14.12.2015 0 Comments

Najlepší spolupracovník útočníkov? Používatelia

Metódy kybernetických útočníkov sú čoraz sofistikovanejšie. Ich spoluhráčmi sú však nielen bežní používatelia, ale aj IT špecialisti.

Ukazuje sa totiž napríklad to, že ešte niekoľko mesiacov po odhalení zraniteľnosti Heartbleed má stále neaktualizované knižnice až približne polovica firiem. Tento trend naďalej trvá. Používatelia stále podceňujú potrebu aktualizácií a tým doslova nechávajú otvorené dvere do svojich počítačov a sietí.

Osvedčené zbrane

Kybernetickí piráti to, samozrejme, zneužívajú. Teraz sa navyše vrátili k zbraniam osvedčeným v minulosti. Ešte minulý rok v decembri sa zdalo, že sa Flash zbavil nálepky bezpečnostnej hrozby a pozornosť útočníkov sa presúva k Silverlightu. Všetko je však znova inak. Napriek snahe Adobe odstraňovať známe hrozby v pravidelných aktualizáciách ich používatelia často ignorujú. Útočníci sa preto k Flashu vrátili. Počet novo objavených útokov prostredníctvom zraniteľností tejto aplikácie bol len za prvých päť mesiacov tohto roka o tretinu vyšší ako za celý minulý rok.

Malvér Dridex vrátil na scénu aj ďalší typ útokov, o ktorom sa predpokladalo, že upadol do zabudnutia. Po rozhodnutí Microsoftu v základnom nastavení vypnúť spúšťanie makier počet útokov s ich využitím rapídne klesol. Zapojenie metód sociálneho inžinierstva pomohlo kybernetickým útočníkom túto overenú metódu znova oživiť. Spam, ktorým sa Dridex šíril, bol totiž naozaj precízne zacielený a schopnosť útočníkov rýchlo vytvárať odlišné varianty kódu potvrdzuje vysokú profesionalitu a špičkové vybavenie väčšiny dnešných skupín útočníkov.

Kradne alebo ničí

Sociálne inžinierstvo stojí aj za rýchlym šírením hrozby Rombertik, ktorú sa podarilo nielen odhaliť, ale pomocou reverzného inžinierstva aj spätne analyzovať. Aj preto možno tvrdiť, že Rombertik je jeden z potenciálne najnebezpečnejších malvérov, ktoré sa tento rok objavili. Na rozdiel od bežných útokov, ktorých cieľom je získať určitý typ používateľských dát, a preto fungujú pokiaľ možno nenápadne, je Rombertik oveľa zákernejší.

Rovnako ako v prípade Dridexu dokážu útočníci spam, phishingový mail alebo reklamu na webovej stránke zacieliť tak presne, že používatelia si kód do počítača často pustia sami. Nevyužívajú sa preto už spustiteľné súbory, ale kód malvéru sa skrýva aj v zdanlivo bezpečných súboroch, ako sú PDF alebo ZIP, prípadne sa tvári ako šetrič obrazovky. O tých sa aj pomerne pokročilí používatelia domnievajú, že sú bezpečné.

Ak sa však Rombertik dostane do počítača, snaží sa usídliť v internetovom prehliadači a zhromažďovať všetky používateľské dáta, ku ktorým sa dostane.

Zákernosť a aj istá inovatívnosť tohto útoku sa však skrýva v tom, že po odhalení bezpečnostným programom sa útok okamžite končí a Rombertik sa začne správať veľmi agresívne. Pokúsi sa totiž prepísať alebo vymazať bootovaciu sekvenciu z disku (master boot record - MBR) a zabrániť tým prístupu k používateľským dátam. Ak sa mu to nepodarí, začne aspoň mazať súbory v používateľskom adresári. Po reštarte je potom počítač nepoužiteľný. To je pomerne nový prístup, ktorý by sa v budúcnosti mohol stať pomerne závažným problémom.

Navyše na rozdiel od väčšiny podobných útokov, ktoré sa v napadnutom počítači snažia správať pokiaľ možno nenápadne, Rombertik je napísaný tak, aby vyvolával čo najväčšiu pozornosť. Produkuje totiž obrovské množstvo zbytočného kódu a ďalšieho „odpadu", aby skomplikoval prácu analytikom a nútil ich tráviť skúmaním jeho činnosti veľké množstvo času, prípadne aby odklonil pozornosť od skutočného útoku.

Exploit kity stále v móde. A efektívnejšie

Rombertik je typická ukážka profesionalizácie a nového prístupu kyberpirátov. Kybernetický zločin sa stáva skutočne samostatným odvetvím sivej ekonomiky. Dnes už stratégiou útočníkov nie je jeden konkrétny cieľ. Snažia sa ovládnuť celé skupiny počítačov a tieto databázy potom ponúkajú na čiernom trhu. Až keď sa nájde záujemca o niektorú časť z takto ovládaného portfólia, realizuje sa skutočný útok. Na internete tak možno nájsť dopyt po počítačoch používateľov internetového bankovníctva jednej konkrétnej banky.

Práve tento prístup zvyšuje atraktivitu exploit kitov, teda akýchsi vopred pripravených univerzálnych útokov, ktoré sa zameriavajú práve na známe zraniteľnosti v operačných systémoch a aplikáciách. Aj pri týchto útokoch stúpa agresivita i úspešnosť, čo je dané práve laxným prístupom používateľov. Najpopulárnejší typ exploitu bol tento rok Angler. Ten sa zameral predovšetkým na zraniteľnosti v aplikáciách Flash, Silverlight, Java a Internet Explorer. Kým v minulosti prenikli exploity približne do pätiny počítačov, s ktorými sa dostali do styku, úspešnosť Anglera je dvojnásobná.

František Baranec, obchodný riaditeľ Cisco Slovensko

 


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Linux súkromne i pracovne v2.0 (14. časť): Small Business Server

09.11.2016 14:57

Pojem Small Business Server (malý firemný server) začala používať spoločnosť Microsoft ešte v roku 2000 na označenie servera, ktorý ­dokázal plniť úlohy niekoľkých samostatných serverov. Aplikačná vrs ...

ITPro

Industry 4.0: Fikcia alebo už realita?

09.11.2016 14:52

Štvrtá priemyselná revolúcia je pomenovanie rozsiahlych zmien prudko vstupujúcich do súčasného priemyslu. Nositeľom týchto zmien je digitalizácia výroby a optimalizácia všetkých podnikových procesov v ...

ITPro

Vývoj aplikácií UWP pre Xbox One II.

09.11.2016 14:47

V predošlej časti sme ukázali postup, ako si ­vytvoriť vývojársky účet a aktivovať vývojársky režim na hernej konzole Xbox One, aby ste mohli testovať svoje aplikácie. Výhodou hernej konzoly Xbox je v ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá