Teknikker til udnyttelse af sårbarheder og implementering af malware

Cyberkriminelle udnytter ofte de sårbarheder, der findes i operativsystemet (OS) eller i programsoftware, der kører på ofrets computer – så en internetorm eller en trojansk virus kan trænge ind på ofrets maskine og aktivere sig selv.

Hvad er en sårbarhed?

En sårbarhed er faktisk en fejl i driftskoden eller -logikken i operativsystemet eller programsoftwaren. Da nutidens operativsystemer og programmer er meget komplekse og indeholder en hel del funktioner, kan det være svært for en leverandørs udviklingsteam at lave software, der ikke indeholder fejl.

Desværre er der ikke mangel på virusophavsmænd og cyberkriminelle, der er parat til at bruge betydelige kræfter på at undersøge, hvordan de kan få gavn af at udnytte eventuelle sårbarheder – før de er afhjulpet, ved at leverandøren udsender en softwareprogramrettelse.

Typiske sårbarheder omfatter:

• Sårbarheder i programmer
  Nimda- og Aliz-e-mailormene udnyttede sårbarheder i Microsoft Outlook. Når ofret åbnede en inficeret meddelelse – eller blot anbragte markøren på meddelelsen i eksempelvisningsvinduet – aktiveredes ormefilen.
• Sårbarheder i operativsystemer
  CodeRed, Sasser, Slammer og Lovesan (Blaster) er eksempler på orme, som udnyttede sårbarheder i Windows-operativsystemet – mens Ramen- og Slapper-ormene trængte ind i computere via sårbarheder i Linux-operativsystemet og enkelte Linux-programmer.

Udnyttelse af sårbarheder i internetbrowsere

For nylig er distributionen af en ondsindet kode via hjemmesider blevet en af de mest populære malwareimplementeringsteknikker. En inficeret fil og et scriptprogram – som udnytter browserens sårbarhed – anbringes på et websted. Når en bruger besøger siden, downloader scriptprogrammet den inficerede fil på brugerens computer – via browserens sårbarhed – og aktiverer derefter filen. For at inficere så mange maskiner som muligt benytter ophavsmanden til malwaren en række metoder til at lokke ofrene til webstedet:

• Ved at sende spammeddelelser, som indeholder det angrebne websteds adresse
• Ved at afsende meddelelser via IM-systemer
• Via søgemaskiner – hvor den tekst, som er anbragt på et inficeret websted, behandles af søgemaskiner, og linket til webstedet derefter medtages på listen over søgeresultater

Baner vejen for inficeringer med trojanske vira

Cyberkriminelle bruger også små trojanere, der er udviklet til at downloade og aktivere større trojanske vira. Den lille trojanske virus trænger ind på brugerens computer – f.eks. via en sårbarhed – og den downloader og installerer derefter andre ondsindede komponenter fra internettet. Mange af trojanerne ændrer browserens indstillinger – til browserens mindst sikre tilstand – for at gøre det nemmere at downloade andre trojanere.

Softwareudviklere og antivirusleverandører tager udfordringen op

Desværre synes tidsrummet mellem forekomsten af en ny sårbarhed og starten på dens udnyttelse via orme og trojanske vira at blive kortere og kortere. Dette skaber udfordringer for både softwareleverandører og antivirusfirmaer:

• Leverandører af programmer og operativsystemer er nødt til at udbedre deres fejl hurtigst muligt – ved at udvikle en softwareprogramrettelse, teste den og frigive den til brugerne.
• Antivirus-leverandører skal arbejde hurtigt – for at frigive en løsning, som registrerer og blokerer de filer, netværkspakker eller andre elementer, som benyttes til at udnytte sårbarheden.