Botnet, który potrafi wyłączyć antywirusa

Biorąc pod uwagę ogromną ilość funkcji oferowanych przez złośliwe oprogramowanie, sprzedawane jest ono za naprawdę niewielką pieniądze - mniej niż 500 euro. Większość funkcji to standardowe rozwiązania dostępne we współczesnych botach, jak: różne metody ataków DoS, możliwość zdalnego łączenia z siecią, formularze przechwytujące i inne formy kradzieży informacji. Szczególną uwagę pracowników G Data SecurityLabs zwróciła jednak funkcja "Disable Anti Virus"! Zgodnie z reklamą dostępną na jednym z podziemnych for internetowych, potrafi ona wyłączyć ochronę ponad 30 programów antywirusowych.

Jak działa bot?

Po zainstalowaniu na komputerze, Beta Bot przeszukuje dysk celem odnalezienia oprogramowania antywirusowego będącego w jego bazie. Po odnalezieniu softu, złośliwe oprogramowanie rozpoczyna atak na antywirusa poprzez zabijanie procesu edytując wpisy  w rejestrze lub wyłączając aktualizację. W zależności od zainstalowanego oprogramowania zabezpieczającego Beta Bot próbuje także obejść zabezpieczenie Firewall wykorzystując do tego programy przepuszczane przez zaporę jak Internet Explorer.

UAC (Users Access Control) - wszystko to kwestia uprawnień

W najnowszych systemach operacyjnych mamy dwa rodzaje uprawnień: niskie dla użytkowników oraz tzw. wysokie dla administratorów. W przeciwieństwie do administratora użytkownik nie może zmienić najistotniejszych ustawień systemu. Jeżeli użytkownik rozpocznie proces, ten otrzymuje uprawnienia zgodne z uprawnieniami jego inicjatora. Zgodnie z tym procesy także możemy rozróżniać dzięki nadanym im uprawnieniom.

Procesy z niskimi uprawnieniami nie mogą modyfikować tych z wyższymi. Natomiast procesy z podwyższonym uprawnieniami mogą modyfikować oba rodzaje procesów. Dodatkowo procesy dziedziczą uprawnienia po sobie. By zapobiec szkodzącemu systemowi złośliwemu oprogramowaniu, podniesienie uprawnień zostało uznane za jedno z najbardziej krytycznych działań. Decyzja o nadaniu większych uprawnień pozostaje w rękach użytkownika. Okno UAC dostarcza podstawowych informacji o programie dla którego mają zostać zwiększone uprawnienia by ułatwić podjęcie decyzji. Beta Bot wykorzystuję interfejs komunikacyjny UAC i poprzez metody socjotechniczne próbuje uzyskać zwiększenie uprawnień uzyskując na to zgodę użytkownika.

Techniki Beta Bot

Niektóre złośliwe programy mogą działać na niskich uprawnieniach ponieważ wciąż daje im to możliwość modyfikacji procesów z takimi samymi uprawnieniami i dokonywać szkód na zainfekowanej maszynie. Jednak programy antywirusowe działają ze zwiększonymi uprawnieniami gdyż muszą mieć dostęp do wszystkich zasobów systemu, dzięki czemu zapewniają nam maksimum bezpieczeństwa. Dlatego by zaatakować oprogramowanie antywirusowe Beta Bot musi zwiększyć swoje uprawnienia. By osiągnąć ten cel twórcy malware wykorzystali dwa triki.

Pierwszy to wykorzystanie procesu Windows cmd.exe i zapytania o uprawnienia dla niego. Wiersz poleceń wywołuję także uruchomienie Beta Bot co powoduje zapytanie o zwiększenie uprawnień dla procesu systemowego, jeżeli użytkownik wyraził zgodę  hakerzy osiągnęli swój cel, Beta Bot dziedziczy uprawnienia po cmd.exe. Przestępcy wykorzystują zaufanie do aplikacji Microsoftu oraz liczą na szybką decyzję użytkownika.

Jeżeli przyjrzymy się dokładniej i rozwiniemy detale zauważymy, że cmd.exe rozpoczyna proces Beta Bot exe. Użytkownik myśląc, że nadaje uprawnienia procesowi Microsoftu sprowadza niebezpieczeństwo na swój komputer.

Szczęśliwie wielu użytkowników jest podejrzliwych w stosunku do pojawiających się znikąd komunikatów UAC z prośbą o zezwolenie na zwiększenie uprawnień.  Aby rozwiązać ten problem Beta Bot prezentuję uzasadnienie przed wyświetleniem okna z zapytaniem - fałszywą wiadomość na temat uszkodzonych folderów w Dokumentach użytkownika oraz "Critical Disk Error". Ma to na celu przestraszyć ofiarę i wymusić na niej reakcje mającą zapobiec potencjalnej utracie ważnych informacji i plików.

Hakerzy proponują dwa rozwiązania fikcyjnego problemu, oba obiecują przywrócenia utraconych folderów. Jeżeli klikniemy na jedno z proponowanych rozwiązań ukaże się nam okno UAC z zapytaniem o zwiększenie uprawnień dla cmd.exe.

Kiedy Beta Bot uzyska już zwiększenie swoich uprawnień, rozpoczyna atak na zainstalowane oprogramowanie zabezpieczające. By nie ograniczać się do jednego kraju złośliwe oprogramowanie jest w stanie kreować okna dialogowe w ponad 10 językach.

Jak nie paść ofiarą

Hakerzy tworząc swoje programy często używają różnych form zastraszania. Nawet w sytuacjach awaryjnych, które na pierwszy rzut oko wyglądają wiarygodnie musimy zachować spokój i zweryfikować  podane informacje. Pomyśl o tym - czy system Windows naprawdę musi zwiększyć uprawnienia swojego własnego procesu aby naprawić błąd na dysku twardym komputera? Nie, absolutnie nie.

Pomyśl zanim klikniesz. Czytaj komunikaty i nigdy bezmyślnie nie przyciskaj guzików "Tak" lub "Ok" w oknach dialogowych.  W razie wątpliwości poradź się znajomego lub poszukaj informacji na temat procesu w sieci.

Każdy użytkownik internetu powinien korzystać z kompleksowych rozwiązań bezpieczeństwa oferowanych przez najnowsze oprogramowanie antywirusowe.

Zamknij luki bezpieczeństwa. System operacyjny i programy z których korzystasz powinny być zaktualizowane do najnowszych dostępnych w danej chwili wersji (service pack, aktualizacje, patche). Przestarzałe oprogramowanie, którego producent nie wspiera już aktualizacjami powinno zostać definitywnie odinstalowane