Затишье перед бурей

"Лаборатория Касперского" публикует очередной аналитический отчет ведущего вирусного аналитика Александра Гостева о современных информационных угрозах за 3 квартал 2006 года - "Затишье перед бурей". Вашему вниманию предлагаются основные выжимки из данного отчета. Полный текст отчета Вы можете найти по ссылке: http://www.viruslist.com/ru/analysis?pubid=204007513.

Введение

Первое полугодие 2006 отличалось повышенной сложностью технологических проблем, которые приходилось решать антивирусным компаниям, большим количеством новинок вирусной мысли – «концептов», а также все возрастающим интересом хакеров к Microsoft Office. В целом все это выглядело как бурное противостояние идей, генерируемых обеими сторонами вирусной войны. Проактивность, криптография, руткит-технологии, уязвимости были горячими темами в первом полугодии этого года. Но после всплеска активности неминуемо наступает время затишья, когда стороны пытаются сделать выводы и оценить степень правильности или провальности той или иной концепции. Третий квартал 2006 года и стал как раз таким временем, совпавшим с периодом общего стремления к отдыху – летними месяцами.

В третьем квартале не было ни одной значительной эпидемии, хотя август ожидали с некоторым волнением – но скорее из дани к традиции: в последние три года в августе всегда случались мощные вирусные эпидемии. Вспомним 2003 год, уязвимость MS03-026 и червь Lovesan. Август 2004 года принес нам червей Zafi и Bagle, а в 2005 червь Bozori (Zotob), использующий уязвимость MS05-039, поразил сети CNN, ABC, New York Times и еще множества других организаций в США.
В третьем квартале не было зафиксировано и новых концептуальных вирусов, и это тоже связано с тем, что вирусописателям требовалось время на осознание тех возможностей, которые ими в избытке были продемонстрированы новыми PoC-вирусами в первом полугодии.
В общем и целом, все было тихо и спокойно – шла обычная рутинная позиционная война за Интернет.

Уязвимости

Кажется что слово «уязвимость» встречается в наших квартальных отчетах уже гораздо чаще чем «вирус». И это в полной мере отражает сложившуюся ситуацию в информационной безопасности. Давно уже ушли в прошлое времена, когда вирусы могли существовать и распространяться просто так, по воле их создателей и беспечных пользователей. Годы борьбы между вирусописателями с одной стороны и антивирусными компаниями и производителями программного обеспечения с другой, привели к тому, что в настоящее время практически все вредоносные программы, способные вызвать эпидемии, так или иначе используют различные бреши в программах.

Сетевые черви, получившие «право на жизнь» из-за уязвимостей в службах Windows – ярчайший пример того, как использование дыр в софте может привести к эпидемиями глобального масштаба. Уязвимости в браузере Internet Explorer стали питательной средой для распространения тысяч троянских программ. Все это заставляет нас как экспертов с тревогой ожидать информации о каждой новой найденной критической уязвимости, особенно если для нее еще нет соответствующего исправления от производителя.

Уязвимости в Microsoft Office

О проблеме уязвимости в Microsoft Office, очень быстро ставшей одной из ключевых в сфере информационной безопасности, мы уже писали в отчете за второй квартал 2006 года. Начиная с марта, мы едва успевали фиксировать появление то одной, то другой уязвимости в различных продуктах, входящих в состав пакета Microsoft Office. Под прицел «blackhat» попали и Word, и Excel, и Power Point. За три месяца число подобных «дыр» составило почти десяток, и все они становились известными еще до опубликования патча от Microsoft, закрывающего соответствующую «дыру».
Более того, вирусописатели приспособились к существующему у Microsoft графику выпуска обновлений (каждый второй вторник месяца) и стали выпускать в свет свои поделки спустя всего несколько дней (не более недели) после очередного «планового» патча. В результате практически целый месяц новая уязвимость могла быть использована хакерами, а пользователи все это время оставались без защиты, предоставленной компанией-производителем данного программного обеспечения.
Но и это было еще не самым печальным в этой истории. И мы, и другие антивирусные компании в процессе борьбы с вредоносными программами, использующими уязвимости в Office, проводили собственный анализ «дыр». Стало очевидно, что в их основе лежит по сути одна и та же проблема формата документов, использующих OLE-технологию (файлы, созданные при помощи MS Office). Проблема не решалась выпуском патчей для каждой найденной дыры – компании Microsoft необходимо было полностью пересмотреть технологию обработки структуры OLE-объектов. Выходящие раз в месяц патчи напоминали заплатки на рыбацкой сети – общее число мест в OLE-объектах, которые потенциально могут быть уязвимы, составляет более ста.
Доходило до смешного: мы, в «Лаборатории Касперского», даже заключали между собой пари «через сколько дней после выхода патча появится новая уязвимость в Office». Вопрос о том, появится ли она, даже не вставал. Речь действительно шла о днях.
В третьем квартале ничего не изменилось. Злоумышленники, среди которых выделялись своей активностью китайские хакеры, продолжали «удивлять» Microsoft все новыми и новыми троянскими программами, а Microsoft продолжала придерживаться традиционного графика выпуска обновлений.

Мобильные новости

Проблема мобильных вирусов всегда была и остается одной из наиболее интересных как для «Лаборатории Касперского», так и для меня лично. Читатели, которые следят за нашими публикациями, обратили внимание, что в последнее время по этой теме нами было выпущено несколько материалов. Это и раздел о мобильных вирусах в нашем полугодовом отчете, и статья «Введение в мобильную вирусологию» в двух частях. В этих материалах были полностью раскрыты и рассмотрены все существующие виды и классы мобильных вредоносных программ. Вне поля зрения осталась только часть событий третьего квартала 2006 года, и именно о них и пойдет речь ниже.

Мобильных вирусов, заслуживающих отдельного внимания и выделяющихся из общей массы примитивных skuller-подобных троянцев, было обнаружено три штуки. Рассмотрим их в порядке появления.

Comwar v3.0: возможность заражения файлов
В августе в руки антивирусных компаний попал очередной образец самого распространенного MMS-червя Comwar. При его детальном анализе выяснилось, что червь содержит в себе следующие текстовые строки:
CommWarrior Outcast: The Dark Masters of Symbian.
The Dark Side has more power!
CommWarrior v3.0 Copyright (c) 2005-2006 by e10d0r
CommWarrior is freeware product. You may freely disspanibute it in it's original unmodified form.
Отличие от предыдущих вариантов заключалось не только в номере версии – «3.0», но и в очередной технологической новинке, примененной русским автором Comwar. В этом варианте он впервые применил возможность заражения файлов. Червь ищет на телефоне другие sis-файлы и дописывает себя в них. Таким образом, он получает еще один способ распространения, помимо традиционных MMS и Bluetooth.
В ComWar реализованы практически все возможные на сегодняшний день пути проникновения и распространения для мобильных вирусов. Все, кроме одного. И этот путь был показан в конце августа другим червем – Mobler.a.

Mobler.a: под ударом опять компьютер?

Этот червь стал первым кроссплатформенным зловредом, способным функционировать на операционных системах Symbian и Windows. А функция распространения заключается в копировании себя с компьютера на телефон и обратно.
Будучи запущенным на персональном компьютере, он создает на диске E:\ (как правило, именно как диск E:\ монтируются подключаемые к компьютеру мобильные устройства) свой sis-файл. Этот файл содержит в себе несколько файлов-пустышек и перезаписывает ими ряд системных приложений телефона. Также в файле содержится Win32-компонента червя, который копируется на съемную карту памяти телефона и дополняется файлом autorun.inf. Если такой зараженный телефон подключить к компьютеру и попытаться с этого компьютера обратиться к съемной карте памяти телефона, – произойдет автозапуск червя и заражение компьютера.
Пока это всего лишь концептуальная разработка неизвестного автора, но в теории подобный способ распространения мобильных вирусов может стать одним из наиболее используемых. Возможно даже, что он окажет гораздо большее влияние на мобильную вирусологию, чем возможность распространения через MMS, так как под ударом может оказаться не только телефон, но и компьютер – со столь вожделенными для злоумышленника данными. Скорее всего, стоит рассматривать Mobler.a не как новый способ проникновения в телефон, а именно как очередной вектор атаки на персональные компьютеры пользователей.

Acallno – sms-шпион

Мир мобильных вирусов, по большому счету, находится сейчас в состоянии застоя. Практически все возможные технологии, виды и классы вредоносных программ для Symbian-смартфонов уже реализованы. От действительно массового распространения подобных вирусов нас спасает пока еще низкая (по сравнению с компьютерами) распространенность смартфонов и отсутствие явной «коммерческой» выгоды от заражения телефона. Информация, которую содержит телефон, не слишком интересный объект для мошенников: адресная книга, список совершенных звонков, тексты и «адреса» принятых\отправленных SMS. Но именно на сбор информации об SMS и нацелен еще один интересный представитель мобильного мира – троянец Acallno.

Это коммерческая разработка некоей фирмы, которая предназначена для шпионажа за пользователем конкретного телефона. Acallno настраивается на конкретный телефон по его IMEI-коду (International Mobile Equipment Identity) и не будет работать на другом телефоне при простом копировании его файлов. Он скрывает свое присутствие в системе, и это, вкупе с функцией шпионажа, заставляет нас относиться к нему как к вредоносной программе. Троянец (мы классифицируем его именно так, хоть он и продается вполне легально) дублирует все принятые и отправленные SMS с телефона, на который он загружен, на специально настроенный номер.

Wesber: кража денег с мобильного счета

Кроме того, что можно красть тексты и «адреса» SMS, при помощи SMS можно красть и реальные деньги – с мобильного счета абонента. И эта возможность в полной мере реализована в очередном J2ME-троянце Wesber. Обнаруженный в самом начале сентября специалистами нашей компании, Wesber является вторым известным нам троянским приложением, способным функционировать не только на смартфонах, но и практически на любых современных мобильных телефонах – благодаря тому, что он написан для платформы Java (J2ME).

Как и его предшественник троянец RedBrowser, Wesber.a занимается тем, что отсылает на платный premium номер несколько SMS. За каждую из них с мобильного счета абонента списывается сумма в 2.99 доллара США. До недавнего времени процедура функционирования подобных premium-номеров у российских мобильных операторов была крайне проста, и выйти на след злоумышленника, если бы подобные троянцы стали массовыми, было бы довольно проблематично. В настоящее время мобильные операторы, обеспокоенные ростом числа случаев SMS-мошенничества, стали принимать меры противодействия, в частности, ужесточать правила регистрации подобных premium-номеров (http://mobile-review.com/articles/2006/virus-mobile.shtml).

На этом рассказ о мобильных вирусах третьего квартала 2006 года можно было бы и закончить, но есть еще одна тема. Она напрямую не связана с мобильными телефонами, однако, несомненно, относится к проблеме безопасности беспроводных устройств и сетей.

WiFi-черви – почти реальность

В августе компания Intel объявила о наличии серьезной уязвимости в процессорах Intel Censpanino, а именно в части функций работы с беспроводными сетями Wi-Fi. Подробности уязвимости, естественно, детально не афишировались, однако было известно, что речь идет об «Execute arbispanary code on the target system with kernel-level privileges». Моментально было выпущено соответствующее исправление для проблемных ноутбуков, но нас в этой истории интересует то, что раньше могло казаться только теоретическими рассуждениями, а сейчас едва не стало реальностью. Я говорю о WiFi-червях.

Сценариев работы такого червя может быть несколько, и всем им лучше оставаться неозвученными, чтобы не подтолкнуть вирусописателей к реализации какого-нибудь из них. Однако, в данном случае все достаточно очевидно. При наличии подобной уязвимости в Intel Censpanino существует определенная вероятность появления червя, который будет перебираться с ноутбука на ноутбук в радиусе действия его WiFi-адаптера. Принцип работы весьма прост – достаточно вспомнить классических сетевых червей Lovesan, Sasser или Slammer. Червь обнаруживает уязвимый ноутбук и посылает на него специальный пакет-эксплоит уязвимости. В результате атакованный компьютер предоставит червю возможность для передачи на него своего тела и выполнения очередного цикла заражения-распространения. Единственную сложность может представлять только поиск жертвы для атаки, поскольку перебор по MAC-адресу представляется весьма нетривиальной задачей, а вариант с выбором по IP-адресу здесь не пройдет. Впрочем, своих «соседей» по точке доступа червь может атаковать именно по IP-адресам. И не стоит забывать о том, что множество ноутбуков имеют включенный по умолчанию режим поиска WiFi-точек.

Подчеркиваю, что это только один из возможных сценариев работы WiFi-червей. Наличие уязвимостей в беспроводных адаптерах пока еще редкость, но кто знает, что нас ждет в будущем? Недавно в саму возможность существования вирусов для мобильных телефонов многие не верили…

Вирусы в системах мгновенного обмена сообщениями

В течение последнего года одной из наиболее заметных проблем информационной безопасности стали вредоносные программы, распространяющиеся при помощи IM-клиентов таких служб как ICQ, MSN, AOL. Несмотря на то, что все интернет-пейджеры обладают возможностью передачи файлов, авторы IM-червей избегают (или просто не умеют использовать) этого способа проникновения в систему. Начало 2005 года было ознаменовано появлением множества примитивных IM-червей, которые продемонстрировали, что способ рассылки линков на вредоносные программы, размещенные на зараженных сайтах, является почти столь же эффективным, как отправка вирусов по почте. С тех пор и поныне основным видом IM-атаки является отправка ссылки на специально подготовленный веб-сайт, на котором и находится сама вредоносная программа.

Многие троянцы рассылают ссылки по контакт-листу IM-клиента. Полученную от своего знакомого ссылку пользователь с большой вероятностью откроет, и в этот момент вредоносная программа (через эксплоиты различных уязвимостей в Internet Explorer либо путем прямой загрузки и запуска) проникает в систему.
Постепенно в развитии и реализации этого метода сформировалось два основных направления, связанных с использованием разных IM-клиентов в разных странах мира. Если в странах Европы и США основные вирусные IM-атаки организуются против пользователей MSN и AOL, то в России мишенями атаки являются пользователи ICQ (и различных альтернативных ICQ-клиентов – Miranda, spanillian и т.д.). Это вызвано тем, что в России MSN и AOL практически не распространенны и не пользуются популярностью, также как в Китае, где основным клиентом для мгновенного обмена сообщениями является программа QQ.

Кроме различия в атакуемых IM-клиентах, существует и специализация по типам распространяемых вредоносных программ. На Западе основную угрозу представляют IM-черви – широко известны такие семейства как Kelvir, Bropia, Licat, атакующие AOL и MSN. Кроме саморазмножения большинство IM-червей способны устанавливать в систему и другие вредоносные программы. Так, например, наиболее многочисленный в настоящее время по количеству вариантов червь Bropia устанавливает на зараженный компьютер Backdoor.Win32.Rbot, тем самым включая его в сеть «зомби-машин» — так называемый «ботнет» (botnet). Существует также некоторое количество червей, атакующих китайский интернет-пейджер QQ.

С ICQ (и Россией) ситуация обратная. Червей, которые бы распространялись через ICQ, крайне мало. Вместо этого российским пользователям досаждают многочисленные троянские программы, в первую очередь печально известный троянец-шпион LdPinch. Некоторые варианты этого троянца обладают весьма интересной функцией: попав в пользовательский компьютер и украв интересующие автора троянца данные, вредоносная программа начинает рассылать по контакт-листу IM-клиента зараженного компьютера ссылку на сайт, где размещен LdPinch. В третьем квартале 2006 года в Рунете случилось несколько заметных эпидемий подобного рода, когда в течение дня сотни и тысячи пользователей ICQ получали от своих знакомых ссылки на вредоносные файлы под видом ссылок на «прикольные картинки» или «летние фотографии». Понятно, что, на самом деле, компьютеры этих знакомых были заражены данными троянцами, и рассылка с зараженных компьютеров осуществлялась вредоносной программой.

К сожалению, ICQ пока не предпринимает никаких попыток по созданию некоего фильтра, который бы мог удалять подобные ссылки из сообщений, пресекая их доставку пользователям, как это сделано в MSN. Microsoft пришлось пойти на такой шаг и блокировать любые ссылки, содержащие указание на исполняемые файлы, именно после значительных эпидемией IM-червей в прошлом году. Впрочем, существующий фильтр по-прежнему не является панацеей, поскольку, помимо ссылок на зараженные файлы, злоумышленники могут рассылать ссылки на веб-страницы, содержащие различные эксплоиты для браузеров. В результате пользователи непропатченных браузеров все равно могут быть заражены. Да и нынешний алгоритм работы MSN-фильтра пока далек от совершенства.

Заключение

Наблюдающийся на протяжении всего 2006 года тренд исчерпания старых идей как защиты, так и нападения находит подтверждение в наших отчетах. Вирусописатели судорожно мечутся в попытках противостоять современным технологиям защиты – пытаются создавать концептуальные вирусы для новых платформ, закапываются все глубже и глубже в поиск уязвимостей, но все это не находит большой реализации в реальных условиях. Под «большой реализацией» я имею в виду действительно серьезные угрозы, способные нанести многомиллиардный ущерб, как это делали черви Klez, Mydoom, Lovesan, Sasser в прошлые годы.
То, что происходит сейчас – это местами интересно, местами очень технологично и серьезно (криптография в вирусах, например), но в целом угрозы сейчас не столь глобальны и долговременны, как ранее. Можно констатировать весьма значительное снижение уровня противостояния: ничего действительно нового – все тот же поток одних и тех же троянцев, вирусов, червей, только увеличившийся в несколько раз.

Это мнение, конечно, покажется спорным очень многим, но мне кажется, что современные вирусописатели-киберпреступники приспособились к существующим достижениям антивирусной мысли и не стремятся перейти в наступление. Вирусописателей устраивает время реакции антивирусных компаний, которое составляет порой считанные часы, а то и минуты, и те результаты, которых злоумышленники успевают достичь за это время. А антивирусные компании не могут работать быстрее, чем сейчас, и достигли в массе своей некого технологического предела в противодействии угрозам.

Если ситуация обстоит именно так, как я себе ее представляю, то в скором времени все должно измениться. Либо антивирусные компании перейдут в наступление и «додавят» этот вирусный вал, либо вирусная мысль родит нечто совершенно новое, что задаст новые планки и стандарты антивирусной защиты.