O co chodzi z tą reputacją sieciową?

bezpieczeństwo

Ataki typu drive-by download, czyli instalacje oprogramowania bez wiedzy użytkownika, to jedno z budzących największy lęk zagrożeń w internecie. Narzędziem wykorzystywanym do tych ataków są pakiety exploitów. Badają one środowisko przeglądarki – typ i wersję przeglądarki, zainstalowane wtyczki i wersje wtyczek – aby znaleźć oprogramowanie podatne na atak.

Jeśli pakiet exploitów znajdzie luki w zabezpieczeniach, wykorzystuje je do bezpośredniego uruchomienia kodu w systemie. W większości przypadków prowadzi to do instalacji złośliwego oprogramowania bez żadnej interakcji z użytkownikiem. W najgorszym scenariuszu kilka minut później na ekranie pojawia się instrukcja, jak zapłacić napastnikowi za przywrócenie świeżo zaszyfrowanych plików do pierwotnego stanu.

Pakiety exploitów mogą czaić się w różnych zakątkach internetu. Oto kilka przykładów.

Złośliwe domeny

Istnieje wiele wątpliwych witryn, na które można się natknąć podczas przeglądania sieci. Przykładem mogą być nielegalne serwisy udostępniania plików, strony z torrentami i witryny pornograficzne. Niektóre z tych witryn bezpośrednio przechowują pakiety exploitów.

Możesz też trafić do złośliwych witryn poprzez kliknięcie łącza w postach lub komentarzach na forach, blogach i stronach społecznościowych, a także w otrzymanych wiadomościach e-mail. Bez względu to, jak znajdziesz się na jednej z tych stron, ryzykujesz, że Twój system padnie łupem napastnika.

Złośliwe reklamy

Na większości stron internetowych wyświetlane są reklamy, w wielu przypadkach rozpowszechniane przez agencje reklamowe. Możesz trafić na złośliwą reklamę, kiedy napastnik przekaże ją do jednej z takich agencji. Aby prowadzić skuteczne kampanie, napastnicy posługujący się złośliwymi reklamami korzystają z usług bardziej popularnych agencji, które zamieszczają reklamy w bardziej popularnych witrynach. Ta tania i skuteczna metoda zapewnia napastnikom szeroko wykorzystywaną platformę do dystrybucji złośliwej treści. Obserwujemy to dość regularnie.

Złośliwe reklamy to szczególnie podstępny wektor infekcji. Napastnicy nie muszą nakłaniać ofiar do zmiany zwykłych nawyków, żeby zainfekować ich systemy. Kiedy złośliwa reklama trafi na platformę reklamową, będzie automatycznie pokazywana w szerokiej gamie popularnych witryn. Gdy więc użytkownik następnym razem zajrzy do swojego ulubionego portalu informacyjnego, wizyta może skończyć się infekcją jego systemu, choć samą witrynę zasadniczo uważa się za bezpieczną. W dodatku nie musi nawet klikać reklamy, żeby ulec infekcji.

Nawiasem mówiąc, złośliwe reklamy pojawiają się nie tylko w witrynach internetowych. Niedawno udokumentowaliśmy przypadek, w którym użyto reklam Skype’a do dostarczania złośliwej treści z wykorzystaniem tego samego mechanizmu.

Zwykłe witryny przejęte przez napastników

Hakerzy włamują się do legalnych witryn. Bardzo często. W rzeczywistości większość exploitów znajduje się w zhakowanych serwerach, które nie zostały „wyczyszczone”.

Napastnicy atakują legalne witryny, kiedy ktoś znajdzie nową lukę w zabezpieczeniach usług internetowych (takich jak Apache lub WordPress). Często natychmiast po odkryciu nowej luki rozpoczyna się wyścig do przejęcia wszystkich dostępnych celów w internecie, a cały ten proces jest w dużej mierze zautomatyzowany. Regularnie dochodzi też do włamań do serwerów WordPressa, co nie dziwi, zważywszy na to, jak łatwo jest zdobyć nazwiska autorów blogów.

Naturalnie, w zhakowanych w ten sposób witrynach umieszczane są pakiety exploitów, a dalszy ciąg tej historii jest Ci już dobrze znany.

Prawdopodobnie uświadomiłeś już sobie, że higieniczne praktyki przeglądania sieci nie uchronią Cię przed atakami typu drive-by download. Właśnie dlatego wszystkie nowoczesne rozwiązania do ochrony punktów końcowych zawierają komponenty do blokowania adresów URL i skanowania sieci. Jeśli strona albo jej komponent nie zostaną wyświetlone w przeglądarce, to nie zostanie uruchomiony pakiet exploitów. Oczywiście, nie muszę przypominać, że regularne aktualizowanie oprogramowania w systemie bardzo pomaga bronić się przed takimi atakami.

Krajobraz złośliwych adresów URL zmienia się błyskawicznie, dlatego wyszukiwania w chmurze to najlepszy sposób, żeby nadążyć za tymi zmianami. Prosta kwerenda chmurowa na znormalizowanej wersji żądanego adresu URL, tuż przed jego odwiedzeniem, pozwala dowiedzieć się, czy witryna jest bezpieczna. Uzyskany werdykt może też zawierać inne informacje; oprócz wskazywania, czy witryna jest złośliwa, może też informować, jaki rodzaj treści się w niej znajduje. Przydaje się to do filtrowania treści, na przykład do kontroli rodzicielskiej.

harmful-web-site-blocked

Jeśli widzisz coś takiego, prawdopodobnie kliknąłeś coś, czego nie chciałeś kliknąć.

W laboratoriach F-Secure mamy wiele źródeł uzupełniających i odświeżających nasze repozytoria adresów URL. Kiedy liczyliśmy ostatnio, było ich ponad 70. Otrzymujemy ponad 500 000 nowych adresów URL dziennie. Niektóre pochodzą z „honeypotów” i pułapek na spam, inne ze statycznej lub dynamicznej analizy malware’u. Wprowadzając potencjalnie złośliwe adresy do naszych zautomatyzowanych „piaskownic”, możemy sprawdzić, co się stanie z maszyną wirtualną, i odpowiednio sklasyfikować witrynę. Mamy też systemy eksperckie, które automatyzują klasyfikowanie treści.

Nasze systemy prawdopodobnie zginęłyby pod lawiną miliardów wpisów, gdybyśmy przechowywali klasyfikację każdej możliwej ścieżki URL. Aby temu zapobiec, złożona logika automatyzacji decyduje, czy sklasyfikować całą domenę, czy pojedyncze katalogi. Używamy też informacji whois do klasyfikowania całych domen.

Oprócz prostej taktyki sprawdzania adresów URL w chmurze, używamy kilku innych sztuczek, żeby chronić klientów przed złośliwymi witrynami. Przeprowadzając analizę heurystyczną ruchu do adresu URL, możemy wychwycić pewne typy złośliwych zachowań. Nasze komponenty ochronne badają również treść, nagłówki i metadane adresu URL i podejmują decyzje na podstawie tych informacji.

Blokowanie dostępu do adresów URL uniemożliwia też malware’owi komunikację z serwerami dowodzenia (C&C).

Jak wspomniałem w pierwszym poście z tej serii, zapobieganie kontaktowi użytkownika ze złośliwą witryną jest pierwszą linią obrony przed rzeczywistymi zagrożeniami. A w obliczu zagrożenia atakiem drive-by download jest to ważny pierwszy krok. Kiedy więc następnym razem zobaczysz wyskakujące okno w rogu ekranu tuż po kliknięciu łącza, będziesz zadowolony, że nie padłeś ofiarą paskudnego trojana, który pobiera oprogramowanie wymuszające okup.

 

Autorem artykułu jest Andy Patel.

1 komentarzy

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Log Out / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Log Out / Zmień )

Facebook photo

Komentujesz korzystając z konta Facebook. Log Out / Zmień )

Google+ photo

Komentujesz korzystając z konta Google+. Log Out / Zmień )

Connecting to %s

Może Ci się też spodobać

%d blogerów lubi to: