Розвиток інформаційних загроз у першому кварталі 2011 року, Криптографія, Security & Hack, статті

Загальний огляд ситуації


У першому кварталі 2011 року в світі IT-погроз відбулося чимало різних подій. Прогнози, які були зроблені в нашому річному звіті, стали збуватися дуже швидко, і ситуація, особливо з мобільними погрозами та цільовими атаками, продовжує загострюватися. Проаналізуємо найбільш значущі інциденти першого кварталу.


Мобільні троянці – запитуйте в магазинах!


Почнемо огляд з мобільних додатків, написаних зловмисниками для Android OS і поміщених на Android Market. Шкідливі програми, яких було виявлено більше півсотні, представляли собою перепакована версії легальних програм з доданим троянським функціоналом. Метою зловмисників була інформація про телефон: IMEI-і IMSI-коди. Троянець мав також модуль, що дозволяє завантажувати додаткові компоненти зловреда на телефон без відома користувача. Для отримання контролю над телефоном зловмисникам необхідно було зробити jailbreak (обхід захисту телефону з метою відкриття повного доступу до файлової системи). Щоб отримати root-привілеї, які дають практично необмежені можливості для маніпуляцій над системою, були використані уразливості і відомі експлойти "rage against the cage", при цьому експлойти поширювалися в одному пакеті з троянцями.


Те, що ці експлойти опинилися в парі з троянцями, дуже допомогло тим користувачам, у яких був встановлений Kaspersky Mobile Security 9. Троянці були новими і ще не потрапили в антивірусні бази, а експлойти, поширювані разом з ними, вже успішно детектувати. Ще не були створені сигнатури для троянців, KMS 9 детектувала весь пакет проактивно як Exploit.AndroidOS.Lotoor.g і Exploit.AndroidOS.Lotoor.j. Після додавання троянців в антивірусні бази "Лабораторії Касперського", вони детектируются нами як Backdoor.AndroidOS.Rooter (у класифікації інших компаній – DroidDream).


У сформованій ситуації виникають два питання, на які ми спробуємо відповісти.



  1. Чи складно зловмисникам отримати аккаунт розробника Android Market? – На жаль, дуже просто. За отримання аккаунта користувач повинен заплатити всього лише $ 25. Зрозуміло, що Google хоче залучити якомога більше розробників для своєї OS. Але 25 доларів – це не та мито, яке може стати загороджувальної, і комп'ютерні злочинці можуть створювати десятки таких акаунтів. Вийде нескінченна ланцюжок: Google буде анулювати акаунти, з яких поширюються зловредів, а зловмисники без всяких проблем створювати нові.

  2. Чи можна посилити контроль над публікуються додатками? – Проблема, насамперед, у ресурсах, які повинні бути виділені для вирішення цього завдання. Аналіз всього коду, який надходить в різні магазини додатків (не тільки на Android Market, а й в AppStore, Samsung Market і т.п.), – завдання нетривіальне, так як її дуже складно автоматизувати. Тому в майбутньому в магазинах ми можемо зіткнутися тільки зі збільшенням кількості ПЗ з різними шкідливими добавками.

Як було сказано вище, виявлені на Android Market шкідливі програми використовували уразливості. Зауважимо, що вразливими були пристрої з встановленою системою версії нижче 2.3 "Gingerbread", реліз якої відбувся 6 грудня 2010 року. За даними Google, через три місяці після релізу кількість систем з оновленою версією ОС складало лише 2%. Цей показник наводить на думку про те, що щось заважає користувачам швидко оновлювати систему. А справа ось у чому: виробники телефонів вносять значні зміни в операційну систему перед її установкою на мобільні пристрої. Після цього оновлення встановленої ОС не завжди можливо, або вимагає участі виробника телефону.


Виходить, що можливість установки патчів залежить від виробників мобільних пристроїв, і частина відповідальності за безпеку системи перекладається на них. Вони ж у багатьох випадках не зацікавлені у підтримці та оновленні програмного забезпечення на випущених пристроях. Оскільки моделі смартфонів застарівають дуже швидко, оновлення ПО застарілих моделей перетворюється на додаткові витрати з неочевидною грошової віддачею. Користувачам залишається сподіватися, що виробники приймуть відповідні заходи і дадуть можливість встановити оновлення на їхні пристрої. Чи можна говорити про безпеку в такій ситуації?


Відзначимо важливий факт: Google має можливість віддалено встановлювати / видаляти програми на будь-/ з будь-якого Android-пристрої. На перший погляд, це відмінна підмога в боротьбі зі шкідливими програмами на вже заражених телефонах. Однак випадок з троянцями на Android Market показав кілька слабких місць такої системи.


По-перше, отримавши права адміністратора, троянці відчували себе цілком вільно на смартфоні користувача, і видалити їх могло тільки додаток з такими ж правами адміністратора. Для видалення цих троянців Google довелося випустити спеціальну програму, що має такі права.


По-друге, подальший розвиток технологій мобільних зловредів може призвести до ситуації, коли цей механізм віддаленого управління може просто відключатися троянцями, на зразок того, як це відбувається на PC з Windows Update.


