A

taki kombinowane (ang. combined attacks) i mieszane zagrożenia – (ang. blended threats) to sieciowe formy ataku komputerowego, które polegają na zmaksymalizowaniu dotkliwości wyrządzonych spustoszeń i prędkości rozprzestrzenienia / zarażania poprzez łączenie metod charakterystycznych dla wirusów i robaków (ang. worm), jak również dzięki wykorzystaniu podatności w danych systemach komputerowych czy systemach urządzeń sieciowych. Bardzo często podczas tego rodzaju ataku używa się także ogólnie ujętej socjotechniki (szczególnie w fazie wstępnej, obejmującej działania phishingu lub pharmingu).

Podejście takie stosowane jest w przypadku bardziej skomplikowanych ataków, gdzie ważnym założeniem jest, aby atakujący przeniknął niezauważony przez wszystkie systemy bezpieczeństwa. Dzięki użyciu wielu technik ataków elektronicznych, zasięg zagrożeń mieszanych jest bardzo duży już z definicji. Charakterystycznymi cechami dla tej techniki są: wyrządzanie szkód na skalę masową; propagacja za pomocą wielu metod – na przykład wstępna dystrybucja odbywa się za pomocą hybrydy (wirus/robak) umieszczonej w wiadomości e-mail, która sama zaczyna się replikować infekując serwery WWW, by każdy odwiedzający stronę użytkownik został również zainfekowany – po czym proces się powtarza (w wielu przypadkach mechanizm taki posiada możliwość automatycznej aktualizacji – łącząc się ze stroną utrzymywaną w technice fast-flux, aby pobrać najnowsze wtyczki uaktualniające jego możliwości lub omijające nowo powstałe mechanizmy neutralizujące); atak na wiele punktów jednocześnie przy wykorzystaniu powstałych luk w oprogramowaniu, które mogą także być przyczyną wcześniejszego ataku np. malware (pasożytnicze żerowanie na innym szkodliwym oprogramowaniu). Zamiarem takiego ataku jest dokonanie rzeczywistej szkody (a nie tylko spowodowanie drobnych problemów z komputerem ofiary), np. poprzez wykonanie ataku DDoS (ang. Distributed Denial of Service) przeciwko wybranemu celowi lub masowa dystrybucja koni trojańskich do wysyłania wiadomości SPAM. Formy tego rodzaju ataku określane są jako najbardziej groźne i wyrafinowane w dziedzinie bezpieczeństwa komputerowego, w dodatku nie wymagają interwencji człowieka (otwierania załączników) dla dalszej własnej propagacji w Sieci. Raz zainicjowane – automatycznie szukają nowych celów, poddając je wielu próbom na sprawdzone luki w mechanizmach bezpieczeństwa. Aktualnie ataki te wykazują cechy wirusów, robaków, koni trojańskich, a także innego rodzaju malware. Najprostszym atakiem wykorzystującym technikę mieszanych zagrożeń jest wysłanie wirusa w załączniku poprzez pocztę e-mail, razem z koniem trojańskim osadzonym w pliku HTML, który ma na celu całkowite uszkodzenie komputera odbiorcy. Nimda, CodeRed oraz Bugbear są typowymi, przykładnymi pierwowzorami mieszanych zagrożeń (już w 2003 roku firma Symantec odnotowała 64% wzrost popularności tego rodzaju ataków). Efektami takiego ataku są nie tylko straty w oprogramowaniu czy nawet sprzęcie komputerowym, lecz także znaczny spadek wydajności wielu pracowników, którzy w wyniku kompromitacji całej sieci czy poszczególnych maszyn są zmuszeni do zawieszenia wielu czynności do czasu, gdy zostaną przywrócone normalne warunki pracy. Obecnie za jedyną formę walki z mieszanymi zagrożeniami specjaliści uważają skupienie się na zarządzaniu poprawkami bezpieczeństwa, używaniu i utrzymywaniu w dobrym stanie zapór ogniowych, a także posługiwanie się systemami IDS (ang. Intrusion Detection System), które posiadają zdefiniowane reguły wykrywające różnego rodzaju szkodliwe oprogramowanie. Wszelkiejmożliwej ochronie powinny podlegać wszystkie punkty infrastruktury informatycznej (ochrona wielu warstw), które mogą zostać potencjalnie zaatakowane, np. brama internetowa (ang. gateway), brama komunikacyjna: e-mail, IM (ang. messaging gateway) czy stacje i serwery końcowe (ang. endpoint clients / servers). Jeśli chodzi o utrzymanie dobrego stanu zapór ogniowych – mowa tutaj oczywiście o stałym nadzorze i aktualizacji oprogramowania wchodzącego w skład mechanizmów blokujących, a także ich implementacja zarówno na węzłach sieciowych, jak i komputerach typu desktop. Edukacja użytkowników i pracowników w zakresie postępowania z załącznikami i niechcianą pocztą, a także ogólne zasady zachowania się online również wnoszą bardzo dużo do zminimalizowania ryzyka infekcji. Szczególnie pomocne są krótkie noty dla pracowników związane z najnowszymi zagrożeniami oraz wytycznymi, jak postępować w ich obliczu w przypadku infekcji zwykłych PC czy urządzeń mobilnych, które aktualnie zbliżone są swoją funkcjonalnością do komputerów osobistych.

      Wraz z rozwojem opisywanego typu ataków możemy zauważyć, jak powoli zacierają się granice pomiędzy poszczególnymi systemami operacyjnymi. Ze względu na swoją budowę programistyczną oraz podejście producenta do kwestii – faworytem nadal pozostaje produkt giganta z Redmond (mimo, iż w 2006 roku laboratorium firmy Kaspersky znalazło kod dowodzący możliwości stworzenia wirusa zdolnego zainfekować zarówno system Windows, jak i Linux – Virus.Linux.Bi.a / Virus.Win32.Bi.a). By zmajstrować coś w Linuksie, trzeba nad tym popracować, by zmajstrować coś w Windowsie, wystarczy na nim pracować. Jednak ataki wymierzone w system Linux bazują głównie na jego słabościach pod względem konfiguracyjnym, a nie programistycznym (w tej koncepcji wykorzystywane są exploity). Na początek można przytoczyć przykład szkodliwego oprogramowania, które wykorzystując błąd pod postacią słabego hasła do kont FTP czy paneli logowania CMS – łamiąc je metodą siłową (ang. brute force) dodawało do każdego pliku index.html / .php, a także .htaccess, zaszyfrowany kod, który miał za zadanie otworzyć ramkę typu IFRAME w przeglądarce i przekierować użytkownika do specjalnie spreparowanej strony. Na witrynie tej dokonywana była analiza, czy zanotowano wcześniej połączenie z konkretnego adresu IP. Jeśli tak, zostawała wyświetlona strona z komunikatem błędu, jeśli nie – przekierowanie było kontynuowane wraz z powtórną weryfikacją adresu IP, po czym kolejny podstawiony skrypt podsyłał ofierze plik będący koniem trojańskim (Win32.Trojan-Spy.Zbot – więcej informacji można znaleźć na blogu Bothunters). Ciekawą kombinacją jest tutaj wykorzystanie uchybienia w protokole bezpieczeństwa pod postacią słabych haseł do kont FTP oraz błędu konfiguracji, która nie uwzględniała żadnego mechanizmu wymuszającego stosowanie tylko silnych haseł do uwierzytelniania kont. W efekcie czego otrzymaliśmy pośrednie infekcje, przenoszące się przy pomocy systemów Uniksopodobnych, które miały na celu rozprzestrzenienie się już w systemach Windows. Można przytoczyć podobny przykład, związany z techniką wstrzyknięcia kodu SQL (ang. SQL Injection), np. boty wyszukujące stron zawierających frazę is not a valid MySQL i – w zależności od funkcji, która zwraca ów komunikat (mysql _ num _rows(), mysql _ fetch _ array() itp.) – przeprowadzające serię odpowiednich ataków, mających na celu wykorzystanie kolejnych dzieł nieuważnego programisty. Może być to np. skrypt PHP / JavaScript do ściągania malware lub dodawanie treści SPAM do zawartości baz danych, która ukazywana byłaby na stronach WWW. W tym przypadku wykorzystane zostałyby błędy konfiguracyjne i programistyczne PHP. Konfiguracyjne – ponieważ komunikaty błędów powinny być logowane do odpowiednich plików, a nie wyświetlane na stronie. Programistyczne – ponieważ to właśnie niesprawdzony lub niezaktualizowany kod generuje takowe ostrzeżenia. Takie ataki kombinowane nie tylko stanowią tunele łączące różne luki różnych platform systemowych, ale także ukazują prawidłowość, że za błąd popełniony w jednym systemie często musi zapłacić drugi. Przy założeniu, że istnieją mniej i bardziej bezpieczne systemy operacyjne, a te w wyższym stopniu odporne służą do ochrony tych bardziej podatnych na ataki – luka znaleziona w systemie ochronnym staje się poważną konsekwencją dla systemów chronionych. Do tego faktu możemy dodać, iż systemy ochronne cieszą się również większym zaufaniem, co czyni je doskonałym medium propagującym ataki. Istnieją również ataki kombinowane, wymierzone tylko i wyłącznie w systemy uchodzące za bezpieczniejsze, wykonywane za pośrednictwem systemów, które posiadają większą zdolność do ich przejmowania. Aktualnie botnety (skoordynowane sieci komputerów) wykorzystywane są m.in. do testowania haseł różnych daemonów Uniksowych / Linuksowych (najpopularniejszym jest SSHd) oraz przeprowadzania ataków z użyciem exploitów. Technika ta daje atakującemu gwarancję, że nie zostanie on zbyt szybko zablokowany (jakby to miało miejsce w przypadku pojedynczego adresu IP) i wykryty. Popuszczając nieco wodzy fantazji, kwestią czasu może być powstanie botnetów służących do łamania kluczy kryptograficznych za pomocą systemów rozproszonych – obok tych rozsyłających SPAM. Skoro botnety wysyłające niechcianą pocztę wykorzystują w głównej mierze przepustowość łączy internetowych, czemu nie stworzyć botnetów wykorzystujących przeważającą część mocy procesorów zainfekowanych maszyn?

Felieton ten pochodzi z magazynu: Hakin9 Nr 10 (41) Październik 2008.