Ez a fertőzés is sokba kerülhet
Kiderül, hogyan védhetjük meg magunkat
Az online támadók továbbra is sikeresen használják ki a Microsoft Office hibáit, hogy számtalan gyanútlan felhasználó rendszerét fertőzzék meg különböző malware-ekkel. A Sophos három fő exploit gyártó készletre hívja fel a figyelmet: a Microsoft Word Intruderre, az Ancalog Builderre és az AKBuilderre. Ezek közül a legnépszerűbb, az AKBuilder, Rich Text formátumú, kártékony célú tartalom befogadására előkészített Word dokumentumokat hoz létre, amelyekbe malware mintákat helyezhetnek el a rosszindulatú megvásárlóik, hogy azokat később spamként küldhessék szét áldozataiknak. Nem nehéz védekezni az ilyen jellegű ártó tevékenység ellen, egyszerűen csak mindig telepítenünk kell a Microsoft Office legújabb frissítéseit – összegzi a Sophos.
Védekezési lehetőségek
A kiberbűnözők számára az Office dokumentumok tökéletes eszközt jelentenek a kártevők terjesztéséhez, hiszen e fájlokon keresztül a programok és operációs rendszerek számos sebezhetőségét ki tudják használni. Ez a bevált módszer már több mint két éve keseríti meg a felhasználók és biztonsági emberek életét, a fejlesztők és terjesztők pedig nem valószínű, hogy egyhamar beszüntetik a tevékenységüket.
A feketepiacon könnyen hozzáférhető eszközök a bűnözők tömegének biztosítanak lehetőséget támadócélú dokumentumok generálására. Az Ancalog builder eltűnését követően az AKBuilder vált a legnépszerűbb eszközkészletté az online alvilág körében.
Merev szerkezete miatt a generált mintákban történő minden változtatás új verzió kiadását igényli. Védelmi fronton ez némi előnyt jelent, hiszen ha az első mintákat nem is fedezik fel egyből, egy gyors szignatúra-adatbázis frissítés napokig, de akár hetekig is védelmet biztosíthat a felhasználók számára. Ráadásul a kereskedelmi forgalomban kapható eszközökre való hagyatkozás még egy komoly hátránnyal szolgál a bűnözők számára: a builder nem használ zero-day jellegű, vagy akár újnak nevezhető explotiokat. Az AKBuilder visszafogott fejlődést mutat ezen a téren: az olyan újabb exploitok, mint a CVE-2014-1761 és CVE-2015-1641 viszonylag gyorsan ki lettek használva a megjelenésüket követően. De a kit távol áll attól, hogy zero-day támadásokra alkalmas legyen, hiszen az exploit első használata hónapokkal azután következett be, hogy megjelent a hozzá tartozó javítópatch.
„Összességében véve nem kimondottan nehéz védekezni az ilyen jellegű ártó tevékenység ellen, egyszerűen csak mindig telepítenünk kell a Microsoft Office legújabb frissítéseit.”
-emelte ki Szappanos Gábor, a Sophos vírusszakértője.
Két „bűntársához” hasonlóan az AKBuilder az exploit-okra épülő generált Word fájlokat az Office, illetve az azt futtató Windows különböző hibáinak kihasználásának céljából hozza létre.
Az AKBuilder reklámjaival akár a Youtube-on is találkozhatunk, eladása viszont illegális fórumokon zajlik. A károkozó eszközkészlet ára 550 dollár körül mozog, a fizetés pedig olyan elektronikus valutákkal történik, mint például a Bitcoin vagy a Perfect Money.
Két változat ismert, amelyek legfőképpen abban különböznek, hogy az Office mely sebezhetőségeit támadják.
AK-1
A korábbi verzió, az AK-1 két exploitot használ egy dokumentumban: a CVE-20120-0158-at és a CVE-2014-1761-et. Az újabb változat viszont csak egyet, a CVE-2015-1641-et. Mindkét verziót Python scriptként terjesztik, ami teljesen automatizált módon működik, csak a fájlok nevét illetően lehet paramétereket megadni a használat során.
Felépítésüket tekintve az ismert builderek mind nagyjából egy sémára alapulnak. A hard-kódolt exploitblokk az első- és másodszintű shellkódokkal együtt egyetlen hatalmas adatblokként helyezkedik el a scripten belül. A titkosított payload és az álca fájlok ez után következnek. A script merev szerkezetű, a módosításhoz minden esetben frissítés szükséges. A generált fájlok eleje az integrált payloadig azonos.
A script egyetlen adatblokként tartalmazza a dokumentumot, amelyet a készítő gyakran módosítja, hogy a vírusirtó szoftverek vizsgálatait megkerülje. Ezt a beavatkozást ugyan végre lehet hajtani manuálisan is, azonban nagyobb a valószínűsége, hogy a készítő egy speciális, nem publikus szoftvert használ a művelethez. Ezzel az eszközzel létrehoz egy speciálisan előkészített, hibák kihasználására alkalmas Word dokumentumot, amelyet aztán elhelyez a Python scriptben.
Az AK-1 2015 közepétől 2016 közepéig volt a legaktívabb, majd az utódja elterjedése miatt egyre inkább visszaszorult. 2016 nyarára úgy tűnt, hogy végleg is eltűnt, azonban nemrég újra felbukkantak az AK-1 által használt minták. Szappanos szerint még biztosat nem lehet ugyan mondani, de elképzelhető, hogy újbóli felbukkanása az Ancalog builder eltűnésével hozható összefüggésbe. Az Ancalog hiánya miatt jelentősen megnőtt az igény az AK-1 régebbi Office hibákat kihasználó eszközeire, és mint tudjuk, ahol van kereslet…
A terjesztett malware-ek
A Sophos körülbelül 760 olyan fertőző dokumentumot azonosított, amelyet az AK-1-gyel generáltak. Ezeket több mint 50 különböző malware-család terjesztéséhez használták. A leggyakrabban előforduló változatokat ezeken a grafikonon ábrázoltuk:
Az AK-1 fénykorában a legnépszerűbb változatok gyakori trójai eszközöket használtak (Zbot, Chisburg, Fareit, Neurevt), azonban az AK-2 megjelenésével ezek a variánsok némileg visszaszorultak. Űgy tűnik, hogy néhány konzervatív csoport továbbra is az eszközkészlet korábbi változatát használja, de ők a legtöbb esetben a PredatorPain nevű keyloggert és a NetWiredRC nevű, a rendszerhez rejtett hozzáférést biztosító kártevőt használják.
AK-2
A builder forráskódja az AK-1 Python scriptjére épül és ugyanazokat a jellemzőket mutatja.
Az AKBuilder esetén megbecsülni sem egyszerű, hogy hányan dolgoznak rajta, illetve milyen szerveződésben. Mivel a builder lényegében csak egy egyszerű Python script, nagyon könnyű „elcsenni”. Elképzelhető, hogy a fejlesztést egyetlen személy kezdeményezte, majd másik ellopták a
kódját és kiadták a saját verziójukat. Az azonban nyilvánvaló, hogy builder ismert verziói egyetlen kiinduló forrásból származnak és egy fejlesztési ághoz sorolhatóak, még ha egyébként számos email fiók is köthető hozzájuk.
A tejesztők egy része –köztük a legkitartóbb is- látszólag arab államokban végzi tevékenységét, arra vonatkozólag azonban nincs bizonyíték, hogy e terjesztők között lenne bármilyen kapcsolat. De tőlük függetlenül még számos más fejlesztő / terjesztő is árulja a készlet saját verzióit. Néhányan csak erre a builderre specializálódtak, néhányan azonban más kártevő szoftverek kereskedelmével is foglalkoznak. Az eszközkészlet népszerűsége mögött a könnyen értelmezhető és módosítható Python nyelvű forráskód áll.
A Sophos úgy véli, hogy az AKBuilder fejlesztésében és terjesztésében eredetileg körülbelül fél tucat ember működhetett közre, de a köztük lévő pontos kapcsolatrendszer eddig felderítetlen maradt.
