Lenka SovíkováMalware zvaný trojský kůň patří k počítačovému světu stejně neodmyslitelně jako ke starým řeckým bájím. Pro kyberútočníky představuje efektivní a flexibilní nástroj k napadení našich zařízení a krádeži osobních dat, a ačkoliv o něm v posledních letech slýcháváme méně, byla by chyba myslet si, že jeho hrozba úplně pominula.
Co tedy trojské koně skutečně jsou a jak se během let vyvinuly?
Stručná historie trojských koní
Jednu z nejranějších zmínek o termínu „trojský kůň“ v kyberbezpečnostním kontextu najdeme už v roce 1971 v prvním manuálu pro systém Unix, který inspiroval většinu dnešních operačních systémů. Sám název ale sahá historicky mnohem dál, konkrétně zhruba do 8. století př. n. l. k pověsti o trojské válce.
Ta vypráví o lsti, ke které se po 10 letech neúspěšného obléhání Troje uchýlili Řekové. Předstírali, že armáda odplula, a na místě ležení zanechali velikého dřevěného koně. Řecký voják Sinon, který zůstal jako posel, Trojany přesvědčil, že jde o dar, a ti navzdory varování kněze vtáhli koně do vrat. V koni ale byli schování vojáci, kteří v noci vpustili do města zbytek armády a Troju konečně dobyli.
Co je trojský kůň z kybernetického hlediska?
Trojský kůň je souhrnné označení pro vícero typů škodlivého softwaru, které se vydávají za jiné, neškodné soubory (např. programy, aktualizace/patche, e-mailové přílohy v PDF či DOCX, mediální soubory apod.) a jejich cílem je přesvědčit oběť, aby je stáhla a spustila. Tím většinou nainstaluje škodlivý kód v podobě spywaru, ransomwaru nebo klidně i napojení na botnet.
Trojské koně se často hází do jednoho pytle s počítačovými viry, ale jde o různé druhy škodlivého kódu. Trojský kůň se na rozdíl od počítačového viru totiž neumí sám kopírovat a šířit, k tomu vždy potřebuje člověka.
A právě tady většinou vstupuje na scénu sociální inženýrství, tedy soubor taktik, které nás přesvědčí soubor stáhnout a spustit. Trojské koně proto často najdeme jako payload v phishingových útocích.
Nejčastější plemena trojských koní
Phishing ale není zdaleka jediné využití trojských koní. Mezi další typy tohoto škodlivého kódu patří například:
- Downloader. Trojský kůň, jehož jediným účelem je stažení a spuštění dalšího škodlivého kódu do zařízení oběti. Obdobně funguje například i adware, který je často součástí legitimních softwarových balíčků.
- Dropper. Nosič obsahující další škodlivý soubor, který po spuštění „upustí“ a nainstaluje do zařízení.
- Backdoor a trojský kůň pro vzdálený přístup (RAT). Sofistikovanější typ trojského koně, který se skládá hned z několika nástrojů. Jejich funkcí je získat plný přístup do napadeného systému, odesílat a přijímat soubory, zaznamenávat údery na klávesnici (keylogger) či pořizovat snímky obrazovky.
- Packer (taky Crypter nebo Protector). V podstatě „jen“ obal, který má za úkol trojského koně skrýt před antivirem a ztížit jeho analýzu. Packery se používají i jako legální nástroje ke kompresi nebo ochraně softwaru před pirátstvím.
- Trojské koně DDoS a botnet. Tyto trojské koně dělají přesně to, co říká jejich název, tedy využívají napadené zařízení k DDoS útokům nebo vytváření sítě botnetů. Obdobně fungují i trojské koně, které nelegálně instalují software pro cryptomining.
- Bankovní trojský kůň. Pravděpodobně nejnebezpečnější typ, který využívá většinu výše popsaných funkcionalit ke kradení bankovních údajů. Dnes je poměrně vzácný, protože jsou jeho funkce prakticky zaměnitelné s infostealery (např. Agent Tesla), ale patří sem třeba Trickbot nebo Grandoreiro.
Dobrá zpráva je, že trojské koně, které mají za úkol zařízení vyřadit nebo úplně zničit, jsou poměrně vzácné. Špatná zpráva je, že dnešní trojští koně cválají hlavně s infostealery. A umí napáchat pořádné škody.
Legenda jménem Zeus
Tentokrát se nebavíme o šéfovi olympských bohů, ale o trojském koni jménem Zeus nebo ZBot. Ten v letech 2007–2010 útočil především na finanční instituce, kde kradl platební údaje zákazníků a FTP loginy. Po 3 letech jeho činnost přerušil zásah policie, ale trojského koně, který se jednou osvědčil, není lehké poslat do věčných pastvin. Jeho kopie se proto objevují dodnes, ačkoliv už nejsou zdaleka tak úspěšné.
Jak funguje moderní útok pomocí trojského koně?
Útoky trojských koní stále probíhají zcela bájně. Řekové (kyberzločinci) chtějí dobít Troju (naše zařízení), takže si připraví škodlivý kód zabalený do lákavé návnady a uvěřitelný příběh (trojský kůň a Sinon).
Ačkoliv nás kněz (např. kyberbezpečnostní společnost) opakovaně varuje, koně vtáhneme do vrat (stáhneme a spustíme soubor) a Troja je opět dobytá (naše osobní a bankovní údaje padnou do rukou zločinců, počítač nebo mobil má pod kontrolou malware apod.).
Jak zjistím, že mám v zařízení trojského koně?
Tahle část je trochu komplikovanější, protože napadený systém se často chová jako starší nebo špatně softwarově optimalizované zařízení. Jinými slovy, je pomalejší, programy a aplikace mrznou nebo padají, objevují se notifikace a pop-up okna apod.
Trojské koně ale nenapadají jen počítače s operačním systémem Windows. Běžně napadají i zařízení s Androidem a troufnou si i na iOS a macOS.
- Jak odstranit malware ze zařízení s operačním systémem Android?
- Jak odstranit malware ze zařízení s operačním systémem iOS?
- Jak odstranit malware ze zařízení s macOS? Odpojte zařízení od internetu a spusťte XProtect, který malware identifikuje a izoluje. Zároveň zvažte pořízení antivirového programu třetí strany pro občasnou dodatečnou kontrolu.
Jak se můžu před trojským koněm efektivně ochránit?
Protože trojský kůň je rovným dílem sociální inženýrství i škodlivý kód, efektivní prevence musí zahrnovat nejen kvalitní a komplexní bezpečnostní řešení pro počítač i mobil, ale i dodržování zásad bezpečného pohybu na internetu.
Takže, na co byste neměli nikdy zapomínat?
- Důsledně aktualizujte operační systém a programy/aplikace, které používáte. Doporučujeme si zapnout automatické aktualizace a pokud je to možné, nestahovat je manuálně z různých stránek. Trojský kůň se často schovává v záplatách nebo jako součást balíčků legitimního softwaru.
- Nestahujte nelegální média ani pirátský software. Obezřetní buďte i s freewarem, protože ten může obsahovat nevyžádaný adware, který je vzdáleným příbuzným trojských koní.
- Neklikejte na vyskakovací reklamy, často totiž vedou na napadené webové stránky nebo webové stránky s „drive-by downloads“ (tj. malwarem, který se při návštěvě stránky automaticky stáhne do zařízení uživatele).
- Pravidelně si zálohujte soubory buď na externí disk nebo na cloud. Pokud totiž dojde na nejhorší, budete moct napadené zařízení zformátovat nebo vrátit do továrního nastavení beze strachu, že přijdete o cenná osobní data.
- Neustále se informujte o nových a vznikajících hrozbách, moderních taktikách sociálního inženýrství, využívání nových technologií v phishingu a podobně. Je totiž o dost snadnější vyvarovat se nepříteli, jehož podobu a taktiky známe.
Shrnutí
Trojské koně zastřešují několik druhů malwaru, které často pracují společně. Do zařízení se dostanou většinou za pomoci sociálního inženýrství. Jedním z nejefektivnějších způsobů obrany je ostražitost, informovanost a spolehlivý antivir, který nám pomůže problém včas odhalit a odstranit.
Mohlo by vás zajímat:
👿 Co je sociální inženýrství a jak se před ním bránit?
👿 Kouká nám pod prsty. Co je to keylogger a jak přesně funguje?
👿 Jdou po vašich datech: Co jsou to infostealery?
Tereza Malkusová
