Zombie to określenie na zainfekowane komputery, które posłusznie, nie zgłaszając skarg i zażaleń, wykonują polecenia pochodzące od swoich zdalnych zleceniodawców. Liczba zombie rośnie lawinowo, a każda kolejna ofiara staje się w końcu poddanym tego samego pana, budującego wokół siebie botnet.
Przedstawiamy kilka rad, jak uchronić się
przed zombie:
1. Regularnie
sprawdzaj swój komputer.
- Zombie
mogą być bardzo cierpliwe. Ich kod uruchamia się wiele tygodni, a nawet
miesięcy po infekcji. Nie wolno zakładać, że wszystko jest w porządku, już po
jednorazowej kontroli, która nie wykryje szkodliwych działań.
2. Nie
polegaj wyłącznie na samodzielnej kontroli ani na komunikatach zwracanych przez
komputer.
- Najlepszym sposobem na zidentyfikowanie
zombie jest analiza ruchu sieciowego przez serwer bramowy.
- Zombie mogą zarażać komputery rootkitami,
zdobywając uprawnienia na poziomie jądra systemu, co w istocie umożliwi im
przejęcie kontroli nad systemem operacyjnym, a w konsekwencji ukrywanie plików,
okien, ruchu sieciowego itd.
3. Poddawaj
komputer kwarantannie w chwili wykrycia infekcji lub wystąpienia sugerujących
ją przesłanek, takich jak fałszywe wyskakujące okna programów antywirusowych.
- Przed ponownym podłączeniem komputera do
sieci konieczne jest jego gruntowne oczyszczenie.
- Zombie zarabiają pieniądze dla swoich zleceniodawców.
Najprostszy sposób to tzw. scareware, czyli wyskakujące okna zalecające
użytkownikowi zakup programu do usuwania wirusów. To ewidentny objaw, że
zamieszkujący komputer zombie pobrał oprogramowanie w celu wyłudzenia
pieniędzy. Zombie potrafią szybko infekować inne komputery w sieci lokalnej.
Dlatego tak ważne jest niezwłoczne zarządzenie kwarantanny do momentu usunięcia
zagrożenia. Narzędzi do usuwania rootkitów i złośliwego oprogramowania jest
wiele w sieci.
4. Na
bieżąco monitoruj profil ruchu sieciowego.
- Zombie często mają zwyczaj regularnego
przesyłania takich samych odpowiedzi do tych samych serwerów z wykorzystaniem
tego samego portu, zwykle jest to port HTTP. Wykrycie jednorodnego strumienia
wychodzących żądań HTTP kierowanych na ten sam adres IP, zwłaszcza jeśli nie
jest uruchomiona żadna przeglądarka, oznacza spore szanse, że w systemie
zagnieździł się zombie.
5. Sprawdzaj
ruch wychodzący.
- Zapobieganie włamaniom pomaga powstrzymać
zombie przed przejęciem sieci. Ta sama technologia może być również pomocna w
wykrywaniu pogawędek pomiędzy zombie. Nawet jeśli komputer jest zainfekowany
przez zombie, wykrywając i blokując ruch generowany przez niego w stronę
zleceniodawcy, można skutecznie ograniczyć jego szkodliwość. Zombie nadal żyje,
ale nie może odbierać poleceń ani wysyłać danych, takich jak np. bankowe dane
uwierzytelniające.
6. Unikaj
infekcji i broń się przed atakami.
- Zombie
rozprzestrzeniają się w załącznikach do wiadomości e-mail, przez złośliwe
odnośniki, za pośrednictwem napędów USB i dokumentów PDF. Należy upewnić się,
że funkcja automatycznego uruchamiania jest wyłączona. Zarażenie następuje
zwykle w następstwie otwarcia pliku lub kliknięcia łącza. Dlatego zawsze przed
kliknięciem łącza trzeba mu się dokładnie przyjrzeć. Dokąd ono prowadzi? Czy
nazwa domeny nie zawiera błędów? Bez względu na to, czy łącze dostaliśmy w
wiadomości e-mail, w serwisie społecznościowym czy przez komunikator
internetowy – należy stosować ten sam proces myślenia. Źródłem infekcji mogą
być również pliki PDF, DOC i XLS. Przed ich otwarciem trzeba zatem poświęcić
chwilę na analizę wiadomości e-mail, do której były załączone lub która
zawierała prowadzące do nich łącze.
7. Stosuj
zasadę zintegrowanego zarządzania zagrożeniami (ang. unified threat management,
UTM), czyli zabezpieczaj się przed różnymi zagrożeniami jednocześnie.
- Ochrona antywirusowa może pomóc
uniemożliwić uruchomienie kodu binarnego zombie w systemie.
- Mechanizmy zapobiegania włamaniom mogą
pomóc przeszkodzić dodatkom do przeglądarek w umieszczaniu kodu zombie w systemie
za pośrednictwem złośliwej witryny.
- Filtrowanie stron WWW może pomóc zablokować
dostęp do szkodliwych adresów URL nawet przed przesłaniem złośliwego kodu do
przeglądarki (i poddaniem go analizie).
- Mechanizmy antyspamowe mogą pomóc oznaczyć
flagami złośliwe wiadomości e-mail zawierające załączniki lub łącza.
- Kontrola aplikacji może pomóc zablokować
komunikację pomiędzy zarażonymi komputerami, izolując je od ich zleceniodawcy
Derek Manky
główny strateg ds. bezpieczeństwa w laboratoriach FortiGuard