Отчеты о вредоносном ПО

Развитие вредоносных программ в 2005 году, часть 2

Данная статья является продолжением ранее опубликованного отчета, посвященного развитию вредоносных программ в 2005 году. В этой части рассмотрены тенденции развития криминального сообщества, выполнен анализ сложившейся ситуации. Отчет содержит большое количество статистических данных и фактов.

Приведенная информация в первую очередь предназначена для профессионалов в области компьютерной безопасности, интересующихся вредоносными программами.

Значительные события 2005 года

Усиление противостояния

Несомненно, одной из самых ярких тенденций 2005 года стало усиление противостояния, причем не только противостояния киберпреступников и антивирусной индустрии, но и киберпреступников между собой. Более того, 2005 год показал, что преступники уже все чаще атакуют и государственные структуры, их уже не удовлетворяют объемы доходов, получаемые с обычных пользователей.

Чем это подтверждено? Всем давно уже очевидно, что прошли те времена, когда киберхулиганы были одинокими «энтузиастами», которые вечерами скрупулезно создавали свои опусы на ассемблере. Внушительные суммы, которые получают злоумышленники, по данным многих экспертов, многократно превосходят доходы всей антивирусной индустрии в целом.

Сейчас они точно так же следят за деятельностью антивирусных компаний, как антивирусные компании следят за их деятельностью, что выражается в использовании киберпреступниками мультисканеров (набора файловых сканеров всех ведущих мировых производителей антивирусных решений) с целью проверки новой, только что созданной модификации вредоносной программы на предмет ее отсутствия в антивирусных базах различных производителей. Вредоносная программа выпускается в свет только в случае ее недетектируемости всеми антивирусами.

Криминал пытается осуществлять противодействие почти на каждом этапе формирования антивирусного обновления. Рассмотрим подробнее этапы, которые необходимо пройти антивирусной компании до выкладки антивирусного обновления для пользователей. Всего их 4, каждому соответствует свой шаг на рисунке.

Процесс выпуска обновлений.
  • Шаг 1. Перехват подозрительного контента в сети (неважно, в какой — это может быть сеть Internet, может быть сеть мобильной связи и т.д.). Для противодействия на данном этапе злоумышленники используют целый ряд методов: выявление и обход узлов сети по сбору вредоносного контента, DDoS-атаки выявленных узлов (что приводит к блокировке узла на время проведения атаки). Использование таргетинга в рассылках вредоносных программ также значительно затрудняет перехват. Авторы широко известной вредоносной программы Bagle отслеживают доступ к своим вредоносным ссылкам, где размещаются последние образцы этой вредоносной программы. Наиболее часто посещающим данные ссылки пользователям вместо вредоносного файла выдается сообщение об ошибке. В список запрещенных частых посетителей, который ведется авторами вредоносной программы, попали несколько десятков антивирусных компаний и информационных центров, занимающихся исследованием сетевой активности.
  • Шаг 2. Анализ вредоносной программы. На этом шаге ничего нового в последнее время придумано не было. Разве что еще сильнее утратили свою популярность полиморфные технологии в пользу многократных перепаковок исполняемых программ различными неизвестными для антивирусных продуктов пакерами (пакер — программа упаковки исполняемого файла с сохранением возможности самостоятельного выполнения).
  • Шаг 3. Выпуск обновления. Это, пожалуй, пока единственный шаг, где злоумышленники не нашли эффективных мер противодействия.
  • Шаг 4. Установка обновления пользователем. На данном шаге для запрета установки антивирусного обновления на компьютере зараженного пользователя авторами вредоносных программ широко используется модификация файла hosts, что приводит к невозможности обращения пострадавшего к серверам обновлений антивирусных компаний.

Стоит отметить, что на шаге 4 обновление становится доступным как пользователям, так и преступникам, которые сразу же видят, что их код начал детектироваться, что приводит к созданию новой модификации зловредного кода.

Пока рассмотренные действия характерны всего лишь для нескольких групп вирусописателей, но по результатам года прослеживается тенденция к объединению существующих групп и появлению новых, что не может не вызывать опасений.

Причины, по которым преступники вставляют палки в колеса антивирусным компаниям, вполне очевидны: идет борьба за их хлеб, то есть за деньги, получаемые тем или иным путем с зараженных PC. Именно по этой причине в течение 2005 года все чаще отмечались и конфликты между различными авторами вредоносных программ — был сделан еще один шаг навстречу зарождающимся кибервойнам.

Методы борьбы между группами и отдельными представителями криминального мира весьма разнообразны. Это могут быть вредоносные программы, уничтожающие творения вражеской группировки, угрозы в адрес друг друга, в адрес антивирусных компаний, полиции и прочих служб (в качестве примера подобной вредоносной программы можно привести Net-Worm.Win32.Lebreat, который содержит угрозы в адрес авторов Bagle). Еще одним фактом, указывающим на зарождающееся противостояние, стали отмечавшиеся в течение 2005 года случаи борьбы за ресурсы из зараженных компьютеров. Например, в начале ноября 2005 года был отмечен очередной случай захвата ботнета. В результате действий противоборствующих групп в течение суток сеть зараженных машин переходила из рук в руки 3 раза. Злоумышленники понимают, что гораздо легче получить готовые ресурсы из зараженных компьютеров, чем выполнять кропотливую работу по содержанию собственного ботнета или тратить деньги на покупку части уже имеющегося в чьем-то распоряжении ботнета.

Весьма любопытно следить и за общением киберпреступников на ими же поддерживаемых форумах. Накал страстей при общении проявляется в подсовывании друг другу вредоносных программ под видом всевозможных keygen и cracker. Встречается и кража виртуальной собственности друг у друга путем включения в форумы специальным образом сформированных сообщений, просмотр которых может привести к заражению компьютера-жертвы. То есть друг против друга они используют все тот же «джентльменский набор», который идет в ход против обычных пользователей. Дальнейшее общение переходит в плоскость взаимных угроз, DDoS атак друг друга и так далее. Отчетливо понимая всю опасность своих же действий, авторы вредоносных программ не отказываются обсуждать достоинства антивирусных продуктов, как бы забывая при этом, что выбирают защиту от программ, написанных такими же вирусописателями, как и они сами. И защищаются они с помощью тех же самых продуктов, которые направлены на борьбу с их же «произведениями искусства».

Однако преступники уже не ограничиваются атаками на частных лиц. Все чаще по сравнению с 2004 годом в течение 2005-го, потеряв голову от собственной безнаказанности, преступники проводили атаки на те или иные государственные структуры: отмечено множество атак на государственные банки, электронные торговые площадки, военные и другие организации. В настоящее время, когда существует реальная зависимость экономики развитых и развивающихся стран от информационных технологий, рост числа подобных атак не может не вызывать озабоченность.

Государство начинает понимать всю серьезность проблемы. Но что же оно противопоставляет криминалу в сложившейся ситуации? Ушедший год показал значительное увеличение активности и оперативности правоохранительных органов практически всех развитых стран. В качестве примеров можно упомянуть лишь несколько громких фактов:

  • 26 августа были арестованы двое авторов червя Zotob (марроканец Farid Essebar — 18 лет и турок Atilla Ekici — 21 год). Этот червь вызвал крах сетевой инфраструктуры ABC, CNN, The New York Times и др. компаний. С момента появления данного червя до момента задержания его авторов прошло менее двух недель;
  • 37 лет получили двое нигерийских мошенников за рассылку так называемых «нигерийских писем»;
  • полиция Бразилии арестовала 85 человек по подозрению в похищении нескольких десятков миллионов долларов США. Преступники крали деньги со счетов клиентов финансовых организаций через сеть интернет.

Работу правоохранительных служб усложняет транснациональный характер преступности. Все чаще встречаются случаи, когда преступники живут в одной стране мира, а преступления совершают в другой.

