facebook LinkedIN LinkedIN - follow
IT SYSTEMS 12/2016 , IT Security

Tvorba počítačových virů snadno a rychle

Nástroj na tvorbu exploitů Ancalog je příkladem profesionalizace kyberzločinu

Gábor Szappanos


SophosLabsZneužívání dokumentů pro šíření malwaru je mezi počítačovými zločinci velmi populární, zejména pak ve spojení s nakaženými přílohami obsahujícími více či méně zákeřná makra nebo skripty. Má to své opodstatnění, protože drtivá většina běžných uživatelů už ví, že nemá otevírat spustitelné přílohy (např. s příponou .exe). K běžným formátům dokumentů má ale důvěru a neuvědomuje si jejich rizika a možnou spojitost s kybernetickým zločinem.


Vždyť je to tak jednoduché

Běžné formáty dokumentů otevíráme bez podezření a přitom existují zranitelnosti, které umožňují při zpracování dokumentu spustit v něm obsažený podvržený kód bez nutnosti souhlasu ze strany uživatele. A to bohužel stále ještě není vše, protože takové zranitelnosti lze vytvořit velmi snadno. Stačí například použít „vývojový nástroj“ Ancalog Multi Exploit Builder. Tento nástroj umožňuje vytvářet širokou škálu nakažených formátů, od MS Word nebo MS Excel přes PDF až po CHM (speciální formát pro nápovědu) a HTA (HTML aplikace). Navíc některý malware generovaný pomocí nástroje Ancalog obsahuje veškerý škodlivý kód přímo v dokumentu a nechová se tedy jako downloader, který si „to hlavní“ stáhne z nějakého nakaženého webu. Jinými slovy, šíření je ještě o něco jednodušší a zákeřnější.

Přestože celá řada zranitelností zneužívaných Ancalogem je dobře známá a vyřešená již několik let, na nebezpečnosti Ancalogu to nijak neubírá. I když s ním počítačoví zločinci mnohdy neuspějí, u méně svědomitých uživatelů, kteří ignorují aktualizace a bezpečnostní záplaty s ním stále mají určitou šanci. 

Sophos


Některá čísla překvapí

Nástroji Ancalog se velmi podrobně věnuje i jedna z nejnovějších studií globální sítě pro zkoumání hrozeb – SophosLabs. Materiál s názvem Ancalog – the vintage exploit builder například upozornil na to, že plná verze Ancalogu vyjde na pouhých 290 amerických dolarů a ta odlehčená s omezenou funkcionalitou dokonce jen na 49 dolarů. Mimochodem, v obou případech mají „uživatelé“ k dispozici pokročilou podporu i pravidelné aktualizace.

Určitě zaujme i skutečnost, že za více než 55 procenty případů napadení stojí jedna jediná zranitelnost pocházející již z roku 2012. Z pohledu konkrétního malwaru je prostřednictvím tohoto nástroje nejčastěji šířený Fareit (27 procent) a Zbot (19 procent). Při četbě této studie si na své vedle laiků přijdou i obdivovatelé technologií, bezpečnostní správci i manažeři, kteří získají potřebný vhled do evoluce jedné z vážnějších kategorií počítačového zločinu.

Využívání nástrojů jako je Ancalog Multi Exploit Builder ovšem neznamená jen pohromu pro zasažené uživatele, ale svým způsobem přináší i určitou výhodu. Tyto nástroje totiž staví na dobře známých problémech a ze své podstaty se nemohou efektivně opřít o dosud nezveřejněné zranitelnosti (tzv. zero-day útoky). Jako obrana proti těmto útokům by tedy mělo stačit udržovat své systémy a aplikace aktualizované.

Dobře už bylo?

Bohužel bez ohledu na míru vzdělanosti uživatelů z pohledu bezpečnosti je trend jasný. Kybernetičtí zločinci už dnes nemusí být pouze počítačoví odborníci, ale prakticky kdokoli, kdo se neštítí dát se na cestu zločinu. Tu ovšem nedoporučujeme a naopak vyzýváme uživatele, aby své systémy dostatečně chránili a znemožnili tak růst kyberzločinu.

Gábor Szappanos Gábor Szappanos
Principal Researcher, SophosLabs
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.