Отчет Symantec об угрозах информационной безопасности
Рамиль Яфизов,
технический консультант в России и СНГ, компания Symantec
КОМПАНИЯ SYMANTEC ПРЕДСТАВЛЯЕТ УЧАСТНИКАМ БИЗНЕС-СООБЩЕСТВА ОТЧЕТ ОБ ИНТЕРНЕТ-УГРОЗАХ, КОТОРЫЙ СОДЕРЖИТ САМУЮ СВЕЖУЮ ИНФОРМАЦИЮ ОБ УГРОЗАХ ДЛЯ БЕЗОПАСНОСТИ В ИНТЕРНЕТЕ, АНАЛИЗ СЕТЕВЫХ АТАК, ОБЗОР ИЗВЕСТНЫХ УЯЗВИМОСТЕЙ, СВЕДЕНИЯ О ВРЕДОНОСНЫХ ПРОГРАММАХ И ДОПОЛНИТЕЛЬНЫХ УГРОЗАХ ДЛЯ БЕЗОПАСНОСТИ, ПРЕДУПРЕЖДАЕТ О НАДВИГАЮЩИХСЯ УГРОЗАХ И СОВРЕМЕННЫХ ТЕНДЕНЦИЯХ, А ТАКЖЕ СОДЕРЖИТ РЕКОМЕНДАЦИИ ПО ЗАЩИТЕ И СНИЖЕНИЮ РИСКОВ.
Что такое отчет Бушс^ве об угрозах интернет-безопасности
Отчет Symantec об угрозах интернет-безопасности содержит новую информацию
об активности интернет-угроз за шесть месяцев. Он включает анализ сетевых атак, обзор известных уязвимостей и краткое описание вредоносных программ. В нем обсуждаются также многочисленные проблемы, относящиеся к онлайновому мошенничеству, включая фишинг, спам и такие риски для безопасности, как рекламное, шпионское ПО и программы, вводящие в заблуждение. Настоящий краткий обзор отчета Symantec об угрозах интернет-безопасности предупреждает читате-
лей о текущих тенденциях и надвигающихся новых угрозах. В дополнение к этому он содержит рекомендации по защите от этих опасностей и борьбе с ними. Данный том охватывает шестимесячный период с 1 июля по 31 декабря 2006 г.
Symantec пользуется одним из самых полных источников данных об интернет-угрозах в мире. Сеть Symantec™ Global Intelligence Network, которая состоит из службы Symantec DeepSight™ Threat Management System и Symantec™ Managed Security Services, следит за деятельностью по всему интернету. В нее входят свыше 40 тыс. датчиков, наблюдающих за сетевой деятельностью в 1 80 странах. Кроме этого, Symantec собирает данные о
Число активных бот-инфицированных копьютеров в день
Место в регионе Страна Доля в целом Вредоно сный код Спам Командно-упр. серверы Фишинг Боты Атаки
1 Germany 19% 3 1 1 1 2 1
2 France 11% 4 2 7 3 1 2
3 United Kingdom 10% 2 8 3 2 4 3
4 Spain 8% 6 3 8 9 3 4
5 Italy 8% 1 5 4 7 6 5
6 Poland 5% 8 4 15 8 5 6
7 Netherlands 4% 5 15 6 4 12
8 Turkey 3% 12 6 5 18 8 8
9 Sweden 3% 10 31 2 17 18 12
10 Russia 3% 9 9 16 5 11 15
вредоносных программах вместе с сообщениями о шпионском (spyware) и рекламном (adware) программном обеспечении, поступающие от более чем 120 млн клиентских, серверных и межсетевых систем, на которых установлены антивирусные продукты Symantec.
Symantec ведет один из самых популярных форумов, посвященных информированию об уязвимостях и их обсуждению в интернете, список почтовой рассылки BugTraq™, у которого приблизительно 50 тыс. прямых подписчиков, ежедневно сообщающих, получающих и обсуждающих сведения об уязвимостях. Symantec ведет также одну из самых полных в мире баз данных об уязвимостях, которая на сегодняшний день состоит более чем из 20 тыс. описаний уязвимостей (за десятилетие с лишним), относящихся к 45 тыс. технологий от 7 тыс. поставщиков. Кроме того, Symantec отслеживает и оценивает некоторые виды преступной деятельности с использованием инструментов контроля за онлайновым мошенничеством.
Наконец, система Symantec Probe Network, состоящая более чем из двух миллионов приманок, привлекает сообщения электронной почты из 20 стран, позволяя Symantec измерять глобальную деятельность спамеров и фишеров. Эти ресурсы служат аналитикам Symantec беспрецедентным источником данных, на основании которых они устанавливают новые тенденции в атаках и активности вредоносного кода. Symantec собирает также информацию по фишингу через сеть Symantec Phish Report Network, широкое сообщество по борьбе с мошенничеством, состоящее из организаций и потребителей. Члены сети обмениваются адресами подложных вебсайтов, которые используются для предупреждения и фильтрации в широком спектре решений.
Отчет Symantec об угрозах интернет-безопасности основан главным образом на экспертном анализе данных, собранных по всем этим источникам. Опираясь на опыт и знания Symantec, этот анализ представляет собой информационно-насыщенный комментарий по современной вредоносной деятельности в интернете. Публикуя в отчете об угрозах интернет-безопасности анализ вредоносной деятельности в интернете, Symantec надеется обеспечить организации и потребителей сведениями, необходимыми им для эффективной защиты собственных систем сегодня и в будущем. Общие итоги
За последние два отчетных периода Symantec наблюдала изменения в характе-
Ущерб от вредоносного кода
ре интернет-атак: от атак с целью прославиться к финансово-мотивированной преступной деятельности. Современная ситуация в области безопасности характеризуется учащением случаев кражи данных, утечки информации и создания вредоносных программ, внедряемых в определенные организации с целью добычи информации, которую можно использовать для финансового обогащения.
Вместо того, чтобы эксплуатировать серьезные уязвимости с помощью прямых атак, злоумышленники теперь находят в веб-приложениях или веб-браузерах и используют уязвимости средней степени опасности. Такие уязвимости часто применяются для "промежуточных" атак, первоначальная цель которых — не немедленное раскрытие данных, а создание плацдарма, с которого впоследствии можно будет осуществлять более вредоносные атаки.
Symantec наблюдала высокую интенсивность вредоносной деятельности по всему интернету, зафиксировав повышение уровней фишинга, спама, количества бот-сетей, троянов и свежевыявленных (zero-day) угроз. Однако, если в прошлом эти угрозы часто использовались отдельно, то теперь злоумышленники пересматривают свои методы и объединяют ресурсы, создавая глобальные сети, поддерживающие скоординированную преступную деятельность.
Это привело к растущему взаимодействию между разными угрозами и методами. Например, целенаправленный вредоносный код может использовать преимущества веб-технологии и сторонние приложения для установки "черного хода", через который затем загружается и устанавливается бот-ПО. Эти роботы, в свою очередь, могут применяться для распространения спама, обслуживания фишинговых сайтов или организации атак с целью создания единой скоординировано действующей вредоносной сети. Укрепившись, такие группы взломанных компьютеров могут использоваться как согласованные глобальные вредоносные системы, обеспечиваю-
щие собственный непрерывный рост.
В этом отчете Symantec впервые выявила страны — источники наиболее активной вредоносной деятельности, оценивая для этого вредоносный код, спам, фишинг, атаки и бот-сети, действующие в каждой стране. С 1 июля по 31 декабря 2006 г. самая большая доля вредоносной деятельности, составившая 31% от общемировой, приходилась на Соединенные Штаты. Китай занял второе место с 10%, а доля Германии составила 7%.
Symantec определила также топ-25 из этих стран по соотношению вредоносной деятельности к количеству пользователей интернета. Эта характеристика определяет вредоносную деятельность, приходящуюся на одного (среднего) пользователя интернета в данной стране. Из 25 стран, которым была присвоена такая оценка, страной с самым высоким уровнем вредоносной деятельности на одного пользователя интернета оказался Израиль (9 %), за которым следуют Тайвань (8 %) и Польша (6 %).
В предыдущем отчете об угрозах интернет-безопасности Symantec предположила, что бот-сети могут переживать периоды возобновления роста. Этот сценарий осуществился во втором полугодии 2006 г., когда число активных бот-инфицирован-ных компьютеров, обнаруженных Symantec, увеличилось на 11 % до 63 912 в среднем за день. Количество выявленных Symantec отдельных бот-инфицированных компьютеров во всем мире за этот отчет-
Место в регионе Страна Доля
1 Israel 13%
2 Poland 9%
3 Sweden 9%
4 Spain 8%
5 Switzerland 8%
6 Denmark 8%
7 France 7%
8 Germany 7%
9 Belgium 7%
10 Netherlands 6%
Вредоносная деятельность по странам на одного пользователя Интернета
В регионе ЕМЕА Во всем мире
Экспорт данных Экспорт системных Экспорт адресов Регистрация Разрешают удаленный
пользователей данных е-таЛ нажатий клавиш доступ
Процент угроз для конфиденциальной информации
ный период выросло до 6 049 594, что на 29 % больше, чем в предыдущий отчетный период. При этом число командно-управ-ляющих серверов сократилось на 25 % до 4 746. Symantec объясняет это тем, что владельцы бот-сетей объединяют и расширяют свои сети.
В томе Х своего отчета об угрозах интернет-безопасности Symantec предположила, что количество вредоносного кода, цель которого — раскрытие конфиденциальной информации, будет расти. За последние шесть месяцев 2006 г. количество угроз для конфиденциальной информации увеличилось с 48 до 66 % всех сообщений о топ-50 вредоносных программах. Увеличилось до 79 % и количество угроз, регистрирующих нажатия клавиш (keystroke loggers) и экспортирующих важные данные пользователя и/или системы. Угрозы для конфиденциальной информации вызывают серьезное опасение, так как они часто применяются для раскрытия той конфиденциальной информации, которую впоследствии можно использовать в целях шантажа.
В этом, XI томе отчета Symantec впервые начала следить за торговлей краденной конфиденциальной информацией. Такая
торговля часто осуществляется на подпольных серверах преступников и преступных организаций. Это могут быть государственные номера социального страхования, кредитных карт или банковских карт, персональные идентификационные номера (PIN), учетные записи пользователей и списки адресов e-mail.
В течение последних шести месяцев 2006 г. 51 % всех известных Symantec подпольных серверов были расположены в США — это больше, чем в любой другой стране. На подпольных серверах можно было купить выпущенные в США кредитные карты с контрольным числом по цене от 1 до 6 долл. Персональные данные (в том числе банковские реквизиты, данные кредитной карты, дату рождения и государственный идентификационный номер) также можно приобрести по цене от 14 до 18 долл.
Большую часть конфиденциальной информации, используемой при краже персональных данных, преступники получают благодаря нарушению защиты данных. В этом томе отчета об угрозах интернет-безопасности Symantec впервые учитывает нарушения защиты данных, приводящие к
потере информации, которая может привести к краже персональных данных. Во втором полугодии 2006 г. большинство таких нарушений защиты данных было зафиксировано в организациях сектора государственного управления, на долю которого пришлись 25 % от общего числа подобных нарушений.
Главным способом нарушения защиты данных с целью добычи персональной информации была кража компьютера или другого носителя, на котором хранились или передавались данные, такого как USB-диск или диск резервного копирования. На долю таких нарушений пришлись 54 % всех нарушений защиты данных, связанных с кражей персональной информации, за данный отчетный период. Во многих случаях потерянными или украденными компьютерами были ноутбуки. Вторым по частоте использования способом нарушения защиты данных с целью кражи персональной информации за этот отчетный период было несоблюдение правил безопасности, чем было вызвано 28 % всех инцидентов. В совокупности кражи и потери вместе с несоблюдением правил стали причиной 82 % всех случаев нарушения защиты данных во втором полугодии 2006 г.
В предыдущем отчете об угрозах интернет-безопасности Symantec утверждала, что в ближайшем будущем увеличится число угроз, устанавливаемых целенаправленным вредоносным кодом, чаще всего троянами, использующими zero-day уязвимости. Во втором полугодии 2006 г. Symantec зарегистрировала 12 zero-day уязвимостей. Это значительно больше, чем в первом полугодии и во втором полугодии 2005 г., когда были зафиксированы по одной zero-day уязвимости за каждый отчетный период.
Во втором полугодии 2006 г. были обнаружены многие опасные zero-day уязвимости. Пик этой деятельности пришелся на сентябрь, когда были зафиксированы четыре zero-day уязвимости, большая часть которых представляла собой уязвимости клиентской системы, обнаруженные в приложениях Office, Internet Explorer и элементах ActiveX. Злоумышленники все чаще используют zero-day в качестве первого шага для организации координируемых сетей для вредоносной деятельности.
Во втором полугодии 2006 г. значительно увеличилось количество троянов в топ-50 известных Symantec образцов вредоносного кода. За этот период оно составило 45 % по сравнению с 23 % в первом полугодии. При этом на долю троянов в текущий отчетный период пришлись 60 % всех попыток заражения. В предыдущем отчете
Процент от топ-50 угроз
В регионе ЕМЕА Во всем мире
54%
43%
52%
3%
9%
14%
15%
4-
Вирусы Черви Лазейки Трояны
Типы вредоносного кода по объему
Место в регион е Место в мире Образом Тип Векторы распростра нения Влияние Страна наиб, активности
1 3 W32.Stration Червь SMTP Загружает и устанавливает другие угрозы Czech Republic
2 1 W32.Netsky.P Червь SMTP. P2P клавиш, нацеленный на www.e-gokl.coin France
3 9 W32.Stration.CX Червь SMTP Загружает и устанавливает другие угрозы Czech Republic
И W32.Sality.U ... File Sharing Загружает и устанавливает другие угрозы India
4 Вирус
5 5 W32.Stration.DL Червь SMTP Загружает и устанавливает другие угрозы Czech Republic
6 4 W32.Blackmal.E Червь SMTP. File Sharing Переписывает файлы Egypt
7 12 W32.Mydoom.L Червь. лазейка SMTP. P2P Регистратор нажатых клавиш и лазейка Italy
8 8 W32.Mydoom.M Червь, лазейка SMTP Загружает лазейку United Kingdom
9 20 W32.Pinfi Вирус File Sharing Полиморфный вирус Russia
10 15 W32.Mytob.EA Червь, лазейка исп -V иии! SMTP Разрешает удаленный доступ Switzerland
Топ-10 образцов вредоносного кода
об угрозах интернет-безопасности Symantec предупреждала, что трояны, вероятно, станут причиной большинства заражений вредоносным кодом.
Как уже отмечалось, Symantec зафиксировала высокий уровень скоординированных действий, связанных с разными угрозами, включая спам и фишинг. Часто трояны используются для установки спам-зомби или фишинговых веб-сайтов на взломанные компьютеры с целью организации мошенничества или других преступных действий. Во втором полугодии 2006 г. на долю спама пришлись 59 % всего контролируемого трафика e-mail — это больше, чем в первом полугодии, когда в спамом было признано 54 % всех сообщений e-mail.
Рост уровня спама вызван главным образом увеличением количества афер типа "накачка-сброс" (pump and dump). Это привело к тому, что 30% спама, выявленного за отчетный период, были связаны с финансовыми продуктами и услугами, что делает эту категорию главной категорией спама. В этот отчетный период Symantec зафиксировала также рост количества уникальных фишинговых сообщений, которое составило 166 248 уникальных сообщений, или в среднем 904 уникальных фишинговых сообщений в день. На долю финансовых услуг пришлись 84 % уникальных брендов, используемых в фишинговых атаках, причем подложные веб-сайты этих брендов составили 64 % от общего числа фишинговых веб-сайтов.
В целях обзора и анализа данных, изложенных в томе XI Отчета Symantec об угрозах интернет-безопасности, в остальной части настоящего документа приводятся некоторые выводы, подробно обоснованные в основном отчете.
Основные выводы
Тенденции в области атак
— Главным источником атак стали Соединенные Штаты Америки, на долю которых пришлось 33% всей мировой вредоносной деятельности;
— Symantec ежедневно регистрировала в среднем 5213 атак типа (DoS), вместо 6110 атак в первом полугодии. Целью большинства DoS-атак были США, на долю которых пришлись 52 % всех атак;
— Microsoft Internet Explorer был целью 77 % всех атак, направленных против веббраузеров;
— наиболее атакуемым сектором были индивидуальные пользователи, против которых были направлены 93 % всех целенаправленных атак;
— больше всего бот-инфицированных компьютеров расположено в Китае —26 % от общемирового числа. Городом с самым большим количеством бот-инфицирован-ных компьютеров оказался Пекин, в котором находится более 5 % всех бот-инфицированных компьютеров в мире;
— самое большое число серверов, управляющих бот-сетями, находится в США
— 40 % от общемирового количества;
— 86 % кредитных и дебитных карт, предлагаемых к продаже на подпольных серверах, о которых известно Symantec, выпущено банками США.
Тенденции в области уязвимостей
— во втором полугодии 2006 г. Symantec зафиксировала 2526 уязвимостей, что на 12 % больше, чем в первом полугодии 2006 г., и больше, чем за любой из предыдущих шестимесячных периодов;
— 4 % всех уязвимостей, обнаруженных за этот период, Symantec отнесла к категории высокой опасности, 69 % — средней и 27 % — низкой опасности;
— 66 % всех уязвимостей, выявленных за этот отчетный период, относятся к веб-приложениям;
— 79 % всех уязвимостей, выявленных за этот отчетный период, относятся к легко используемым;
— 77 % всех легко используемых уязви-
мостей относятся к веб-приложениям, и
7 % — к серверам;
— 94 % всех легко используемых уязвимостей, выявленных во втором полугодии 2006 г., относятся к дистанционно управляемым.
— Среднее время разработки патчей для Sun Solaris во втором полугодии 2006 г. составило 122 дня - больше, чем для любой другой операционной системы. За этот период все поставщики операционных систем, за которыми наблюдает Symantec, продемонстрировали более продолжительное, чем в среднем, время разработки патчей;
— 68 % уязвимостей, выявленных за этот период, не были подтверждены соответствующим поставщиком;
— окно экспозиции уязвимостей, влияющих на корпоративных заказчиков, составило 47 дней;
— Symantec зафиксировала 54 уязвимости в Microsoft Internet Explorer, 40 в браузерах Mozilla и по четыре в Apple Safari и Opera;
— У Mozilla за отчетной период было самое короткое окно экспозиции среди всех веб-браузеров — два дня;
— Symantec зафиксировала 168 уязвимостей в реализациях СУБД Oracle, больше, чем в любой другой СУБД.
Место в регион e Место в мире Образец Тип Векторы распростран ения Влияние Страна наиб, активности
1 1 Stration Червь SMTP Загружает и устанавливает другие угрозы Czech Republic
2 5 Horst Троян. лазейка N/A Перосылает спам Italy
3 8 Jakposh Троян N/A Переадресует поисковые запросы на другие воб-саиты Italy
Топ-3 новых семейств вредоносных программ
Процент распространившегося вредоносного кода
ЕМЕА
Механизмы распространения
Тенденции в области
вредоносного кода
— из топ-10 новых семейств вредоносного кода, обнаруженных во втором полугодии 2006 г., пять были троянами, четыре
- червями и одно — вирусом;
— с 1 июля по 31 декабря 2006 г. компьютеры-приманки Бута^ес перехватили в общей сложности 1 36 ранее неизвестных образцов вредоносного кода;
— за этот период Бутаг^ес стало известно о 8258 новых вариантах угроз для Win32, что на 22 % больше, чем в первом полугодии 2006 г.;
— черви составили 52 % всего объема вредоносных программ, вместо 75 % в предыдущий период;
— за этот период на долю полиморфных угроз пришлось 3 % от общего объема топ-50 вредоносных программ, вместо 1 % за каждый из двух предыдущих периодов;
— 75 % вредоносных программ распространялись через БМТР, что делает этот механизм распространения самым широко используемым;
— доля вредоносных программ, распространяемых с использованием механизма
Щ Backdoor P2P
Щ Remote vulnerability Щ SMTP ■ CIFS
Worldwide
файлообмена (peer-to-peer), выросла с 23 % всех вредоносных программ за первые шесть месяцев 2006 г. до 29 % во втором полугодии;
— большинство сообщений о вредоносных программах за этот период поступило из США;
— во втором полугодии 2006 г. 23 % из 1318 зарегистрированных вредоносных программ использовали уязвимости;
— с MSN Messenger во втором полугодии были связаны 35 % новых угроз для системы немедленного обмена сообщениями;
Спам, фишинг и риски
для безопасности
— Symantec заблокировала свыше 1,5 млрд фишинговых сообщений, что на 19 % больше, чем в первом полугодии 2006 г.;
— в течение 2006 г. в выходные дни Symantec выявляла в среднем на 27 % меньше уникальных фишинговых сообщений, чем в будни (961);
— в выходные дни число заблокированных попыток фишинга было в среднем на
7 % меньше, чем в будни (7 958 323);
— 46 % всех известных фишинговых сайтов расположено в США — это намного больше, чем в любой другой стране;
— во втором полугодии 2006 г. 0,68 % всех спамерских сообщений e-mail содержало вредоносный код. Это означает, что вредоносный код содержало каждое 147е спамерское сообщение, заблокированное Symantec Brightmail AntiSpam;
— за последние шесть месяцев 2006 г. 44 % спама, обнаруженного во всем мире, исходило из США;
— в США находится самое большое число спам-зомби — 10 % от общемирового;
— наиболее часто обнаруживаемым риском для безопасности была программа adware, называемая ZangoSearch;
— все топ-10 угроз для безопасности, о которых стало известно во втором полугодии 2006 г., использовали как минимум один прием защиты от удаления, тогда как в прошлый отчетный период таких угроз в списке топ-10 было всего пять;
— 41 % из всех сообщений о топ-10 новых рисков для безопасности во втором полугодии 2006 г. относился к потенциально нежелательным приложениям;
— во втором полугодии 2006 г. число обнаруженных приложений, вводящих в заблуждение, увеличилось на 40 %.
Прогноз
• Symantec ожидает увеличения числа угроз для Windows Vista™, с акцентом на уязвимости, вредоносный код и атаки против платформы Teredo. Symantec ожидает также, что злоумышленники сосредоточатся на приложениях независимых компаний, работающих на системах Vista.
• Symantec прогнозирует появление новых целей для фишинга. Ожидается, что фишеры расширят круг своих интересов, включив в него такие новые сектора, как коллективные онлайновые игры. Symantec ожидает появления новых методов обхода антифишинговых решений, таких как черные списки, например, с использованием готовых комплектов инструментов для фишинга.
• Symantec ожидает, что спам и фишинг все чаще будут нацелены на системы передачи сообщений SMS и MMS на мобильных платформах.
• Symantec ожидает, что с повышением популярности программного обеспечения виртуализации будут появляться новые типы атак и что виртуальные среды могут стать плацдармом для вторжения в хост-системы.
Место в регионе Место в мире Страна Процент от регионального Г уровня 1роцент от мирового уровня
1 2 Неопределенные европейские страны 20% 7%
2 5 United Kingdom 10% 3%
3 8 France 9% 3%
4 9 Spain 8% 3%
5 10 Poland 8% 3%
6 11 Germany 7% 2%
7 12 Belgium 6% 2%
8 13 Italy 4% 1%
9 14 Switzerland 4% 1%
10 17 Russia 3% 1%
Топ-10 стран-источников спама