Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kaspersky Security Bulletin 2010

Tagi:

Jurij Namiestnikow
Ekspert z Kaspersky Lab

Niniejszy raport został stworzony na podstawie danych uzyskanych i przetworzonych przy pomocy Kaspersky Security Network (KSN). KSN jest jedną z najważniejszych innowacji w produktach przeznaczonych dla użytkowników indywidualnych i obecnie znajduje się w końcowej fazie rozwoju. Po ukończeniu projektu KSN stanie się integralną funkcją produktów korporacyjnych firmy Kaspersky Lab.

Kaspersky Security Network potrafi wykrywać w czasie rzeczywistym nowe szkodliwe programy, których nie można jeszcze zidentyfikować na podstawie metod opartych na sygnaturach lub wykrywaniu heurystycznym. KSN pomaga zidentyfikować źródło rozprzestrzeniania się szkodliwych programów w Internecie i blokuje użytkownikom dostęp do nich.

Ponadto, KSN zapewnia znacznie szybszą reakcję na nowe zagrożenia. Technologia ta umożliwia zablokowanie uruchomienia nowych szkodliwych programów na komputerach użytkowników, na których jest zainstalowany KSN, w przeciągu sekund od znalezienia szkodliwego programu - procesu nie opóźnia konieczność czekania na uaktualnienia antywirusowych baz danych.

Podsumowanie kwartału

  • Odnotowaliśmy 327 598 028 prób zainfekowania komputerów użytkowników w różnych państwach na całym świecie - o 26,8% więcej w porównaniu z poprzednim kwartałem.
  • Zmienia się wektor ataków przeprowadzanych przez cyberprzestępców: odsetek ataków skierowanych na użytkowników chińskich zmniejszył się o 13%.
  • Najbardziej rozpowszechniona rodzina szkodliwego oprogramowania w Internecie wykorzystuje kod lub skrypty HTML, które cyberprzestępcy stosują głównie do infekowania legalnych stron.
  • Zidentyfikowaliśmy 119 674 973 zainfekowanych serwerów. Pod względem liczby zainfekowanych serwerów Chiny zostały wyprzedzone zarówno przez Stany Zjednoczone jak i Rosję.
  • Liczba wykrytych luk w zabezpieczeniach zwiększyła się o 6,9% w stosunku do poprzedniego kwartału. Sześć na dziesięć najpowszechniejszych luk w zabezpieczeniach zostało wykrytych w produktach firmy Microsoft.
  • Liczba exploitów zwiększyła się o 21,3%. Około pięćdziesiąt procent wszystkich exploitów wykorzystuje luki w zabezpieczeniach w programach Adobe ze względu na ich popularność i możliwość uruchomienia na wielu różnych platformach.
  • Obecnie prawie każde urządzenie, które jest synchronizowane z komputerem, jest wykorzystywane przez cyberprzestępców jako nośnik szkodliwego oprogramowania. Ładowarka USB dla baterii Energizer to dotychczasowy zwycięzca w kategorii najbardziej niezwykłego z tego typu urządzeń.

Ogólny przegląd

Najistotniejsze wydarzenia, jakie miały miejsce w pierwszym kwartale 2010 roku, w ten czy inny sposób wiążą się z zagrożeniami internetowymi. Tak jak wcześniej, najpopularniejszą taktyką stosowaną przez cyberprzestępców jest tak zwany atak ‘drive-by download.’ Istotą tego rodzaju ataków jest wykorzystywanie różnych luk w zabezpieczeniach przeglądarek i wtyczek przy użyciu exploitów.

Swego czasu w mediach głośno było o incydencie "Operation Aurora" - ataku hakerskim skierowanym przeciwko największym korporacjom, takim jak Google czy Adobe. W celu przeprowadzenia ataku na tak wielką skalę hakerzy wykorzystali exploita wykrywanego przez produkty firmy Kaspersky Lab jako Exploit.JS.Aurora. Exploit ten wykorzystuje lukę CVE-2010-0249, którą można znaleźć w kilku wersjach popularnej przeglądarki MS Internet Explorer. Atak ten został przeprowadzony przy użyciu ukierunkowanych wysyłek mailowych z odsyłaczem do strony internetowej zawierającej exploita. Gdyby wszystko poszło zgodnie z planem oszustów, po odwiedzeniu zainfekowanej strony internetowej komputer użytkownika pobrałby ukradkiem szkodliwe oprogramowanie, nie wzbudzając żadnych podejrzeń użytkownika. Celem hakerów było zebranie danych poufnych i korporacyjnych, łącznie z kodem źródłowym głównych projektów.

Rozpowszechnienie się informacji o tym ataku spowodowało, że Niemcy, Francja i Australia zachęcały swoich obywateli do korzystania z przeglądarek innych niż MS Internet Explorer — a przynajmniej do czasu opublikowania łaty usuwającej tę lukę. Programiści z Microsoftu wiedzieli o tej luce od września 2009. Microsoft publikuje łaty dla swoich produktów co miesiąc - w dzień powszechnie nazywany "Patch Tuesday". Problem polega na tym, że pomiędzy tymi "wtorkami" hakerzy mogą wykorzystać nowe luki w zabezpieczeniach, wiedząc, że przed kolejną rundą łat będą działały na większości komputerów.

Skandal wokół skutków exploitów Aurora zmusił Microsoft do opublikowania łaty dla luki CVE-2010-0249 przed planowaną datą. Jest to niewielkie, jednak znaczące zwycięstwo ekspertów z dziedziny bezpieczeństwa IT. Pod koniec kwartału Microsoft opublikował poza grafikiem kolejną pilną łatę dla przeglądarki Internet Explorer - powodem było wykorzystywanie tych luk w innym ataku. Świadczy to o tym, że twórcy oprogramowania biorą większą odpowiedzialność jeżeli chodzi o bezpieczeństwo ich produktów. Mamy nadzieję, że ta lekcja nie pójdzie na marne.

W świetle niedawnych wydarzeń zaczęliśmy mieć nadzieję na pewne zmiany na lepsze w polityce firmy Adobe dotyczącej publikowania automatycznych uaktualnień. 13 kwietnia Adobe uruchomił nowy serwis aktualizacji dla programów Adobe Reader i Adobe Acrobat dla ostatnich wersji działających w systemach Windows i Mac OS X. Ma to duże znaczenie, ponieważ według naszych kwartalnych statystyk, twórcy wirusów wykorzystują więcej luk w zabezpieczeniach oprogramowania Adobe niż w produktach firmy Microsoft. Dzieje się tak mimo faktu, że w produktach Microsoftu znaleziono więcej niezałatanych luk niż w produktach Adobe. Adobe stał się głównym celem twórców wirusów, ponieważ oprogramowanie tego producenta jest bardzo popularne i może być uruchomione na wielu różnych platformach.

Jeżeli chodzi o najbardziej wyraźne trendy, nie można nie wspomnieć o fakcie, że istniejące szkodliwe programy są uaktualniane i stają się coraz bardziej złożone. Gangi hakerów usprawniają swoje dzieła, o czym świadczą następujące zjawiska: dodanie nowej funkcji do trojana ZeuS zapewniającej mu całkowitą kontrolę nad zainfekowanym komputerem, rozwój fałszywych programów antywirusowych oraz Sality, jednego z najbardziej rozpowszechnionych wirusów.

Fałszywe programy antywirusowe, których wysyp zaobserwowaliśmy w angielskojęzycznym Internecie w zeszłym roku, nadal ewoluują. W przeciwieństwie do innych szkodliwych programów, które próbują ukryć swoją aktywność, fałszywe programy antywirusowe próbują zwrócić uwagę użytkowników. Co więcej, twórcy tych fałszywych programów antywirusowych wykorzystują szereg różnych taktyk w celu zmylenia użytkowników Internetu. Niektóre z takich taktyk polegają na kopiowaniu interfejsów wykorzystywanych przez znanych producentów rozwiązań antywirusowych, takich jak Avira, AVG i Kaspersky Lab. Niestety, im lepsza kopia, tym większe szanse, że nawet doświadczony użytkownik chwyci przynętę cyberprzestępców. Do niedawna prawdziwe programy antywirusowe można było odróżnić od fałszywych przede wszystkim dwiema cechami: wielojęzycznością i wsparciem technicznym. Jednak w pierwszych miesiącach 2010 roku odnotowaliśmy kilka przypadków zlokalizowania programów antywirusowych na inne języki. Częściej spotykaliśmy się również z sytuacjami, gdy programy antywirusowe "twierdziły", że oferują pomoc techniczną. Obecnie toczy się poważna wojna przeciwko fałszywym programom antywirusowym, w której priorytetem jest edukacja użytkowników. W rezultacie, cyberprzestępcy musieli wymyślić nowe metody przekonania użytkowników do zakupu ich fałszywych programów.

W pierwszym kwartale cyberprzestępcy wykorzystywali niemal każde nagłośnione wydarzenie, aby zwabić jak najwięcej potencjalnych ofiar na zainfekowane strony internetowe, nie pozostawiając żadnych wątpliwości co do ich braku zasad moralnych. Wypuszczenie iPada, premiera kinowego hitu Avatar , trzęsienie ziemi na Haiti oraz ataki terrorystyczne w Moskwie to tylko kilka tematów, na których żerowali pozbawieni skrupułów cyberprzestępcy. Twórcy wirusów stosowali szereg różnych metod w celu rozprzestrzeniania odsyłaczy do swoich "dzieł": na przykład tworzyli i wykorzystywali fałszywe konta na popularnych portalach społecznościowych, aby rozsyłać z nich wiadomości, organizowali wysyłki spamowe i zatruwali wyszukiwarki. Zatruwanie wyszukiwarek, zwane również jako Black SEO, opiera się na technikach stosowanych do promowania tematycznych stron internetowych. Jeżeli przeglądarki zostaną zhakowane, zwykłe zapytanie użytkownika spowoduje wyświetlenie wyników w postaci odsyłaczy do zainfekowanych stron internetowych. W przeważającej większości przypadków, komputery użytkowników będą próbowały pobrać z takich stron fałszywe programy antywirusowe.

W grudniu 2009 roku doczekaliśmy się wprowadzenia o wiele surowszych przepisów dotyczących rejestracji adresów internetowych z użyciem domeny ‘.cn’. Reguły rejestracji nowych domen CNNIC (China Internet Network Information Center) wymagają teraz pisemnego oświadczenia, w którym wnioskodawca musi przestawić weryfikowalne dane identyfikacyjne oraz numer zezwolenia na prowadzenie działalności handlowej. Strony, które zostały już zarejestrowane, podlegają teraz kontroli i jeżeli właściciel nie przedstawi wymaganych dokumentów, strona zostanie zdjęta. W celu usprawnienia procesu kontroli domen ‘.cn’, rejestracja za pośrednictwem serwisów zagranicznych jest teraz zakazana. Jak pokazują wyniki z pierwszego kwartału 2010 roku, te surowsze zasady miały pozytywny wpływ na sytuację: nastąpił znaczący spadek odsetka szkodliwej zawartości pochodzącej z tej części Internetu. Zjawiskiem tym zajmiemy się w sekcji dotyczącej geograficznego rozkładu zagrożeń w dalszej części tego raportu.

Ogólnie, w minionym kwartale miało miejsce wiele zdarzeń, które podkreśliły znaczenie ochrony przed szkodliwym kodem zarówno dla użytkowników domowych, jak i korporacyjnych. Znamienne jest to, że ataki na systemy korporacyjne wykorzystywały w zasadzie te same taktyki i szkodliwy kod co ataki na użytkowników domowych. Gangi hakerów tworzą i udoskonalają uniwersalne szkodliwe oprogramowanie, które można zastosować do wielu różnych celów - doskonałym przykładem może tu być ewolucja trojana Zbot, zwanego również ZeuSem, oraz nieustannie zmieniające się pakiety exploitów.

Najczęściej atakowane państwa

Przyjrzyjmy się liście państw, w których użytkownicy najczęściej padali ofiarą cyberataków. Jak pokazują nasze kwartalne raporty, statystyki te są dość stabilne, ostatnio jednak pojawiło się kilka zmian.

1 kwartał 2010 4 kwartał 2009
1 Chiny 18,05% 1 Chiny 31,07%
2 Federacja Rosyjska 13,18% 2 Federacja Rosyjska 9,82%
3 Indie 8,52% 3 Indie 6,19%
4 Stany Zjednoczone 5,25% 4 Stany Zjednoczone 4,60%
5 Wietnam 3,73% 5 Niemcy 3,08%
6 Niemcy 3,01% 6 Wietnam 3,07%
7 Malezja 2,69% 7 Ukraina 2,20%
8 Francja 2,38% 8 Meksyk 2,17%
9 Ukraina 2,34% 9 Malezja 2,05%
10 Hiszpania 2,30% 10 Hiszpania 1,90%
11 Włochy 2,24% 11 Francja 1,74%
12 Meksyk 2,09% 12 Turcja 1,69%
13 Arabia Saudyjska 1,99% 13 Egipt 1,62%
14 Turcja 1,92% 14 Włochy 1,62%
15 Wielka Brytania 1,60% 15 Brazylia 1,43%
16 Brazylia 1,57% 16 Wielka Brytania 1,31%
17 Egipt 1,48% 17 Arabia Saudyjska 1,24%
18 Tajlandia 1,30% 18 Polska 1,04%
19 Filipiny 1,11% 19 Tajlandia 1,03%
20 Indonezja 1,08% 20 Bangladesz 0,99%
  Inne 22,16%   Inne 20,12%

Rozkład ataków według państw - pierwszy kwartał 2010 oraz 4 kwartał 2009

W pierwszym kwartale 2010 r. odnotowaliśmy 327 598 028 prób zainfekowania komputerów użytkowników w różnych państwach na całym świecie. Oznacza to 26,8% wzrost w porównaniu z czwartym kwartałem 2009 roku. Ranking państw zmienił się tylko nieznacznie, jednak odsetek ataków na chińskich użytkowników spadł o 13%. Jednak biorąc pod uwagę fakt, że całkowita liczba ataków wzrosła o ponad 25%, można powiedzieć, że cyberprzestępcy rzadko wybierali inne cele.

Głównymi celami cyberprzestępców byli użytkownicy z krajów rozwiniętych lub aktywnie rozwijających się. Na kontynentach amerykańskich główny cel stanowiły Stany Zjednoczone i Meksyk, podczas gdy europejskie cele obejmowały Niemcy, Francję, Włochy, Hiszpanię i Wielką Brytanię. Z kolei w Europie Wschodniej atakowani byli głównie użytkownicy z Rosji i Ukrainy. Państwa te już teraz posiadają najbardziej rozwinięte systemy bankowości internetowej i handlu elektronicznego. Dlatego atakując użytkowników z tych krajów, cyberprzestępcy mają znacznie większe szanse, że uda im się ukraść pieniądze użytkowników zainfekowanych komputerów przy użyciu przechwyconych z ich maszyn danych osobowych. Jedna czwarta najczęściej atakowanych państw jest zlokalizowana w Azji, gdzie Internet nadal szybko się rozwija. Niestety, prawodawcy i organy ścigania nie zawsze są w stanie dotrzymać tempa, w jakim rozwija się Internet - jeżeli dodamy do tego pogarszające się warunki ekonomiczne, powstanie idealne podłoże dla rozwoju cyberprzestępczości.

Zagrożenia internetowe

Internetowe szkodliwe oprogramowanie

Analizę rozpoczniemy od listy 10 najbardziej rozpowszechnionych rodzin szkodliwego oprogramowania w Internecie.

Nazwa Udział procentowy
1 Iframer 15,90%
2 Generic 7,28%
3 Hexzone 4,57%
4 Agent 4,54%
5 Redirector 4,50%
6 Zwangi 4,35%
7 Popupper 3,08%
8 Iframe 2,63%
9 Boran 2,10%
10 Pakes 1,73%
11 Inne 49,32%

Tabela 1. 10 najbardziej rozpowszechnionych rodzin szkodliwego oprogramowania w Internecie w pierwszym kwartale 2010 roku.

Większość z tych dziesięciu programów to rodziny wykorzystujące kod lub skrypty HTML, które cyberprzestępcy umieszczają na legalnych stronach internetowych. Do takich rodzin należy Iframer, Iframe, Redirector oraz Generic, z których większość jest wykrywana heurystycznie. Główną koncepcją stojącą za takimi programami jest przekierowywanie użytkowników na cyberprzestępczą stronę zainfekowaną exploitami bez wzbudzania podejrzeń użytkowników. Do osadzania tego rodzaju kodu często wykorzystywane są szkodliwe programy. Na trzecim miejscu znajduje się rodzina o interesującej nazwie ‘Hexzone’, która w rzeczywistości nie ma nic wspólnego z szesnastkowym systemem kojarzonym z systemami komputerowymi; powód jest o wiele bardziej przyziemny. Główną funkcją takiego szkodliwego oprogramowania jest wyświetlanie okna zawierającego treści pornograficzne na dole okna przeglądarki. Użytkownik zostaje poinformowany, że okno to można zamknąć tylko wysyłając wiadomość tekstową na krótki numer, który jest różny dla poszczególnych państw. W podobny sposób działają szkodniki z rodziny Popupper. Zasadniczo są to dokumenty HTML wyświetlające natarczywe komunikaty sugerujące użytkownikowi, aby wysłał SMS-a na krótki numer oraz skorzystał z pewnej usługi. Kolejne dwie rodziny - Zwangi i Boran - łączą różne programy adware. Programy te pozwalają cyberprzestępcom zarobić trochę pieniędzy na szarym rynku, ponieważ bardzo trudno jest udowodnić, że tego rodzaju oprogramowanie narusza jakieś przepisy. Destrukcyjne działanie programów adware nie jest na pierwszy rzut oka oczywiste - gromadzą one dane o preferencjach użytkownika i wyświetlają reklamy - niekiedy jednak stosują w samoobronie taktyki hakerskie. Przykładem może być Boran instalujący sterownik, który działa bardzo podobnie do rootkita: interpretuje funkcje jądra systemu operacyjnego, a przez to utrudnia usuwanie jego głównego komponentu.

Luki w zabezpieczeniach

W pierwszym kwartale 2010 roku Kaspersky Lab wykrył 12 111 862 niezałatanych luk w zabezpieczeniach na komputerach użytkowników - o 6,9% więcej niż w zeszłym kwartale. Coraz szybciej wykrywane są nowe luki w zabezpieczeniach komputerowych, wzrasta również tempo publikowania łat, jednak nie wszyscy użytkownicy zadają sobie trud ich instalowania. W większości przypadków, na jednym komputerze można znaleźć więcej niż jedną niezalataną lukę.

Tabela 2 zawiera 20 najpopularniejszych luk w zabezpieczeniach oprogramowania wykrytych na komputerze użytkowników w pierwszych trzech miesiącach 2010 roku.

Secunia
ID
unikatowy
identyfikator
luki
Zmiana
pozycji
Nazwa
luki
i odsyłacz
do jej
opisu
Co mogą
zrobić
szkodliwi
użytkownicy
w systemie
po wykorzystaniu
danej
luki
Odsetek
użytkowników
posiadający
systemu
z tą
luką
Data
ogło-
szenia
Poziom
zagrożenia
1 SA 35377 Bez zmian Microsoft Office Word - dwie luki Uzyskuje dostęp do systemu i wykonuje dowolny kod z przywilejami użytkownika lokalnego 28,62% 2009-
06-09
Wysoki
2 SA 37231 +6 Sun Java JDK / JRE - wiele luk Uzyskuje dostęp do systemu i wykonuje dowolny kod z przywilejami użytkownika lokalnego
  • ataki DoS na system zawierający luki w zabezpieczeniach
  • Uzyskiwanie dostępu do poufnych danych
  • Obchodzenie systemu bezpieczeństwa
28,15% 2009-
11-04
Wysoki
3 SA 38547 Nowość Adobe Flash Player Domain Sandbox Bypass Vulnerability Obchodzenie systemu bezpieczeństwa 23,37% 2010-
02-12
Umiarkowanie krytyczny
4 SA 34572 +1 Microsoft PowerPoint OutlineTextRefAtom Parsing Vulnerability Uzyskuje dostęp do systemu i wykonuje dowolny kod z przywilejami użytkownika lokalnegos 21,91% 2009-
04-03
Wysoki
5 SA 38551 Nowość Adobe Reader/Acrobat - dwie luki
  • Uzyskuje dostęp do systemu i wykonuje dowolny kod z przywilejami użytkownika lokalnego
  • Obchodzenie system bezpieczeństwa
17,87% 2007-
01-09
Wysoki
6 SA 31744 +1 Microsoft Office OneNote URI Handling Vulnerability Uzyskuje dostęp do systemu i wykonuje dowolny kod z przywilejami użytkownika lokalnego 17,57% 2008-
09-09
Wysoki
7 SA 35364 -5 Microsoft Excel - wiele luk Uzyskuje dostęp do systemu i wykonuje dowolny kod z przywilejami użytkownika lokalnego 17,55% 2009-
06-09
Wysoki
8 SA 38805 Nowość Microsoft Office Excel - wiele luk Uzyskuje dostęp do systemu i wykonuje dowolny kod z przywilejami użytkownika lokalnego 16,65% 2010-03-09 Wysoki
9 SA 37690 Nowość Adobe Reader/Acrobat - wiele luk
  • Uzyskuje dostęp do systemu i wykonuje dowolny kod z przywilejami użytkownika lokalnego
  • Cross-site scripting
15,27% 2010-
01-14
Wysoce krytyczny
10 SA 29320 -1 Microsoft Outlook "mailto:" URI Handling Vulnerability Uzyskuje dostęp do systemu i wykonuje dowolny kod z przywilejami użytkownika lokalnego 14.98% 2009-
06-10
Wysoki

Tabela 2. 10 luk w zabezpieczeniach najczęściej wykrywanych na komputerach użytkowników

Sześć z 10 najczęściej wykrywanych luk w zabezpieczeniach dotyczyło produktów Microsoftu, trzy zostały znalezione w produktach Adobe, natomiast jedna w programie firmy Sun Microsystems, teraz Oracle. W naszym ostatnim raporcie pojawiła się tylko jedna nowa luka; jednak tym razem mamy cztery nowe luki w zabezpieczeniach, a daty ich ogłoszenia po raz kolejny pokazują, że użytkownicy nie śpieszą się z instalacją łat. Na liście 10 najczęściej wykrywanych luk w zabezpieczeniach nadal znajdują się luki, o których poinformowano ponad rok temu.

Na co pozwalają te luki cyberprzestępcom? Dziewięć na dziesięć luk daje cyberprzestępcom możliwość pełnego dostępu do systemu. To oznacza, że jeżeli komputer nie jest chroniony programem antywirusowym, cybeprzestępca może zrobić na nim wszystko, co tylko zechce. Exploity na wymienione wyżej luki już teraz krążą na wolności. Po raz kolejny podkreśla to potrzebę stosowania dobrego rozwiązania antywirusowego oraz znaczenie natychmiastowych aktualizacji dla wszelkiego rodzaju oprogramowania, niezależnie od tego, czy są to systemy operacyjne, przeglądarki internetowe, programy do odczytu dokumentów PDF, odtwarzacze multimediów itd.

Exploity

Przyjrzyjmy się teraz exploitom wykorzystywanym przez cyberprzestępców w pierwszym kwartale 2010 r.


10 najbardziej rozpowszechnionych rodzin exploitów w Internecie

Wyraźnymi liderami są exploity wykorzystujące luki w zabezpieczeniach programów Adobe przeznaczonych do przeglądania dokumentów PDF. Rodziny Pdfka i Pidief stanowiły razem prawie połowę (47,5%) wszystkich wykrytych exploitów. Pliki te są dokumentami PDF zawierającymi skrypt Javascript, który pobiera, uruchamia i wykonuje inne programy bez wiedzy czy zgody użytkownika.

Kaspersky Lab wykrył więcej niezałatanych luk w zabezpieczeniach produktów Microsoftu niż w programach firmy Adobe, jednak w przypadku exploitów mamy do czynienia z odwrotną sytuacją. Statystycznie, szkodliwi użytkownicy poszukują i wykorzystują luki w zabezpieczeniach produktów firmy Adobe znacznie częściej niż w przypadku programów innych producentów - łącznie z Microsoftem. Adobe jest głównym celem twórców wirusów, ponieważ produkty tej firmy są bardzo popularne oraz działają na wielu różnych platformach.

O exploicie Aurora (7,58%) opinia publiczna dowiedziała się w styczniu tego roku - wydarzenie to nie uszło uwadze cyberprzestępców. Microsoft sporo spóźnił się z publikacją tej łaty, i tylko najleniwsi hakerzy nie skorzystali z możliwości wykorzystania tej luki, zanim została usunięta.

Niepokojąca jest historia rodziny exploitów CVE-2010-0806, ponieważ jej rozpowszechnienie wiąże się z nazbyt szczegółowym opisem luki opublikowanym przez pracownika firmy z branży bezpieczeństwa IT. Pracownik ten ujawnił domenę, z której przeprowadzane były ataki, jak również nazwę plików wykorzystywanych w atakach (notes.exe and svohost.exe). Naturalnie, ujawnienie pełnych szczegółów dotyczących tego ataku umożliwiło ekspertom uzyskanie próbek programu i stworzenie sygnatur. Z drugiej strony, takie informacje mogą wpaść w ręce cyberprzestępców. W branży istnieje niepisana zasada, do której eksperci na ogół stosują się: jeżeli w domenie znajdują się aktywne zagrożenia, należy ukryć część nazwy domeny. Niestety, opublikowane informacje były wystarczająco szczegółowe, aby umożliwić szybkie stworzenie exploita PoC Metasploit, który został szeroko rozpowszechniony za pośrednictwem MS Internet Explorera w wersji 6 i 7.

Interesujące jest to, że wśród najpopularniejszych exploitów znalazła się rodzina Smid. Programy Smid mogą być uruchomione na wielu różnych platformach oraz wykorzystać lukę w zabezpieczeniach Sun Microsystems Java (CVE-2009-3867). Na przykład, wariant Exploit.OSX.Smid.b działa w systemie Windows, MacOS oraz systemach operacyjnych *nix oraz generuje odsyłacz do zagrożenia w zależności od rodzaju wykorzystywanego system operacyjnego. Następnie, po wywołaniu funkcji ‘getSoundbank’, odsyłacz ten jest przesyłany jako wymagany parametr. Rezultatem jest przepełnienie bufora oraz wykonanie kodu powłoki. W przyszłości możemy spodziewać się częstszego tworzenia zagrożeń wieloplatformowych przez szkodliwych użytkowników.

Należy zauważyć, że bezpieczeństwo przeglądarki jest tylko jednym z kryteriów bezpieczeństwa internetowego, niekoniecznie tym najważniejszym. Do przeprowadzenia ataku cyberprzestępcy wykorzystają dowolną przeglądarkę - nawet taką, która nie posiada żadnych luk w swoim kodzie - na przykład poprzez wykorzystanie luk w zabezpieczeniach odtwarzaczy multimedialnych, programach do przeglądania dokumentów PDF oraz dodatkach do przeglądarki. Problem luk w dodatkach nadal jest krytyczny i nie może zostać rozwiązany przez samych producentów przeglądarek. Jeżeli posiadasz na swoim komputerze odtwarzacz Flash lub program do przeglądania dokumentów PDF zawierający luki, wtedy nie ma znaczenia, jakiej przeglądarki używasz, Twój komputer i tak będzie podatny na infekcje.

Trzeba pamiętać, że podstawowym sposobem ochrony komputerów użytkowników przed exploitami jest instalowanie wszystkich łat natychmiast po ich opublikowaniu. Dodatkową ochronę dostarczają wbudowane w przeglądarki filtry, których celem jest blokowanie phishingu oraz zainfekowanych stron internetowych (Mozilla Firefox 3.5, Internet Explorer 8.0 oraz Chrome 2.0). Filtry te uniemożliwiają użytkownikom odwiedzanie zainfekowanych stron internetowych, które zawierają exploity dla znanych lub nieznanych luk w zabezpieczeniach lub które wykorzystują metody socjotechniki w celu kradzieży danych osobistych. W celu uzyskania niezawodnej ochrony użytkownicy powinni zainstalować i uruchomić produkt antywirusowy, który oferuje regularne aktualizacje antywirusowych baz danych. Istotne jest to, aby program antywirusowy skanował ruch internetowy.

Geografia zagrożeń

W ostatnich latach Chiny stały się istną fabryką szkodliwych programów, wypuszczając ogromne ilości szkodliwego kodu. Naturalnie, "produkty" tej fabryki często znajdowane są również na serwerach zlokalizowanych w samym Celestial Empire - co tłumaczy, dlaczego Chiny tak długo prowadziły pod względem liczby zainfekowanych serwerów. Przyjrzyjmy się teraz liście 20 państw z największą liczbą serwerów zawierających szkodliwe programy w czwartym kwartale 2009 roku i pierwszym kwartale 2010 roku.

1 kwartał 2010 4 kwartał 2009
1 Stany Zjednoczone 27,57% 1 Chiny 32,80%
2 Federacja Rosyjska 22,59% 2 Stany Zjednoczone 25,03%
3 China 12,84% 3 Holandia 11,73%
4 Holandia 8,28% 4 Federacja Rosyjska 7,97%
5 Hiszpania 6,83% 5 Niemcy 3,49%
6 Niemcy 6,78% 6 Szwecja 2,75%
7 Wielka Brytania 3,29% 7 Wielka Brytania 2,39%
8 Filipiny 1,60% 8 Filipiny 2,02%
9 Ukraina 1,35% 9 Kanada 1,70%
10 Kanada 1,29% 10 Francja 1,50%
11 Szwecja 0,95% 11 Izrael 1,06%
12 Francja 0,80% 12 Hiszpania 0,87%
13 Turcja 0,72% 13 Ukraina 0,72%
14 Australia 0,48% 14 Turcja 0,53%
15 Mołdawia 0,42% 15 Luksemburg 0,46%
16 Łotwa 0,31% 16 Australia 0,43%
17 Republika Czeska 0,31% 17 Korea Południowa 0,42%
18 Luksemburg 0,26% 18 Tajwan 0,41%
19 Malezja 0,26% 19 Łotwa 0,40%
20 Wietnam 0,25% 20 Hong Kong 0,33%
  Inne 2,80%   Inne 2,98%

Lista 20 państw z największą liczbą serwerów zawierających szkodliwy kod w pierwszym kwartale 2010 roku i czwartym kwartale 2009 roku

Chiny, które wcześniej znajdowały się na prowadzeniu, spadły na trzecie miejsce. Powodem tego spadku jest najwyraźniej noworoczny "podarek" dla cyberprzestępców od chińskich władz. Jest nim zaostrzenie polityki dotyczącej rejestracji adresów internetowych przy użyciu chińskiej domeny ‘.cn’. Niestety, chociaż chcielibyśmy, aby ostrzejsze procedury rejestracji w jednym państwie oznaczały mniejszą cyberprzestępczość, nie jest to takie proste. Szkodliwy kod "przeniósł się" do Stanów Zjednoczonych i Rosji, w szczególności do tego drugiego państwa. Wygląda na to, że cyberprzestępcy chętnie wykorzystują stosunkowo łagodne rosyjskie przepisy dotyczące rejestracji domen, co pokazują nie tylko dane statystyczne dotyczące hostingu szkodliwego kodu, ale również dane statystyczne odnoszące się do spamu i phishingu. Możemy mieć tylko nadzieję, że środki wprowadzone 1 kwietnia 2010 roku dotyczące rejestracji rosyjskiej domeny '.ru', które wymagają przedstawienia dokumentów potwierdzających tożsamość wnioskujących stron, będzie miało taki sam skutek jak w Chinach, a szkodliwe programy "wyemigrują" z rosyjskich serwerów.

Zagrożenia na komputerach użytkowników

Jeżeli zagrożenie zdoła obejść kilka warstw ochrony internetowej i pocztowej, przedostanie się do komputera użytkownika, gdzie powinien czekać na nie program antywirusowy. Zobaczmy, co wykrył program antywirusowy, i przeanalizujmy rozkład zachowań wykrytych zagrożeń zarówno w czwartym kwartale 2009 roku jak i pierwszym kwartale 2010 roku.


10 najczęściej wykrywanych zagrożeń na komputerach użytkowników w czwartym kwartale 2009 roku i pierwszym kwartale 2010 roku.

Na prowadzenie wysunęły się trojany, które w trzecim kwartale 2009 roku wypchnęły z tej pozycji robaki. Odsetek trojanów rośnie - pod koniec pierwszego kwartału stanowił 21,46% wszystkich wykrytych zagrożeń. Na drugim miejscu znajdują się programy adware - one również zajęły miejsce robaków po wprowadzeniu surowszych przepisów oraz zwróceniu większej uwagi na działalność cyberprzestępców. W tych okolicznościach popularne stają się zarówno legalne jak i na wpół legalne sposoby generowania dochodów przy użyciu narzędzi hakerskich. W końcu szkodliwi użytkownicy mogą użyć botnetu w celu zainstalowania całej gamy programów adware. Na przykład, popularny program AdWare.Win32.Funweb, który dodaje do różnych przeglądarek pasek narzędzi, jest coraz częściej rozprzestrzeniany za pośrednictwem masowych wysyłek spamowych rozsyłanych z botnetów.

Odsetek wirusów w pierwszym kwartale 2010 roku zmniejszył się o 0,23% i wyniósł 9,72%. Najpopularniejszym wirusem jest dzisiaj Virus.Win32.Sality. Co dwudziesty wykryty program był zainfekowany tym wirusem. Pod koniec kwartału Kaspersky Lab uzyskał nowy wariant - Virus.Win32.Sality.ag - który wykorzystuje całkowicie nowy algorytm deszyfrowania utrudniający wykrywanie tego wirusa. Naturalnie, w czasach, gdy wirusy są pisane w celach przestępczych, nic i nikt nie zostaje zainfekowany bez wyraźnej przyczyny. Wirus ten jest szczególnie groźny ze względu na jego funkcję backdoora, która pozwala szkodliwym użytkownikom na przejęcie całkowitej kontroli nad zainfekowanym komputerem.

Jak już wspominaliśmy wcześniej, robaki stanowią obecnie trzeci najbardziej rozpowszechniony rodzaj szkodliwego oprogramowania. W głównej mierze wynika to z epidemii robaka Autorun, która wydaje się nie słabnąć. W trzecim kwartale 2009 roku miał miejsce niewielki spadek liczby tych zagrożeń, niestety jednak trend ten nie utrzymał się. Obecnie prawie każde urządzenie, które można zsynchronizować z komputerem, może być wykorzystane przez robaka Autorun jako nośnik infekcji. Liczba takich urządzeń nieustannie wzrasta. Robak ten może również działać w systemach Android i Symbian. Odnotowaliśmy infekcję wielu różnych urządzeń, które dopiero zostaną oficjalnie opublikowane.

Języki skryptowe są stosunkowo proste, dlatego można je bez trudu wykorzystać do napisania dowolnego rodzaju kodu, łącznie ze szkodliwym. W ostatnim kwartale odsetek zagrożeń tworzonych w różnych językach skryptowych wzrósł o 2,3% i obejmował takie języki jak FlyStudio ('e' language) oraz VisualBasic, chociaż najpopularniejszy wśród szkodliwych użytkowników jest AutoIT.

W ostatnim kwartale ładowarka baterii USB okazała się najbardziej nietypowym nośnikiem zagrożeń. Wykorzystuje ona trojana o nazwie Arucer.dll, który działa w systemie operacyjnym Windows i przenika do komputer za pośrednictwem oprogramowania wykorzystywanego do wyświetlania procesu naładowania baterii. Po infekcji szkodliwe oprogramowanie łączy się z portem 777 i czeka na polecenie. Potrafi usuwać, pobierać i uruchamiać pliki. Po instalacji program konfiguruje rejestr w taki sposób, aby uruchamiał się automatycznie.

Botnety: w wirze walki

Walka między botnetami robi się coraz bardziej zacięta. Zagrożenie ze strony cyberprzestępczości w końcu zostało dostrzeżone przez społeczeństwo, w tym przez organy ścigania oraz inne organizacje. Wspólne wysiłki różnych agencji i firm, od twórców oprogramowania po różne instytucje rządowe, takie jak Amerykańska federalna komisja handlowa, już teraz doprowadziły do zdjęcia kilku ważnych centrów kontroli botnetów.

Na początku 2010 roku zamknięto kilka centrów kontroli botnetów, które zostały stworzone przy pomocy szkodliwego oprogramowania o nazwie Email-worm.Win32.Iksmas, znanego również jako Waledac. Botnet ten jest znany ze swoich możliwości wysyłania spamu - do 1,5 miliarda maili dziennie. Wiadomości te zwykle zawierają "gorące tematy" w nagłówkach oraz odnośniki do Iksmasa, botów polimorficznych po stronie serwera oraz technologii fast-flux. W rezultacie powstał ogromny i stosunkowo złożony botnet. 22 lutego stanowy sąd Wirginii wydał orzeczenie na korzyść Microsoftu i zezwolił na zawieszenie obsługi domen związanych z systemem kontroli botnetu. Wszystkie te domeny zostały zarejestrowane w strefie ‘.com’, a dostawcą usługi była firma VeriSign z siedzibą w Stanach Zjednoczonych. Z pewnością można tu mówić o zwycięstwie, jest to jednak tylko jedna wygrana bitwa w całej wojnie. Po zdjęciu niektórych centrów kontroli szkodliwi użytkownicy zaczęli ustanawiać centra kontroli botnetu w innych strefach domen i nadal wysyłali spam. Odosobnione działania przeciwko takiemu przeciwnikowi nie są tak skuteczne jak regularne operacje ukierunkowane na zamykanie centrów kontroli botnetów. To właśnie ta ciągła presja wywierana na cyberprzestępców powinna być kolejnym etapem walki z botnetami. Mamy nadzieję, że takie środki zostaną zastosowane w najbliższej przyszłości.

Oprócz likwidowania centrów kontroli istnieje również inny potencjalny sposób zwalczania botnetów - co prawda podejście to jest o wiele bardziej złożone z punktu widzenia organów ścigania, ale za to znacznie skuteczniejsze - należy łapać twórców wirusów. W Hiszpanii organy ścigania aresztowały właścicieli jednego z największych botnetów. Botnet Mariposa został stworzony przy pomocy robaka P2P-Worm.Win32.Palevo, który posiada szeroką funkcjonalność, obejmującą samodzielne rozprzestrzenianie się oraz możliwość wykonywania szkodliwych działań. Rozprzestrzenia się za pośrednictwem sieci P2P, komunikatorów internetowych oraz urządzeń takich jak aparaty fotograficzne czy pamięci masowe. Gdy szkodliwe oprogramowanie zainstaluje się na komputerze ofiary, cyberprzestępcy uzyskują całkowitą kontrolę nad jego maszyną i próbują pobrać inny moduł. Głównym celem było generowanie pieniędzy poprzez sprzedaż osobistych danych skradzionych właścicielom zainfekowanych komputerów, w szczególności nazw użytkowników i haseł do różnych serwisów internetowych, głównie bankowości online.

Z pomocą dostawców usług internetowych zamknięto centra kontroli botnetów i zidentyfikowano jednego z przestępców kierujących botnetem. W większości przypadków niezwykle trudno jest zidentyfikować źródło poleceń, jednak w przypadku Palevo okazało się to stosunkowo proste. Osoby kierujące botnetem nie posiadały głębszej wiedzy technicznej ani doświadczenia, co oznaczało, że jeden z właścicieli botnetu używał swojego komputera domowego.

Botnet Mariposa po raz kolejny pokazał nam, że cyberprzestępcy nie muszą posiadać zaawansowanej wiedzy technicznej. Obecnie wszystko można kupić i sprzedać, a botnety nie są wyjątkiem od tej reguły. Bez trudu można zakupić nawet usługi maskowania kodu źródłowego służącego do kontroli botnetu. Jak dotąd nie wprowadzono żadnego ograniczenia prawnego w stosunku do osób świadczących tego rodzaju usługi.

Aby odnieść zwycięstwo w wojnie przeciwko botnetom, niezbędne są działania proaktywne w zakresie prawodawstwa, w połączeniu z wykorzystaniem najnowszych technologii bezpieczeństwa IT. Nie można zapominać, że zdjęcie centrów kontroli botnetu nie oznacza osłabienia jego siły: jego "spuścizna" pozostaje. Zmiany, jakich dokona w systemie komputerowym szkodliwy program, nie znikną nagle - jeżeli żądania użytkownika zostaną przekierowane do zainfekowanych zasobów, nadal będą tak przekierowywane, a jeśli dysk twardy został otwarty do publicznego dostępu, już taki pozostanie. Co więcej, szkodliwi użytkownicy mogą odzyskać kontrolę nad wcześniej zainfekowanym komputerem. Tylko wszechstronne podejście do rozwiązywania problemu botnetu może uniemożliwić działania cyberprzestępców oraz zapewnić ochronę ich potencjalnym ofiarom.

Co dalej?

W następnych trzech miesiącach prawdopodobnie usłyszymy o procesach związanych z cyberprzestępczością. Na szczęście, organy ścigania z różnych państw zaczęły podejmować właściwe działania i odgrywać znaczącą rolę w aktywnym zmienianiu geografii cyberprzestępczości. Istotne jest to, że walka toczy się nie tylko na papierze, ale znajduje odzwierciedlenie również w życiu realnym. W dzisiejszych czasach cyberprzestępca nie musi być nadzwyczajnym programistą. Rozwijający się czarny rynek, na którym można kupić wszystko od szkodliwego oprogramowania po centra kontroli botnetu, w połączeniu z rosnącym problemem bezrobocia, może przyczynić się do dalszego wzrostu liczby cyberprzestępców działających na rozrastającym się rynku cyberprzestępczym. Nie ma wątpliwości, że trojany zaciekle walczą o kontrolę nad komputerami użytkowników. Szkodliwe oprogramowanie stanie się jeszcze bardziej proaktywne w zwalczaniu zabezpieczeń antywirusowych, podobnie jak inne zagrożenia. Możemy się również spodziewać, że cyberprzestępcy będą rozwijali i wykorzystywali ulepszone metody rozprzestrzeniania istniejących trojanów.

Źródło:
Kaspersky Lab