В заключение данного раздела справедливости ради стоит отметить, что, несмотря на все предпринимаемые действия, усилий со стороны государства явно недостаточно. На настоящий момент количество успешных атак на государственные информационные ресурсы (и не только государственные) растет гораздо быстрее, чем противодействие со стороны государства.

Увеличивающаяся скорость реакции

В последнее время, когда новые пользователи являются ресурсами, посредством которых авторы вредоносных программ зарабатывают значительные финансовые средства, скорость реакции антивирусной индустрии является одним из ключевых параметров.

К сожалению, большинство пользователей (как начинающих, так и не очень) не относятся со всей серьезностью к существующей проблеме, что подтверждается проводимыми нами опросами:

Распределение пользователей по частоте обновлений, в % (по результатам опроса в интернете).

Из приведенных результатов опроса видно, что лишь 24% пользователей обновляются не реже одного раза в день. Если учесть частоту появления вредоносных программ, то становится ясно примерное количество вредоносных программ, детектирование которых попадает в каждое ежечасное антивирусное обновление, а также количество вредоносных программ, которые могут быть пропущены оставшимися 76% процентами пользователей.

Снимок экрана с сайта www.kaspersky.ru/viruswatchlite.

Если же представить количество новых ежегодно добавляемых антивирусных записей в виде гистограммы, то мы отчетливо увидим, что характер роста скорее экспоненциальный, чем линейный, что свидетельствует о постоянно увеличивающихся темпах появления новых вредоносных программ.

Количество ежегодно обнаруживаемых новых вредоносных программ.

Но, к сожалению, далеко не все зависит от скорости реакции антивирусных компаний. Пользователям необходимо комплексно подходить к защите своих компьютерных систем, уделять должное внимание установке патчей, закрывающих уязвимости как операционной системы, так и стороннего программного обеспечения. Что может произойти, если этого не делать, красноречиво показал эксплойт для MS05-039. Возникшая в августе 2005 года ситуация лишний раз продемонстрировала медлительность пользователей и оперативность злоумышленников. События развивались следующим образом:

Количество ежедневно обнаруживаемых уникальных экземпляров вредоносных программ, которые использовали эксплойт MS05-039 (август 2005 года).

Итак, 9 августа Microsoft выпускает патч, который закрывает уязвимость MS05-039.

Спустя 3 дня (12 августа) появляется PoC (Proof of Concept), и еще два дня уходит у вирусного сообщества на создание первой вредоносной программы, использующей данный эксплоит, — 14 августа появляется червь Zotob (Net-Worm.Win32.Bozori.a). Именно о нем мы говорили выше, именно он явился причиной краха сетей ABC, CNN и других компаний. Из приведенной гистограммы видно, как в дальнейшем развивались события — резкий рост числа вредоносных программ на базе Exploit.Win32.MS05-39 (гистограмма отражает количество ежедневно обнаруживаемых уникальных экземпляров вредоносных программ, которые использовали упомянутый эксплоит). Какие выводы можно сделать из рассмотренного примера? — Своевременная установка патчей так же важна, как и своевременная установка антивирусных обновлений. Особенно если учесть тот факт, что вирусное сообщество находится в постоянном ожидании появления новых PoC, использующих критические уязвимости, а появление новых критических уязвимостей в большинстве случаев приводит к всплеску вирусной активности.

Опасение в сложившейся ситуации вызывает возможность появления так называемых 0-day эксплоитов для критических уязвимостей, существование которых (эксплойтов), учитывая скорость реакции авторов вредоносных программ, без труда может привести к пандемиям вредоносных программ.

Почему же так важна эта скорость реакции? Обратимся к языку цифр. Спам-рассылка вредоносной программы с помощью бот-сети зараженных машин на несколько миллионов (!) адресов занимает около двух часов. Очевидно, что каждая дополнительная минута означает тысячи и десятки тысяч новых потенциальных жертв.

Из приведенных фактов становится ясно, что каждая дополнительная минута промедления со стороны антивирусных компаний позволяет злоумышленникам охватить множество новых потенциальных жертв.

