В 2006 году вредоносное ПО окончательно превратилось из домашней забавы для юных энтузиастов в полномасштабный бизнес международной организованной преступности.
Благодаря ему криминальные группировки зарабатывают огромные деньги: впервые сумма, полученная от использования вредоносного кода (malware), превысила планку $4 млрд., что равняется объемам, ежегодно обращающимся в антивирусной индустрии.
Цепочка причастных к вредоносному ПО состоит из разработчиков (которые пишут вредоносный код), каналов продаж (посредники и сервис-провайдеры, которые являются спонсором разработчиков) и заказчиков (люди, которые рассматривают malware как путь к незаконному обогащению).
В прошедшем году работа кипела в каждом сегменте данного рынка. Огромную активность проявляли заказчики спама и распределенных DoS-атак (denial of service) против казино и другого бизнеса; технологий spyware или фишинга, позволяющих совершить «кражу личности»; а также прибыльного adware-ПО, как части общей схемы.
Спаминг является центральным компонентом этой схемы, поскольку часто является основой для проведения интернет-афер.
Лучше мало, но дорого
Это может звучать несколько странно, но в 2006 году не было массовых почтовых атак, присущих 2005 году. В самом деле, червь Nyxem в январе был последним случаем массовой рассылки писем, который мы видели в 2006 году. Но это вовсе не означает снижения активности malware, просто вместо массовых и публичных мы наблюдали небывалый подъем в области невидимых атак.
Троянский дождь
В ретроспективе за 2005 год, проведенной Clearswift, мы выделили явление под названием Titan Rain, когда множество Троянов, по происхождению, очевидно, с Дальнего Востока, обрушились на западные правительства и высокотехнологичные компании, работающие в оборонной отрасли. Подобный электронный шпионаж значительно вырос в 2006 году, при этом использовалось участившееся появление эксплойтов в документах нового Microsoft Office.
Поскольку данные трояны проникают ниже радара антивирусной обороны, к этому уровню деятельности трудно получить доступ. Трояны Titan Rain рассылаются по электронной почте в небольшом количестве к реальным получателям, имитируя реальных отправителей.
При запуске, они создают «черный вход» для кражи информации. Они используют технологию руткитов для «заметания следов» и сложную технологию проникновения, которая ставит в тупик брандмауэры. Таким образом, они обычно пробивают защиту большинства целей, имеющих защиту известного качества.
День открытых дверей длиной в 28 суток
По оценкам Symantec, их разработчикам в среднем требуется 31 день, чтобы разработать, протестировать и выпустить патч для уязвимостей, обнаруженных в программе. Эксперты Clearswift и других компаний знают, что хакеру надо всего три дня, чтобы создать эксплойт. А это значит, что еще остается потенциально 28 дней, когда уязвимость открыта для всех, и такого периода времени достаточно даже для менее профессиональных хакеров.
Технологические особенности
Большинство таких троянов используют уязвимости документов Microsoft Office, к примеру, переполнение буфера, которое в результате приводит к краху приложений (Word, Excel или Powerpoint), так что атакующие могут запустить вредоносный код сразу после этого. Некоторые образцы, которые мы исследовали, достаточно развиты, чтобы удалить вредоносный код, внедренный в документы Office, заметая таким образом следы своего присутствия. Таким таинственным образом Word, к примеру, зависает лишь при первом открытии документа, но никогда более.
Однако злоумышленники не ограничиваются исключительно эксплойтами Office. В начале января, через несколько дней после объявления о найденной уязвимости в формате Windows Metafile (WMF), тысячи высокопоставленных чиновников в Британском парламенте получили email-сообщения с присоединенным файлом, который по описанию являлся картой, где было обозначено местонахождение будущей встречи. При открытии файла инсталлировался backdoor-код.
Прочие «знаменитые» трояны 2006 года
В прошлом году трояны вообще доминировали в списке программ с вредоносным кодом. Так, исследователь по безопасности Джо Стюарт из Secureworks изложил свои наблюдения касательно SpamThru Trojan, его ботнет-сетей (BOTNET =roBOT + NETwork – временно созданная крупная сеть зараженных ПК), спам-активности и самого источника.
SpamThru функционирует в качестве системы массового распространения спама. По некоторым оценкам ботнет способен рассылать до миллиарда спам-писем каждый день.
В принципе то, что вредоносный код, просочившись в компьютерную систему, пытается удалить в этой системе другую инфекцию – не такое уж необычное явление. Однако то, как это делает троян SpamThru, заслуживает восхищения! Он загружает на компьютер пиратскую копию приложения Kaspersky Antivirus for Wingate, и удаляет с его помощью любую конкурентную «заразу». Соответствующий отчет отправляется на контрольный сервер.
Боты используют прокси-серверы, чтобы избежать занесения их IP-адресов в черный список anti-spam-сервисами.
Графический спам на подъеме
Никто не ожидал такого огромного количества графического спама летом 2006 года. Этот спам был построен по достаточно простому принципу – вначале картинка с рекламным текстом на неоднородном фоне, далее следует некая печатная информация случайного содержания в формате plain-text.
Однако такая уловка оказалась довольно удачной – OCR-системы спам-фильтров не справлялись с распознаванием данных сообщений, вследствие чего они беспрепятственно попадали в почтовый ящик пользователя
Мультимедиа-файлы
Потенциально наиболее серьезный вектор угрозы, появившийся в 2006 году касается мультимедиа-файлов. Они использовалось в Cross-Site Scripting-атаках на сайты класса Social Network Site, например MySpace.
Cross-Site Scripting — это тип уязвимостей, позволяющий атакующему выполнять произвольный код, например JavaScript, встроив его в свое сообщение на форуме, добавив в качестве аргумента для скрипта на сервере и т. д.
В октябре 2005 года пользователь MySpace, который назвал себя Samy, создал первый Cross-Site Scripting-червь, чтобы добавить себя к списку друзей миллионов пользователей. За эту выходку он попал в бан. В июле 2006 MySpace был поражен червем через Macromedia Flash, а в конце ноября — червем, использующим свойство QuickTime, которое позволяет вставлять Java-скрипты в мультимедиа-файлы.
В конце декабря исследователи обнаружили набор открытых параметров PDF, позволяющих сделать так, что любой PDF-документ на любом веб-сайте можно задействовать в атаках cross-site scripting. Для этого надо просто добавив java-скрипт к концу URL-ссылки, указывающей на удаленный (и невиновный) PDF-файл. Атаки этого типа могут быть запущены через HTML-письма или ссылки на веб-странице.
Прогноз на 2007 год: цунами приближается
Если засилье спама в 2006 году можно было сравнить с потопом, то наиболее подходящей аналогией для 2007-го будет цунами.
Устойчивый рост ботнетов в слабом месте Интернета – сотнях миллионов уязвимых домашних ПК, подключенных к широкополосному Интернету — гарантируют быстро растущую базу для спам-активности.
Сложность и изощренность графического спама заметно эволюционировала в прошлом году и это будет продолжаться. Большинство графического спама, который мы видели в прошлом году, было очень простым – однотонный цвет шрифтов с простым фоном. По всей видимости, ситуация станет значительно более запутанной в этом году – мы уже видели образцы графического спама, которые выглядят почти как полотна современной живописи, содержат калейдоскопы шрифтов, волнообразные линии текста и фон с абстрактными многоугольниками или подобием случайных мазков краски.
Активность 2006 года позволяет нам предположить, чего можно ожидать в следующем году. В середине лета мы уже наблюдали серию мощных DHA-атак (Directory Harvesting Attack — метод добычи адресов e-mail, которые могут быть в дальнейшем засыпаны спам-рассылками или использованы мошенниками-фишерами) в среде базы заказчиков Clearswift. Подобная тенденция продолжилась в августе значительным ростом уровня графического спама и началом эпидемии червей семейства Warezov.
В нынешнем году масштабы возрастут
Сайты социальных сетей (Social networking) подвержены атаке более всего. Учитывая, что число пользователей-новичков сегодня превышает 100 миллионов, ресурс MySpace вместе с другими сайтами, такими как YouTube, представляет собой очень привлекательную и легкую цель для вредоносного кода. Эти ресурсы становятся очагом фишинга. Черви становятся характерной чертой таких социальных сетей в 2007 году.
Академическая статья, опубликованная в прошлом году, описывает концепцию скопления червей (Swarm Worm) и свидетельствует о возможной совместной деятельности различных червей. Данное утверждение использует концепцию, разработанную в последнее десятилетие учеными, которые изучают поведение стаи птиц и колоний муравьев.
Концепция говорит, что применение нескольких простых правил связей между ограниченным числом равноправных участников может дать толчок для ‘интеллектуального’ поведения. К сожалению, ученые, которые предложили применить эти принципы к развитию интернет-червей следующего поколения, не представили никакого решения. Криминальные ботнеты, такие как SpamThru, стали фактически криминальными ИT-корпорациями. Остается лишь надеяться, что преступники не будут строить свои структуры на теоретической основе Swarm Worms.
Вирусы для мобилок — эпидемия не предвидится
Объемы вредоносного кода для мобильных устройств в прошлом году линейно росло, однако не достигло критической массы. Поскольку технология продвигалась вперед, благоприятные возможности для мобильного malware также немного увеличились.
Паразиты
Вирусы-паразиты вернулись после долгого отсутствия. В прошлом, это были творения юных энтузиастов, при этом, однако, располагающих высокой технической квалификацией. Спонсоры и авторы текущего malware приближа,ются к подобному уровню квалификации и могут комплексно использовать возможности, которые имеются у вирусов-паразитов.
