Пресс-релизы

19 марта 2007 г

Clearswift: ключевые тенденции развития вредоносного ПО в 2006 году

В 2006 вредоносное ПО, контролированное организованными криминальными группировками, распространилось по всему миру. Все это в результате привело к огромным убыткам...

В 2006 вредоносное ПО превратилось из домашней забавы для юных энтузиастов в бизнес международной организованной преступности, возглавляемой криминальными группировками. Они зарабатывают огромные деньги: впервые сумма, полученная от использования вредоносного кода (malware), превысила планку $4 млрд — это как раз те объемы, которые ежегодно зарабатывается антивирусной индустрией.

Цепочка причастных к вредоносному ПО включает разработчиков (которые пишут вредоносный код), канал продаж (посредники и сервис-провайдеры, которые являются спонсором разработчиков) и заказчиков (люди, которые рассматривают malware как путь к незаконному обогащению).

В этом года работа кипела в каждом сегменте данного рынка. Огромную активность проявляли заказчики спама и распределенных DoS-атак (denial of service) против казино и другого бизнеса; технологий spyware или фишинга, позволяющих совершить «кражу личности»; а также прибыльного adware-ПО, как части общей схемы.

Спаминг является центральным компонентом этой схемы, поскольку часто является основой для проведения интернет-афер.

Лучше мало, но дорого

Возможно, это звучит удивительно, но в 2006 не было массовых почтовых атак, присущих 2005. В самом деле, червь Nyxem в январе был последним случаем массовой рассылки писем, который мы видели в 2006 году. Но это вовсе не означает снижения активности malware, просто вместо массовых публичных атак мы наблюдали небывалый подъем в области невидимых атак.

Троянский дождь

В ретроспективе за 2005 год, проведенной Clearswift, мы выделили явление под названием Titan Rain, когда множество Троянов, по происхождению, очевидно, с Дальнего Востока, обрушились на западные правительства и высокотехнологичные компании, работающие в оборонной отрасли. Подобный электронный шпионаж значительно вырос в 2006, при этом использовалось участившееся появление эксплойтов в документах нового Microsoft Office.

Поскольку данные трояны проникают ниже радара антивирусной обороны, к этому уровню деятельности трудно получить доступ. Трояны Titan Rain рассылаются по электронной почте в небольшом количестве к реальным получателям, имитируя реальных отправителей.

При запуске, они создают «черный вход» для кражи информации. Они используют технологию руткитов для «заметания следов» и сложную технологию проникновения, которая ставит в тупик брандмауэры. Таким образом, они обычно пробивают защиту большинства целей, имеющих защиту известного качества.

День открытых дверей длиной в 28 суток

По оценкам Symantec, их разработчикам в среднем требуется 31 день, чтобы разработать, протестировать и выпустить патч для уязвимостей, обнаруженных в программе. Эксперты в Clearswift и других компаний знают, что хакеру надо всего три дня, чтобы создать эксплойт. А это значит, что еще остается потенциально 28 дней, когда уязвимость открыта для всех, и такого периода времени достаточно даже для менее профессиональных хакеров.

Технологические особенности

Большинство таких троянов используют уязвимости документов Microsoft Office, к примеру, переполнение буфера, которое в результате приводит к краху приложений (Word, Excel или Powerpoint), так что атакующие могут запустить вредоносный код сразу после этого. Некоторые образцы, которые мы исследовали, достаточно интеллектуальные, чтобы удалить вредоносный код, внедренный в документы Office, заметая таким образом следы своего присутствия. Таинственным образом Word зависает лишь при первом открытии документа, но никогда более.

Однако злоумышленники не ограничиваются исключительно эксплойтами Office. В начале января, через несколько дней после объявления о найденной уязвимости в формате Windows Metafile (WMF), тысячи высокопоставленных чиновников в Британском парламенте получили email-сообщения с присоединенным файлом, который по описанию являлся картой, где было обозначено местонахождение будущей встречи. При открытии файла инсталлировался backdoor-код.

Прочие «знаменитые» трояны 2006 года

В прошлом году трояны доминировали в лиге вредоносного кода. Исследователь по безопасности Джо Стюарт из Secureworks изложил свои наблюдения касательно другого известного Трояна – SpamThru Trojan, его ботнет-сетей (BOTNET =roBOT + NETwork, временно созданная крупная сеть зараженных ПК), спам-активности и самого источника.

В принципе, это не такое уж необычное явление, когда вредоносный код, просочившись в компьютерную систему, пытается удалить в этой системе другую инфекцию. Однако то, как это делает троян SpamThru, заслуживает восхищения! Он загружает на компьютер пиратскую копию приложения Kaspersky Antivirus for Wingate, и удаляет с его помощью любую конкурентную «заразу». Соответствующий отчет отправляется на контрольный сервер.

Боты используют прокси-серверы, чтобы избежать занесения их IP-адресов в черный список anti-spam-сервисами. SpamThru функционирует в качестве системы массового распространения спама. По некоторым оценкам ботнет способен рассылать до миллиарда спам-писем каждый день.

Графический спам на подъеме

Никто не ожидал такого огромного количества графического спама летом 2006 года. Этот спам был построен по достаточно простому принципу — вначале картинка с рекламным текстом на неоднородном фоне, далее следует некая печатная информация случайного содержания в формате plain-text. Однако такая уловка оказалась довольно удачной – OCR-системы спам-фильтров не справлялись с распознаванием данных сообщений, вследствие чего они беспрепятственно попадали в почтовый ящик пользователя

Мультимедиа-файлы

Потенциально, наиболее серьезный вектор угрозы, которая появилась в 2006 — мультимедиа-файлы. Они использовалось в Cross-Site Scripting-атаках на сайты класса Social Network Site, например MySpace. (Cross-Site Scripting — это тип уязвимостей, позволяющий атакующему выполнять произвольный код, например JavaScript, встроив его в свое сообщение на форуме, добавив в качестве аргумента для скрипта на сервере и т. д.).

В октябре 2005 пользователь MySpace, который назвал себя Samy, создал первый Cross-Site Scripting-червь, чтобы добавить себя к списку друзей миллионов пользователей. Это была проделка, которая привела к аннулированию его учетного имени. В июле 2006 MySpace был поражен червем через Macromedia Flash, а в конце ноября — червем, использующим свойство QuickTime, которое позволяет вставлять Java-скрипты в мультимедиа-файлы.

В конце декабря исследователи обнаружили набор открытых параметров PDF, позволяющих сделать так, что любой PDF-документ на любом веб-сайте можно задействовать в атаках cross-site scripting. Для этого надо просто добавив java-скрипт к концу URL-ссылки, указывающей на удаленный (и невиновный) PDF-файл. Атаки этого типа могут быть запущены через HTML-письма или ссылки на веб-странице.

Прогноз на 2007 год: цунами приближается

Грядет засилье графического спама, кроме того, участятся атаки на сайты social networking

Пит Симпсон

Если засилье спама в 2006 году можно было сравнить с потопом, то наиболее подходящей аналогией для 2007 будет цунами.

Устойчивый рост ботнетов в слабом месте Интернета — сотнях миллионов уязвимых домашних ПК, подключенных к широкополосному Интернету — гарантируют быстро растущую базу для спам-активности.

Сложность и изощренность графического спама заметно эволюционировала в течение 2006 и будет продолжаться в 2007. Большинство графического спама, который мы видели в прошлом году, было очень простым – однотонный цвет шрифтов с простым фоном. По всей видимости, ситуация станет значительно более запутанной в этом году – мы уже видели образцы графического спама, которые выглядят почти как полотна современной живописи, содержат калейдоскопы шрифтов, волнообразные линии текста и фон с абстрактными многоугольниками или подобием случайных мазков краски.

Активность 2006 года позволяет нам предположить, чего можно ожидать в следующем году. В середине лета мы уже наблюдали серию мощных DHA-атак (Directory Harvesting Attack — метод добычи адресов e-mail, которые могут быть в дальнейшем засыпаны спам-рассылками или использованы мошенниками-фишерами) в среде базы заказчиков Clearswift. Подобная тенденция продолжилась в августе значительным ростом уровня графического спама и началом эпидемии червей семейства Warezov.

В нынешнем году масштабы возрастут

Сайты социальных сетей (Social networking) подвержены атаке более всего. Учитывая, что число пользователей-новичков сегодня превышает 100 миллионов, ресурс MySpace вместе с другими сайтами социальными сетями, такими как YouTube, представляет собой очень привлекательную и легкую цель для вредоносного кода (malware). Эти ресурсы становятся очагом фишинга. Черви становятся характерной чертой таких социальных сетей в 2007 году.

Академическая статья, опубликованная в прошлом году, описывает концепцию скопления червей (Swarm Worm) и свидетельствует о возможной совместной деятельности различных червей. Данное утверждение использует концепцию, разработанную в последнее десятилетие учеными, которые изучают поведение стаи птиц и колоний муравьев.

Концепция говорит, что применение нескольких простых правил связей между ограниченным числом равноправных участников может дать толчок для ‘интеллектуального’ поведения. К сожалению, ученые, которые предложили применить эти принципы к развитию интернет-червей следующего поколения, не представили никакого решения. Криминальные ботнеты, такие как SpamThru, стали фактически криминальными ИT-корпорациями. Остается лишь надеяться, что преступники не будут строить свои структуры на теоретической основе Swarm Worms.

Вирусы для мобилок — эпидемия не предвидится

Объемы вредоносного кода для мобильных устройств в прошлом году линейно росло, однако не достигло критической массы. Поскольку технология продвигалась вперед, благоприятные возможности для мобильного malware также немного увеличились.

Паразиты

Вирусы-паразиты вернулись после долгого отсутствия. В прошлом, это были творения юных энтузиастов, при этом, однако, располагающих высокой технической квалификацией. Спонсоры и авторы текущего malware приближаются к подобному уровню квалификации и могут комплексно использовать возможности, которые имеются у вирусов-паразитов.

версия для печати

SMS

Сообщите коллегам о последних новостях, пресс-релизах и сведениях из Каталога компаний через наш SMS-гейт.

Смотрите также

22 октября 2007 г

 • БАКОТЕК рассказал о решении проблемы утечки информации в банках на форуме БАНК-РАЗВИТИЕ – 2007
 • Телесенс» открывает новое направление деятельности – внедрение и сопровождение системы SAP
 • Решения Cisco для унифицированных коммуникаций стимулируют переход к технологии Web 2.0

17 октября 2007 г

 • VPN-решения Поликом Про вызвали большой интерес

16 октября 2007 г

 • «ИНТАЛЕВ» и «Абис-Софт» объединяют усилия в создании комплексной системы управления автобизнесом
 • ZOOM International открывает региональный офис в Москве

18 октября 2007 г

 • Продажи электронных словарей ABBYY Lingvo «Первый шаг» выросли в 3 раза
 • В Киеве прошла первая в СНГ и странах Балтии конференция BlogCamp
 • «Медиа Трейдинг» приступает к поставкам Flash накопителей Integral
 • Cisco завершила процесс приобретения компании Latigent