Исследование

Эхо Stuxnet

Неожиданные результаты исследования ландшафта атак с помощью эксплойтов под продукты Microsoft

Полная PDF-версия отчета

В «Лаборатории Касперского» мы регулярно проводим исследования, посвященные конкретному типу киберугроз. В начале этого года мы подробно исследовали финансовые киберугрозы, а в конце прошлого года – на фоне обнаружения все новых и новых уязвимостей в Java, мы исследовали ландшафт атак на пользователей наших продуктов, в которых использовались эксплойты под уязвимости в популярной программной среде компании Oracle.

Этим летом мы подготовили отчет под названием «Windows: популярность и уязвимости», в котором попытались понять, велика ли доля пользователей, использующих устаревшие версии Windows, и как часто они сталкиваются с эксплойтами под Windows и другие продукты Microsoft. Некоторые из результатов этого исследования оказались весьма неожиданным.

Летом 2010 года стало известно о существовании Stuxnet, компьютерного червя, который – как выяснилось впоследствии – был создан специально для саботажа процесса обогащения урана на нескольких предприятиях в Иране. Stuxnet стал настоящей бомбой, продемонстрировавшей, на что способно вредоносное ПО, если предельно сузить его цели и тщательно подготовиться. Для распространения червь использовал эксплойт под уязвимость CVE-2010-2568. Она представляет собой ошибку в обработке ярлыков в ОС Windows, позволяющая загружать произвольную динамическую библиотеку без ведома пользователей. Уязвимость затронула системы Windows XP, Vista, 7, а также Windows Server 2003 и 2008.

Впервые вредоносные программы, эксплуатирующие эту уязвимость, были замечены в июле 2010 года. В частности, червь Sality использовал ее для распространения собственного кода: червь генерирует уязвимые ярлыки и распространяет их в локальной сети. Стоит пользователю открыть папку, содержащую такой ярлык, как тут же начнется запуск зловредной программы. После Sality и Stuxnet эту же уязвимость использовали известные шпионские программы Flame и Gauss.

Microsoft выпустила обновление безопасности, закрывающее эту уязвимость еще осенью 2010 года. Несмотря на это, системы детектирования «Лаборатории Касперского» до сих пор регистрируют десятки миллионов срабатываний на эксплойты, использующие CVE-2010-2568. Если конкретно, то за исследуемый период было зафиксировано более 50 миллионов срабатываний на более чем 19 миллионах компьютеров по всему миру.

Весьма красноречиво и распределение операционных систем компьютеров, на которых были зафиксированы срабатывания на эксплойт под LNK-уязвимость. Львиная доля срабатываний (64,19%) за последние восемь месяцев пришлось на XP и только 27,99% — на Windows 7. Продукты «Лаборатории Касперского», защищающие серверные операционные системы Windows Server 2003 и 2008 также регулярно рапортуют об обнаружении подобных эксплойтов – 1,58% и 3,99% срабатываний соответственно. Большое количество срабатываний, приходящих от пользователей XP свидетельствует о том, что на большинстве этих компьютеров либо не установлено защитное решение, либо используется уязвимая версия Windows, либо сочетаются два фактора. Срабатывания, приходящие от серверных систем – это свидетельство наличия вредоносных ярлыков, эксплуатирующих уязвимость CVE-2010-2568, на сетевых папках с открытым доступом.

Интересно и географическое распределение всех зафиксированных срабатываний на CVE-2010-2568.


Географическое распределение срабатываний продуктов «Лаборатории Касперского» на эксплойты под уязвимость CVE-2010-2568 в период с ноября 2013 года по июнь 2014 года.

Как видно, Вьетнам (42,45%), Индия (11,7%) и Алжир (5,52%) не только в числе лидеров по проценту использования устаревшей XP, но также и в топе по числу срабатываний защитных продуктов «Лаборатории Касперского» на одну из самых опасных уязвимостей в Windows из известных на сегодняшний день. Примечательно, что по данным того же исследования, все три эти страны – среди лидеров по доле пользователей устаревшей Windows XP.

Вьетнам 38,79%
Китай 27,35%
Индия 26,88%
Алжир 24,25%
Италия 20,31%
Испания 19,26%
Россия 17,40%
Франция 12,04%
Германия 8,54%
США 4,52%

Топ-10 стран с наибольшей долей пользователей Windows XP
в общем объеме пользователей Windows

Неудивительно, что атаки, эксплуатирующие CVE-2010-2568, до сих пор так распространены. Большое количество пользователей уязвимых систем делает эксплойты под данную уязвимость эффективными даже четыре года спустя после того, как был выпущен патч, уязвимость закрывающий.

Ознакомиться с другими результатами исследования «Windows: популярность и уязвимости» можно в полной версии отчета.

Эхо Stuxnet

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике