Зловреды любят доверчивых. Информационные угрозы в первом квартале 2010 года::Приложение к журналу СА №2(2010)
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6415
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7118
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4396
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3086
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3882
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3897
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6386
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3234
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3530
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7364
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10726
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12446
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14097
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9192
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7142
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5447
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4683
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3496
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3213
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3449
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3090
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Зловреды любят доверчивых. Информационные угрозы в первом квартале 2010 года

Архив номеров / 2010 / Выпуск №2 (2) / Зловреды любят доверчивых. Информационные угрозы в первом квартале 2010 года

Рубрика: Безопасность /  Угрозы

Евгений АсеевЕВГЕНИЙ АСЕЕВ, вирусный аналитик «Лаборатории Касперского»

Зловреды любят доверчивых
Информационные угрозы в первом квартале 2010 года

Среди атак на пользователей преобладают атаки через веб с использованием регулярно появляющихся уязвимостей в популярном программном обеспечении

Черви, троянцы, вредоносный код

За первые четыре месяца текущего года среди угроз, каких-либо путем попавших на компьютер пользователя и обнаруженных при первом обращении к ним, 5% занимает сетевой червь Kido.

Net-Worm.Win32.Kido использует критическую уязвимость в Microsoft Windows MS08-067 для распространения через локальные сети и съемные носители информации. Червь отключает функцию System Restore, блокирует доступ к сайтам, посвященным информационной безопасности, и скачивает на зараженные компьютеры дополнительные вредоносные программы.

Несмотря на то что угроза Kido появилась еще в начале прошлого года, она до сих пор активна. Что неудивительно, учитывая крайне эффективные способы размножения данного зловреда – через уязвимость в самой популярной у пользователей операционной системе и переносные носители. Более того, активность Kido держится на стабильно высоком уровне. Это говорит о том, что огромное число пользователей по-прежнему подвержены атаке в связи с тем, что обновление, закрывающее системную уязвимость, до сих пор не установлено.

Рисунок 1. Количество срабатываний Net-Worm.Win32.Kido на компьютерах пользователей за первый квартал 2010 года, по данным «Лаборатории Касперского»

Рисунок 1. Количество срабатываний Net-Worm.Win32.Kido на компьютерах пользователей за первый квартал 2010 года, по данным «Лаборатории Касперского»

Еще одной популярной вредоносной программой, распространяющейся через переносные носители, оказался червь P2P-Worm.Win32.Palevo. Переносными носителями он не ограничивается: Palevo также распространяется через каналы пиринговых сетей и системы мгновенного обмена сообщениями. По команде он может скачивать другие вредоносные файлы – кейлоггеры, компоненты для кражи конфиденциальных данных и проведения DDoS-атак. С помощью этого зловреда был создан ботнет – сеть зараженных компьютеров, – который злоумышленники использовали в своих целях. Цели же были самые «денежные» – продажа и использование персональных данных владельцев зараженных машин. В первую очередь мошенников интересовали данные пользователей систем интернет-банкинга.

Заметным событием в ИТ-индустрии был арест злоумышленников, контролирующих этот ботнет. Задержанные оказались жителями Испании без криминального прошлого. Не владея особыми хакерскими навыками, они приобрели на подпольном рынке готовый комплект для создания ботнета и воспользовались системой теневых сервисов, чтобы монетизировать результаты его функционирования. Сумма ущерба, нанесенного этой группировкой, пока не определена, но, по примерным оценкам, исчисляется миллионами долларов.

Еще одним ярким событием стало закрытие части командных серверов ботнета, построенного с помощью червя Iksmas, который используется для массовой рассылки спама. Одна из особенностей «спама от Iksmas» – использование актуальных и обсуждаемых тем для привлечения внимания к письму, к которому прикреплен зловредный файл.

Классический способ распространения вредоносных программ – заражение исполняемых файлов – на сегодняшний день все так же актуален: все файловые вирусы занимают около 10% от всех угроз, обнаруженных на компьютерах пользователей.

Самым популярным инфицирующим вирусом является Virus.Win32.Sality. Компьютеры, зараженные этим вирусом, контролируются злоумышленниками и могут быть использованы для рассылки спама, организации DDoS-атак и загрузки других вредоносных файлов. Некоторые варианты Sality открывают канал для хищения конфиденциальных данных.

Причем данная угроза постоянно видоизменяется: в апреле в вирусную лабораторию попала новая модификация Virus.Win32.Sality.ag, в которой применяется качественно новый алгоритм дешифровки, что делает вирус более сложным для детектирования.

Одной из наиболее динамично растущих угроз в России являются троянцы-вымогатели или троянцы-блокеры. Большинство из них полностью или частично блокируют доступ к ресурсам компьютера и требуют отправить SMS на короткий номер для получения кода разблокировки. В ответ пользователь, разумеется, ничего не получает, зато средства с мобильного счета списываются в соответствии с самыми дорогими тарифами. Угроза имеет эпидемический характер и стремительно распространяется с появлением новых версий подобных зловредов.

Рисунок 2. Количество срабатываний Trojan-Ransom на компьютерах пользователей за первый квартал 2010 года, по данным «Лаборатории Касперского»

Рисунок 2. Количество срабатываний Trojan-Ransom на компьютерах пользователей за первый квартал 2010 года, по данным «Лаборатории Касперского»

Псевдоантивирусы, вымогающие средства путем убеждения пользователя, что его компьютер заражен, продолжают эволюционировать. В отличие от других вредоносных программ, пытающихся скрыть свою активность, они, напротив, стараются привлечь внимание пользователя. При этом создатели фальшивок используют различные технологии, чтобы ввести пользователей в заблуждение. Одной из таких технологий стало копирование интерфейсов антивирусов известных производителей решений по безопасности. К сожалению, чем точнее сделана копия, тем больше вероятность, что даже опытный пользователь попадется на удочку злоумышленников и купит подделку. С фальшивыми антивирусами ведется серьезная борьба, и в качестве главного орудия используется образование пользователей. И злоумышленникам приходится постоянно придумывать новые уловки, чтобы спровоцировать пользователей покупать фальшивки.

Шифрование и сжатие вредоносного кода – тенденция, которая появилась очень давно. Но если прежде использовались в основном легальные упаковщики, такие как UPX и ASProtect, то теперь практически все вредоносные программы упаковываются системами защиты, написанными на заказ. Сегодня таких систем – огромное количество, они постоянно модифицируются, регулярно появляются новые. Зачастую такие упаковщики полиморфные, то есть их код изменяется при каждом новом заражении, что усложняет их обнаружение. Таким образом, для злоумышленника становится необязательным модифицировать исходный вредоносный файл – достаточно защитить его от обнаружения, упаковав по-другому. Эта техника используется повсеместно – сейчас редко можно увидеть программу без какого-либо слоя защиты.

Угрозы в Интернете

Наиболее значимые события первого квартала 2010 года в Интернете связаны с техникой загрузки вредоносных программ drive-by-download. Ключевым звеном в таких атаках являются эксплойты, использующие уязвимости в веб-браузерах и дополнениям к ним.

Пожалуй, самой громкой атакой стала проведенная в январе «операция Aurora», которая была направлена на такие крупные компании, как Google и Adobe. Ее целью было получение персональной информации пользователей, а также интеллектуальной собственности компаний, такой как исходные коды проектов. Атака была осуществлена с помощью рассылки электронных писем со ссылкой на вредоносную страницу с эксплойтом Exploit.JS.Aurora.a, в результате работы которого незаметно для пользователя на компьютер загружался основной исполняемый файл.

Примечательно, что работники Microsoft задолго до атаки знали о наличии уязвимости MS10-002 в Internet Explorer нескольких версий, которая использовалась эксплойтом. Однако исправлена она была только через несколько недель после проведения атаки. В течение этого месяца исходный код эксплойта стал публичным, и многие злоумышленники стали использовать его в своих атаках.

Уже через три месяца – в марте – в Internet Explorer нескольких версий была обнаружена новая уязвимость MS10-018. После того как ее подробно описал в блоге работник одной из антивирусных компаний, исходный код эксплойта к этой уязвимости получил широкое распространение: в рейтинге вредоносных программ за апрель, опубликованном на securelist.com, варианты этого эксплойта заняли первое и третье места по числу уникальных попыток загрузки. Exploit.JS.CVE-2010-0806.i и Exploit.JS.CVE-2010-0806.b использовались злоумышленниками с целью хищения конфиденциальных данных пользователей, имеющих аккаунты в популярных онлайн-играх.

В свете этих событий стоит отметить изменение политики выпуска и автоматического обновления приложений Adobe: в апреле компания активировала новый сервис обновлений для Reader и Acrobat последних версий под Windows и Mac OS X. Учитывая, что злоумышленники практически в каждой drive-by-атаке пытаются использовать уязвимости в программном обеспечении Adobe (половина всех эксплойтов, задетектированных продуктами «Лаборатории Касперского» за квартал, используют уязвимости в Reader и Acrobat), это важный шаг в сторону повышения безопасности пользователей. Кроссплатформенность продуктов Adobe делает уязвимости в них более привлекательными, чем в продуктах Microsoft. И это при том, что уязвимых продуктов Microsoft за этот квартал было обнаружено больше.

Еще две крупные угрозы – Gumblar и Pegel – пытаются использовать в drive-by-атаках сразу несколько эксплойтов в различных продуктах компаний Adobe, Microsoft и Oracle. Эти скриптовые загрузчики распространяются с помощью заражения легитимных сайтов, что явно влияет на масштабы проблемы.

Впервые Gumblar появился около года назад и с тех пор претерпел множество изменений. Основной целью атаки является загрузка на компьютеры пользователей вредоносной программы Trojan-PSW.Win32.Kates, которая похищает конфиденциальные данные – в частности, данные FTP-авторизации. Злоумышленники какое-то время собирают эти данные, а потом организуют новую волну атаки, причем механизм заражения новых веб-сайтов полностью автоматизирован.

Рисунок 3. Количество срабатываний Trojan-Downloader.JS.Gumblar на компьютерах пользователей за первый квартал 2010 года, по данным «Лаборатории Касперского»

Рисунок 3. Количество срабатываний Trojan-Downloader.JS.Gumblar на компьютерах пользователей за первый квартал 2010 года, по данным «Лаборатории Касперского»

Как видно из графика, за первый квартал 2010 года было организовано две подобных атаки. Исходя из накопленных данных в скором времени стоит ожидать новую волну.

Цель работы Pegel другая. Главной функцией Backdoor.Win32.Bredolab является загрузка вредоносных файлов по запросу: злоумышленники, стоящие за ботнетом, состоящим из Bredolab, зарабатывают на том, что предоставляют услугу загрузки зловредов партнеров.

***

Итоги можно подвести следующие: среди атак на пользователей преобладают атаки через веб с использованием регулярно появляющихся уязвимостей в популярном программном обеспечении. К счастью, чаще всего уязвимости оперативно исправляются производителем. К сожалению, далеко не все пользователи своевременно устанавливают эти исправления. В последнее время все больше зловредов в ходе атак используют доверчивость и неопытность пользователя. Среди таких вредоносных программ наиболее распространены псевдоантивирусы и троянцы-вымогатели.

Для того чтобы избежать заражения, необходимо руководствоваться следующими правилами:

  • Своевременно устанавливать обновления для установленного программного обеспечения, особенно от крупных производителей – таких как Microsoft и Adobe.
  • Пользоваться комплексным средством защиты с актуальными обновлениями.
  • Не доверять незнакомым отправителям при работе с электронной почтой, сервисами мгновенного обмена сообщениями или социальными сетями, а к подозрительным сообщениям, полученным от знакомых, относиться внимательно и бдительно.
  • При идентификации везде использовать достаточно сложные и уникальные пароли, периодически меняя их.

P.S. В статье используются данные, полученные и обработанные с помощью KLoud Security Network. KSN является одним из важнейших нововведений в персональных продуктах и в настоящее время готовится к включению в состав корпоративных продуктов «Лаборатории Касперского».

KLoud Security Network позволяет оперативно, в режиме реального времени, обнаруживать новые вредоносные программы, для которых еще не существует сигнатурного или эвристического детектирования. KSN позволяет выявлять источники распространения вредоносных программ в Интернете и блокировать доступ пользователей к ним.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru