Отчет компании Sophos о борьбе с угрозами безопасности за первое полугодие 2006 года
Отчет компании Sophos о борьбе с угрозами безопасности за первое полугодие 2006 года
Редакция: июль 2006 годаОбзор первого полугодияВ настоящей редакции, пересматривающей наш отчет о борьбе с угрозами безопасности от декабря 2005 года, показано, как изменилась ситуация с угрозами безопасности за первое полугодие 2006 года и какие тенденции ожидаются во второй половине года. Мы снова стали свидетелями того, как лица, ответственные за обеспечение защиты сетей организаций, столкнулись с новыми проблемами, требующими комплексного подхода для их решения. Требования, предъявляемые к ИТ, попрежнему остаются жесткими, поскольку киберпреступники изобретают новые способы использования уязвимых мест человека и компьютера для кражи и вымогательства денег у пользователей компьютеров и компаний. Число вредоносных программ возросло, продолжается рост использования секретности и незаметности, что мы наблюдали в конце прошлого года. Шпионское ПО и фишинг остаются двумя крупнейшими угрозами, с которыми сейчас сталкиваются компании. Чтобы избежать привлечение излишнего внимания к себе, атаки вредоносных программ сейчас практически повсеместно направлены на небольшое число жертв, в отличие от технологий массовых рассылок червей в прошлом. По данным Глобального исследования безопасности (Global Security Survey), проведенного компанией Deloitte Touche Tohmatsu и опубликованного в июне 2006 года в Financial Services Industry, более трех четвертых (78%, а в 2005 году было всего 26%) респондентов подтвердили наличие фактов проникновения в их корпоративные сети извне их организации.1 В этом исследовании хищение личных сведений назывались “преступлением 21 века“.
Темпы ростаКоличество угроз продолжает расти. В июне 2005 года количество различных вредоносных программ, от которых защищал Sophos Anti-Virus, составляло 140 118*. Сейчас, год спустя, в июне 2006 года, Sophos Anti-Virus распознает и обеспечивает защиту от 180 292* различных вирусов, шпионского ПО, червей, троянский программ и другого вредоносного программного обеспечения, а также рекламного ПО и других потенциально нежелательных приложений (PUA). Рис. 1: Рост количества вредоносных программ Авторы вредоносных программ все чаще отказываются от использования червей, отправляемых по электронной почте, и предпочитают другие методы заражения при поиске своих жертв. Хакеры, преследующие цели обогащения, не хотят заражать миллионы электронных писем, поскольку это привлекает внимание к их вредоносных программам и повышает шанс того, что пользователи постараются защитить себя. Также сократилось количество компьютеров, на которые направлена конкретная спам-атака, с тем, чтобы угроза просочилась мимо «радаров» средств защиты от спама, контролирующих объемы рассылаемых спам-писем. Исследования компании Sophos показывают, что в этом году только 1 из 91 электронных писем было заражено по сравнению с каждым 35 за аналогичный период 2005 года - еще одно подтверждение того факта, что количество червей, отправляемых по электронной почте, сократилось, а использование других методов вредоносных атак возросло.
Первая десятка вредоносных программКомпания Sophos располагает глобальной сетью, включающей десятки тысяч станций мониторинга, собирающих данные о последних вирусах, распространяющихся по электронной почте, что дает уникальное представление о состоянии здоровья систем электронной почты и возможность своевременного предупреждения о новых вспышках вирусов. Интересно заметить, что первую десятку (см. рисунок 2) возглавляют вирусы, которые существуют уже продолжительное время, как показано на графике ниже.
Рис. 2: Первая десятка вредоносных программ и продолжительность их действия С января по июнь 2006 года самую серьезную угрозу представлял червь Sober-Z, на который, в пик его активности, приходилось одно электронное письмо из 13.2 Червь, замаскированный под электронное письмо от сотрудника ФБР или ЦРУ, в котором получателю письма указывалось на то, что он якобы посещал незаконные веб-сайты,3 возглавляет список, несмотря на то, что в самом черве была запрограммирована дата прекращение его распространения с 6 января 2006 года. Единственным новым червем, вошедшем в первую десятку вредоносных программ, является Nyxem-D (также известный под названием Kama Sutra), который распространяется под видом электронных писем с порнографическими картинками и роликами.4 Эти данные подтверждают тезис о том, что последние атаки стали более хитрыми и изобретательными, заражая небольшие группы пользователей компьютеров во избежание привлечения к себе внимания. Троянские программыПервое полугодие 2006 года показывает, что авторы вирусов все еще предпочитают заражать пользователей Windows-компьютеров троянскими программами, а не вирусами и червями. В 2005 году количество новых троянских программ превысило число новых вирусов и червей в пропорции практически 2 к 1; сегодня вероятность атаки пользователя компьютера трояном в четыре раза выше, чем вероятность заражения вирусом или червем. Рис. 3: Угрозы новых троянских программ (82%) и вирусов (18%) В первом полугодии один из каждых 2 троянцев включал компоненты шпионского ПО и выполнял такие действия, как запись последовательности нажатия клавиш, похищение личной информации, например, имен пользователей, паролей или реквизитов кредитных карточек, а также предоставление третьим лицам доступа к зараженным компьютерам. Поскольку троянские программы не могут самостоятельно распространяться, автору атаки необходимо придумывать, как соблазнить пользователя загрузить или запустить вредоносные программы. Часто используется электронная почта, так как это дешевый и быстрый способ общения между людьми. Вместо сообщения с зараженным приложением, сегодня спам-сообщения все чаще содержат ссылку на специально созданный веб-сайт. Если получатель заходит на такую веб-страницу, скрытый на ней вредоносный код пытается получить доступ к компьютеру через уязвимые места Windows (это может быть ошибка в программном обеспечении, недостаточная защита межсетевого экрана или антивируса) с тем, чтобы загрузить себя скрытно и без привлечения внимания пользователя компьютера. Новые угрозыПрограммы с требованием денежного выкупа - ransomware В этом году мы стали свидетелями того, как троянские программы привнесли методы старомодного шантажа в эпоху цифровых технологий, что в первую очередь подтверждает тот факт, что авторы вредоносных программ переходят от массовой бомбардировки пользователей интернета к адресным (нацеленным) атакам отдельных небольших групп пользователей. Ransomware – это вредоносная программа, как правило, троянского типа, которая не позволяет пользователям открывать свои файлы (обычно, при помощи шифрования) и затем с угрозами требует деньги за открытие доступа к файлам. В лабораториях SophosLabs мы рассмотрели несколько примеров таких программ. К примеру, программа Zippo, которая появилась в марте 2006 года, шифровала файлы и требовала 300 долларов.5 Троян Ransom-A закрывал жертвам доступ к их данным до уплаты выкупа в размере 10,99 долларов через Western Union.6 Он угрожал удалять по файлу каждые 30 минут до уплаты выкупа. Он также демонстрировал порнографические картинки и выдавал непривлекательные сообщения. Если пользователь пытался остановить троянскую программу с помощью CTRL+ALT+DEL, выводилось насмешливое сообщение. Троян Arhiveus (см. рисунок 4) требовал, чтобы пользователь купил товары в онлайновой аптеке.7 Рис. 4: Требование выкупа – троян Arhiveus РуткитыРуткит – это набор программных средств, которые некоторое третье лицо устанавливает на компьютер, чтобы скрыть запущенные процессы, файлы или данные системы. Эта концепция стала широко известна в конце 2005 года, когда компания Sony использовала руткиты на некоторых своих музыкальных дисках для защиты от копирования. Однако, эти руткиты создавали слабые места в защите ПК и ими тут же воспользовался целый ряд новых троянцев. Компания Sony признала, что эти руткиты привели к расходам и неудобству пользователей и компаний и согласилась вернуть им деньги за эти CD.8 Однако, угроза все еще существует, так как рассматриваемые троянские программы используют руткиты и загружают себя на небольшое количество систем во избежание привлечения внимания к себе. Ожидается, что в ближайшие месяцы мы станем свидетелями роста использования таких троянцев. Впрочем, так как руткиты трудно разрабатывать, то, скорее всего, будут использоваться варианты уже существующих руткитов. Посмотрим, будут ли они работать под Vista – новой операционной системой Microsoft, выход которой планируется на 2007 год. СпамерыСамое большое количество отправляемого спама относится к медицинским препаратам (в основном, это лекарства, которые, по заявлениям авторов, помогут улучшить половую жизнь, похудеть или содержат гормоны роста человека) или носят непристойный характер. Также в больших количествах успешно рассылается спам, связанный с продажей акций. В середине июня 2006 года эксперты Sophos выявили широкую спам-кампанию, которая призывала пользователей купить акции Southern Cosmetics.9 В электронных письмах, включающих графических элемент во избежание выявления фильтрами, контролирующими спам, сообщалось, что сообразительные инвесторы не упустят возможности приобрести акции этой компании, поскольку она ведет совместную деятельность с Naomi LLC, косметической фирмой, основанной певицей в стиле кантри Наоми Джадд (Naomi Judd). Цена на акции Southern Cosmetics стала резко расти после спам-рассылки. Именно, стоимость акции повысилась до 6,6 центов по сравнению со стоимостью меньше цента за акцию до начала спам-кампании.
На рисунке 5 даны результаты наблюдения Sophos за ценами на акции другой компании. Спам-кампания была начата 21 апреля, в результате было продано 400 000 акций и цена на акцию возросла на 74%. Неделю спустя после следующей кампании цены возросли еще сильнее. Спам такого рода, как правило, отправляется в выходные, поскольку в большинстве антивирусных компаний-вендоров, в отличие от Sophos, нет исследователей, анализирующих новый спам и отправляющих новые правила по блокировке этого спама в выходные дни. В случае рассматриваемого спама используются старые преступные технологии, разработанные задолго до появления интернета. Спамер (как правило, участник преступной организации) покупает акции по низкой цене, расхваливает акции (в спам-сообщениях), дожидается роста их стоимости, а затем продает. Спамер получает небольшой доход, переоцененные акции остаются у покупателя, а собственно сама компания оказывается в замешательстве по поводу своих финансовых стратегий. Рис. 5: Эффект ”накачка-сброс” (pump-and-dump) по акциям компании Социальная инженерияБольшинство пользователей осведомлены о том, что если они откроют приложение письма, в котором якобы находится изображение полуголой знаменитости, они получат не только приятные впечатления. Поэтому социальная инженерия развивается и становится более проницательной. Политические вопросы, актуальные новости и затрагивающие чувства людей события представляют собой более сложную ловушку для пользователей, и возлагают на компании большую ответственность по обеспечению своей безопасности. Sophos продолжает перехватывать большое количество спама такого рода. В июне 2006 года троянская программа Stinx заявила, что Джордж В. Буш (George W Bush) и Тони Блэр (Tony Blair) были вовлечены в секретные операции, связанные со стоимостью нефти на Среднем Востоке,10 в то время как червь Sixem заманивал пользователей на чемпионат мира по футболу, рекламируя фотографии матча между обнаженными футбольными фанатами.11 Первая десятка стран по рассылке спамаВсе в большей степени спам становится всемирной проблемой, извлекая преимущества из того, что независимо от того, где находится спамер, он всегда может воспользоваться широкополосными соединениями незащищенного домашнего ПК в любой точке мира - для отправки нежелательным маркетинговых сообщений. Соединенные Штаты Америки по-прежнему возглавляют “грязную дюжину“ стран, из которых отправляется спам (23,4%), но процент, приходящийся на данную страну, продолжает снижаться по сравнению с 2004 годом по ряду причин, включая назначение спамерам серьезных сроков тюремных заключений, более жесткое законодательство и улучшение безопасности систем. За США следует Китай (20,5%) и Южная Корея (8,7%). Однако, как показано на рисунке 6, Азия в целом рассылает больше спама, чем США.
Рис. 6: Рассылка спама по регионам Необходимость защитыНедостаточно защищенные компьютеры продолжают подвергаться атакам за более короткое время, чем раньше. Эксплойты, пользующиеся недостатками программного обеспечения, могут распространяться без участия человека. Хакеры выпускают все больше вредоносных программ до того, как пользователи смогут воспользоваться исправлениями по обеспечению защиты от Microsoft или даже иногда до публикации таких исправлений. Троян Oscor-B, например, воспользовался слабым местом уровня “день ноль” в Microsoft Word, что позволило ему заражать компьютеры, как только пользователь открывал зараженные документы Word.12 ВыводыРастущее количество новых угроз, высокая скорость их распространения и весьма сложная задача по защите сетей продолжат играть большую роль для компаний в течение второй половины 2006 года. Поскольку киберпреступники становятся более хитрыми и все чаще используют изощренные методы, чтобы избежать обнаружения своих вредоносных программ, организации будут искать одного изготовителя, у которого есть опыт борьбы с различными угрозами и есть комплексные решения для обеспечения эффективной защиты их систем, данных и непрерывности деловой деятельности. |
||||||||||||||||||||||||||||||||||||||||||
Источники
Компания Sophos является мировым лидером по комплексным решениям в области борьбы с угрозами, специально разработанными для коммерческой, образовательной и государственной сферы. Благодаря 20-летнему опыту и знаниям по предотвращению проникновения вирусов, шпионского ПО и спама, лаборатории Sophos (SophosLabs) обеспечивают защиту даже для самых сложных сетей от всех известных и неизвестных угроз. Наши надежные, простые в обращении продукты защищают более 35 миллионов пользователей в более 150 странах мира от вирусов, шпионского программного обеспечения, вторжений, нежелательных приложений, фишинга, спама и нарушений политик безопасности электронной почты. Круглосуточная бдительность нашей компании стала залогом ее быстрого международного роста, расширения базы пользователей и постоянной доходности. Немедленное реагирование на новые угрозы обеспечивается специальной круглосуточной группой технической поддержки 24/7, в результате чего компания стала лидером отрасли по уровню удовлетворения запросов клиентов. © Copyright 2006. Sophos Plc. Все права защищены. Все торговые марки являются собственностью соответствующих владельцев. |