Чем привлекательно распространение вредоносного ПО через веб

Прежде чем мы приступим к изучению drive-by загрузок, было бы полезно разобраться, почему именно этот вид атаки стал таким популярным в последние годы. Важно также понять, что одно и то же вредоносное ПО (вирусы, шпионские и троянские программы, руткиты, утилиты для создания бот-сетей, фальшивое ПО для защиты данных) может распространяться и зачастую распространяется разными способами: по электронной почте, при посещении пользователем веб-страниц и другими методами.

Доставка вредоносного ПО методом drive-by загрузок привлекает киберпреступников просто потому, что представляет собой наиболее незаметную форму заражения и, соответственно, позволяет чаще добиваться успеха при проведении атаки. На рисунке 1 приведены данные компании ScanSafe, занимающейся отслеживанием вредоносного ПО в интернете. Хорошо видно, что  лидерство по негативному влиянию на работу компаний перешло от распространения вредоносных программ по электронной почте к интернету и сервисам мгновенного обмена сообщениями.

Рисунок 1 — Развитие методов доставки вредоносного ПО

Согласно последним данным ScanSafe, 74% всего обнаруженного вредоносного ПО,  было размещено на зараженных веб-сайтах.

Теперь, когда мы в полной мере представили себе масштаб проблемы, приступим к изучению механизмов атаки, способов привлечения пользователей на зараженные веб-сайты, сложных эксплойтов и приложений, на которые они нацелены, запутанной системы переадресации веб-запросов, а также кода, используемого для кражи личной информации и захвата пользовательских компьютеров.

Браузер атакует

Чтобы понять, насколько стремительно произошел переход к использованию веб-браузеров в качестве инструмента атаки, полезно обратиться к истории наиболее «успешных» интернет-атак на компьютеры. Во время «эры интернет-червей», когда Code Red, Blaster, Slammer и Sasser наносили непоправимый ущерб корпоративным сетям, хакеры применяли удаленные эксплойты в отношении уязвимостей операционной системы Windows (под «удаленным» понимается такой эксплойт, при котором вредоносное ПО находится на сетевом сервере, использует уязвимость в легальном коде на компьютере пользователя и не нуждается в доступе к компьютеру до момента использования уязвимости). Исполняемые вредоносные файлы, как, например, Melissa, распространялись также в виде вложений в электронных письмах, через сервисы мгновенного обмена сообщениям и клиенты одноранговых сетей.

В компании Microsoft на атаки червей среагировали должным образом. В операционную систему был встроен сетевой экран, который в Windows XP SP2 был активирован по умолчанию; было реализовано несколько механизмов для борьбы с червями. Благодаря системе автоматических обновлений Windows, конечные пользователи получили поддержку в виде регулярно устанавливаемых патчей для ОС. Многие пользователи, как корпоративные, так и домашние, тоже осознали, что необходимо с осторожностью обращаться с вложениями электронной почты и нельзя запускать незнакомые приложения. Оба эти фактора вынудили злоумышленников изменить тактику — заставили их сконцентрироваться на стороннем ПО и совершенствоваться в искусстве социальной инженерии.

Это спровоцировало появление новой «скрытой» технологии — drive-by загрузки, использующей браузер для соединения с серверами, на которых хранятся эксплойты. При drive-by атаке вредоносная программа автоматически загружается на компьютер без вашего ведома и согласия. Атака осуществляется в два этапа. Сначала пользователь попадает на сайт, содержащий код, который перенаправляет запрос на сторонний сервер, на котором хранится эксплойт.

На рис. 2 показана общая схема атаки с использованием drive-by загрузки (источник: Google Anti-Malware Team). Эксплойты, используемые при drive-by атаках, могут быть нацелены на уязвимости веб-браузера, его незащищенные встраиваемые модули (плагины), уязвимости элементов управления ActiveX или бреши в защите стороннего ПО.

Рисунок 2 — Схема атаки с использованием drive-by загрузки

Как показано на рисунке, прежде чем эксплойт будет загружен, может произойти любое количество переадресаций на другие сайты.

Согласно данным «Лаборатории Касперского» и других компаний, занимающихся вопросами компьютерной безопасности, мы переживаем широкомасштабную эпидемию drive-by загрузок. За последние десять месяцев Google Anti-Malware Team проанализировала миллиарды страниц в поисках вредоносной активности и обнаружила более трех миллионов URL-адресов, по которым хранились эксплойты, использующие drive-by загрузку.

