Развитие информационных угроз в третьем квартале 2012 года
29 ноября 2012
Рубрика: Лаборатория Касперского. Тэги:
Автор: .

Эксперты «Лаборатории Касперского» подвели итоги активности вирусописателей в июле, августе и сентябре 2012 года. По результатам квартала аналитики выявили гастрономические пристрастия зловредов относительно версий платформы Android и новые инциденты в области кибершпионажа.

Тенденция интенсивного роста количества новых мобильных зловредов для ОС Android сохранилась и в прошедшем квартале. Поэтому эксперты «Лаборатории Касперского» решили определить, пользователи каких версий платформы чаще всего становятся мишенями злоумышленников. Оказалось, что зловреды предпочитают «пряники» и «мороженое». В большинстве случаев атакам подвергались системы версий 2.3.6 «Gingerbread» («Имбирный пряник») и 4.0.4 «Ice Cream Sandwich» («Брикет мороженого»). На «пряничную» платформу пришлось 28% отраженных попыток установки вредоносных программ в течение квартала. «Хотя система не нова и была выпущена еще в сентябре 2011 года, из-за сильной сегментации рынка Android-устройств эта версия и по сей день остается одной из наиболее популярных, что в свою очередь вызывает повышенный интерес вирусописателей, — комментирует ведущий антивирусный эксперт «Лаборатории Касперского» Юрий Наместников. — Сравнивая наши данные с официальными цифрами по распределению версий Android по различным мобильным устройствам за последние 14 дней сентября, мы видим, что в 48% случаев жертвами злоумышленников стали пользователи версии «Gingerbread», которая установлена на 55% устройств, и в 43% — пользователи самой свежей версии Android «Ice Cream Sandwich», инсталлированной на 23,7% устройств».

Цифры квартала
• По данным KSN, в третьем квартале 2012 года продукты «Лаборатории Касперского» обнаружили и обезвредили 1 347 231 728 вредоносных объектов.
• 28% атакованных мобильных устройств работают под ОС Android версии 2.3.6, выпущенной в сентябре 2011 года.
• 56% отраженных в третьем квартале эксплойтов используют уязвимости в Java.
• Зафиксировано распространение вредоносных программ более чем с 91,9 миллиона URL, что на 3% больше, чем во втором квартале 2012 года.

Обзор ситуации
Мобильные зловреды и операционные системы

Коллекция вредоносных новых dex-файлов за третий квартал 2012 года пополнилась более чем девятью тысячами файлов. Это на 5 тысяч меньше, чем в прошлом квартале, но на 3,5 тысячи больше, чем в первом квартале 2012 года.

Объясняется это тем, что во втором квартале наша коллекция вредоносных файлов пополнилась файлами, которые до этого в течение некоторого времени детектировались эвристическими методами. (Напомним, что одной эвристикой детектируется множество разных программ.) В третьем квартале ситуация была стандартной, и количество новых файлов в нашей коллекции соответствует наблюдаемой с начала года тенденции.

Рис 1. Количество обнаруженных модификаций вредоносного ПО для Android OS

Интересно посмотреть, пользователи каких версий операционной системы Android чаще всего становятся мишенями злоумышленников.

Рис 2. Распределение обнаруженных вредоносных программ по версиям OS Android.

Третий квартал 2012 года
На первом месте версия Android 2.3.6 «Gingerbread», на пользователей которой пришлось 28% отраженных попыток установки вредоносных программ. Эта система не нова и была выпущена еще в сентябре 2011 года. Однако из-за сильной сегментации рынка Android-устройств эта версия и по сей день остается одной из наиболее популярных.

Чтобы ответить на вопрос, насколько велико соответствие между распределением версий Android OS, установленных на мобильных устройствах, и распределением версий ОС устройств, ставших целями атаки злоумышленников, необходимо сравнить наши данные с официальными цифрами по распределению версий Android OS с сайта developer.android.com. На рис. 3 дано процентное соотношение версий ОС за последние две недели сентября.

Рис 3. Источник: http://developer.android.com/about/dashboards/index.html

Сравним их с нашими данными за тот же период времени (рис. 4).

Рис 4. Распределение вредоносных программ, обнаруженных за последние 14 дней сентября 2012 г., по версиям Android OS

Как мы видим, диаграммы значительно отличаются: в 48% случаев жертвами злоумышленников стали пользователи версии «Gingerbread», которая установлена на 55% устройств, и в 43% — пользователи самой последней версии Android OS «Ice Cream Sandwich», которая установлена на 23,7% устройств.

Очевидно, что устройства, на которых установлены более современные версии OC, больше подходят для активной работы в Интернете. Увы, более активный веб-серфинг часто приводит пользователей на сайты с вредоносным контентом.

Для того, чтобы понять, какие программы атакуют устройства пользователей, мы воспользуемся данными KSN для мобильных устройств.

Рис 5. Распределение по поведениям обнаруженных вредоносных программ, нацеленных на Android OS. Третий квартал 2012 г.

Больше половины обнаруженных на смартфонах пользователей зловредов оказались SMS-троянцами — вредоносными программами, которые снимают деньги с мобильных счетов жертв, отправляя SMS на платные номера.

Среди всех семейств мобильных зловредов наиболее распространенным стало OpFake (38,3% от всех обнаруженных программ под Android). Программы этого семейства маскируются под Opera Mini. На третьем месте — семейство FakeInst, зловреды которого маскируются под инсталляторы популярных программ (17%). Рассадником зловредов этих двух видов являются так называемые альтернативные магазины приложений, созданные киберпреступниками.

20%, пятая часть обнаруженных программ, — многофункциональные троянцы, большая часть которых относится к семейству Plangton. После установки троянцы собирают служебную информацию о телефоне, отправляют ее на сервер управления и ждут команды злоумышленников. В частности, зловреды этого семейства умеют незаметно изменять закладки и стартовую страницу.

5% — not-a-virus:RiskTool.AndroidOS. SMSreg, подписывающие пользователя на дорогостоящие сервисы. Программы этого семейства нацелены на пользователей таких стран, как США, Голландия, Великобритания и Малайзия. Более подробно об этих программах мы писали в нашем блоге — http://www.securelist.com/en/blog.

4% — семейство Exploit.AndroidOS. Lotoor. Для получения контроля над телефоном злоумышленникам необходимо проделать jailbreak (обход защиты телефона с целью открытия полного доступа к файловой системе). Зловреды этого семейства используются, чтобы получить root-привилегии, которые дают практически неограниченные возможности для манипуляций над системой.

Столько же (4%) пришлось на различные рекламные программы, детектируемые как AdWare, среди которых самым популярным семейством является Hamob. Программы этого семейства показывают рекламу, встроенную в приложения.

Таким образом, в третьем квартале атакам злоумышленников чаще всего подвергались системы Android версий 2.3.6 «Gingerbread» и 4.0.4 «Ice Cream Sandwich».

Злоумышленники достаточно успешно обходят, в первую очередь с помощью социальной инженерии, ограничения на установку ПО из недоверенных источников. В «дикой природе» наиболее распространены различные троянцы, тем или иным способом крадущие деньги с мобильного счета пользователя. Хотя очевидно, что их постепенно вытесняют более сложные многофункциональные троянцы.

Эксплойты: ошибки в Java используются более чем в половине атак
Проблема атак в Интернете связана в первую очередь с различными эксплойтами, позволяющими злоумышленникам загружать вредоносные программы в ходе drive-by атаки без необходимости использования социальной инженерии. Залогом успешного применения эксплойтов является наличие уязвимостей в коде популярных приложений, установленных на компьютерах пользователей.

Посмотрим, на какие уязвимые приложения были нацелены эксплойты в третьем квартале. В этом квартале мы изменили методику и включили в статистику эксплойты, детектируемые различными эвристическими методами.

Рис 6. Приложения, уязвимости в которых использовали веб-эксплойты. Третий квартал 2012 г.

Более чем в 50% атак были использованы бреши в программе Java. Различные версии этой виртуальной машины, по данным Oracle, установлены более чем на 1,1 миллиарда компьютеров. Важно учесть, что обновления этого ПО устанавливаются по запросу пользователя, а не автоматически, что увеличивает время жизни уязвимости. Плюс к этому эксплойты к Java достаточно легко использовать под любой версией Windows, а при некоторых доработках злоумышленников, как это было в случае с Flashfake, эксплойт может стать кроссплатформенным. Этим и объясняется особый интерес киберпреступников к Java-уязвимостям. Конечно, большая часть обнаружений приходится на различные наборы эксплойтов.

В третьем квартале было обнаружено несколько уязвимостей, которые быстро стали использоваться злоумышленниками. Найденная в июле CVE-2012-1723, представляет собой ошибку в компоненте HotSpot, эксплуатируя которую злоумышленники могут выполнить свой класс в обход песочницы виртуальной машины Java. Вторая уязвимость CVE-2012-4681 была обнаружена в конце августа. Эксплойты к этой уязвимости сначала использовались в целевых атаках, а затем достаточно быстро перекочевали и в популярные эксплойт-паки. Продукты «Лаборатории Касперского» успешно детектировали их с помощью технологии Advanced Exploit Protection. Более подробно об этом можно прочитать в нашем блоге.

На втором месте — атаки через Adobe Reader, которые составили четверть всех отраженных атак. Постепенно популярность эксплойтов к Adobe Reader уменьшается, что связано с достаточно простым механизмом их детектирования и автоматическими обновлениями, введенными в последних версиях Reader.

3% атак пришлось на эксплойты к уязвимости в Windows Help and Support Center, а также на различные уязвимости в IE. В частности, в третьем квартале была обнаружена уязвимость CVE-2012-1876 в браузере Internet Explorer версий 6-9, который неправильно обрабатывал объекты в памяти, что давало возможность злоумышленнику обратиться к несуществующему объекту и приводило к переполнению кучи (heap-overflow). Интересно, что уязвимость была использована на соревновании Pwn2Own в рамках конференции CanSecWest 2012 еще в марте.

Мы советуем пользователям следить за обновлением установленных программ, использовать современные средства защиты от эксплойтов, а компаниям использовать технологии Patch Management.

Кибершпионаж: Gauss, Madi и другие
Третий квартал был богат на инциденты, связанные с кибершпионажем. Наиболее значимыми стали исследования вредоносных программ Madi, Gauss и Flame, главным регионом действий которых, согласно нашей статистике, являются страны Ближнего Востока.

Одна из кампаний по проникновению в компьютерные системы продолжалась почти год и была направлена преимущественно на пользователей в Иране, Израиле и Афганистане. Совместно с нашим партнером, израильской компанией Seculert, мы провели подробное расследование этой операции, дав ей название «Madi», исходя из того, какие строки и идентификаторы использовали киберпреступники в используемом зловреде. В ходе операции использовался набор хорошо известных несложных технологий проведения атак для доставки вредоносных компонентов, что говорит о невысоком уровне осведомленности жертв об интернет-безопасности.

В результате атак в системы устанавливались бэкдоры, написанные на Delphi. Так мог сделать или программист-любитель, или профессиональный разработчик, которому очень не хватало времени. Кампания была нацелена на критически важную инфраструктуру инженерных фирм, правительственных организаций, банков и университетов на Ближнем Востоке. А в качестве жертв выбирались причастные к этим организациям пользователи, коммуникация которых находилась под пристальным наблюдением в течение продолжительного времени.

Программа Gauss была обнаружена в ходе расследования, которое проводилось по инициативе Международного союза электросвязи (МСЭ), выдвинутой после обнаружения вредоносной программы Flame. По сути Gauss — это созданный государством «банковский» троянец. Помимо функции кражи разнообразных данных с зараженных Windows-компьютеров, он содержит некий вредоносный функционал, код которого зашифрован, а назначение пока не выяснено. Вредоносная программа активируется только в системах с определенной конфигурацией. Gauss базируется на платформе Flame и имеет некоторые общие функциональные элементы с Flame, такие как подпрограммы заражения USB-носителей.

Также нашим экспертам удалось получить новую информацию об управляющих серверах вредоносной программы Flame. Исследование, проведенное нами совместно с нашими партнерами — Symantec, ITU-IMPACT и CERT-Bund/BSI, позволило нам сделать ряд важных выводов. Во-первых, разработка кода командных серверов в рамках данной платформы началась еще в декабре 2006 года и, судя по комментариям в исходном коде, над проектом работали минимум четыре программиста. Код командного сервера поддерживает три протокола передачи данных. Что самое интересное, он обрабатывает запросы четырех разных вредоносных программ, обозначенных авторами как SP, SPE, FL и IP.

Из этих четырех вредоносных программ в данный момент известны две: Flame и SPE (miniFlame).

Исходя из полученных данных, мы можем сказать, что история с кибершпионажем должна получить продолжение в ближайшем будущем. Цель проводимой «Лабораторией Касперского» работы — уменьшение риска, который возник с появлением кибероружия.

Статья публикуется с сокращениями. С полным текстом статьи можно ознакомиться здесь — http://www.securelist. com/ru/analysis/208050773/Razvitie_ informatsionnykh_ugroz_v_tretem_ kvartale_2012_goda.

Orphus system
Подписывайтесь на канал infoCOM.UZ в Telegram, чтобы первыми узнавать об ИКТ новостях Узбекистана
В Telegram
В WhatsApp
В Одноклассники
ВКонтакте