VIRY.CZ

Syndikovat obsah
Když se havěť stává obětí
Aktualizace: 22 min 46 sek zpět

Nové trendy počítačové havěti, část první

20 Duben, 2015 - 20:40

Téměř před měsícem skončila konference IT Security Workshop 2015, kde jsem měl na stejné téma přednášku a tak jsem si říkal, proč se o informace nepodělit i na portálu viry.cz

Dnešní havěť bych si dovolil rozdělit do dvou skupin: APT – Advanced Persistent Threat a na „havěť domácí“. Zatímco APT havěť je jak z amerického akčního filmu, „havěť domácí“ je běžná havěť, kterou znají všichni běžní smrtelníci. Přichází v podobě příloh e-mailů či se nachází na pochybných webových stránkách.

APT, jako z akčních filmů

S APT se obvykle a nevědomky střetnou pouze zaměstnanci instituce, která se stála terčem cíleného útoku a nejedná se tak o globální útok všemi směry s očekáváním, kdo se chytne. APT havěť je často psaná na zakázku různých vládních i nevládních institucí pro potřeby špionáže. Většinou jde o velice komplexní díla a rozsahem ani technologií je nelze srovnávat s domácí havětí. Pro obě skupiny je však společná jedna věc: kladou důraz na sociální inženýrství, tj. na „oblbovačky“ na uživatele, který je vždy nejslabším článkem v celém řetězci. Proč vymýšlet složitosti, jak se do technicky perfektně zabezpečeného systému nějaké instituce dostat, když stačí zaslat správně napsaný e-mail a zaměstnance nalákat ke spuštění závadné přílohy? Fungovalo to vždycky a vždycky bude.

Kromě toho se u APT využívají tzv. 0-day exploity. Tj. k průniku do systémů se využívají chyby v aplikacích (typicky v operačním systému, třeba Microsoft Windows), přičemž o existenci těchto chyb nemají ponětí ani samotní autoři aplikací. Pokud neexistuje oficiální záplata, která chybu odstraňuje, do systému lze proniknout zcela bez vědomí uživatele. U APT existuje celá řada případů, kdy se taková chyba bez problémů zneužívala třeba po dobu 3 let, než vznikla oficiální záplata!

Součástí APT jsou pak pochopitelně moduly pro sledování činností uživatele, systémů a odesílání dat útočníkům.

Několik APT z minulosti:

  • Stuxnet, 2010 – útok na SCADA průmyslové systémy, prokazatelně zbrždění Iránského jaderného programu.
  • Flame, 2012 – špionáže na středním východě, možná souvislost s problémy ropných terminálů v Iránu.
  • Red October, 2012 – vládní špionáže, odhalen téměř po 5 letech aktivního působení!
  • Equation, 2014 – nová věc v době psání tohoto článku (viz. níže).
  • Plno dalších lze najít na hezky vizualizované časové ose apt.securelist.com.
Equation

Tato APT havěť si alespoň z mého pohledu zaslouží pozornost ze dvou důvodů. Využívá špičkové technologie a známe alespoň jeden konkrétní způsob, jak se vydala tato havěť do světa. První důvod naplňuje modul nazvaný GrayFish. Zatímco normálně u vztahu Windows vs havěť platí „havěť bězí ve Windows“, tak GrayFish přebírá kontrolu nad zavirovaným počítačem tak dokonale, že platí spíše heslo „Windows běží v havěti“.

Pak je tu modul Fanny, který řeší problematiku cíleného vykrádání informaci ze systémů / počítačů, které nejsou připojeny k internetu. Stačí, aby se dostal na počítač s připojením k internetu. Jakýkoliv USB flash disk, který bude zapojen do tohoto počítače, bude upraven tak, aby dokázal skrytě přenášet nakradená data, ale i návod – instrukce k jejich vykrádání. A pokud bude takový USB flash disk připojen do počítače izolovaného od internetu, budou instrukce automaticky provedeny a data sesbírána. A pokud se náhodou takový USB flash disk vrátí i na počítač s připojením, budou nakradená data odeslána útočníkovi do internetu. Představme si scénář s nějakým znudělým operátorem jaderné elektrárny v izolované síti, jehož domácí počítač byl cíleně infikován havětí Fanny: „Co kdybych si takhle z domova občas přinesl nějakou tu hru?“

No a pak je zajímavé, že známe jednu konkrétní cestu, jak se dostala tato havěť na svět. Bylo tomu v roce 2009 v rámci vědecké konference v Houstonu. Účastníkům bylo po akci zasláno cédéčko s foto. Kromě prohlížeče obrázků byla součástí i havěť z rodiny Equation. Havěť už tehdy využívala chyby ve Windows, které Microsoft opravil až v letech 2012 a 2013! Tj. 0-day exploit jako hrom!

Havěť domácí

Tady platí to, co platilo vždycky a patrně vždycky platit bude:

  • uživatel je nejslabším článkem (proč vymýšlet něco složitého, když stačí poslat správně napsaný e-mail s zavirovanou přílohou a přesvědčit ho o důležitosti „sponky“)
  • probíhá nekonečný boj vývojářů havěti a vývojářů antivirů (nové varianty havěti vyžadují nové aktualizace antiviru, …)
  • soustředění „výrobců“ na aplikace / platformy s větším podílem na trhu (Windows, Mac OS X na vzestupu, Microsoft Office, Adobe *, Oracle Java, …

Ale o této havěti více až v pokračování tohoto článku!

The post Nové trendy počítačové havěti, část první appeared first on VIRY.CZ.

Kategorie: Viry a Červi