Haittaohjelma tarttuu, vaikka et klikkaisi mitään - osa 1

Angler Exploit Kit -hyökkäysohjelmiston käyttö haittaohjelmien tartuttamiseen Windows-tietokoneisiin ei ota laantuakseen. Päivittämättömän Flash-selainliitännäisen käyttäjät lataavat haittaohjelmia joka päivä.

Kyberturvallisuuskeskus julkaisee Angler Exploit Kit -hyökkäysalustasta kaksiosaisen artikkelin. Ensimmäisessä osassa keskitytään verkkosivuilla näytettävien mainosten yhteydessä leviäviin haittaohjelmiin.

Viestintäviraston Kyberturvallisuuskeskus tiedotti exploit kit -hyökkäysohjelmistoista viimeksi heinäkuussa , kun Hacking Team -tietomurrossa paljastuneita Flash-haavoittuvuuksia hyödynnettiin Angler Exploit Kitissä välittömästi. Myös uudet Windows-haavoittuvuudet, joihin päivitykset julkaistiin tällä viikolla, on jo otettu käyttöön Angler Exploit Kit -hyökkäysalustassa. Tällöin tartunnat tapahtuivat tyypillisimmin murrettujen www-sivujen kautta.

Haittaohjelmat voivat levitä myös luotetuilla sivustoilla näytettävien mainosten yhteydessä ilman, että sivustoa on murrettu. Vastikään on havaittu laajamittainen "malvertising"-kampanja, jossa hyökkääjät esiintyivät mainostajina ja onnistuivat liittämään tunnettuihin mainosalustoihin omia, haitallista sisältöä tarjoavia mainospalvelimiaan.

Verkkomainostaja voi tietämättään ohjata käyttäjän pahuuteen

Toinen haittaohjelmien leviämisreitti on verkkosivuilla näytettävät mainokset. Tästä käytetään termiä malvertising (= malware + advertising). Usein haitallinen linkki, skripti tai Flash-tiedosto on mukana suoraan mainoksessa.

Malwarebytes-blogissa uutisoitiin syyskuun puolessa välissä ovelasta malvertising-kampanjasta, joka kosketti useita tunnettuja mainosverkkoja ja siten peräti kymmeniä miljoonia käyttäjiä lähes kolmen viikon ajan. Mainokset itsessään eivät kuitenkaan olleet saastuneita, joten haittaliikennettä oli hankala havaita.

Haittakoodin levittäjät esiintyivät asianmukaisina mainostajina ja rekisteröityivät useisiin tunnettuihin mainosverkkoihin, kuten DoubleClick tai AppNexus, joiden mainoksia näytetään tunnetuilla verkkosivuilla kuten ebay.co.uk tai answers.com. Ongelmana oli se, että mainokset ladattiin hyökkääjän palvelimelta.

Palvelimelta ladattiin skripti, joka näytti varsinaisen mainoksen ja sen lisäksi ohjasi käyttäjän selaimen taustalla toiselle sivulle, joka edelleen ohjaa selaimen varsinaiselle hyökkäysohjelmiston sisältävälle www-palvelimelle. Monessa tapauksessa hyödynnettiin lisäksi lyhennettyjä URL-osoitteita, joka vaikeuttaa epäilyttävän toiminnan huomaamista entisestään.

Tyypillisin seuraus on kiristyshaittaohjelma

Haittaohjelmatartunta Windows-ympäristössä voi tapahtua ilman, että käyttäjä klikkaa mitään epäilyttävää. Haitallisille mainoksille altistunut käyttäjä ohjataan sivulle ujutetun haittakoodin avulla varsinaisen hyökkäysohjelmiston sisältävälle www-palvelimelle, josta koneelle latautuu haitallinen Flash-tiedosto. Jos selain ja sen liitännäiset ovat ajantasaiset, haittaohjelman tie tyssää tähän. Sen sijaan esimerkiksi vanhentunutta Flash-liitännäistä käyttäville latautuu tyypillisesti tiedostoja salaava kiristyshaittaohjelma, kuten AlphaCrypt, TeslaCrypt tai jokin Cryptowall-variantti. Tartunta voi tapahtua myös Internet Explorerin tai Adobe Readerin haavoittuvuuksia hyödyntämällä.

Näin suojaudut

  1. Asenna Windows-käyttöjärjestelmän ja sen ohjelmistojen päivitykset. Käytä automaattipäivitystä, mikäli mahdollista. Jos tietokone pyydetään käynnistämään uudestaan päivityksen yhteydessä, tee se myös.
  2. Tarkista, että selain ja sen liitännäiset päivittyvät. Päivitys on yleensä automaattinen, kunhan kone on yhteydessä verkkoon.
    • Erityisen tarkkana tulee olla Flash- ja SilverLight-liitännäisten kanssa
    • Käyttämäsi Flash Player -version voit tarkistaa Adoben tarkastussivulta.
    • Muista tarkistaa kaikki käyttämäsi selaimet (Internet Explorer, Firefox, Chrome, Opera, Safari, jne.).
    • Käyttämäsi selaimen ja sen liitännäisten version ja ajantasaisuuden voit tarkistaa myös verkkosivun https://www.whatismybrowser.com/ avulla. Osa tunnistuksista vaatii JavaScriptin sallimisen toimiakseen.
  3. Käytä selainliitännäisiä, jotka estävät skriptejä (esimerkiksi ScriptDefender ja NoSript). Voit sallia skriptit esimerkiksi verkkopankkiin ja muille sivustoille, joita käytät usein.
  4. Käytä selaimen Click to Play -ominaisuutta, jolloin liitännäiset eivät käynnisty automaattisesti.
    • Uusimmissa Chrome-selaimessa tämä on oletusarvoista. Asetus on suositeltavaa ottaa käyttöön myös muissa selaimissa.
  5. Käytä virustorjuntaohjelmistoa ja pidä myös se ajan tasalla.
  6. Ota varmuuskopiot säännöllisesti sekä omalta tietokoneeltasi että verkkolevyiltä. Säilytä varmuuskopiot eri paikassa.


Angler Exploit Kit -hyökkäysohjelmiston käyttöä koskevan artikkelin seuraavassa osassa keskitytään päivittämättömien tai huonosti suojattujen julkaisujärjestelmien avulla murrettuihin www-sivuihin. Myös tällä tavoin altistetaan lukuisia käyttäjiä haittaohjelmatartunnoille.

Lisätietoa


Päivityshistoria

Asiasanat: Tietoturva , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248