ČR: Ancalog - nástroj na tvorbu exploitov
Zneužívání dokumentů pro šíření malwaru je mezi počítačovými zločinci velmi populární, zejména pak ve spojení s nakaženými přílohami obsahujícími více či méně zákeřná makra nebo skripty. Má to své opodstatnění, protože drtivá většina běžných uživatelů již ví, že nemá otevírat spustitelné přílohy (např. s příponou .exe), ale spojitost kybernetického zločinu s dokumenty si ve skutečnosti uvědomuje jen málokterý z nich.
Vždyť je to tak jednoduché …
Nicméně situace je ještě o něco složitější. Existují zranitelnosti, které umožňují při zpracování dokumentu spustit podvržený kód bez nutnosti souhlasu ze strany uživatele. A to bohužel stále ještě není vše: tyto zranitelnosti lze zneužít velmi snadno, stačí například použít „vývojový nástroj“ Ancalog Multi Exploit Builder.
Tento nástroj umožňuje vytvářet širokou škálu nakažených formátů, od MS Word nebo MS Excel přes PDF až po CHM (speciální formát pro nápovědu) a HTA (HTML aplikace). Navíc některý malware generovaný pomocí nástroje Ancalog obsahuje veškerý škodlivý kód přímo v dokumentu a nechová se tedy jako downloader, který si „to hlavní“ stáhne z nějakého nakaženého webu. Jinými slovy, šíření je ještě o něco jednodušší a zákeřnější.
Zajímavé je, že celá řada zneužívaných zranitelností je dobře známá a vyřešená již několik let. Nicméně to nebezpečnosti Ancalogu nijak neubírá. Sice ne vždy počítačoví zločinci uspějí, ale například v zaostalejších zemích nebo u méně svědomitých uživatelů mají stále určitou šanci.
Některá čísla překvapí
Nástroji Ancalog se velmi podrobně věnuje i jedna z nejnovějších studií globální sítě pro zkoumání hrozeb – SophosLabs. Materiál s názvem Ancalog – the vintage exploit builder například upozornil na to, že plná verze Ancalogu vyjde na pouhých 290 amerických dolarů a ta odlehčená s omezenou funkcionalitou dokonce jen na 49 dolarů. Mimochodem, v obou případech mají „uživatelé“ k dispozici pokročilou podporu i pravidelné aktualizace.
Určitě zaujme i skutečnost, že za více než 55 procenty případů stojí jedna jediná zranitelnost pocházející již z roku 2012. Z pohledu konkrétního malwaru je prostřednictvím tohoto nástroje nejčastěji šířený Fareit (27 procent) a Zbot (19 procent). Při četbě této studie si na své vedle laiků přijdou i obdivovatelé technologií, bezpečnostní správci i manažeři, kteří získají potřebný vhled do evoluce jedné z vážnějších kategorií počítačového zločinu.
Využívání nástrojů jako je Ancalog Multi Exploit Builder ale neznamená jen pohromy, ale svým způsobem přináší i určitou výhodu. Tyto nástroje staví na dobře známých problémech a ze své podstaty se nemohou efektivně opřít o dosud nezveřejněné zranitelnosti (tzv. zero-day útoky). Jako obrana proti těmto útokům by tedy mělo stačit udržovat své systémy a aplikace aktualizované.
Dobře už bylo?
Bez ohledu na míru vzdělanosti uživatelů z pohledu bezpečnosti je trend jasný. Kybernetičtí zločinci už nemusí být pouze počítačoví odborníci, ale prakticky kdokoli, kdo se neštítí dát se na cestu zločinu. Tu ovšem nedoporučujeme, a naopak vyzýváme uživatele, aby své systémy dostatečně chránili a znemožnili tak růst kyberzločinu.
Gábor Szappanos, Principal Researcher, SophosLabs
