Zagrożenia internetowe III kw. 2010

Przeczytaj także: Zagrożenia internetowe II kw. 2010

Chociaż zebrane dane dają podstawę do pewnych założeń dotyczących celu ataku, jak na razie nie istnieją żadne twarde dowody. Podobnie jak w przypadku ataku Aurora, o którym pisaliśmy w raporcie za pierwszy kwartał, atak robaka Stuxnet jest atakiem ukierunkowanym, mimo że jego cel nadal pozostaje nieznany. Pozostaje pytanie: „Dlaczego?” Faktem jest, że organizacje będące celem takich ataków rzadko chwalą się nimi, ponieważ mogłoby to negatywnie wpłynąć na ich reputację. Według oficjalnych danych firmy Siemens, na początku września 2010 roku zostało zainfekowanych piętnaście systemów klienckich na całym świecie.

Niechęć organizacji do publicznego przyznawania się, że padły ofiarą ataków, utrudnia pracę firm antywirusowych. Aby móc skutecznie zwalczać ataki ukierunkowane, firmy antywirusowe muszą wiedzieć, w jaki sposób szkodliwe oprogramowanie zachowuje się w systemie, ponieważ w przypadku takich ataków metody wykrywania w oparciu o sygnatury są stosunkowo mało skuteczne. Po pierwsze, cyberprzestępcy mogą zawsze zmodyfikować szkodliwe oprogramowanie przy pomocy szyfrowania i zaciemniania w taki sposób, aby nie mogło być wykrywane przy użyciu samej sygnatury. Po drugie, firmy antywirusowe mogą nigdy nie zdobyć próbki szkodnika, co uniemożliwi stworzenie odpowiedniej sygnatury. Nie jest jednak możliwe całkowite ukrycie szkodliwej funkcji. Po tym jak robak lub trojan dotrze do swojego celu, zrobi dokładnie to, do czego został stworzony: dostarczy swoją szkodliwą funkcję. Właśnie wtedy firmy antywirusowe będą mogły wykryć szkodnika poprzez wykorzystanie analizy zachowania, najważniejszej metody wykrywania w przypadku ataków ukierunkowanych.

Wszystko, o czym pisaliśmy, świadczy o tym, że twórcy Stuxneta posiadają wysokie umiejętności. Stuxnet to robak, którego celem jest ingerencja w działanie sterowników programowalnych wykorzystywanych w dużych przedsiębiorstwach. Robak wykorzystuje cztery luki zero-day i zawiera rootkita podpisanego przy użyciu certyfikatów skradzionych Realtec Semiconductors i JMicron. W dalszej części artykułu omówimy szczegółowo te certyfikaty. Program, który jest tak złożony i pochłonął tak dużo pieniędzy, musiał zostać stworzony z myślą o dużym celu.

Certyfikaty cyfrowe a szkodliwe oprogramowanie

Cyfrowe certyfikaty i sygnatury to główne metody tworzenia zaufania w świecie cyfrowym. Sygnatury cyfrowe dla plików wykonywalnych zostały po raz pierwszy wykorzystane w systemie Windows NT: od tego czasu Microsoft aktywnie promuje wykorzystywanie sygnatur cyfrowych. Certyfikat cyfrowy potwierdza, że dany program jest legalny, i pozwala ustalić jego źródło.

Naturalnie, to czy plik jest podpisany czy nie, ma duże znaczenie dla firm antywirusowych. Pliki, które są podpisane przez zaufanego producenta, są uznawane za czyste. Technologia ta pozwala twórcom rozwiązań antywirusowych nie tylko zredukować liczbę fałszywych trafień do minimum, ale również efektywnie przydzielać zasoby podczas skanowania komputera w celu wykrycia infekcji.

Niestety, sygnatury cyfrowe dostarczają wielu problemów. Certyfikat może zostać „wycięty” z legalnie podpisanego pliku. Najczęściej „wycinane” są certyfikaty Microsoftu. Chwyt ten nie jest nowy. Na przykład w trzecim kwartale został on wykorzystany przez dystrybutorów Zbota, którzy „wycięli” certyfikat z legalnego pliku i przyłączyli go do komponentu Zbota. Na pierwszy rzut oka, takie pliki wydają się być legalne. Jest to jednak tylko pierwsze wrażenie. W celu podpisania pliku wykorzystano jego sumę hashowania, która jest unikatowa dla każdego obiektu. Gdy certyfikaty są w ten sposób „wycinane”, sumy hashowania pliku oraz sygnatura nie pasują już do siebie, przez co certyfikat jest nieważny. Dzięki temu można rozpoznać fałszywe certyfikaty.

Cyberprzestępcy najczęściej próbują zmylić analityków wirusów i użytkowników, stosując certyfikat z legalnego pliku podpisanego przez znanego producenta. Takie sztuczki nie są rzadkością; dlatego ważne jest, aby rozwiązania antywirusowe sprawdzały nie tylko, czy istnieje certyfikat, ale również czy pasuje do pliku.

Druga sprawa jest o wiele bardziej złożona – cyberprzestępcy mogą zdobyć certyfikat cyfrowy zupełnie legalnie, podobnie jak każdy twórca oprogramowania, np. w celu oficjalnego stworzenia „oprogramowania do zdalnego zarządzania komputerami bez graficznego interfejsu”, które w istocie stanowi backdoora. Tego rodzaju „obrona” przed wykryciem jest najpopularniejsza wśród autorów oprogramowania adware, riskware oraz fałszywych programów antywirusowych. Po otrzymaniu niezbędnego klucza z centrum certyfikacji cyberprzestępcy przy niewielkim wysiłku mogą podpisać dowolny ze swoich tworów. Jednak taki scenariusz pozwala firmom antywirusowym dość łatwo wykryć te „czarne owce”, ponieważ mogą one wykryć wszystkie pliki wykorzystujące ten certyfikat.