Публикации

Отчет «Лаборатории Касперского»: Java под ударом – эволюция эксплойтов в 2012-2013 гг.

Введение: почему мы решили анализировать Java

Использование уязвимостей в легитимном программном обеспечении для атак на компьютеры пользователей – одна из самых острых проблем индустрии информационной безопасности. Уязвимости позволяют заражать компьютер вредоносным ПО незаметно для пользователя, а зачастую – и для защитного решения, установленного на компьютере.

В этом и заключается основная привлекательность эксплойтов для киберпреступников – в отличие от других способов заражения компьютера, большинство из которых основаны на социальной инженерии и далеко не всегда оказываются эффективными, метод заражения через уязвимости пока еще способен дать злоумышленникам возможность достичь цели.

Эксплойты – это специальные программы, созданные для эксплуатации уязвимостей в ПО, которым пользуются миллионы людей по всему миру. Эксплойты работают незаметно: чтобы стать жертвой преступников, пользователю достаточно случайно зайти на сайт, содержащий вредоносный код эксплойта, на взломанный сайт или открыть легитимный с виду файл с вредоносным кодом. Если на компьютере пользователя в этот момент установлена уязвимая версия программного обеспечения, необходимого для загрузки документа или некоторых элементов сайта, эксплойт сработает и незаметно загрузит с сервера злоумышленников дополнительное вредоносное ПО, которое – в зависимости от преследуемой цели – будет осуществлять нелегитимные действия: похищать персональные данные, использовать компьютер пользователя в качестве элемента бот-сети для рассылки спама и проведения DDoS-атак и т.д.

Проблема уязвимостей опасна еще и тем, что даже если пользователь опытен и знает о существовании уязвимостей, даже если он следит за актуальностью версий программного обеспечения, установленного на его ПК, это не гарантирует ему защищенность от эксплойтов. Это связано с тем, что между обнаружением уязвимости и выпуском патча, который ее закрывает, могут пройти недели, в течение которых эксплойты будут сохранять работоспособность и, соответственно, угрожать безопасности пользователей интернета. Риск в данной ситуации может быть существенно снижен, но лишь в том случае, если пользователь работает с компьютером, защищенным качественным защитным решением, включающим технологии предотвращения атак через эксплойты.

Эксплойты – это специальные программы, созданные для эксплуатации уязвимостей в ПО, которым пользуются миллионы людей по всему миру.

«Лаборатория Касперского», будучи разработчиком качественных защитных решений как для домашних, так и для корпоративных пользователей, постоянно следит за ландшафтом киберугроз. Это позволяет экспертам компании регулярно улучшать защитные технологии в продуктах и совершенствовать их для того, чтобы они могли обеспечивать защиту пользователей от наиболее актуальных угроз. Развивать защитные технологии помогает, в том числе, и анализ данных, полученных из Kaspersky Security Network – облачной инфраструктуры, объединяющей миллионы пользователей продуктов «Лаборатории Касперского» по всему миру и предоставляющей сведения, необходимые для регулярного мониторинга ситуации в области киберугроз.

Данные из Kaspersky Security Network уже послужили основой для отчета «Лаборатории Касперского», в котором эксперты компании проанализировали ситуацию в сфере легитимного ПО, часто используемого владельцами современных ПК. В результате этого исследования выяснилось, что огромное количество пользователей не обновляют уязвимые версии часто атакуемых программ, даже спустя недели после выпуска обновлений. Кроме того, было показано, что наиболее опасными с точки зрения атак являются программная среда Oracle Java, приложение для просмотра мультимедийного контента Adobe Flash Player и программа для просмотра файлов PDF Adobe Reader.

В новом исследовании мы решили сконцентрироваться на одном из этих продуктов: Oracle Java. Наш выбор был обусловлен значительным ростом атак на эту программную среду в течение года, что наглядно отражено на графике ниже.


Число атак с применением эксплойтов в 2011-2013 гг.

Java в вопросах и ответах

Что такое Java?

Java – это объектно-ориентированный язык программирования, который позволяет сравнительно легко и быстро создавать кроссплатформенные мультимедийные элементы, в том числе приложения, которые смогут работать на любой виртуальной Java-машине, вне зависимости от архитектуры компьютера. Другими словами, разработчику не нужно всякий раз переписывать приложение под новую операционную систему или браузер. Главное, чтобы для этой операционной системы или браузера существовала версия виртуальной машины Java. Эти свойства сделали Java крайне популярным инструментом среди разработчиков сайтов и программного обеспечения для различных устройств.

Почему в Java так много уязвимостей?

Во-первых, разработка Java началась во времена, когда вредоносных атак через уязвимости практически не было. Соответственно, разработчики любого программного обеспечения, в том числе Java, не задумывались о безопасности своих продуктов с этой точки зрения.

Во-вторых, тот факт, что особенно много уязвимостей находят именно в Java, свидетельствует, прежде всего, о том, что эти уязвимости ищет большое число злоумышленников. По официальным данным владельца платформы Java компании Oracle, данный продукт используется на более чем 3 миллиардах различных устройств по всему миру. Обширность аудитории – один из ключевых параметров, которыми руководствуются киберпреступники, выбирая мишени для атак. Чем больше людей используют тот или иной продукт, тем больше у преступников шансов незаконно обогатиться.

Поэтому нельзя сказать, что Java – самая уязвимая программная платформа, просто преступники осознают, что этим продуктом пользуются миллионы людей и считают целесообразным тратить ресурсы на поиск способов использовать это положение дел себе на пользу.

Что такое эксплойт-пак?

Это нелегальный программный продукт, состоящий из панели управления и набора эксплойтов под различные легитимные приложения. Эксплойт-паки представляют собой своеобразный аналог связки ключей, в которой каждый из «ключей» – отдельный эксплойт, срабатывающий в зависимости от того, какое ПО использует атакуемый пользователь. Эксплойты под уязвимости в Java могут быть использованы и в отдельности от эксплойт-пака. Например, в ходе целевой атаки, в рамках подготовки к которой злоумышленники, выяснив слабые места в IT-инфраструктуре атакуемого объекта, используют эксплойт под определенную уязвимость в версии Java на компьютере жертвы.

