...
...

Угрозы в 2008 году. Что имеем?

На дворе кризис, компании считают каждую копейку (или цент) своих доходов и с ужасом наблюдают за растущим процентом уменьшения прибыли. Однако есть сфера, урезание бюджета которой не просто невозможно, но и может привести к последствиям, куда более разрушительным, чем уменьшение прибыли. Информационная безопасность (ИБ) – то, без чего невозможна работа любой компании, имеющей мало-мальски работающую ИТ-составляющую. Специалисты по ИБ всегда котировались достаточно высоко, так как в этом деле знаний мало, необходим еще и аналитический склад ума, умение быстро реагировать на те или иные ситуации. Сродни хакерам ИБ-шники разбирают все по крупицам. Зачастую это приводит к неожиданным последствиям.

Новый, 2009, год только начался, а уже появились первые ласточки, говорящие о том, что он если и будет отличаться от предыдущего, то, скорее всего, в худшую сторону. Итак, чтобы подвести итоги, сделать для себя какие-то выводы и/или еще больше усвоить некоторые уроки, я предлагаю подвести небольшую черту и рассмотреть итоги 2008 года по развитию угроз в целом, вредоносного ПО, спама и некоторых других более мелких составляющих, являющихся угрозой для ПК. Почему я провел анализ отчетов антивирусных лабораторий только сейчас, а не сразу после их публикаций? Ну так это вполне очевидно, спустя некоторое время после публикации отчета он обрастает комментариями, зачастую весьма интересными, альтернативными материалами, описывающими упущенные моменты в конкретной области. Собрав все это воедино, мы можем получить наиболее полный вариант – всем известно, что информация, полученная из нескольких источников, всегда наиболее точная.

К слову о том, к каким последствиям может привести любознательность хорошего ИБ-шника. Недавно, серфя по ресурсу журнала ][, я наткнулся на статью "Малварь нового поколения: исследование совершенной заразы" под авторством Криса Касперски. Пытаясь понять, можно ли изменить точку входа, он напоролся на некоторые недокументированные способности загрузчика PE-файлов, по которым адрес точки входа при первоначальной загрузке записывается в стек и повторно уже берется оттуда, не обращаясь к оригинальной точке. Естественно, в стеке он может быть изменен.

Написав crackme, используя этот факт, Крис выложил его на OpenRCE, однако сначала работа осталась без внимания. Но через некоторое время неизвестная группа хакеров произвела на свет представителя нового вида malware, который использует как раз такую концепцию. Вся соль ситуации заключается в том, что большинство антивирусных систем курят бамбук в ситуации взаимодействия с этим зловредом. Вот так вот. Очень интересный материал, скажу я вам. Кто заинтересовался и желает узнать подробности, то, пожалуйста, ссылочка сайт .
Также очередной раз определенные круги общественности заговорили о том, что необходима реструктуризация сети Интернет, а возможно — и полная "переделка" и создание кардинально новых стандартов. Дело в том, что в свете последних событий специалисты по ИТ снова задумались о том, что современный Интернет весьма хрупок, и вывести из строя достаточно большой сегмент Сети не составляет никакого труда. Это возникло из-за того, что при создании стандартов Сети все взоры были устремлены на возможности связи, обмена информацией и т.п., тогда и мысли не было, что кто-то когда-то будет проводить атаки на отказ в обслуживании или напишет сетевого червя. И теперь, из-за непродуманной стандартизации, все деньги, которые кидаются на защиту, тратятся в основном на устранение недостатков и т.п.

Это, конечно, косвенно относится к отчету об угрозах 2008, но в будущее стоит заглядывать, говоря о прошлом. Основной опорой нам послужит отчет ЗАО "Лаборатория Касперского". Ладно, не буду ходить вокруг да около – приступим.

Этап глобальных эпидемий прошел – так считают специалисты лаборатории. Начавшийся в 2000 году и имевший пиковое состояние в 2003-2005, он пришел к своему логическому завершению в 2006 году, когда власть перешла к троянцам, относящимся к типу финансового программного обеспечения (если помните, то мы уже вели о них речь в прошлых отчетах). В 2008 году пришла смерть эксклюзивам и начали активно использоваться трои, занимающиеся кражей информации, которой обычно являются банковские реквизиты, пароли или аккаунты к онлайн играм (вот такое вот ярое желание получить раскачанного чара =) ).

В 2008 году "на высоте" был Китай. Китайские хакеры проявляли небывалую активность, что заставило говорить о них много и зачастую небеспричинно. Азиатские "рыцари кода и клавиатуры", кроме написания собственных троянских решений, сконцентрировались на изготовлении китайских релизов хакпакетов, таких как IcePack, FirePack, MPack. К слову, троев они не только писали собственноручно, но и, подобно пакетам хакерских утилит, локализовывали "под местный климат" — так, им удалось поработать над некоторыми вариантами троев Pinch и Zeus.

Также китайские хакеры проявляли невиданную активность в поиске уязвимостей. Главным образом их взгляды были устремлены на наиболее популярное программное обеспечение, естественно, Microsoft Windows и Office. Результатом такой активности стали множество найденных уязвимостей, самой громкой стала уязвимость в NetAPI Windows, последствиями обнаружения которой можно считать резкое увеличение в конце года атак, использующих брешь MS08-067.

Работой китайцев явились и крупные атаки на сайты, которые имели место в Сети. Атаки были одними из самых масштабных во всей истории. Результатом одной, которая проходила в апреле-июне 2008-го, явился взлом более двух миллионов ресурсов в Сети. Использовалась SQL-инъекция, результат – редирект посетителя на вредоносный ресурс.

Ведущими законодателями моды в области вирусописания являются русскоязычные авторы. Из-под их клавиатуры в последнее время стали выходить довольно крупные проекты, которые отличались не цельной структурой вируса, а ее раздробленностью на модули. Взаимодействие модулей носило самый разный характер: от банального до сложного и изощренного. Наиболее яркое подтверждение этих слов можно найти в историях с двумя руткитами – Rustock и Sinowal (Bootkit). Они явились представлением абсолютно новых технологий в вирусостроении, равных которым антивирусные лаборатории еще не встречали. Создавая вокруг себя мощные инфраструктуры, они достигли масштабов червей Желатин и Варезов, которые шли к своим объемам достаточно долгое время…

В прошлом году KasperskyLab прогнозировала возвращение файловых вирусов, что и произошло. Файловики, вооружившись функцией кражи частной информации и функцией распространения через USB Flash Drive, нахлынули на мир, поражая своими скоростями распространения. Кроме того, они практически полностью перешли на полиморфную структуру кода, что ударило по антивирусным системам, существенно усложнив обнаружение. Я не раз стакивался с подобного рода проблемами (типа эпидемии флеш-вирусов) по долгу службы. Подобных зловредов очень трудно контролировать в компаниях с большой инфраструктурой, так как флешка стала де-факто стандартом обмена информацией. Как только мне удавалось подчистить концы одной траектории распространения, как следом возникало еще пару очагов со своими траекториями. Оставив без внимания этот факт буквально на недельку, можно получить чуть ли не 100% зараженности машин – серьезные проблемы, по-моему.

Отдельно можно поговорить о резко возросшей популярности социальных сетей, и как следствие – возросшее внимание к этим же соцсетям со стороны взломщиков. Количество атак на социальные сети и в социальных сетях было очень велико. А использовались они для самых разнообразных вещей: от сбора информации и до распространения вредоносного программного обеспечения и реализации фишинг-систем.

Логический конец пришел двухлетней истории с червем Zhelatin (Storm Worm), которого так все боялись. Ботнет, по прогнозам составляющий около 2 млн машин, так и не явил свою мощь миру. Скорее всего, это произошло из-за закрытия крупнейшего хакхостинга RBN (Russian Business Network). После того, как владельцы хостинга почуяли неладное, они предпочли разбить RBN на множество мелких хостинг-центров по всему миру и заниматься своими черными делишками более скрытно. Но заткнуть эту рассыпанную горстку хостингов оказалось еще проще, чем сам RBN, что и последовало. После закрытия было зафиксировано существенное падение уровня спама в Сети – около 50%. Конечно, уровень довольно быстро вернулся на прежнее место, но победа безусловно была и, пожалуй, одна из самых крупных за последнее время.

Наиболее важными темами, которые были у всех на слуху, в прошедшем году стали четыре: руткиты, соцсети, онлайн игры, ботнеты.

Руткит-технологии уже довольно продолжительное время заставляют потеть антивирусные лаборатории, используя все новые и новые методы маскировки своего присутствия на локальной машине. В ближайшее время я планирую написать небольшой цикл статей на тему руткитов, в котором будут рассмотрены самые громкие руткит-технологии ушедшего года.

Социальные сети оказались в центре множества атак в прошедшем году. Эта ситуация была предсказана Лабораторией Касперского в прогнозах на 2008 год, которые полностью оправдались. В настоящий момент социальные сети являются одним из краеугольных камней Интернета, определяют его развитие и вовлекают все большее число пользователей. Интернет-компании активно используют их возможности для продвижения новых услуг, рекламы и попутных сервисов.

Одновременно с этим активно развивается еще одна отрасль – онлайн-игры. Не являясь непосредственно частью Интернета (для них он всего лишь средство осуществления коммуникации), они все же являются важной составляющей жизни современного общества. Получив наибольшее распространение в азиатском регионе – Южной Корее, Китае, странах ЮВА, – онлайн-игры тем самым оказались в центре современного вирусописательства и стали основным объектом вирусных атак, в численном выражении.

В последнее время слово ботнет окончательно перекочевало из профессионального жаргона в пользовательский, так как оно все чаще и чаще звучит в отчетах. Вот и в 2008 году ботнеты стали одной из тем, оказавшихся в центре внимания.

Я бы хотел конкретнее поговорить на каждую из этих четырех тем и непременно сделаю это, но в следующей части. Также мы рассмотрим немного статистических данных, информацию об уязвимостях и прогноз аналитиков KasperskyLab на 2009 год, думаю, он будет достаточно интересен, учитывая тенденции последних лет.

P.S. При написании статьи использовались материалы из источников (под авторством): Kaspersky Security Bulletin, SASecurity Analytic department, Дмитрий Евтеев (by SecuirtyLab), Semu (by ][akep).

Евгений Кучук SASecurity group

© Компьютерная газета

полезные ссылки
Аренда ноутбуков
Ремонт ноутбуков в центре Минска