Троян Flashback: конец невинности

10 апрель, 2012 - 10:45Александр Пацай

Что нужно знать о трояне Flashback и ботнете из Маков.

По поводу истории, касающейся трояна Flashback и возникшего вокруг него ботнета, хочется сказать следующее: этого, в общем-то, следовало ожидать. Если перечитать статью “Вся правда о вирусах для Mac OS X“, которая была опубликована в этом блоге 4,5 года назад, практически все пункты, за исключением одного, до сих пор соответствуют действительности. И лишь один — пункт 3 “На данный момент ваш Мак в безопасности”, более не актуален, как и предсказывал автор статьи.

В любом случае, примерно 1% зараженных Маков в ботнете, о которых пишут на данный момент — это весьма серьезная цифра, которую вполне можно засчитать за “эпидемию”, как пишет Джон Грубер. Псевдоуверенность в неуязвимости Маков сыграла плохую шутку со многими Мак-пользователями, и я рекомендую и вам от этой псевдоуверенности избавляться. Там, за пределами вашего Мака — реальный и злой мир, который нуждается в ваших данных и деньгах, будьте к этому готовы. И не верьте тем, кто отмахивается от новостей про трояны и ботнеты на Маках, все по-взрослому, как у Windows. А пока что — статья из Macworld, которая рассказывает о том, что вам нужно знать о текущей угрозе, и как от нее уберечься.

—————–
4 апреля российская компания-разработчик антивируса Dr.Web опубликовала убедительные доказательства того, что более 500 тысяч Маков были заражены последним вариантом трояна Flashback. Как написал директор по исследованиям компании F-Secure Микко Хиппонен (Mikko Hypponen) в своем твиттере, если в мире сейчас около 45 млн Маков, то этот Flashback заразил более 1% этих Маков, что делает Flashback настолько распространенным, как и Conficker для Windows в свое время. Flashback, похоже, оказался самым распространенным вредоносным ПО для Маков с тех пор, как вирусы передавались на зараженных дискетах; это, видимо, самая серьезная атака вредоносного ПО, которая когда-либо случалась с Мак-сообществом.

Вот что вам нужно знать о Flashback, что вы можете по этому поводу сделать, и что это означает для будущего безопасности Маков.

Что такое Flashback?
Flashback — это название вредоносного ПО, обнаруженного в сентябре 2011 года, которое пытается обманывать пользователя в процессе установки, прикидываясь установщиком Adobe Flash. (Разработчик антивирусного ПО Intego считает, что за Flashback стоят те же люди, что разработали атаку MacDefender, которая случилась в прошлом году). И хотя первоначальная версия Flashback и ее первые варианты требовали от пользователя установки, эта новая версия распространяется тем методом, что в сфере компьютерной безопасности называется “теневая загрузка”: вместо того, чтобы требовать от пользователя установки, Flashback использует неисправленную уязвимость в Java, чтобы произвести свою установку самостоятельно.

Если вы зайдете на зараженный сайт, на котором размещен Flashback, программа попытается показать вам специально подготовленный апплет Java. (На данный момент неизвестно, сколько сайтов содержат Flashback). Если у вас установлена версия Java с уязвимостью и она включена в вашем браузере, вредоносный код заразит вашу систему и затем установит определенный набор компонентов. Поскольку Apple выпустила обновления для этой уязвимости в Java только 3 апреля, на данный момент большое количество пользователей по-прежнему находятся под угрозой заражения.

После первоначального заражения, Flashback откроет окно Software Update, чтобы попытаться перехватить ваш пароль администратора, но он делает это только для того, чтобы еще глубже внедриться в ваш Мак.

После того, как троян успешно заразил ваш Мак, Flashback внедряет себя в Safari и (согласно информации от F-Secure) начинает собирать информацию по вашим действиям в браузере, включая логины и пароли. А затем он отсылает эту информацию на контролирующие сервера в интернете.

Важная часть тут заключается в том, что, в отличие от большинства вредоносного ПО для Маков, которое мы видели раньше, Flashback может внедриться в вашу систему даже если вы просто зашли на зараженную страницу и при этом используете уязвимое ПО. Вам не нужно вводить пароль администратора или вручную что-то устанавливать.

Нахожусь ли я в группе риска?
Вы находитесь в группе риска, если вы отвечаете этим четырем критериям:

1. У вас установлена Java на вашем Маке. Один из способов выяснить это — открыть Terminal и набрать java -version. Если у вас установлена Java, вы увидите ее номер версии. Она установлена по умолчанию на OS X 10.6 Snow Leopard, но не на OS X 10.7 Lion. (Но она устанавливается в первый раз, когда требуется для работы, так что, скорей всего, на большинстве Маков она есть).

2. У вас не установлены обновления Java for OS X Lion 2012-001 (если у вас OS X Lion) или Java for Mac OS X 10.6 Update 7 (если у вас Snow Leopard), или же ваш компьютер был инфицирован до того, как эти обновления были установлены. Оба эти обновления устанавливают Java версии 1.6.0_31; команда java -version вам покажет, что именно у вас установлено.

3. Вы разрешили Java-апплеты в своем браузере. В Safari зайдите в Preferences -> Security -> Web Content и посмотрите, включена ли у вас опция Enable Java. Ее можно отключить, убрав соответствующий чекбокс.

4. У вас на Маке не установлены определенные инструменты для безопасности, наличие которых проверяет Flashback — например, Little Snitch, Xcode и несколько приложений для борьбы с вредоносным ПО.

Разработчики антивирусного ПО, похоже, не могли обнаружить эту конкретную версию Flashback несколько дней после ее выхода “в свет”, хотя некоторые компании — включая intego — обеспечили защиту своим пользователям обновлением в конце марта. Вредоносное ПО часто содержит куски кода из более ранних версий, которые могут быть обнаружены антивирусными продуктами даже до того, как эти продукты получили обновления для обнаружения новых версий, но с такой защитой как повезет.

Как я могу определить, инфицирован ли мой Мак?
F-Secure опубликовала инструкции о проверке вашего Мака, которые требуют запуска нескольких команд в Terminal. Все антивирусные продукты на этот момент тоже должны определять Flashback, если у вас установлены самые последние сигнатуры (библиотеки) вирусов. (Обычно это можно сделать вручную в настройках вашего приложения, но это зависит от продукта, большинство обновляется автоматически).

Как я могу защитить себя?
Первое, что вам нужно сделать — запустить Software Update и убедиться, что у вас установлены последние обновления. Это предотвратит заражение, которое использует текущую уязвимость; о других известных направлениях заражения неизвестно (кроме как обмануть вас при установке, но этот способ никуда в ближайшее время не денется и не зависит от Java).

Вот несколько вещей, что я бы рекомендовал вам для снижения шансов будущих заражений методом “теневой загрузки”:

Отключите Java в настройках Safari и других браузеров. В отличие от Flash, она вам в эти дни редко нужна. Просто зайдите в Safari -> Preferences -> Security -> Web Content и отключите чекбокс Java.

Удалите Flash и используйте Google Chrome в качестве браузера. Google Chrome содержит встроенную, ограниченную по возможностям доступа (в “песочнице“) версию Flash, что снижает шансы на заражение вашей системы. Скачайте удалятель Flash, затем установите Google Chrome.

Если вам вообще не нужна Java, отключите ее. Настройки Java находятся в /Application/Utilities; отключите чекбокс напротив версии, указанной во вкладке General. Однако, будьте внимательны: некоторые приложения вроде CrashPlan (которую я использую), требуют Java. Но на сегодня существует не так уж много приложений для Мака, которым нужна Java.

Я по-прежнему использую Safari, но когда мне нужен Flash, я перехожу в Google Chrome. Я уже много лет назад отключил запуск Java в браузере из-за моих опасений подобных атак. Антивирусные приложения могут помочь, но они не могут поймать все. Но при этом надо отметить, что современные приложения гораздо меньше мешают и не так влияют на производительность, как это было раньше; некоторые из них (например, Sophos или ClamXav) доступны бесплатно. Помните, антивирусные приложения не идеальны, и вы все равно можете заразиться с помощью вредоносного ПО, если эти инструменты не защищают от этого конкретного вида угрозы. Многие пользователи Windows давно усвоили этот урок на своей шкуре.

Правда, что есть более полмиллиона зараженных Маков?
Да, похоже на то.

Хотя у нас нет независимых оценок, методы, описанные Dr.Web для измерения уровня заражения вполне правдоподобны: используя метод sinkholing, Dr. Web перенаправил управляемый трафик на свой собственный анализирующий сервер. Поскольку каждый зараженный Мак предоставляет свой собственный уникальный идентификатор, подключаясь к серверу, это позволяет Dr. Web подсчитать зараженные машины; это более аккуратный метод, чем подсчет на основе IP-адресов (которые могут использоваться несколькими Маками одновременно).

У нас также есть и забавное подтверждение этому факту. Давая ссылку на статью в Ars Technica о Flashback, Джон Грубер попросил читателей Daring Fireball проверить свои Маки и сообщить ему, обнаружено ли заражение. В течение 6 часов Джон получил подтверждение от более чем десятка своих читателей — которые вообще-то обычно являются довольно опытными Мак-пользователями.

Отличается ли это от более раннего вредоносного ПО под Мак?
Flashback — первое распространяющееся методом “теневой загрузки” вредоносное ПО для Маков. Это один из наиболее разрушительных методов атаки, который давно беспокоил пользователей Windows, и это действительно очень серьезный прорыв.

Большинство вредоносного ПО для Маков обычно прячется внутри приложений — например, ворованных программ, неизвестных игр или же нестандартных видео-проигрывателей, которые среднестатистический пользователь вряд ли будет устанавливать. Но поскольку Flashback заражает уязвимый компьютер без действий пользователя, тут все куда более серьезно. Мы видели это в мире Windows — это крайне эффективный метод.

Intego утверждает, что они обнаружили десятки новых вариантов Flashback за последние несколько дней, что означает, что авторы вредоносного ПО активно трудятся над тем, чтобы продлить жизнь этого заражения.

Виновата ли Apple?
Уязвимость в Java, которую использует Flashback, была исправлена Oracle в феврале (Oracle унаследовала Java в рамках поглощения Sun Microsystems). Но Apple ждала почти два месяца, чтобы обновить OS X исправленной версией.

Это самая большая проблема безопасности на Маках. OS X содержит большое количество программных компонентов от сторонних разработчиков и сообщества программного обеспечения с открытыми исходными кодами, а у Apple ужасная репутация по обновлению этих компонентов. Когда уязвимость становится публично доступной, потому что она исправлена на одной платформе, но не исправлена на другой, то плохим парням открывается прямой путь для атаки этих систем, где уязвимость пока не исправлена.

Apple может считать, что если не включать Flash или Java в текущих версиях OS X, то это предотвращает подобные атаки, но слишком много пользователей по-прежнему устанавливают эти инструменты. Apple очень серьезно продвинулась в улучшении безопасности своих продуктов, но ее задержка с исправлением известных уязвимостей по-прежнему является проблемой.

Что это означает для будущего вредоносного ПО на Маках?
Появление Flashback вовсе не означает, что Маки скоро будут забиты вредоносным ПО, как компьютеры с Windows. Но будущее безопасности платформы серьезно зависит от Apple и все той же удачи.

Атаки “теневой загрузки” зависят от уязвимостей в веб-браузерах и другом ПО — в почтовых клиентах или программах для чтения RSS — которые позволяют просматривать веб-страницы. Недостаточно работать с уязвимым ПО; это ПО еще должно быть “эксплуатируемым”, что означает, что оно должно позволить атаке протянуть свои “усики” в вашу систему. Apple представила несколько технологических инструментов — например, Address Space Layout Randomization (ASLR), “песочницы” и DEP — чтобы уменьшить возможность подобных атак, даже если Мак уязвим, и ограничить потенциальный ущерб от атаки. Но эти технологии несовершенны, особенно когда вовлечены сложные приложения типа Adobe Flash или Java, которые обрабатывают веб-контент.

Apple явно должна начать более быстро исправлять то ПО, которое содержит известные уязвимости. После успеха Flashback, можно предположить, что плохие парни будут еще оперативней в ситуации, когда откроется подобная возможность. Купертино должно рассмотреть возможность еще большего закрытия в “песочницу” Safari. Apple также должны рассмотреть возможность раздельных независимых “песочниц” для Flash и Java; если это технически невозможно, компания должна более тесно работать с разработчиками этих технологий над созданием специальных версий для Мака, изначально заключенных в “песочницы”. Adobe недавно добавила улучшения к работе “песочницы” Acrobat на Windows, и это уменьшило эффективность атак.

Технология Gatekeeper из 10.8 существенно изменит условия игры для вручную установленных троянов, когда она станет доступной в этом году; это также сделает подобный вид атак куда менее прибыльным (и, соответственно, встречаться они будут гораздо реже).

Но злодеи определенно обращают на Маки больше внимания. Но нужно все воспринимать в контексте: мы по-прежнему наблюдаем гораздо меньше вредоносного ПО для Маков, чем, скажем, для телефонов Android. И все же, без сомнений, Flashback — это существенный прогресс. Я считаю, что он демонстрирует, что нам предстоит увидеть и другие вредоносные программы на Маках. Я также уверен, что это вряд ли будет случаться часто и не станет непреходящим штурмом эпидемий, как некоторые аналитики предсказывают — до тех пор, пока мы будем применять меры предосторожности и оставаться начеку.

[Рич Могулл (Rich Mogull) работает в отрасли безопасности 18 лет. Он пишет статьи для портала TidBits и работает аналитиком по безопасности в Securosis.com]

What you need to know about the Flashback trojan