"Лаборатория Касперского": Развитие киберугроз в ноябре 2011 года

Источник: SecureList

Ноябрь в цифрах

В течение месяца на компьютерах пользователей продуктов "Лаборатории Касперского":

  • отражено 204 595 286 сетевых атак;
  • заблокировано 89 001 505 попыток заражения через Web;
  • обнаружено и обезврежено 238 045 358 вредоносных программ (попытки локального заражения);
  • отмечено 98 047 245 срабатываний эвристических вердиктов.

Ноябрь оказался относительно спокойным месяцем в отношении традиционных угроз. Авторы вредоносных программ продолжали развивать уже существующие технологии, каких-либо значимых изобретений вирусописателей зафиксировано не было.

Тема месяца. DUQU - ход исследования

Троянская программа Duqu, обнаруженная в сентябре и ставшая публично известной в октябре, в ноябре продолжала оставаться в центре внимания экспертов и средств массовой информации. Основной причиной этого стало обнаружение способа проникновения вредоносной программы в атакованные системы. Атака велась через электронную почту при помощи документа MS Word, содержащего эксплойт к ранее неизвестной уязвимости в операционной системе Windows. Ошибка в системном компоненте win32k.sys позволяла выполнить вредоносный код из файла с системными привилегиями.

Это открытие проводит очередную параллель между Duqu и Stuxnet, в котором также были использованы ранее неизвестные уязвимости. Мы еще в октябре писали о том, что обнаружение дроппера Duqu является важнейшим ключом к разгадке тайны происхождения троянца, и что этот дроппер может содержать эксплойты к подобным уязвимостям.

Экспертам "Лаборатории Касперского" удалось обнаружить оригинальное письмо с дроппером и эксплойтом, которое было отправлено жертве в Судане. Детальный анализ был опубликован в блогпосте. "Лаборатория Касперского" оперативно добавила детектирование данного эксплойта в свои продукты.

Необходимо отметить, что к началу декабря компания Microsoft еще не выпустила патч, закрывающий данную уязвимость, поэтому риск атак с ее использованием достаточно высок.

Помимо исследования уязвимости мы провели несколько операций, связанных с захватом ряда серверов управления Duqu, расположенных в разных странах мира. К сожалению, авторы Duqu оперативно отреагировали на известие о раскрытии их деятельности и 20 октября провели глобальную "зачистку следов" на всех серверах. Впрочем, кое-какие данные нам все же удалось извлечь, и расследование в этом направлении продолжается.

Вся информация, которая имеется у нас, свидетельствует о том, что Duqu был создан с целью кражи и сбора данных, относящихся к деятельности ряда иранских компаний и ведомств. Ряд признаков указывает на то, что Duqu мог существовать еще в 2007-2008 годах в виде более ранних версий, а также на то, что червь Stuxnet был создан на основе некой платформы, которая использовалась и при создании Duqu. Причем разработки Duqu и Stuxnet могли вестись параллельно, в одно и то же время.

Out of the box activity

Новые программы и технологии злоумышленников

В последнее время растет число случаев использования методов стеганографии во вредоносных программах.

В сентябре было зафиксировано использование графических файлов, содержащих скрытые команды для управления ботнетом SST. Напомним, что бот SST является модификацией широкого известного бота TDSS/TDL.

В ноябре похожая техника встретилась нам в семействе троянских программ, нацеленных на пользователей бразильских банков. Это первый случай использования стеганографии в картинках в латиноамериканских троянцах.

Файлы, содержащие зашифрованные вредоносные коды и дополнительную информацию, имели расширение jpeg, но по структуре являлись bmp-файлами. При их создании злоумышленники применили метод блочного шифра.

Используя эту технику, вирусописатели решают сразу несколько задач. Во-первых, она может привести к некорректной работе автоматических систем антивирусного анализа: файл может быть загружен, проверен антивирусными программами и охарактеризован как "чистый", и со временем ссылка вообще будет исключаться из проверки. Во-вторых, администраторы сайтов, на которых хостятся такие зашифрованные вредоносные файлы, не смогут распознать их как вредоносные, соответственно, не станут с ними ничего делать. В-третьих, у некоторых антивирусных экспертов может не оказаться времени или необходимого опыта, чтобы справиться с такими файлами. Все это, безусловно, на руку киберкриминалу.

Мобильные угрозы: SMS Trojans распространяются по всему миру

В середине июля мы писали об "отправителях порно-SMS", использовавших дорогостоящие SMS-сообщения для подписки пользователей на различные сервисы. Эти приложения были нацелены на пользователей из США, Малайзии, Нидерландов, Великобритании, Кении и Южной Африки.

В ноябре мы обнаружили SMS-троянцев, нацеленных на пользователей из нескольких Европейских стран и Канады. Вредоносные программы отправляют с зараженного устройства четыре SMS-сообщения на короткий премиум-номер. Мы детектируем данное семейство как Trojan-SMS.AndroidOS.Foncy.

Согласно сообщениям, найденным нами на форумах, первые заражения произошли в начале сентября. Кто-то загрузил приложение, якобы предназначенное для мониторинга собственных SMS/MMS сообщений, звонков и трафика. После запуска эта программа отображала сообщение о том, что она несовместима с версией ОС Android пользователя. После чего баланс пользователя опустошался.

Напомним, что до появления зловредов семейства Trojan-SMS.AndroidOS.Foncy SMS-троянцы атаковали в основном пользователей из России и Китая. Сегодня SMS-троянцы являются одним из самых простых для киберпреступников способов заработка. К сожалению, "вредоносное" использование коротких номеров и дорогостоящих SMS-сообщение начало распространение по миру, и мы уверены, что этот процесс вряд ли остановится в ближайшее время.

MacOS угрозы

В настоящее время пользователей ОС Windows нельзя удивить троянцами и червями на сайтах, распространяющих пиратские версии популярных программ. Тем не менее, для пользователей Mac OS данная напасть всё еще в новинках. Так, в самом конце октября на торрент-трекерах, распространяющих пиратские версии программ для Мас, обнаружилась новая вредоносная программа, получившая имя Backdoor.OSX.Miner. Данная вредоносная программа обладает сразу несколькими зловредными функциями:

  1. Открытие удаленного доступа к зараженному компьютеру
  2. Сбор информации об истории посещения сайтов с использованием браузера Safari
  3. Создание снимков экрана
  4. Кража файла wallet.dat из BitCoin-клиента
  5. Несанкционированный запуск BitCoin-майнера

Данная вредоносная программа распространяется сразу через несколько торрент-трекеров, таких как publicbt.com, openbittorrent.com и thepiratebay.org.

Пример торрент-трекера, распространяющего Backdoor.OSX.Miner

По нашим оценкам, к концу ноября вредоносной программой Backdoor.OSX.Miner были заражены десятки Мас-систем.

Атаки на сети корпораций и крупных организаций

Компрометация Steam

История с атаками и взломами сервисов Sony Playstation Network в начале года оказалась снова на слуху после обнаруженного в ноябре инцидента с другой игровой компанией - сервиса Steam компании Valve. Неизвестным хакерам удалось взломать форум сервиса и разослать множество сообщений со ссылками на видеоролики с инструкциями по взлому видеоигр. Компания Valve отключила сервера для исправления проблемы, и в ходе расследования был установлен факт компрометации основной базы Steam.

Скомпрометированная база данных содержала такую информацию, как имена пользователей, хешированные и "посоленные" (salted) пароли, данные о покупках игр, адреса электронной почты пользователей, адреса выставления счетов и зашифрованные реквизиты кредитных карт.

Инцидент заставил руководство Valve обратиться с письмом ко всем пользователям сервиса, информируя их об обнаруженной проблеме. В письме сообщалось, что компания не обнаружила свидетельств того, что зашифрованные номера кредитных карт или персональные данные пользователей были похищены хакерами, но "расследование продолжается". Не было получено и данных об использовании злоумышленниками кредитных карт пользователей сервиса Steam, однако руководство Valve призвало их отслеживать транзакции по банковским картам и внимательно читать выписки по карточным счетам.

Продолжаются проблемы с сертификатами

Этот год богат на инциденты с центрами сертификации. Сначала история с Comodo, затем с голландским CA DigiNotar. Кроме этого было обнаружено несколько украденных сертификатов, использованных во вредоносных программах, в том числе и в троянце Duqu. Проблема утраты "цифрового доверия" стоит в настоящее время очень остро, и надежных способов ее решения пока не найдено.

В ноябре еще один голландский центр сертификации, компания KPN, обьявила о том, что стала жертвой атаки хакеров, и приостановила выдачу сертификатов.

Причиной этого стала брешь, обнаруженная на веб-сервере KPN, обслуживающем инфраструктуру открытых ключей (PKI). Атака произошла не менее 4 лет назад.

Компания KPN, более известная благодаря своему телеком-бизнесу, четыре года назад купила компанию Getronics. Бывшая Getronics, так же, как и DigiNotar, имеет право выдавать сертификаты. Как и DigiNotar, KPN имеет право выпускать "специальные" сертификаты для правительственных и публичных сервисов Нидерландов. KPN является более крупным центром сертификации, чем DigiNotar. После компрометации серверов DigiNotar многие голландские организации обратились к услугам KPN.

Пока неясно, можно ли исключить взлом сервера(-ов) центра сертификации. Кроме того, необходимо получить ответ на вопрос, каким образом утилита для осуществления DDoS-атак оставалась необнаруженной в течение четырех лет.

Особенно интересно, что заявление KPN можно понять как подтверждение того, что уже выпущенные сертификаты останутся валидными (независимо ни от чего).

Еще более серьезный инцидент произошел с малазийским центром сертификации Digicert (CA Digicert Malaysia). Он был удален из списка доверенных центров всеми производителями браузеров и компанией Microsoft. На такие меры пришлось пойти из-за выявленных фактов выпуска данным центром 22 сертификатов со слабыми 512-битными ключами и сертификатов без необходимых расширений, определяющих ограничения на использование сертификатов, и без информации о сроке действия.

Представитель Microsoft Джерри Брайант (Jerry Bryant) сказал, что нет никаких признаков того, что какой-либо из этих сертификатов был получен мошенническим путем, однако слабые ключи позволили взломать некоторые из них.

Примечательно, что в ноябре также было обнаружено несколько вредоносных программ, подписанных сертификатом, выданным Malaysian Agricultural Research and Development Institute, который является правительственным учреждением. По сообщениям представителей института, сертификат ранее был у них украден. Остается открытым вопрос: если о краже было известно, почему сертификат не был вовремя отозван?

Рейтинги ноября

TOP 10 зловредов в интернете

1 Malicious URL 81,41% 0
2 Trojan.Script.Iframer 4,57% 0
3 Trojan.Script.Generic 1,67% 1
4 Trojan.Win32.Generic 0,74% -1
5 Trojan-Downloader.Script.Generic 0,61% 2
6 Trojan.JS.Popupper.aw 0,37% 3
7 Exploit.Script.Generic 0,36% -2
8 Trojan.JS.Agent.bwi 0,24% New
9 Exploit.Java.CVE-2010-4452.a 0,21% New
10 AdWare.Win32.Screensaver.i 0,16% New

TOP 10 стран, на ресурсах которых размещены вредоносные программы

1 США 26,72% 0
2 Германия 14,52% 1
3 Россия 12,58% -1
4 Нидерланды 11,67% 0
5 Украина 6,69% 0
6 Виргинские острова 3,99% 1
7 Китай 3,64% 1
8 Румыния 2,11% 2
9 Великобритания 1,45% -3
10 Канада 1,11% New

TOP 10 вредоносных хостингов

1 adv-downloader.in 11,83%
2 72.51.44.90 10,69%
3 rm-download.in 7,22%
4 69.170.135.91 6,71%
5 livestaticforus.info 6,37%
6 rx-downloader.in 6,04%
7 youtubedownload.altervista.org 3,91%
8 origin-ics.clickpotato.tv 3.87%
9 tizerplatform.com 3,60%
10 advancedadv.net 3,46%

TOP 10 вредоносных доменных зон

1 com 35509894
2 ru 14482880
3 info 5891872
4 co.in 5221964
5 in 4197274
6 net 3493864
7 org 1971202
8 me 1953502
9 tv 536867
10 pl 384305

10 стран, где пользователи подвергаются наибольшему риску заражения через интернет

1 Россия 44,88% 0
2 Армения 39,21% 0
3 Республика Корея 38,03% 6
4 Казахстан 36,86% 4
5 Беларусь 35,39% -2
6 Украина 33,43% 0
7 Азербайджан 33,14% 3
8 Судан 28,76% -1
9 Узбекистан 28,63% New
10 Молдова 28,13% New

Страница сайта http://test.interface.ru
Оригинал находится по адресу http://test.interface.ru/home.asp?artId=27735