Drive-by атаки. Через черный ход
Можно ли заразиться каким-нибудь зловредом, если вы будете просто просматривать сайты в браузере, исключив все скачивания? Вопрос, конечно, интересный… но не для нас. Сегодня мы разобьем его в пух и прах, окончательно расставив все точки над i.
Размышляя на тему, "может ли браузер загрузить что-нить без моего ведома", нужно учитывать один немаловажный факт, который заключается в том, что сам по себе браузер – это всего лишь обработчик команд. То есть при запросе какой-либо страницы к браузеру возвращается html-код, который и является большим списком команд с разнообразными параметрами. При этом не стоит забывать о таких вещах, как javascript и тому подобное. Вот поэтому и размышлять тут нечего – может.
Drive-by или drive-by-download – это теневая загрузка на компьютер информации при использовании специально сконфигурированных эксплойтов, багов, ссылок и скриптов.
Для начала я обосную, почему мы вообще заговорили сегодня о drive-by загрузках. Да и вообще, кто они и что они, чтобы мы тратили свое драгоценное время на изучение материала по данному типу атак. Ответ прост: на конец 2008 года распространение вредоносного программного обеспечения с использованием drive-by атак занимало лидирующие позиции среди своей сферы (читай, распространения через Интернет). Именно поэтому я и решил написать статью, которая даст какой-то минимум информации о том, что ждет обычного пользователя за шлюзом.
Данный тип атаки опасен еще и тем, что он не выборочный. Загрузка обычно производится с зараженного сайта, поэтому под одну гребенку попадают все подряд. Шансов, что тебя обойдет такая участь, очень мало, ведь секундное посещение роковой странички понесет за собой последствия в виде вируса в темпах.
Ну а что касается лидирующих позиций, о которых я говорил выше, то к такому показателю drive-by атаки шли аж с 1996 года. На рисунке 1 показан график на основе исследований компании ScanSafe. Как видите, на графике отображено развитие трех методов распространения вредоносного программного обеспечения через Интернет. О ситуации в 2008 году можно сказать только, что 74% всех зловредов были размещены на зараженных/вредоносных сайтах, а значит, распространялись при помощи drive-by.
Немного фактов
Что же привело к появлению и развитию технологии dive-by? Давайте снова обратимся к графику и посмотрим, какой способ распространения был лидером до drive-by. Это рассылка зловредов в аттачментах электронных писем. Однако пользователи учились на своих ошибках, хоть медленно, но учились. И со временем для подавляющего большинства обитателей Интернета распознать банальный прием социального инжиниринга, который штамповался по образцу во всех письмах, и понять что фотография "photo.exe" - совсем не фотография, стало совсем несложно. Вот именно тогда и пришлось злоумышленникам включать свои мозги и думать над новой технологией, которая позволит поднять в гору падающую КПД их "старательного труда".
Вот и появилась на свет drive-by технология, которая открывала большие возможности. Теперь в спам-рассылке можно было придумать что-то поинтереснее, чай заставить на ссылку нажать – не photo.exe за имэйдж выдавать. Делалась банальная реклама зараженной страницы, а дальше было дело нескольких секунд, за которые эксплойт делал запрос на удаленный сервер и, воспользовавшись брешью в браузере или стороннем ПО, подгружал на компьютер диверсанта.
Схему атаки с использованием технологии drive-by вы увидите на рисунке 2, который я позаимствовал у Google Anti-Malware Team (уж очень они красиво нарисовали (: ). Обратите внимание, что прежде чем на жертву что-либо будет загружено, может пройти n-ое количество переадресаций.
Многие компании, занимающиеся безопасностью, считают, что в данный момент мы переживаем эпидемию drive-by атак, с чем я вполне согласен. Если снова обратиться к статистике, то мы увидим, что Google Anti-Malware Team, анализируя страницы в кэшэ поиска, обнаружила более трех миллионов зараженных url-адресов – совсем не радует такой расклад.
"Гораздо более тревожным фактом является то, что приблизительно 1,3% поисковых запросов в Google дает по меньшей мере один URL-адрес, помеченный как "опасный" на странице результатов поиска", — сообщается в исследовании, опубликованном Google. Третий рисунок как раз из этого исследования и отображает рост количества вредоносных сайтов в результатах поисковых запросов.
В первое время злоумышленники использовали метод, о котором я говорил выше (социацльный инжиниринг, обычно в рассылках), для завлечения посетителей на зараженный сайт, который сами же и изготавливали. Однако на сегодняшний день активно набирает обороты практика заражения обычных сайтов.
