USD 102.34 ЕВРО 106.54

Отчет о безопасности в сети от Symantec

Аналитика

Отчет о безопасности в сети от Symantec

В 2010 году Symantec зарегистрировал более 3 миллиардов атак, совершенных с помощью вредоносного кода, среди которых одна выделяется особенно— Stuxnet.


Она привлекла внимание многих и вызвала споры о ее цели, и о том, кто стоит за
нею. Это не удивительно, потому что атака была довольно сложная и с большими
последствиями. Если посмотреть на 2010 год, то можно увидеть следующие
закономерности:

1) Нацеленность  атак. Почти забыт последовавший за
Stuxnet вирус —  Hydraq, его цели были гораздо более прозаическими по
сравнению с киберсаботажем Stuxnet—кража данных. К Hydraq привлекло внимание
то, какую информацию и у кого пытались украсть – интеллектуальную собственность
у большой корпорации. Направленные атаки начались не в 2010 году и с ним не
закончатся. Кроме того, Hydraq была быстро забыта, забудут и Stuxnet, но их
влияние будет ощущаться в другом вредоносном коде еще долгое время. Stuxnet и
Hydraq учат будущих хакеров, что главная наша уязвимость – это доверие к
коллегам и друзьям. Stuxnet не смог бы достичь цели, если бы кто-то, кому
доверяют не имел бы доступа к нужным данным через  USB ключ. А Hydraq не
достиг бы цели, если бы не убедил пользователей, что ссылки и вложения, которые
они получали, идут от надежного источника.

2) Социальные сети. Не важно, на кого направлена атака, на
CEO или на члена QA команды, интернет и социальные сети предлагают достаточно
информации для изучения будущего объекта атаки и ее планирования. Мимикрируя
под друга, хакер может изучить наши интересы, добиться нашего доверия и
убедительно сыграть друга. Времена корявой грамматики, странных почтовых
адресов и очевидно вредоносных ссылок давно прошли. Хорошо исполненная атака,
построенная на социальной инженерии, почти не поддается обнаружению.

3) Уязвимости нулевого дня и руткиты. Попав внутрь
корпоративной сети, направленная атака обычно не обнаруживается, пока не
достигает цели.  Использование уязвимости нулевого дня – часть организации
скрытой атаки, поскольку позволяет устанавливать вредоносные программы без
ведома пользователя. В 2010 году было открыто 14 таких уязвимостей. Руткиты
тоже играют свою роль. Хотя руткиты – это давно известный концепт, 
технология совершенствуется, поскольку атакующие пытаются опередить тех, кто их
ловит. Большинство руткитов разрабатываются для скрытых атак. В 2010 году также
были попытки хакерских атак с использованием стандартных инструментов. Их
собирают из готовых частей, чтобы быстрее выйти на рынок.

Но инновации действуют в обоих направлениях, и инциденты, подобные Stuxnet
будут и дальше показывать пример, как изучаются направленные атаки и эти
 техники копируются  и адаптируются для массовых атак.

4) Инструментальные наборы хакера. Именно наборы хакера
(тулкиты) делают эти техники общими  для киберпреступников. Уязвимость
нулевого дня становится  уязвимостью на каждый день – тоже благодаря им.
Очевидно, что уязвимости, используемые Stuxnet, а также другие 6253 новых
уязвимостей, обнаруженных в 2010 окажутся в наборах хакера, которые продают на
нелегальном рынке. Эти инструменты  — легко доступные кибепреступникам –
также сыграли свою роль в создании более чем 286 миллионов вариантов
вредоносного кода, который был идентифицирован Symantec в 2010.

5) Угрозы для мобильных устройств. Поскольку
распространение тулкитов показывает, что киберпреступность — это бизнес, и как
таковой, он совершенно очевидно также использует мобильные системы.  Все
необходимые предпосылки для создания активного поля криминальной деятельности в
2010 в этой сфере были налицо. Количество пользователей смартфонов и других
мобильных устройств выросло достаточно, чтобы стать привлекательной для
преступников. Поскольку эти устройства работают на операционных системах,
которые имеют уязвимости. В 2010 году было обнаружено 163 таких уязвимостей, а
скрытые в приложениях трояны, стали простым и эффективным способом превратить
эту обширную базу пользователей в источник прибыли, равный прибыли, получаемой
 с ПК. Но, это все было в 2010 году. В 2011 будет новая ситуация.

2010 год в цифрах

В 2010 году Symantec нашел 286 миллионов уникальных вариантов вредоносного
кода.

Количество атак в сети увеличилось на 93%  по отношению к 2009 году. За
три месяца наблюдения из всех URL ссылок, ведущих на вредоносные сайты
63%  — укороченные ссылки, распространявшиеся через социальные сети.

Среднее число конфиденциальных записей, скомпрометированных при каждом
взломе защиты – 260 тыс.

На 42% выросло количество уязвимостей, найденных в мобильных приложениях.
Знак того, что мобильные устройства начали пользоваться пристальным вниманием
не только преступников, но и борцов с ней – количество уязвимостей, выявленных
в мобильных приложениях, выросло со 116 в 2009 году до 163.

Было найдено 6253 новых уязвимостей, а количество вендоров, затронутых этими
уязвимостями, выросло на 161% .

Было найдено 14 новых уязвимостей нулевого дня. Были затронуты такие
приложения. Как Intertnet Explorer, Adobe Reader, Adobe Flash Player.Были
затронуты и системы Industrial Control System. Только Stuxnet использовал
четыре разных уязвимости нулевого дня.

74% спама, содержащего вредоносный код, имело информацию о фармацевтических
продуктах – больше всего относилось к веб — сайтам Canadian Pharmacy и смежным
брендам.

Более 1 миллиона ботов находилось в ведении Rustock – самого большого
ботнета. За ним по количеству следовали Grum и Cutwail с сотнями тысяч ботов
каждый.

Стоимость 10 тысяч ботов составила $15. Обычно их используют для промо спама
и для DDoS атак.

Цены на украденные номера кредитных карт составили от $0,07 до $100 за
карту.

В прошлом году два основных события сыграли большую роль в общем пейзаже
криминальной активности. Под Новый год на сцену появился Hydraq (Aurora), а
летом властвовал Stuxnet.

Несмотря на то, что многие организации внедрили систему защиты от внешних
воздействий, червь Stuxnet доказал, что если в системе есть хоть малейшая дыра,
он туда залезет и нужен дополнительный уровень защиты. Иногда, чтобы проникнуть
даже в изолированные системы, ему не требуется какой-нибудь сильно сложный
прием – всего лишь USB подключаемое устройство, поэтому нужны средства защиты и
политики

 

Механизм распространения

2010

2009

1

Пересылка исполняемого файла. Вирус создает копии
себя или зараженного файла. Может распространяться через USB носители, или
устанавливаться в автозагрузочные программы

74%

72%

2

Передача файлов, CIFS. CSIF – это протокол,
который позволяет пользоваться ресурсами одного компьютера другим пользователям
Интернета. Вредоносный код копирует себя в расшаренной директории и попадает на
компьютеры других пользователей.

47%

42%

3

Удаленное использование уязвимостей. Вредоносный
код использует уязвимость, чтобы скопировать себя или заразить другой
компьютер.

24%

24%

4

Передача файла, вложения в электронных письмах.
Вредоносный код рассылается в спам письмах как вложение.  Если получатель
открывает вложение, программа запускается и заражает компьютер.

18%

25%

5

Обмен файлами, P2P. Вредоносный код копирует себя
на инфицированном компьютере в папки, которые расшарены с другими
пользователями.

8%

5%

6

Передача файлов, HTTP, встроенный URI, программы
Интернет-пейджинга. Вредоносный код пересылает себя с помощью мгновенных
сообщений как встроенный URI, при клике на него, он заразит компьютер
получателя и разошлет себя, используя его базу контактов. 

4%

5%

7

Передача файла, программы Интернет-пейджинга.
Вредоносный код разошлет себя через клиента интернет-пейджинга всему
контакт-листу жертвы.

2%

1%

8

SQL. Вредоносный код инфицирует SQL сервер,
используя SQL уязвимость – перебирая пароли по умолчанию или часто используемые
пароли администратора.

1%

2%

9

Передача файлов, HTTP, встроенный URI в теле
сообщения. Вредоносный код рассылает спам со встроенным URI в теле письма. При
клике на него происходит атака на машину получателя. В результате которой
вредоносный код устанавливает себя на ней.

<1%

<1%

10

Передача файлов, MMS вложения. Вредоносный код
использует MMS сообщения для рассылки спам сообщений с копиями себя.

<1%

<1%

 

Социальные сети+социальная инженерия=компромисс

Социальные сети остаются больным вопросом для организаций, поскольку
криминал использует информацию из профиля пользователя как источник данных для
последующей атаки на предприятие. Например, несложно догадаться о системе
мейл-адресов компании и данные о коллегах сотрудника, чтобы прислать ему
убедительный мейл, содержащий вредоносный код. Также будущие хакеры могут
воспользоваться другими данными из записей пользователя. Например, из записей
об изменения в программном или аппаратном обеспечении  предприятия,
преступники могут понять, какую систему используют в инфраструктуре компании.
 Но и это еще не все. Червь Koobface не только может рассылать с
инфицированного компьютера сообщения всем друзьям пользователя, но также может
добавлять записи на страницу профиля. Кроме этого пытается скачать себя в виде
антивируса на компьютер пользователя. Это вызывает беспокойство у
администраторов сети, в которых пользователям разрешено ходить в социальные
сети.

За три месяца наблюдений, три почти две трети ссылок с вредоносным кодом
были укороченные ссылки, пришедшие через социальные сети. Нужно также отметить,
что короткие ссылки весьма кликабельны. Только 12% из них остаются
непросмотренными.

    

 

Подготовлено НП «СОДЕЙСТВИЕ»