Niebezpieczeństwa Internetu

Niebezpieczeństwa Internetu

Jewgienij Asjejew
Analityk zagrożeń, Kaspersky Lab

W jaki sposób Twój komputer może zostać zainfekowany, nawet gdy tylko surfujesz po Internecie? Jak cyberprzestępcy zarabiają pieniądze, oszukując użytkowników? Odpowiedzi na te pytania znajdziesz w artykule.

Cel

W ostatnich latach zagrożenie infekcją z Internetu stale wzrasta. Częściowo wynika to z rosnącej liczby internautów oraz zasobów online. Z drugiej strony wiąże się z faktem, że cyberprzestępcy chcą zarobić jak najwięcej pieniędzy. Obecnie ataki przeprowadzane za pośrednictwem Internetu są zarówno najliczniejszym jak i najniebezpieczniejszym typem zagrożeń. Nasze miesięczne statystyki dotyczące szkodliwego oprogramowania potwierdzają istnienie ogromnej liczby ataków online, które stają się coraz bardziej zaawansowane. Do najbardziej złożonych zagrożeń, jakie pojawiły się w ostatnim czasie, należą ZeuS, Sinowal oraz TDSS, z których wszystkie rozprzestrzeniają się za pośrednictwem Internetu. W sieci panuje również plaga fałszywych rozwiązań antywirusowych oraz programów blokujących. Operacja Aurora, ukierunkowany atak, który cieszył się sporym zainteresowaniem mediów, również został przeprowadzony przy użyciu strony internetowej (zobacz: http://en.wikipedia.org/wiki/Operation_Aurora). Jest to zaledwie wierzchołek góry lodowej.

W atakach internetowych głównym celem cyberprzestępców jest umieszczenie i zainstalowanie szkodliwego pliku wykonywalnego na komputerze ofiary. Naturalnie, istnieją ataki, takie jak Cross-Site Scripting zwane również XSS (http://pl.wikipedia.org/wiki/Cross-site_scripting) oraz Cross-Site Forgery Requests (http://en.wikipedia.org/wiki/Cross-site_request_forgery), które nie wymagają pobierania i instalowania plików wykonywalnych na komputerach ofiar. Jednak możliwość kontrolowania zainfekowanego systemu od wewnątrz otwiera wiele możliwości; skuteczny atak zapewnia cyberprzestępcom dostęp do danych użytkownika i zasobów systemowych. Cyberprzestępcy wykorzystają to, w ten czy inny sposób, do zarabiania pieniędzy na swoich ofiarach.

Atak

Ogólnie, atak składa się z dwóch kroków: przekierowania użytkownika do zainfekowanego zasobu oraz pobrania szkodliwego pliku wykonywalnego na jego komputer.

Cyberprzestępcy wykorzystują każdy możliwy kanał do zwabienia użytkowników do swoich zainfekowanych zasobów: e-mail, komunikatory internetowe, portale społecznościowe, wyszukiwarki, reklama – szkodliwe odsyłacze można znaleźć wszędzie. Czasami cyberprzestępcy nie muszą nic robić, aby przyciągnąć użytkowników – po prostu włamują się na legalną stronę internetową o dużej odwiedzalności. Ostatnio cyberprzestępcy coraz częściej uciekają się do tej metody.

Gdy użytkownik otworzy zainfekowany zasób, pozostaje tylko pobranie i zainstalowanie szkodliwego programu na jego komputerze. Cyberprzestępcy mają dwie możliwości: nakłonić użytkownika, aby samodzielnie pobrał program, lub przeprowadzić atak drive-by download. W pierwszym przypadku, powszechnie stosowane są metody socjotechniki (zobacz: http://pl.wikipedia.org/wiki/Inżynieria_społeczna_(informatyka)), w których cyberprzestępcy żerują na naiwności i/lub braku doświadczenia użytkowników. W drugim przypadku, cyberprzestępcy wykorzystują lukę w oprogramowaniu działającym na komputerze ofiary.

Na schemacie poniżej pokazano, w jaki sposób w atakach internetowych są pobierane i instalowane szkodliwe pliki:


Atak internetowy, w którym jest pobierany i instalowany szkodliwy plik

Przyjrzyjmy się dokładnie, w jaki sposób użytkownicy korzystają na co dzień z Internetu i jak mogą trafić na “złą” stronę internetową, która spowoduje infekcję komputera.

Spam

Spam jest jedną z najczęściej stosowanych taktyk przez cyberprzestępców w celu zwabienia użytkowników na zainfekowaną stronę. Ten rodzaj spamu w pełni wykorzystuje możliwości dzisiejszego Internetu. Kilka lat temu słowo „spam” kojarzyło się tylko z e-mailami reklamowymi. Obecnie spam jest rozprzestrzeniany za pośrednictwem wielu różnych kanałów: komunikatorów internetowych, portali społecznościowych, blogów, forów, a nawet wiadomości SMS.

Często wiadomości spamowe zawierają szkodliwe pliki wykonywalne lub odsyłacze do zainfekowanych zasobów. Cyberprzestępcy agresywnie wykorzystują socjotechnikę w celu przekonania użytkowników do kliknięcia odsyłaczy i/lub pobrania szkodliwych plików: umieszczają w wiadomościach odsyłacze, które rzekomo prowadzą do gorących newsów lub popularnych zasobów i firm internetowych. Ogólnie, cyberprzestępcy żerują na ludzkich słabościach: strachu, ciekawości i ekscytacji. Celem tego artykułu nie jest szczegółowe zbadanie metod socjotechniki. Sporo przykładów pokazujących, w jaki sposób szkodliwe programy są rozprzestrzeniane za pomocą socjotechniki, zostało już zaprezentowanych na naszej stronie www.viruslist.pl.

Zwracające uwagę odsyłacze i banery

Jedną z metod wykorzystywanych obecnie do przyciągania użytkowników na zainfekowane zasoby są banery reklamowe i ciekawie wyglądające odsyłacze. Z reguły metody te są najczęściej stosowane na legalnych stronach oferujących nielicencjonowane oprogramowanie lub treści dla dorosłych.

Poniżej przykład takiego ataku. Gdy użytkownik wpisał do wyszukiwarki Google hasło „download crack for assassin's creed 2” – popularne wyszukiwanie w maju 2010 roku – wśród wyników pojawił się adres strony internetowej, która po załadowaniu wyświetlała baner pływający reklamujący Forex-Bazar.

 
Banner pływający na stronie internetowej oferującej nielicencjonowane oprogramowanie

Próba zamknięcia banera powodowała otwarcie nowego okna przeglądarki. Okno to wyświetlało stronę internetową oferującą filmy dla dorosłych. Po kliknięciu “preview” dowolnego z tych filmów pojawiał się komunikat informujący o konieczności zainstalowania aktualizacji programu Adobe Flash Player w celu obejrzenia materiału.

 
Wiadomość wyświetlana na stronie internetowej w wyniku próby obejrzenia filmu dla dorosłych

[Komunikat ten informuje użytkowników, że nie będą mogli obejrzeć żądanej zawartości, dopóki nie zainstalują najnowszej wersji Flash Playera.]

Kliknięcie “pobierz aktualizację”, a następnie “zainstaluj aktualizację” powodowało zainstalowanie się na komputerze użytkownika nie aktualizacji firmy Adobe, ale jednego z najnowszych wariantów Trojan-Ransom.Win32.XBlocker. Program ten otwierał okno na innych oknach i wyświetlał komunikat, w którym informował, że należy wysłać wiadomość tekstową na krótki numer, aby otrzymać klucz umożliwiający “natychmiastową dezinstalację tego modułu” i zamknąć okno.


Okno pojawiające się po zainstalowaniu Trojan-Ransom.Win32.XBlocker

[Tłumaczenie: Ten program nie jest wirusem, nie blokuje Menedżera zadań ani innego oprogramowania na twoim komputerze. Jeżeli chcesz natychmiast odinstalować ten moduł, wyślij SMS o treści 4100845162839561 na numer 3381. W polu poniżej wprowadź otrzymany kod. Koszt SMS-a można sprawdzić na stronie smscost.ru. Warunki: http://www.vsesuperporno.ru/service_-_tariffs/]

Black hat SEO

SEO (Search Engine Optimization) oznacza metody wykorzystywane w celu poprawy pozycji danej strony internetowej w wynikach wyświetlanych przez wyszukiwarkę w odpowiedzi na określone frazy zapytania. Obecnie wyszukiwarki stanowią kluczowe narzędzie podczas poszukiwania informacji; im łatwiej znaleźć stronę internetową, tym większe będzie zapotrzebowanie na oferowane przez nią usługi.

Istnieje wiele metod SEO – zarówno legalnych, jak i zakazanych przez wyszukiwarki. Firmę Kaspersky Lab szczególnie interesuje stosowanie niedozwolonych metod SEO, znanych również jako hat SEO (http://pl.wikipedia.org/wiki/Spamdexing). Techniki te są powszechnie wykorzystywane przez cyberprzestępców do promowania zainfekowanych zasobów.

Poniżej ogólny opis, w jaki sposób użytkownicy trafiają na “zoptymalizowane” zasoby, oraz co robią cyberprzestępcy, aby ich zasoby były bardziej widoczne.

Przy użyciu słów kluczowych, które mogą być wprowadzane ręcznie lub automatycznie (na przykład przy pomocy Google Trends) cyberprzestępcy tworzą strony internetowe o określonej zawartości. Zwykle odbywa się to automatycznie: boty tworzą zapytania do wyszukiwarek i kradną zawartość ze stron, które pojawiają się na najwyższych miejscach w wynikach wyszukiwania.

Aby zagwarantować pojawienie się nowej strony internetowej w najwyższych wynikach wyszukiwania, ich twórcy muszą “zmusić” roboty sieciowe, lub pająki, do zindeksowania takiej strony. Najprościej jest zapoczątkować proces indeksowania ręcznie, wykorzystując, na przykład, strony na http://www.google.com/addurl" target=_blank, na których użytkownicy mogą wprowadzić swoją stronę do indeksu wyszukiwarki. Aby przyspieszyć „wywindowanie” strony do czołówki wyników wyszukiwania, odsyłacz do takiej strony można umieścić w zasobach, które są już znane wyszukiwarkom, takich jak fora, blogi czy portale społecznościowe. Odsyłacz do strony docelowej na takich stronach spowoduje, że w procesie indeksowania strona ta będzie wyglądała na bardziej popularną. Ponadto, strona może zostać „zoptymalizowana” przy użyciu botnetów: zainfekowane komputery przeprowadzają wyszukiwanie przy użyciu określonych słów kluczowych, a następnie spośród wyników wybierają stronę stworzoną przez cyberprzestępców.

Następnie na nowo utworzonej stronie jest umieszczany skrypt, który przy użyciu przetwarzania nagłówków http może zostać wykorzystany do zidentyfikowania odwiedzających. Jeżeli odwiedzającym jest robot sieciowy, „wyświetlana” jest strona z zawartością związaną z wybranymi słowami kluczowymi. W rezultacie strona będzie widniała wyżej na liście zwróconych wyników wyszukiwania. Jeżeli użytkownik trafi na tę stronę z wyszukiwarki, zostanie przekierowany na zainfekowaną witrynę.

 
Black hat SEO: tworzenie i prezentowanie danych

Strony promowane przy użyciu nielegalnych lub wątpliwych metod są natychmiast usuwane przez wyszukiwarki z wyników wyszukiwania. Dlatego właśnie cyberprzestępcy wykorzystują z reguły zautomatyzowane procesy tworzenia i optymalizacji takich stron; powoduje to przyspieszenie procesu i zwiększenie liczby nowych zainfekowanych zasobów sieciowych.

Automatycznie tworzone strony internetowe mogą zostać umieszczone w dowolnym miejscu: w zasobach cyberprzestępców, zainfekowanych legalnych zasobach, darmowych serwisach hostingowych lub platformach blogowych.

Black hat SEO w akcji (kliknij, aby rozwinąć treść)

Opisane wyżej metody infekcji są skuteczne tylko wtedy, gdy użytkownik zgodzi się na pobranie programu. Użytkownik często pobiera taki plik, szczególnie gdy jest niedoświadczony lub nie zwraca uwagi na detale. W tym procesie wykorzystywane są również ludzkie słabości. Na przykład, jeżeli pojawia się okienko wyskakujące, informujące, że komputer został zainfekowany, użytkownik może zaniepokoić się, a jeżeli jest niedoświadczony może jak najszybciej kliknąć „usuń wszystkie zagrożenia”. Okienko sugerujące użytkownikowi, aby pobrał aktualizację dla Adobe Flash Player lub kodek, nie wzbudzi podejrzeń, zwłaszcza gdy wygląda na legalne; ponadto, użytkownik pewnie wielokrotnie klikał już takie odnośniki podczas pobierania standardowych, legalnych aktualizacji.

Zainfekowane legalne zasoby

Szczególną popularność zyskała jedna z metod rozprzestrzeniania szkodliwych programów: ukryte ataki typu drive-by download. Tego typu atak polega na infekowaniu komputera bez wiedzy i udziału użytkownika. Większość ataków drive-by download jest przeprowadzanych z zainfekowanych legalnych zasobów.

Zainfekowane legalne zasoby należą do najpoważniejszych problemów w Internecie. Media publikowały informacje o takich nagłówkach jak: ”W wyniku masowego ataku tysiące stron internetowych zostały zainfekowane szkodliwym oprogramowaniem”, ”Luki w zabezpieczeniu prowadzą do masowych ataków hakerskich. Czy twój blog będzie następny?” oraz ” Lenovo Strona pomocy Lenovo infekuje odwiedzających trojanem”. Każdego dnia Kaspersky Lab identyfikuje tysiące zainfekowanych zasobów, które pobierają szkodliwy kod na komputer użytkownika bez jego wiedzy i zgody. Artykuł Ataki drive-by download – Sieć w oblężeniu przedstawia szczegółowy przegląd tego typu ataków.

Z reguły ataki drive-by nie wymagają przekonywania użytkownika, aby odwiedził określoną stronę; użytkownik sam trafia na tę stronę. Może to być na przykład legalna (ale zainfekowana) strona, którą odwiedza codziennie, aby przeczytać wiadomości lub zamówić określony produkt.

Zasób zwykle jest infekowany na jeden z dwóch sposobów: za pośrednictwem luki w zasobie (na przykład: SQL injection) lub przy użyciu wcześniej skradzionych poufnych danych dostępu do strony internetowej. Najpopularniejszą metodą jest dodawanie do kodu źródłowego strony ukrytego znacznika o nazwie iframe. Iframe zawiera odsyłacz do zainfekowanego zasobu i automatycznie przekierowuje użytkownika, gdy odwiedza on zainfekowaną stronę internetową.

Zainfekowany zasób zawiera exploita lub pakiet exploitów, który zostaje uruchomiony, jeżeli użytkownik posiada na swoim komputerze podatne na atak oprogramowanie. Powoduje to pobranie i uruchomienie szkodliwego pliku wykonywalnego.

Rysunek poniżej (z Google) pokazuje, jak działają takie ataki:


Jak działa typowy atak drive-by

Pakiety exploitów

W dzisiejszych atakach typu drive-by powszechnie stosuje się pakiety exploitów. Pakiet exploitów to zestaw programów, które wykorzystują luki w legalnym oprogramowaniu uruchomionym na komputerze ofiary. Innymi słowy, exploity otwierają swego rodzaju tylne drzwi, poprzez które szkodliwe programy mogą zainfekować komputer. Ponieważ ataki w Internecie odbywają się za pośrednictwem przeglądarki, cyberprzestępcy wykorzystują luki w przeglądarce, w dodatkach do przeglądarki lub oprogramowaniu innego producenta wykorzystywanym do przetwarzania zawartości. Głównym celem pakietów exploitów jest pobieranie i uruchamianie wykonywalnych szkodliwych plików bez wiedzy użytkownika.

Poniższy zrzut ekranu pokazuje typowy zestaw dodatków dla Firefoksa. Zaznaczono na nim wersje posiadające luki w zabezpieczeniach, które zostały wykorzystane we wcześniejszych atakach na użytkowników. Co więcej, luki zidentyfikowano również (i wykorzystano) w samym Firefoksie.

 
Typowy zestaw dodatków do przeglądarki Firefox

Obecnie pakiety exploitów stanowią najwyższe osiągnięcie w ewolucji ataków typu drive-by download i są regularnie modyfikowane oraz uaktualniane. W ten sposób cyberprzestępcy chcą mieć pewność, że pakiety te zawierają exploity na nowe luki i potrafią skutecznie zwalczać mechanizmy bezpieczeństwa.

Pakiety exploitów tworzą niszę na rynku usług cyberprzestępczych. Obecnie na czarnym rynku można znaleźć wiele pakietów exploitów; różnią się ceną, liczbą exploitów w pakiecie, funkcjonalnością interfejsu administratora i poziomem oferowanej obsługi klienta. Oprócz gotowych pakietów tworzy się również zestawy exploitów na zamówienie – z usługi tej korzystają niektóre gangi cyberprzestępcze.

Najpowszechniejsze pakiety tworzone na zamówienie to te wykorzystywane w atakach z udziałem szkodników Gumblar i Pegel (downloadery skryptów).

Tym, co wyróżnia najnowszą wersję Gumblara, jest zautomatyzowany proces infekowania stron internetowych i komputerów użytkowników końcowych.

W atakach wykorzystywane są zarówno exploity jak i pliki wykonywalne, które są umieszczane w zhakowanych zasobach. Gdy użytkownik odwiedzi zainfekowany przez Gumblara zasób, zostanie przekierowany na inną zainfekowaną stronę, która zainfekuje jego komputer. W atakach Gumblara wykorzystywane są znane luki w zabezpieczeniach programów Internet Explorer, Adobe Acrobat/Reader, Adobe Flash Player oraz tych stworzonych w języku programowania Java.

Również Pegel rozprzestrzenia się za pośrednictwem zainfekowanych legalnych stron, jednak komputery ofiar są infekowane przy użyciu serwerów kontrolowanych przez cyberprzestępców. Metoda ta ułatwia cyberprzestępcom modyfikację pliku wykonywalnego oraz pakietu exploitów, pozwalając na szybką reakcję na nowe luki w zabezpieczeniach. Na przykład, jeden cyberprzestępca dodał do pakietu exploita wykorzystującego lukę w Java Deployment Toolkit. Zrobił to niemal natychmiast po tym, jak udostępniono kod źródłowy. Downloader Twetti jest kolejnym trojanem, który wykorzystuje interesujące techniki. Szkodnik ten tworzy wiele żądań do API Twittera, a otrzymane dane wykorzystuje do wygenerowania pseudolosowej nazwy domeny. W rezultacie użytkownicy są przekierowywani do domeny o tej nazwie. Cyberprzestępcy stosują podobny algorytm w celu uzyskania nazwy domeny, zarejestrowania jej, a następnie umieszczenia na stronie szkodliwych programów, które mają być pobierane na maszyny ofiar.

Crimepack Exploit System: przykład pakietu exploitów (kliknij, aby rozwinąć treść)

Pieniądze

Kto zarabia na tych atakach i w jaki sposób?

Ataki wykorzystujące banery reklamowe to świetny interes dla właścicieli zasobów sieciowych wyświetlających takie banery, ponieważ otrzymują oni pieniądze za umieszczenie ich w swoich zasobach. Jeżeli XBlocker zostanie pobrany i zainstalowany na maszynie ofiary, skorzystają na tym cyberprzestępcy wykorzystujący tego szkodnika, ale tylko wtedy gdy użytkownik wyśle SMS na krótki numer. Jednak niedoświadczeni użytkownicy często chwytają przynętę.

W przypadku techniki black hat SEO i ataków wykorzystujących zoptymalizowane w ten sposób strony, korzyści odnoszą osoby, które stworzyły system dystrybucji, osoby, które rozwinęły oprogramowanie do automatycznego tworzenia fałszywych stron internetowych, oraz pośrednicy między tymi stronami. Jeżeli użytkownik pobierze i zainstaluje fałszywy program antywirusowy, skorzystają na tym cyberprzestępcy, którzy przeprowadzili atak. Mniej doświadczeni użytkownicy zwykle zgadzają się na instalację i zapłacenie za fałszywe programy antywirusowe, co przynosi dochody osobom, które rozwijają takie oprogramowanie.

