Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja zagrożeń IT w trzecim kwartale 2010 r.

Tagi:

Jurij Namiestnikow
Ekspert z Kaspersky Lab

security_bulletin_q3_2010.png

Przegląd

Trzeci kwartał 2010 roku obfitował w więcej wydarzeń niż poprzedni. W okresie tym zablokowano ponad 600 milionów prób zainfekowania komputerów użytkowników szkodliwymi lub potencjalnie niechcianymi programami, co stanowi 10% wzrost w stosunku do drugiego kwartału. Z wszystkich wykrytych obiektów ponad 534 milionów stanowiło szkodliwe programy. Ponadto, pojawiły się wysoce zaawansowane szkodliwe programy. Po raz pierwszy zidentyfikowaliśmy szkodnika, który w celu wniknięcia do systemu wykorzystywał nie jedną ale pięć luk w zabezpieczeniach jednocześnie. Wygląda na to, że twórcy tego programu wyposażyli go w mechanizm samodzielnego rozprzestrzeniania się, który radykalnie zwiększał jego szanse na zainfekowanie celu.

Twórcy szkodliwego oprogramowania aktywnie badali technologie antyhakerskie, co zaowocowało odkryciem nowych metod obchodzenia ochrony. Spowodowało to eskalację wyścigu zbrojeń między cyberprzestępcami a firmami zajmującymi się bezpieczeństwem IT, a w konsekwencji zmusiło branżę antywirusową do aktywnego tworzenia nowych technologii wykrywania i leczenia.

To z kolei zwiększyło rywalizację w segmentach „podziemia” stanowiących tradycyjny cel cyberprzestępców, uszczuplając ich zyski i popychając „profesjonalistów” do poszukiwania nowych źródeł nielegalnych dochodów. Wygląda na to, że społeczność cyberprzestępcza stopniowo staje się zorientowana na przeprowadzanie ukierunkowanych ataków na organizacje. Celem tych ataków jest zakłócenie pracy organizacji w celu szantażu lub szpiegostwa przemysłowego – jakiejkolwiek aktywności, która przyniesie duże zyski.

Cyberchuligani, cyberszantażyści, cyberszpiedzy – co dalej?

Jeden z najważniejszych incydentów trzeciego kwartału w branży bezpieczeństwa IT mógłby pochodzić ze sceny z filmu „Szklana Pułapka 4”. Mowa tu o ataku robaka Stuxnet.

Robak ten został po raz pierwszy wykryty na początku czerwca i od razu przyciągnął uwagę specjalistów ds. bezpieczeństwa IT z całego świata. Spowodowało to kilka czynników. Po pierwsze, komponenty robaka zawierały ważne certyfikaty cyfrowe. To oznaczało, że jego twórcy, przy pomocy nielegalnych środków, zdołali uzyskać prywatne klucze dla cyfrowych certyfikatów od znanych firm. Po drugie, robak rozprzestrzeniał się za pomocą luki zero-day w plikach LNK. Tyle można było zauważyć na pierwszy rzut oka. Jednak analitycy dokonali innych interesujących odkryć, między innymi to, że Stuxnet wykorzystywał trzy luki zero-day.

Analiza kodu robaka pokazała, że jego celem były środowiska Windows z określonymi programami, w tym SIMATIC, WinCC oraz PCS7 firmy Siemens AG. Żadne inne szkodliwe oprogramowanie nie atakowało wcześniej tych programów, które zwykle są wykorzystywane do zarządzania przemysłowymi systemami sterowania opartymi na SCADA. Ponadto, Stuxnet nie atakuje wszystkich systemów z WinCC, a jedynie te, które wykorzystują sterowniki programowalne Simatec i inwertery określonych producentów.

A zatem, co robi komponent robaka zawierający tę szkodliwą funkcję? Próbuje połączyć się z WinCC przy użyciu domyślnego hasła producenta. Instalowany przez robaka plik DLL przechwytuje niektóre funkcje systemowe, a następnie wpływa na operacje w systemie zarządzania instalacji przemysłowej. Najwyraźniej szkodnik ten został stworzony do przeprowadzania szpiegostwa przemysłowego, a nie kradzieży haseł, jednak teoretycznie może być wykorzystywany do dywersji. Dalsza analiza robaka wykazała, że jego głównym celem jest zmiana logiki w sterownikach programowalnych Simatec osadzonych w inwerterach wykorzystywanych do kontrolowania prędkości obrotów silników elektrycznych. Takie sterowniki programowalne działają z bardzo szybkimi silnikami, które posiadają ograniczone zastosowania.

Chociaż zebrane dane dają podstawę do pewnych założeń dotyczących celu ataku, jak na razie nie istnieją żadne twarde dowody. Podobnie jak w przypadku ataku Aurora, o którym pisaliśmy w raporcie za pierwszy kwartał, atak robaka Stuxnet jest atakiem ukierunkowanym, mimo że jego cel nadal pozostaje nieznany. Pozostaje pytanie: „Dlaczego?” Faktem jest, że organizacje będące celem takich ataków rzadko chwalą się nimi, ponieważ mogłoby to negatywnie wpłynąć na ich reputację. Według oficjalnych danych firmy Siemens, na początku września 2010 roku zostało zainfekowanych piętnaście systemów klienckich na całym świecie.

Niechęć organizacji do publicznego przyznawania się, że padły ofiarą ataków, utrudnia pracę firm antywirusowych. Aby móc skutecznie zwalczać ataki ukierunkowane, firmy antywirusowe muszą wiedzieć, w jaki sposób szkodliwe oprogramowanie zachowuje się w systemie, ponieważ w przypadku takich ataków metody wykrywania w oparciu o sygnatury są stosunkowo mało skuteczne. Po pierwsze, cyberprzestępcy mogą zawsze zmodyfikować szkodliwe oprogramowanie przy pomocy szyfrowania i zaciemniania w taki sposób, aby nie mogło być wykrywane przy użyciu samej sygnatury. Po drugie, firmy antywirusowe mogą nigdy nie zdobyć próbki szkodnika, co uniemożliwi stworzenie odpowiedniej sygnatury. Nie jest jednak możliwe całkowite ukrycie szkodliwej funkcji. Po tym jak robak lub trojan dotrze do swojego celu, zrobi dokładnie to, do czego został stworzony: dostarczy swoją szkodliwą funkcję. Właśnie wtedy firmy antywirusowe będą mogły wykryć szkodnika poprzez wykorzystanie analizy zachowania, najważniejszej metody wykrywania w przypadku ataków ukierunkowanych.

Wszystko, o czym pisaliśmy, świadczy o tym, że twórcy Stuxneta posiadają wysokie umiejętności. Stuxnet to robak, którego celem jest ingerencja w działanie sterowników programowalnych wykorzystywanych w dużych przedsiębiorstwach. Robak wykorzystuje cztery luki zero-day i zawiera rootkita podpisanego przy użyciu certyfikatów skradzionych Realtec Semiconductors i JMicron. W dalszej części artykułu omówimy szczegółowo te certyfikaty. Program, który jest tak złożony i pochłonął tak dużo pieniędzy, musiał zostać stworzony z myślą o dużym celu.

Certyfikaty cyfrowe a szkodliwe oprogramowanie

Cyfrowe certyfikaty i sygnatury to główne metody tworzenia zaufania w świecie cyfrowym. Sygnatury cyfrowe dla plików wykonywalnych zostały po raz pierwszy wykorzystane w systemie Windows NT: od tego czasu Microsoft aktywnie promuje wykorzystywanie sygnatur cyfrowych. Certyfikat cyfrowy potwierdza, że dany program jest legalny, i pozwala ustalić jego źródło.

Naturalnie, to czy plik jest podpisany czy nie, ma duże znaczenie dla firm antywirusowych. Pliki, które są podpisane przez zaufanego producenta, są uznawane za czyste. Technologia ta pozwala twórcom rozwiązań antywirusowych nie tylko zredukować liczbę fałszywych trafień do minimum, ale również efektywnie przydzielać zasoby podczas skanowania komputera w celu wykrycia infekcji.

Niestety, sygnatury cyfrowe dostarczają wielu problemów. Certyfikat może zostać „wycięty” z legalnie podpisanego pliku. Najczęściej „wycinane” są certyfikaty Microsoftu. Chwyt ten nie jest nowy. Na przykład w trzecim kwartale został on wykorzystany przez dystrybutorów Zbota, którzy „wycięli” certyfikat z legalnego pliku i przyłączyli go do komponentu Zbota. Na pierwszy rzut oka, takie pliki wydają się być legalne. Jest to jednak tylko pierwsze wrażenie. W celu podpisania pliku wykorzystano jego sumę hashowania, która jest unikatowa dla każdego obiektu. Gdy certyfikaty są w ten sposób „wycinane”, sumy hashowania pliku oraz sygnatura nie pasują już do siebie, przez co certyfikat jest nieważny. Dzięki temu można rozpoznać fałszywe certyfikaty. Cyberprzestępcy najczęściej próbują zmylić analityków wirusów i użytkowników, stosując certyfikat z legalnego pliku podpisanego przez znanego producenta. Takie sztuczki nie są rzadkością; dlatego ważne jest, aby rozwiązania antywirusowe sprawdzały nie tylko, czy istnieje certyfikat, ale również czy pasuje do pliku.

Druga sprawa jest o wiele bardziej złożona – cyberprzestępcy mogą zdobyć certyfikat cyfrowy zupełnie legalnie, podobnie jak każdy twórca oprogramowania, np. w celu oficjalnego stworzenia „oprogramowania do zdalnego zarządzania komputerami bez graficznego interfejsu”, które w istocie stanowi backdoora. Tego rodzaju „obrona” przed wykryciem jest najpopularniejsza wśród autorów oprogramowania adware, riskware oraz fałszywych programów antywirusowych. Po otrzymaniu niezbędnego klucza z centrum certyfikacji cyberprzestępcy przy niewielkim wysiłku mogą podpisać dowolny ze swoich tworów. Jednak taki scenariusz pozwala firmom antywirusowym dość łatwo wykryć te „czarne owce”, ponieważ mogą one wykryć wszystkie pliki wykorzystujące ten certyfikat.

Jak już wspominaliśmy, certyfikaty cyfrowe są wykorzystywane przez większość dużych firm rozwijających oprogramowanie. Informacje niezbędne do stworzenia podpisu cyfrowego są przechowywane na podłączonych do Internetu komputerach producentów. W zeszłym roku mogliśmy obserwować skutki zainfekowania stacji roboczych programistów wirusem koncepcyjnym Virus.Win32.Induc, który został zintegrowany z programami na wczesnych etapach łączenia i kompilacji kodu. W tym samym dniu, w którym narzędzia antywirusowe wykryły tego wirusa, wykryto również setki legalnych programów. Jeżeli chodzi o certyfikaty, sytuacja jest jeszcze gorsza. Zamknięty klucz jest w zasadzie plikiem, dlatego może zostać skradziony, tak jak każda własność wirtualna. Wykryte komponenty Stuxneta zostały podpisane przy użyciu certyfikatów firmy Realtec Semiconductors oraz JMicron. Nie wiadomo, w jaki sposób zamknięty klucz wpadł w ręce cyberprzestępców – można było tego dokonać na kilka sposobów. Cyberprzestępcy mogli kupić takie pliki od osób pracujących w tych firmach lub ukraść je przy użyciu backdoora lub podobnego szkodliwego programu. Obecnie kradzież certyfikatów jest jednym z kluczowych funkcji bardzo rozpowszechnionego trojana o nazwie Zbot (lub ZeuS).

Legalne podpisy to jeden z powodów, dla których programy antywirusowe tak długo nie potrafiły wykryć Stuxneta. Szkodliwe oprogramowanie podpisane ważnym certyfikatem może z łatwością obejść nawet współczesne mechanizmy ochrony wbudowane w system Windows 7. Dlatego jeżeli w systemie został zainstalowany podpisany szkodliwy sterownik lub komponent ActiveX, nie pojawi się żadne okno ostrzegające. Rosnąca popularność systemu Windows 7, który według statystyk Net Applications posiada około 16% udział w rynku, oraz stopniowy spadek popularności systemu Windows XP, powiększą problemy z certyfikatami cyfrowymi. Patrząc na obecne trendy, może to być jeden z największych problemów, jakie czekają nas w 2011 roku.

TDSS – nowy etap w ewolucji. Teraz również w systemach 64-bitowych

Nie można zapominać, że oprócz omówionych wyżej istnieją również inne sposoby obejścia zintegrowanych systemów ochrony. Poza metodami ochrony, o których już pisaliśmy, nowe wersje systemu Windows posiadają mechanizm ochrony przed instalowaniem niepodpisanych sterowników. Jednak twórcy Stuxneta zdołali obejść również ten system, uzyskując zamknięte klucze znanych firm oraz podpisując wszystkie komponenty rootkita. Twórcy wirusa, którzy stworzyli kod dla trojana TDSS, który nasi eksperci opisali w drugim kwartale tego roku, przyjęli inną taktykę.

W sierpniu wykryto nową wersję tego szkodliwego programu, która uzyskała nazwę TDL-4. Najbardziej interesującą innowacją jest to, że rootkit wykorzystywany do ukrywania szkodliwych działań trojana może z powodzeniem działać również na systemach 64-bitowych. Wcześniejsza wersja, TDL-3, infekowała fizyczne sterowniki dysków, co pozwalało na pobranie rootkita natychmiast po uruchomieniu systemu operacyjnego. Jednak infekowanie sterowników przy użyciu takiej metody powoduje zmianę sumy hashowania, przez co podpis cyfrowy nie pasuje już do pliku, co jest wykrywane przez narzędzie bezpieczeństwa osadzone w 64-bitowych wersjach systemu Windows.

Aby obejść ten mechanizm, nowa wersja trojana TDSS infekuje obszar MBR przy użyciu technologii podobnej do tej wykorzystywanej przez bootkita Sinowal. W tym przypadku, szkodliwy kod zaczyna wykonywać się, zanim jeszcze zostanie uruchomiony system operacyjny. Potrafi on zmienić parametry uruchamiania systemu, umożliwiając zarejestrowanie w systemie niepodpisanych sterowników. Program ładujący rootkita określa, w jakim systemie, 32- czy 64-bitowym, będzie działał szkodliwy program, zapisuje kod sterownika do pamięci i rejestruje go w systemie. Następnie system operacyjny zawierający szkodliwy kod zostaje uruchomiony. Rootkit nie modyfikuje obszarów rdzenia, które są chronione technologią PatchGuard zintegrowaną z systemem operacyjnym.

Nasze przewidywania okazały się słuszne – technologia infekcji i ukrywania stała się jeszcze bardziej zaawansowana, co z kolei wymagało dostosowania technologii wykrywania i leczenia dla takiego szkodliwego programu. Jeżeli szkodliwe programy i rozwiązania antywirusowe nadal będą konkurowały ze sobą na coraz to niższych poziomach systemu, istnieje duże prawdopodobieństwo, że nawet najśmielsze koncepcje infekowania BIOSu oraz hypervisorów będą wkrótce na porządku dziennym.

Zwalczanie nowych i wyrafinowanych szkodliwych programów to ciężkie zadanie dla firm antywirusowych wszystkich rozmiarów, dlatego oprócz głównej linii produktów Kaspersky Lab wydał nową wersję swojego darmowego narzędzia antyrootkitowego TDSSkiller, który między innymi wykrywa i usuwa najnowsze wersje TDSS. Narzędzie to stanowi uzupełnienie standardowych produktów bezpieczeństwa firmy Kaspersky Lab.

Hakerzy a prawo

W zeszłym roku opisywaliśmy działania cyberprzestępców z byłych Republik Radzieckich, wśród których szczególnie popularne było wyłudzanie pieniędzy przy pomocy tzw. „SMS-blockerów”. Metoda jest dość prosta: pobierany na komputer użytkownika program uniemożliwia działanie systemu operacyjnego lub przeglądarki. W celu usunięcia tego programu użytkownik musi wysłać SMS na krótki numer, co może go kosztować nawet do tysiąca rubli. Ze względu na ogromną liczbę ofiar Kaspersky Lab oraz kilka innych firm antywirusowych uruchomili specjalną usługę w celu udzielenia pomocy zainfekowanym użytkownikom.

 new window
Odsetek użytkowników KSN, których komputery zawierały próbki najbardziej rozpowszechnionych rodzin „SMS-blockerów”

Podczas gdy producenci rozwiązań antywirusowych zajmują się skutkami nielegalnych działań cyberprzestępców, cyberprzestępcami zajmują się organy ścigania; w trzecim kwartale 2010 roku aresztowano dużą grupę przestępczą zamieszaną w nielegalne wykorzystywanie „SMS-blockerów”. Pod koniec sierpnia 2010 roku w Moskwie aresztowano 10 osób w związku z tworzeniem tego typu programów. Według informacji dostarczonych przez Ministerstwo Spraw Wewnętrznych Federacji Rosyjskiej, nielegalne zyski uzyskane przez gang wynosiły około 500 milionów rubli.

Przestępcom wytoczono sprawę karną, jednak najważniejsze w tym wszystkim jest to, że oskarżeni będą sądzeni nie tylko na podstawie artykułu 273 kodeksu karnego Federacji Rosyjskiej, który zna każdy rosyjski haker i który rzadko prowadzi przestępców za kratki („Rozwój, wykorzystywanie i rozprzestrzenianie szkodliwych programów komputerowych”), ale również na podstawie artykułu 159 („Oszustwa”). Suma 500 milionów rubli wystarczy do zaklasyfikowania przestępstwa jako poważnej kradzieży, a oskarżeni w tej sprawie – jeżeli zostaną uznani za winnych – mogą dostać o wiele dotkliwszą karę.

Takie informacje z pewnością ucieszą specjalistów ds. bezpieczeństwa oraz przedstawicieli organów ścigania, którzy zwalczają cyberprzestępców. Nie wszystko jednak wygląda tak różowo. W zeszłym roku aresztowano organizatorów niespotykanie dużego ataku, którzy nielegalnie pobrali ponad 9 milionów dolarów z 2 100 bankomatów w ponad 280 krajach. Niektórzy członkowie tej grupy przestępczej zostali zatrzymani w Stanach Zjednoczonych i grozi im do 20 lat pozbawienia wolności oraz wysokie grzywny. A co stało się z organizatorem ataku, który był sądzony w Rosji? Dochodzenie wykazało, że jest on odpowiedzialny za włamanie się do RBS Worldpay i skopiowanie numerów kart kredytowych oraz numerów PIN w celu sfałszowania kart kredytowych.

Został skazany za poważną kradzież, nielegalny dostęp do informacji komputerowych oraz kradzież poufnych danych banku. Jednak najciekawsze w tym wszystkim jest to, że chociaż osoba ta została uznana za winną popełnienia wszystkich tych przestępstw, dostała jedynie wyrok w zawieszeniu na cztery lata. Okazuje się, że w Rosji można dostać wyrok w zawieszeniu za kradzież ogromnej sumy pieniędzy przez Internet. Prawdopodobnie tak samo potoczy się sprawa w przypadku osób zamieszanych w incydent SMS-blockerów, chociaż wciąż mamy nadzieję, że tak się jednak nie stanie.

We wspomnianej wyżej kradzieży główną rolę odegrały osoby zajmujące się „praniem” skradzionych pieniędzy: na ich nazwiska założono konta i to właśnie oni pobierali skradzione pieniądze z bankomatów. Osoby takie często określane są jako „muły pieniężne”. W ostatnim raporcie kwartalnym pisaliśmy, w jaki sposób cyberprzestępcy próbowali rekrutować muły za pośrednictwem liczącej 224 tysiące członków grupy na Facebooku.

Do końca września w Stanach Zjednoczonych aresztowano dwadzieścia osób – były to tzw. muły pieniężne, które prały pieniądze skradzione przy użyciu trojana Zbot (ZeuS). W tym samym czasie w Wielkiej Brytanii zatrzymano podobną grupę - również w związku z praniem brudnych pieniędzy. Cyberprzestępcy wykorzystywali informacje skradzione przy użyciu trojana ZeuS. W tym momencie warto zauważyć, że w pierwszych dniach października dystrybutorzy trojana ZeuS byli mniej aktywni.

 new window
Odsetek trojanów Zbot wykrywanych każdego dnia w porównaniu z całkowitą liczbą szkodliwych programów

Jeżeli organy ścigania nadal będą aresztowały gangi cyberprzestępcze, tak jak do tej pory, przed nami intrygująca jesień. Wielu początkujących hakerów będzie musiało się poważnie zastanowić, czy podążać wybraną przez siebie drogą kariery.

Statystyki

W dalszej części przyjrzymy się statystykom stworzonym w oparciu o wyniki działania różnych komponentów rozwiązania antywirusowego. Wszystkie dane statystyczne wykorzystane w tym raporcie zostały dostarczone przez system Kaspersky Security Network (KSN). Dzięki temu systemowi miliony użytkowników produktów firmy Kaspersky Lab z 213 krajów na całym świecie mogą nieustannie wysyłać informacje dotyczące szkodliwej aktywności.

Exploity i luki w zabezpieczeniach

Exploity

W trzecim kwartale 2010 roku Kaspersky Lab wykrył ponad 16,5 milionów exploitów. Liczba ta nie uwzględnia modułów z funkcjonalnością exploitów, które zostały osadzone w robakach oraz trojanach.

Przyjrzyjmy się exploitom wykorzystywanym przez cyberprzestępców w trzecim kwartale 2010 roku.

 new window
Rozkład wykrytych obiektów OAS, WAV oraz MAV według rodzin exploitów

Wyraźnych liderów stanowiły exploity wykryte przy użyciu metod heurystycznych, łącznie z technologiami proaktywnymi. Na trzecim i dziewiątym miejscu znalazły się exploity wykorzystujące luki w różnych wersjach programu Adobe Reader, które razem stanowiły 12,5% wszystkich wykrytych exploitów. Tak jak przypuszczaliśmy, exploity wykorzystujące lukę CVE-2010-1885 w Windows Help oraz Support Center szybko zyskały popularność wśród twórców wirusów. Exploity te znajdują się na czwartym i ósmym miejscu i stanowią 12% wszystkich exploitów. Wśród 10 najpopularniejszych exploitów znalazła się również rodzina wykorzystująca lukę w Javie - CVE-2010-0886 (4,8%).

Najbardziej interesujące są exploity wykorzystujące lukę CVE-2010-2568 w plikach LNK. Pionierem w tej grupie był Stuxnet. Luka ta została wykryta pod koniec lipca, natomiast 2 sierpnia Microsoft opublikował dla niej łatę. Dziura ta umożliwia łatwe rozprzestrzenianie szkodliwych programów za pośrednictwem pamięci przenośnych, w szczególności urządzeń USB. Do niedawna w celu rozprzestrzeniania szkodliwych programów poprzez pamięć przenośną cyberprzestępcy wykorzystywali specjalnie stworzone pliki autorun.inf. Obecne technologie antywirusowe bez trudu wykrywają takie pliki.

Luka w zabezpieczeniach plików LNK umożliwia uruchomienie plików wykonywalnych z urządzeń przenośnych bez udziału użytkownika. Cyberprzestępcy stworzyli w tym celu specjalny plik LNK, który po wyświetleniu w menedżerze plików, np. Microsoft Explorer, uruchamia szkodliwy kod. Komputer zostanie zainfekowany, jak tylko użytkownik otworzy folder w celu przejrzenia zawartości zainfekowanego urządzenia.

Jak tylko inni cyberprzestępcy dowiedzieli się o tej możliwości, również zaczęli ją aktywnie wykorzystywać. Exploita dla luki w zabezpieczeniach plików LNK wykorzystywały w szczególności programy Sality oraz Zbot (ZeuS). W trzecim kwartale ataki z użyciem exploita wykorzystującego lukę CVE-2010-2568 dotknęły 6% użytkowników systemu KSN.

 new window
Liczba wykrytych exploitów rozprzestrzenianych na nośnikach przenośnych za pośrednictwem
luki w zabezpieczeniach CVE-2010-2568

Luki w zabezpieczeniach

W trzecim kwartale Kaspersky Lab wykrył ponad 31,4 milionów niezałatanych, podatnych na ataki aplikacji i stron internetowych.

Poniższa tabela zawiera 10 najpowszechniejszych luk w zabezpieczeniach oprogramowania zidentyfikowanych na komputerach użytkowników.

Uiikato
wy identy
fikator
luki nadany
przez firmę
Secunia
Zmiana
w rankingu
Nazwa luki
oraz
odsyłacz do
jej opisu
Co szkodliwy
użytkownik może
zrobić po
wykorzystaniu
luki
Odsetek
użytkowników
posiadających
lukę
w swoim
systemie
Data
opublikowania
Poziom
zagrożenia
1 SA 37255 +1 Sun Java JDK / JRE Multiple Vulnerabilities
  • Uzyskać dostęp do system i wykonać losowy kod z przywilejami lokalnego użytkownika
  • Ujawnić informacje o systemie
  • Manipulować danymi
  • Przeprowadzić ataki DDoS na niezałatany system
  • Obejść system bezpieczeństwa
30,98% 12.02.
2010
Umiarkowanie krytyczny
2 SA 40026 Nowość Adobe Flash Player Multiple Vulnerabilities
  • Uzyskać dostęp do system i wykonać losowy kod z przywilejami lokalnego użytkownika
  • Cross-site scripting
26,97% 05.06.
2010
Niezwykle krytyczny
3 SA 40907 Nowość Adobe Flash Player Multiple Vulnerabilities Uzyskać dostęp do system i wykonać losowy kod z przywilejami lokalnego użytkownika 26,97% 11.08.
2010
Wysoce krytyczny
4 SA 31744 +1 Microsoft Office OneNote URI Handling Vulnerability Uzyskać dostęp do system i wykonać losowy kod z przywilejami lokalnego użytkownika 23,93% 2007-01-09 Wysoki
5 SA 38805 -4 Microsoft Office Excel Multiple Vulnerabilities Uzyskać dostęp do system i wykonać losowy kod z przywilejami lokalnego użytkownika 21,83% 09.06.2009 Wysoki
6 SA 35377 -3 Microsoft Office Word Two Vulnerabilities Uzyskać dostęp do system i wykonać losowy kod z przywilejami lokalnego użytkownika 20,18% 09.03.
2010
Wysoki
7 SA 40034 Nowość Adobe Reader/Acrobat Multiple Vulnerabilities Uzyskać dostęp do system i wykonać losowy kod z przywilejami lokalnego użytkownika 18,73% 05.01.
2010
Niezwykle krytyczny
8 SA 37690 +2 Adobe Reader/Acrobat Multiple Vulnerabilities
  • Uzyskać dostęp do system i wykonać losowy kod z przywilejami lokalnego użytkownika
  • Cross-site scripting
15,28% 15.12.
2010
Niezwykle krytyczny
9 SA 34572 -3 Microsoft PowerPoint OutlineTextRefAtom Parsing Vulnerability Uzyskać dostęp do system i wykonać losowy kod z przywilejami lokalnego użytkownika 11,80% 09.09.
2008
Wysoki
10 SA 40554 Nowość Microsoft Office Access ActiveX Controls Two Vulnerabilities Uzyskać dostęp do system i wykonać losowy kod z przywilejami lokalnego użytkownika 11,17% 11.08.
2010
Wysoce krytyczny

Uaktualniony ranking zawiera cztery nowe luki: dwie zostały wykryte w produktach Adobe Flash Player, jedna w Adobe Reader oraz jedna w produktach Microsoft Office. Ponieważ produkty firmy Microsoft i Adobe są bardzo popularne, aż dziewięć z dziesięciu najczęściej wykorzystywanych luk zostało wykrytych w programach tych producentów: pięć w produktach Microsoftu, cztery w programach firmy Adobe i jedna w programie Oracle Java.

Wszystkie luki z pierwszej dziesiątki pozwalają cyberprzestępcom na uzyskanie pełnego dostępu do systemu. Mówiąc ogólnie, wszystkie inne funkcje oferowane przez luki są traktowane jako drugorzędne.

Wśród 10 najpopularniejszych luk znajdują się trzy wykryte w 2009 roku i jedna zidentyfikowana w 2008 roku. Luka znajdująca się na pierwszym miejscu została wykryta w pierwszym kwartale 2010 roku. To oznacza, że użytkownicy są dość opieszali jeżeli chodzi o aktualizację swoich systemów.

Zagrożenia internetowe

Wszystkie statystyki zaprezentowane w tej sekcji opierają się na danych dostarczonych przez moduł ochrony WWW wchodzący w skład rozwiązań firmy Kaspersky Lab, który chroni komputery użytkowników już od momentu, gdy szkodliwy program jest pobierany z zainfekowanej strony.

Szkodliwe programy w Internecie

W trzecim kwartale 2010 roku zarejestrowaliśmy ponad 156 milionów prób zainfekowania użytkowników komputerów w różnych krajach na całym świecie.

 new window
Pięć najpopularniejszych rodzajów szkodliwego oprogramowania w Internecie

Ponad 60% obiektów wykrytych w Internecie stanowią odsyłacze umieszczone na czarnej liście. Lista ta zawiera strony internetowe, na których znajduje się różnego rodzaju szkodliwa zawartość. Zasoby te można podzielić na dwie kategorie. Pierwsza z nich obejmuje strony, które aktywnie stosują socjotechnikę w celu skłonienia nieświadomych użytkowników do zainstalowania na swoich komputerach szkodliwego oprogramowania. Do drugiej kategorii należą strony internetowe, które ukradkiem pobierają szkodliwe oprogramowanie na komputery użytkowników, a następnie uruchamiają je. W tym przypadku wykorzystywane są ataki drive-by download, które opierają się na wykorzystywaniu luk w zabezpieczeniach.

Drugie miejsce w rankingu zajmują trojany napisane w różnych językach skryptowych, takich jak JavaScript oraz VBS, jak również programy wykrywane jako Trojan.Script.Iframer, które umieszczają kod HTML przekierowujący użytkowników na strony zawierające szkodliwe oprogramowanie, łącznie z tymi, którzy odwiedzają legalne strony.

Piątą pozycję zajmuje oprogramowanie adware, które było najaktywniej rozprzestrzeniane w czterech państwach – Stanach Zjednoczonych (28%), Chinach (14%), Indiach (6%) i Wielkiej Brytanii (4%).

Szkodliwe oprogramowanie wykrywane w Internecie może działać na wielu różnych platformach – ich lista składa się z 74 wierszy. Jednak na szczególną uwagę zasługuje fakt, że na liście tej pojawił się system operacyjny Android. Powodem było wykrycie pierwszego trojana SMS dla telefonów komórkowych działających na platformie Android firmy Google. Program ten jest rozprzestrzeniany jako odtwarzacz, który należy pobrać w celu obejrzenia filmów dla dorosłych. Aby wykonać swoje szkodliwe zadanie, trojan ten musi mieć możliwość wysyłania SMS-ów. Podczas procesu instalacji system operacyjny wyświetla komunikat ostrzegawczy, informując użytkownika, że program ten wymaga funkcjonalności wysyłania SMS-ów. Jeżeli użytkownik zignoruje ten komunikat i będzie kontynuował instalację programu, trojan będzie robił to, do czego został stworzony, czyli wysyłał płatne SMS-y na numery o podwyższonej opłacie.

Geografia zagrożeń

Wybierając platformy do umieszczenia swojego szkodliwego oprogramowania, cyberprzestępcy preferują zhakowane legalne strony internetowe oraz odporne na ataki hakerów podejrzane strony hostingowe, które nie sprawdzają danych właściciela podczas procesu rejestracji ani nie zwracają uwagi na skargi użytkowników.

Zasoby internetowe zawierające szkodliwe oprogramowanie można znaleźć w niemal wszystkich państwach na całym świecie. Jednak aż 89% wykrytych platform wykorzystywanych do dystrybucji szkodliwego oprogramowania jest zlokalizowanych w 10 państwach.

 new window
10 państw z największą liczbą serwerów zawierających szkodliwy kod w trzecim kwartale 2010 roku

W trzecim kwartale 2010 roku lista państw z największą liczbą serwerów zawierających szkodliwy kod nie uległa zmianom w stosunku do poprzedniego kwartału. Pozycję lidera utrzymały Stany Zjednoczone, który zapewniły „schronienie” dla jednej czwartej całej szkodliwej zawartości. W ostatnich trzech miesiącach nastąpiły jedynie nieznaczne zmiany pozycji państw na liście. Jest to spowodowane brakiem poważniejszych działań ze strony organów zajmujących się „regulowaniem” Internetu, które wywarłyby zauważalny wpływ na ilość szkodliwego oprogramowania umieszczonego na serwerach w tych krajach. Stoi to w sprzeczności z postawą władz chińskich pod koniec 2009 roku.

Najczęściej atakowane kraje

Jak wiadomo, Internet nie posiada granic, z związku z czym z dowolnego miejsca na świecie możemy uzyskać dostęp do wszystkich zasobów internetowych. W efekcie, szkodliwe oprogramowanie rozprzestrzeniane za pośrednictwem Internetu może zainfekować dowolny komputer w dowolnym państwie.

Eksperci z Kaspersky Lab określili odsetek komputerów stanowiących część systemu KSN, na których zablokowano próby infekcji, w czasie gdy użytkownicy surfowali po Internecie. Uzyskane dane pokazują, że ryzyko infekcji różni się w zależności od kraju.

10 państw, w których użytkownicy byli najczęściej infekowani szkodliwym oprogramowaniem rozprzestrzenianym za pośrednictwem Internetu

Państwo Odsetek użytkowników,
których komputery
zostały zaatakowane
Federacja Rosyjska 52,77%
Białoruś 44,19%
Chiny 41,29%
Kazachstan 40,68%
Ukraina 39,16%
Stany Zjednoczone 38,13%
Indie 37,61%
Bangladesz 36,00%
Sri Lanka 35,95%
Arabia Saudyjska 33,99%

W trzecim kwartale 2010 roku większość prób infekcji zostało wykrytych w Rosji: 52,8% wszystkich komputerów w Rosji stanowiących część systemu KSN stanowiło cel ataków przeprowadzanych przy użyciu szkodliwego oprogramowania rozprzestrzenianego za pośrednictwem Internetu. Do uruchamiania tych ataków cyberprzestępcy najczęściej wykorzystywali exploity w postaci skryptów, które były wykrywane heurystycznie. Podobna sytuacja miała miejsce w znajdującej się na drugim miejscu Białorusi. W Chinach, podobnie jak w poprzednim kwartale, powszechnie przeprowadzane były ataki z wykorzystaniem luki Exploit.JS.Agent.bab. Jeżeli atak powiódł się i exploit został uruchomiony, na komputer użytkownika pobierany był cały zestaw szkodliwych programów, łącznie z rootkitem, downloaderem, programem o nazwie Backdoor.Win32.Hupigon oraz kilkoma programami atakującymi konta w popularnych grach.

Zagrożenia na komputerach użytkowników

Wszystkie statystyki prezentowane w tej sekcji opierają się na danych dostarczanych przez skaner on-acces. W trzecim kwartale 2010 roku rozwiązania firmy Kaspersky Lab zablokowały ponad 235 milionów prób zainfekowania komputerów stanowiących część systemu KSN.

Pięć najbardziej rozpowszechnionych zachowań według statystyk OAS

 new window

Rozkład szkodliwego oprogramowania według zachowania nie zmienił się znacząco w porównaniu z poprzednim kwartałem. Aktywność robaków Worm.Win32.FlyStudio.cu, Worm.Win32.Mabezat.b, Worm.Win32.VBNA.b oraz Worm.Win32.Autoit.xl, o których wspominaliśmy w poprzednim raporcie, zapewniła tym programom drugie miejsce. Nic istotnego nie wydarzyło się również w obozie trojanów downloaderów. Najpopularniejsze programy z tej kategorii zostały napisane w języku programowania Visual Basic i są wykrywane jako Trojan-Downloader.Win32.VB.eql.

Warto wspomnieć również o wykrywaniu przy pomocy technologii chmury. Technologie te są stosowane wtedy, gdy antywirusowe bazy firm z branży bezpieczeństwa IT nie zawierają ani tradycyjnych, ani heurystycznych sygnatur. Zamiast tego informacje o szkodliwym obiekcie znajdują się w chmurach firm antywirusowych. W takim przypadku wykryty obiekt otrzymuje nazwę DangerousObject.Multi.Genric. W trzecim kwartale 2010 roku w ten sposób zostały wykryte tak rozpowszechnione szkodliwe programy, jak Trojan.Win32.FlyStudio.acr, Worm.Win32.AutoRun.bhxu, Trojan.Win32.VBKrypt.mm oraz Worm.Win32.Stuxnet.b. W okresie tym technologia chmury zapewniła ochronę jednemu na sześciu użytkowników komputerów stanowiących część systemu KSN.

Wnioski

Wydarzenia, jakie miały miejsce w trzecim kwartale 2010 roku, sugerują, że stoimy u progu nowej ery w rozwoju cyberprzestępczości. Nasze prognozy dotyczące zeszłego roku, które przewidywały, że szkodliwe oprogramowanie będzie bardziej złożone, sprawdziły się.

Proces tworzenia cyberzagrożeń przeszedł wiele etapów, z których pierwszy miał miejsce jeszcze w latach dziewięćdziesiątych, gdy hakerzy tworzyli wirusy po to, żeby zdobyć uznanie wśród swoich rówieśników, a skanery wykorzystujące sygnatury w zupełności wystarczyły do zwalczania tych zagrożeń. Początek drugiego etapu stanowiło pojawienie się nowych technologii dystrybucji szkodliwego oprogramowania – za pośrednictwem poczty elektronicznej oraz Internetu. Był to katalizator zmian, jakie nastąpiły w rozwoju technologii ochrony – w erze masowych infekcji krytyczne znaczenie miał czas reakcji produktów antywirusowych. Na tym etapie twórcy wirusów skłonili się ku cyberprzestępczości. Tym, co ich motywowało, było uzyskanie korzyści finansowych, a wandalizm zastąpiła kradzież danych, szantaż i wyłudzenia – użytkownicy Internetu stali się głównym źródłem dochodów tej nowej klasy cyberprzestępców. W okresie cyberprzestępczości pojawiła się ogromna liczba wyrafinowanych zagrożeń tworzonych w celu kradzieży informacji finansowych oraz wirtualnej własności.

Obecnie obserwujemy kolejny etap w rozwoju wirusów. Znajdujemy się w okresie przejściowym – od cyberprzestępczości do cyberszpiegostwa – a ostatecznie do cyberterroryzmu. Masowe infekcje, tak jak to miało miejsce w przypadku robaków Klez, Medoom, Sasser, Kido oraz innych są zastępowane przez wysoce wyspecjalizowane, ukierunkowane ataki. Technologie wykorzystywane do przeprowadzania takich ukierunkowanych ataków, czy to w postaci zaawansowanego szkodliwego programu czy socjotechniki, stanowią receptę na sukces, która pozwala szkodliwemu oprogramowaniu obejść kilka warstw ochrony i uderzyć w ten jeden istotny cel. Zmieniła się nie tylko koncepcja - obecnie możemy zauważyć, że poziom stosowanej technologii jest znacznie wyższy.

Ataki ukierunkowane są bardzo trudne do wykrycia i sklasyfikowania. Najistotniejszymi czynnikami w zwalczaniu tego typu ataków jest poziom świadomości użytkownika oraz wiedza personelu firm z branży bezpieczeństwa IT. Użytkownik powinien rozumieć konieczność ochrony antywirusowej, nawet jeśli nieznacznie wpływa ona na prędkość przetwarzania, w przeciwnym razie wszelkie próby stworzenia skutecznej linii obrony przed atakami ukierunkowanymi są skazane na klęskę. Innym istotnym czynnikiem jest rozwijanie proaktywnych technologii przez producentów systemów bezpieczeństwa IT.

Celem Stuxneta nie była kradzież danych uwierzytelniających i dokumentów. Szkodnik ten został stworzony w celu zdobycia kontroli nad krytycznymi systemami przemysłowymi. Takiego szkodnika mogli stworzyć tylko dobrze opłacani profesjonaliści. Zdobycie intelektualnej własności dużych korporacji może stanowić bardzo atrakcyjną perspektywę dla przestępców, którzy wyłożą każde pieniądze i zasoby, które są potrzebne, aby sfinansować i przeprowadzić takie wirtualne ataki.

W najbliższej przyszłości spodziewamy się wzrostu liczby incydentów spowodowanych przez podpisane szkodliwe oprogramowanie. Zwiększenie się udziału platform 64-bitowych doprowadzi do stopniowych zmian w technologiach rootkit, a niedługo większość twórców wirusów skoncentruje się na tworzeniu bootkitów.

Źródło:
Kaspersky Lab