Ноябрь в цифрах
В течение месяца на компьютерах пользователей продуктов «Лаборатории Касперского»:
- отражено 204 595 286 сетевых атак;
- заблокировано 89 001 505 попыток заражения через Web;
- обнаружено и обезврежено 238 045 358 вредоносных программ (попытки локального заражения);
- отмечено 98 047 245 срабатываний эвристических вердиктов.
Ноябрь оказался относительно спокойным месяцем в отношении традиционных угроз. Авторы вредоносных программ продолжали развивать уже существующие технологии, каких-либо значимых изобретений вирусописателей зафиксировано не было.
Тема месяца. DUQU – ход исследования
Троянская программа Duqu, обнаруженная в сентябре и ставшая публично известной в октябре, в ноябре продолжала оставаться в центре внимания экспертов и средств массовой информации. Основной причиной этого стало обнаружение способа проникновения вредоносной программы в атакованные системы. Атака велась через электронную почту при помощи документа MS Word, содержащего эксплойт к ранее неизвестной уязвимости в операционной системе Windows. Ошибка в системном компоненте win32k.sys позволяла выполнить вредоносный код из файла с системными привилегиями.
Это открытие проводит очередную параллель между Duqu и Stuxnet, в котором также были использованы ранее неизвестные уязвимости. Мы еще в октябре писали о том, что обнаружение дроппера Duqu является важнейшим ключом к разгадке тайны происхождения троянца, и что этот дроппер может содержать эксплойты к подобным уязвимостям.
Экспертам «Лаборатории Касперского» удалось обнаружить оригинальное письмо с дроппером и эксплойтом, которое было отправлено жертве в Судане. Детальный анализ был опубликован в блогпосте. «Лаборатория Касперского» оперативно добавила детектирование данного эксплойта в свои продукты.
Необходимо отметить, что к началу декабря компания Microsoft еще не выпустила патч, закрывающий данную уязвимость, поэтому риск атак с ее использованием достаточно высок.
Помимо исследования уязвимости мы провели несколько операций, связанных с захватом ряда серверов управления Duqu, расположенных в разных странах мира. К сожалению, авторы Duqu оперативно отреагировали на известие о раскрытии их деятельности и 20 октября провели глобальную «зачистку следов» на всех серверах. Впрочем, кое-какие данные нам все же удалось извлечь, и расследование в этом направлении продолжается.
Вся информация, которая имеется у нас, свидетельствует о том, что Duqu был создан с целью кражи и сбора данных, относящихся к деятельности ряда иранских компаний и ведомств. Ряд признаков указывает на то, что Duqu мог существовать еще в 2007-2008 годах в виде более ранних версий, а также на то, что червь Stuxnet был создан на основе некой платформы, которая использовалась и при создании Duqu. Причем разработки Duqu и Stuxnet могли вестись параллельно, в одно и то же время.
Out of the box activity
Новые программы и технологии злоумышленников
В последнее время растет число случаев использования методов стеганографии во вредоносных программах.
В сентябре было зафиксировано использование графических файлов, содержащих скрытые команды для управления ботнетом SST. Напомним, что бот SST является модификацией широкого известного бота TDSS/TDL.
В ноябре похожая техника встретилась нам в семействе троянских программ, нацеленных на пользователей бразильских банков. Это первый случай использования стеганографии в картинках в латиноамериканских троянцах.
Файлы, содержащие зашифрованные вредоносные коды и дополнительную информацию, имели расширение jpeg, но по структуре являлись bmp-файлами. При их создании злоумышленники применили метод блочного шифра.
Используя эту технику, вирусописатели решают сразу несколько задач. Во-первых, она может привести к некорректной работе автоматических систем антивирусного анализа: файл может быть загружен, проверен антивирусными программами и охарактеризован как «чистый», и со временем ссылка вообще будет исключаться из проверки. Во-вторых, администраторы сайтов, на которых хостятся такие зашифрованные вредоносные файлы, не смогут распознать их как вредоносные, соответственно, не станут с ними ничего делать. В-третьих, у некоторых антивирусных экспертов может не оказаться времени или необходимого опыта, чтобы справиться с такими файлами. Все это, безусловно, на руку киберкриминалу.
Мобильные угрозы: SMS Trojans распространяются по всему миру
В середине июля мы писали об «отправителях порно-SMS», использовавших дорогостоящие SMS-сообщения для подписки пользователей на различные сервисы. Эти приложения были нацелены на пользователей из США, Малайзии, Нидерландов, Великобритании, Кении и Южной Африки.
В ноябре мы обнаружили SMS-троянцев, нацеленных на пользователей из нескольких Европейских стран и Канады. Вредоносные программы отправляют с зараженного устройства четыре SMS-сообщения на короткий премиум-номер. Мы детектируем данное семейство как Trojan-SMS.AndroidOS.Foncy.
Согласно сообщениям, найденным нами на форумах, первые заражения произошли в начале сентября. Кто-то загрузил приложение, якобы предназначенное для мониторинга собственных SMS/MMS сообщений, звонков и трафика. После запуска эта программа отображала сообщение о том, что она несовместима с версией ОС Android пользователя. После чего баланс пользователя опустошался.
Напомним, что до появления зловредов семейства Trojan-SMS.AndroidOS.Foncy SMS-троянцы атаковали в основном пользователей из России и Китая. Сегодня SMS-троянцы являются одним из самых простых для киберпреступников способов заработка. К сожалению, «вредоносное» использование коротких номеров и дорогостоящих SMS-сообщение начало распространение по миру, и мы уверены, что этот процесс вряд ли остановится в ближайшее время.
MacOS угрозы
В настоящее время пользователей ОС Windows нельзя удивить троянцами и червями на сайтах, распространяющих пиратские версии популярных программ. Тем не менее, для пользователей Mac OS данная напасть всё еще в новинках. Так, в самом конце октября на торрент-трекерах, распространяющих пиратские версии программ для Мас, обнаружилась новая вредоносная программа, получившая имя Backdoor.OSX.Miner. Данная вредоносная программа обладает сразу несколькими зловредными функциями:
- Открытие удаленного доступа к зараженному компьютеру
- Сбор информации об истории посещения сайтов с использованием браузера Safari
- Создание снимков экрана
- Кража файла wallet.dat из BitCoin-клиента
- Несанкционированный запуск BitCoin-майнера
Данная вредоносная программа распространяется сразу через несколько торрент-трекеров, таких как publicbt.com, openbittorrent.com и thepiratebay.org.
Пример торрент-трекера, распространяющего Backdoor.OSX.Miner
По нашим оценкам, к концу ноября вредоносной программой Backdoor.OSX.Miner были заражены десятки Мас-систем.
Атаки на сети корпораций и крупных организаций
Компрометация Steam
История с атаками и взломами сервисов Sony Playstation Network в начале года оказалась снова на слуху после обнаруженного в ноябре инцидента с другой игровой компанией – сервиса Steam компании Valve. Неизвестным хакерам удалось взломать форум сервиса и разослать множество сообщений со ссылками на видеоролики с инструкциями по взлому видеоигр. Компания Valve отключила сервера для исправления проблемы, и в ходе расследования был установлен факт компрометации основной базы Steam.
Скомпрометированная база данных содержала такую информацию, как имена пользователей, хешированные и «посоленные» (salted) пароли, данные о покупках игр, адреса электронной почты пользователей, адреса выставления счетов и зашифрованные реквизиты кредитных карт.
Инцидент заставил руководство Valve обратиться с письмом ко всем пользователям сервиса, информируя их об обнаруженной проблеме. В письме сообщалось, что компания не обнаружила свидетельств того, что зашифрованные номера кредитных карт или персональные данные пользователей были похищены хакерами, но «расследование продолжается». Не было получено и данных об использовании злоумышленниками кредитных карт пользователей сервиса Steam, однако руководство Valve призвало их отслеживать транзакции по банковским картам и внимательно читать выписки по карточным счетам.
Продолжаются проблемы с сертификатами
Этот год богат на инциденты с центрами сертификации. Сначала история с Comodo, затем с голландским CA DigiNotar. Кроме этого было обнаружено несколько украденных сертификатов, использованных во вредоносных программах, в том числе и в троянце Duqu. Проблема утраты «цифрового доверия» стоит в настоящее время очень остро, и надежных способов ее решения пока не найдено.
В ноябре еще один голландский центр сертификации, компания KPN, обьявила о том, что стала жертвой атаки хакеров, и приостановила выдачу сертификатов.
Причиной этого стала брешь, обнаруженная на веб-сервере KPN, обслуживающем инфраструктуру открытых ключей (PKI). Атака произошла не менее 4 лет назад.
Компания KPN, более известная благодаря своему телеком-бизнесу, четыре года назад купила компанию Getronics. Бывшая Getronics, так же, как и DigiNotar, имеет право выдавать сертификаты. Как и DigiNotar, KPN имеет право выпускать «специальные» сертификаты для правительственных и публичных сервисов Нидерландов. KPN является более крупным центром сертификации, чем DigiNotar. После компрометации серверов DigiNotar многие голландские организации обратились к услугам KPN.
Пока неясно, можно ли исключить взлом сервера(-ов) центра сертификации. Кроме того, необходимо получить ответ на вопрос, каким образом утилита для осуществления DDoS-атак оставалась необнаруженной в течение четырех лет.
Особенно интересно, что заявление KPN можно понять как подтверждение того, что уже выпущенные сертификаты останутся валидными (независимо ни от чего).
Еще более серьезный инцидент произошел с малазийским центром сертификации Digicert (CA Digicert Malaysia). Он был удален из списка доверенных центров всеми производителями браузеров и компанией Microsoft. На такие меры пришлось пойти из-за выявленных фактов выпуска данным центром 22 сертификатов со слабыми 512-битными ключами и сертификатов без необходимых расширений, определяющих ограничения на использование сертификатов, и без информации о сроке действия.
Представитель Microsoft Джерри Брайант (Jerry Bryant) сказал, что нет никаких признаков того, что какой-либо из этих сертификатов был получен мошенническим путем, однако слабые ключи позволили взломать некоторые из них.
Примечательно, что в ноябре также было обнаружено несколько вредоносных программ, подписанных сертификатом, выданным Malaysian Agricultural Research and Development Institute, который является правительственным учреждением. По сообщениям представителей института, сертификат ранее был у них украден. Остается открытым вопрос: если о краже было известно, почему сертификат не был вовремя отозван?
Рейтинги ноября
TOP 10 зловредов в интернете
| 1 | Malicious URL | 81,41% | 0 |
| 2 | Trojan.Script.Iframer | 4,57% | 0 |
| 3 | Trojan.Script.Generic | 1,67% | 1 |
| 4 | Trojan.Win32.Generic | 0,74% | -1 |
| 5 | Trojan-Downloader.Script.Generic | 0,61% | 2 |
| 6 | Trojan.JS.Popupper.aw | 0,37% | 3 |
| 7 | Exploit.Script.Generic | 0,36% | -2 |
| 8 | Trojan.JS.Agent.bwi | 0,24% | New |
| 9 | Exploit.Java.CVE-2010-4452.a | 0,21% | New |
| 10 | AdWare.Win32.Screensaver.i | 0,16% | New |
TOP 10 стран, на ресурсах которых размещены вредоносные программы
| 1 | США | 26,72% | 0 |
| 2 | Германия | 14,52% | 1 |
| 3 | Россия | 12,58% | -1 |
| 4 | Нидерланды | 11,67% | 0 |
| 5 | Украина | 6,69% | 0 |
| 6 | Виргинские острова | 3,99% | 1 |
| 7 | Китай | 3,64% | 1 |
| 8 | Румыния | 2,11% | 2 |
| 9 | Великобритания | 1,45% | -3 |
| 10 | Канада | 1,11% | New |
TOP 10 вредоносных хостингов
| 1 | adv-downloader.in | 11,83% |
| 2 | 72.51.44.90 | 10,69% |
| 3 | rm-download.in | 7,22% |
| 4 | 69.170.135.91 | 6,71% |
| 5 | livestaticforus.info | 6,37% |
| 6 | rx-downloader.in | 6,04% |
| 7 | youtubedownload.altervista.org | 3,91% |
| 8 | origin-ics.clickpotato.tv | 3.87% |
| 9 | tizerplatform.com | 3,60% |
| 10 | advancedadv.net | 3,46% |
TOP 10 вредоносных доменных зон
| 1 | com | 35509894 |
| 2 | ru | 14482880 |
| 3 | info | 5891872 |
| 4 | co.in | 5221964 |
| 5 | in | 4197274 |
| 6 | net | 3493864 |
| 7 | org | 1971202 |
| 8 | me | 1953502 |
| 9 | tv | 536867 |
| 10 | pl | 384305 |
10 стран, где пользователи подвергаются наибольшему риску заражения через интернет
| 1 | Россия | 44,88% | 0 |
| 2 | Армения | 39,21% | 0 |
| 3 | Республика Корея | 38,03% | 6 |
| 4 | Казахстан | 36,86% | 4 |
| 5 | Беларусь | 35,39% | -2 |
| 6 | Украина | 33,43% | 0 |
| 7 | Азербайджан | 33,14% | 3 |
| 8 | Судан | 28,76% | -1 |
| 9 | Узбекистан | 28,63% | New |
| 10 | Молдова | 28,13% | New |
Обзор вирусной активности — ноябрь 2011