Flashback против Apple. Самое массовое заражение Mac

 АЛЕКСАНДР ГОРЯЧЕВ, аналитик компании «Доктор Веб»

Flashback против Apple
Самое массовое заражение Mac

Компьютеры Apple на протяжении долгого времени считались одними из самых безопасных и защищенных в мире. Статус тихой гавани в океане компьютерных угроз подтверждался минимальным числом атак, а также количеством вредоносных программ, коих для других платформ – в основном Windows – было несравнимо больше

Чем же причина столь долгого лидерства в списке самых безопасных ОС? Пожалуй, главная причина – фактическое рыночное доминирование компьютеров под управлением семейства настольных операционных систем от Microsoft. Небольшой процент пользователей «маков» объяснялся как высокой ценой этих компьютеров, которая всегда значительно превосходила стоимость среднестатистического PC, так и стратегией, изначально избранной Apple. Компания предлагала готовый продукт в виде компьютеров и операционной системы, официально предназначенной только для них. Такой подход разительно отличался от Microsoft, чью систему можно было установить на самых разнообразных аппаратных конфигурациях от множества производителей.

Рисунок 1. Доля настольных операционных систем на мировом рынке в 2011 году (по версии Netmarketshare)

Прямым следствием этого стала ситуация, когда львиная доля внимания вирусописателей и сетевых мошенников была направлена именно на персональные компьютеры с Windows. Колоссальное число их пользователей давало киберпреступникам большие возможности для реализации их идей, в том числе по зарабатыванию существенных средств с относительно минимальными вложениями и потерями в случае неудачи. В такой ситуации вирусописателям не было большой нужды искать иные площадки для осуществления своих атак. «Макинтоши» не являлись массовым товаром, поэтому долгое время оставались в относительной безопасности.

Другой причиной можно считать различие в архитектуре систем, предлагаемых двумя конкурирующими компаниями. Большинство версий Windows так или иначе допускало функционирование самых разнообразных вредоносных приложений, а также давало им широкие возможности для осуществления деструктивных функций.

Данная проблема кочевала от версии к версии, и успешные попытки исправить положение были предприняты лишь относительно недавно. Несмотря на то что версии Maс OS тоже не могли похвастаться сверхъестественной защищенностью, из-за невысокой доли на рынке эта проблема не приводила к серьезным последствиям, как в случае с Windows.

Вышедшее в начале 2000-х годов обновление линейки ОС от «яблочной компании» – Maс OS X – предлагало существенно переработанную архитектуру, дающую значительный рост уровня защищенности. Система ограничивала возможность выполнения опасных действий как со стороны приложений, так и самого пользователя, минимизируя возникновение серьезных повреждений или иных нежелательных последствий. Конечно, это не могло дать стопроцентную гарантию безопасности, но вкупе с относительно небольшим количеством пользователей снижало потенциальные риски.

Тем не менее, несмотря на усиленную защищенность и объемы рынка, все еще далекие от показателей Windows, система Maс OS X стала все чаще проверяться на прочность. Например, в 2007 году появилась троянская программа Mac.DnsChange, изменяющая локальные настройки таким образом, что при дальнейшей работе пользователя с браузером осуществлялась подмена DNS-запросов, приводящая к фальсификации запрошенных ресурсов Интернета.

В 2009 году была обнаружена вредоносная программа Mac.Iservice, которая распространялась вместе с пиратскими дистрибутивами приложения iWork, а также с различными генераторами лицензий. Ее главной задачей было подключение зараженных компьютеров к бот-сети, названной в дальнейшем iBotnet. Соединяясь с управляющим сервером, Mac.Iservice мог получать инструкции к дальнейшим действиям: выполнению различных скриптов, загрузке файлов, установке других приложений и т.д.

Несмотря на то, что число зараженных компьютеров было невелико, это стало первым случаем объединения «макинтошей» в бот-сеть.

Позднее зафиксировано появление еще нескольких вредоносных приложений, однако динамика их распространения была небольшой, и говорить о каких-либо масштабных случаях заражений не приходится.

Популярность «маков» продолжала постепенно увеличиваться, причем этот тренд заметно ускорился в последние годы. Возросшее число пользователей привело к закономерному росту рыночной доли: по данным Netmarketshare [1], в 2011 году она составила уже около 6%.

Несмотря на то, что разрыв между количеством пользователей Windows и Mac был все еще огромным, этого оказалось достаточно, чтобы киберпреступники обратили более пристальное внимание на потенциальный лакомый кусочек. Как следствие, продолжился рост угрозы вредоносных приложений.

В 2011 году зафиксированы атаки со стороны сразу нескольких троянских программ, среди которых были Trojan.Fakealert [2] и BackDoor.Flashback [3].

Рисунок 2. Один из вариантов Trojan.Fakealert пытается запугать пользователя «мака» несуществующим заражением

Trojan.Fakealert – представитель распространенного типа вредоносных приложений, маскирующихся под антивирусные средства и находящих несуществующие на самом деле заражения. Для очистки системы от «инфекции» пользователю предлагается купить якобы полную версию программы. Создатели этой вредоносной программы одними из первых в среде Mac начали использовать SEO – технологию поисковой оптимизации, при которой определенные веб-сайты и их содержимое начинают отображаться в первых строчках поисковых систем. В случае с Trojan.Fakealert эта технология была использована злоумышленниками для увеличения релевантности результатов поиска по изображениям. Такие изображения с искусственно повышенным поисковым рейтингом размещались на вредоносных сайтах, и при их открытии специальный код JavaScript выполнял загрузку троянца.

Что же касается Flashback, то это троянская программа-бэкдор, позволяющая получить контроль над инфицированной системой и дистанционно выполнять в ней действия, необходимые злоумышленникам.

Бэкдорами также являлось и несколько обнаруженных в Азии вредоносных приложений, среди которых был BackDoor.Olyx [4]. Все они использовались для совершения APT-атак (APT или Advanced Persistent Threat – хорошо спланированная, скоординированная и подготовленная кибератака, направленная на специфические цели, такие как корпоративные или государственные структуры, в целях получения доступа к какой-либо ценной информации, которая может принести атакующим максимальные результаты в среднесрочной и долгосрочной перспективе).

Такой существенный всплеск активности вредоносных приложений для Mac OS X давал богатую пищу для размышлений о том, не пришел ли конец безоблачному существованию платформы. Компании Apple даже пришлось добавить в состав операционной системы специальный компонент XProtect, выполняющий проверку приложений на предмет их принадлежности к известным вредоносным программам. Однако для многих монолитность Mac все еще не подвергалась сомнению.

Но самым жарким оказался апрель 2012 года, когда неожиданно для многих по репутации «непобедимого мака» был нанесен сокрушительный удар. Главным виновником этого события стала новая версия уже известного бэкдора Flashback, заразившая ни много ни мало более 800 тысяч компьютеров Apple по всему миру [5]. Такое массовое заражение стало абсолютным сюрпризом как для большинства пользователей и специалистов по информационной безопасности, так и для самой компании Apple.

Who is Mr. Flashback?

Прародителем BackDoor.Flashback была троянская программа Trojan.Hosts.4737, обнаруженная в июле 2011 года. Она изменяла параметры системного файла /private/etc/hosts, в результате чего при попытке открытия поисковика Google выполнялась загрузка совершенно других ресурсов. Троянец распространялся под видом обновления проигрывателя Adobe Flash Player, что является весьма популярной схемой, уже долгое время применяемой в среде ОС Windows для доставки на компьютеры пользователей разнообразных вредоносных приложений.

Примерно через два месяца, в сентябре 2011-го, на свет появилась полностью переработанная вредоносная программа, получившая имя Flashback. Ее возможности кардинально отличались от предыдущего варианта и фактически делали программу самым функциональным из известных на тот момент бэкдоров для системы Mac OS X.

Для его распространения применялся уже опробованный ранее метод с «обновлением» Adobe Flash Player: сайты, участвовавшие в партнерских программах, с помощью системы распределения трафика (TDS) выполняли загрузку специальных ресурсов, на которых предлагалось фальшивое обновление.

Если пользователь соглашался выполнить его установку, то после цепочки редиректов ему становился доступен архив, содержащий файл с именем FlashPlayer-11-macos.pkg, причем архив загружался только в том случае, если клиентской операционной системой была Mac OS X Lion, что говорило о заинтересованности киберпреступников атаковать именно платформу Mac. После запуска инсталляционный пакет пытался скачать главный модуль бэкдора, а в случае неудачи прекращал работу.

Если установка «проигрывателя» была успешной, пакет FlashPlayer-11-macos.pkg удалялся, а в папку /Library/Preferences/ помещался файл Preferences.dylib – основной компонент бэкдора, способный выполнять команды, поступающие от многочисленных удаленных управляющих центров. В распоряжении злоумышленников имелось несколько серверов, список которых находился в специальном конфигурационном файле.

Вредоносная программа обладала встроенным механизмом проверки этих командных центров: для работы она выбирала тот сервер, который при соответствующем запросе возвращал подписанное цифровой подписью значение SHA1 имени домена. В качестве резервного канала для получения команд могли использоваться сообщения на сервере mobile.twitter.com.

Рисунок 3. Попытка обманным путем заставить пользователя установить поддельное обновление Adobe Flash Player, которое на самом деле является загрузчиком бэкдора Flashback

Интересной особенностью троянца являлась своеобразная мера предосторожности: если в системе обнаруживался один из файлов, принадлежащий определенному типу ПО, например, антивирусным программам и межсетевым экранам, бэкдор прекращал свою работу.

Одной из основных функций Flashback была подмена кликов на веб-сайтах. Благодаря этой функции авторы троянца могли зарабатывать средства от недобросовестного использования рекламной модели Pay Per Click, при которой за каждое нажатие по размещенной на сайте рекламе его владельцу начисляется денежное вознаграждение от рекламодателя.

Среди других возможностей Flashback был сбор информации о системе (версия ядра, используемая архитектура процессора и уникальный UUID компьютера), внедрение JavaScript-кода в просматриваемые пользователем веб-страницы, а также выполнение стандартных команд оболочки shell.

Рисунок 4. Список файлов в системе, при обнаружении которых Flashback завершал свою работу

Последующие обновления Flashback содержали такие функциональные улучшения, как поддержка сторонних браузеров, обфускация кода и шифрование строк, а также детектирование виртуальной среды VMware для усложнения анализа, отключение модуля обновления XProtect. Появилось большее число управляющих серверов и генерация имен доменов этих серверов для последующего к ним подключения.

Потенциальные пути инфицирования Mac OS X

Как мы уже успели убедиться, одним из главных методов заражения компьютеров с Mac OS X является использование приемов социальной инженерии, когда пользователей вводят в заблуждение и обманным путем заставляют выполнить установку вредоносной программы. В этом злоумышленникам существенно помогают схемы TDS, когда определенные веб-сайты, у которых был куплен трафик, перенаправляют посещающих их пользователей на площадки киберпреступников, откуда и происходит распространение вредоносных программ.

Прекрасным примером такого подхода является использование образа обновления проигрывателя Adobe Flash Player, широко применявшегося разработчиками Flashback с момента его создания.

Стоит отметить, что авторы бэкдора использовали несколько модифицированную схему, отличную от типичного TDS: вредоносный трафик покупался ими не у владельцев интернет-сайтов, а у других киберпреступников, которые выполняли инфицирование легитимных порталов. Посещение таких сайтов приводило к задействованию системы распределения трафика и последующему открытию сайтов, принадлежащих авторам бэкдора.

Инструментами интернет-преступников также могут быть социальные сети, электронная почта и легитимное ПО, которое распространяется в модифицированном виде вместе с вредоносным кодом.

Однако у всех методов социальной инженерии есть существенный недостаток: не каждый пользователь поверит в легенду, придуманную злоумышленниками. Чтобы обойти такую проблему, нужен способ, в котором участие пользователя должно быть сведено к минимуму, а число заражений при этом было бы максимальным. И такой способ есть: использование уязвимостей программного обеспечения.

Flashback: смена тактики распространения

В феврале 2012 года, следуя этой логике, создатели BackDoor.Flashback избрали новую тактику по доставке троянца на компьютеры пользователей: вместо попыток обманом заставить их установить бэкдор они использовали известные уязвимости Java.

При открытии пользователями инфицированных сайтов происходила проверка user-agent использовавшегося браузера, и, если запрос осуществлялся из-под «мака» с определенной версией интернет-обозревателя, выполнялось открытие специальной веб-страницы, загружающей несколько Java-апплетов: rhlib.jar, clclib.jar и ssign.jar.

Рисунок 5. JavaScript-код, внедренный бэкдором Flashback в открытую в браузере легитимную веб-страницу

Модуль rhlib.jar использовал уязвимость CVE-2011-3544, дававшую полномочия на запись и выполнение файлов. Он помещал в папку /tmp/ исполняемый файл .sysenterxx, присваивал ему необходимые атрибуты и запускал на выполнение. После запуска программа .sysenterxx проверяла, присутствуют ли в операционной системе файлы определенных приложений, и, если их не было, пыталась выполнить загрузку основного модуля бэкдора. Если же файлы присутствовали, загрузчик прекращал работу и удалял себя из системы.

Второй модуль, clclib.jar, использовал уязвимость CVE-2008-5353. Как и rhlib.jar, он также мог выполнять загрузку и запуск исполняемых файлов.

Что же касается третьего модуля, ssign.jar, то он являлся дроппером, имеющим недействительную цифровую подпись. Злоумышленники рассчитывали на то, что пользователь добавит эту подпись в список доверенных и тем самым разрешит выполнение кода.

В начале марта 2012 года вышло очередное обновление бэкдора. Как и последние версии, новая модификация распространялась через зараженные сайты, содержащие эксплойты.

При этом продолжали использоваться применяемые ранее системы распределения трафика TDS, перенаправляющие пользователей на вредоносные страницы.

В качестве эксплойта опять выступали Java-апплеты, но использующие уже другую уязвимость, CVE-2012-0507. Как и уязвимость CVE-2011-3544, она предоставляла полномочия на запись и выполнение исполняемых файлов.

Рисунок 6. Исходный код веб-страницы, выполняющей загрузку Java-эксплойтов

Эксплойт сохранял на жесткий диск инфицируемого компьютера основной исполняемый файл бэкдора, предназначенный для скачивания с управляющих серверов файлов и последующего их запуска. Как и ранее, троянец проверял наличие в системе объектов, принадлежащих определенным приложениям, и в случае их обнаружения прекращал дальнейшую работу.

После успешного запуска бэкдор соединялся с управляющим сервером, загружал на инфицированную машину исполняемый файл и устанавливал его в системе. В этот момент Flashback демонстрировал на экране компьютера диалоговое окно для ввода пароля администратора. Если пользователь указывал пароль, вредоносная программа запускалась с повышенными привилегиями, однако даже без этого пароля бэкдор сохранялся в домашний каталог пользователя и запускался с использованием полномочий его учетной записи.

Пользовательских прав в операционной системе ему было вполне достаточно для того, чтобы реализовать вредоносный потенциал.

Рисунок 7. Фрагмент содержимого веб-страницы, выполняющей загрузку Java-эксплойта

В дальнейшей работе бэкдор использовал два типа управляющих серверов. Первая категория командных центров реализовывала функции перехвата поискового трафика и перенаправления пользователя на контролируемые злоумышленниками сайты в процессе веб-серфинга. Вторая группа позволяла отдавать ботам различные команды.

Для связи с управляющими центрами Flashback использовал как статический список доменов, так и динамический, генерируемый по специальному алгоритму. Кроме того, имелся дополнительный канал управления через сообщения, поступающие с сервера mobile.twitter.com, как это было в более ранних версиях. В сообщениях, поступающих с этого канала, содержались сведения о новом адресе статических серверов. Такое диверсифицированное построение механизма контроля позволяло максимально продлить живучесть бот-сети в случае отключения основных командных центров.

Рисунок 8. Flashback пытается получить права администратора

Каждый из ботов в своем запросе к управляющему серверу передавал уникальный номер UUID инфицированного компьютера. Применение технологии sinkhole, позволяющей перенаправлять трафик ботов, дало возможность перехватить сообщения, в которых содержались эти номера, и выполнить достаточно точный подсчет инфицированных «маков».

Итоговое число пораженных компьютеров составило более 800 тысяч, что стало самым крупным заражением «макинтошей» в истории.

Что же случилось?

Откуда же взялась такая астрономическая цифра? Еще в феврале 2012 года компания Oracle выпустила исправления Java, закрывающие уязвимость CVE-2012-0507. В скором времени системы Windows и Linux уже получили необходимые обновления, а обычно пунктуальная в таких делах Apple сильно запоздала с подготовкой необходимых патчей. У киберпреступников появился прекрасный шанс использовать сложившуюся ситуацию с максимальной для себя выгодой, ведь пользователи Mac OS X смогли закрыть уязвимость на своих компьютерах лишь в начале марта. И авторы Flashback этим шансом воспользовались.

С того момента, как информация о массовом заражении Flashback стала достоянием общественности, разразились нешуточные споры о ее правдоподобности. Ярые приверженцы защищенности компьютеров Mac не могли даже допустить такую возможность и считали все сообщения о массовом распространении бэкдора ложью. По мере того, как факт крупнейшего в истории заражения «маков» находил все больше подтверждений, доводы некоторых пользователей начали смещаться в сторону непричастности системы Mac OS X к инфицированию. Главным аргументом служило то, что уязвимость присутствовала не в самой системе, а в стороннем программном обеспечении, в частности, в Java. Действительно, уязвимость имела место быть не в коде ОС, а в стороннем ПО. Однако в конечном счете эта уязвимость все равно привела к заражениям, причем компания Apple была отчасти виновной в этом, так как вовремя не предоставила необходимых обновлений.

Что дальше?

Сегодня, спустя несколько месяцев после знакового события, количество «маков», зараженных бэкдором Flashback, значительно сократилось: сейчас их число составляет чуть более 145 тысяч, и эта цифра постепенно продолжает снижаться по мере того, как пользователи вылечивают свои компьютеры. Сайты-партнеры, участвовавшие в распространении бэкдора, сейчас больше не нацелены на операционную систему OS X и представляют опасность лишь для пользователей Windows.

Безопасность компьютерной платформы складывается из многих факторов: ее архитектуры, степени поддержки производителем, числа пользователей и т.п. Если хотя бы один из этих факторов нарушает некий имеющийся баланс, например, увеличивается количество пользователей или невовремя выпущенное обновление системы долгое время не закрывает уязвимость, защиту сразу же проверяют на прочность.

Постепенный рост популярности «маков» неизбежно привел бы к ситуации, подобной той, что случилась с Flashback, это был лишь вопрос времени. И хотя для многих новость о массовом заражении была просто дикой, этот бэкдор стал прекрасным примером того, что даже «непробиваемые макинтоши» могут оказаться под серьезным ударом киберпреступников.

Реальность такова, что основным драйвером их деятельности в наши дни является финансовая сторона. Ведь неспроста Flashback имел в своем арсенале функцию подмены кликов на веб-сайтах. Теоретически бэкдор мог принести своим создателям прибыль и другими методами, если бы образованный им ботнет не был обнаружен раньше времени.

Очевидно, что пока вложения киберпреступников окупаются, атаки на Mac будут продолжаться, и что случится с этой платформой в дальнейшем – покажет время. А что касается Flashback, то эта вредоносная программа навсегда оставила след в истории «маков».

1. http://marketshare.hitslink.com.
2. http://news.drweb.com/?i=1706.
3. http://news.drweb.com/?i=1914&c=23&lng=ru&p=1.
4. http://news.drweb.com/?i=1750&c=23&lng=ru&p=2.
5. http://news.drweb.com/?i=1914&c=23&lng=ru&p=1.

Комментарии могут оставлять только зарегистрированные пользователи