В 2006 вредоносное ПО, контролированное организованными криминальными группировками, распространилось по всему миру. Все это в результате привело к огромным убыткам…
В 2006 вредоносное ПО превратилось из домашней забавы для юных энтузиастов в бизнес международной организованной преступности, возглавляемой криминальными группировками. Они зарабатывают огромные деньги: впервые сумма, полученная от использования вредоносного кода (malware), превысила планку $4 млрд — это как раз те объемы, которые ежегодно зарабатывается антивирусной индустрией.
Цепочка причастных к вредоносному ПО включает разработчиков (которые пишут вредоносный код), канал продаж (посредники и сервис-провайдеры, которые являются спонсором разработчиков) и заказчиков (люди, которые рассматривают malware как путь к незаконному обогащению).
В этом года работа кипела в каждом сегменте данного рынка. Огромную активность проявляли заказчики спама и распределенных DoS-атак (denial of service) против казино и другого бизнеса; технологий spyware или фишинга, позволяющих совершить «кражу личности»; а также прибыльного adware-ПО, как части общей схемы.
Спаминг является центральным компонентом этой схемы, поскольку часто является основой для проведения интернет-афер.
Лучше мало, но дорого
Возможно, это звучит удивительно, но в 2006 не было массовых почтовых атак, присущих 2005. В самом деле, червь Nyxem в январе был последним случаем массовой рассылки писем, который мы видели в 2006 году. Но это вовсе не означает снижения активности malware, просто вместо массовых публичных атак мы наблюдали небывалый подъем в области невидимых атак.
Троянский дождь
В ретроспективе за 2005 год, проведенной Clearswift, мы выделили явление под названием Titan Rain, когда множество Троянов, по происхождению, очевидно, с Дальнего Востока, обрушились на западные правительства и высокотехнологичные компании, работающие в оборонной отрасли. Подобный электронный шпионаж значительно вырос в 2006, при этом использовалось участившееся появление эксплойтов в документах нового Microsoft Office.
Поскольку данные трояны проникают ниже радара антивирусной обороны, к этому уровню деятельности трудно получить доступ. Трояны Titan Rain рассылаются по электронной почте в небольшом количестве к реальным получателям, имитируя реальных отправителей.
При запуске, они создают «черный вход» для кражи информации. Они используют технологию руткитов для «заметания следов» и сложную технологию проникновения, которая ставит в тупик брандмауэры. Таким образом, они обычно пробивают защиту большинства целей, имеющих защиту известного качества.
День открытых дверей длиной в 28 суток
По оценкам Symantec, их разработчикам в среднем требуется 31 день, чтобы разработать, протестировать и выпустить патч для уязвимостей, обнаруженных в программе. Эксперты в Clearswift и других компаний знают, что хакеру надо всего три дня, чтобы создать эксплойт. А это значит, что еще остается потенциально 28 дней, когда уязвимость открыта для всех, и такого периода времени достаточно даже для менее профессиональных хакеров.
Технологические особенности
Большинство таких троянов используют уязвимости документов Microsoft Office, к примеру, переполнение буфера, которое в результате приводит к краху приложений (Word, Excel или Powerpoint), так что атакующие могут запустить вредоносный код сразу после этого. Некоторые образцы, которые мы исследовали, достаточно интеллектуальные, чтобы удалить вредоносный код, внедренный в документы Office, заметая таким образом следы своего присутствия. Таинственным образом Word зависает лишь при первом открытии документа, но никогда более.
Однако злоумышленники не ограничиваются исключительно эксплойтами Office. В начале января, через несколько дней после объявления о найденной уязвимости в формате Windows Metafile (WMF), тысячи высокопоставленных чиновников в Британском парламенте получили email-сообщения с присоединенным файлом, который по описанию являлся картой, где было обозначено местонахождение будущей встречи. При открытии файла инсталлировался backdoor-код.
Прочие «знаменитые» трояны 2006 года
В прошлом году трояны доминировали в лиге вредоносного кода. Исследователь по безопасности Джо Стюарт из Secureworks изложил свои наблюдения касательно другого известного Трояна – SpamThru Trojan, его ботнет-сетей (BOTNET =roBOT + NETwork, временно созданная крупная сеть зараженных ПК), спам-активности и самого источника.
В принципе, это не такое уж необычное явление, когда вредоносный код, просочившись в компьютерную систему, пытается удалить в этой системе другую инфекцию. Однако то, как это делает троян SpamThru, заслуживает восхищения! Он загружает на компьютер пиратскую копию приложения Kaspersky Antivirus for Wingate, и удаляет с его помощью любую конкурентную «заразу». Соответствующий отчет отправляется на контрольный сервер.
Боты используют прокси-серверы, чтобы избежать занесения их IP-адресов в черный список anti-spam-сервисами. SpamThru функционирует в качестве системы массового распространения спама. По некоторым оценкам ботнет способен рассылать до миллиарда спам-писем каждый день.
Графический спам на подъеме
Никто не ожидал такого огромного количества графического спама летом 2006 года. Этот спам был построен по достаточно простому принципу — вначале картинка с рекламным текстом на неоднородном фоне, далее следует некая печатная информация случайного содержания в формате plain-text. Однако такая уловка оказалась довольно удачной – OCR-системы спам-фильтров не справлялись с распознаванием данных сообщений, вследствие чего они беспрепятственно попадали в почтовый ящик пользователя
Мультимедиа-файлы
Потенциально, наиболее серьезный вектор угрозы, которая появилась в 2006 — мультимедиа-файлы. Они использовалось в Cross-Site Scripting-атаках на сайты класса Social Network Site, например MySpace. (Cross-Site Scripting — это тип уязвимостей, позволяющий атакующему выполнять произвольный код, например JavaScript, встроив его в свое сообщение на форуме, добавив в качестве аргумента для скрипта на сервере и т. д.).
В октябре 2005 пользователь MySpace, который назвал себя Samy, создал первый Cross-Site Scripting-червь, чтобы добавить себя к списку друзей миллионов пользователей. Это была проделка, которая привела к аннулированию его учетного имени. В июле 2006 MySpace был поражен червем через Macromedia Flash, а в конце ноября — червем, использующим свойство QuickTime, которое позволяет вставлять Java-скрипты в мультимедиа-файлы.
В конце декабря исследователи обнаружили набор открытых параметров PDF, позволяющих сделать так, что любой PDF-документ на любом веб-сайте можно задействовать в атаках cross-site scripting. Для этого надо просто добавив java-скрипт к концу URL-ссылки, указывающей на удаленный (и невиновный) PDF-файл. Атаки этого типа могут быть запущены через HTML-письма или ссылки на веб-странице.
Прогноз на 2007 год: цунами приближается
Если засилье спама в 2006 году можно было сравнить с потопом, то наиболее подходящей аналогией для 2007 будет цунами.
Устойчивый рост ботнетов в слабом месте Интернета — сотнях миллионов уязвимых домашних ПК, подключенных к широкополосному Интернету — гарантируют быстро растущую базу для спам-активности.
Сложность и изощренность графического спама заметно эволюционировала в течение 2006 и будет продолжаться в 2007. Большинство графического спама, который мы видели в прошлом году, было очень простым – однотонный цвет шрифтов с простым фоном. По всей видимости, ситуация станет значительно более запутанной в этом году – мы уже видели образцы графического спама, которые выглядят почти как полотна современной живописи, содержат калейдоскопы шрифтов, волнообразные линии текста и фон с абстрактными многоугольниками или подобием случайных мазков краски.
Активность 2006 года позволяет нам предположить, чего можно ожидать в следующем году. В середине лета мы уже наблюдали серию мощных DHA-атак (Directory Harvesting Attack — метод добычи адресов e-mail, которые могут быть в дальнейшем засыпаны спам-рассылками или использованы мошенниками-фишерами) в среде базы заказчиков Clearswift. Подобная тенденция продолжилась в августе значительным ростом уровня графического спама и началом эпидемии червей семейства Warezov.
В нынешнем году масштабы возрастут
Сайты социальных сетей (Social networking) подвержены атаке более всего. Учитывая, что число пользователей-новичков сегодня превышает 100 миллионов, ресурс MySpace вместе с другими сайтами социальными сетями, такими как YouTube, представляет собой очень привлекательную и легкую цель для вредоносного кода (malware). Эти ресурсы становятся очагом фишинга. Черви становятся характерной чертой таких социальных сетей в 2007 году.
Академическая статья, опубликованная в прошлом году, описывает концепцию скопления червей (Swarm Worm) и свидетельствует о возможной совместной деятельности различных червей. Данное утверждение использует концепцию, разработанную в последнее десятилетие учеными, которые изучают поведение стаи птиц и колоний муравьев.
Концепция говорит, что применение нескольких простых правил связей между ограниченным числом равноправных участников может дать толчок для ‘интеллектуального’ поведения. К сожалению, ученые, которые предложили применить эти принципы к развитию интернет-червей следующего поколения, не представили никакого решения. Криминальные ботнеты, такие как SpamThru, стали фактически криминальными ИT-корпорациями. Остается лишь надеяться, что преступники не будут строить свои структуры на теоретической основе Swarm Worms.
Вирусы для мобилок — эпидемия не предвидится
Объемы вредоносного кода для мобильных устройств в прошлом году линейно росло, однако не достигло критической массы. Поскольку технология продвигалась вперед, благоприятные возможности для мобильного malware также немного увеличились.
Паразиты
Вирусы-паразиты вернулись после долгого отсутствия. В прошлом, это были творения юных энтузиастов, при этом, однако, располагающих высокой технической квалификацией. Спонсоры и авторы текущего malware приближаются к подобному уровню квалификации и могут комплексно использовать возможности, которые имеются у вирусов-паразитов.
