droguri. Domeniile de afaceri menţionate reprezintă domenii-cheie de activitate ale distribuitorilor malware-ului. Cel mai important instrument este furnizat de botnet. Acestea formează coloana vertebrală pentru trimiterea atacurilor de tip spam si phishing. Şantajul, furtul de date şi afişarea ţintelor, publicitate potrivită, sunt de departe punctele cheie.
3. Cum malware infectează PC-ul
Acum, că ştim ce îi motivează pe distribuitorii de malware, putem să ne dăm silinţa pentru subiectul real al acestui studiu. Există numeroase moduri în care malware poate infecta PC-ul de afaceri. În anumite cazuri, poate fi suficient doar o conexiune a computerului Internet sau la o reţea locală. Cu toate acestea, e-mail-ul, servicii de partajare de fişiere, mesaje instantanee şi chiar şi stick-urile USB pot conţine malware. Cu toate acestea, sursa curentă cea mai periculoasă este pregătirea site-urilor web, care fie descarcă fişiere direct de pe computer fie este infectat în fundal în aşa numitul "Drive-by-download".
3.1 O conexiune este tot ce trebuie
Nenumăraţi viermi de Internet, care în mod continuu şi autonom circulă pe Internet, reprezintă o ameninţare permanentă către calculatoarele conectate la Internet. Ei generează continuu adrese IP mai mult sau mai puţin la întâmplare şi verifică dacă computerul corespondent are găuri de securitate neprotejate. Alegerea de adrese de IP este adesea limitată, astfel încât doar anumite zone de reţea, de exemplu, dintr-un anumit ISP sau o anumită regiune, sunt selectate.
Găurile de securitate exploatate pot varia în timp. Chiar şi găuri de securitate care au fost închise pentru o perioadă lungă de timp sunt încă chestionate, cum ar fi cele exploatate de către Blaster (2003) şi Sasser (2004). Cele mai frecvente obiective de atac sunt enumerate în lista următoare:
• Plug'n'Play (MS05-039) prin intermediul TCP/445, TCP/139
• RPC-DCOM (MS03-026/MS03-039) prin intermediul TCP/135, TCP/445, TCP/1025
• LSASS (MS04-011), prin intermediul TCP/445
• MySQL prin intermediul TCP/3306
• Arkeia, prin intermediul TCP/617
• Veritas prin intermediul TCP/6101
• Veritas prin intermediul TCP/10000
• WINS prin intermediul TCP/42
• ARCserve prin intermediul TCP/41523
• NetBackup prin intermediul TCP/13701
• Workstation Service (MS03-049), prin intermediul TCP/135, TCP/445
• WebDAV prin intermediul TCP/80
• DameWare prin intermediul TCP/6129
• MyDoom-Backdoor prin intermediul TCP/3127
• Bagle-Backdoor prin intermediul TCP/2745
• IIS 5.x SSL PCT (MS04-011), prin intermediul TCP/443
• Conturi cu parole triviale (conexiune prin intermediul TCP/139 sau TCP/445)
• MSSQL-Server cu parola triviale (de exemplu, "SA" cont cu parola goala), prin intermediul TCP/1433
Într-un studiu efectuat pe o perioadă de trei luni, atacurile au fost măsurate pe calculatoare cu arhitecturi diferite. În acest timp, computerele Windows au fost, în medie, atacate la fiecare 38
secunde. De aceea unii administratori de sistem s-au confruntat deja cu modul în care un nou computer instalat este atacat şi preluat chiar în momentul în care are loc descarcarea de patch.
În reţelele cu o mulţime de clienţi (de exemplu, T-Online), frecvenţa atacurilor este mult peste media de 38 secunde. Mai mult, pe parcursul ultimilor ani, crearea de coduri de exploatare a fost
bine profesionalizată. Uneori codurile de exploatare pentru găurile de securitate apar la câteva
de zile de la primele rapoarte. De asemenea, numărul de exploatari, care sunt descoperite, deoarece sunt folosite de malware, este în continuă creştere.
Cel mai recent exemplu în acest sens a fost viermele Conficker, care, alături de distribuţia automată, de asemenea, răspândit prin intermediul autorizaţiilor locale, cu protecţie slabă prin parolă şi mecanismul de pornire automată din stick-ul USB.
Acest tip de atac funcţionează fără asistenţa utilizatorului PC-ul şi, în cele mai multe cazuri, fără ca utilizatorul să fie conştient de ea. Un firewall configurat corect sau un router protejează împotriva unor astfel de atacuri.
3.2 Prin e-mail
Ca şi până acum, o mulţime de malware este încă distribuit prin e-mail. Focare imense de Loveletter, Melissa sau Sobig şi Netsky, care au îngenunchiat parţial serverele de mail devin din ce în tot mai rare şi nu sunt, considerate ca un instrument pentru distribuirea de viermi. Sobru, Nyxem şi Warezov au fost ultimii viermii de e-mail care au câştigat atenţia în mass-media. În loc de acestea, o mulţime de valuri mai mici, sunt pornite care sunt limitate în termeni de timp şi de locaţie. În contrast cu viermii de Internet, unde infecţia este automată, viermi de e-mail sunt periculoşi numai în cazul în care destinatarul deschide fişierul ataşat. Pur şi simplu, să primeşti un e-mail care conţine maware nu reprezintă un risc, dar in anumite cazuri este suficient să fie afişat e-mail-ul pentru a infecta clientul (de exemplu, Bubbleboy şi Klez). Cea mai mare parte din mesajele de poştă electronică, necesită ajutor de la beneficiar care este ispitit să deschidă fişierul ataşat, cu numeroase şi variate trucuri de inginerie socială. În plus, toate detaliile posibile în antetul de e-mail poate fi falsificat. Adresa expeditorului este luată deosebit de în serios. Numai prima generaţie de viermi de e-mail se retransmite sub numele victimei. Astăzi aproape toate adresele unui expeditor sunt falsificate de viermi de e-mail.
Din moment ce până acum ataşamentele de fişiere erau filtrate în afara e-mailurilor (fie la poarta de acces sau după), iar utilizatorii de e-mail sunt mult mai conştienţi de riscuri, autorii de malware au schimbat strategia. Email-urile sunt acum trimise cu link-uri încorporate la fişierele de pe Internet, mai degrabă decât cu ataşări de fişiere. La început, aceste e-mailuri nu au fost identificate ca fiind nocive. Cel mai bun caz, filtru de spam-ul a fost în măsură să le filtreze de afară. Cu toate acestea, manipularea utilizatorului a fost aceeasi. El face click pe link, browser-ul îl întreabă ce ar trebui să facă şi de obicei se oferă să execute fişierul. Nu a durat mult până când link-urile malware-ului au fost detectate ca fiind nocive. Prin urmare, autorii malware-ului au creat o legătură către o pagină web în cazul în care beneficiarul trebuie să înceapă fie o descărcare nouă, fie o descărcare ocazională în mod automat ca urmare a transmiterii repetate.
Expeditorul, linia de subiect şi /sau conţinutul de mail servesc ca momeli pentru a ispiti victima în executarea fişierului sau căutarea paginii Web (aşa-numita inginerie socială). Totuşi, numele fişierului din ataşament, fişierele cu extensii duble, icoane populare sau numele de domeniu al link-ului poate să formeze mecanismul decisiv pentru o astfel de încercare de înşelăciune. Iordania şi Goudey (2005) au numit următorii douăsprezece factori psihologici datorită cărora viermii cu cel mai mare succes au fost folosiţi în perioada cuprinsă între 2001 şi 2004:
• lipsa de experienţă
• curiozitatea
• lăcomia
• neîncredere în sine
• favoarea
• dragostea
• credulitatea
• dorinţa
• pofta
• grozăvia
• reciprocitatea
• prietenia
M. Braverman extinde această listă:
• conversaţia generică: scurte declaraţii, cum ar fi "cool", etc.
• avertismente Virus şi patch-uri de software
• malware descoperit pe PC
• raport de verificare a viruşilor la sfârşitul mailului
• informaţii sau mesaje despre conturi: de exemplu, Telecom troian, care se identifică pe sine ca
o factură exagerată de telefon
• mesaje de eroare la livrarea e-mail-ului
• atracţie fizică (se suprapune cu punctul de poftă al lui Iordania & Goudey)
• acuzator: de exemplu, Trojan BKA, care pretinde că au fost găsite fişierele ilegale
• evenimente curente
• lucruri gratis: unii oameni aruncă precauţia în vânt, de îndată ce există o menţiune de a obţine
ceva gratis.
Tentativele de fraudă nu încetează după ce programul malware a ajuns la ţintă şi a fost executat. După ce atacul a avut succes este esenţial ca victima să fie pervenită de faptul că sistemul este infectat. În consecinţă, mesajele de eroare, imaginile sau documentele sunt deschise. Unii viermi, cum ar fi Sircam şi Magistr se ataşează la un fişier şi dacă malware-ul a fost pornit, fişierul original este, de asemenea, deschis. Acest lucru asigură ca infecţia va rămâne neobservată.
3.3 Prin chat
Cei mai mulţi viermi de mesagerie instantanee trimit mesaje cu link-uri către site-uri web. Opţiunea de a transfera fişierele direct este de curând utilizată. Aşa cum se întâmpla şi cu email-urile, atacurile sunt bazate pe inginerie socială. Câţiva viermi de mesagerie instantanee chiar conţin motoare de chat şi sunt capabili să efectueze chat-uri scurte şi, prin urmare, inspiră încredere.
Dacă decideţi să utilizaţi mesageria instantanee la nivel corporativ, ar trebui să alegeţi un client care permite verificarea dosarelor primite. În consecinţă, puţini clienţi oferă oportunitatea de a avea un scaner de viruşi în linia de comandă.
3.4 Prin serviciul de file sharing
Într-un studiu efectuat de către G Data au fost folosiţi termeni asociaţi cu primele 20 de
jocuri online, în servicii de file sharing P2P. La începutul studiului, din mai mult de 1000
fişierele descărcate, 33% erau fost infectate cu malware. Puţin peste două treimi (68%) din
malware a fost identificat ca adware, 23% ca troieni şi 5% ca backdoors.
Pe parcursul studiului, care a fost efectuat timp de şase luni, mai mult de jumătate din
fişiere verificate de serviciul de file sharing P2P, erau infectate cu malware. Această fracţiune a atins maximul la sfârşitul perioadei de anchetă, cu o valoare de vârf de peste 65% de fişiere infectate.
Aceste cifre dovedesc faptul că, în prealabil, serviciile de file sharing P2P rămân deosebit de atractive pentru autorii de malware. Dacă sunt utilizate la nivel corporativ, ar trebui să se asigure că administratorii sunt pregatiţi împotriva consecinţelor.
3.5 Prin stick USB
Hard discuri, DVD-uri sau MP3 playere sunt furnizate ex-works, deja contaminate cu malware. Au fost raportate de asemenea cazuri în care memoriile USB încărcate cu spyware au fost în mod deliberat "pierdute" în parcul auto al societăţii. Unii angajaţi au vrut să ştie ce a fost pe stick şi, astfel, să infecteze PC-ul lor cu spyware.
La începutul anului 2009, viermele Conficker, care a fost foarte larg mediatizat în mass-media,
s-a răspândit, printre altele, prin intermediul funcţiei de autorun a sistemului de operare Windows.
De asemenea, viermi care fac parte din familia "Autorun", exploatează această "funcţie" a Windows-ului.
Aceste cazuri arată că întreprinderile, mai ales în cazul în care stochează o mulţime de date valoroase, pot fi, de asemenea, atacate pe căi neobişnuite.
3.6 Prin reţelele locale
O altă cale de distribuţie este prin reţelelor locale autorizate. Unii viermi se copiază pe ei înşişi în toate zonele accesibile în mod liber. În multe cazuri, folosesc liste de parole curente. Conficker, de asemenea, exploatează aceste puncte slabe, printre altele. Prin urmare, întreprinderile ar trebui să folosească parole strict secrete şi autorizaţiile ar trebui să fie verificate cu regularitate pentru protecţia antimalware. Unele versiuni de Rbot şi Conficker utilizează urmatoarele date de conectare, printre altele:
"Admin", "administrador", "administrat", "administrateur", "administrator", "administratori", "de calculator", "baza de date", "DB2", "dba", "default", "guest", "net", "network", "Oracle", "proprietar", "root", "personal", "student", "Profesor", "utilizator", "virus", "wwwadmin",
şi parole:
"0", "000", "007", "1", "12", "123", "1234", "12345", "123456", "1234567", "12345678",
"123456789", "1234567890", "12345678910", "2000", "2001", "2002", "2003", "2004", "acces",
"Contabilitate", "conturi", "ADM", "admin", "administrador", "administrat", "administrateur",
"Administrator", "administratori", "basd", "de rezervă", "proiect de lege", "curva", "gol", "Bob", "Brian", "changeme", "Chris", "Cisco", "Compaq", "de calculator", "control", "de date", "baza de date", "databasepass", "databasepassword", "db1", "Db1234", "DB2", "dba", "dbpass", "dbpassword", "implicit", "Dell", "demo", "domeniu", "domainpass", "Domainpassword", "Eric", "schimb", "Fred", "dracu '", "George", "Dumnezeu", "oaspete", "iad", "Hello", "acasă", "Homeuser", "HP", "ian", "IBM", "Internet", "intranet", "jen", "Joe", "Ion", "Kate", "Katie", "LAN", "Lee ",
"Linux", "Login", "loginpass", "Luca", "mail", "principal", "Maria", "Mike", "Neil", "net", "reţea", "Nokia", "None", "nule", "oainstall", "OEM", "oeminstall", "oemuser", "birou", "Oracle", "orainstall", "perspective", "Proprietar", "trece", "pass1234", "passwd", "password", "password1", "Peter", "pwd", "qaz", "qwe", "qwerty", "Root", "SA", "Sam", "server", "sex", "Siemens", "curvă", "SQL", "sqlpass", "personal", "student", "judecata", "susan ", "Sistem", "profesor", "tehnic", "test", "unix", "utilizator", "virus", "Web", "win2000", "win2k", "win98", "Windows", "winnt", "winpass", "WinXP", "www", "wwwadmin", "XP", "zxc",
Prin urmare, utilizarea acestor parole sau a altora similare, inclusiv traduceri din germană, ar trebui să fie evitate de către utilizatorii reţelei.
3.7 Prin site-ul web
În prezent, cel mai important gateway pentru malware este furnizat de site-uri web. Este exploatat un punct slab structural în fluxul de lucru de scanare al virusului. Scaner-ul de viruşi verifică fişierele atât de repede cât timp o componentă a sistemului doreşte să-l acceseze (on acces) sau la cerere (on demand). Şi anume un virus desfăşoară o scanare o dată ce codul malware există deja ca un fişier. Atunci când datele site-ului sunt transferate prin intermediul HTTP către browser, codul HTML şi comanda script-ului conţinute sunt interpretate în primul RAM browser şi executate. La un moment dat browser-ul decide să fie stocat conţinutul pe hard disk. Ajuns în acest punct de scanner-ul sună alarma. Cu toate acestea, malware a fost deja executat. Deşi un scaner de viruşi poate oferi o protecţie eficientă împotriva paginilor web ilegale, conţinutul fluxului de date HTTP trebuie să fie verificat înainte de ajunge în browser.
Acestea au fost deja explicate în discuţia cu privire la e-mailurile, fişierele malware pot fi
descărcate de pe pagini web. Acest lucru are loc, fie printr-un link direct la fişierul malware,
prin link-uri de expediere sau păcălind utilizatorul printr-un click pe un buton sau un link de pe computer, care încarcă şi execută fişierul.
Două escrocherii tipice cu care utilizatorul poate fi învaţat în descărcarea şi instalarea malware-ului sunt prezentate pe scurt. Aşa-numitele trucuri scareware, victima utilizând mesaje de avertizare false care să te facă să crezi că sistemul este infectat cu malware. Pentru a elimina infecţia, victima ar trebui să dezvăluie informaţiile de pe cardurile sale de credit şi să plătească aproximativ 50 de dolari pentru o pretinsă "versiune întreagă".
Fig. 2: Un site scareware solicită informaţiile de pe cartea de credit de la o victimă
O altă înşelătorie frecventă este de a atrage o victimă pe o pagină de web pe care este disponibil un filmuleţ. Acesta poate avea o parte erotică a conţinutului sau poate să facă referire la unele evenimente recente, care este prezentată în mass-media (catastrofa naturală, accident de avion, alegerile prezidenţiale, eveniment sportiv). Astfel pentru ca filmul promovat să poată fi vizualizat, vizitatorul trebuie în primul rând să instaleze un codec special de video sau o versiune mai nouă de Flash Player care de fapt conţine malware ascuns. Link-ul este apoi utilizat în mod repetat, pentru a masca malware-ul, care este instalat pe computer în loc de Flash Player.
Fig. 3: Pagina pretinsă video web, care îndeamnă descărcarea de un codec infectat
Cu toate acestea, există o altă tehnică de atac, care nu necesită nici o intervenţie din parte victimei: unitatea aşa-numita by-downloads. În timp ce descărcările trebuie să fie iniţiate de către vizitatorii site-ului, drive-by-downloads, după cum sugerează şi numele, să aibă loc neobservată în cursul surfingului. În acest scop, script-urile care verifică browser-ul şi versiunea sistemului de operare a PC-urilor vizitatorilor sunt salvate pe un computer server. Malware-ul este apoi descărcat de pe Internet pentru a se potrivi la această asociere specială şi este utilizat pentru a verifica browser-ul şi eventualele găuri de securitate. În cazul în care căutarea are un rezultat pozitiv, codul malware este transferat pentru a exploata această gaură de securitate. Acest tip de malware este menţionată ca o exploatare.
Cele mai multe dintre exploatări în existenţă sunt pentru computerele care rulează Windows Internet Explorer. Oricum, punctele slabe din Firefox, Opera şi Safari sunt, de asemenea, exploatate. Instrumente precum Mpack, IcePack sau FirePack există pentru a asigura instalarea corectă a script-urilor. În prezent, autorii de malware profită, cel mai frecvent, de următoarele găuri de securitate:
• CVE 2007-0071 Adobe Flash
• CVE 2008-1309 RealPlayer
• ourgame_GLIEDown2 Internet Explorer
• CVE 2006-0003 MS06-01, MDAC
• CVE 2007-5601 RealPlayer
Odată ce serverul este gata, distribuitorul malware trebuie doar să atragă vizitatorii pe site-ul său. Pe de o parte, acest lucru este realizat cu ajutorul spam-ului, care atrage vizitatorii către site-ul cu mesaje interesante, în special oferte sau câstiguri la loterie. Cu toate acestea, rezultatele căutărilor, utilizând bine cunoscutele motoare de căutare, cum ar fi Google, Yahoo şi Bing sunt adesea manipulate în aşa fel încât site-urile dăunătoare să apară aproape de partea de sus a rezultatelor căutării. Erorile de redactare făcute în timpul introducerii unui link în browser-ul poate duce la site-uri dăunătoare. Două exemple: "mircosoft.com", "google. com "sau" mcaffe.com ", precum şi o mulţime de alte domenii, a căror ortografie este similară cu cea a site-urilor web cunoscute au fost înregistrate de ani de zile, astfel că publicitatea poate fi afişată pe ele. Acesta e modul in care pot fi obţinute venituri prin distribuirea de adware sau malware.
Cu toate acestea, este mult mai eficient cazul în care malware-ul poate fi integrat în paginile web a unui domeniu cunoscut. În cazul în care un atacator are succes cu preluarea controlului serverului de web, apoi cu pagina mai sus menţionată exploatează pachetele de instrumente de web, se introduce în fiecare pagina de web, care apoi descărcă malware de la un alt server (de exemplu, prin intermediul IFRAME sau un script). Mai nou, există instrumente disponibile pentru atacarea serverelor de web, care folosesc atacuri gen dicţionar pentru a încerca şi sparge parola de acces a administratorului. În mod similar, găurile de securitate din software-ul de web comercial, cum ar fi conţinutul sistemelor de management, software-ul de blog şi forum şi unelte de administrare sunt exploatate pentru a prelua servere de web. În majoritatea cazurilor, aceste atacuri nu se limitează la servere de web individuale, ci mai degrabă sunt efectuate pe o scară masivă automatizată. Rezultatul: malware-ul se poate ascunde în orice domeniu.
O altă posibilitate este afişarea de publicitate pe paginile web populare. Aproape toate domeniile de utilizare populare folosesc posibilitatea publicităţii pentru a câştiga bani de pe site-ul web. Bannerele şi anunţurile sunt afişate în mod normal folosind IFRAME, astfel că operatorul nu are nici o influenţă asupra conţinutului care este afişat acolo. Aceasta este responsabilitatea agenţilor de publicitate, pentru a verifica conţinutul mesajelor. Cu toate acestea, acest lucru este mai uşor de zis decât de făcut. Scripturile malware, care au fost create utilizând MPack sau instrumente similare, sunt extrem de bine camuflate şi criptate (crearea de coduri malware polimorfă poate fi, de asemenea, întreprinsă în limbaj script). Această abordare permite încărcarea de cod rău intenţionat pe paginile de web legitime. Aproape 80% din toate infecţiile drive-by au loc pe paginile de web legitime.
Cu toate acestea, este posibil să se transfere malware-ul fără a avea un crack spre un server web. Link-uri pe forumuri, blog-uri sau e-mailuri pot conţine cod malware, care este apoi executat în pagina web. Internetul interactiv, oferă numeroase forumuri de discuţii, şi Wiki, în care participanţii pot scrie rapoartele lor proprii şi descărca fişiere. Uneori există posibilitatea de a încărca malware sau a crea un link către un site web dăunător. Autorul unui articol despre viermele Blaster în Wikipedia a reuşit să creeze un link la un instrument de ştergere care, ulterior, s-a dovedit a fi un troian. În astfel de forumuri există, de asemenea, persoane ale cărori intenţii sunt departe de a fi bune. Având nenumărate identităţi este usor pentru ei a avea acces la cele mai multe locuri după care acestea sunt bine ascunse.
Cu toate acestea, nu este absolut necesar să se introducă malware pe un server. Doar link-ul pe
site-ul web aleator poate conţine malware, care este apoi executat pe pagina de destinaţie. Acest concept este prevăzută să traverseze ca site scripting (XSS). XSS este întotdeauna posibilă, dacă intrările unui utilizator sunt prezentate din nou, pe pagină urmatoare şi intrarea nu este verificată pentru conţinut executabil. Dacă, de exemplu, numele de la un formular este reafişat în următoarea ordine, atunci acest lucru este destul de folositor. În cazul în care un atacator intră pe un cod JavaScript, mai degrabă decât pe numele lui, atunci acesta va fi executat de către browser-ul în măsura în care nu este filtrat. Un exemplu de cross-site scripting: O formulă solicită un nume. În loc de numele lui, atacatorul intră în următorul cod:
<script> alert ( "You're pwned") </ script>
Dupa trimiterea formularului acest cod nu este afişată pe pagina următoare, dar este executat. În acest caz, un mesaj de avertizare apare pe ecran. Un atac adevărat conţine coduri periculoase.
Dar chiar dacă intrările formulei sunt filtrate, codul malware poate fi scris direct în
link-ul de pe pagina respectivă. De exemplu, după cum urmează:
http://www.myserver.dom/site.php?name = <script> alert ( "You're pwned") </
Script>
O astfel de legătură poate fi ascunsă în spatele fiecarui text, care este creat într-un forum sau blog. Este o viclenie în cazul în care astfel de link-uri XSS apar în rezultatele de căutare Google. Autorii de malware optimizează intrarile pe bloguri corupte pentru roboţii de căutare Google şi, folosind câteva trucuri de camuflaj, se asigură că rămân nedescoperite, deşi Google depune efort în găsirea de astfel de link-uri XSS şi eliminarea lor din rezultatele de căutare.
Este o poveste similară cu numeroase oportunităţi oferite de Web 2.0. Şi dacă s-a ajuns la
concluzia că, datorită ameninţărilor care decurg din conţinutul activ sau un script de limbi în
browser-ul, este mai bine să se blocheze tot, se va bloca atunci noua lume fantastica şi oportunităţile nenumărate oferite de Web 2.0. Cu toate acestea, multe dintre aceste funcţii noi au
un potenţial de abuz şi de a creşte numărul de gauri de securitate posibile. La sfârşitul anului 2005, vierme XSS de la Samy a reuşit să creeze mai mult de un milion de prieteni în termen de 18 ore pe Myspace folosind cross-site scripting (XSS). Cu toate acestea, riscul potenţial al cross-site-ului de scripting este încă subestimată.
Domeniile care distribuie malware-ul nu sunt întâlnite doar în „colţurile întunecate” ale Internetului, în portaluri populare de download (de exemplu, Rapidshare), precum şi pe paginile de Internet hacked, ci sunt găsite pe site-urile legitime şi în rezultatele de căutare Google. Concluzie: malware poate fi găsit pe fiecare site-ul web.
4. Drumul parcurs de un val de infectare tipic
Executarea unui atac de către infractori cibernetici are loc în conformitate cu o caracteristică anume. O infectare tipică s-a schimbat considerabil în cursul anului trecut. Viermi cum ar fi NetSky şi Mydoom au avut ataşări de fişiere mari, care conţineau malware monolitic, software cu mai multe funcţii integrate. În ultimii ani acestea au evoluat în multe module mai mici şi de înaltă specializare, care, în funcţie de cerinţe, pot fi descarcate de pe Internet. Infectarea are loc în mai multe etape. După ce un anumit program malware a fost dezvoltat şi potenţiala victimă a fost selectată, atacul are loc efectiv.
În cele din urmă sistemele infectate, care de acum înainte sunt controlate de către atacator, pot fi exploatate pentru aproape orice activitate criminală dorită.
4.1 Pregătirea pentru infectare
În primul rând programul malware folosit trebuie să fie dezvoltat pentru a fi răspândit. Acest lucru nu este necesar pentru fiecare val de infectare. În cazul în care autorul malware-ului a elaborat deja un program de malware, el poate folosi acest şablon cu perioada de timp îndelungată, programe de compilare şi utilitare de camuflare a codului pentru a crea noi variante până când acestea nu mai pot fi detectate de cele mai actualizate programe de antivirus.
Atunci când provider-ul de malware prevede faptul că scanarele de viruşi de pe calculatoarele infectate il va identifica, este suficient să se asigure că există o versiune neidentificată a codului malware.
Odată ce limbajul de programare folosit este creat, atacatorul trebuie să se pronunţe pe unul (sau mai multe) căi de distribuţie. De obicei el poate efectua infectarea cu malware cu ajutorul unui atac executat în mod automat pe o gaură de securitate. În acest caz, victima nu observa nici şi nici infectarea. Oricum, el poate selecta o înşelătorie standard în conformitate cu care utilizatorul cauzele de lansare a a malware-ului de către propriile lor acţiuni.
4.2 Execuţia
În cele mai multe cazuri, o dată ce computerul a fost jefuit un downloader troian este pornit. Acesta se asigură că fişierele nocive sunt transferate în computer şi lansate. În primul rând iniţiatorul atacului este informat cu privire la succesul infectarii şi jefuirii sistemului. Setările de securitate a PC-ului infectat sunt dezactivate. Acest lucru lasă computerul lipsit de apărare împotriva altor activităţi de malware. Următorul pas este de a încărca malware-ul pe computer. La executarea aceştor paşi sunt folosite diferite fişiere malware.
În multe cazuri, primul fişier dăunător descărcate este un backdoor care este ascuns cu un rootkit şi, prin urmare, rulează neobservat în fundal. Datorită acestei backdoor, computerul infectat are un nou proprietar, care poate utiliza calculatorul după propria dorinţă. Printre alte posibilităţi, aceasta backdoor permite computerului să poată fi controlat în coordonare cu multe alte computere de pe glob cu ajutorul IRC, P2P sau HTTP. Computerul este acum parte dintr-o armată zombie de proporţii. După instalarea backdoor-ului sistemul este inspectat mai uşor şi atacatorul decide modul în care vrea să înceapă să utilizeze computerul. Computerul infectat este folosit pentru spyware de date valoroase şi/sau echipate cu adware. În cazul în care computerul are o conexiune bună la Internet, acesta poate fi folosit pentru a trimite spam-ul, oferte de fişiere ilegale pentru download sau de tip phishing sau site-uri malware.
4.3 Utilizarea computerului infectat
În cazul în care computerul zombie comandat de un botnet este folosit pentru trimitere de spam, operatorul transferă un pachet de malware către computerul infectat prin intermediul unui backdoor. Aceasta conţine, printre altele, un mail şablon, o listă de adrese de mail şi a software-ul prin care trimite e-mail-uri. Odată ce această fişier este instalat, este pornit şi trimiterea de e-mail-uri poate începe. După ce toate mesajele de poştă electronică au fost trimise,
software-ul se autoşterge şi şterge şi toate datele de la computer. Singurul care rămâne este backdoor-ul, bine ascuns, pregatit pentru comenzile următoare.
5. Cum vă puteţi proteja
Protecţia calculatoarelor companiilor împotriva malware-ului este doar o zona de securitate IT, care trebuie să fie întotdeauna văzută ca o parte a securităţii corporative globale. Securitatea IT este un proces complex. În fiecare societate, anumite grupuri de utilizatori sau sectoare sunt expuse riscurilor şi necesită măsuri speciale de protecţie. În acest proces fiecare companie trebuie să ia decizii în multe privinţe, ceea ce conduce la soluţii individuale.
În primul rând, protecţia împotriva malware-ului este asociată cu utilizarea unor procese tehnice care ar trebui să fie protectejate împotriva pericolelor definite.
Cele mai importante măsuri tehnice sunt:
- protecţia Anti-Virus
Ar trebui să fie instalată atât pe servere şi clienţi. Aceasta ar trebui să verifice, de asemenea, fluxul de date HTTP şi, dacă este necesar si sesiunile de chat (ICQ, IRC) pentru malware.
- protecţie Anti- Spam
E-mailurile conţin mai nou linkuri către site-urile malware, mai degrabă decât fişiere malware ataşate, iar protecţia spam face parte din protectia malware standard.
- firewall, prevenirea şi detectarea intruşilor
Datele provenite din monitorizarea traficului reţelei pot fi folosite pentru a preveni şi detecta atacurile de viruşi din afara reţelei.
În plus, alte măsuri tehnice contribuie, de asemenea, la protecţia antivirus. Managementul fişierelor cu update-uri, virtualizarea software-ului, drepturile utilizatorului pe calculatoarele companiei, scanarea fişierelor la acces şi la anumite zone din reţea şi măsurile de prevenire şi securitate. Nu vom intra în amănunte in acest document. În acest sens, o sursă de informaţii completă o reprezintă manualul de bază al Biroului Federal pentru Securitatea Informaţiei (BSI).
Din păcate, măsurile tehnice nu sunt suficiente atunci când vine vorba de protecţia unei reţele de tip corporate. Măsurile de securitate trebuie să fie acceptate şi susţinute de către angajaţi. Cadrul pentru acest lucru este prevăzut de liniile de îndrumare de către conducerea responsabilă cu utilizarea calculatoarelor, datelor multimedia şi alte informaţii importante. În acelaşi de timp, condiţiile juridice şi etice trebuie să fie luate în considerare. Măsurile de protecţie trebuie să se reflecte în structura organizaţiei. De exemplu, încălcările liniilor de îndrumare trebuie să aibă după sine şi consecinţe. Nu în ultimul rând, toţi angajaţiilor trebuie să li se aducă la cunoştinţă informaţii despre sursele potenţiale de pericol de pe Internet şi în viaţa de afaceri de zi cu zi. În cazul în care măsurile tehnice sunt monitorizate de către angajaţii eficienţi este posibil să se menţină calculatoarele companiei fără a fi infectate cu malware.