Niebezpieczne komunikatory. Część pierwsza.

Klient IM

Dla wielu osób komunikacja online stanowi integralną częścią ich codziennego życia. Internet oferuje wiele możliwości komunikowania się z innymi osobami - pocztę elektroniczną, czaty, fora, blogi itd. Jedną z popularnych opcji są komunikatory internetowe (ang. Instant Messenger - IM), które pozwalają użytkownikom rozmawiać ze sobą w czasie rzeczywistym w dowolnym miejscu na świecie.

Aby móc korzystać z komunikatora internetowego, użytkownik potrzebuje łącza internetowego i aplikacji klienckiej zainstalowanej na swoim komputerze. Istnieje duży wybór aplikacji IM i prawie wszystkie obsługują te same podstawowe funkcje, umożliwiając szukanie innych użytkowników o podobnych zainteresowaniach, dostęp do profili osobowych, wybór trybów itd. Wiele klientów IM oferuje również dodatkowe funkcje.

Najpopularniejszym klientem IM w Rosji jest bez wątpienia ICQ - żartobliwy skrót frazy "I seek you". Każdy użytkownik ICQ posiada unikatowy numer, lub UIN (ang. Unified Identification Number), przy pomocy którego loguje się. Każdy UIN jest zabezpieczony hasłem ustawionym przez użytkownika. Wiadomości są wysyłane za pośrednictwem protokołu TCP/IP przy pomocy formatu specjalnie stworzonego przez twórcę tego komunikatora, firmę Mirabilis. Z reguły, jedna wiadomość składa się z jednego pakietu TCP. Kilka innych klientów wykorzystuje zmodyfikowane wersje tego protokołu w celu wysyłania wiadomości, np. QIP (ang. Quiet Internet Pager) oraz Miranda.

MSN Messenger (lub Windows Live Messenger) firmy Microsoft to kolejny klient IM, który jest popularny wśród użytkowników z Zachodu. MSN Messenger wykorzystuje Microsoft Notification Protocol (MSNP, znany również jako Mobile Status Notification Protocol). Protokół MSNP2 jest publicznie dostępny, natomiast inne wersje nie są. Najnowsza wersja komunikatora MSN Messenger wykorzystuje wersję MSNP19.

Windows Live Messenger
Windows Live Messenger

Skype, oprócz standardowych funkcji komunikatora internetowego, oferuje również komunikację głosową. Ten popularny na całym świecie program umożliwia użytkownikom darmowe komunikowanie się za pomocą głosu. Aby móc skorzystać z tych funkcji, użytkownik musi posiadać słuchawki z mikrofonem (lub zewnętrzny mikrofon podłączony do komputera), samą aplikację oraz łącze internetowe. Przy pomocy Skype'a można również wykonać rozmowę telefoniczną z dowolnym numerem, jednak usługa ta nie jest darmowa.

Zagrożenia związane z komunikatorami internetowymi

Niestety świat wirtualny jest otwarty na nadużycia, podatne są na nie również komunikatory internetowe. Komunikatory internetowe często są celem następujących szkodliwych działań:

1. Kradzież haseł do kont komunikatorów internetowych przy pomocy ataku "brute force" lub socjotechniki.

2. Rozprzestrzenianie szkodliwego oprogramowania (można tego dokonać na dwa sposoby):
-Wysyłanie wiadomości zawierających odsyłacze; po kliknięciu przez użytkownika odsyłacza na jego komputer PC zostanie pobrany plik szkodliwego programu. W celu nakłonienia użytkownika do otwarcia pliku wykorzystuje się socjotechnikę, czego efektem jest uruchomienie szkodliwego programu.
-Wysyłanie wiadomości zawierających odsyłacze do zainfekowanych stron internetowych.

3. Spam.

Wszystkie komunikatory internetowe są podatne na pewne rodzaje zagrożeń. Weźmy na przykład popularny chiński komunikator QQ. Rozpowszechniony w Chinach Trojan-PSW.Win32.QQPass i podobny do niego Worm.Win32.QQPass zostały specjalnie stworzone w celu kradzieży haseł do klienta QQ. WormWin32.QQPass rozprzestrzenia się poprzez kopiowanie siebie na nośniki przenośne wraz z plikiem autorun.inf (przez co zapewnia sobie uruchomienie się na niezainfekowanym komputerze, pod warunkiem że jest włączona funkcja Autorun).

Również Skype nie umknął uwadze twórców wirusów. Worm.Win32.Skipi rozprzestrzenia się za pośrednictwem Skype'a poprzez wysyłanie odsyłacza do swojego pliku wykonywalnego do wszystkich kontaktów Skype'a na zaatakowanej maszynie. Robak rozprzestrzenia się również poprzez kopiowanie się na nośniki przenośne wraz z plikiem o nazwie "autorun.inf". Ponadto, poprzez edytowanie pliku hosts uniemożliwia aktualizację rozwiązań antywirusowych i systemu Windows oraz próbuje zakończyć procesy związane z aplikacjami bezpieczeństwa. Oczywiście obraz nie byłby kompletny bez trojana: Trojan-PSW.Win32.Skyper został stworzony w celu kradzieży haseł do kont Skype'a.

MSN Messenger firmy Microsoft jest aktywnie wykorzystywany do rozprzestrzeniania botów IRC. Wiele z nich potrafi rozprzestrzeniać się za pośrednictwem komunikatora internetowego po otrzymaniu polecenia od zdalnego użytkownika za pośrednictwem backdoora. Na przykład, jeżeli cyberprzestępca posiada niewielki botnet, który che rozszerzyć, wysyła polecenie do backdoorów na zainfekowanych maszynach. Polecenie to "instruuje" maszyny, aby wysłały wiadomość z odsyłaczem, takim jak http://www.***.com/www.funnypics.com, do wszystkich kontaktów komunikatora MSN Messenger na tych maszynach. Później wszystko zależy już od osoby, która otrzyma taką wiadomość. Jeżeli zdecyduje się obejrzeć "śmieszne zdjęcia", może to oznaczać, że kolejny komputer zostanie dodany do sieci zombie - poprzez kliknięcie odsyłacza użytkownik pobiera backdoora na swoją maszynę.

Szkodliwi użytkownicy wykorzystują komunikator MSN Messenger, ponieważ wchodzi on w skład pakietu instalacyjnego systemu Windows. To oznacza, że wszyscy użytkownicy tego systemu automatycznie posiadają klienta MSN na swoich maszynach. Popularność MSN na całym świecie czyni go jeszcze bardziej atrakcyjnym dla cyberprzestępców, którzy chcą zwiększyć liczbę zainfekowanych komputerów w swoich botnetach.

Fragment Backdoor.Win32.SdBot.clg. Podkreślone sekcje pokazują polecenia wykorzystywane do rozprzestrzeniania trojana
Fragment Backdoor.Win32.SdBot.clg.
Podkreślone sekcje pokazują polecenia wykorzystywane
do rozprzestrzeniania trojana

Zagrożenia związane z ICQ

Sekcja ta zawiera przegląd przez pierwszą z trzech najpowszechniejszych metod ataków na klienty IM na przykładzie ICQ.

Kradzież haseł

Jak już wspominaliśmy wcześniej wszyscy użytkownicy ICQ posiadają niepowtarzalny numer identyfikacyjny lub UIN. Obecnie najpowszechniejsze są numery dziewięciocyfrowe. Jednak wielu użytkowników chciałoby, aby ich UIN był taki sam jak ich numer telefonu komórkowego, aby był to liczbowy palindrom, lub składał się z tych samych cyfr. Takie numery są łatwe do zapamiętania, a dla niektórych posiadanie takiego numeru jest sprawą prestiżu. Pięcio-, sześcio- lub siedmiocyfrowe numery ICQ, które składają się z dwóch różnych liczb, są uważane za szczególnie cenne.

"Atrakcyjne" numery UIN są sprzedawane, często nawet po wysokich cenach. Wiele stron posiada również serwis, za pomocą którego można zamówić numer, i obiecuje "uzyskanie" pożądanego przez klienta numeru. Ponadto osobom zainteresowanym wysyłaniem masowych wiadomości oferowane są niewyróżniające się numery dziewięciocyfrowe. Wykorzystywanie wielu różnych numerów do dystrybuowania spamu pomaga uniknąć czarnych list antyspamowych wykorzystywanych przez zirytowanych użytkowników w celu ignorowania określonych numerów.

Sprzedawcy takich "prestiżowych" numerów rzadko wspominają, w jaki sposób zostały one uzyskane. Strony e-handlu zapewniają, że numery UIN są sprzedawane legalnie. Jednak w większości przypadków sprzedawca uzyskał numery ICQ w sposób nielegalny.

Do kradzieży numerów UIN wykorzystuje się wiele metod. Wiele sklepów internetowych sprzedających atrakcyjne numery UIN często bierze udział w poszukiwaniu haseł na skalę przemysłową i kradzieży kont. Inną metodą jest kradzież hasła do poczty elektronicznej użytkownika ICQ a następnie wykorzystanie go do zmiany oryginalnego hasła UIN bez wiedzy użytkownika. Poniżej szczegółowo opisaliśmy w jaki sposób to działa.

Konstruktor wykorzystany do stworzenia trojana Trojan-PSW.Win32.LdPinch.
Konstruktor wykorzystany do stworzenia
trojana Trojan-PSW.Win32.LdPinch.

Pomoc techniczna dla ICQ oferuje usługę dla użytkowników, którzy zapomnieli swoich haseł UIN. Proces przywracania hasła został kilkakrotnie zmodyfikowany i obecnie jest dość wyrafinowany. Stanowi teraz całkiem dobre zabezpieczenie przed kradzieżą haseł. Użytkownicy muszą odpowiedzieć na pytanie, które sami zadali. Jeżeli nie pamiętają odpowiedzi, pytanie może zostać zmienione przy pomocy poczty elektronicznej - adresu e-mail podanego w informacjach kontaktowych podczas rejestracji. Proces jest dość bezpieczny, jeżeli jednak osoba trzecia w jakiś sposób uzyska dostęp do poczty elektronicznej, bez trudu zdobędzie też UIN. Po uzyskaniu hasła do poczty elektronicznej szkodliwy użytkownik może skontaktować się z ICQ, podszywając się pod właściciela konta, który zapomniał swojego hasła UIN. Szkodliwy użytkownik może w ten sposób uniemożliwić pierwotnemu właścicielowi uzyskanie dostępu nie tylko do jego własnego konta ICQ, ale również do pierwotnego konta poczty elektronicznej, zmieniając jedynie stare hasło. Kradzież tego typu nie jest łatwa - uzyskanie haseł do kont e-mail połączonych z numerami ICQ wymaga potężnego komputera a nawet sieci.

Jednak najpopularniejszą metodą kradzieży numerów ICQ jest wykorzystanie szkodliwych programów, w szczególności trojana Trojan-PSW.Win32.LdPinch. W ciągu kilku minionych lat ta rodzina trojanów zaczęła stanowić zagrożenie dla użytkowników. LdPinch nie tylko kradnie hasła do ICQ i innych klientów IM, takich jak Miranda, ale również do kont poczty elektronicznej, różnych programów FTP, gier online itd. Istnieją wyspecjalizowane konstruktory programów do tworzenia określonych typów szkodliwych trojanów. Takie programy umożliwiają ustawienie parametrów określających, które hasła użytkownika zostaną ukradzione przez szkodliwy program po zainstalowaniu się na maszynie. Po skonfigurowaniu programu szkodliwy użytkownik musi tylko podać adres e-mail, na który zostaną wysłane poufne informacje. Łatwość, z jaką można stworzyć takie szkodliwe programy, powoduje, że są rozpowszechnione nie tylko w ruchu pocztowym, ale również w ruchu IM.

Na podstawie Zagrożenia związane z komunikatorami internetowymi

Źródło: Redakcja