Развитие информационных угроз в третьем квартале 2012 года


KasperskyLabs

Цифры квартала

По данным KSN, в третьем квартале 2012 года продукты "Лаборатории Касперского" обнаружили и обезвредили - 1 347 231 728 вредоносных объектов. Из них:

  • Атакованных мобильных устройств работающих под ОС Android версии 2.3.6 - 28%.
  • Отраженных эксплойтов использующих уязвимости в Java - 56%.
  • Зафиксировано распространение вредоносных программ - более чем с 91,9 млн. URL (+ 3% чем во втором квартале 2012).

Обзор ситуации


Мобильные зловреды и операционные системы
Коллекция вредоносных новых dex-файлов за третий квартал 2012 года пополнилась более чем 9 тыс. файлов. Это на 5 тыс. меньше, чем во втором квартале, но на 3,5 тысячи больше, чем в первом квартале 2012 года.

Это объясняется тем, что во втором квартале коллекция вредоносных файлов пополнилась файлами, которые до этого в течение некоторого времени детектировались эвристическими методами. В третьем квартале ситуация была стандартной, поэтому количество новых файлов в коллекции соответствует наблюдаемой с начала года тенденции.

Kol-vo obnaruj mod vredonosnogo PO dlya Android OS
Количество обнаруженных модификаций вредоносного ПО для Android OS


Raspred obnaruj vredonos PO po versiyam OS Android IIIkv 2012
Распределение обнаруженных вредоносных программ по версиям OS Android
Третий квартал 2012 года

На первом месте версия Android 2.3.6 "Gingerbread" - 28% отраженных попыток установки вредоносных программ. Эта была выпущена еще в сентябре 2011 года. Однако из-за сильной сегментации рынка Android-устройств эта версия и по сей день остается одной из наиболее популярных.

Процентное соотношение версий ОС за последние две недели сентября с сайта developer.android.com


Распределение вредоносных программ, обнаруженных за последние 14 дней сентября 2012 года по версиям Android OS

Raspred vredonos PO obnaruj za 14 dnei sentyabrya 2012 po versiyam OS And

Выше представленные две диаграммы значительно отличаются:

  • в 48% случаев жертвами злоумышленников стали пользователи версии Gingerbread, которая установлена на 55% устройств;
  • в 43% — пользователи самой последней версии Android OS Ice Cream Sandwich, которая установлена на 23,7% устройств.


Очевидно, что устройства, на которых установлены более современные версии OC, больше подходят для активной работы в интернете. Однако более активный веб-серфинг часто приводит пользователей на сайты с вредоносным контентом.

Raspred po povedeniyam obnaruj vredonos prog nacelenih na OS Android IIIkv 2012
Распределение по поведениям обнаруженных вредоносных программ, нацеленных на Android OS
Третий квартал 2012 года

Больше половины обнаруженных на смартфонах пользователей зловредов оказались SMS-троянами — вредоносными программами, снимающими деньги с мобильных счетов жертв, отправляя SMS на платные номера.

Raspred po semeistvam obnaruj vredonos prog pod Android OS IIIkv 2012
Распределение по семействам обнаруженных вредоносных программ под Android OS
Третий квартал 2012 года*

*Детектирующие вердикты модуля проверки файлов Kaspersky Mobile Security. Информация предоставлена пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.

Среди всех мобильных зловредов наиболее распространёнными стали:

  • Семейство OpFake - 38,3% от всех обнаруженных программ под Android. Программы этого семейства маскируются под Opera Mini.

  • Многофункциональные трояны (большая часть из семейства Plangton) - 20%. После установки трояны собирают служебную информацию о телефоне, отправляют ее на сервер управления и ждут команды злоумышленников. Зловреды этого семейства умеют незаметно изменять закладки и стартовую страницу.

  • Семейство FakeInst -17%. Зловреды этого семейства маскируются под инсталляторы популярных программ.

  • Семейство not-a-virus:RiskTool.AndroidOS.SMSreg - 5%. Вредоносное ПО, подписывающее пользователя на дорогостоящие сервисы. Программы этого семейства нацелены на пользователей таких стран, как США, Голландия, Великобритания и Малайзия.

  • Семейство Exploit.AndroidOS.Lotoor - 4%. Зловреды этого семейства используются, для получения root-привилегий, дающие практически неограниченные возможности для манипуляций над системой.

  • Рекламные программы AdWare - 4%. Программы этого семейства показывают рекламу, встроенную в приложения.


В итоге, в третьем квартале атакам злоумышленников чаще всего подвергались системы:

  • Android 2.3.6 "Gingerbread";
  • Android 4.0.4 "Ice Cream Sandwich".


С помощью социальной инженерии злоумышленники успешно обходят ограничения на установку ПО из не доверенных источников. А наиболее распространенными вредоносными программами для выполнения взломов, являются различные трояны, тем или иным способом крадущие деньги с мобильного счета пользователя. Хотя очевидно, что их постепенно вытесняют более сложные многофункциональные троянцы.


Эксплойты: ошибки в Java используются более чем в половине атак
Проблема атак в интернете связана в первую очередь с различными эксплойтами, позволяющими злоумышленникам загружать вредоносные программы в ходе drive-by атаки без необходимости использования социальной инженерии. Залогом успешного применения эксплойтов является наличие уязвимостей в коде популярных приложений, установленных на компьютерах пользователей.

Prilojeniya uyazvim v kot ispolzov web-exploiti IIIkv2012
Приложения, уязвимости в которых использовали веб-эксплойты
Третий квартал 2012 года

В программе Java были использованы бреши более чем в 50% атак. По данным Oracle, различные версии данного ПО, установлены более чем на 1,1 млрд. компьютеров. Важно учесть, что обновления этого ПО устанавливаются по запросу пользователя, а не автоматически, что увеличивает время жизни уязвимости. Плюс к этому эксплойты к java достаточно легко использовать под любой версией Windows, а при некоторых доработках злоумышленников, эксплойт может стать кроссплатформенным. Этим и объясняется особый интерес киберпреступников к java-уязвимостям. Конечно, большая часть обнаружений приходится на различные наборы эксплойтов.

В третьем квартале было обнаружено несколько уязвимостей, которые быстро стали использоваться злоумышленниками. Например:

  • CVE-2012-1723 - уязвимость (найдена в июле) представляет собой ошибку в компоненте HotSpot, эксплуатируя которую злоумышленники могут выполнить свой класс в обход песочницы виртуальной машины Java.

  • CVE-2012-4681 - уязвимость обнаружена в конце августа. Эксплойты к этой уязвимости сначала использовались в целевых атаках, а затем достаточно быстро перекочевали и в популярные эксплойт-паки.


Атаки через Adobe Reader заняли второе место и составили четверть всех отраженных атак. Постепенно популярность эксплойтов к Adobe Reader уменьшается, что связано с достаточно простым механизмом их детектирования и автоматическими обновлениями, введёнными в последних версиях Reader.

3% атак пришлось на эксплойты к уязвимости в Windows Help and Support Center, а также на различные уязвимости в IE. В третьем квартале была обнаружена уязвимость CVE-2012-1876 в браузере Internet Explorer версий 6-9. Браузер неправильно обрабатывал объекты в памяти, что давало возможность злоумышленнику обратиться к несуществующему объекту и приводило к переполнению кучи (heap-overflow). Интересный факт - уязвимость была использована на соревновании Pwn2Own в рамках конференции CanSecWest 2012 еще в марте.


Кибершпионаж: Gauss, Madi и другие
В третьем квартале наиболее значимыми стали исследования вредоносных программ Madi, Gauss и Flame, главным регионом действий которых являются страны Ближнего Востока.

Одна из кампаний по проникновению в компьютерные системы продолжалась почти год и была направлена преимущественно на пользователей Ирана, Израиля и Афганистана. Операция получила название "Madi", исходя из того, какие строки и идентификаторы использовали киберпреступники в используемом зловреде. В ходе операции использовался набор хорошо известных несложных технологий проведения атак для доставки вредоносных компонентов, что говорит о невысоком уровне осведомленности жертв об интернет-безопасности.

В результате атак в системы устанавливались бэкдоры, написанные на Delphi. Так мог сделать или программист-любитель, или профессиональный разработчик, которому очень не хватало времени. Кампания была нацелена на критически важную инфраструктуру инженерных фирм, правительственных организаций, банков и университетов на Ближнем Востоке. А в качестве жертв выбирались причастные к этим организациям пользователи, коммуникация которых находилась под пристальным наблюдением в течение продолжительного времени.

Программа Gauss была обнаружена в ходе расследования, проводившееся по инициативе Международного союза электросвязи (МСЭ), выдвинутой после обнаружения вредоносной программы Flame. Gauss — это созданный государством "банковский" троян. Помимо функции кражи разнообразных данных с зараженных Windows-компьютеров, он содержит некий вредоносный функционал, код которого зашифрован, а назначение пока не выяснено. Вредоносная программа активируется только в системах с определенной конфигурацией. Gauss базируется на платформе Flame и имеет некоторые общие функциональные элементы с Flame, такие как подпрограммы заражения USB-носителей.

Исследование, проведенное специалистами Лаборатории Касперского, Symantec, ITU-IMPACT и CERT-Bund/BSI над управляющими серверами вредоносной программы Flame — позволило сделать ряд важных выводов. Во-первых, разработка кода командных серверов в рамках данной платформы началась еще в декабре 2006 года. А судя по комментариям в исходном коде, над проектом работало минимум четыре программиста. Код командного сервера поддерживает три протокола передачи данных. Что самое интересное, он обрабатывает запросы четырех разных вредоносных программ, обозначенных авторами как SP, SPE, FL и IP.

Из этих четырех вредоносных программ в данный момент известны две: Flame и SPE (miniFlame).

Исходя из полученных данных, можно сделать следующий вывод, история с кибершпионажем должна получить продолжение в ближайшем будущем.


Статистика

Все статистические данные, использованные в отчете, получены с помощью распределенной антивирусной сети Kaspersky Security Network (KSN). Данные получены от пользователей KSN, подтвердивших свое согласие на их передачу.


Угрозы в интернете
Статистические данные получены на основе работы веб-антивируса, защищающего пользователей в момент загрузки вредоносного кода с зараженной веб-страницы. Зараженными могут быть сайты, специально созданные злоумышленниками, и взломанные легитимные ресурсы, в том числе веб-ресурсы, контент которых создается пользователями (например, форумы).


Детектируемые объекты в интернете
В третьем квартале 2012 года было отражено 511 269 302 атак, проводившихся с интернет-ресурсов, размещенных в разных странах мира. Всего в данных инцидентах было зафиксировано 165 732 уникальных модификаций вредоносных и потенциально нежелательных программ.


TOP 20 детектируемых объектов в интернете

TOP 20 Detect obiektov v Internet

* Детектирующие вердикты модуля веб-антивируса. Информация предоставлена пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
** Процент от всех веб-атак, зафиксированных на компьютерах уникальных пользователей.

В этом рейтинге по-прежнему обнаруживаются:

  • Вредоносные ссылки из черного списка - 90% всех срабатываний веб-антивируса (+6% по сравнению с предыдущим кварталом). Использование технологии моментальных апдейтов через "облако" позволило заблокировать 4% вредоносных ссылок. Это ссылки на сайты, которые только что были взломаны или созданы злоумышленниками, и на них стали попадать пользователи. Если у пользователя не установлен антивирус, то при встрече с подобным сайтом его ждет drive-by атака.

  • Trojan-Downloader.SWF.Voleydaytor.h - обнаруживается на различных сайтах категории "18+". Под видом обновления программы просмотра видео на компьютеры пользователей доставляются различные вредоносные программы.

  • AdWare.Win32.IBryte.x - распространяется как загрузчик популярных бесплатных программ. После запуска она загружает нужную пользователю бесплатную программу и заодно устанавливает рекламный модуль. С этой программой сталкиваются в основном пользователи Internet Explorer.

  • Hoax.HTML.FraudLoad.i - угроза, с которой сталкиваются в основном любители бесплатно скачать различные фильмы и программы. Т.е., это веб-страницы, на которых пользователи якобы могут скачать контент, но для этого им требуется отправить платное SMS-сообщение. Если пользователь отправляет сообщение, то вместо искомого файла он получает либо txt-файл c инструкцией по использованию поисковиков, либо зловред.


Последнее место в TOP 20 занимает Exploit.Java.CVE-2012-4681.gen — эксплойт, обнаруженный в конце августа и использующий сразу две уязвимости в Java. Эксплойт интересен тем, что он использовался и в целевых атаках (APT), и в составе наборов эксплойтов для массового заражения.

12 позиций рейтинга занимают вредоносные программы и их компоненты, работающие на доставку троянов на компьютер пользователя с помощью эксплойтов.


Страны, на ресурсах которых размещены вредоносные программы
Данная статистика показывает, в каких странах мира физически расположены сайты, с которых загружаются вредоносные программы. Для определения географического источника веб-атак использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен данный домен, и установление географического местоположения данного IP-адреса (GEOIP).

86% веб-ресурсов, используемых для распространения вредоносных программ, расположены в десяти странах мира. Этот показатель увеличивается на 1% уже два квартала подряд.

Raspred po stranam web resyrsov s vredonos prog IIIkv 2012
Распределение по странам веб-ресурсов, на которых размещены вредоносные программы
Третий квартал 2012 года

В рейтинге стран по количеству вредоносных хостингов поменялись местами:

  • Россия - 23,2%;
  • США - 20,3%.


За прошедшие три месяца:

  • выросла доля хостингов, расположенных на территории РФ - (+8,6%);
  • снизилась доля хостингов в США - (-9,7%);
  • рост количества вредоносных хостингов в Голландии - (+5,8%).


На веб-ресурсы, расположенные в России, США, Голландии - приходится 60% вредоносного контента.

Процент вредоносных программ, распространяемых с веб-ресурсов страны, остался практически неизменным во всех остальных странах из TOP 10 за исключением Великобритании (-2,6%).


Страны, в которых пользователи подвергались наибольшему риску заражения через интернет

TOP 20 Stran s naibolshem riskom zarajeniya PK cherez Internet IIIkv 2012
20 стран, в которых отмечен наибольший риск заражения компьютеров через интернет*
Третий квартал 2012 года

*При расчетах исключались страны, с числом пользователей ЛК меньше 10 тысяч.
** Процент уникальных пользователей, подвергшихся веб-атакам, от всех уникальных пользователей продуктов ЛК в стране.

В прошлом квартале первая двадцатка полностью состояла из стран постсоветского пространства, Африки и Юго-Восточной Азии. Сейчас в нее попали две страны из Южной Европы:

  • Италия - 36,5%;
  • Испания - 37,4%.


Все страны можно разбить на несколько групп.

  1. Группа максимального риска. Страны, где более 60% пользователей по крайней мере один раз столкнулись со зловредами в интернете. В эту категорию стран попали:
    • Таджикистан - 61,1%;
    • Россия - 58%.

  2. Группа повышенного риска. В эту группу с результатом 41-60% вошли 10 стран из TOP 20, что на 8 меньше, чем в прошлом квартале. В эту группу вошли:
    • Россия - 58%;
    • Казахстан - 54,9%;
    • Белоруссия - 49,6%;
    • Украина - 46,1%.

  3. Группа риска. В эту группу с показателями 21-40% попали 99 стран:
    • Индия - 38,4%;
    • Испания - 37,4%;
    • Италия - 36,5%;
    • Литва - 33,5%;
    • Китай - 33,4%;
    • Турция - 33,3%;
    • США - 32,4%;
    • Бразилия - 32,9%;
    • Англия - 30,2%;
    • Бельгия - 28,3%;
    • Франция - 28,2%.

  4. Группа самых безопасных при серфинге в интернете стран. В эту группу вошли 27 стран с показателями 10,6-21%.


Меньше всего процент пользователей, атакованных при просмотре страниц в интернете, в

  • Японии - 13,6%;
  • Дании - 17,7%;
  • Тайване - 15,4%;
  • Гонконге - 19,3%;
  • Люксембурге - 19,7%;
  • Словакии - 20,7%;
  • Сингапуре - 20,9%.

Risk zarajeniya cherez Internet PK polzov v raznih stranah IIIkv 2012
Риск заражения через интернет компьютеров пользователей в разных странах
Третий квартал 2012 года

В группу наиболее безопасных при веб-серфинге стран входят страны Африки. Предполагается, что невысокий процент атакованных через интернет пользователей связан с тем, что интернет в этих странах еще слабо развит.

В среднем 36,7% компьютеров всех пользователей KSN в течение квартала хотя бы раз подвергались атаке при серфинге в интернете. Средняя доля атакованных машин по сравнению с предыдущим кварталом уменьшилась на 3%.


Локальные угрозы
В этой главе анализируются статистические данные, полученные на основе работы антивируса, сканирующего файлы на жестком диске в момент их создания или обращения к ним, и данные по сканированию различных съемных носителей информации.


Детектируемые объекты, обнаруженные на компьютерах пользователей
В третьем квартале 2012 года антивирусные решения KSN успешно заблокировали 882 545 490 попыток локального заражения на компьютерах пользователей.

Всего при попытке запуска на компьютерах пользователей (on-access scanner) было заблокировано 328 804 уникальных модификаций вредоносных и потенциально нежелательных программ.

TOP 20: Детектируемые объекты, обнаруженные на компьютерах пользователей

TOP 20 Detect obnaruj na PK polzov v IIIkv 2012

Данная статистика представляет собой детектирующие вердикты модулей OAS и ODS антивируса, предоставленные пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
* Процент уникальных пользователей, на компьютерах которых антивирус детектировал данный объект, от всех уникальных пользователей продуктов ЛК, у которых происходило срабатывание антивируса.

Первые строчки рейтинга занимают:

  • Trojan.Win32.Generic - 17,1%. Вердикт, выдаваемый эвристическим анализатором при проактивном детектировании множества вредоносных программ.

  • DangerousObject.Multi.Generic - 15,6%. Вредоносные программы, обнаруженные с помощью "облачных" технологий. Эти технологии работают, когда в антивирусных базах еще нет ни сигнатуры, ни эвристики для детектирования вредоносной программы, но в облаке антивирусной компании уже есть информация об объекте. По сути, так детектируются самые новые вредоносные программы.


Шестнадцатое, восемнадцатое и двадцатое места заняли рекламные программы. Новичком третьего квартала стало семейство AdWare.Win32.RelevantKnowledge (0,3%). Программы этого семейства встраиваются в браузер и периодически создают окно опроса пользователей.


Страны, в которых компьютеры пользователей подвергались наибольшему риску локального заражения
У пользователей KSN, предоставляющих информацию, вредоносный файл по крайней мере один раз был найден на каждом третьем (32,5%) компьютере - на жестком диске или на съемном носителе, подключенном к нему. Это на 3,9% меньше, чем в прошлом квартале.

TOP 20 Stan po urovnu zarajennosti PK IIIkv 2012
Уровень зараженности компьютеров** — TOP 20 стран*
Третий квартал 2012 года

* При расчетах исключались страны, с числом пользователей ЛК меньше 10 тысяч.
** Процент уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы, от всех уникальных пользователей продуктов ЛК в стране.

Как и в прошлом квартале, первая двадцатка полностью состоит из стран Африки, Ближнего Востока и Юго-Восточной Азии. Доля компьютеров с заблокированным вредоносным кодом у лидера — Бангладеш составила 90,9% (—7,3%).

В случае с локальными заражениями мы также можем сгруппировать все страны по уровню зараженности:

  1. Максимальный уровень заражения - более 60%. Данная группа уменьшилась на 9 стран и сейчас состоит из 11 стран:
    • из азиатского региона (Индия, Вьетнам, Непал и др.);
    • Ближнего Востока (Афганистан);
    • Африки (Судан, Мали, Танзания и др.).

  2. Высокий уровень заражения - 41-60%. 39 стран мира, в том числе:
    • Индонезия - 53,5%;
    • Египет - 46%;
    • Таиланд - 42,3%;
    • Китай - 41,4%;
    • Филиппины - 44,3%.

  3. Средний уровень заражения - 21-40%. 56 стран, в том числе:
    • Турция;
    • Мексика;
    • Израиль;
    • Португалия;
    • Италия;
    • Россия;
    • Испания.

  4. Наименьший уровень заражения. Эта группа увеличилась на 8 стран и теперь в нее входит 31 страна, среди которых:
    • США;
    • Австралия;
    • Канада;
    • Новая Зеландия;
    • Пуэрто-Рико;
    • 19 европейских стран (в том числе Норвегия, Эстония, Франция);
    • две азиатских страны (Япония и Гонконг).

Risk local zaraj PK vraznih stranah IIIkv 2012
Риск локального заражения компьютеров в разных странах
Третий квартал 2012 года



ТОР 10: Самые безопасные страны по уровню локального заражения

TOP 10 Samih bezopasnih stran po urovnu local zaraj IIIkv 2012

В этом списке появилась новая страна — Ирландия, занимающая 10 строчку с 15,5% компьютеров, на которых были заблокированы вредоносные программы на различных носителях информации.


Уязвимости

В третьем квартале 2012 года на компьютерах пользователей KSN было обнаружено 30 749 066 уязвимых приложений и файлов. В среднем на каждом уязвимом компьютере было обнаружено 8 различных уязвимостей.

Первые две строчки заняли уязвимости в продуктах Java от компании Oracle. Они были обнаружены на 35% и 21,7% уязвимых компьютеров.

Пять позиций рейтинга занимают продукты компании Adobe:

  • проигрыватель Flash Reader;
  • проигрыватель Shockwave;
  • популярное приложение для чтения pdf-документов Reader.


Также в рейтинг вошли две программы производства Apple:

  • QuickTime player;
  • iTunes.


А также популярный проигрыватель медиа-файлов Winamp производства Nullsoft.

TOP 10 Proizvodit produktov s uyazvimostyami IIIkv 2012
Производители продуктов с уязвимостями из TOP 10
Третий квартал 2012 года

Все уязвимости из TOP 10 дают возможность злоумышленнику с помощью эксплойтов получить полный контроль над системой. Как и во втором квартале, три уязвимости предоставляют злоумышленнику возможность получить доступ к конфиденциальной информации. Обе уязвимости в Flash Player позволяют обойти встроенные в приложение механизмы защиты. В рейтинг также попали уязвимости, предоставляющие возможность манипулирования данными и проведения DDoS- и XSS-атак.

TOP 10 Raspred uyazvimostei po tipu vozdeistviya IIIkv 2012
Распределение уязвимостей из TOP 10 по типу воздействия на систему
Третий квартал 2012 года

Из списка продуктов с уязвимостями из TOP 10 исчезли продукты компании Microsoft. Это связано с тем, что механизм автообновлений в последних версиях ОС Windows хорошо отлажен.