Игровые приставки — новая платформа для вирусов?

В начале октября 2005 года мы стали свидетелями редкого явления в вирусной эволюции. Вредоносные программы пробрались на новую платформу и заставили задуматься о дальнейших перспективах развития цифровых устройств.

Вирусы завелись в игровых приставках! О таком развитии нельзя было и подумать несколько лет назад, а некоторые прогнозы относительно появления вирусов, поражающих микроволновые печи или холодильники, воспринимались широкими массами как шутки. Очередной раз реальность подтвердила самые пессимистичные ожидания.

Первой жертвой стала игровая приставка PlayStation Portable компании Sony. Опубликованный на ряде сайтов под видом игры троянец удаляет системные файлы на устройстве, выводя её из строя, что очень похоже на базовое поведение троянцев для мобильных телефонов. А еще через несколько дней было обнаружено два троянца, атакующих другую игровую платформу — Nintendo DS. Во всех случаях риску заражения были подвержены не стандартные устройства, а «взломанные», то есть те, которые позволяют загружать на исполнение пиратские копии игр. Подобные «взломанные» приставки пользуются большой популярностью по причине высокой стоимости лицензионных игр. Также существует большое количество хакерских групп, специализирующихся на взломе и копировании игр для приставок.

Можно сказать, что сложилась ситуация, полностью описанная в трех основных принципах появления вирусов для определенной системы, а именно:

1. <LI class=large>Популярность системы. Рынок игровых приставок и игр для них испытывает очередной бум популярности, фактически давно став де-факто стандартом игровой индустрии. Приставками пользуются десятки миллионов людей во всем мире. <LI class=large>Документированность платформы. Несмотря на то что основных производителей игровых платформ три (Sony, Nintendo, Microsoft), внутренняя структура каждой из платформ достаточно хорошо изучена многочисленными хакерскими группами и постоянно подстегивается прибылями, которые приносит продажа пиратских копий игр для приставок. Информацией о том, как взломать приставку, соответствующие форумы и сайты буквально наводнены.
2. Наличие уязвимостей. Главной уязвимостью является возможность для пользователя получить доступ к системным файлам устройства. А как известно, вирус может все то, что может сделать пользователь.

Все эти три фактора совпали, что и привело к появлению троянских программ. И несмотря на то что за прошедшее время нами не было обнаружено новых вирусов, важна сама возможность их существования. Дверь приоткрыта, и ей неминуемо воспользуются злоумышленники.

Еще более важной является общемировая тенденция по созданию новых классов устройств, способных объединяться в сети, иметь выход в Интернет и управляться из единого центра. Если раньше к числу таких устройств относились только компьютеры (включая карманные) и телефоны, то сейчас мы наблюдаем всплеск в развитии технологии. «Подключить к сети все что можно и дать пользователю возможность управлять всем дистанционно» — основной лозунг этого движения. Игровые приставки, бытовая техника, «умные дома» — все соединяется друг с другом, причем как правило при помощи беспроводных технологий (WiFi, Bluetooth, IrDA). Таким образом число рисков при использовании этих технологий возрастает многократно. Все устройства будут иметь уязвимые места, все устройства станут объектом внимания со стороны хакеров. Прибавьте к этому вечные проблемы безопасности беспроводных сетей — и вы получите весьма пессимистическую картину, причем ближайшего будущего. Картину, для которой не будут подходить традиционные антивирусные решения.

Руткит Sony

История о том, как независимый исследователь Марк Руссинович обнаружил руткит в DRM-модуле музыкальных дисков компании Sony, широко известна. О ней написано множество статей, а против Sony выдвинуто несколько судебных исков. Без сомнения, этот случай, наряду с уязвимостями в Windows, является не только одним из самых важных событий в индустрии компьютерной безопасности IV квартала 2005 года, но и одной из основных тем всего года.

Я не буду пересказывать здесь эту историю целиком и отслеживать хронологию событий. Думаю, что все наши читатели и так достаточно хорошо осведомлены о произошедшем инциденте. Мы с вами попробуем проанализировать ситуацию в целом и попробуем сделать выводы.

Сложилась ситуация, когда несколько сотен тысяч компьютеров оказались оснащены средствами для скрытия файлов и процессов от пользователя.

Итак, «благодаря» компании Sony, сложилась ситуация, когда несколько сотен тысяч компьютеров в мире оказались оснащены средствами для скрытия файлов и процессов в системе от пользователя. Фактически это означало, что любой файл, имевший название, начинающееся с «$sys$» становился невидимым для стандартных средств. Понятно, что подобный функционал однозначно является рискованным и легко может быть использован вредоносными программами для своего сокрытия в системе. Собственно, это и произошло сразу же, как стало известно о подобной возможности. Спустя несколько дней после того, как Руссинович опубликовал в своем блоге информацию о рутките, нами уже был обнаружен бэкдор, устанавливающий себя в систему с именем, начинающимся с $sys$. Им стал Backdoor.Win32.Breplibot.b. (Собственно, первооткрывателями данного бэкдора стали наши коллеги из антивирусной компании Trend Micro, мы же стали первыми, кто точно классифицировал его как новый вариант Breplibot.)

Затем подобный прием стали использовать и другие вирусы, что неудивительно, учитывая возможное число уязвимых компьютеров, а также проблемы некоторых антивирусных программ в выявлении руткитов.

Фактически это был один из крупнейших инцидентов в истории, когда мы столкнулись с тем, что «виновником» вирусной активности стала сторонняя компания, а не Microsoft. До сих пор авторы вирусов ориентировались на уязвимости в Windows, теперь же причиной атаки стала Sony. Именно этот факт, как мне кажется, является весьма важным во всей этой истории. Налицо явная дифференциация векторов атак на пользователей. Повышенное внимание к поиску уязвимостей в продуктах не только от Microsoft, так явно выраженное в последние пару лет, должно было привести к тому, что плодами этих исследований воспользуются киберпреступники. Мы ожидали подобное изменение тренда, однако предполагалось, что объектом атаки станут уязвимости в антивирусных продуктах и/или сетевых устройствах компании Cisco (а именно операционная система IOS). Впрочем, не исключено, что в случае с Sony свою роль сыграло то, что уязвимость была крайне проста в использовании, а также весьма широко афиширована в средствах массовой информации.

Итак, мы можем сделать следующие выводы:

1. <LI class=large>Использование хакерских технологий (руткит) не считается компаниями-производителями программных продуктов недопустимым с моральной и технической точки зрения. После того, как руткиты были использованы в некоторых AdWare, они фактически стали считаться в программистской среде приятной возможностью для защиты своих программ. О том, что данная технология имеет весьма сомнительные с моральной точки зрения позиции, а также может быть использована в злонамеренных целях — авторы этих программ забывают. <LI class=large>Наличие низкого уровня программирования у специалистов крупных софтверных компаний. Я говорю не только о том, что количество уязвимостей в современных программных продуктах уже давно превысило все допустимые нормы. Я говорю, о том, что зачастую они даже не умеют писать то, за что берутся. Пример с тем, как программисты из First4Internet (компании, создавшей руткит по заказу Сони), еще год назад сами искали информацию о возможностях для скрытия файлов в системе — более чем показателен. Оценивать же созданный ими руткит с точки зрения технологии просто не хочется. <LI class=large>Microsoft и ее Windows больше не являются единственной причиной и виновниками вирусных эпидемий. Теперь эта вина по праву ложится на любую компанию, чьи популярные программные продукты содержат уязвимости или недокументированные функции. Отныне, любая из таких уязвимостей может стать объектом для вирусной атаки на пользователей. <LI class=large>Вирусописатели переходят от тактики слежения за уязвимостями в Windows и использованию их постфактум, к тактике самостоятельного поиска уязвимостей в Windows и слежению\использованию уязвимостей в программных продуктах других компаний. Этот вывод обобщает историю с руткитом от Сони и уязвимостью в обработке WMF-файлов в Windows.
2. Антивирусные компании все чаще и чаще будут сталкиваться с ситуацией, когда интересы защиты пользователей могут идти вразрез с интересами крупных софтверных компаний, использующих рискованные технологии. Понятно, что интересы защиты пользователей диктуют необходимость детектирования и удаления руткита из системы, с другой стороны компания-производитель не преследует криминальных целей и пытается защитить свою программу. Необходима выработка совместного решения на проблему в целом, как со стороны антивирусного сообщества, так и со стороны софтверных компаний.

Итоги четвертого квартала

Последний квартал 2005 года запомнился нам, в основном, по широко растиражированному прессой скандалу вокруг системы защиты от копирования, примененной в аудио-CD, выпускаемых звукозаписывающим подразделением компании Sony, и долгое время остававшейся открытой всем ветрам критической уязвимости в обработчике файлов формата WMF в Microsoft Windows.

В конечном итоге Sony поддалась давлению со стороны ИТ-профессионалов и опубликовала утилиту, позволяющую удалять руткит с пользовательских компьютеров. Также было объявлено о бесплатной замене защищенных пресловутой XCP-защитой аудио-CD на аналогичные диски уже не содержащие никаких руткит-компонентов.

Уязвимость в обработчике WMF была устранена в начале января 2006-го года, хотя для этого Microsoft также понадобилось почувствовать на себе давление общественности.

В четвертом квартале случилась одна из самых крупных эпидемий 2005 года — эпидемия Sober.y. Эпидемия сопровождалась загадочными предупреждениями со стороны немецкой полиции, показательными примерами очередных успехов социальной инженерии и общим недоумением от того, как этот технически весьма несложный почтовый червь сумел заразить подобное количество компьютеров.

Напоследок позвольте еще раз напомнить вам о программах типа Gpcode и Krotten. Последние события показывают, что эта форма интернет-мошенничества начинает встречаться нам все чаще и чаще, а рост технической сложности подобных программ ставит под угрозу возможность восстановления вашей информации (мы, конечно, не рассматриваем в качестве достойного варианта выполнение требований шантажистов). Будьте бдительны, не запускайте незнакомые программы, всегда устанавливайте критические обновления операционной системы и регулярно обновляйте базы вашего антивируса.

О дальнейшем развитии ситуации в области интернет-безопасности Viruslist расскажет нам весной наступившего года.