Mobiilihaittaohjelmien yleistymistä on ennustettu jo vuosia. Nyt on havaittu viitteitä ensimmäisestä suomalaisiin käyttäjiin kohdistetusta Android-haittaohjelmakampanjasta. Puhelinten haittaohjelmiin tepsivät samat suojakeinot kuin perinteisiin haittaohjelmiin.

Poliisin nimissä esiintyvät kiristyshaittaohjelmat ovat tulleet viime vuosien aikana tietokoneissa etenkin Windows-käyttäjien riesaksi. Vastaavia haittaohjelmia on viimeisen vuoden aikana levitetty myös yleisiin Android-puhelimiin. Nyt ainakin yhtä näistä haittaohjelmista, Koler lockeria, on havaittu yhä enenevissä määrin myös Suomessa.

Koler lockerista eroon palauttamalla puhelin tehdasasetuksiin

Koler locker on vuonna 2012 suomalaisia käyttäjiä kiusanneen Reveton-haitakkeen kaltainen kiristyshaittaohjelma. Se lukitsee käyttäjää pelottelevan varoitusviestin näytölle, eikä päästä käyttäjää muihin puhelimen sovelluksiin. Haittaohjelma vaatii rahaa puhelimen avaamisesta, ja väittää salanneensa puhelimen sisältävät tiedot. Haittaohjelmasta pääsee kuitenkin eroon käynnistämällä puhelimen vikasiteotilassa tai palauttamalla sen tehdasasetuksiin.

Kuva: Kole locker tartunta suomalaisessa Android-puhelimessa. Jos päätelaitteessa on tallennettuja yhteystietoja, liitetään niistä kaksi mukaan kiristysviestiin saatesanoilla "Joitakin yhteystietoja voidaan kuulustella todistajana:". Jos laitteeseen on määritelty omistaja, niin myös tämä tieto esitetään omalla rivillä.

Mobiilihaittaohjelmien leviäminen

Tähän mennessä haittaohjelmaa on levitetty videolinkkien avulla. Käyttäjää pyydetään asentamaan videon katsomiseen tarkoitettu sovellus virallisen sovelluskaupan ulkopuolelta. Samanlaista tekniikka on käytetty jo vuosia perinteisten haittaohjelmien levityksessä. Vastavasti tutut opit tepsivat haittaohjelmalta suojautumiseen.

Mobiilihaittaohjelmien yleistymistä on ennustettu jo vuosia. Tämän vuoden aikana on nähty jo kaksi suomalaisiin käyttäjiin vaikuttanutta mobiilihaittaohjelmakampanjaa: Applen laitteisiin pesiytynyt XcodeGhost ja Android-laitteita vaivaava Koler locker.

Mobiilihaittaohjelmilta suojautuminen

Mobiilikäyttäjien on syytä laitteitaan käyttäessään palauttaa mieliinsä tietokoneiden käytöstä tutut opit. Laite ja sen ohjelmistot kannattaa pitää päivitettyinä mahdollisuuksien mukaan. Tieototurvaohjelmiston käyttö Android-pohjaisissa mobiililaitteissa voi myös tarjot lisäsuojaa haittaohjelmia vastaan. Ohjelmia kannattaa asentaa harkiten, erityisesti virallisten sovelluskauppojen ulkopuolisten sovellusten osalta. Yllättäen saadut linkit, ponnahdusikkunat tai pyynnöt asentaa sovelluksia voivat olla merkki haittaohjelmaoperaatiosta tai huijauksesta.

Aiheesta on julkaistu tietoja ja toimintaohjeita muun muassa Keskusrikospoliisin Kyberrikostorjuntakeskuksen Twitter- tilin kautta

Lisätietoja:

"Police Ransomware" Expands To Android Ecosystem

Android “police warning” ransomware – how to avoid it, and what to do if you get caught

Tietoturva nyt! 5.2.2015: Suomessa liikkuu runsaasti CTB-Locker-haittaohjelmaa - Älä avaa epäilyttäviä sähköpostiliitteitä

17.10.2013 Kiristyshaittaohjelmista on tullut maailmanlaajuinen ongelma

Tietoturva nyt! 8.3.2012: Haittaohjelma vaatii rahaa Suomen poliisin nimissä - älä maksa

[Teema] Muistilista verkkorikoksilta suojautumiseen

https://twitter.com/Kyberkeskus

https://twitter.com/JyrkiKaipanen/status/662294472903024640

http://www.puhelinvertailu.com/uutiset/2015/11/08/ksml-kiristyshaittaohjelma-levinnyt-suomalaisten-alypuhelimiin

http://www.mtv.fi/uutiset/rikos/artikkeli/ksml-krp-varoittaa-alypuhelimien-kiristyshaittaohjelmasta/5547432

Alkuvuodesta 2015 Lenovon toimittamista tietokoneista paljastui Superfish-niminen sovellus, jonka toimintamalli vaaransi käyttäjän tietoturvan. Nyt myös Dellin valmistamista tietokoneista on löytynyt vastaavanlainen sovellus, jonka avulla esimerkiksi salattua verkkoliikennettä voi seurata.

Dell Foundation Services -nimisen sovelluksen mukana asentuva eDellRoot-varmenne asentuu Microsoft Windows -käyttöjärjestelmän Trusted Root Certificate Storeen. Varmenne sisältää myös yksityisen avaimen, jonka avulla hyökkääjä voi luoda uusia varmenteita, jotka on allekirjoitettu eDellRoot CA -varmenteella.

Tietokoneessa, jossa eDellRoot CA -varmenne on asennettu, hyökkääjä voi esiintyä luomallaan uudella varmenteella minä tahansa palveluna tai verkkosivuna ja päästä käsiksi kyseiseen salattuun verkkoliikenteeseen. Lisäksi hyökkääjä voi hyödyntää varmennetta haitallisen sovelluksen allekirjoittamiseen.

Dell on julkaissut ohjeet, joiden avulla koneensa voi tarkastaa mahdollisen haitallisen sertifikaatin varalta sekä poistaa sen. Tarkastuksen voi tehdä myös verkossa olevan sivuston kautta. Järjestelmä, joka ei sisällä haitallista varmennetta, saa sivustolta ilmoituksen "No bad eDell certificate found, you are not vulnerable."

Päivitys 26.11.2015:

Dell on julkaissut tietoja myös toisesta käyttäjän tietoturvaa heikentävästä varmenteesta nimeltä DSDTestProvider. Kyseinen varmenne asentuu koneelle Dell System Detect -nimisen sovelluksen kautta. Sovellusta käytetään tietokoneen mallin tunnistamiseen Dell:n verkkopalvelussa olevan "detect product" toiminnon kanssa. Toisin kuin eDellRoot varmenne, DSDTestProvider varmenne ei tule Dell tietokoneissa esiasennettuna.

Dell on päivittänyt ohjeitaan tietoturvaa heikentävien varmenteiden poistamisesta tietokoneelta. Mikäli tietokoneelta löytyy eDellRoot tai DSDTestProvider varmenne, on ne syytä poistaa kyseisen ohjeen mukaisesti.

Lisätietoja:

•  
• http://en.community.dell.com/dell-blogs/direct2dell/b/direct2dell/archive/2015/11/23/response-to-concerns-regarding-edellroot-certificate
• http://www.dell.com/support/edellroot
• http://www.kb.cert.org/vuls/id/870761
•  
• Tietoturva nyt! - Lenovon toimittamissa tietokoneissa oleva esiasennettu sovellus on mahdollistanut välimieshyökkäyksen (20.2.2015)

Takaovet ovat ohjelmakoodia, joita kyberrikolliset ujuttavat www-palvelimille voidakseen etähallita niitä. Käytännössä takaovia piilotetaan palvelimille aina sivustomurtojen yhteydessä. Niiden tarkoituksena voi olla muun muassa arkaluontoisen tiedon hankkiminen tai bottiverkkojen ohjaaminen.

Kyberrikollinen hallitsee palvelinta takaoven kautta

Takaovet (backdoors, web shells) ovat piilotettua ohjelmakoodia, jotka lisätään www-palvelimelle laitonta etähallintaa varten. Toteutuskielenä voi olla mikä tahansa palvelimen tukema ohjelmointi- tai skriptauskieli. Tyypillisiä toteutuskieliä ovat PHP, ASP, Perl, Ruby, Python ja Unix-komentojonot.

Sivustoille murtautumisen yhteydessä hyökkääjä lisää takaoven, jotta hän pääsee lisäämään tai muokkaamaan haittakoodia tai ohjaamaan muita koneita etänä. Suomessa murrettuja sivustoja on viimeisen puolen vuoden aikana esiintynyt erityisesti Angler Exploit Kit -hyökkäysohjelmiston yhteydessä. Myös muuhun verkkorikollisuuteen liittyviä tietomurtoja ja takaovia on havaittu.

Takaoven avulla hyökkääjä voi ladata tietoja palvelimelta, suorittaa komentoja ja käyttää muita haavoittuvuuksia laajentaakseen käyttöoikeuksiaan palvelimella.

Tarkoituksena voi olla muun muassa käyttäjätunnusten ja muun arkaluontoisen tiedon hankkiminen, bottiverkon ohjaaminen tai liikenteen välittäminen sellaisille sisäverkon koneille, joilla ei ole suoraa internetyhteyttä. Takaoven avulla hyökkääjä voi myös ladata uusia haittaohjelmia palvelimelle luodakseen watering hole -sivuston kohdistettuja hyökkäyksiä varten.

Kohteena ovat päivittämättömät palvelimet

Takaovi asennetaan hyödyntämällä korjaamattomia haavoittuvuuksia web-sovelluksissa tai julkaisujärjestelmissä. Muun muassa lomakkeiden tai HTTP-parametrien puutteellisen syötteentarkistusten avulla palvelimella voidaan suorittaa koodia esimerkiksi SQL-injektiohyökkäyksillä tai hyödyntämällä Cross Site Scripting -haavoittuvuuksia. Myös huonosti suojattujen tiedostojen latausominaisuuden avulla palvelimelle voidaan ladata hyökkääjän koodia.

Myös heikkojen salasanojen tai vahingossa verkosta luettavien ja ylläpitotunnuksia sisältävien tiedostojen vuoksi palvelimelle voi päästä luvatta. Sivuston ylläpitäjä voi omilla toimillaan vaikuttaa siihen, hyödynnetäänkö hänen sivustoaan verkkorikollisuuteen.
 

10 ohjetta tietomurroilta ja takaovilta suojautumiseen

Tietomurroilta ja takaovilta voi suojautua seuraavilla keinoilla:

1. Päivitä palvelinsovellukset ja käyttöjärjestelmä säännöllisesti, mahdollisuuksien mukaan automaattisesti.
2. Poista ylimääräiset palvelinprosessit ja sovellukset käyttöjärjestelmästä (= käyttöjärjestelmän koventaminen).
3. Poista julkaisujärjestelmästä ylimääräiset liitännäiset
   (= julkaisujärjestelmän koventaminen).
4. Rajaa käyttöjärjestelmän ja palvelinsovellusten tiedostojen lukuoikeudet, ettei ylläpitäjätunnuksia tai salasanoja paljastu ulkopuolisille.
5. Käytä vahvoja salasanoja. Tarkista, että järjestelmän salasanat tallennetaan turvallisesti tiivisteinä ja suolattuina.
6. Tarkista käyttäjän antama syöte www-sivuilla mm. lomakkeissa ja tiedostoja palvelimelle ladattaessa.
7. Rajaa pääsyä www-palvelimelta eteenpäin muualle verkkoon esimerkiksi DMZ:lla tai muulla verkon segmentoinnilla.
8. Palomuuri kannattaa olla sekä palvelimella että verkon reunalla.
9. Testaa verkkosivujasi penetraatiotestaustyökaluilla ja fuzzereilla.
10. Lokita palvelimeen kohdistuva liikenne (access log) ja varmista, että lokitiedot säilyvät riittävän kauan.

Näin etsit takaovia palvelimeltasi

HUOM! Jos löydät takaovia palvelimeltasi, ota yhteyttä Kyberturvallisuuskeskukseen ja tee rikosilmoitus poliisille. Ota tiedostoista ja lokeista varmuuskopiot, sillä niistä on hyötyä tapauksen tutkinnassa. Poista takaovet palvelimeltasi.

Tietomurron ja takaovien tuntomerkkejä voi etsiä palvelimen tiedostoista sekä lokeista seuraavilla tavoilla:

• Erikoisen nimiset tiedostot www-rootissa, public_html-hakemistossa tai näiden alihakemistoissa.
• Tiedostot, joiden aikaleimat poikkeavat muista tiedostoista.
• Tietyt avainsanat tiedostojen sisällössä, jotka voivat viitata obfuskoituun koodiin tai järjestelmäkomentoihin.
• Poikkeava määrä liikennettä sivustolle.
• Poikkeuksellisia merkintöjä palvelinlokissa tai IDS:n lokeissa, esimerkiksi
  • tiedostoja, joita haetaan vain tietyllä User Agentilla tai erikoisilla parametreilla
  • kirjautumisia poikkeuksellisista sijainneista
  • pyyntöjä, joiden osana on tiedostojärjestelmän polku tai komento.

Tässä apua etsintään:

• Etsi takaoviin liittyviä avainsanoja (kuten eval, base64_decode, shell_exec, preg_match) palvelimeltasi esimerkiksi Linuxin grep-työkalulla. Vinkkejä etsintään on muun muassa sivulla Finding Vulnerabilities & Backdoor PHP Shell Script on a Server .
• Etsi tekstipohjaisia tiedostoja, joiden entropia on korkea (yli 5,5) esimerkiksi Linuxin entropy-työkalulla. Korkea entropia www-palvelimen tekstitiedostoissa (.php, .sh, .asp, .py, jne) viittaa obfuskoituun koodiin.
  • Huomioi, että osa hyväntahtoisiin tarkoituksiin käytetyistä skripteistä on voitu tarkoituksella tiivistää (ns. minifioida), jolloin niiden entropia on korkea. Tällaiset skriptit on usein nimetty päätteellä .min.js.
• Edellä mainituissa etsinnöissä NeoPI-työkalu (Linux ja Windows). NeoPI on ladattavissa githubista ja sen käytöstä on ohje Infosec Instituten sivuilla.

Lisätietoa:

• US-CERT:n varoitus: Web Shells – Threat Awareness and Guidance, 10.11.2015
• Web Shells, Backdoor Trojans and RATs, 28.10.2013
• Tietoturva nyt! Kohdistetut hyökkäykset ovat pitkäkestoisia ja niiden kehitys on jatkuvaa, 17.9.2015