Haittaohjelma tarttuu, vaikka et klikkaisi mitään - osa 2

Angler Exploit Kit -hyökkäysohjelmiston käyttöä koskevan artikkelin toisessa osassa keskitytään murrettuihin www-sivuihin ja julkaisujärjestelmiin. Mukana on myös tilastotietoa haittaohjelmatartunnoista ja haittaohjelmalevitykseen käytettävistä murretuista sivuista Suomessa.

Tyypillisesti haittaohjelmia voidaan levittää murrettujen www-sivujen kautta. Yleensä palvelimelle murtautuminen tapahtuu huolimattomasti suojatun tai haavoittuvan julkaisujärjestelmän, kuten WordPressin avulla. Kyberturvallisuuskeskus havaitsee uusia suomalaisia haittaohjelmalevitykseen käytettäviä murrettuja sivustoja keskimäärin 20 viikossa.

Kyberturvallisuuskeskus on jatkanut Angler Exploit Kit -hyökkäysohjelmiston käytön seurantaa suomalaisten murrettujen www-sivustojen yhteydessä. Ilmiö on jatkunut koko kesän: AnglerEK on ollut F-Securen viimeisen vuorokauden top 10 -haittaohjelmalistalla kärjen tuntumassa jo pitkään. Se on myös ollut yksi suosituimmista aiheista haittaohjelmia ja hyökkäyksiä käsittelevissä blogikirjoituksissa.

Lieviä laantumisen merkkejä on näkyvissä ainakin suomalaisten haittaohjelmatartuntojen kohdalla (katso kuva 1), jonka syynä ovat osittain aktiiviiset yhteydenotot sivustojen ylläpitäjiin sekä automaattipäivitysten käyttöönotto.

Kuva 1: Tunnistetut Angler Exploit Kit –osumat Suomessa (F-Secure).


Tilastoja tarkastellessa tulee huomioida, että niissä eivät näy muiden virustorjuntaohjelmistojen käyttäjät. Tilastot antavat kuitenkin suuntaa antavan kuvan tilanteen kehittymisestä.

Vanha temppu korvautuu kuitenkin pussillisella uusia. Vastaavia hyökkäysohjelmistoja, esimerkiksi Nuclear EK, Neutrino EK ja Rig EK, on liikkeellä useita. On mahdollista, että näiden aktiivisuus lisääntyy jatkossa.


Syynä on yleensä vanhentunut Wordpress tai Joomla

Murrettuja sivustoja, jotka ohjaavat käyttäjän Angler Exploit Kit -hyökkäysohjelmiston sisältävälle www-palvelimelle, havaitaan Euroopassa jatkuvasti huomattavia määriä. Myös uusia suomalaisia murrettuja sivustoja havaitaan keskimäärin 20 kappaletta viikossa. Syynä murtoihin on usein vanhentunut tai huolimattomasti suojattu julkaisujärjestelmä, kuten WordPress, Joomla tai Drupal, jotka ovat tyypillisiä blogeissa ja muissa verkkosivuissa. Myös julkaisujärjestelmien lisäosat (plugin) ovat yhtä vaarallisia ja voivat mahdollistaa sivustojen haltuun ottamisen.

Haittaohjelma tarttuu exploit kitin avulla seuraavalla tavalla:

  1. Verkkosivustolle murtaudutaan ja sinne lisätään haitallinen uudelleenohjaus (esimerkiksi iframe tai javascript). Kuva 2 esittää tällaisten sivustojen määrän muutoksen suomalaisilla sivustoilla kesän aikana.
  2. (Valinnainen) Toisen tason uudelleenohjaus: sivusto ohjaa käyttäjän edelleen varsinaisen exploit kitin sisältävälle sivulle. Katso kuva 3. Samalla valitaan uhrikoneet.
  3. Uhrikoneen tekniset tiedot (selaimen versio, käyttöjärjestelmän versio jne) tarkistetaan.
  4. Sopiva hyökkäysmenetelmä (exploit) valitaan.
  5. Haittaohjelma ladataan ja suoritetaan kohdekoneella. Kuva 1 esittää tämän vaiheen.

Kuva 2: Murretut sivut Suomessa, joissa on uudelleenohjaus Angler EK -hyökkäysohjelmistoon. (F-Secure).

Tarkempi selitys Exploit Kitin toiminnasta on Teema-artikkelissa Exploit kit - tehokas haittaohjelmien levittäjä.


Kuva 3: Murretut sivut Suomessa, joissa on toisen tason uudelleenohjaus Angler EK -hyökkäysohjelmistoon. (F-Secure).


Kyberturvallisuuskeskus ottaa havaintojen perusteella aktiivisesti yhteyttä sivustojen ylläpitäjiin tilanteen korjaamiseksi ja ongelma saadaankin usein korjattua ainakin hetkellisesti. Korjaustoimenpiteistä huolimatta samat sivustot on joskus saastutettu uudelleen. Tämä voi johtua siitä, että palvelimelle on jäänyt murtautujan jäljiltä yksi tai useampi takaovi, joita ei ole huomattu tai murtoon käytettyä haavoittuvuutta ei ole paikattu.


Päivitysten asentamisessa ei kannata viivytellä

Hyökkääjät päivittävät haittakoodia samaan tahtiin, kuin tieto haavoittuvuuksista tulee julki. Uusia Adobe Flash Playerin haavoittuvuuksia hyödyntävää haittakoodia nähtiin liikkeellä Angler EK- ja Nuclear EK -hyökkäysohjelmistoissa alle vuorokauden sisällä päivitysten julkaisemista. Siispä sekä selaimet että sivustojen julkaisujärjestelmät ja lisäosat on syytä pitää ajantasaisina.

Muita suojautumiskeinoja käyttäjille on esitelty artikkelin ensimmäisessä osassa, jossa käsiteltiin verkkosivuilla näytettävien mainosten yhteydessä leviäviä haittaohjelmia.


Tietomurron korjaaminen vaatii huolellisuutta

Julkaisujärjestelmän tietomurron korjaamisessa kannattaa noudattaa erityistä huolellisuutta, jotta kaikki hyökkääjän lisäämä koodi saadaan poistettua. Hyökkääjät lisäävät takaovia lukuisiin eri sivusto-osioihin ja julkaisujärjestelmän komponentteihin. Mikäli jokin takaovi jää poistamatta, tulevat hyökkääjät lisäämään sivustolle ohjauskoodin uudelleen takaovea käyttäen. Vastaavasti yksikin päivittämätön lisäosa voi johtaa tietomurron toistumiseen. Järjestelmän ja tietokannan salasanat tulee vaihtaa korjaustöiden yhteydessä. Myös sivustosisältöjä kannattaa käydä läpi hyökkääjän ujuttaman koodin varalta.



Kyberturvallisuuskeskus kiittää F-Securea Angler Exploit Kit -tilastoista ja havaintotrendeistä Suomessa.

Lisätietoa


Päivityshistoria

Asiasanat: Tietoturva , Haittaohjelma , Kyberturvallisuus , Tietomurto , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248