Sophos: поклонникам «маков» пора занять оборону

Рыночная доля! Это очевидный, но не единственный возможный ответ.

По различным оценкам в 2011 году на долю компании Apple приходилось более 5% персональных компьютеров/ноутбуков по всему миру. Это достаточно серьезная доля рынка: ОС Linux установлена менее чем на 2% всех компьютеров, а доля Google ChromeOS и того меньше. Достижение компьютерами на базе Mac OS максимального уровня популярности за заключительные 15 лет совпало по времени с появлением атак с использованием фальшивых антивирусов, нацеленных на компьютеры Apple. Мы обнаружили атаку и написали о ней в блоге в апреле, а потом снова в мае 2011 года. Теперь это совпадение теснее не кажется странным. Кстати, то, что вредоносное ПО для компьютеров Apple стало распространенным именно сейчас, скорее всего, не связано с тем, что раньше не было эксплойтов для Apple или с тем, что в системе Mac OS X уделяется какое-то необыкновенное,неподражаемое,особое внимание безопасности. Во время «Месяца багов Apple» (Month of Apple Bugs), прошедшего в 2007 году, было показано, что Mac OS X и код, написанный для этой системы, полны уязвимостей, которые злодеи вполне могут использовать. На хакерских конкурсах регулярно создаются эксплойты для Safari, Quicktime и других программ, установленных на устройствах Apple. И все же до прошлого года система не привлекала внимания широких масс киберпреступников.

Сейчас нам все еще неизвестно, кто стоит за Flashfake, поэтому мы не можем утверждать, что это та же группа, которая занималась распространением фальшивых антивирусов для Mac OS X. На данном этапе вполне можно исходить из предположения, что за ботнетом стоит группа киберпреступников из Восточной Европы. В этом регионе знамениты группы, которым удается успешно зарабатывать на рекламе с помощью перенаправления трафика. По нашим сведениям, никакие другие данные злодеев не интересовали. А URL-адреса, и эксплойты, которые через них распространялись, были предназначены необыкновенно для пользователей компьютеров Mac. Эти факторы ограничивают операционные и технические затраты банды заинтересованных в эффективном заработке киберпреступников.



В определенном смысле, можно сказать, что их деятельность была аналогична поведению банд, стоящих за вредоносными программами Koobface и Tdss. Они не совершали крупных финансовых преступлений, масштабы которых могли бы привлечь внимание правоохранительных органов. В их вредоносном коде реализованы перехватчики и другие методы, дозволяющие совершать намного более замысловатые «банковские» преступления, чем перехват трафика поисковых систем, однако ориентировались они, по всей видимости, на получение великого количества мелких денежных сумм. К счастью, компания Apple не дала этим ребятам предлога сбежать с добычей. В этом бизнесе крутятся большие деньги – по некоторым оценкам, злодеи, стоящие за Koobface, остались с многомиллионным наваром после того, как Facebook «прикрыл их лавочку», начав расследование. Однако, судя по выученным нами данным о регистрации доменов, в данном случае злодеи не стремятся к публичности и скрывают информацию о себе, занимаясь перехватом трафика поисковых систем. Что дотрагивается вредоносной программы, она перехватывает функции в процессах некоторых приложений, аналогично Zeus, SpyEye и другим шпионским программам. В случае их использования для совершения финансовых преступлений группе, управляющей ботнетом, пришлось бы задействовать денежных мулов и пособников для отмывания краденных средств, что привело бы к увеличению размеров группы и могло бы привлечь внимание правоохранительных органов.

В технологическом плане Java – существенная часть картины. Несмотря на то, что троянец получил название Flashfake, поскольку он предлагался пользователям под видом обновления Adobe Flash, более поздние версии устанавливались на компьютерах жертв при поддержки,подмоги эксплойтов для виртуальной машины Java.

Использовались эксплойты для трех уязвимостей на клиентской стороне. Ни одна из них не была уязвимостью нулевого дня: похоже, что находить таковые злоумышленникам все труднее. Впрочем, и старые эксплойты успешно работали. Интересно, какой период времени прошел с выпуска компанией Oracle очередного обновления безопасности для Java до выпуска компанией Apple обновления, закрывающего данные уязвимости Java, а помимо прочего в какой момент этого промежутка были опубликованы технические подробности об этих уязвимостях. И когда появились нацеленные на эти уязвимости модули с открытым текстом в проекте Metasploit ? Продолжительность периода между обнаружением уязвимостей и выходом обновлений вызывает большую тревогу: эксплойты не были новыми, но Apple просто не выпустила соответствующие патчи, оставив своих пользователей незащищенными перед этими эксплойтами, которые как бы оставались для пользователей эксплойтами нулевого дня в течение всего этого времени.

CVE-2012-0507

2012-02-15 Oracle выпускает патч для уязвимости Atomic Reference Array

2012-03-10 Обнаружение в дикой среде первых эксплойтов для этой уязвимости

2012-03-30 Разработчики Metasploit добавляют модуль эксплойта Java atomicreferencearray

2012-04-03 Apple издаёт патч для своего кода

CVE-2011-3544

2011-05-12 Информация об уязвимости передана разработчику ПО

2011-11-18 Oracle издаёт патч для Java SE

2011-11-30 Разработчики Metasploit прибавляют модуль «Rhino exploit»

2011-11-30 Krebs сообщает о рабочем сайте с набором эксплойтов Blackhole, содержащем новый эксплойт для Java

2012-3-29 Выпуск патча компанией Apple

CVE-2008-5353

«Deserializing Calendar objects»

2008-08-01 Sun впервые получает информацию об уязвимости

2008-12-03 Sun издаёт патч для своего кода (ссылка на Sun не работает)

2009-05-15 Apple выпускает патч для кода Mac OS X

2009-06-16 разработчики Metasploit добавляют эксплойт для уязвимости Java deserialization

Кроме того, в списке имеется «псевдо-эксплойт» — трюк социальной инженерии, реализованный в виде подписанного апплета.

Я бы описал его как лотерею типа «показать вконец запутавшемуся пользователю диалог Java “Готовы ли вы довериться этому апплету?”, и он запустит что угодно». Этот «эксплойт» был впервые включен в список модулей эксплойтов Metasploit 27.01.2010. По сути, пользователю подсовывают файл, который выглядит как обновление Java, созданное компанией Apple Inc., с тем, чтобы пользователь предоставил этому файлу права на любые деяния,деянья в системе. Затем загрузчик устанавливает соединение с парой сайтов для регистрации и загрузки новых компонентов Flashfake. Эти компоненты в свою очередь записывают UUID системы и временную метку, после этого автоматически генерируют с поддержкою,подмогою криптоалгоритма набор доменов, на которых размещены командные серверы; при этом в теле вредоносной программы помимо прочего жестко запрограммирован список доменов. Более новые версии компонентов внедряются во все запущенные процессы в системе, подгружаясь при запуске, и перехватывают трафик, во многом так же, как вредоносные TDS-программы в прошлом.



Пинг не поддерживается.

Оставить комментарий