Rizici na internetu: Zaraženi legitimni sajtovi (3. deo)

Tekstovi o zaštiti, 15.09.2010, 02:07 AM

Kako dolazi do infekcije kompjutera dok surfujete internetom? Kako sajber-kriminalci zarađuju prevarom internet korisnika? Serijom tekstova koje ćemo objavljivati narednih dana pokušaćemo da vam odgovorimo na neka pitanja.

U prvom tekstu serijala bavili smo se napadima, spamom, reklamnim banerima i primamljivim linkovima. U drugom tekstu smo pojasnili kako sajber-kriminalci svoje maliciozne sajtove čine vidljivijim za Google i one koji surfuju internetom.

Treći tekst, koji je pred vama, bavi se jednim od najozbiljnijih problema današnjeg interneta - legitimnim sajtovima koji postaju opasni za svoje redovne posetioce pošto su prethodno hakovani i zaraženi malicioznim programima.

Prikriveni drive-by download (vidi u Rečniku: drive-by download) je metod koji se sve češće koristi za širenje malicioznih programa. U drive-by napadu, infekcija kompjutera ne zahteva učešće korisnika, niti korisnik primećuje da mu je računar zaražen. Većina drive-by napada se pokreće sa zaraženih legitimnih sajtova.

Zaraženi legitimni sajtovi su možda jedan od akutnih i najozbiljnijih problema današnjeg interneta. Nisu retkost ni naslovi u medijima poput “Masovnim hakovanjem hiljade web stranica zaraženo malware-om”, “Problemi u bezbednosti WordPress-a dovode do masovnog hakovanja. Da li je vaš blog sledeći na redu?” i “Lenovo sajt za podršku korisnicima inficira Trojancem kompjutere posetilaca”. Kaspersky Lab svakodnevno otkriva hiljade zaraženih sajtova sa kojih se preuzimaju (download) štetni kodovi na kompjutere korisnika bez njihovog znanja ili saglasnosti.

Po pravilu, drive-by napadi ne podrazumevaju da korisnika treba ubediti da poseti određeni sajt; korisnik će, po navici, sam doći na sajt. Takav sajt, na primer, može biti legitimni (ali zaraženi) web sajt na kome korisnik svakodnevno čita vesti ili na koji dolazi zbog određenih proizvoda.

Sajt se obično inficira na jedan od dva načina: ili putem ranjivosti u samom sajtu (na primer, SQL injection), ili korišćenjem prethodno ukradenih poverljivih podataka potrebnih za pristup sajtu. Najčešći metod je dodavanje skrivenog tag-a nazvanog iframe u izvorni kod stranice. Iframe tag uključuje link ka malicioznom sajtu i automatski preusmerava korisnika prilikom njegove posete zaraženom web sajtu.

Maliciozni sajt hostuje exploit ili paket exploit-a (vidi u Rečniku: exploit) koji se pokreće ako korisnik ima ranjivi softver na svom računaru. Ovo dovodi do toga da maliciozni izvršni fajl bude preuzet i pokrenut.

Slika ispod pokazuje kako takav napad funkcioniše:

Kako funkcioniše tipičan drive-by napad

Exploit paketi

Exploit paketi se danas veoma često koriste u drive-by napadima. Exploit paket je grupa programa koji iskorišćavaju ranjivosti u legitimnim softverskim proizvodima na pogođenom kompjuteru. Drugim rečima, exploit-i otvaraju neku vrstu "malih vrata" kroz koja maliciozni programi mogu zaraziti kompjuter. S obzirom da se napadi na internetu odvijaju preko browser-a, sajber-kriminalci treba da iskoriste ranjivosti u browser-u, u dodacima za browser (add-ons) ili third-party softveru kojeg browser koristi za obradu sadržaja. Osnovni cilj exploit paketa je da download-uju i pokrenu maliciozne izvršne fajlove a da to korisnik ne primeti.

Slika ispod prikazuje uobičajeni set dodataka za Firefox. Verzije sa ranjivostima koje su bile iskorišćavane u dosadašnjim napadima usmerenim protiv korisnika su označene žutim markerom. Osim toga, i druge ranjivosti su otkrivene (i iskorišćavane) u samom Firefox-u.

Tipičan set Firefox add-ons

Danas, exploit paketi predstavljaju evolutivni vrhunac drive-by download napada, i redovno se menjaju i ažuriraju. Razlog tome je što oni moraju uključivati exploit-e za nove programske propuste i što moraju efikasno osujećivati zaštitne protivmere.

Exploit paketi imaju svoje mesto na crnom tržištu. Trenutno se na ovom tržištu u prodaji nalazi mnogo exploit paketa; oni se razlikuju po ceni, broju exploit-a koje sadrže, upotrebljivosti adminstratorskog interfejsa, i nivou usluga koja se nudi kupcima. Pored već postojećih exploit paketa koji se nalaze u prodaji, neke sajber-kriminalne bande nude uslugu izrade exploit paketa prema narudžbi.

Najčešće se naručuju exploit paketi koji su se koristili u Gumblar i Pegel (script downloader) napadima.

Ono što čini izuzetnom najnoviju verziju Gumblar-a je automatizovan proces infekcije web sajtova i korisničkih kompjutera. I exploit-i i izvršni fajlovi se koriste u napadima i postavljaju na hakovane legitimne sajtove. Kada korisnik poseti sajt zaražen Gumblar-om, on biva preusmeren na drugi zaraženi web sajt, na kome će njegov kompjuter biti zaražen.

U Gumblar napadima iskorišćavani su poznati programski propusti u programima Internet Explorer, Adobe Acrobat/Reader, Adobe Flash Player i Java.

Pegel se takođe širi putem zaraženih legitimnih web sajtova, ali se ciljani kompjuteri inficiraju preko servera koji se nalaze pod kontrolom sajber-kriminalaca. Ova metoda olakšava sajber-kriminalcima prilagođavanje izvršnog fajla i exploit paketa novoj ranjivosti i omogućava im da brže reaguju. Na primer, jedan je haker dodao exploit paketu exploit-a kako bi se iskorišćavala ranjivost u Java Deployment Toolkit. To je učinjeno čim je izvorni kod postao dostupan. Twetti downloader je još jedan Trojanac koji koristi neke zanimljive metode. Ovaj maliciozni program kreira brojne zahteve upućene Twitter API i koristi dobijene podatke da bi generisao prividno slučajno ime domena. Korisnici se onda preusmeravaju ka ovom domenu. Sajber-kriminalci koriste sličan algoritam za pribavljanje imena domena, njihovo registrovanje i potom smeštanje malicioznih programa na sajt sa kojeg će oni biti preuzimani na korisničke kompjutere.

Exploit paket: Crimepack Exploit System

Kao primer, navešćemo jedan od najčešćih exploit paketa koji se trenutno u slobodnoj prodaji: Crimepack Exploit System.

Crimepack ima sopstvenu kontrolnu tablu sa visokokvalitetnim korisničkim interfejsom. (Za uvećani prikaz, kliknite na sliku koju želite da pogledate)

Crimepack admin panel: prijavljivanje

Administratorski panel web interfejsa može biti korišćen za menjanje konfiguracije exploit paketa. Pored toga, on pruža statističke podatke o broju preuzimanja, uspešnosti exploit-a, i operativnim sistemima i browser-ima na zaraženim kompjuterima.

Prikaz statističkih podataka u admin panelu Crimepack-a

Sam exploit paket je kodirana HTML strana koja sadrži JavaScript.

Crimepack exploits: izvorni kod

Analiza dešifrovane stranice omogućava praćenje glavne namene Crimepack-a. Script u okviru stranice pokušava, u određenim vremenskim intervalima, da iskoristi ranjivosti u Internet Explorer, DirectX, Java i Adobe Reader. Tokom ovih pokušaja, koristi se niz komponenti, uključujući i PDF i JAR fajlove, koji se učitavaju pokretanjem originalnog script-a.

Crimepack exploits: glavni zadatak

Do početka jula 2010. godine, Crimepack Exploit System je imao svoju treću verziju koja sadrži 14 exploit-a koji pogađaju proizvode Microsoft-a, Mozilla-e i Opera-e.

Nastaviće se...

Preuzeto sa