Записи с меткой «pdf»

https://i1.wp.com/www.convex.ru/gallery/Kaspersky_RGB_POS.jpg

новости от «Лаборатории Касперского»

Экстенсивный рост количества электронных устройств, используемых в бизнес-целях, а также все возрастающая зависимость успешности различных организаций от надежной работы информационных систем создают идеальные условия для «процветания» киберпреступников. Создавая все больше вредоносных программ и совершенствуя методы проникновения в корпоративные сети, злоумышленники атакуют компании с целью кражи информации или денег, уничтожения важных данных или блокирования работы инфраструктуры, нанесения финансового или репутационного ущерба организации. О настойчивости, с которой действуют злоумышленники, свидетельствует, к примеру, тот факт*, что в 2013 году 95% российских компаний хотя бы один раз подвергались кибератаке, а 8% стали жертвами целевых атак.

По результатам исследования «Лаборатории Касперского», основными объектами таргетированных атак в 2013 году стали предприятия нефтяной индустрии, телекоммуникационные компании, научно-исследовательские центры, организации, ведущие свою деятельность в аэрокосмической, судостроительной и других отраслях, связанных с разработкой высоких технологий. Однако при массовом распространении вредоносных программ жертвой киберпреступников может стать абсолютно любая компания вне зависимости от масштабов и сферы деятельности.

В 2013 году одним из самых популярных у злоумышленников методов проникновения в корпоративную сеть стала рассылка сотрудникам атакуемой компании электронных писем с вредоносными вложениями. Чаще всего в подобные письма вложен документ в привычных для офисных работников форматах Word, Excel или PDF. Действуя таким образом, киберпреступники эксплуатируют не только вредоносные программы как таковые, но и слабости человеческой натуры: любопытство, невнимательность, доверчивость и т.п. Именно так, например, был успешно разослан хитрый шпион Miniduke, обнаруженный «Лабораторией Касперского» в феврале этого года.

Из вредоносных же программ, используемых в атаках на компании, злоумышленники нередко предпочитают эксплойты — программы, загружающие на компьютер жертвы вредоносный функционал через открытые уязвимости в легитимном ПО. В 2013 году рекордное число брешей было замечено в популярной программе Oracle Java — по данным «Лаборатории Касперского», из всех зафиксированных попыток эксплуатации уязвимостей 90,52% пришлось именно на уязвимости в Java.

Другим популярным орудием киберпреступников являются программы-вымогатели. По сути, эти зловреды представляют собой DOS-атаки на отдельно взятый компьютер, а их цель — блокировка доступа к файловой системе или шифрование данных на жестком диске. Дальнейшими действиями злоумышленников в такой ситуации обычно является шантаж и вымогание денег за восстановление доступа к данным. Популярность этого вида вредоносных программ в атаках на российские организации довольно высока: по данным «Лаборатории Касперского», в уходящем году жертвой каждой пятой атаки с использованием программ-вымогателей стала именно российская компания.

Наконец, мобильные устройства, используемые в корпоративной сети, также все чаще начинают попадать в поле зрения злоумышленников. Нередко смартфоны и планшеты становятся самостоятельной целью в кибератаках, поскольку объем и ценность хранимых на них данных постоянно возрастает. Внимательное отношение к этому виду устройств со стороны киберпреступников демонстрирует хотя бы тот факт, что организаторы масштабной шпионской кампании «Красный октябрь» разработали специальные модули, которые определяли тип мобильной операционной системы на зараженном устройстве и отправляли полученную информацию на сервер управления.

«Сегодня под угрозой кибератаки и связанной с ней потери данных оказывается буквально каждая компания. Даже маленькие и, на первый взгляд, незаметные организации могут стать мишенью злоумышленников если и не в качестве финальной цели, то в качестве способа подобраться к более крупным компаниям, с которыми они взаимодействуют. При этом ущерб от такой атаки, как финансовый, так и репутационный, для бизнеса любого размера может быть очень существенным, — поясняет Виталий Камлюк, ведущий антивирусный эксперт «Лаборатории Касперского». — Киберпреступники постоянно совершенствуют свои инструменты и техники и используют целый ряд программ деструктивного действия: от шифровальщиков и «стирателей», распространяющихся как болезнь в корпоративной среде, до целой армии послушных компьютеров-зомби, поглощающих все свободные ресурсы корпоративных сетей. Безопасность инфраструктуры компании и ее бизнеса в таких условиях может обеспечить лишь комплексное защитное решение».

Подробнее об актуальных угрозах для бизнеса и тенденциях, отмеченных аналитиками в 2013 году, читайте в отчете «Лаборатории Касперского» на сайте www.securelist.com/ru/analysis/208050824/Kaspersky_Security_Bulletin_2013_Korporativnye_ugrozy. По ссылке также доступен видео-комментарий главного антивирусного эксперта «Лаборатории Касперского» Александра Гостева.


*Данные получены в результате исследования, проведенного «Лабораторией Касперского» совместно с аналитической компанией B2B International в 2013 году. В исследовании приняли участие более 2895 IT-специалистов из 24 стран мира, включая Россию.

Реклама

DRWEB

 

Середина осени 2013 года вновь была отмечена широким распространением троянцев-шифровальщиков: в октябре в службу технической поддержки компании «Доктор Веб» обратились сотни пострадавших от действий троянцев-энкодеров. Также в октябре были выявлены очередные вредоносные программы для мобильной платформы Google Android, которая давно уже находится под прицелом злоумышленников.

Вирусная обстановка

Согласно статистике, собранной в октябре с использованием бесплатной лечащей утилиты Dr.Web CureIt!, в списке выявленных угроз, как и прежде, лидирует Trojan.LoadMoney.1 — приложение-загрузчик, созданное организаторами партнерской программы Loadmoney. Также в лидерах списка — еще одна его модификация, Trojan.LoadMoney.76. Велико число заражений компьютеров вредоносной программой Trojan.Hosts.6815: это приложение модифицирует содержимое файла hosts с целью перенаправления браузера на мошеннические или фишинговые ресурсы. Кроме того, в числе лидеров по количеству обнаружений на компьютерах пользователей — троянец-загрузчик Trojan.InstallMonster.28 и рекламный троянец Trojan.Lyrics.11. Двадцатка наиболее актуальных угроз, обнаруженных при помощи лечащей утилиты Dr.Web CureIt! в октябре, представлена в следующей таблице:

Название Кол-во %
Trojan.LoadMoney.1 4794 3.84
Trojan.Packed.24524 3716 2.98
Trojan.LoadMoney.76 3237 2.60
Trojan.Hosts.6815 2192 1.76
Trojan.InstallMonster.28 2061 1.65
Trojan.Lyrics.11 1441 1.16
Trojan.InstallMonster.33 1226 0.98
Win32.HLLP.Neshta 1192 0.96
BackDoor.Andromeda.178 982 0.79
Trojan.Fraudster.524 961 0.77
BackDoor.IRC.NgrBot.42 947 0.76
Trojan.Winlock.8811 881 0.71
BackDoor.Maxplus.24 878 0.70
Trojan.Hosts.6838 862 0.69
Win32.Sector.22 829 0.66
VBS.Rmnet.2 777 0.62
Trojan.Fraudster.502 738 0.59
Win32.HLLW.Gavir.ini 710 0.57
Trojan.Crossrider.1 708 0.57
Trojan.DownLoader9.19157 683 0.55

Ботнеты

Динамика прироста ботнета, образованного зараженными файловым вирусом Win32.Rmnet.12 компьютерами, в октябре осталась практически неизменной: ежесуточно к первой бот-сети подключалось в среднем порядка 15 000 вновь инфицированных ПК, ко второй — 11 000, что в целом соответствует показателям за сентябрь. Изменение численности обеих подсетей Win32.Rmnet.12 в октябре 2013 года можно проследить на представленных ниже графиках:

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в октябре 2013 года (1-я подсеть)
screenshot

Динамика регистрации новых ботов в ботнете Win32.Rmnet.12 в октябре 2013 года (2-я подсеть)
screenshot

Продолжает уменьшаться количество компьютеров, на которых антивирусное ПО фиксирует наличие вредоносного модуля Trojan.Rmnet.19, — если на начало октября таковых насчитывалось 4 640, то уже к концу месяца это число составило 3 851.

Практически неизменным остается размер ботнета BackDoor.Bulknet.739: по данным на 28 октября в этой сети числится 1 539 инфицированных компьютеров. В свою очередь, немного снизилась численность ботнета BackDoor.Dande, основным предназначением которого является кража конфиденциальной информации у представителей российских фармацевтических компаний. В конце сентября насчитывалось 1 232 рабочие станции, инфицированные этим троянцем, а в двадцатых числах октября это значение составило уже 1 105.

Постепенно снижается и количество Apple-совместимых компьютеров, инфицированных работающим под управлением Mac OS X троянцем BackDoor.Flashback.39. В конце сентября число заражений составляло 38 288, а спустя месяц количество инфицированных «маков» снизилось до 31 553.

Угрозы для Android

В минувшем месяце специалистами компании «Доктор Веб» было зафиксировано сразу нескольких новых вредоносных Android-приложений, созданных для кражи конфиденциальных данных владельцев мобильных устройств. Так, троянские программы Android.Spy.40.origin, Android.SmsSpy.49.origin и Android.SmsForward.14.origin предназначались для южнокорейских пользователей и распространялись при помощи нежелательных СМС-сообщений, содержащих ссылку на загрузку вредоносного apk-файла. Данный метод киберпреступники взяли на вооружение уже давно, и его популярность продолжает стабильно увеличиваться, что позволяет судить о его достаточно высокой эффективности.

screenshot screenshot

screenshot

Как и многие аналогичные вредоносные программы, эти троянцы способны перехватывать поступающие СМС-сообщения, в которых может содержаться различная ценная информация, включающая как одноразовые mTAN-пароли и иные финансовые реквизиты, так и личную или деловую переписку. Однако в данном случае наибольший интерес представляет троянец Android.Spy.40.origin, при создании которого была использована очередная ошибка ОС Android, позволяющая ему избежать обнаружения антивирусными программами. Для этого злоумышленникам было необходимо лишь определенным образом изменить структуру троянского apk-пакета, после чего он мог успешно обходить сканирование. Более подробная информация об этой угрозе содержится в соответствующей публикации на сайте нашей компании.

Другим заметным событием октября стало обнаружение многофункционального троянца Android.Zoo.1.origin, который распространялся на одном из китайских сайтов в популярной игре, модифицированной киберпреступниками. Попав на мобильное устройство, Android.Zoo.1.origin собирал сведения об имеющихся в телефонной книге контактах и загружал их на удаленный сервер, мог скачивать и устанавливать другие вредоносные приложения, был способен отправлять сообщения на платные премиум-номера, открывать в браузере определенные веб-страницы, а также выполнять ряд других действий.

screenshot screenshot

Не обошлось и без новых модификаций троянцев Android.SmsSend и Android.SmsBot, способных отправлять СМС-сообщения на премиум-номера. В прошедшем месяце вирусная база Dr.Web пополнилась записями для нескольких представителей этих семейств вредоносных программ. Среди них – Android.SmsSend.853.origin, Android.SmsSend.888.origin и Android.SmsBot.7.origin, которые распространялись под видом популярных приложений, а также их инсталляторов.

Прочие события октября

Call-центр мошенников «блокирует» карты Сбербанка

Мошенники нашли очередную схему обмана владельцев карт Сбербанка, связанную с рассылкой фальшивых СМС-уведомлений.

При открытии карты клиентов предупреждают, что СМС-сообщения от Сбербанка приходят только с короткого номера 900 (для некоторых регионов используются номера 9000, 9001, 8632, 6470, SBERBANK). Злоумышленники используют похожие номера, обозначенные буквами и цифрами, например «9oo» (здесь вместо цифр использованы буквы) или «СБ900», для рассылки мошеннических СМС-сообщений о блокировке карты якобы из-за подозрительной транзакции. Для получения инструкций о дальнейших действиях жертве предлагают позвонить по номеру +7(499)504-88-24. Мошенник, представляясь оператором call-центра, сообщает, что клиенту необходимо как можно скорее дойти до ближайшего банкомата и перевести денежные средства со счета карты на новый счет.

Пользователя в подобных случаях может насторожить следующее: ему не могут внятно объяснить причину блокировки карты, просят назвать конфиденциальные данные карты, предлагают подойти к ближайшему банкомату для выполнения сомнительной операции и т. п.

Выявлено около 50 попыток разослать такие фальшивки клиентам Сбербанка. Номера, с которых приходили сообщения, заблокированы и внесены в «черный список» отправителей СМС, который ведут крупные СМС-агрегаторы, поэтому мошенники не смогут повторно подключиться к оператору сотовой связи, сменив компанию-провайдера услуг.

Gameover продолжается: Upatre распространяет шифровальщика CryptoLocker вместе с банковским троянцем Gameover ZeuS

Получила развитие ситуация, связанная с сообщением компании Dell SecureWorks от 10 октября этого года о распространении банковского троянца Gameover ZeuS при помощи троянца-загрузчика. Специалисты по информационной безопасности выяснили, что с этим же загрузчиком распространятся программа-шифровальщик CryptoLocker, вымогающая у владельцев зараженных компьютеров плату за расшифровку файлов.

Троянец из семейства Trojan.DownLoad — это файл небольшого размера, реализующий простую функцию загрузки других вредоносных программ на компьютер жертвы. Он маскируется под zip- или pdf-файл, и распространяется как вложение в спам-сообщения. Стоит пользователю открыть такое вложение, и на компьютер загружается вредоносное ПО, в первую очередь – банковские троянцы семейства Zbot/ZeuS, а теперь и CryptoLocker. Данный шифровальщик не только блокирует доступ к системе, но и вынуждает пользователя оплачивать расшифровку файлов.

Зарубежные эксперты исследовали образец такого спам-сообщения. Вредоносное вложение содержит загрузчик Trojan.DownLoad, скачивающий программу Trojan.PWS.Panda. Именно она фактически загружает CryptoLocker.

Таким образом, пользователь, компьютер которого заражен указанными вредоносными программами, рискует потерять не только учетные данные для онлайн-банкинга и деньги вследствие несанкционированных банковских операций, но и другие свои файлы, зашифрованные CryptoLocker. Самостоятельная расшифровка данных из-за сложности применяемого метода шифрования невозможна.

Троянец CryptoLocker детектируется антивирусом Dr.Web как Trojan.Encoder.304 (образец добавлен в вирусную базу 25 октября 2013 года).

Пользователи, установившие антивирус Dr.Web, защищены от данных угроз. Однако из-за большой комплексной опасности, которую представляют эти вредоносные программы, рекомендуется соблюдать дополнительные меры предосторожности: не открывать вложения в письмах, поступивших из недостоверных источников; избегать переходов по непроверенным ссылкам; регулярно делать резервные копии файлов; пользоваться лицензионным ПО и своевременно обновлять его.

Подробности октябрьских DDOS-атак на сайты российских банков

Представитель службы безопасности Центробанка России Артем Сычев сообщил о подробностях DDOS-атак, организованных в начале октября 2013 года на сайты ЦБ, Сбербанка, ВТБ, Альфа-банка, Газпромбанка и Россельхозбанка.

Бот-сеть из 400 компьютеров, находящихся в Европе, начинала каждую атаку в первой половине дня. В ряде случаев акция продолжалась в течение суток. Банки были атакованы последовательно: первым под удар попал сайт Сбербанка, последним — сайт ВТБ. Целью кибератак был скрипт, обрабатывающий публикацию курсов валют на сайте финансового учреждения. Угроз банковским сервисам в ходе атак выявлено не было, персональные данные и счета клиентов риску не подвергались. По словам Сычева, работа сайта Центробанка прерывалась всего на 7 минут.

О своей причастности к указанным кибератакам заявила группа «Кавказские анонимусы». В этой связи Сычев сообщил о «монетизации преступных действий в киберпространстве, приводящей к тому, что атаки становятся коммерчески выгодными. Распространена ситуация, когда заказчиками являются граждане России, а исполнителями — люди, находящиеся в Европе или Азии. Атакующие машины могут иметь зарубежные IP-адреса».

Dexter: новая тенденция угроз для владельцев банковских карт

Новый вариант вредоносной программы Dexter нанес многомиллионный ущерб большинству южноафриканских банков. Скомпрометированы сотни тысяч кредитных и дебетовых карт. Dexter заражает компьютеры с подключенными к ним торговыми терминалами (point-of-sale, POS-терминалами) для платежей в торговых сетях и ресторанах, похищает данные с пластиковых карт, загруженные в оперативную память компьютера, шифрует их и отправляет на сервер злоумышленников.

По данным зарубежных исследователей, Dexter был выявлен еще в 2012 году. Модификации обнаруженного троянца известны также под названиями Alina, BlackPOS, Vskimmer. За несколько месяцев были заражены сотни компьютеров торговых терминалов в 40 странах. Большинство зараженных систем находилось в Северной Америке и Великобритании.

Образцы указанного вредоносного ПО детектируются антивирусом Dr.Web как Trojan.Packed.23683, Trojan.Packed.23684 и Trojan.Packed.23685. Они добавлены в вирусную базу 27 сентября 2012 года.

Рассылка банковских троянцев семейства P2P Zeus: адрес известен

На многочисленных зарубежных сайтах, где отслеживаются образцы спамерских и фишинговых писем, сообщается о распространении в начале октября со спамом новых вариантов вредоносного ПО (предположительно банковского троянца P2P Zeus). По данным одного из крупных австралийских сайтов, зафиксировано более 135 000 почтовых ящиков, на которые поступил указанный спам.

Мошенники рассылают письма с поддельных адресов, используя возможности протокола SMTP. Предполагается, что их реальный адрес — fraud@aexp.com, зарегистрированный на сервере с IP-адресом 190.213.190.211, относящемся к региону Тринидад и Тобаго. В теме писем (присланных якобы из государственных учреждений, банков и т. п.) злоумышленники указывают названия документов финансовой отчетности, предупреждений служб безопасности и т. п., мотивируя потенциальную жертву открыть вложение, чтобы избежать возможных материальных потерь.

Вложение к письму (маскирующееся под *.zip- или *.pdf-файл) является исполняемым файлом. При открытии вложения загружаются различные варианты троянцев: Trojan.DownLoad3.28161, Trojan.DownLoader10.16610, Trojan.Inject1.27909 (все названия даны в соответствии с вирусной базой Dr.Web).

Есть предположение, что при помощи указанного вредоносного ПО на компьютер жертвы загружается банковский троянец P2P Zeus.

Образцы троянцев Trojan.DownLoad3.28161, Trojan.DownLoader10.16610, Trojan.Inject1.27909, распространявшиеся в указанной рассылке, добавлены в вирусную базу Dr.Web 9 и 10 октября 2013 года.

Вредоносная программа P2P Zeus детектируется Dr.Web как Trojan.PWS.Panda.4379. Этот банковский троянец опасен тем, что относится к числу наиболее распространенных. Он передает злоумышленникам данные для доступа к банковским сервисам, похищает ключи и пароли от различных программ, отслеживает нажатия клавиш, делает снимки экрана, объединяет зараженные устройства в бот-сети, выполняет поступающие с сервера злоумышленников команды, перенаправляет жертву на поддельные (фишинговые) сайты для кражи конфиденциальной информации. По мнению специалистов компании «Доктор Веб», указанная спам-кампания нацелена на клиентов различных банков. Чтобы избежать опасности, пользователям рекомендуется не открывать вложения в письмах, поступивших из подозрительных источников; не переходить по подозрительным ссылкам; защищать устройство при помощи антивирусных программ и своевременно обновлять ПО.

Вредоносные файлы, обнаруженные в почтовом трафике в октябре

 01.10.2013 00:00 — 31.10.2013 23:00
1 Trojan.DownLoad3.28161 1.02%
2 Trojan.Packed.24872 0.77%
3 Trojan.DownLoader9.22851 0.70%
4 Trojan.Packed.3036 0.68%
5 BackDoor.Maxplus.13275 0.60%
6 Trojan.PWS.StealerENT.3243 0.56%
7 Trojan.Click2.22983 0.51%
8 Trojan.PWS.Panda.547 0.49%
9 Trojan.PWS.Panda.2401 0.48%
10 Trojan.PWS.Multi.911 0.44%
11 Trojan.PWS.Panda.4795 0.41%
12 BackDoor.Comet.152 0.39%
13 Trojan.DownLoader10.34549 0.39%
14 Win32.HLLM.MyDoom.33808 0.37%
15 Trojan.Fraudster.517 0.34%
16 Trojan.Packed.24612 0.32%
17 BackDoor.Maxplus.13119 0.32%
18 BackDoor.Blackshades.17 0.31%
19 Trojan.PWS.Panda.4379 0.31%
20 Win32.HLLM.Beagle 0.29%

Вредоносные файлы, обнаруженные в октябре на компьютерах пользователей

 01.10.2013 00:00 — 31.10.2013 23:00
1 Exploit.SWF.254 0.98%
2 Trojan.Fraudster.524 0.57%
3 Trojan.LoadMoney.76 0.54%
4 Trojan.Packed.24524 0.53%
5 BackDoor.PHP.Shell.6 0.48%
6 Trojan.LoadMoney.1 0.47%
7 Trojan.Fraudster.502 0.37%
8 BackDoor.IRC.NgrBot.42 0.33%
9 Trojan.Fraudster.394 0.31%
10 Trojan.InstallMonster.33 0.30%
11 Win32.HLLW.Shadow 0.28%
12 Trojan.SMSSend.4196 0.27%
13 Win32.HLLW.Autoruner.59834 0.27%
14 Trojan.MulDrop5.1740 0.27%
15 Trojan.Winlock.9260 0.26%
16 Trojan.MulDrop4.25343 0.26%
17 Trojan.InstallMonster.34 0.25%
18 Trojan.InstallMonster.28 0.24%
19 JS.Redirector.194 0.24%
20 Trojan.LoadMoney.188 0.23%

Хорошо забытое старое: многие крупные компании подвержены прошлогодним угрозам

Эксперты «Лаборатории Касперского» и частной
компании-аудитора Outpost24 осуществили проверку ряда европейских
организаций с целью выявления незакрытых уязвимостей для оценки общего
уровня IT-безопасности. Как показали результаты анализа, несмотря на
рост числа атак «нулевого дня» злоумышленники до сих пор
широко используют известные уязвимости. Это объяснимо: в среднем
компаниям требуется 60-70 дней для закрытия «бреши» в защите
— достаточно длительный срок, чтобы атакующие смогли ею
воспользоваться. Также исследование показало, что киберпреступникам
необязательно взламывать саму систему безопасности — достаточно
сосредоточиться на управляющих ею сотрудниках.

Как правило, в компаниях выделяется срок в 3 месяца для устранения
серьезных уязвимостей. Однако, по данным Outpost24, 77% угроз, которые
не были обезврежены в положенное время, присутствовали в сети целый год
после их обнаружения. Команда «Лаборатории Касперского» и
Outpost24 в своем совместном исследовании столкнулась с уязвимостями
2010-го года, а также системами, которые были открыты ряду угроз в
течение последних 3 лет. Такое положение особенно критично, учитывая
простоту использования старых уязвимостей и масштаб возможных
последствий. Стоит отметить, что были выявлены некоторые корпоративные
системы, о защите которых не заботились в течение десятка лет, несмотря
на то, что руководство выделяло денежные средства на услуги мониторинга
безопасности.

По завершении сбора информации с командой Outpost24, эксперт
«Лаборатории Касперского» Дэвид Джэкоби решил провести
дополнительный эксперимент с целью выяснить, насколько легко подключить
USB-носитель к компьютерам в государственных учреждениях, отелях и
частных компаниях. Одетый в деловой костюм Дэвид просил секретарей 11
организаций распечатать свое резюме в формате PDF со своей флешки для
встречи, назначенной в совершенно другом месте. В выборку попали отели
из разных сетей, государственные учреждения и пара крупных частных
компаний. В 2 из 3 отелей отказались подсоединить USB-носитель. В
частных компаниях также ответили отказом, тогда как в 4 из 6
государственных организаций согласились помочь. При этом в 2 случаях
подключить USB-устройство оказалось невозможно, но служащий предложил
переслать данные по электронной почте, предоставляя тем самым широкие
возможности использования уязвимостей в программах, работающих с
форматом PDF.

«Результаты проведенного нами аудита безопасности актуальны для
компаний всех стран, так как везде существует временной промежуток между
обнаружением уязвимости и ее устранением. Эксперимент с USB-носителем
— еще один повод задуматься всем тем, кто ищет защиту от
«угроз будущего». Он показал, что бессмысленно гнаться за
одними только технологиями без обучения сотрудников. Что удивительно, в
отелях и частных компаниях гораздо лучше осведомлены об угрозах, нежели
в государственных учреждениях — это серьезная проблема,
открывающая доступ к персональным данным граждан», —
прокомментировал Дэвид Джэкоби, эксперт «Лаборатории
Касперского».

С полным отчетом по результатам исследования можно ознакомиться по
ссылке:
www.securelist.com/ru/blog/207768946/Breshi_v_bezopasnosti_novyy_vzglyad_na_starye_uyazvimosti.

Зона риска: российский бизнес недооценивает новые киберугрозы

Абсолютное большинство российских компаний недооценивают масштабы
современных киберугроз. По данным «Лаборатории Касперского»,
ежедневно в Сети появляется около 200 тыс. новых образцов вредоносного
ПО. Как показало исследование
(http://media.kaspersky.com/pdf/IT_risk_report_Russia_2013.pdf),
проведенное производителем защитных решений совместно с аналитической
компанией B2B International*, близкую к этой цифре оценку дали лишь 4%
респондентов, в то время как около 95% существенно ошиблись в оценке в
меньшую сторону.

В этом отношении сотрудники российских компаний повторяют ошибку своих
зарубежных коллег: лишь 6% участников глобального опроса верно
определили среднестатистическое количество ежедневно появляющегося
нового вредоносного кода. Любопытно, что среди российских
IT-специалистов никто не переоценил угрозу, в то время как в других
странах 4% опрошенных существенно завысили показатель.

СМБ-компании оценивают масштаб киберугроз более легкомысленно, чем
крупный бизнес: в 33% небольших предприятий ошибочно полагают, что
ежедневно появляется менее 1 000 образцов уникального вредоносного кода,
и лишь 2% назвали правильный диапазон — от 100 000 до
250 000.

Адекватная оценка уровня угроз может оказать серьезное влияние на
решения, которые компания принимает при выборе средств для защиты своей
IT-инфраструктуры.

«Это тенденция высокого темпа роста новых угроз негативно
сочетается с недостаточной защищенностью: так, многие небольшие компании
до сих пор пользуются либо нелицензионным либо бесплатным защитным ПО,
базы которого обновляются намного медленнее полноценных решений, —
рассказывает Владимир Удалов, руководитель направления корпоративных
продуктов в странах развивающихся рынков «Лаборатории
Касперского». — Такой разрыв приводит, в том числе, к тому,
что за год практически ни одной компании не удается избежать утечек
данных из-за инцидентов информационной безопасности, что еще раз
напоминает нам о необходимости базовой антивирусной защиты».

Для обеспечения безопасности IT-инфраструктуры (включая антивирусную
защиту) «Лаборатория Касперского» предлагает линейку
продуктов Kaspersky Security для бизнеса
(http://www.kaspersky.ru/business-security), который предназначен для
защиты всех узлов сети. Используемые в продукте методы обнаружения на
основе сигнатур, проактивные методы защиты на основе анализа поведения
вредоносных программ, а также облачные технологии намного эффективнее
обнаруживают вредоносные программы и защищают даже от новых и еще не
известных угроз.

Подробнее ознакомиться с результатами исследования «Информационная
безопасность бизнеса» можно по ссылке:
http://media.kaspersky.com/pdf/IT_risk_report_Russia_2013.pdf
(http://media.kaspersky.com/pdf/IT_risk_report_Russia_2013.pdf)
*Исследование «Информационная безопасность бизнеса»,
проведенное «Лабораторией Касперского» и B2B International в
2013 году. В исследовании приняли участие более 2895 IT-специалистов из
24 стран мира, включая Россию.

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — первой разработала утилиту, успешно справляющуюся с последствиями вредоносных действий троянца-шифровальщика Trojan.Encoder.252. Новая версия представителя известного семейства троянцев-энкодеров опасна тем, что шифрует данные пользователей и вымогает у них деньги за расшифровку пострадавших файлов. Этот троянец попадает на компьютеры жертв через спам-рассылку якобы от арбитражного суда.

Один из выявленных способов распространения этой вредоносной программы — почтовая рассылка с вложением, отправляемая якобы от арбитражного суда. Запустившись на компьютере жертвы, троянец сохраняет свою копию в одной из системных папок под именем svhost.exe, модифицирует отвечающую за автоматическую загрузку приложений ветвь системного реестра и запускается.

Троянец Trojan.Encoder.252 шифрует файлы только в том случае, если инфицированный компьютер подключен к Интернету. При этом вредоносная программа последовательно обходит дисковые накопители от С: до N: и получает список файлов с заданными расширениями (.jpg, .jpeg, .doc, .rtf, .xls, .zip, .rar, .7z, .docx, .pps, .pot, .dot, .pdf, .iso, .ppsx, .cdr, .php, .psd, .sql, .pgp, .csv, .kwm, .key, .dwg, .cad, .crt, .pptx, .xlsx, .1cd, .txt, .dbf), который сохраняет в текстовый файл. Затем Trojan.Encoder.252 проверяет доступность своих серверов, на которые впоследствии отсылается ключ шифрования. Если данные серверы недоступны, троянец выводит на экран сообщение якобы от арбитражного суда с предложением проверить настройки подключения к Интернету. В случае успешного завершения шифрования к именам файлов дописывается строка Crypted, а в качестве обоев Рабочего стола Windows устанавливается следующее изображение:

screenshot

Также на компьютере жертвы появляется текстовый файл ПРОЧТИЭТО.txt, содержащий ID для расшифровки файлов, уникальный для каждого компьютера.

Несмотря на то, что на нескольких тематических ресурсах в Интернете сообщалось о невозможности расшифровки файлов в силу особенностей используемых троянцем Trojan.Encoder.252 алгоритмов шифрования, специалисты компании «Доктор Веб» разработали специальную утилиту, успешно справляющуюся с этой задачей. Правда, для подбора ключей потребуется компьютер с мощной аппаратной конфигурацией: на обычных домашних ПК этот процесс может занять около месяца, однако на сервере, оснащенном 24 процессорными ядрами, был поставлен своеобразный рекорд: ключ удалось подобрать за 20 часов. Данная утилита стала своего рода испытательным полигоном для множества инновационных идей, рожденных вирусными аналитиками «Доктор Веб» — все эти идеи будут применяться и в будущем для расшифровки файлов, пострадавших от действия троянцев-энкодеров файлов. Исследования в области разработки новых методов борьбы с шифровальщиками тем временем продолжаются.

Если вы стали жертвой вредоносной программы Trojan.Encoder.252, придерживайтесь простых правил, которые помогут вам вернуть зашифрованные файлы:

  • не меняйте расширение зашифрованных файлов;
  • не переустанавливайте операционную систему — в этом случае вернуть данные будет уже невозможно;
  • не пытайтесь «чистить» или лечить операционную систему с использованием различных утилит и специальных приложений;
  • не запускайте утилиты Dr.Web самостоятельно, без консультации с вирусным аналитиком;
  • напишите заявление о совершенном преступлении в правоохранительные органы;
  • обратитесь в антивирусную лабораторию компании «Доктор Веб», прислав зашифрованный троянцем DOC-файл и дождитесь ответа вирусного аналитика.

Помните, что в связи с большим количеством запросов персональная помощь в расшифровке файлов оказывается только лицензионным пользователям продукции Dr.Web. Специалисты компании призывают пользователей не пренебрегать необходимостью регулярного резервного копирования хранящейся на дисках вашего компьютера информации.

Источник

Развитие информационных угроз в первом квартале 2013 года

Posted: Июнь 16, 2013 in Антивирус, Вконтакте, Касперский, Новости, Одноклассники, антивирусы, атака, вирусы, железо, компьютеры, поиск, пользователи, программы, Facebook, Linux, софт, срочно, техника, угрозы, Trojan, Twitter
Метки:, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Цифры квартала

  • По данным KSN, в первом квартале 2013 года продукты «Лаборатории Касперского» обнаружили и обезвредили 1 345 570 352 вредоносных объектов.
  • Обнаружено 22750 новых модификаций вредоносных программ для мобильных устройств — это более половины от общего числа модификаций, обнаруженных за весь 2012 год.
  • 40% отраженных в первом квартале эксплойтов используют уязвимости в продуктах компании Adobe.
  • Почти 60% всех вредоносных хостов расположено в трех странах: в США, России и в Нидерландах.

Обзор ситуации

Первый квартал 2013 года оказался весьма богат на различные инциденты в области информационной безопасности. В рамках данного отчета мы расскажем о наиболее значимых из этих инцидентов.

Кибершпионаж и кибероружие

Red October

В самом начале 2013 года «Лаборатория Касперского» опубликовала большой отчет с результатами исследования глобальной операции по кибершпионажу, получившей название Red October. Целями этой атаки стали различные государственные структуры, дипломатические организации и компании в разных странах мира. Анализ файлов и восстановление схемы атаки заняли не один месяц, но в результате этого трудоемкого исследования нам удалось выявить немало любопытных фактов.

Атакующие были активны на протяжении последних пяти лет. Используемая ими многофункциональная платформа позволяет быстро применять новые расширенные модули для сбора информации. Для контроля и управления зараженными системами они создали более 60 различных доменных имен и несколько серверов, размещенных на хостингах в разных странах. Инфраструктура серверов управления представляет собой цепочку прокси-серверов.

Помимо традиционных целей атак (рабочие станции) Red October способен воровать данные с мобильных устройств; собирать информацию с сетевого оборудования; осуществлять сбор файлов с USB-дисков; красть почтовые базы данных из локального хранилища Outlook или с удаленного POP/IMAP сервера, а также извлекать файлы с локальных FTP-серверов в сети.

MiniDuke

В феврале компания FireEye опубликовала анализ новой вредоносной программы, проникавшей в систему с использованием 0-day уязвимости в Adobe Reader (CVE-2013-0640). Эксплуатирующий эту уязвимость эксплойт стал первым эксплойтом, способным обходить «песочницу» Acrobat Reader. Он загружал бэкдор, основным назначением которого была кража информации с зараженной системы. После получения образцов данного вредоносного ПО для анализа, мы назвали зловред «ItaDuke».

Через некоторое время мы обнаружили еще несколько похожих инцидентов, в которых использовалась та же уязвимость, однако зловреды были уже другими. Используемая злоумышленниками вредоносная программа получила имя «MiniDuke». Расследование этих инцидентов было проведено совместно с венгерской компанией CrySys Lab. Среди жертв MiniDuke оказались государственные учреждения Украины, Бельгии, Португалии, Румынии, Чехии и Ирландии, исследовательский фонд в Венгрии, а также исследовательский институт, два научно-исследовательских центра и медицинское учреждение в США. Всего нам удалось обнаружить 59 жертв в 23 странах мира.

Одной из самых любопытных характеристик атак MiniDuke стало сочетание зловреда, код которого был написан с использованием нетривиального и сложного подхода «старой школы», и относительно новых, но уже зарекомендовавших себя технологий эксплуатации уязвимостей в Adobe Reader.

Атакующие рассылали вредоносные PDF-документы с эксплойтами для 9-й, 10-й и 11-й версий Adobe Reader. Документы содержали информацию о семинаре по правам человека (ASEM), данные о внешней политике Украины, а также планы стран-участниц НАТО. В случае удачной отработки эксплойта, на компьютер жертвы попадал уникальный для каждой системы бэкдор размером всего 20 Кб, написанный на Assembler.

В этой атаке злоумышленники использовали Twitter: для получения адреса C&C-сервера и последующей загрузки новых вредоносных модулей бэкдор искал специальные твиты от заранее созданных аккаунтов. Как только заражённая система устанавливала соединение с сервером управления, она начинала получать зашифрованные модули (бэкдоры) в составе GIF-файлов. Эти модули обладали достаточно тривиальным функционалом: копирование, перемещение и удаление файлов, создание директорий, загрузка новых вредоносных программ.

APT1

В феврале компания Mandiant опубликовала большой PDF-отчет об атаках некой группы китайских хакеров, получившей название APT1. Термин APT (Advanced Persistent Threat по-прежнему у всех на слуху. Иногда им характеризуют угрозы или атаки, которые «продвинутыми» можно назвать с очень большой натяжкой. Однако в случае атак группы APT1 данное определение более чем уместно — развернутая китайскими хакерами кампания была весьма масштабной и серьезной.

В начале отчета Mandiant заявляет, что APT1 предположительно является одним из подразделений армии КНР. Компания даже приводит возможный физический адрес подразделения, строит предположения о его численности и используемой инфраструктуре. Mandiant предполагает, что группа APT1 действует с 2006 года и за 6 лет ей удалось украсть терабайты данных, как минимум, из 141 организации. Пострадавшие организации расположены, по большей части, в англоязычных странах. Безусловно, такой масштаб атак невозможен без ощутимой поддержки сотен человек и развитой современной инфраструктуры.

Далеко не в первый раз на разных уровнях появляются обвинения Китая в осуществлении кибератак на государственные органы и организации разных стран мира. Нет ничего удивительного в том, что китайское правительство в достаточно резкой форме отвергло все предположения компании Mandiant.

Отметим, что до настоящего времени еще ни одна страна не взяла на себя ответственность за какую-либо шпионскую кибератаку или не призналась под давлением общественности и весомых доказательств в осуществлении кибершпионажа.

TeamSpy

В марте 2013 года была опубликована информация об очередной сложной атаке, целями которой стали политики самого высокого уровня и борцы за права человека в странах СНГ и Восточной Европы. Операция получила название «TeamSpy», так как для контроля компьютеров жертв атакующая сторона использовала программу TeamViewer, предназначенную для удаленного администрирования. Основной целью атакующих был сбор информации на компьютере пользователя, начиная от снятия скриншотов и заканчивая копированием файлов с расширением .pgp, в том числе паролей и ключей шифрования.

Хотя используемый в ходе операции TeamSpy набор инструментов, да и в целом сама операция, выглядят менее изощренными и профессиональными по сравнению с вышеупомянутой операцией Red October, атаки TeamSpy были небезуспешны.

Stuxnet 0.5

Инциденты, исследование которых занимает несколько месяцев упорного труда, в антивирусной индустрии происходят не так часто. И еще реже случаются события, интерес к которым не утихает и по прошествии почти трех лет — такие, как обнаружение Stuxnet. Несмотря на то, что этот червь исследовали многие антивирусные компании, по-прежнему остается немало модулей, которые изучены слабо или не исследованы вовсе. Не стоит также забывать о том, что у Stuxnet было несколько версий, самая ранняя из которых появилась в 2009 году. Эксперты не раз высказывали предположение о том, что существовали (или существуют) более ранние версии червя, однако до определенного времени доказательств этого ни у кого не было.

Но в итоге эти предположения подтвердились. В конце февраля компания Symantec опубликовала исследование новой «старой» версии червя: Stuxnet 0.5. Эта версия оказалась наиболее ранней из известных модификаций Stuxnet: она была активна между 2007 и 2009 годами. Помимо этого, данная версия обладает очень любопытными характеристиками:

  • Во-первых, она была создана на той же платформе, что и Flame — но не на Tilded, как последующие модификации Stuxnet.
  • Во-вторых, червь распространялся с помощью заражения файлов, создаваемых с помощью ПО Simatic Step 7 и не содержал никаких эксплойтов для продуктов Microsoft.
  • В-третьих, Stuxnet 0.5 перестал распространяться после 4 июля 2009 года.
  • И, наконец, именно в Stuxnet 0.5 присутствует полноценная реализация работы с ПЛК Siemens 417 (в последующих версиях червя данный функционал не был полным).

Результаты исследования версии Stuxnet 0.5 дополнили информацию об этой вредоносной программе. Скорее всего, эта информация будет пополняться и в дальнейшем. То же самое можно сказать и об обнаруженных после Stuxnet образцах кибероружия или средств для кибершпионажа — мы знаем о них далеко не всё.

Целевые атаки

Атаки на тибетских и уйгурских активистов

В первом квартале 2013 года продолжились целевые атаки на тибетских и уйгурских активистов. Для достижения своих целей атакующие использовали все возможные средства — были атакованы пользователи Mac OS X, Windows и Android.

В январе-феврале мы обнаружили существенное увеличение числа целевых атак на уйгуров — пользователей Mac OS X. Все эти атаки использовали уязвимость CVE-2009-0563, которая была закрыта компанией Microsoft почти 4 года назад. Эксплойт к этой уязвимости рассылался в документах MS Office, которые легко распознать благодаря обозначенному в свойствах автору — «captain». В случае успешного исполнения эксплойт осуществляет загрузку бэкдора для Mac OS X в виде Mach-O файла. Это маленький бэкдор, который имеет очень ограниченные функциональные возможности: он устанавливает другой бэкдор и программу для кражи личных данных (контактов).

Атаки на тех же тибетских активистов были зафиксированы нами и в середине марта 2013 года. На этот раз атакующие использовали упомянутый выше эксплойт CVE-2013-0640 (ранее использованный в атаках ItaDuke) для обхода «песочницы» в Acrobat Reader X и заражения целевых компьютеров.

В конце марта 2013 года в данную волну попали также и пользователи Android-устройств. После взлома электронного ящика известного тибетского активиста, от его имени началась рассылка писем с вложениями в виде APK-файла, который оказался вредоносной программой для Android (продукты «Лаборатории Касперского» распознают ее как Backdoor.AndroidOS.Chuli.a). Зловред тайно сообщает на командный сервер об успешном заражении, а затем начинает собирать хранящуюся на устройстве информацию: контакты, журналы вызовов, SMS-сообщения, данные GPS, информацию об устройстве. Потом зловред шифрует украденные данные при помощи системы Base64 и загружает их на командный сервер. Проведенное нами исследование командного сервера указывает как минимум на то, что атакующие говорят по-китайски.

Буквально через несколько дней после публикации результатов нашего расследования исследовательская организация The Citizen Lab опубликовала материалы своего исследования похожего инцидента. Целью атаки также были лица, так или иначе связанные с Тибетом и тибетскими активистами, а используемая вредоносная программа имела схожий функционал (кража персональной информации), но являлась зараженной версией мессенджера Kakao Talk.

Взломы корпоративных сетей

Первый квартал оказался, к сожалению, богатым на взломы корпоративной инфраструктуры и утечки паролей. Среди пострадавших компаний — Apple, Facebook, Twitter, Evernote и другие.

В начале февраля Twitter официально заявил, что злоумышленникам удалось украсть данные (в том числе, и хэши паролей) о 250 000 пользователей социальной сети. Через две недели сотрудники Facebook сообщили в блоге, что компьютеры нескольких сотрудников компании при посещении сайта для мобильных разработчиков были заражены с помощью эксплойтов. Компания заявляет, что это была не обычная атака, а именно целевая, и ее задачей являлось проникновение в корпоративную сеть Facebook. К счастью, по словам представителей компании, Facebook удалось избежать утечек какой-либо пользовательской информации.

Буквально через несколько дней корпорация Apple заявила, что на нескольких сотрудников компании была произведена точно такая же атака при посещении сайта для мобильных разработчиков. По информации Apple никаких утечек данных при этом не произошло.

А в начале марта компания Evernote заявила, что 50 млн. паролей будут сброшены для защиты данных пользователей. К такому решению Evernote подтолкнул взлом их внутренней сети и попытки злоумышленников получить доступ к хранящимся там данным.

В 2011 году мы стали свидетелями массовых взломов сетей различных компаний и массовых утечек пользовательских данных. Кому-то могло показаться, что подобные атаки сошли на нет, но это не так: злоумышленники по-прежнему заинтересованы во взломе крупных компаний и получении конфиденциальных (в том числе пользовательских) данных.

Мобильные зловреды

Отчет, посвященный развитию угроз для смартфонов, планшетов и прочих мобильных устройств в 2012 году, мы опубликовали в феврале 2013 года. По нашим данным, в 2012 году Android стал основной целью вирусописателей, а число угроз в течение года стремительно росло. Продолжился ли рост числа мобильных зловредов в первом квартале 2013 года? Да, безусловно.

Немного статистики

Январь, по традиции, стал месяцем затишья у мобильных вирусописателей — «всего лишь» 1263 новых вариантов зловредов. Но в течение двух последующих месяцев мы обнаружили более 20 тысяч новых образцов вредоносного ПО для мобильных устройств. В феврале было обнаружено 12 044 модификации мобильных зловредов; в марте — 9443. Для сравнения: за весь 2012 год нами было найдено 40 059 самплов вредоносных программ для мобильных устройств.

SMS-троянцы, занимающиеся несанкционированной отправкой SMS-сообщений на короткие платные номера, по-прежнему остаются наиболее распространенной категорией мобильного вредоносного ПО — на их долю приходится 63,6% от всех атак.

99,9% обнаруженных новых мобильных зловредов нацелены на Android.

По данным KSN TOP 20 популярных у злоумышленников мобильных вредоносных и потенциально нежелательных программ для Android выглядит следующим образом.

Место Название % от всех атак
1 Trojan-SMS.AndroidOS.FakeInst.a 29,45%
2 Trojan.AndroidOS.Plangton.a 18,78%
3 Trojan-SMS.AndroidOS.Opfake.a 12,23%
4 Trojan-SMS.AndroidOS.Opfake.bo 11,49%
5 Trojan-SMS.AndroidOS.Agent.a 3,43%
6 Trojan-SMS.AndroidOS.Agent.u 2,54%
7 RiskTool.AndroidOS.AveaSMS.a 1,79%
8 Monitor.AndroidOS.Walien.a 1,60%
9 Trojan-SMS.AndroidOS.FakeInst.ei 1,24%
10 Trojan-SMS.AndroidOS.Agent.aq 1,10%
11 Trojan-SMS.AndroidOS.Agent.ay 1,08%
12 Trojan.AndroidOS.Fakerun.a 0,78%
13 Monitor.AndroidOS.Trackplus.a 0,75%
14 Adware.AndroidOS.Copycat.a 0,69%
15 Trojan-Downloader.AndroidOS.Fav.a 0,66%
16 Trojan-SMS.AndroidOS.FakeInst.ee 0,55%
17 HackTool.AndroidOS.Penetho.a 0,54%
18 RiskTool.AndroidOS.SMSreg.b 0,52%
19 Trojan-SMS.AndroidOS.Agent.aa 0,48%
20 HackTool.AndroidOS.FaceNiff.a 0,43%

Первую строчку занимает Trojan-SMS.AndroidOS.FakeInst.a (29,45%). Этот зловред нацелен в основном на русскоговорящих пользователей, пытающихся скачать с сомнительных сайтов какое-либо ПО для своих Android-устройств. Часто на таких сайтах под видом полезного софта злоумышленники распространяют вредоносные программы.

Второе место занимает рекламный троянец Trojan.AndroidOS.Plangton.a (18,78%). Основной ареал его распространения — европейские страны, где он используется разработчиками бесплатного ПО для монетизации продукта за счет показа рекламы.

Третью и четвертую позиции заняли SMS-троянцы из семейства Opfake: Trojan-SMS.AndroidOS.Opfake.a (12,23%) и Trojan-SMS.AndroidOS.Opfake.bo (11,49%). Первые модификации зловредов семейства Opfake маскировались под новую версию популярного мобильного браузера Opera. Сегодня вредоносные программы из этого семейства выдают себя за различные новые версии популярного софта (Skype, Angry Birds и т.д.).

Инциденты

В мобильном сегменте среди наиболее интересных вирусных инцидентов в первом квартале 2013 года хотелось бы остановиться на двух:

  • новый зловред под названием Perkele или Perkel, охотящийся за mTAN,
  • ботнет MTK.

О еще одном важном инциденте — целевых атаках на пользователей Android — мы рассказали выше.

Perkel

В первой половине марта известный журналист Брайан Кребс (Brian Krebs) обнаружил на русскоязычных андерграундных форумах информацию о новом банковском троянце для мобильных устройств, якобы нацеленном на пользователей из 69 стран и уже заразившем немалое количество устройств по всему миру. Кребс предположил, что этот троянец создан русскоговорящими вирусописателями, поскольку набор инструментов для его создания распространяется через русскоязычные форумы.

Такие новости, безусловно, привлекают внимание и специалистов из антивирусных компаний, но до определенного момента самих образцов вредоносного ПО ни у кого не было.

Через несколько дней первые модификации Perkel были обнаружены. После проведенного нами анализа выяснилось, что в группе вредоносных программ, основной целью которых является кража содержащих mTAN банковских SMS, действительно произошло пополнение. Функционал Perkel обычен для программ этой группы, за двумя исключениями:

  1. Для коммуникаций с командным сервером и загрузки украденной информации (помимо SMS с mTAN зловред также собирает информацию о самом устройстве) Perkel, как правило, использует не SMS, а HTTP.
  2. Зловред способен самообновляться, загружая новую копию себя с удаленного сервера.

Ботнет MTK

В середине января появились сообщения о существовании миллионного ботнета, созданного на базе Android-устройств, принадлежащих, в основном, китайским пользователям. Оказалось, что за ботнет ответственна распространенная в Китае вредоносная программа («Лаборатория Касперского» детектирует ее как Trojan.AndroidOS.MTK). Распространяется она через неофициальные китайские магазины приложений в комплекте со взломанными популярными играми. Помимо кражи информации о смартфоне, пользовательских контактов и сообщений, зловреды данного семейства занимаются накруткой популярности различных приложений. Для этого троянцы осуществляют скрытую загрузку и установку приложений на мобильное устройство жертвы, а также ставят максимальную оценку этому ПО на сайте магазина. После этого они сообщают о проделанных действиях на удаленный сервер. Приложений для Android становится все больше, и зачастую им сложно завоевывать популярность у пользователей. Именно поэтому такие нелегальные способы накрутки становятся все более распространенными.

Отзыв сертификатов TurkTrust

В первом квартале 2013 года произошел очередной инцидент с корневыми сертификатами. Компании Microsoft, Mozilla и Google одновременно объявили об отзыве двух корневых сертификатов удостоверяющего центра TurkTrust из базы, поставляемой в составе их веб-браузеров.

Как оказалось, удостоверяющий центр TurkTrust еще в августе прошлого года выписал двум организациям вместо обычных SSL-сертификатов вторичные корневые сертификаты. Их можно использовать для создания SSL-сертификатов для любого веб-ресурса в интернете, причем браузеры посетителей ресурса будут воспринимать эти сертификаты как доверенные.

В декабре корпорация Google обнаружила, что один из выписанных от лица сервиса TurkTrust SSL- сертификатов для *.google.com был задействован в атаках типа «man-in-the middle» («человек посередине»). Естественно, факт атаки на сервисы Google не исключает того, что другие сертификаты, выписанные этим же путем, могли быть задействованы в атаках на сервисы других компаний.

Очередной серьезный инцидент, связанный с корневыми сертификатами и вопросами доверия к ним, показал, что проблема вредоносного использования легальных сертификатов по-прежнему актуальна. Но на данный момент вредоносное использование таких сертификатов выявляется уже после атаки, потому что эффективных способов предотвращать подобные инциденты пока нет.

Статистика

Все статистические данные, использованные в отчете, получены с помощью распределенной антивирусной сети Kaspersky Security Network (KSN) как результат работы различных компонентов защиты от вредоносных программ. Данные получены от тех пользователей KSN, которые подтвердили свое согласие на их передачу. В глобальном обмене информацией о вредоносной активности принимают участие миллионы пользователей продуктов «Лаборатории Касперского» из 213 стран и территорий мира.

Угрозы в интернете

Статистические данные в этой главе получены на основе работы веб-антивируса, который защищает пользователей в момент загрузки вредоносного кода с зараженной веб-страницы. Зараженными могут быть сайты, специально созданные злоумышленниками, веб-ресурсы, контент которых создается пользователями (например, форумы), и взломанные легитимные ресурсы.

Детектируемые объекты в интернете

В первом квартале 2013 года решения «Лаборатории Касперского» отразили 821 379 647 атак, проводившихся с интернет-ресурсов, размещенных в разных странах мира.

TOP 20 детектируемых объектов в интернете

Место Название* % от всех атак**
1 Malicious URL 91,44%
2 Trojan.Script.Generic 2,79%
3 AdWare.Win32.Bromngr.b 1,91%
4 Trojan.Script.Iframer 0,73%
5 Exploit.Script.Blocker 0,70%
6 Trojan.JS.Redirector.xa 0,33%
7 Hoax.SWF.FakeAntivirus.i 0,22%
8 Trojan.Win32.Generic 0,17%
9 AdWare.Win32.MegaSearch.am 0,13%
10 Trojan-Downloader.Win32.Generic 0,09%
11 Exploit.Script.Blocker.u 0,07%
12 AdWare.Win32.IBryte.heur 0,05%
13 Exploit.JS.Retkid.a 0,05%
14 Exploit.Script.Generic 0,05%
15 Hoax.HTML.FraudLoad.i 0,04%
16 Exploit.Win32.CVE-2011-3402.c 0,04%
17 Packed.Multi.MultiPacked.gen 0,04%
18 Trojan-Clicker.HTML.Agent.bt 0,04%
19 WebToolbar.Win32.BetterInstaller.gen 0,03%
20 Trojan.JS.Redirector.xb 0,03%

*Детектирующие вердикты модуля веб-антивируса. Информация предоставлена пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
**Процент от всех веб-атак, которые были зафиксированы на компьютерах уникальных пользователей.

Первое место в TOP 20 детектируемых объектов вновь заняли вредоносные ссылки из черного списка. По сравнению с четвертым кварталом 2012 года их доля выросла на 0,5%, и в итоге на такие ссылки приходится 91,4% всех срабатываний веб-антивируса. Также заметим, что использование средств KSN для доставки моментальных апдейтов на компьютеры пользователей через «облако» позволило нам заблокировать 6,6% вредоносных ссылок. Эти ссылки вели на недавно взломанные или созданные злоумышленниками сайты, на которые уже стали переходить пользователи.

По-прежнему в первой пятерке детектируемых объектов вердикты Trojan.Script.Generic (2-е место) и Trojan.Script.Iframer (4-е место). Эти вредоносные объекты блокируются при попытках осуществления drive-by атак, которые сегодня являются одним из наиболее распространенных методов заражения компьютеров пользователей.

Седьмое место занимает Hoax.SWF.FakeAntivirus.i. По сути, это фальшивый антивирус, который размещается на различных сайтах сомнительного содержания. При посещении таких сайтов в окне пользовательского браузера проигрывается флэш-анимация, имитирующая работу антивирусного программного обеспечения. По итогам «проверки» компьютер пользователя оказывается «заражен» огромным количеством опаснейших вредоносных программ. Для избавления от них злоумышленники тут же предлагают специальное защитное решение, жертве обмана нужно только отправить SMS на короткий номер и получить в ответ ссылку, по которой они якобы могут скачать ПО.

Уже несколько месяцев подряд в TOP 20 оказывается Hoax.HTML.FraudLoad.i — в первом квартале он занял 15-ое место. С этой угрозой сталкиваются в основном любители скачивать фильмы, сериалы и программное обеспечение с сомнительных ресурсов. Как Hoax.HTML.FraudLoad детектируются веб-страницы, на которых пользователи якобы могут скачать нужный контент, но для этого им необходимо предварительно отправить платное SMS-сообщение или ввести номер своего мобильного телефона для оформления платной подписки. Если пользователь выполняет указанные требования, то вместо искомого контента он получает либо текстовый файл c инструкцией по использованию поисковиков, либо, что еще хуже, вредоносную программу.

На 16-е место попал эксплойт Exploit.Win32.CVE-2011-3402.c. Он эксплуатирует уязвимость в библиотеке win32k.sys (TrueType Font Parsing Vulnerability). Отметим, что эта же уязвимость использовалась для распространения червя Duqu.

Страны, на ресурсах которых размещены вредоносные программы

Данная статистика показывает, в каких странах мира физически расположены сайты, с которых загружаются вредоносные программы. Для определения географического источника веб-атак использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен данный домен, и установление географического местоположения данного IP-адреса (GEOIP).

81% веб-ресурсов, используемых для распространения вредоносных программ, расположены в десяти странах мира. За последние полгода этот показатель уменьшился на 5% пунктов: на 3% в первом квартале 2013 года и на 2% — в четвертом квартале 2012 года.

 
Распределение по странам веб-ресурсов, на которых размещены
вредоносные программы, первый квартал 2013 г.

В рейтинге стран по количеству вредоносных хостингов Россия (19%, -6%) и США (25%, +3%) вновь поменялись местами — США вернули утраченную ранее первую позицию. Доли остальных стран по сравнению с четвертым кварталом практически не изменились.

Страны, в которых пользователи подвергались наибольшему риску заражения через интернет

Чтобы оценить степень риска заражения через интернет, которому подвергаются компьютеры пользователей в разных странах мира, мы подсчитали, насколько часто в течение квартала пользователи продуктов «Лаборатории Касперского» в каждой стране сталкивались со срабатыванием веб-антивируса.

 
20 стран*, в которых отмечен наибольший риск заражения компьютеров через интернет**, первый квартал 2013 г.

*При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).
**Процент уникальных пользователей, подвергшихся веб-атакам, от всех уникальных пользователей продуктов ЛК в стране.

По сравнению с четвертым кварталом 2012 года первая десятка стран, жители которых чаще других сталкиваются с вредоносными программами, практически не изменилась — она по-прежнему состоит из стран, ранее входивших в состав СССР. Россия (57%) занимает третье место в этом списке. Однако некоторые изменения произошли во второй десятке: в первом квартале 2013 года в рейтинг вошли Тунис (43,1%), Алжир (39%). Единственная западноевропейская страна, которая попала в TOP 20, — Италия (39,9%, 16-е место).

Все страны можно разбить на несколько групп.

  1. Группа максимального риска — страны, где более 60% пользователей по крайней мере один раз столкнулись со зловредами в интернете. В первом квартале 2013 года в эту категорию стран с показателем 60,4% попал только Таджикистан.
  2. Группа повышенного риска. В эту группу с результатом 41-60% вошли 13 стран из TOP 20 (столько же, сколько и в четвертом квартале 2012). За исключением Вьетнама, Туниса и Шри-Ланки, замыкающих список группы, в нее входят страны постсоветского пространства, в частности, Армения (59,5%), Россия (57%), Казахстан (56,8%) Азербайджан (56,7%), Белоруссия (49,9%) и Украина (49%).
  3. Группа риска. В эту группу с показателями 21-40% попали 102 страны, в том числе Италия (39,9%), Германия (36,6%), Франция (35,8%), Бельгия (33,8%), Судан (33,1%), Испания (32,5%), Катар (31,9%), США (31,6%), Ирландия (31,5%), Англия (30,2%), ОАЭ (28,7%) и Нидерланды (26,9%).
  4. Группа самых безопасных при серфинге в интернете стран. В эту группу в первом квартале 2013 года вошли 28 стран с показателями 12,5-21%. Меньше всего (менее 20%) процент пользователей, атакованных при просмотре страниц в интернете, в африканских странах, где интернет слабо развит. Исключением являются Япония (15,6%) и Словакия (19,9%).


Риск заражения через интернет компьютеров пользователей в разных странах, первый квартал 2013 года

В среднем 39,1% компьютеров всех пользователей KSN в течение квартала хотя бы раз подвергались атаке во время серфинга в интернете. Отметим, что средняя доля атакованных машин по сравнению с четвертым кварталом 2012 года увеличилась на 1,5%.

Локальные угрозы

В этом разделе мы анализируем статистические данные, полученные на основе работы антивируса, сканирующего файлы на жестком диске в момент их создания или обращения к ним, и данные по сканированию различных съемных носителей информации.

Детектируемые объекты, обнаруженные на компьютерах пользователей

В первом квартале 2013 года наши антивирусные решения успешно заблокировали 490 966 403 попыток локального заражения компьютеров пользователей, участвующих в Kaspersky Security Network.

Детектируемые объекты, обнаруженные на компьютерах пользователей: TOP 20

Место Название % уникальных атакованных пользователей*
1 DangerousObject.Multi.Generic 18,51%
2 Trojan.Win32.Generic 16,04%
3 Trojan.Win32.AutoRun.gen 13,60%
4 Virus.Win32.Sality.gen 8,43%
5 Exploit.Win32.CVE-2010-2568.gen 6,93%
6 Trojan.Win32.Starter.yy 5,11%
7 Net-Worm.Win32.Kido.ih 3,46%
8 HiddenObject.Multi.Generic 3,25%
9 Trojan.Win32.Hosts2.gen 3,17%
10 Virus.Win32.Nimnul.a 3,13%
11 Virus.Win32.Generic 3,09%
12 Net-Worm.Win32.Kido.ir 2,85%
13 Trojan.Script.Generic 2,54%
14 AdWare.Win32.Bromngr.b 2,51%
15 Exploit.Java.CVE-2012-1723.gen 2,38%
16 Trojan.Win32.Starter.lgb 2,38%
17 Trojan-Downloader.Win32.Generic 2,13%
18 AdWare.Win32.Bromngr.h 2,11%
19 Hoax.Win32.ArchSMS.gen 2,09%
20 Trojan-Dropper.VBS.Agent.bp 1,97%

Данная статистика представляет собой детектирующие вердикты модулей OAS и ODS антивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
* Процент уникальных пользователей, на компьютерах которых антивирус детектировал данный объект, от всех уникальных пользователей продуктов ЛК, у которых происходило срабатывание антивируса.

В этом рейтинге, как и прежде, с большим отрывом лидируют три вердикта.

Вредоносные программы DangerousObject.Multi.Generic, обнаруженные с помощью «облачных» технологий, оказались в первом квартале 2013 года на 1-м месте с показателем 18,51% — это на 1,8% больше, чем в четвертом квартале 2012 года. «Облачные» технологии работают, когда в антивирусных базах еще нет ни сигнатуры, ни эвристики для детектирования вредоносной программы, но в облаке «Лаборатории Касперского» уже есть информация об объекте. По сути, так детектируются самые новые вредоносные программы.

На втором месте Trojan.Win32.Generic (16%) — вердикт, выдаваемый эвристическим анализатором при проактивном детектирования множества вредоносных программ. На третьем — Trojan.Win32.AutoRun.gen (13,6%). Так детектируются вредоносные программы, использующие автозапуск.

Рекламные программы семейства AdWare.Win32.Bromngr дебютировали в рейтинге в 4-м квартале 2012 года на 8-м месте. В первом квартале 2013 года они заняли сразу две позиции в TOP 20 (14-е и 18-е места). Все модификации данных рекламных модулей представляют собой библиотеки DLL, которые являются надстройками к популярным браузерам (Internet Explorer, Mozilla Firefox, Google Chrome). Как и подавляющее большинство подобных программ, этот модуль изменяет поисковые настройки пользователя, стартовую страницу, а также периодически показывает во всплывающих окнах различную рекламу.

Страны, в которых компьютеры пользователей подвергались наибольшему риску локального заражения

Приведенные ниже цифры отражают, насколько в среднем заражены компьютеры в той или иной стране мира. У пользователей KSN, предоставляющих нам информацию, вредоносный файл по крайней мере один раз был найден на каждом третьем (31,4%) компьютере — на жестком диске или на съемном носителе, подключенном к нему. Это на 0,8% меньше, чем в прошлом квартале.

 
TOP 20 стран* по уровню зараженности компьютеров**, первый квартал 2013 г.

* При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тысяч).
** Процент уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы, от всех уникальных пользователей продуктов ЛК в стране.

Уже четыре квартала подряд первые двадцать позиций в этом рейтинге занимают страны Африки, Ближнего Востока и Юго-Восточной Азии. Доля компьютеров с заблокированным вредоносным кодом у лидера — Бангладеш — вновь уменьшилась, на этот раз на 11,8%, и составила 67,8%. (По итогам третьего квартала 2012 года этот показатель составлял 90,9%.)

В случае с локальными заражениями мы также можем сгруппировать все страны по уровню зараженности:

  1. Максимальный уровень заражения (более 60%): по итогам первого квартала 2013 года данная группа теперь состоит всего лишь из двух стран: Бангладеш (67,8%) и Вьетнам (60,2%).
  2. Высокий уровень заражения (41-60%): 41 страна мира, в том числе Ирак (50,9%), Сирия (45,5%), Мьянма (44,5%), Ангола (42,3%) и Армения (41,4%).
  3. Средний уровень заражения (21-40%): 60 стран, в том числе Китай (37,6%), Катар (34,6%), Россия (34,3%) Украина (33,6%), Ливан (32,4%), Хорватия (26,1%), Испания (26%), Италия (23,8%), Франция (23,4%), Кипр (23,3%).
  4. Наименьший уровень заражения (до 21%): 31 страна, среди которых Бельгия (19,3%), США (19%), Великобритания (18,6%), Австралия (17,5%), Германия (17,7%), Эстония (17,8%), Нидерланды (16,2%), Швеция (14,6%), Дания (12,1%) и Япония (9,1%).


Риск локального заражения компьютеров в разных странах, первый квартал 2013 г.

В десятку самых безопасных по уровню локального заражения стран попали:

Япония 9,10%
Дания 12,10%
Финляндия 13,60%
Швеция 14,60%
Чехия 14,80%
Швейцария 15,10%
Ирландия 15,20%
Нидерланды 16,20%
Новая Зеландия 16,60%
Норвегия 16,80%

По сравнению с четвертым кварталом 2012 года в этом списке появилось две новых страны — Нидерланды и Норвегия, которые вытеснили Люксембург и Пуэрто-Рико.

Уязвимости

В первом квартале 2013 года на компьютерах пользователей KSN было обнаружено 30 901 713 уязвимых приложений и файлов. В среднем на каждом уязвимом компьютере мы обнаруживали 8 различных уязвимостей.

Десять наиболее распространенных уязвимостей представлены в таблице ниже.

Secunia ID Название Последствия эксплуатации Процент пользова-телей, у которых обнаружена уязвимость* Дата публикации Уровень опасности
1 SA 50949 Oracle Java Multiple Vulnerabilities DoS-атака Доступ к системе Раскрытие конфиденциальных данных Манипулирование данными 45,26% 17.10.2012 Highly Critical
2 SA 51771 Adobe Flash Player / AIR Integer Overflow Vulnerability Доступ к системе 22,77% 08.01.2013 Highly Critical
3 SA 51090 es Adobe Shockwave Player Multiple Vulnerabiliti Доступ к системе 18,19% 24.10.2012 Highly Critical
4 SA 51280 Oracle Java Two Code Execution Vulnerabilities Доступ к системе 17,15% 10.01.2013 Extremely Critical
5 SA 47133 Adobe Reader/Acrobat Multiple Vulnerabilities Доступ к системе 16,32% 07.12.2011 Extremely Critical
6 SA 51692 VLC Media Player HTML Subtitle Parsing Buffer Overflow Vulnerabilities Доступ к системе 14,58% 28.12.2012 Highly Critical
7 SA 51226 Apple QuickTime Multiple Vulnerabilities Доступ к системе 14,16% 08.11.2012 Highly Critical
8 SA 43853 Google Picasa Insecure Library Loading Vulnerability Доступ к системе 12,85% 25.03.2011 Highly Critical
9 SA 46624 Winamp AVI / IT File Processing Vulnerabilities Доступ к системе 11,30% 03.08.2012 Highly Critical
10 SA 41917 Adobe Flash Player Multiple Vulnerabilities «Доступ к системе Раскрытие конфиденциальных данных
Обход системы безопасности «
11,21% 28.10.2010 Extremely Critical

*За 100% взяты все пользователи, на компьютерах которых была обнаружена хотя бы одна уязвимость.

Наиболее распространенным оказались уязвимости в Java, которые были обнаружены на 45,26% всех компьютеров. А замкнула рейтинг достаточно старая, но крайне опасная уязвимость в Adobe Flash Player. Хотя эта уязвимость была обнаружена еще в октябре 2010 года, мы до сих пор находим ее на 11,21% уязвимых компьютеров пользователей.

Первые пять позиций занимают уязвимости в продуктах Oracle и Adobe, и, как уже было сказано выше, за Adobe также последняя строчка рейтинга. Позиции с 6-й по 9-ю распределились между уязвимостями в популярных программных продуктах от разных компаний.


Производители продуктов с уязвимостями из TOP 10, первый квартал 2013 года

Эксплуатация любой уязвимости из TOP 10 фактически приводит к исполнению произвольного кода в системе.


Распределение уязвимостей из TOP 10 по типу воздействия на систему, первый квартал 2013 г.

Подобные уязвимости всегда пользуются популярностью у злоумышленников, и использующие их эксплойты стоят на «черном» рынке дороже большинства других.

Источник

Эксперты «Лаборатории Касперского» зафиксировали
целенаправленную атаку на пользователей мобильных устройств, работающих
под управлением операционной системы Android. Она была нацелена на
тибетских, уйгурских китайских и монгольских активистов, с телефонов
которых киберпреступники крали списки контактов, историю сообщений и
звонков, геолокационные данные и информацию о самих телефонах.

Атака проводилась в конце марта 2013 года и организационно была очень
похожа на предыдущие, направленные на уйгурских и тибетских активистов.
Основное отличие состояло в том, что на этот раз злоумышленники
использовали не уязвимости в DOC, XLS и PDF-документах для взлома
компьютеров под управлением ОС Windows и Mac OS, а сосредоточили свои
усилия на мобильных устройствах. Взломав почтовый аккаунт известного
тибетского активиста, они распространили фишинговые письма по всему
списку его контактов. Все подобные сообщения имели вложенный файл,
предназначенный для Android-устройств, внутри которого находилась
вредоносная программа. После ее исследования специалисты
«Лаборатории Касперского» пришли к выводу, что написана она
была китайскоговорящими хакерами — об этом свидетельствуют
комментарии в программном коде и определённые характеристики командного
сервера злоумышленников.

«До недавнего времени целенаправленные атаки на мобильные
устройства не применялись на практике, хотя злоумышленники определённо
интересовались этой возможностью и даже пытались экспериментировать. Для
осуществления атаки киберпреступники использовали троянца,
предназначенного для кражи конфиденциальных данных сразу у группы жертв.
Сейчас хакеры всё ещё применяют методы социальной инженерии, вынуждая
пользователей самостоятельно устанавливать вредоносные приложения, но мы
не исключаем, что в будущем они начнут использовать уязвимости в
мобильном ПО или целые комбинации сложных технологий атак»,
— поясняет Костин Райю, руководитель центра глобальных
исследований и анализа угроз «Лаборатории Касперского».

Подробный отчёт об исследовании первой масштабной атаки на
Android-системы читайте на сайте www.securelist.com/ru.

MiniDuke — новая вредоносная программа для кибершпионажа в государственных структурах по всему миру

«Лаборатория Касперского» опубликовала отчёт об исследовании
ряда инцидентов, произошедших на прошлой неделе и связанных с очередным
примером кибершпионажа против правительственных учреждений и научных
организаций по всему миру. В ходе атаки злоумышленники применили
сочетание сложных вредоносных кодов «старой школы»
вирусописательства и новых продвинутых технологий использования
уязвимостей в Adobe Reader — и всё это для того, чтобы получить
данные геополитического характера из соответствующих организаций.

Вредоносная программа MiniDuke* распространялась при помощи недавно
обнаруженного эксплойта для Adobe Reader (CVE-2013-6040). По данным
исследования, проведенного «Лабораторией Касперского»
совместно с венгерской компанией CrySys Lab, среди жертв кибершпионской
программы MiniDuke оказались государственные учреждения Украины,
Бельгии, Португалии, Румынии, Чехии и Ирландии. Кроме того, от действий
киберпреступников пострадали исследовательский институт, два
научно-исследовательскийх центра и медицинское учреждение в США, а также
исследовательский фонд в Венгрии.

«Это очень необычная кибератака, — поясняет Евгений
Касперский, генеральный директор «Лаборатории Касперского».
— Я хорошо помню, что подобный стиль программирования в
вредоносном ПО использовался в конце 1990-х-начале 2000-х. Пока не очень
понятно, почему эти вирусописатели «проснулись» через 10 лет
и присоединились к «продвинутым» киберпреступникам. Эти
элитные писатели вредоносных программ старой закалки успешные в создании
сложных вирусов сейчас совмещают свои способности с новыми методами
ухода от защитных технологий для того, чтобы атаковать государственные
учреждения и научные организации в разных странах».

«Созданный специально для этих атак бэкдор MiniDuke написан на
Ассемблере и чрезвычайно мал — всего 20 Кб, — добавляет
Евгений Касперский. — Сочетание опыта «олдскульных»
вирусописателей с новейшими эксплойтами и хитрыми приёмами социальной
инженерии — крайне опасная смесь».

В ходе исследования эксперты «Лаборатории Касперского»
пришли к следующим выводам:
* Авторы MiniDuke до сих пор продолжают
свою активность, последний раз они модифицировали вредоносную программу
20 февраля 2013 года. Для проникновения в системы жертв киберпреступники
использовали эффективные приёмы социальной инженерии, с помощью которых
рассылали вредоносные PDF-документы. Эти документы представляли собой
актуальный и хорошо подобранный набор сфабрикованного контента. В
частности, они содержали информацию о семинаре по правам человека
(ASEM), данные о внешней политике Украины, а также планы стран-участниц
НАТО. Все эти документы содержали эксплойты, атакующие 9, 10 и 11 версии
программы Adobe Reader. Для создания этих эксплойтов был использован тот
же инструментарий, что и при недавних атаках, о которых сообщала
компания FireEye. Однако в составе MiniDuke эти эксплойты использовались
для других целей и содержали собственный вредоносный код.
* При
заражении системы на диск жертвы попадал небольшой загрузчик, размером
всего 20 Кб. Он уникален для каждой системы и содержит бэкдор,
написанный на Ассемблере. Кроме того, он умеет ускользать от
инструментов анализа системы, встроенных в некоторые среды, в частности
в VMWare. В случае обнаружения одного из них бэкдор приостанавливал свою
деятельность с тем, чтобы скрыть своё присутствие в системе. Это говорит
о том, что авторы вредоносной программы имеют четкое представление о том
методах работы антивирусных компаний.
* Если атакуемая система
соответствует заданным требованиям, вредоносная программа будет (втайне
от пользователя) использовать Twitter для поиска специальных твитов от
заранее созданных акаунтов. Эти аккаунты были созданы операторами
бэкдора MiniDuke, а твиты от них поддерживают специфические тэги,
маркирующие зашифрованные URL-адреса для бэкдора. Эти URL-адреса
предоставляют доступ к серверам управления, которые, в свою очередь,
обеспечивают выполнение команд и установку бэкдоров на заражённую
систему через GIF-файлы.
* По результатам анализа стало известно, что
создатели MiniDuke используют динамическую резервную систему
коммуникации, которая также может ускользать от антивирусных средств
защиты — если Twitter не работает или аккаунты неактивны,
вредоносная программа может использовать Google Search для того чтобы
найти зашифрованные ссылки к новым серверам управления. Как только
заражённая система устанавливает соединение с сервером управления, она
начинает получать зашифрованные бэкдоры через GIF-файлы, которые
маскируются под картинки на компьютере жертвы. После загрузки на машину,
эти бэкдоры могут выполнять несколько базовых действий: копировать,
перемещать или удалять файлы, создавать каталоги, останавливать процессы
и, конечно, загружать и исполнять новые вредоносные программы.

* Бэкдор выходит на связь с двумя серверами — в Панаме и Турции
— для того чтобы получить инструкции от киберпреступников.

С полной версией отчёта «Лаборатории Касперского» и
рекомендациями по защите от MiniDuke можно ознакомиться на сайте
www.securelist.com/ru. *Система «Лаборатории Касперского»
детектирует и нейтрализует вредоносную программу MiniDuke,
классифицируемую как HEUR:Backdoor.Win32.MiniDuke.gen и
Backdoor.Win32.Miniduke. Технологии «Лаборатории
Касперского» также детектируют эксплойты, использующиеся в
PDF-документах и классифицируемые как Exploit.JS.Pdfka.giy.

Почти всем известно, что многочисленные хакеры спят и видят, как бы украсть ценные данные из корпоративных сетей.  Но хотя о способах проникновения в корпоративные сети написаны целые тома, мало кто уделяет столько же внимания способам, с помощью которых атакующие собирают и пересылают на свои компьютеры украденную информацию.

Как хакеры крадут ваши данные

Конечно, обычно хакеры используют вполне логичную схему. Первым делом атакующий получает доступ к одному из компьютеров компании с помощью фишингового письма, содержащего вредоносный документ PDF или Word, – пораженная машина станет плацдармом атакующих в корпоративной сети. Отсюда атакующий будет вести поиск других уязвимостей, чтобы прыгать из компьютера в компьютер в поисках ценных данных – таблиц, документов, финансовой информации и других нужных файлов.

Когда подобные данные найдены, наступает время «экспорта». Файлы должны быть где-то собраны, и обычно атакующий выбирает под склад один из пользовательских компьютеров в сети, а не сервер.  По словам Райана Казанцияна и Шона Койна (Ryan Kazanciyan, Sean Coyne) из компании Mandiant, специализирующейся на безопасности, подобная тактика хакера обусловлена привычками пользователей – они обычно не следят, сколько на их компьютере свободного места, в то время как системный администратор может заметить, что на одном из серверов неожиданно прибавилось данных.

Некоторые хакеры собирают все данные на «складской» машине, а потом скачивают их в один прием. Но чаще атакующие загружают информацию понемногу – даже несмотря на то, что риск обнаружения в таком случае выше. И хотя некоторые хакеры крадут только конкретные данные, многие другие воруют все, на что могут наложить лапу, – это характерный признак большой операции, в которой предусмотрены людские ресурсы для ручного разбора и анализа кучи награбленного в поисках ценностей.

Ключевая часть стратегии защиты – не устранение уязвимости, которой воспользовались атакующие, а проактивные действия по поиску слабых мест в своей защите и их устранение заранее, до того как «дырой» воспользовались. Нужно заботиться о том, чтобы сеть всегда была защищена на максимально возможном уровне, предотвращая угрозы до их возникновения.

«Трудно оценить последствия таких краж данных, поскольку ценность многих видов информации еще не осознается, – сказал Койн – Во многих случаях, над которыми мы работали, атакующие были внутри месяцами и годами. Если все усилия по информационной безопасности брошены на смягчение последствий после взлома, то эта работа практически бессмысленна»

ИСТОЧНИК

Массовое заражение веб-сайтов является одной из самых больших проблем в современной IT-безопасности. О том, насколько велика эта проблема, можно судить, например, по числу запросов в наш отдел технической поддержи, касающихся предупреждений о вредоносных веб-сайтах. Владельцы веб-сайтов обычно жалуются на то, что наш продукт ошибочно блокирует доступ к их порталу, и это, очевидно, ложное срабатывание, поскольку они не размещают никакого вредоносного контента. К сожалению, в большинстве случаев они не правы: на их сайтах действительно можно найти вредоносные скрипты, внедренные киберпреступниками в PHP-, JS- или HTML-код. Эти скрипты обычно перенаправляют пользователей на вредоносные URL-ссылки, с которых загружаются вредоносные программы и исполняются на компьютере пользователя. В большинстве случаев процесс исполнения вредоносного кода абсолютно невидим пользователю: ему кажется, что веб-сайт работает как обычно. Вредоносный код незаметно укрепляется на атакуемом компьютере, используя уязвимости в установленном ПО (Java, Flash, программах просмотра PDF-файлов, плагинах к браузерам и т.д.). Этот метод называется drive-by загрузка и подробно описывался на Securelist.

В настоящей статье мы хотим сфокусировать внимание читателя на том, что может помочь администраторам веб-сайтов распознать вредоносное ПО и удалить его с веб-сайтов.

  • Что происходит? Симптомы заражения вредоносным ПО
  • Что искать? Примеры вредоносного кода
  • Как это случилось? Направления и методы атак
  • Для чего это делается? Цели киберпреступников
  • Как справиться с заражением веб-сайта? Методы удаления
  • Как предотвратить заражение веб-сайта? Основы безопасности при администрировании веб-ресурса

Симптомы заражения

Как узнать, что ваш веб-сайт оказался заражён? Наиболее очевидные симптомы таковы:

  • пользователи жалуются на то, что веб-сайт блокируется браузером и/или антивирусными программами
  • веб-сайт внесён в чёрный список Google или в другую базу вредоносных URL-адресов
  • произошли серьёзные изменения в объёме трафика и/или в рейтингах поисковых систем
  • веб-сайт не работает как следует, выдаёт ошибки и предупреждения
  • после посещения веб-сайта компьютер ведёт себя странно.

Зачастую вредоносный код остаётся незамеченным в течение долгого времени, особенно в случае заражения очень сложными зловредами. Такое вредоносное ПО обычно сильно обфусцировано, чтобы ввести в заблуждение и администраторов веб-сайтов, и антивирусные программы; оно всё время меняет доменные имена, на которые перенаправляет пользователей, обходя таким образом чёрные списки. Если нет ни одного из приведенных симптомов, это хороший показатель чистоты вашего сервера, хотя, увы, не 100%-ный; поэтому, оставайтесь бдительными к любой подозрительной активности.

Самым очевидным признаком заражения любым вредоносным ПО является присутствие вредоносного/подозрительного кода в одном или нескольких файлах — преимущественно в формате HTML, PHP или JS, а с некоторых пор и ASP/ASPX. Этот код найти нелегко, требуется владение по меньшей мере основами программирования и разработки веб-сайтов. Для того чтобы читатель лучше понял, как выглядит вредоносный код, мы приводим несколько примеров самого обычного заражения веб-страниц.

Пример 1: простая переадресация

Самым старым и самым простым методом, используемым киберпреступниками, является добавление простого HTML iframe-тега в код HTML-файлов на сервере. Адрес, используемый для загрузки вредоносного веб-сайта в IFrame, указан в качестве атрибута SRC; атрибут VISIBILITY со значением “hidden” делает фрейм невидимым для пользователя, посещающего веб-сайт.

 
Рисунок 1: Вредоносный IFrame внутри HTML-кода веб-сайта

Другой метод выполнения вредоносного скрипта в браузере пользователя — это внедрение ссылки на этот скрипт в HTML-файл в качестве атрибута src в тегах script или img:

 
Рисунок 2: Примеры вредоносных ссылок

Последнее время все чаще встречаются случаи, когда вредоносный код динамически генерируется и внедряется в HTML-код вредоносными JS- или PHP-скриптами. В таких случаях код видим только в представлении исходного кода страницы из браузера, но не в физических файлах на сервере. Киберпреступники могут дополнительно определять условия, когда вредоносный код должен генерироваться: например, только когда пользователь перешёл на сайт с определённых поисковых систем или открыл веб-сайт в конкретном браузере.

Чтобы обмануть и владельца веб-сайта, и антивирусное ПО, а также затруднить анализ вредоносного кода, киберпреступники используют разнообразные методы обфускации кода.

Пример 2: «Ошибка 404: страница не найдена»

В этом примере вредоносный код внедряется в шаблон сообщения, которое выводится, когда указанный объект не был найден на сервере (всем известная «ошибка 404»). Кроме того, в файлы index.html / index.php внедряется ссылка на какой-либо несуществующий элемент, чтобы незаметно вызывать эту ошибку при каждом посещении пользователем заражённой веб-страницы. Этот метод может спровоцировать некоторую неразбериху: человек, ответственный за веб-сайт, получает сообщение, что некое антивирусное решение пометило веб-сайт как заражённый; после поверхностной проверки оказывается, что вредоносный код был найден в объекте, которого по всей видимости не существует; это приводит к соблазну предположить (ошибочно), что это была ложная тревога.

 
Рисунок 3. Trojan.JS.Iframe.zs — вредоносный скрипт в шаблоне сообщения об ошибке 404

В этом конкретном случае вредоносный код был обфусцирован. После деобфускации можем видеть, что целью скрипта является внедрение тэга IFRAME, который будет использован для перенаправления пользователей на вредоносный URL-адрес.

 
Рисунок 4. Trojan.JS.Iframe.zs — вредоносный код после деобфускации

Пример 3: выборочное внедрение вредоносного кода

Аналогичный код может генерироваться и присоединяться динамически (т.е. в зависимости от конкретных условий) ко всем HTML-файлам, расположенным на сервере, используя вредоносный PHP-скрипт, загруженный на тот же сервер. Скрипт, показанный в следующем примере, проверяет параметр UserAgent (который отсылается браузером пользователя, а также поисковыми ботами) и не добавляет вредоносный код, если веб-сайт сканируется ботом или если посетители сайта пользуются браузерами Opera, Chrome или Safari. Таким образом, пользователи браузеров, неуязвимых к конкретному эксплойту, используемому для атаки, не будут перенаправляться на этот эксплойт. Также стоит заметить, что комментарии в коде намеренно вводят в заблуждение, наводя на мысль о том, что данный скрипт имеет какое-то отношение к статистике бота.

 
Рисунок 5. Trojan.PHP.Iframer.e — код, заражающий PHP-скрипт

Этот метод может также использоваться в обратном направлении: киберпреступники могут внедрять ссылки, ведущие к нелегальному, сомнительному или вредоносному контенту (спаму, шпионскому ПО, пиратскому ПО, фишинговым ресурсам) только если на веб-сайт зашёл поисковый бот. Целью такой атаки является так называемая чёрная оптимизация — механизм поднятия позиции киберкриминального ресурса в поисковой выдаче. Такое вредоносное ПО обычно направлено на популярные веб-порталы с высоким рейтингом, и его довольно сложно обнаружить, поскольку вредоносный код никогда не показывается обычному пользователю. В результате вредоносные веб-сайты получают высокий рейтинг в поисковых системах и оказываются в верхних строчках поисковой выдачи.

Пример 4: хитрая обфускация

Заражающие PHP-скрипты могут также принимать другие формы. Ниже даются два примера, обнаруженные и описанные в нашем блоге несколько месяцев назад (здесь и здесь).

 
Рисунок 6. Trojan-Downloader.PHP.KScript.a —заражающий PHP-скрипт

 
Рисунок 7. Trojan.PHP.Injector.c — заражающий PHP-скрипт

Первый из этих примеров (Trojan-Downloader.PHP.JScript.a) внедряет вредоносный JavaScript в код HTML-файлов сразу за одним из определённых закрывающих тэгов (например, script, div, table, form, p, body). Содержимое внедряемого скрипта написано далеко не простым кодом — оно представлено в виде чисел и хранится в двух массивах — $tr и $tc. Деобфускация выполняется «на лету». Код, генерируемый таким образом, также обфусцирован, но другим способом:

 
Рисунок 8. Trojan.JS.Redirector.px — вредоносный JavaScript, внедрённый в HTML-файл

На первый взгляд можно подумать, что этот скрипт имеет какое-то отношение к цветам, отображаемом на веб-сайте. К сожалению, это впечатление полностью ошибочно — скрипт конвертирует значения, которые хранятся в массиве div_colors, в символы ASCII и затем собирает вредоносный URL-адрес, который дописывается в HTML-файл при помощи функций document.write() или document.createElement().

Второй PHP-скрипт (Trojan.PHP.Injecter.c) написан ещё более хитро: во вредоносном URL-адресе использованы «невидимые» символы — пробелы и знаки табуляции. Если принять пробел за ноль, а знак табуляции — за единицу, получим двоичный код; каждый 8-битный кусочек этого кода — это числовое представление ASCII-символа.

Пример 5: заражённые JavaScript

Рассмотренные выше вредоносные заражающие PHP-скрипты были загружены киберпреступниками на сервер с использованием уязвимостей в системах управления контентом (CMS) или краденых данных для доступа к FTP-серверу. Другой метод — заражение легитимных JS-файлов, уже существующих на сервере. Из всего многообразия примеров следует упомянуть по крайней мере три разных сценария, которые были широко распространены последние несколько месяцев.

В первом случае производится динамическое внедрение следующего кода в HTML-файлы:

 
Рисунок 9. Trojan.JS.Iframe.zs — вредоносный Iframe, динамически внедряемый в HTML

Скрипт, отвечающий за добавление этого кода, помещается в один или несколько JS-файлов на сервере:

 
Рисунок 10. Trojan.JS.Iframe.zs — скрипт, внедряющий Iframe — после деобфускации

В следующем случае для обфускации используется шестнадцатеричное представление ASCII-символов. Все JS-файлы на сервере заражены аналогичным кодом:

 
Рис 11. Trojan-Downloader.JS.Agent.gnm — вредоносный код, внедренный в JS-файлы

При другом популярном сценарии наряду со стандартными методами обфускации в код включены комментарии на латыни — видимо, для того, чтобы скрипт выглядел для администратора легитимным и вызывающим доверие. Тем не менее, эти комментарии являют собой всего лишь случайные фрагменты из известного классического текста Lorem Ipsum.

 
Рис 12. Trojan-Downloader.JS.Twetti.t — вредоносный код, внедряемый в JS-файлы

Наконец, известен случай массового заражения зловредом, при котором используются случайные доменные имена. В случае заражения этим зловредом вы можете обнаружить на своём веб-сайте следующий код:

 
Рис 13. Обфусцированная версия кода, который перенаправляет на сгенерированный случайным образом домен

Пример 6: «gootkit» и обфускация файла целиком

Обфусцированный вредоносный код легко обнаружить среди остального чистого кода, и поэтому недавно киберпреступникам в голову пришла идея обфусцировать содержимое файла целиком, делая таким образом нечитабельным как внедренный, так и легитимный код. Отделить легитимный код от вредоносного невозможно, и вылечить файл можно только после его дешифровки.

 
Рис. 14. Файл, обфусцированный зловредом “gootkit”

Избавиться от первого уровня обфускации несложно, для этого нужно просто поменять функцию eval() на alert() — или print() в случае с консолью — и запустить ее на исполнение. Второй уровень несколько сложнее: в данном случае доменное имя используется в качестве ключа для шифрования кода.

 
Рис. 15: «gootkit» — второй уровень обфускации

После дешифровки можно видеть вредоносный код, идущий за оригинальным содержимым файла:

 
Рис. 16: «gootkit» — деобфусцированный код

Иногда вредоносная часть оказывается второй версией вредоносных программ, о которых шла речь в предыдущем примере, и используется для генерации псевдослучайного доменного имени для переадресации.

Пример 7: .htaccess

Вместо заражения скриптов и HTML-кода киберпреступники могут использовать возможности некоторых файлов, например .htaccess. В таких файлах администратор может определять права доступа к определенным папкам на сервере, а также при определенных обстоятельствах перенаправлять пользователей на другие URL-адреса (например, в случае если пользователь заходит с браузера мобильного устройства, он перенаправляется на мобильную версию веб-сайта). Нетрудно догадаться, каким образом киберпреступники используют подобный функционал…

 
Рис17: вредоносный .htaccess

В приведенном выше примере все пользователи, оказавшиеся на этом веб-сайте, пройдя по ссылке в большинстве крупных поисковых систем (параметр HTTP_REFERER), перенаправляются на вредоносную URL-ссылку. Помимо этого, в этом файле .htaccess определено достаточно большое количество браузеров и ботов, для которых перенаправление не производится (параметр HTTP_USER_AGENT). Перенаправление не происходит также в случае, если веб-страница читается из кеша (referer == cache) или загружается повторно с того же компьютера (параметр cookie).

Подобные зловреды позволяют проводить и более избирательные заражения — например, могут быть исключены конкретные IP-адреса, и при просмотре веб-сайтов из определенного диапазона IP-адресов — например, принадлежащих компании по информационной безопасности — выдача вредоносных результатов отсутствует.

Векторы атак и технологии заражения

Независимо от используемых технологий, киберпреступникам необходимо найти способ доставки вредоносных файлов на сервер или модификации файлов, уже существующих на сервере. Наиболее примитивным методом получения доступа к серверу является взлом пароля доступа. Для этого киберпреступники могут использовать так называемую атаку методом перебора или ее ограниченную версию — атаку «перебора по словарю» (словарную атаку). Такая тактика обычно требует большого количества времени и ресурсов, поэтому редко используется при массовых заражениях веб-сайтов. Среди более популярных сценариев — эксплуатация уязвимостей и вредоносное ПО для кражи паролей.

Использование уязвимостей системы управления контентом/ системы электронной коммерции

Большинство современных платформ управления веб-контентом (такие как система управления контентом (CMS), электронная коммерция, панели управления и т.д.) неидеальны и имеют уязвимости, позволяющие другим лицам без аутентификации загружать файлы на сервер. И хотя поиск таких уязвимостей разработчики ведут постоянно, выпуск патчей занимает большое количество времени; помимо этого, многие пользователи продолжают использовать старые версии программ с большим количеством ошибок. Чаще всего уязвимости находят, естественно, в самых популярных платформах, таких как WordPress, Joomla и osCommerce.

Известный пример такой уязвимости — TimThumb, которая широко использовалась киберпреступниками в разнообразных сценариях drive-by загрузки. TimThumb — PHP-модуль для изменения размера изображений и создания так называемых графических миниатюр, включенный в большинство CMS-шаблонов, находящихся в открытом доступе. Уязвимость позволяет записывать файлы, находящиеся на удаленной машине, на сервер, в директорию для кеша. Еще один пример — уязвимость SQL injection в Plesk Panel (версии 10 и старше), обнаруженная в феврале 2012 года, позволяющая читать базы данных и красть пароли, которые — до недавнего времени — хранились в явном виде. Полученные таким образом регистрационные данные, вероятно, использовались при недавней массовой веб-эпидемии http://www.securelist.com/en/blog/208193624/Who_is_attacking_me; https://www.securelist.com/ru/blog/208193713/RunForestRun_gootkit_i_generirovanie_sluchaynykh_domennykh_imen.

Использование шпионского ПО для кражи учетных данных для доступа к серверу по FTP

В наиболее распространенных веб-заражениях (например, Gumblar и Pegel) успешным оказался другой метод. На первом этапе киберпреступники распространяют вредоносные программы, разработанные специально для поиска и кражи имен пользователей и паролей к FTP-аккаунтам посредством проверки настроек FTP-клиентов или сканирования сетевого трафика. После нахождения зловредом этих регистрационных данных на зараженном компьютере администратора сайта программа устанавливает соединение с FTP-сервером и загружает вредоносные скрипты или записывает вместо оригинальных файлов их зараженные версии. Само собой разумеется, что до тех пор пока компьютер владельца аккаунта заражен, файлы, хранящиеся на сервере, будут снова и снова заражаться даже после смены регистрационных данных и восстановления всего контента из чистой резервной копии.

