Kaspersky Security Bulletin 2010
Jurij Namiestnikow
Ekspert z Kaspersky Lab
Niniejszy raport zosta艂 stworzony na podstawie danych uzyskanych i przetworzonych przy pomocy Kaspersky Security Network (KSN). KSN jest jedn膮 z najwa偶niejszych innowacji w produktach przeznaczonych dla u偶ytkownik贸w indywidualnych i obecnie znajduje si臋 w ko艅cowej fazie rozwoju. Po uko艅czeniu projektu KSN stanie si臋 integraln膮 funkcj膮 produkt贸w korporacyjnych firmy Kaspersky Lab.
Kaspersky Security Network potrafi wykrywa膰 w czasie rzeczywistym nowe szkodliwe programy, kt贸rych nie mo偶na jeszcze zidentyfikowa膰 na podstawie metod opartych na sygnaturach lub wykrywaniu heurystycznym. KSN pomaga zidentyfikowa膰 藕r贸d艂o rozprzestrzeniania si臋 szkodliwych program贸w w Internecie i blokuje u偶ytkownikom dost臋p do nich.
Ponadto, KSN zapewnia znacznie szybsz膮 reakcj臋 na nowe zagro偶enia. Technologia ta umo偶liwia zablokowanie uruchomienia nowych szkodliwych program贸w na komputerach u偶ytkownik贸w, na kt贸rych jest zainstalowany KSN, w przeci膮gu sekund od znalezienia szkodliwego programu - procesu nie op贸藕nia konieczno艣膰 czekania na uaktualnienia antywirusowych baz danych.
- Podsumowanie kwarta艂u
- Og贸lny przegl膮d
- Najcz臋艣ciej atakowane pa艅stwa
- Zagro偶enia internetowe
- Zagro偶enia na komputerach u偶ytkownik贸w
- Botnety: w wirze walki
- Co dalej?
Podsumowanie kwarta艂u
- Odnotowali艣my 327 598 028 pr贸b zainfekowania komputer贸w u偶ytkownik贸w w r贸偶nych pa艅stwach na ca艂ym 艣wiecie - o 26,8% wi臋cej w por贸wnaniu z poprzednim kwarta艂em.
- Zmienia si臋 wektor atak贸w przeprowadzanych przez cyberprzest臋pc贸w: odsetek atak贸w skierowanych na u偶ytkownik贸w chi艅skich zmniejszy艂 si臋 o 13%.
- Najbardziej rozpowszechniona rodzina szkodliwego oprogramowania w Internecie wykorzystuje kod lub skrypty HTML, kt贸re cyberprzest臋pcy stosuj膮 g艂贸wnie do infekowania legalnych stron.
- Zidentyfikowali艣my 119 674 973 zainfekowanych serwer贸w. Pod wzgl臋dem liczby zainfekowanych serwer贸w Chiny zosta艂y wyprzedzone zar贸wno przez Stany Zjednoczone jak i Rosj臋.
- Liczba wykrytych luk w zabezpieczeniach zwi臋kszy艂a si臋 o 6,9% w stosunku do poprzedniego kwarta艂u. Sze艣膰 na dziesi臋膰 najpowszechniejszych luk w zabezpieczeniach zosta艂o wykrytych w produktach firmy Microsoft.
- Liczba exploit贸w zwi臋kszy艂a si臋 o 21,3%. Oko艂o pi臋膰dziesi膮t procent wszystkich exploit贸w wykorzystuje luki w zabezpieczeniach w programach Adobe ze wzgl臋du na ich popularno艣膰 i mo偶liwo艣膰 uruchomienia na wielu r贸偶nych platformach.
- Obecnie prawie ka偶de urz膮dzenie, kt贸re jest synchronizowane z komputerem, jest wykorzystywane przez cyberprzest臋pc贸w jako no艣nik szkodliwego oprogramowania. 艁adowarka USB dla baterii Energizer to dotychczasowy zwyci臋zca w kategorii najbardziej niezwyk艂ego z tego typu urz膮dze艅.
Og贸lny przegl膮d
Najistotniejsze wydarzenia, jakie mia艂y miejsce w pierwszym kwartale 2010 roku, w ten czy inny spos贸b wi膮偶膮 si臋 z zagro偶eniami internetowymi. Tak jak wcze艣niej, najpopularniejsz膮 taktyk膮 stosowan膮 przez cyberprzest臋pc贸w jest tak zwany atak "drive-by download." Istot膮 tego rodzaju atak贸w jest wykorzystywanie r贸偶nych luk w zabezpieczeniach przegl膮darek i wtyczek przy u偶yciu exploit贸w.
