Domů

Lov virů v praxi: Nejzajímavější případy

Přihlásit se
eArchiv

Lov virů v praxi: Nejzajímavější případy

Je to jako v akčním thrilleru - neuvěřitelné útoky hackerů udržují odborníky na malware ve střehu. Při záchranných operacích musí často sáhnout hluboko do svého kufříku s triky.
  DOMINIK HOFERER  

  DOMINIK HOFERER  
 Redaktor Chipu se tématikou virů a zabezpečení zabývá více než pět let...

Normální den lovce virů může být někdy stejně fascinující jako filmový thriller. Bezpečnostní experti nastupují na scénu v situaci, kdy se počítač začne chovat podezřele a hrozí riziko ztráty dat či zneužití PC. Úkolem expertů je najít indicie, určit škůdce a pokusit se vystopovat zločince, který má tento malware na svědomí. Chip měl možnost setkat se s odborníky společností Trend Micro, Kaspersky a Norman, sledovat je při práci a vytvořit tak přehled čtyř zajímavých případů, ve kterých počítačoví zločinci získali peníze od soukromých uživatelů, zaútočili na systémy v nemocnicích a ordinacích nebo dokázali ochromit celé výrobní linky.
Praxe ukazuje, že podobné případy se mohou přihodit každému. Při stále rostoucí sofistikovanosti hrozeb není vůbec jednoduché se viru zbavit, protože čím více se malware infiltruje do systému, tím složitější je náprava škod. Dokonce i relativně jednodušší červy typu Conficker, které jsou v současné době stále aktivní, představují i pro zkušené profesionály velký problém; ti pak musí zalovit hluboko ve svém depozitáři triků, aby takovéto viry dokázali vůbec odstranit. Pro soukromé uživatele je v takových případech nejrozumnější volbou nová instalace systému, tento postup ale u velkých sítí (a to nejen z časových důvodů) použít nelze. Jedna věc je však jistá: všichni oslovení odborníci byli po všech těch zákrocích přesvědčeni, že nainstalovaná nejnovější ochrana proti virům mohla pomoci vyhnout se většině hrozeb a ušetřit tak firmám i obyčejným uživatelům spoustu potíží. A to platí jak pro jednoduché domácí počítače, tak i pro velmi složité systémy ve výrobních závodech.

Soukromé počítače po naprostém zhroucení

Obvyklá příčina zbytečných restartů: ukrytý malware učinil počítač nefunkčním. Pro obyčejného laika by tato situace představovala konečnou - náprava je náročná i pro zkušené profesionály.

Celá věc začala zcela nevinně jako malá přátelská služba kamarádovi lovce virů firmy Kaspersky, v rámci které měl „lovec“ vyřešit problém s počítačem. Majitel byl přesvědčen, že jde o nějakou chybu hardwaru, protože počítač vykazoval typické příznaky hardwarových problémů. Například známá modrá obrazovka se často objevovala i během bootování, v některém případě se systém Windows 7 nespustil vůbec. Prvotním tipem tak byly problémy se základní deskou. Při takovýchto problémech nebývá malware obvykle podezřelým číslo 1, protože vývojáři virů nechtějí způsobit poškození hardwaru - to by jim nepřineslo žádný zisk.
Podvodníci totiž vydělávají peníze jen tehdy, pokud virus zůstává nenápadně v pozadí a krade čísla kreditních karet, soukromé údaje nebo rozesílá spam. Navíc je už vývoj malwaru natolik sofistikovaný, že jeho vývojáři mají dostatek času na „odladění“ škůdce do bezproblémové podoby.
Nicméně bezpečnostní expert se přesto chtěl přesvědčit, že počítač je skutečně čistý. Nejprve se ale pokusil získat přístup k počítači, aby bylo možné vytvořit zálohu pevného disku. Vložil USB disk, jehož pomocí chtěl spustit systém „live Linux“. I USB připojení však začalo vykazovat chyby, a dokonce přestala reagovat i DVD mechanika. Pro laika by tato situace znamenala „konečnou“, ale profesionál měl v záloze ještě jeden trik. Pomocí bootování přes síť získal přístup k disku a vytvořil jeho image. Ten pak nahrál do svého notebooku s nainstalovaným Ubuntu a zkontroloval ho pomocí nejnovějšího antiviru. Výsledek byl šokující.
Nalezl virus s rootkit technologií TDL2, který se aktivoval okamžitě po spuštění počítače a infikoval bootovací sektor. Jako „bonus“ se pomocí malwarem vytvořeného „command&control“ serveru do počítače dostávají další viry; většina z nich se však naštěstí ukáže jako relativně neškodný scareware - programy, které se snaží z uživatele získat peníze za odstranění údajně nalezeného škodlivého softwaru.
Infekce: Za touto záplavou malwaru se ukrývá model PPI (PayPerInstall). Ten funguje tak, že pokud cracker do počítače nic netušícího uživatele nainstaluje malware, dostane zaplaceno od příslušného programátora viru.
Jedná se o druh „výpomoci“ zvaný Art Affiliate Program, který původně pochází z oblasti reklamního průmyslu. Legálním příkladem tohoto „principu“ je například Yahoo toolbar, jehož pomocí mnoho vývojářů vydělává peníze i z bezplatných programů. Jak se zdá, nyní se tento model dostal i na „temnou stranu“ obchodu. Vývojáři viru a počítačoví zločinci teď více spolupracují a na různých fórech se setkávají s cílem dohodnout se na společném a efektivnějším vydělávání peněz.
Pokud například zločinec chce vytvořit botnet, může využít platformu PPI. V rámci ní se od zkušených a ostřílených hackerů prostřednictvím fór může obeznámit s tipy, jak nejrychleji vydělat peníze a co funguje nad rámec běžných metod. Zde také PPI operátorům zadá objednávku na malware, který potom sám rozšíří. V rámci programu PPI pak „výrobci“ malwaru platí zločinci peníze za každý počítač, který se mu podaří infikovat. Oni sami posléze z infikovaných počítačů získávají „zpeněžitelná data“.
Aby byla infiltrace malwaru do počítačů nic netušících obětí snadnější, často je malware dodáván spolu s „normálním softwarem“. Typickou ukázkou jsou „keygeny“ neboli pirátské generátory licenčních čísel, které si „nadšení“ uživatelé instalují do počítače sami. Samotná výměna dat mezi malwarem a pirátským serverem probíhá pomocí P2P sítí, případně přes webhosting.
Distribuce virů není vůbec jednoduchou záležitostí, protože služba sdílení souborů (nebo webhoster) infikované soubory rychle odstraní. Nicméně pro tento účel PPI stránky nabízejí takzvané „crypters“, které zakódují škodlivý software takovým způsobem, že ho antivirové programy nedokážou rozpoznat. Tyto crypters jsou velmi populární, ale také poněkud drahé: jejich vývojáři dostávají za jednu licenci přibližně 100 dolarů.
A jak vypadá samotné vydělávání pomocí PPI? Pokud se zločinci podaří zamořit pomocí specializovaného malwaru 1 000 počítačů v USA, platforma PPI za to zaplatí 180 dolarů. Asijské počítače nejsou lukrativním cílem, protože se za ně platí pouhých 6 dolarů. Aby se tedy zločinci vložená snaha vyplatila, musí šířit malware do celého světa a instalovat ho na co možná nejvíce počítačů. O tom, kde se většina „kšeftařů“ tohoto platebního modelu nachází, leccos naznačuje i následující detail: mnoho obchodních středisek PPI neplatí peníze za počítače napadené v Rusku.
Dezinfekce: V našem případě útočník minul cíl. Množství instalovaných virů vedlo k přetížení počítače a ten přestal zcela fungovat. Odborník tedy musel použít novou instalaci systému, kterou provedl přes síť pomocí serveru PXE.

Lékaři propagují viagru

Pokud je počítač používaný pro lékařské účely hacknut, může to mít velmi dramatické následky. Nebo také poněkud komické…

V rámci dalšího případu museli lovci virů z firmy Kaspersky navštívit lékaře. Infekce ale netrápila naše odborníky, nýbrž dva počítače lékařů. Ty vykazovaly zjevné příznaky nakažení malwarem - především začaly bezdůvodně pracovat velmi pomalu. Bylo tedy nutné jednat rychle!
Po krátkém průzkumu se obavy naplnily: jde o virový útok! Ve složce s odeslanou poštou v e-mailovém klientu se nachází příliš mnoho spamové pošty. Předmět e-mailů hlásá, že jde o reklamu na prospěšný farmaceutický produkt, ve skutečnosti však lékaři nevědomky zasílali svým pacientům po několik týdnů reklamu na falešnou viagru.
Infekce: Odborníci nemohli pochopit, jak přesně k infekci došlo, jedna věc je ale jasná: oba počítače v ordinaci lékaře jsou součástí botnetu, který zasílá spam. Tento akutní případ ukazuje, jak moc je důležité, aby bezpečnostní nástroj a operační systém byly vždy aktualizované. Administrátoři totiž oba počítače trestuhodně zanedbávali: poslední aktualizace systému Windows byly dva roky staré a licence k antivirovým produktům vypršely už před více než rokem. To znamená, že minimálně rok byl počítač bez důsledné bezpečnostní kontroly. Stručně řečeno: tyto počítače používané pro lékařské účely představovaly pro kybernetické zločince snadný cíl.

A jak funguje „viagrová mafie“?

Při zasílání spamové pošty počítačoví zločinci a padělatelé viagry spolupracují - i zde si vybudovali jednoduchý, ale výnosný partnerský systém. To má za následek skutečnost, že 95 procent všech e-mailů je spam a z nich přibližně každý čtvrtý inzeruje farmaceutické přípravky typu viagry. A že jde o výnosný obchod, to potvrdilo nedávné zatčení ruského „spamového krále“ Georgije Avaněsova, který podle vyšetřovatelů takto vydělával přibližně 100 000 eur měsíčně.
Dezinfekce: Tento problém dokážou experti úspěšně odstranit bez nutnosti restartu. Vir může být eliminován například po nabootování z „Live CD“. Ihned poté jsme ale aktualizovali Windows a doporučili zakoupení kvalitní antivirové ochrany.
Další incident, který se stal na počátku letošního roku, ukázal, že součástí sítě „spambotů“ se mohou stát nejen lékařské počítače bez kvalitní bezpečnostní ochrany. V lednu tohoto roku byli uživatelé služby McAfee „SaaS Total Protection“ informováni o tom, že jejich e-maily nejsou přijímány velkými poskytovateli e-mailových služeb. Jejich IP adresy se totiž ocitly na černé listině, na které se obvykle vyskytují největší spammeři.
Ukázalo se, že bezpečnostní firma McAfee se sama stala obětí hackerského útoku. Kvůli tomu bylo podle bezpečnostních expertů infikováno asi 1 900 počítačů, které rozesílaly spam. Firma McAfee zareagovala rychle a mezeru zazáplatovala. Nikdo ale netušil, co se vlastně stalo.
Po důkladném prozkoumání problému experty se ukázalo, že útočníci byli schopni využít on-line službu „SaaS Total Protection“ k rozesílání nevyžádané pošty uživatelům. Podle prohlášení poskytovatele nedošlo k žádným škodám, soukromá data uživatelů nebyla zpřístupněna hackerům a počítače nebyly napadeny, takže problém byl odstraněn rychle.

Průmyslová továrna zastavena

Nad jindy rachotící montážní linkou se line přízračné ticho - ovládacími stroji se šíří červ a naši zachránci se vydávají do boje.

Na místě jinak plném ohlušujících zvuků způsobených obrovskými lisy, vrtačkami a frézami zavládlo ticho. Počítačový červ zamořil výrobní linku velké firmy a infikoval počítače zodpovědné za řízení a monitorování zařízení. Následkem toho přestala fungovat celá továrna. Analýza malwaru od společnosti Trend Micro zjistila, že jde o červa Conficker. Ten paralyzoval obrovskou výrobní linku po několik dnů. Conficker je jedním z nejagresivnějších virů, které se po internetu šíří již několik let.
Infekce: Prvním překvapením byl fakt, že průmyslové zařízení nebylo připojeno k internetu - bylo zcela nezávislé. Zaměstnanci ukazovali na nápisy hlásající, že nejsou povoleny ani USB flash disky. To ale samo o sobě účinnou ochranu nezaručí. A skutečně - ukázalo se, že některý zaměstnanec pokyny nedodržel a neúmyslně tak do zařízení dostal červa Conficker právě pomocí přenosného média.
Počítače podílející se na řízení provozu nebyly vybaveny antivirovou ochranou, následkem čehož se virus mohl šířit následujícím způsobem: Červ se pomocí účtu „Admin$“ dostal do volných počítačů v síti, v nich si poté mohl zjistit jméno uživatele a hrubou silou zkusit „rozlousknout“ heslo.
Pokud byl postup úspěšný, Conficker pronikl do ukořistěného systému a zkopíroval se do složky Windows s názvem „system32“, v jejíž podsložce „Tasks“ vytvořil soubor „*.job“. Ten pak opět odkazoval na soubor „*.job“ na jiném infikovaném počítači. Tyto soubory zajistily, že červ mohl fungovat na všech počítačích v různých časech.
Pomocí těchto souborů mohou lovci virů problém řešit rychleji, jelikož běžný sken díky nim dokáže virus odhalit a odstranit ho. Conficker má ale po ruce ještě jednu zbraň, která představuje pro odborníky velkou výzvu.
Využitím známé bezpečnostní mezery (kterou společnost Microsoft označuje názvem MS08067) je do systémové složky „system32“ vložen malwarový soubor s názvem „x“. Ovšem až poté, co je spuštěn proces viru. Díky tomu ho sice antivirový program najde, ale nedokáže ho odstranit či přesunout. Jde o interní ochranu Windows, jejímž původním cílem je ochrana systémových procesů před útoky malwaru.
Dezinfekce: Řešení existuje, ale je velmi obtížné. Místo rychlého odstranění červa ze sítě celého továrního zařízení musí bezpečnostní odborníci vyčistit každý počítač zvlášť u příslušného průmyslového zařízení.
Jako perličku lze uvést, že vzhledem k velikosti zařízení jsou odborníci nuceni jezdit mezi linkami na kolech, jen tak se totiž mohou vypořádat s velkými vzdálenostmi areálu. Problém s ochranou procesů je řešen pomocí restartu každého zařízení a odstranění problematického kódu, dříve než se spustí malwarový proces.
Pouhé vyčištění systému je nicméně nedostatečné. Je nutné ho ochránit před dalšími virovými útoky, které se kvůli nedisciplinovanosti zaměstnanců mohou kdykoliv opakovat. Paradoxem je, že oprava od Microsoftu k dispozici je (ve formě „Fix it“), ale na celé řadě počítačů nebyla spuštěna - a to i pravděpodobně ve velkém procentu průmyslových závodů.
Klíčovým problémem tohoto provozu je skutečnost, že v rámci sítě zde funguje systém Windows NT, který už není Microsoftem podporován a pro který už v současné době neexistuje žádná oprava. Pomocí vlastnoručně naprogramovaných záplat se nakonec podaří lovcům virů počítače vyčistit a zazáplatovat a nakonec i znovu spustit výrobu.
Tento zajímavý příběh se stal roku 2009, ale Trend Micro stále hlásí nové a nové případy útoku Confickeru. Pokyny, jak červa najít a odstranit, najdete na další straně, protože Conficker hraje důležitou roli i v našem dalším příběhu.

Virový útok na nemocnici

IT systém, který se využívá při operacích pacientů, byl infikován neznámou hrozbou. V časové tísni se odborníci snažili dopadnout agresivní virus.

Byl ospalý nedělní večer, přibližně kolem 21. hodiny, a v nemocnici se právě odehrávala scéna, za kterou by se nemusela stydět ani televizní „kriminálka“. Nemocniční síť byla napadena neznámým virem a k vyšetřování byli přivoláni lovci virů z firmy Norman. Poněkud překvapivé bylo, že ačkoliv byly v nemocnici v provozu dvě nezávislé sítě (jedna připojená k internetu, druhá interní), infikovány byly obě dvě. Nákaza byla nebezpečná především pro druhou část sítě, jejíž součástí byly i specializované zdravotnické přístroje. Poté, co experti dorazili, skutečně potvrdili infekci v obou sítích a po krátkém zkoumání detekovali i samotného škůdce: šlo o poněkud zastaralý červ zvaný Neeris, který už před několika lety zmizel z „povrchu disků“. Nyní byl ale oživen prostřednictvím červa Conficker, když vývojáři Neerisu zkopírovali rutinu infekce tohoto nebezpečného malwaru.
Experty překvapilo, jak moc se Neeris v nemocnici rozšířil. Bylo infikováno více než sto počítačů s Windows XP a také několik lékařských přístrojů.
Virus sám o sobě napadené počítače nepoškozoval, ale vzhledem ke struktuře sítě byly i tak následky infekce nepříjemné. Vzhledem k agresivnímu šíření červa byly totiž zasaženy bezpečnostní systémy, které blokovaly přístup k zařízením. Velkým problémem byla především infekce počítačů, které řídí důležité lékařské vybavení a zpracovávají údaje týkající se operací. Byla půlnoc a k dalšímu operativnímu zákroku mělo dojít už za sedm hodin. Pokud by lékaři museli pracovat v nouzovém režimu bez využití počítačů, mohlo by to mít nebezpečné následky na jejich práci a jejich pacienty. A čas se krátil.
Jaký byl tedy postup? Lovci virů nejprve zkoumali protokoly serveru, aby zjistili, kdo byl „pacient nula“, tedy počítač, který byl napaden jako první. Poté správci sítě sestavili seznam zařízení, která musela co nejdříve znovu fungovat. Odborníci pracovali s nástrojem Snort OpenSourceTool, který by měl dokázat najít všechny napadené systémy. Naštěstí červ má výrazný podpis, takže všechny postižené systémy bylo možné rychle identifikovat.
Infekce: V jednu hodinu ráno byl určen zdroj infekce. Jednalo se o obyčejný počítač, který nebyl připojen k internetu, ale byl připojen k síti, odkud si lékaři na USB kopírují například výsledky CT vyšetření. Neeris se stejně jako červ Conficker dostal do počítače přes USB rozhraní a poté se do ostatních systémů rozšířil pomocí exploitu. Pro tuto mezeru v systému Windows už dávno existuje záplata, ale protože počítač nebyl připojen k internetu, nemohl se systém automaticky aktualizovat tak, jak je obvyklé. Spustit záplatu manuálně také není snadné, protože pak by všechny zdravotnické přístroje mohly přijít o svou certifikaci - jejich správná funkce je vázána na konkrétní verzi a stav operačního systému. Problém mohl vyřešit existující antivirový systém, který ovšem selhal, protože nebyl již dlouhé měsíce aktualizován.
Dezinfekce: Červ byl tak agresivní, že první pokus o jeho odstranění v 1:30 ráno se nezdařil. Neeris znovu rychle napadal vyčištěné systémy. Ale i tak sofistikovaný škůdce jako Neeris má slabost, kterou lze využít proti němu. Při prvním útoku na systém si ověřuje, zda je na počítači již přítomna nějaká jeho varianta. Pokud ano, pak se sám ze systému odstraní. Proto odborníci použili následující trik: do každého počítače vložili kód předstírající infekci, který fungoval jako očkování. Při další vlně šíření červa zůstaly tyto počítače čisté. Nakonec se lovcům virů podařilo eliminovat i zbývající ohniska nákazy a červ byl odstraněn. Bohužel ale jen z počítačů využívajících operační systém Windows XP, protože na zdravotnické přístroje nic instalovat nelze. Zde musel pomoci výrobce zařízení. Ve 3 hodiny brzy ráno si konečně mohli lovci viru oddechnout, protože počítače nutné pro chirurgické zákroky byly „čisté“. Poté už IT tým nemocnice až do 7 hodin ráno čistil všechny ostatní systémy a aktualizoval je, aby se předešlo dalšímu napadení.


NEBEZPEČNÉ ROOTKITY
Ve výše uvedeném případě fungoval virus „TDL-2-Rootkit-Technology“ pouze na „klasickém PC“, kde napadl boot sektor a aktivoval se ihned po restartování počítače. Rootkit-TDL je velmi aktivní a doposud napadl po celém světě více než 4,5 milionu počítačů. Tento škůdce byl také první, který dokázal infikovat „ve velkém“ i 64bitové systémy. Většina napadených počítačů však funguje s operačním systémem Windows XP.


JAK FUNGUJE „VIAGROVÁ MAFIE“
Při rozesílání spamů počítačoví zločinci a padělatelé viagry úzce spolupracují: dokázali vybudovat jednoduchý, ale efektivní partnerský systém s odměnami pro všechny „zainteresované podílníky“.
95 procent všech e-mailů se týká farmaceutických výrobků
Pouze 0,0000081 procenta příjemců „viagra spamu“ si objedná zboží za 100 USD - to nezní nijak zajímavě. Vzhledem k množství odeslaných spamů a nákladům na rozeslání však jde o velmi lukrativní byznys.
Z objednávky, kterou spammer předá výrobci falešných pilulek, získá přibližně 40procentní podíl.


HLAVNÍ ÚTOKY NA PRŮMYSLOVÉ KOMPLEXY
Velkou slabinou průmyslových závodů jsou počítače s OS Windows, které v mnoha společnostech monitorují výrobu a mohou být snadno zamořeny malwarem. Typickou ukázkou může být červ nazvaný
Stuxnet, který se na rozdíl od podobné hrozby jménem Conficker nemusí v počítači nijak projevovat - na pozadí však může manipulovat s „hardwarem v továrně“ tak, že si provozovatel závodu ničeho nevšimne…

PC S WINDOWS
Běžný počítač ovládá činnost zařízení v elektrárnách či závodech a lze ho velmi snadno zmanipulovat jako klasické domácí PC.
PROGRAMOVATELNÉ ŘADIČE
Programovatelné řadiče ovládají práci strojů. I ony mohou být velmi náchylné na možnost hacku.
POHON
Skutečné stroje jsou řízeny pomocí pohonu. Pokud může malware manipulovat s jeho ovládáním, může to mít fatální následky.
STROJ
Postižené stroje mohou „jen“ zhoršovat kvalitu výrobku, nebo dokonce zcela zastavit výrobu v průmyslovém závodu.


USB VIRY ANEB JAK MŮŽETE POČÍTAČ OCHRÁNIT
Červy, jako jsou Neeris a Conficker, se šíří prostřednictvím USB disků. Díky našim tipům můžete svůj počítač ochránit, případně nakažený počítač vyčistit.
Identifikace
Na stránce bit.ly/9Bjl0 můžete zdarma přímo v prohlížeči získat informace o tom, zda je váš počítač napaden malwarem Neeris nebo Conficker.
Odstranění
Pokud byl váš počítač napaden, odpojte ho od sítě a na jiném PC si stáhněte nejnovější nástroj pro odstranění malwaru Conficker.
Ochrana
Nejvíce jsou ohroženy počítače s Windows XP, ty proto doporučujeme chránit pomocí kvalitního bezpečnostního nástroje.
Očkování
Specializovaný nástroj „BitDefender USB Immunizer“ dokáže ochránit USB paměti před infekcemi a zároveň tak zabraňuje šíření virů. 46


Foto popis|  NAPADANÉ SYSTÉMY
Foto popis|  Viry a červy se často šíří z USB zařízení přes funkci „automatické přehrávání“.