20 Января 2014

Итоги 2013 года: киберугрозы для Windows

Москва, 20 января 2014 г. Эксперты международной антивирусной компании ESET подготовили отчет о наиболее активных угрозах для ОС Windows в 2013 году.

Прошлый год был отмечен появлением целого ряда новых вредоносных программ, а также модификаций уже известных угроз. Файловые вирусы в 2013 году демонстрировали некоторое падение активности, но до сих пор представляют собой серьезную угрозу. В течение года сразу три семейства данных вирусов – Win32/Sality, Win32/Ramnit и Win32/Virut – стабильно попадали в глобальный рейтинг угроз.

Такие вирусы могут заразить все исполняемые файлы (с расширениями exe, bat и др.), содержащиеся на ПК, а также способны поставить под удар целую корпоративную сеть, поскольку умеют распространяться и заражать сетевые диски других компьютеров, объединенных в сеть.

Самой распространенной в России вредоносной программой был и остается троян Win32/Qhost, изначально ориентированный на российских пользователей. Функционал Qhost относительно прост – программа модифицирует системный файл hosts для перенаправления пользователя на принадлежащие злоумышленникам фишинговые, рекламные или вредоносные ресурсы.

Подобные перенаправления (клики) монетизируются и приносят злоумышленникам фактическую прибыль. Также мошенники могут выманивать у пользователя аутентификационные данные с помощью фальшивых страниц, замаскированных под популярные социальные сети.

География распространения Qhost. Россия является наиболее уязвимым регионом.

Обнаружение угроз вида HTML\IFrame используется для идентификации вредоносных элементов веб-страниц. Часто вредоносные IFrame используются для перенаправления пользователя с легального сайта на вредоносный контент или набор эксплойтов.

Кроме того, и в России, и в мире все еще высока активность вредоносных программ, которые используют INF-файлы для обеспечения автоматического запуска со съемных носителей и непосредственно в системе. Такой механизм особенно актуален для устаревших ОС, поскольку у них автозапуск со съемных носителей через Autorun-файлы по умолчанию активирован. Антивирусные продукты ESET детектируют вредоносное ПО такого рода как INF/Autorun.

Обновления компонентов Microsoft

В прошлом году компания Microsoft исправила большое количество уязвимостей для ОС Windows и ее компонентов, а также для пакета программ MS Office. Некоторые из этих уязвимостей использовались злоумышленниками для доставки вредоносного кода еще до выхода обновления (т.н. уязвимости 0day или «нулевого дня»). Как правило, большинство из них ориентировались на изъяны в браузере Internet Explorer.

Уходящий год отметился появлением 0day уязвимостей, которые использовались в направленных атаках. Иными словами, злоумышленники осуществляли разработку эксплойтов не для спонтанного распространения вредоносного кода, а для атак на конкретных пользователей, преследуя вполне определенные цели.

Ниже показан рейтинг компонентов в семействе ОС Windows, которые чаще всего обновлялись в 2013 году, а также сравнение данного показателя с 2012 годом.

В 2013 году Microsoft приходилось закрывать гораздо больше уязвимостей, чем годом ранее.

Статистика по выпущенным обновлениям демонстрирует, что в 2013 году браузер Internet Explorer, компоненты .NET и плагин к браузеру Silverlight наиболее активно использовались злоумышленниками для удаленного исполнения кода, причем в большинстве случаев такие атаки реализовывались через браузер.

Уязвимости в приложениях пакета программ Office также могут использоваться для удаленной установки вредоносного кода. По выпущенным в этом году обновлениям для Office видно, что большинство из них были направлены на устранение уязвимостей типа Remote Code Execution (удаленное исполнение кода).

При таком сценарии злоумышленники создают специальный файл Office (например, doc-файл Word) и отправляют его с фишинговым письмом на адрес жертвы. Текст письма должен быть максимально убедительным, чтобы заставить пользователя открыть вложение. Запуская такой файл с помощью уязвимой версии Office, пользователь инициирует установку вредоносного ПО.

Windows XP – финальный аккорд

В апреле 2014 года корпорация Microsoft прекратит поддержку последних выпусков Windows XP SP3 и Windows XP x64 SP2. Несмотря на призывы компании отказаться от этой ОС и перейти на более новые платформы, ей по-прежнему пользуется огромное количество пользователей. Согласно статистике аналитической компании Net Applications, сегодня Windows XP установлена почти на 30% всех компьютеров.

Рис. Статистика использования ОС на компьютерах, по данным Net Applications.

Отказ от официальной поддержки Microsoft будет означать и прекращение выпуска обновлений, своевременно закрывающих уязвимости. Опасность заключается в том, что в Windows XP до сих пор обнаруживаются потенциально опасные уязвимости – ближайшее обновление для одной из них выйдет в январе.

Кроме того, киберпреступники могут пока не использовать уже обнаруженные ими уязвимости вплоть до прекращения официальной поддержки – эти уязвимости, которые Microsoft уже не будет закрывать, могут быть использованы для заражения максимального количества владельцев Windows XP.

Стоит отметить, что антивирусные решения ESET NOD32 не только поддерживают операционную систему Windows XP, но и оптимизированы для быстрой и стабильной работы даже на маломощных ПК, которые обычно используют данную ОС.

Компания ESET продолжит защищать пользователей XP даже после завершения официальной поддержки от Microsoft.

Windows-тренды

  • Прошлый год закрепил основной тренд разделения вредоносных программ на два вида: используемые киберпреступниками для личной материальной выгоды, а также применяемые для узконаправленных атак (т.н. watering hole) с целью компрометации определенной компании, отрасли индустрии или региона. Для многих из атак второго вида злоумышленники специально осуществляли поиск той или иной программной уязвимости, используя ее непосредственно для атаки на конкретный регион или компанию. В 2014 году такой тренд получит еще большее распространение.
  • Злоумышленники все чаще прибегают к использованию возможностей анонимной сети TOR для работы с удаленными C&C-серверами. В этом году появилось несколько новых угроз с такими возможностями – например, Win32/Atrax.A, Win32/Agent.PTA, Win32/Napolar. Благодаря анонимности TOR, преступники скрывают информацию о C&C (IP-адресе или домене), что особенно полезно для сокрытия данных от систем, которые собирают информацию о входящем/исходящем трафике в сети того или иного предприятия. Если бы не TOR, служба безопасности быстро обнаружила бы подлинный вредоносный URL.
  • Использование распределенной архитектуры в вымогателях-шифровальщиках. На примере Cryptolocker (Win32/Filecoder.BQ) стало очевидно, что если использовать алгоритм шифрования с открытым ключом, то у пользователя не будет иного выхода, кроме как заплатить злоумышленникам выкуп (или, в противном случае, потерять свои файлы). В декабре мы сообщали об обнаружении новой модификации этой программы, Cryptolocker 2.0. Кроме этого, в начале 2014 года уже появилась информация о новом шифровальщике, который использует схожий подход и называется Prison Locker (Power Locker), о чем сообщили в блоге malwaremustdie.
  • Наиболее востребованным вредоносным кодом у злоумышленников являются инструменты, которые используются для хищения различной конфиденциальной информации. Такие программы содержат в себе несколько компонентов (например, мобильный компонент, который позволяет обходить двухфакторную аутентификацию в виде кодов подтверждения SMS). Подобное вредоносное ПО является одним из самых современных методов хищения денежных средств и конфиденциальных данных пользователей.
  • Несмотря на то, что уязвимости типа Remote Code Execution (удаленное исполнение кода) в браузерах и другом популярном ПО играют существенную роль для доставки вредоносного кода, киберпреступники часто прибегают к более простому методу – использованию человеческого фактора. Применение двойных расширений у файлов, убедительное фишинговое сообщение, нацеленность на определенную группу людей (с учетом предварительно проведенной разведки), поддельные иконки файлов – эти и многие другие приемы находятся в активном арсенале киберпреступников и будут использоваться в дальнейшем.
  • 64-битные угрозы. В этом году была обнаружена модификация широко известного файлового вируса Expiro, которая умеет заражать как 32-битные, так и 64-битные файлы, а также обладает переносимым кроссплатформенным телом. Кроме того, многие вредоносные программы уже имеют в своем составе 64-битную полезную нагрузку. Очевидно, что киберпреступники руководствуются весьма практическими целями, поскольку 64-битных ОС в мире становится все больше.
  • Сложные вредоносные программы как способ извлечения значительной выгоды. Пример печально известного семейства ZeroAccess (Win32/Sirefef, Win64/Sirefef) показывает, что глубокое сокрытие кода в системе, нестандартные подходы к заражению файлов, а также направленность на платформу x64 позволяют злоумышленникам извлекать колоссальную выгоду. По подсчетам Microsoft Digital Crimes Unit, ботнет ZeroAccess заразил около 2 млн компьютеров, а прибыль от его деятельности составляла $2 700 000 в месяц.