| IFK | IRB | INFORLEX | GAZETA PRAWNA | INFORORGANIZER | APLIKACJA MOBILNA | PRACA W INFOR | SKLEP
reklama
Jesteś tutaj: STRONA GŁÓWNA > Moja firma > Biznes > Firma > e-Firma > Programy dla firm > ZeuS, największy złodziej ostatnich lat

ZeuS, największy złodziej ostatnich lat

Dzięki Internetowi możemy dokonywać zakupów i płacić za usługi szybko i wygodnie. Wygoda niestety idzie w parze z niebezpieczeństwem. Nie musisz nawet wstawać z łóżka, aby zrobić zakupy w spożywczym, a nawet kupić jacht lub nowy dom na drugim krańcu świata. Możemy grać na giełdzie, sprzedawać, wymieniać się – pamiętajmy jednak, że gdzieś tam w czai się tak jak w prawdziwym życiu złodziej który chętnie przygarnie nasze pieniądze. Naturalnie, aby skorzystać z tych możliwości, musimy najpierw zalogować się do odpowiedniego systemu i wskazać konto, z którego zostaną wysłane pieniądze.

Aby mieć ogólne pojęcie skali rozprzestrzenienia ZeuSa, przyjrzyjmy się kilku faktom dotyczącym liczby komputerów zainfekowanych tym trojanem, kontrolowanych przez szkodliwych użytkowników.

W 2009 roku w Stanach Zjednoczonych opublikowano raport dotyczący wykrycia 3,6 miliona komputerów zainfekowanych ZeuSem w tym kraju. Naturalnie, jest to liczba przybliżona - w rzeczywistości może być znacznie wyższa. Jednak oszacowanie rzeczywistej liczby zainfekowanych komputerów jest prawie niemożliwe, zwłaszcza że użytkownicy indywidualni często nie są świadomi, że ich komputery zostały przechwycone przez trojana.

Na początku 2009 roku wydarzyło się coś dziwnego: około 100 000 komputerów nagle przestało się uruchamiać - wszystkie mniej więcej w tym samym czasie. Stało się jasne, że komputery te zostały przejęte w celu stworzenia botnetu ZeuSa, a z centrum kontroli wysłano polecenie uszkodzenia systemu operacyjnego użytkownika (tak, ZeuS jest zdolny również do tego...). Analitycy próbowali dociec, dlaczego tak się stało, i zaproponowali dwa możliwe wyjaśnienia: (1) haker włamał się do centrum kontroli botnetu i wysłał polecenie do zainfekowanych komputerów, aby spowodować problemy "właścicielom" botnetu lub (2) właściciele botnetu sami wysłali to polecenie, po tym jak uzyskali potrzebne informacje. Drugie wyjaśnienie oznaczałoby, że szkodliwy użytkownik planował wykorzystać ten dodatkowy czas, jaki uzyskał, aby wyciągnąć środki z kont ofiar przy użyciu skradzionych danych, w czasie gdy ofiary próbowałyby przywrócić swoje systemy do działania.

Jednakże pierwszy scenariusz jest bardziej prawdopodobny. Dlaczego? Mniej więcej w tym czasie właściciel botneta ZeuSa pojawił się na jednym z forów hakerskich, prosząc o radę dotyczącą ochrony botneta przed nieautoryzowanym dostępem. Wyjaśnił, że stracił kontrolę nad swoją siecią złożoną z setek tysięcy zainfekowanych maszyn po tym, jak inny haker włamał się do centrum kontroli jego botnetu (tego rodzaju incydenty są powszechne w kręgach hakerów). Zaskakujące jest to, że cyberprzestępca nie wydawał się bardzo zaniepokojony utratą setki tysięcy komputerów znajdujących się pod jego kontrolą, ponieważ szybko stworzył dwa nowe botnety: jeden składał się z 30 000, a drugi - około 3 000 zainfekowanych maszyn.

Prowadzisz firmę ? Zajrzyj na e-mojafirma.infor.pl/mala-firma

Ostatnio wykryty duży botnet ZeuSa nazywa się Kneber. W lutym 2010 roku NetWitness, firma zajmująca się bezpieczeństwem korporacyjnym z siedzibą w Stanach Zjednoczonych, poinformowała o wykryciu komputerów zainfekowanych ZeuSem w 2 500 organizacjach w 196 państwach na całym świecie. W sumie wykryto 76 000 zainfekowanych komputerów. Wszystkie z nich były połączone z adresami internetowymi zarejestrowanymi na jedną osobę: Hilary Kneber. Oczywiście jest to jedynie pseudonim.

To był zaledwie wierzchołek góry lodowej. Odizolowane incydenty związane z wykryciem botnetu zwiększyły szacowane liczby przypadków tak zwanej infekcji ZeuSbotem do milionów.

Każdy plik konfiguracyjny ZeuSa wskazuje adres internetowy, z którego korzysta trojan na komputerze ofiary. Jak tylko użytkownik odwiedzi stronę internetową zapisaną w pliku konfiguracyjnym i wprowadzi swoje dane, ZeuS przechwyci je i prześle szkodliwemu użytkownikowi.  Eksperci z Kaspersky Lab przeanalizowali około trzech tysięcy plików konfiguracyjnych ZeuSa i zauważyli schemat w adresach internetowych.

Adresy podzielono według domen, aby zidentyfikować najczęściej wykorzystywane rodzaje domen najwyższego poziomu:

Najczęściej atakowanymi domenami są naturalnie domeny międzynarodowe .org oraz .com, których właścicielami są głównie organizacje i duże firmy.
Jakie rodzaje witryn internetowych .com atakuje ZeuS w szczególności? Z których stron trojan próbuje przechwytywać informacje osobiste wprowadzane za pośrednictwem zainfekowanych komputerów? Wśród stron międzynarodowych można wyłonić czternastu liderów:

Zaledwie trzy z jedenastu najpopularniejszych zasobów szkodliwych użytkowników w domenie .com nie są bezpośrednio związane z bankami - są to komercyjne serwisy internetowe. Paypal.com łączy wirtualne pieniądze wykorzystywane w transakcjach online z pieniędzmi ze świata realnego w postaci kart kredytowych i debetowych. Podobnie jak PayPal, E-gold.com pozwala użytkownikom stworzyć konto z jednostkami wirtualnych pieniędzy, które mogą być wykorzystywane w Sieci do dokonywania płatności finansowych, i wiąże je z ceną złota i innych cennych metali.

eBay.com to bardzo popularny internetowy serwis aukcyjny, który również wykorzystuje konta online, poprzez które użytkownicy mogą wystawić swoje przedmioty na aukcji. Pozostałe zasoby to strony internetowe banków transkontynentalnych oferujących usługi bankowości internetowej (możliwość zarządzania kontem bankowym online) oraz/lub inne.

Domeny krajowe najczęściej wykorzystywane przez szkodliwych użytkowników są zarejestrowane przez Hiszpanię i Wielką Brytanię. Państw te przyciągają uwagę szkodliwych użytkowników, ponieważ posiadają najwięcej stron internetowych oferujących usługi zarządzania finansami online. Każde z tych państw posiada około 20 bankowych witryn internetowych odwiedzanych przez mniej więcej taką samą liczbę osób, podczas gdy w innych krajach działa zaledwie garstka tego typu stron internetowych zarejestrowanych w domenach krajowych.

Nie oznacza to jednak, że w Hiszpanii i Wielkiej Brytanii znajduje się najwięcej cyberprzestępców. Powszechnie wiadomo, że oszuści internetowi wolą okradać obywateli i organizacje z innych krajów, ponieważ organy ścigania państwa, w którym miała miejsce kradzież, napotkają problemy prawne, gdy będą próbowały pociągnąć do odpowiedzialności szkodliwego użytkownika mieszkającego w innym kraju.

Oprócz atakowanych adresów URL zebraliśmy również dane statystyczne dotyczące adresów internetowych, stanowiących źródła infekcji trojanem oraz drogi, jaką przebywają skradzione informacje. Po przeanalizowaniu danych stworzyliśmy mapę lokalizacji serwerów wykorzystywanych do szkodliwych celów.
Jak widać, adresy zainfekowanych stron są rozsiane po całym świecie. Częściej jednak szkodliwi użytkownicy wykorzystują serwery dostawców europejskich, północnoamerykańskich, rosyjskich i chińskich.

