Anatomia wirusa

Na świecie jest 15 milionów witryn, które próbują w ten lub inny sposób zainstalować w komputerach internautów złośliwe oprogramowanie. Wieloma z nich kierują nie młodzieńcy chcący się sprawdzić, lecz zorganizowane grupy przestępcze, które z każdej infekcji czerpią materialne zyski. Ich szefowie śledzą grupy dyskusyjne poświęcone bezpieczeństwu i kiedy znajdą informację o nowej dziurze, natychmiast starają się ją wykorzystać. Dziś im na to pozwolimy, niech pobawią się naszym komputerem.

Na świecie jest 15 milionów witryn, które próbują w ten lub inny sposób zainstalować w komputerach internautów złośliwe oprogramowanie. Wieloma z nich kierują nie młodzieńcy chcący się sprawdzić, lecz zorganizowane grupy przestępcze, które z każdej infekcji czerpią materialne zyski. Ich szefowie śledzą grupy dyskusyjne poświęcone bezpieczeństwu i kiedy znajdą informację o nowej dziurze, natychmiast starają się ją wykorzystać. Dziś im na to pozwolimy, niech pobawią się naszym komputerem.

Stajemy nad przepaścią i... robimy krok naprzód.

Stajemy nad przepaścią i... robimy krok naprzód.

Korzystasz z programów typu P2P? Odbierasz pocztę elektroniczną? Jeśli tak, z pewnością dostałeś już przynajmniej jeden e-mail, który zachęcał lub wręcz nakazywał otwarcie niezwykle istotnego załącznika - archiwum ZIP, obrazek czy dokument Worda. Wiedziałeś, że załącznik trafił do ciebie nieprzypadkowo i może zawierać złośliwe oprogramowanie, a mimo wszystko korciło cię, żeby go otworzyć i choćby na chwilkę zajrzeć do środka. Mnie zawsze korci. Przecież program pocztowy może się mylić, a nuż na obrazku jest coś interesującego? Taka okazja może się już nie powtórzyć!

W moim wypadku otwieranie załączników wiąże się przeważnie z olbrzymią frajdą. Zastanawiam się zawsze, co będzie w środku. Czy nachalna reklama środków powiększających genitalia, czy może śmieszna animacja, która w tle wyśle komuś zawartość mojej listy adresowej? A może wreszcie pojawi się przestępca, który wpadnie na zupełnie nowy, zdumiewający pomysł? Wtedy aż chciałoby się zarazić takim wirusem - z czystego szacunku dla pomysłowości jego twórcy.

Na razie jeszcze spokojnie: kilka połączeń, kilka procesów. Za chwilę jednak zacznie się bitwa.

Na razie jeszcze spokojnie: kilka połączeń, kilka procesów. Za chwilę jednak zacznie się bitwa.

Złośliwe oprogramowanie to jednak nie tylko załączniki, ale również programy udające pożyteczne aplikacje. Część z nich deklaruje zażartą walkę ze spyware, inne podają się za szczepionki usuwające wirusy bądź mają służyć jako programy do optymalizacji ustawień Windows. Podczas pierwszego kontaktu wszystkie wydają się pożyteczne i niewinne, ale jeśli autor rozsądnie je zaprojektował, zaśmiecą ci system tak, że niczego nie zauważysz.

O tym wszystkim sukcesywnie będziemy opowiadać w przyszłości, teraz natomiast zajmiemy się złośliwym oprogramowaniem innego rodzaju: exploitami. Warto podkreślić, że same w sobie nie są ani pożyteczne, ani szkodliwe (ang. exploit to zarówno wyzyskiwanie kogoś w niecnym celu, jak również bohaterski czyn) - to po prostu programy, które wykorzystują dziurę w innych programach. Ktoś może za ich pomocą badać działanie tworzonej przez siebie aplikacji w ekstremalnych warunkach czy poinformować producenta znanego systemu operacyjnego o błędzie w edytorze tekstu. Może też jednak podczepić do exploita fragment złośliwego kodu, który uruchomi w tle pobieranie wirusa czy konia trojańskiego albo otworzy w systemie operacyjnym tylną furtkę (tzw. backdoor). Wszystko zależy od intencji.

WMF-owy exploit - bomba z opóźnionym zapłonem

Autor trojana uznał, że będzie się on instalował przede wszystkim w Windows XP i Windows Server 2003.

Autor trojana uznał, że będzie się on instalował przede wszystkim w Windows XP i Windows Server 2003.

Na kilka dni przed końcem 2005 roku w grupie Bugtraq - w której specjaliści od zabezpieczeń i błędów aplikacji publikują informacje o swoich odkryciach - zaczęła się żywiołowa dyskusja. Kilka osób niezależnie od siebie doniosło o exploicie mogącym wykorzystać lukę w silniku graficznym systemów Windows (oraz jak się później okazało, również WINE, czyli "zamiennika" Windows do systemów alternatywnych) i instalującym się za jego pomocą koniom trojańskim lub wirusom. I to praktycznie bez względu na zastosowanie w systemie najnowszych łat czy oprogramowania antywirusowego!

W Sylwestra i Nowy Rok sprawa przycichła, ale drugiego stycznia wróciła na pierwsze strony wszystkich portali z branży IT. Odpowiednio spreparowane pliki WMF próbujące exploitować dziurę, dostrzegano w witrynach, pakietach oprogramowania, załącznikach do e-maili czy na forach dyskusyjnych.

Część z tych doniesień okazała się mocno przesadzona: exploit rzeczywiście działał na wolności, podpinany był pod najróżniejsze witryny, jednak bardzo szybko przestawały one działać albo z powodu zamknięcia przez goszczącą je firmę hostingową, albo z racji zDoSowania (czyli, mówiąc oględnie, zapchania łącza i przeciążenia serwera) przez zainteresowanych trojanami specjalistów.

Natychmiast rozpoczęła się też nagonka na Microsoft: dlaczego łata nie jest jeszcze gotowa, jak to się dzieje, że takiego błędu nikt nie zauważył przez ponad dziesięć lat itp. SANS Institute momentalnie zalecił - niektórzy mówią, że w celach autopromocyjnych - instalację nieautoryzowanej łaty Ilfaka Guilfanova, choć podkreślał, że nie bierze odpowiedzialności za jego działanie.

W tle startuje kilka procesów, wśród nich Downloader.Beehappyy. Na ekranie nic nie widać, wszystko zasłaniają okna programu, który miał ograniczać przepustowość łącza.

W tle startuje kilka procesów, wśród nich Downloader.Beehappyy. Na ekranie nic nie widać, wszystko zasłaniają okna programu, który miał ograniczać przepustowość łącza.

Dochodzimy do sedna, czyli do opisu działania exploitu. Jak zwykle w takich wypadkach, historia wygląda niczym wyjęta z powieści sensacyjnej: jest intryga (spreparowany plik), jest nieudolny policjant (błąd w GRE), jest działanie z zaskoczenia (plik nie musiał być uruchomiony), jest atak (do naszego systemu pobierało się przynajmniej kilkanaście rodzajów różnych podejrzanych aplikacji)... Spróbuję go przedstawić, biorąc pod uwagę wszystkie znane fakty oraz łącząc je w logiczną całość. Aby opowieść trzymała się kupy, uzupełniam ją o wątek sensacyjny.

Wstęp

Pewnego dnia do firmy tworzącej oprogramowanie spyware przyszedł e-mail następującej treści: Za wszelką cenę próbujecie przebić się na rynek. Nie jest łatwo, prawda? Mam dla was coś specjalnego: małą, niewinną grafikę, którą można umieścić na dowolnej stronie WWW, a która bez wiedzy użytkownika ściągnie na jego dysk wasze programy, zainstaluje je, a przy okazji da wam dostęp do tej maszyny. Będziecie mogli zrobić z nią wszystko. Chcecie obejrzeć grafikę w akcji? Kliknijcie tu.

Szef firmy kliknął i oniemiał. To było piękne! Wystarczyło wejście na stronę ze spreparowaną grafiką, żeby w tle rozpoczęła się instalacja dowolnej aplikacji.

Zablokowaliśmy firewall, ale trojan nie daje za wygraną.

Zablokowaliśmy firewall, ale trojan nie daje za wygraną.

Twórcy żądali za swoje dzieło 10 tysięcy dolarów. Za tę cenę można mieć profesjonalnego wirusa, którego wykrywalność przez skanery heurystyczne wynosi mniej niż 30 procent. Ponieważ twórcy exploitu byli młodzi, nie tylko udało się obniżyć cenę do 4 tysięcy dolarów, ale również nakłonić ich, żeby exploit powodował pobranie konkretnego pliku EXE spod wskazanych adresów.

Teraz było już łatwo: należało przygotować przynajmniej jedną witrynę z plikiem index.html, w którym najwygodniej było zastosować znacznik <IFRAME SRC="xpl.wmf">. Element "IFRAME" powodował wczytanie WMF-owego exploita (xpl.wmf).

Bezpieczny nie był nikt, kto używał Windows w wersji nowszej niż 3.11, bo wszędzie istniała ta sama funkcja-luka. W dodatku w Internet Explorerze, prawdopodobieństwo wykonania się exploitu wynosiło blisko 90 procent.

Oj, parzy!

Nasz system operacyjny nadaje się już tylko na przemiał.

Nasz system operacyjny nadaje się już tylko na przemiał.

W ten piękny zimowy poranek Kasia postanowiła po raz kolejny odwiedzić znienawidzony przez siebie blog Lady J. (zbieżność nazwisk i pseudonimów przypadkowa). Ostatnio brat zainstalował jej dużo bezpieczniejszą przeglądarkę WWW niż Internet Explorer, nie bała się więc niczego. Jakież było jej zdziwienie, gdy została poproszona o otwarcie lub zapisanie na dysku grafiki.

Brat już ją strofował, żeby nie instalowała bez niego plików, których nazwa kończyła się na... zaraz, zaraz, miała to gdzieś zapisane... na .exe, .com, .msi. A tutaj miała do czynienia z .wmf, w dodatku ikona sugerowała, że plik jest grafiką. Dlaczegóż nie spróbować? Otworzyła ją.

Niestety, komputer chyba znowu nawalił. Wyświetlił się tylko komunikat o błędzie i nic więcej się nie pokazało. No, tylko się defragmentacja w tle zaczęła, bo system zaczął nieco ospale reagować. Ale była już do tego przyzwyczajona, to zdarzało się dość często, gdy brat ustawiał na noc filmy do ściągania.

Za kilka chwil się zacznie: przytłoczona nadmiarem uruchamiających się w tle aplikacji maszyna praktycznie przestanie reagować na polecenia właściciela (naszej przykładowej Kasi). Dlatego na wszelki wypadek przydzieliliśmy naszemu wirtualnemu komputerowi mniej więcej 1/3 czasu procesora i łącze z Internetem o przepustowości 1 KB/s.


Zobacz również