Максим Ефремов. Блог.

Все началось недавно, мне в почту пришло письмо от коллеги с просьбой дать комментарий по поводу электронного письма, пришедшего от Microsoft.

Письмо было составлено по шаблону всех писем от MS и возможно не вызвало бы у меня подозрений, если бы не обратный адрес и ссылка. Именно это и сподвигло меня провести тест на устойчивость офисных PC к угрозам из сети.

С начала года в ботнеты попали 12 миллионов IP-адресов. Статистика пугает. По разным данным, в настоящее время, процент зараженных компьютеров колеблется от 25 до 30% и по самым скромным оценкам их численность составляет 150000000 хостов. Об одном из возможных способов заражения – фишинге я и решил написать этот пост.

Фи́шинг (англ. phishing, от password — пароль и fishing — рыбная ловля, выуживание) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, например, от имени социальных сетей , банков, прочих сервисов. В письме часто содержится прямая ссылка на сайт, внешне не отличимый от настоящего. Оказавшись на таком сайте, пользователь может сообщить мошенникам ценную информацию, позволяющую получить доступ к аккаунтам и банковским счетам.

Все началось, как я уже и говорил, с полученного, от одного из коллег, письма. Вкратце письмо повествовало о том, что Microsoft выпустила обновление для Outlook/Outlook Express, которое закрывает критическую уязвимость.

На скриншоте видно, что написанная текстом ссылка и настоящая ссылка не совпадают (именно поэтому наш внешний почтовый Relay пометил письмо как SPAM, но все равно доставил). Также поиск по номеру Knowledge Base быстро убедит вас в том, что апдейт “липовый”. Об этом писал коллега Денис Дягилев. С этого и начался эксперимент по подключению к BotNet. Специально для этих целей я создал виртуальную машину на базе VirtualPC 2007. Виртуальная машина представляла из себя Windows XP Professional SP3 RUS. Эта ОС была выбрана не случайно, т.к. большинство офисных PC работают сейчас как раз на ней. Далее на эту виртуальную машину (со случайно выбранным именем Kenny) были установлены все необходимые обновления с корпоративного сервера WSUS по 26.06.09.

К слову один апдейт мне поставить не удалось, но пробежавшись по поисковику, я заметил что это общая проблема и ввиду малозначительности обновления для эксперимента решил его не трогать.

На Kenny были установлены 5 интернет браузеров: Internet Explorer, Opera, Firefox, Chrome, Safari (все загружены в один день 26 июня 2009), для фиксации заражения я решил использовать Dr.Web CureIT!, Task Manager и netstat. Письмо было выгружено в HTML и сохранено на виртуальной машине. Все браузеры были установлены по-умолчанию. Next-Next-Finish. Если для продолжения установки нужно было выбрать из нескольких опций – выбирался либо рекомендуемый вариант, либо выбор по-умолчанию. Единственный пользователь в системе – администратор, от него и пробуем.

Итак, эксперимент начался.

Первое разочарование постигло меня сразу же – ссылка которая была в письме стала недоступна. Пришлось потратить пару часов, для того чтобы найти подобные ссылки на сайтах, ведущих анализ phishing угроз.

Найдя рабочую ссылку и подкорректировав письмо (мы не ищем легких путей) эксперимент начался.

1. Internet Explorer 8.

Internet Explorer в строке состояния показывает настоящую ссылку, но длинна строки ограничена, и есть шанс, что при длинном имени домена или низком разрешении экрана вы не заметите, что есть отличия от написанного домена. Щелкаю по ссылке.

На секунду показалась открываемая страница и IE выдает довольно наглядное предупреждение.

При нажатии на ссылку “Подробнее” нам показан общий текст про фишинг и ссылка ведущая на англоязычный ресурс на сайте MS о угрозах в сети.

Нажимаю ссылку “Продолжить выполнения действия (не рекомендуется)”

Появляется вредоносная страница с progress bar’ом

По моему мнению, прогресс бар показывает состоянии загрузки на эту страницу exe файла с третьего ресурса, который скорее всего несет в себе троян.

По окончании работы прогресс бара IE8 выдает второе предупреждение полностью аналогичное предыдущему. Вновь нажимаю “Продолжить выполнения действия (не рекомендуется)”

Прогресс бар сменяется на ссылку на файл:

Щелкаю по ней – открывается стандартный диалог загрузки файла и мы можем успешно сохранить exe-файл на жестком диске.

Итого 2 предупреждения о фишинге и уведомление в верхней части экрана. Визуально выглядят убедительно и скорее всего пользователь не имеющий должных знаний не будет переходить по ссылке.

2. Safari

При запуске Safari экран виртуальной машины несколько раз мигнул, сама Safari стартовала дольше всех. В интерфейсе я не нашел пункта открыть, поэтому перетащил файл с письмом в окно браузера.

