Триптих. Начало. Киберугрозы-2011 (часть 3)
Локальные угрозы.
Все статистические данные в этой главе получены на основе работы on-access-scanner.
Детектируемые объекты, обнаруженные на компьютерах пользователей.
В первом квартале 2011 года наши антивирусные решения успешно заблокировали 412 790 509 попыток локального заражения на компьютерах пользователей, участвующих в KSN.
Всего в данных инцидентах было зафиксировано 1 987 044 разных вредоносных и потенциально нежелательных программ. В их число попадают, в частности, объекты, которые проникли на компьютеры не через Web, почту или сетевые порты – например, по локальной сети или через съемные накопители.
ТОП-20 детектируемых объектов, обнаруженных на компьютерах пользователей.
| Место | Название | % уникальных
пользователей* |
| 1 | DangerousObject.Multi.Generic | 29,59 |
| 2 | Trojan.Win32.Generic | 24,70 |
| 3 | Net-Worm.Win32.Kido.ir | 14,72 |
| 4 | Virus.Win32.Sality.aa | 6,43 |
| 5 | Virus.Win32.Sality.bh | 4,70 |
| 6 | Net-Worm.Win32.Kido.ih | 4,68 |
| 7 | Hoax.Win32.Screensaver.b | 4,48 |
| 8 | HackTool.Win32.Kiser.zv | 4,43 |
| 9 | Hoax.Win32.ArchSMS.heur | 4,08 |
| 10 | Worm.Win32.Generic | 3,36 |
| 11 | Trojan.JS.Agent.bhr | 3,32 |
| 12 | AdWare.Win32.HotBar.dh | 3,28 |
| 13 | Packed.Win32.Katusha.o | 2,99 |
| 14 | Hoax.Win32.ArchSMS.pxm | 2,91 |
| 15 | Trojan.Script.Iframer | 2,80 |
| 16 | Worm.Win32.FlyStudio.cu | 2,74 |
| 17 | HackTool.Win32.Kiser.il | 2,50 |
| 18 | Trojan-Downloader.Win32.Geral.cnh | 2,11 |
| 19 | Trojan-Downloader.Win32.VB.eql | 2,04 |
| 20 | Trojan.Win32.Starter.yy | 1,95 |
Данная статистика представляет собой детектирующие вердикты модуля антивируса, которые были предоставлены пользователями продуктов ЛК, подтвердившими свое согласие на передачу статистических данных.
* Процент уникальных пользователей, на компьютерах которых антивирус детектировал данный объект, от всех уникальных пользователей продуктов ЛК, у которых происходило срабатывание антивируса.
Первое место в рейтинге занимают различные вредоносные программы, задетектированные с помощью "облачных" технологий. Эти технологии работают, когда в антивирусных базах еще нет ни сигнатуры, ни эвристики для детектирования вредоносной программы, зато у антивирусной компании "в облаке" уже есть информация об объекте. В этом случае детектируемому объекту присваивается имя DangerousObject.Multi.Genric.
С 3-го по 6-е место в рейтинге заняли модификации известных не первый год вредоносных программ Net-Worm.Win32.Kido и Virus.Win32.Sality. Эффективные методы самораспространения, применяемые этими вредоносными программами, привели к тому, что однажды активированный механизм заражения компьютеров продолжает действовать долгое время после выпуска зловредов в "дикую природу". Судя по сложившейся ситуации, эти вредоносные программы по количеству зараженных машин еще долгое время будут оставаться в лидерах.
В этот рейтинг, как и в рейтинг по интернет-угрозам, попали описанные выше мошеннические программы, детектируемые продуктами "Лаборатории Касперского" как Hoax.Win32.ArchSMS (9-е и 14-е места).
Страны, в которых компьютеры пользователей подвергались наибольшему риску локального заражения.
В разных странах мы посчитали процент пользователей KSN, на компьютерах которых были заблокированы попытки локального заражения. Полученные цифры отражают среднюю зараженность компьютеров в той или иной стране мира.
ТОП-10 стран по уровню зараженности компьютеров.
| Место | Страна* | % уникальных
пользователей** |
| 1 | Судан | 69,86 |
| 2 | Бангладеш | 64,33 |
| 3 | Ирак | 62,15 |
| 4 | Руанда | 57,28 |
| 5 | Непал | 55,85 |
| 6 | Танзания | 55,11 |
| 7 | Афганистан | 54,78 |
| 8 | Ангола | 53,63 |
| 9 | Уганда | 53,48 |
| 10 | Оман | 53,16 |
* При расчетах мы исключили страны, в которых число пользователей ЛК относительно мало (меньше 10 тыс.).
** Процент уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы, от всех уникальных пользователей продуктов ЛК в стране.
В десятку стран, в которых пользовательские компьютеры подвергаются наибольшему риску локального заражения, вошли исключительно страны Азии и Африки. Уровень компьютеризации в этих регионах растет стремительно. Увы, за этим ростом не поспевает уровень компьютерной грамотности населения, чем и обусловлены высокие показатели зараженности компьютеров пользователей – более 50%. Например, в Судане (1-е место в рейтинге) вредоносные программы были обнаружены на двух из каждых трех компьютеров, подключенных к KSN. Напомним, что эта страна занимает также десятую строчку рейтинга стран по риску заражения компьютеров через интернет.
В случае с локальными заражениями мы можем сгруппировать все страны по уровню зараженности:
- Максимальный уровень заражения (более 60%): Судан, Бенгладеш и Ирак.
- Высокий уровень заражения (41-60%): 48 стран мира, в том числе Индия, Индонезия, Филлипины, Тайланд, Россия, Украина, Казахстан.
- Средний уровень заражения (21-40%): 55 стран, в том числе Китай, Бразилия, Эквадор, Аргентина, Турция, Испания, Португалия, Польша.
- Наименьший уровень заражения: 24 страны мира.
ТОП-5 самых безопасных по уровню локального заражения стран.
| Место | Страна | % уникальных
пользователей |
| 1 | Япония | 6,30 |
| 2 | Германия | 9,20 |
| 3 | Швейцария | 9,60 |
| 4 | Люксембург | 10,20 |
| 5 | Дания | 11,10 |
Интересный факт – вторая и третья группы большей частью состоят из развивающихся стран, в то время как четвертая группа состоит, в основном, из развитых стран мира, таких как Австрия, Англия, Германия, США, Франция и Япония.
Уязвимости.
В первом квартале 2011 года на компьютерах пользователей было обнаружено 28 752 203 уязвимых приложений и файлов.
ТОП-10 уязвимостей, обнаруженных на компьютерах пользователей.
| № | Secunia ID (уникаль-
ный иденти-
фикатор
уязвимости) | Название уязвимости и ссылка на ее описание | Возможности, к-ые дает использование уязвимости злоумыш-
ленникам | % поль-
зователей, у к-ых была обнару-
жена уязви-
мость | Дата публи-
кации |
| 1 | SA 38805 | Adobe Reader / Acrobat SING "uniqueName" Buffer Overflow Vulnerability | "Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя" | 40,78 | 08.09.2010 |
| 2 | SA 37255 | Adobe Flash Player Multiple Vulnerabilities | "Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя Exposure of sensitive information обход системы безопасности" | 31,32 | 28.10.2010 |
| 3 | SA 35377 | Adobe Flash Player Multiple Vulnerabilities | "Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя" | 24,23 | 09.02.2011 |
| 4 | SA 38547 | Sun Java JDK / JRE / SDK Multiple Vulnerabilities | "Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя DoS Exposure of sensitive information Manipulation of Data" | 23,71 | 28.10.2010 |
| 5 | SA 31744 | Sun Java JDK / JRE / SDK Multiple Vulnerabilities | "Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя DoS Exposure of sensitive information Manipulation of Data Обход системы безопасности" | 21,62 | 13.10.2010 |
| 6 | SA 34572 | Apple QuickTime Multiple Vulnerabilities | "Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя Exposure of sensitive information Manipulation of Data" | 12,16 | 11.11.2010 |
| 7 | SA 39272 | Winamp MIDI Timestamp Parsing Buffer Overflow Vulnerability | "Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя" | 9,40 | 07.12.2011 |
| 8 | SA 29320 | Microsoft Office OneNote URI Handling Vulnerability | "Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя" | 9,05 | 09.01.2007 |
| 9 | SA 39375 | Adobe Shockwave Player Multiple Vulnerabilities | "Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя" | 8,78 | 03.11.2010 |
| 10 | SA 37690 | Adobe Reader / Acrobat Multiple Vulnerabilities | "Получение доступа к системе и выполнение произвольного кода с привилегиями локального пользователя XSS" | 8,18 | 14.04.2010 |
На протяжении последнего года большую часть рейтинга составляли уязвимости в продуктах Microsoft. Особенностью рейтинга первого квартала 2011 года стало присутствие в нем всего одной уязвимости в продукте от Microsoft (8-е место). Чаще всего на компьютерах обнаруживались уязвимости в продуктах Adobe, которые заняли 5 строчек рейтинга, включая две первые. 4-е и 5–е места в рейтинге заняли уязвимости в виртуальной машине Java. В ТОП-10 попали и по одной уязвимости в популярных медиа-плеерах Apple QuickTime (6-е место) и Winamp (7-е место).
Все уязвимости, которые попали в ТОП-10, позволяют злоумышленникам получить полный доступ к системе. В принципе, при наличии полного доступа к системе остальные возможности, которые дают уязвимости, уходят далеко на второй план.
Заключение.
Основная тенденция первого квартала 2011 года – увеличение количества атак на различные организации. Причем речь идет не только о традиционных DDoS-атаках, которые на какое-то время выводят из строя сервисы компаний, но и о проникновении на корпоративные серверы с целью кражи информации. Эти последние можно разделить на две большие группы.
Целью атак, входящих в первую группу, является продажа информации, украденной с серверов компаний. Важно учесть, что в результате атак в руки злоумышленников часто попадают персональные данные клиентов пострадавшей организации. Эта информация в дальнейшем может быть использована, в том числе для проведения целевых атак на компании, в которых работают эти самые клиенты.
Вторая группа атак, как правило, носит протестный характер. Такие атаки не связаны с личным обогащением атакующих и, в конечном счете, преследуют одну цель – пошатнуть авторитет атакованной организации и бросить тень на ее репутацию.
По нашим статистическим данным, собранным с компьютеров, входящих в KSN, наибольшему риску заражения – как локального, так и через веб – подвергаются пользователи в развивающихся странах. Причем в случае локального заражения группы максимального риска и высокого риска (40-60%) полностью состоят из развивающихся стран. Уровень компьютеризации в этих странах растет очень быстро, чего нельзя сказать об уровне компьютерной грамотности населения. Однако атакам самых технологичных на сегодняшний день троянцев (TDSS, Sinowal, Zbot и т.п.) подвергаются, в первую очередь, пользователи из развитых стран, таких как СШA, Германия, Англия, Италия, Франция и Испания. Охотников за чужими деньгами интересуют кошельки пользователей именно в этих странах.
По данным IDC, за четвертый квартал 2010 года поставки смартфонов уже превысили поставки персональных компьютеров. На этом фоне растущая популярность Android OS на рынке мобильных устройств вскоре может привести к ситуации, аналогичной той, которая уже сложилась с PC. Преобладание Android OS позволит вирусописателям не распылять свои силы и сосредоточиться на написании зловредов преимущественно для одной платформы.
Актуальность защиты мобильных устройств последнее время очень сильно возросла. При этом наиболее заинтересованными в защите оказываются не столько сами пользователи, сколько их работодатели. Проблема в том, что сотрудники фирм используют личные мобильные устройства для хранения и передачи ценной рабочей информации, не слишком беспокоясь о защите этих устройств.
Активный рост популярности социальных сетей, блогов, торрентов, Youtube и Twitter ведет к изменению цифрового ландшафта. Эти сервисы обеспечивают высокую скорость распространения данных и их доступность в каждом уголке мира. Информации, появляющейся в блогах пользователей, люди зачастую доверяют не меньше, чем официальным СМИ. На популярность такого рода ресурсов уже обратили внимание киберпреступники. Поэтому в дальнейшем стоит ожидать увеличения количества атак через эти сервисы и на эти сервисы.
Автор статьи: Юрий Наместников (эксперт "Лаборатории Касперского")
Secure List (10.05.2011 в 12:36) | вверх страницы | к списку статей
|
|
