facebook
Dziurawy wirus, czyli dwa kłopoty w jednym
23 czerwca 2014

Kilka lat temu głośna była sprawa aktualizacji dla Windows, która powodowała masowe występowanie osławionego BSOD-u (potem okazało się, że winny był złośliwy program). Później pewien pechowy programista-amator przeprowadził komediowy wręcz atak na pewną francuską elektrownię, a w kwietniu tego roku zrobiło się głośno o wyjątkowo nieudanym programie typu ransomware. Przypadków pojawienia się w sieci złośliwego oprogramowania, które działało nie do końca zgodnie z intencjami autorów, było sporo – w poniższym tekście przypomnimy o najgłośniejszych z nich...

Czarny wtorek Microsoftu

Microsoft od początku XXI wieku mocno zmodernizował swój system przygotowywania i udostępniania użytkownikom poprawek dla Windows i innych swoich produktów – firma zrezygnowała z publikowania ich ad hoc, w przypadkowych porach i zaczęła udostępniać je regularnie, w konkretny dzień miesiąca (każdy drugi wtorek). Dla zwykłych użytkowników ta zmiana nie była być może szczególnie odczuwalna, ale firmowi administratorzy powitali ją z wielką ulgą – dzięki niej mogli wreszcie zacząć planować swoją pracę bez obawy, że oto nagle Microsoft w ramach niespodzianki zaprezentuje 26 poprawek dla Windows i Office, które trzeba będzie przeanalizować, przetestować i wdrożyć w firmowych maszynach. Życie administratorów zrobiło się nieco spokojniejsze i bardziej przewidywalne… ale tego, co wydarzyło się w pewien lutowy wtorek 2010 roku, nie przewidział nikt.

Tego dnia koncern z Redmond opublikował kolejny pakiet swoich poprawek, wśród których znalazło się uaktualnienie dla Windows XP, oznaczone MS10-015. Nie była to szczególnie ważna aktualizacja, oznaczono ją jako „ważną” (a nie np. krytyczną) – usuwała drobny błąd w kernelu systemu, pozwalający na tzw. eskalację przywilejów (innymi słowy, luka pozwalała użytkownikowi o niższych przywilejach na wykonanie operacji teoretycznie dla niego niedostępnych). Nic ważnego i nic nowego, Microsoft usunął już takich błędów setki i pewnie usunie ich w przyszłości znacznie więcej.

Mimo to aktualizacja MS10-015 okazała się wyjątkowa… do tego stopnia, że pewnie do dziś pojawia się w koszmarach niektórych administratorów i pracowników Microsoftu. Po jej zainstalowaniu system informował użytkownika, że niezbędny jest restart Windows, użytkownicy się na to zgadzali (bo to przecież standardowa operacja), i wtedy pojawiały się problemy.

Na forach pomocy technicznej Microsoftu (oraz setkach innych serwisów) zaczęły lawinowo pojawiać się komentarze o awariach, które wystąpiły po instalacji MS10-015. A konkretniej, o jednej awarii – niebieskim ekranie śmierci (BSoD – Blue Screen of Death), który pojawiał się po próbie ponownego uruchomienia systemu. Doniesienia były masowe, ale dość niespójne – problem z całą pewnością dotyczył znacznej liczby komputerów, pojawiał się na różnych maszynach i różnych wersjach XP… ale równie często nie pojawiał się wcale. Awaria była właściwie niemożliwa do usunięcia dla zwykłego użytkownika – nie działał tryb awaryjny i nie pomagały żadne standardowe metody rozwiązania problemu.

Winnym, rzecz jasna, natychmiast obwołano Microsoft – stwierdzono, że koncern zawalił sprawę (nie po raz pierwszy zresztą, co skrupulatnie odnotowywano), dostarczył wadliwą aktualizację i jest jedynym winnym kłopotów tysięcy użytkowników. Przedstawiciele koncernu z Redmond początkowo krytykę pokornie przyjmowali, cały czas prowadząc własne analizy sytuacji. Wyniki tych analiz okazały się zaskakujące i rzuciły na sprawę zupełnie nowe światło...

Rootkit zawinił, Windows... się zawiesił

Okazało się, że owszem – błąd był, ale nie w Windows, tylko w Alureonie. Czyli rootkicie, o którym wcześniej mało kto słyszał, a który od kilku miesięcy dyskretnie, acz skutecznie infekował komputery z Windows (zwykle pojawiał się w nich jako ukryty dodatek do oprogramowania pobranego z internetu – np. aplikacji podszywającej się pod antywirusa MS Security Essentials). Rootkit – jak to rootkit – działał w ukryciu, podpinając się bezpośrednio do jądra Windows i pozwalając nieautoryzowanym użytkownikom na uzyskanie zdalnego dostępu do systemu oraz podsłuchiwanie transmisji sieciowej. Żeby móc realizować te zadania, Alureon modyfikował nieco pliki systemowe, więc gdy pojawiła się poprawka modyfikująca te same pliki, pojawiał się krytyczny błąd, a system „umierał” i był zdolny co najwyżej do wyświetlenia błękitnego ekranu z komunikatem o awarii.

Problem był o tyle skomplikowany, że ów rootkit był (poza tą jedną wpadką) całkiem zmyślnie skonstruowany i jeszcze długo po opisanym powyżej incydencie wiele aplikacji zabezpieczających miało problemy z jego poprawnym wykrywaniem i usuwaniem. Nie było też prostego sposobu naprawienia sytuacji – rekomendowanym przez Microsoft rozwiązaniem okazało się w większości przypadków zainstalowanie od nowa systemu operacyjnego.

To był jeden z pierwszych przykładów tego, jak bardzo uciążliwy może być dla zwykłych użytkowników komputerów i internetu błąd w złośliwym oprogramowaniu. Przy okazji przypomniano nam, że wirus, trojan czy rootkit to aplikacja jak każda inna, która po prostu może być wadliwa, dziurawa i… bardziej niebezpieczna, niż zakładał to jej twórca.

Sony wciska trojany. I to dziurawe

Takich sytuacji było zresztą więcej, a sprawa Alureona wcale nie była pierwszą aż tak głośną (choć z pewnością ten przypadek był najbardziej uciążliwy dla użytkowników). Kilka lat wcześniej, w połowie pierwszej dekady nowego stulecia, wybuchł wielki skandal, bezpośrednio związany z koncernem muzycznym Sony BMG. A w zasadzie były to dwa powiązane skandale...

Najpierw na jaw wyszło, że sprzedawane przez Sony BMG płyty CD audio podczas próby ich odtworzenia na komputerze instalują w Windows oraz Mac OS X oprogramowanie mające w założeniu blokować możliwość nieautoryzowanego kopiowania muzyki. To można jeszcze od biedy było zrozumieć – ale dokładniejsza analiza owego oprogramowania (przeprowadzona przez słynnego speca ds. bezpieczeństwa, Marka Russinovicha z firmy Winternals, przejętej później przez Microsoft) wykazała, że ma ono wszelkie cechy klasycznego, przestępczego rootkita. Ów program, Extended Copy Protection (XCP), stosował cały wachlarz zakazanych technik – podszywał się pod inną aplikację, monitorował działania użytkownika, ukrywał swoje prawdziwie zastosowanie. Na dodatek użytkownicy nie wiedzieli tak naprawdę, co instalują – z opisu wynikało, że program służy do zupełnie innych celów. Producenci oprogramowania antywirusowego zareagowali szybko – większość z nich uznała ów program za szkodliwy i ich aplikacje zaczęły XCP identyfikować i kasować.

Jakby tego było mało, pod koniec 2005 roku firma Secunia poinformowała, że w XCP wykryto poważny błąd w zabezpieczeniach, który umożliwiał uruchomienie w systemie, w którym była zainstalowana ta aplikacja, złośliwego kodu. Na efekty nie trzeba było długo czekać – w sieci zaroiło się od koni trojańskich i robaków rozprzestrzeniających się za pośrednictwem tej właśnie luki. Mieliśmy więc do czynienia z prawdziwie szkatułkową konstrukcją: złośliwe oprogramowanie rozpowszechniało się za pośrednictwem luki w… złośliwym oprogramowaniu.

Pewnym – choć prawdopodobnie dla wielu osób nie do końca satysfakcjonującym – pocieszeniem może być fakt, że koncern Sony BMG słono zapłacił za ten skandal. Firmę zmuszono do wycofania z rynku kontrowersyjnego zabezpieczenia, wyrównania strat wszystkim, którzy poczuli się poszkodowani, i zapłacenia kilku urzędowych kar nałożonych przez instytucje zajmujące się ochroną praw konsumentów. Co więcej – koncern stał się również celem kilku procesów sądowych, ponieważ okazało się, że w stworzonym przez Sony oprogramowaniu do ochrony praw autorskich… nielegalnie wykorzystano kilka opatentowanych rozwiązań innych firm. Ot, ironia losu.

Lamer w elektrowni atomowej

Fraza „złośliwy program” sama w sobie brzmi dość niebezpiecznie. Nieco bardziej niepokojąco wygląda „dziurawy złośliwy program”… ale może być jeszcze groźniej – np. „dziurawy złośliwy program atakujący elektrownię atomową”. Przypadek wirusa Stuxnet (który potężnie namieszał w irańskich instalacjach atomowych) pokazuje, że taki scenariusz jest całkiem realny, więc teoretycznie jest się czego bać.

W tej sytuacji zdecydowanie warto wspomnieć o tym, że pod koniec 2012 roku pewna francuska elektrownia atomowa (należąca do koncernu Areva) stała się celem ataku twórców złośliwego oprogramowania. Specjaliści ds. bezpieczeństwa znaleźli w jednym z e-maili wysłanych do pewnego pracownika elektrowni szkodliwe oprogramowanie – ukryte było w archiwum zawierającym m.in. kilka zdjęć, pliki programu iTunes oraz dokument PDF. Ów PDF był wewnętrznym dokumentem Areva, co prawdopodobnie miało uwiarygodnić korespondencję i zachęcić odbiorcę do otwarcia pozostałych plików. Wśród nich znajdowało się narzędzie hakerskie DCRAT (Dark Comet Remote Administration Tool) – nadawca e-maila prawdopodobnie liczył, że po jego zainstalowaniu w komputerze odbiorcy uda mu się uzyskać dostęp do sieci Areva oraz poufnych informacji.

Dokładniejsze analizy wykazały jednak, że autor ataku niespecjalnie się przyłożył do jego przygotowania. Po pierwsze, plik, w którym znajdowało się złośliwe oprogramowanie, „ważył” w sumie ponad 30 MB. Po drugie, nawet jeśli ktoś faktycznie da się oszukać i zainstaluje ów program, to z tego i tak nic nie wynika, bo szkodnik co prawda instalował się względnie poprawnie… ale na tym jego działania się kończyły. Okazało się bowiem, że jego autor zapomniał lub też nie potrafił go poprawnie skonfigurować i program nie uruchamiał się automatycznie – jeśli miał działać, musiałby zostać manualnie wystartowany przez użytkownika zainfekowanego komputera.

Zdaniem specjalistów bardzo prawdopodobnym wyjaśnieniem tej dziwacznej sytuacji były tu dość nikłe umiejętności hakerskie napastnika. „Jest, co prawda, szansa, że to mógł być jakiś atak próbny lub działanie mające na celu zmylenie zespołu odpowiedzialnego za bezpieczeństwo. Ale ja mam inną teorię – i nie wiem, czy w związku z nią należałoby się raczej śmiać, czy płakać: moim zdaniem całkiem realne jest, że ów ktoś chciał faktycznie zaatakować Areva, z tym że przypadkiem dołączył do e-maila również swoje prywatne zdjęcia i dokumenty” – wyjaśniał w firmowym blogu Snorre Fagerland, specjalista ds. złośliwego oprogramowania z działającego w ramach firmy Norman zespołu Malware Detection Team.

Ransomware z kluczem w pakiecie

Najświeższy przykład złośliwego oprogramowania, którego autorzy niespecjalnie się popisali, pochodzi dosłownie sprzed kilku tygodni. Tym razem sytuacja dotyczy oprogramowania typu ransomware, czyli złośliwej aplikacji, której celem jest wymuszanie od użytkowników „okupu”. Sposób działania takich programów jest dość typowy: po zainfekowaniu systemu próbują w jakiś sposób zablokować dostęp do cennych dla użytkownika danych (plików multimedialnych, dokumentów, poczty), po czym informują go, że może odzyskać swoje pliki, o ile zapłaci pewną kwotę w dolarach, Bitcoinach lub innej walucie.

Owa „blokada dostępu” zwykle realizowana jest poprzez zaszyfrowanie plików. I to przeważnie działa, bo o ile „napastnik” zastosuje odpowiednio silny algorytm szyfrujący, o tyle odzyskanie danych faktycznie może być poważnym problemem. Problem z ransomware jest na tyle poważny, że jeśli już dojdzie do infekcji i zablokowania plików, to nawet jeśli użytkownik skorzysta później z antywirusa i usunie złośliwy program, to wcale niekoniecznie oznacza to, że odzyska swoje dane.

Z pewnością na to właśnie liczył autor (autorzy?) programu o nazwie CryptoDefense, który działa dokładnie wedle opisanego powyżej schematu. Aplikacja podszywa się pod plik PDF i jest rozsyłana w spamie – po zainfekowaniu Windows szyfruje pliki i żąda haraczu w wysokości 500 dolarów, płatnego w Bitcoinach. Transakcja przeprowadzana jest za pośrednictwem anonimizującej sieci TOR, a powyższa suma jest tak naprawdę ofertą promocyjną – obowiązuje tylko przez 4 pierwsze dni, później zostaje podwojona. Program jest całkiem aktywny – specjaliści z firmy Symantec tylko na początku kwietnia odnotowali ponad 11 tys. infekcji na całym świecie i szacują, że w ciągu pierwszych tygodni funkcjonowania program „zarobił” dla swoich twórców kilkadziesiąt tysięcy dolarów.

Analizy wykazały, że CryptoDefense napisany jest całkiem schludnie i pomysłowo – program szyfruje dane, korzystając z klucza RSA 2048-bit i używając do tego odpowiedniego Windows API. A jednak jego twórcy (twórca?) nie ustrzegli się żenującego błędu…

Okazało się bowiem, że owszem – pliki są odpowiednio mocno szyfrowane i wszystko działa sprawnie. Problem w tym, że… klucz szyfrujący jest przechowywany tuż obok, na dysku zainfekowanego komputera. „Autor kodu nie popisał się podczas implementowania funkcji kryptografii. Obrazowo można powiedzieć, że mamy tu do czynienia z sytuacją, w której porywacz zamyka swoją ofiarę w celi… pozostawiając jej do dyspozycji klucz do owej celi” – napisali w alercie na temat CryptoDefense analitycy Symanteca.

Oczywiście, dla przeciętnego „zainfekowanego” użytkownika to żadna pociecha – zwykły internauta nie skorzysta z tej wpadki twórcy ransomware'u. Ale dla autorów oprogramowania zabezpieczającego sytuacja jest wymarzona, bo mając do dyspozycji klucz szyfrujący, mogli bez większych problemów stworzyć narzędzie umożliwiające odblokowanie plików. Symantec poszedł zresztą o krok dalej – specjaliści z koncernu zablokowali transakcje finansowe powiązane z programem i zabezpieczyli dane, które być może pozwolą na namierzenie twórców CryptoDefense.

Opisane sytuacje wyraźnie pokazują, że choć w ostatnich latach cyberprzestępczość wyraźnie się profesjonalizuje, to jednak w szeregach autorów wirusów wciąż pozostają rzesze raczej mizernie utalentowanych programistów, którzy bardzo by chcieli stworzyć kolejnego Stuxneta lub Code Reda… ale na szczęście nie bardzo potrafią. Miejmy tylko nadzieję, że nie potrafią również uczyć się na błędach.

Źródło: pcworld.pl
Zostań naszym fanem!