При наведении на ссылку (написанную текстом) нигде не упоминалось реальное расположение страницы. При клике на ссылку Safari без разговоров перешла по нужной ссылке и предложила загрузить/выполнить файл. Никаких упоминаний о фишинге не было.

3. Firefox

Признаться я не большой любитель FF, по каким то причинам мне не казался удобным этот браузер. Тем не менее, при открытии в нем нашего письма-уведомления и наведении курсора на ссылку – в строке состояния отобразилась полная ссылка. Притом, в отличие от IE места хватило бы для домена любой длинны.

При нажатии на ссылку FF сразу же показал окно безопасности, схожее с тем что я видел в IE.

Предупреждение FF хоть  и выглядит менее официальным – все же более убедительно чем аналогичное в IE. Нажав на кнопку “Почему этот сайт был заблокирован?” Мы переходим на страницу FF где на английском написано о том, что такое фишинг.

При нажатии на ссылку “Игнорировать это предупреждение” мы переходим на вредоносную страницу, FF продолжает отображать предупреждение сверху.

По окончании работы прогресс-бара мы вновь видим окно предупреждения во весь экран. И проигнорировав и его – при нажатии на файл видим его в третий раз. Вот это назойливость достойная восхищения. Проигнорировав предупреждение в третий раз мы можем загрузить файл. Запустить его без загрузки мы не можем.  Итого 3 полноэкранных предупреждения + строка информации в верхней части браузера.

4. Chrome

Новый игрок на рынке Internet браузеров. Порадовала информация о актуальности браузера, но единственный из всех браузеров держал в процессах свой компонент – GoogleUpdate.exe

При наведении на ссылку аналогично IE отобразил настоящую ссылку, но размер поля ограничен так же как и в IE.

При нажатии на ссылку Chrome послушно перешел по ссылке и подождав, пока прогресс бар пробежит свой путь – показал что файл доступен на странице. При нажатии на ссылку с файлом отработал необычный (для меня) интерфейс и нажав кнопку сохранить, Chrome предложил открыть загруженный файл по умолчанию. За свою часть эксперимента Chrome не показал ни единого предупреждения.

5. Opera

C Opera я знаком уже достаточно давно. Помню всеобщее ликование, когда этот браузер стал бесплатным. Давайте же посмотрим как она пройдет наш эксперимент.  При открытии нашего письма. При наведении на ссылку Opera показала настоящую ссылку полностью.

Неплохо, теперь жмем на ссылку.

Предупреждение не вызвало особого внушения, особенно после аналогичных предупреждений в IE и FF.

При нажатии на ссылку “Компания Opera Software настоятельно рекомендует…” Мы переходим на страницу с общим описанием угроз на английском языке. Также в предупреждении указан источник, откуда получена информация о угрозе. При нажатии на ссылку “Проигнорировать это предупреждение” мы попадаем на уже знакомую страницу с вредоносным файлом. При этом в верхней части браузера остается предупреждение о возможной угрозе.

При нажатии на ссылку с файлом – мы можем спокойно загрузить и запустить наш exe-файл.

Итого 1 предупреждение и 1 индикатор в верхней панели.

Что же со скачанным обновлением?

Грусти моей не было предела, узнав, что Dr.Web Cureit! не нашел ничего подозрительного в исполняемом файле, хотя ещё сутки назад Kaspersky сообщил, что вирус в нем есть (см. пост Дениса Дягилева).

Воспользуюсь бесплатным онлайн-ресурсом virustotal.com я узнал, что 9 из 24 антивирусов нашли в нашем файле вирусную активность. Как ни парадоксально среди них был Dr.Web, который распознал в нашем обновлении Trojan.PWS.Panda.122.

Чтож, с браузерами все понятно, так что же с ботнетом?

Поскольку все инструменты мониторинга так и не показали какой-либо вирусной активности, я решил добить Kenny и заразить его насильно.

На эту попытку было потрачено около 2х часов времени. Методика была следующая, в IE был открыт сайт, содержащий последние обновления о вредоносных сайтах и все эти сайты открывались во вкладках. Вобщем, за 2 часа “серфинга” по сомнительным сайтам вирусной активности на компьютере обнаружено не было.

Затем я решился на последний шаг – запуск файла с “обновлением”. Сразу же после запуска Task Manager показал 2 новых процесса, запущенных от имени пользователя, а netstat показал несколько странных сессий. При этом CureIT! уверил меня, что опасности никакой нет. В реестре появились сомнительные записи.

Теперь итог: даже при отсутствии антивируса и присутствии здравого смысла можно оставаться в относительной безопасности, при условии что ваш ПК полностью обновлен.