Розвиток інформаційних загроз у третьому кварталі 2009 року, Криптографія, Security & Hack, статті

Про збір статистики


Сучасні засоби антивірусного захисту – це комплексні рішення, які блокують спроби зараження комп’ютера на різних рівнях. Нижче ми розглянемо статистику, отриману в результаті роботи таких компонентів захисту, як веб-антивірус, система виявлення вторгнення (IDS) і файловий антивірус (OAS). У всіх випадках ми оцінювали число унікальних спроб зараження комп’ютерів користувачів, заблокованих нашими продуктами. Випадки, коли на один і той же комп’ютер одна і та ж шкідлива програма намагалася проникнути кілька разів, ми розглядали як один інцидент.


Всі статистичні дані, використані в статті, отримані за допомогою розподіленої антивірусної мережі Kaspersky Security Network (KSN). У глобальному обміні інформацією про шкідливої ​​активності приймають участь мільйони користувачів продуктів Kaspersky Internet Security і Kaspersky Anti-Virus 2009 з 213 країн світу.


Загрози, заблоковані на комп’ютерах користувачів


Нижче наведена статистика загроз, заблокованих на комп’ютерах користувачів в момент активації шкідливих файлів або при спробі їх записи на комп’ютер-жертву.


Розподіл шкідливих програм, заблокованих
на комп’ютерах користувачів, з поведінки


У цьому кварталі пальму першості за частотою нападу на комп’ютери користувачів взяли троянські програми (+0,66%), змістивши з першого місця хробаків (-1,39%), що лідирувала протягом декількох кварталів. Пояснюється це зниженням активності дуже популярних у зловмисників Autorun-черв’яків, що, в свою чергу, пов’язано з появою у вересні патча KB971029 від компанії Microsoft, який прибирає функцію автозапуску з різних версій Windows.


Зростання частки класичних вірусів (+0,94%) пов’язаний з появою нетривіального файлового вірусу Virus.Win32.Induc. Його особливість полягає в способі зараження: шкідливий код впроваджується в програму ще на етапі її розробки (на робочої станції в компанії-розробника ПЗ або на комп’ютері розробника, що працює віддалено). Потрапляючи на комп’ютер, вірус насамперед шукає середовище розробки (в даному випадку Delphi 4.0-7.0) і намагається її заразити шляхом проникнення в файл базових констант sysconst.pas і подальшої його компіляції. Так як фактично всі програми, написані на Delphi, використовують модуль sysconst, кількість легальних програм, заражених на етапі компіляції, в результаті виявилося досить значним. Як наслідок, антивіруси стали детектувати багато популярних легальні програми. Виявлено також кілька випадків зараження вірусом Induc творінь самих вірусотворців – в основному зараженими виявилися бразильські троянці-Банкер.


Подібні концептуальні віруси зустрічалися і раніше, проте такого широкого розповсюдження вони не отримували. Зауважимо, що Induc майже рік залишався непомітним для антивірусних компаній: за нашими даними, вперше інфіковані їм об’єкти з’явилися в листопаді-грудні 2008 року. Виникає питання: чому антивірусні програми не детектувала вірус? Відповісти на нього дуже просто – в Induc немає шкідливої складової! Тому ні евристика, ні проактивні методи не могли виявити в поведінці заражених вірусом Induc програм нічого небезпечного. Тоді навіщо ж взагалі був створений Induc? Можливо, це була “проба пера “або хтось просто розважався.


Наявність мережевих черв’яків в списку найбільш поширених шкідливих програм, виявлених на комп’ютерах користувачів, обумовлене лише одним (!) Фактором – увійшла у повільну стадію епідемією Net-Worm.Win32.Kido. Наступний графік наочно ілюструє цей факт.


Статистика детектування Net-worm.Win32.Kido
в третьому кварталі 2009 р.


Спади на графіку відповідають неділях – у вихідні дні в світі працює найменше комп’ютерів, тому детектируется найменше заражень.


У цьому кварталі також активізувалися P2P-черв’яки (+0,4%). Найбільший “внесок” в їх активність внесли представники сімейства P2P-Worm.Win32.Palevo, що мають безліч шляхів розповсюдження: за допомогою розсилки повідомлень в MSN Messenger, зараження USB Flash-дисків, а також через значний список вже встановлених клієнтів P2P-мереж (BearShare, Ares P2P, iMesh, Shareaza, Kazaa, DC + + і т.д.). Після установки хробака зловмисник може використовувати заражений комп’ютер для здійснення DDoS-атак, а також отримати повний доступ до скомпрометованої системи через VNC.


У класі Trojan-Droppers спостерігається наступна тенденція: для їх створення все частіше використовуються скриптові мови Flystudio і Autoit. Мова Flystudio багатьом нашим читачам може бути невідомий, оскільки розроблений він був у Китаї і особливою популярністю користується саме у себе на батьківщині – як і шкідливі програми, написані на ньому. Flystudio і Autoit дозволяють створювати шкідливі програми, не володіючи високим рівнем знань: кілька кліків в зручному фреймворку – і троянець-дроппер готовий.


Тепер подивимося на розподіл шкідливих програм по платформах, на яких вони виконуються.


Розподіл шкідливих програм, заблокованих
на комп’ютерах користувачів, по платформах


Як видно, пара лідерів у порівнянні з другим кварталом 2009 року не змінилася – це все ті ж Win32-і JS-зловредів. Такий стан справ зумовлений тим, що найбільш поширені шкідливі програми – Net-worm.Win32.Kido, Virus.Win32.Sality, Virus.Win32.Virut и др. – виконуються саме на цих платформах. В іншому ж розподіл шкідливих програм суттєво змінилося. По-перше, кидається в очі зменшення частки WMA-зловредів, яка значно знизилася в порівнянні з першим кварталом цього року (-2,22%), коли вони були на другому місці серед найбільш поширених шкідливих програм. Пов’язано це з тим, що їх існування було обумовлено наявністю вразливостей в Windows Media Player, а так як за останні місяці нових вразливостей такого роду виявлено не було, даний вид шкідливих програм практично вимер. Також зменшилася частка SWF-зловредів, але про це ми розповімо в наступному розділі.


Загрози в інтернеті


Розподіл шкідливих програм в інтернеті
по поведінці


У цьому кварталі значно збільшилася кількість атак на комп’ютери користувачів з використанням троянців-завантажувачів: їх частка по відношенню до всіх шкідливим програмам, заблокованим веб-антивірусом, виросла на 7,73%. Основний внесок внесли різні Trojan-downloader.JS/HTML.Iframe, Trojan-downloader.JS.Gumblar.a, які використовуються для зараження веб-сторінок різних легітимних сайтів (Gumblar був докладно розглянуто в минулому звіті). Саме шкідливі програми, які компрометують популярні сайти, приносять зловмисникам найбільший “улов”, адже в цьому випадку користувача навіть не треба заманювати на заражену сторінку – він сам туди приходить.


У минулому кварталі також проявляли активність два інших примітних зловреда: Trojan-Downloader.JS.Major.c і Trojan-Downloader.JS.LuckySploit.q. Обидва використовують різні вразливості для проникнення в систему користувача, але якщо перший просто використовує ряд вразливостей в ОС Windows і в офісному пакеті MS Office, то другий є вельми “інтелектуальним” троянцем. Trojan-Downloader.JS.LuckySploit.q збирає відомості про конфігурацію системи користувача і відправляє ці дані в зашифрованому вигляді на сервер зловмисників, звідки потім надсилається набір експлойтів, відповідний конфігурації ПО на комп’ютері користувача. Виходить дуже ефективна (з точки зору зловмисників) схема, яка забезпечує високий відсоток заражень комп’ютерів. Крім того, далеко не всі експлойти відразу потрапляють в після зору антивірусних компаній.


Збільшення частки троянців на 4,23% обумовлено активністю всього лише одного зловредів – Trojan.JS.Redirector.l, що здійснює просте перенаправлення користувачів для накрутки кліків на сайтах.


Кількість задетектірованних експлойтів в цьому кварталі також суттєво збільшилася (+8,42%). В липні була виявлена ​​уразливість в Interet Explorer 6 і 7, що дозволяє виконати довільний код на вразливою машині. IE за даними NetApplications користуються близько 65% користувачів у всьому світі. Ця статистика не є таємницею за сімома печатками і, зрозуміло, доступна зловмисникам – тому тут же з’явилися експлойти, які використовують цю вразливість і детектіруемих нами як Exploit.JS.DirektShow. Крім того, в серпні була виявлена ​​небезпечна уразливість в MS Office (MS09-043), яка також дозволяла атакуючому віддалено виконати довільний код на вразливою машині. Експлойти, які використовують цю вразливість, детектируются нами як Exploit.JS.Sheat.


