Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Zagrożenia listopada 2011 wg Kaspersky Lab

Tagi:

Siergiej Golowanow, ekspert z Kaspersky Lab
Aleksander Gostiew, ekspert z Kaspersky Lab
Denis Maslennikow, ekspert z Kaspersky Lab
Yurij Namiestnikow, ekspert z Kaspersky Lab


malware_top_20.png

Poniższe statystyki zostały stworzone w listopadzie na podstawie danych pochodzących z komputerów, na których zainstalowano produkty firmy Kaspersky Lab:

  • zablokowano 204 595 286 ataków sieciowych;
  • udaremniono 89 001 505 infekcji sieciowych;
  • na komputerach użytkowników wykryto i zneutralizowano 238 045 358 szkodliwych programów;
  • zarejestrowano 98 047 245 werdyktów heurystycznych.

Pod względem tradycyjnych zagrożeń listopad okazał się relatywnie spokojnym miesiącem. Autorzy szkodliwych programów skupili się na rozwijaniu istniejącej już technologii – dlatego w ciągu miesiąca nie pojawiły żadne znaczące szkodliwe programy.

Temat miesiąca: DUQU – śledztwo trwa

W centrum zainteresowania, zarówno ekspertów ds. bezpieczeństwa IT jak i mediów, pozostawał trojan Duqu, który został wykryty we wrześniu, natomiast rozgłos zyskał w październiku. Najważniejszą informacją było wykrycie sposobu przenikania tego szkodnika do systemów komputerowych. Udało się ustalić, że ataki odbywały się za pośrednictwem poczty elektronicznej i wykorzystywały dokument Microsoft Word, który zawierał exploita wykorzystującego nieznaną wcześniej lukę w Windowsie. Błąd w win32k.sys umożliwiał uruchomienie z pliku kodu posiadającego uprawnienia systemowe.

Jest to kolejne podobieństwo między Duqu a Stuxnetem, który również wykorzystywał nieznaną wcześniej lukę. Już w październiku pisaliśmy, że odkrycie droppera Duqu stanowi istotną wskazówkę mogącą pomóc rozwikłać tajemnicę pochodzenia tego trojana oraz że dropper ten prawdopodobnie zawiera exploita dla tego rodzaju luki.

Eksperci z Kaspersky Lab zdołali dotrzeć do pierwotnej wiadomości zawierającej droppera i exploita, która została wysłana ofierze w Sudanie. Szczegółowa analiza została opublikowana na blogu analityków. Kaspersky Lab natychmiast dodał sygnaturę dla tego exploita do baz wykorzystywanych przez swoje produkty.

Co istotne, przed początkiem grudnia Microsoft wciąż nie opublikował jeszcze łaty na tę lukę. To oznacza, że istnieje duże ryzyko wykorzystania jej podczas przeprowadzania ataków.

Oprócz analizy omawianej luki przyjrzeliśmy się bliżej kilku serwerom kontrolowanym przez Duqu w różnych państwach. Niestety, od opublikowania informacji o działaniach osób odpowiedzialnych za Duqu nie trzeba było długo czekać na ich reakcję. 20 października rozpoczęła się główna operacja czyszczenia sieci Duqu, w której usuwane były ślady z wszystkich zainfekowanych serwerów na świecie. Mimo to udało nam się zdobyć pewne informacje pomocne w naszym dochodzeniu.

Wszystkie posiadane przez nas informacje sugerują, że Duqu został stworzony w celu gromadzenia danych dotyczących działań określonych irańskich firm i agencji. Wiele wskazuje na to, że wczesne wersje Duqu istniały już od 2007-2008 roku i że robak Stuxnet został stworzony w oparciu o platformę, która została również wykorzystana podczas tworzenia Duqu. Niewykuczone, że Duqu i Stuxnet były rozwijane równolegle.

Nietypowa aktywność

Nowy arsenał sztuczek cyberprzestępców

Ostatnio wzrosła liczba incydentów charakteryzujących się wykorzystywaniem steganografii w szkodliwym oprogramowaniu.

We wrześniu wykorzystywane były pliki graficzne zawierające ukryte polecenia zarządzania botnetem SST stanowiącym modyfikację niesławnego TDSS/TDL.

W listopadzie podobną technikę wykryliśmy w rodzinie trojanów atakujących klientów brazylijskich banków. Był to pierwszy wykryty przypadek trojanów z Ameryki Łacińskiej wykorzystujących steganografię w obrazach.

Pliki zawierały zaszyfrowane szkodliwe oprogramowanie i dodatkowe dane. Posiadały rozszerzenie jpeg, ale ich struktura przypominała pliki bmp. Dalsza analiza wykazała, że cyberprzestępcy wykorzystywali szyfr blokowy.

Dzięki zastosowaniu tej techniki twórcy wirusów upiekli kilka pieczeni na jednym ogniu. Po pierwsze, może ona spowodować niewłaściwe działanie automatycznych systemów analizy szkodliwych programów: po analizie programy antywirusowe stwierdzą, że pliki są czyste, i z czasem dany odsyłacz zostanie całkowicie wyłączony ze sprawdzania. Po drugie, administratorzy stron, na których hostowane są zaszyfrowane szkodliwe pliki, nie będą w stanie zidentyfikować ich jako szkodliwe i nie będą z nimi nic robić. Po trzecie, niektórzy analitycy szkodliwego oprogramowania mogą nie mieć czasu ani niezbędnej wiedzy, aby sobie z nimi poradzić. Naturalnie, wszystko to działa na korzyść cyberprzestępców.

Mobilne zagrożenia: trojany SMS rozprzestrzeniają się na całym świecie

W połowie lipca pisaliśmy o „programach wysyłających SMS-y pornograficzne”, które dokonywały subskrypcji różnych usług w imieniu użytkowników, wysyłając wiadomości tekstowe na numery o podwyższonej opłacie. Tego rodzaju aplikacje atakowały w listopadzie użytkowników w Stanach Zjednoczonych, Malezji, Holandii, Wielkiej Brytanii, Kenii oraz Afryce Południowej.

W listopadzie wykryliśmy trojany SMS atakujące użytkowników w kilku krajach europejskich oraz w Kanadzie. Szkodliwe oprogramowanie wysyła cztery wiadomości tekstowe z zainfekowanych urządzeń na krótkie numery o podwyższonej opłacie. Ta konkretna rodzina programów jest wykrywana pod nazwą Trojan-SMS.AndroidOS.Foncy.

Według informacji publikowanych na forach, pierwsze infekcje miały miejsce na początku września. Ktoś pobrał aplikację, która ponoć monitorowała jego wiadomości SMS/MMS, połączenia telefoniczne i ruch internetowy. Po uruchomieniu program wyświetlał komunikat informujący, że aplikacja nie jest kompatybilna z wykorzystywaną przez użytkownika wersją systemu Android. Następnie, z konta ofiary znikały pieniądze.

Przed pojawieniem się rodziny Trojan-SMS.AndroidOS.Foncy trojany SMS atakowały głównie użytkowników z Rosji i Chin. tego rodzaju szkodniki stanowią obecnie jeden z najłatwiejszych sposobów zarabiania pieniędzy przez cyberprzestępców. Niestety, wygląda na to, że wykorzystywanie krótkich numerów przez szkodliwe oprogramowanie ma miejsce również w innych częściach świata i nic nie wskazuje na to, że proces ten niebawem skończy się.

Zagrożenia dla Mac OS

Użytkowników systemu Windows nie zaskoczą trojany i robaki umieszone na stronach internetowych, które są rozprzestrzeniane za pośrednictwem pirackich wersji popularnego oprogramowania. Jednak dla użytkowników Maków nadal jest to nowość. Pod koniec października został wykryty nowy szkodliwy program – który otrzymał następnie nazwę Backdoor.OSX.Miner – na trackerach torrentów rozprzestrzeniających pirackie wersje programów dla Maców. Program ten posiada wiele szkodliwych funkcji:

  1. Ustanawia zdalny dostęp do zainfekowanego komputera.
  2. Gromadzi informacje dotyczące historii wyszukiwania za pośrednictwem Safari.
  3. Wykonuje zrzuty zawartości ekranu.
  4. Kradnie plik wallet.dat z klientów BitCoin.
  5. Uruchamia program do generowania bitcoinów bez autoryzacji użytkownika.

Omawiany szkodnik rozprzestrzenia się za pośrednictwem wielu trackerów torrentów, łącznie z publicbt.com, openbittorrent.com oraz thepiratebay.org.



Przykład trackera torrentów rozprzestrzeniającego szkodnika Backdoor.OSX.Miner

Według naszych szacunków, do końca listopada Backdoor.OSX.Miner zainfekował dziesiątki systemów Mac.

Ataki na sieci państwowe i korporacyjne

Cyberprzestępcy złamali zabezpieczenia serwisu Steam

Listopadowy atak na serwis Steam firmy Valve przywodzi na myśl włamanie do sieci Sony PlayStation Network, jakie miało miejsce wcześniej tego roku. Komuś udało się złamać zabezpieczenia forum serwisu i wysłać wiadomości zawierające odsyłacze do filmów, które pokazywały, jak złamać gry. Valve wyłączył swój serwer, aby naprawić problem, po czym odkrył, że hakerzy włamali się również do głównej bazy danych serwisu Steam.

Baza ta zawierała informacje, takie jak nazwy użytkowników, hasła, dane dotyczące zakupu gier, adresy e-mail, adresy do wysłania faktur i zaszyfrowane informacje dotyczące karty kredytowej. p>

Valve musiał napisać do wszystkich użytkowników swojego serwisu wiadomość informującą o problemie. Według tej firmy, nie ma żadnego dowodu, że włamywacze przejęli zaszyfrowane numery kart kredytowych czy informacje osobiste, a firma „nadal prowadzi dochodzenie”. W dalszej treści wiadomości można było przeczytać, że nie ma również dowodu na to, że karty kredytowe zostały wykorzystane przez cyberprzestępców, jednak użytkownicy serwisu Steam zostali poproszeni o “monitorowanie aktywności związanej z ich kartami kredytowymi oraz wyciągów bankowych”.

Więcej problemów z certyfikatami

Mijający rok obfitował w incydenty, których ofiarą padły centra certyfikacji. Na pierwszy ogień poszedł Comodo, a potem poległa holenderska firma DigiNotar. Ponadto, wiele skradzionych certyfikatów zostało wykorzystanych w szkodliwych programach, łącznie z Duqu. Incydenty te poważnie podważyły zaufanie do certyfikatów i jak na razie nie widać rozwiązania tego problemu.

W listopadzie kolejne holenderskie centrum certyfikacji poinformowało, że zostało zaatakowane przez hakerów i musiało zaprzestać wydawania certyfikatów.

Włamanie wykryto na serwerze sieciowym KPN związanym z infrastrukturą kluczy publicznych (ang. PKI public key infrastructure). Atak miał miejsce cztery lata temu.

KPN, znany głównie ze swoich usług telekomunikacyjnych, zakupił Getronics cztery lata temu, nabywając podmiot certyfikacji podobny do DigiNotar. Podobnie jak DigiNotar, KPN może wydawać “specjalne” certyfikaty dla holenderskiego rządu i instytucji świadczących usługi publiczne. Wiele organizacji, które zostały dotknięte atakiem na DigiNotar, przeszło na certyfikaty KPN.

Jak na razie nie wiadomo, czy hakerzy włamali się do serwerów tego podmiotu certyfikacji. Kolejną kwestią, która wymaga wyjaśnienia, jest to, w jaki sposób narzędzie DDoS nie zostało wykryte przez cztery lata.

Co ciekawe, oświadczenie KPN można interpretować jako zapowiedź, że niezależnie od wszystkiego, aktualne certyfikaty pozostaną ważne.

Ofiarą jeszcze poważniejszego incydentu padła malezyjskie centrum certyfikacji Digicert (CA Digicert Malaysia). W efekcie, została usunięta z listy zaufanych instytucji przez wszystkich producentów przeglądarek oraz przez Microsoft. Te drastyczne środki zostały uznane za konieczne, po tym jak instytucja ta wydała 22 certyfikaty o słabych 512-bitowych kluczach oraz bez odpowiednich rozszerzeń lub informacji o odwołaniu.

Jerry Bryant z Microsoftu powiedział, że nie ma żadnego dowodu na to, że jakiekolwiek z tych certyfikatów zostały wydane w ramach oszustwa, jednak słabe klucze umożliwiały złamanie zabezpieczeń niektórych z nich.

Co ciekawe, w listopadzie wykryto wiele szkodliwych programów, które zostały podpisane przy pomocy certyfikatów wydanych przez malezyjski instytut ds. badań i rozwoju w zakresie rolnictwa (organ rządowy). Rzecznik przyznał, że certyfikat został wcześniej skradziony z tego instytutu. Rodzi się pytanie: jeżeli pracownicy instytutu wiedzieli o kradzieży, dlaczego certyfikat nie został od razu odwołany?

Rankingi listopadowe

10 najbardziej rozpowszechnionych zagrożeń w Internecie

1 Malicious URL 81,41% Bez zmian
2 Trojan.Script.Iframer 4,57% Bez zmian
3 Trojan.Script.Generic 1,67% +1
4 Trojan.Win32.Generic 0,74% -1
5 Trojan-Downloader.Script.Generic 0,61% +2
6 Trojan.JS.Popupper.aw 0,37% +3
7 Exploit.Script.Generic 0,36% -2
8 Trojan.JS.Agent.bwi 0,24% Nowość
9 Exploit.Java.CVE-2010-4452.a 0,21% Nowość
10 AdWare.Win32.Screensaver.i 0,16% Nowość


10 największych źródeł szkodliwego oprogramowania

1 Stany Zjednoczone 26,72% Bez zmian
2 Niemcy 14,52% +1
3 Rosja 12,58% -1
4 Holandia 11,67% Bez zmian
5 Ukraina 6,69% Bez zmian
6 Wyspy Dziewicze 3,99% +1
7 Chiny 3,64% +1
8 Rumunia 2,11% +2
9 Wielka Brytania 1,45% -3
10 Kanada 1,11% Nowość

10 najpopularniejszych hostów szkodliwego oprogramowania

1 adv-downloader.in 11,83%
2 72.51.44.90 10,69%
3 rm-download.in 7,22%
4 69.170.135.91 6,71%
5 livestaticforus.info 6,37%
6 rx-downloader.in 6,04%
7 youtubedownload.altervista.org 3,91%
8 origin-ics.clickpotato.tv 3,87%
9 tizerplatform.com 3,60%
10 advancedadv.net 3,46%

Top 10 stref szkodliwych domen

1 com 35 509 894
2 ru 14 482 880
3 info 5 891 872
4 co.in 5 221 964
5 in 4 197 274
6 net 3 493 864
7 org 1 971 202
8 me 1 953 502
9 tv 536 867
10 pl 384 305

10 państw o największym odsetku ataków na komputery użytkowników (na podstawie danych dostarczonych przez moduł Ochrona WWW)

1 Rosja 44,88% Bez zmian
2 Armenia 39,21% Bez zmian
3 Korea 38,03% +6
4 Kazachstan 36,86% +4
5 Białoruś 35,39% -2
6 Ukraina 33,43% Bez zmian
7 Azerbejdżan 33,14% +3
8 Sudan 28,76% -1
9 Uzbekistan 28,63% Nowość
10 Mołdawia 28,13% Nowość

Źródło:
Kaspersky Lab