По-третє, існуюча система передбачає ліквідацію троянських програм на заражених телефонах, але не попередження зараження смартфонів. Але якщо гроші або важлива інформація будуть вкрадені за допомогою троянця, то його видалення вже не врятує положення.


В цілому, ситуація з Android OS починає нагадувати поточну ситуацію з Windows:



З 2007 року кількість щорічно додаються сигнатур, детектирующих мобільні зловредів, практично подвоюється.

Кількість нових сигнатур мобільних зловредів, що додаються до антивірусних баз


Враховуючи статистику, отриману в першому кварталі цього року, можна вже зараз впевнено сказати, що в 2011 році буде виявлено в два з гаком рази більше шкідливих програм для мобільних пристроїв, ніж роком раніше.


Ситуація з мобільними зловреда особливо насторожує з урахуванням того, що на мобільних пристроях вже зараз зберігається безліч важливої ​​інформації, а в найближчому майбутньому смартфони перетворяться на мобільні гаманці. Крім того, використання для роботи співробітниками компаній особистих мобільних пристроїв (так звана консьюмерізація) призводить до того, що проблема витоку інформації зі смартфонів окремо взятих користувачів перетворюється на справжній головний біль для компаній, в яких вони працюють.


Цільові атаки


Цікавлять нас події беруть свій початок в 2010 році. Наприкінці минулого року група Anonymous взяла на себе відповідальність за DDoS-атаки на сайти Mastercard, Visa і Paypal на підтримку сайту Wikileakes. Багатьом стало цікаво, хто ж ховається під маскою Anonymous. На початку 2011 року компанія HBGary, що займається комп'ютерною безпекою, оголосила, що має інформацію про те, хто саме стоїть за цими атаками. Однак через кілька днів сама HBGary піддалася хакерській атаці.


Перший квартал 2011 року ознаменувався кількома атаками на різні організації. Крім атаки на HBGary, хакери зламали RSA, BMI, Lush, сайти Play.com, wiki.php.net і т.д. В результаті успішних атак в руках зловмисників виявилася різна інформація (у тому числі персональні дані користувачів), яка, хоч і не дає можливості швидкого збагачення, але представляє інтерес для кіберзлочинців.


Ще кілька років тому злом серверів великої компанії був винятковою ситуацією, але зараз, на жаль, такі події переходять в розряд звичайних. Все вказує на те, що частина професійних кіберзлочинців намацала нову золоту жилу і переключилася з масових заражень комп'ютерів домашніх користувачів на злом серйозних корпорацій. Для кіберзлочинців це більш ризиковано (адже корпорації, на відміну від домашніх користувачів, точно будуть приймати відповідні міри), але ставки в цільових атаках на компанії вище, а конкурентів у цьому сегменті чорного ринку менше.


Насторожує той факт, що атакам піддаються і компанії, що займаються IT-безпекою. Такі компанії, як правило, обслуговують величезну кількість клієнтів, і в результаті злому баз даних в руках у зловмисників можуть виявитися ключі до великої кількості "гаманців" користувачів в різних країнах світу.


Завдання злому серверів компаній, що займаються IT-безпекою, з технічної точки зору дуже непроста. У випадку з HBGary хакери змогли проникнути в мережу компанії в результаті атаки на найменш важливий і тому найгірше захищений сервер технічної підтримки. Адміністратором цього сервера був генеральний директор компанії, тому, роздобувши на зламаному сервері його логін і пароль, хакери одержали доступ до великої кількості різноманітної інформації. Цінність вкраденої інформації була велика, адже HBGary працює з великими фінансовими організаціями і з державними органами. Якби діяли традиційні зловмисники, то вони тут же спробували б продати її на чорному ринку. Але в даному випадку ми зіткнулися з нестандартною поведінкою зломщиків: величезна кількість конфіденційної інформації було викладено у відкритий доступ. Саме удар по репутації компанії, яким стала розголос злому, і був основною метою зловмисників.


При зломі RSA свою роль зіграв людський фактор. Зловмисники розіслали співробітникам компанії шкідливі xls-файли c назвою "2011 Recruitment Plan.xls", сподіваючись, що хоч одна людина, що отримав лист, відкриє файл. Їх розрахунок виявився вірним: один зі співробітників RSA відкрив нещасливий файл, що містить zero-day експлойти, що дозволило зловмисникам отримати контроль над його комп'ютером і прорватися крізь потужний захист корпоративної мережі. Ця історія в черговий раз підтверджує: найслабшою ланкою IT-захисту компанії залишаються люди, які в ній працюють. Основним способом зміцнення цієї ланки є навчання, причому не тільки технічних фахівців, але і рядових співробітників. Незалежно від того, наскільки сильна технічний захист компанії і наскільки професійно налаштовані в ній політики безпеки, без чіткого розуміння всіма співробітниками основних правил комп'ютерної безпеки побудувати дійсно захищену систему неможливо.


Державні ресурси – Канади, Франції та Південної Кореї – також піддалися атакам хакерів в першому кварталі. Якщо при атаках на приватні компанії зловмисники, як правило, переслідують грошову вигоду, то мета атак на різні державні структури не настільки прозора. У Канаді та у Франції метою зловмисників були засекречені документи. А в Південній Кореї атаці піддалися належать уряду акаунти в Twitter і YouTube. Як і у випадку з Anonymous і HBGary, мотивацією для здійснення атаки послужила не жага наживи. Дії зломщиків здебільшого були акціями протесту проти тих чи інших рішень організацій та органів державної влади. Інтернет міцно увійшов в наше життя і поступово стає не тільки важливою частиною глобального інформаційного поля, але й ареною політичної боротьби.


SCADA – все тільки починається?


21 березня 2011 в розсилці seclists.org було опубліковано 24 уразливості в SCADA-системах різних виробників: Simens, Iconics, 7-Technologies, DATAC.


Після гучної історії з Stuxnet уразливості в SCADA-системах викликають підвищений інтерес компаній, що займаються безпекою. Ці системи відповідають за функціонування заводів, електростанцій, систем управління світлофорами та інших життєво важливих об'єктів людської діяльності. Можливість маніпуляції такими об'єктами ззовні представляє загрозу для мільйонів людей.


Принципової відмінності програмного забезпечення SCADA від звичайного ПО немає. Воно пишеться на тих же мовах програмування, для комунікацій використовуються переважно добре вивчені протоколи, у тому числі і мережні. ПЗ для SCADA теж пишуть люди, що, безсумнівно, є основною причиною помилок. Тому в SCADA-системах знаходять помилки, цілком типові для звичайного програмного забезпечення, і експлойти для них розробляються теж цілком типові.


Важливо врахувати, що в світі існує безліч SCADA-систем, які були налаштовані ще при запуску підприємств в експлуатацію і після цього практично не оновлювалися. Та й оновлення таких систем не завжди можливо, адже не всі можуть дозволити собі полігон для тестування патчів у вигляді другого заводу.


Зауважимо, що в інтернеті вже з'явився Exploit Pack для SCADA-систем. А деякі з опублікованих вразливостей в кінці березня все ще залишалися незакритими.


Цифрове недовіру?


Сьогодні вся інфраструктура "цифрового довіри" – довіра до виробників файлів, інтернет-банкінг, покупки в Мережі, електронна пошта та інші телекомунікаційні послуги – тримається на тому, що ми довіряємо механізмам перевірки цифрових підписів і компаніям, які випускають цифрові сертифікати.


Наш прогноз про те, що в 2011 році цифрові сертифікати стануть однією з головних проблем IT-безпеки, на жаль, починає збуватися. Наприкінці березня вийшов бюлетень Microsoft, що повідомляє, що від імені компанії Comodo, за замовчуванням довіреної у всіх версіях Windows і Mac OS X, було випущено 9 підроблених сертифікатів. Зловмисникам підроблені сертифікати дають можливість проводити фішингові атаки, спуфінг вмісту сайтів і MITM-атаки.


За заявою компанії Comodo, випуск підроблених сертифікатів виявився можливим через те, що були зламані акаунти двох довірених партнерів компанії. Цей інцидент виявив ще одну проблему: оскільки право випуску сертифікатів від імені довіреної компанії передається третім особам, користувачі змушені довіряти не тільки довіреної компанії, але і її партнерам.


Усі сертифікати були випущені не для фінансових організацій, а для сайтів з багатомільйонною аудиторією, що належать великим компаніям. Важливо, що сертифікати були випущені для різних сервісів, у тому числі Google, Gmail, Microsoft Live Mail, Yahoo!, Skype, Mozilla addons. Це нетипово для хакерів старої школи, яких в першу чергу цікавлять гроші і, як наслідок, фінансові організації. Атаки з такими підробленими сертифікатами здійснюються не для наживи, але можуть призводити до крадіжки особистої інформації величезної кількості користувачів інтернету. Це вписується в концепцію нових організаторів атак, про які ми писали в нашому річному звіті.


Цікаво, що, за інформацією Comodo, хакерські атаки на партнерів компанії йшли з Ірану. На території цієї країни був розташований і сайт, на якому вперше був використаний підроблений сертифікат. Пізніше людина, що видає себе за іранського хакера-самоучку, взяв на себе відповідальність за проникнення в систему і навіть опублікував частину закритого ключа як доказ. Однак очевидно, що дана атака була дуже ретельно спланована і проведена професійно, що навряд чи під силу самоука. До того ж відкрито заявив про себе хакера так і не вдалося знайти. Не виключено, що іранський слід – помилковий і використаний для відводу очей.


Rustock попався, його господарі на волі


У середині березня ботнет Rustock перестав розсилати спам. Ця подія стала наслідком спільної операції Microsoft і правоохоронних органів США, в результаті якої були відключені командні центри ботнету. Після цього кількість спаму, що розсилається в усьому світі, зменшилася на 15%.


Rustock представляв собою ботнет, керований через строго певні командні центри – сервери в інтернеті, до яких спам-боти звертаються за командами, що містяться в коді шкідливих програм. Відключення командних центрів ботнету призвело до того, що його власники втратили контроль над зараженими машинами. Заново отримати контроль над комп'ютерами, які входили в відключений ботнет, і управляти вже встановленими ботами зловмисникам не вдасться, проте це не означає, що про Rustock можна забути назавжди.


Бот був створений з єдиною метою – розсилати спам, тому його функціонал мінімальний: приховування в системі, отримання команд від власника і власне розсилка мільйонів незапитаної листів. Опції самораспространения в Rustock ніколи не було. Для створення зомбі-мережі використовувалися потужності інших ботнетів: шкідливим програмам на вже заражених комп'ютерах (найчастіше Trojan-Downloader.Win32.Harnig) зловмисники віддавали команди на завантаження і установку спам-бота Rustock. Типовим притулком Rustock є комп'ютер без антивіруса під управлінням необновляющейся Windows XP. У світі налічується сотні тисяч таких комп'ютерів. Поки власники Rustock на волі, у них залишається можливість створити новий ботнет – і не виключено, що з тих же машин, які входили в відключену бот-мережу.


Відразу після закриття командних центрів Rustock зловмисники не робили активних дій по створенню нового ботнету. За даними "Лабораторії Касперського", протягом двох тижнів (з 16 березня до кінця місяця) не було виявлено жодного нового завантажувача, що встановлює Rustock на комп'ютери користувачів.


Жертви GpCode


Кінець кварталу був ознаменований атакою нової модифікації вкрай небезпечного троянця-здирника GpCode, шифрувального дані на зараженому комп'ютері і вимагає викуп за розшифровку.


Нові модифікації шифрувальника були вперше виявлені в самому кінці 2010 року. На відміну від попередніх модифікацій, що видаляють зашифровані файли, нові варіанти GpCode перезаписують файли шифрованими даними. Якщо видалені зашифровані файли можна відновити за допомогою спеціальних програм, то перезаписані файли, не знаючи закритого ключа шифрування, відновити неможливо. Ситуація ще більше ускладнюється тим, що оновлений GpCode для шифрування файлів використовує криптостійкі алгоритми AES c довжиною ключа 256 біт і RSA з довжиною ключа 1024 біт. На сьогоднішній день розшифровка даних, зашифрованих з використанням цих алгоритмів, по відкритому шіфротекста (а це все, що залишається на комп'ютері жертви) в прийнятний час неможлива.


Для зараження комп'ютерів користувачів зловмисники стали використовувати drive-by завантаження. Щоб заманити потенційних жертв на заражені сайти використовувався пойзонінг пошукових запитів. Користувач міг потрапити на шкідливий сайт, якщо його запит у пошуковій системі був пов'язаний з кулінарією. Зауважимо, що всі сайти, з яких велися атаки, були зареєстровані на безкоштовних хостингах am.ae, cx.cc, gv.vg і т.п. Для маскування зловмисники зареєстрували і використовували в атаці відповідні до теми запиту доменні імена, такі як "delicate-grill.ae.am", "generalcook.gv.vg", “warmblueberry.cx.cc”, “full-bread.ae.am”.


Жертвами троянця в першу чергу стали жителі Європи і пострадянській території. Випадки зараження були зафіксовані в Німеччині, Росії, Польщі, Франції, Нідерландах, Казахстані, на Україну і в ряді інших країн. Викуп за розшифровку даних зловмисники вимагали перевести через систему електронних грошей Ukash, яка діє на території всіх цих країн.


Атака проводилася протягом всього декількох годин і її метою були домашні користувачі. Без застосування сучасних технік протидії зловреда за такий короткий проміжок часу неможливо створити сигнатури і доставити їх на комп'ютери. Благо користувачі "Лабораторії Касперського" отримали захист дуже оперативно у вигляді хмарних UDS-сигнатур (Urgent Detection System).


Короткий період поширення зловреда означає, що автор троянця GpCode не прагнув до масового зараження комп'ютерів користувачів. Це можна пояснити тим, що масове зараження комп'ютерів викличе у правоохоронних органів різних країн підвищений інтерес до персони автора, що явно не входить в інтереси зловмисників. Тому подальші атаки троянця-шифрувальника, швидше за все, теж будуть точковими.


Статистика


Нижче ми розглянемо статистику, отриману в результаті роботи різних компонентів захисту від шкідливих програм. Всі статистичні дані, використані у звіті, отримані за допомогою розподіленої антивірусної мережі Kaspersky Security Network (KSN). Дані отримані від тих користувачів KSN, які підтвердили свою згоду на їх передачу. У глобальному обміні інформацією про шкідливої ​​активності беруть участь мільйони користувачів продуктів "Лабораторії Касперського" з 213 країн світу.


Загрози в інтернеті


Статистичні дані в цьому розділі отримані на основі роботи веб-антивіруса, який захищає користувачів в момент завантаження шкідливого коду з зараженої веб-сторінки. Зараженими можуть бути сайти, спеціально створені зловмисниками, веб-ресурси, контент яких створюється користувачами (наприклад, форуми), і зламані легітимні ресурси.


Детектируемая об'єкти в інтернеті


У першому кварталі 2011 року було відбито 254 932 299 атак, що проводилися з інтернет-ресурсів, розміщених в різних країнах світу.


TOP 20 Детектируемая об'єктів в інтернеті






















































































Місце Назва % Від усіх атак *
1 Blocked 66,16%
2 Trojan,Script,Iframer 20,43%
3 Exploit,Script,Generic 14,68%
4 Trojan,Win32,Generic 9,59%
5 Trojan,Script,Generic 8,91%
6 Trojan-Downloader,Script,Generic 8,12%
7 AdWare,Win32,HotBar,dh 3,40%
8 AdWare,Win32,FunWeb,gq 3,26%
9 Trojan,HTML,Iframe,dl 2,16%
10 Exploit,JS,Pdfka,ddt 1,82%
11 Exploit,HTML,CVE-2010-1885,ad 1,73%
12 Hoax,Win32,ArchSMS,pxm 1,59%
13 Trojan,JS,Popupper,aw 1,57%
14 Hoax,Win32,ArchSMS,heur 1,57%
15 Trojan-Downloader,Win32,Generic 1,56%
16 Trojan-Downloader,Java,OpenConnection,cx 1,55%
17 Trojan-Downloader,Java,OpenConnection,cg 1,33%
18 Exploit,HTML,CVE-2010-1885,aa 1,33%
19 Trojan-Downloader,HTML,Agent,sl 1,24%
20 Trojan-Downloader,Java,OpenConnection,cf 1,15%


Дана статистика є детектуючі вердикти модуля веб-антивіруса, які були надані користувачами продуктів ЛК, що підтвердили свою згоду на передачу статистичних даних.
* Відсоток від всіх веб-атак, які були зафіксовані на комп'ютерах унікальних користувачів.


Велика частина (66,16%) Детектируемая в інтернеті об'єктів є посиланнями з чорного списку. У цей список потрапляють адреси веб-сайтів з різним шкідливим контентом. Всі такі сайти можна розділити дві великі категорії. Перша – це ті сайти, де активно застосовуються методи соціальної інженерії, для того щоб змусити користувача власноруч встановити шкідливу програму. У другу категорію потрапляють сайти, при відвідуванні яких завантаження і запуск зловреда відбуваються непомітно для користувача за допомогою техніки drive-by завантаження, заснованої на використанні експлойтів.


Місця з 2-го по 6-е місце в рейтингу займають різні евристичні вердикти. Найчастіше користувачі піддавалися атакам скриптових троянців і експлойтів. Великий відсоток атак троянця Trojan.Script.Iframer (2-е місце в рейтингу), а також його аналога Trojan.HTML.Iframe.dl (9-е місце) свідчить про те, що на багатьох легітимних сайтах присутні ін'єкції шкідливого коду у вигляді неотображаемих тегів "Iframe", які використовуються в ході drive-by атак.


На 7-м і 8-му місцях за частотою детектування розташувалося рекламне ПО HotBar.dh і FunWeb.gq, яке особливо активно поширюється в чотирьох країнах: Сполучених Штатах (28% всіх детектив HotBar.dh і FunWeb.gq), Китаї (14%), Індії (6%) і Англії (4%).


В кінці минулого року троянці сімейства Trojan-Downloader.Java.OpenConnection користувалися особливою популярністю у зловмисників. У першому кварталі 2011 року вони опинилися на останніх місцях в рейтингу. Троянці використовують уразливість в Java Runtime Environment, яка дозволяє зловмисникам минути середу віртуалізації і викликати системні функції Java. Вразливим є ВО Java Runtime Environment до 18-го поновлення 6-ї версії. Так як для боротьби з експлуатацією вразливостей в інтерпретованих мовах використовується велика кількість різних функцій, атакам експлойтів піддаються не програми, написані на цих мовах, а самі віртуальні машини.


Примітно, що відразу дві позиції в рейтингу (12-е і 14-е місця) займають програми, Детектируемая як Hoax.Win32.ArchSMS. Вони являють собою архіви, для розпакування яких потрібно надіслати SMS на платний номер. Левова частка випадків виявлення цієї шахрайської програми доводиться на Рунет.


Країни, на ресурсах яких розміщені шкідливі програми


Інтернет-ресурси, які є джерелами шкідливих програм, є практично в кожній країні світу. У першому кварталі 89% веб-ресурсів, що використовуються для розповсюдження шкідливих програм, були виявлені в 10 країнах світу. Для визначення географічного джерела атаки використовувалася методика зіставлення доменного імені з реальним IP-адресою, на якому розміщений даний домен, та встановлення географічного розташування даного IP-адреси (GEOIP).

Розподіл веб-ресурсів, на яких розміщені шкідливі
програми, по країнах. Перший квартал 2011


Як і раніше в рейтингу країн, на території яких були виявлені веб-ресурси, що використовуються для розповсюдження шкідливих програм, лідирують США. У цій країні велика частина шкідливого контенту розташована на зламаних легітимних сайтах. За перші три місяці 2011 року частка шкідливих хостингів в США збільшилася на 1,7%.


Найбільш помітно кількість шкідливих хостингів збільшилася в Росії (+3,5%) і Великобританії (+2%), які займають 2-е і 7-е місця відповідно.


Триває почалося в 2010 році зменшення кількості шкідливих майданчиків в Китаї; частка веб-атак з території цієї країни в порівнянні з четвертим кварталом 2010 року зменшилася на 3,33%. Також зменшується частка серверів з шкідливим контентом у Німеччині (-3,28%), де ведеться серйозна боротьба за чистоту інтернету.


