Na Chip DVD najdete bezpečnostní nástroje, které dokáží váš systém ochránit. Programy najdete pod indexem Hacking.
Trojské koně mezi vámi a bankou
Nabízíme vám exkluzivní zprávu z bizarního světa počítačového zločinu, kde spolu trojské koně ZeuS a SpyEye bojují o vaše peníze.
DOMINIK HOFERER, PETR KRATOCHVÍL
Když se dva velcí zloději perou, nemusí to být ještě žádný důvod k radosti. Obvykle to totiž neznamená, že by se přestali zajímat o své oběti. To potvrzuje i příběh dvou trojských koní známých pod jmény ZeuS a SpyEye, které se specializují na prolomení bankovních účtů a kradení dat týkajících se kreditních karet. Oba tito škůdci spolu urputně bojují o podíl na trhu a oba soutěží o to, kdo bude v krádežích aktivnější. Rivalita mezi těmito trojskými koni, kdy je ze zasažených počítačů vytlačována i "konkurence", umožňuje nahlédnout pod pokličku autorů virů a vysvětluje, jak tito autoři systematicky a usilovně pracují na vytváření co nejnebezpečnějšího malwaru.
V této zprávě se dozvíte, jak trh s malwarem funguje, co je to trojský kůň a co v počítači způsobuje. A abyste příště nemuseli jen tak nečinně přihlížet a sledovat činnost nebezpečného malwaru, připravili jsme pro vás balíček softwaru, který vás před malwarem ochrání nebo vám ukáže, jak se ho zbavit poté, co napadl váš počítač. Na Chip DVD najdete všechny potřebné bezpečnostní nástroje.
ZeuS: Otec bankovních trojských koní
Malware ZeuS, známý také jako Zbot, existuje již od roku 2007 a funguje jako většina botnetů: všechny infikované počítače poslouchají příkazy serveru "Command & control", který tvoří "nervové centrum" sítě ovládnutých počítačů. Trojský kůň uvnitř každého PC posílá na server všechny zachycené bankovní údaje, se kterými může posléze podvodník manipulovat – obvykle tak, že se pokusí převést peníze na jiný účet a nakonec pomocí služeb internetových bank (typu Western Union) anonymně do zahraničí.
Může to znít cynicky, ale realita je taková, že díky snadné instalaci malwaru ZeuS, dobré "softwarové podpoře" jeho tvůrců a také jeho dobré schopnosti zachytit data si tento trojský kůň velmi brzy v ilegálních kruzích vybudoval dobrou pověst. Zatímco ostatní malwary, jako například Conficker, jsou víceúčelové a vyvolávají lavinu spamu spolu s útoky DDoS, ZeuS se specializuje na krádež údajů, pomocí nichž oběti přicházejí o své úspory.
Malware ZeuS už ukradl více než 70 miliónů dolarů
Úspěch se dostavil díky inovací jeho vývojářů: jeho "infikování" webů malwarem se stává jakýmsi standardem a tento trik používá dokonce i jeho malwarová konkurence. V rámci trojského koně je definováno, co má škůdce dělat, jakmile si uživatel otevře určitou WWW stránku. Otevře-li surfař bankovní portál, trojský kůň průběžně změní jeho HTML kód, upraví přihlašovací formulář a tak získá přístupové údaje. ZeuS má k dispozici obrovské množství návodů na úpravu webů finančních institucí celého světa. Chip má k dispozici hackerský soubor s informacemi, jak oklamat formuláře celé řady evropských bank nebo dokonce PayPalu. Nebezpečné je, že samotný bankovní portál nemusí být zranitelný, protože manipulace se odehrává přímo v prohlížeči. Na první pohled v prohlížeči neprobíhá nic podezřelého – webu dokonce nechybí ani SSL certifikát. Malware oklame uživatele tak, aby věřil, že je v bezpečí.
Experti předpokládají, že ZeuS dokázal z běžných účtů po celém světě v průběhu let vylákat více než 70 milionů dolarů. Zdá se však, že dosavadní monopol nejúspěšnějšího digitálního bankovního lupiče nebude trvat dlouho.
SpyEye: Vrah ZeuSu
Koncem roku 2009 se na ruských fórech hackerů objevil nový malware, označovaný jako SpyEye, který má sesadit z trůnu dosavadního krále trojských koní a ještě více znepříjemnit život uživatelům. Nový malware používá podobnou taktiku jako ZeuS a také se specializuje na krádeže z bankovních účtů. Zajímavé je, že SpyEye se nechce s nikým dělit o trh a jeho snahou je z něj ZeuS vytlačit. Vývojáři SpyEye pečlivě sledovali svůj protějšek, analyzovali chyby a slabá místa tohoto bezmála čtyřletého malwaru a poučili se z nich. Výsledkem je téměř dokonalý trojský kůň, který určuje nové standardy a vytváří konkurenci mezi bankovními trojskými koni – bohužel na úkor uživatele.
Například i v případě infikováním malwarem ZeuS byli uživatelé před zneužitím dat chráněni, pokud pro přístup k bance používali Firefox. Malware mohl totiž infiltrovat stránky a dodat hackerům přístupové údaje pouze v případě, že uživatel používal Internet Explorer.
SpyEye už od počátku své existence zvládl odposlouchávání i u prohlížeče od Mozilly. Zanedlouho však byl zdokonalen i ZeuS, a od té doby neposkytuje žádnou ochranu proti odběru citlivých dat ani Firefox.
SpyEye ale objevil v brnění trojského koně ZeuS další skulinu a té také využil: vývojáři malwaru ZeuS zkonstruovali trojskému koni "zadní vrátka", které by umožnily jeho odinstalování pouhým kliknutím myší. Díky tomu by mohly aktualizace neustále se vyvíjejícího malwaru probíhat na počítačích obětí mnohem rychleji. Vývojáři SpyEye tak využili šance a zkonstruovali vraha ZeuSu, který malware zcela jednoduše odstraňuje. Zajímavé je, že mnoho nástrojů antivirů už nyní používá stejnou metodu při odstraňování trojských koní z počítače.
Kampaň hackerů: PR pro SpyEye
Funkce vraha malwaru ZeuS způsobila na ilegálním trhu rozruch: na denním pořádku jsou tažení proti zfalšovaným kopiím, tvrdá cenová válka, a dokonce i sabotáže. Zatímco vývojáři malwaru se až dosud drželi v pozadí, vývojář SpyEye zvaný "Harderman" očividně touží být centrem pozornosti. Na internetu vyvěšuje bannery propagující SpyEye a po webu kromě jeho příspěvků ve fórech kolují jeho rozhovory ve webzinech. Odborníci se domnívají, že se jedná o PR kampaň, která nemá zastavit konkurenci a donutit ji ustoupit, ale spíše zmást lovce virů a tisk.
Americký novinář Brian Krebs na svém blogu píše, že vývojář trojského koně ZeuS zvaný "Slavík" chce prodat jeho zdrojový kód. A kdo jiný než "velký" Harderman by tento zdrojový kód chtěl získat. Jeho plán je jasný: integrovat nejlepší funkce ZeuSu do SpyEye a vytvořit dokonalého trojského koně. Mezi odborníky však převládá názor, že k převzetí nedojde. "SpyEye a ZeuS budou existovat vedle sebe," říká Werner Tillman, virový analytik firmy Kaspersky. A objevují se i další náznaky, že k převzetí zatím nedošlo. "Na počátku roku 2011 našli odborníci server, který nabízel služby trojského koně ZeuS. A na tomto serveru proběhlo více než 150 transakcí. Podvodníci bez technického zázemí si zde mohli ‚zapůjčit' kompletní servis – šlo o jakýsi druh služby zvané Botnetas-a-Service. A právě to naznačuje, že ZeuS nespí a je činný. O sjednocení těchto trojských koní bychom mohli mluvit teprve tehdy, až by se objevil vzorek vykazující charakteristické vlastnosti obou – a k tomu doposud nedošlo," tvrdí Werner Tillman.
Lovci virů: Lov trojských koní
Zprávy o zrušení trojského koně ZeuS by mohly být podvodem, aby dostaly tento malware z "první linie". Dokonce i lovci virů měli tento malware již dlouhou dobu na mušce. ZeuS tracker platform (slídičská platforma – viz rámeček) se zdá úspěšná a tomuto trojskému koni docela komplikuje život.
V trojském koni je obsažena informace o umístění "Command & Control" serveru, pomocí kterého zločinci ovládají botnet. "Pokud tato data odstraníte, můžete řídicí centrum sledovat a blokovat," říká Felix Leder z univerzity v Bonnu, který v rámci svého výzkumu pracuje na detekci množství různých slídilů malwaru a spywaru. SpyEye je mnohem nebezpečnější, protože je vytvořen mnohem flexibilněji, a v boji se svými "protivníky" si vede mnohem lépe než ZeuS. SpyEye může být rozšířen pomocí plug-inů takovým způsobem, že na slídila vytvoří cílené DDoS útoky. Naopak ZeuS musí k podobnému typu útoku používat další malwary. A přesně na tuto slabinu se zaměřuje potenciální nástupce trojského koně ZeuS. Ten dokáže díky podvodným doplňkům vytvářet jakousi cache pro snadnější manipulaci s příchozími daty. Oba malwary mohou manipulovat s bankovními převody v relaci, ale pokud se oběť malwaru ZeuS později přihlásí na portál banky, uvidí, že převod byl učiněn na jinou osobu, a může kontaktovat banku a tak transakci zabránit. SpyEye je však o krok dál, a dokáže zakamuflovat vše, co by poukázalo na to, že transakce proběhla jinak, než si uživatel přál.
Proto když mají uživatelé podezření, že došlo k manipulaci s jejich bankovní transakcí, musí se "do banky" přihlásit pomocí jiného počítače. Teprve pak mohou mít jistotu, zda opravdu nedošlo k nějaké finanční manipulaci. Tento počítač může být i ve stejné síti, protože bankovní trojské koně obvykle nemají funkci červa a nešíří se. To není nic překvapivého, protože při šíření jako červ by se trojský kůň snadno chytil do pastí lovců virů (honey pot) a poskytl by tak analytikům důležité informace o svém naprogramování.
I tato skutečnost naznačuje, že vývojáři trojských koní SpyEye a ZeuS mají v této oblasti opravdu rozsáhlé zkušenosti.
Infekce: Jak se chránit
Oběti se většinou samy infikují na hacknutých stránkách způsobem označeným jako "drive-by-download" (viz rámeček na straně 71). Obvykle jde o nenápadné webové stránky či blogy, na kterých se vyskytují speciální skripty spolu s příslušnými exploity. Skripty otestují prohlížeč surfaře na bezpečnostní mezery (které se nacházejí obvykle v plug-inech pro Flash, QuickTime nebo PDF) a přes ty se pak pomocí exploitů může ZeuS nebo SpyEye dostat do počítače uživatele. Trojské koně se pak schovají do procesů systému Windows a čekají, až se uživatel připojí k internetu a otevře internetovou stránku banky. Malware pak tuto stránku zmanipuluje a zfalšuje přihlašovací formulář i pole pro zadání hesla. Pokud jste napadeni těmito trojskými koni, nebude stačit základní antivirová kontrola. Abyste tyto nástroje profesionálních zlodějů odhalili, budete se muset podívat hluboko do systému. Oba dva trojské koně můžete sledovat například nástrojem GMER (najdete ho na Chip DVD), který dokáže tento malware i odstranit. Před spuštěním nástroje přejděte do režimu off-line, nejlépe když vytáhnete síťový kabel a deaktivujete Wi-Fi. Zavřete všechny programy a vypněte firewall. Nyní spusťte GMER. Uživatelé Visty a Windows 7 musí nástroj spustit (pomocí nabídky skrývající se pod pravým tlačítkem myši) jako administrátoři. GMER poté automaticky spustí první sken.
Tip: GMER se může někdy mýlit a bezproblémový nástroj označit jako rootkit. Méně zkušení uživatelé, kteří se snaží pomocí GMERu zaútočit na trojské koně, by měli výsledky skenu konzultovat se zkušenějšími surfaři na diskusních fórech – například na serveru Viry.cz. Zkopírujte výsledky do schránky, poté je zveřejněte na fóru.
Chcete-li z počítače odstranit ZeuS nebo SpyEye, jděte v GMERu na záložku "Services", označte škůdce a odstraňte ho kliknutím na pravé tlačítko myši a volbou položky "Delete". Po pečlivé prohlídce nezapomeňte opětně aktivovat ochranné mechanismy.
Upozornění: Po infekci je bezpečnější přeinstalovat OS, jen tak lze zcela odstranit všechen malware.
Doporučujeme ale spíše chránit svůj počítač tak, aby k této situaci nedošlo. Držte se známých pravidel: surfujte s nejnovějším prohlížečem, nezapomeňte aktualizovat operační systém a používejte kvalitní antivirovou ochranu.
AUTOR@CHIP.CZ
JAK PRACUJÍ "BANKOVNÍ" TROJSKÉ KONĚ
Malware se dostane do počítače pomocí infikovaných a zmanipulovaných stránek (metoda drive-by-download). Poté v počítači manipuluje s přenášenými daty.
Infikované stránky Podvodníci infikují stránky malwarem a exploity
Infekce přes exploit Uživatel surfuje na webu a do PC se dostane malware
Infikování počítače Malware se skryje v systému mezi procesy Windows
Hacker surfuje Malware se aktivuje při otevření prohlížeče
Diverze Internetové bankovnictví je zmanipulováno Trojský kůň za provozu upravuje HTML stránku
Manipulace převodů Hacker mění údaje v jeho prospěch a posílá je do banky
Platba na podvodníka Banka obdrží platební příkaz na normální přenos
Útoky na mobilní telefony a chytré telefony
Finanční instituce se do svých "služeb" stále častěji snaží začlenit i mobilní zařízení. Klienti banky už nedostávají papíry se seznamem ověřovacích kódů, nebo nemusí používat drahé autentizační kalkulátory. Klient si pouze v bance zaregistruje číslo svého mobilního telefonu a na ten mu při každé transakci chodí ověřovací kódy – banky tento systém označují jako mTAN nebo smsTAN. Tato strategie je tedy výhodná jak pro uživatele (větší bezpečnost), tak i pro banku (nižší náklady). Na první pohled jde tedy o zcela bezpečný systém, který (pokud nedojde o odcizení mobilního telefonu) teoreticky nelze překonat.
Vývojáři trojského koně ZeuS by však s tímto tvrzením nesouhlasili. Vyvinuli totiž speciální verzi malwaru pro mobilní telefony s OS Symbian, která dokáže toto zabezpečení obejít. Při surfování na webu banky se objeví políčko, do kterého je nutné zadat své telefonní číslo a krátce poté přijde uživateli SMS s odkazem na stažení důležitého "bankovního" softwaru. Ten ale obsahuje škodlivý kód, který dokáže odchytávat zadávané mTAN kódy a předávat je hackerům.
Vzhled malwaru
Proces scanner
Infekční rutina
Komunikační centrum
Proxy server
Manipulace prohlížeče
Injektování procesů
Foto: Portrét: Takto by vypadal ZeuS, pokud bychom vizualizovali jeho funkce
Podzemní ekonomika: zabijácké funkce a licenční model
Foto: Bez licence nefunguje: Dokonce i hackeři si nechávají za svůj software platit
Foto: Zabiják: Po odstranění malwaru ZeuS má jeho rival Spy EyE volné pole působnosti.
JAK PRACUJÍ LOVCI MALWARU
Švýcarská organizace Abuse.ch se specializuje na pátrání po bankovních trojských koních Zeus a Spy Eys. Hledá komunikační centra, jejichž prostřednictvím jsou ovládány infikované počítače. Na adrese https://zeustracker.abuse.ch, najdete mapu světa, která ukazuje, kde jsou ve skutečnosti řídící střediska. S pomocí zjištěných IP adres lze vytvářet seznamy, které jsou používány poskytovateli k přerušení komunikace mezi centrem a infikovanými počítači.
Foto: Botnet v České republice I u nás najdete napadený server, který slouží jako řídící středisko pro boty Dia a Spy Eye
Pro vaše bezpečné internetové bankovnictví
Na Chip DVD jsme pro vás připravili plnou verzi programu Zemana AntiLogger s licencí na jeden rok. Na DVD najdete i jazykový balíček pro lokalizaci uživatelského prostředí do češtiny. Tento bezpečnostní nástroj se specializuje na odhalení trojských koní, které se snaží získat vaše osobní data. V ohrožení tak mohou být například vaše přihlašovací údaje k internetovému bankovnictví nebo čísla kreditních karet. Zemana AntiLogger proto odhaluje programy sledující stisknuté klávesy nebo obsah displeje (v případě že používáte pro zadávání údajů virtuální klávesnici). Mezi další funkcí patří i ochrana před zkopírováním hesel ze schránky nebo před špehováním vaší vlastní webkamerou.