Как происходит атака с помощью Java-эксплойта?

Чаще всего злоумышленники заманивают пользователей на специально созданную веб-страницу, к которой уже подключен эксплойт-пак. Когда пользователь загружает страницу, встроенный в нее модуль выясняет, какой браузер использует пользователь и какие версии Java-плагинов в нем установлены. После этого из эксплойт-пака подбирается эксплойт, который автоматически загружает на компьютер вредоносную программу.

Методика: что и как мы считали

Для данного отчета мы использовали информацию, полученную от более чем 40 миллионов пользователей продуктов «Лаборатории Касперского», согласившихся предоставлять статистику в облако Kaspersky Security Network. Это данные с компьютеров, на которых в период исследования была установлена какая-либо версия программного обеспечения Oracle Java. Отчет включает статистику, поступающую от четырех защитных подсистем продуктов «Лаборатории Касперского»: веб-антивируса, файлового антивируса, эвристического анализатора и модуля Automatic Exploit Prevention.

Период исследования:

  • Мы взяли данные за период в 12 месяцев с сентября 2012 по август 2013 г. Эти 12 месяцев интересны сравнительно большим числом уязвимостей, обнаруженных в Java, – их было вдвое больше, чем за аналогичный период 2011-2012 гг. Для демонстрации изменений мы разбили 12 месяцев с сентября 2012 г. по август 2013 г. на два полугодия: с сентября 2012 года по февраль 2013 года и с марта по август 2013 года.

Предметы исследования:

  • Количество и характер уязвимостей в Java;
  • Количество и динамика атак с помощью эксплойтов, написанных под Java;
  • Количество уникальных пользователей, подвергшихся атакам, и его динамика;
  • Распределение атак и уникальных пользователей по географическому признаку;
  • Степень распространенности эксплойтов, написанных под уязвимости, открытые за исследуемый период;
  • Количество и распространенность сложных атак, обнаруженных с помощью уникальной технологии «Лаборатории Касперского» Automatic Exploit Prevention.

Основные результаты

Результаты исследования показали, что это были очень напряженные 12 месяцев как для компании Oracle, так и для пользователей Java, которые подверглись огромному количеству атак.

  • В ПО Java различными компаниями и экспертами в области инфобезопасности было обнаружено более 160 уязвимостей, шесть из которых носили статус критических.
  • «Лабораторией Касперского» было зафиксировано более 14,1 миллиона атак через эксплойты в Java. Рост в соотношении с аналогичным периодом 2011-2012 гг. составил 33,3%.
  • Количество атак росло и в течение года. Так, за 6 месяцев с марта по август 2013 года было зарегистрировано более 8,54 миллиона атак, что более чем на 52,7% превышает показатели предыдущего полугодия.
  • Всего за год было атаковано более 3,75 миллиона пользователей защитных решений «Лаборатории Касперского» по всему миру.
  • В период с марта по август 2013 года количество атакованных пользователей выросло в сравнении с предыдущим полугодием примерно на 21% до 2 миллионов уникальных пользователей.
  • Около 80% атак пришлось всего на десять стран. Больше всего атак пришлось на США (26,2%), Россию (24,5%), Германию (11,7%) и Италию (3,6%).
  • Канада, США, Германия и Бразилия – в лидерах по темпу роста количества атак. Эти же страны, а также Франция, лидируют по темпу прироста количества атакованных пользователей.
  • Более 50% атак пришлось на инциденты с участием всего шести семейств эксплойтов.
  • Технология «Лаборатории Касперского» Automatic Exploit Prevention за 12 месяцев заблокировала 4,2 миллиона сложных атак, направленных на более чем 2 миллиона пользователей.

Разумеется, все эти тенденции имеют особенности. Далее мы рассмотрим их более подробно.

Часть 1. Год уязвимостей в Java

Прежде всего, исследуемый период оказался особенно «жарким» для продукта Oracle в плане открытых уязвимостей. За это время была обнаружена 161 уязвимость в различных версиях Java: в основном, в 1.5, 1.6 и 1.7 – наиболее распространенных версиях этого программного продукта. Для сравнения: за аналогичный период 2011-2012 гг. в открытый доступ попали данные о 51 уязвимости.

В качестве источника данных для графика ниже мы использовали базы данных датской фирмы Secunia, агрегирующей информацию об уязвимостях в легитимном программном обеспечении. Как видно на графике, за исследуемый период эта компания выпустила восемь Secunia Advisory (сообщений об обнаружении уязвимостей в Java), в некоторых из которых количество вновь обнаруженных уязвимостей достигало 40. За аналогичный период 2011-2012 гг. было выпущено пять Secunia Advisory.


Число уязвимостей в Java в 2012-2013 гг.

Красным отмечены Secunia Advisory, в которых было объявлено об обнаружении критических уязвимостей. Источник: Secunia

Впрочем, необходимо отметить, что абсолютное большинство уязвимостей, обнаруженных в Java, не представляют большой опасности. Вместе с тем почти в каждом Advisory, выпущенном за исследуемый период, содержалась как минимум одна уязвимость, эксплуатация которой может привести к заражению компьютера. В совокупности лишь два Advisory за период с сентября по август 2012-2013 гг. не содержали уязвимостей с высоким уровнем опасности – те, что были выпущены 20 февраля и 19 июня 2013 года. Всего же за этот период специалисты «Лаборатории Касперского» выделили шесть наиболее опасных уязвимостей в Java и «научили» антивирусные технологии в продуктах компании реагировать на шесть семейств эксплойтов, написанных под них.

К чести компании Oracle, все критические уязвимости, обнаруженные за этот период, к моменту написания этого отчета уже были закрыты. Наиболее актуальная версия Java 1.7 была выпущена в июне текущего года (Update 25), тогда же было распространено обновление для версии 1.6 (Update 51).

Однако означает ли это, что после выпуска обновлений все пользователи защищены от атак с помощью эксплойтов? К сожалению, статистика «Лаборатории Касперского», позволяющая понять, с какими версиями Java работают пользователи защитных продуктов компании, этого не подтверждает.

Спустя полтора месяца после выхода обновленной версии Java, большинство пользователей продолжают работать с уязвимыми версиями этого ПО.


TOP 10 версий Java, август 2013 г.

График подготовлен на основании информации от 26,82 миллиона уникальных пользователей Kaspersky Security Network, с компьютеров которых в августе пришли сообщения о наличии какой-либо версии ПО Java . Здесь и далее – источник Kaspersky Security Network.

Меньше половины всех пользователей Java в Kaspersky Security Network (42,5%), обновили это ПО до самой актуальной версии. Более 15% (или более 4 миллионов пользователей) используют предыдущую версию SE7 U21, выпущенную в середине апреля. Около 1,3 миллиона пользователей (4,93%) до сих пор используют версию SE7 U17, бывшую актуальной в марте 2013 года.

Примечательно, что самой свежей версией Java 1.6 в десятке наиболее часто используемых является версия SE 6 U37 (416,6 тысяч пользователей в августе), которая была выпущена в октябре 2012 года.

Выводы очевидны: спустя полтора месяца после выхода обновленной версии Java, большинство пользователей продолжают работать с уязвимыми версиями этого ПО.

Причем ситуация повторяется во времени. Так, по данным на конец июня, менее чем через две недели после того, как Oracle выпустила Update 25 для Java SE 7, о наличии актуальной версии этого ПО в KSN пришло 291 тысяча уведомлений. Впрочем, стоит признать, что неделя – сравнительно небольшой срок на обновление ПО, которое, по официальным данным, установлено на 3 миллиардах устройств по всему миру. Проблема в том, что на тот же конец июня количество пользователей предыдущей версии SE U21 было почти вдвое меньшим, чем количество пользователей устаревшей и уязвимой SE U17 – 3,5 миллиона пользователей у U25 против более 6 миллионов у U17.

Анализ более ранних периодов выдает примерно такую же картину – обычно большинство пользователей работают с версиями Java на два-три поколения старше наиболее актуальной версии на момент сбора данных.

Но есть и позитивные признаки. Если сравнить TOP 5 версий Java с наибольшим числом пользователей августовского среза с аналогичными данными по итогам июня, то можно увидеть, что при примерно одинаковом числе уникальных пользователей (18,65 миллиона в августе и 19,7 миллиона в июне), количество пользователей наиболее актуальной версии Java в августе было значительно выше, чем в июне.

На графике ниже представлено распределение популярности версий Java в TOP 5 в июне.


TOP 5 версий Java, июнь 2013 г.

Поскольку на момент сбора данных прошло сравнительно мало времени (меньше двух недель) с даты выхода самой актуальной версии (U25), «условно актуальной» версией на этом графике является U21. Как видно, лишь 17,85% пользователей работали с этой версией Java, а большая часть (почти треть) использовали устаревшую и уязвимую U17.

В августе мы наблюдали гораздо более позитивную ситуацию.


TOP 5 версий Java, август 2013 г.

Другими словами, летом пользователи Java значительно охотнее обновляли это ПО  на самую свежую версию, чем весной. Трудно точно назвать причины ускорения процесса обновления. Не исключено, что основной причиной стали массовые сообщения в СМИ об обнаружении уязвимостей в Java и атаках с использованием эксплойтов, нацеленных на эти уязвимости. Подобных новостей было особенно много в период с конца зимы и по конец весны 2013 года. Примечательно, что (как станет ясно из результатов нашего дальнейшего исследования) именно весна стала самой напряженной порой для Java, если рассматривать количество атак и атакованных пользователей.

Часть 2. Год атак на пользователей Java

Атаки – устойчивый рост

За 12 месяцев с сентября 2012 г. по август 2013 г. «Лаборатория Касперского» зарегистрировала более 14,1 миллиона атак на пользователей по всему миру. По сравнению с аналогичным периодом за 2011-2012 гг. количество атак выросло на 33,3%.


Число атак: сравнение с предыдущим годом

При этом если сравнить два полугодия исследуемого в данном отчете периода, то динамика окажется еще выше – 52,7%, с 5,59 миллиона атак за период с сентября 2012 года по февраль 2013 года до 8,54 миллиона атак в период с марта по август 2013 года.

Динамика числа атак за прошедшие 12 месяцев выглядит следующим образом:


Атаки, 2012-2013 гг.

В начале исследуемого периода наблюдался стабильно высокий уровень атак в течение осенних месяцев со слабой тенденцией к снижению, затем, начиная с декабря, произошел резкий скачок, а после – такое же резкое падение в феврале.

По сравнению с аналогичным периодом за 2011-2012 гг. количество атак выросло на 33,3%. При этом, если сравнить два полугодия исследуемого в данном отчете периода, то динамика оказалась еще выше – 52,7%.

Предновогодняя праздничная лихорадка для преступников, распространяющих вредоносное ПО (банковское, например) через эксплойты, – такая же горячая пора, как и для любого легального бизнеса. Увеличение числа атак в конце 2012 года можно объяснить этим фактом. Заурядна и одна из основных причин падения числа атак в конце года – на рождественские каникулы уходят не только законопослушные граждане, но и киберпреступники.

Начиная с февраля и по конец мая количество атак активно росло. Этому в том числе способствовало обнаружение все новых уязвимостей в Java (87 в период с февраля по май, три из которых носили статус критических) и вялая динамика перехода пользователей Java на версии с закрытыми брешами в безопасности.

С июня по август наблюдалось плавное снижение числа атак – в середине июня Oracle выпустила наиболее актуальную версию Java, активную динамику перехода пользователей на которую мы отразили в предыдущей части этого исследования, а кроме того, отпускной сезон также традиционно снижает активность киберпреступников.

Вместе с числом атак за год значительно увеличилось и количество пользователей, столкнувшихся с ними.

Все больше пользователей под ударом

Более 14 миллионов атак за год пришлось всего на 3,75 миллиона пользователей из 226 стран. За первые шесть месяцев отчетного периода с атаками через эксплойты в Java столкнулось 1,7 миллиона уникальных пользователей, за вторые – уже более двух миллионов. Рост по итогам периода с марта по август 2013 года в сравнении с предыдущими 6 месяцами составил более 21%.


Число атак и атакованных пользователей

Количество атакованных пользователей практически весь год изменялось синхронно с количеством самих атак. В период с сентября по февраль средняя интенсивность составила 3,29 атаки на одного атакованного пользователя; в период с марта по август – 4,15. За полгода интенсивность выросла на 26,1%. В среднем за год на одного пользователя приходилось 3,72 атаки. Как мы уже отмечали раньше, самым «жарким» периодом и по количеству атак, и по количеству атакованных пользователей стала весна.

Абсолютное большинство атакованных пользователей (около 79,6%) живет всего в 10 странах. Кроме того, на десять стран пришлось и абсолютное большинство атак (82,2%).

Примечательно, однако, что после «весеннего обострения» количество атак упало сильнее, чем количество атакованных пользователей. Например, в июне количество атак по сравнению с маем упало на 21,9%, а количество атакованных пользователей – на 15,5%. Не исключено, что заметную роль в данном случае сыграл выпуск компанией Oracle обновления U25, устранявшего серьезные уязвимости в программном обеспечении Java. В связи со снижением числа пользователей уязвимых версий Java преступники могли предпринять меры по привлечению на вредоносные сайты новых уникальных пользователей. Логика проста: чем больше пользователей, тем больше шанс, что у кого-то из них версия Java окажется не обновленной.

В целом, динамика изменения числа атак и атакованных пользователей тревожная. Количество и тех, и других уверенно росло в течение последнего года. Однако, помимо изменений в динамике общего числа атак, за прошедшие 12 месяцев мы видели и любопытные тенденции в их распределении по странам.

Часть 3. Глобальная угроза – географическое распределение пользователей, атак и их источников
 

Географическое распределение атак: десятка стран, наиболее подверженных атакам

Одним из наиболее любопытных результатов этой части исследования стал тот факт, что абсолютное большинство атакованных пользователей (около 79,6%) живет всего в 10 странах. Кроме того, на десять стран пришлось и абсолютное большинство атак (82,2%).


TOP 10 стран, наиболее часто подвергавшихся атакам, 2012-2013 гг.

Как видно на графике выше, США лидирует с 26,17% всех атак. Следом идет Россия с 24,53% атак, потом Германия с 11,67% атак. Между тем, в течение года состав «лидеров» по числу атак менялся.


TOP 10 стран, наиболее часто подвергавшихся атакам,
сентябрь 2012г. – февраль 2013 г.


TOP 10 стран, наиболее часто подвергавшихся атакам, март-август 2013 г.

По итогам периода с марта по август США и Россия поменялись местами. Доля атак на территории США увеличилась на 7,82 п.п. – с 21,44% до 29,26%. Доля атак на российский сегмент интернета наоборот снизилась на 6,82 п.п – с 28,65% до 21,83%.

В Канаде число атак увеличилось более чем на 118% до 0,24 миллиона. В Бразилии – почти на 72% до 0,22 миллиона атак. На 51% выросло число инцидентов в Великобритании, где во втором полугодии было зарегистрировано более 0,25 миллиона атак.

Заметно увеличился вклад в общую картину атак со стороны Германии. Рост составил 1,95 п.п. Прочие страны также показали рост. Снижение общего объема атак зафиксировано только на Украине — на 1 п.п. с 3,38% до 2,38%. Доли иных стран колебались незначительно.

В абсолютных цифрах эти данные выглядят следующим образом:


Страны, которые в 2012-2013 гг. атаковали чаще всего

За период с марта по август в США атак стало более чем вдвое больше – 2,5 миллиона против 1,19 миллиона за предыдущий период. В Германии по итогам второго периода было зарегистрировано более миллиона атак, в то время как за период с сентября по февраль их было 0,58 миллиона. В целом, лидерами по общему числу атак являются США, Россия и Германия. Однако по динамике прироста атак десятка лидеров совсем другая.


Динамика роста числа атак в 2012-2013 гг.

В Канаде число атак увеличилось более чем на 118% до 0,24 миллиона. В Бразилии – почти на 72% до 0,22 миллиона атак. На 51% выросло число инцидентов в Великобритании, где во втором полугодии было зарегистрировано более 0,25 миллиона атак. Наименьший прирост показали Россия, Испания и Украина.

Вместе с числом атак в этих странах закономерно выросло и число атакованных пользователей. Перечень стран-лидеров при этом не изменился: почти половина всех атакованных за исследуемый период пользователей (48,27%) живет в России и США. Каждый десятый атакованный – житель Германии.

При этом абсолютными лидерами по интенсивности атак в пересчете на одного пользователя стали Бразилия и США – за год на одного пользователя в этих странах пришлось 5,75 и 4,79 атаки соответственно, что заметно выше среднего показателя по другим странам. На третьем месте – Германия с 4,04 атаки на пользователя, на четвертом Италия – с 3,82 атаки на пользователя.

TOP 10 стран по этому параметру выглядит следующим образом:

Страна Атаки на пользователя %
Бразилия 5,75 9,01%
США 4,79 9,72%
Германия 4,04 11,83%
Франция 3,65 12,10%
Канада 3,58 12,78%
Испания 3,42 13,94%
Англия 3,39 14,22%
Россия 3,32 14,47%
Украина 3,04 14,55%

Отчего растет интенсивность атак? Обилие уязвимостей в Java и излишне беспечных пользователей, не следящих за состоянием ПО на своем компьютере, провоцировало злоумышленников на усиление интенсивности атак.

Почти половина всех атакованных за исследуемый период пользователей (48,27%) живет в России и США.

Теперь, зная кого, где и как часто атаковали, для полноты картины мы проанализируем информацию об источниках этих атак.

Источники атак: новые игроки

Одним из наиболее любопытных результатов анализа географического местоположения источников атак, то есть серверов, на которых размещались вредоносные сайты с эксплойтами, заключается в том, что список стран, на территории которых такие серверы располагались чаще всего, существенно отличается от списка стран, где живут атакованные пользователи.

Всего за год было идентифицировано 1,21 миллиона уникальных источников атак, распределившихся между 95 странами. Более половины из них (63,06%) были расположены в США, Германии и России.

В период с сентября 2012 года по февраль 2013 года в Kaspersky Security Network попала информация о 0,41 миллиона вредоносных серверов, расположенных в 86 странах.


TOP 10 стран-источников атак, сентябрь 2012 г. – февраль 2013 г.

В период с марта по август 2013 года Kaspersky Security Network собрала информацию о 0,8 миллиона вредоносных серверов в 78 странах. Общий прирост количества источников атак составил 95,2%.


TOP 10 стран-источников атак, март-август 2013 г.

Впрочем, наиболее интересен даже не тот факт, что всего за полгода источников стало вдвое больше, а то, как изменился состав первой десятки стран — источников атак. Более чем в три раза с 36,82% до 10,59% сократилась доля Германии, которая во втором полугодии переместилась с первого на третье место. Россия при почти стопроцентном приросте абсолютного числа источников атак сохранила второе место и почти не изменила свою долю – 19,57% по итогам периода сентябрь-февраль и 18,40% по итогам за март-август.

Германия и США поменялись местами. Если в первом полугодии в США располагалось лишь 12,99% идентифицированных источников атак, то во втором – уже 31,14%.

В целом, по итогам 12 месяцев наблюдений доли 10 стран, с территории которых чаще всего осуществлялись атаки с использованием Java-эксплойтов,  распределились следующим образом.


TOP 10 стран-источников атак через эксплойты, 2012-2013 гг.

Всего за год было идентифицировано 1,21 миллиона уникальных источников атак, распределившихся между 95 странами. Более половины из них – 63,06% были расположены в США, Германии и России. Также постоянными источниками вредоносных атак с использованием эксплойтов являются Нидерланды (7,48%), Великобритания (5,1%), Чехия (3,66%), Латвия (3,64%), Франция (2,93%), Канада (2,47%) и Люксембург (1,72%). Оставшиеся без малого 10% источников распределились по 85 другим странам.

Самый уверенный и большой рост числа источников атак показывали США – параметр рос с февраля и достиг максимального значения в июле.

Примечательно, что таких стран, как Нидерланды, Чехия, Латвия и Люксембург нет в числе первых по количеству атак и атакованных пользователей, но они постоянно присутствуют в десятке самых «атакующих». В том числе, это может быть связано с тем, что эти небольшие государства считаются традиционными прибежищами так называемых «абьюзоустойчивых» хостингов – то есть хостинговых компаний, которые не склонны реагировать на жалобы пользователей и организаций на вредоносные сайты, размещенные на серверах этих компаний. Разумеется, подобные хостинговые компании есть и в других странах, однако в перечисленных странах их особенно много.

В динамике основные источники атак в течение года менялись следующим образом:

java_under_attack_17

TOP 5 стран-источников атак в динамике, 2012-2013 гг.

В начале исследуемого периода первенство уверенно держала Германия, но количество источников стремительно снижалось, а затем резко, но кратковременно подскочило в период с января по март. Самый уверенный и большой рост числа источников атак показывали США – параметр рос с февраля и достиг максимального значения в июле. В марте резко возросло количество вредоносных серверов, расположенных на территории России. Интересно, что к концу исследуемого периода три участника TOP 5 — Россия, Германия и Нидерланды — демонстрировали тенденцию к снижению, в то время как США и Великобритания наоборот показали увеличение числа вредоносных серверов. Хотя, как видно на графике ниже, на общей динамике изменения числа источников это не слишком сказалось. Как и в случае с атаками и атакованными пользователями, число вредоносных серверов в течение лета снижалось.


Атаки, пользователи, источники

На графике выше наглядно представлено соотношение количества атак, атакованных пользователей и серверов, с которых производились попытки загрузки эксплойтов.

В среднем за рассматриваемый год с каждого из более чем 1,2 миллиона идентифицированных уникальных IP-адресов производилось 11,64 попытки загрузки эксплойта.

Много это или нет? Во-первых, глядя на эти цифры необходимо учитывать, что они отражают лишь пользователей продуктов «Лаборатории Касперского», столкнувшихся с подобными страницами, и в реальности загрузок в пересчете на один IP-адрес было гораздо больше. Во-вторых, эксплойты – крайне опасный тип вредоносного ПО. Всего одна успешная загрузка может привести к тяжелым потерям, в том числе финансовым. Другими словами, атаки через эксплойты – это случай, когда качество результата атак с лихвой компенсирует сравнительно малое их количество. Атак через эксплойты меньше, чем, например, с использованием вредоносного спама, но, по мнению экспертов «Лаборатории Касперского», они, как правило, гораздо опаснее.

Кстати, о самих атаках. За исследуемый период был обнаружено всего шесть критических уязвимостей в Java. Действительно ли они могли причинить серьезный вред незащищенным пользователям? Подробнее об этом в следующей части нашего отчета.

Часть 4. Изучаем эксплойты в «дикой среде»

За исследуемый период продукты «Лаборатории Касперского» сработали на 2047 различных вредоносных семейств, относящихся к типу эксплойтов. Однако – и это вполне закономерно – основной вклад в количество атак внесли всего девять из них.


TOP 10 эксплойтов, 2012-2013 гг.

Около 81% всех атак пришлось всего на 9 семейств эксплойтов, написанных под 9 уязвимостей. Cигнатура Exploit.Java.Generic означает, что облачные защитные технологии «Лаборатории Касперского» распознали характерное для эксплойта поведение, но на момент сбора статистики эти срабатывания не были идентифицированы с точки зрения того, на какую именно уязвимость в Java они были направлены. За исследуемый период таких срабатываний было чуть более 2 миллионов.

Нижеследующий график является очередной иллюстрацией в целом плачевного состояния практики своевременного обновления уязвимого ПО. Более 50% срабатываний защитных технологий «Лаборатории Касперского» пришлось на эксплойты, написанные под уязвимости, которые были открыты в 2012 году. На уязвимости 2013 года пришлось около 13,61% атак.


TOP 10 Java-эксплойтов по годам обнаружения соответствующих уязвимостей, 2012-2013 гг.

Можно предположить, что совокупные данные за 12 месяцев не способны дать четкой картины, ведь очевидно, что у эксплойтов, созданных под уязвимости, которые были открыты в 2012 году, объективно больше времени на распространение. И действительно, если сделать срез за август 2013 года, будет видно, что на эксплойты под уязвимости, открытые в 2013 году, в последний месяц лета пришлось уже гораздо больше атак, чем в среднем за год.


TOP 10 Java-эксплойтов по годам обнаружения соответствующих уязвимостей, август 2013 г.

Однако если рассмотреть TOP 10 эксплойтов за тот же месяц, картина будет совершенно иная:


TOP 10 эксплойтов, август 2013 г.

Среди идентифицированных эксплойтов все еще лидирует эксплойт к CVE-2012-1723. Первое публичное объявление об этой уязвимости состоялось в июне 2012 года. Через несколько дней Oracle выпустила патч. Как видно на графике, более года спустя каждая пятая атака с помощью эксплойта – это атака именно на CVE-2012-1723.

Более 50% срабатываний защитных технологий «Лаборатории Касперского» за 12 месяцев пришлось на эксплойты, написанные под уязвимости, которые были открыты в 2012 году. На уязвимости 2013 года пришлось около 13,61% атак.

Тем не менее, как уже было сказано выше, за исследуемый период в Java было обнаружено шесть критических уязвимостей. Вот как изменялся ландшафт атак по мере обнаружения новых брешей в безопасности Java.


«Эстафета» новых эксплойтов, 2012-2013 гг.

Динамика числа атак Java-эксплойтов к уязвимостям, открытым в течение отчетного периода

Динамика атак с помощью эксплойтов, появившихся за исследуемый период, напоминает своеобразную эстафету. В то время как количество атак, направленных на одну уязвимость, начинает падать, появляется новая, и эксплойты под нее перехватывают «эстафетную палочку» у предыдущего участника этой «гонки». Также на графике видно, какой вклад сделали эксплойты под уязвимость CVE-2012-4681, о которой было объявлено всего за три дня до начала периода этого исследования. Это была очень опасная уязвимость класса Zero-day. И хотя Oracle выпустила экстренный патч уже 30 августа 2012 года, на графике видно, что после небольшого снижения количества атак в октябре, до конца ноября оно росло.

Об эксплойте под уязвимость CVE-2012-5076, перехватившем «палочку» у CVE-2012-4681, стало известно в середине октября 2012 года. Он сразу же стал очень популярным среди киберзлоумышленников, так как мог заражать множество версий Java. Хотя закрывающий уязвимость патч был выпущен в том же месяце, в марте 2013 этот эксплойт все еще входил в Blackhole – один из самых распространенных на черном рынке эксплойт-паков благодаря широкому охвату версий и высокой эффективности.

CVE-2013-0422 – еще одна Zero-day уязвимость, информация о которой появилась в январе этого года. Тогда же был выпущен патч, но атаки с использованием эксплойта к этой уязвимости росли вплоть до февраля. После этого времени падение числа атак замедлилось и вплоть до августа держалось на уровне примерно 25 тысяч срабатываний в месяц. Как и в случае с CVE-2012-4681, эксплойт под эту уязвимость входил в Blackhole и другие известные эксплойт-паки.

Уязвимость CVE-2013-0431 появилась в начале февраля. Эксплойты к этой уязвимости активно использовались, в том числе, бандой преступников, распространявших троянцев-вымогателей Reveton. Эта программа блокировала компьютер жертвы, демонстрировала сообщение якобы от ФБР о том, что пользователь нарушил закон и должен заплатить штраф. Банду преступников, промышлявших данным типом вымогательства, испанская полиция арестовала в начале февраля 2013 года, однако это не остановило распространение опасной троянской программы. В середине февраля в Сети появилась информация о случаях заражения компьютера программой Reveton, осуществлявшихся с помощью эксплойтов под уязвимость CVE-2013-0431.

Уязвимость CVE-2013-1493 появилась в начале марта. Эксплойт к этой уязвимости был, в том числе, замечен в атаках, целью которых предположительно был промышленный шпионаж. В частности, по данным независимых исследователей, вредоносная программа, устанавливавшаяся в результате срабатывания этого эксплойта, связывалась с сервером злоумышленников, расположенным на том же IP-адресе, что и C&C-сервер, использовавшийся в атаке на компанию Bit9 в феврале этого года.

В абсолютном выражении, атаки шести семейств эксплойтов составили как минимум 47,95% от общего количества. Это почти половина всех зарегистрированных продуктами «Лаборатории Касперского» срабатываний на эксплойты Java.

Эксплойты, написанные под уязвимость CVE-2013-2423, обнаруженную в июне 2013 года, были замечены экспертами «Лаборатории Касперского» в атаках на пользователей компьютеров Apple. Предположительно, эти атаки осуществлялись в рамках кампании, направленной против пользователей сайта правительства Тибета в изгнании, о которой «Лаборатория Касперского» сообщала ранее.

Все эти сведения – лишь отдельные примеры того, как использовались злоумышленниками уязвимости, открытые за исследуемый нами период. В целом, именно эти шесть уязвимостей и эксплойтов к ним сформировали ландшафт атак на Java с сентября 2012 года по август 2013 года.


Шесть семейств в общем числе атак с применением эксплойтов

В абсолютном выражении, атаки этих семейств составили как минимум 47,95% от общего количества атак, т.е. почти половину всех зарегистрированных продуктами «Лаборатории Касперского» срабатываний на эксплойты Java.


Шесть семейств в общем числе атак с применением эксплойтов

При этом более половины (53,17%) от общего числа атакованных пользователей как минимум один раз сталкивались с атакой эксплойта из одного из этих шести семейств.


Число пользователей, атакованных с применением 6 новых семейств эксплойтов, в общем числе пользователей

Такими были 12 месяцев в сфере атак с помощью эксплойтов Java. Однако прежде чем подвести итоги этого исследования, мы рассмотрим еще один опасный тип атак, с которыми сталкивались пользователи защитных продуктов «Лаборатории Касперского» за этот период.

Часть 5. Еще 4,2 миллиона атак, заблокированных технологией Automatic Exploit Prevention

Основная цифра данного исследования – это более 14 миллионов отраженных продуктами «Лаборатории Касперского» атак с помощью эксплойтов в Java. В реальности защитные системы компании зарегистрировали на 4,2 миллиона больше инцидентов. Это то количество атак, которые были заблокированы уникальной технологией «Лаборатории Касперского» Automatic Exploit Prevention. Эти 4,2 миллиона атак распределились между 2,25 миллионами уникальных пользователей по всему миру.

Почему мы решили проанализировать данные от Automatic Exploit Prevention отдельно

Борьба с атаками через эксплойты – это многоэтапный процесс, в котором поочередно участвуют несколько защитных подсистем антивирусного продукта. Сначала – на уровне веб-страниц, когда, ориентируясь на базу вредоносных сайтов, защитный продукт пытается заблокировать перенаправление пользователя на страницу с эксплойтом. Если это не удается, например, в случае если сайт был только что создан и еще не успел попасть в списки запрещенных, к делу подключается файловый антивирус. Он сканирует страницу на предмет наличия вредоносного кода, используя базы сигнатур и эвристических записей. Последние являются расширенными сигнатурами, позволяющими распознать неизвестный вредоносный код по признакам, общим с известными вредоносными образцами. Если не срабатывает и это, подключается сканирование с помощью баз сигнатур эксплойтов. В случае если и оно не дает результата, в дело вступают технологии проактивного детектирования эксплойтов, одной из которых в продуктах «Лаборатории Касперского» является Automatic Exploit Prevention. Подробнее о механизмах борьбы с эксплойтами можно прочитать в статье руководителя отдела по исследованию уязвимостей «Лаборатории Касперского» Вячеслава Закоржевского.

Здесь же отметим, что в описанном выше процессе борьбы с атаками Automatic Exploit Prevention является своеобразным «последним рубежом» защиты от эксплойтов. Однако он не является последним рубежом защиты от всех вредоносных программ: если по каким-то причинам вредоносному коду удастся пройти и Automatic Exploit Prevention и загрузить на компьютер пользователя вредоносную программу, ее обнаружат и заблокируют уже другие подсистемы защитного продукта.

Если большинство других защитных технологий настроены искать вредоносные составляющие в коде, который поступает на компьютер извне, то Automatic Exploit Prevention анализирует поведение не вредоносных, но легитимных компонентов. В случае с Java речь идет о компонентах этой программной среды, установленной на компьютере пользователя. Выражаясь образно, Automatic Exploit Prevention «имеет представление» о том, как должны и как не должны работать те или иные компоненты Java. В случае если аналитические системы технологии замечают в поведении компонентов Java аномалии, если это ПО в результате работы эксплойтов начинает производить действия, которые оно по замыслу разработчиков делать не должно, Automatic Exploit Prevention срабатывает и блокирует эксплойт.

Почему наличие AEP важно для полноценной защиты от эксплойтов?

По данным, которые можно найти на любом – даже открытом – хакерском форуме, 1000 удачных загрузок эксплойтов стоит от 80 до 120 долларов. А если «заказчик» такой услуги в качестве полезной нагрузки хочет видеть на зараженных компьютерах какое-либо потенциально «прибыльное» ПО вроде банковского троянца или троянца-шифровальщика, то цена за тысячу загрузок может возрасти до 140-160 долларов.

У нас нет оснований полагать, что все 4,2 миллиона атак, заблокированных с помощью Automatic Exploit Prevention, были целевыми, но с определенной степенью уверенности можно сказать, что к этим атакам готовились гораздо более тщательно, чем ко всем прочим.

Высокая эффективность подобных атак делает для преступников бизнес по созданию эффективных эксплойт-паков выгодным делом. Поэтому они готовы тратить время и средства на исследования антивирусных программ и поиск способов «сбить детект» той или иной защитной подсистемы решения.  Для детектирования таких сложных вредоносных программ и был создан AEP.

На графике ниже видно, как выглядели атаки с помощью сложных эксплойтов в динамике:


Динамика атак, заблокированных AEP

Очевидное снижение количества срабатываний AEP после марта 2013 года объясняется постоянным совершенствованием специалистами «Лаборатории Касперского» других технологий детектирования эксплойтов. Достаточно вспомнить график из начала этого исследования:


Атаки, 2012-2013 гг

В то время как количество срабатываний AEP снижалось, количество срабатываний других, более «высокоуровневых» защитных подсистем «Лаборатории Касперского» наоборот росло.

В это же время были обнаружены и три критические уязвимости в Java, эксплойты под которые позволяли успешно атаковать пользователей. Другими словами, у злоумышленников был неплохой выбор средств для атак, и не было особой нужды в том, чтобы тщательно маскировать уже известные эксплойты или искать новые. К июню, когда Oracle «залатала» большинство дыр в безопасности своего продукта, эта ситуация изменилась.

Отметим, что многие сложные эксплойты, детектируемые с помощью Automatic Exploit Prevention, используются в целевых атаках. У нас нет оснований полагать, что все 4,2 миллиона атак, заблокированных с помощью AEP, были целевыми, но с определенной степенью уверенности можно сказать, что к этим атакам готовились гораздо более тщательно, чем ко всем прочим. После прекрасных результатов в экспертных лабораторных тестах Automatic Exploit Prevention доказал свою эффективность в настоящем «бою».

Заключение. Важность сложных технологий в эпоху сложных атак

Основной вывод исследования можно сформулировать в одном предложении: даже максимально оперативно выпущенные разработчиками обновления, которые закрывают уязвимости в легитимном программном обеспечении, пока не в состоянии решить проблему атак с помощью эксплойтов. Компания Oracle закрыла все критические уязвимости, информация о которых была раскрыта за исследованный в этом отчете период. В некоторых случаях между объявлением о существовании уязвимости и выпуском патчей проходила всего пара дней. Однако при этом количество атак и атакованных пользователей росло.

Пользователи недостаточно оперативно устанавливают обновления безопасности, а преступники, осознав, что программным обеспечением Java пользуется огромное число людей по всему миру, не устают искать ошибки в этом ПО и способы получить нелегальный заработок на таких ошибках.

Защитные решения, способные эффективно бороться с эксплойтами, в данном случае становятся рубежом защиты, который дает дополнительное время и разработчикам уязвимого ПО, чтобы написать патч, и его пользователям – чтобы безопасно пользоваться интернетом в промежуток, пока разрабатывается патч. Кроме того, защитные решения в целом снижают прибыльность бизнеса киберпреступников. Ведь в денежном выражении 14,1 миллиона атак, заблокированных решениями «Лаборатории Касперского», – это как минимум 1,4 миллиона долларов выручки (из расчета 100 долларов за 1000 успешных загрузок), которые преступники, промышляющие продажей загрузок, в итоге не получили.

Чтобы избежать атак через уязвимости и потерь, которые такие атаки могут принести, эксперты «Лаборатории Касперского» советуют корпорациям и домашним пользователям придерживаться следующих правил.

Для бизнеса:

  • Огромная часть всех рисков, связанных с уязвимостями, будет устранена, если в корпоративной IT-инфраструктуре используется решение для администрирования корпоративных ПК с функциями Patch Management, такое как Kaspersky Lab Systems Management. Функционал Patch Management позволит вовремя и централизовано устанавливать важные обновления безопасности и всегда быть в курсе, в каком состоянии находится ПО на любой рабочей станции в сети компании.
  • Большинство атак с помощью эксплойтов под уязвимости в легитимном ПО (Java, в том числе) начинаются со ссылки на вредоносный сайт. Атаку можно предотвратить, заблокировав переход на подобный сайт с помощью веб-антивируса, а также специализированных средств контроля доступа к веб-сайтам Web Control. Такие средства позволяют строго ограничить список сайтов, посещение которых разрешено с корпоративных компьютеров.
  • Сделать защиту рабочих станций еще более надежной также поможет функционал Application Control, разрешающий запуск на компьютерах корпоративных пользователей лишь ограниченного перечня приложений. В случае если станет известно об опасной и незакрытой уязвимости в распространенном приложении, запуск такой программы можно запретить для всех ПК в организации. Продвинутый функционал Web Control и Application Control реализован в рамках мощной платформы для защиты корпоративной IT-инфраструктуры Kaspersky Endpoint Security for Business.
  • Важные обновления безопасности для программного обеспечения корпораций часто выходят гораздо позже того, как в руках злоумышленников появляются эксплойты под незакрытые уязвимости. Поэтому для обеспечения тотальной защиты корпоративной инфраструктуры нужно использовать продвинутые защитные решения с технологиями противодействия атакам через эксплойты. Технология «Лаборатории Касперского» Automatic Exploit Prevention, позволяющая эффективно бороться с атаками через эксплойты, доступна в Kaspersky Endpoint Security for Business.

Для домашних пользователей:

  • Большинство современного программного обеспечения, включая Java, Adobe Reader и Flash Player, содержат встроенные системы автоматического обновления ПО. Не забывайте их использовать, поскольку это самый надежный способ поддерживать актуальность программ на домашнем компьютере.
  • Столкнуться с эксплойтом можно не только на вредоносной странице. Часто злоумышленники находят ошибку во вполне легитимном популярном сайте – СМИ, социальной сети, интернет-магазина – и используют ее, чтобы распространять эксплойты. Для того чтобы надежно обезопасить себя от всех возможных угроз, включая атаки через уязвимое ПО, используйте качественное защитное решение класса Internet Security со специальными технологиями противодействия сложным атакам, – такими, как в продукте «Лаборатории Касперского» Kaspersky Internet Security.
  • Java – крайне популярное программное обеспечение, которое очень часто необходимо для нормальной работы мультимедийного контента в интернете. Однако одновременно наличие Java не является необходимым условием для обеспечения нормальной работы с веб-контентом. Даже установив все обновления и поставив лучшее защитное решение, вы можете просто отключить Java на своем компьютере. Это действие может привести к недоступности некоторых функций на ряде сайтов, но на таких ресурсах всегда можно временно Java включить.

Отчет «Лаборатории Касперского»: Java под ударом – эволюция эксплойтов в 2012-2013 гг.

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. Петр

    «Почему в Java так много уязвимостей?
    Во-первых, разработка Java началась во времена, когда вредоносных атак через уязвимости практически не было. Соответственно, разработчики любого программного обеспечения, в том числе Java, не задумывались о безопасности своих продуктов с этой точки зрения.»

    во первых bytecode стал главной защитой от вирусов, во вторых — большинство приложений это web, тогда причем здесь уязвимость java? Нужно говорить про уязвимость приложений, и про то что java становится популярней — два.

    Не дочитал, статью но разумность написанного под вопросом

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике