Nové nebezpečné viry
Škůdce Gumblar zaútočil a prostřednictvím velmi chytrého triku nakazil tisíce webových stránek a počítačů. Chip vám ukáže kompletní historii tohoto viru a přidá nástroje, pomocí kterých se můžete bránit.
DOMINIK HOFERER, PETR KRATOCHVÍL
Webová stránka se nahraje během několik milisekund a výsledkem je řetězová reakce – něco, co vám na dlouhou dobu "zkazí náladu". Tedy v případě, že se do vašeho počítače dostane vir a vy ztratíte kontrolu nad celým systémem: škůdce hledá údaje k bankovním účtům, odesílá spam nebo provádí pro svého "hackerského pána" jiné zadané úkoly. To vše pár okamžiků po návštěvě webu, aniž byste si čehokoliv všimli. Způsob, jakým se škůdce do počítače dostane a jak se zamaskuje, je velmi složitý proces. Chip vám ho ukáže zpomaleně – krok za krokem.
Spolu se specialistou Magnusem Kalkuhlem (senior analytikem virů ve firmě Kaspersky) a Felixem Lederem, počítačovým vědcem a postgraduálním studentem univerzity v Bonnu, jsme analyzovali nejnovějšího škůdce, známého pod jménem Gumblar. Ten se může stát větší hrozbou, než byl červ Conficker, především kvůli metodám šíření. Ukážeme vám, jak deaktivuje bezpečnostní mechanismy počítače a ukryje se hluboko v systému. Kromě toho jsme spolu s výrobcem bezpečnostního softwaru, firmou Panda Security, dešifrovali "trojského koně
TD-SS", který používá podobné metody jako záludný rootkit Gumblar. A abyste v případě napadení nemuseli u svého počítače jen sedět a nevěřícně útok viru sledovat, přidali jsme na DVD software, pomocí kterého můžete na útok viru reagovat a hrozbu eliminovat. A nyní už se pojďme podívat na náš postup.
0,124 s
Navštívíme neškodné stránky jedné méně známé hudební skupiny. Pro surfování používáme Internet Explorer. Pravda ale je, že ani Firefox nebo Opera by zde asi nenabídly o mnoho větší ochranu.
0,361 s
Prohlížeč "zpracuje" zdrojový kód a stránka vypadá stejně, jako když jsme ji navštívili před několika týdny. Ve skutečnosti je dnes ale všechno jinak: stránku totiž nedávno "převzal" Gumblar. Ve zdrojovém kódu se objevila novinka – ještě před značkou
. Jde o škodlivý kód, který se skládá pouze z dynamicky generovaných příkazů v javaskriptu. Uživatel si ho nevšimne a mohou ho ignorovat i některé bezpečnostní balíky. Tento kód poté na pozadí nerušeně "volá" PHP soubor.0,758 s
Zmíněný PHP soubor je na jiném napadeném webu (který slouží škůdci jako "základna") a z něj si pomocí javaskriptu stáhne malware. Tyto weby se neustále mění – v našem případě to byl například brazilský server, ze kterého si skript nahrál první verzi "Gumblaru" z jara 2009. Ta se nejprve objevila na čínských stránkách – konkrétně na adrese www.gumblar.cn, která je nyní už "off-line", ale jejíž "úlohu" v současnosti plní přibližně 2 000 jiných hostitelů, nabízejících rozličný malware. I to je důvod, proč je obrana obtížná – oblasti s napadenými počítači, které škůdce kontroluje, jsou příliš různorodé – jak z oblasti témat webů, tak i z geografického hlediska. Web hudební skupiny není zdaleka jedinou stránkou, která se stala šiřitelem Gumblaru. Ten totiž nepoužívá standardní způsob "injekční metody", ale přímo útočí na bezpočet webových stránek a tím infikuje tisíce osobních počítačů. Podle firmy Kaspersky bylo v listopadu loňského roku zaznamenáno 1,7 milionu útoků Gumblaru na počítače uživatelů a tento počet se neustále zvyšuje. Škůdce navíc nemá žádné jazykové hranice; infikované stránky existují v italštině stejně jako v angličtině nebo ve španělštině. A to je další z bodů seznamu, který dělá z Gumblaru opravdovou hrozbu…
1,126 s
Pro analýzu jsme náš virový skener deaktivovali, protože naše aktualizovaná ochrana malware (označený jako "TrojanDownloader.JS.Gumblar.x") objevila. Antivirové programy, které nejsou aktuální, však odhalují škůdce jen velmi obtížně, a to i proto, že vir se často modifikuje a využívá tzv. "zero day útoků". Další "bod" pro programátory tohoto škůdce…
Na zmiňovaném brazilském serveru existuje bezpočet různých exploitů, čehož se malware okamžitě pokouší využít. Vzhledem k tomu, že náš obranný systém je vypnut, může malware řádit v počítači bez povšimnutí: analyzuje operační systém, prohlížeč (i jeho komponenty) a další programy v našem systému. Gumblar se zaměřuje zejména na mezery v programech Adobe Reader a Adobe Flash a v balíku Microsoft Office. Na základě zranitelností zjištěných na konkrétním počítači si pak škůdce stáhne ze serveru příslušný exploit. Na váš počítač tedy zaútočí škodlivý kód přímo zaměřený na vaše konkrétná "slabá místa".
4,126 s
Abychom škůdci porozuměli lépe, podívali jsme se do zdrojového kódu a zkoušeli jsme odhalit to, co se jeho tvůrci snaží skrýt: zdrojový kód je záměrně vytvořen poměrně komplikovaným způsobem, takže jeho skutečný účel není na první pohled jasný. Tímto krokem hackeři ztěžují práci nejen virovým analytikům, ale především automatickým detekčním systémům. My jsme však objevili klíčový prvek, který plní funkci "šperháku". Tento prvek (označovaný také jako dropper) sám o sobě "destrukční" schopnosti nemá – pouze otevírá cestu pro další viry. Zde například pomocí vkládání
5,693 s
Nyní představený program je poslední etapou – tedy alespoň v tomto případě. Škůdce označovaný jako "Trojan-PSW. Win32.Kates.ad" se do počítače dostane na několik kroků. To, že se program rozdělí na několik malých částí, je speciální trik, tvůrci označovaný jako modularizace. Díky tomuto triku je údržba škůdce jednodušší a jeho nasazení efektivnější. Dropper tak může nenápadně stáhnout jednotlivé komponenty přesně podle potřeb hackera.
7,953 s
Škůdce přidá do registru následující záznam:
"HKEY_LOCAL_MACHINE\Software\ Microsoft\WindowsNT\CurrentVersion\ Windows" "LoadAppInit_DLLs" = "1".
8,131 s
Druhou položkou v registru (HKEY_LOCAL_ MACHINE\Software\Microsoft\WindowsNT \CurrentVersion\Windows, AppInit_ DLLs = "winmm.dll") hacker zajistí, že každá aplikace, která využívá "user32.dll" (je jich většina), zároveň automaticky spustí i DLL škůdce. Soubor "winmm.dll" je součástí rootkitu označovaného jako Daonol. Ze systému nezmizí ani po restartu, přičemž se maskuje následujícím způsobem: DLL viru zachytí libovolný proces (v našem případě je to Adobe Reader), do RAM zapíše vlastní kód a DLL okamžitě "uzavře". Samotný proces Gumblaru se tak objeví jen na zlomek sekundy. Výsledkem je cizí kód spuštěný v paměti RAM, původně vyhrazený aplikaci Adobe Reader. Tato metoda "injekce procesů" byla objevena Felixem Lederem pomocí nástroje RE-Google (viz rámeček vpravo).
10,218
Zde koloběh Gumblaru končí a může začít nový útok. Jakmile se uživatel přihlásí ke svým webovým stránkám (například pomocí FTP), škůdce data prozkoumá a začne s nimi manipulovat – například do stránek vloží výše uvedený kód v javaskriptu a umožní napadení dalšího počítače. Soubor "Winmm.dll" také hackerovi umožňuje kontrolu FTP připojení – součástí rootkitu Daonol bývá i nástroj označovaný jako sniffer. Ten dokáže monitorovat síťovou komunikaci všech programů. Kromě toho DLL přepíše části standardní funkce Windows Send a Recv (z dynamické knihovny "ws2_32.dll") a umožní "kontrolu" jejich volání. To například dovolí analyzovat datový tok a získat přístup k zajímavým datům, jako jsou třeba uživatelská jména a hesla k FTP účtům.
10,228 s
Ve finále se v registru vytvoří ještě položka, která slouží k informování "nově příchozích" verzí Gumblaru, že systém již byl napaden:
"HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows NT\CurrentVersion\Drivers32" "midi9" = "[filename] 0yAAAAAAAA".
11,545 s
Od této chvíle Gumblar nejen slídí po disku a kontroluje FTP připojení, ale i manipuluje s dotazy Googlu: pomocí instalace proxy, která je "převlečená" za Sys32dll.exe, a také vytvořením kanálu pro vyhledávací dotazy přes port 7171.
Pokud se při surfování pohybujete po stránkách bank, obchodních portálů nebo měst, je možné, že vám při hledání Google ukáže správné výsledky, ale mnohem častěji zavede uživatele na phishingové stránky. Při hledání nástrojů na odstranění Gumblaru také logicky nenajdete nic…
To ale zdaleka není vše – jakmile váš počítač ovládne Gumblar, je jen otázkou času, kdy se na něj dostane specializovaný škůdce, který změní váš počítač v zombie a začlení se do botnetu. Váš počítač tak budou moci na dálku ovládat hackeři a používat ho ke svým dalším výnosným aktivitám (rozesílání spamu, DOS útokům…).
A jak se bránit? Prvním krokem by měla být aktualizace Windows, prohlížeče a jeho doplňků (Adobe Reader a Flash). To by mělo pro odvrácení útoku stačit. Pokud je váš počítač již napaden, pomohou vám naše nástroje na odstranění škodlivého softwaru.
Nová generace malwaru: Gumblar
Gumblar, nejnovější hrozba skrývající se na internetových stránkách, je tak záludně naprogramován, že může napadnout téměř kohokoliv. Na rozdíl od svých předchůdců už se neskrývá na erotických či pornografických webech, nebo dokonce na stránkách s pirátským softwarem. Můžete na něj narazit téměř kdekoliv – infikovaný může být klidně i blog přátel nebo firemní prezentace. Před Gumblarem vás už tedy "obezřetné surfování" neochrání…
RYCHLÉ ŠÍŘENÍ
Statistiky firmy Kaspersky uvádějí, že v roce 2009 existovalo přibližně 1,7 milionu stránek infikovaných malwarem Gumblar. Podle bezpečnostní společnosti Scan Safe stojí v současnosti Gumblar přibližně za 29 procenty aktuálně rozšiřovaného malwaru.
KVALITNÍ MASKOVÁNÍ
Jakmile se Gumblar dostane do systému, maskuje se pomocí mimořádně kvalitních rootkit technologií (i pomocí technologie "process injection"). Nikoho tedy určitě nepřekvapí, že například standardní Správce úloh ve Windows ho nezobrazí.
Jak se na problematiku Gumblaru dívá "domácí" firma AVG?
Zeptali jsme se technického ředitele Karla Obluka.
EXISTUJÍ PODLE VÁS AGRESIVNĚJŠÍ A NEBEZPEČNĚJŠÍ VIRY, NEŽ JE GUMBLAR?
Zcela jistě je možné najít řadu dalších virů, které používají podobné postupy a techniky nebo které jsou v některých aspektech nebezpečnější než Gumblar. Rodina Gumblar sice zahrnuje poměrně širokou škálu různých variant, nicméně obecně nijak zvláště nevyčnívá – což se ostatně dá říci o velké většině současných hrozeb.
ZAUJAL VÁS V POSLEDNÍ DOBĚ NĚJAKÝ VIR A PROČ?
V poslední době mne zaujaly především různě reinkarnace tzv. Koobface rodiny virů, zejména pro jejich úspěšnost. Stejně tak celá řada dalších relativně jednoduchých hrozeb, které však velmi úspěšně využívají technik sociálního inženýrství, mne nepřestává překvapovat – jak jednoduše se dají uživatelé obelstít.
0,124s
ZDÁNLIVĚ NEŠKODNÉ STRÁNKY
Gumblar se skrývá i na internetových stránkách, které nejsou nemorální nebo nemají ilegální obsah. Škůdce se může ukrývat i na obvyklých webových stránkách, které jsou spravovány pomocí FTP. Příliš bát se nemusíte u velkých portálů, jako jsou Novinky. cz nebo Idnes.cz (nebo také Chip.cz), které jsou méně zranitelné, protože je jejich obsah spravován pomocí redakčních systémů.
0,361s
NEBEZPEČNÝ KÓD
Gumblar "dropper" pronikne do počítače pomocí jednoduchého příkazu javaskriptu, který je vložen ještě před značku
1,126s
GUMBLAR NAHRÁVÁ EXPLOITY
Gumblar nahrává do počítače balíček "exploitů" pomocí funkce "KLmF ()".
4,126s
ZRANITELNOST V ADOBE READERU
Gumblar infikuje počítač pomocí přetečení bufferu u mezery v doplňku prohlížeče.
10,218s
MANIPULACE DLL
Funkci "WSASend" v souboru "ws2_32.dll" manipuluje Gumblar tak, že funkce volání "send ()" je přesměrována na rootkit Daonol. To umožní například získávat přihlašovací údaje.
11,545s
SLEDOVÁNÍ FTP PŘIPOJENÍ
Gumblar nyní analyzuje úplný oběh dat v síti. Ukládá všechny přihlašovací údaje a odesílá je programátorům malwaru.
Virus přes mail: TDSS se zamaskuje jako aktualizace
Na rozdíl od viru Gumblar, který je distribuován pomocí přímého stažení, existuje spousta škůdců, kteří se stále ještě snaží najít cestu do počítače přes e-maily. Bezpečnostní experti z antivirové společnosti Panda pro nás důkladně prozkoumali trojského koně známého pod označením TDSS.
JAK SE TDSS DOSTANE DO PC:
Hacker odesílá prostřednictvím e-mailu odkaz na zajímavé video o urychlovači částic v CERN. Zde je (pomocí doplňku prohlížeče – Flash přehrávače) do počítače uživatele nahrán trojský kůň TDSS a spolu s aplikací otevírají v počítači "zadní vrátka" chytře naprogramovaným rootkitům.
Společnost Panda škůdce analyzovala a našla v malwaru (vytvořeném v assembleru) kód, který TDSS maskuje přepsáním volání funkce, které odkazuje na jeho jednotlivé funkce. Je tedy obtížné odhalit jeho "rootkit schopnosti", antivir si nemusí být jist, zda jde o trojského koně, nebo ne. Jediným "identifikačním" údajem je, že se při přístupu na internetovou stránku nejprve zobrazí chybové hlášení. Hacker tak chce uživatele přesvědčit, že stránka neexistuje.
Tým studentů odhaluje Conficker a Gumblar
Felix Leder, doktorand univerzity v Bonnu, vyvinul s týmem studentů nástroj, který analyzuje malware a určuje jeho funkce. Pomocník s názvem RE-Google je doplněk pro IDA dissembler a pouze ve finále odesílá Googlu automatické vyhledávácí dotazy.
JEDNODUCHÝ KONCEPT S VÝSLEDKEM
Jednoduchý, ale velmi účinný trik: Vzhledem k tomu, že viry a malware rády používají existující knihovny a programové části, můžete mnoho škůdců snadno odhalit pouhým hledáním na netu.
Díky tomu mohl Leder se svým týmem identifikovat různé kryptovací funkce v malwaru Conficker a Waledac Bot. Jeho nástroj "RE-Google" také pomáhal s Gumblarem. Leder například zjistil, jak rootkit funkce funguje a že je založen na "toolkitu Shock Shock".
Kromě toho také objevil, že Gumblar filtruje z datového provozu protokol FTP, a to i přesto, že tato "funkce" není z analýzy zdrojového kódu rootkitu zřejmá – byla totiž zašifrována přímo v kódu malwaru.
Foto: Vizualizace: Modulární struktura malwaru s tzv. loaderem (vpravo) a rootkitem (vlevo).