Nie pozwól, aby twój komputer stał się zombie
Zombie to określenie na zainfekowane komputery, które posłusznie wykonują polecenia pochodzące od cyberprzestępców. Liczba zarażonych maszyn rośnie lawinowo, a każda kolejna ofiara staje się w końcu poddanym tego samego pana, budującego wokół siebie botnet. Co zrobić, aby nie stać się niewolnikiem?
Na naszych oczach toczy się pełnowymiarowa wojna z zombie. Trwa "noc żywych trupów" w cyberprzestrzeni. Tyle tylko, że nie mówimy o hollywoodzkim horrorze. Instytucje i specjaliści w dziedzinie bezpieczeństwa na całym globie łączą siły, aby tropić, monitorować i niszczyć zombie. W walce z zagrożeniem biorą udział m.in. Bredolab (holenderska jednostka do walki z przestępczością zaawansowaną technicznie), Rustock (dział ds. przestępczości cyfrowej w firmie Microsoft) i Coreflood (FBI).
Działania specjalistów na nic się jednak zdadzą, jeśli każdy użytkownik komputera sam nie zatroszczy się o swoje bezpieczeństwo w sieci. Przedstawiamy kilka rad jak uchronić się przed zombie:
1. Regularnie sprawdzaj swój komputer. Zombie mogą być bardzo cierpliwe. Ich kod uruchamia się wiele tygodni, a nawet miesięcy po infekcji. Nie wolno zakładać, że wszystko jest w porządku, już po jednorazowej kontroli, która nie wykryje szkodliwych działań.
2. Nie polegaj wyłącznie na samodzielnej kontroli ani na komunikatach zwracanych przez komputer. Najlepszym sposobem na zidentyfikowanie zombie jest analiza ruchu sieciowego przez serwer bramowy. Zombie mogą zarażać komputery rootkitami, zdobywając uprawnienia na poziomie jądra systemu, co w istocie umożliwi im przejęcie kontroli nad systemem operacyjnym a w konsekwencji ukrywanie plików, okien, ruchu sieciowego itd.
3.Poddawaj komputer kwarantannie w chwili wykrycia infekcji lub wystąpienia sugerujących ją przesłanek takich, jak fałszywe wyskakujące okna programów antywirusowych. Przed ponownym podłączeniem komputera do sieci konieczne jest też jego gruntowne oczyszczenie. Zombie zarabiają pieniądze dla swoich zleceniodawców. Najprostszy sposób to tzw. "scareware", czyli wyskakujące okna zalecające użytkownikowi zakup programu do usuwania wirusów. To ewidentny objaw, że zamieszkujący komputer zombie pobrał oprogramowanie w celu wyłudzenia pieniędzy. Zombie potrafią szybko infekować inne komputery w sieci lokalnej. Dlatego tak ważne jest niezwłoczne zarządzenie kwarantanny do momentu usunięcia zagrożenia. Narzędzi do usuwania rootkitów i złośliwego oprogramowania jest wiele w sieci.
4. Na bieżąco monitoruj profil ruchu sieciowego. Zombie często mają zwyczaj regularnego przesyłania takich samych odpowiedzi do tych samych serwerów z wykorzystaniem tego samego portu, zwykle jest to port HTTP. Wykrycie jednorodnego strumienia wychodzących żądań HTTP kierowanych na ten sam adres IP, zwłaszcza jeśli nie jest uruchomiona żadna przeglądarka, oznacza spore szanse, że w systemie zagnieździł się zombie.
5. Sprawdzaj ruch wychodzący. Zapobieganie włamaniom pomaga powstrzymać zombie przed przejęciem sieci. Ta sama technologia może być również pomocna w wykrywaniu pogawędek pomiędzy zombie. Nawet jeśli komputer jest zainfekowany przez zombie, wykrywając i blokując ruch generowany przez niego w stronę zleceniodawcy, można skutecznie ograniczyć jego szkodliwość. Zombie nadal żyje, ale nie może odbierać poleceń ani wysyłać danych, takich jak np. bankowe dane uwierzytelniające.
6. Unikaj infekcji i broń się przed atakami. Zombie rozprzestrzeniają się w załącznikach do wiadomości e-mail, przez złośliwe odnośniki, za pośrednictwem napędów USB i dokumentów PDF. Należy upewnić się, że funkcja automatycznego uruchamiania jest wyłączona. Zarażenie następuje zwykle w następstwie otwarcia pliku lub kliknięcia łącza. Dlatego zawsze przed kliknięciem łącza trzeba mu się dokładnie przyjrzeć. Dokąd ono prowadzi? Czy nazwa domeny nie zawiera błędów? Bez względu na to, czy łącze dostaliśmy w wiadomości e-mail, w serwisie społecznościowym czy przez komunikator internetowy - należy stosować ten sam proces myślenia. Źródłem infekcji mogą być również pliki PDF, DOC i XLS. Przed ich otwarciem trzeba zatem poświęcić chwilę na analizę wiadomości e-mail, do której były załączone lub która zawierała prowadzące do nich łącze.
7. Stosuj zasadę zintegrowanego zarządzania zagrożeniami (ang. unified threat management, UTM), czyli zabezpieczaj się przed różnymi zagrożeniami jednocześnie. Ochrona antywirusowa może pomóc uniemożliwić uruchomienie kodu binarnego zombie w systemie. Mechanizmy zapobiegania włamaniom przeszkodzą dodatkom do przeglądarek w umieszczaniu kodu zombie w systemie za pośrednictwem złośliwej witryny, a filtrowanie stron WWW zablokuje dostęp do szkodliwych adresów URL nawet przed przesłaniem złośliwego kodu do przeglądarki (i poddaniem go analizie).
Z kolei mechanizmy antyspamowe mogą pomóc oznaczyć flagami złośliwe wiadomości e-mail zawierające załączniki lub łącza,a kontrola aplikacji pomoże zablokować komunikację pomiędzy zarażonymi komputerami, izolując je od ich zleceniodawcy.
O autorze:
Derek Manky jest głównym strategiem ds. bezpieczeństwa w laboratoriach FortiGuard. Uczestniczy w badaniach i opracowywaniu zabezpieczeń, a także zajmuje się komunikowaniem wyników badań na forum publicznym. Do jego zadań należy koordynowanie prac zespołu badawczego i zarządzanie ujawnianiem informacji o działaniach podejmowanych wspólnie przez firmę Fortinet i innych dostawców.