Nietrudno zgadnąć, dlaczego - wszystkie te państwa mają jedną cechę wspólną: dobrze rozwinięte usługi hostingowe. Często nie można ustalić lokalizacji określonego szkodliwego użytkownika, zwykle jednak nie jest to informacja krytyczna. Pojęcie "twórca wirusów" nie uwzględnia granic ani różnic narodowych. Może oznaczać osobę ze Szwecji, Chin lub Argentyny siedzącą w kawiarni gdzieś w Honolulu, która zarejestrowała stronę internetową w domenie .ru (na przykład microsoftwindowsxp.ru), w rzeczywistości utrzymywaną na serwerze włoskiego dostawcy.

Poniżej zostaną omówione najprostsze sposoby ochrony komputera przed trojanem ZeuS? Jak się okaże, nie różnią się od standardowych "zasad higieny internetowej".
Nigdy nie należy klikać nieznanego odsyłacza w wiadomościach, w których obce osoby namawiają nas do zrobienia czegoś. Odsyłacze prowadzące do szkodliwych programów są zamieszczane w wiadomościach wysyłanych za pośrednictwem poczty elektronicznej i komunikatorów internetowych.

Szkodliwi użytkownicy opanowali podstawy wiedzy o psychice ludzkiej i potrafią wykorzystać słabość lub naiwność użytkowników, aby zwabić ich na swoje zainfekowane strony. Bardzo często spotykamy adresy internetowe, które przypominają adresy znanych, legalnych stron, w których zmieniono kilka liter, np. hxxp://www.vkontkate.ru. Ostatnio taktyka ta była dość często wykorzystywana. Bądź ostrożny - nie daj się złapać na takie sztuczki!

Wiadomości mogą zawierać neutralny tekst - taki, który mógłby zostać wysłany przez znajomego: "Cześć! Jak się udał wyjazd weekendowy? Musisz to zobaczyć! Sprawdź, nie uwierzysz: http://rss.lenta-news.ru/xxxxxx/vesti.exe". Zwróć uwagę na rozszerzenie pliku .exe na końcu - wskazuje ono na plik wykonywalny systemu Windows. Jednak odsyłacz nie zaprowadzi cię na stronę serwisu informacyjnego, jak można by sądzić na pierwszy rzut oka. Zamiast tego zostaniesz skierowany na zainfekowaną stronę. Trzeba jednak pamiętać, że pliki wykonywalne nie są jedynymi rodzajami plików, jakie stanowią zagrożenie - dokumenty w formacie .pdf (Adobe Reader), .ppt (Microsoft Power Point), .swf (Adobe Flash) oraz innych również mogą zawierać szkodliwy program.

Dokumenty te posiadają dość złożoną strukturę, a podczas uruchamiania wymagają zaawansowanych obliczeń. Co więcej, programiści udostępnili mechanizm, poprzez który można dodawać kod programu (na przykład javascript). Dane wybrane przez szkodliwego użytkownika w takich dokumentach mogą spowodować błąd w programie wykorzystywanym do otwierania tych formatów, co pozwala na uruchomienie szkodliwego kodu na maszynie ofiary. Jeżeli na maszynie jest zainstalowany program antywirusowy z najnowszymi bazami szkodliwego oprogramowania, a użytkownik regularnie aktualizuje swoje oprogramowanie, posiada dość dobrą ochronę: istnieje niewielkie ryzyko, że jakieś program lub dokument zostanie zidentyfikowany jako szkodliwy i jego uruchomienie zostanie zablokowane; lub programiści zidentyfikują lukę i opracują łatę, która zostanie dostarczona na czas.

