Érdekes elemzéssel jelentkezett a napokban a tokiói székhelyű Trend Micro, a hálózati víruskereső és internetes tartalombiztonsági szoftvereiről és szolgáltatásairól ismert vállalat. Szakértőik egybehangzó véleménye szerint az aktuális rövid távú trend a férgek terén a „bot” irányzat felé halad. A botok – olyan alkalmazások, amelyek egy felhasználó vagy más alkalmazás ügynökeként működnek – mostanában a leggyakrabban előforduló rosszindulatú kódok, amelyek meglepően nagy számban találhatók meg az óvatlan felhasználók rendszerein.

Hatékonyabb féregtenyésztés modularitással

Manapság minden bottulajdonságokkal rendelkező féreg moduláris formában készül. Ez azt jelenti, hogy az alkalmazás szerzője számos támadási módszer, többek között szoftver sebezhetőségek kihasználása, tömeges levélküldés, P2P (peer-to-peer) terjesztés közül és számos paraméterből választhat a kártevők készítése közben. Ennek eredménye egy ad hoc féreg, amelyet megadott célok elérésére terveztek: az információk eltulajdonítására, valamint a fertőzött számítógép irányításának megtartására.

Az ilyen típusú kártevőknél a modularitás ötletének működőképességet a WORM_RBOT.CBQ és a WORM_ZOTOB, az augusztus 15-e óta címlapokra került két hálózati féreg is bizonyította. A hálózati sebezhetőségek a hibát kihasználó kód (ún. exploit) megjelenésétől kezdve bármikor támadhatók és kihasználhatók. Amint nyilvánosságra kerül egy új exploit, a vírusírók beépíthetik azt a kártevőjük korábbi verziójába, újrafordíthatják, és már el is készült egy veszélyes új féreg. Mivel így a mai férgek nagyon gyorsan létrehozhatók, a PC-felhasználók világszerte egyre nagyobb fenyegetésekkel néznek szembe.

A tendencia egyébként azt is mutatja, hogy egyre kevesebb idő telik el egy-egy új sebezhetőség, illetve a hozzá kiadott javítás nyilvánosságra kerülése és az azt kihasználó kód megjelenése között. Míg a Blaster esetében 26 nap kellett az ellenszer kidolgozásához, addig az utolsó látványos járványnál, a Zotob támadásánál már 5 nap alatt elkészült a védelem.

Az RSS folyamok eltérítésére készülnek...

Az RSS (Real Simple Syndication) egy rohamosan fejlődő és terjedő technológia az igen egyszerű hírmegosztás megvalósítására. Ha a weblapok frissítik tartalmaikat, RSS-előfizetőik az új tartalmat kereső kliens segítségével azonnal értesülnek a változásokról. E technológia kihasználásának egyik egyszerű módja a beállított kliensek eltérítése és férgek, valamint más fenyegetések automatikus letöltése a fertőzött számítógépekre. Ez úgy érhető el a gyakorlatban, hogy a már beállított kliens egy eltérő, kártékony webes tartalomra kerül átirányításra. A folyamat során azt kell ellenőrizni, hogy a rendszer rendelkezik-e beállított automatikus letöltéssel. Ha igen, csak hozzá kell adni egy létező beállítást, vagy egy meglévőt kell módosítani, hogy az a kártékony weboldalra mutasson.

Az ilyen típusú támadásnak két közvetlen kimenetele van:

1. Passzív letöltési pontként működhet, egy legitim pontból indítva a kapcsolatokat. Mivel a kapcsolat forrása már „engedélyezett“, a kapcsolat kikerülheti a személyi tűzfalakat és más akadályokat.
2. A letöltés még akkor is működhet, ha a féreg észlelésre/törlésre került. A megfelelő eltávolításhoz léteznie kell egy tisztító eszköznek, amely törli a hírfolyamkliens beállítását.

Jelenleg kockázatcsökkentő tényező, hogy az ilyen alkalmazások terén még nincs kialakult szabvány, így a támadásnak egy bizonyos szoftvert kell célba vennie. Az ilyen típusú támadások tehát még nem igazán veszélyesek. Ugyanakkor minden megváltozhat – állítják a Trend Micro szakemberei –, ha az új Internet Explorer 7 megjelenik, ugyanis a Microsoft már bejelentette, hogy a népszerű böngésző új verziója beépített RSS-támogatással fog rendelkezni. Ez néhány érdekes új lehetőséget nyújt majd a férgek készítői számára.

Egy lehetséges technika: poliform kódtámadások

Egyes kutatók úgy gondolják, hogy az ilyen poliform botok készítői képesek lesznek egy olyan modul elkészítésére, amely módosítja a kódot, így az minden alkalommal máshogy jelenik meg, de mindig ugyanúgy működik. A legtöbb IDS és sebezhetőség-észlelés azon alapul, hogy a rosszindulatú alkalmazások mindig ugyanazt a kódot használják, ezért ha a kód minden alkalommal más lesz, a keresők elől elrejtőzve messzire juthat. Bár elméletileg lehetséges egy ilyen modul létrehozása, ehhez a támadóknak meg kell érteniük, hogy hogyan működik a sebezhetőség kódja, és az hogyan módosítható. Ezek az elképzelések ellentmondanak a korábban említett irányvonalnak, mely szerint az új sebezhetőséget a lehető legrövidebb idő alatt ki kell használni, ezáltal lassabbá válik a féreg elkészítése is. A készítőknek választaniuk kellene a gyors és a rejtett támadás között. Remélhetőleg ez a lehetőség elméleti síkon marad, mindazonáltal nagy veszélyeket rejt magában.

Az ilyen botok elleni harcban a vírusvédelmi cégek régóta felismerték, hogy egyazon féreg számos variánsai csak tömörítési módjukban térnek el egymástól. A víruskészítők lefordítják a férget, majd az újonnan létrehozott futtatható állományt egy eltérően tömörített .EXE fájlba helyezik. Amikor az antivírus cégek bővítik vírusadatbázisaikat az új mintával, a készítők csak újratömörítik az állományokat egy másik algoritmus segítségével, és az így létrejövő következő variánst már nem tudják észlelni a víruskereső alkalmazások. Különböző tömörítési algoritmusok százait használhatják, az ilyen módon generált kártevők észlelése nem könnyű feladat.

A törekvés természetesen az, hogy a különböző tömörítési módszerek még a specifikus észlelési mintázatok elkülönítése előtt észrevehetők legyenek. Az elkövetkező hónapokban e téren nagy előrelépések várhatók. A Trend Micro már dolgozik egy keresőmotoron, amely képes tömörített mintákat észlelni. A Trend Micro 7.7 verziójú keresőmotorja a jövő év elejére várható. Az új észlelési technológiának köszönhetően ez a motor már a kiadásuk idején észleli a bot férgeket.