Той факт, що уразливості були закриті (перша в липні, друга в серпні), а експлойти ми детектувала протягом усього третього кварталу, вказує на безпечність користувачів, які не ставлять патчі і взагалі не дбають про безпеку комп’ютерів. Мало того, що вони підставляють під удар свої системи і дані, так ще й іншим користувачам дістається, оскільки заражені машини в переважній більшості випадків стають частиною зомбі-мереж, з яких поширюються шкідливі програми і величезна кількість спамових листів. Навіть знищивши командні центри ботнетів, вивести останні з ладу вдається далеко не завжди. Адже комп’ютери, що входили в бот-мережа, як і раніше залишаються зараженими, і ботмастерам вистачає всього декількох днів, щоб відновити працездатність своїх зомбі-мереж і продовжити кримінальну діяльність.


Розподіл шкідливих програм в інтернеті
по платформах


Розподіл шкідливих програм в інтернеті по платформах не сильно змінилося за квартал – домінують і раніше JS, Win32, HTML. Однак є один примітний факт: SWF-зловредів, що використовують середу Flash для свого виконання, змістилися з 4-го місця на 7-е. Цьому сприяли і регулярні патчі від компанії Adobe, і дії інших гравців софтверного ринку. За даними Trusteer, опублікованими в середині третього кварталу, 80% всіх користувачів інтернет-браузерів використовували вразливу версію flash-плеєра. Остання версія браузера Firefox при встановлення та оновлення перевіряє версію flash-плеєра, і якщо вона є застарілою, пропонує користувачеві оновити цей компонент системи. Схоже, що заходи, прийняті Adobe і Mozilla, приносять свої плоди, і зломщикам стає все складніше знайти користувача з вразливою версією flash-плеєра, що не може не радувати.


Попередження Firefox про необхідність оновлення
застарілої версії Adobe Flash


Неухильно зростає кількість експлойтів і троянців-завантажувачів говорить про активне використання drive-by-завантажень і спеціалізації кіберзлочинців на певних видах кримінальної діяльності. Тим, що експлойти, чия частка серед всіх шкідливих програм в інтернеті становить 18%, продаються пачками (exploitpack), нікого не здивуєш, проте зловмисники постійно прагнуть підвищити ефективність своїх систем, тим самим збільшивши кількість покупців та отриманих грошей. Так, творці одного з наборів експлойтів додали в нього функціонал перевірки наявності в таких системах, як MDL (malwaredownloadlist.com), Google Safe Browsing, Malwareurl і Trustedcheck імен заражених доменів, з яких виробляються атаки на користувачів. Як тільки URL або домен з’являється в одній з цих систем, власнику exploitpack приходить повідомлення про це. В результаті в майбутньому можна очікувати ще більш частої зміни доменів і, як наслідок, подальшого зменшення “тривалості життя” шкідливих URL, яка на початку року в середньому становила всього 4 дні.


Географія зловредів


Подивимося, в яких же країнах в третьому кварталі вирусописатели купували або зламували найбільше доменів для поширення своїх творінь.


Розподіл шкідливих доменів по країнах


98,8% всіх доменів, з яких поширювалися шкідливі об’єкти, знаходяться в 20 країнах, 69,5% – у 5. Склад п’ятірки лідируючих країн не змінився, але в самому рейтингу відбулися серйозні зміни.







































  Країна Частка шкідливих хостингів Зміна частки в другому кварталі Зміна позиції в рейтингу
1 США 21,87% +8,74% +2
2 Китай 20,97% +1,54% -1
3 Росія 13,36% -4,00% -1
4 Німеччина 8,48% +0,43%
5 Бразилія 5,45% -0,67%

Таблиця 1. TOP 5 країн, в яких найбільш часто розміщуються
шкідливі домени.
Джерело: “Лабораторія Касперського“.


На перше місце вийшли Сполучені Штати Америки (21,87%), потіснивши з нього Китай (20,97%). Це, на жаль, не означає, що в Китаї стало менше доменів, з яких поширюються шкідливі програми – навпаки, їх частка збільшилася на 1,54%. Проте в третьому кварталі зловмисники воліли США, в результаті чого на їх частку припало на 8,74% шкідливих доменів більше, ніж у попередньому кварталі. Третє місце зайняла Росія – 13,36% всіх шкідливих доменів (-4% в порівнянні з минулим кварталом). Очевидно, жорсткість в Росії правил реєстрації доменних імен, введене в минулому кварталі, принесло плоди. Далі в TOP 5 розташовується стабільна пара: Німеччина, що займає четверте місце (+0,43%), а на п’ятому місці – Бразилія з традиційними для неї троянцями-Банкер.


На 1% зменшилася частка шкідливих доменів в Тайвані та Румунії. Частка шкідливих доменів в Індії склала 3,02%, у зв’язку з чим країна перемістилася в рейтингу з 10-го на 6-е місце. Швидше за все, це обумовлено не тільки зменшенням частки інших країн, а й тим, що в Індії багато освічені молоді люди втратили роботу, а в період кризи їм простіше всього заробити гроші незаконним шляхом.


Уразливості


У даному розділі ми приділимо увагу найпоширенішим в третьому кварталі 2009 року вразливостям, виявленим в призначеному для користувача ПЗ, а також розглянемо, які зміни відбулися за квартал.


10 найпоширеніших вразливостей ПЗ, виявлених на комп’ютерах користувачів протягом третього кварталу 2009 року, наведені в Таблиці 2.






































































































  Secunia ID – унікальний ідентифі-
катор уяз-
вімості
Зраді-
ня положе-
ня в рей-
тинге
Назва
і посилання на
опис уразливості
Можливості, які дає використання уразливості зловмисникам Відсоток корис-
телей, у яких була вияв-
дружина уяз-
вімость
Дата публіка-
каціі
Уро-
вень небез-
ності
1 SA35364 +27 Microsoft Excel Multiple Vulnerabi-lities отримання доступу до системи і виконання довільного коду з привілеями локального користувача 49.70% 2009-06-09 High
2 SA35377 +27 Microsoft Office Word Two Vulnerabilities отримання доступу до системи і виконання довільного коду з привілеями локального користувача 49.67% 2009-06-09 High
3 SA35948 new Adobe Flash Player Multiple Vulnerabilities

  • отримання доступу до системи і виконання довільного коду з привілеями локального користувача

  • розкриття конфіденційних даних

  • обхід системи безпеки
40.87% 2009-07-23 High
4 SA34572 +8 Microsoft PowerPoint Outline-TextRefAtom Parsing Vulnerability отримання доступу до системи і виконання довільного коду з привілеями локального користувача 40.80% 2009-04-03 High
5 SA23655 -1 Microsoft XML Core Services Multiple Vulnerabilities

  • отримання доступу до системи і виконання довільного коду з привілеями локального користувача

  • DoS-атака на вразливу систему

  • Cross-site scripting
35.15% 2007-01-09 High
6 SA31744 -1 Microsoft Office OneNote URI Handling Vulnerability отримання доступу до системи і виконання довільного коду з привілеями локального користувача 32.31% 2008-09-09 High
7 SA29320 -1 Microsoft Outlook “mailto:” URI Handling Vulnerability отримання доступу до системи і виконання довільного коду з привілеями локального користувача 31.79% 2008-03-11 High
8 SA34012 -7 Adobe Flash Player Multiple Vulnerabilities

  • отримання доступу до системи і виконання довільного коду з привілеями локального користувача

  • отримання доступу до конфіденційних даних

  • підвищення привілеїв

  • обхід системи безпеки
27.72% 2009-02-25 High
9 SA34451 -2 Sun Java JDK / JRE Multiple Vulnerabilities

  • отримання доступу до системи і виконання довільного коду з привілеями локального користувача

  • DoS-атака на вразливу систему

  • обхід системи безпеки
27.52% 2009-03-26 High
10 SA34580 +30 Adobe Reader/Adobe Multiple Vulnerabilities отримання доступу до системи і виконання довільного коду з привілеями локального користувача 24.52% 2009-06-10 High

Таблиця 2. TOP 10 виявлених вразливостей ПЗ.
Джерело: “Лабораторія Касперського”.


В силу широкого розповсюдження ПЗ компанії Microsoft, 6 з 10 найбільш популярних вразливостей припадає саме на її продукти. 3 з 10 вразливостей були виявлені в ПЗ компанії Adobe (у минулому кварталі в TOP 10 продуктам Adobe була відведена тільки один рядок рейтингу).


Як і в минулому кварталі, не може не засмучувати неквапливість користувачів: часто-густо щодо “старі” уразливості не закриваються протягом тривалого часу.


Згрупувавши уразливості з TOP 10 по типам впливу на систему, отримаємо наступну картину:


Розподіл вразливостей з TOP 10 по типам впливу


У порівнянні з минулим кварталом радикальних змін у розподілі вразливостей за типами впливу не сталося: всі уразливості, що потрапили в TOP 10, дають можливість отримання доступу до системи для виконання довільного коду. При цьому всі інші можливості, які дає вразливість, вже другорядні – весь необхідний функціонал зловмисник може реалізувати при запуску довільного коду на скомпрометованої системі. З цієї причини першочерговим завданням користувачів є оперативна установка оновлень, які дозволяють “закрити” існуючі уразливості.


Що стосується вразливостей, наведених у Таблиці 2, то докладну інформацію про патчах для вразливих систем користувач може знайти, перейшовши за посиланнями, наведеними в таблиці. Підкреслимо, що для всіх розглянутих вразливостей вже існують експлойти, за допомогою яких зловмисники атакують системи користувачів.


Експлойти


У даному розділі ми розглянемо найпоширеніші за результатами третього кварталу 2009 року експлойти, спрямовані проти мережних служб і ПО, встановленого на комп’ютерах користувачів – в першу чергу, браузерів.


Популярність експлойтів, націлених на мережеві служби, пов’язана з тим, що поширення шкідливого коду при цьому відбувається без будь-яких дій з боку користувача – необхідний лише працюючий комп’ютер, підключений до мережі.


У разі мережевої атаки через браузер користувач повинен зайти на шкідливу сторінку. Саме в результаті такого відвідування зловмисник через уразливий браузер або інше вразливе ПО може непомітно впровадити на атакується комп’ютер шкідливий код.


Почнемо з експлойтів, спрямованих на уразливі мережеві служби. Статистика зібрана за допомогою IDS (Intrusion Detection System – системи виявлення вторгнень), блокувала мережеві пакети з експлойта на комп’ютерах користувачів.


Десятка найбільш популярних у другому кварталі 2009 року експлойтів для мережевих служб наведена в Таблиці 3.
















































































  Назва загрози Протокол Атакується
порт
Зраді-
ня
в рейтингу
Частота
вияв-
вання
1 Intrusion.Win.MSSQL.worm.Helkern UDP 1434 57,43%
2 Intrusion.Win.NETAPI.buffer-overflow.exploit TCP 445 22,67%
3 Intrusion.Win.DCOM.exploit TCP 135 3,83%
4 Intrusion.Win.LSASS.exploit TCP 445 1,69%
5 Intrusion.Win.LSASS.ASN1-kill-bill.exploit TCP 445 1,27%
6 Intrusion.Generic.OmniWeb.Alert.format-string.exploit TCP new (+9) 0,89%
7 Intrusion.Win.HTTPD.GET.buffer-overflow.exploit TCP 80 -1 0,38%
8 Intrusion.Win.MediaPlayer.ASX.buffer-overflow.exploit TCP -1 0,31%
9 Intrusion.Win.EasyAddressWebServer.format-string.exploit TCP 80 +1 0,07%
10 Intrusion.Win.PnP.exploit TCP 139,145 new (+1) 0,06%

Таблиця 3. 10 найпопулярніших експлойтів, виявлених IDS.
Джерело: “Лабораторія Касперського”.


На першу десятку експлойтів доводиться 88,61% всіх перехоплених IDS мережевих пакетів з експлойт, що на 2% більше, ніж у минулому кварталі.


За підсумками третього кварталу п’ятірка лідерів залишилася незмінною, а от складу другої частини TOP 10 змінився: Intrusion.Win.Messenger.exploit перекочував з 8-го на 18-е місце, втративши відразу 10 позицій, а Intrusion.Unix.Fenc.buffer-overflow.exploit перемістився з 9-го на 11-е місце, втративши 2 позиції.


Які ж новачки в третьому кварталі? Один з них – Intrusion.Generic.OmniWeb.Alert.format-string.exploit, який перемістився відразу на 9 позицій вгору (з 15-го на 6-е місце). Це generic-сигнатура для ряду експлойтів, що використовують уразливість в парсера рядків web-серверів, в результаті якої некоректно аналізуються параметри GET-запитів. Другий новачок рейтингу носить ім’я Intrusion.Win.PnP.exploit. Це також generic-сигнатура для декількох експлойтів, що використовують досить стару уразливість PnP-сервісу ОС Windows.


Популярність експлойтів, націлених на узявімості в браузерах, багато в чому обумовлена ​​використанням зловмисниками широко поширеною тактики drive-by-завантажень для зараження відвідувачів web-сторінок.


Десятка найпопулярніших в третьому кварталі 2009 року експлойтів, що використовують уразливості в ПЗ на комп’ютерах користувачів, наведена в Таблиці 4. Дані про шкідливі об’єкти, заблокованих веб-антивірусом при спробі їх завантаження на комп’ютери користувачів, були зібрані за допомогою KSN.


























































  Назва
загрози
Зміна
в рейтингу
Частота
виявлення
1 Exploit.JS.DirektShow.gen new 23.29%
2 Exploit.JS.DirektShow.k new 13.10%
3 Exploit.JS.DirektShow.j new 10,40%
4 Exploit.JS.Sheat.c new 5,53%
5 Exploit.JS.DirektShow.l new 4,84%
6 Exploit.JS.Pdfka.ti new 3,53%
7 Exploit.JS.Sheat.a new 2,01%
8 Exploit.JS.DirektShow.a new 1,84%
9 Exploit.JS.DirektShow.q new 1,56%
10 Exploit.JS.ActiveX.ad new 1,40%

Таблиця 4. 10 найпопулярніших експлойтів в інтернеті.
Джерело: “Лабораторія Касперського”.


Всі експлойти з TOP 10 атакують вразливі браузери. При цьому в третьому кварталі в список найбільш поширених в інтернеті експлойтів не потрапив жоден з представників аналогічного рейтингу за другий квартал. Незважаючи на те, що шкідливий контент в інтернеті оновлюється досить і досить динамічно, ситуація, коли 100% представників TOP 10 є новачками, досить рідкісна. При цьому всі вони використовують JavaScript, що зайвий раз свідчить на користь включення в браузерах JavaScript тільки при відвідуванні довірених ресурсів.


Більше половини представлених в TOP 10 експлойтів використовують критичну вразливість MS09-32 в браузерах Internet Explorer версій 6 і 7 і детектируются продуктами “Лабораторії Касперського” як сімейство DirektShow. Уразливість зачіпає ОС Windows XP, 2003, Vista, 2008. Для захисту від експлойтів, що використовують цю вразливість, необхідно відключити ActiveX в настройках браузера або встановити відповідне оновлення.


Ще два представники TOP 10 відносяться до сімейства JS.Sheat, яке використовує уразливості в продуктах Microsoft Office.


Exploit.JS.Pdfka використовує уразливість при завантаженні pdf-документів, Exploit.JS.ActiveX – досить стару популярну вразливість у функції Collab.collectEmailInfo.


Хотілося б ще раз нагадати, що основним засобом захисту комп’ютерів користувачів від експлойтів є своєчасна установка патчів. Сподіваємося, що наведена в цьому розділі інформація допоможе користувачам швидше знаходити необхідні патчі, а мережевим адміністраторам дасть грунт для роздумів про те, які мережеві служби доцільно захищати в першу чергу.


Цікаві події кварталу і новинки в світі кіберзлочинів


Закінчивши зі статистикою, перейдемо до огляду найцікавіших подій у світі кіберзлочинів.


Де краще розташувати З & C, щоб він був постійно доступний і не привертав зайвої уваги? Цим питанням задаються всі ботмастера світу, і кожен вирішує цю задачу по-своєму: хтось робить мігруючий C & C, хтось зламує легітимні сайти, а хтось і зовсім створює децентралізований ботнет. Однак є ще один спосіб – сховати трафік від / до C & C ботнету в загальному потоці легітимних сполук. А де зараз найбільше користувачів? Звичайно ж, в соціальних мережах!


Цього давно чекали багато фахівців з комп’ютерної безпеки, і в третьому кварталі наші очікування, на жаль, виправдалися – були виявлені ботнети, керовані за допомогою соціальних мереж. Трафік від / до командним центрам таких ботнетів легко проходить через фаєрволи, адже соціальні мережі вважаються цілком легітимними сайтами.


Першими були виявлені ботнети, створювані шкідливими програмами Trojan-Banker.Win32.Banker.alwa і Trojan-Banker.Win32.Banker.alwe і використовують як C & C рахунок у мережі Twitter. Як випливає з назви, ці ботнети були побудовані для крадіжки даних, пов’язаних з фінансовими операціями користувачів. Зловмисники управляли ботнетом, використовуючи всього 140 символів (саме таке обмеження введено для постингів в мережі Twitter).


Аккаунт в мережі Twitter, що використовувався для управління ботнетом


Однак такий спосіб заховати C & C має один великий мінус для зловмисників: виявивши в мережі підозрілий аккаунт, адміністратори можуть швидко його відключити, а без C & C від такого ботнету немає нікого спрямування. Щоб уникнути цього, зловмисники створили кілька C & C: вони одночасно управляли ботнетом і через Twitter, і через соціальну мережу Jaiku, що належить інтернет-гігантові Google, про що ми писали в нашому блозі.


Аккаунт в мережі Jaiku, також використовувався для управління ботнетом


Однією з найбільш гучних новин Рунета став витік даних десятків тисяч користувачів соціальної мережі ВКонтакте. База вкрадених аккаунтов була сформована за допомогою двокроковий атаки: на першому етапі комп’ютер користувача заражався простий шкідливою програмою, змінює host-файл і перенаправляє учасника мережі на спеціальний сервер. На другому етапі користувач, звертаючись до сайтів ВКонтаке або Одноклассники.ru, потрапляв на фішингову сторінку, де йому пропонувалося залогуватися. Після “успішного” логіна пароль йшов до зловмисників.


Небезпека потрапляння таких даних в руки кіберзлочинців важко переоцінити, адже більшість людей використовують одні й ті ж паролі для різних служб: електронної пошти, соціальних мереж, ICQ і т.д. Ще одна небезпека полягає у використанні вкрадених персональних даних користувачів для створення фальшивих акаунтів, які потім служать для розповсюдження спаму і шкідливих програм. З технічної точки зору нічого складного у створенні акаунтів від імені легітимного користувача немає. Збір необхідних для цього даних також не складає особливих труднощів: зловмисникові достатньо зламати один аккаунт, щоб отримати доступ до персональних даних всіх друзів користувача.


Якщо подивитися на статистику, то за даними опитування, проведеного Nucleus Research, 77% всіх службовців мають акаунти Facebook і 2/3 з них заходять в соціальну мережу протягом робочого дня – звичайно ж, з робочих комп’ютерів. Таким чином, загрози в соціальних мережах, які зараз розглядаються насамперед як загрози для користувача, можуть перетворитися на загрози для корпоративних мереж, якщо адміністратори останніх не почнуть приділяти цьому питанню більше уваги.


У продовження теми соціальних мереж зауважимо, що мережевий хробак Net-worm.Win32.Koobface, задетектірованний вперше в липні 2008 року, продовжує еволюціонувати. Спочатку черв’як поширювався в мережі Facebook, зараз же список атакованих їм соціальних мереж сильно розрісся, і до нього увійшли Twitter, MySpace, Hi5, Bebo, MyYearBook, Netlog і ряд інших.


Як ми писали раніше в нашому веб-блозі, Прийоми соціальної інженерії, що використовуються авторами Koobface, також постійно розвиваються. Мало того, що з метою завантаження нових версій черв’яка були створені підроблені сторінки Facebook Video, виконані дуже якісно, ​​так ще й самі повідомлення, що розсилаються хробаком, перестали повторюватися (раніше розсилалися однакові повідомлення), що значно ускладнило їх детектування.


Підроблена сторінка Facebook Video


Для розсилки посилань на Koobface використовуються всі соціальні мережі, в яких він присутній, але однією з найбільш ефективних є мережа Twitter. По-перше, вона дуже популярна, а по-друге, для постінгу посилань у ній використовуються сервіси коротких URL. Біда в тому, що всі укорочені посилання виглядають абсолютно однаково, і дізнатися, куди веде посилання, користувач може, тільки перейшовши по ній. Для фішерів / спамерів / вірусописьменників це відмінний спосіб заманити користувача на заражену веб-сторінку.


Для захисту користувачів від шкідливого контенту деякі сервіси коротких URL (у тому чістле bit.ly, використовуваний в Twitter за замовчуванням) стали користуватися Google SafeBrowsing. У відповідь на це творці Koobface стали генерувати випадкові URL і вкорочувати їх, отримуючи на виході тисячі нічим не схожих URL виду bit.ly / [випадковий хеш]. Ось так хороші ідеї, створені з благими намірами, потрапляючи в руки зловмисників, служать джерелом додаткового головного болю для користувачів.


Висновок


У третьому кварталі 2009 року ми не зафіксували значних змін і небезпечних новинок в функціоналі шкідливих програм, що діють на комп’ютерах користувачів. Зловмисники користуються добре відпрацьованими схемами заробляння грошей, і оскільки нових схем придумано не було, дії зловредів також не змінилися – вони продовжують збирати комп’ютери в зомбі-мережі, розсилати спам, красти дані, встановлювати лже-антивіруси і т.д. Це свідчить про деяке застої в розробці шкідливого функціоналу зловредів.


У той же час зловмисники приділяють багато уваги способам зараження машин користувачів. Яскравою подією стала поява концептуально нового способу зараження файлів на стадії їх створення за допомогою зараження службового файлу, використовуваного при компіляції програм, написаних на Delphi. Дана мова програмування користується великою популярністю в багатьох країнах, чим пояснюється поширення вірусу по всьому світу. За результатами третього кварталу Virus.Win32.Induc зайняв 9-е місце серед найпоширеніших шкідливих програм, виявлених на комп’ютерах користувачів, хоча шкідливого функціоналу в Induc, на щастя, не було.


Якщо шкідливі програми, які завантажуються на комп’ютери, залишилися колишніми, то арсенал прийомів, використовуваних зловмисниками для завантаження зловредів, постійно оновлюється. Вірусописьменники прагнуть створити експлойти практично для кожної критичної уразливості в популярному ПЗ.


У третьому кварталі зросла частота використання drive-by-завантажень, про що свідчить збільшення частки експлойтів серед усіх детектіруемих програм. При цьому використовуються зловмисниками експлойти створюються і змінюються дуже швидко – за три місяці десятка найпопулярніших експлойтів повністю оновилася.


Насторожує той факт, що як і раніше в списку найбільш поширених присутні уразливості, відомі досить давно – половина уразливий із десятки лідерів старше півроку, дві з них були опубліковані в 2008, а одна – ще в 2007 році! Незважаючи на те, що сучасні антивірусні засоби інформують про незакритих вразливості, безтурботні користувачі самі залишають відкритими лазівки, що дозволяють зловмисникам отримати доступ до їх комп’ютерів.


Легітимні сайти в інтернеті все частіше стають небезпечними. Адміністратори веб-ресурсів повинні підходити до захисту від злому як підопічних сайтів, так і власних машин більш відповідально – вкрадені паролі дозволяють зловмисникам отримати повний контроль над сайтами. Часто веб-портали, що працюють на різних серверах і використовують для свого функціонування різне ПО, заражаються однієї і тій же шкідливою програмою. Практично єдиний спосіб проведення таких атак – крадіжка паролів адміністраторів серверів.


Як ми і припускали в минулих звітах, триває експлуатація довірчих відносин друзів в соціальних мережах. Зловмисники знаходять нові способи змусити користувачів завантажити шкідливі об’єкти або виманити у них логіни і паролі. Примітно, що розробники хробака Koobface починають збирати всю можливу інформацію про користувачів, навіть їхні фотографії. Тому власникам акаунтів у соціальних мережах слід серйозно задуматися про те, який обсяг інформації про себе вони хочуть зробити доступним для всіх бажаючих.


Спробуємо заглянути в найближче майбутнє. Серйозних передумов для зміни поточної ситуації не спостерігається. Кіберкрімінальний ринок зараз перебуває в стадії перенасичення, коли пропозиція послуг перевищує попит. Безліч злочинців, не володіючи серйозними знаннями, користуються вже готовими інструментами, а не створюють щось нове. Ймовірно, до кінця року вирусописатели як і раніше будуть приділяти більше уваги способам доставки шкідливих програм на комп’ютери користувачів, а не розробці нового шкідливого функціоналу. Проте в наступному кварталі має статися подія, якої чекають як законослухняні користувачі, так і кіберзлочинці: на 22 жовтня намічений випуск нової версії операційної системи Microsoft. Передбачається, що Windows 7 буде однією з найбільш захищених операційних систем, що існують на даний момент. Такі припущення часто діють на кіберзлочинців, як червона ганчірка на бика – багато хто з них захочуть перевірити новий продукт провідного світового вендора “на міцність”.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*