Зловреды любят доверчивых. Информационные угрозы в первом квартале 2010 года::Приложение к журналу СА №2(2010)
www.samag.ru
Журнал «БИТ. Бизнес&Информационные технологии»      
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Мобильные приложения  

Искусственный интеллект в мобильных приложениях: возможности и перспективы

Обзор современных применений ИИ в мобильных приложениях, анализ перспектив развития этой технологии,

 Читать далее...

ИТ-образование  

Как сделать ИТ-образование эффективным?

Эксперты ИТ-отрасли отвечают на вопросы «СА». Обсуждаем ключевые аспекты для улучшения образовательных

 Читать далее...

Work-life balance  

Как айтишнику найти баланс между работой и личной жизнью?

Обсуждаем инструменты для эффективного управления временем, снижения уровня стресса и достижения гармонии. На

 Читать далее...

Книжная полка  

Всё самое нужное – под одной обложкой

Отличительная черта книжных новинок, выпущенных недавно издательством «БХВ» – это их универсальность. Не просто

 Читать далее...

ИТ-инфраструктура  

Системы мониторинга ИТ-инфраструктуры-2025

Без мониторинга ИТ-инфраструктуры не обходится ни одна компания, хотя бы потому, что

 Читать далее...

Открытое ПО  

Безопасность Open Source: рискуем или контролируем?

Компания «Кросс технолоджис» изучила, как используется ПО с открытым кодом в компаниях

 Читать далее...

Работа с нейросетью  

Скажи, есть ли у тебя AI, и я скажу, кто ты

Недавно сервис по поиску работы SuperJob выяснил, что каждый второй россиянин уже

 Читать далее...

Работа с Debian  

О Linux с любовью или Debian: через знание к любви

Конечно, одним лишь перечислением замечательных качеств любовь к Linux не возникнет. Для

 Читать далее...

Опрос  

Защита личных и клиентских данных: как мошенники используют ИИ и как защититься?

По данным RED Security, общее число кибератак на российские компании в 2024

 Читать далее...

Опрос  

Облачные инструменты для разработчиков

Эксперты ИТ-отрасли отвечают на вопросы «Системного администратора» > Как с помощью облака сделать

 Читать далее...

Опрос  

Рынок мобильных приложений: что будет актуальным в 2025 году?

Эксперты ИТ-отрасли отвечают на вопросы «Системного администратора» > Ваши прогнозы: чего ожидать от

 Читать далее...

Рынок труда  

Как успешно пройти все этапы собеседования на ИТ-должность?

По оценкам государства, дефицит ИТ-специалистов составляет от 740 тысяч до 1 миллиона

 Читать далее...

Спецпроект «Базальт СПО». Развитие Open Source в России  

Алексей Смирнов: «Сейчас трудно найти программный продукт, в котором нет свободного кода»

Какое будущее ждет свободное ПО? Влияет ли свободная или несвободная разработка на

 Читать далее...

Спецпроект «Базальт СПО». Развитие Open Source в России  

Николай Костригин: «Мы создали Hantis, конвейер автоматизации. Проекты, исследуемые разными инструментами, переходят от одного исполнителя к другому, развиваются, возвращаются к автору, и так по кругу»

О том, как идет работа по повышению безопасности отечественного программного обеспечения, рассказывает

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 7842
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 8109
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 5463
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3468
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 4269
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 4268
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6806
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3622
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3895
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7784
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 11138
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12869
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14637
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9567
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7538
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5821
Комментарии: 4
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 5012
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3867
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3546
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3782
Комментарии: 1
Рецензия на книгу «MongoDB в действии»

 Читать далее...

