суббота, 5 ноября 2011 г.

Вирусная активность за сентябрь 2011г. Обзор, что новенького?



На протяжении мес. на компьютерах пользователей продуктов "Лаборатории Касперского":
отражено 213 602 142 сетевых атак;
заблокировано 80 774 804 попыток заражения ч/з Web;
обнаружено и обезврежено 263 437 090 вредоносных программ (попытки локального заражения);
отмечено 91 767 702 срабатываний эвристических вердиктов.

Новые утилиты и технологии злоумышленников
Вирусы в BIOS: последний рубеж пал?

В сент. случилось событие, которое может оказать сильное влияние на развитие вредоносных программ и антивирусных технологий. Специалисты тут же некоторого количества антивирусных фирм нашли троянскую программу, способную заражать BIOS.


Стартуя из BIOS немедленно после включения компьютера, вредоносная утилита может контролировать любые этапы инициализации машины и операционной системы. Подобный уровень введения в систему во вредоносных программах раньше не встречался, невзирая на то что вирус CIH был способен перепрограммировать BIOS еще в далеком 1998 г.. Тогда вирус мог портить BIOS, после чего становилась невозможной загрузка компьютера, однако контролировать систему и передавать себе управление он не умел.

Понятно, что подобный метод загрузки привлекателен для вирусописателей, хотя очевидны и трудности, с которыми они сталкиваются. В первую очередь - неунифицированный формат BIOS: создателю вредоносной утилиты требуется поддержать BIOS от любого изготовителя и разобраться с алгоритмом прошивки в ROM.

Обнаруженный в сент. эксплойт рассчитан на заражение BIOS производства компании Award и, видимо, имеет китайское происхождение. Код троянца смотрится явно недоделанным и содержит отладочную информацию, хотя его работоспособность была подтверждена в процессе проведенного нами исследования.

Функционал руткита имеет 2 составляющие, основной является работа из MBR. Код, внедряемый в BIOS, выполняет единственную задачу - восстановить заражение в случае отсутствия в MBR зараженной копии. Так как зараженная загрузочная запись и сопутствующие секторы располагаются в самом модуле ISA ROM, то в случае обнаружения несоответствия возможно "перезаразить" MBR прямо из BIOS. Это весьма повышает шансы на то, что компьютер останется зараженным, даже в случае излечения MBR.

Сейчас наши антивирусные технологии способны успешно обнаружить заражение подобным руткитом. Вопрос возможности исцеления BIOS остается открытым и будет решен в случае дальнейшего распространения вредоносных программ с таким функционалом. Теперь мы рассматриваем Rootkit.Win32.Mybios.a как концепт, созданный с целью проверки работоспособности самой идеи и не рассчитанный на массовое распространение. С подробным анализом биоскита возможно ознакомиться в статье нашего эксперта Вячеслава Русакова.
Атаки на личных пользователей
Закрытие ботнета Hlux/Kelihos

В сент. борьба с ботнетами дала солидные результаты: был закрыт ботнет Hlux. Совместные действия "Лаборатории Касперского", Майкрософт и Kyrus Tech привели не только лишь к перехвату управления сетью инфицированных Hlux машин (к слову, в первый раз в истории это удалось сделать с P2P-ботнетом), но еще и отключению всей доменной зоны cz.cc. Эта доменная зона в течение 2011 г. представляла собою реальный рассадник разных угроз: поддельных антивирусов (в частности и для MACOS), бэкдоров, шпионских программ. И в ней находились центры управления некоторого количества десятков ботнетов.
Исчезновение вредоносных сайтов в зоне cz.cc, отмеченное нами на базе данных KSN

Ботнет Hlux на миг закрытия объединял более 40 000 компьютеров и был способен рассылать каждый день десятки млн. спам-писем, проводить DDOS-атаки и загружать на компьютеры жертв разные вредоносные утилиты. "Лаборатория Касперского" исследовала данный ботнет с начала 2011 г.. Мы провели полный разбор всех его составляющих, вскрыли протокол коммуникации ботнета и создали средства противодействия, в частности для перехвата управления сетью. За исключением этого, Майкрософт подала иск против ряда лиц, вероятно причастных к созданию Hlux, запустив этим процесс юридического преследования киберпреступников.

В данный момент ботнет располагается под контролем "Лаборатории Касперского". Мы пребываем в контакте с провайдерами пострадавших пользователей для проведения очистки их систем. В утилиту Майкрософт Software Removal Tool добавлено детектирование Hlux, что даст возможность существенно сократить количество инфицированных машин.

Более детально о схеме работы ботнета Hlux и мерах, принятых нами для его закрытия, вы можете выяснить в блогпосте нашего эксперта Тиллманна Вернера.

Борьба с ботнетами продолжается, и целый ряд больших и опасных зомби-сетей располагается под нашим наблюдением, так что сообщения о новых закрытиях еще будут.
Взлом Diginotar

История с хакерской атакой на голландский сертификационный центр DIGINOTAR отнесена нами к разделу угроз для личных пользователей. Невзирая на то что взлому подверглись компьютеры компании, одной из главных целей хакеров было создание поддельных SSL-сертификатов для множества популярных ресурсов - общественных сетей и почтовых служб, используемых домашними пользователями.

Взлом произошел еще в итоге июля, и в течение целого августа хакер, оставаясь незамеченным, орудовал в системе DIGINOTAR, создав не один десяток сертификатов (к примеру, для Gmail, Facebook и Twitter). Что более печально, их применение было зафиксировано в интернете и, видимо, с их помощью были атакованы пользователи в Иране. Фальшивый сертификат дает возможность провести атаку MITM и, будучи внедренным на уровне провайдера, предоставляет возможность перехвата всей информации м/у пользователем и сервером.

Впоследствии анонимный хакер из Ирана взял на себя ответственность за эту атаку, представив подтверждения собственного участия в ней. Это был тот же хакер, который в марте этого г. уже осуществил аналогичную атаку на иной сертификационный центр, компанию-партнера Comodo и тоже сделал несколько поддельных сертификатов.

История с DIGINOTAR следующий раз заставила говорить о том, что существующая система из некоторого количества сотен сертификационных центров весьма слабо защищена и такие инциденты лишь дискредитируют саму идею цифровых сертификатов. Без сомнений, недостатки в безопасности, обнаружившиеся в процессе таких атак, так серьезны, что требуют немедленного исправления и разработки доп. средств авторизации - с участием фирм, занимающихся безопасностью, изготовителей браузеров и самих центров сертификации, число которых, возможно, должно быть уменьшено.
Применение Skype для продвижения фальшивых антивирусов

Еще в марте 2011 г., чтоб заманить пользователей на сайты, распространявшие лжеантивирусы, злоумышленники стали применять звонки в Skype. Они подбирали имена учетных записей пользователей, и, если у пользователей в настройках Skype не была поставлена политика, дающая возможность принимать звонки лишь от лиц из списка контактов, им звонили незнакомцы с именами ONLINE REPORT NOTICE, System Service или каким-или иным из целого списка созданных злоумышленниками аккаунтов. Если пользователь принимал звонок, то робот извещал его о том, что система пользователя подвергается опасности, в связи с чем ему требуется посетить какой-то сайт. На веб-сайте пользователю демонстрировалась ложная проверка системы. Конечно же, в защите "находились" бреши или, того хуже, - вредоносные утилиты. Чтоб залатать бреши и избавиться от вирусов, потенциальной жертве мошенничества предлагалось купить антивирусное ПО, которое в действительности таковым не являлось, а только имитировало защиту, - т. е. лжеантивирус.

Весной тактика со звонками в Skype широкого распространения не заполучила, однако в сент. были зафиксированы очередные инциденты.

Так, в сер. сент. пользователи Skype жаловались, что им звонит какой-то "URGENT NOTICE" и пугает тем, что служба защиты их компьютера не активна. Чтоб ее активировать, нужно было зайти на сайт (адрес диктовался в сообщении), на коем пользователей просили расплатиться 19 долларов,95 за активацию защиты компьютера. Судя по названию сайта, который фигурировал в инциденте, в сент. орудовали те же злоумышленники, которые проделывали трюки со звонками в марте этого г..

Чтоб избавиться от спама в Skype, требуется поставить в настройках безопасности этой утилиты опции, позволяющие принимать звонки, видео и чат лишь от пользователей из списка контактов. Ну а если аккаунт применяется как какой-то сервис, на который обязаны звонить произвольные пользователи, и такая настройка безопасности не подходит, то нужно сообщать администрации Skype имена учетных записей назойливых спамеров для блокировки таковых.
Мобильные угрозы

В сент. нами было обнаружено 680 новых модификаций вредоносных программ для разных мобильных платформ. Из них 559 - зловреды для ОС Android. Отметим, что последние мес. мы наблюдаем не только лишь существенный рост общего количества вредоносных программ под Android, но еще и повышение числа некоторых категорий этих программ. Так, из 559 обнаруженных зловредов под Android 182 (т.е. 32,5%!) модификации имеют функционал бэкдора (в июле и августе было обнаружено 46 и 54 модификации бэкдоров соответственно).