«Гораздо более тревожным фактом является то, что приблизительно 1,3% поисковых запросов в Google дает по меньшей мере один URL-адрес, помеченный как «опасный» на странице результатов поиска», — сообщается в исследовании, опубликованном Google.

Рис. 3, взятый из этого исследования, демонстрирует в рамках изучаемого периода тревожную тенденцию: процент зараженных сайтов в результатах поисковых запросов постоянно увеличивается.

Рисунок 3 — Результаты поисков, содержащих вредоносный URL

Первое время злоумышленники, применявшие drive-by загрузки, создавали вредоносные сайты и, чтобы привлечь на них посетителей, использовали социальную инженерию. Такие web-страницы до сих пор остаются важнейшим источником вредоносной сетевой активности. Однако в последнее время хакеры стали заражать вполне законопослушные сайты, размещая на них скриптовые эксплойты или код для переадресации запросов, что позволяет им незаметно для пользователя запускать атаки через браузер.

Механизм drive-by атаки

Один получивший широкую огласку случай заражения сайта, произошедший в 2007 году, дает представление о том, как организуются drive-by атаки. За несколько недель до проведения Суперкубка Национальной футбольной лиги США сайт стадиона Miami’s Dolphin был взломан, и на нем был размещен фрагмент JavaScript кода (см. рис. 4).

 
Рисунок 4 — JavaScript код на сайте стадиона Miami’s Dolphin

При посещении пользователем этого сайта браузер компьютера, на котором не был установлен необходимый патч, осуществлял скрытое подключение к удаленному стороннему серверу, который пытался воспользоваться уязвимостью, описанной компанией Microsoft в бюллетенях по безопасности MS06-014 и MS07-004. В случае успешной атаки на компьютере незаметно для пользователя устанавливалась троянская программа, что предоставляло злоумышленникам полный контроль над зараженным компьютером. Впоследствии они получали доступ к конфиденциальным данным на таком компьютере и возможность осуществлять с него DoS-атаки.

В том же 2007 году, но несколько позже, сайт «Bank of India», отличающийся высоким уровнем посещаемости, подвергся сложной хакерской атаке, в которой использовались многочисленные переадресации на сервер, содержащий почтового червя, два руткита, два троянца-загрузчика и три троянца-бэкдора. Метод заражения сайта включал в себя механизм обфускации с использованием JavaScript, большое количество iFrame-переадресаций и fast-flux технологий для того, чтобы избежать обнаружения и обеспечить доступность вредоносного интернет-сервера во время атаки. На рис. 5 представлен скриншот взломанного сайта «Bank of India», на котором виден также вредоносный скрипт, использовавшийся для запуска атаки методом drive-by загрузки.

 
Рисунок 5 — Сайт «Bank of India» и вредоносный код

Это только два из множества примеров, которые наглядно демонстрируют масштабы рассматриваемой проблемы для легальных веб-сайтов. Компания ScanSafe опубликовала результаты своего исследования веб-угроз, где сообщалось, что к середине 2008 года подавляющее большинство вредоносного ПО размещалось на легитимных сайтах. Ниже приведены наиболее интересные данные из отчета ScanSafe за третий квартал 2008 года:

Злоумышленники использовали также подмену данных на сторонних рекламных серверах для переадресации пользователей Windows на серверы мошенников, откуда происходила drive-by загрузка. Такая «вредоносная реклама» работает обычно с использованием flash-технологий и использует уязвимости в приложениях, установленных на пользовательских компьютерах.

Наборы эксплойтов (exploit kits)

Наборы эксплойтов служат «локомотивом» drive-by загрузок. По сути это совокупность программных компонентов, написанных профессионалами и хранящихся на сервере с СУБД. В состав таких наборов, которые продаются на нелегальных хакерских сайтах, входят эксплойты, использующие уязвимости в целом ряде популярных пользовательских приложений, в числе которых медиа-проигрыватель QuickTime, Adobe Flash Player, Adobe Reader, RealPlayer и программа-архиватор WinZip.

Используются также эксплойты, предназначенные для атак на конкретные браузеры: Internet Explorer, Firefox, Apple Safari и Opera. Существуют также специализированные наборы эксплойтов, рассчитанных на атаки с использованием уязвимостей Adobe PDF или известных брешей в защите кода элементов управления ActiveX.

Злоумышленники, специализирующиеся на краже конфиденциальной информации пользователей, и другие вирусописатели приобретают наборы эксплойтов и устанавливают их на вредоносном сервере. Код, предназначенный для переадресации соединений на такой сервер, размещается на веб-сайте, куда посетители заманиваются с помощью спам-объявлений, распространяемых по электронной почте или размещаемых на доске объявлений в Сети.

Сервер, на котором размещены наборы эксплойтов, может использовать данные из заголовка HTTP-запроса браузера посетителя для того, чтобы определить тип браузера, его версию, а также используемую операционную систему. Как только операционная система жертвы определена, активируется соответствующий эксплойт из набора.

В некоторых случаях могут быть активированы одновременно несколько эксплойтов, пытающихся заразить компьютер, используя уязвимости в приложениях сторонних производителей. Некоторые наиболее сложные наборы эксплойтов поддерживаются в актуальном состоянии и даже ежемесячно обновляются. Такие наборы поставляются с продуманным пользовательским интерфейсом, содержащим подробный отчет об успешных атаках, включающий, например, версию операционной системы компьютера-жертвы, место его нахождения, использованный эксплойт и эффективность эксплойтов, определяемую по объему трафика к вредоносному сайту.

В таблице 6 приведен список эксплойтов, содержащихся в одном из таких наборов, обнаруженном во время атаки с использованием JavaScript-переадресации. Этот пример доказывает популярность эксплойтов для программных продуктов Microsoft. В то же время для того чтобы увеличить ценность такого набора для киберпреступников, используются и эксплойты для ПО других производителей.

Рисунок 6 — состав одного из «наборов» эксплойтов

Монокультура без обновлений

Эпидемию drive-by загрузок связывают преимущественно с тем, что на многих компьютерах не установлены обновления Windows. За редким исключением, большинство эксплойтов использует известные уязвимости, патчи для которых доступны. Тем не менее по ряду причин конечные пользователи не спешат устанавливать необходимые обновления.

Microsoft предлагает конечным пользователям возможность устанавливать обновления автоматически, закрывая таким образом обнаруженные уязвимости, чего нельзя сказать о производителях сторонних приложений. По оценке Secunia — компании, занимающейся исследованием уязвимостей программного обеспечения, — около трети установленных на компьютере приложений содержат известные уязвимости, для которых уже выпущены патчи.

В существующих наборах можно найти несколько эксплойтов, нацеленных на довольно старые уязвимости, такие как MS06-014 и MS05-052, которые остаются незакрытыми на многих компьютерах на протяжении нескольких лет после того, как опубликовано исправляющее их обновление (третий и четвертый символы означают год выпуска бюллетеня по безопасности). Например, эксплойты, «специализирующиеся» только на уязвимостях Adobe PDF Reader, до сих пор успешно используются, несмотря на значительные улучшения в системе обновлений Adobe. Другой популярной мишенью является Adobe Flash Player, установленный практически на всех подключенных к интернету компьютерах, равно как и RealPlayer (разработанный компанией RealNetworks).

Заключение. Как избежать атаки

В заключение необходимо отметить, что в современных веб-браузерах, в том числе Internet Explorer, Firefox и Opera, пользователь предупреждается о возможной опасности при попытке посетить зараженный веб-сайт. Такая система полезна, но поскольку в ее основе лежат черные списки, она не может гарантировать 100%-ную защиту для активного пользователя интернета.

Наиболее действенным подходом к защите от drive-by загрузок является своевременная и полная установка выпускаемых производителями ПО обновлений. В особенности, пользователю стоит:

• Использовать специальные решения для управления патчами, которые помогают находить и устанавливать обновления для всех сторонних приложений. Secunia предлагает сразу два таких инструмента: Personal Software Inspector и Network Security Inspector. Они помогают определить приложения, для которых обновления еще не установлены.
• Пользоваться веб-браузерами, обеспечивающими блокирование фишинговых и вредоносных сайтов (Internet Explorer, Mozilla Firefox и Opera).
• Активировать сетевой экран и установить все обновления операционной системы от Microsoft. Избегать использования пиратского ПО, чье обновление будет запрещено сервисом WGA (Windows Genuine Advantage).
• Установить антивирусное ПО и поддерживать антивирусные базы в актуальном состоянии. При этом важно, чтобы антивирусный продукт проверял интернет-трафик, что позволит вовремя обнаружить попытки проведения атаки методом drive-by загрузки.

Эти меры, направленные на решение проблемы уязвимостей программного обеспечения, по-прежнему остаются лучшим, наиболее эффективным средством защиты против атак с использованием drive-by загрузок.