Domů

CSI: Internet – poslední část

Přihlásit se
eArchiv

CSI - Internet - poslední část

Na stopě phishingovému podvodu

Jeho úkrytem je síť, jeho cílem hesla a údaje z bankovních účtů. Detektivní tým Chipu sledoval phishingového lovce v jeho labyrintu - a rozluštil jeho kód.
Valentin Pletzer

Ne vždy musí být předem známa oběť, aby naši specialisté nastoupili do akce. Často stačí i jen pokus o trestný čin, a už zahajujeme vyšetřování. Bylo tomu tak i onoho pátku, kdy v naší poštovní schránce přistál tento e-mail: „Děkujeme za váš nákup. [...] Prosíme vás proto o kliknutí na následující odkaz, abychom mohli problém ihned vyřešit -http://idealo.de/order-online/." Evidentně tedy obvyklá phishingová finta.

Výzva

Takovéto maily normálně ihned mažeme. Tentokrát se však rozhodujeme na výzvu přistoupit a podívat se, co za ní vězí. Odkaz ve zprávě proto aktivujeme - samozřejmě však nikoli z ledajakého počítače. Pro podobné případy má náš tým zvláštní počítač, „odstíněný" od firemní sítě, který zde poslouží jako perfektní vnadidlo. Tak se nestane nic hrozného, když se, jak očekáváme, neotevře Idealo.de, nýbrž jakási stránka u hostingové služby Yahoo Geocities v USA - a hned s několika podezřelými překvapeními: stránka se ještě ani celá nezavede, a správce úloh ve Windows už ukazuje nezvykle vysoké zatížení systému. Tušíme zradu, a proto v Internet Exploreru otevíráme správu doplňků. A opravdu - zdá se, že jsme cosi zachytili. Přitom právě tomu vlastně mají bezpečnostní mechanismy browseru zabránit - heslo: „žlutá lišta". Tuto ochranu však „naše" stránka prolomila a podstrčila nám neznámý doplněk.
Teď to znamená zachovat klid a přísně se držet vyšetřovacích zásad: vyhodnocovat stopy, zajišťovat důkazy. Poznamenáváme si tedy adresu webové stránky Geocities a infikovaný počítač pro jistotu dáváme „k ledu". Nejvyšší přikázání totiž zní: Pokud možno vše zakonzervovat v původním stavu, neboť jedině tak lze později vyhotovit spolehlivé rozbory, které obstojí před soudem.

Hon na server

Ještě jednou navštěvujeme stránku Geocities. Tentokrát však prostřednictvím Firefoxu, který je proti těmto útokům imunní. Chceme tak analyzovat inkriminovaný kód. Čeká nás však překvapení: webová stránka se sice zavede, chová se však zcela nevinně. Okno prohlížeče je až na jeden „iFrame" v HTML kódu prázdné - a vnořený rámec se zdá také bez obsahu. Po krátké poradě docházíme k domněnce, že máme co dělat s rozpoznáváním prohlížečů, díky němuž se škodlivý kód posílá výhradně do Internet Exploreru. Ale když stránku otevíráme znovu - nyní se zmanipulovanou identifikací prohlížeče maskovaného jako Internet Explorer -, opět se setkáváme jenom s neškodným vnořeným rámcem. Zapeklitá záležitost...
„Mám ho," volá náhle šéf týmu a na jiném PC nám předvádí hledaný kód. „Stránka nerozpoznává prohlížeč, ale IP adresu počítače!" Škodlivý kód se tedy do každého PC posílá pouze jednou - to je obzvláště prohnané! Ihned si zaznamenáváme URL serveru, z níž pochází obsah vnořeného rámce. Avšak informace, které z této adresy dokážeme vytěžit, jsou sporé. Dozvídáme se jen jediné: útok nepřišel ze stránky Geocities v USA, nýbrž z webového serveru kdesi v Kuala Lumpuru.
Každopádně ale máme před očima HTML kód obsažený v iFrame, tedy vlastního škůdce, který se skládá pouze z jednoho javaskriptu. Jeho autor se sice snaží předstírat, že kód je zašifrován, ale tento trik už známe: to, co na první pohled vypadá jako dokonalá šifra, je vlastně jen hexadecimální způsob zápisu. Tuto hatmatilku nám převede na čitelné znaky jednoduchý prográmek v Perlu.

Tajemství javaskriptu

Analýza „dešifrovaného" textu ihned prozrazuje, že úkolem javaskriptu je infikovat každého návštěvníka webové stránky. Brzy je nám jasné, jak celý trik probíhá: nebezpečné řádky programu propašuje javaskript do počítače s využitím bezpečnostní mezery v přehrávači QuickTime. Tuto mezeru už Apple sice zacelil, odpovídající aktualizace však zdaleka nebyla provedena na všech počítačích. Ohroženy jsou všechny ty počítače, u nichž není v QuickTimu aktivována funkce „Auto-update". A takových je spousta...
Kód nám však prozradí ještě více: je-li napadení přes QuickTime úspěšné, pak server, na němž se javaskript nachází, ještě zavádí jakýsi EXE soubor. Se svými necelými 100 KB je opravdu malý, a pravděpodobně se tedy jedná jen o zaváděč - program, jehož jediným úkolem je zavádění dalšího malwaru. Zatímco si jedna část vyšetřovatelů bere pod lupu nový soubor, současně naše poznatky zveřejňujeme na internetu - a ihned dostáváme poštu.
Ačkoliv jsme zveřejněné informace částečně zamlžili, čtenář RobLD ihned věděl, odkud vítr vane. Jak nás upozornil, nebylo to poprvé, kdy z tohoto „zákoutí" internetu přišel tento typ útoku. Přinejmenším dva další phishingové útoky jsou spojeny s IP adresou z téže oblasti. Zdá se tedy, že máme co dělat s recidivistou, který svůj stan rozbil v Kuala Lumpuru.
RobLD nám nabídl, že se spojí se střediskem Internet Storm Center (ISC). Tam pracují specialisté, kteří se zabývají právě takovými případy a kteří už si vybudovali kontakty do nejrůznějších koutů světa. Máme následující plán: kontaktní osoba v Malajsii se postará o to, aby server se záškodnickým softwarem byl odpojen od internetu.
Mezitím rozbor EXE kódu prokázal, že se skutečně jedná o zaváděč - a ne ledajaký! Ještě dříve, než škodlivý software zavede do počítače, drze v něm deaktivuje Windows Firewall. Pak může zcela nerušeně do Internet Exploreru zavést doplněk (BHO), který už známe. A tenhle BHO je skutečný všeuměl: shromažďuje nejen hesla pro Windows a webové stránky, ale také data on-line bankovnictví. Abychom zjistili, která banka je postižena, necháváme si infikovat další testovací PC a simulujeme přihlášení k Postbank. Předem ovšem připravíme počítač tak, abychom mohli sledovat veškerý datový provoz.

Jak ukrást bankovní data

Sotva jsme klikli na tlačítko „Login", trojský kůň ihned začíná sestavovat další spojení a údaje, které jsme právě zadali z klávesnice, posílá nějakému serveru - tentokrát v Hongkongu. Pachatel se zdá „digitálním světoběžníkem". Obracíme se proto na specialistu, kterým je pan Toralv Dirro, výzkumník v oblasti virů u společnosti McAfee. Jeho mezinárodní kontakty by nám měly pomoci zatknout pachatele. Dirro však naše naděje tlumí hned v zárodku: „Tady se dá sotva něco dělat. Spolupráce s úřady v asijském prostoru nefunguje zdaleka tak, jak bychom si přáli." To, že se internetovým zločincům v jejich nekalé činnosti nedá zabránit, je frustrující. Podařilo se však alespoň odpojit od sítě stránku na Geocities, takže odkaz ve spamovém mailu míří do prázdna. Pro nás však celá věc uzavřena není. Zůstáváme ve spojení s experty a v honu pokračujeme. O jeho výsledcích se dozvíte v některém z dalších Chipů...
Valentin Pletzer

Nový seriál Chipu
V americkém kriminálním seriálu o CSI objasňují vyšetřovatelé zločiny pomocí vědeckých metod. Chip si vzal „Kriminálku Las Vegas" za vzor pro novou řadu článků, která ukáže, jak profesionální vyšetřovatelé a specialisté bojují proti strmě narůstající počítačové kriminalitě.

EXPERT
Toral v Dirro, bezpečnostní stratég pro oblast EMEA u společnosti McAfee, bojuje proti virům už 15 let

Dokumenty ke stažení