То, что через какое-то время все более и более вредоносных программ для мобильных устройств будут активно применять интернет для собственной работы - к примеру, связываться с удаленными серверами злоумышленников для приобретения команд, - было понятно еще г. назад. Сейчас это уже не прогноз, а действительность.
SPITMO + SPYEYE = перехват MTAN’ов

Мобильные троянцы, нацеленные на перехват банковских SMS-сообщений, содержащих MTAN’ы, на сегодняшний день представлены 2-мя зловредами: ZITMO и SPITMO. I работает в связке с ZEUS, при том, что II-й связан с иным популярным у злоумышленников троянецем - SPYEYE. Количество платформ, для которых были обнаружены версии таких зловредов, у ZITMO более, хотя в сент. SPITMO сократил разрыв: возникла версия этой утилиты для ОС Android.

SPITMO и связанный с ним SPYEYE работают в действительности по той же схеме, что и ZITMO с ZEUS . Судя по конфигурационным файлам SPYEYE, целью атаки были пользователи некоторого количества испанских банков. Пользователь, компьютер которого заражен SPYEYE, на модифицированной зловредом странице авторизации системы он-лайн-банкинга видит сообщение о том, что ему требуется поставить на смартфон приложение - будто бы для защиты банковских SMS-сообщений с MTAN’ами. В действительности под видом защитной утилиты пользователь устанавливает вредоносную программу SPITMO, целью которой является пересылка всех входящих SMS-сообщений на удаленный сервер злоумышленника. Сообщения пересылаются в следующем формате:


Подробнее
Нужно подчеркнуть, что SPITMO содержит конфигурационный XML-файл, в коем указано, как будет реализовываться отправка похищенных SMS-сообщений: ч/з HTTP или SMS. Такое встретилось в первый раз, и не только, что в будущем такие вредоносные утилиты будут обрастать и другими функциями.
Атаки при помощи QR-кодов

В последних числах сентября были зафиксированы I-е попытки атак с использованием QR-кодов. Сейчас многие пользователи ищут новые утилиты для своих мобильных устройств при помощи персональных компьютеров. Разные веб-сайты предлагают пользователям упростить установку ПО на смартфоны при помощи QR-кодов. После сканирования подобного кода мобильным устройством немедленно начинается процесс закачки на него приложения, а вводить URL руками не требуется. Злоумышленники решили подобным же способом "облегчить" пользователям загрузку вредоносного ПО. Мы нашли несколько зловредных сайтов, на которых размещены QR-коды на мобильные приложения (к примеру, Jimm или Opera Mini), в которые был добавлен троянец, отправляющий SMS-сообщения на короткие платные номера.
К началу окт. нами были обнаружены QR-коды, которые связаны со зловредами для максимально популярных у злоумышленников мобильных платформ Android и J2ME.
MACOS угрозы: новый троянец скрывается внутри PDF

В последних числах сентября наши коллеги из компании F-Secure нашли следующий вредоносный код, нацеленный на пользователей Mac OS X (по классификации "Лаборатории Касперского" Backdoor.OSX.Imuler.a). Эта вредоносная утилита способна приобретать бонусные команды с сервера управления, и загружать на него произвольные файлы и скриншоты с зараженной системы.

В отличие от Backdoor.OSX.Olyx.a, который распространялся по email в RAR-архиве, в этом случае злоумышленники применяли в аналогичной рассылке в качестве маскировки PDF-документ.

Если пользователи ОС Windows уже привыкли приобретать по email файлы с дополнительным расширением - к примеру, ".pdf.exe" или ".doc.exe" - и удалять их не глядя, то для пользователей Mac такая тактика злоумышленников оказалась в новинку. Тем паче что в UNIX-таких системах нет расширения.exe. Как следствие, получая по email какой-то файл, пользователи Mac сами запускают вредоносный код, который для маскировки открывает pdf, или картинку, или doc и т.п.

Любопытно, что в ходе проведения таких атак при запуске вредоносного кода пароль не запрашивается - код устанавливается в директорию текущего пользователя и работает лишь со временными папками.

Такую технологию мы уже наблюдали при работе вредоносной утилиты MACDEFENDER. К радости, в случае Imuler масштабы бедствия немало менее.
Атаки на сети корпораций и больших организаций

Не обошелся мес. и без очередных громких атак на большие компании и государственные структуры различных стран мира.
Атака на корпорацию Mitsubishi

Информация об атаке на японскую корпорацию Mitsubishi возникла в сер. мес., хотя проведенное нами расследование показывает, что скорее всего началась она еще в июле и находилась в активной фазе в августе.

По данным, обнародованным в японской прессе, было заражено возле 80 компьютеров и серверов заводов, которые занимаются производством оснащения для подводных лодок, ракет и атомной промышленности. К примеру, вредоносные утилиты нашли на судостроительном заводе в Кобе, специализирующемся на производстве подводных лодок и компонентов для атомных станций. Атаке хакеров подверглись заводы в Нагое, где делают ракеты и ракетные двигатели, и завод в Нагасаки, производящий сторожевые суда. Нашли зловреды и на компьютерах головного офиса компании.

Специалистам "Лаборатории Касперского" удалось получить образцы вредоносных программ, использованных в этой атаке. Мы можем с уверенностью заявить, что эта атака была тщательно спланирована и проведена согласно со сценарием, классическим для таких угроз. В итоге июля ряду работников Mitsubishi злоумышленники направили послания, содержащие PDF-файл, который представлял собою эксплойт уязвимости в Adobe Reader. После открытия файла происходила инсталляция вредоносного модуля, открывающего хакерам полный удаленный доступ к системе. В последующем с зараженного компьютера хакеры проникали все далее в сеть компании, взламывая нужные им серверы и собирая интересующую их информацию, которая после пересылалась на хакерский сервер. В общей сложности в процессе атаки использовалось возле 10-ка разных вредоносных программ, часть которых была разработана с учетом организации внутренней сети компании.

Что конкретно было украдено хакерами, поставить уже нереально, хотя возможно, что на пострадавших компьютерах находилась конфиденциальная информация, в частности стратегического значения.
Lurid

Потенциально еще более серьезный инцидент был раскрыт в процессе исследования, проведенного экспертами компании TRENDMICRO. Им удалось перехватить обращения к нескольким серверам, которые применялись для управления сетью из 1,5 тыс. взломанных компьютеров, размещенных в основном в РФ, странах бывшего Советского Союза, и Восточной Европе. Этот инцидент заполучил имя "Lurid".

Благодаря поддержки коллег из Trend Micro нам удалось проанализировать перечни отечественных жертв. Разбор продемонстрировал, что и тут мы имеем дело с целевыми атаками на конкретные организации, при этом вполне специфические. Атакующих интересовали предприятия авиакосмической отрасли, научно-исследовательские институты, ряд коммерческих организаций, государственные ведомства и кое-какие средства массовой информации.

Инцидент Lurid затронул немедленно несколько стран и начался хотя бы в марте этого г.. Как и в случае с Mitsubishi, на первом этапе атаки применялись послания в email. И в этом инциденте к тому же нельзя достоверно поставить объем и содержание данных, которые имели возможность быть украдены хакерами, однако перечень целей атаки заявляет сам за себя.
Уроки истории: 10 лет червю Nimda

Одним из значимых инцидентов начала XXI столетия стала история с червем Nimda. 10 лет тому назад червь Nimda применял разные методы заражения персональных компьютеров и серверов, однако основные заражения, повлекшие за собою глобальную эпидемию, произошли ч/з вложения в электронные послания. 18 сент. 2001 г. злоумышленники разослали сообщения с вложенным вредоносным исполняемым файлом. Тогда это еще было в новинку, и пользователи без специальной опаски запускали вложенную в послание программу. Теперь же почти каждому пользователю известен риск, связанный не только лишь с запуском программ из спамовых писем, но еще и с переходом по ссылкам, указанным в письмах от незнакомцев.

Со времен Nimda тактика злоумышленников, конечно, поменялась, однако метод распространения зловредов ч/з электронную почту до сих пор остается одним из наиболее популярных. Сейчас злоумышленники поступают хитрее, чем их предшественники 10 лет тому назад. Теперь для заражения применяют уязвимости в популярных программах, работающих с документами. Файлы с расширениями .doc, .pdf, .xls и т.п. ассоциируются у пользователей с текстами, таблицами - в общем, с документами, и, чаще всего, не вызывают подозрений.

Уязвимости в программах всегда закрываются, однако многие пользователи не обновляют установленное ПО, и злоумышленники активно этим пользуются. Больше всего пользователей настораживают сообщения от незнакомцев. Поэтому злоумышленники на уже инфицированных компьютерах воруют учетные записи электронной почты, общественных сетей, систем обмена сообщениями (к примеру, icq) и т.п. и рассылают по списку контактов пользователя послания/сообщения от его имени.

В особенности распространены атаки ч/з электронную почту для проведения целевых атак на организации.


Комментариев нет:

Отправить комментарий