Компания Symantec по-прежнему занимает одну из лидирующих позиций в области сетевой безопасности. Смотри "A comprehensive guide to the threat’s mechanics". Март, 2009.
Червь Downadup появился в конце 2008 года и стал одним из самых распространенных угроз в Интернет за много лет. Это достаточно сложный вредоносный код, который стал качественно новым этапом развития сетевых угроз, он маскирует сетевой трафик и защищает себя от возможных атак. Кроме того он содержит в себя ряд черт, которые не встречались ранее. На первый взгляд может показаться, что такое внимание к отдельному виду угроз чрезмерно. Но, во-первых, этот червь по числу взломанных машин превосходит многие десятки других уязвимостей, во-вторых, динамика его жизни становится достаточно типичной.
Начиная с середины октября 2008, Symantec стала получать сообщения о целевых атаках ранее неизвестной уязвимости в RPC Windows. Microsoft быстро выпустила пэтч MS08-067, рассматривая обновление как критическое для некоторых версий ОС.
Авторам вредоносных кодов не потребовалось много времени, чтобы использовать описанную уязвимость. В начале ноября появились W32.Kernelbot.A и W32.Wecorl, продемонстрировавшие ограниченный успех использования уязвимости MS08-067.
Ситуация оставалась неизменной до конца ноября, когда появился W32.Downadup (называемый также рядом новостных агентств и разработчиков антивирусных программ Conficker). Эта версия кода достигла ограниченного успеха в распространении по миру.
Число инфицированных W32.Downadup машин начало медленно расти. Но ограничивающим фактором успеха была зависимость от общедоступных данных GeoIP, определяющих положение IP. Когда авторы GeoIP решили переместить файлы GeoIP c позиций, используемых червем, отсутствие этого файла создало препятствие для распространения червя и ограничило распространение локальными сетями и без того уже зараженным.
Разработчики Downadup встроили файл GeoIP в новый вариант W32.Downadup.B и снабдили его большим числом дополнительных средств, упрощающих его адаптацию к сетевой среде.
Это сделало червь Downadup универсальным. Эти средства не являются новыми; просто их здесь было использовано много. Червь сканирует сеть и выявляет уязвимые машины, при этом не создается дополнительного трафика и даже стремится его минимизировать. Он предпринимает попытку подбора паролей, используя наиболее часто применяемые образцы. Он использует средства Plug & Play для прохода через маршрутизаторы и шлюзы. А когда сеть оказывается слишком безопасной, он использует трюки типа AutoPlay, чтобы вынудить пользователей запустить вредоносную программу с переносных носителей.
Передаваемые данные были зашифрованы и подписаны электронным образом, и только авторы Downadup имели ключ. Срочная модификация MS08-067 предотвратила дальнейшие атаки и угрозы.
Но скрытая опасность заключалась в потенциальной возможности самомодификации и формировании дополнительных исполняемых файлов. Система генерирует до 250 новых потенциально опасных доменов в день. Каждый из этих доменов может содержать модификацию исходного кода, который при загрузке может осуществить определенные вредоносные действия.
Темпы заражения начали падать к середине февраля по мере распространения информации об угрозе среди сетевых администраторов.
Все было спокойно на фронте Downadup до начала марта, когда стала появляться на уже зараженных компьютерах версия W32.Downadup.C. Эта версия не включала в себя механизмов распространения. Новым было прекращение многих процессов, имеющих отношение к безопасности. И там где предыдущая версия генерировала список из 250 доменов в день, новая формировала до 50,000.
Бюллетень безопасности Microsoft MS08-067 был модификацией выпущенного 23-го октября 2008. Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability, который предлагал пэтч для Windows 2000, XP, Server 2003, Vista и Server 2008. В конечном счете уязвимость позволяла удаленному атакеру установить вредоносное приложение на машине-жертвы без ведома ее владельца. Червь способен успешно атаковать практически все версии ОС Windows. Во многих случаях он использует порты 139 и 445.
Червь W32.Downadup является первым, который успешно рассылается по всему миру. Symantec выполнила анализ этой угрозы и выяснила, что инфицированные машины генерируют до 250 псевдослучайных IP-адресов доменов каждый день, подготавливая попытки контактов с ними, загрузки и выполнения обновленных двоичных кодов.
Эксперты Symantec считают, что программа W32.Downadup ведет себя крайне агрессивно. Она будет продолжать инфицировать машины в ближайшем будущем и распространять обновления кодов через описанный выше механизм. Symantec обнаружила новый вариант червя 30 декабря 2008 года (W32.Downadup.B). Эта обновленная версия содержит дополнительные программы распространения.
Ниже на рис. 26 представлена диаграмма распределения ОС (информация за период в 72 часа).
Рис. 26. Распределение по инфицированным ОС.
Как можно видеть наиболее часто оказывается зараженной версия ОС Windows XP SP1 и ранее. Более 500,000 инфицированных компьютеров, которые контактировали с сервером Symantec, используют именно эту версию ОС. Позицию сразу после занимает Windows XP SP2 и более поздние версии. Windows 2000 и Windows 2003 составляют несравненно меньшую долю.
Symantec зарегистрировала увеличение заражения W32.Downadup в период праздников и призывает все организации срочно использовать пэтч "Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability".
Новый вариант этой угрозы, названный W32.Downadup.B, появился 30 декабря и может распространяться не только за счет Windows RPC, но также и через корпоративные сети, заражая USB модули памяти, а также взламывая простые пароли. Эта технология распространения не является новой; W32.Spybot, W32.Randex и W32.Mytob используют практически аналогичные методы, но данная версия требует больше усилий для защиты корпоративных сетей.
W32.Downadup.B создает файл autorun.inf на всех сконфигурированных устройствах памяти, так что программа сразу исполняется, как только переносной носитель будет загружен. Программа мониторирует все драйвы, которые подключены к зараженной машине, для того чтобы создать файл autorun.inf, как только драйв становится доступным. Червь мониторирует также DNS-запросы к доменам, содержащим определенные строки, и блокирует доступ к этим доменам, что приводит разрыву связи из-за таймаута. Это означает, что инфицированные пользователи не могут обновить свои программы безопасности с данных Web-сайтов.
Исследователи Symantec зарегистрировали заметное число вариантов W32.Downadup и W32.Downadup.B. На представленной ниже карте показано распределение инфекций за последние 60 дней. Ниболее высокие цифры заражений относятся к странам с наиболее высоким уровнем использования компьютеров/Интернет.
Рис. 27. Географическое распределение инфекций W32.Downadup.
По процентному уровню заражений первое место занимает Китай (около 28%), Аргентина (11%)б Тайвань, Бразилия и т.д. Россия занимает 7-ое место (5%). Любопытно, что десятка наиболее страдающих от заражения стран, совпадает с десяткой стран с наибольшим распространением пиратского программного обеспечения.
В последнее время появились bot-коды, которые при попытки их удаления разрушают браузер и саму операционную систему (например, код ZeuS). Код ZeuS представляет собой троянского коня, который загружает rootkit ядерного типа. Это касается в основном кодов, ориентированных на непосредственное воровство денежных средств. Зачем это сделали разработчики, неизвестно. Возможно авторы хотели осложнить расследование инцидентов. Известны сети ZeuS с числом машин более 100000.
В августе 2009 года компания Breach подготовила обзор сетевых инцидентов в текущем году, смотри The WEB hacking Oncidents Database 2009 (выборка из базы данных WHID - Web Hacking Incident Database). Отмечается, что по-прежнему определяющим в сетевых атаках является стремление получить материальную выгоду. Ниже на рисунке показано распределение сетевых атак по целям.
Рис. 28. Цели сетевых атак в 2009 году.
Наиболее популярными объектами атаки становятся WEB-сайты (особенно WEB 2.0), так как они в свою очередь могут стать источниками поражения машин клиентов, которые туда заходят. Заметную долю стали составлять атаки, предпринимаемые по политическим мотивам.
Рис. 29. Способы вторжения.
Среди способов вторжения лидирующую долю составляют атаки типа SQL-injection (19%). Важно, что 11% всех успешных атак составляют неизвестные ранее методы. Отчасти это связано с неэффективным мониторингом атак, отчасти с нежеланием жертв раскрыть данные об успешных атаках.
Рис. 30. Типы организаций и фирм, являющиеся объектами атаки.
Из распределения видно, что наибольшую долю жертв (19%) составляют объекты социальных сетей, вслед за ними (16%) следуют медийные серверы.
Несмотря на заявления Била Гейтса, сделанное им около трех лет назад ("Со спамом будет покончено") проблема эта не теряет актуальности. Более 97% всех почтовых сообщений по-прежнему являются спамом. Все чаще для транспортировки вредоносных кодов, вложенных в такие сообщения, используются объекты PDF, JPG, MP3. Кроме того, часто почтовые сообщения содержат URL сайтов, способных заразить посетителя вредоносным кодом. Большая часть спама по-прежнему рассылается через машины botnet'ов. Потери, сопряженные с данным явлением сопоставимы с потерей мощности 10 самых мощных супер-ЭВМ. Ниже приведены данные Emerging Threads: The Changing Face of Email лаборатории Касперского.
Рис. 31. SPAM-реклама в июле 2009 (лаб. Касперского)
Рис. 32. Организации-мишени для email phishing в июле 2009 (лаб. Касперского)
Если еще в 2002 году главным источником попадания вредоносных кодов в машину являлась электронная почта, то, начиная с 2004 года, ее обошло заражение через WEB-сайты, а в 2005 году заметно увеличился вклад IM (пересылка сообщений в реальном времени). Смотри рис. 33 и 34.
Рис. 33. Динамика перераспределения источников заражения машин вредоносными кодами (лаб. Касперского)
Рис. 34. Распределение источников заражения машин вредоносными кодами (Unraveling Web Malware, FireEye)
Рис. 35. Динамика источников угроз (Anatomy of a Data Breach: Why Breches Happen... and What to Do About It)
74% всех заражений вредоносными кодами, начиная с третей четверти 2008 года приходится на просмотр скомпрометированных WEB-сайтов. Примерно 1,3% запросов поисковым машинам (например, Google) возвращают по крайней мере одно URL, помеченное как скомпрометированное. Команда Google Anti-Malware установила, что более трех миллионов URL содержат вредоносные коды drive-by download. Число malware, с WEB-базированием увеличилось в 3-ем квартале 2008 на 338% по сравнению с первым кварталом и на 553% по сравнению с 1-ым кварталом 2007. Примерно 31% вредоносных кодов в сентябре 2008 года являлись угрозами нулевого дня. Заметная доля вторжений оказалась сопряжена с уязвимостями Adoba Flash Player.
За время с января 2005 по июнь 2008 было несанкционировано раскрыто 229.441.755 конфиденциальных рекордов (ценность рекорда оценивается всреднем как 197$). Смотри Trend advisory. Information-centric security.
Компания Symantec зарегистрировала следующие доли серверов, где были обнаружены вредоносные коды. Смотри Symantec Report on Rogue Security Software. July 08 – June 09 2009. Здесь речь идет о программах, реализующих SCAM. Что любопытно, эти вредоносные программы продаются через Интернет по цене 30-100$. Одновременно продаются программные средства для их удаления. Нужно только иметь в виду, что, покупая средство для удаления одной вредоносной программы у непроверенного дистрибъютера, вы можете загрузить на свою машину другую опасную программу. За год детектируется порядка 45 миллионов попыток загрузки вредоносных кодов (число разновидностей этих кодов лежит в пределах 250). Особенно популярны различные "антивирусные" средства (например, Virus Remover 2008 или AntiVirus Gold). Сайты, где они рекламируются, обычно выполнены в стиле известных программных фирм, но их продукты вредоносны (могут содержать в себе, например, Zlob Trojan).
Место | Страна | % |
1 | США | 53 |
2 | Германия | 11 |
3 | Украина | 5 |
4 | Канада | 5 |
5 | Великобритания | 3 |
6 | Китай | 3 |
7 | Турция | 3 |
8 | Нидерланды | 2 |
9 | Италия | 2 |
10 | Россия | 1 |
В 2009 каждый день выявляется 23500 новых зараженных WEB-страниц , т.е. по одной каждые 3,6 секунды. Это в 4 раза больше чем за аналогичный период в 2008 году.
Анализ показывает, что 93% всех современных WEB-приложений восприимчивы к каким-либо видам атаки, а 57% уязвимы для краж информации. |
Компания SophosLab просматривает 40000 подозрительных файлов в день. Независимое агентство AV-Test.org накопило 22.5 миллионов образцов вредоносных кодов (против 12,3 миллионов в 2008). Выявляется 15 новых фальшивых антивирусных WEB-сайтов в день. Год назад это число не превышало 5. 89,7% всех электронных сообщений по-прежнему являются спамом. Каждый день детектируется 6500 новых WEB-сайтов, вовлекаемых в рассылку SPAM, что почти вдвое больше чем в прошлом году. Это означает, что новый узел рассылки SPAM появляется каждые 13 секунд. Известно, что 99% сообщения спам отправляется с домашних машин пользователей, ставших после взлома членами botnet. Это связано с тем, что эти машины практически не защищены и становятся легкой добычей хакеров.
Быстро растет число атак, осуществляемых через социальные сети. Это приводит к тому, что многие руководители фирм запрещают своим сотрудникам заходить на такие сайты (нечего отвлекаться от работы, да и опасно это). На рис. 36 приведены результаты опроса "что пугает фирмы".
Рис. 36. Причины управления доступом
Здесь следует иметь в виду, что прямые запреты приводят с точки зрения безопасности прямо к противоположному результату. Такой подход весьма симпатичен российским чиновникам, которые любят решать любые проблемы с помощью запретов. Дело в том, что в случае фильтрации URL пользователи начинают использовать анонимные прокси, многие из которых сами являются разносчиками вредоносных кодов. 63% системных администраторов считают, что сотрудники выставляют слишком много персональных данных в социальных сетях.
В июне 2009 года в сети Facebook появилась персональная информация о новом главе английской службы MI6, когда его супруга позволила членам сети "London" познакомиться с его профайлом.
На рис. 37 представлены диаграммы на тему "Как разные компании управляют доступом к сайтам. 50% фирм блокируют полностью или частично доступ к социальным сетям (Twitter, Facebook,MySpace Linkedin).
Рис. 37.
В январе 2009 один из клиентов сети MySpace лишился 210000$ через посредство scam. В июне хакеры через Facebook получили данные о британском полицейском и разослали 1500 его знакомым и друзьям от его имени предложение посетить зараженный сайт.
Но не следует опасаться и запрещать клиентам заходы в социальные сети. Прямой запрет может нанести еще больший вред. Просто надо общими силами сделать социальные сети более безопасными. Это могут быть как программные, так и организационные меры. Например, разрешение посещения таких сетей в определенное время (скажем, во время обеденного перерыва), контроль данных, исходящих из локальной сети фирмы, обучение сотрудником правилам информационной и сетевой безопасности.
По-прежнему актуальна проблема утечки данных. Так в мае 2009 с правительственного сайта штата Виржиния были украдены 8,3 миллиона записей пациентов. Примеров достаточно много. Единственным средством противодействия может быть криптографическая защита.
Среди методов массированного вторжения лидирующее положение занимают методы, базирующиеся на WEB-технологиях. См. рис. 38.
Рис. 38. Сетевые угрозы, использующие WEB
Все больше респектабельных WEB-сайтов становятся жертвами хакеров. Это является следствием повышенного внимания атакеров именно к таким серверам. Если ваш сайт посещает несколько сот и более клиентов в день будьте уверены, он станет мишенью массированных сетевых атак.
Рис. 39. Распределение по странам числа серверов, осуществляющих распространение malware
В январе 2009 сервер Pravda.ru был скомпрометирован с помощью Mal/Iframe-F. В марте жертвой Mal/Iframe стало посольство Эфиопии в Вашингтоне, а в июне WEB-сайт коммунистической партии Британии (следы ведут в Китай). Список подобного рода событий может быть продолжен. На рис. 39 представлено распределение по странам числа серверов, осуществляющих распространение malware.
За рассматриваемый период число источников распространения вредоносных кодов, базирующихся в Китае сократилось с 31,3% до 14,7% и это на фоне учетверения общего числа таких узлов. Здесь нужно учитывать, что размещение вредоносного сайта в определенной стране не обязательно отражает его национальную принадлежность, это может быть результатом взлома сервера из за рубежа.
На рис. 40 представлено распределение по типам вредоносных кодов, прикрепляемых к почтовым сообщениям.
Рис. 40. Распределение по типам вредоносных кодов, прикрепляемых к почтовым сообщениям
Накануне инаугурации президента США Б. Абамы по почте было разослано огромное число сообщений, уведомляющих об его отказе стать президентом. Далее в тексте содержалась ссылка на сайт, где якобы изложены подробности, а на самом деле при заходе туда посетитель получал вредоносный код WaletPak. Не спешите заходить на сайты, где якобы содержатся пикантные подробности или фотографии...
На рис. 41 представлены доли SPAM, рассылаемые разными странами. Лидером остается США, а Россия покинула второе место и переместилась на 7-е (единственный случай, когда отставание от других может радовать). Доля России сократилась с 7,5% в 2008 до 3,5% в 2009. Исследователи считают это заслугой сервис провайдеров, которые непримиримо борются с рассылкой SPAM c частных машин. Билл Гейтс с его прогнозом "К 2006 году со спамом будет практически покончено" явно сильно промахнулся.
Рис. 41. Доли SPAM, рассылаемые разными странами
Sophos идентифицирует пятнадцать новых scareware WEB-сайтов каждый день. Это в три раза больше чем в 2008 году. Не забывают хакеры о iPhone, а также о любых других мобильных средств.
Осенью 2009 появился обзор компании IBM по вопросам безопасности за второй квартал 2009 года IBM Internet Security Systems X-Force Threat Insight Quarterly. Смотри также IBM Internet Security System X-Force 2009 Mid-Year Trend and Risk Report (90 стр). Число новых опасных Web связей, выявленных в первом полугодии 2009 увеличилось на 508 по сравнению с первой половиной 2008. Хотя большинство этих связей базируются на серверах, размещенных в Китае и США, общее число WEB-серверов в мире заметно выросло примерно на 80% по сравнению с 2008 годом. Растет доля троянских коней (~55% от общего числа вредоносных кодов).
Рис. 41a. Число выявленных уязвимостей по годам с 2000 по 2009 годы
На рис. 41b. представлено распределение уязвимостей по степени угрозы и по их типам (второй квартал 2009 года, группа X-Force).
Рис. 41b. Раcпределение числа выявленных уязвимостей по типам
Рис. 41c. Распределение уязвимостей по уровню их потенциальной опасности
11,71% приходится на методы обхода ограничений, сопряженных с безопасностью (Firewall, IDS или прокси). 14,52% занимает манипулирование данными, 8,22% составляют разрушения сервисов или систем, 8,22% - DoS, 0,93% - манипулирование файлами и львиная доля - 51,4% приходится на получение нелегального доступа (локального или удаленного). Заметную долю составляет незаконное получение информации (8,47%) и нелегальное получение более высоких привилегий (2,31%)
Рис. 41d. Доли различных вредоносных кодов при нанесении ущерба безопасности
Рис. 41e. Доли различных классов вредоносных кодов
В таблице ниже представлены доли уязвимостей выявленных в программных продуктах различных фирм. Неожиданно проявился Linux и Cisco, с лидирующей позиции по уязвимости ушла Microsoft.
Первое полугодие 2009 | Весь 2008 год | ||||
N | Фирма | % | Фирма | % | |
1 | Apple | 3,8 | Microsoft | 3,16 | |
2 | Sun | 3,6 | Apple | 3,04 | |
3 | Microsoft | 3,1 | Sun | 2,19 | |
4 | Oracle | 2,7 | Jomla! | 2,07 | |
5 | IBM | 2,5 | IBM | 2,0 | |
6 | Drupal | 2,0 | Oracle | 1,65 | |
7 | Mozilla | 1,8 | Mozilla | 1,43 | |
8 | Cisco | 1,8 | Drupal | 1,42 | |
9 | Linux | 1,5 | Cisco | 1,23 | |
10 | Jomla! | 1,2 | TYPO3 | 1,23 |
Рис. 41f. Число выявленных вредоносных кодов в WEB-приложениях по годам (2009h1 - первое полугодие 2009)
Рис. 41g. Тенденции различных методов вторжений
Рис. 41h. Число различных атак по месяцам 2009
Рис. 41i. Распределение атак SQL-injection по месяцам 2008-9 годов
По SQL-injection проявился неожиданный спад в июне 2009.
Рис. 41j. Число выявленных вторжений для разных операционных систем
Диаграмма показывает, что уязвимости Linux стали проявляться стабильно чаще, чем Microsoft. Но по опасным видам уязвимостей Microsoft продолжает лидировать (см. рис. 41k). Ниже представлена таблица вкладов по особо опасным уязвимостям различных ОС.
Рис. 41k. Число критических и крайне опасных уязвимостей разных операционных систем
Операционная система | Процент критических и опасных уязвимостей | Процент всех уязвимостей |
Microsoft | 39% | 14% |
Apple | 18% | 24% |
SUN Solaris | 14% | 26% |
Linux | 14% | 20% |
IBM AIX | 7% | 3% |
BSD | 2% | 4% |
Прочие | 7% | 11% |
Рис. 41l. Доли опасных уязвимостей программ клиентской стороны
Рис. 41m. Доли опасных уязвимостей программ, сопряженных с браузерами
Наиболее популярные уязвимости
Ранг | Второе полугодие 2008 | Первое полугодие 2009 |
1 | Microsoft MDAC RDS Dataspace ActiveX (CVE-2006-0003) | Microsoft MDAC RDS Dataspace ActiveX (CVE-2006-0003) |
2 | Microsoft WebViewFolderIcon ActiveX (CVE-2006-3730) | Microsoft Snapshot Viewer ActiveX (CVE-2008-2463) |
3 | Internet Explorer “createControlRange” DHTML (CVE-2005-0055) | Adobe Acrobat and Reader Collab. CollectEmailInfo (CVE-2007-5659) |
4 | RealPlayer IERPCtl ActiveX (CVE-2007-5601) | Microsoft IE7 DHTML Object Reuse (CVE-2009-0075) |
5 | Apple QuickTime RSTP URL (CVE-2007-0015) | RealPlayer IERPCtl ActiveX (CVE-2007-5601) |
Рис. 41n. Число атак с приненением ActiveX
Рис. 41o. Количество потенциально опасных WEB-сайтов
Категории нежелательного содержимого, подлежащего URL-фильтрации
Тип WEB-сайта | Описанире и категория Web-фильтрации |
Материал для взрослых | Порнография, эротика/секс |
Социальные отклонения | Политический экстримизм/ненависть/дискриминация |
Криминал | Анонимные прокси Компьютерные преступления/хакерство Нелегальная активность Нелегальные лекарства (наркотики) Вредоносные коды Насилие/Экстремизм Программное пиратство |
Рис. 41p. Рост числа анонимных прокси
Рис. 41q. Доли анонимных прокси в США и прочих странах
Рис. 41r. Распределение по странам долей WEB-сайтов, распространяющих вредоносные коды.
Рис. 41s. Увеличение числа стран, предоставляющих место для вредоносных WEB-сайтов.
Рис. 41t. Доли категорий WEB-сайтов, содержащих хотя бы одну вредоносную связь.
Рис. 41u. Доли категорий WEB-сайтов, содержащих десять и более вредоносных связей.
Рис. 41v. Распределение вредоносных кодов по категориям во второй половине 2009
В последнее время стали множиться фальшивые антивирусные сайты. Например:
Рис. 41w.
Даже если клиент не кликнет на клавише <continue>, вредоносный код будет загружен на компьютер клиента, посетившего этот сайт.
После того как два основных сервис-провайдера отключили McColo (хостинг-провайдер Сан-Хосе, Калифорния) во втором полугодии 2008 года, объем SPAM сократился в несколько раз. Эта операция была произведена после исследования, которое показало, что именно серверы этого провайдера используются botnet'ами, вовлеченными в рассылку SPAM. Этому отключению соответствует резкий спад потока спама на рис. 41х в ноябре 2008.
Рис. 41x. Вариации потока SPAM, начиная с апреля 2008
На рис. 42 показан рейтинг сетевых угроз на август 2009 года по данным компании ESET (ThreatSense.Net). Хотя разрешение на рисунке не высоко и не все надписи достаточно четки, видно, что лидерами являются различные уязвимости Windows. Первое место по число заражений за август 2009 (почти 8.56%) занимает червь Win32/Conficker, который использует подсистему RPC, исключая необходимость авторизации (смотри www.eset.eu). На втором месте с 8,28% разместился троянский конь Win32/PSW.OnLinwGames. В феврале 2009 компания Microsoft назначила премию в 250.000 долларов за информацию, которая бы помогла арестовать разработчика кода Conficker.
Рис. 42. Основные сетевые угрозы в августе 2009 года
Рис. 42a. Детектирование червя Conficker до декабря 2009
Рис. 42b. Аналогичное распределение для декабря 2009 года (ESET)
Из рисунков видно, что за истекшие три месяца существенных изменений не произошло (лидеры те же). Conficker загружает DLL с помощью процесса svchost. Полное описание Conficker можно найти по адресу http://www.eset.eu/buxus/generate_page.php?page_id=279&lng=en. Пользователям рекомендуется своевременно обновлять ОС и приложения (Microsoft). Поздние версии Conficker использует для заражения Autorun.
Масштабы утечки конфиденциальной информации в 2009 году достигли уровня пандемии. Средства взлома продаются на рынке Интернет по цене 500-1000$.
11% всех компьютеров вовлечены по крайней мере в одну botnet. 23% домашних машин заражены каким-либо вредоносным кодом. 72% корпоративных сетей с числом машин более 100 имеют хотя бы одну зараженную ЭВМ.
В сентябре по мнению компании ESET ситуация не изменилась, доля Conficker составила 8,76%. Смотри Global Threat Trends - September 2009. Многие виды malware, представленные на рис. 42 используют процедуру Autorun (файл Autoran.inf). По этой причине рекомендуется запретить работу Autorun (в конфигурации ОС Windows). Заметную долю атак занимает Win32/PSW.OnLineGames (7,16%). Ущерб от червя Conficker достиг 9,1 миллиарда долларов.
Многие компании приходят к выводу, что антивирусные и IPS-системы (базирующиеся на сигнатурном принципе) становятся все менее эффективными. Это связано с чудовищным ростом многообразия вредоносных кодов.
Сложились стабильные цены на хакерские товары и услуги. Относительно низкие цены (см. таблицу ниже) свидетельствуют о достаточно широком предложении.
Товары и услуги | Цены |
Банковские аккоунты | 10-1000$ |
Кредитные карты | 0,4-20$ |
Полные данные о человеке | 1-15$ |
Почтовые пароли | 4-30$ |
Прокси серверы | 1,5-30$ |
SCAM | 2,5-50$/в неделю за хостинг |
Почтовые серверы | 1-10$ |
Чего стоит, например, такое объявление в Интернет:
"I have your shit! In *my* possession, right now, are 8,257,378 patient records and total of 35,548,087 prescriptions. ... For $10 million, I will gladly send along the password." (см. EmergingThreats. Автор объявления предлагает предоставить пароль для чтения более чем 8 миллионов медицинских карт пациентов за 10 миллионов долларов.
Рис. 43. Рост многообразия вредоносных кодов по годам (2004-2009)
По американским данным в 2009 году в мире каждые 24 часа с помощью пластиковых банковских ATM-карт кралось 10 миллионов долларов. Но несмотря на существующую реальную угрозу, в мире 65% серверов по-прежнему не имеют никакой защиты.
Рис. 44. Распределение различных видов клиентского программного обеспечения по уязвимости в 2005-2009 г). См. Maintaining trust: protecting your Web site users from malware
По данным компании WebSense Security Labs за 2009 год число WEB-сайтов, содержащих вредоносные коды, увеличилось на 670%. 70% наиболее часто посещаемых WEB-серверов заражены вредоносными кодами и опасны для посещения. Как правило, владельцы сайтов даже не подозревают об этом.
По данным компании IBM за первое полугодие 2009 года число WEB-дистрибьютеров вредоносных кодов увеличилось по сравнению с первым полугодием 2008 на 508% (см. ссылку под рис.44). Это подтверждает корректность оценки возникшей угрозы. Похоже, что пользователи Интернет проигрывают войну хакерам. Если еще 5 лет назад главным разносчиком вредоносных кодов была почта, с 2007 года в лидеры вышли WEB-сайты, в последнее время этот источник угроз теснится блогами и wiki, где удаленным пользователям разрешено вносить свои фрагменты текстов. Впрочем, это лишь разновидности WEB-технологий. В последнее время все чаще источниками вредоносных кодов становятся FLASH-приложения. Ниже на рис. 45 показана эволюция угроз со стороны электронной почты и WEB-сайтов.
Рис. 45. Эволюция угроз со стороны почты (слева) и со стороны web-приложений (2005-08) (см. Drive-by-Downloads, Web Malware Threats, and Protecting Your Website and Your Users
Из рисунка видно, что доля заражений машин со стороны e-mail становится пренебрежимо малой по сравненияю с вкладом WEB-сайтов. 57% всех инцидентов, сопряженных с кражей информации, реализованы с привлечением WEB-технологий. 45% всех вредоносных WEB-сайтов размещены в США (McAffee Threats Report). Выявлено, что 72% всех коммерческих предприятий не имеют какой-либо политики Интернет безопасности. В 2009 году вирус Gumblar заразил 80000 WEB-сайтов. Эти сайты заражались через посредство скомпрометированного FTP-сервиса.
В конце 2009 года компания Breach опубликовала результаты исследования распределения атак по объектам различных областей. Большой рост числа атак характерен для социальных сетей типа Facebook и Twitter. Чаще всего для этих целей используются XSS или CRSF черви. Смотри Ryan Barnett, "Ten Top WEB Incidents and Trends of 2009 and Predictions for 2010".
В 2009 году 85% потерь данных по кредитным картам было сопряжено с организованными преступлениями. К сожалению 70% организаций не способны выявить не только свои уязвимости, но даже факт сетевого вторжения. |
Рис. 46. Распределения долей атак на различные объекты
Основным объектом атаки стали социальные сети (Twitter, Facebook). При таких атаках чаще всего используют XSS (Cross-Site scripting) черви. Во время одной из атак хакер ухитрился получить пароль администратора сети. В результате были скомпрометированы 33 аккоунта, включая принадлежащий президенту Абаме. Одна пятой всех вторжений осуществляется посредством SQL-injection.
В связи с широким распространением в Интернет выявления общественного мнения и предпочтений публики в отношении различных событий, товаров и пр., хакеры сконцентрировали свои усилия на этом виде бизнеса. Результаты таких опросов являются косвенной рекламой для товаров, сервисов и т.д. По этой причине конкуренты начали искать оружие в этой борьбе, и хакеры предложили им свою помощь. Программисты опросных серверов стали искать средства противодействия, но хакеры, как это часто случается в последнее время, оказались на высоте. Они создали программы настолько эффективные, что они могут выстраивать рейтинги в произвольном порядке, например, по алфавиту. А так как рейтинги используются в том числе и политиками, не следует удивляться, что некоторые деятели всегда оказываются во главе списка.
Все больших успехов хакеры достигают при работе с мобильными устройствами и в сфере мультимедиа. 57% критической информации крадется с WEB-сайтов.
Рост числа сетевых атак и вторжений с одной стороны, а также внедрение вычислительной техники в управление всеми сторонами жизни диктует новые требования к приложениям и каналам связи. В 2009 году отмечен бурный рост вторжений с использованием социальных сетей, например, Facebook или Twitter. Хакеры научились искажать результаты опросов общественного мнения через Интернет и это стало еще одной статьей их дохода. Возникли реальные опасения вмешательства хакеров в управление уличным движением или авиарейсами (смотри SC Magazine - Web attacks can invade air traffic control systems. |
По данным компании Dasient 39% сайтов были заражены и попали в запретительные списки. 73% сайтов остаются в запретительных списках более одного дня. Почти половина сайтов теряют примерно 40% трафика, после того как попадают в ограничительные списки.
На рис. 47 показана вариация скоростей роста сетей botnet по годам по 10 странам (статья Рика Фергюсона "Back to the future", журнал "Network Security", N1, стр.4.)
Рис. 47. Изменение скорости заражений в сетях botnet по годам
Рис. 48. Эволюция числа DDoS-атак по годам (журнал “Network Security”, N1, 2010, стр 20)
Таблица. Список угроз для WEB-приложений
Угроза | Дает возможность атакере... | % уязвимых WEB-приложений |
XSS | ...обезличить легального пользователя с целью получения доступа к критическим данным | 80% |
SQL-injection | ...доступ к любым данным в вашей базе данных | 62% |
Фальсификация параметров | .. просматривать или модифицировать содержимое базы данных | 60% |
Отравление cookie | ...украсть идентификационные данные ваших клиентов | 37% |
В марте 2010 года поступил доклад компании Websence Security Labs "State of Internet Stcurity, Q3-Q4, 2009". В нем подводились итоги анализа ситуации с безопасностью по результатам 3-4-кварталов 2009 года.
13,5% результатов запросов в поисковые центры содержат ссылки на сайты, зараженные malware (это относится к первой сотне результатов выполнения поискового запроса). Вторая половина 2009 года характеризовалась 225% ростом числа зараженных WEB-сайтов. 71% зараженных сайтов относятся к числу вполне легальных. 95% сообщений на сайтах социальных сетей являются SPAM'ом или содержат вредоносные коды. 51,4% вредоносных сайтов размещены по-прежнему в США, 17,5% - в Китае. За последние 6 месяцев по этому параметру заметно продвинулась Испания (15,7%). 81% всех e-mail сообщений содержали ссылки на вредоносные сайты, а 85,8% сообщений являлись SPAM'ом. Десятки тысяч аккоунтов на почтовых серверах Hotmail, Gmail и Yahoo были взломаны и использовались для вредоносных целей. Число атак типа phishing увеличилось по сравнению с первым полугодием на 4%.
35% атак, базирующихся на WEB-технологиях содержали коды, предназначенные для кражи данных. 58% всех информационных краж осуществлено с привлечением WEB-технологий. Лидирующую группу стран по краже данных составляют: США, Россия, Китай и Бразилия.
Продолжается рост числа предложений фальшивых (вредоносных) антивирусных программ. Вредоносные коды стали часто встраиваться в программы оптимизации работы поисковых серверов (SEO). Пример результата выпонения такого поискового запроса представлен на рисунке ниже.
Рис. 48а. Пример атаки Google Wave SEO
Рис. 48б. Рост числа вредоносных WEB-сайтов с июня 2008 по декабрь 2009
Рис. 48в. Распределение SPAM по типам (с июля по декабрь 2009)
Рис. 48г. Уязвимости Windows
Локальная доля SPAM в Европе увеличится в 2010 году на 50% (Symantec).
Время анализа сайтов (компания Websense) на наличие вредоносности составляет около 2,5 миллисекунд. За сутки выявляется 25000 вредоносных сайтов. Сходную цифру для 2009 года приводит SophosLabs (23500). Это соответствует примерно одному зараженному сайту каждые четыре секунды, что в 4 раза хуже, чем в 2008 году. Смотри http://i.zdnet.com/whitepapers/sophos-not-all-malware-detection-is-created-equal-wpna.pdf.
Рис. 48д. Десять основных сетевых угроз, зафиксированных с 6-го по 13-е мая 2009 года
За год с середины 2008 до середины 2009 число разновидностей malware увеличилось на 508%.