Уязвимости и эксплойты

Сканирование по требованию: уязвимости

Рассмотрим наиболее популярные уязвимости программного обеспечения по итогам второго квартала 2009 года. Приведенные данные собраны участниками KSN с помощью on-demand сканера, уведомляющего пользователя об обнаружении уязвимости.

10 самых распространенных уязвимостей ПО, обнаруженных на компьютерах пользователей в течение второго квартала 2009 года, приведен в таблице 4:

• Secunia ID — уникальный идентификатор уязвимости
• Изменение в рейтинге — изменение позиции уязвимости относительно первого квартала 2009
• Описание — краткое описание уязвимости. Для получения подробного описания и способа исправления уязвимости необходимо пройти по указанной в соответствующей ячейке таблицы ссылке
• Частота обнаружения — процент пользователей, у которых в течение второго квартала хотя бы однократно была обнаружена соответствующая уязвимость
• Дата публикации — дата публикации данных об уязвимости
• Уровень опасности — уровень опасности уязвимости

Таблица 4. TOP 10 обнаруженных уязвимостей ПО.
Источник: «Лаборатория Касперского»

7 из 10 уязвимостей, попавших в TOP10, обнаружены в продуктах компании Microsoft. И зачастую в печати, на форумах и в иных источниках можно встретить утверждение, что продукты Microsoft значительно «дырявее» ПО других производителей. Безусловно, это не так. Необходимо подчеркнуть, что наличие ПО Microsoft во многих строках данной таблицы в первую очередь определяется популярностью ее продуктов. Что же касается уязвимостей, то, к сожалению, они обнаруживаются и будут обнаруживаться в ПО любого производителя.

Еще один факт, на который следует обратить особое внимание: многие из упомянутых уязвимостей обнаружены и закрыты разработчиками программ довольно давно. Именно это и вызывает озабоченность экспертов по безопасности, и мы не устаем повторять, что сразу по появлении обновлений следует загружать их, иначе вы своими руками открываете кибермошенникам дорогу к вашему компьютеру.

Сгруппировав десятку уязвимостей из таблицы 4, получим распределение по типам воздействия на систему (рис. 2):

Рис. 2. Распределение уязвимостей по типам воздействия.
Источник: «Лаборатория Касперского»

Как видно на рисунке 2, все уязвимости дают возможность злоумышленнику получить доступ с правами пользователя к уязвимой системе, что позволяет запускать на компьютере-жертве необходимый киберхулигану программный код, функционал которого во многом ограничивается лишь фантазией самого злоумышленника и правами владельца компьютера.

В заключение подчеркнем, что современные компьютерные системы требуют постоянного внимания со стороны пользователей и администраторов. ПО постоянно обновляется, что приводит как к закрытию существующих уязвимостей в одном ПО, так и к появлению новых уязвимостей в другом. И данное утверждение справедливо абсолютно для всех операционных систем. Не может быть ситуации, когда установленный пакет обновлений освобождает пользователя от необходимости установки новых пакетов обновлений в будущем — необходимо постоянно отслеживать ситуацию. Надеемся, что в данном вопросе приводимая в этом разделе информация окажется полезной и подскажет пользователю, где найти необходимые «заплатки».

Эксплойты

Для всех уязвимостей, о которых говорилось в предыдущей главе, киберпреступники уже создали эксплойты и используют их для совершения противоправных действий. Однако наличие уязвимостей в системе еще не означает популярность эксплойтов для них среди злоумышленников. В первую очередь популярны эксплойты с так называемой высокой пробиваемостью. Это означает высокую вероятность заражения компьютера-жертвы. Если попытаться классифицировать ПО, содержащее уязвимости, именно по этому критерию, то можно выделить два больших класса программ, пользующихся у кибермошенников повышенным вниманием:

• браузеры;
• сетевые службы.

Первый класс ПО популярен у киберпреступников, поскольку браузерами при веб-серфинге пользуются практически все пользователи, а использование эксплойтов для браузеров не требует особого труда. При посещении пользователем зараженной веб-страницы злоумышленнику необходимо лишь определить тип браузера на компьютере-жертве и загрузить в уязвимый браузер страницу с нужным эксплойтом. Заражение через веб — наиболее часто используемый метод распространения вредоносных программ, в том числе с применением популярного метода drive-by загрузок.

Уязвимости для второго класса ПО популярны, поскольку дают возможность злоумышленникам заразить компьютер без совершения его владельцем каких-либо дополнительных действий. Например, нет необходимости ждать, пока пользователь посетит зараженную web-страницу с эксплойтом — зачастую вредоносная программа в состоянии сама активироваться через уязвимую сетевую службу и дальше продолжить самостоятельное распространение по сети. В итоге использование критических уязвимостей в сетевых службах позволяет злоумышленникам распространять вредоносные программы значительно быстрее, чем с помощью других активно используемых средств.

Рассмотрим самые популярные во втором квартале 2009 года эксплойты, использующие уязвимости в браузерах и сетевых службах.

Веб-антивирус: эксплойты для браузеров

Десятка самых популярных во втором квартале 2009 года эксплойтов для браузеров приведена в таблице 5. Данные собраны участниками KSN с помощью веб-антивируса, блокировавшего вредоносный объект при попытке его загрузки на компьютер пользователя.

• Название угрозы — название эксплойта согласно классификации «Лаборатории Касперского»
• Изменение в рейтинг — изменение позиции эксплойта в рейтинге относительно первого квартала 2009 года
• Частота обнаружения — частота блокирования рассматриваемого эксплойта относительного общего числа всех обнаруженных эксплойтов

Таблица 5. десять самых популярных эксплойтов на вебе.
Источник: «Лаборатория Касперского»

На эксплойты, попавшие в TOP10, приходится почти 70% всех уникальных попыток применения эксплойтов для браузеров.

Рассмотрим подробнее тройку лидеров этого рейтинга.

Exploit.HTML.CodeBaseExec — эксплойт весьма старый, обнаружен более 6 лет назад и живет в Сети, не утрачивая своей популярности. Код эксплойта внедряется злоумышленником в HTML-страницу и использует уязвимость Arbitrary Program Execution Vulnerability в старых версиях Microsoft Internet Explorer. Исправление данной уязвимости было выпущено в марте 2002 года и может быть установлено отсюда: www.microsoft.com/windows/ie/downloads/.

Exploit.JS.Agent.agc и Exploit.JS.Agent.afh обнаружены весной 2009 года и достаточно быстро заняли первые места в рейтинге популярности. Эти эксплойты используются злоумышленниками при реализации популярного способа заражения компьютеров, носящего название «drive-by download», или drive-by загрузки (подробнее о методе «drive-by download» можно прочитать в нашей публикации на эту тему).

Половина (51%) обнаруженных на веб-сайтах эксплойтов реализована для платформы JavaScript, популярность которой весьма высока и у разработчиков веб-контента, и у злоумышленников. В связи с этим в очередной раз обращаем внимание пользователей на целесообразность включения в браузерах JavaScript только для доверенных интернет-ресурсов, что в значительной мере позволит сократить риск заражения.

IDS: эксплойты для сетевых служб

Рассмотрим другую группу популярных эксплойтов — для сетевых служб. Статистика собрана участниками KSN с помощью IDS (Intrusion Detection System — система обнаружения вторжения), блокировавшей сетевые пакеты с эксплойтами на компьютерах пользователей.

Десятка наиболее популярных во втором квартале 2009 года эксплойтов для сетевых служб приведена в таблице 6.

• Название угрозы — название эксплойта согласно классификации «Лаборатории Касперского».
• Протокол — используемый при проведении атаки сетевой протокол.
• Атакуемый порт — целевой порт атакуемой уязвимой службы.
• Изменение в рейтинге — изменение позиции эксплойта относительно первого квартала 2009 года.
• Частота обнаружения — процент использования эксплойта относительно числа использования всех эксплойтов.

Таблица 6. 10 самых популярных эксплойтов, обнаруженных IDS.
Источник: «Лаборатория Касперского»

На первую десятку эксплойтов приходится почти 87% от всех случаев перехвата IDS сетевых пакетов с эксплойтами.

Рассмотрим подробнее тройку лидеров опубликованного рейтинга.

Intrusion.Win.MSSQL.worm.Helkern — для проникновения в систему сетевой пакет с эксплойтом направляется сетевым червем Helkern на 1434-й порт компьютера с установленным MS SQL 2000. Эксплойт использует уязвимость «Buffer Overruns in SQL Server 2000 Resolution Service» MS02-039. Подробнее прочитать про данную уязвимость, а также загрузить необходимые обновления можно здесь: http://www.microsoft.com/technet/security/bulletin/MS02-039.mspx.

Intrusion.Win.NETAPI.buffer-overflow.exploit — сетевой пакет с эксплойтом для проникновения в систему направляется сетевым червем Kido на 445-й порт компьютера. Эксплойт использует уязвимость MS08-067. Подробнее прочитать про данную уязвимость, а также загрузить необходимые обновления можно здесь: http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx.

Intrusion.Win.DCOM.exploit — сетевой пакет с эксплойтом для проникновения в систему направляется сетевым червем Lovesan на 135-й порт компьютера. Эксплойт использует уязвимость «Buffer Overrun In RPC Interface» MS03-026. Подробнее прочитать про данную уязвимость, а также загрузить необходимые обновления можно здесь: http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx.

Как правило, кибермошенники начинают работу по созданию нового эксплойта практически сразу после выхода соответствующего обновления, закрывающего брешь в защите. Для создания эксплойта в большинстве случаев злоумышленникам требуется от нескольких часов до нескольких дней — именно столько времени есть у пользователей для установки соответствующего патча.

OAS: последняя линия защиты

Ниже приведена статистика заражений компьютеров пользователей, полученная в результате работы on-access сканера (OAS). ОAS — это последняя линия защиты компьютеров, на которой блокируются вредоносные программы, по каким-либо причинам не остановленные остальными компонентами антивирусной защиты, такими как почтовый антивирус, веб-антивирус и рядом других. К таким программам относятся в частности зловреды, распространяемые на флэшках, дискетах, USB HDD и других внешних носителях. OAS блокирует доступ к файловым объектам в момент их активации либо в момент записи на компьютер-жертву.

Общее число уникальных попыток заражения, заблокированных OAS во втором квартале 2009 года, по сравнению с аналогичным показателем предыдущего квартала увеличилось на 21%.

Среди всех вредоносных программ, заблокированных OAS, почти 65% представлены программами пяти поведений:

 
Рис.3. Распределение поведений вредоносных программ
по результатам 2009 Q2 (данные on-access сканера).
Источник: «Лаборатория Касперского»

Несмотря на то что во втором квартале 2009 года по сравнению с первым кварталом доля червей уменьшилась почти на 4%, основная вредоносная активность пришлась на Worm (17,12%). Основной вклад в их популярность внесли представители семейства Worm.Win32.AutoRun, которые распространяются на внешних носителях. Название семейства обусловлено тем, что при подключении носителя к компьютеру червь активируется с помощью файла “Autorun”.

Следующее по популярности поведение — Trojan. Его доля составила 16,59% всех заблокированных OAS вредоносных программ — столько же, сколько по итогам прошлого квартала. Активные представители данного поведения весьма многообразны, и это затрудняет выделение семейства, внесшего наибольший вклад в популярность поведения Trojan.

Третье место занимают Trojan-Downloader, на долю которых пришлось почти 13% — на 1,46% меньше, чем в предыдущем квартале. Своей популярностью поведение Trojan-Downloader в первую очередь обязано троянской программе Trojan-Downloader.Win32.VB.eql, написанной на VisualBasic и загружающей содержимое указанной в теле программы вредоносной ссылки.

Следующим стало поведение Virus: его доля составила 9,64%, а прирост по результатам квартала ‑ 0,64%. Основной вклад в популярность Virus внесли лидеры предыдущих кварталов, сохранившие высокую активность: Virus.Win32.Sality.aa и Virus.Win32.Virut.ce. Первый ‑ обычный файловый вирус, вызвавший эпидемию в последнем квартале прошлого года. Второй отличается интересной мишенью атаки в виде web-серверов и многоходовым механизмом заражения, о чем мы подробно писали в отчете за первый квартал 2009 года.

Последним в пятерке стало поведение Net-Worm. На него пришлось 8,37% от всех обнаруженных OAS вредоносных программ, что почти на 2% больше результатов прошлого квартала. Такой популярностью поведение обязано Net-Worm.Win32.Kido.ih. Этот сетевой червь вызвал всемирную эпидемию и использовал для своего размножения уязвимость MS08-67.

Пятерка самых популярных сред обитания вредоносных программ выглядит следующим образом (табл. 7):

Таблица 7. пять самых популярных сред обитания вредоносных программ.
Источник: «Лаборатория Касперского»

На пяти платформах, попавших в TOP, работают почти 93% всех вредоносных программ, заблокированных OAS на компьютерах пользователей. При этом на Win32 приходится более 81%, что вполне ожидаемо, учитывая, что самые популярные вредоносные программы квартала (Net-Worm.Win32.Kido, Virus.Win32.Sality и др.) работают именно на платформе Win32.

Заключение

Современные вредоносные программы отличаются многообразием способов распространения. В настоящее время, когда среднестатистический пользователь использует большое количество клиентов (почта, веб, интернет-пейджеры, P2P и т.д.), очень важно уделять внимание защите каждого канала передачи данных. В каждом трафике ‑ свои зловреды, свои пути проникновения и заражения компьютера. Современные антивирусы уже давно перестали быть простыми сканерами: на многообразие вредоносного контента необходимо отвечать многообразием подсистем защиты. Во второй части статьи мы привели цифры, иллюстрирующие работу каждой из подсистем, включенных в антивирусные продукты. Неверно думать, что если включена какая-то одна из них, то пользователь будет защищен. Когда речь идет о защите от современных вредоносных программ, лишней защиты не бывает!