Eset опубликовала обзор киберугроз для Windows за 2013 г.
Как рассказали CNews в компании, прошлый год был отмечен появлением целого ряда новых вредоносных программ, а также модификаций уже известных угроз. Файловые вирусы в 2013 г. демонстрировали некоторое падение активности, но до сих пор представляют собой серьезную угрозу. В течение года сразу три семейства данных вирусов — Win32/Sality, Win32/Ramnit и Win32/Virut — стабильно попадали в глобальный рейтинг угроз.
Такие вирусы могут заразить все исполняемые файлы (с расширениями .exe, .bat и др.), содержащиеся на ПК, а также способны поставить под удар целую корпоративную сеть, поскольку умеют распространяться и заражать сетевые диски других компьютеров, объединенных в сеть.
Самой распространенной в России вредоносной программой был и остается троян Win32/Qhost, изначально ориентированный на российских пользователей. Функционал Qhost относительно прост — программа модифицирует системный файл hosts для перенаправления пользователя на принадлежащие злоумышленникам фишинговые, рекламные или вредоносные ресурсы.
Подобные перенаправления (клики) монетизируются и приносят злоумышленникам фактическую прибыль. Также мошенники могут выманивать у пользователя аутентификационные данные с помощью фальшивых страниц, замаскированных под популярные социальные сети, отметили в Eset.
Обнаружение угроз вида HTML\IFrame используется для идентификации вредоносных элементов веб-страниц. Часто вредоносные IFrame используются для перенаправления пользователя с легального сайта на вредоносный контент или набор эксплойтов.
Кроме того, и в России, и в мире все еще высока активность вредоносных программ, которые используют INF-файлы для обеспечения автоматического запуска со съемных носителей и непосредственно в системе. Такой механизм особенно актуален для устаревших ОС, поскольку у них автозапуск со съемных носителей через Autorun-файлы по умолчанию активирован. Антивирусные продукты Eset детектируют вредоносное ПО такого рода как INF/Autorun.
В прошлом году корпорация Microsoft исправила большое количество уязвимостей для ОС Windows и ее компонентов, а также для пакета программ MS Office. Некоторые из этих уязвимостей использовались злоумышленниками для доставки вредоносного кода еще до выхода обновления (так называемые уязвимости 0-day или «нулевого дня»). Как правило, большинство из них ориентировались на изъяны в браузере Internet Explorer.
Уходящий год отметился появлением 0-day уязвимостей, которые использовались в направленных атаках. «Иными словами, злоумышленники осуществляли разработку эксплойтов не для спонтанного распространения вредоносного кода, а для атак на конкретных пользователей, преследуя вполне определенные цели», — пояснили в Eset.
В 2013 году Microsoft приходилось закрывать гораздо больше уязвимостей, чем годом ранее
В 2013 году Microsoft приходилось закрывать гораздо больше уязвимостей, чем годом ранее
Статистика по выпущенным обновлениям демонстрирует, что в 2013 г. браузер Internet Explorer, компоненты .NET и плагин к браузеру Silverlight наиболее активно использовались злоумышленниками для удаленного исполнения кода, причем в большинстве случаев такие атаки реализовывались через браузер.
Уязвимости в приложениях пакета программ Office также могут использоваться для удаленной установки вредоносного кода. По выпущенным в этом году обновлениям для Office видно, что большинство из них были направлены на устранение уязвимостей типа Remote Code Execution (удаленное исполнение кода), указали в компании.
«При таком сценарии злоумышленники создают специальный файл Office (например, doc-файл Word) и отправляют его с фишинговым письмом на адрес жертвы. Текст письма должен быть максимально убедительным, чтобы заставить пользователя открыть вложение, — отметили в Eset. — Запуская такой файл с помощью уязвимой версии Office, пользователь инициирует установку вредоносного ПО».
Согласно отчету компании, прошлый год закрепил основной тренд разделения вредоносных программ на два вида: используемые киберпреступниками для личной материальной выгоды, а также применяемые для узконаправленных атак (так называемые wateringhole) с целью компрометации определенной компании, отрасли индустрии или региона. Для многих из атак второго вида злоумышленники специально осуществляли поиск той или иной программной уязвимости, используя ее непосредственно для атаки на конкретный регион или компанию. В 2014 г., по оценкам Eset, такой тренд получит еще большее распространение.
В то же время, злоумышленники все чаще прибегают к использованию возможностей анонимной сети TOR для работы с удаленными C&C-серверами. В 2013 г. появилось несколько новых угроз с такими возможностями — например, Win32/Atrax.A, Win32/Agent.PTA, Win32/Napolar.
Одним из трендов ушедшего года стало использование распределенной архитектуры в вымогателях-шифровальщиках. «На примере Cryptolocker (Win32/Filecoder.BQ) стало очевидно, что если использовать алгоритм шифрования с открытым ключом, то у пользователя не будет иного выхода, кроме как заплатить злоумышленникам выкуп (или, в противном случае, потерять свои файлы)», — заявили в Eset. В декабре компания сообщала об обнаружении новой модификации этой программы, Cryptolocker 2.0. Кроме этого, в начале 2014 г. уже появилась информация (в блоге malwaremustdie) о новом шифровальщике, который использует схожий подход и называется PrisonLocker (PowerLocker).
Наиболее востребованным вредоносным кодом у злоумышленников, по данным компании, являются инструменты, которые используются для хищения различной конфиденциальной информации. По словам экспертов Eset, такие программы содержат в себе несколько компонентов (например, мобильный компонент, который позволяет обходить двухфакторную аутентификацию в виде кодов подтверждения SMS). Подобное вредоносное ПО является одним из самых современных методов хищения денежных средств и конфиденциальных данных пользователей, подчеркнули в компании.
В этом году была обнаружена модификация широко известного файлового вируса Expiro, которая умеет заражать как 32-битные, так и 64-битные файлы, а также обладает переносимым кроссплатформенным телом. Кроме того, многие вредоносные программы уже имеют в своем составе 64-битную полезную нагрузку. Очевидно, что киберпреступники руководствуются весьма практическими целями, поскольку 64-битных ОС в мире становится все больше, считают в Eset.
Наконец, среди Windows-трендов 2013 г. в компании отметили применение сложных вредоносных программ для атак с целью извлечения значительной выгоды. «Пример печально известного семейства ZeroAccess (Win32/Sirefef, Win64/Sirefef) показывает, что глубокое сокрытие кода в системе, нестандартные подходы к заражению файлов, а также направленность на платформу x64 позволяют злоумышленникам извлекать колоссальную выгоду», — указали в Eset. По подсчетам Microsoft Digital Crimes Unit, ботнет ZeroAccess заразил около 2 млн компьютеров, а прибыль от его деятельности составляла $2,7 млн в месяц.
Такие вирусы могут заразить все исполняемые файлы (с расширениями .exe, .bat и др.), содержащиеся на ПК, а также способны поставить под удар целую корпоративную сеть, поскольку умеют распространяться и заражать сетевые диски других компьютеров, объединенных в сеть.
Самой распространенной в России вредоносной программой был и остается троян Win32/Qhost, изначально ориентированный на российских пользователей. Функционал Qhost относительно прост — программа модифицирует системный файл hosts для перенаправления пользователя на принадлежащие злоумышленникам фишинговые, рекламные или вредоносные ресурсы.
Подобные перенаправления (клики) монетизируются и приносят злоумышленникам фактическую прибыль. Также мошенники могут выманивать у пользователя аутентификационные данные с помощью фальшивых страниц, замаскированных под популярные социальные сети, отметили в Eset.
Обнаружение угроз вида HTML\IFrame используется для идентификации вредоносных элементов веб-страниц. Часто вредоносные IFrame используются для перенаправления пользователя с легального сайта на вредоносный контент или набор эксплойтов.
Кроме того, и в России, и в мире все еще высока активность вредоносных программ, которые используют INF-файлы для обеспечения автоматического запуска со съемных носителей и непосредственно в системе. Такой механизм особенно актуален для устаревших ОС, поскольку у них автозапуск со съемных носителей через Autorun-файлы по умолчанию активирован. Антивирусные продукты Eset детектируют вредоносное ПО такого рода как INF/Autorun.
В прошлом году корпорация Microsoft исправила большое количество уязвимостей для ОС Windows и ее компонентов, а также для пакета программ MS Office. Некоторые из этих уязвимостей использовались злоумышленниками для доставки вредоносного кода еще до выхода обновления (так называемые уязвимости 0-day или «нулевого дня»). Как правило, большинство из них ориентировались на изъяны в браузере Internet Explorer.
Уходящий год отметился появлением 0-day уязвимостей, которые использовались в направленных атаках. «Иными словами, злоумышленники осуществляли разработку эксплойтов не для спонтанного распространения вредоносного кода, а для атак на конкретных пользователей, преследуя вполне определенные цели», — пояснили в Eset.
В 2013 году Microsoft приходилось закрывать гораздо больше уязвимостей, чем годом ранее
В 2013 году Microsoft приходилось закрывать гораздо больше уязвимостей, чем годом ранее
Статистика по выпущенным обновлениям демонстрирует, что в 2013 г. браузер Internet Explorer, компоненты .NET и плагин к браузеру Silverlight наиболее активно использовались злоумышленниками для удаленного исполнения кода, причем в большинстве случаев такие атаки реализовывались через браузер.
Уязвимости в приложениях пакета программ Office также могут использоваться для удаленной установки вредоносного кода. По выпущенным в этом году обновлениям для Office видно, что большинство из них были направлены на устранение уязвимостей типа Remote Code Execution (удаленное исполнение кода), указали в компании.
«При таком сценарии злоумышленники создают специальный файл Office (например, doc-файл Word) и отправляют его с фишинговым письмом на адрес жертвы. Текст письма должен быть максимально убедительным, чтобы заставить пользователя открыть вложение, — отметили в Eset. — Запуская такой файл с помощью уязвимой версии Office, пользователь инициирует установку вредоносного ПО».
Согласно отчету компании, прошлый год закрепил основной тренд разделения вредоносных программ на два вида: используемые киберпреступниками для личной материальной выгоды, а также применяемые для узконаправленных атак (так называемые wateringhole) с целью компрометации определенной компании, отрасли индустрии или региона. Для многих из атак второго вида злоумышленники специально осуществляли поиск той или иной программной уязвимости, используя ее непосредственно для атаки на конкретный регион или компанию. В 2014 г., по оценкам Eset, такой тренд получит еще большее распространение.
В то же время, злоумышленники все чаще прибегают к использованию возможностей анонимной сети TOR для работы с удаленными C&C-серверами. В 2013 г. появилось несколько новых угроз с такими возможностями — например, Win32/Atrax.A, Win32/Agent.PTA, Win32/Napolar.
Одним из трендов ушедшего года стало использование распределенной архитектуры в вымогателях-шифровальщиках. «На примере Cryptolocker (Win32/Filecoder.BQ) стало очевидно, что если использовать алгоритм шифрования с открытым ключом, то у пользователя не будет иного выхода, кроме как заплатить злоумышленникам выкуп (или, в противном случае, потерять свои файлы)», — заявили в Eset. В декабре компания сообщала об обнаружении новой модификации этой программы, Cryptolocker 2.0. Кроме этого, в начале 2014 г. уже появилась информация (в блоге malwaremustdie) о новом шифровальщике, который использует схожий подход и называется PrisonLocker (PowerLocker).
Наиболее востребованным вредоносным кодом у злоумышленников, по данным компании, являются инструменты, которые используются для хищения различной конфиденциальной информации. По словам экспертов Eset, такие программы содержат в себе несколько компонентов (например, мобильный компонент, который позволяет обходить двухфакторную аутентификацию в виде кодов подтверждения SMS). Подобное вредоносное ПО является одним из самых современных методов хищения денежных средств и конфиденциальных данных пользователей, подчеркнули в компании.
В этом году была обнаружена модификация широко известного файлового вируса Expiro, которая умеет заражать как 32-битные, так и 64-битные файлы, а также обладает переносимым кроссплатформенным телом. Кроме того, многие вредоносные программы уже имеют в своем составе 64-битную полезную нагрузку. Очевидно, что киберпреступники руководствуются весьма практическими целями, поскольку 64-битных ОС в мире становится все больше, считают в Eset.
Наконец, среди Windows-трендов 2013 г. в компании отметили применение сложных вредоносных программ для атак с целью извлечения значительной выгоды. «Пример печально известного семейства ZeroAccess (Win32/Sirefef, Win64/Sirefef) показывает, что глубокое сокрытие кода в системе, нестандартные подходы к заражению файлов, а также направленность на платформу x64 позволяют злоумышленникам извлекать колоссальную выгоду», — указали в Eset. По подсчетам Microsoft Digital Crimes Unit, ботнет ZeroAccess заразил около 2 млн компьютеров, а прибыль от его деятельности составляла $2,7 млн в месяц.