Rizici na internetu: Zaraženi legitimni sajtovi (3. deo)

Tekstovi o zaštiti, 15.09.2010, 02:07 AM

Rizici na internetu: Zaraženi legitimni sajtovi (3. deo)

Kako dolazi do infekcije kompjutera dok surfujete internetom? Kako sajber-kriminalci zarađuju prevarom internet korisnika? Serijom tekstova koje ćemo objavljivati narednih dana pokušaćemo da vam odgovorimo na neka pitanja.

U prvom tekstu serijala bavili smo se napadima, spamom, reklamnim banerima i primamljivim linkovima. U drugom tekstu smo pojasnili kako sajber-kriminalci svoje maliciozne sajtove čine vidljivijim za Google i one koji surfuju internetom.

Treći tekst, koji je pred vama, bavi se jednim od najozbiljnijih problema današnjeg interneta - legitimnim sajtovima koji postaju opasni za svoje redovne posetioce pošto su prethodno hakovani i zaraženi malicioznim programima.


Prikriveni drive-by download (vidi u Rečniku: drive-by download) je metod koji se sve češće koristi za širenje malicioznih programa. U drive-by napadu, infekcija kompjutera ne zahteva učešće korisnika, niti korisnik primećuje da mu je računar zaražen. Većina drive-by napada se pokreće sa zaraženih legitimnih sajtova.

Zaraženi legitimni sajtovi su možda jedan od akutnih i najozbiljnijih problema današnjeg interneta. Nisu retkost ni naslovi u medijima poput “Masovnim hakovanjem hiljade web stranica zaraženo malware-om”, “Problemi u bezbednosti WordPress-a dovode do masovnog hakovanja. Da li je vaš blog sledeći na redu?” i “Lenovo sajt za podršku korisnicima inficira Trojancem kompjutere posetilaca”. Kaspersky Lab svakodnevno otkriva hiljade zaraženih sajtova sa kojih se preuzimaju (download) štetni kodovi na kompjutere korisnika bez njihovog znanja ili saglasnosti.

Po pravilu, drive-by napadi ne podrazumevaju da korisnika treba ubediti da poseti određeni sajt; korisnik će, po navici, sam doći na sajt. Takav sajt, na primer, može biti legitimni (ali zaraženi) web sajt na kome korisnik svakodnevno čita vesti ili na koji dolazi zbog određenih proizvoda.

Sajt se obično inficira na jedan od dva načina: ili putem ranjivosti u samom sajtu (na primer, SQL injection), ili korišćenjem prethodno ukradenih poverljivih podataka potrebnih za pristup sajtu. Najčešći metod je dodavanje skrivenog tag-a nazvanog iframe u izvorni kod stranice. Iframe tag uključuje link ka malicioznom sajtu i automatski preusmerava korisnika prilikom njegove posete zaraženom web sajtu.

Maliciozni sajt hostuje exploit ili paket exploit-a (vidi u Rečniku: exploit) koji se pokreće ako korisnik ima ranjivi softver na svom računaru. Ovo dovodi do toga da maliciozni izvršni fajl bude preuzet i pokrenut.

Slika ispod pokazuje kako takav napad funkcioniše:


Kako funkcioniše tipičan drive-by napad

Exploit paketi

Exploit paketi se danas veoma često koriste u drive-by napadima. Exploit paket je grupa programa koji iskorišćavaju ranjivosti u legitimnim softverskim proizvodima na pogođenom kompjuteru. Drugim rečima, exploit-i otvaraju neku vrstu "malih vrata" kroz koja maliciozni programi mogu zaraziti kompjuter. S obzirom da se napadi na internetu odvijaju preko browser-a, sajber-kriminalci treba da iskoriste ranjivosti u browser-u, u dodacima za browser (add-ons) ili third-party softveru kojeg browser koristi za obradu sadržaja. Osnovni cilj exploit paketa je da download-uju i pokrenu maliciozne izvršne fajlove a da to korisnik ne primeti.

Slika ispod prikazuje uobičajeni set dodataka za Firefox. Verzije sa ranjivostima koje su bile iskorišćavane u dosadašnjim napadima usmerenim protiv korisnika su označene žutim markerom. Osim toga, i druge ranjivosti su otkrivene (i iskorišćavane) u samom Firefox-u.


Tipičan set Firefox add-ons

Danas, exploit paketi predstavljaju evolutivni vrhunac drive-by download napada, i redovno se menjaju i ažuriraju. Razlog tome je što oni moraju uključivati exploit-e za nove programske propuste i što moraju efikasno osujećivati zaštitne protivmere.

Exploit paketi imaju svoje mesto na crnom tržištu. Trenutno se na ovom tržištu u prodaji nalazi mnogo exploit paketa; oni se razlikuju po ceni, broju exploit-a koje sadrže, upotrebljivosti adminstratorskog interfejsa, i nivou usluga koja se nudi kupcima. Pored već postojećih exploit paketa koji se nalaze u prodaji, neke sajber-kriminalne bande nude uslugu izrade exploit paketa prema narudžbi.

Najčešće se naručuju exploit paketi koji su se koristili u Gumblar i Pegel (script downloader) napadima.

Ono što čini izuzetnom najnoviju verziju Gumblar-a je automatizovan proces infekcije web sajtova i korisničkih kompjutera. I exploit-i i izvršni fajlovi se koriste u napadima i postavljaju na hakovane legitimne sajtove. Kada korisnik poseti sajt zaražen Gumblar-om, on biva preusmeren na drugi zaraženi web sajt, na kome će njegov kompjuter biti zaražen.

U Gumblar napadima iskorišćavani su poznati programski propusti u programima Internet Explorer, Adobe Acrobat/Reader, Adobe Flash Player i Java.

Pegel se takođe širi putem zaraženih legitimnih web sajtova, ali se ciljani kompjuteri inficiraju preko servera koji se nalaze pod kontrolom sajber-kriminalaca. Ova metoda olakšava sajber-kriminalcima prilagođavanje izvršnog fajla i exploit paketa novoj ranjivosti i omogućava im da brže reaguju. Na primer, jedan je haker dodao exploit paketu exploit-a kako bi se iskorišćavala ranjivost u Java Deployment Toolkit. To je učinjeno čim je izvorni kod postao dostupan. Twetti downloader je još jedan Trojanac koji koristi neke zanimljive metode. Ovaj maliciozni program kreira brojne zahteve upućene Twitter API i koristi dobijene podatke da bi generisao prividno slučajno ime domena. Korisnici se onda preusmeravaju ka ovom domenu. Sajber-kriminalci koriste sličan algoritam za pribavljanje imena domena, njihovo registrovanje i potom smeštanje malicioznih programa na sajt sa kojeg će oni biti preuzimani na korisničke kompjutere.

Exploit paket: Crimepack Exploit System

Kao primer, navešćemo jedan od najčešćih exploit paketa koji se trenutno u slobodnoj prodaji: Crimepack Exploit System.

Crimepack ima sopstvenu kontrolnu tablu sa visokokvalitetnim korisničkim interfejsom. (Za uvećani prikaz, kliknite na sliku koju želite da pogledate)


Crimepack admin panel: prijavljivanje

Administratorski panel web interfejsa može biti korišćen za menjanje konfiguracije exploit paketa. Pored toga, on pruža statističke podatke o broju preuzimanja, uspešnosti exploit-a, i operativnim sistemima i browser-ima na zaraženim kompjuterima.


Prikaz statističkih podataka u admin panelu Crimepack-a

Sam exploit paket je kodirana HTML strana koja sadrži JavaScript.


Crimepack exploits: izvorni kod

Analiza dešifrovane stranice omogućava praćenje glavne namene Crimepack-a. Script u okviru stranice pokušava, u određenim vremenskim intervalima, da iskoristi ranjivosti u Internet Explorer, DirectX, Java i Adobe Reader. Tokom ovih pokušaja, koristi se niz komponenti, uključujući i PDF i JAR fajlove, koji se učitavaju pokretanjem originalnog script-a.


Crimepack exploits: glavni zadatak

Do početka jula 2010. godine, Crimepack Exploit System je imao svoju treću verziju koja sadrži 14 exploit-a koji pogađaju proizvode Microsoft-a, Mozilla-e i Opera-e.

Nastaviće se...

Preuzeto sa


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Ponuda za posao kojoj treba reći ne: otpremanje (ukradene) robe

Ponuda za posao kojoj treba reći ne: otpremanje (ukradene) robe

Ako ste nezaposleni možda bi vam ovakva ponuda izgledala primamljivo: dobijate email od kompanije koja traži osobu čiji će zadatak biti da prima, ... Dalje

Kad vam internet kriminalci ukradu život [VIDEO]

Kad vam internet kriminalci ukradu život [VIDEO]

Internet je promenio svet između ostalog i zbog toga što su njegovi korisnici izgubili osećaj šta je ono što o nama treba da znaju drugi a šta b... Dalje

Letujte bezbedno - zaštitite svoje uređaje i podatke

Letujte bezbedno - zaštitite svoje uređaje i podatke

Ako ovog leta planirate odmor, onda imate razlog da nastavite sa čitanjem ovog teksta. Nema sumnje da će se u vašem prtljagu naći smart telefon, t... Dalje

Kako da bezbedno kupujete na internetu

Kako da bezbedno kupujete na internetu

Šoping koji podrazumeva višesatno obilaženje prodavnica je uglavom ženski “sport”. Ako niste “sportski tip” i ne volite re... Dalje

Koliko vredi vaš hakovani email nalog

Koliko vredi vaš hakovani email nalog

Korisnici računara koji ne koriste elektronski banking i ne čuvaju osetljive podatke na računarima, često ne shvataju zašto bi neko želeo da nap... Dalje