Makrovírusy sú späť! A ich zdokonaľovanie neustále pokračuje...

Bezpečnosť
0

virus.jpg Od polovice deväťdesiatych rokov sme sa vo svete informačných technológiách začali stretávať s novým typom vírusov, ktorý svoju existenciu primárne spojil s dokumentmi. Áno, reč je o tzv. makrovírusoch, ktoré počítačoví zločinci vyvíjali - a ako si o chvíľu ukážeme, vyvíjať neprestali - v pokročilých makrojazykoch moderných kancelárskych balíkov. Príkladom takéhoto jazyka je veľmi dobre známy VBA, teda Visual Basic for Applications pre produkty z rodiny Microsoft Office.

Obľuba makrovírusov vzrastala približne až do roku 2001, a to najmä vďaka rôznym novým princípom na tvorbu a šírenie vírusov. V prvých rokoch nového tisícročia sa však situácia začala meniť a k smrtiacemu úderu na makrovírusy došlo spolu s uvedením kancelárskeho balíka Microsoft Office vo verzii 2007. Pre makrovírusy nepriaznivú situáciu potvrdzoval aj klesajúci výskyt tohto typu hrozieb. Sem-tam sa síce nejaký makrovírus vo wordovom dokumente či excelovskom súbore objavil, ale v žiadnom prípade nešlo o masívnu záležitosť.

Prežitie? Evolúcia!

Pred pár mesiacmi však nastala zmena a s najväčšou pravdepodobnosťou možno potvrdiť, že makrovírusy sú späť. Z vyhodnotenia rôznych vírusových zraniteľností v dvojmesačnom období marec - apríl tohto roka vyplýva, že tzv. sťahovače v podobe makrovírusov nad VBA sú treťou najčastejšou hrozbou vôbec. Prečo to tak je? Veď predsa všetko vyzeralo ešte v nedávnej minulosti jasne a pre potenciálne obete počítačovej kriminality priaznivo.

Keďže automatické vykonávanie makier je v prostredí Office zakázané, museli autori makrovírusov nájsť novú cestu, ako zabezpečiť spustenie škodlivého kódu. Inými slovami, spustenie makrovírusu musíme sami povoliť a tým otvoriť brány infekcii. A ako možný spôsob, ako obísť ochranu založenú na zákazoch, sa ukazuje práve sociálne inžinierstvo vrátane manipulácie s pocitmi koncových používateľov. Počítačoví zločinci pochopili, že nie je až také zložité vnútiť používateľovi myšlienku, že pri povolení makier získajú prístup k ďalšiemu či podrobnejšiemu obsahu. Ku koncu januára 2014 zachytili laboratóriá Sophos najmenej 75 rôznych variantov, ako používateľa obalamutiť. Poďme sa pozrieť na niektoré z nich.

Sami si to povolíme, sami nakazíme

Typický príklad, ktorý je založený na sociálnych technikách podobných tým z distribučnej kampane Napolar z konca minulého roka, je dokument obsahujúci rozmazaný obsah. Úroveň rozostrenia je však zvolená tak, aby používateľa možný obsah zaujal - na prvý pohľad ide o bankový výpis alebo prehľad transakcií. Nad rozmazaným obrázkom je jasne čitateľná informácia o tom, že ide o spôsob zabezpečenia a že k obsahu sa dostanete po povolení makier. Samozrejme, v dokumente nechýba ani veľká šípka, ktorá ukazuje, kde možno spustenie makier povoliť.

Medzi ďalšie varianty patrí využitie len textových informácií bez rozostreného obrázka, označenie časti textu ako tajného alebo napríklad zobrazenie len základných informácií o autorovi dokumentu. Takmer vždy je však súčasťou výzva na povolenie makier. A niekedy je dokonca viditeľná len táto výzva.

Všetky varianty dnešných makrovírusov pritom majú spoločné dve veci. Prvá z nich je snaha prinútiť nás na povolenie makier na základe predstavy, že potom budeme mať prístup k ďalšiemu, a to obzvlášť dôležitému, obsahu. Po druhé, po povolení makier dôjde k opätovnému otvoreniu dokumentu a spustenie kódu v jazyku VBA, ktorý sa už postará o tie zloby, s ktorými nechceme nič mať.

Makrovírus je program

A ako vlastne taký makrovírus vyzerá? Jeho základná štruktúra vyzerá asi takto:

Sub Auto_Open ()
main_code ()
end Sub
Sub main_code ()
...
end Sub
Sub AutoOpen ()
Auto_Open
end Sub
Sub Workbook_Open ()
Auto_Open
end Sub

Dôležité je, že makro sa môže aktivovať nielen pri otvorení dokumentu, ale aj pri určitej udalosti - napríklad pri vybraní určitej položky z ponuky, pri zatvorení dokumentu, pri vytvorení nového dokumentu a pod. Niektoré z týchto udalostí sú teda globálne. A hoci sú možnosti tabuľkového procesora MS Excel z tohto pohľadu väčšie, laboratóriá nezaznamenali žiadny dokument programu Excel, ktorý by obsahoval makrovírus. Vždy išlo len o textové dokumenty. Dôvod, prečo sú v štruktúre kódu prvky aj pre tabuľkový procesor, teda najskôr súvisí s istou lenivosťou vyčistiť „produkčný kód" makrovírusov. Tie tak obsahujú programové sekvencie z rôznych počiatočných pokusov.

Dnešné makrovírusy sú dvojakého typu - prvý z nich sťahuje finálny škodlivý kód a následne pomocou zmien v registroch zaistí jeho spúšťanie pri každom štarte systému. Do tejto skupiny patrí viac ako 80 percent súčasných makrovírusov. Zostávajúce prípady využívajú techniky z konca tisícročia, keď je makrovírus spojený s profilom používateľa operačného systému.

Z pohľadu „rodokmeňa" makrovírusov je zaujímavé, že autorom všetkých dokumentov s týmto typom škodlivého kódu je používateľ tps. A s poslednou zmenou dokumentov sú najčastejšie spojení používatelia DELL XPS, Xperia Z, Sammy Sam, Smmy2014 a pod.

Neveľmi potešujúca je aj skutočnosť, že jednotlivé nakazené dokumenty sa líšia číslom revízií od 9 po 91 - ich zdokonaľovanie teda neustále pokračuje. Situácia pri ostatných makrovírusoch je mierne odlišná a podobnosť v časových informáciách o vytvorení a poslednej zmene nasvedčuje skôr neustálemu vytváraniu nových variantov.

Renesancia makrovírusov môže spolu so zneužitím sociálneho inžinierstva znamenať v budúcnosti vážny problém a ich prienik do sveta kancelárskych aplikácií môže poškodiť naozaj veľké množstvo používateľov. No aj tu platí jedna dobrá rada nad zlato - neexistuje jediný dôvod, prečo by mal byť obsah dokumentu zobrazený správne iba pri zapnutých makrách. Pri stretnutí s takým dokumentom je takmer isté, že ide o hrozbu z ríše makrovírusov.

Pridať komentár

Mohlo by vás zaujímať

Mohlo by vás zaujímať