DSM 2009/4 - Úvodník
Malware – stále profesionálnější
Jaký je dnešní malware? Odhalení antivirovými nástroji na podkladě signatur se brání generováním svých nových a nových variant. Ačkoliv počet „rodin“ malware podle letošní zprávy společnosti PANDA Security „Rogueware Analysis of the New Style of Online Fraud“ přesáhl 200, deset těch nejrozšířenějších z nich má na variantách tříčtvrtinový podíl. Ty vznikají recyklací variant stávajících – označit tento přístup za ekologický si ale netroufám.
Samy útoky dnes probíhají rozfázovaně – klíčovou roli zde hrají jinak nenápadné trojské koně. Zvlášť nebezpečné jsou ty, které lze zneužít pro krádeže bankovních informací (např. pomocí skrytého sledování zápisu na klávesnici či na obrazovku) nebo pro neautorizované online transakce (E-gold, některé varianty Metaphisheru).
Trojské koně se do klientských stanic typicky dostávají využitím bezpečnostní slabiny v prohlížeči. Obětí však koncový uživatel měl být jen zdánlivě, protože podle nového zákona o platebním styku by se měla hlavní část odpovědnosti za případné škody přenést na banky. Z této odpovědnosti se banka vyvlékne, pokud zákazníkovi prokáže „hrubou nedbalost“. Je ale přečtení nežádoucího mailu nebo stáhnutí nevhodné webové stránky zákazníkem opravdu hrubou nedbalostí?
Banky mohou své klienty na použití antivirů a dalšího bezpečnostního softwaru jen upozorňovat. Otázkou však je, jakou míru pozornosti věnují trojským koňům sami výrobci antivirů. Jde nakonec o malware nijak viditelně poškozující operační systém, s menší četností výskytu, bez bezprostředních dopadů…
Kryptografii objevili pisatelé malwaru již před lety a dnes ji používají velice erudovaně a rutinně, pryč je amatérský přístup. Například trojský kůň Clampi používá virtualizaci, zapouzdřování a tři typy šifrování, přičemž hravě obchází firewall na lokálním počítači. Bruce Schneier dost těžce nesl, že jeho Blowfish nebyl vybrán jako AES standard, nejsem si jist, že použití tohoto algoritmu pro Clampi je mu dostatečnou útěchou.
Na Clampi si lze ukázat i další trend – kvalifikované používání komerčního softwaru. Například jeden z jeho modulů je proxy server SOCKS, pro zajištění lokálního resp. vzdáleného provádění příkazů byl vybrán nástroj psexec ze sady společnosti SysInternal atd.
Antivirové nástroje obvykle kontrolují soubory ve vnitřní paměti a na discích, proto je jeden z modulů Clampi uschován v registru Windows. Informace o URL zájmových bank jsou uloženy ve formě kontrolních součtů (CRC – Cyclic Redundancy Code) URL (aktuálně přes 4 600 záznamů), seznam je pravidelně aktualizován. Ani šifrování pevného disku nástrojem TrueCrypt není dostatečným opatřením proti trojským koním, například bootkit Stoned je rafinovaně natěsnán do 512 bajtů hlavního zaváděcího záznamu (master boot record), který šifrován není.
Je zřejmé, že časy, kdy šiřitel malwaru si ho i napsal, jsou dávno pryč. Dnes jde evidentně o práci prováděnou skutečnými odborníky a dost možná na zakázku, klobouk dolů. Anebo raději ne?
Publikováno: 04. 12. 2009