Symantec zveřejnil svůj bezpečnostní report

15. 1. 2009

Sdílet

Výroční zpráva podrobně popisuje rok 2008 v oblasti počítačové bezpečnosti, v němž podzemní ekonomiku významně poznamenaly revoluční novinky ve škodlivém kódu a technikách rozesílání nevyžádané pošty.

virusNevyžádaná pošta dosáhla nejvyšší úrovně v únoru 2008 s podílem 82,7 %, roční průměr činil 81,2 %, zatímco v roce 2007 to bylo 84,6 %. Až 90 % nevyžádané pošty rozesílaly robotické sítě, včetně nechvalně známé robotické sítě Storm (Peacomm), která se objevila na scéně počátkem roku 2007, aby koncem tohoto roku téměř zmizela a tím uvolila prostor pro konkurenční robotické sítě jako Srizbi a Cutwail (Pandex) do doby, než dva severoameričtí poskytovatelé služeb Internetu přerušili připojení v důsledku nátlaku bezpečnostní komunity (v září a listopadu), která je obvinila, že jsou hostiteli příkazových a řídicích kanálů jedněch z největších robotických sítí, mimo jiné Mega-D (Ozdok) a Srizbi. Ty byly zodpovědné přibližně za 50 % veškeré nevyžádané pošty. Postižené robotické sítě s výjimkou sítě Srizbi již našly alternativní hostitele, takže se nevyžádaná pošta vrátila na téměř stejnou úroveň jako před přerušením připojení.

 

 

Tvůrci nevyžádané pošty začali v roce 2008 s oblibou rozesílat nevyžádanou poštu z velkých renomovaných webových e-mailových a aplikačních služeb, protože se jim podařilo prolomit techniky CAPTCHA (Completely Automated Public Turing Test to tell Computers and Humans Apart), což jim umožnilo generovat u těchto služeb značné počty osobních účtů. V lednu z těchto hostovaných webových e-mailových účtů pocházelo 6,5 % nevyžádané pošty. Nevyžádaná pošta pocházející z těchto zdrojů dosáhla nejvyššího podílu v září, kdy takto vzniklo 25 % nevyžádané pošty. Po zbytek roku dosahoval podíl takto vzniklé nevyžádané pošty v průměru kolem 12 %.

„Rok 2008 byl v oboru zabezpečení významným rokem, protože se objevily nové hrozby, staré hrozby se vyvíjely, zvýšila se důmyslnost Internetu a jeho uživatelé znali možnosti webu lépe než kdykoli dříve,“ řekl Mark Sunner, hlavní analytik zabezpečení ve společnosti MessageLabs. „Prolomení technik CAPTCHA otevřelo jednu z nejlepších možností, jak rozesílat nevyžádanou poštu, a z bezplatných webových e-mailových serverů a webů společenských sítí, které umožňují přístup po vytvoření osobního účtu, začala vycházet nevyžádaná pošta rozmanitého charakteru.“

V roce 2008 se na webu značně rozšířil složitý škodlivý kód napadající weby společenských sítí a zranitelná místa na legitimních webových serverech. To vedlo k instalaci škodlivého kódu do počítačů bez jakéhokoli zásahu uživatele. Každodenní počet nových webů obsahujících škodlivý kód vzrostl z lednových 1 068 na nejvyšší hodnotu 5 424 v listopadu. Průměrný počet každodenně blokovaných nových webových serverů vzrostl v roce 2008 na 2 290 z 1 253 v roce 2007, z velké části kvůli vyššímu počtu útoků využívajících techniky SQL injection.

V roce 2008 se rozšířily útoky z webu, zatímco útoky prostřednictvím e-mailů se v porovnání s rokem 2007 zvýšily o 0,15 procentního bodu. V roce 2008 byl nebezpečný 1 ze 143,8 e-mailu (0,70 %) oproti 1 ze 117,7 (0,85 %) v roce 2007. V roce 2008 se také objevily dva různé modely cílených útoků. Tým MessageLabs Intelligence zaznamenal v roce 2008 nárůst počtu zachycených cílených útoků trojských koňů na 53 denně. Nejvyšší počet 78 denně byl zaznamenán v dubnu 2008, přičemž v roce 2005 to byl jeden nebo dva útoky týdně, v roce 2006 1 nebo 2 denně a počátkem roku 2007 10 útoků denně.

„Web 2.0 nabízí podvodníkům nekonečné možnosti distribuce jejich škodlivého kódu, od vytváření falešných účtů ve společenských sítích až po zfalšovaná videa. A v roce 2008 nabyly hrozby zaměřené na prostředí společenských sítí na reálnosti,“ řekl Sunner. „Web 2.0, stejně jako tvůrci nevyžádané pošty, s úspěchem využívá obsah generovaný uživateli. Schopnost přizpůsobit se novým médiím a předkládat lákavý obsah typu „zázračného léku“, který uživatele prahnoucí po informacích přiměje k aktivaci odkazu, je jednou z nejvýraznějších vloh počítačových zlodějů a důvodem, proč se jim ve světě podzemní stínové ekonomiky daří udělat z podvodu plně škálovatelný obchodní model.“

Příkladem, který ukazuje, jak v posledním roce vzrostla popularita hrozeb tohoto druhu, může být cílený trojský kůň z konce července, který vytvářel dojem, že pochází z instituce podílející se na organizaci Olympijských her. Škodlivý kód skrytý v příloze uložil do počítače cílové organizace pomocí vloženého JavaScriptu nebezpečný spustitelný program. Škodlivý kód byl zaslán několika zúčastněným národním sportovním organizacím a agentům atletů. Další cílený trojský kůň, distribuovaný za účelem podnikové špionáže, předstíral, že pochází ze známé obchodní organizace a že souvisí se stížností podanou proti příjemci. V rámci útoku bylo distribuováno přibližně 900 cílených trojských koní určených pro vyšší vedoucí pracovníky na celém světě.

Ke konci roku 2008 se v souvislosti s úvěrovou krizí objevilo mnoho nových finančně zaměřených útoků. Tvůrci nevyžádané pošty a podvodníci se snažili využít paniky a nejistoty související se změnami na Wall Streetu a v celém světě.

Nebezpečení boti a společenské sítě

ICTS24


V roce 2008 měly robotické sítě na svědomí 90 % veškeré nevyžádané pošty a zvýšení podílu škodlivého kódu obsaženého v e-mailech v odkazech na nebezpečené webové servery. Tento podíl byl nejvyšší v únoru, kdy dosáhl 61,1 % v důsledku nárůstu nebezpečných činností z robotické sítě Storm, z níž pocházelo 96 % těchto zachycených škodlivých kódů. Jedna z posledních aktivit robotické sítě Storm před jejím zánikem byla nová vlna škodlivého kódu v červenci 2008. Zprávy s titulky o úmrtí celebrit obsahovaly odkazy na weby, jejichž aktivace způsobila instalaci nebezpečného programu pro ochranu před spywarem Antivirus XP 2008, který se mohl nainstalovat bez zásahu uživatele. Program spouští v počítači falešné prověřování a nabízí zdarma odstranění několika nalezených infekcí. Po zániku robotické sítě Storm rozesílaly odkazy na tuto nebezpečnou aplikaci v nevyžádané poště jiné robotnické sítě, mezi jinými Srizbi, Rustock a Mega-D. Jedna třetina nebezpečných odkazů zachycených v červenci souvisela s programem Antivirus XP 2008. V srpnu byly odkazy na programy, které instalovaly tento nebezpečný program pro ochranu před spywarem, obsaženy v 64 % nebezpečných e-mailů, které měly převážně podobu falešných přáníček.

Dalším oblíbeným trikem počítačových zlodějů byla v roce 2008 distribuce škodlivého kódu na webech společenských sítí, poprvé zaznamenaná v malém rozsahu koncem roku 2007. Oblíbenou taktikou tohoto roku bylo vytvoření falešných profilů na webech společenských sítí a jejich využití k vystavení nebezpečných odkazů, které měly nalákat ostatní uživatele. Když se některý uživatel nechá nachytat, podvodníci mohou vytavit komentáře v blogu na stránkách jeho přátel a rozesílat zprávy z napadeného účtu dalším kontaktům. Tyto zprávy sloužily převážně k šíření nevyžádané pošty, včetně odkazů na související weby, jako jsou lékárny online. Jakmile podvodníci získají přístup k profilům legitimních uživatelů, zneužijí dostupné osobní údaje k útokům na další uživatele.

Významnými proměnami prošel v roce 2008 také phishing a phishingové útoky ze specializovaných robotických sítí se staly běžným jevem. V průběhu roku se podstatně nezměnila intenzita phishingových útoků, ale rozšířily se jejich cíle, mezi něž kromě dříve běžných finančních institucí patří také náborové agentury a maloobchodníci online. Očekává se, že v roce 2009 se dále zvýší počet specializovaných bankovních trojských koní.

Hlavní trendy v roce 2008


Zabezpečení webu: V roce 2008 vzrostl průměrný počet každodenně zablokovaných nových nebezpečných webových serverů na 2 290 oproti 1 253 v roce 2007, což je zvýšení o 82,8 % převážně v důsledku nárůstu útoků typu SQL injection.

Nevyžádaná pošta: V roce 2008 dosáhl průměrný roční podíl nevyžádané pošty 81,2 %, což je pokles o 3,4 procentního bodu oproti hodnotě 84,6 % za rok 2007. V roce 2008 tvořil většinu nevyžádané pošty obsah zahrnující pouze text nebo kód HTML a vzrůstající podíl nevyžádané pošty pocházel od renomovaných poskytovatelů webových e-mailových účtů a aplikačních služeb.

Viry: Průměrná úroveň výskytu virů v roce 2008 byla 1 virus ve 143,8 e-mailu (0,70 %), což je pokles o 0,15 procentního bodu oproti roku 2007, kdy průměrná úroveň byla 1 virus ve 117,7 e-mailu (0,85 %). Pokles je možno přičíst na vrub přechodu k šíření škodlivého kódu pomocí nebezpečného obsahu hostovaného na webových serverech a automatické instalace z webu na úkor e-mailu jako primárního prostředku distribuce.

Phishing: Míra výskytu phishingových útoků v roce 2008 byla 1 útok v 244,9 e-mailu (0,41 %) oproti 1 útoku v 156 e-mailech v roce 2007. Phishingová aktivita dosáhla nejvyšší úrovně v únoru – 1 útok v 99,1 e-mailu. Důvodem byl částečně nárůst počtu sad phishingových nástrojů ve stylu Plug and Play a vyšší využití specializovaných robotických sítí pro phishingové aktivity. Úplná zpráva je k dispozici zde.