Друзья сайта  

 Зловреды любят доверчивых. Информационные угрозы в первом квартале 2010 года

Архив номеров / 2010 / Выпуск №2 (2) / Зловреды любят доверчивых. Информационные угрозы в первом квартале 2010 года

Рубрика: Безопасность /  Угрозы

Евгений АсеевЕВГЕНИЙ АСЕЕВ, вирусный аналитик «Лаборатории Касперского»

Зловреды любят доверчивых
Информационные угрозы в первом квартале 2010 года

Среди атак на пользователей преобладают атаки через веб с использованием регулярно появляющихся уязвимостей в популярном программном обеспечении

Черви, троянцы, вредоносный код

За первые четыре месяца текущего года среди угроз, каких-либо путем попавших на компьютер пользователя и обнаруженных при первом обращении к ним, 5% занимает сетевой червь Kido.

Net-Worm.Win32.Kido использует критическую уязвимость в Microsoft Windows MS08-067 для распространения через локальные сети и съемные носители информации. Червь отключает функцию System Restore, блокирует доступ к сайтам, посвященным информационной безопасности, и скачивает на зараженные компьютеры дополнительные вредоносные программы.

Несмотря на то что угроза Kido появилась еще в начале прошлого года, она до сих пор активна. Что неудивительно, учитывая крайне эффективные способы размножения данного зловреда – через уязвимость в самой популярной у пользователей операционной системе и переносные носители. Более того, активность Kido держится на стабильно высоком уровне. Это говорит о том, что огромное число пользователей по-прежнему подвержены атаке в связи с тем, что обновление, закрывающее системную уязвимость, до сих пор не установлено.

Рисунок 1. Количество срабатываний Net-Worm.Win32.Kido на компьютерах пользователей за первый квартал 2010 года, по данным «Лаборатории Касперского»

Рисунок 1. Количество срабатываний Net-Worm.Win32.Kido на компьютерах пользователей за первый квартал 2010 года, по данным «Лаборатории Касперского»

Еще одной популярной вредоносной программой, распространяющейся через переносные носители, оказался червь P2P-Worm.Win32.Palevo. Переносными носителями он не ограничивается: Palevo также распространяется через каналы пиринговых сетей и системы мгновенного обмена сообщениями. По команде он может скачивать другие вредоносные файлы – кейлоггеры, компоненты для кражи конфиденциальных данных и проведения DDoS-атак. С помощью этого зловреда был создан ботнет – сеть зараженных компьютеров, – который злоумышленники использовали в своих целях. Цели же были самые «денежные» – продажа и использование персональных данных владельцев зараженных машин. В первую очередь мошенников интересовали данные пользователей систем интернет-банкинга.

Заметным событием в ИТ-индустрии был арест злоумышленников, контролирующих этот ботнет. Задержанные оказались жителями Испании без криминального прошлого. Не владея особыми хакерскими навыками, они приобрели на подпольном рынке готовый комплект для создания ботнета и воспользовались системой теневых сервисов, чтобы монетизировать результаты его функционирования. Сумма ущерба, нанесенного этой группировкой, пока не определена, но, по примерным оценкам, исчисляется миллионами долларов.

Еще одним ярким событием стало закрытие части командных серверов ботнета, построенного с помощью червя Iksmas, который используется для массовой рассылки спама. Одна из особенностей «спама от Iksmas» – использование актуальных и обсуждаемых тем для привлечения внимания к письму, к которому прикреплен зловредный файл.

Классический способ распространения вредоносных программ – заражение исполняемых файлов – на сегодняшний день все так же актуален: все файловые вирусы занимают около 10% от всех угроз, обнаруженных на компьютерах пользователей.

Самым популярным инфицирующим вирусом является Virus.Win32.Sality. Компьютеры, зараженные этим вирусом, контролируются злоумышленниками и могут быть использованы для рассылки спама, организации DDoS-атак и загрузки других вредоносных файлов. Некоторые варианты Sality открывают канал для хищения конфиденциальных данных.

Причем данная угроза постоянно видоизменяется: в апреле в вирусную лабораторию попала новая модификация Virus.Win32.Sality.ag, в которой применяется качественно новый алгоритм дешифровки, что делает вирус более сложным для детектирования.

Одной из наиболее динамично растущих угроз в России являются троянцы-вымогатели или троянцы-блокеры. Большинство из них полностью или частично блокируют доступ к ресурсам компьютера и требуют отправить SMS на короткий номер для получения кода разблокировки. В ответ пользователь, разумеется, ничего не получает, зато средства с мобильного счета списываются в соответствии с самыми дорогими тарифами. Угроза имеет эпидемический характер и стремительно распространяется с появлением новых версий подобных зловредов.

Рисунок 2. Количество срабатываний Trojan-Ransom на компьютерах пользователей за первый квартал 2010 года, по данным «Лаборатории Касперского»

Рисунок 2. Количество срабатываний Trojan-Ransom на компьютерах пользователей за первый квартал 2010 года, по данным «Лаборатории Касперского»

Псевдоантивирусы, вымогающие средства путем убеждения пользователя, что его компьютер заражен, продолжают эволюционировать. В отличие от других вредоносных программ, пытающихся скрыть свою активность, они, напротив, стараются привлечь внимание пользователя. При этом создатели фальшивок используют различные технологии, чтобы ввести пользователей в заблуждение. Одной из таких технологий стало копирование интерфейсов антивирусов известных производителей решений по безопасности. К сожалению, чем точнее сделана копия, тем больше вероятность, что даже опытный пользователь попадется на удочку злоумышленников и купит подделку. С фальшивыми антивирусами ведется серьезная борьба, и в качестве главного орудия используется образование пользователей. И злоумышленникам приходится постоянно придумывать новые уловки, чтобы спровоцировать пользователей покупать фальшивки.

Шифрование и сжатие вредоносного кода – тенденция, которая появилась очень давно. Но если прежде использовались в основном легальные упаковщики, такие как UPX и ASProtect, то теперь практически все вредоносные программы упаковываются системами защиты, написанными на заказ. Сегодня таких систем – огромное количество, они постоянно модифицируются, регулярно появляются новые. Зачастую такие упаковщики полиморфные, то есть их код изменяется при каждом новом заражении, что усложняет их обнаружение. Таким образом, для злоумышленника становится необязательным модифицировать исходный вредоносный файл – достаточно защитить его от обнаружения, упаковав по-другому. Эта техника используется повсеместно – сейчас редко можно увидеть программу без какого-либо слоя защиты.

Угрозы в Интернете

Наиболее значимые события первого квартала 2010 года в Интернете связаны с техникой загрузки вредоносных программ drive-by-download. Ключевым звеном в таких атаках являются эксплойты, использующие уязвимости в веб-браузерах и дополнениям к ним.

Пожалуй, самой громкой атакой стала проведенная в январе «операция Aurora», которая была направлена на такие крупные компании, как Google и Adobe. Ее целью было получение персональной информации пользователей, а также интеллектуальной собственности компаний, такой как исходные коды проектов. Атака была осуществлена с помощью рассылки электронных писем со ссылкой на вредоносную страницу с эксплойтом Exploit.JS.Aurora.a, в результате работы которого незаметно для пользователя на компьютер загружался основной исполняемый файл.

Примечательно, что работники Microsoft задолго до атаки знали о наличии уязвимости MS10-002 в Internet Explorer нескольких версий, которая использовалась эксплойтом. Однако исправлена она была только через несколько недель после проведения атаки. В течение этого месяца исходный код эксплойта стал публичным, и многие злоумышленники стали использовать его в своих атаках.

Уже через три месяца – в марте – в Internet Explorer нескольких версий была обнаружена новая уязвимость MS10-018. После того как ее подробно описал в блоге работник одной из антивирусных компаний, исходный код эксплойта к этой уязвимости получил широкое распространение: в рейтинге вредоносных программ за апрель, опубликованном на securelist.com, варианты этого эксплойта заняли первое и третье места по числу уникальных попыток загрузки. Exploit.JS.CVE-2010-0806.i и Exploit.JS.CVE-2010-0806.b использовались злоумышленниками с целью хищения конфиденциальных данных пользователей, имеющих аккаунты в популярных онлайн-играх.

В свете этих событий стоит отметить изменение политики выпуска и автоматического обновления приложений Adobe: в апреле компания активировала новый сервис обновлений для Reader и Acrobat последних версий под Windows и Mac OS X. Учитывая, что злоумышленники практически в каждой drive-by-атаке пытаются использовать уязвимости в программном обеспечении Adobe (половина всех эксплойтов, задетектированных продуктами «Лаборатории Касперского» за квартал, используют уязвимости в Reader и Acrobat), это важный шаг в сторону повышения безопасности пользователей. Кроссплатформенность продуктов Adobe делает уязвимости в них более привлекательными, чем в продуктах Microsoft. И это при том, что уязвимых продуктов Microsoft за этот квартал было обнаружено больше.

Еще две крупные угрозы – Gumblar и Pegel – пытаются использовать в drive-by-атаках сразу несколько эксплойтов в различных продуктах компаний Adobe, Microsoft и Oracle. Эти скриптовые загрузчики распространяются с помощью заражения легитимных сайтов, что явно влияет на масштабы проблемы.

Впервые Gumblar появился около года назад и с тех пор претерпел множество изменений. Основной целью атаки является загрузка на компьютеры пользователей вредоносной программы Trojan-PSW.Win32.Kates, которая похищает конфиденциальные данные – в частности, данные FTP-авторизации. Злоумышленники какое-то время собирают эти данные, а потом организуют новую волну атаки, причем механизм заражения новых веб-сайтов полностью автоматизирован.

Рисунок 3. Количество срабатываний Trojan-Downloader.JS.Gumblar на компьютерах пользователей за первый квартал 2010 года, по данным «Лаборатории Касперского»

Рисунок 3. Количество срабатываний Trojan-Downloader.JS.Gumblar на компьютерах пользователей за первый квартал 2010 года, по данным «Лаборатории Касперского»

Как видно из графика, за первый квартал 2010 года было организовано две подобных атаки. Исходя из накопленных данных в скором времени стоит ожидать новую волну.

Цель работы Pegel другая. Главной функцией Backdoor.Win32.Bredolab является загрузка вредоносных файлов по запросу: злоумышленники, стоящие за ботнетом, состоящим из Bredolab, зарабатывают на том, что предоставляют услугу загрузки зловредов партнеров.

***

Итоги можно подвести следующие: среди атак на пользователей преобладают атаки через веб с использованием регулярно появляющихся уязвимостей в популярном программном обеспечении. К счастью, чаще всего уязвимости оперативно исправляются производителем. К сожалению, далеко не все пользователи своевременно устанавливают эти исправления. В последнее время все больше зловредов в ходе атак используют доверчивость и неопытность пользователя. Среди таких вредоносных программ наиболее распространены псевдоантивирусы и троянцы-вымогатели.

Для того чтобы избежать заражения, необходимо руководствоваться следующими правилами:

  • Своевременно устанавливать обновления для установленного программного обеспечения, особенно от крупных производителей – таких как Microsoft и Adobe.
  • Пользоваться комплексным средством защиты с актуальными обновлениями.
  • Не доверять незнакомым отправителям при работе с электронной почтой, сервисами мгновенного обмена сообщениями или социальными сетями, а к подозрительным сообщениям, полученным от знакомых, относиться внимательно и бдительно.
  • При идентификации везде использовать достаточно сложные и уникальные пароли, периодически меняя их.

P.S. В статье используются данные, полученные и обработанные с помощью KLoud Security Network. KSN является одним из важнейших нововведений в персональных продуктах и в настоящее время готовится к включению в состав корпоративных продуктов «Лаборатории Касперского».

KLoud Security Network позволяет оперативно, в режиме реального времени, обнаруживать новые вредоносные программы, для которых еще не существует сигнатурного или эвристического детектирования. KSN позволяет выявлять источники распространения вредоносных программ в Интернете и блокировать доступ пользователей к ним.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru