Обзор информационных угроз во II квартале 2012 года


KasperskyLabs

Цифры квартала

Во втором квартале 2012 года продукты Лаборатории Касперского:

  • Обнаружили и обезвредили вредоносных объектов - более 1 млрд.
  • Зафиксировали распространение вредоносных программ - с 89,5  миллионов URL.
  • Обнаружили вредоносных программ под Android - 14 900 файлов.


Обзор ситуации

Вредоносное ПО для мобильных устройств
Во втором квартале 2012 г. по сравнению с показателями первого квартала практически втрое увеличилось количество Android-троянов. За три месяца в базы Лаборатории Касперского было добавлено более 14 900 вредоносных программ.

Kol-vo obnaruj modifikacii vredonos PO dlya OS Android

Количество обнаруженных модификаций вредоносного ПО для Android OS

Такое количество Android-зловредов говорит о том, что все больше вирусописателей переключаются на разработку вредоносных программ под мобильные устройства. Развитие мобильных вредоносных программ привело к формированию черного рынка услуг по их распространению. Основными каналами распространения являются неофициальные магазины приложений и партнерские программы. Замечено, что мобильные вредоносные программы становятся все сложнее. Злоумышленники активно развивают технологию обфускации и защиты кода, усложняющие анализ зловредов.

Во втором квартале 2012 года обнаружены Android-зловреды:

  • Многофункциональные трояны, похищающие с телефона данные, а также способные загружать дополнительные модули с серверов злоумышленников - 49%;
  • SMS-трояны - зловреды выкачивающие деньги со счетов жертв, отправляя без ведома хозяев мобильных устройств SMS на платные номера - 24%;
  • Бэкдоры, предоставляющие злоумышленникам возможность полного контроля над зараженным устройством - 18%.

Raspred obnaruj vredonos prog pod OS Android po povedeniyam

Распределение обнаруженных в Q2 вредоносных программ под Android OS по поведениям

Невелика доля Trojan-Spy под Android – лишь 2%. Однако именно эти программы представляют наибольшую опасность для пользователей, т.к. они охотятся за информацией, открывающей злоумышленникам доступ к банковским счетам пользователей.

В июне экспертами Лаборатории Касперского была обнаружена новая версию мобильной вредоносной программы, занимающейся кражей входящих SMS. Программа маскировалась под Android Security Suite Premium. Однако, все серверы управления этой вредоносной программой были зарегистрированы на одного человека. Конечно, это были фальшивые данные, но точно такие же данные были использованы и для регистрации ряда управляющих доменов Zbot (ZeuS). Вывод: кража SMS нацелена именно на получение кодов авторизации банковских транзакций и зловред относится к семейству Trojan-Spy.AndroidOS.Zitmo.


Мас-зловреды
Во втором квартале 2012 года в антивирусные базы были добавлены записи, детектирующие 50 вредоносных программ для Mac OS X.

Kol-vo novih zapisei dlya Mac OS X v 2kv 2012

Количество новых записей для платформы Mac OS X, добавленных в антивирусные базы ЛК во II квартале 2012 года

В конце июня 2012 года антивирусные радары Лаборатории Касперского зафиксировали новую целевую атаку, направленную против уйгурских Mac-пользователей в Китае. Т.е., определенному кругу лиц были разосланы письма с zip-архивом. Архив содержал jpg-файл и приложение для Mac, имеющее иконку текстового документа. Основным компонентом атаки стал исполняемый файл, замаскированный под текстовый документ — бэкдор для Mac OS Х, работающий как на архитектуре i386, так и на PowerPC, и детектируемый продуктами Касперский как Backdoor.OSX.MaControl.b. Был обнаружен также Windows-бэкдор, также используемый в этой же атаке.

Бэкдор позволяет получать файлы с зараженной машины. Данные с конфигурацией серверов управления зашифрованы достаточно простым способом, поэтому удалось установить, что сервер управления находится в Китае.

Продукты компании Apple пользуются популярностью у многих влиятельных политических деятелей и крупных бизнесменов. Поэтому информация, хранящаяся на устройствах этих людей, представляет интерес для определенной категории злоумышленников. Это означает, что APT-атаки, нацеленные на Mac-пользователей, продолжатся. Эволюция целевых атак может пойти по пути развития кроссплатформенных зловредов, которые будут иметь похожий код и работать под несколькими наиболее распространенными операционными системами.


Утечка данных LinkedIn и пароли
Во втором квартале 2012 года одной из самой громкой новостью, связаноой с утечкой базы хешей паролей, стала новость о том, что часть базы (6,5 млн. хешей паролей) популярной социальной сети LinkedIn, попала в открытый доступ. Через день после публикации этой информации, компания подтвердила утечку, и в результате быстро принятых мер опубликованные пароли от учетных записей были аннулированы, а пользователи должны были создать новые пароли.

Дело в том, что LinkedIn почему-то хранила хеши без строки случайных символов, добавляемой к исходному паролю перед хешированием. Так как эта технология не использовалась, то SHA-1 хеши были очень быстро подобраны с помощью перебора по предварительно посчитанным хешам популярных паролей из словарей. Столь быстрый подбор паролей стал возможен благодаря тому, что пароли более половины пользователей были очень простыми, и подобрать их не составило большого труда.

Чтобы не стать жертвой подобной атаки, необходимо использовать длинные и сложные пароли, которые затруднительно подобрать по словарю. А использование одного и того же пароля для разных сервисов резко увеличивает возможный ущерб при его краже.

Администраторам сайтов рекомендуется для хранения паролей использовать как минимум хеш и соль. Однако использование быстрого алгоритма хеширования (например, SHA-1 или MD5) и соли при тех мощностях, которые сейчас при подборе паролей дают GPU, может не спасти от легкого взлома. Более эффективным решением будет использование таких алгоритмов, как PBKDF2 (Password-Based Key Derivation Function 2) или bcrypt, позволяющие замедлить процесс подбора паролей.


Flame – продолжение истории о кибершпионаже
Наиболее заметным событием, связанным с кибершпионажем, стало обнаружение червя Flame.

Проводя исследование по запросу Международного союза электросвязи (МСЭ) о содействии в поиске неизвестной вредоносной программы, удаляющей конфиденциальные данные с компьютеров, расположенных в странах Ближнего Востока, специалисты компании обнаружили новый образец вредоносного ПО - Worm.Win32.Flame.

Flame значительно превосходит по сложности Duqu и представляет собой весьма хитрый набор инструментов для проведения атак. Размер зловреда — почти 20 мегабайт. Это троянская программа-бэкдор, имеющая черты, свойственные червям. Она может распространяться по локальной сети и через съемные носители при получении соответствующего приказа хозяина. Самым опасным способом распространения Flame является репликация в уже зараженной локальной сети под видом обновлений Windows. При этом код был подписан сертификатами, изначально выписанные компанией Microsoft. Нелегитимное использование цифровой подписи было обнаружено Microsoft, после чего сертификат был немедленно отозван. Компания сразу же опубликовала информационное сообщение об угрозе (security advisory) и выпустила обновление KB2718704.

С зараженных компьютеров, расположенных на Ближнем Востоке (в Иране, Судане, Сирии и т.д.) Flame крадет различную информацию, в том числе видео и аудиофайлы, а также чертежи AutoCAD.

На сегодняшний день Flame является одной из самых сложных киберугроз. Программа имеет большой размер и невероятно сложную структуру и очень хорошо показывает, как могут проводиться шпионские операции в XXI веке.


Статистика

Все статистические данные, использованные в отчете, получены с помощью распределенной антивирусной сети Kaspersky Security Network (KSN) как результат работы различных компонентов защиты от вредоносных программ. Данные получены от пользователей KSN, подтвердивших свое согласие на их передачу. В глобальном обмене информацией о вредоносной активности принимают участие миллионы пользователей продуктов Лаборатории Касперского из 213 стран и территорий мира.


Угрозы в интернете
Статистические данные, рассматриваемые в этой главе, получены на основе работы веб-антивируса, защищающего пользователей в момент загрузки вредоносного кода с зараженной веб-страницы. Зараженными могут быть:

  • сайты, специально созданные злоумышленниками;
  • веб-ресурсы, контент которых создается пользователями (например, форумы);
  • взломанные легитимные ресурсы.


Детектируемые объекты в интернете
Во втором квартале 2012 года было отражено 434 143 004 атак, проводившихся с интернет-ресурсов, размещенных в разных странах мира. Всего в данных инцидентах было зафиксировано 145 007 уникальных модификаций вредоносных и потенциально нежелательных программ.

TOP 20 детектируемых объектов в интернете

TOP 20 detekt obiektov v Inete 2012

* Детектирующие вердикты модуля веб-антивируса. Информация предоставлена пользователями продуктов Лаборатории Касперского, подтвердившими свое согласие на передачу статистических данных.
** Процент от всех веб-атак, зафиксированных на компьютерах уникальных пользователей.

Первую строчку в рейтинге занимают вредоносные ссылки из черного списка - 85,8% (+1,5% по сравнению с I кварталом) от всех детектов. В первую очередь в список попадают различные сайты, на которые перенаправляются пользователи. Чаще всего на вредоносные сайты пользователи попадают со взломанных легитимных ресурсов с внедренными вредоносными скриптами (drive-by атака). Кроме того, пользователи сами переходят по опасным ссылкам в поисках недоступного. Значительная часть обнаруженных Malicious URL по-прежнему приходится на сайты, связанные с эксплойт-паками.

13 позиций в рейтинге занимают вредоносные программы, эксплуатирующие бреши в программном обеспечении и использующиеся для доставки вредоносных программ на компьютер пользователя, в их числе две программы, обнаруженные эвристиками:

  • Exploit.Script.Blocker;
  • Exploit.Script.Generic.


Количество рекламных программ (AdWare) - обнаружено во II квартале только две. Эти программы работают как расширения для браузеров. Т.е. добавляют новую поисковую панель и меняют начальную страницу. Сами по себе они являются легальными программами, за установку которых их создатели платят деньги партнерам-распространителям. Однако находятся распространители, готовые получать, таким образом, деньги, не спрашивая разрешения пользователя на установку.


Приложения, в которых злоумышленники используют уязвимости
Большинство атак через интернет осуществляется с помощью эксплойтов, использующие ошибки в ПО, для запуска вредоносной программы без ведома пользователя.

Приложения чаще всего использующие эксплойты:

  • Adobe Acrobat Reader;
  • Java;
  • Android Root;
  • Adobe Flash Player.

Priloj uyazvim s veb-exploitami vo IIkv 2012
Приложения, уязвимости в которых использовали веб-эксплойты. Второй квартал 2012 года


Страны, на ресурсах которых размещены вредоносные программы
Для определения географического положения источника веб-атак использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен данный домен, и установление географического положения данного IP-адреса (GEOIP).

85% веб-ресурсов (+1% по сравнению с I кварталом), используемых для распространения вредоносных программ, во втором квартале 2012 года были размещены в десяти странах мира.

Raspred veb-resursov s vredonos prog po stranam vo IIkv 2012
Распределение веб-ресурсов, на которых размещены вредоносные программы, по странам. Второй квартал 2012 года

В TOP 10 вошли те же страны, что и в прошлом квартале. За прошедшие три месяца заметно выросла доля хостингов, расположенных в:

  • США - 30%;
  • Россия - 14%;
  • Голландия - 12%.


20 стран, где пользователи подвергаются наибольшему риску заражения через интернет*. Второй квартал 2012 года

*При расчетах исключались страны с числом пользователей Лаборатории Касперского меньше 10 тысяч.
** Процент уникальных пользователей, подвергшихся веб-атакам, от всех уникальных пользователей продуктов Лаборатории Касперского в стране.

В TOP 20 преобладают страны - республики бывшего СССР, а также страны Африки и Юго-Восточной Азии.

Все страны можно разбить на несколько групп.

  1. Группа повышенного риска - 41-60%. В эту группу вошли 18 стран из TOP 20, в том числе:
    • Россия - 59,5%;
    • Казахстан - 54%;
    • Украина - 47,3%;
    • Индия - 48%;
    • Индонезия - 42,2%;
    • Малайзия - 41,8%.

  2. Группа риска - 21-40%. В эту группу попали 103 страны, в том числе:
    • Испания - 37,8%;
    • Италия - 34,8%;
    • Канада - 36%;
    • США - 35,7%;
    • Англия - 31,6%.

  3. Группа самых безопасных при серфинге в интернете стран - 12,3-20%. В эту группу вошли 16 стран.


Меньше всего процент пользователей, атакованных при просмотре страниц в интернете, в:

  • Тайване - 15,2%;
  • Японии - 18,1%;
  • Дании - 18,9%;
  • Люксембурге - 19,7%;
  • Чехии - 20%.


В эту группу входят и страны Южной Африки, однако в них не все благополучно с точки зрения локальных заражений.

Risk zarajeniya cherez Inet PK polzov po stranam vo IIkv 2012
Риск заражения через интернет компьютеров пользователей в странах мира. Второй квартал 2012 года

В среднем 39,7% компьютеров всех пользователей KSN в течение квартала хотя бы раз подвергались атаке при серфинге в интернете. В свою очередь средний процент атакованных машин по сравнению с предыдущим кварталом увеличился на 11 процентных пунктов.


Локальные угрозы

Здесь анализируются статистические данные, полученные на основе работы модуля антивируса, сканирующего файлы на жестком диске в момент их создания или при обращении к ним, и статистику по сканированию различных съемных носителей информации.


Объекты, обнаруженные на компьютерах пользователей

Во втором квартале 2012 года антивирусные решения Касперского успешно заблокировали 1 041 194 194 попыток локального заражения на компьютерах пользователей, участвующих в Kaspersky Security Network.

Всего при попытке запуска на компьютерах пользователей с помощью on-access scanner было зафиксировано 383 667 уникальных модификаций вредоносных и потенциально нежелательных программ.


Объекты, обнаруженные на компьютерах пользователей: TOP 20
TOP 20 Obiekti obnaruj na PK polzov vo IIkv 2012

Данная статистика представляет собой детектирующие вердикты модулей OAS и ODSантивируса, предоставленные пользователями продуктов Лаборатории Касперского, подтвердившими свое согласие на передачу статистических данных.
* Процент уникальных пользователей, на компьютерах которых антивирус детектировал данный объект, от всех уникальных пользователей, у которых происходило срабатывание антивируса.

Первые строчки в рейтинге заняли:

  • Эвристический детект зловредов, распространяющихся через съемные носители информации, чаще всего флешки - 17,8%. Это говорит о том, что количество съемных носителей информации, на которых были обнаружены следы работы вредоносных программ, очень велико.

  • Вердикт, выдаваемый эвристическим анализатором при проактивном детектировании множества вредоносных программ — Trojan.Win32.Generic - 17,4%.

  • Вредоносные программы, обнаруженные с помощью "облачных" технологий - 16,1%. Эти технологии работают, когда в антивирусных базах еще нет ни сигнатуры, ни эвристики для детектирования вредоносной программы, зато у антивирусной компании "в облаке" уже есть информация об объекте. В этом случае детектируемому объекту присваивается имя DangerousObject.Multi.Generic.


16-е, 17-е и 20-е место заняли рекламные программы. Здесь появился один новичок – семейство AdWare.Win32.GoonSearch - 0,8%. Эти программы являются надстройкой для IE, однако зафиксированы случаи их появления на компьютерах без согласия пользователей, при этом программы противодействуют антивирусным средствам.

Net-Worm.Win32.Kido - 5,1%. Во втором квартале помимо вирусов

  • Virus.Win32.Sality.bh;
  • Virus.Win32.Sality.аа;
  • Virus.Win32.Nimnul.a;
  • Trojan.Win32.Starter.yy

в рейтинг попал и небезызвестный

  • Virus.Win32.Virut.ce - 5,4%,

создающий из зараженных машин крупный ботнет, через который распространяются другие вредоносные программы.


Страны, в которых компьютеры пользователей подвергались наибольшему риску локального заражения
Полученные цифры отражают, насколько в среднем заражены компьютеры в той или иной стране мира. На 36,5% компьютеров всех пользователей KSN в мире, хотя бы раз был найден вредоносный файл (на компьютере или на съемном носителе, подключенном к нему) – по сравнению с прошлым кварталом на 5,7% меньше.

TOP 20 Procent PK polzov na kot obnaruj vredonos prog ot obsh kol-va polzov LK v strane vo IIkv 2012
TOP 20: Процент компьютеров пользователей, на которых были обнаружены вредоносные программы, от общего количества пользователей ЛК в стране*. Второй квартал 2012 года

* При расчетах исключались страны с числом пользователей Лаборатории Касперского меньше 10 тысяч.
** Процент уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы, от всех уникальных пользователей продуктов Касперский в стране.

Первая двадцатка практически полностью состоит из стран Африки и Юго-Восточной Азии. В Бангладеш продукты Касперского столкнулись с вредоносными программами на 98 из 100 компьютеров, на которых они установлены.

В случае с локальными заражениями можно сгруппировать все страны по уровню зараженности:

  1. Максимальный уровень заражения - более 60%. 20 стран, преимущественно и из:
    • Азиатского региона - Индия, Вьетнам, Монголия и др.;
    • Ближнего Востока - Ирак, Афганистан;
    • Африки - Судан, Ангола, Нигерия, Камерун и др.

  2. Высокий уровень заражения - 41-60%. 51 страна, в том числе:
    • Индонезия - 58,3%;
    • Казахстан - 46,1%;
    • Китай - 43,9%;
    • Эквадор - 43,8%;
    • Россия - 42,6%;
    • ОАЭ - 42,3%.

  3. Средний уровень заражения - 21-40%. 43 страны, в том числе:
    • Турция;
    • Мексика;
    • Израиль;
    • Латвия;
    • Португалия;
    • Италия;
    • США;
    • Австралия;
    • Франция.

  4. Наименьший уровень заражения. 23 страны, среди которых:
    • Канада;
    • Новая Зеландия;
    • Пуэрто-Рико;
    • 13 европейских стран - в том числе Норвегия, Финляндия, Голландия, Ирландия, Германия, Эстония);
    • Япония;
    • Гонконг.

Risk lokal zaraj PK v stranah mira vo IIkv 2012
Риск локального заражения компьютеров в странах мира. Второй квартал 2012 года

Десятка стран, самых безопасных по уровню локального заражения

TOP 10 Stran samih bezop po ur lokal zaraj vo IIkv 2012

Дания, Люксембург, Чехия и Япония одновременно находятся в списке самых безопасных стран при серфинге в интернете. Но даже в Дании были обнаружены вредоносные объекты на 12 компьютерах из 100.


Уязвимости

Во втором квартале 2012 года на компьютерах пользователей KSN было обнаружено 31 687 277 уязвимых приложений и файлов. В среднем на каждом уязвимом компьютере обнаружено 9 различных уязвимостей.

TOP 10 уязвимостей

TOP 10 Uyazvimostei 1 TOP 10 Uyazvimostei 2 TOP 10 Uyazvimostei 3 TOP 10 Uyazvimostei 4

*За 100% взяты пользователи, на компьютерах которых была обнаружена хотя бы одна уязвимость

На первом месте, как и в прошлом квартале, находится уязвимость в продукте Java от компании Oracle - 31% уязвимых компьютеров.

Пять из 10 позиций рейтинга занимают продукты компании Adobe - проигрыватели Flash Playerи Shockwave и популярное приложение для чтения pdf-документов Reader.

Новичок рейтинга - уязвимость в бесплатном медиаплеере VLC.

Proizvodit uyazvim produkt iz TOP 10 uyazvim vo IIkv 2012
Производители уязвимых продуктов из TOP 10 уязвимостей. Второй квартал 2012 года

Все уязвимости из TOP 10 дают возможность злоумышленнику с помощью эксплойтов получить полный контроль над системой. Три уязвимости позволяют проводить атаки типа "отказ в обслуживании", а также предоставляют злоумышленнику возможность получить доступ к конфиденциальной информации. В рейтинг также попали уязвимости, предоставляющие возможность манипулировать данными, обходить систему защиты и проводить XSS-атаки.

Raspred uyazvim iz TOP 10 po tipu vozdeistv na sist vo IIkv 2012
Распределение уязвимостей из TOP 10 по типу воздействия на систему. Второй квартал 2012 года


Заключение

Во втором квартале 2012 года продолжился стремительный рост количества Android-зловредов. За три месяца в антивирусную базу было добавлено почти 15 тысяч вредоносных dex-файлов. Зловреды для Andoid OS эволюционируют на качественном уровне. Вирусописатели придумывают различные приемы для усложнения их анализа и детектирования. Это указывает на рост числа вирусописателей, переключившихся на разработку вредоносных программ для мобильных устройств. А развитие черного рынка услуг по распространению мобильных вредоносных программ в ближайшем будущем приведет к увеличению числа атак на пользователей мобильных устройств, при этом атаки станут более изощренными.

Утечки данных крупных сервисов, в результате деятельности различных хактивистов ставшие регулярными, в прошедшем квартале привели к раскрытию паролей миллионов пользователей. Стоит заметить, что в быстрой расшифровке хранящихся в базах паролей при таких атаках повинны как сами пользователи, устанавливающие простые пароли, так и администраторы сайтов, использующие простые техники шифрования.

В следующем квартале нас ждут две крупные хакерские конференции — BlackHat и Defcon, где по традиции демонстрируется ряд новых техник атак, достаточно оперативно находящие практическое применение в киберпреступном мире. Так что можно ожидать использования злоумышленниками новых техник уже в третьем квартале.

Основной темой второго квартала 2012 стало обнаружение кибершпионской программы Flame. Помимо огромного размера и широкого спектра инструментов по извлечению информации с зараженных машин, Flame использует интересный способ распространения в локальной сети через создание поддельного сервера обновлений Windows. К тому же код, аналогичный части коду Flame, был обнаружен в одной из версий нашумевшего червя Stuxnet, датированной 2009 годом. Это говорит о том, что разработчики этих программ связаны друг с другом.

Ситуация с кибероружием. Многие страны мира официально заявили, что будут разрабатывать доктрины, касающиеся действий в киберпространстве, и создавать специальные подразделения. Следовательно, история кибероружия не ограничится Duqu и Flame. Главной же сложностью в этой ситуации является отсутствие какого-либо сдерживающего фактора в виде международного регулирования в этой сфере.