Swego czasu w mediach g艂o艣no by艂o o incydencie "Operation Aurora" - ataku hakerskim skierowanym przeciwko najwi臋kszym korporacjom, takim jak Google czy Adobe. W celu przeprowadzenia ataku na tak wielk膮 skal臋 hakerzy wykorzystali exploita wykrywanego przez produkty firmy Kaspersky Lab jako Exploit.JS.Aurora. Exploit ten wykorzystuje luk臋 CVE-2010-0249, kt贸r膮 mo偶na znale藕膰 w kilku wersjach popularnej przegl膮darki MS Internet Explorer. Atak ten zosta艂 przeprowadzony przy u偶yciu ukierunkowanych wysy艂ek mailowych z odsy艂aczem do strony internetowej zawieraj膮cej exploita. Gdyby wszystko posz艂o zgodnie z planem oszust贸w, po odwiedzeniu zainfekowanej strony internetowej komputer u偶ytkownika pobra艂by ukradkiem szkodliwe oprogramowanie, nie wzbudzaj膮c 偶adnych podejrze艅 u偶ytkownika. Celem haker贸w by艂o zebranie danych poufnych i korporacyjnych, 艂膮cznie z kodem 藕r贸d艂owym g艂贸wnych projekt贸w.
Rozpowszechnienie si臋 informacji o tym ataku spowodowa艂o, 偶e Niemcy, Francja i Australia zach臋ca艂y swoich obywateli do korzystania z przegl膮darek innych ni偶 MS Internet Explorer - a przynajmniej do czasu opublikowania 艂aty usuwaj膮cej t臋 luk臋. Programi艣ci z Microsoftu wiedzieli o tej luce od wrze艣nia 2009. Microsoft publikuje 艂aty dla swoich produkt贸w co miesi膮c - w dzie艅 powszechnie nazywany "Patch Tuesday". Problem polega na tym, 偶e pomi臋dzy tymi "wtorkami" hakerzy mog膮 wykorzysta膰 nowe luki w zabezpieczeniach, wiedz膮c, 偶e przed kolejn膮 rund膮 艂at b臋d膮 dzia艂a艂y na wi臋kszo艣ci komputer贸w.
Skandal wok贸艂 skutk贸w exploit贸w Aurora zmusi艂 Microsoft do opublikowania 艂aty dla luki CVE-2010-0249 przed planowan膮 dat膮. Jest to niewielkie, jednak znacz膮ce zwyci臋stwo ekspert贸w z dziedziny bezpiecze艅stwa IT. Pod koniec kwarta艂u Microsoft opublikowa艂 poza grafikiem kolejn膮 piln膮 艂at臋 dla przegl膮darki Internet Explorer - powodem by艂o wykorzystywanie tych luk w innym ataku. 艢wiadczy to o tym, 偶e tw贸rcy oprogramowania bior膮 wi臋ksz膮 odpowiedzialno艣膰 je偶eli chodzi o bezpiecze艅stwo ich produkt贸w. Mamy nadziej臋, 偶e ta lekcja nie p贸jdzie na marne.
W 艣wietle niedawnych wydarze艅 zacz臋li艣my mie膰 nadziej臋 na pewne zmiany na lepsze w polityce firmy Adobe dotycz膮cej publikowania automatycznych uaktualnie艅. 13 kwietnia Adobe uruchomi艂 nowy serwis aktualizacji dla program贸w Adobe Reader i Adobe Acrobat dla ostatnich wersji dzia艂aj膮cych w systemach Windows i Mac OS X. Ma to du偶e znaczenie, poniewa偶 wed艂ug naszych kwartalnych statystyk, tw贸rcy wirus贸w wykorzystuj膮 wi臋cej luk w zabezpieczeniach oprogramowania Adobe ni偶 w produktach firmy Microsoft. Dzieje si臋 tak mimo faktu, 偶e w produktach Microsoftu znaleziono wi臋cej nieza艂atanych luk ni偶 w produktach Adobe. Adobe sta艂 si臋 g艂贸wnym celem tw贸rc贸w wirus贸w, poniewa偶 oprogramowanie tego producenta jest bardzo popularne i mo偶e by膰 uruchomione na wielu r贸偶nych platformach.
Je偶eli chodzi o najbardziej wyra藕ne trendy, nie mo偶na nie wspomnie膰 o fakcie, 偶e istniej膮ce szkodliwe programy s膮 uaktualniane i staj膮 si臋 coraz bardziej z艂o偶one. Gangi haker贸w usprawniaj膮 swoje dzie艂a, o czym 艣wiadcz膮 nast臋puj膮ce zjawiska: dodanie nowej funkcji do trojana ZeuS zapewniaj膮cej mu ca艂kowit膮 kontrol臋 nad zainfekowanym komputerem, rozw贸j fa艂szywych program贸w antywirusowych oraz Sality, jednego z najbardziej rozpowszechnionych wirus贸w.
Fa艂szywe programy antywirusowe, kt贸rych wysyp zaobserwowali艣my w angielskoj臋zycznym Internecie w zesz艂ym roku, nadal ewoluuj膮. W przeciwie艅stwie do innych szkodliwych program贸w, kt贸re pr贸buj膮 ukry膰 swoj膮 aktywno艣膰, fa艂szywe programy antywirusowe pr贸buj膮 zwr贸ci膰 uwag臋 u偶ytkownik贸w. Co wi臋cej, tw贸rcy tych fa艂szywych program贸w antywirusowych wykorzystuj膮 szereg r贸偶nych taktyk w celu zmylenia u偶ytkownik贸w Internetu. Niekt贸re z takich taktyk polegaj膮 na kopiowaniu interfejs贸w wykorzystywanych przez znanych producent贸w rozwi膮za艅 antywirusowych, takich jak Avira, AVG i Kaspersky Lab. Niestety, im lepsza kopia, tym wi臋ksze szanse, 偶e nawet do艣wiadczony u偶ytkownik chwyci przyn臋t臋 cyberprzest臋pc贸w. Do niedawna prawdziwe programy antywirusowe mo偶na by艂o odr贸偶ni膰 od fa艂szywych przede wszystkim dwiema cechami: wieloj臋zyczno艣ci膮 i wsparciem technicznym. Jednak w pierwszych miesi膮cach 2010 roku odnotowali艣my kilka przypadk贸w zlokalizowania program贸w antywirusowych na inne j臋zyki. Cz臋艣ciej spotykali艣my si臋 r贸wnie偶 z sytuacjami, gdy programy antywirusowe "twierdzi艂y", 偶e oferuj膮 pomoc techniczn膮. Obecnie toczy si臋 powa偶na wojna przeciwko fa艂szywym programom antywirusowym, w kt贸rej priorytetem jest edukacja u偶ytkownik贸w. W rezultacie, cyberprzest臋pcy musieli wymy艣li膰 nowe metody przekonania u偶ytkownik贸w do zakupu ich fa艂szywych program贸w.
W pierwszym kwartale cyberprzest臋pcy wykorzystywali niemal ka偶de nag艂o艣nione wydarzenie, aby zwabi膰 jak najwi臋cej potencjalnych ofiar na zainfekowane strony internetowe, nie pozostawiaj膮c 偶adnych w膮tpliwo艣ci co do ich braku zasad moralnych. Wypuszczenie iPada, premiera kinowego hitu Avatar , trz臋sienie ziemi na Haiti oraz ataki terrorystyczne w Moskwie to tylko kilka temat贸w, na kt贸rych 偶erowali pozbawieni skrupu艂贸w cyberprzest臋pcy. Tw贸rcy wirus贸w stosowali szereg r贸偶nych metod w celu rozprzestrzeniania odsy艂aczy do swoich "dzie艂": na przyk艂ad tworzyli i wykorzystywali fa艂szywe konta na popularnych portalach spo艂eczno艣ciowych, aby rozsy艂a膰 z nich wiadomo艣ci, organizowali wysy艂ki spamowe i zatruwali wyszukiwarki. Zatruwanie wyszukiwarek, zwane r贸wnie偶 jako Black SEO, opiera si臋 na technikach stosowanych do promowania tematycznych stron internetowych. Je偶eli przegl膮darki zostan膮 zhakowane, zwyk艂e zapytanie u偶ytkownika spowoduje wy艣wietlenie wynik贸w w postaci odsy艂aczy do zainfekowanych stron internetowych. W przewa偶aj膮cej wi臋kszo艣ci przypadk贸w, komputery u偶ytkownik贸w b臋d膮 pr贸bowa艂y pobra膰 z takich stron fa艂szywe programy antywirusowe.
W grudniu 2009 roku doczekali艣my si臋 wprowadzenia o wiele surowszych przepis贸w dotycz膮cych rejestracji adres贸w internetowych z u偶yciem domeny ".cn". Regu艂y rejestracji nowych domen CNNIC (China Internet Network Information Center) wymagaj膮 teraz pisemnego o艣wiadczenia, w kt贸rym wnioskodawca musi przestawi膰 weryfikowalne dane identyfikacyjne oraz numer zezwolenia na prowadzenie dzia艂alno艣ci handlowej. Strony, kt贸re zosta艂y ju偶 zarejestrowane, podlegaj膮 teraz kontroli i je偶eli w艂a艣ciciel nie przedstawi wymaganych dokument贸w, strona zostanie zdj臋ta. W celu usprawnienia procesu kontroli domen ".cn", rejestracja za po艣rednictwem serwis贸w zagranicznych jest teraz zakazana. Jak pokazuj膮 wyniki z pierwszego kwarta艂u 2010 roku, te surowsze zasady mia艂y pozytywny wp艂yw na sytuacj臋: nast膮pi艂 znacz膮cy spadek odsetka szkodliwej zawarto艣ci pochodz膮cej z tej cz臋艣ci Internetu. Zjawiskiem tym zajmiemy si臋 w sekcji dotycz膮cej geograficznego rozk艂adu zagro偶e艅 w dalszej cz臋艣ci tego raportu.
Og贸lnie, w minionym kwartale mia艂o miejsce wiele zdarze艅, kt贸re podkre艣li艂y znaczenie ochrony przed szkodliwym kodem zar贸wno dla u偶ytkownik贸w domowych, jak i korporacyjnych. Znamienne jest to, 偶e ataki na systemy korporacyjne wykorzystywa艂y w zasadzie te same taktyki i szkodliwy kod co ataki na u偶ytkownik贸w domowych. Gangi haker贸w tworz膮 i udoskonalaj膮 uniwersalne szkodliwe oprogramowanie, kt贸re mo偶na zastosowa膰 do wielu r贸偶nych cel贸w - doskona艂ym przyk艂adem mo偶e tu by膰 ewolucja trojana Zbot, zwanego r贸wnie偶 ZeuSem, oraz nieustannie zmieniaj膮ce si臋 pakiety exploit贸w.
Najcz臋艣ciej atakowane pa艅stwa
Przyjrzyjmy si臋 li艣cie pa艅stw, w kt贸rych u偶ytkownicy najcz臋艣ciej padali ofiar膮 cyberatak贸w. Jak pokazuj膮 nasze kwartalne raporty, statystyki te s膮 do艣膰 stabilne, ostatnio jednak pojawi艂o si臋 kilka zmian.
No | 1 kwarta艂 2010 | No | 4 kwarta艂 2009 | ||
1 | Chiny | 18,05% | 1 | Chiny | 31,07% |
2 | Federacja Rosyjska | 13,18% | 2 | Federacja Rosyjska | 9,82% |
3 | Indie | 8,52% | 3 | Indie | 6,19% |
4 | Stany Zjednoczone | 5,25% | 4 | Stany Zjednoczone | 4,60% |
5 | Wietnam | 3,73% | 5 | Niemcy | 3,08% |
6 | Niemcy | 3,01% | 6 | Wietnam | 3,07% |
7 | Malezja | 2,69% | 7 | Ukraina | 2,20% |
8 | Francja | 2,38% | 8 | Meksyk | 2,17% |
9 | Ukraina | 2,34% | 9 | Malezja | 2,05% |
10 | Hiszpania | 2,30% | 10 | Hiszpania | 1,90% |
11 | W艂ochy | 2,24% | 11 | Francja | 1,74% |
12 | Meksyk | 2,09% | 12 | Turcja | 1,69% |
13 | Arabia Saudyjska | 1,99% | 13 | Egipt | 1,62% |
14 | Turcja | 1,92% | 14 | W艂ochy | 1,62% |
15 | Wielka Brytania | 1,60% | 15 | Brazylia | 1,43% |
16 | Brazylia | 1,57% | 16 | Wielka Brytania | 1,31% |
17 | Egipt | 1,48% | 17 | Arabia Saudyjska | 1,24% |
18 | Tajlandia | 1,30% | 18 | Polska | 1,04% |
19 | Filipiny | 1,11% | 19 | Tajlandia | 1,03% |
20 | Indonezja | 1,08% | 20 | Bangladesz | 0,99% |
Inne | 22,16% | Inne | 20,12% |
Rozk艂ad atak贸w wed艂ug pa艅stw - pierwszy kwarta艂 2010 oraz 4 kwarta艂 2009
W pierwszym kwartale 2010 r. odnotowali艣my 327 598 028 pr贸b zainfekowania komputer贸w u偶ytkownik贸w w r贸偶nych pa艅stwach na ca艂ym 艣wiecie. Oznacza to 26,8% wzrost w por贸wnaniu z czwartym kwarta艂em 2009 roku. Ranking pa艅stw zmieni艂 si臋 tylko nieznacznie, jednak odsetek atak贸w na chi艅skich u偶ytkownik贸w spad艂 o 13%. Jednak bior膮c pod uwag臋 fakt, 偶e ca艂kowita liczba atak贸w wzros艂a o ponad 25%, mo偶na powiedzie膰, 偶e cyberprzest臋pcy rzadko wybierali inne cele.
G艂贸wnymi celami cyberprzest臋pc贸w byli u偶ytkownicy z kraj贸w rozwini臋tych lub aktywnie rozwijaj膮cych si臋. Na kontynentach ameryka艅skich g艂贸wny cel stanowi艂y Stany Zjednoczone i Meksyk, podczas gdy europejskie cele obejmowa艂y Niemcy, Francj臋, W艂ochy, Hiszpani臋 i Wielk膮 Brytani臋. Z kolei w Europie Wschodniej atakowani byli g艂贸wnie u偶ytkownicy z Rosji i Ukrainy. Pa艅stwa te ju偶 teraz posiadaj膮 najbardziej rozwini臋te systemy bankowo艣ci internetowej i handlu elektronicznego. Dlatego atakuj膮c u偶ytkownik贸w z tych kraj贸w, cyberprzest臋pcy maj膮 znacznie wi臋ksze szanse, 偶e uda im si臋 ukra艣膰 pieni膮dze u偶ytkownik贸w zainfekowanych komputer贸w przy u偶yciu przechwyconych z ich maszyn danych osobowych. Jedna czwarta najcz臋艣ciej atakowanych pa艅stw jest zlokalizowana w Azji, gdzie Internet nadal szybko si臋 rozwija. Niestety, prawodawcy i organy 艣cigania nie zawsze s膮 w stanie dotrzyma膰 tempa, w jakim rozwija si臋 Internet - je偶eli dodamy do tego pogarszaj膮ce si臋 warunki ekonomiczne, powstanie idealne pod艂o偶e dla rozwoju cyberprzest臋pczo艣ci.
Zagro偶enia internetowe
Internetowe szkodliwe oprogramowanie
Analiz臋 rozpoczniemy od listy 10 najbardziej rozpowszechnionych rodzin szkodliwego oprogramowania w Internecie.
No | Nazwa | Udzia艂 procentowy |
1 | Iframer | 15,90% |
2 | Generic | 7,28% |
3 | Hexzone | 4,57% |
4 | Agent | 4,54% |
5 | Redirector | 4,50% |
6 | Zwangi | 4,35% |
7 | Popupper | 3,08% |
8 | Iframe | 2,63% |
9 | Boran | 2,10% |
10 | Pakes | 1,73% |
11 | Inne | 49,32% |
Tabela 1. 10 najbardziej rozpowszechnionych rodzin szkodliwego oprogramowania w Internecie w pierwszym kwartale 2010 roku.
Wi臋kszo艣膰 z tych dziesi臋ciu program贸w to rodziny wykorzystuj膮ce kod lub skrypty HTML, kt贸re cyberprzest臋pcy umieszczaj膮 na legalnych stronach internetowych. Do takich rodzin nale偶y Iframer, Iframe, Redirector oraz Generic, z kt贸rych wi臋kszo艣膰 jest wykrywana heurystycznie. G艂贸wn膮 koncepcj膮 stoj膮c膮 za takimi programami jest przekierowywanie u偶ytkownik贸w na cyberprzest臋pcz膮 stron臋 zainfekowan膮 exploitami bez wzbudzania podejrze艅 u偶ytkownik贸w. Do osadzania tego rodzaju kodu cz臋sto wykorzystywane s膮 szkodliwe programy. Na trzecim miejscu znajduje si臋 rodzina o interesuj膮cej nazwie "Hexzone", kt贸ra w rzeczywisto艣ci nie ma nic wsp贸lnego z szesnastkowym systemem kojarzonym z systemami komputerowymi; pow贸d jest o wiele bardziej przyziemny. G艂贸wn膮 funkcj膮 takiego szkodliwego oprogramowania jest wy艣wietlanie okna zawieraj膮cego tre艣ci pornograficzne na dole okna przegl膮darki. U偶ytkownik zostaje poinformowany, 偶e okno to mo偶na zamkn膮膰 tylko wysy艂aj膮c wiadomo艣膰 tekstow膮 na kr贸tki numer, kt贸ry jest r贸偶ny dla poszczeg贸lnych pa艅stw. W podobny spos贸b dzia艂aj膮 szkodniki z rodziny Popupper. