Crimeware blackhole: funkce a ekosystém (seriál, 3. díl)

Minule jsme si ukázali, co dokáže již poměrně starý, avšak stále používaný trojský kůň Zeus. Na dnešek jsem slíbil, že si ukážeme, jak může útočník zneužít jiný tzv. crimeware pro šíření jím připraveného souboru obsahujícího Zeus. Blackhole již existuje v několika různých verzích, tak jak je postupně „vylepšován“. Měl jsem k dispozici poměrně starou verzi, 1.0.3., přičemž dnes již existuje verze 2.0, možná i vyšší. Pro získání přehledu o nebezpečí plynoucím z tohoto softwaru však stačí i starší verze.

Celý kit je napsán v PHP, k jeho provozování tedy stačí útočníkovi webový server s podporou PHP a nainstalovanou databází MySQL. K provozování blackholu tedy není potřeba žádné zvláštní znalosti. Pokud však útočník nechce provozovat vlastní server, může si blackhole pronajmout již rovnou předinstalovaný na serveru. Po přihlášení má útočník k dispozici přehlednou statistiku „návštěvníků webu“, včetně informace, kolik z nich bylo úspěšně napadeno.

bh_1

Statistika útoků

Útočník si nejdříve na server nahraje soubor, který se má spustit na počítači oběti po jejím úspěšném napadení.

bh_2

Nahrání souboru z minulého blogpostu na server blackhole

Dále musí útočník vytvořit novou útočnou stránku, která bude splňovat jeho požadavky. Může si zvolit, zda chce infikovat pouze návštěvníky z nějaké konkrétní země, či zemí, či zda chce infikovat kohokoliv z celého světa. Dále si může zvolit cíle útoku také podle používaného prohlížeče a operačního systému.

bh_3

Výběr kritérií, která rozhodnou, zda bude počítač infikován či nikoliv

Pak již útočník pouze zvolí, jaké mají být zneužity zranitelnosti a jaký soubor má být po úspěšném útoku nahrán a spuštěn. V našem případě je to bot.exe z minulého blogpostu.

bh_4

Výběr zranitelností a souborů s virem (opět zcela klikací záležitost, bohužel)

Ještě krátce k nabízeným zranitelnostem. Jedná se o zranitelnosti v jazyce Java, v Acrobat Readeru, v Internet Exploreru i v samotném operačním systému Windows. Pokud tedy navštívíte útočníkem vygenerovanou stránku, ať již přímo, či díky neviditelnému rámci vloženému do jiné stránky, pak bude váš počítač otestován na vybrané zranitelnosti a pokud blackhole nějakou z nich najde, pak bude do počítače nainstalován Zeus. Pak má již útočník váš počítač zcela pod kontrolou.

bh_5

Připravený útok, nahoře lze vidět URL, na kterou je potřeba oběti nalákat

Dnes již existuje celá řada takovéhoto crimeware, avšak principy a techniky popsané v tomto seriálu platí obecně pro většinu z nich, ne-li pro všechny. Cílem bylo ukázat, že proniknout do našich počítačů nemusí být tak náročné na znalosti a že nás takový průnik může přijít poměrně draho.

Přitom by stačilo tak málo. Používat zdravý rozum a neklikat na každý odkaz, který nám někdo pošle, ať již e-mailem, nebo třeba přes Skype, či Facebook chat, mít funkční antivirovou ochranu a především udržovat náš operační systém i používané programy vždy aktualizované. Pokud si teď slibujete, že budete tyto zásady dodržovat, pak tyto blogposty splnily svůj účel.

Slovníček pojmů:
Crimeware: škodlivý software vyvíjený specificky za účelem automatizace kybernetické kriminality
Trojský kůň (trojan): program umožňující útočníkovi získat kontrolu nad napadeným počítačem, např. získávat uložená hesla, osobní dokumenty, mazat soubory atd.
PHP: Skriptovací jazyk používaný pro tvorbu dynamických webových aplikací
Webový server: Server umožňující běh webových stránek
MySQL: Jeden z nejvíce rozšířených databázových systémů
Zranitelnost: Slabé místo zneužitelné pro narušení bezpečnosti. Může se jednat například o chybu konfigurace, či chybu v programu.
Java: programovací jazyk navržený pro použití na různých platformách. Ke spouštění programů v jazyce Java musí být na daném zařízení nainstalován program, který umožní vykonání kódu Java na daném zařízení. Tento program však může být nositelem zranitelnosti.
Acrobat Reader: Populární program umožňující prohlížení pdf souborů

Pavel Bašta

Autor:

Komentáře (3)

  1. navstevnik říká:

    ak mam v pc aktualizovany antivirus, moze mi zeus a blackhole aj tak infikovat pc?

  2. Pavel Bašta říká:

    Pokud nemáte zároveň aktualizované programy a operační systém, tak bohužel ano. Akorát by to asi nebyl Zeus (ten by antivirový program nejspíše odhalil), ale třeba nějaký nový vir, který ještě antivir nezná. Antivirové programy jsou bohužel stále závislé především na signatůrách známých virů, takže nová varianta viru zůstane často nerozpoznána. Nebo by součástí prvotního proniknutí do PC mohl být program, který antivir vyřadí z činnosti.
    Pro úplnost ještě dodám, že v případě tzv. útoku nultého dne, tedy zneužití dosud neznámé zranitelnosti, nepomůže ani zcela updatovaný systém. Kriminálníci si však díky lidské pohodlnosti většinou vystačí se staršími zranitelnostmi a útoky nultého dne jsou spíše doménou tajných služeb a průmyslové špionáže. Jsou totiž dražší a jejich zneužití náročnější na znalosti, než u již známých a zdokumentovaných zranitelností.

  3. Pan Pepin říká:

    Zázrak

Zanechte komentář