HARD CORE SECURITY LAB

Niejednokrotnie przedstawiałem już na łamach HARD CORE SECURITY LAB metody działania komputerowych przestępców. Analizując poszczególne rodzaje ataków internetowych (phishing, wymuszenia, masowe kradzieże tożsamości, itp.), możemy dojść do wniosku, że główną motywacją wszystkich działań dzisiejszych crackerów są łatwe zyski. Drugi ważny wniosek jest natomiast taki, że praktycznie wszystkie ze wspomnianych rodzajów ataków, są przeprowadzane z wykorzystaniem gotowego złośliwego oprogramowania. Okazuje się więc, że masowe ataki internetowe nie byłyby możliwe bez internetowej mafii, która to trudni się produkcją zestawów oprogramowania zdolnego do przeprowadzania zautomatyzowanych ataków. Dziś poznamy więc niezwykle interesujące kulisy działania mafii czerpiącej zyski z produkcji oraz dystrybucji oprogramowania typu crimeware.

Crimeware to termin określający wiele różnych klas złośliwego oprogramowania (malware), stworzonego w celu umożliwiania oraz zautomatyzowania internetowych ataków zakrojonych na szeroką skalę. Jednym z najczęściej obecnie spotykanych rodzajów oprogramowania crimeware są gotowe pakiety oprogramowania (ang. exploit pack) służącego do automatycznego atakowania internautów odwiedzających specjalnie przygotowane przez crackerów witryny internetowe. Dziś przyjrzymy się właśnie temu, w jaki sposób takie gotowe zestawy exploitów stały się jednym z podstawowych źródeł utrzymania prawdziwej internetowej mafii.

Oprogramowanie typu exploit pack powstało, jako odpowiedź na rynkowe zapotrzebowanie na łatwe w użyciu, gotowe zestawy exploitów zdolne do masowego infekowania internautów odwiedzających złośliwe witryny. Okazało się bowiem, że crackerom bardziej opłaca się zakupić od innych przestępców gotowe zestawy, niż własnoręcznie zajmować się żmudnym kodowaniem i testowaniem exploitów.

Na początek warto doprecyzować, czym dokładnie jest exploit pack. Otóż jest to tak naprawdę rodzaj bazodanowej aplikacji webowej stworzonej za pomocą technologii takiej jak PHP lub podobnej. Użytkownik pakietu (czyli przestępca przygotowujący złośliwą witrynę internetową) instaluje go na swym serwerze, co w efekcie powoduje, że użytkownicy odwiedzający taką witrynę są atakowani za pomocą zawartych w nim exploitów, a wszelkie statystki (udane oraz nieudane ataki, itd.) są logowane do bazy danych. Poszczególne exploity wymierzone są najczęściej w popularne luki obecne w przeglądarkach internetowych lub wtyczkach takich jak Adobe Acrobat, Java, czy też Flash Player. W wyniku udanego ataku, w systemie internauty najczęściej instalowany jest trojan lub inne złośliwe oprogramowanie zdolne do wykradania haseł, danych, numerów kart kredytowych oraz wszelkich innych potencjalnie cennych informacji. Administrator pakietu dysponuje natomiast webowym modułem administracyjnym, który pozwala na zarządzanie pracą złośliwego oprogramowania oraz analizę statystyk jego działalności.

Gwałtowny rozwój exploit packów rozpoczął się w 2006 roku, wraz z pojawieniem się pierwszego popularnego pakietu tego typu, znanego pod nazwą Web Attacker. Pakiet ten zawierał siedem exploitów wymierzonych w Internet Explorera oraz Firefoksa i oferował administratorom prosty interfejs administracyjny:
Natychmiast zaczęły pojawiać się kolejne pakiety, takie jak MPack, czy też Unique Pack:

Warto podkreślić, że interfejsy administracyjne są bardzo często dostępne w języku rosyjskim (co wskazuje na pochodzenie tego typu oprogramowania) oraz angielskim (co wskazuje z kolei na to, że wielu nabywców pochodzi spoza Rosji):
Twórcy poszczególnych pakietów reklamują swe produkty najczęściej na podziemnych forach internetowych poświęconych tematyce komputerowej przestępczości:
Jak widać, spece od marketingu pracujący dla internetowej mafii korzystają ze znanych z innych dziedzin sloganów, obiecując swym klientom najwyższą skuteczność w najniższej cenie...

Myli się jednak ten, kto myśli, że przestępcy starają się zawsze skrzętnie ukrywać swe usługi. Niektóre pakiety są reklamowane oraz dystrybuowane za pomocą profesjonalnie przygotowanych witryn internetowych. Przykład stanowi tu strona domowa oprogramowania YES exploit pack:
Oto jak twórcy pakietu zachwalają jego liczne zalety:

We are proud to present a new version-line of our product - "YES Exploit system 2". It's one of most effective browser-exploit packs from Russian blackhat community and it working very successful for a long time. There is excellent quality and good support, be sure - many people trust us. Undetectable for AV-scanners and doesn't crash browsers. Stable free av-cleaning procedure every two weeks for licensed users. Any unexpirienced user can work with YES-Exploit system - just read a manual in pack.

Tak natomiast wygląda panel administracyjny YES Exploit System v. 2.x:
Odwiedzając stronę domową YES exploit pack dowiadujemy się przy okazji, że cena tego pakietu to 800 USD. Właśnie tyle mniej więcej (typowo 400 do 1000 USD) liczą sobie przestępcy za pojedynczą licencję swego oprogramowania. Co ciekawe, internetowa mafia niechętnie patrzy na komputerowych piratów, wprowadzając różnorakie mechanizmy zapobiegające nielegalnemu (sic!) powielaniu własnych pakietów. Spotykane są nawet zaawansowane mechanizmy aktywacyjne, stworzone na wzór tych znanych z produktów firmy Microsoft.

Przestępcy nie zarabiają jednak wyłącznie na sprzedaży licencji, odpowiednio wycenione są również rozmaite usługi oraz moduły dodatkowe. Oto przykład szczegółowego cennika dla oprogramowania Crimepack Exploit Kit:
Od lat pokutuje przekonanie, że twórcy oprogramowania zdolnego do masowego infekowania systemów operacyjnych internautów, to wybitni specjaliści, najwyższej klasy hakerzy o niespotykanych wręcz umiejętnościach teoretycznych oraz praktycznych. Nic bardziej mylnego! Z technicznego punktu widzenia exploit pack jest tak naprawdę stosunkowo prostą aplikacją webową. Oczywiście najważniejszym elementem całego pakietu jest zbiór najczęściej niezwykle wyrafinowanych exploitów, jednak to nie komputerowi przestępcy są ich autorami! Okazuje się bowiem, że załączone exploity zazwyczaj nie różnią się wiele lub nawet wcale od kodów Proof of Concept publikowanych przez odkrywców poszczególnych luk. Niestety więc, prawdziwymi autorami exploitów sprzedawanych w formie gotowych pakietów, są zazwyczaj paradoksalnie... najlepsi specjaliści ds. bezpieczeństwa!

Trzeba jednak przyznać, że komputerowi przestępcy coraz częściej stosują różnorakie zaawansowane metody mające na celu uniknięcie wykrycia ataku oraz zablokowania złośliwej strony. Często więc, kod exploitu jest poddawany zaciemnianiu (ang. obfuscation), co ma utrudnić jego wykrycie przez programy zabezpieczające obecne w systemie internauty. Często stosowane jest również serwowanie innej (pozbawionej złośliwych funkcji) wersji złośliwej witryny, w przypadku wykrycia odwiedzin przez znane roboty wyszukiwarek. Takie działanie ma z kolei na celu uniknięcie zablokowania witryny przez mechanizmy ostrzegania internatuów przed niebezpieczeństwem (takie jak ostrzeżenia publikowane wraz z wynikami pochodzącymi z wyszukiwarki Google). Wreszcie często stosowane jest również wyłącznie jednokrotne atakowanie tego samego internauty, co ma na celu utrudnienie pracy ekspertom zajmującym się analizą złośliwych witryn, a nie obniża w żaden sposób wskaźników infekcji.

Jeśli chodzi o twórców złośliwych witryn korzystających z gotowych pakietów, to praktycznie żadna zaawansowana wiedza techniczna nie jest od nich wymagana. Jeśli ktoś dysponuje serwerem z obsługą technologii PHP oraz MySQL, to z zainstalowaniem pakietu nie będzie miał problemu. Bardzo często instalacja odbywa się za pomocą interfejsu webowego, czasem niezbędna jest jedynie znajomość kilku komend pozwalających na kopiowanie plików (cp), czy też modyfikację uprawnień (chmod). Łatwa instalacja jest niewątpliwą zaletą, co też twórcy skrupulatnie podkreślają w reklamach swych pakietów:
Z punktu widzenia użytkowników pakietów, najważniejszy jest jednak Exploitation Rate, czyli współczynnik skuteczności używanego zestawu w infekowaniu internautów odwiedzających złośliwą witrynę. Skuteczność ta jest oczywiście w największej mierze zależna od zastosowanego zestawu exploitów oraz ich jakości. Praktycznie każdy exploit pack jest wyposażony w moduły administracyjne pozwalające na śledzenie najważniejszych statystyk:
Oczywiście każda udana infekcja w zamyśle ma przynosić zysk (kradzież cennych danych, przejmowanie poświadczeń, wykradanie numerów kart kredytowych, rozsyłanie spamu, rozpowszechnianie oprogramowania wymuszającego pieniądze bezpośrednio od internautów, itd.) właścicielowi złośliwej witryny. W taki oto sposób zamyka się przestępczy krąg napędzany pogonią za łatwymi pieniędzmi. Pamiętajmy, że przerwać może go wyłącznie baczne zwracanie uwagi przez wszystkich internautów na własne bezpieczeństwo i unikanie wszelkich aktywności mogących potencjalnie przynosić łatwy zysk komputerowym przestępcom... niestety jednak nadal nie brakuje internautów nieświadomie pomagających komputerowym przestępcom w ich dochodowym procederze.

[wykorzystano materiały firmy M86 Security Labs]