21-23 апреля 2010 г. РИФ+КИБ 2010, Лесные дали Основные тенденции развития вредоносного ПО в 2009 году (ботнет сети, фишинг, спам) Андрей Ярных Начальник отдела интернет-решений

РИФ+КИБ 2010, Лесные дали Глобальные тенденции Определились лидеры 2009 г. Китай - лидер в создании вредоносного ПО Определились лидеры 2009 г. Китай - лидер в создании вредоносного ПО Россия - «Законодатель моды», новые технологии Ботнет сети совершенствуются 'Индивидуальное' заражение пользователей взломанных сайтов Ботнет сети совершенствуются 'Индивидуальное' заражение пользователей взломанных сайтов Использование технологии постоянной миграции серверов Мода на альтернативные OS Мода на альтернативные OS эффективность распространения вредоносного кода в социальных сетях составляет около 10%,

РИФ+КИБ 2010, Лесные дали Зараженные интернет сайты МестоСтрана Количество атак Процент от общего числа атак 1CHINA ,990% 2UNITED STATES ,871% 3NETHERLANDS ,244% 4GERMANY ,899% 5RUSSIAN FEDERATION ,788% 6LATVIA ,573% 7UNITED KINGDOM ,161% 8UKRAINE ,990% 9CANADA ,600% 10ISRAEL ,494% Почти 80% всех вредоносных программ и эксплойтов, действие которых было заблокировано в момент проникновения на компьютеры наших пользователей, находились именно на китайских серверах. 70% новых вредоносных программ имеют китайское происхождение

РИФ+КИБ 2010, Лесные дали Зараженные интернет сайты Данные за сентябрь 2009 г. Лаборатория Касперского Тройка стран, на территории которых обнаружено больше всего вредоносных URLs Первое место – Канада. Более 21% вредоносных ссылок от «общемировых запасов». Второе – США – 16%. Третье – Китай – 15% Тройка стран, на территории которых обнаружено больше всего сайтов, распространяющих вредоносные объекты Первое место – Китай – 26% от числа вредоносных сайтов во всем мире. Второе – США – 18%. Третье – Россия с – 12% Вредоносный сайт, от которого пострадало больше всего посетителей langlangXXX.com – 1,62% фактов заражения компьютеров от общего числа заражений по всему миру. Это китайский портал с порнографическими материалами.

РИФ+КИБ 2010, Лесные дали Зараженные компьютеры По итогам работы KSN в 2009 году: компьютеры жителей 215 стран и регионов мира подвергались угрозе заражения раз. Самые маленькие и отдаленные (Микронезия – 15 атак, Кирибати – 2 атаки, Каймановы острова – 13 атак) МестоСтрана Количество атак Процент от общего числа атак 1CHINA ,665% 2EGYPT ,267% 3TURKEY ,996% 4INDIA ,025% 5UNITED STATES ,759% 6VIETNAM ,464% 7RUSSIAN FEDERATION ,417% 8MEXICO ,302% 9SAUDI ARABIA ,213% 10GERMANY ,069%

РИФ+КИБ 2010, Лесные дали Зараженные компьютеры пять стран, с веб-серверов которых вредоносный контент распространялся наиболее активно. Источник: «Лаборатория Касперского» СтранаРегион Среднее число уникальных зловредов на одного пользователя Изменение позиции в рейтинге 1Канада Северная Америка 2,03+1 2ВеликобританияЕвропа1,92+1 3МалайзияАзия1,82new 4РоссияЕвропа1,68- 5КитайАзия1,51-

РИФ+КИБ 2010, Лесные дали Веб-атака – загрузка и установка вредоносного ПО с заражённого веб-сайта без ведома пользователя. Развитие методов доставки вредоносного ПО Данные ScanSafe 74% всего обнаруженного вредоносного ПО, было размещено на зараженных веб-сайтах Веб атаки

РИФ+КИБ 2010, Лесные дали Масштабы проблемы 1,3% поисковых запросов в Google дает по меньшей мере один URL- адрес, помеченный как «опасный» на странице результатов поиска Результаты поисков, содержащих вредоносный URL Данные Google Anti-Malware Team Объекты заражения специальные вредоносные сайты законопослушные сайты-жертвы

РИФ+КИБ 2010, Лесные дали Почему веб? Веб-атака – наиболее незаметный и эффективный способ заражения пользователя Транспортная среда вредоносного ПО развивается вместе со способами передачи информации Заражённые файлы рассылкиСетевые червиВеб-атаки

РИФ+КИБ 2010, Лесные дали MPack HTML IE, Opera … Trojan PSW Passwords

РИФ+КИБ 2010, Лесные дали Механизм создания ботнетсети Самыми популярными являются следующие уязвимости: CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE

РИФ+КИБ 2010, Лесные дали Механизм создания ботнетсети 1. Вирусописатель – заражение компьютеров пользователей с помощью троянский программ. 2. Объединение компьютеров в бот-нет сеть с единым управлением 3. Продажа или «аренда» машинного времени ботнет сети. 4. Использование централизованного управления, передача зловредной деятельности на зомби компьютеры. 5. Рассылка спама, Ddos атака, расширение ботнет сети (рассылка вирусов). Источник:

РИФ+КИБ 2010, Лесные дали Структура ботнета Схема работы буткита с серверами

РИФ+КИБ 2010, Лесные дали Технология веб-атаки - заражение сайта Внедрение в код веб-страниц вызова вредоносного ПО с внешнего ресурса Примеры: Сайт стадиона Miamis Dolphin Сайт Bank of India Сайт Альфастрахования Сайт Минсвязи Бразилии Баннерообменная сеть utro.ru …

РИФ+КИБ 2010, Лесные дали Инструменты заражения Инструментарий, использующий уязвимости QuickTime, Adobe Flash Player, Adobe Reader, RealPlayer, WinZip и пр. ПО, свободно продаётся в Интернет Злоумышленники приобретают набор эксплойтов и размещают его на вредоносном сервере…

РИФ+КИБ 2010, Лесные дали Зараженные интернет сайты Социальная инженерия. Например, атакующий присылает по электронной почте письмо, содержащее ссылку на интересный ресурс. Вот пример такого письма: В вышеприведенном письме ссылка на YouTube – просто приманка, которая ведет к странице video missing («видео отсутствует»). Однако в HREF-ссылке указан IP-адрес другого сайта. Вот что видит пользователь, когда заходит на указанный сайт Ссылка click here указывает на исполняемый файл video.exe, вариант червя Zhelatin, также известного под именем Storm.Zhelatin

РИФ+КИБ 2010, Лесные дали Экономика ботнетов Требование скачать программу для просмотра файла

РИФ+КИБ 2010, Лесные дали Экономика ботнетов Требование скачать программу для просмотра файла

РИФ+КИБ 2010, Лесные дали Экономика ботнетов Установка программ на компьютеры пользователей разных стран оплачивается фирмами по-разному. Например, за установку вредоносной программы на тысячу компьютеров в Китае в среднем платят 3 доллара, а в USA 120 долларов. Это вполне объяснимо, ведь у пользователей развитых стран можно украсть куда более ценную, точнее более «денежную», информацию. Стоимость украденных персональных данных напрямую зависит от страны, в которойживет их законный владелец. Например, полные данные жителей США стоят 5-8 долларов. На черном рынке особенно ценятся данные жителей Евросоюза они стоят в два-три раза дороже данных жителей США и Канады. Это можно объяснить тем, что такими данными преступники могут пользоваться в любой стране, входящей в ЕС. В среднем по миру цена полного пакета данных об одном человеке составляет порядка $7.

РИФ+КИБ 2010, Лесные дали Уязвимости в приложениях Распределение уязвимостей по компаниям-производителям уязвимых приложений Рейтинг наиболее уязвимых программ 1.Adobe Flash Player 2.Real Player 3.Adobe Acrobat Reader 4.Microsoft Office

РИФ+КИБ 2010, Лесные дали Атаки на социальные сети Почему уязвимы социальные сети Почему уязвимы социальные сети между пользователями социальной сети устанавливаются доверительные отношения между пользователями социальной сети устанавливаются доверительные отношения социальные сети плохо защищены социальные сети плохо защищены Схема распространения вредоносных программ Схема распространения вредоносных программ Пользователь получает ссылку от своего доверенного контакта – например, на видеоролик Пользователь получает ссылку от своего доверенного контакта – например, на видеоролик. Для просмотра ролика требуется установить специальную программу Для просмотра ролика требуется установить специальную программу После установки эта программа ворует учетную запись и продолжает рассылку вредоносной программы доверенным контактам новой жертвы. После установки эта программа ворует учетную запись и продолжает рассылку вредоносной программы доверенным контактам новой жертвы.

РИФ+КИБ 2010, Лесные дали Атаки на игровые сервисы В 2008 году ситуация, к сожалению, ухудшилась: за год нами было обнаружено новых игровых троянцев – эта цифра втрое превышает аналогичные показатели 2007 года (32 374).

РИФ+КИБ 2010, Лесные дали Атаки на игровые сервисы В 2009 году для распространения вредоносных программ, ворующих пароли к онлайн-играм, злоумышленники стали активно использовать: В 2009 году для распространения вредоносных программ, ворующих пароли к онлайн-играм, злоумышленники стали активно использовать: неизвестные уязвимости движков веб-ресурсов для массового заражения сайтов; неизвестные уязвимости движков веб-ресурсов для массового заражения сайтов; неизвестные уязвимости клиентского ПО; неизвестные уязвимости клиентского ПО; обновление вредоносного кода чаще регулярных обновлений антивирусных баз на компьютерах пользователей; обновление вредоносного кода чаще регулярных обновлений антивирусных баз на компьютерах пользователей; спам-рассылки писем, содержащих ссылки на зараженные страницы. спам-рассылки писем, содержащих ссылки на зараженные страницы.

РИФ+КИБ 2010, Лесные дали Любимые хостинги вирусописателей Просмотрев список наиболее популярных доменов второго уровня, мы довольно быстро обнаружили причину, по которой они попали в TOP 10: все провайдеры, которым принадлежат эти домены, предоставляют услугу, известную как DDNS (Dynamic Domain Name System). Злоумышленникам такой сервис позволяет быстро и легко регистрировать новое доменное имя, сохраняя анонимность, а также в любое время быстро менять DNS-информацию об используемом сервере. Домен 3322.org принадлежит крупному китайскому проекту cn99.com, число пользователей которого превышает 35 миллионов человек. Популярность cn99.com в Китае обусловлена тем, что он бесплатно предоставляет почтовый аккаунт и доменное имя третьего уровня.

РИФ+КИБ 2010, Лесные дали Любимые хостинги вирусописателей СтранаРегион Доля вредоносных хостингов Изменение доли во втором квартале Изменение позиции в рейтинге 1КитайАзия19,43%+0,73%- 2РоссияЕвропа17,35%+1,62%- 3США Северная Америка 13,13%-1,35%- 4ГерманияЕвропа8,06%+0,47%- 5Бразилия Южная Америка 5,45%+1,65%+3 Страны, на ресурсах которых размещены вредоносные программы На эту пятерку приходится 63,43% всех выявленных вредоносных хостингов. пять самых популярных стран, где на хостингах размещается вредоносное ПО. Источник: «Лаборатория Касперского»

РИФ+КИБ 2010, Лесные дали Мода на альтернативные OS Операционные системы Всего Backdoors, Hacktools, Exploits & Rootkits Вирусы и черви Трояны Linux (50%)136 (7%)88 (5%) FreeBSD4333 (77%)10 (23%)0 (0%) Sun Solaris11999 (83%)17 (15%)3 (2%) Unix21276 (36%)118 (56%)3 (1%) OSX4814 (29%)9 (19%)11 (23%) Windows (22%)40188 (2%) (55%) Вредоносные программы для Unix-подобных систем имеют совсем другие цели. Они остаются незамеченными и крадут данные о кредитных картах из интернет-магазинов или пароли пользователей. Чаще всего для атаки используются не троянцы, а известные уязвимости серверных сервисов.

РИФ+КИБ 2010, Лесные дали Спам, Особенности месяца Доля спама в почтовом трафике по сравнению с августом увеличилась на 1,2% и составила в среднем 86,3%. Ссылки на фишинговые сайты находились в 0,84% всех электронных писем, что на 0,25%, меньше чем в августе. Вредоносные файлы содержались в 1,22% электронных сообщений, что на 1,17% больше, чем в прошлом месяце. Доля саморекламы спамеров продолжает уменьшаться. Для обхода антиспам фильтров спамеры вставляли в электронные адреса лишние цифры, которые пользователь должен был самостоятельно из них убрать.

РИФ+КИБ 2010, Лесные дали Доля спама в Рунете в сентябре 2009

РИФ+КИБ 2010, Лесные дали Тенденции 2009 года Malware 2.5 На смену концепции Malware 2.0 приходит новая. Концепция функционирования гигантских распределенных систем-ботнетов, придуманная русскоязычными хакерами и реализованная во вредоносных программах Rustock.C, Sinowal (буткит) и нескольких других, продемонстрировала свою высокую эффективность и надежность. Отсутствие стационарного центра управления ботнетом – так называемый «мигрирующий ботнет» Отсутствие стационарного центра управления ботнетом – так называемый «мигрирующий ботнет» Использование стойких криптографических алгоритмов при взаимодействии между C&C и машинами в ботнете. Использование стойких криптографических алгоритмов при взаимодействии между C&C и машинами в ботнете. Использование универсальных центров управления для разных ботнетов. Развитие идеи «универсального кода», реализованной во вредоносной программе Zbot Использование универсальных центров управления для разных ботнетов. Развитие идеи «универсального кода», реализованной во вредоносной программе Zbot

РИФ+КИБ 2010, Лесные дали Тенденции 2009 года Фишинг/мошенничество Конкуренция среди фишеров растет. Для обмана пользователей простейшей подделки сайта банка будет уже недостаточно – атаки стали более изощренными и интенсивными. Конкуренция среди фишеров растет. Для обмана пользователей простейшей подделки сайта банка будет уже недостаточно – атаки стали более изощренными и интенсивными. Снижение активности игровых троянцев Доход мал, конкуренция велика, антивирусные компании научились справляться с гигантскими объемами игровых вредоносных программ, пользователи увеличили свой образовательный уровень, игровые компании приняли ряд мер по пресечению незаконных операций с украденными аккаунтами и игровыми ценностями… Доход мал, конкуренция велика, антивирусные компании научились справляться с гигантскими объемами игровых вредоносных программ, пользователи увеличили свой образовательный уровень, игровые компании приняли ряд мер по пресечению незаконных операций с украденными аккаунтами и игровыми ценностями…

РИФ+КИБ 2010, Лесные дали Вопросы?

Спасибо за внимание!

РИФ+КИБ 2010, Лесные дали Атаки на социальные сети Миграция пользовательских данных с персонального компьютера в Сеть Миграция пользовательских данных с персонального компьютера в Сеть Использование одного аккаунта для нескольких разных сервисов Использование одного аккаунта для нескольких разных сервисов Детальная информация о пользователе Детальная информация о пользователе Информация о его связях, контактах и знакомых Информация о его связях, контактах и знакомых Место для публикации чего угодно Место для публикации чего угодно Доверительные отношения между контактами Доверительные отношения между контактами

РИФ+КИБ 2010, Лесные дали Количество вредоносных программ атакующих пользователей социальных сетей В конце 2008 года в коллекции «Лаборатории Касперского» содержалось более вредоносных файлов, так или иначе связанных с различными социальными сетями.

РИФ+КИБ 2010, Лесные дали Количество вредоносных программ Согласно прогнозам компаний RelevantView и eVOC Insights, количество пользователей социальных сетей в 2009 году достигнет 80% от числа всех пользователей интернета и составит более миллиарда человек.

РИФ+КИБ 2010, Лесные дали Опасность в социальной сети Пользователи социальных сетей становятся жертвами вредоносных программ различных поведений. Это могут быть Trojan-Spy, Trojan-PSW, Worm, Trojan и многие другие. Социальная сеть Количество вредоносных программ за 2008 год Количество зарегистрированных пользователей социальной сети Шанс заражения одного пользователя Географическое положение наибольшего числа зарегистрированных пользователей (Источник: lemonde.fr) Odnoklassniki ,0150%Россия Orkut ,0089%Латинская Америка Bebo ,0059%Европа Livejournal ,0047%Россия Friendster ,0032% Азиаткий- Тихоокианский регион Myspace ,0030%Северная Америка Facebook ,0026%Северная Америка Cyworld ,0015%Южная Корея Skyblog ,0013%Франция