Цели киберпреступников

Какова цель заражения веб-сайтов?

  • переадресация пользователей на эксплойты для незаметной установки вредоносных программ на их компьютерах;
  • переадресация пользователей на спам, фишинговый и другой вредоносный, нелегальный или нежелательный контент;
  • перехват/кража посещений сайта / поисковых запросов.
  • продвижение вредоносных/нелегальных веб-сайтов и веб-сайтов, содержащих спам (черная оптимизация);
  • использование ресурсов сервера для нелегальной активности.

По сути здесь нет ничего нового: при заражении веб-сайтов киберпреступниками движет стремление получить непрямую прибыль.

Методы устранения вредоносного кода

Что делать, если ваш сайт атаковали хакеры?

Во-первых, если вы наблюдаете симптомы, которые говорят о возможном заражении, необходимо незамедлительно деактивировать веб-сайт до устранения проблемы. Это действительно исключительно важно, поскольку каждый момент промедления играет на руку киберпреступникам, позволяя заразить еще больше компьютеров и распространить заражение по всему интернету. Следует проверить журналы сервера на наличие подозрительной активности, например странные запросы с IP-адресов, находящихся в странах, нехарактерных для посетителей сайта, и т.п. — это может быть полезно для обнаружения зараженных файлов и определения, как именно киберпреступники получили доступ к серверу.

Но каким же образом бороться с вредоносным кодом?

Резервная копия

Самый быстрый и надежный способ восстановления всего содержимого сервера — с использованием чистой резервной копии. Чтобы сделать это эффективно, необходимо также произвести полную переустановку ПО, работающего на сервере (системы управления контентом / CMF, системы электронной коммерции и т.п.). Разумеется, для этого необходимо использовать самые последние, полностью обновленные версии. После этих действий на сервере не должно остаться никаких зараженных файлов — при условии, что вы стерли все содержимое перед восстановлением, а резервная копия была создана еще до начала атаки.

Автоматическая проверка

Если чистая резервная копия отсутствует, вам ничего не остается как начать бороться с вредоносным ПО. К счастью, существует ряд автоматизированных решений, которые помогут отыскать вредоносный код — включая антивирусные продукты и онлайн-сканеры веб-сайтов, например http://sucuri.net/. Ни одно из них не является идеальным, но в случае с хорошо известным/обычным вредоносным ПО все они могут быть весьма полезными. Начнем с того, что можно проверить веб-сайт при помощи нескольких онлайн-сканеров. Некоторые из них не только определят, действительно ли ваш сайт заражен, но и укажут на вредоносный код в ваших файлах. Затем можно произвести полную антивирусную проверку всех файлов на сервере.

Если вы владелец сервера или если на сервере работает защитное решение, на использование которого у вас есть права, вы можете выполнить проверку на стороне сервера. Убедитесь в том, что вы создали копию ваших файлов, так как некоторые антивирусные сканеры не лечат зараженные файлы, а удаляют их! Можно также загрузить содержимое вашего сервера на локальный компьютер и осуществить его проверку при помощи антивирусного решения для стационарного компьютера. Второй вариант предпочтительней, поскольку в составе большинства современных антивирусных программ для стационарных компьютеров есть хорошо развитый эвристический модуль. Вредоносные программы, поражающие веб-сайты, в высшей степени полиморфны: и если при борьбе с ним сигнатурный анализ практически бесполезен, эвристика позволяет их с легкостью детектировать.

Удаление вручную

Если автоматическая проверка не дала результатов и сообщения о заражении вашего сайта поступают по-прежнему, единственный способ избавиться от зловреда — найти его вручную и удалить весь вредоносный код. Эта непростая задача может занять значительное количество времени, поскольку необходимо проверить каждый файл — будь то HTML, JS, PHP или файл конфигурации — на наличие вредоносных скриптов. Примеры, приведенные выше, — всего лишь небольшая часть разнообразных зловредов для веб-сайтов, поэтому высока вероятность того, что вредоносный код на вашем сайте будет частично или полностью отличаться от этих образцов. И тем не менее большинство современных вредоносных программ для веб-сайтов имеют некоторые общие черты, и эти черты помогут в определении проблемы.

Более всего необходимо уделить внимание тем частям кода, которые выглядят неясными или нечитаемыми. Обфускация кода — технология, часто используемая вирусописателями, — довольно необычна для любого другого ПО, связанного с веб-сайтами. Если вы не обфусцировали код сами, у вас есть все основания иметь относительно него подозрения. Но будьте аккуратны — вредоносным окажется не весь обфусцированный код!

Аналогичным образом, не любой вредоносный скрипт обфусцирован, поэтому имеет смысл искать теги IFRAME в явном виде и другие ссылки на внешние ресурсы во всех ваших файлах. Некоторые из них могут иметь отношение к рекламным объявлениям и статистике, но не попадитесь на удочку специально сформированных URL, которые могут сбивать с толку, имея вид адресов известных и доверенных порталов. Не забывайте проверять код шаблонных сообщений об ошибках, а также все файлы .htaccess.

Полезными инструментами для поиска вредоносного кода на сервере, несомненно, являются grep и find — утилиты, работающие в режиме командной строки, по умолчанию включаемые практически во все системы на основе Unix. Ниже приведены примеры их использования в диагностике наиболее распространенных заражений:

grep -iRs “iframe” *
grep -iRs “eval” *
grep -iRs “unescape” *
grep -iRs “base64_decode” *
grep -iRs “var div_colors” *
grep -iRs “var _0x” *
grep -iRs “CoreLibrariesHandler” *
grep -iRs “pingnow” *
grep -iRs “serchbot” *
grep -iRs “km0ae9gr6m” *
grep -iRs “c3284d” *
find . -iname “upd.php”
find . -iname “*timthumb*”

Описание grep (из руководства Linux): печать строк, соответствующих шаблону; опция -i означает игнорировать регистр; -R означает рекурсивный поиск, а -s предотвращает показ сообщений об ошибках. Первая из перечисленных команд ищет в файлах тэги IFRAME; три остальные ищут наиболее явные признаки обфускации; остальные ищут особые строки, связанные с крупнейшими известными заражениями веб-сайтов.

Что касается find, в руководстве Linux указано: поиск файлов в иерархической структуре папок; «.» (точка) указывает на текущую директорию (так что запускать данные команды следует из корневой директории или домашнего (home) каталога на сервере), параметр -iname определяет файл, который следует искать. Можно использовать регулярные выражения для поиска всех файлов, соответствующих неким критериям.

Разумеется, всегда нужно знать, что именно искать — не все результаты будут указывать на заражение. Неплохо проверить подозрительные части кода антивирусным сканером или попробовать поискать их в google. Очень вероятно, что вы найдете некоторые ответы — как для вредоносного, так и для чистого кода. Если вы по-прежнему не уверены, заражен ли файл, лучше всего деактивировать веб-сайт (на всякий случай) и до принятия каких-либо действий обратиться за советом к специалисту.

Очень важно!

Помимо очистки файлов на сервере необходимо обязательно произвести полную антивирусную проверку всех компьютеров, используемых для загрузки и управления контентом на сервере и сменить все данные для доступа ко всем аккаунтам на сервере(FTP, SSH, панели управления и т.д.), которые вы поддерживаете.

Основы безопасности для веб-сайтов

К сожалению, в большинстве случаев удаления вредоносного кода недостаточно для того, чтобы избавиться от заражения раз и навсегда. Если ваш веб-сайт заражен, возможно, это говорит о существовании уязвимостей, которые позволили киберпреступникам внедрить вредоносные скрипты на сервер; и если вы оставите без внимания эту проблему, в ближайшем будущем вас ждут новые заражения. Чтобы это предотвратить, необходимо принять соответствующие меры для защиты сервера и компьютера/компьютеров, используемых для администрирования сервера.

  • Использование стойких паролей. Несмотря на тривиальность этого совета, это действительно основа безопасности сервера. Необходимо не только менять пароли после каждого инцидента и/или атаки на сервер — они должны меняться на регулярной основе, например ежемесячно. Хороший пароль должен соответствовать особым критериям, о которых можно узнать на нашем веб-сайте www.kaspersky.com/passwords;
  • Регулярное обновление. Необходимо также не забывать о регулярных обновлениях. Киберпреступники часто эксплуатируют уязвимости в ПО независимо от цели вредоносной программы — направлена ли она на пользователей ПК или на веб-сайты. Все программы, с помощью которых вы управляете вашим сервером / контентом сайта, должны быть самых последних версий, а каждое обновление безопасности должно устанавливаться сразу же по его выходе. Использование актуальных версий ПО и своевременная установка всех необходимых патчей поможет снизить риск атаки с использованием эксплойтов. Регулярно обновляемый список известных уязвимостей можно найти на сайте http://cve.mitre.org/;
  • Регулярное создание резервных копий. Имея в запасе чистую копию серверного контента, вы сэкономите массу времени и усилий, не говоря о том, что свежие резервные копии могут, помимо лечения заражения, оказаться очень полезны и в решении других проблем;
  • Регулярная проверка файлов. Даже при отсутствии явных симптомов заражения рекомендуется периодическое сканирование всех файлов на сервере на предмет выявления вредоносного кода;
  • Обеспечение безопасности ПК. Поскольку значительное количество вредоносного ПО для веб-сайтов распространяется через заражённые ПК, безопасность стационарного компьютера, используемого для управления вашим веб-сайтом, является одним из приоритетных аспектов безопасности веб-сайта. Непрерывная поддержка чистоты и безопасности вашего компьютера существенно увеличивает вероятность того, что ваш веб-сайт также будет в безопасности и защищен от вирусов.
  • Обязательными (но не достаточными) должны быть следующие действия:
    • удаление неиспользуемых программ;
    • деактивация ненужных сервисов и модулей;
    • настройка соответствующих политик для отдельных пользователей и групп пользователей;
    • установка адекватных прав доступа к определенным файлам и директориям;
    • отключение показа файлов и каталогов веб-сервера;
    • ведение журналов событий, регулярно проверяемых на наличие подозрительной активности;
    • использование шифрования и безопасных протоколов.

Вредоносное ПО, предназначенное для заражения веб-сайтов, может стать настоящим кошмаром для веб-администраторов и интернет-пользователей. Киберпреступники непрерывно развивают свои технологии, открывая новые эксплойты. Зловреды стремительно распространяются через интернет, поражая серверы и рабочие станции. Справедливо сказать, что надежного способа полностью устранить данную угрозу не существует. Однако каждый владелец веб-сайта и каждый интернет-пользователь может сделать интернет безопаснее, соблюдая основные правила безопасности и постоянно поддерживая безопасность и чистоту своих веб-сайтов и компьютеров.

ИСТОЧНИК

«Лаборатория Касперского» объявляет о результатах
исследования инфраструктуры командных серверов вредоносной программы
Flame, которая, по мнению экспертов, в настоящее время активно
применяется в качестве кибероружия в ряде ближневосточных государств.
Анализ вредоносной программы, показал, что на момент обнаружения Flame
использовалась для осуществления кибершпионажа, а конфиденциальные
данные, украденные с зараженных компьютеров, пересылались на один из
командных серверов.

Совместно с компаниями GoDaddy и OpenDNS эксперты «Лаборатории
Касперского» смогли перехватить управление большинством
вредоносных доменов, используемых командными серверами Flame. В
результате детального анализа полученной таким образом информации,
эксперты пришли к следующим выводам:
* Командные серверы Flame,
действовавшие в течение нескольких лет, были отключены сразу же после
того, как на прошлой неделе «Лаборатория Касперского»
раскрыла существование вредоносной программы.
* На данный момент
известно более 80 доменов, задействовавшихся для передачи данных на
командные серверы Flame, которые были зарегистрированы в период с 2008
по 2012 гг.
* За последние 4 года командные серверы Flame попеременно
располагались в различных странах мира, включая Гонконг, Турцию,
Германию, Польшу, Малайзию, Латвию, Великобританию и Швейцарию.
* Для
регистрации доменов командных серверов Flame использовались фальшивые
регистрационные данные и различные компании-регистраторы, причем данная
активность началась еще в 2008 году.
* Злоумышленников, использующих
Flame для кражи информации, особенно интересовали офисные документы,
файлы PDF и чертежи AutoCAD.
* Данные, загружаемые на командные
серверы Flame, шифровались с использованием относительно простых
алгоритмов. Украденные документы сжимались при помощи библиотеки Zlib с
открытым исходным кодом и модифицированного алгоритма PPDM-сжатия.

* По предварительным данным, 64-разрядная версия операционной системы
Windows 7, которая ранее уже была рекомендована «Лабораторией
Касперского» как одна из самых безопасных, оказалась не подвержена
заражению Flame.

«Лаборатория Касперского» выражает благодарность Уильяму
МакАртуру (William MacArthur), отделу по борьбе с сетевыми
злоупотреблениями регистратора доменных имен GoDaddy, а также группе
OpenDNS Security Research за оперативный отклик и неоценимую помощь в
проведении расследования.

На прошлой неделе «Лаборатория Касперского» связалась с
центрами реагирования на компьютерные угрозы (CERT) во многих странах и
предоставила им сведения о доменах, используемых командными серверами
Flame, и IP-адресах вредоносных серверов. Руководство «Лаборатории
Касперского» выражает благодарность всем тем, кто принимал участие
в расследовании.

Если вы представляете правительственный CERT и хотите получить больше
информации о серверах Flame, пожалуйста, обращайтесь на адрес
theflame@kaspersky.com.

Полный анализ инфраструктуры командных серверов Flame и технические
детали исследования размещены на сайте http://www.securelist.com/ru/blog.