Анализ тенденций эволюции информационных угроз в первом квартале 2005 г., проведенный ведущей антивирусной компанией «Лабораторией Касперского»

Почему уже год как нет крупных эпидемий почтовых червей? Что скрывается за сегодняшними червями для ICQ, AOL и MSN Messenger? Чем обусловлен взрывной количественный и качественный рост фишинг-атак? Что такое Adware и Spyware, и почему о них так много говорят в последнее время? Проблема ботнетов Термин «ботнет» в настоящее время применяется к любой компьютерной сети, централизованно управляемой злоумышленником. Данная проблема существует уже несколько лет: первые крупные сети из зараженных компьютеров появились на «черном рынке» андеграунда в 2002 г. С ростом числа подключенных к Интернету пользователей и обнаружением новых критических уязвимостей в Windows количество объединенных в ботнеты машин начало расти в арифметической прогрессии. Изначально зараженные компьютеры соединялись с каким-либо IRC-каналом и получали команды от автора при помощи IRC. Подобный способ управления и сейчас остается самым популярным. Его используют наиболее многочисленные представители семейств ботов — Agobot, Rbot, SdBot. Все они используют для проникновения в систему различные уязвимости в операционной системе Windows. Вторым значительным «вкладом» в дело создания «зомби-сетей» стал почтовый червь Mydoom, обнаруженный в январе 2004 г. Он позволял злоумышленнику получить полный доступ к системе и мог загружать из Интернета и запускать на исполнение произвольные файлы. Также были созданы специальные программы-сканеры, позволяющие злоумышленнику просканировать ряд адресов в сети на наличие бэкдора от Mydoom и передать ему любой файл на исполнение. Зараженные компьютеры могли переходить «из рук в руки» несколько раз в день, рано или поздно становясь одним из участников какого-либо ботнета. Третьим фактором развития ботнетов стала обнаруженная в апреле 2004 года критическая уязвимость Windows, на этот раз — в службе LSASS. В настоящее время по оценкам ряда специалистов IT-безопасности число компьютеров, входящих в какой-либо ботнет, каждый месяц увеличивается на 300-350 тысяч, а общее количество «зомби-машин» составляет несколько миллионов. Все они используются киберпреступниками с целью получения финансовой выгоды — через них рассылается спам, организуются DoS-атаки с целью последующего вымогательства денег, через них же рассылаются новые версии вредоносных программ. Именно ботнеты представляют сейчас главную проблему и угрозу безопасности пользователей Интернета. Фактически, они являются требующей постоянного расширения и обновления питательной средой, в которой возникают все новые вирусные эпидемии. Решение проблемы ботнетов должно стать основным приоритетом IT-индустрии на ближайшее время. От ее успешного устранения напрямую зависит и будущее Интернета. Социальная инженерия Методика введения пользователя в заблуждение путем сообщения ему важных для него данных, оказывающихся на самом деле ложными, в настоящее время испытывает очередной виток своего развития. Новых приемов пока не открыто, зато старые и давно испытанные используются в ужасающих масштабах. Одним из наиболее ярких примеров подобной методики являются фишинг-атаки. Фишинг — вид онлайнового мошенничества, цель которого — получить идентификационные данные пользователей. Организаторы фишинг-атак рассылают электронные письма от имени популярных брендов и вставляют в них ссылки на фальшивые сайты. Оказавшись на таком сайте, пользователь рискует сообщить преступникам важную персональную информацию, например, номер своей кредитной карты. Согласно исследованию Антифишинговой рабочей группы (APWG), в январе организаторы фишинг-атак отправили 12845 уникальных писем с призывами посетить 2560 сайтов. Таким образом, активность онлайн-мошенников возросла на 47% по сравнению с декабрем 2004 года (обнаружено 1740 фальшивых сайтов) и почти в два раза по сравнению с октябрем 2004 года (обнаружено 1186 фальшивых сайтов). Число писем с призывами посетить фальшивые сайты по сравнению с декабрем 2004 года возросло на 42%. Наибольшей угрозе подвергаются пользователи самых распространенных банковских и платежных систем — Citibank, Ebay, Paypal, E-Gold, US Bank, WAMU и т.д. Все подобные атаки производятся при помощи ботнетов, через которые рассылаются данные письма. Кроме того, через них постоянно рассылаются различные троянские программы, предназначенные для кражи банковских реквизитов пользователей. Наибольшую активность в этом проявляют бразильские киберпреступники. Троянские программы, нацеленные на кражу данных пользователей бразильских банков, составляют самую многочисленную группу среди подобных вредоносных программ. Вниманием к теме Spyware также воспользовался ряд производителей Adware-программ, не говоря уже об откровенных мошенниках. Еще одна грань применяемого сегодня вирусописателями социального инжиниринга — повышенное, искусственно раздутое внимание СМИ и IT-индустрии к проблеме Spyware (шпионских программ). С выпуском компанией Microsoft бесплатной утилиты AntiSpyware моментально появилось несколько вредоносных программ, выдающих себя за «новую улучшенную версию» MS AntiSpyware. Вниманием к теме Spyware также воспользовался ряд производителей Adware-программ, не говоря уже об откровенных мошенниках. «Лабораторией Касперского» отмечен значительный рост спам-рассылок, осуществляемых при помощи системного сервиса Windows «Служба сообщений» (Messenger). Этот вид спама доставляется на компьютер с использованием особенности в работе протокола сервиса Messenger и выглядит, как обычные окна системных сообщений. В таком сообщении, как правило, утверждается, что на компьютере обнаружено множество различных программ класса Spyware и настоятельно рекомендуется посетить какой-либо сайт и скачать антишпионскую утилиту. На самом деле, загружаемые с подобных сайтов программы либо сами являются троянцами, либо просто имитируют видимость работы, не обнаруживая и не удаляя никакие Adware/Spyware-программы. Не остаются незамеченными преступниками и происходящие в мире трагедии. Декабрьское цунами в Юго-Восточной Азии, унесшее жизни сотен тысяч людей, в руках вирусописателей стало поводом для внедрения вирусов или кражи информации. Были зафиксированы рассылки троянских программ, выдаваемых за «фотографии цунами» или «секретный отчет о числе жертв». Adware и вирусы — грань стерта? Adware, наряду со Spyware, — самый модный термин в IT-безопасности в настоящее время. Мы не будем останавливаться на правовых аспектах проблемы, а также углубляться в идеологические споры на эту тему; вместо этого попробуем сконцентрироваться на не требующих доказательств фактах. Итак, грань между «безобидным» рекламным софтом (Adware) и полноценными вредоносными программами практически стерта. Все больше и больше обнаруживаемых программ этого класса содержат в себе черты троянцев. Это выражается в способе инсталляции в систему (например, при помощи уязвимостей в браузерах) либо в поведении на компьютере пользователя. Эти программы всячески стараются затруднить свое обнаружение и деинсталляцию из системы, они ищут и удаляют программы-конкуренты, сами занимая их место. Они могут содержать модули для сбора и отправки третьим лицам информации о посещаемых сайтах и вводимых владельцем компьютера данных. Грань между «безобидным» рекламным софтом (Adware) и полноценными вредоносными программами практически стерта. 2005 год открыл нам новый вид подобных программ — вирусы. Классические файловые вирусы, заражающие файлы, эпоха которых, казалось, закончилась в прошлом веке, вернулись под видом рекламных программ. Вирус Win32.Bube загружается на компьютер при посещении сайтов, содержащих эксплойты уязвимостей в Internet Explorer или в Microsoft Virtual Machine. После проникновения в систему вирус дописывает свое тело к файлу Explorer.exe и затем использует его для загрузки на компьютер других программ класса Adware. Заражение стандартного Windows Explorer позволяет ему обходить некоторые межсетевые экраны. События первого квартала 2005 года подтвердили ряд прогнозов: в частности, стала очевидной тенденция постепенного отмирания классических почтовых червей. На замену им приходят черви сетевые, а также черви для программ-пейджеров, защищенных гораздо хуже современных почтовых систем. Однако пока на первый план выходят менее важные в прошлом проблемы фишинга, конвергенции вирусов и рекламных программ, борьба с ботнетами и вредоносными программами для мобильных устройств — карманных компьютеров и смартфонов.