CC BY
51
Эффективная защита от угроз интернет-безопасности
(Отчеты корпорации Бутап1ес)
"Отчет БутаПес об угрозах интернет-безопасности" состоит главным образом из четырех отчетов: 'О глобальных угрозах интернет-безопасности", "Об угрозах интернет-безопасности в регионе ЕМЕА (Европа, Ближний Восток и Африка)", "Об угрозах интернет-безопасности в регионе АР (Азиатско-Тихоокеанский регион)", а также "Об угрозах интернет-безопасности в секторе государственного управления", который посвящен угрозам, представляющим особый интерес для государственных учреждений и предприятий критической инфраструктуры. В совокупности эти отчеты содержат как глобальный, так и региональный анализ и обзор вредоносной деятельности в интернете, программных угроз и известных уязвимостей. Оц ениваются также тенд енц ии в области фишинга и спама, а также видимая деятельность серверов теневой экономики.
По материалам корпорации Symantec
Полезные ссылки
Подробные сведения об угрозах для современных пользователей интернета можно получить на ресурсах http://www.symantec.com/business/ theme.jsp?themeid=threatreport:
• Symantec Internet Security Threat Report
• Symantec Report on the Underground Economy
• Symantec Web-Based Attacks white paper
Корпорация БутаПес — мировой лидер в области решений для обеспечения безопасности, хранения данных и системного управления, которые помогают предприятиям и индивидуальным пользователям защищать свою информацию и управлять ею. Программное обеспечение и услуги корпорации более полно и эффективно защищают от большего числа информационных рисков, позволяя с уверенностью использовать и хранить информацию.
www.symanlec.iu
В кратком изложении "Отчета Бутап1ес об угрозах интернет-безопасности" обсуждаются текущие тенденции, ожидаемые угрозы и характер развития картины интернет-угроз на основе данных за 2008 г., содержащихся во всех четырех отчетах. Исследование призвано привлечь внимание к итоговым выводам, которые подчеркивают региональные различия и показывают, как деятельность в этих регионах влияет на вредоносную деятельность во всем мире.
Том XIV "Отчета Бутап1ес об угрозах интернет-безопасности" содержит анализ интернет-деятельности во всем мире, анализ картины интернет-угроз и является единственным общедоступным отчетом подобного рода, который содержит не только глубокий анализ данных и тенденций, но и методологии, используемые для получения этих результатов. Цель отчета состоит в публикации информации, которая помогает потребителям и предприятиям эффективно защищать свои системы сегодня и в будущем.
Этот отчет содержит итоги наблюдения за поведением интернет-угроз в течение 2008 г. и основан на крупнейших в мире источниках данных по безопасности:
• Бутапвс ЭЬЬа! ЩвЯдвпсв ЫвМсгк— свыше 240 тыс. датчиков этой сети работает более чем в 200 странах. Сеть собирает данные по безопасности по всему миру и служит аналитикам Бутап1ес беспрецедентным источником информации для идентификации, анализа, создания средств защиты и выдачи обоснованных рекомендаций в отношении новых тенденций в области атак, деятельности вредоносных программ, фишинга и спама.
• Антивирусные решения Бутапвс — свыше 130 млн. клиентских систем, серверов и шлюзов, на которых установлены антивирусные продукты, присылают отчеты о вредоносных программах, а также о шпионском и
рекламном ПО.
• База данных уязвимостей — Symantec ведет одну из самых полных в мире баз данных уязвимостей, которая охватывает свыше 32 тыс. зарегистрированных уязвимостей (более чем за два десятилетия), влияющих на более чем 72 тыс. технологий от более чем 11 тыс. поставщиков.
• BugTraq — один из самых популярных в Интернете форумов, который посвящен раскрытию информации и дискуссиям об уязвимостях и имеет около 50 тыс. прямых подписчиков.
• Symantec Probe Network — система более чем из 2,5 млн. учетных записей-приманок, а также Symantec MessageLabs Intelligence и другие технологии Symantec собирают сообщения email более чем в 86 странах и позволяют измерять деятельность спамеров и фишеров во всем мире. В 16 центрах обработки данных каждый день сканируется 5 млрд. сообщений email и более одного миллиарда веб-запросов.
• Symantec Phish Report Network — широкое сообщество по борьбе с мошенничеством, в котором предприятия, поставщики ПО безопасности и более 50 млн. потребителей сообщают о мошеннических веб-сайтах, и эти данные используются для сигнализации и фильтрации в широком спектре решений.
• Служба Symantec Security Technology and Response создана организацией Security Technology and Response (STAR). Это международная группа инженеров, аналитиков и исследователей в области безопасности, которые обеспечивают необходимую функциональность, информацию и сведения об угрозах для всех корпоративных и потребительских продуктов Symantec, предназначенных для обеспечения безопасности. STAR, центры реагирования которой расположены по всему миру, собирает сообщения о вредонос-
ных программах, поступающие более чем от 130 млн. подключенных к интернету систем, получают данные от 240 тыс. сетевых датчиков, расположенных более чем в 200 странах, и следят за более чем 32 тыс. уязвимостями в 72 тыс. технологий от 11 тыс. поставщиков. Группа использует эти обширные сведения для разработки и распространения самых действенных средств безопасности в мире.
Вредоносная деятельность растет рекордными темпами
В течение 2008 г. активность вредоносных программ продолжала расти рекордными темпами и была нацелена главным образом на кражу конфиденциальной информации из компьютеров пользователей. Согласно выпущенному компанией тому XIV "Отчета об угрозах интернет-безопасности", в 2008 г. Symantec создала свыше 1,6 млн. новых сигнатур вредоносных программ. Это превышает 60% от общего числа сигнатур вредоносных программ, созданных Symantec за всю свою историю — что свидетельствует о галопирующем росте объемов и распространении новых вредоносных программ. Эти сигнатуры помогли Symantec каждый месяц в продолжение 2008 г. блокировать в среднем более 245 млн. попыток атак со стороны вредоносных программ во всем мире. Отчет об угрозах интернет-безопасности дает общее представление о картине безопасности в Интернете и охватывает период с января по декабрь 2008 г.
Главным источником новых инфекций в 2008 г. оставался веб-серфинг, а для создания и распространения угроз злоумышленники все чаще опираются на специализированные наборы инструментов разработки вредоносных программ. Более того, 90% всех угроз, обнаруженных Symantec за отчетный период, пытались красть конфиденциальную информацию. Угрозы с возможностью регистрации нажатия клавиш — которые могут использоваться для кражи такой информации, как реквизиты онлайновых банковских счетов — составили 76% всех угроз для конфиденциальной информации, против 72% в 2007 г.
Используя данные своего недавнего Отчета о теневой экономике (Symantec Report on the Underground Economy — RUE), Symantec обнаружила, что продолжает действовать хорошо организованный черный рынок краденых конфиденциальных данных, особенно номеров кредитных карт и банковских реквизитов. Этот черный рынок процветает. Если на легитимном рынке цены на товары в связи с кризисом упали, то на черном рынке в 2008 г. они оставались такими же, как в 2007. Авторы вредоносных программ стали более устойчивыми к попыткам пресечь
их деятельность. Например, отключение двух бот-сетей, базирующихся в США, привело к значительному снижению активности бот-сетей в целом в период с сентября по ноябрь 2008 г. Однако их создатели нашли альтернативные веб-сайты для хостинга, и число инфекций, распространяемых бот-сетями, быстро вернулось к прежним уровням.
Общим источником уязвимостей в течение отчетного периода служили платформы веб-приложений. Эти готовые программные продукты предназначены для упрощения разработки новых веб-сайтов и широко применяются по всему интернету. Многие из этих платформ создавались без учета требований безопасности и имеют многочисленные пробелы в защите, что делает их уязвимыми к атакам. 63% всех уязвимостей, выявленных в 2008 г., влияют на веб-приложения, против 59% в 2007 г. Из 12 885 специфических уязвимостей типа межсайтового скриптинга, зарегистрированных в 2008 г., к моменту составления отчета были исправлены всего 3% (394). В отчете отмечается также, что вебатаки исходили из всех стран, но главным образом из США (38%), Китая (13%) и Украины (12%). Шесть из 10 стран, откуда исходило большинство атак, находятся в регионе ЕМЕА (Европа, Ближний Восток и Африка) — на их долю пришлось 45% общемировых атак, больше, чем на долю любого другого региона. В их число попала и Россия, занявшая 7 место в мировом масштабе и 3 место по региону ЕМЕА.
Отчет показал, что фишинг продолжает усиливаться. В 2008 г. БутаПес выявила 55 389 фишинговых веб-сайтов, что на 66% больше, чем в 2007 г., когда БутаПес обнаружила 33 428 хостов фишинга. 76% всех фишинговых сайтов в 2008 г. относились к сектору финансовых услуг, против 52% в
2007 г., 10% всех фишинговых сайтов в регионе ЕМЕА располагались в России.
За прошлый год Бутап1ес наблюдала общий рост уровня спама в интернете на 192%, с 119,6 млрд. сообщений в 2007 г. до 349,6 млрд. в 2008. Примерно 90% всего спама в системах электронной почты в 2008 г. распространяли бот-сети. Россия впервые заняла первое место по количеству спама, исходящего из сетей одной страны в регионе ЕМЕА и второе место в обще зачете.
К концу 2008 г. свыше 1 млн. компьютеров были заражены червем Downadup (или Сопйскег), который быстро распространяется по интернету благодаря нескольким изощренным механизмам размножения. За первый квартал 2009 г. число заражений червем Downadup/Conficker в мире превысило 3 млн. систем. В 2008 г. вредоносные программы больше всего свирепствовали в регионе ЕМЕА.
Тенденции 2008 года
В предыдущей редакции "Отчета БутаПес об угрозах интернет-безопасности" отмечалось, что вредоносная деятельность теперь опирается на веб, злоумышленники нацелены на конечных пользователей, а не на компьютеры. Онлайновая теневая экономика стала консолидированной и зрелой, и злоумышленники могут быстро адаптироваться к меняющимся условиям [1]. В 2008 г. эти тенденции не только сохранились, но и усилились.
В дополнение к этим наблюдениям Бутап1ес недавно представила детальный анализ продолжающейся консолидации деятельности в теневой экономике, изложенный в "Отчете Бутап1ес о теневой экономике" [2]. В нем делается вывод, что теневая экономика географически распределена и способна создавать миллионные доходы для хорошо организованных групп. Кроме того, она все больше превращается в самоподдерживаюшуюся систему, в которой специализированные инструменты для совершения мошенничества и краж продаются на черном рынке. Эти инструменты применяются для добычи информации, которая затем обращается в деньги, идущие на разработку новых инструментов.
Основываясь на данных и комментариях текущего "Отчета Бутап1ес об угрозах интернет-безопасности", это краткое изложение анализирует основные методы, применяемые для взлома систем индивидуальных пользователей и организаций, источники этих атак и цели, преследуемые злоумышленниками. В нем содержится обзор недавних тенденций и анализ новых тенденций, которые, по мнению Бутап1ес, станут превалирующими в ближайшем будущем.
Как взламываются системы пользователей
Главным вектором вредоносной деятельности в интернете сегодня являются веб-атаки. Непрерывный рост размеров и сложности интернета и количества людей, все чаще использующих его для широкого спектра видов деятельности, обеспечивает злоумышленников все большим числом мишеней, а также разнообразными средствами для ведения вредоносной деятельности [3]. Бутап1ес отмечает, что большинство веб-атак направлено против пользователей, которые посещают легитимные веб-сайты, взломанные злоумышленниками с целью размещения на них вредоносных программ.
В число распространенных методов взлома веб-сайтов входят: использование уязвимостей веб-приложений, работающих на сервере, путем атаки через неправильно защищенные поля ввода данных, или эксплуатация некоторых уязвимостей операционной
системы, на которой работают эти приложения. Только в 2008 г. было зафиксировано 12 885 специфических уязвимостей сайтов, причем 63% уязвимостей, зарегистрированных Бутап1ес в 2008 г., влияли на веб-приложения. Злоумышленник может использовать одну из таких уязвимостей веб-сайта или работающего на нем приложения для модификации страниц, представляемых посетителям сайта. Это может быть прямая передача вредоносного контента с самого сайта или включение в страницы тега ifrаme, который переадресует браузер пользователя на другой веб-сервер, управляемый злоумышленником. Таким образом, взлом одного веб-сайта может привести к атакам против каждого посетителя этого сайта. Обычно такие атаки нацелены на уязвимости браузеров пользователей или установленных на них плагинов.
Если это популярный, пользующийся доверием веб-сайт с интенсивным трафиком, то такая атака может привести к тысячам взломанных систем. Например, в результате одной атаки, нацеленной в числе прочих на веб-сайты ООН и правительства Великобритании, вводился вредоносный код, предназначенный для загрузки контента из управляемого злоумышленником сервера в браузеры посетителей [4]. Другая атака завершилась успешным взломом веб-сайта государственной почтовой службы Албании [5]. Подобные атаки создают идеальный плацдарм для распространения вредоносного кода, так как они нацелены на веб-сайты с интенсивным трафиком пользующихся доверием организаций.
Процесс взлома злоумышленниками отдельных веб-сайтов может быть довольно длительным. Чтобы получить доступ к максимально возможному числу веб-сайтов при помощи одного и того же механизма, злоумышленники пытаются использовать целый класс уязвимостей, стараясь найти в них что-то общее и автоматизируя свои исследования и поиски. Это позволяет взламывать сайты с эффективностью, характерной для сетевых червей.
Длинные и сложные шаги, предпринимаемые для организации успешных веб-атак, демонстрируют также усложнение методов, применяемых злоумышленниками. Хотя для получения полного доступа к системе пользователя достаточно одного серьезного пробела в защите, сегодня злоумышленники, чтобы достичь той же цели, часто объединяют несколько эксплойтов, нацеленных на проблемы средней тяжести. Например, восемь из топ-10 уязвимостей, использовавшихся в 2008 г., относятся к среднему уровню серьезности. Многие предприятия и пользователи часто в первую очередь исправляют серьез-
ные уязвимости, тогда как уязвимости среднего и низкого уровня тяжести могут откладывать на потом. Это приводит к тому, что много компьютеров остаются уязвимыми для атак с использованием таких уязвимостей в течение длительного времени. Например, из 12 885 специфических уязвимостей типа меж-сайтового скриптинга, зафиксированных Symantec в 2008 г., по данным Symantec, были исправлены всего 394 (3%).
Эти тенденции указывают на то, что вебугрозы становятся не только широко распространенными, но также усложняются и делаются все опаснее. В частности, Symantec заметила, что бот-сети (такие, как Asprox [6], которая первоначально использовалась для фишинга) переориентируются специально на эксплуатацию уязвимостей типа межсайтово-го скриптинга и заносят на взломанные вебсайты вредоносный код [7].
Во многих случаях уязвимости средней степени опасности достаточно для проведения успешных атак, если злоумышленники могут выполнить произвольный код и совершить такие действия, как добыча конфиденциальной информации или создание сетевых соединений. Часто это становится возможным благодаря способности злоумышленников взломать учетную запись вошедшего на сайт пользователя, так как для выполнения соответствующих приложений пользователю не требуется привилегий администратора. Хотя опасность уязвимостей со стороны клиента может быть ограничена применением таких мер, как ограничение веб-приложений на уровне администратора, часто это невыполнимо ввиду того, что веб-приложения применяются для доставки контента многим организациям. Для успешных атак как на отдельную клиентскую систему, так и на уровне целой организации, часто бывает достаточно уязвимостей средней степени опасности, влияющих на клиентские или настольные приложения.
Однако надо сказать, что наиболее часто используемой уязвимостью в 2008 г. была уязвимость высшей степени опасности. В предыдущих редакциях "Отчета Symantec об угрозах интернет-безопасности" отмечалось, что наблюдается уменьшение количества сетевых червей, отчасти благодаря отсутствию в компонентах операционных систем по умолчанию простых способов дистанционного использования уязвимостей. Многие сетевые черви используют для своего распространения именно такие уязвимости. Успешные черви — такие как CodeRed, [8] Nimda [9] и Slammer [10] — используют уязвимости высокой степени опасности в дистанционно доступных службах. Эти черви привели к новым мерам безопасности, таким как включение в опе-
рационные системы персональных межсетевых экранов, которые включены по умолчанию. Это помогло защитить пользователей от большинства сетевых червей, даже если эксплуатируемые уязвимости исправляются не сразу.
Такие новые уязвимости были обнаружены в конце 2008 г. в компоненте Microsoft Windows Server Service RPC Handling, которая позволяет исполнять код дистанционно. [11] Так как если включен общий доступ к файлам и принтерам, разрешена дистанционная связь с этой службой через межсетевой экран Windows, многим пользователям, чтобы защититься от попыток атак, пришлось установить патч. Вскоре после этого появился новый червь Downadup (или Conficker), который использовал эту уязвимость. [12] Downadup смог быстро распространиться, отчасти благодаря своим развитым механизмам распространения и способности распространяться через сменные запоминающие устройства. [13]
К концу 2008 г. червем Downadup было заражено значительно больше миллиона компьютеров. Заражая компьютер, Downadup использует механизм обновления через веб или сеть peer-to-peer (P2P) для загрузки своих новых версий или для установки на взломанный компьютер других вредоносных программ.
Downadup получил особенно широкое распространение в регионах APJ и Латинской Америки (LAM). [14] Эти регионы отличаются также самым высоким уровнем пиратства. [15] Так как пиратские версии программ часто не допускают использования механизмов автоматического обновления для установки исправлений безопасности (в этом случае они обнаруживаются и блокируются), вероятно, что в этих регионах многие компьютеры не защищены от червя Downadup. Уровень программного пиратства часто особенно высок в развивающихся странах с быстро растущей инфраструктурой интернета и широкополосного доступа [16].
По данным, собранным за этот отчетный период, Symantec заметила также и другие случаи значительной вредоносной деятельности в странах с быстро развивающейся инфраструктурой интернета. Например, если США остаются центром интенсивной вредоносной деятельности и продолжают занимать первое место по этому параметру — главным образом в силу высокого проникновения широкополосного доступа и сильно развитой инфраструктуры интернета, — то и в странах, для которых раньше это было нехарактерно, Symantec также наблюдает неуклонный рост вредоносной деятельности. Одним из результатов этой тенденции стало то, что эти страны могут стать базой для размещения злоумыш-
ленниками фишинговых веб-сайтов, ретрансляторов спама и другого вредоносного контента благодаря трудности организации мониторинга и фильтрации всплесков трафика в своих сетях быстрорастущими ISP
Стоит отметить также, что шесть из топ-10 стран, служащих источниками веб-атак, находятся в регионе ЕМА (табл.1) и что на долю стран ЕМЕА приходится 45% мировых вебатак — больше, чем любого другого региона.
Усиление интенсивности вредоносной деятельности в регионе ЕМЕА в 2008 г. можно проследить на примере Турции. За этот период Турция стала третьей страной-источником спама, распространяя 5% всего мирового спама, тогда как в 2007 г. она занимала 15-е место и распространяла всего 1% мирового спама (табл. 2). Рост спама можно связать также с ростом числа бот-инфицированных компьютеров в Турции. Если в 2007 г. эта страна занимала 8-е место по региону с 4% бот-сетей, то в
2008 г. она поднялась на пятое место с 9% бот-сетей. Боты часто используются для распространения спамерских сообщений, а также для размещения фишинговых сайтов или организации атак против других компьютеров.
Передислоцируя свою деятельность в разные страны, злоумышленники могут минимизировать вероятность частичного или полного отключения. Это иллюстрируется событиями после отключения расположенного в США ISP ближе к концу 2008 г. Похоже, что те, кто управлял ботами, осуществлявшими большую часть вредоносной деятельности через этого конкретного ISP, имели планы альтернативного хостинга. [17] В результате, хотя после отключения Symantec заметила значительное снижение уровня вредоносной деятельности, особенно уровня спама, вскоре все показатели возвратились к прежним уровням. Стало очевидно, что злоумышленники успешно перевели достаточное число своих командно-управляющих серверов в другое место и смогли восстановить деятельность своих бот-сетей в прежнем объеме. Учитывая, что это были три крупнейшие в мире бот-сети, не удивительно, что для серверов были быстро найдены новые места ввиду значительной прибыли, которую приносят эти бот-сети.
Чего хотят злоумышленники
Более чем когда-либо прежде злоумышленники сосредоточены на взломе систем конечных пользователей с целью финансового обогащения. В 2008 г. 78% всех угроз для конфиденциальной информации экспортировали данные пользователей и 76% применяли компонент регистрации нажатия клавиш для кражи такой информации, как реквизиты онлайновых банковских счетов. В дополне-
ние к этому 76% фишинговых атак были нацелены на бренды из сектора финансовых услуг (см. рисунок), и в этом секторе было украдено наибольшее число персональных данных. Аналогично, 12% всех утечек данных, случившихся в 2008 г., привели к раскрытию реквизитов кредитных карт. В 2008 г. средние расходы в связи с одним случаем утечки данных в США составили 6,7 млн. долл. — что на 5% больше, чем в 2007 г. — а средняя стоимость потерянного бизнеса достигла 4,6 млн. долл. [18].
Как только злоумышленник получает финансовую информацию или другие персональные данные — такие как имена, адреса и государственные идентификационные номера — он часто выставляет эти данные на продажу на черном рынке. [19] Самым популярным товаром, продаваемым на серверах черного рынка в 2008 г. были реквизиты кредитных карт, на долю которых пришлись 32% всего оборота. Вероятно, это объясняется тем, что существует множество способов кражи реквизитов кредитных карт и что краденые данные легко превратить в деньги. В теневой экономике хорошо налажена инфраструктура монетизации такой информации, что опять же указывает на развитие этой экономики. Другая причина заключается в доступности большого количества номеров кредитных карт по цене, которая при оптовых продажах может опускаться всего до 6 центов за номер.
Финансовые услуги ISP
Розничная торговля Интернет-сообщество Гос. учреждения
Онлайновые игры Компьют* оборудование Страхование Связь
Компьютерное ПО
Объем фишинговых атак по секторам
Данные по сектору финансовых услуг (апрель 2009 г.)
Данные основаны на атаках против широкого круга заказчиков Symantec. Вредоносная деятельность фиксируется службой Symantec™ Global Intelligence Network, в которую входят Symantec™ Managed Security Services и Symantec DeepSight™ Threat Management System. Это автоматизированные средства определения IP-адресов атакующих систем с целью установления стран, в
Таблица 1
Основные страны-источники веб-атак
Место Страна Пропс нт
], США 38%
2. КитаИ 13%
3. Украина 12%
4. Нидерланды 8%
5. Россия 5%
6. Великобритания 5%
7. Канада 3%
8. Япония 2%
9. Латвия 1%
10. Франция 1%
Страны-источники спама в регионе EMEA
Таблица 2
Место по региону ЕМЕАв 2008 г. Меето по региону ЕМЕА в 2007 г. Место в мире в 2008 г. Страна % по региону ЕМЕА в 2008 г. % по региону ЕМЕА б 2007 г.
1. 3 2 Россия 13% 10%
2. 8 3 Турция 12% 4%
3. 1 6 Великобритания 7% 15%
4. 4 7 Германия 6% 9%
5. 5 8 Италия 6% 6%
6. 2 9 11ольша 6% 10%
7. 111 10 Бурунди 5% <1%
S. 6 1 1 Испания т 6%
9. 7 14 Франция 4% 6%
И). 20 20 Румыния 3% 1%
Основные виды атак, направленных против предприятий финансовых услуг
Место Атака Доля
1 Non SMTP Session Start 39%
2 Generic TCP RST-ACK Flood Denial of Service Attack 36%
3 Generic TCP ACK Flood Denial of Service Attack 5%
4 Generic SMTP Invalid Command Before НЕЮ event 4%
5 Generic HTTP Buffer Overflow Attack 3%
6 Generic UDP Flood DoS Attack 2%
7 Generic HTTP Directory Traversal Attack 2%
8 Malformed HTTPS TLS Packet Detected 1%
Э Generic TCP RST Flood Denial of Service Attack 1%
10 Generic SMTP Invalid Domain Name Attack 1%
Основные атакуемые порты в секторе финансовых услуг
Место Порт Протокол Приложение Доля
1 25 TCP Email (SMTP! 36%
2 443 TCP Secure Web (HTTPS) 12%
3 SO TCP Web (HTTP) 7%
4 8116 UDP Checkpoint clustering 4%
S 389 TCP, UDP LDAP 2%
6 11 TCP, UDP Active Users 2%
7 53 TCP, UDP Web (DNS) 2%
8 162 TCP, UDP SNMP 2%
9 135 TCP, UDP DCE endpoint resolution 2%
10 1026 UDP Microsoft Messenger spam 2%
Финансовые услуги как цель атак, глобальные данные
Место Сектор Доля целенаправленных атак
1 Home user 85%
2 Financial services 13%
3 Government—state 1%
4 Accounting <1%
5 Education <1%
б Information technology <1%
7 Utilities/energy <1%
8 Manufacturing <1%
9 Health care <1%
10 Telecommunications <1%
Страны-источники атак на организации финансового сектора
Доля атак Доля
Место Страна на сектор общемировых атак
1 United States 21% 25%
2 United Kingdom 14% 6%
3 China 9% 13%
4 Germany 6% 6%
5 Brazil 4% 3%
6 Turkey 4% 2%
7 Italy 3% 3%
8 Spain 3% 3%
Э Russia 3% 2%
10 Poland 2% 1%
которых они расположены. Однако так как для дистанционной организации атак злоумышленники часто используют взломанные системы, разбросанные по всему миру, расположение атакующей системы может отличаться от местонахождения злоумышленника.
Интересно, что теневая экономика, похоже, не пострадала от мирового экономического кризиса, начавшегося в середине 2008 г. Хотя люди и сократили свои расходы, они по-прежнему остаются уязвимыми для фишинговых атак или кражи информации посредством вредоносного кода, даже если не делают покупок. Некоторые группы в теневой экономике специализируются также на производстве чистых пластиковых карт с магнитной полосой, которые можно закодировать с использованием краденых кредитных карт или данных. Для производства и распространения таких карт требуется высокий уровень организации, так как карты часто производятся в одной стране, заполняются, а затем распространяются в тех странах, откуда поступили краденые данные.
Один из выводов, который Symantec сделала из наблюдаемого растущего профессионализма в теневой экономике, заключается в том, что координация специализированных и в некоторых случаях конкурирующих между собой групп, производящих и распространяющих такие товары, как настраиваемые вредоносные программы и наборы для фишинга, привела к существенному повышению общего уровня распространения вредоносного кода. Фактически, в 2008 г. Symantec выявила во всем мире 1 656 227 вредоносных программ. Это более чем 60% от общего числа угроз, когда-либо обнаруженных Symantec.
Первым примером профессиональной подпольной организации этого типа служит Russian Business Network (RBN). По общему мнению, RBN специализируется на распространении вредоносного кода, размещении вредоносных веб-сайтов и другой преступной деятельности. Считается, что RBN несет ответственность примерно за половину инцидентов фишинга, случившихся во всем мире за прошлый год. Эту сеть также связывают со значительным объемом вредоносной деятельности в интернете и с применением компьютеров в 2007 г.
С тех пор произошло два громких случая отключения сетей ISP за вредоносную деятельность. Эти ISP размещали вредоносный код, фишинговые веб-сайты, командно-уп-равляющие серверы бот-сетей и ретрансляторы спама. В одном из упомянутых выше случаев Symantec зарегистрировала снижение уровня спама на 65% и интенсивности деятельности бот-сетей на 30% в течение 24
часов после отключения ISP [20]. Может показаться удивительным, что отключение одного ISP может привести к столь резкому сокращению масштабов вредоносной деятельности за столь короткий период, однако, как уже отмечалось, вредоносная деятельность становится все более организованной и подготовленной к непредвиденным обстоятельствам, способным ее нарушить. Большая часть этой деятельности была просто перенесена в другие места. В данном случае ISP даже вновь объявился на короткое время, что дало группе возможность восстановить контроль над управляемыми ею бот-сетями.
Становится все более очевидным, что для работы на фоне усложняющейся картины угроз, ввиду высокой степени организованности преступных групп, требуется лучшая кооперация. Это доказало агрессивное распространение червя Downadup в последние месяцы 2008 и в начале 2009 г. Так как этот червь имеет множество механизмов распространения, некоторые из которых используют серьезную уязвимость сетевой службы, он смог очень быстро распространиться. Еще тревожнее то, что червь содержит механизм обновления, позволяющий устанавливать на зараженный компьютер его новые версии или другие угрозы, такие, как боты. Механизм обновления сообщает червю список доменных имен для загрузки и установки новых файлов. В результате для борьбы с этим червем была образована специальная коалиция.
Одним из первых ее шагов стало успешное воспроизведение генератора доменных имен, который использует Downadup, и прогнозирование доменных имен, которыми червь воспользуется для своего обновления. Это позволило Symantec превентивно регистрировать эти домены, прежде чем червь обратится к ним. Сложность Downadup потребовала новых нетрадиционных методов борьбы с ним.
Заключение
Изменения в наблюдаемой картине угроз — такие как повышенная сложность и изощренность атак, эволюция организации злоумышленников и атак, а также перемещение вредоносной деятельности в развивающиеся страны — указывает не только на преимущества, но и на необходимость усиления кооперации. Для компаний, специализирующихся на безопасности, государственных и академических учреждений и других организаций не остается ничего другого, как вместе противостоять этим угрозам.
Ушли в прошлое те времена, когда адекватных мер безопасности, инструментов и знаний было достаточно для отражения всех
угроз. Продолжающееся усложнение и совершенствование угроз требует от заинтересованных сторон организованного отпора вредоносной деятельности.
Symantec ожидает, что вредоносная деятельность будет и дальше перемещаться в регионы с развивающейся инфраструктурой, где пока может быть недостаточно ресурсов для борьбы с усиливающейся преступной деятельностью в онлайновой теневой экономике. Долг организаций, учреждений и других хорошо осведомленных групп объединить усилия для помощи этим регионам. Интернет-угрозы поистине глобальны, и если позволить вредоносной деятельности процветать в одном месте, она может легко распространиться по всему миру и затронуть каждого.
Ввиду повышающейся адаптивности разработчиков вредоносного кода и их способности избегать обнаружения Symantec ожидает, что неприкрытые атаки либо исчезнут совсем, либо уйдут глубже в подполье. Например, если усилия по организации вредоносного ISP превышают доходы, которые злоумышленники смогут получить до его отключения, вероятно, что они предпочтут другие векторы атак, чтобы оставаться необнаруженными и избежать наказания. Это уже наблюдается в форме использования каналов связи HTTP и P2P такими угрозами, как Downadup. Ввиду распределенной природы этих каналов управления становится гораздо труднее заблокировать всю сеть и найти стоящих за ней людей или группу.
Значительный рост числа новых вредоносных угроз в сочетании с использованием вебтехнологий в качестве механизма распространения также указывает на усиливающуюся потребность в более действенных и коллективных мерах безопасности. Хотя антивирусное сканирование, эвристические методы обнаружения и предотвращение вторжений продолжают оставаться жизненно важными мерами безопасности для организаций и индивидуальных пользователей, все большее значение будут приобретать новые технологии, такие как защита на основе репутации. Легитимные приложения с тысячами пользователей имеют лучшую репутацию, чем вредоносные программы, которые устанавливаются лишь на небольшом количестве компьютеров. Позволяя работать на компьютере только программному обеспечению с хорошей репутацией, можно предотвратить установку любого, самого нового вредоносного кода.
Фокусом угроз 2008 г. оставались индивидуальные пользователи, а конечной целью — финансовое обогащение злоумышленников. Однако последние продолжали развивать и модернизировать свои методы, чтобы повы-
сить потенциальные прибыли. Если одни преступные группы появлялись и исчезали, то другие крупные организации продолжают существовать и консолидировать свою деятельность. Эти псевдокорпорации и их кратковременные конкуренты остаются передовым отрядом вредоносной деятельности и в текущем году.
Литература
1. http://eval.symantec.com/mktginfo/enter-prise/white_papers/b-whitepaper_exec_summary_ internet_security_threat_report_xiii_04-2008.en-us.pdf
2. http://eval.symantec.com/mktginfo/enter-prise/white_papers/b-whitepaper_underground_ economy_report_11-2008-14525717.en-us.pdf
3. http://www.verisign.com/static/043939.pdf
4. http://news.cnet.com/8301-10789_ 3-9925637-57.html
5. http://albmasters.com/?p=3
6. http://www.symantec.com/security_response/ writeup.isp?docid=2007-060812-4603-99
7. http://www.messagelabs.com/mlireport/ MLIReport_Annual_2008_FINAL.pdf; p. 33
8. http://www.symantec.com/security_response/ writeup.jsp?docid=2001-071911-5755-99
9. http://www.symantec.com/security_response/ writeup.jsp?docid=2001-091816-3508-99
10. http://www.symantec.com/securily_response/ writeup.jsp?docid=2003-012502-3306-99
11. http://www.securityfocus.com/bid/31874
12. http://wwwsymantec.com/security_response/ writeup.jsp?docid=2008-112203-2408-99
13. https://forums2.symantec.com/t5/ Malicious-Code/Downadup-Attempts-at-Smart-Network-Scanning/ba-p/382114 — А233
14. https://forums2.symantec.com/t5/ Malicious-Code/Downadup-Geo-location-Fingerprinting-and-Piracy/ba-p/380993 — А228
15. http://arstechnica.com/old/content/2008/ 01/bsa-piracy-economic-impact-is-tens-of-billions-of-dollars.ars
16. htlp://findarticles.com/p/arh'cles/mi_m0EIN/ is_2008_May_14/ai_n25411795
17. http://www.theregister.co.uk/2008/11/ 18/short_mccolo_resurrection/
18. http://www.encryptionreports.com/down-load/Ponemon_COB_2008_US_090201.pdf .
19. http://eval.symantec.com/mktginfo/ enter-prise/white_papers/b-whitepaper_ underground_economy_report_11-2008-14525717.en-us.pdf
20. http://eval.symantec.com/mktginfo/enter-prise/white_papers/b-whitepaper_ underground_economy_report_11-2008-14525717.en-us.pdf.
