Будущее bot-червей

версия для печати

Дэвид Санчо

08.11.2005

Bot-черви — самый опасный вид malware¹, существующий в настоящее время. Они способны атаковать огромное количество ничего не подозревающих пользователей. Какие новинки авторы bot-червей станут включать в свои отвратительные «произведения» уже в ближайшем будущем?

В настоящее время все bot-черви строятся по модульному принципу. Это значит, что автор программы может выбирать различные методы атаки, включая использование брешей в системах защиты, массовую почтовую рассылку, непосредственное размножение, а также их различные сочетания. Результат — специализированный червь, разработанный для выполнения конкретной задачи: похищения информации и установления контроля за инфицированным ПК.

Идея модульности этих типов червей была реализована в WORM_ RBOT.CBQ и WORM_ZOTOB, ставших «гвоздем» информационных выпусков в конце лета. Когда написанный сегмент кода, использующий какую-то брешь в защите операционной системы, публикуется в Интернете, вирусописатели сразу могут внедрить его в код уже существующего червя, перекомпилировать — и, пожалуйста, новый опасный вид готов к распространению.

Мы предполагаем, что в будущем вредоносными программами будут использоваться следующие технологии.

Захват потоков RSS

RSS (Real Simple Syndication) — метод автоматического получения обновлений. Например, при обновлении веб-страниц их RSS-подписчики могут получать новый контент по мере публикации с помощью клиентов RSS, которые постоянно отслеживают обновления. Самый простой способ использования этой развивающейся технологии — захват уже сконфигурированных клиентов RSS для автоматической загрузки новых копий червей и другого вредоносного ПО на инфицированные ПК. Сначала червь проверяет, настроена ли данная система на какую-либо автоматическую загрузку обновлений. Если это так, остается всего лишь добавить новый или изменить один из запрашиваемых адресов на адрес вредоносного веб-сайта. Такой тип атак повлечет за собой следующее:

• Как правило, в этих случаях соединение начинается с разрешенного адреса. Из-за того, что первое соединение уже "разрешено", персональные межсетевые экраны и другие барьеры не просигнализируют об опасности.
• Загрузки будут все равно продолжаться, даже если червь обнаружен и удален. Для полного прекращения загрузок необходимо специальное средство для удаления вредоносной информации из конфигурации клиента RSS.

Уменьшает эту опасность то обстоятельство, что в настоящее время такие программы загрузки не стандартизованы, поэтому для атак уязвимы только определенные программы. Однако ситуация может измениться с выходом Internet Explorer 7. Корпорация Microsoft уже объявила, что эта новая версия популярного интернет-обозревателя будет содержать встроенную поддержку загрузки по технологии RSS. А значит, авторы червей получат новые широкие возможности для атак.

Чтобы бороться с этим, следует применять сканирование трафика HTTP. Судя по всему, оно станет одним из самых популярных методов борьбы с распространением malware в ближайшем будущем.

Полиморфные атаки с использованием изменяемого кода

Некоторые исследователи считают, что авторы подобных bot-червей могут создавать модули с изменяемым исполнимым кодом, который будет варьироваться при каждом запуске, но приносить такой же результат. Сейчас большинство систем обнаружения сетевых атак и брешей в защите определяют malware по определенным участкам кода. Если же он будет меняться каждый раз, зловредные программы смогут обойти все сканеры и выполнить свою вредоносную задачу. Хотя это теоретически возможно, все-таки для создания такого модуля его авторам придется изучить, как работает код для проникновения и как его можно изменить. Эти концепции конфликтуют с вышеупомянутой тенденцией включения во вредоносные программы новых способов проникновения как можно раньше и могут замедлить создание новых червей. Их авторам придется выбирать между быстрой атакой и невидимой атакой. Мы надеемся, что такая технология останется возможной лишь в теории, но вероятность подобной опасности необходимо принимать во внимание.

Методы сжатия

Борясь с bot-червями, антивирусные компании уже давно поняли, что различия между многими вариантами одного и того же червя заключаются только в использовании разных методов сжатия. Авторы червей перекомпилируют их и по-другому сжимают новую программу. Стоит производителям антивирусов научиться ее узнавать, как умельцы просто применяют другой алгоритм, и процесс продолжается. Существуют сотни различных методов компрессии, поэтому задача обнаружения bot-червей крайне сложна. Необходимо сначала научиться выяснять метод сжатия, а уже потом применять различные шаблоны для поиска червей. Мы ожидаем, что в ближайшие месяцы в этом направлении будет достигнут определенный прогресс. Компания Trend Micro, например, уже работает над созданием системы сканирования, которая сможет определять способ компрессии.

* * *

Пользователи должны осознавать опасность bot-червей, а также знать методы, которые те используют для заражения других компьютеров, чтобы иметь возможность защититься от них.

Для того чтобы противостоять угрозе, предлагается следующее:

• Устанавливать обновления безопасности на домашних ПК, как только они появляются на веб-сайте корпорации Microsoft. Автоматическое обновление уже стало не дополнительной возможностью, а обязательной функцией. Безопасность домашних систем можно обеспечить, только имея подключение к Интернету.
• В корпоративных системах применять программное и аппаратное обеспечение, разработанное специально с учетом защиты от таких вторжений. Определение и блокировка сетевых пакетов, которые используют черви для проникновения через слабые места, по существу лучшая защита от такого типа malware.

Об авторе
Дэвид Санчо — главный специалист по антивирусным исследованиям компании Trend Micro.

¹Malware (от латинского Malus — ничем не обоснованное стремление причинить вред другим и наблюдать, как они страдают) — «злонамеренное», вредоносное ПО, объединяющее червей (worms), трояны (Trojans), вирусы (viruses) и потенциально опасные программы (spyware, adware и проч.).

Неприятный прогресс

В ближайшем будущем ожидается ускорение распространения сетевых червей. В таблице указан период с момента обнаружения бреши в системе защиты до появления червя, ее использующего.

Очевидно, что скорость создания червей постоянно растет. Поэтому пользователи ПК подвергаются все большей опасности.

Черви лезут в бреши

С тех пор, как корпорация Microsoft объявила о слабом месте в системе защиты, названном «Plug-and-Play» (MS05-039), авторы вредоносных программ «трудились» дни и ночи, чтобы успеть воспользоваться этой брешью, пока пользователи не получили возможность защитить свои системы.

На сегодняшний день специалисты Trend Micro обнаружили уже шесть новых «паразитов» — червей, которые имеют возможность размножаться, распространяясь через сеть «зомбированных» компьютеров, зараженных без ведома своих хозяев:

WORM_ZOTOB.C
WORM_ZOTOB.D
WORM_RBOT.CBQ
WORM_RBOT.CBR
WORM_SDBOT.BZH
WORM_DRUDGEBOT.A

По словам Джо Хартмана, директора группы антивирусных исследований Trend Micro, все они написаны разными авторами. «Мы уже обнаружили несколько новых вариантов ZOTOB, а также других вредоносных программ. Все они используют один и тот же обнародованный код и одну и ту же брешь в системе защиты, но имеют также дополнительные функции, например возможности массовой почтовой рассылки, которые мы несколько дней назад обнаружили у ZOTOB.C».