Tietoturva nyt!

20.5.2009

Murretuista www-sivustoista tullut yleinen väline haittaohjelmien levitykseen

Entistä useammin haittaohjelmia levitetään murrettujen tai haavoittuvien www-sivustojen välityksellä. Käyttäjän näkökulmasta paras suojautumiskeino on ohjelmistopäivityksistä huolehtiminen.

Noin vuosi sitten CERT-FI julkaisi Tietoturva nyt! -artikkelin, jossa kerrottiin haittaohjelmasta, joka leviää ujuttamalla haitallista sisältöä riittämättömästi suojatuille www-sivustoille. Tässä tapauksessa www-sivustoille lisätty sisältö pyrki hyväksikäyttämään www-selainten, selainlaajennusten ja muiden selaimen kautta saavutettavissa olevien sovelluksien haavoittuvuuksia. Sittemmin tästä hyökkäysmenetelmästä eli www-sivustoista, joille on tavalla tai toisella kyetty ylläpidon tietämättä lisäämään haitallista sisältöä, on tullut tavanomainen väline haittaohjelmien levityksessä.

Viime päivien aikana on uutisoitu Gumblariksi nimetystä uhasta. Myös Gumblar perustuu www-sivujen käyttöön haittaohjelman levittämisessä. Gumblarin tapauksessa www-sivustoille ujutetaan haitallista Javascript-koodia, joka ohjaa uhrin selaimen hakemaan sisältöä hyökkäystarkoituksessa laaditulta www-sivulta. Hyökkäystarkoituksessa laadittu sivusto toistaa tuttua kuviota ja yrittää hyödyntää tunnettuja selainlisäosien haavoittuvuuksia ja siten asentaa uhrin työasemaan haittaohjelman. Tähänastisissa hyökkäyksissä asentunut haittaohjelma on muun muassa pyrkinyt muuttamaan saastuneella tietokoneella tehtyjen hakukonehakujen tuloksia ja tällä tavoin houkutellut käyttäjän vierailemaan hyökkääjän haluamilla sivustoilla. Eräs Gumblar-kokonaisuuden erityispiirteistä on se, että haittaohjelma kerää saastuneesta työasemasta FTP-kirjautumisissa käytetyt tunnukset. Muun muassa kerättyjä FTP-tunnuksia taas käytetään hyväksi haitallisen sisällön lisäämiseen yhä uusille www-sivustoille. Toinen erityispiirre on se, että www-sivustoille ujutettava haitallinen sisältö vaihtelee eri sivustojen ja jopa sivuston eri sivujen välillä. Tämä tekee haitallisen sisällön etsinnästä hankalampaa. Tästä syystä sivustojen ylläpitäjien tulee kiinnittää erityistä huomioita siihen, että murretulta sivustolta tunnistetaan ja poistetetaan kaikki haitallinen sisältö. Lisäksi on tarpeellista tarkistaa, että työasemat, joilta murretun sivuston FTP-tunnuksia käytetään, eivät ole haittaohjelman saastuttamia. Gumblarin saastuttamia www-sivustoja on tavattu Suomessa hyvin vähän.

Käyttäjän näkökulmasta paras suojautumiskeino on käyttöjärjestelmän ja siihen asennettujen sovelluksien pitäminen päivitettynä uusimpaan versioon. Lisäksi www-selaimen voi pyrkiä konfiguroimaan siten, että se ei automaattisesti käsittele kaikkia sisältötyyppejä. Jos toimintojen karsiminen ei onnistu konfiguraation avulla, voi siihen käyttää myös tähän tarkoitettuja lisäosia. Molemmissa tapauksissa selaimen välityksellä ulottuvissa oleva hyökkäyspinta-ala pienenee.

Lisätietoa

• http://www.us-cert.gov/current/index.html#gumblar_malware_attack_circulating
• http://blog.scansafe.com/journal/2009/5/14/gumblar-qa.html
• http://blog.scansafe.com/journal/2009/5/8/google-serps-redirections-turn-to-bots.html
• http://blog.unmaskparasites.com/2009/05/18/martuz-cn-is-a-new-incarnation-of-gumblar-exploit/
• http://blog.unmaskparasites.com/2009/05/07/gumblar-cn-exploit-12-facts-about-this-injected-script/
• http://www.networkworld.com/news/2009/051909-web-attack-that-poisons-google.html
• https://forums2.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/273

Sivua päivitetty 20.05.2009

Tulostusversio