Вид изнутри
Для того чтобы рассказ о механизме drive-by атаки не был скучным перечислением особенностей кода, эксплойтов и зловредов, я приведу примеры уже произведенных в 2007 году атак.
Сайт Bank of India, который отличается большим количеством посетителей, был атакован, в результате чего посетителей ожидали многочисленные переадресации на сервер, на котором находился сетевой червь, а также представители других семейств (бэкдоры, руткиты, даунлодеры). Метод заражения был основан на механизме обфускации с использованием JavaScript. Также использовалось большое количество iFrame-переадресаций, fast- flux технологий – все это необходимо было для того, чтобы избегать детектирования вредоносного кода и обеспечить доступность сервера со зловредами. Гляньте на рисунок 4, там скрин с куском кода. Вот это была неприятность (:
Чуть раньше, все в том же 2007 году перед началом Суперкубка Национальной футбольной лиги США был взломан сайт стадиона Miami's Dolphin, и на нем аккуратненько разместился JavaScript код (рис. 5). При проведении атаки использовались уязвимости, которые были описаны в бюллетенях безопасности MS06-014 и MS07-004. При подключении к серверу сайта из-под непропатченной системы браузер устанавливал соединение с другим сервером, на котором находился трой. В случае удачи на компьютер подгружалось тело, и зловред начинал работать. Его функцией был полный контроль над зараженной системой, впоследствии можно было без проблем выдернуть любую конфиденциальную инфу, но главным итогом работы была возможность использовать компьютер в бот-сети, для проведения DOS.
Также злоумышленниками активно использовалась подмена адресов на сторонних рекламных сайтах, для того, чтобы кликая по рекламному баннеру, пользователь попадал на зараженный сервер.
По данным недавнего отчета ScanSafe к середине 2008 года подавляющее большинство вредоносного программного обеспечения располагалось именно на легитимных сайтах. Впрочем, это не все:
. в третьем квартале 2008 года объем вредоносного ПО, распространяемого через Интернет, вырос по отношению к первому кварталу того же года на 338% и на 553% в сравнении с четвертым кварталом 2007 года;
. в сентябре 2008 года приблизительно 31% всех связанных с вредоносным ПО угроз были zero-day угрозами (то есть защита от них на тот момент еще не была создана);
. по сравнению с январем 2008 года в сентябре 2008 года количество бэкдоров и троянцев, ворующих пароли, выросло на 267%.
Эксплойты. Много в одном
Одной из основ для проведения подобных атак служат наборы эксплойтов, которые и используют уязвимости для того, чтобы загрузить на жертву зловреда или же просто выполнить необходимую операцию. Используются наборы с самыми различными эксплойтами: начиная от ориентированных на приложения (например, QuickTime, Adobe Flash Player и т.д.) и заканчивая ориентированными на браузеры (Firefox, Opera, IE, Safari). Одновременно могут работать несколько эксплойтов, которые будут пытаться провести атаку на различные программы и/или компоненты системы. А поскольку сервис – слово понятное и в среде андерграунда, то некоторые наборы имеют еще и постоянное обновление, хороший интерфейс и описание "эффектов" от их работы.
В таблице можно посмотреть список одного такого набора.
Exit
Ну, если подходить к проблеме с точки зрения объективности, а не "мы все умрем", то современные браузеры имеют достаточно возможностей, чтобы максимально обезопасить свой серфинг по Сети. Стоит только не поддаваться лени, а просмотреть настройки работы скриптов. А что касается банальной прямой загрузки, без запроса у пользователя, то это проблема решена давно. Даже Google Chrome, у которого сперва был такой баг (даже не баг, а осознанное решение разработчиков) уже поправлен (вернее, разработчики одумались). Ну, несмотря на такой положительный конец статьи, я все же дам несколько рекомендаций:
. Использовать специальные решения для управления патчами, которые помогают находить и устанавливать обновления для всех сторонних приложений. Secunia предлагает сразу два таких инструмента: Personal Software Inspector и Network Security Inspector. Они помогают определить приложения, для которых обновления еще не установлены.
. Пользоваться веб-браузерами, обеспечивающими блокирование фишинговых и вредоносных сайтов (Mozilla Firefox, Opera и Internet Explorer).
. Активировать сетевой экран и установить все обновления операционной системы от Microsoft. Избегать использования пиратского ПО, чье обновление будет запрещено сервисом WGA (Windows Genuine Advantage).
. Установить антивирусное ПО и поддерживать антивирусные базы в актуальном состоянии. При этом важно, чтобы антивирусный продукт проверял интернет-трафик, что позволит вовремя обнаружить попытки проведения атаки методом drive-by загрузки.
Ну, и на этом все. Контролируйте ситуацию и будьте хозяином на своем компьютере ;).
Евгений Кучук, q@sa-sec.org
Размышляя на тему, "может ли браузер загрузить что-нить без моего ведома", нужно учитывать один немаловажный факт, который заключается в том, что сам по себе браузер – это всего лишь обработчик команд. То есть при запросе какой-либо страницы к браузеру возвращается html-код, который и является большим списком команд с разнообразными параметрами. При этом не стоит забывать о таких вещах, как javascript и тому подобное. Вот поэтому и размышлять тут нечего – может.
Drive-by или drive-by-download – это теневая загрузка на компьютер информации при использовании специально сконфигурированных эксплойтов, багов, ссылок и скриптов.
Для начала я обосную, почему мы вообще заговорили сегодня о drive-by загрузках. Да и вообще, кто они и что они, чтобы мы тратили свое драгоценное время на изучение материала по данному типу атак. Ответ прост: на конец 2008 года распространение вредоносного программного обеспечения с использованием drive-by атак занимало лидирующие позиции среди своей сферы (читай, распространения через Интернет). Именно поэтому я и решил написать статью, которая даст какой-то минимум информации о том, что ждет обычного пользователя за шлюзом.
Данный тип атаки опасен еще и тем, что он не выборочный. Загрузка обычно производится с зараженного сайта, поэтому под одну гребенку попадают все подряд. Шансов, что тебя обойдет такая участь, очень мало, ведь секундное посещение роковой странички понесет за собой последствия в виде вируса в темпах.
Ну а что касается лидирующих позиций, о которых я говорил выше, то к такому показателю drive-by атаки шли аж с 1996 года. На рисунке 1 показан график на основе исследований компании ScanSafe. Как видите, на графике отображено развитие трех методов распространения вредоносного программного обеспечения через Интернет. О ситуации в 2008 году можно сказать только, что 74% всех зловредов были размещены на зараженных/вредоносных сайтах, а значит, распространялись при помощи drive-by.
Немного фактов
Что же привело к появлению и развитию технологии dive-by? Давайте снова обратимся к графику и посмотрим, какой способ распространения был лидером до drive-by. Это рассылка зловредов в аттачментах электронных писем. Однако пользователи учились на своих ошибках, хоть медленно, но учились. И со временем для подавляющего большинства обитателей Интернета распознать банальный прием социального инжиниринга, который штамповался по образцу во всех письмах, и понять что фотография "photo.exe" - совсем не фотография, стало совсем несложно. Вот именно тогда и пришлось злоумышленникам включать свои мозги и думать над новой технологией, которая позволит поднять в гору падающую КПД их "старательного труда".
Вот и появилась на свет drive-by технология, которая открывала большие возможности. Теперь в спам-рассылке можно было придумать что-то поинтереснее, чай заставить на ссылку нажать – не photo.exe за имэйдж выдавать. Делалась банальная реклама зараженной страницы, а дальше было дело нескольких секунд, за которые эксплойт делал запрос на удаленный сервер и, воспользовавшись брешью в браузере или стороннем ПО, подгружал на компьютер диверсанта.
Схему атаки с использованием технологии drive-by вы увидите на рисунке 2, который я позаимствовал у Google Anti-Malware Team (уж очень они красиво нарисовали (: ). Обратите внимание, что прежде чем на жертву что-либо будет загружено, может пройти n-ое количество переадресаций.
Многие компании, занимающиеся безопасностью, считают, что в данный момент мы переживаем эпидемию drive-by атак, с чем я вполне согласен. Если снова обратиться к статистике, то мы увидим, что Google Anti-Malware Team, анализируя страницы в кэшэ поиска, обнаружила более трех миллионов зараженных url-адресов – совсем не радует такой расклад.
"Гораздо более тревожным фактом является то, что приблизительно 1,3% поисковых запросов в Google дает по меньшей мере один URL-адрес, помеченный как "опасный" на странице результатов поиска", — сообщается в исследовании, опубликованном Google. Третий рисунок как раз из этого исследования и отображает рост количества вредоносных сайтов в результатах поисковых запросов.
В первое время злоумышленники использовали метод, о котором я говорил выше (социацльный инжиниринг, обычно в рассылках), для завлечения посетителей на зараженный сайт, который сами же и изготавливали. Однако на сегодняшний день активно набирает обороты практика заражения обычных сайтов.
Вид изнутри
Для того чтобы рассказ о механизме drive-by атаки не был скучным перечислением особенностей кода, эксплойтов и зловредов, я приведу примеры уже произведенных в 2007 году атак.
Сайт Bank of India, который отличается большим количеством посетителей, был атакован, в результате чего посетителей ожидали многочисленные переадресации на сервер, на котором находился сетевой червь, а также представители других семейств (бэкдоры, руткиты, даунлодеры). Метод заражения был основан на механизме обфускации с использованием JavaScript. Также использовалось большое количество iFrame-переадресаций, fast- flux технологий – все это необходимо было для того, чтобы избегать детектирования вредоносного кода и обеспечить доступность сервера со зловредами. Гляньте на рисунок 4, там скрин с куском кода. Вот это была неприятность (:
Чуть раньше, все в том же 2007 году перед началом Суперкубка Национальной футбольной лиги США был взломан сайт стадиона Miami's Dolphin, и на нем аккуратненько разместился JavaScript код (рис. 5). При проведении атаки использовались уязвимости, которые были описаны в бюллетенях безопасности MS06-014 и MS07-004. При подключении к серверу сайта из-под непропатченной системы браузер устанавливал соединение с другим сервером, на котором находился трой. В случае удачи на компьютер подгружалось тело, и зловред начинал работать. Его функцией был полный контроль над зараженной системой, впоследствии можно было без проблем выдернуть любую конфиденциальную инфу, но главным итогом работы была возможность использовать компьютер в бот-сети, для проведения DOS.
Также злоумышленниками активно использовалась подмена адресов на сторонних рекламных сайтах, для того, чтобы кликая по рекламному баннеру, пользователь попадал на зараженный сервер.
По данным недавнего отчета ScanSafe к середине 2008 года подавляющее большинство вредоносного программного обеспечения располагалось именно на легитимных сайтах. Впрочем, это не все:
. в третьем квартале 2008 года объем вредоносного ПО, распространяемого через Интернет, вырос по отношению к первому кварталу того же года на 338% и на 553% в сравнении с четвертым кварталом 2007 года;
. в сентябре 2008 года приблизительно 31% всех связанных с вредоносным ПО угроз были zero-day угрозами (то есть защита от них на тот момент еще не была создана);
. по сравнению с январем 2008 года в сентябре 2008 года количество бэкдоров и троянцев, ворующих пароли, выросло на 267%.
Эксплойты. Много в одном
Одной из основ для проведения подобных атак служат наборы эксплойтов, которые и используют уязвимости для того, чтобы загрузить на жертву зловреда или же просто выполнить необходимую операцию. Используются наборы с самыми различными эксплойтами: начиная от ориентированных на приложения (например, QuickTime, Adobe Flash Player и т.д.) и заканчивая ориентированными на браузеры (Firefox, Opera, IE, Safari). Одновременно могут работать несколько эксплойтов, которые будут пытаться провести атаку на различные программы и/или компоненты системы. А поскольку сервис – слово понятное и в среде андерграунда, то некоторые наборы имеют еще и постоянное обновление, хороший интерфейс и описание "эффектов" от их работы.
В таблице можно посмотреть список одного такого набора.
Exit
Ну, если подходить к проблеме с точки зрения объективности, а не "мы все умрем", то современные браузеры имеют достаточно возможностей, чтобы максимально обезопасить свой серфинг по Сети. Стоит только не поддаваться лени, а просмотреть настройки работы скриптов. А что касается банальной прямой загрузки, без запроса у пользователя, то это проблема решена давно. Даже Google Chrome, у которого сперва был такой баг (даже не баг, а осознанное решение разработчиков) уже поправлен (вернее, разработчики одумались). Ну, несмотря на такой положительный конец статьи, я все же дам несколько рекомендаций:
. Использовать специальные решения для управления патчами, которые помогают находить и устанавливать обновления для всех сторонних приложений. Secunia предлагает сразу два таких инструмента: Personal Software Inspector и Network Security Inspector. Они помогают определить приложения, для которых обновления еще не установлены.
. Пользоваться веб-браузерами, обеспечивающими блокирование фишинговых и вредоносных сайтов (Mozilla Firefox, Opera и Internet Explorer).
. Активировать сетевой экран и установить все обновления операционной системы от Microsoft. Избегать использования пиратского ПО, чье обновление будет запрещено сервисом WGA (Windows Genuine Advantage).
. Установить антивирусное ПО и поддерживать антивирусные базы в актуальном состоянии. При этом важно, чтобы антивирусный продукт проверял интернет-трафик, что позволит вовремя обнаружить попытки проведения атаки методом drive-by загрузки.
Ну, и на этом все. Контролируйте ситуацию и будьте хозяином на своем компьютере ;).
Евгений Кучук, q@sa-sec.org
Компьютерная газета. Статья была опубликована в номере 19 за 2009 год в рубрике безопасность