Virová historie

Nejen v poslední době se potýkáme s čím dál větším množstvím kybernetických útoků.  Slýcháme často, že uživatel dostal phishing mail, byl napaden malwarem, došlo ke Command and Control, byl nalezen exploit a spuštěn ransomware. Co to ale všechno znamená? 

V tomto článku se podíváme na to, jak to vlastně všechno začalo.

BRAIN

Z historického hlediska se můžeme podívat na první viry z roku 1986, kdy mezi prvními tzv. stealth viry byl objeven vir Brain. Jistě si pamatujete 360KB 5.25” diskety. Brain byl schopen infikovat jejich bootovací sektory. Během několika týdnů se rozšířil po celém světě. Ačkoliv nezpůsoboval žádné úmyslné poškození, mohl zpomalit čtení z disku a docházelo k vypršení časového limitu, což fakticky mohlo způsobit, že některé disky nebyly použitelné.

 

vir1.png

 

I LOVE YOU

vir2.png

Mezi další zajímavé viry z historie můžeme řadit vir I LOVE YOU. I LOVE YOU je považován za jeden z nejvirulentnějších počítačových virů, jaké kdy byly stvořeny. Jeho úspěšnost byla obrovská. Systémy po celém světě utrpěly škody ve výši zhruba 10 mld dolarů. Předpokládá se, že 10% světových počítačů bylo infikováno. Bylo to tak špatné, že některé vlády a velké korporace zavedly svoje poštovní systémy offline, aby zabránily infekci.

Virus se šířil díky sociálnímu inženýrství. Snahou bylo přimět uživatele otevřít přílohu s vyznáním lásky. Příloha byla ve skutečnosti skript, představován jako soubor TXT. Následně se email odeslal všem příjemcům v seznamu, zatímco docházelo postupně k přepisování souborů. 

 

CODE RED

CODE RED se poprvé objevil v roce 2001 a nejednalo se o další díl Jamese Bonda ;-), ale o počítačový červ, který se zaměřil na počítače s nainstalovaným webovým serverem Microsoft IIS. Proč zrovna CODE RED? Červ byl objeven dvěma zaměstnanci společnosti eEye Digital Security, zatímco pili Code Red Mountain Dew.

Díky využité zranitelnosti na přetečení vyrovnávací paměti v systému byl schopen zanechávat malé stopy na pevném disku a díky své velikosti pouhých 3 569b mohl plně pracovat pouze v paměti. Jakmile byl systém infikován, pokusil se vytvořit sto kopií. Díky chybě v programování se duplikování ještě násobilo a docházelo k velkému snížení dostupných systémových zdrojů. Zároveň díky backdooru umožňoval vzdálený přístup k serveru.

Možná si pamatujete známý útok na web Bílého domu

Zjistit, zda jste byli obětí CODE RED bylo poměrně jednoduché. Na postižených stránkách totiž často zanechával text: “Hacked By Chinese!”. Celkem bylo ovlivněno 1-2 milionů serverů.

vir3.png
vir4.png

 

SASSER

vir5.png

U červů ještě chvíli zůstaneme. Sasser byl objeven v roce 2004. Jeho tvůrcem byl stejný programátor, který stvořil červa Netsky - Sven Jaschan. Červ opět využíval zranitelnosti přetečení vyrovnávací paměti, tentokrát ve službě LSASS (Local security Authority Subsystem Service). LSAS řídí bezpečnostní politiku místních účtů. Zatížení počítače může být často vnímáno jako nepříjemná věc, zde to byl tak rušivý element, že byla ovlivněna kritická infrastruktura, např. letecké společnosti, zpravodajské agentury, nemocnice, apod. Škody se odhadují na cca 18 mld USD. 

 

MELISSA

Melissa je v Americe poměrně populární jméno. V roce 1999 se však nejednalo o živou bytost, nýbrž o infikovaný dokument Wordu, který prohlašoval, že je seznamem hesel pro pornografické stránky. Zvědavost lidí na sebe nenechala dlouho čekat. Po spuštění makra uvnitř wordu došlo k odeslání 50 virů na prvních 50 lidí v emailovém adresáři uživatele, což v té době způsobilo obrovský nárůst provozu a došlo k narušení e-mailových služeb. Virus údajně způsobil škody ve výši 80 mil USD.

 

ZEUS

Trojského koně bychom mohli definovat jako škodlivý kód, který je určený k infikování systému za účelem plnění různých úkolů. Jako nejběžnější se používají obvykle typu keylogging v prohlížeči a ve formulářích. Zeus byl identifikován v roce 2009 a dokázal ohrozit tisíce FTP účtů a počítačů od velkých nadnárodních korporací, jako jsou Amazon, Oracle, Cisco, apod. Botnet Zeus byl využíván k odcizení přihlašovacích údajů k sociálním sítím, e-mailovým a bankovním účtům. Celá operace byla navíc natolik sofistikována, že sloužila pro pašování a převod hotovosti k vůdcům ve východní Evropě.

vir6.png

 

STUXNET

vir7.png

Málokdy se můžeme veřejně setkat s účelně a vládou vyvíjeným virem k ochromení vlády jiné. Stuxnet je typickým příkladem viru vytvořeného za účelem kybernetického boje. Tento počítačový červ byl navržen tak, aby narušil jaderné úsilí Íránců, kde docházelo k útoku na průmyslové programovatelné logické regulátory (PLC), které umožňují automatizaci procesů ve strojích. V tomto případě docházelo k přeprogramování jaderných odstředivek díky infikovaným USB jednotkám. Siemens, na jehož PLC regulátory Stuxnet útočil, nakonec našel způsob, jak malware ze svého systému odstranit.

 

CONFICKER

Jedna z největších známých infekcí počítačových systémů, která způsobila škody ve výši 9 mld USD, byla způsobena pomocí malwaru Conficker. Díky využití zranitelnosti síťových služeb, která byla ve Windows přítomna, docházelo k blokování přístupů k aktualizacím Windows a antivirovým webům, vypnutím služeb a zamykání uživatelských účtů. Následně proběhla instalace softwaru scareware, tzn. oklamání uživatele a přinucení stáhnout si falešné antivirové řešení, kde následně docházelo k postupnému odcizení dat.

vir8.png

 

MY DOOM

vir9.png

Po již zmíněném I LOVE YOU stojí za zmínku další z nejrychleji šířících se e-mailových červů MY DOOM. Červ se byl schopen maskovat jako chyba přenosu e-mailu, obsahující samotnou přílohu. Po spuštění se dále šířil prostřednictvím e-mailového adresáře a libovolných P2P programů. 

V prvé řadě byl schopen otevírat tzv. backdoor, aby umožnil vzdálený přístup, následně zahajoval útok na popření kontroverzní skupiny SCO. Všeobecně se věří, že byl červ vytvořen za účelem narušení SCO kvůli konfliktu o vlastnictví některého linuxového kódu. Odhad škody byl stanoven na 38 mld USD a červ je aktivní i v dnešní době.

 

FLASHBACK

Jako předposlední kus škodlivého kódu si představíme malware pro Mac FLASHBACK. Je to jeden z mála typů malwaru, který ukázal, že Macy nejsou 100% imunní. Tento trojský kůň byl objeven v roce 2011 jako falešná instalace Flash Playeru. Šíří se pomocí webových stránek obsahujících kód JavaScript, který stáhne payload. Po instalaci se Mac stává součástí botnetu jiných infikovaných Maců. Útok byl tak rozsáhlý, že i v oblasti Cupertino, ústředí společnosti Apple, bylo infikováno více než 270 Maců, celkem více než 600,000. Následně Oracle publikoval opravu zranitelnosti, nicméně se stále odhaduje, že od roku 2014 je více než 20 000 Maců stále infikováno.

vir10.png

 

CRYPTOLOCKER

vir11.png

V poslední době nejznámější typ škodlivého kódu, na který narážíme defacto na každém rohu. Cryptolocker je forma trojského koně ransomware zaměřeného na počítače se systémem Windows. K šíření používá např. e-mailové phishingové kampaně. Jakmile je počítač infikován, ransomware začíná šifrovat soubory na pevném disku.

Ransomware je velmi populární právě z důvodu možnosti vydírat své oběti a požadovat výkupné. Výkupné je často vyžadováno v kryptoměnách právě díky jejich možné anonymizaci. Dnes existují různé typy ransomwaru a jedná se prozatím o nejvýdělečnější typ malwaru, jaký kdy byl. Odhaduje se, že stále více jak ⅓ obětí výkupné nakonec zaplatí. 

 

Autor: Lukáš Březina, březen 2020