Hirdetés

A Vírusok Varázslatos Világa 19. - Az admin jogosultság bosszúja

|

A Conficker féreg jött, látott, és majdnem győzött. A Microsoft 250 ezer dolláros „vérdíjat” tűzött ki a készítőre. Most elmondjuk, hogy miért.

Egy friss tanulmány szerint a 2008-as esztendőben történt Windows-sebezhetőségek döntő hányada megelőzhető, vagy hatása csökkenthető lett volna, ha a felhasználók többsége nem használná állandóan adminisztrátori jogosultságokkal a windowsos számítógépét. A böngészés közben begyűjtött kártékony kódok az ilyen gépeken adminjoggal tudnak garázdálkodni, és ezzel jelentős biztonsági kockázatot okoznak. Egy Linux vagy OS X rendszeren nincs ilyen jellegű „véletlen” kódfuttatás, kéretlen telepítés, hiszen ott üzemszerűen sosem rendszergazdaként használjuk a gépet, hanem csak bizonyos, kulcsfontosságú műveletek alkalmával - például telepítéskor - hajtunk végre adminisztrátorként parancsokat.

 

A Vista a beleegyezésünket kéri a művelet végrehajtásához. Itt léphetünk közbe, ha azt mégse mi kezdeményeztük


A Vista esetében már történt előrelépés - ez a közutálatnak örvendő UAC -, de a legelterjedtebb Windows, az XP alatt sajnos csak kevesen használnak ehhez hasonló megoldásokat. Ilyen például a Microsoft DropMyRigths programja, amely egy adott alkalmazás elindítása után eldobja annak adminisztrátori jogát, és az a továbbiakban jóval veszélytelenebbül, felhasználói szinten fut. Az így futtatott program - például egy webböngésző - már jóval kevésbé jelent veszélyt a rendszerünkre, ha megfertőződik valamivel.

 

Ha minden Windows XP-felhasználó igénybe venne egy, a DropMyRightshoz hasonló segédprogramot, nagyságrendekkel javulhatna a biztonság

 

A DropMyRight, illetve a Vista UAC-jének elkészítése nem feltétlenül a túlzott óvatosság következménye, ugyanis a támadások jelentős része alapoz arra, hogy a betolakodók teljes mértékben hozzáférhetnek a megtámadott géphez, a Windows rendszerfájljaihoz. Emiatt tehát minden interneteléréssel rendelkező alkalmazásunknál - levelező, böngésző, chat, VoIP telefonok stb. - érdemes lenne használni valamilyen jogosultságbeli korlátozást. Persze elviekben mindez szép és jó, de a dolognak két oldala van. A probléma megfelelő megoldásához az is szükséges lenne, hogy a Windows programozók ne írjanak olyan felhasználói programokat, amelyek csak és kizárólag adminisztrátori jogosultságokkal futtathatók.

 

Frissítési vetület

Kritikus hiba - akad-e valaki, akinek ez a szalagcím egy sosem hallott mondatként hangzik? Talán arra már jobban felkapnánk a fejünket, hogy „ma egy hibát sem találtak az Windowsban”. Sok esetben olyan kritikus minősítésű sérülékenységet fedeznek fel, amelyet egy speciálisan megformázott állománnyal lehet kihasználni, és ha ezt a gyanútlan áldozat megnyitja, távoli kód végrehajtása válik lehetségessé - ami ugye nem hangzik túl jól, és ráadásul a felhasználók zöme adminisztrátori jogokkal rendelkezik. Szerepe szerint a Microsoft ilyenkor azt tanácsolja, hogy a hiba kijavításáig csak megbízható forrásból származó dokumentumokat nyissunk meg. Nem szabad igazságtalannak lenni, fizikailag gyakorlatilag elképzelhetetlen, hogy egy ekkora kódban sose fedezzenek fel újabb és újabb sebezhetőséget.

 

Állítólag a féreg első változata nem fertőzte meg a gépet, ha ukrán billentyűzetkiosztást talált. Mégis a ThretSense.Net rendszer szerint így fest a 2009 januárjában Ukrajnában tomboló kártevők top 10-es listája. A sok ok közül biztosan felelős az illegális, épp ezért nem frissített Windows rendszerek nagy száma.

 

A minden hónap második keddjén alkalmazott „foltozó kedd” (Patch Thuesday) hivatott a biztonsági hibák elleni javítások megjelentetésére. Ez viszont relatíve elég ritka alkalom, hiszen a támadók sokszor egy egész hónapot nyernek az exploitok (ld. előző cikkünket) kihasználására, és ezt a laza időszakot csak egy gyorsan kiadott, rendkívüli frissítés mérsékelhetné. Úgy tűnik, ez a kiszámítható havi patch-rendszer nem igazán váltja be a korábban hozzáfűzött reményeket.

 

A Microsoft MS08-067-es számú biztonsági figyelmeztetésére már 2008 októberében kiadták a javítást. Úgy tűnik, ezt sokan mégsem töltötték le, illetve nem futtatták a gépükön. De miért is nem frissíti valaki a számítógépét? Ennek oka lehet egyfelől a lustaság, talán ez a legjellemzőbb. De nem kevés azoknak a száma sem, akik világszerte lopott operációs rendszert használnak, és emiatt nem férhetnek hozzá a rendszeres biztonsági javításokhoz. Ez az illegális szoftvereket használó egyes térségeket, például Kínát és Oroszországot hozhatja igen nehéz helyzetbe.

 

Éles autorun, gyenge jelszavak

Már a korábbi évek Sony rootkites botrányainál is látszott, hogy a külső adathordozókon levő programok automata indítását lehetővé tevő autorun funkció akkor jó, ha ki van kapcsolva, mondhatni „a halott autorun a jó autorun”.

 

 

Jót teszünk magunkkal, ha totálisan lekapcsoljuk a külső eszközökhöz tartozó Autoplay funkciót. Az alapértelmezetten induló automatikus végrehajtás komoly biztonsági rést nyit a Windowson

 

 

A Conficker kapcsán egy igen fontos momentum, hogy a féreg az autorun folyamat manipulálásával külső USB-eszközök révén is tud fertőzni.

 

A mai kártevők készítőit senki sem nevezheti kontároknak, szó sincs fércmunkákról; tudatosan és tervszerűen fejlesztenek, programoznak. Sokszor a csalinak szánt alkalmazások még vonzó, esztétikus külsőt is kapnak - ezt már sokan megtapasztalhatták a hamis antivírus programok esetében. Üveghatású gombok, gyárinak ható menüstruktúra, igazinak tűnő weboldal, mély hálózati ismeretek. Igen jelentős erőfeszítéseket tesznek továbbá, hogy minél nehezebb legyen mentesíteni a megfertőzött gépeket.

 

Sőt, a Conficker féreg egy kicsivel még ennél is továbbmegy. A kártevő készítői nem spóroltak az ötletekkel, és egy olyan leheletfinom social engineering trükköt is bevetettek, ami csak keveseknek fog feltűnni. A fertőzött USB-egység behelyezése után egy, az eredeti Windows hibaüzenethez hasonló, de valójában hamis rendszerüzenet-ablakot jelenít meg. Az ebben megjelenő első sor látszatra csak megnyitná az USB-kulcs gyökérmappáját, ám ha rákattintunk, valójában a vírust indítjuk el, azaz mi magunk segédkezünk a Conficker „telepítésében”. Úgy tűnik, már csak emiatt is érdemes az összes külsős eszköz autoplay, autorun futtatási lehetőségeit korlátozni.

 

 

A Confickerrel fertőzött USB-kulcs a Windows saját beállítóablakát indítja el, igaz, kissé megpatkolva: az első sor ugyanis a vírust indítja, holott úgy látszik, mintha csak az eszköz gyökérmappájába lépnénk be vele

 

 

A féreg egy alaposan „összekutyult” szöveget ír az autorun bejegyzésbe, amely első ránézésre a Windows mindenek felett álló, biztonságos rendszerkomponensét indítja el. Valójában ez a Windows-komponens - az automatikus indítási beállításokat bekérő ablak - az átadott paramétereknek megfelelően a felhasználóval indíttatja el a férget.

 

„Mindenki inkább kapcsolja ki az automatikus futtatást az USB-s eszközeinél” - olvashatjuk internetszerte a jó tanácsokban. Aztán sokszor csak később, kínos módon derül ki, hogy nem mindegyik tippben leírt beállítás kapcsolja ki teljesen és véglegesen az autorunt, ezért további, pótlólagos kézi állítgatások, Registry-kulcsok módosítása szükséges a nyugalomhoz. Éppen emiatt adott ki a CERT egy részletes autorun-leállítási útmutatót, hogy a kialakult helyzetben ezzel is segítsen a felhasználóknak.

 

 

Ha nem szeretnénk bajba kerülni, akkor ne ezek közül a gyenge jelszavak közül válasszunk!

 

 

Korábban már beszéltünk róla, hogy a megfelelő minőségű jelszó kiválasztása is gondot okoz sokaknak, és akkor a kívánatos, el nem végzett legalább negyedéves cserélgetésről még nem is ejtettünk szót. Pedig a Win32/Conficker féreg megadja az apropót hozzá: nemcsak a MS08-067-es biztonsági közleményben ismertetett Windows-sebezhetőség a lehetséges behatolási pont, de a rendszerszintű megosztásokhoz használt túl egyszerű, és így a féreg által szótárral könnyen kitalálható jelszavak is.

 

Máris jelentkeztek károk

Egyes jelentések szerint már közhivatalokban, kórházakban is felbukkant, és a szakemberek tömeges elterjedésétől tartanak. Voltak incidensek ausztriai magánbankban, sőt Bulgáriában minisztériumi és rendőrségi gépeknél is kalamajkát okozott. Mindenesetre vállalati környezetben rendkívül bosszantó lehet, ha a féreg sűrű jelszópróbálgatása miatt a valódi, legitim felhasználókat zárja ki a hálózat a sikertelen kísérletek miatt - itt külön utánajárás, rendszergazdai közbelépés szükséges, hogy az illető ismét munkába tudjon állni. Persze ennél már csak egy rosszabb: ha a gyenge jelszó miatt mégis sikerül a kártevőnek belépnie a nevünkben.

 

 

Minden, amit fontos tudni a kártevőről. Jól látszik, hogy az erős jelszóval ellátott, a biztonsági javításokat rendszeresen alkalmazó és naprakész antivírus programmal védett gépek nincsenek veszélyben

 

 

Egyéb veszélyek

A Conficker működése során törli a felhasználó által létrehozott rendszer-visszaállítási pontokat, ez pedig sokaknak lehet szerfelett kellemetlen.

A megtámadott számítógépen a vírusoknak, férgeknek az egyik elsődleges célpontjai a megosztott mappák. Ezzel nemcsak a helyi hálózaton, hanem peer-to-peer (P2P) kapcsolatokon keresztül is képesek terjedni. Egyes Conficker-variánsok megpróbálják blokkolni a víruskeresők weboldalait, valamint kulcsfontosságú Windows-szolgáltatásokat is megkísérelnek kikapcsolni. Azoknak az állományoknak és szervizfolyamatoknak, amiket a kártevő hoz létre, igyekszik minél megtévesztőbb nevet adni, a véletlenszerű névtől kezdve egészen a „system, Windows, shell, network, boot, config” stb. elnevezésekig.

 

 

Jól látható, hogy a 2008 novemberében induló Conficker kártevő egyre növekvő érdeklődést generált a Google keresőben

 

 

Bár kártevők az összes operációs rendszer alatt léteznek, érdemes megjegyezni, hogy döntő többségük mégis csak a Windowsok alatt működik. Ez a helyzet sok okra vezethető vissza, és ezek boncolgatása túl messzire vezetne, mindenesetre a fertőzések terjedésének szempontjából is kedvezőbb az az állapot, ha minden gépen egyforma operációs rendszer fut, amely széles körben és tömegesen elterjedt szoftver; a felhasználók nem használnak megfelelő jogosultság kezelést, illetőleg minden feladatukat adminisztrátorként végzik.

 

Oktatás

A dolgok lényege azonban, hogy bármelyik rendszert is használjuk, tudás, ismeret és képzés nélkül nincs esélyünk hosszú távon hatékonyan felvenni a küzdelmet a támadásokkal, amelyeket már nem elszigetelt, feltűnést kereső őrültek intéznek ellenünk, hanem a szervezett bűnözés igyekszik személyes adatainkat, jelszavainkat, bankkártyánk számát, online játékba való belépési kódjainkat megszerezni. És itt a képzés nemcsak a diákokat érinti, hanem a tanároknak is folyamatosan képben kell(ene) lenniük a veszélyekkel, és ezek elhárítási lehetőségeivel, az esetleges incidensek kezelési módjaival is.

 

 

Amint a mellékelt VirusTotal eredménytáblázatból látjuk, szinte nincs is olyan vírusvédelmi alkalmazás, amelyik ne jelezne a Confickerre. Azt viszont szomorúan konstatálhatjuk, hogy az AV-gyártók vagy tízféle elnevezéssel is jelzik ugyanazt a kártevőt

 

 

Nyilván szerepet játszik ebben a tömeges fertőzésben az is, hogy míg egy autótulajdonosnak valamennyire értenie kell az autójához - nincs jogosítvány az előírt műszaki ismeretek vizsgával való bizonyítása nélkül -, ezért mondjuk nem rak kockacukrot vagy vizet a saját benzintankjába. Azonban sok számítógép-felhasználó a legnagyobb nyugalommal ül oda a minimálisnál is kevesebb körültekintéssel, tudással, odafigyeléssel gépe elé, pedig pár egyszerű alapszabályt muszáj lenne nekik is betartaniuk. Tudomásul kell venni, hogy a számítógép nem kenyérpirító, kezelését és használatát alaposan meg kell tanulni, különben magunknak és másoknak is rengeteg kárt és bosszúságot okozhatunk tudatlanságunkkal.

 

 

Néha jól jönnek a gyorsan és kényelmesen használható egyedi mentesítő célalkalmazások. A jelentősebb kártevők ellen a www.eset.hu oldalon találhatunk ingyenes segédprogramokat, és természetesen a Conficker-irtó is szerepel a repertoárban

 

 

A megfelelő ismeretek hiányára utal az is, hogy a Conficker pár nap alatt több millió gépet fertőzött meg. A jelentős mennyiségű fertőzés miatt az ESET egy külön mentesítő segédprogramot is a kiadott a nagyközönségnek. E szoftver segítségével a Conficker által megtámadott windowsos gépeket tisztíthatjuk meg. Az EConfickerRemover.exe egy parancssoros célprogram, amellyel egyszerűen mentesíthetjük a számítógépet. Először a memóriában ellenőriz, és ha ott nem talál semmit, rákérdez, hogy fusson-e tovább az ellenőrzés. Ha akár a memóriában, akár a merevlemezen fertőzést talált, akkor törli a kártevőt, és a sikeres mentesítés után javasolja a számítógép újraindítását.

 

 

Az ESET EConfickerRemover programjának segítségével a fertőzést egyszerűen megszüntethetjük

 

 

Végszó

Nem igazán volt jellemző az utóbbi években, hogy a Sircam, a LoveLetter és a Blaster után világszerte nagy mértékben elterjedt kártevő ennyire magára irányítsa a figyelmet, azonban úgy tűnik, a Confickernek ez most mégis sikerült. A nem megfelelően elvégzett vagy egyszerűen kihagyott beállítások, a felhasználói szokások és elégtelen szakmai ismeretek idővel szépen visszaütnek. A Conficker - aminek immár saját Wikipédia szócikke is van - rendületlenül tör előre és működéséhez a McAfee kutatói szerint a Metasploit egyik modulját is felhasználja. A féreg készítői gyaníthatóan profik, akik nemcsak a programozáshoz értenek, hanem a hálózati protokollok területén is otthonosan mozognak. Nem tudni, mi van még a Conficker programozóinak tarsolyában, de félő, lesz meg pár meglepetésük.

 

 

A külső USB-eszközök, legyenek bár sushi vagy gumikacsa alakúak, az automatikus indítás miatt alkalmasak lehetnek fertőzések terjesztésére

 

 

 

 

*

Kérjük kedves olvasóinkat, ha a témában kérdésük, hozzászólásuk van, juttassák el hozzánk (velemeny@pcworld.hu).

 

Csizmazia István, vírusvédelmi tanácsadó

Sicontact Kft., a NOD32 antivírus magyarországi képviselete

antivirus.blog.hu

 

 

 

 

 

 

Hirdetés

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://pcworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.