"Лаборатория Касперского": Развитие киберугроз в ноябре 2011 года

Ноябрь в цифрах

В течение месяца на компьютерах пользователей продуктов "Лаборатории Касперского":

• отражено 204 595 286 сетевых атак;
• заблокировано 89 001 505 попыток заражения через Web;
• обнаружено и обезврежено 238 045 358 вредоносных программ (попытки локального заражения);
• отмечено 98 047 245 срабатываний эвристических вердиктов.

Ноябрь оказался относительно спокойным месяцем в отношении традиционных угроз. Авторы вредоносных программ продолжали развивать уже существующие технологии, каких-либо значимых изобретений вирусописателей зафиксировано не было.

Тема месяца. DUQU - ход исследования

Троянская программа Duqu, обнаруженная в сентябре и ставшая публично известной в октябре, в ноябре продолжала оставаться в центре внимания экспертов и средств массовой информации. Основной причиной этого стало обнаружение способа проникновения вредоносной программы в атакованные системы. Атака велась через электронную почту при помощи документа MS Word, содержащего эксплойт к ранее неизвестной уязвимости в операционной системе Windows. Ошибка в системном компоненте win32k.sys позволяла выполнить вредоносный код из файла с системными привилегиями.

Это открытие проводит очередную параллель между Duqu и Stuxnet, в котором также были использованы ранее неизвестные уязвимости. Мы еще в октябре писали о том, что обнаружение дроппера Duqu является важнейшим ключом к разгадке тайны происхождения троянца, и что этот дроппер может содержать эксплойты к подобным уязвимостям.

Экспертам "Лаборатории Касперского" удалось обнаружить оригинальное письмо с дроппером и эксплойтом, которое было отправлено жертве в Судане. Детальный анализ был опубликован в блогпосте. "Лаборатория Касперского" оперативно добавила детектирование данного эксплойта в свои продукты.

Необходимо отметить, что к началу декабря компания Microsoft еще не выпустила патч, закрывающий данную уязвимость, поэтому риск атак с ее использованием достаточно высок.

Помимо исследования уязвимости мы провели несколько операций, связанных с захватом ряда серверов управления Duqu, расположенных в разных странах мира. К сожалению, авторы Duqu оперативно отреагировали на известие о раскрытии их деятельности и 20 октября провели глобальную "зачистку следов" на всех серверах. Впрочем, кое-какие данные нам все же удалось извлечь, и расследование в этом направлении продолжается.

Вся информация, которая имеется у нас, свидетельствует о том, что Duqu был создан с целью кражи и сбора данных, относящихся к деятельности ряда иранских компаний и ведомств. Ряд признаков указывает на то, что Duqu мог существовать еще в 2007-2008 годах в виде более ранних версий, а также на то, что червь Stuxnet был создан на основе некой платформы, которая использовалась и при создании Duqu. Причем разработки Duqu и Stuxnet могли вестись параллельно, в одно и то же время.

Out of the box activity

Новые программы и технологии злоумышленников

В последнее время растет число случаев использования методов стеганографии во вредоносных программах.

В сентябре было зафиксировано использование графических файлов, содержащих скрытые команды для управления ботнетом SST. Напомним, что бот SST является модификацией широкого известного бота TDSS/TDL.

В ноябре похожая техника встретилась нам в семействе троянских программ, нацеленных на пользователей бразильских банков. Это первый случай использования стеганографии в картинках в латиноамериканских троянцах.

Файлы, содержащие зашифрованные вредоносные коды и дополнительную информацию, имели расширение jpeg, но по структуре являлись bmp-файлами. При их создании злоумышленники применили метод блочного шифра.

Используя эту технику, вирусописатели решают сразу несколько задач. Во-первых, она может привести к некорректной работе автоматических систем антивирусного анализа: файл может быть загружен, проверен антивирусными программами и охарактеризован как "чистый", и со временем ссылка вообще будет исключаться из проверки. Во-вторых, администраторы сайтов, на которых хостятся такие зашифрованные вредоносные файлы, не смогут распознать их как вредоносные, соответственно, не станут с ними ничего делать. В-третьих, у некоторых антивирусных экспертов может не оказаться времени или необходимого опыта, чтобы справиться с такими файлами. Все это, безусловно, на руку киберкриминалу.

Мобильные угрозы: SMS Trojans распространяются по всему миру

В середине июля мы писали об "отправителях порно-SMS", использовавших дорогостоящие SMS-сообщения для подписки пользователей на различные сервисы. Эти приложения были нацелены на пользователей из США, Малайзии, Нидерландов, Великобритании, Кении и Южной Африки.

В ноябре мы обнаружили SMS-троянцев, нацеленных на пользователей из нескольких Европейских стран и Канады. Вредоносные программы отправляют с зараженного устройства четыре SMS-сообщения на короткий премиум-номер. Мы детектируем данное семейство как Trojan-SMS.AndroidOS.Foncy.

Согласно сообщениям, найденным нами на форумах, первые заражения произошли в начале сентября. Кто-то загрузил приложение, якобы предназначенное для мониторинга собственных SMS/MMS сообщений, звонков и трафика. После запуска эта программа отображала сообщение о том, что она несовместима с версией ОС Android пользователя. После чего баланс пользователя опустошался.

Напомним, что до появления зловредов семейства Trojan-SMS.AndroidOS.Foncy SMS-троянцы атаковали в основном пользователей из России и Китая. Сегодня SMS-троянцы являются одним из самых простых для киберпреступников способов заработка. К сожалению, "вредоносное" использование коротких номеров и дорогостоящих SMS-сообщение начало распространение по миру, и мы уверены, что этот процесс вряд ли остановится в ближайшее время.

MacOS угрозы

В настоящее время пользователей ОС Windows нельзя удивить троянцами и червями на сайтах, распространяющих пиратские версии популярных программ. Тем не менее, для пользователей Mac OS данная напасть всё еще в новинках. Так, в самом конце октября на торрент-трекерах, распространяющих пиратские версии программ для Мас, обнаружилась новая вредоносная программа, получившая имя Backdoor.OSX.Miner. Данная вредоносная программа обладает сразу несколькими зловредными функциями:

1. Открытие удаленного доступа к зараженному компьютеру
2. Сбор информации об истории посещения сайтов с использованием браузера Safari
3. Создание снимков экрана
4. Кража файла wallet.dat из BitCoin-клиента
5. Несанкционированный запуск BitCoin-майнера

Данная вредоносная программа распространяется сразу через несколько торрент-трекеров, таких как publicbt.com, openbittorrent.com и thepiratebay.org.

Пример торрент-трекера, распространяющего Backdoor.OSX.Miner

По нашим оценкам, к концу ноября вредоносной программой Backdoor.OSX.Miner были заражены десятки Мас-систем.

Атаки на сети корпораций и крупных организаций

Компрометация Steam

История с атаками и взломами сервисов Sony Playstation Network в начале года оказалась снова на слуху после обнаруженного в ноябре инцидента с другой игровой компанией - сервиса Steam компании Valve. Неизвестным хакерам удалось взломать форум сервиса и разослать множество сообщений со ссылками на видеоролики с инструкциями по взлому видеоигр. Компания Valve отключила сервера для исправления проблемы, и в ходе расследования был установлен факт компрометации основной базы Steam.

Скомпрометированная база данных содержала такую информацию, как имена пользователей, хешированные и "посоленные" (salted) пароли, данные о покупках игр, адреса электронной почты пользователей, адреса выставления счетов и зашифрованные реквизиты кредитных карт.

Инцидент заставил руководство Valve обратиться с письмом ко всем пользователям сервиса, информируя их об обнаруженной проблеме. В письме сообщалось, что компания не обнаружила свидетельств того, что зашифрованные номера кредитных карт или персональные данные пользователей были похищены хакерами, но "расследование продолжается". Не было получено и данных об использовании злоумышленниками кредитных карт пользователей сервиса Steam, однако руководство Valve призвало их отслеживать транзакции по банковским картам и внимательно читать выписки по карточным счетам.

Продолжаются проблемы с сертификатами

Этот год богат на инциденты с центрами сертификации. Сначала история с Comodo, затем с голландским CA DigiNotar. Кроме этого было обнаружено несколько украденных сертификатов, использованных во вредоносных программах, в том числе и в троянце Duqu. Проблема утраты "цифрового доверия" стоит в настоящее время очень остро, и надежных способов ее решения пока не найдено.

В ноябре еще один голландский центр сертификации, компания KPN, обьявила о том, что стала жертвой атаки хакеров, и приостановила выдачу сертификатов.

Причиной этого стала брешь, обнаруженная на веб-сервере KPN, обслуживающем инфраструктуру открытых ключей (PKI). Атака произошла не менее 4 лет назад.

Компания KPN, более известная благодаря своему телеком-бизнесу, четыре года назад купила компанию Getronics. Бывшая Getronics, так же, как и DigiNotar, имеет право выдавать сертификаты. Как и DigiNotar, KPN имеет право выпускать "специальные" сертификаты для правительственных и публичных сервисов Нидерландов. KPN является более крупным центром сертификации, чем DigiNotar. После компрометации серверов DigiNotar многие голландские организации обратились к услугам KPN.

Пока неясно, можно ли исключить взлом сервера(-ов) центра сертификации. Кроме того, необходимо получить ответ на вопрос, каким образом утилита для осуществления DDoS-атак оставалась необнаруженной в течение четырех лет.

Особенно интересно, что заявление KPN можно понять как подтверждение того, что уже выпущенные сертификаты останутся валидными (независимо ни от чего).

Еще более серьезный инцидент произошел с малазийским центром сертификации Digicert (CA Digicert Malaysia). Он был удален из списка доверенных центров всеми производителями браузеров и компанией Microsoft. На такие меры пришлось пойти из-за выявленных фактов выпуска данным центром 22 сертификатов со слабыми 512-битными ключами и сертификатов без необходимых расширений, определяющих ограничения на использование сертификатов, и без информации о сроке действия.

Представитель Microsoft Джерри Брайант (Jerry Bryant) сказал, что нет никаких признаков того, что какой-либо из этих сертификатов был получен мошенническим путем, однако слабые ключи позволили взломать некоторые из них.

Примечательно, что в ноябре также было обнаружено несколько вредоносных программ, подписанных сертификатом, выданным Malaysian Agricultural Research and Development Institute, который является правительственным учреждением. По сообщениям представителей института, сертификат ранее был у них украден. Остается открытым вопрос: если о краже было известно, почему сертификат не был вовремя отозван?

Рейтинги ноября

TOP 10 зловредов в интернете

TOP 10 стран, на ресурсах которых размещены вредоносные программы

TOP 10 вредоносных хостингов

TOP 10 вредоносных доменных зон

10 стран, где пользователи подвергаются наибольшему риску заражения через интернет