Исследование

KSN: исследование браузеров

В настоящее время самыми популярными уязвимостями, которые злоумышленники эксплуатируют при заражении компьютеров пользователей, являются уязвимости в Adobe Reader, Flash и Java. Популярность эта обусловлена тем, что эксплойты к уязвимостям в этих продуктах заражают компьютеры вне зависимости от того, какие операционные системы и браузеры используют владельцы атакуемых машин. Можно предположить, что угрозы, которым подвергаются пользователи, не зависят от того, каким именно браузером они пользуются. Мы решили провести небольшое исследование и проверить это предположение.


Иллюстрация с сайта PCMAG

Источник данных

Как известно, облачный сервис «Лаборатории Касперского» KSN собирает анонимную статистику обо всех угрозах, обнаруженных на компьютерах пользователей, которые подтвердили свое согласие на сбор и передачу данных. Полученная таким образом информация впоследствии используется для блокирования неизвестных вредоносных программ, опять же через облако.

Для исследования мы выделили в разных странах мира около 10,5 миллионов компьютеров, с которых в течение сентября в KSN регулярно поступали данные об обнаружении вредоносного кода в интернете.

При обнаружении веб-угроз в виде вредоносных скриптов, эксплойтов, зараженных файлов на сервере и т.д., к которым пытается обратиться браузер, в KSN попадает также имя браузера, пытавшегося обратиться к вредоносному объекту, и его MD5. Анализируя данные KSN, мы можем получать статистическую информацию о браузерах, установленных у наших пользователей.

Самый популярный браузер

Для начала мы подготовили статистику по популярности браузеров, установленных на компьютерах из нашей выборки.

Название браузера Количество пользователей
CHROME 3 472 506
INTERNET EXPLORER 3 324 190
FIREFOX 3 096 316
OPERA 1 575 880
SAFARI 7648
Общее количество пользователей 10406291

 

Рейтинг популярности браузеров, установленных на компьютерах пользователей

Браузер Google Chrome лидирует по количеству пользователей. Отметим, что полученный результат не противоречит результатам нескольких предыдущих исследований.

Мы также выяснили, что:

  • на одном компьютере двумя и более браузерами пользуются только около 10% пользователей;
  • в 50-60% случаев на компьютерах установлены последние версии браузеров.

Кто какой браузер предпочитает

Мы посмотрели, какие браузеры установлены у пользователей, предпочитающих разные операционные системы.


Данные об установленных ОС и браузерах у пользователей

На диаграмме мы видим, что больше всего компьютеров из нашей выборки работает под домашними версиями ОС Windows 7 x64. На этих же компьютерах среди всех браузеров лидирует Internet Explorer. Кроме того, Internet Explorer пользуется наибольшей популярностью у пользователей других домашних версий Windows 7, Windows Vista и Windows XP.

Браузер Firefox чаще всего работает под ОС Windows XP Pro, а Chrome – под профессиональными версиями Windows 7.

Отметим, что «домашними» версиями операционных систем, как правило, пользуются обычные домашние пользователи. В то же время профессиональные версии Windows XP и Windows 7 традиционно предпочитают так называемые «продвинутые» пользователи.

Какие угрозы?

Продолжая наше исследование, мы составили рейтинги угроз, с которыми чаще всего сталкиваются пользователи каждого из браузеров.


TOP 20 угроз для пользователей каждого браузера

На первых позициях в TOP 20 находятся вердикты антивируса, которые детектируют группы вредоносных объектов:

WMUF:(blocked) – вредоносные сайты, доступ к которым запрещён.
HEUR:Trojan.Script.Generic – вредоносные скрипты.
HEUR:Trojan.Script.Iframer – скрипты, выдающие IFRAME на зараженные сайты.
UFO:(blocked) – вредоносные сайты или вредоносные файлы, доступ к которым запрещен облаком.
HEUR:Trojan.Win32.Generic – файлы с вредоносным поведением.

В этих же рейтингах мы видим вредоносные программы, детектируемые преимущественно на компьютерах пользователей определенных браузеров.

На компьютерах пользователей Firefox чаще детектируются эксплойты к уязвимостям в программах от Adobe: Exploit.JS.Pdfka, Trojan-Downloader.JS.Expack, Exploit.SWF.CVE-2011-0611.

Пользователи Chrome чаще других встречаются с нежелательными рекламными программами: not-a-virus:AdWare.Win32.iBryte, not-a-virus:AdWare.Win32.ScreenSaver, not-a-virus:HEUR:AdWare.Win32.SweetIM.

Пользователи Internet Explorer чаще сталкиваются с рекламным расширением для браузера not-a-virus:WebToolbar.Win32.MyWebSearch и вредоносной рекламой https://threats.kaspersky.com/ru/threat/Trojan.JS.Popupper.

Пользователи Opera чаще других сталкиваются с вредоносной программой Trojan-Downloader.SWF.Voleydaytor.h, которую злоумышленники размещают на взломанных сайтах.

Пользователей же SAFARI в статистике вредоносных программ ничего не выделяет.

Разница списков вредоносных программ, детектируемых на компьютерах с разными браузерами, отчасти объяснятся технологическими особенностями работы браузеров, например, при работе с pdf файлами или с использованием технологии Sandbox.

На полученные результаты влияет и различное поведение в интернете разных категорий пользователей. Так, «продвинутые» пользователи более активны в Сети, чем домашние, и могут, в частности, чаще попадать на сайты с эксплойтами.

Количество отраженных атак

Сравним абсолютное количество нотификаций об успешно отраженных атаках через браузеры.

Имя процесса браузера Количество отраженных угроз
CHROME.EXE 73770843
FIREFOX.EXE 65941246
OPERA.EXE 52931615
IEXPLORE.EXE 33892596
SAFARI.EXE 114526
Общий итог 226650826

 

Данные об отраженных угрозах через браузер

Занявший второе место по популярности, браузер Internet Explorer оказался на предпоследнем месте по количеству отраженных угроз.

Если сравнить количество атак, которые пришлись в сентябре в среднем на одного пользователя каждого браузера, то мы получим такую картину:


Среднее количество отраженных угроз в расчете на одного пользователя браузера

Как видно на диаграмме, среднее количество атак, отраженных на компьютерах пользователей Chrome и Firefox, отличается незначительно и практически совпадает с усредненным показателем для пользователей всех браузеров.

Меньше всего атак отражено на компьютерах пользователей Internet Explorer, больше всего – на компьютерах, где используется Opera.

Mожно предположить, что домашние пользователи, чаще всего предпочитающие Internet Explorer, как правило, посещают ограниченное количество популярных сайтов. Соответственно, их компьютеры реже атакуются злоумышленниками, чем компьютеры «продвинутых» пользователей других браузеров, которые более рискованно ведут себя в Сети.

Выводы

Подводя итоги данного исследования, хочется отметить несколько основных пунктов:

  1. Браузер Chrome является самым популярным браузером у пользователей ЛК из нашей выборки.
  2. Пользователи, работающие под домашними версиями ОС Windows, чаще используют браузер Internet Explorer.
  3. На пользователей браузера Opera в среднем приходится самое большое количество отраженных атак.
  4. Целевые атаки злоумышленников на определенные браузеры не выявлены, тем не менее, для пользователей каждого популярного браузера есть характерные интернет-угрозы, обусловленные защитными технологиями браузера и активностью пользователей в интернете.

Данное исследование, конечно, не является полным без географического распределения пользователей браузеров и выявлением угроз, скрытых под эвристическими и поведенческими вердиктами антивируса, но будем считать это делом будущих публикаций. А пока хочется поблагодарить Юрия Наместникова и Группу проектирования и разработки баз данных, без чьей работы данное исследование не состоялось бы. Спасибо.

KSN: исследование браузеров

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике