Ewolucja szkodliwego oprogramowania dla systemów OS X

Czy jest jakieś szkodliwe oprogramowanie na Mac OS X-a?

O tak. Ale z jakiś dziwnych powodów nie mówiłem nic interesującego na ten temat przez jakiś czas…

Ostatni raz pisałem o tym chyba dwa i pół roku temu. Tak, wtedy poinformowano o robaku Flashback, który zainfekował 700 tysięcy Maków na całym świecie. Branża bezpieczeństwa narobiła wokół tego niezłego szumu (i szybko zdjęła botnet Flashback), ale od tamtej pory głównie mamy ciszę… Niektórym może się wydawać, że ta całkowita cisza na froncie szkodliwego oprogramowania dla Maków już zostanie i żadne iMalware nie zmąci ciepłych wód zatoki Apple…

Ale nie musi tak być…

Oczywiście, jeśli spojrzymy na poziom zagrożeń dla różnych platform, od długiego czasu na szczycie tabeli jak zwykle znajduje się ta najbardziej popularna – Microsoft Windows. Daleko za nią jest stosunkowo nowy Android. Tak, przez ostatnie trzy lata cyberrobaki bombardowały małego biednego zielonego robota, a poziom szkodliwej aktywności przeciwko niemu rósł wykładniczo. W tym samym czasie w świecie iPhonów i iPadów, poza bardzo rzadkimi atakami cyberszpiegowskimi, nie było prawie wcale żadnego skutecznego ataku (pomimo używania różnych egzotycznych metod). Jednak warto pamiętać, że spokój należy relatywnie porównywać z innymi platformami; bo były jednak pewne drgania, o których będę w tym poście mówił.

Kilka liczb – coś w rodzaju streszczenia:

• Liczba nowych próbek szkodliwego oprogramowania dla Maków, wykrytych w ciągu kilku ostatnich lat, osiągnęła już tysiące.
• W pierwszych ośmiu miesiącach 2014 roku wykryto 25 różnych rodzin szkodliwego oprogramowania na Maki.
• Prawdopodobieństwo infekcji niechronionych Maków wzrosło do około trzech procent.

W 2013 sam tylko Kaspersky Lab wykrył 1700 próbek szkodliwego oprogramowania dla OS X

Tweet

A teraz, gdy spojrzysz na sytuację od środka, z punktu widzenia eksperta od szkodliwego oprogramowania, obraz nie będzie już tak różowy…

Zagrożenia na Maki ewoluowały, postrzeganie bezpieczeństwa wśród użytkowników Maków zmieniło się (ale nie za bardzo), a główne pytanie brzmi: czego możemy spodziewać się w przyszłości? Zacznijmy bez emocji – od liczb i faktów, czyli zwykłej analizy.

Etap pierwszy – raporty.

A zatem co się działo w świecie zagrożeń na Maka w ciągu kilku ostatnich lat? Zacznę od poniższego wykresu, który przedstawia liczbę szkodliwych plików dla OS X, jakie wykryliśmy przez te lata.

Jak widać, cztery lata temu liczba szkodników były na poziomie 50, ale w 2011 przyszła fala i od tamtej pory rocznie wykrywamy ich setki – a nawet tysiące.

Więc co dokładnie złapaliśmy?

Cóż, w pierwszych ośmiu miesiącach tego roku wykryliśmy blisko tysiąc unikatowych ataków na Maki, pogrupowane w 25 rodzin. Kilka słów o najbardziej interesujących:

• Backdoor.OSX.Callme – rozprzestrzenia się w treści specjalnie utworzonego dokumentu MS Word, który po uruchomieniu instaluje backdoora w systemie przy pomocy luki. Daje atakującemu zdalny dostęp do systemu. Szkodnik kradnie listę kontaktów, pewnie w celu poszukiwania nowych ofiar.
• Backdoor.OSX.Laoshu – wykonuje zrzuty ekranu co minutę. Został podpisany zaufanym certyfikatem dostawcy. Wygląda na to, że twórcy wirusa planowali umieścić go w App Store.
• Backdoor.OSX.Ventir – wielomodułowy trojan szpiegowski z ukrytą możliwością zdalnej kontroli. Zawiera keyloggera opartego na open source’owym dysku logkext.
• Trojan.OSX.IOSinfector – plik instalacyjny mobilnej wersji trojana Trojan-Spy.IPhoneOS.Mekir (OSX/Crisis) – ech, infekuje iPhone’y.
• Trojan-Ransom.OSX.FileCoder – pierwszy program do szyfrowania plików dla OS X. Po prostu sobie jest – dziurawy prototyp.
• Trojan-Spy.OSX.CoinStealer – pierwsze szkodliwe oprogramowanie kradnące bitcoiny dla OS X. Ukrywa się pod postacią kilku bitcoinowych narzędzi typu open source. W rzeczywistości instaluje szkodliwe rozszerzenie do przeglądarki i/lub załataną wersję bitcoin-qt (open source’owe narzędzie do wydobywania bitcoinów).

Szkodliwe oprogramowanie dla OS X, o jakim wcześniej nie słyszałeś (ale możesz je znaleźć na swoim Maku)

Tweet

W tym miejscu można logicznie wydedukować: OK, istnieje jakieś szkodliwe oprogramowanie dla Maków, ale czy stwarza ono aż takie niebezpieczeństwo dla ich użytkowników? Jakie jest prawdopodobieństwo infekcji niechronionego Maka? I jaki jest najbardziej rozpowszechniony szkodliwy program?

Tutaj z pomocą przychodzi nam KSN. Ale zanim zajmiemy się analizą liczb, najpierw muszę napisać ważną informację: dane te pochodzą wyłącznie od użytkowników naszych produktów. Rozpracowanie globalnego rozkładu szkodliwego oprogramowania, biorąc pod uwagę także  użytkowników innych produktów bezpieczeństwa i/lub tych, którzy nie posiadają antywirusa – to bardzo niewdzięczne zadanie oparte na szacunkowych danych z różnych źródeł. Niemniej jednak, wciąż warto grzebać w danych z KSN-a, jeśli tylko dają nam one jakąś wiedzę.

Poniżej przedstawiamy top 20 szkodliwego oprogramowania dla OS X na okres 2013–2014 (globalnie):

A tutaj – geografia iMalware dla tego samego czasu:

Gdy przyjrzysz się powyższym danym, zobaczysz, że około połowa z nich to adware, a na dwie trzecie składają się tylko trzy pierwsze szkodliwe programy. Jeśli chodzi o geografię dystrybucji iMalware, całościowo pasuje ona popularności samych Maków, z przewagą bardziej rozwiniętych krajów – gdzie potencjalne ofiary mają więcej pieniędzy. Co ciekawe, znany Flashback wypadł z top 20.

Więc jakie mogą być wnioski z tych danych?

Po pierwsze: Cyberprzestępcom łatwiej jest zarabiać, stosując przeważnie legalne (cóż, prawie legalne) podejście. Uporczywe reklamy także przynoszą zyski, a w połączeniu z infekcjami na dużą skalę – przynoszą wielkie zyski.

Po drugie: Twórców wirusów na OS X  naprawdę nie jest wielu, ale są bardzo uzdolnieni. Inaczej niż w przypadku wirusów na Windowsa, zagrożenia na OS X ominęły etap dziecięcy, czyli „wirusów dla zabawy”, i pojawiły się od razu w dojrzałej postaci – ze wszystkimi najważniejszymi trikami szkodliwego oprogramowania. Są to poważni ludzie! Bardzo prawdopodobne, że najpierw podszlifowali swoje umiejętności na platformie Windows, a następnie przesiedli się na Maki, aby zdobyć nowe, niezbadane terytorium i rozpocząć poszukiwania niewykorzystanych możliwości w temacie zarabiania pieniędzy. Bo przecież pieniądze tam są, a sami użytkownicy są dość znudzeni tematem bezpieczeństwa, co oznacza, że jest mnóstwo szans dla tych włamywaczy, którzy są skłonni włożyć w swoją pracę nieco wysiłku.

Po trzecie: Grupy zawodowo zajmujące się szpiegostwem na poważnie zaczęły wykorzystywać system OS X. W ciągu kilku ostatnich lat wiele ataków APT zawierało moduły dla Maków, na przykład Careto, Icefog czy te ukierunkowane na ujgurskich aktywistów. Tak, mówimy tu o atakach precyzyjnych – ukierunkowanych jako przeciwieństwo do masowych – wymierzonych w konkretne ofiary; z tego powodu nie ma ich na liście top 20. Zauważ, że są one bardziej niebezpieczne, zwłaszcza gdy Twoimi danymi mogą interesować się agencję wywiadowcze.

A teraz zobaczmy, jakie znaczenie w praktyce mają powyższe statystyki.

Istotnie, na tle ogromnej skali katastrof w świecie Windowsa liczba wykryć na poziomie setek tysięcy w ciągu 18 miesięcy nie wygląda tak źle i ktoś może łatwo wywnioskować, że tak naprawdę nie ma wcale zbyt wiele zagrożeń. Cóż, prawie nie ma zagrożenia. Ale czy ‚prawie nie ma’ oznacza, że iUżytkownicy mogą być spokojni i mogą polegać jedynie na mechanizmach bezpieczeństwa od samego Apple’a? Innymi słowy – nie martwić się w ogóle o bezpieczeństwo? Sprawdźmy…

Aby zrozumieć tutaj, kto popadł w paranoję, a kto nie popadł jest w błędzie :), znowu musimy wrócić do tematu danych z KSN-a. Tym razem przeanalizujmy poziom zakażenia – albo stosunek liczby chronionych Maków do liczby unikatowych wykryć szkodliwego oprogramowania dla tych urządzeń.

W sierpniu poziom iZagrożeń sięgał około 3%. Nie tak źle w porównaniu z 21% ryzykiem infekcji dla użytkowników Windows (na podstawie danych z KSN). Przekłada się to na dziesięć prób infekcji rocznie.

To jednak nie koniec…

Po pierwsze: iUżytkownicy nie są celem tylko iSzkodników. Niektóre rodzaje ataków nie zależą od tego, jaki system operacyjny znajduje się na komputerze. Na przykład ataki phishingowe i MITM. A one szybko się rozpowszechniają. Cyberprzestępców, którzy je przeprowadzają, najbardziej interesują konta bankowe, kluczowe usługi internetowe i aktywność w sieciach społecznościowych.

Po drugie: Maki są narażone na ataki jeszcze innych zagrożeń – tych związanych z dziurami w oprogramowaniu firm trzecich; na przykład Java, Flash czy Silverlight. Nie jest to domyślne oprogramowanie na systemu OS X, a mimo to wciąż wielu użytkowników pobiera je i instaluje, aby w pełni korzystać z dobrodziejstw Sieci.

Trudno powiedzieć, jaki byłby procent prawdopodobieństwa ataku, gdybyśmy wzięli pod uwagę wszystkie popularne programy firm trzecich. Ale myślę, że spokojnie można powiedzieć, że zwiększyłby się kilkukrotnie.

Zagrożenia na Maki: szkodliwe oprogramowanie, phishing, MitM i luki w oprogramowaniu firm trzecich

Tweet

Po trzecie: Cóż, ten akapit będzie nie całkiem o zagrożeniach niesionych przez szkodliwe oprogramowanie. Oprogramowanie antywirusowe dawno temu przestało być dodatkiem działającym w tle, który jakoś niezauważalnie chroni nas przed tym czy tamtym. Nowoczesne antywirusy zawierają wiele innych użytecznych funkcji, które wykraczają daleko poza kanoniczne pojęcie oprogramowania. Przykładowo, kontrola rodzicielska, menedżery haseł, sprawdzenie bezpieczeństwa Wi-Fi, blokowanie kamery internetowej i setki innych funkcji. To prawda, że programy zabezpieczające dla Maków pozostają w tyle za swoimi PC-towymi kuzynami w kwestii funkcjonalności, ale powoli i pewnie ich doganiają…

A teraz nieco o przyszłości…

Przez długi czas wiele osób zadawało mi często dwa pytania: Dlaczego tak mało jest zagrożeń na Maki i czy to się zmieni na gorsze?

Wiele razy mówiłem, że istnieją trzy podstawowe warunki, aby istniało szkodliwe oprogramowanie na daną platformę: (i) platforma musi mieć niezabezpieczoną architekturę i być przez to dziurawa; (ii) musi być popularna; (iii) musi zapewniać narzędzia dla rozwoju aplikacji firm trzecich. OS X odpada tylko w kwestii (ii).

‚Ha!’ powie świadomy czytelnik. Ale teraz mamy ponad 80 milionów komputerów z systemem OS X! Czy nie jest on zatem wystarczająco popularny? Może tak być. Ale wciąż mamy 1,5 miliarda komputerów z Windowsem!

Na swoim blogu pisałem już o ekonomii podziemia komputerowego. Jest taka jedna prawidłowość, o której warto pamiętać w temacie wszystkich systemów operacyjnych, łącznie z OS X: wirtualni złoczyńcy nie widzą sensu wysilania się w celu zdobycia trudniejszego, mniej popularnego systemu operacyjnego, gdy istnieją dziesiątki milionów komputerów z systemem Windows – część bez antywirusa, większość nigdy nie aktualizowana, a inne z darmowymi – i dziurawymi – antywirusami. Innymi słowy – łatwo zarobić na Windowsach, więc po co się męczyć z OS X?

Teraz powinniśmy pomyśleć o tym, gdzie jest punkt krytyczny – kiedy system typu OS X staje się interesujący z ekonomicznego punktu widzenia. Wspomniałem kiedyś, że opanowanie 5-7% całego rynku w skali globalnej jest poziomem krytycznym. Jednak okazało się, że to i tak zbyt mało – w tym roku OS X osiągnął prawie 10%, a mimo tego wciąż nie ma znaczącej zmiany w aktywności twórców wirusów – tylko kilka drgnień, takich niezdarnych, niechętnych i jałowych.

Źródło

Przewidując przyszłość trendu, Apple w trzy lata mógłby osiągnąć 15 procent rynku. Czy to spowoduje przyspieszenie ekspansji iMalware?

Nie wiem. Gwałtowny wzrost prawdopodobnie nie nastąpi. Ale jakiś wzrost będzie na pewno. Każdy chyba ma jakąś wizję tej sytuacji.

Więc co się stanie, gdy udział OS X w rynku ostatecznie osiągnie punkt krytyczny?

Myślę, że po pierwsze będzie kilka dużych epidemii z wieloma ofiarami i znacznymi stratami finansowymi. Potem nastąpi reakcja łańcuchowa – twórcy wirusów będą kopiować innych, widząc jak łatwe do przeprowadzenia i zyskowne stały się ataki na OS X. Ostatecznie masowo przejmą platformę.

W innym możliwym scenariuszu sprawy mogą całkowicie wymknąć się spod kontroli za sprawą ataku APT na OS X; na przykład globalna epidemia spowodowana przez błąd nieznaną funkcję szkodliwego oprogramowania albo wyciek technologii ataku, jego podziemne rozprzestrzenienie się na komputery i pojawienie się mnóstwa klonów.

Prawdziwą sytuację bezpieczeństwa Maków trudno jest oszacować, bo wielu użytkowników wciąż jest całkowicie przekonanych o jego świętości i nieomylności ich ulubionego dostawcy. Więc to, co się dzieje na dziesiątkach milionów niechronionych Maków, jest wielką niewiadomą. Można to porównać do podwodnej części góry lodowej. Czasami ta właśnie część przynosi niespodziewane i nieprzyjemne (Titanic!) niespodzianki – jak robak Flashback w marcu 2012. Ale jakie szkodliwe oprogramowanie wciąż tam jest? Co robi? I kto pociąga za sznurki – zwykli cyberprzestępcy czy ludzie w białych kołnierzykach, korzystający z wynajętych programistów? Są to interesujące pytania, na które stopniowo poznamy odpowiedzi. Ale potrzebujemy Twojej pomocy. Nie możemy pomóc Ci na siłę. Zatem zadbaj o swoje własne bezpieczeństwo sam – przynajmniej zrób pierwszy krok i zmień swoją postawę co do bezpieczeństwa Maków!

Tymczasem, tutaj znajdziesz kilka prostych porad, jak dbać o higienę Maków i je chronić.

To tyle na temat bezpieczeństwa Maków póki co – ale zostańcie ze mną. Wkrótce na pewno będzie tego więcej i pewnie będzie bardziej interesująco…

P.S. Wow! Stało się to szybciej, niż się spodziewałem!…

Badacze odkryli masową poważną lukę w kodzie powłoki systemowej Bash, dotyczącą Linuksa, Uniksa i – tak! – OS X-a. Łaty są już dopracowywane, ale jak dotąd nie ma znaczącego postępu. Nie zapominajmy, że Unix działa na wielu przemysłowych systemach kontroli i sieciach energetycznych na całym świecie. Czy ktoś pamięta Blastera? Wtedy Microsoft opublikował łatę miesiąc przed katastrofą… i mówiąc o katastrofie, nie przesadzam – nastąpiło zaciemnienie wschodnich Stanów.