И снова пресловутый человеческий фактор…

Человеческий фактор, без сомнения, является одним из самых серьезных факторов, влияющих на безопасность компьютерных систем. В чем же это заключается?

К примеру, мы уже упоминали ситуацию с эксплойтом для уязвимости MS05-039. Безусловно, свою негативную роль сыграл здесь человеческий фактор — у пользователей сети было 5 (!) дней чтобы установить обновление, блокирующее уязвимость MS05-039. Справедливости ради стоит отметить, что, конечно же, не все могут так быстро устанавливать обновления в силу ограничений, накладываемых внутренней политикой безопасности некоторых компаний или по другим причинам, но многие пользователи пострадали из-за элементарной человеческой безалаберности.

Показательным примером, когда в силу человеческой природы дело не было доведено до конца, был еще один случай, произошедший сразу с несколькими сайтами, атакованными червем Monikey. Эта вредоносная программа распространялась в виде писем, замаскированных под электронные открытки с поздравлениями. В письмах указывались ссылки на тело червя, которое располагалась на множестве взломанных сайтов. Многие из администраторов сайтов удаляли тело червя, но не предпринимали никаких мер для блокирования канала проникновения вредоносной программы на их сайты, что приводило к повторным появлениям этой вредоносной программы на их сайтах.

К сожалению, недостаток внимательности характерен не только для физических лиц, он присущ и крупным организациям. Так, в течение 2005 года были отмечены случаи выпуска легальной продукции, содержащей вредоносный код: выпуск носителей информации, содержащих вредоносные программы, выпуск программного обеспечения, использующего откровенно вирусные технологии, выпуск зараженных вирусом дистрибутивов. Курьезный случай произошел в конце 2005 года с одним из российских расчетных центров, который занимается рассылкой счетов за коммунальные услуги. В рассылаемых счетах был указан адрес несуществующего домена — himbank.ru Приводимый адрес в счетах предлагалось использовать для оплаты коммунальных услуг через сеть интернет. Надо ли говорить, что любой желающий мог зарегистрировать этот домен и с легкой руки расчетного центра опустошить электронные кошельки ничего не подозревающих получателей счетов? За короткое время по ошибочно указанному в счетах адресу обратились несколько сот пользователей.

Перейдем теперь к социальному инжинирингу — явлению, основанному на эксплуатации человеческих слабостей. Авторы вредоносных программ находятся в постоянном поиске, изобретая все более изощренные приемы, использующие человеческий фактор, что подтверждают события 2005 года.

Несколько трагических событий, произошедших в течение года, заинтересовали киберпреступников, став для них очередным поводом для получения наживы. Ставка делалась на резко возрастающий интерес людей к информации о подобных происшествиях. Приведем лишь несколько примеров.

  • Террористический акт в метро Лондона, унесший жизни около 50 человек, вызвал спам-рассылку троянской программы в почтовых сообщениях с заголовком «TERROR HITS LONDON». Для маскировки вредоносной программы в теле зараженных сообщений утверждалось, что сообщение якобы было проверено антивирусом.
  • Сообщения о птичьем гриппе повлекли за собой массовую спам-рассылку предложений поддельного лекарства, которое, естественно, ничем помочь в борьбе с птичьим гриппом не могло.
  • Ураган Катрина повлек спам-рассылку сообщений с заголовком «Katrina killed as many as 80 people». Разосланное сообщение само по себе никакого вредоносного кода не содержало, но было составлено весьма хитро. В теле сообщения содержалась лишь часть информации, целью которой было максимально заинтересовать читателя, который должен был щелкнуть по приводимой внизу сообщения ссылке «Read more». В этом случае и происходила загрузка вредоносного кода пользователю.

Конечно, злоумышленники эксплуатируют не только внимание пользователей к трагическим событиям — ими используется любой интерес к какому-либо событию или проблеме, например к проблеме распространения вредоносных программ, как бы смешно это не звучало. Ситуация настолько серьезна, что многие пользователи ставят без разбора все имеющиеся в наличии антивирусные решения, ошибочно полагая, что чем больше антивирусных продуктов установлено, тем лучше защита — не найдет вредоносную программу один продукт, найдет второй, третий, четвертый: Это с успехом и используют злоумышленники, рассылая с помощью спам-технологий вредоносные программы под видом антивирусов от имени известных производителей. Заражение таким способом, основанное на доверии пользователей к антивирусным компаниям, это самое доверие и подрывает, так как потом весьма трудно объяснить пользователю, что сообщение от имени антивирусной компании отправлено не ею.

Учитывая особенности антивирусной индустрии, можно сказать, что она на полшага позади киберпреступников, так как всегда сначала появляется атака, а потом защита от нее (что вполне логично). В сложившейся ситуации, когда идет борьба за пользователя, пользователь часто, не сознавая этого, оказывается на стороне злоумышленника, значительно облегчая ему задачу заражения компьютера, позволяя использовать не только технические способы проникновения. То есть антивирусным компаниям приходится бороться не только с техническими методами атаки, но и с невежественностью и безалаберностью пользователя. Несмотря на активную разъяснительную работу со стороны компаний, процент пользователей, которые, например, все равно открывают вложения от неизвестных отправителей, остается довольно высоким, что подтверждается нашим опросом «Что заставляет вас открывать подозрительные письма?»:

Результаты опроса пользователей «Что заставляет вас открывать подозрительные письма?»

Другие тенденции

Новые технологии

Новые технологии появляются как со стороны криминала, так и со стороны постоянно развивающегося ИТ-рынка.

Вызывает опасение, что увеличивается не только скорость появления новых вредоносных технологий, но и темпы объединения и перенимания существующих технологий, что приводит к увеличению эффективности заражения и скорости освоения новых платформ.

Рынок карманных мобильных устройств (смартфоны, КПК и т. д.), использующих полноценные ОС, уже постепенно осваивается криминалом, но всплеск числа вредоносных программ для мобильников еще впереди. И этому будет способствовать рост числа людей, пользующихся услугами электронного платежа и управляющих электронными счетами с помощью этих устройств.

Постепенно в обиход входит понятие «умного дома». «Умные дома» пока еще не слишком популярны, но уже стали появляться в нашей жизни. Станут ли они новой платформой для заражения? Время покажет.

Руткиты

Под «руткитами» будем понимать программную технику или код, целью которых является сокрытие какой-либо деятельности или объектов в системе. Чаще всего злоумышленниками скрываются процессы, файлы, ключи реестра и сетевая активность. То есть все те объекты, которые могут демаскировать присутствие вредоносной программы в зараженной системе.

Руткиты остаются динамично развивающимся направлением киберпреступников, что вполне понятно, так как использование этой техники позволяет значительно увеличить время жизни вредоносной программы в инфицированной системе по той причине, что жертва не в состоянии найти вредоносный объект с помощью стандартных средств операционной системы. Если в 2004 году мы обнаруживали в среднем чуть больше 6 штук в месяц представителей этого семейства, то на конец 2005 года это значение составляло уже 32 штуки в месяц. Почти четырехкратный рост популярности. Если ежемесячно обнаруживаемое количество руткитов (ось Y) представить в виде графика, то он примет следующий вид (рис. 7):

Рост популярности руткитов.

В течение ушедшего года продолжилось плавное смещение интереса от руткитов пользовательского режима к руткитам режима ядра. Подобное смещение интереса косвенно свидетельствует о большом количестве пользователей, работающих в сети под учетной записью администратора и не до конца осознающих серьезность последствий этого.

Business malware

Представители Business malware известны повсеместно, как и CrimeWare. С другой стороны, криминальным является почти все ПО, которое добавляется в антивирусные базы. Но не будем обсуждать здесь тонкости классификации (это тема для отдельной статьи), а рассмотрим изменения, произошедшие в данной категории в течение 2005 года.

Вредоносные программы, занимающиеся кражей финансовых средств, несомненно, можно назвать самыми популярными. По результатам 2005 года рост по этой категории пятикратный (!), о чем свидетельствует график, приведенный на рисунке 8. Ось Y — количество новых вредоносных программ этой категории, обнаруженных нашими аналитиками в соответствующий месяц (ось X).

Рост популярности Business Malware.

Из данного графика видно, что злоумышленники видят огромные возможности по получению прибыли, которые сулит им электронный банкинг и электронная торговля, что нашло отражение в пятикратном росте Business malware по результатам года. Более того, в ушедшем году все чаще перехватывались вредоносные программы, которые интересуются не единицами платежных систем, а десятками их.

Шантаж

Число случаев кибершантажа росло на протяжении всего 2005 года.

Свойственная сети интернет анонимность позволяет злоумышленникам использовать откровенно наглые методы шантажа. Если для нападения на организации, занимающиеся электронным бизнесом в сети, зачастую используются DDoS-атаки, то против остальных пользователей с успехом применяются троянские программы, которые занимаются модификацией данных с целью дальнейшего требования выкупа. Модификация данных необходима киберхулиганам для блокирования работы пользователя до момента перевода вымогаемых средств злоумышленникам.

Представителями данной категории вредоносных программ, появившимися в 2005 году, являются Virus.Win32.GPCode (шифрует пользовательские данные на диске), Trojan.Win32.Krotten (модифицирует системный реестр с целью блокировать работу компьютера) и др.

Многим пользователям проще заплатить сразу, чем ждать от антивирусных компаний утилиты дешифровки в течение нескольких часов. Проблема состоит в том, что выплата злоумышленникам требуемых сумм стимулирует их к созданию новых версий их «творений», что можно видеть на примере развития GPCode, который прошел путь от примитивной версии до версии с ассиметричным шифрованием.

Наблюдая эволюцию аналогичных программ в течение года определенно можно утверждать, что это направление шантажа будет развиваться дальше ударными темпами.

Рекомендации пользователям

При всем многообразии описанных проблем существует несколько совсем несложных рекомендаций, которые при всей их простоте позволят пользователям избежать проблем в подавляющем большинстве рассмотренных здесь ситуаций.

  • Не следует открывать вложения и ссылки в сообщении, если вы не ожидали его получить. Это справедливо как для сообщений электронной почты, так и для сообщений, получаемых любым сетевым клиентом (например, ICQ). Более того, это правило распространяется как на неизвестных получателей, так и на ваших знакомых, так как уже существует великое множество вредоносных программ, которые, заразив компьютер, рассылают сообщения от имени владельца всем знакомым, сопровождая вложенный объект или ссылку правдоподобным текстом, заставляющим получателя активировать ее. Если вы не ожидали получить сообщение, то нет ничего зазорного в том, если вы переспросите отправителя, посылал ли он вам вложение или ссылку.
  • Не забывайте своевременно обновлять свой антивирусный продукт.
  • Не забывайте своевременно устанавливать обновления как для операционной системы, так и для любого стороннего используемого вами программного обеспечения.
  • Не забывайте периодически делать резервные копии имеющейся информации, что позволит восстановить ее в случае краха системы или порче ваших данных вредоносными программами.
  • Учетную запись администратора стоит использовать только в случае необходимости. Не стоит работать под ней постоянно.
  • Для защиты компьютера в сети крайне желательно использовать firewall.

Заключение

К сожалению, ничего утешительного ушедший год не принес. Напротив, в течение года постоянно отмечалось появление новых методов атак, объединение существующих вредоносных технологий с целью повышения их эффективности, освоение новых платформ.

По результатам года с уверенностью можно утверждать, что для криминала перспективными направлениями являются мобильные устройства и финансовый сектор. Но вместе с тем не утратят свою популярность руткиты, ботнеты, кибершантаж и др. Активизация правоохранительных органов будет происходить все быстрее, хотя до требуемого уровня им еще далеко, и в настоящем году он, безусловно, достигнут не будет.

Развитие вредоносных программ в 2005 году, часть 2

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике