Уязвимости

В данном разделе мы уделим внимание самым распространенным в третьем квартале 2009 года уязвимостям, обнаруженным в пользовательском ПО, а также рассмотрим, какие изменения произошли за квартал. 10 самых распространенных уязвимостей ПО, обнаруженных на компьютерах пользователей в течение третьего квартала 2009 года, приведены в Таблице 2.

Таблица 2. TOP 10 обнаруженных уязвимостей ПО. Источник: «Лаборатория Касперского».

В силу широкого распространения ПО компании Microsoft, 6 из 10 самых популярных уязвимостей приходится именно на ее продукты. 3 из 10 уязвимостей были обнаружены в ПО компании Adobe (в прошлом квартале в TOP 10 продуктам Adobe была отведена только одна строка рейтинга). Как и в прошлом квартале, не может не огорчать неторопливость пользователей: сплошь и рядом относительно «старые» уязвимости не закрываются в течение длительного времени. Сгруппировав уязвимости из TOP 10 по типам воздействия на систему, получим следующую картину:

 

Распределение уязвимостей из TOP 10 по типам воздействия

По сравнению с прошлым кварталом радикальных изменений в распределении уязвимостей по типам воздействия не произошло: все уязвимости, попавшие в TOP 10, дают возможность получения доступа к системе для выполнения произвольного кода. При этом все остальные возможности, которые дает уязвимость, уже второстепенны − весь необходимый функционал злоумышленник может реализовать при запуске произвольного кода на скомпрометированной системе. По этой причине первоочередной задачей пользователей является оперативная установка обновлений, которые позволяют «закрыть» существующие уязвимости. Что касается уязвимостей, приведенных в Таблице 2, то подробную информацию о патчах для уязвимых систем пользователь может найти, перейдя по ссылкам, приведенным в таблице. Подчеркнем, что для всех рассматриваемых уязвимостей уже существуют эксплойты, с помощью которых злоумышленники атакуют системы пользователей.

Эксплойты

В данном разделе мы рассмотрим самые распространенные по результатам третьего квартала 2009 года эксплойты, направленные против сетевых служб и ПО, установленного на компьютерах пользователей − в первую очередь, браузеров. Популярность эксплойтов, нацеленных на сетевые службы, связана с тем, что распространение вредоносного кода при этом происходит без каких-либо действий со стороны пользователя – необходим лишь работающий компьютер, подключенный к сети. В случае сетевой атаки через браузер пользователь должен зайти на вредоносную страницу. Именно в результате такого посещения злоумышленник через уязвимый браузер или другое уязвимое ПО может незаметно внедрить на атакуемый компьютер вредоносный код. Начнем с эксплойтов, направленных на уязвимые сетевые службы. Статистика собрана с помощью IDS (Intrusion Detection System − системы обнаружения вторжений), блокировавшей сетевые пакеты с эксплойтами на компьютерах пользователей.

Десятка наиболее популярных во втором квартале 2009 года эксплойтов для сетевых служб приведена в Таблице 3.

На первую десятку эксплойтов приходится 88,61% всех перехваченных IDS сетевых пакетов с эксплойтами, что на 2% больше, чем в прошлом квартале. По итогам третьего квартала пятерка лидеров осталась неизменной, а вот состав второй части TOP 10 изменился: Intrusion.Win.Messenger.exploit перекочевал с 8-го на 18-е место, утратив сразу 10 позиций, а Intrusion.Unix.Fenc.buffer-overflow.exploit переместился с 9-го на 11-е место, потеряв 2 позиции. Каковы же новички в третьем квартале? Один из них − Intrusion.Generic.OmniWeb.Alert.format-string.exploit, который переместился сразу на 9 позиций вверх (с 15-го на 6-е место). Это generic- сигнатура для ряда эксплойтов, использующих уязвимость в парсерах строк web-серверов, в результате которой некорректно анализируются параметры GET-запросов. Второй новичок рейтинга носит имя Intrusion.Win.PnP.exploit. Это также generic-сигнатура для нескольких эксплойтов, использующих довольно старую уязвимость PnP-сервиса ОС Windows. Популярность эксплойтов, нацеленных на узявимости в браузерах, во многом обусловлена использованием злоумышленниками широко распространенной тактики drive-by-загрузок для заражения посетителей web-страниц. Десятка самых популярных в третьем квартале 2009 года эксплойтов, использующих уязвимости в ПО на компьютерах пользователей, приведена в Таблице 4. Данные о вредоносных объектах, заблокированных веб-антивирусом при попытке их загрузки на компьютеры пользователей, были собраны с помощью KSN.

Таблица 4. 10 самых популярных эксплойтов в интернете. Источник: «Лаборатория Касперского».

Все эксплойты из TOP 10 атакуют уязвимые браузеры. При этом в третьем квартале в список наиболее распространенных в интернете эксплойтов не попал ни один из представителей аналогичного рейтинга за второй квартал. Несмотря на то, что вредоносный контент в интернете обновляется весьма и весьма динамично, ситуация, когда 100% представителей TOP 10 являются новичками, достаточно редка. При этом все они используют JavaScript, что лишний раз говорит в пользу включения в браузерах JavaScript только при посещении доверенных ресурсов. Более половины представленных в TOP 10 эксплойтов используют критическую уязвимость MS09-32 в браузерах Internet Explorer версий 6 и 7 и детектируются продуктами «Лаборатории Касперского» как семейство DirektShow. Уязвимость затрагивает ОС Windows XP, 2003, Vista, 2008. Для защиты от эксплойтов, использующих эту уязвимость, необходимо отключить ActiveX в настройках браузера либо установить соответствующее обновление. Еще два представителя TOP 10 относятся к семейству JS.Sheat, которое использует уязвимости в продуктах Microsoft Office. Exploit.JS.Pdfka использует уязвимость при загрузке pdf-документов, Exploit.JS.ActiveX – довольно старую популярную уязвимость в функции Collab.collectEmailInfo. Хотелось бы еще раз напомнить, что основным средством защиты компьютеров пользователей от эксплойтов является своевременная установка патчей. Надеемся, что приведенная в данной главе информация поможет пользователям быстрее находить необходимые патчи, а сетевым администраторам даст почву для размышлений о том, какие сетевые службы целесообразно защищать в первую очередь.

Интересные происшествия квартала и новинки в мире киберпреступлений

Закончив со статистикой, перейдем к обзору наиболее интересных событий в мире киберпреступлений. Где лучше расположить С&C, чтобы он был постоянно доступен и не привлекал лишнего внимания? Этим вопросом задаются все ботмастера мира, и каждый решает эту задачу по-своему: кто-то делает мигрирующий C&C, кто-то взламывает легитимные сайты, а кто-то и вовсе создает децентрализованный ботнет. Однако есть еще один способ – спрятать трафик от/к C&C ботнета в общем потоке легитимных соединений. А где сейчас больше всего пользователей? Конечно же, в социальных сетях! Этого давно ждали многие специалисты по компьютерной безопасности, и в третьем квартале наши ожидания, увы, оправдались − были обнаружены ботнеты, управляемые с помощью социальных сетей. Трафик от/к командным центрам таких ботнетов легко проходит через файерволы, ведь социальные сети считаются вполне легитимными сайтами. Первыми были обнаружены ботнеты, создаваемые вредоносными программами Trojan-Banker.Win32.Banker.alwa и Trojan-Banker.Win32.Banker.alwe и использующие в качестве C&C аккаунт в сети Twitter. Как следует из названия, эти ботнеты были построены для кражи данных, связанных с финансовыми операциями пользователей. Злоумышленники управляли ботнетом, используя всего 140 символов (именно такое ограничение введено для постингов в сети Twitter).

 

Аккаунт в сети Twitter, использовавшийся для управления ботнетом

Однако такой способ спрятать C&C имеет один большой минус для злоумышленников: обнаружив в сети подозрительный аккаунт, администраторы могут быстро его отключить, а без C&C от такого ботнета нет никого толка. Чтобы избежать этого, злоумышленники создали несколько C&C: они одновременно управляли ботнетом и через Twitter, и через социальную сеть Jaiku, принадлежащую интернет-гиганту Google, о чем мы писали в нашем блоге.

 

Аккаунт в сети Jaiku, также использовавшийся для управления ботнетом

Одной их самых громких новостей Рунета стала утечка данных десятков тысяч пользователей социальной сети ВКонтакте. База украденных аккаунтов была сформирована с помощью двухшаговой атаки: на первом этапе компьютер пользователя заражался простой вредоносной программой, изменявшей host-файл и перенаправлявшей участника сети на специальный сервер. На втором этапе пользователь, обращаясь к сайтам ВКонтаке или Одноклассники.ru, попадал на фишинговую страницу, где ему предлагалось залогиниться. После «успешного» логина пароль уходил к злоумышленникам. Опасность попадания таких данных в руки киберпреступников трудно переоценить, ведь большинство людей используют одни и те же пароли для различных служб: электронной почты, социальных сетей, ICQ и т.д. Еще одна опасность состоит в использовании украденных персональных данных пользователей для создания фальшивых аккаунтов, которые затем служат для распространения спама и вредоносных программ. С технической точки зрения ничего сложного в создании аккаунтов от имени легитимного пользователя нет. Сбор необходимых для этого данных также не составляет особого труда: злоумышленнику достаточно взломать один аккаунт, чтобы получить доступ к персональным данным всех друзей пользователя. Если посмотреть на статистику, то по данным опроса, проведенного Nucleus Research, 77% всех служащих имеют аккаунты Facebook и 2/3 из них заходят в социальную сеть в течение рабочего дня − конечно же, с рабочих компьютеров. Таким образом, угрозы в социальных сетях, которые сейчас рассматриваются прежде всего как угрозы для пользователя, могут превратиться в угрозы для корпоративных сетей, если администраторы последних не начнут уделять этому вопросу больше внимания. В продолжение темы социальных сетей заметим, что сетевой червь Net-worm.Win32.Koobface, задетектированный впервые в июле 2008 года, продолжает эволюционировать. Вначале червь распространялся в сети Facebook, сейчас же список атакуемых им социальных сетей сильно разросся, и в него вошли Twitter, MySpace, Hi5, Bebo, MyYearBook, Netlog и ряд других. Как мы писали ранее в нашем веб-блоге, приемы социальной инженерии, используемые авторами Koobface, также постоянно развиваются. Мало того, что с целью загрузки новых версий червя были созданы поддельные страницы Facebook Video, выполненные очень качественно, так еще и сами сообщения, рассылаемые червем, престали повторяться (раньше рассылались одинаковые сообщения), что значительно усложнило их детектирование.

 

Поддельная страница Facebook Video

Для рассылки ссылок на Koobface используются все социальные сети, в которых он присутствует, но одной из самых эффективных является сеть Twitter. Во-первых, она очень популярна, а во-вторых, для постинга ссылок в ней используются сервисы коротких URL. Беда в том, что все укороченные ссылки выглядят совершенно одинаково, и узнать, куда ведет ссылка, пользователь может, только перейдя по ней. Для фишеров/спамеров/вирусописателей это отличный способ заманить пользователя на зараженную веб-страницу. Для защиты пользователей от вредоносного контента некоторые сервисы коротких URL (в том чистле bit.ly, используемый в Twitter по умолчанию) стали пользоваться Google SafeBrowsing. В ответ на это создатели Koobface стали генерировать случайные URL и укорачивать их, получая на выходе тысячи ничем не схожих URL вида bit.ly/[случайный хеш]. Вот так хорошие идеи, созданные с благими намерениями, попадая в руки злоумышленников, служат источником дополнительной головной боли для пользователей.

Заключение

В третьем квартале 2009 года мы не зафиксировали значительных изменений и опасных новинок в функционале вредоносных программ, действующих на компьютерах пользователей. Злоумышленники пользуются хорошо отработанными схемами зарабатывания денег, и поскольку новых схем придумано не было, действия зловредов также не изменились – они продолжают собирать компьютеры в зомби-сети, рассылать спам, воровать данные, устанавливать лже-антивирусы и т.д. Это свидетельствует о некотором застое в разработке вредоносного функционала зловредов. В то же время злоумышленники уделяют много внимания способам заражения машин пользователей. Ярким событием стало появление концептуально нового способа заражения файлов на стадии их создания с помощью заражения служебного файла, используемого при компиляции программ, написанных на Delphi. Данный язык программирования пользуется большой популярностью во многих странах, чем объясняется распространение вируса по всему миру. По результатам третьего квартала Virus.Win32.Induc занял 9-е место среди самых распространенных вредоносных программ, обнаруженных на компьютерах пользователей, хотя вредоносного функционала в Induc, к счастью, не было. Если вредоносные программы, которые загружаются на компьютеры, остались прежними, то арсенал приемов, используемых злоумышленниками для загрузки зловредов, постоянно обновляется. Вирусописатели стремятся создать эксплойты практически для каждой критической уязвимости в популярном ПО. В третьем квартале возросла частота использования drive-by-загрузок, о чем свидетельствует увеличение доли эксплойтов среди всех детектируемых программ. При этом используемые злоумышленниками эксплойты создаются и меняются очень быстро − за три месяца десятка самых популярных эксплойтов полностью обновилась. Настораживает тот факт, что по-прежнему в списке самых распространенных присутствуют уязвимости, известные достаточно давно – половина уязвимостей из десятки лидеров старше полугода, две из них были опубликованы в 2008, а одна – еще в 2007 году! Несмотря на то, что современные антивирусные средства информируют о незакрытых уязвимостях, беспечные пользователи сами оставляют открытыми лазейки, позволяющие злоумышленникам получить доступ к их компьютерам. Легитимные сайты в интернете все чаще становятся небезопасными. Администраторы веб-ресурсов должны подходить к защите от взлома как подопечных сайтов, так и собственных машин более ответственно − украденные пароли позволяют злоумышленникам получить полный контроль над сайтами. Часто веб-порталы, работающие на разных серверах и использующие для своего функционирования разное ПО, заражаются одной и той же вредоносной программой. Практически единственный способ проведения таких атак − кража паролей администраторов серверов. Как мы и предполагали в прошлых отчетах, продолжается эксплуатация доверительных отношений друзей в социальных сетях. Злоумышленники находят новые способы заставить пользователей скачать вредоносные объекты или выманить у них логины и пароли. Примечательно, что разработчики червя Koobface начинают собирать всю возможную информацию о пользователях, даже их фотографии. Поэтому владельцам аккаунтов в социальных сетях следует всерьез задуматься о том, какой объем информации о себе они хотят сделать доступным для всех желающих. Попробуем заглянуть в ближайшее будущее. Серьезных предпосылок для изменения текущей ситуации не наблюдается. Киберкриминальный рынок сейчас находится в стадии перенасыщения, когда предложение услуг превышает спрос. Множество преступников, не обладая серьезными знаниями, пользуются уже готовыми инструментами, а не создают что-то новое. Вероятно, до конца года вирусописатели по-прежнему будут уделять больше внимания способам доставки вредоносных программ на компьютеры пользователей, а не разработке нового вредоносного функционала. Однако в следующем квартале должно произойти событие, которого ждут как законопослушные пользователи, так и киберпреступники: намечен выпуск новой версии операционной системы Microsoft. Предполагается, что Windows 7 будет одной из самых защищенных операционных систем, существующих на данный момент. Такие предположения часто действуют на киберпреступников, как красная тряпка на быка − многие из них захотят проверить новый продукт ведущего мирового вендора «на прочность».