Twórcy pakietów exploitów zarabiają na atakach drive-by, podobnie jak osoby, które wykorzystują te pakiety. Przykładem może być pakiet exploitów ZeuS Toolkit - efektywny sposób gromadzenia poufnych danych użytkowników, które są następnie sprzedawane na czarnym rynku. W wyniku regularnych ataków przy użyciu programu Pegel przeprowadzonych przez szkodliwych użytkowników powstał botnet składający się z komputerów zainfekowanych backdoorem o nazwie Backdoor.Win32.Bredolab. Botnet ten może być wykorzystywany do pobierania innych szkodliwych programów na komputery ofiar.

Czy to oznacza, że cyberprzestępcy zarabiają pieniądze, gdy użytkownicy pobierają szkodliwe programy? Naturalnie! Przy pomocy programów partnerskich (zwanych w języku rosyjskim “partnerka”) zyski z tej działalności są przekazywane odpowiedniemu partnerowi lub partnerom.

Sieci partnerskie

Programy partnerskie działają już od jakiegoś czasu; początkowo były wykorzystywane głównie do rozprzestrzeniania oprogramowania adware powiązanego z darmowymi aplikacjami. Wraz z bezpłatnymi aplikacjami pobierany był “bonus” w postaci programu adware. Obecnie programy partnerskie są często wykorzystywane do rozprzestrzeniania szkodliwego oprogramowania.

“Czarny”, czyli nielegalny model PPI (pay-per-install) obejmuje następujących uczestników (tj. partnerów):

  • Klientów: cyberprzestępców, którzy posiadają trochę pieniędzy i szkodliwe oprogramowanie, które chcą rozprzestrzeniać
  • Wykonawców: osoby, które rozprzestrzeniają program i otrzymują za to pieniądze. Często taki partner nie zadaje żadnych pytań na temat programu, który rozprzestrzenia; w rezultacie może bezwiednie stać się narzędziem do przeprowadzania cyberprzestępstw (trzeba jednak pamiętać, że niewiedza nie stanowi o niewinności).
  • Zasobu PPI: jest to organizacja, która łączy klientów z wykonawcami i pobiera prowizję od ich transakcji.

 
Działanie modelu PPI

Oprócz modeli PPI, w których każdy może brać udział, istnieje również wiele „zamkniętych” programów partnerskich. Wstęp do nich mają tylko główni gracze na scenie cyberprzestępczej, tacy jak na przykład właściciele botnetów. Nie trzeba mówić, że przez takie sieci partnerskie przepływają ogromne sumy pieniędzy.

Pozostaje pytanie: gdzie, lub od kogo, pochodzą te pieniądze? Odpowiedź naturalnie brzmi: od użytkowników. Łupem padają ich własne środki, poufne dane oraz/lub moc obliczeniowa ich komputerów.

Przykład PPI: InstallConverter (kliknij, aby rozwinąć treść)

Wnioski

Naturalnie opisane wyżej podejścia i techniki nie wyczerpują wszystkich metod wykorzystywanych przez cyberprzestępców.

Internet stanowi obecnie niebezpieczne miejsce – wystarczy kliknąć odsyłacz wyświetlony w wynikach wyszukiwania lub odwiedzić ulubioną stronę internetową, która niedawno została zainfekowana, i zanim się zorientujemy, komputer staje się częścią botnetu. Głównym celem cyberprzestępców jest pozbawienie użytkowników pieniędzy i poufnych danych; dane te mogą posłużyć do osiągania korzyści finansowych. Z tego powodu cyberprzestępcy wykorzystują każdą broń, jaką posiadają w swoim arsenale, aby „zagnieździć” szkodliwe programy na komputerach użytkowników.

Aby zapewnić sobie ochronę, użytkownicy muszą regularnie aktualizować swoje oprogramowanie, zwłaszcza oprogramowanie, które współpracuje z przeglądarką. Ważną rolę odgrywa również aktualne rozwiązanie bezpieczeństwa. Najważniejsze jest jednak to, aby użytkownicy zachowali ostrożność podczas udostępniania swoich informacji przez Internet.

Kaspersky Lab
Viruslist
Czytaj także
Polecane galerie