Отчет компании Sophos о борьбе с угрозами безопасности за первое полугодие 2006 года

Редакция: июль 2006 года

Обзор первого полугодия

В настоящей редакции, пересматривающей наш отчет о борьбе с угрозами безопасности от декабря 2005 года, показано, как изменилась ситуация с угрозами безопасности за первое полугодие 2006 года и какие тенденции ожидаются во второй половине года.

Мы снова стали свидетелями того, как лица, ответственные за обеспечение защиты сетей организаций, столкнулись с новыми проблемами, требующими комплексного подхода для их решения. Требования, предъявляемые к ИТ, попрежнему остаются жесткими, поскольку киберпреступники изобретают новые способы использования уязвимых мест человека и компьютера для кражи и вымогательства денег у пользователей компьютеров и компаний.

Число вредоносных программ возросло, продолжается рост использования секретности и незаметности, что мы наблюдали в конце прошлого года. Шпионское ПО и фишинг остаются двумя крупнейшими угрозами, с которыми сейчас сталкиваются компании. Чтобы избежать привлечение излишнего внимания к себе, атаки вредоносных программ сейчас практически повсеместно направлены на небольшое число жертв, в отличие от технологий массовых рассылок червей в прошлом.

По данным Глобального исследования безопасности (Global Security Survey), проведенного компанией Deloitte Touche Tohmatsu и опубликованного в июне 2006 года в Financial Services Industry, более трех четвертых (78%, а в 2005 году было всего 26%) респондентов подтвердили наличие фактов проникновения в их корпоративные сети извне их организации.¹ В этом исследовании хищение личных сведений назывались “преступлением 21 века“.

Обзор полугодия

Более 180 000 угроз, определяемых Sophos
Количество зараженных писем снизилось до 1 из 91
Новых троянов появляется больше, чем новых вирусов и червей, в пропорции 4:1
Программы с требованием денежного выкупа (ransomware) угрожают причинением вреда

Темпы роста

Количество угроз продолжает расти. В июне 2005 года количество различных вредоносных программ, от которых защищал Sophos Anti-Virus, составляло 140 118*. Сейчас, год спустя, в июне 2006 года, Sophos Anti-Virus распознает и обеспечивает защиту от 180 292* различных вирусов, шпионского ПО, червей, троянский программ и другого вредоносного программного обеспечения, а также рекламного ПО и других потенциально нежелательных приложений (PUA).

Рис. 1: Рост количества вредоносных программ

Авторы вредоносных программ все чаще отказываются от использования червей, отправляемых по электронной почте, и предпочитают другие методы заражения при поиске своих жертв. Хакеры, преследующие цели обогащения, не хотят заражать миллионы электронных писем, поскольку это привлекает внимание к их вредоносных программам и повышает шанс того, что пользователи постараются защитить себя.

Также сократилось количество компьютеров, на которые направлена конкретная спам-атака, с тем, чтобы угроза просочилась мимо «радаров» средств защиты от спама, контролирующих объемы рассылаемых спам-писем.

Исследования компании Sophos показывают, что в этом году только 1 из 91 электронных писем было заражено по сравнению с каждым 35 за аналогичный период 2005 года - еще одно подтверждение того факта, что количество червей, отправляемых по электронной почте, сократилось, а использование других методов вредоносных атак возросло.

* Обратите внимание на то, что мы изменили способ подсчета и системы отчета об угрозах, от которых защищает наше ПО. Таким образом, мы можем более точно указать количество отдельных угроз, выявленных при упреждающем определении «генотипа» угрозы с помощью нашей технологии Genotype.

Первая десятка вредоносных программ

Компания Sophos располагает глобальной сетью, включающей десятки тысяч станций мониторинга, собирающих данные о последних вирусах, распространяющихся по электронной почте, что дает уникальное представление о состоянии здоровья систем электронной почты и возможность своевременного предупреждения о новых вспышках вирусов.

Интересно заметить, что первую десятку (см. рисунок 2) возглавляют вирусы, которые существуют уже продолжительное время, как показано на графике ниже.

Вредоносные программы		Впервые замечены
Sober-Z	22,4%	Ноя05
Netsky-P	12,2%	Мар04
Zafi-B	8,9%	Июн04
Nyxem-D	5,9%	Янв06
Mytob-FO	3,3%	Ноя05
Netsky-D	2,4%	Мар04
Mytob-BE	2,3%	Июн05
Mytob-EX	2,2%	Окт05
Mytob-AS	2,2%	Июн05
Bagle-Zip	1,9%	Мар04

Рис. 2: Первая десятка вредоносных программ и продолжительность их действия

С января по июнь 2006 года самую серьезную угрозу представлял червь Sober-Z, на который, в пик его активности, приходилось одно электронное письмо из 13.² Червь, замаскированный под электронное письмо от сотрудника ФБР или ЦРУ, в котором получателю письма указывалось на то, что он якобы посещал незаконные веб-сайты,³ возглавляет список, несмотря на то, что в самом черве была запрограммирована дата прекращение его распространения с 6 января 2006 года.

Единственным новым червем, вошедшем в первую десятку вредоносных программ, является Nyxem-D (также известный под названием Kama Sutra), который распространяется под видом электронных писем с порнографическими картинками и роликами.⁴ Эти данные подтверждают тезис о том, что последние атаки стали более хитрыми и изобретательными, заражая небольшие группы пользователей компьютеров во избежание привлечения к себе внимания.

Троянские программы

Первое полугодие 2006 года показывает, что авторы вирусов все еще предпочитают заражать пользователей Windows-компьютеров троянскими программами, а не вирусами и червями.

В 2005 году количество новых троянских программ превысило число новых вирусов и червей в пропорции практически 2 к 1; сегодня вероятность атаки пользователя компьютера трояном в четыре раза выше, чем вероятность заражения вирусом или червем.

Рис. 3: Угрозы новых троянских программ (82%) и вирусов (18%)

В первом полугодии один из каждых 2 троянцев включал компоненты шпионского ПО и выполнял такие действия, как запись последовательности нажатия клавиш, похищение личной информации, например, имен пользователей, паролей или реквизитов кредитных карточек, а также предоставление третьим лицам доступа к зараженным компьютерам.

Поскольку троянские программы не могут самостоятельно распространяться, автору атаки необходимо придумывать, как соблазнить пользователя загрузить или запустить вредоносные программы. Часто используется электронная почта, так как это дешевый и быстрый способ общения между людьми. Вместо сообщения с зараженным приложением, сегодня спам-сообщения все чаще содержат ссылку на специально созданный веб-сайт. Если получатель заходит на такую веб-страницу, скрытый на ней вредоносный код пытается получить доступ к компьютеру через уязвимые места Windows (это может быть ошибка в программном обеспечении, недостаточная защита межсетевого экрана или антивируса) с тем, чтобы загрузить себя скрытно и без привлечения внимания пользователя компьютера.

Новые угрозы

Программы с требованием денежного выкупа - ransomware

В этом году мы стали свидетелями того, как троянские программы привнесли методы старомодного шантажа в эпоху цифровых технологий, что в первую очередь подтверждает тот факт, что авторы вредоносных программ переходят от массовой бомбардировки пользователей интернета к адресным (нацеленным) атакам отдельных небольших групп пользователей.

Ransomware – это вредоносная программа, как правило, троянского типа, которая не позволяет пользователям открывать свои файлы (обычно, при помощи шифрования) и затем с угрозами требует деньги за открытие доступа к файлам. В лабораториях SophosLabs мы рассмотрели несколько примеров таких программ. К примеру, программа Zippo, которая появилась в марте 2006 года, шифровала файлы и требовала 300 долларов.⁵

Троян Ransom-A закрывал жертвам доступ к их данным до уплаты выкупа в размере 10,99 долларов через Western Union.⁶ Он угрожал удалять по файлу каждые 30 минут до уплаты выкупа. Он также демонстрировал порнографические картинки и выдавал непривлекательные сообщения. Если пользователь пытался остановить троянскую программу с помощью CTRL+ALT+DEL, выводилось насмешливое сообщение.

Троян Arhiveus (см. рисунок 4) требовал, чтобы пользователь купил товары в онлайновой аптеке.⁷

Рис. 4: Требование выкупа – троян Arhiveus

Руткиты

Руткит – это набор программных средств, которые некоторое третье лицо устанавливает на компьютер, чтобы скрыть запущенные процессы, файлы или данные системы. Эта концепция стала широко известна в конце 2005 года, когда компания Sony использовала руткиты на некоторых своих музыкальных дисках для защиты от копирования. Однако, эти руткиты создавали слабые места в защите ПК и ими тут же воспользовался целый ряд новых троянцев. Компания Sony признала, что эти руткиты привели к расходам и неудобству пользователей и компаний и согласилась вернуть им деньги за эти CD.⁸

Однако, угроза все еще существует, так как рассматриваемые троянские программы используют руткиты и загружают себя на небольшое количество систем во избежание привлечения внимания к себе. Ожидается, что в ближайшие месяцы мы станем свидетелями роста использования таких троянцев. Впрочем, так как руткиты трудно разрабатывать, то, скорее всего, будут использоваться варианты уже существующих руткитов. Посмотрим, будут ли они работать под Vista – новой операционной системой Microsoft, выход которой планируется на 2007 год.

Спамеры

Самое большое количество отправляемого спама относится к медицинским препаратам (в основном, это лекарства, которые, по заявлениям авторов, помогут улучшить половую жизнь, похудеть или содержат гормоны роста человека) или носят непристойный характер. Также в больших количествах успешно рассылается спам, связанный с продажей акций.

В середине июня 2006 года эксперты Sophos выявили широкую спам-кампанию, которая призывала пользователей купить акции Southern Cosmetics.⁹ В электронных письмах, включающих графических элемент во избежание выявления фильтрами, контролирующими спам, сообщалось, что сообразительные инвесторы не упустят возможности приобрести акции этой компании, поскольку она ведет совместную деятельность с Naomi LLC, косметической фирмой, основанной певицей в стиле кантри Наоми Джадд (Naomi Judd).

Цена на акции Southern Cosmetics стала резко расти после спам-рассылки. Именно, стоимость акции повысилась до 6,6 центов по сравнению со стоимостью меньше цента за акцию до начала спам-кампании.

Чего ждать в будущем?

Мобильные средства

Еще в конце 90-х антивирусные компании предсказывали неизбежное появление крупной эпидемии вирусов, заражающих мобильные телефоны, но данное предсказание до сих пор не сбылось. На сегодняшний день не было отмечено крупномасштабных случаев с вирусами, заражающими мобильные телефоны или КПК, а общая угроза для мобильных устройств ничтожна по сравнению с вирусами, заражающими компьютеры с Microsoft Windows.

Одна из причин того, что мобильные вирусы не стали проблемой, заключается в том, что криминальные группировки, ответственные за написание вредоносных программ, в настоящее время не видят никакой выгоды от атак на мобильные устройства по сравнению с большим количеством более уязвимых пользователей компьютеров с Windows. Вирусы успешно и быстро распространяются на стандартной платформе Windows, где нет необходимости учета различных операционных систем и разных отличий, существующих на изменчивом рынке мобильных телефонов.

По мере повсеместного распространения мобильных устройств и широкого использования на них стандартных операционных систем, вероятно появление большего количества вредоносных программ для данных платформ.

Несмотря на то, что сейчас вредоносные программы для мобильных устройств представляют очень маленькую угрозу, компании, занимающиеся обеспечением безопасности, разрабатывают новые технологии для защиты мобильных устройств от вредоносных программ. В 2006 году ожидаются объявления о новых решениях, дающих такого рода защиту.

Windows Vista

В марте 2006 года компания Microsoft объявила, что выход новой версии ее операционной системы Windows Vista откладывается, по меньшей мере, до 2007 года.

Задержка с выходом Vista стала плохой новостью для пользователей, озабоченных обеспечением безопасности своих ПК, поскольку эта ОС включает ряд новых функций, которые делают систему более устойчивой к атакам.

Одной из особенностей Vista является включение в нее новой программы Defender, выявляющей шпионское ПО и спроектированной для нужд пользователей домашних ПК. Хакеры получают значительные доходы благодаря атакам на ПК домашних пользователей, посредством их зомбирования.

Возможно, Windows Vista также заставит авторов вредоносных программных средств переоценить технологии, используемые как в стандартных вредоносных программах, так и в руткитах. Скорее всего, существующие руткиты не будут работать по причине изменения базовой операционной системы. Однако, это может быть только вопросом времени до того момента, когда злоумышленники хорошо изучат систему Vista и создадут руткиты или другие вредоносные программы с соответствующим уровнем скрытости.

Macintosh

Несмотря на то что первая вредоносная программа для Mac OS X появилась в феврале 2006 года, она не получила широкое распространение и не послужила началом лавины новых вредоносных кодов для операционной системы Apple. Хакеры с успехом продолжают атаковать пользователей системы Microsoft Windows и не переходят на другие платформы. Ожидается, что в ближайшее время Macintosh останется безопасным местом для пользователей.

На рисунке 5 даны результаты наблюдения Sophos за ценами на акции другой компании. Спам-кампания была начата 21 апреля, в результате было продано 400 000 акций и цена на акцию возросла на 74%. Неделю спустя после следующей кампании цены возросли еще сильнее.

Спам такого рода, как правило, отправляется в выходные, поскольку в большинстве антивирусных компаний-вендоров, в отличие от Sophos, нет исследователей, анализирующих новый спам и отправляющих новые правила по блокировке этого спама в выходные дни.

В случае рассматриваемого спама используются старые преступные технологии, разработанные задолго до появления интернета. Спамер (как правило, участник преступной организации) покупает акции по низкой цене, расхваливает акции (в спам-сообщениях), дожидается роста их стоимости, а затем продает. Спамер получает небольшой доход, переоцененные акции остаются у покупателя, а собственно сама компания оказывается в замешательстве по поводу своих финансовых стратегий.

Рис. 5: Эффект ”накачка-сброс” (pump-and-dump) по акциям компании

Социальная инженерия

Большинство пользователей осведомлены о том, что если они откроют приложение письма, в котором якобы находится изображение полуголой знаменитости, они получат не только приятные впечатления. Поэтому социальная инженерия развивается и становится более проницательной. Политические вопросы, актуальные новости и затрагивающие чувства людей события представляют собой более сложную ловушку для пользователей, и возлагают на компании большую ответственность по обеспечению своей безопасности.

Sophos продолжает перехватывать большое количество спама такого рода. В июне 2006 года троянская программа Stinx заявила, что Джордж В. Буш (George W Bush) и Тони Блэр (Tony Blair) были вовлечены в секретные операции, связанные со стоимостью нефти на Среднем Востоке,¹⁰ в то время как червь Sixem заманивал пользователей на чемпионат мира по футболу, рекламируя фотографии матча между обнаженными футбольными фанатами.¹¹

Первая десятка стран по рассылке спама

Все в большей степени спам становится всемирной проблемой, извлекая преимущества из того, что независимо от того, где находится спамер, он всегда может воспользоваться широкополосными соединениями незащищенного домашнего ПК в любой точке мира - для отправки нежелательным маркетинговых сообщений.

Соединенные Штаты Америки по-прежнему возглавляют “грязную дюжину“ стран, из которых отправляется спам (23,4%), но процент, приходящийся на данную страну, продолжает снижаться по сравнению с 2004 годом по ряду причин, включая назначение спамерам серьезных сроков тюремных заключений, более жесткое законодательство и улучшение безопасности систем.

За США следует Китай (20,5%) и Южная Корея (8,7%). Однако, как показано на рисунке 6, Азия в целом рассылает больше спама, чем США.

Азия
Европа
Северная Америка
Южная Америка
Австралазия
Африка

Рис. 6: Рассылка спама по регионам

Необходимость защиты

Недостаточно защищенные компьютеры продолжают подвергаться атакам за более короткое время, чем раньше. Эксплойты, пользующиеся недостатками программного обеспечения, могут распространяться без участия человека. Хакеры выпускают все больше вредоносных программ до того, как пользователи смогут воспользоваться исправлениями по обеспечению защиты от Microsoft или даже иногда до публикации таких исправлений. Троян Oscor-B, например, воспользовался слабым местом уровня “день ноль” в Microsoft Word, что позволило ему заражать компьютеры, как только пользователь открывал зараженные документы Word.¹²

Выводы

Растущее количество новых угроз, высокая скорость их распространения и весьма сложная задача по защите сетей продолжат играть большую роль для компаний в течение второй половины 2006 года. Поскольку киберпреступники становятся более хитрыми и все чаще используют изощренные методы, чтобы избежать обнаружения своих вредоносных программ, организации будут искать одного изготовителя, у которого есть опыт борьбы с различными угрозами и есть комплексные решения для обеспечения эффективной защиты их систем, данных и непрерывности деловой деятельности.

Источники

1. Глобальное исследование безопасности, Financial Services Industry и Deloitte Touche Tohmatsu, июнь 2006 (Global Security Survey, Financial Services Industry and Deloitte Touche Tohmatsu, June 2006)
2. Последние новости о распространении червя Sober-Z
3. Вы получили письмо из ФБР или ЦРУ? Это может быть червь Sober
4. Порнографический червь "Кама-сутра" распространяется по электронной почте
5. Троянская программа Zippo шифрует данные и требует у жертвы выкуп в 300 долларов
6. Троян Ransom угрожает своим жертвам и требует с них выкуп
7. Требующий выкуп троян Arhiveus крадет данные с компьютеров своих жертв
8. Refunds for music fans hit by Sony DRM rootkit (Выплата возмещения музыкальным фанатам, пострадавшим от руткита Sony DRM)
9. Cosmetics company’s stock price rises sharply following spam campaign (Цена на акции косметической компании резко возросла после спам-кампании)
10. Spammed Trojan claims Bush/Blair Middle east oil cover-up (Троянская программа заявляет, что Буш/Блэр ведут тайные операции, связанные с нефтью на Среднем Востоке)
11. Nude World cup worm spreads via email (По электронной почте распространяется червь Nude World cup)
12. Троян использует уязвимое место уровня «день ноль» в Microsoft Word

Компания Sophos является мировым лидером по комплексным решениям в области борьбы с угрозами, специально разработанными для коммерческой, образовательной и государственной сферы. Благодаря 20-летнему опыту и знаниям по предотвращению проникновения вирусов, шпионского ПО и спама, лаборатории Sophos (SophosLabs) обеспечивают защиту даже для самых сложных сетей от всех известных и неизвестных угроз. Наши надежные, простые в обращении продукты защищают более 35 миллионов пользователей в более 150 странах мира от вирусов, шпионского программного обеспечения, вторжений, нежелательных приложений, фишинга, спама и нарушений политик безопасности электронной почты. Круглосуточная бдительность нашей компании стала залогом ее быстрого международного роста, расширения базы пользователей и постоянной доходности. Немедленное реагирование на новые угрозы обеспечивается специальной круглосуточной группой технической поддержки 24/7, в результате чего компания стала лидером отрасли по уровню удовлетворения запросов клиентов.

© Copyright 2006. Sophos Plc. Все права защищены. Все торговые марки являются собственностью соответствующих владельцев.