Microsoft szuka trojanów

Pracownicy naukowi Microsoftu stworzyli system, który może pomóc w wykrywaniu złośliwych stron WWW.

Liczby tych ostatnich systematycznie rośnie - wabią one internautów atrakcyjnymi hasłami, sugerującymi że można na nich znaleźć darmowe oprogramowanie antywirusowe lub antyszpiegowskie. W rzeczywistości samo wejście na taką stronę może zainfekować niezałatane wersje Windows dziesiątkami koni trojańskich. Przestępcy wykorzystują tutaj błędy w Internet Explorerze oraz samym systemie operacyjnym Windows do niezauważalnego dla użytkownika uruchamiania programów ze strony WWW. W chwili obecnej złośliwe strony WWW stały się jednym ze sposóbów zarabiania pieniędzy - przejęte przez konie trojańskie systemy można odsprzedać grupom złodziei zajmujących się phishingiem lub spammerom.

Zespół badawczy Microsoft Research opracował system Automated Web Patrol pozwalający na automatyczne znajdowanie na stronach WWW złośliwego kodu. Wykorzystano do tego dziurawe instancje Windows działające w zwirtualizowanym środowisku oraz oprogramowanie do automatycznego przeszukiwania stron WWW. Wyniki są analizowane przy pomocy matematycznej teorii grafów, co pozwala na określenie źródeł i głównych "dostawców" złośliwego kodu. Autorzy nazwali tę koncepcję Strider HoneyMonkey Exploit Detection System a same "roboty" - aktywnymi przynętami (ang. active honeypot). Stosowane obecnie systemy-przynęty (ang. honeypots) to dziurawe serwery linuksowe i windowsowe, które przyciągają włamywaczy i wirusy jak słoik z miodem muchy (stąd nazwa honeypot) i dzięki temu pozwalają badaczom poznawać nowe trendy i nowe techniki ataków.

W odróżnieniu od nich aktywne przynęty udają przeciętnie tępego użytkownika Internetu, korzystającego z dziurawego systemu i niezałatanej przeglądarki Internet Explorer, który klika na każdym wyskakującym okienku i zgadza się na wszystko co zaproponuje mu strona. Taki "automatyczny użytkownik" działa jednak pod ścisła kontrolą - jego każdy ruch jest obserwowany przez oprogramowanie nadzorujące skanowanie. Każdy błąd przeglądarki i każde nieuprawnione operacje na pamięci są traktowane jako potencjalna próba uruchomienia exploita i zainstalowania konia trojańskiego.

Autorzy projektu zaczęli od zgromadzenia przy pomocy wyszukiwarek adresów, stanowiących punkty wejścia do "brudnego Internetu" czyli złośliwych stron. Wśród 10 mld adresów, które jak obecnie ocenia się działają w publicznej sieci, takich potencjalnie złośliwych stron jest około 5 tys. Od nich zaczęli swoje samobójcze wędrówki po sieci zrobotyzowani internauci. W ciągu pierwszego miesiąca znaleziono ponad 750 unikalnych adresów URL, które bez żadnych wątpliwości i celowo próbowały zainstalować w systemie ofiary konie trojańskie. Były one wystawione na niemal 300 serwisach WWW.

Interesujące okazały się również statystyki dotyczące wersji dziurawego oprogramowania. Użytkownicy niezałatanych WinXP SP1 mieli zagwarantowane złapania trojana na 90% z wymienionych stron. Co niepokojące, przestępcy nie pozostają w tyle. Użytkownicy niezałatanego SP2 zostaliby zarażeni przez ponad połowę ze "złych stron". Dopiero późniejsze łatki wprowadzały poważniejszą różnicę jakościową, ale i tak nie dawały pełnej odporności - SP2 z większością zainstalowanych poprawek nadal mogły zarazić się przez 10 stron z wspomnianych trzystu. System SP2 z zainstalowanymi wszystkimi poprawkami był całkowicie odporny.

Świadczy to o tym że autorzy koni trojańskich uważnie śledzą informacje o nowych dziurach w Windows. W lipcu przy okazji testowania projektu znaleziono pierwszy "zero-day exploit" to znaczy program wykorzystujący dopiero co ujawnioną dziurę, na którą nie było jeszcze poprawki (javaprxy.dll).

Raport Microsoftu: "Automated Web Patrol with Strider HoneyMonkeys"

Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.