Последний отчет Sophos об угрозах безопасности свидетельствует о рекордном числе новых веб-угроз в 2007 году

06 августа 2007
03.08.2007

Вредоносный код это не только проблема, связанная с продуктами Microsoft, – к такому выводу приводят результаты исследования Sophos, показывающие резкий рост веб-угроз и представляющие данные о последних тенденциях по вирусам, шпионскому ПО и спаму
Загрузите отчет

Компания Sophos, мировой лидер в ИТ безопасности и контроля, выпустила новый обзор по киберпреступлениям за первые шесть месяцев 2007 года. В этом отчете Sophos об угрозах безопасности – который можно загрузить здесь – рассмотрены существующие и возникающие тенденции в области безопасности и отмечается резкое увеличение числа веб-угроз, а также представлен страны, наиболее причастные к этому процессу, и типы серверов, на которых чаще всего наблюдаются зараженные веб-сайты.

В первой половине 2007 произошел ‘взрыв’ по распространению угроз через веб-сайты. Теперь именно веб-сайты, вместо электронной почты – прежнего лидера, стали привилегированным вектором атак, используемых финансово мотивированными киберпреступниками. Так, только в июне глобальная сеть станций мониторинга, поддерживаемая Sophos, обнаружила рекордное число новых зараженных веб-страниц, – приблизительно 29 700 каждый день. Напротив, ранее в 2007, число обнаруживаемых инфицированных страниц было около 5 000 в день.

Компания Sophos предприняла действия по блокированию доступа к миллионам веб-страниц для того, чтобы защитить своих клиентов от вредоносного кода и несоответствующего информационного содержания. Из этих веб-страниц 28.8% содержали вредоносный код, еще 28.0% были блокированы из-за их информационного наполнения "для взрослых", т.е. они содержали порнографию или азартные игры.


Распределение по категориям веб-страниц,
заблокированных компанией Sophos.

Страниц, установленных спамерами, было 19.4%, еще 4.3% представляли незаконные сайты, через которые шла торговля пиратским программным обеспечением или это были фишинг-сайты. Из веб-сайтов, содержащих вредоносное ПО, только каждое пятое было специально создано для злонамеренной деятельности, остальные 80% были законными сайтами, которые пали жертвами хакеров.

Apache – хакеры компрометируют этот тип серверов чаще всего

Посредством компрометации на веб-сервере одного единственный файла киберпреступники могут легко и быстро обеспечить заражение огромного числа веб-сайтов, если этот файл является частью множества несвязанных между собой страниц, но публикуемых с этого сервера.

Распределение по типам серверов, где были обнаружены зараженные веб-страницы в мире за первые шесть месяцев 2007, выглядит так:


Основные типы веб-серверов, на которых чаще всего располагаются зараженные веб-страницы.

Тот факт, что больше чем половина всех зараженных веб-страниц оказались на серверах Apache, свидетельствует, что проблема с заражениями – это не только проблема Windows. Ранее в этом году, во время глобальной атаки ObfJS, когда зараженными вредоносными кодами оказались вполне законные сайты, на 98% зараженных серверах применялся Apache – и чаще на платформе UNIX, а не Windows.

"Обнаружив эти огромные 80% зараженных веб-страниц, найденный на легитимных сайтах, следует задаться вопросом – почему компании, предоставляющие услуги по размещению веб-сайтов, не обеспечивают надежную защиту своих серверов, - сказал Грэм Клули, старший консультант по технологиям в Sophos. - Простые меры, такие как своевременная установка последних патчей систем безопасности, могут дать существенный прогресс по решению этой проблемы – чем меньше уязвимостей на установленных серверах, тем ниже риск инфекции. Компании, которые оказывают услуги по размещению веб-сайтов, должны обеспечить адекватную защиту этих веб-страниц. Только то, что используется веб-сервер Apache, не означает, что имеется пуленепробиваемая защита от хакеров, которые пытаются установить враждебный код на веб-сайте. Теперь уже очевидно, что проблема с вредоносными кодами – это не только проблема для сред Microsoft".

Самые распространенные веб-угрозы за первую половину 2007 года

Дюжина самых распространенных веб-угроз, обнаруженных на зараженных веб-сайтах, в течение первых шести месяцев 2007:


Позиция Вредоносный код Процент
1Mal/Iframe
   49.2%
2Troj/Psyme
   8.3%
3Troj/Fujif
   7.9%
4JS/EncIFra
   7.3%
5Troj/Decdec
   6.9%
6Troj/Ifradv
   4.1%
7Mal/ObfJS
   2.5%
8Mal/Packer
   1.5%
9VBS/Redlof
   1.1%
10Mal/FunDF
   0.9%
Others10.3%

Графический вид этой таблицы представлен здесь

Код Mal/Iframe, заражающий веб-страницы, лидирует в этом списке, представляя более чем половину всех зараженных URL в мире. Более того, не видно никаких признаков по уменьшению активности этого кода – так, в недавней мощной атаке, с его помощью были заражены более чем 10 000 веб-страниц, большинство из которых принадлежали законным веб-сайтам, расположенным на площадках одного из крупнейших поставщиков интернет-сервиса в Италии.

"История с Mal/Iframe – как пример из учебника – наглядно демонстрирует то, как веб-угрозы распространяются по интернету в поиске уязвимых сайтов и затем заражают их независимо от того, содержат ли эти сайты данные о посуде или порнографию, - продолжил Cluley. - Решения по безопасности должны применяться не только к веб-сайтам каких-то выделенных категорий – игорные сайты могут многим показаться более опасными в смысле угроз, но иногда даже самый безвредно звучащий веб-сайт может создать самую большую опасность".

Наибольшее число зараженных веб-страниц расположены в Китае

Десятка стран, на территории которых было обнаружено наибольшее число зараженных веб-страниц в течение первой половины 2007:


Позиция Страна Процент
1Китай
   53.9%
2Соединенные Штаты
   27.2%
3Россия
   4.5%
4Германия
   3.5%
5Украина
   1.2%
6Франция
   1.1%
7Канада
   0.8%
8Великобритания
   0.7%
9=Tайвань
   0.6%
9=Южная Корея
   0.6%
Другие5.9%

Графический вид этой таблицы представлен здесь

Китай, на территории которого в конце 2006 располагалась только треть веб-угроз, теперь превзошел уровень США, и за первые шесть месяцев 2007 отвечает за более чем половину всех угроз по данным, собранным компанией Sophos. Резкое повышение позиции Китая в рассматриваемой таблице связано прежде всего с широким распространением инфекции Mal/Iframe на расположенных там веб-страницах. Фактически, больше чем 80% скомпрометированных веб-страниц на территории этой страны были заражены именно этим кодом.

Для свершения киберпреступлений хакеры используют PDF-файлы и сменные диски

Первая половина 2007 показала, что киберпреступники все чаще используют вложенные файлы в своих спамовых сообщениях. Чтобы обойти шлюзовые спам-фильтры и, следовательно, достигнуть большее число потенциальных жертв, спамеры все чаще применяют вложенные файлы формата PDF, в которых содержится графическое изображение с текстом их коммерческого предложения.

Хакеры охотно заражают и те Windows-компьютеры, на которых включена функция автозапуска, – путем запуска на исполнение своих враждебных кодов, как только к компьютеру подключается зараженный флэш-диск. Самыми известными примерами в этом году были червь LiarVB-A, который распространял информацию о СПИДе через USB-карты, и червь Hairy, который сообщал, что Гарри Поттер мертв. Однако, если на компьютере используется современное антивирусное ПО с новыми вирусными базами, то эти угрозы, как и многие другие, вам не страшны.

Электронная почта все еще является причиной для беспокойства

Угрозы, которые распространяются через почтовые сообщения, продолжают вызывать беспокойство у компаний, хотя их начали затмевать веб-угрозы. Фактическое число вредоносного ПО, связанного с электронной почтой, осталось постоянным за прошедший год. Число зараженных сообщений в первой половине 2007 определяется как 1 из 337, или 0.29% всех сообщений. В 2007 году наблюдалось больше чем 8 000 новых версий угрозы Mal/HckPk, которая использовалась для маскировки широко распространенные почтовых атак Dref и Dorf.

Более подробную информацию о последних тенденциях вредоносного ПО, программ-шпионов и спама можно найти в отчете, который можно загрузить с веб-сайта Sophos:

О компании Sophos

Sophos является мировым лидером в области обеспечения безопасности и контроля в сфере информационных технологий. Компания предлагает комплексные решения по обеспечению безопасности для коммерческих, образовательных и правительственных организаций. Решения Sophos позволяют обеспечить защиту от известного и нового вредоносного и шпионского ПО, вторжений, опасных приложений, нежелательных сообщений, нарушения политик безопасности, а также всестороннее управление доступом к сети (NAC). Надежные и простые в эксплуатации продукты Sophos применяют для своей защиты более 100 миллионов пользователей более чем в 150 странах. Более чем 20-летний опыт работы и наличие глобальной сети аналитических центров позволяют компании мгновенно реагировать на любые возникающие угрозы и обеспечить полное удовлетворение потребностей заказчиков. Sophos – это глобальная компания со штаб-квартирами в Бостоне (Массачусетс, США) и Оксфорде (Великобритания).

См. также:

Источник: www.sophos.com

10
;