Поле битвы Web 2.0
Кирилл КУЗНЕЦОВ (Компьютерное обозрение, № 32, 15-21 сентября 2009)
На днях сразу несколько компаний опубликовали исследования в области распространения вредоносных кодов, и выводы, увы, неутешительные. С каждым днем Сеть не становится безопаснее, а число уязвимостей и различных методик, которые используют злоумышленники, только растет.
Согласно последнему отчету IBM X-Force, в первой половине 2009 г. число зарегистрированных вредоносных ссылок увеличилось на 508%, более того, зафиксирован существенный рост вредоносного контента на надежных ресурсах, в частности, на популярных поисковых системах, персональных веб-страницах, онлайновых магазинах, новостных сайтах и пр.
Специалисты IBM отмечают значительный рост атак с помощью веб-приложений с целью кражи либо изменения данных и управления инфицированными ПК. Так, количество SQL-инъекций в I квартале 2009 г. по сравнению с последней четвертью 2008 г. стало больше на 50%, а во II квартале - почти удвоилось.
В первом полугодии нынешнего года зафиксировано 3240 новых уязвимостей, что на 8% превосходит показатель аналогичного периода 2008 г., при этом свыше половины выявленных ранее "дыр" так и не устранили. Кроме того, характерна тенденция более утонченного использования уязвимостей, в том числе обнаруживаемых в PDF.
Во II квартале объем подозрительного и скрытого контента (по данным мониторинга IBM ISS Managed Security Services) вырос почти вдвое в сопоставлении с предыдущими тремя месяцами. Свыше половины нового вредоносного ПО составляют "троянцы" (55%, на 9% больше, чем в 2008 г.), превалирующая часть которых предназначена для кражи данных. Эксперты также отмечают снижение уровня фишинга, при этом 66% таких атак приходится на индустрию финансов (в 2008 г. этот показатель составлял 90%), а 31% - на системы онлайновых платежей.
Исследование "Лаборатории Касперского" "Второй квартал 2009: поле битвы Web 2.0" показывает все большую привлекательность социальных сетей для атак хакеров - согласно статистике компании, через них вредоносный код распространяется в десять раз эффективнее, чем по электронной почте.
Популярные ресурсы, такие как Twitter, Facebook, MySpace, Vkontakte, Orkut и Odnoklassniki, ежедневно подвергаются атакам фишеров и хакеров. Применяемая ими схема чаще всего проста: с зараженного компьютера одного из "друзей" пользователя приходит сообщение, в котором есть ссылка на внешний ресурс. Это может быть фишинг, попытка заражения или же обычное мошенничество.
Компания "Доктор Веб" также отмечает, что в центре внимания разработчиков вирусов остаются и зарубежные социальные сети. Киберпреступники придумывают новые, более изощренные схемы их использования. Пример тому - управление бот-сетью через RSS-поток от Twitter-аккаунта.
Кроме того, специалисты "Доктор Веб" обращают внимание на то, что давно известное семейство вирусов Win32.HLLW.Facebook в августе 2009 г. предложило пользователям "поработать" на киберпреступников весьма изощренным образом. В последних версиях этого "червя" появился любопытный модуль Win32.HLLW.Facebook.194, который осуществляет подбор captcha усилиями зараженного ПК. Задача этого модуля - заставить ввести "правильную" комбинацию символов и отправить введенный результат на сервер злоумышленников. После того как задание на введение captcha получено с удаленного сервера, на зараженном компьютере всплывает окно с полем ввода, причем работа системы в этот момент блокируется. Благодаря действиям обманутого пользователя киберпреступники получают возможность создавать аккаунты на различных веб-сервисах с целью рассылки спама и новых фишинговых сообщений.
Масштабы ботнетов, по мнению аналитиков "Лаборатории Касперского", также продолжают расти. Появляются новые семейства вредоносных программ такого типа, как botclients. Зомби-сеть, управляемая с помощью "червя" Kido, остается самым большим ботнетом в мире, хотя с середины апреля шум вокруг нее улегся. Сейчас ее лавинообразный рост замедлился, и количество компьютеров в ней стабилизировалось. Очевидно, злоумышленники поняли, что такая огромная сеть неизбежно окажется под пристальным вниманием специалистов по интернет-безопасности, и затаились.
Также, по наблюдениям "Лаборатории Касперского", разработчики вирусов во II квартале активно прибегли к drive-by загрузкам. Суть технологии в том, чтобы при посещении пользователем легитимного взломанного сайта незаметно загрузить на его компьютер вредоносную программу. Количество зараженных страниц исчисляется тысячами, и это не может не настораживать. Для проведения успешных drive-by-атак требуются эффективные образцы вредоносного кода, и их роль (как и стоимость), в течение года, очевидно, будет расти.
А вот в России, по данным "Лаборатории Касперского", все более популярным у мошенников становится получение от пользователей денег с помощью коротких сообщений, отправленных на премиум-номера. В этом квартале такую схему применяли два представителя вида Trojan-Ransom: Blocker и Smser.
Что касается распространенных у злоумышленников операционных систем, то здесь первенство традиционно удерживают Windows-платформы. Однако во II квартале 2009 г. появилось 48 новых вредоносных программ и для *nix-платформ.
Серьезная проблема безопасности ИТ-систем уязвимости в компьютерных приложениях. Во II квартале семь из десяти самых заметных были обнаружены в продуктах компании Microsoft. Такие уязвимости дают возможность злоумышленнику получить доступ с правами пользователя к системе, что позволяет запускать на компьютере-жертве необходимый преступнику программный код с почти неограниченной функциональностью (чаще всего они используются в браузерах и сетевых службах).
Среди интересных находок августа "Доктор Веб" отмечает появление "троянской" программы-концепта Trojan.SkypeSpy, цель которой - захват аудио-потока из популярной программы Skype. При этом перехваченные переговоры записываются непосредственно в MP3-файл. Исходные коды Trojan.SkypeSpy стали достоянием общественности, что может повлечь за собой создание множества новых модификаций этого "черьвя". Наблюдатели предполагают, что их распространение будет иметь скорее локальный характер, поскольку коммерчески выгодным является прослушивание переговоров в бизнес-среде с целью шпионажа, а не повсеместная "слежка" за пользователями Skype.
А вот смартфоны как платформа для распространения зловредного кода на удивление все еще остаются относительно не освоенными злоумышленниками. В третьей части обзора "Мобильная вирусология", опубликованного "Лабораторией Касперского", подчеркивается, что из-за отсутствия лидирующей ОС создатели вредоносных программ для мобильных устройств столкнулись с невозможностью проведения масштабных атак на большинство телефонов и смартфонов. Это привело к реализации в мобильных угрозах технологий, обеспечивающих их кроссплатформенность.
В частности, широкое применение в мобильных вредоносных программах нашла технология Java 2 Micro Edition (J2ME), обеспечивающая функциональность платформенно-независимого языка Java в мобильных устройствах. Вредоносные программы на J2ME вышли на второе место по доле среди всех детектируемых "Лабораторией Касперского" объектов - 35%, уступив пальму первенства только Symbian, на которую приходится 49%
