[Нам пишут] Развернуто о «трояне» Flashback

К нам в редакцию часто пишут хорошие и развернутые письма. Мы всех их внимательно читаем и, по возможности, стараемся отвечать. И как нам кажется, некоторые из них достойны того, чтобы быть опубликованными на страницах AppleInsider.ru.
Первой ласточкой в новой рубрике станет письмо от пользователя «Твиттера» @Virasio. Виктор простым и понятным языком рассказывает о нашумевшем трояне Flashback. Орфография и пунктуация авторские.

1-Trojan

«Последние дни в Интернете творится истерия по поводу обнаружения ботнета построенного на компьютерах с системой Mac OS X. Истерию подогревают как апплофобы, которые злорадствую над пользователями Mac «вот и вас поимели», так и апплофилы «нас поиметь нельзя — это всё ложь и пиар антивирусных компаний». Заражение обнаружила компания Dr.Web, и по их данным количество зараженных компьютеров перевалило 700 тысяч, но мне, как и многим другим, не удалось найти ни одного подтверждения заражения от живых людей со скриншотами и т.п. По этой причине многие не верят в существование такого ботнета. Так может он существовать или нет? Давайте разберемся по порядку.

Начнем с простого вопроса: возможно ли загрузить на Mac OS X исполняемый код без участия пользователя? Как выяснилось это было возможно, и подтверждение этого есть от самой Apple в виде выпущенной «заплатки» для Java и ее описания (https://support.apple.com/kb/HT5228):

Multiple vulnerabilities exist in Java 1.6.0_29, the most serious of which may allow an untrusted Java applet to execute arbitrary code outside the Java sandbox. Visiting a web page containing a maliciously crafted untrusted Java applet may lead to arbitrary code execution with the privileges of the current user. These issues are addressed by updating to Java version 1.6.0_31. Further information is available via the Java website at https://www.oracle.com/technetwork/java/javase/releasenotes-136954.html

Здесь говорится о возможности выполнения Java-апплетом любого кода за пределами «песочницы» Java-машины с привилегиями текущего пользователя. Что же это обозначает, если по простому? Вы заходите на некий сайт, нем есть незаметный для вас Java-апплет, у него нет ни какой визуализации, он просто выполняет свой код. Но это только если у вас установлена Java-машина. В Mac OS X 10.6 она есть по умолчанию, в 10.7 ставится при первом требовании. Ее могут требовать некоторые программы или сайты с апплетами. Мне, например, пришлось поставить для использования интернет-банкинга от Raiffeisen Bank. Так что Java установлена у очень многих пользователей, и многие могли заразиться таким образом. При этом этот зловредный Java-апплет может выполнить любые команды на вашем компьютере с правами текущего пользователя, а это обозначает, что он может создать в одной из папок вашего пользователя исполняемый файл и запустить его. Конкретно Flashback.39 создает исполняемый файл и вносит изменения в конфигурационные файлы пользователя таким образом, чтобы этот файл запускался по некому расписанию. Про то что делает этот файл будет чуть позже, а пока продолжу про само заражение. Flashback — это не вирус, который распространяет сам себя. Это «бакдор», «троян», который позволяет управлять некоторыми действиями компьютера без ведома пользователя. Распространение происходит через сайты, причем не обязательно это подставные сайты создателей этого трояна. Авторы Flashback нашли уязвимости на некоторых уже известных сайтах, и внедрили в них код запускающий зловредный Java-апплет. Хотя были и подставные сайты, который раскручивались стандартными seo-методами для вывода в топ выдачи Google по популярным запросам. Таким образом проблема заражения кроется в уязвимости в Java, а распространения в уязвимостях на популярных сайтах. Надеюсь этого было достаточно, чтобы убедить вас в возможности заражения.

Теперь хочется поговорить о том как была обнаружена эта сеть зараженных компьютеров, и почему это сделали Dr.Web. Некоторые думают, что Dr.Web это наша местная местечковая русская компания, о которой ни кто не знает. На самом деле их продуктами пользуются во всем мире, хотя они, конечно, не так популярны как антивирусы Касперсокго или Symantec. Так вот, как выясняется подобная уязвимость была закрыта под Windows уже в феврале, и о ней стало широко известно в кругах тех кто занимается вирусными технологиями. Dr.Web конечно же внедрили детектирование этой уязвимости в свои продукты как под Windows, так и под Mac. И вот им в один прекрасный момент прилетели отчеты об обнаружении атаки через эту уязвимость, но не на Windows, а на Mac OS X. Они разобрали по кусочкам прилетевший файл, поняли как он работает, и перехватили управление ботнетом. Почему именно они? Повезло! Возможно чуть позже это бы сделала какая-то другая антивирусная компания. Или может у других антивирусных компаний продукты под Mac OS X не на столько хорошо работают на эвристиках. Судить сложно. Нет, остается вариант, что они сами создали этот бакдор, но это не меняет сути возможности существования ботсети. Кто-то не понимает как можно перехватить управление. А все просто: бакдор по некоторому алгоритму генерирует имя домена с которого должен получить команду, и стучится туда. Зачем генерировать это имя? А для того, чтобы при закрытии одного домена сеть не прекратила свое существование. Если закрывается один домен, то авторы вируса регистрируют новый (они же знают алгоритм генерации), и размещают управляющий сервер по тому адресу. Ботнеты давно уже не стучатся на конкретные IP-адреса, они стучатся на некую генерируемую последовательность доменов. В компании Dr.Web вломали код генерации имен, проверили какие из них существуют, сообщили регистраторам доменов о проблеме, те закрыли известные домены, а Dr.Web зарегистрировали очередной по алгоритму домен, поставили там свою управляющую систему и стали собирать статистику. В какой-то момент их попытались закрыть, и судя по всему это сама Apple, т.к. похоже их специалисты тоже разобрали алгоритм генерации доменов, и тоже нашли какие домены функционируют, и потребовали их закрыть. Однако Dr.Web является авторитетом в области безопасности, чтобы кто ни говорил, и они имеют репутацию, позволяющую вернуть в строй свои домены. Так что Dr.Web вернул контроль и продолжил сбор статистики. Таким образом мы закрываем вопрос о способе обнаружения ботнета, и способе перехвата управления.

Какие же вопросы еще остаются? Наврное всем интересно чем для чего существует этот ботнет. А для того же для чего остальные — выполнения действий по команде от сервера. Это может быть DDOS, это может быть некие накрутки, это может быть регистрация ботов в соц. сетях и т.д. и т.п. В основном это могла быть какая-то интернет-активность, т.к. с правами обычного пользователя в Mac OS X можно сделать не так много. Либо могли в какой-то момент заняться фишинг-атакой на пользователей показывая им некое окошко стилизованное под что-то привычное для пользователя, для воровства его паролей от какого-нибудь сервиса, или других личных данных. Почему ни чего такого не делали? Не хотели раньше времени вскрываться, хотели набрать базу побольше. Заражено же всего 1-2% от всех Mac’ов, а Apple не шевелилась закрывать уязвимость, так что заражение могло бы продолжаться еще долго. А может авторы просто не ожидали такого быстрого роста ботсети, и у них не было заказов что делать. Можно еще долго гадать, но пока все выглядит очень правдоподобно.
Некоторые спрашивают зачем было мучиться и делать ботсеть чисто из Mac’ов, если намного проще заразить Windows. Но где же мучения? Есть известная уязвимость, о которой известно второй месяц, и ее не закрывают. Просто грех не воспользоваться. Почему не воспользовался ни кто другой? А кто вам сказал что ни кто не воспользовался? Может просто у тех людей меньше возможностей по заражению web-сайтов, и такого распространения их продукт не получил. Но обратите внимание, что системы под Windows сейчас тоже в большинстве своем заражаются через зараженные web-сайты. Так что технология отработанная, и создать эту ботсеть было не сложнее чем ботсеть на windows-машинах.

Ну и в заключение этой ночью выяснилось, что Apple подтверждает наличие проблемы, и разрабатывает софт для удаления трояна (https://support.apple.com/kb/HT5244?viewlocale=en_US&locale=en_US):

Apple is developing software that will detect and remove the Flashback malware.

Надеюсь я все разложил по полочкам достаточно понятно и подробно и без лишней «воды» при этом, хотя и получилось достаточно длинно, и хотелось написать еще больше, т.к. остались еще не раскрыты некоторые вопросы. Но думаю всего выше сказанного достатоно, чтобы поверить в серьезность угрозы. Да, угроза для конечного пользователя не так велика, если ему не жалко, что его Mac могут использовать для нехороших действий.»