W wiadomościach e-mail, dokumentach programu MS Word oraz podobnych, jak również na stronach internetowych, prawdziwy adres w odsyłaczu może być ukryty. Widoczny będzie jedynie opis odsyłacza, który może zawierać wszystko, co według autora może zwrócić uwagę potencjalnych ofiar. W takich przypadkach prawdziwy adres (nawet on może być sfałszowany) zwykle pojawia się w dymku wyświetlanym po najechaniu kursorem myszki na odsyłacz lub w dolnej części okna przeglądarki. Jeżeli adres nie zostanie od razu wyświetlony w żadnym z tych miejsc, należy przejrzeć właściwości odsyłacza. Jeżeli nie jesteś pewien, dokąd prowadzi odsyłacz, najlepiej nie rób nic - nie klikaj go!

Czy jesteś zadowolony ze swojego systemu operacyjnego? Zapamiętuje dla Ciebie mnóstwo rzeczy, pomaga Ci wykonać wiele czynności i zapewnia szybki dostęp do danych bez bombardowania Cię prośbami o potwierdzenie czynności lub proszenia o podanie hasła za każdym razem, gdy chcesz coś zrobić. Czujesz się swobodnie pracując na swoim systemie i używając obsługiwanych przez niego programów. Jeżeli jednak jeden z tych programów jest szkodliwy, Twoje poczucie bezpieczeństwa może okazać się zgubne. Cyberprzestępca ma równie łatwy dostęp do Twoich danych co Ty. Na przykład, wszystko, co "wie" Twoja przeglądarka, może "zobaczyć" szkodliwy program. Niestety, im bardziej system jest przyjazny dla użytkownika, tym łatwiej może zostać wykorzystany przez cyberprzestępcę. Użytkownikom zaleca się nie wykorzystywać funkcji zapamiętywania haseł w przeglądarkach internetowych.

Zalecamy również wyłączenie w przeglądarce opcji uruchamiania kodu Javascript lub innych programów lub plików w oknie iframe/frame. Naturalnie ogranicza to możliwości przeglądania. Musisz jednak dokonać wyboru: wygoda i wygląd czy bezpieczeństwo? Dobrym rozwiązaniem jest również wyłączenie opcji obsługi kodu Javascript w programie Adobe Reader, który umożliwia przeglądanie plików .pdf. W końcu zawsze możesz ponownie włączyć te opcje dla zaufanych stron internetowych i dokumentów.

Obecnie istnieją dwie główne metody zapewniające dość skuteczną ochronę płatności online. Pierwsza, oprócz podania loginu i hasła, wymaga potwierdzenia transakcji telefonicznie. Utrudnia to próby uzyskania dostępu do cudzych pieniędzy. Oprócz Twojego loginu i hasła szkodliwy użytkownik musiałby zdobyć również Twój telefon, co raczej trudno zrealizować za pośrednictwem Internetu (lub musiałby stworzyć kopię Twojej karty SIM, co brzmi jak scena wyjęta z filmu szpiegowskiego).

Może wydawać się to dziwne, jednak większość serwisów nie korzysta z tej stosunkowo prostej metody potwierdzania. Druga metoda jest wykorzystywana głównie przez banki i polega na tym, że instytucje te wydają użytkownikowi (tj. swojemu klientowi) klucz sprzętowy (urządzenie USB), który jest podpinany do komputera i stosowany do potwierdzania, że osobą, która próbuje uzyskać dostęp do konta bankowego jest sam klient. Trzeba jednak pamiętać, że wszystkie takie klucze sprzętowe są takie same. Szkodliwi użytkownicy już udowodnili, że potrafią łamać systemy bezpieczeństwa oparte na urządzeniach USB.

Życzymy Wam przyjemnego surfowania! W pełni wykorzystujcie możliwości technologiczne, jakie oferuje Internet. Uważajcie i kierujcie się zdrowym rozsądkiem, jak wtedy, gdy poruszacie się na drodze.

Źródło: Kaspersky LAB

reklama

Narzędzia przedsiębiorcy

POLECANE

Dotacje dla firm

reklama

Ostatnio na forum

Fundusze unijne

Pomysł na biznes

Eksperci portalu infor.pl

Mateusz Ostrowski

Analityk rynku produktów bankowych

Zostań ekspertem portalu Infor.pl »