Napad na ranjivost u Java malverom koji se sakriva u memoriji

Vesti, 20.03.2012, 09:07 AM

Drive-by download napadi su jedan od najčešćih načina distribuciije malvera na internetu. U ovim napadima se koriste ranjivosti u neažuriranom softveru a rezultat toga su infekcije računara bez ikakvog učešća korisnika u procesu infekcije.

Istraživači Kaspersky Laboratoriji nedavno su analizirali jedan takav napad na posetioce sajtova ruske novinske agencije RIA Novosti i online izdanja ruskih dnevnih novina Gazeta.

Napadački kod učitava exploit za poznatu ranjivost u Java (CVE-2011-3544). Kod nije hostovan na pogođenim veb sajtovima već se nalazi u banerima third-party reklamnog servisa AdFox.

Ovakav napad možda ne bi privukao veću pažnju da malver koji je deo napada nije zlonamerni program koji se teško otkriva jer ne kreira bilo kakve fajlove na pogođenom sistemu - umesto toga on “živi” samo u memoriji računara.

“Aktivnost ovakvog exploita uključuje spremanje zlonamernog fajla, obično droppera ili downloadera na hard disku,” kaže Sergej Golovanoov iz Kaspersky Laboratorije. “Međutim, u ovom slučaju bili smo iznenađeni: novi fajlovi se nisu pojavili na hard disku.”

Payload Java exploita se sastoji od zlonamernog DLL (dynamic-link library) koji se učitava i dodaje u hodu legitimnom Java procesu. Ovakav tip malvera je redak jer živi sve dok sistem ne bude restartovan a memorija očišćena.

Ono na šta očigledno računaju autori kampanje u okviru koje se distribuira ovaj malver je pretpostavka da će većina posetilaca ponovo posetiti zaražene veb sajtove.

Zlonamerni DLL koji se nalazi u memoriji se ponaša kao bot, šaljući podatke i primajući instrukcije od komandnog i kontrolnog servera preko HTTP. U nekim slučajevima, instrukcije koje dolaze od napadača sa ovog servera odnose se na instalaciju bankarskog Trojanca na zaraženim računarima.

Za sada su ovim malverom pogođeni samo ruski korisnici. Ipak, Golovanov kaže da to ne znači da se isti exploit i isti bot koji ne ostavlja tragove za sobom neće pojaviti bilo gde u svetu s obzirom da se distribuira preko banera i oglasnih mreža.

Najbolji način zaštite od ovakve vrste napada je redovno ažuriranje softvera na računaru a posebno brauzera i njihovih dodataka. U slučaju da je reč o napadima exploita koji pogađaju nepoznate ranjivosti najbolja zaštita je antivirusni program koji skenira veb saobraćaj i ima sposobnost generičke detekcije napadačkog koda.

“Najbolje je zaustaviti infekciju u ranim fazama, zato što kada se jednom ovakav malver bez fajlova učita u memoriju i priključi legitimnom procesu, mnogo ga je teže otkriti antivirusnim programom,” kaže Golovanov.