22 kwietnia 2009

Sieć w oblężeniu - nowy artykuł Kaspersky Lab

Kaspersky Lab, producent rozwiązań do ochrony danych, prezentuje artykuł zatytułowany "Ataki drive-by download: Sieć w oblężeniu" autorstwa Ryana Naraine'a, eksperta ds. bezpieczeństwa z Kaspersky Lab. W artykule opisano ukradkowe pobieranie szkodliwego oprogramowania ze stron internetowych, określane jako ataki drive-by download, które odbywa się bez wiedzy użytkownika.

Cyberprzestępcy umieszczają na serwerach szkodliwe oprogramowanie. Następnie w stronach internetowych osadzany jest kod przekierowujący połączenia do tego zainfekowanego serwera, a użytkowników zachęca się do odwiedzenia takich stron za pośrednictwem spamu rozsyłanego pocztą elektroniczną lub forów internetowych. O ile wcześniej cyberprzestępcy tworzyli zainfekowane strony internetowe, obecnie coraz częściej włamują się na legalne strony, gdzie albo potajemnie osadzają specjalny skrypt lub umieszczają kod przekierowujący, który niepostrzeżenie uruchamia ataki za pośrednictwem przeglądarki. To powoduje, że ataki drive-by download stanowią jeszcze większe zagrożenie.

Zestawy szkodliwych exploitów (specjalnych narzędzi wykorzystujących błędy w zabezpieczeniach), które są sprzedawane na nielegalnych stronach hakerskich, stanowią motor ataków drive-by download. Zestawy zawierają exploity wykorzystujące luki w zabezpieczeniach szeregu różnych aplikacji powszechnie instalowanych na komputerach, łącznie z przeglądarkami internetowymi.

Jeżeli exploit okaże się skuteczny, ukradkiem zostanie zainstalowany trojan, który umożliwi agresorowi pełny dostęp do atakowanego komputera. Taki komputer może zostać wykorzystany do kradzieży poufnych informacji lub przeprowadzania ataków DoS mających na celu całkowite lub czasowe zatrzymanie pracy określonych serwerów.

Według firmy ScanSafe, 74 procent wszystkich szkodliwych programów wykrytych w trzecim kwartale 2008 roku było wynikiem odwiedzenia zainfekowanych stron internetowych. To oznacza, że trwa epidemia ataków drive-by download. W ciągu ostatnich dziesięciu miesięcy grupa Google Anti-Malware Team znalazła ponad trzy miliony adresów URL, z których inicjowane były ataki drive-by download.

Epidemia ataków drive-by download w dużej mierze spowodowana jest tym, że użytkownicy nie łatają systemów Windows. Z nielicznymi wyjątkami, krążące obecnie exploity wykorzystują znane luki w zabezpieczeniach oprogramowania, tzn. takie, dla których zostały już udostępnione łaty. Najpraktyczniejsze podejście do ochrony przed atakami drive-by download polega na zwróceniu szczególnej uwagi na zarządzanie łatami. Istotne jest również zainstalowanie oprogramowania antywirusowego i regularne aktualizowanie jego baz danych. Produkt antywirusowy powinien również zawierać skaner ruchu przeglądarki pomagający zidentyfikować potencjalne problemy związane z atakami drive-by download.

Pełna wersja artykułu dostępna jest w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab: http://viruslist.pl/analysis.html?newsid=530.

Artykuł można dowolnie wykorzystać, z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.