Złośliwe programy atakują urządzenia mobilne

Przeczytaj także: Urządzenia mobilne: bezpieczeństwo niedoceniane

Ruby on Rails

W styczniu informowano o przypadkach zdalnego wykonywania kodu na serwerze WWW z wykorzystaniem krytycznej luki w zabezpieczeniach frameworka Ruby on Rails.

Ruby on Rails (RoR) to framework do tworzenia aplikacji webowych w języku programowania Ruby. Umożliwia szybkie, proste i przejrzyste wdrażanie witryn internetowych Web 2.0. Framework RoR cieszy się dużą popularnością i wykorzystywany jest do tworzenia setek tysięcy witryn internetowych.

Problem dodatkowo pogłębia moduł Metasploit, który w zamyśle miał służyć do eksplorowania podatności, lecz może być też wykorzystywany do wyszukiwania serwerów WWW podatnych na atak.

„Do ataku wykorzystywano wadę w procedurze deserializacji XML, stosowanej do tworzenia obiektów Ruby w czasie rzeczywistym” – wyjaśnił Richard Henderson. „Po czterech miesiącach od wprowadzenia poprawek do RoR stało się jasne, że atakujący nadal próbują wyszukiwać i wykorzystywać serwery WWW bez poprawek i zarażać je złośliwym oprogramowaniem”.

Zdalne wykonywanie kodu Java

W styczniu odkryto atak typu zero-day, omijający środowisko sandbox Java, aby samowolnie wykonać kod Java.

Technologia Java jest wszechobecna – różne formy technologii Java instaluje się i uruchamia na większości komputerów. Luka umożliwiała uruchamianie programu Java przez złośliwy aplet z pominięciem środowiska Java sandbox i uzyskanie pełnego dostępu do zaatakowanego komputera.

Ataki wykryto w fazie rozprzestrzeniania i szybko zintegrowano z wieloma popularnymi zestawami do ataków oprogramowania crimeware, takich jak BlackHole, Redkit i Nuclear Pack, a ich nabywcy mogli wykorzystywać eksploita do instalowania złośliwego oprogramowania na komputerach. Powstał też moduł Metasploit, służący do prostego wyszukiwania ofiar na zasadzie „wskaż i kliknij”.

„W ataku wykorzystano lukę w komponencie JMX (Java Management Extensions), dzięki której złośliwy aplet rozszerzał swe uprawnienia i wykonywał dowolny kod Java” – wyjaśnił Richard Henderson.

Oracle szybko stworzyła poprawkę łatającą wykrytą lukę, jednak – podobne jak w przypadku innych eksploitów zintegrowanych w zestawach oprogramowania crimeware – liczba ofiar ataków nadal rośnie, głównie wśród osób korzystających z wersji Java bez poprawki, na których wciąż można zainstalować złośliwe oprogramowanie.

Atak typu zero-day na oprogramowanie Acrobat/Acrobat Reader

W lutym wykryto eksploit dla plików PDF, podszywający się pod formularz tureckiej wizy turystycznej, który wykorzystywał uprzednio niewidoczną lukę w oprogramowaniu Adobe Reader. Eksploit działał we wszystkich najnowszych wersjach Adobe Reader (9.5.X, 10.1.X i 11.0.X) oraz w większości wersji Microsoft Windows, m.in. 64-bitowej Windows 7 i prawie wszystkich systemach Mac OS X.

Za pośrednictwem eksploita dla plików PDF cyberprzestępcy instalowali złośliwe oprogramowanie na docelowych komputerach.

Poprawkę Adobe Reader opublikowano 20 lutego, jednak cyberprzestępcy nadal korzystają z przepakowanych wersji eksploita do ataków typu „spear-phishing”. Luki w oprogramowaniu Adobe Reader służą im też jako sposób rozpowszechniania złośliwego oprogramowania wśród użytkowników, którzy nie instalują regularnie wszystkich nowych poprawek.

CDorked atakuje Apache

W kwietniu wykryto nowy atak na Apache, popularny serwer WWW. Złośliwe oprogramowanie CDorked zainfekowało serwer WWW, aby przekierowywać odwiedzających na inne serwery rozpowszechniające złośliwe oprogramowanie za pośrednictwem zestawu BlackHole. Atak mógł też obejmować platformy serwerowe Lighttpd i Nginx Web.

CDorked jest pod wieloma względami podobny do ataku DarkLeech na serwery Apache z 2012 r., jednak jest znacznie bardziej podstępny i inteligentny: CDorked złośliwie modyfikuje istniejący binarny program httpd, zamiast pobierać dodatkowe złośliwe moduły na zainfekowany serwer, tak jak w przypadku ataków DarkLeech.

CDorked nie zapisywał żadnych informacji na dysku twardym serwera WWW – wszystko zapisywano w pamięci, a dostęp uzyskiwano za pośrednictwem zakamuflowanych żądań GET, przesyłanych przez atakujących na docelowy serwer. Żadne tego typu żądanie GET nie zostało zarejestrowane.

CDorked działał w sposób inteligentny

„CDorked dysponował wbudowanym systemem limitującym” – powiedział Richard Henderson. „Nie próbował przekierowywać każdego odwiedzającego na witrynę BlackHole. Stawał się niewidoczny dla użytkowników próbujących uzyskać dostęp do stron administratora, a więc osób, które mogłyby szybciej zauważyć przekierowanie na witrynę rozpowszechniającą oprogramowanie crimeware. CDorked nie jest wyjątkiem: inne złośliwe programy potrafią równie inteligentnie rozpoznawać analityków złośliwego oprogramowania”.