Prim Hírek

Csendben tovább gyorsul a kártevők terjedése

Az idei első félévben tovább gyorsult és minden eddigi rekordot megdöntött az új programkártevők számának növekedése - 2008. június végére az ismert ártó kódok mennyisége elérte a 900 ezret, amely már majdnem duplája a tavaly év végén feljegyzett félmilliós értéknek.

Az ártó kódok ilyen robbanásszerű elszaporodásáért alapvetően nem az újonnan megjelent fenyegetések felelősek, a problémát sokkal inkább a hagyományos trójai, hátsóajtó és exploit típusú fertőzéseknek az eltérő tömörítéssel, titkosítással vagy visszafejtést akadályozó kódrétegekkel újracsomagolt alváltozatai okozzák.

A fertőzésekben egyre gyakrabban alkalmazott önvédelmi megoldások a vírusírók növekvő professzionalizmusára utalnak. A bűnözők napjainkban már a vállalati rendszerekkel vetekedő, összetett IT-infrastruktúra felhasználásával végzik ártalmas tevékenységüket - az így előállított ártó kódok minősége lehetővé teszi számukra, hogy kártevőikkel észrevétlenül elárasszák a netet.

Tendenciózus célzott támadások

2008. első félében növekedett a cégek, szervezetek és személyek elleni célzott elektronikus támadások száma. Az ilyen típusú bűncselekmények során a hacker először igyekszik feltérképezni áldozatát, hogy pontos névvel, megszólítással és munkaköri beosztással ellátott fertőzött levelet küldhessen a számára – benne olyan melléklettel, amelyet az áldozat általában e-mailben vár.

A rejtett kártevőt gyakran Microsoft Word vagy Acrobat PDF dokumentumnak álcázzák a hackerek, de más elterjedt fájlformátumokat is felhasználnak a támadások során. A biztonsági hibán keresztül aktivizálódó trójai általában hátsóajtó funkcióval rendelkezik, amely jogosulatlan távoli hozzáférést tesz lehetővé a feltört gépen található információkhoz - anélkül, hogy fertőzésnek bármilyen nyilvánvaló jele lenne.

Májusban vezető beosztású menedzserek ellen irányuló célzott támadásokat kíséreltek meg az amerikai fogyasztóvédelem (BBB) nevével visszaélő hackerek. A Better Business Bureau nevében írott hamis e-mail panaszbejelentések a támadók alapos felkészülésének eredményeképpen pontos személyes adatokat és cégnevet tartalmaztak, így hitelesebbnek tűntek az áldozatok számára.

A kifinomult, megtévesztésen alapuló csalásnak sokan bedőltek és követték az üzenetben leírt instrukciókat, amely a panaszbeadvány megtekintéséhez a www.us-bbb.com címre invitálta a kiszemelt áldozatot. Ezen a hamis webhelyen egy Adobe Acrobat dokumentumnak álcázott, távoli hozzáférést lehetővé tevő hátsóajtó program fertőzte meg azon látogatókat, akik engedélyezték az ActiveX modul Internet Explorer böngészőben történő használatát.

Politikai célú támadások

Az célzott támadásokat (az anyagi haszonszerzés mellett) ma már politikai és katonai célokra is alkalmazzák. A 2008. március közepi tibeti események kapcsán a kínai hatalom nem csak az utcákon csapott össze a himalájai függetlenség híveivel, de a netet is felhasználták titkos hírszerzésre. Számos Tibet-barát társadalmi szervezet és emberi jogi mozgalom képviselői olyan célzott támadás áldozataivá váltak, amelyben ismeretlenek egy e-mail üzenetben elrejtett fejlett kártevő segítségével próbálták kikémlelni az aktivisták tevékenységét.

A levelek tartalmát Tibet-párti szervezetek valós közleményeiből ollózták össze a támadók és hamis feladó megjelöléssel küldték tovább a célpontként kiválasztott üzenőfórumok és politikai aktivisták számára - azért, hogy a látszólag hiteles forrásból érkező üzenetet minél többen megnyissák. A fertőzött levelek egy része kínai katonák által agyonlőtt tibetiekről készült fotókat ígért a címzettnek, de a hackerek más elterjedt és "biztonságosnak" tartott fájlformátumokat, például .CHM, .DOC, .PDF, .PPT, .XLS is felhasználtak a hátsóajtó kód elrejtésére - néhány áldozatot egy hónapon belül több ízben ért célzott támadás e-mailen keresztül.

Az egyik ilyen dokumentumtípus látszólag a képviselettel nem rendelkező népek és nemzetek érdekeit védő UNPO szervezetnek a tibeti események kapcsán kiadott szolidaritási nyilatkozatát tartalmazta. A hamis fejléccel ellátott e-mail a valóságban egy fejlett támadó kódot rejtett, amely a népszerű Adobe Acrobat PDF dokumentum-olvasó program egyik biztonsági hibáját kihasználva települt fel az áldozatok gépeire. A speciálisan erre a célra kifejlesztett és a legtöbb víruskereső program számára kezdetben láthatatlan billentyűzet-naplózó program ezután egy távoli közvetítő szerverre továbbította a tibeti aktivistáktól ellopott adatokat.

Az F-Secure kutatásai szerint az ilyen jellegű célzott támadásokat politikai és gazdasági hírszerzésre egyaránt felhasználják - amiből az következik, hogy a Tibet ellen fellépő támadók üzleti információk, sőt hadiipari titkok ellopásában is érdekeltek.

A védekezés lehetőségeiről

A célzott támadásokkal szembeni védekezésben az egyéni odafigyelés mellett az erőteljes céges biztonsági kultúra kialakításának is nagy jelentősége van. A hagyományos felhasználói oktatás elsősorban az olyan elterjedt fenyegetésekre koncentrál, amelyek netezők millióit érintik, emiatt nem képes hatékony felkészítést nyújtani a személyre szabott, célzott támadásokkal szemben. Az F-Secure modern, integrált munkaállomás-védelmi termékeiben megtalálható DeepGuard proaktív biztonsági megoldás azonban képes leküzdeni az ilyen célzott támadásokat is.

Az egyénre szabott támadásokat lehetővé tevő információ-gyűjtési módszereket csoportok ellen is felhasználják az adathalászok. A „spear phishing” néven ismert módszer lényege, hogy csak a csoport-profilnak megfelelő címzettek részére küldenek megtévesztő üzenetet, azt viszont általános címzés (pl. Tisztelt Ügyfelünk!) helyett az e-mail fiók adatai alapján névre szóló címzéssel látják el, így "Kedves János!" az egyszerű adathalász próbálkozásokhoz képest nagyobb valószínűséggel nyitja meg a spear phishing keretében kapott levelet.

Fejlett kártevők tűntek fel a neten

Az idei év első felét meghatározó "átcsomagolt" fertőzések mellett néhány valóban újszerű kártevőre is érdemes felhívni a figyelmet. Ezeknek a rugalmasan felhasználható vírusoknak a megjelenése azt bizonyítja, hogy az online bűnözők egy része jól felkészült és jelentős erőforrásokkal rendelkezik - ami lehetővé teszi számukra, hogy nagy befektetést és időráfordítást igénylő fejlett háttérrendszereket építsenek ki a fertőzések terjesztésére.

A Mebroot elnevezésű rootkit az egyik legfejlettebb, rejtőzködő tulajdonságokkal rendelkező kártevő - a számítógépek merevlemezének indító szektorát (MBR) megfertőző program kifejlesztése szakértők becslései szerint több hónapnyi munkát adott a hackereknek.
Az MBR-be való beépülés után a Mebroot már csak minimális változtatásokat végez a működő rendszerben, így a Windows betöltődését követően az alacsony szintű fertőzést nagyon nehéz detektálni - az F-Secure Blacklight szoftver azonban képes erre a feladatra.

A Viharféregként is ismert Storm Worm kártevő-család - amely nagy szerepet játszott a modern online fenyegetések fejlődésében és a "drive-by-download" típusú fertőzések elterjedésében - egyes szakértők szerint idén a "Webfertőzés 2.0" korszakba lépett. Ez az összetett működésű kártevő ugyanis igen hatékonyan használja fel az aktuális eseményeket és híreket megtévesztésen alapuló támadások végrehajtására.

A Microsoft cég áprilisi tájékoztatása szerint azonban a Windows Update rendszer segítségével terjesztett MSRT mini-víruskereső alkalmazás - amely a leggyakoribb számítógépes fenyegetések eltávolítására alkalmas – máris sok fertőzött, távolról irányított „zombi” gépet mentesített és ezzel nagyban hozzájárult a Storm botnet elleni küzdelemhez.

A Viharféreg készítői az e-mail kampány fokozásával válaszoltak erre a fejleményre - az utóbbi időben egyre több üzenet igyekszik fertőzött weblapok látogatására rávenni a gyanútlan címzetteket. A Storm botnet ma már közel sem olyan erős mint fénykorában, de szinte biztos, hogy még hallani fogunk felőle.

Webes rendszerek elleni támadások

2008. első felében online bűnözők rendszeresen támadtak SQL adatbázis-kiszolgálót használó webhelyekre. A korábbi évektől eltérően most nem a Microsoft SQL szoftver sebezhetőségeit használták ki a hackerek, hanem a webes űrlapok kitöltésének ellenőrzése során vétett hibákra utaztak - ez a módszer lehetővé teszi, hogy automatizált módon szabálytalan formátumú, kártékony adatot juttassanak be a sebezhető webhelyek adatbázisába.

Ez a támadástípus a dinamikus tartalmat nagy sebességgel kiszolgáló webszerverek elterjedése miatt egyre jelentősebbé válik. Fontos tehát, hogy a kliensek által feltöltött információk - amelyek alapvető fontosságúak például egy blog-gyűjtemény, online fórum vagy véleményküldő űrlap működéséhez - mentés előtt formai és tartalmi vizsgálatra kerüljenek.

Ellenkező esetben nem lehet garantálni azt, hogy a látogatók számára a weblapon mi jelenik meg - az SQL adatbázisba bejuttatott kártevők módszere pont az ilyen ellenőrzések hiányosságainak kijátszásán alapul.
Az SQL-alapú webportálok elleni masszív támadások következtében egyidejűleg akár több tízezer domén terjeszthet ártó kódot - a hackerek eddig már több millió honlapot törtek fel. Legalább két jelentős online banda létezik, amely teljesen automatizált támadó eszközökkel tölti fel a kártevőt a sebezhető SQL-alapú rendszerekre.

Mindez maga után vonja azt, hogy többé már nem beszélhetünk "megbízható webhelyekről" - az összes olyan kiszolgáló veszélybe kerül, amelyen megtalálható legalább egy sebezhető webes űrlap. Az SQL adatbázisba bejuttatott IFrame utasítások ugyanis számos különféle sebezhetőség kihasználásával próbálják megfertőzni a látogatók gépeit - a drive-by download típusú támadások gyakoribbak, mint valaha.

A vírusírok figyelme az alkalmazói szoftverek felé fordult

Júniusban mindhárom vezető webböngésző-program új fejlesztésekkel jelentkezett  - a Windows-ba beépített Internet Explorer nyolcas változatának a bétatesztelése kezdődött meg, míg a független Firefox 3 és Opera 9.5 böngészők végleges kiadásban váltak hozzáférhetővé.

Az új szoftverek mindegyikében számos továbbfejlesztett biztonsági funkció hivatott megnehezíteni a kártékony programok dolgát, a Firefox 3.0 június 18-i megjelenését pedig még nagyszabású médiakampánnyal is támogatták, így már az első 24 órában több millió felhasználóhoz sikerült eljuttatni a megerősített védelemmel rendelkező böngészőprogramot.

A HTML-megjelenítő környezetek mind biztonságosabbá válásával azonban a vírusírók figyelme egyre inkább a külső gyártóktól származó programok felé fordul. Az alkalmazói szoftverek, mint az Adobe Flash vagy az Acrobat hibáinak kihasználása könnyű és gazdag zsákmányt biztosít a számukra - a netes animációk és videók megjelenítésére leggyakrabban használt, mindenütt megtalálható Macromedia Flash modul különösen ki van téve a támadásoknak.

Az F-Secure cég víruslaborja májusban és júniusban nagyszámú kártékony Flash fájllal találkozott, amelyeket többnyire SQL adatbázisba ágyazott támadások során alkalmaztak a hackerek. Az Adobe Flash 9.0.124 verzió kivételével minden korábbi változat sebezhető az ilyen fertőzések valamelyikével szemben, így a rengeteg még fel nem frissített gép megfertőződése komoly kockázatot jelent.

Ennek a problémának kiküszöbölésére jó hatásfokkal használhatók a szoftverbiztonsági állapotot felmérő rendszerek, mint például az  ingyenes "Health Check" megoldása.

A mobileszközök biztonságáról

2008. első félévében nem fordult elő jelentős, mobiltelefonokat érintő járvány - a Symbian S60 második kiadású operációs rendszereket fenyegető Beselo férgen kívül demonstrációs céllal készült kártevők és kereskedelmi kémprogramok jelentek meg ilyen eszközökre.

Lényegesen nagyobb aktivitás volt tapasztalható az illetéktelen hardver-módosítás és kikódolás területén. Az elektronikával foglalkozó hobbisták ugyanis szívesen vizsgálják a népszerű készülékeket, módot keresve arra, hogy megszüntessék az azokban található korlátozásokat - e tevékenység a játékkonzolok másolásvédelmének feltöréséhez hasonlítható.

A legújabb sláger ezen a területen az ún. jailbreak, ami egy a Unix számítógépek világából származó kifejezés és arra utal, hogy a hackerek képesek fájlokat ki- és bejuttatni a korlátozásokkal védett rendszerterületre - így módot találnak arra, hogy digitális aláírás nélküli programkódot futtassanak.

Ez különösen az iPhone érintőképernyős telefon rajongóinak fontos, mivel az Apple cég sokáig nem engedte meg a külső fejlesztőknek, hogy az eszközre jóváhagyott alkalmazásokat fejlesszenek. A netes közösség ezért a jailbreak módszer felhasználásával egyszerűen használható segédeszközöket készített, amelyek "kinyitják" az iPhone készülékeket. Mindez azonban biztonsági kockázatokat hordoz magában, így az iPhone-jelenség a víruskutató szakemberek figyelmét is felkeltette.

Talán a rohamosan terjedő iPhone-bütykölés hatására az utóbbi időben a világon legelterjedtebbnek számító okostelefon operációs rendszer, a Symbian is megkapta első jailbreaking szoftverét. A neten egy olyan S60 harmadik kiadású telefonokra készült .SISX segédprogram kering, amely a mobil operációs rendszer hibakereső felületét felhasználva képes megszüntetni a készülék korlátozásait - ráadásul mindezt úgy éri el, hogy nem kell módosítania az érzékeny beépített mikrokódot.

Az olyan telefonok, amelyeket így "szabadítottak fel" már képesek digitális aláírás nélküli programokat futtatni - ez a módosítás nélkül nem lenne lehetséges. Elvileg a módszer felhasználható arra, hogy jogosulatlanul manipuláljanak vele más, a készüléken futó alkalmazásokat, sőt szakértők szerint hasonló trükkel akár az összes Symbian alapú készülék is támadható lehet - több ilyen program azonban egyelőre nem jelent meg a neten.

Az F-Secure szakértői szerint elképzelhető, hogy a fenti trükkök beépítésével előbb-utóbb létrejön az ismert Beselo, Cabir vagy Commwarrior mobilférgek valamelyikének az aktuális Symbian harmadik kiadású eszközökön is futó változata - csak azért, hogy a hackerek bebizonyíthassák ez is lehetséges. Egy ilyen kártevő azonban valószínűleg nem fog elterjedt járványt okozni, mivel az új mobil oprendszer kezelői felülete olyan grafikai változtatásokat tartalmaz, amelyek megnehezítik a felhasználó félrevezetésén alapuló támadásokat.

A mobileszközök illetéktelen módosítása jelentette kockázat elsősorban a vállalati rendszergazdák számára fog gondot okozni. A hobbisták által kifejlesztett "okostelefon-felszabadító" programok népszerűségének növekedésével egyre nehezebb lesz betartatni a biztonsági házirendet és korlátok közé szorítani a kalandvágyó felhasználók által telepített aláíratlan programok tevékenységét.