Країни, в яких користувачі піддавалися найбільшому ризику зараження через інтернет


Щоб оцінити ступінь ризику зараження через інтернет, якому піддаються комп'ютери користувачів у різних країнах світу, для кожної з країн ми підрахували, наскільки часто протягом кварталу користувачі в цій країні стикалися зі спрацьовуванням веб-антивіруса.


10 країн, де користувачі піддаються найбільшому ризику зараження через інтернет














































Місце Країна * % Унікальних користувачів **
1 Росія 49,63%
2 Оман 49,57%
3 Ірак 45,65%
4 Білорусія 43,84%
5 Вірменія 42,42%
6 Азербайджан 42,15%
7 Казахстан 40,43%
8 Саудівська Аравія 39,99%
9 Україна 39,99%
10 Судан 38,87%


* При розрахунках ми виключили країни, в яких число користувачів ЛК відносно мало (менше 10 тисяч).
** Відсоток унікальних користувачів, що зазнали веб-атакам, від всіх унікальних користувачів продуктів ЛК в країні.


У першому кварталі 2011 року найбільший ризик зараження були схильні користувачі KSN в Росії та Омані. Практично кожен другий користувач (49%) в цих країнах протягом кварталу піддавався хоча б одній атаці через інтернет. При цьому характер погроз в цих двох країнах зовсім різний: в Омані комп'ютери заражаються перш за все для збільшення розмірів зомбі-мереж, в той час як у Росії поряд з ботами активно поширюються і шахрайські програми.


Всі країни можна розбити на кілька груп.



  1. Група підвищеного ризику. У цю групу з результатом 41-60% увійшли 7 країн світу: Росія, Оман, Ірак, Білорусь, Вірменія, Азербайджан і Казахстан.

  2. Група ризику. У цю групу з показниками 21-40% потрапили 87 країн.

  3. Група найбезпечніших при серфінгу в інтернеті країн. У цю групу у першому кварталі 2011 року увійшли 33 країни з показниками 13-20%. Найменше відсоток користувачів, атакованих при перегляді сторінок в інтернеті, в Японії, Німеччини, Сербії, Чехії та Люксембурзі.

Локальні загрози


Всі статистичні дані в цьому розділі отримані на основі роботи on-access-scanner.


Детектируемая об'єкти, виявлені на комп'ютерах користувачів


У першому кварталі 2011 року наші антивірусні рішення успішно заблокували 412 790 509 спроб локального зараження на комп'ютерах користувачів, що беруть участь в Kaspersky Security Network.


Всього в даних інцидентах було зафіксовано 1987044 різних шкідливих і потенційно небажаних програм. У їх число потрапляють, зокрема, об'єкти, які проникли на комп'ютери не через Web, пошту або мережеві порти – наприклад, по локальній мережі або через знімні накопичувачі.


Детектируемая об'єкти, виявлені на комп'ютерах користувачів: TOP 20






















































































Місце Назва % Унікальних користувачів *
1 DangerousObject.Multi.Generic 29,59%
2 Trojan.Win32.Generic 24,70%
3 Net-Worm.Win32.Kido.ir 14,72%
4 Virus.Win32.Sality.aa 6,43%
5 Virus.Win32.Sality.bh 4,70%
6 Net-Worm.Win32.Kido.ih 4,68%
7 Hoax.Win32.Screensaver.b 4,48%
8 HackTool.Win32.Kiser.zv 4,43%
9 Hoax.Win32.ArchSMS.heur 4,08%
10 Worm.Win32.Generic 3,36%
11 Trojan.JS.Agent.bhr 3,32%
12 AdWare.Win32.HotBar.dh 3,28%
13 Packed.Win32.Katusha.o 2,99%
14 Hoax.Win32.ArchSMS.pxm 2,91%
15 Trojan.Script.Iframer 2,80%
16 Worm.Win32.FlyStudio.cu 2,74%
17 HackTool.Win32.Kiser.il 2,50%
18 Trojan-Downloader.Win32.Geral.cnh 2,11%
19 Trojan-Downloader.Win32.VB.eql 2,04%
20 Trojan.Win32.Starter.yy 1,95%


Дана статистика є детектуючі вердикти модуля антивіруса, які були надані користувачами продуктів ЛК, що підтвердили свою згоду на передачу статистичних даних.
* Відсоток унікальних користувачів, на комп'ютерах яких антивірус детектувала даний об'єкт, від всіх унікальних користувачів продуктів ЛК, у яких відбувалося спрацьовування антивіруса.


Перше місце в рейтингу займають різні шкідливі програми, задетектірованние за допомогою "хмарних" технологій. Ці технології працюють, коли в антивірусних базах ще немає жодного сигнатури, ні евристики для детектування шкідливої ​​програми, зате у антивірусної компанії "в хмарі" вже є інформація про об'єкт. У цьому випадку Детектируемая об'єкту присвоюється ім'я DangerousObject.Multi.Genric.


З 3-го по 6-е місце в рейтингу зайняли модифікації відомих не перший рік шкідливих програм Net-Worm.Win32.Kido і Virus.Win32.Sality. Ефективні методи самораспространения, застосовувані цими шкідливими програмами, привели до того, що одного разу активоване механізм зараження комп'ютерів продовжує діяти довгий час після випуску зловредів в "дику природу". Судячи з ситуації, що склалася, ці шкідливі програми за кількістю заражених машин ще довгий час будуть залишатися в лідерах.


У цей рейтинг, як і в рейтинг по інтернет-загрозам, потрапили описані вище шахрайські програми, Детектируемая продуктами "Лабораторії Касперського" як Hoax.Win32.ArchSMS (9-е і 14-е місця).


Країни, в яких комп'ютери користувачів піддавалися найбільшому ризику зараження локального


У різних країнах ми порахували відсоток користувачів KSN, на комп'ютерах яких були заблоковані спроби локального зараження. Отримані цифри відображають середню зараженість комп'ютерів в тій чи іншій країні світу.


TOP 10 країн за рівнем зараженості комп'ютерів














































Місце Країна * % Унікальних користувачів **
1 Судан 69,86%
2 Бангладеш 64,33%
3 Ірак 62,15%
4 Руанда 57,28%
5 Непал 55,85%
6 Танзанія 55,11%
7 Афганістан 54,78%
8 Ангола 53,63%
9 Уганда 53,48%
10 Оман 53,16%


* При розрахунках ми виключили країни, в яких число користувачів ЛК відносно мало (менше 10 тисяч). ** Відсоток унікальних користувачів, на комп'ютерах яких були заблоковані локальні загрози, від всіх унікальних користувачів продуктів ЛК в країні.


У десятку країн, в яких комп'ютери користувачів піддаються найбільшому ризику локального зараження, увійшли виключно країни Азії та Африки. Рівень комп'ютеризації в цих регіонах зростає стрімко. На жаль, за цим ростом не встигає рівень комп'ютерної грамотності населення, чим і обумовлені високі показники зараженості комп'ютерів користувачів – більше 50%. Наприклад, в Судані (1-е місце в рейтингу) шкідливі програми були виявлені на двох з кожних трьох комп'ютерів, підключених до KSN. Нагадаємо, що ця країна займає також десятий рядок рейтингу країн за ризиком зараження комп'ютерів через інтернет.


У випадку з локальними зараженнями ми можемо згрупувати всі країни за рівнем зараженості.



  1. Максимальний рівень зараження (Більше 60%): Судан, Бенгладеш та Ірак.

  2. Високий рівень зараження (41-60%): 48 країн світу, у тому числі Індія, Індонезія, Філіппіни, Таїланд, Росія, Україна, Казахстан.

  3. Середній рівень зараження (21-40%): 55 країн, у тому числі Китай, Бразилія, Еквадор, Аргентина, Туреччина, Іспанія, Португалія, Польща.

  4. Найменший рівень зараження: 24 країни світу.

До п'ятірки країн, найбезпечніших по рівню локального зараження, потрапили:


























Місце Країна % Унікальних користувачів
1 Японія 6,30%
2 Німеччина 9,20%
3 Швейцарія 9,60%
4 Люксембург 10,20%
5 Данія 11,10%


Цікавий факт – друга та третя групи переважно складаються з країн, що розвиваються, у той час як четверта група складається, в основному, з розвинених країн світу, таких як Австрія, Англія, Німеччина, США, Франція і Японія.


Уразливості


У першому кварталі 2011 року на комп'ютерах користувачів було виявлено 28752203 уразливих додатків і файлів.


ТОП 10 вразливостей, виявлених на комп'ютерах користувачів, представлений в таблиці нижче.


























































































Secunia
ID
унікальний
ідентифікатор
уразливості
Назва
вразливості і
посилання на її
опис
Можли-
ності,
які
дає
використання
уразливості
злоуми-
шленнікам
Відсоток
користу-
вателей,
у яких
була
виявлена
вразливість
Дата
публіка-
каціі
Уро-
вень
небез-
ності
вразливий-
мости
1 SA 38805 Adobe Reader / Acrobat SING "uniqueName" Buffer Overflow Vulnerability  отримання доступу до системи і виконання довільного коду з привілеями локального користувача 40,78% 08.09.
2010
Extremely Critical
2 SA 37255 Adobe Flash Player Multiple Vulnerabilities  "Отримання доступу до системи і виконання довільного коду з привілеями локального користувача Exposure of sensitive information обхід системи безпеки" 31,32% 28.10.
2010
Extremely Critical
3 SA 35377 Adobe Flash Player Multiple Vulnerabilities  отримання доступу до системи і виконання довільного коду з привілеями локального користувача 24,23% 09.02.
2011
Highly Critical
4 SA 38547 Sun Java JDK / JRE / SDK Multiple Vulnerabilities  "Отримання доступу до системи і виконання довільного коду з привілеями локального користувача
DoS Exposure of sensitive information Manipulation of Data”
23,71% 09.02.
2011
“Highly Critical “
5 SA 31744 Sun Java JDK / JRE / SDK Multiple Vulnerabilities  "Отримання доступу до системи і виконання довільного коду з привілеями локального користувача
DoS Exposure of sensitive information Manipulation of Data Обхід системи безпеки "
21,62% 13.10.
2010
“Highly Critical “
6 SA 34572 Apple QuickTime Multiple Vulnerabilities  "Отримання доступу до системи і виконання довільного коду з привілеями локального користувача
Exposure of sensitive information Manipulation of Data”
12,16% 11.11.
2010
“Highly Critical “
7 SA 39272 Winamp MIDI Timestamp Parsing Buffer Overflow Vulnerability  отримання доступу до системи і виконання довільного коду з привілеями локального користувача 9,40% 07.12.
2010
“Highly Critical “
8 SA 29320 Microsoft Office OneNote URI Handling Vulnerability  отримання доступу до системи і виконання довільного коду з привілеями локального користувача 9,05% 09.01.
2007
“Highly Critical “
9 SA 39375 Adobe Shockwave Player Multiple Vulnerabilities  отримання доступу до системи і виконання довільного коду з привілеями локального користувача 8,78% 03.11.
2010
“Highly Critical “
10 SA 37690 Adobe Reader / Acrobat Multiple Vulnerabilities  "Отримання доступу до системи і виконання довільного коду з привілеями локального користувача XSS" 8,18% 14.04.
2010
“Highly Critical “


Протягом останнього року більшу частину рейтингу становили уразливості в продуктах Microsoft. Особливістю рейтингу першого кварталу 2011 року стала присутність у ньому всього однієї уразливості в продукті від Microsoft (8-е місце). Найчастіше на комп'ютерах виявлялися уразливості в продуктах Adobe, які зайняли 5 рядків рейтингу, включаючи дві перші. 4-е і 5-е місця в рейтингу зайняли уразливості у віртуальній машині Java. В TOP 10 потрапили і по одній уразливості в популярних медіа-плеєрах Apple QuickTime (6-е місце) і Winamp (7-е місце).


Всі уразливості, які потрапили в TOP10, дозволяють зловмисникам отримати повний доступ до системи. В принципі, при наявності повного доступу до системи інші можливості, які дають уразливості, йдуть далеко на другий план.


Висновок


Основна тенденція першого кварталу 2011 року – збільшення кількості атак на різні організації. Причому мова йде не тільки про традиційні DDoS-атаки, які на якийсь час виводять з ладу сервіси компаній, але і про проникнення на корпоративні сервери з метою крадіжки інформації. Ці останні можна розділити на дві великі групи.


Метою атак, які входять у першу групу, є продаж інформації, вкраденої з серверів компаній. Важливо врахувати, що в результаті атак в руки зловмисників часто потрапляють персональні дані клієнтів постраждалої організації. Ця інформація в подальшому може бути використана, у тому числі для проведення цільових атак на компанії, в яких працюють ці самі клієнти.


Друга група атак, як правило, носить протестний характер. Такі атаки не пов'язані з особистим збагаченням атакуючих і, в кінцевому рахунку, переслідують одну мету – похитнути авторитет атакованої організації і кинути тінь на її репутацію.


За нашими статистичними даними, зібраними з комп'ютерів, що входять в KSN, найбільшому ризику зараження – як локального, так і через веб – піддаються користувачі в країнах, що розвиваються. Причому в разі локального зараження групи максимального ризику (локальні загрози заблоковані більш ніж на 60% комп'ютерів користувачів "Лабораторії Касперського" в цій країні) і високого ризику (40-60%) повністю складаються із країн. Рівень комп'ютеризації в цих країнах зростає дуже швидко, чого не можна сказати про рівень комп'ютерної грамотності населення. Однак атакам самих технологічних на сьогоднішній день троянців (TDSS, Sinowal, Zbot тощо) піддаються в першу чергу користувачі з розвинених країн, таких як СШA, Німеччина, Англія, Італія, Франція та Іспанія. Мисливців за чужими грошима цікавлять гаманці користувачів саме в цих країнах.


За даними IDC, за четвертий квартал 2010 р. поставки смартфонів вже перевищили поставки персональних комп'ютерів. На цьому тлі зростання популярності Android OS на ринку мобільних пристроїв незабаром може привести до ситуації, аналогічної тій, яка вже склалася з PC. Переважання Android OS дозволить вірусопісателямі не розпорошувати свої сили і зосередитися на написанні зловредів переважно для однієї платформи.


Актуальність захисту мобільних пристроїв останнім часом дуже сильно зросла. При цьому найбільш зацікавленими у захисті виявляються не стільки самі користувачі, скільки їх роботодавці. Проблема в те, що співробітники фірм використовують особисті мобільні пристрої для зберігання і передачі цінного робочої інформації, не надто турбуючись про захист цих пристроїв.


Активне зростання популярності соціальних мереж, блогів, торрентів, Youtube і Twitter веде до зміни цифрового ландшафту. Ці сервіси забезпечують високу швидкість поширення даних та їх доступність в кожному куточку світу. Інформація, що з'являється в блогах користувачів, люди часто довіряють не менше, ніж офіційним ЗМІ. На популярність такого роду ресурсів вже звернули увагу кіберзлочинці. Тому надалі варто очікувати збільшення кількості атак через ці сервіси і на ці сервіси.


Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*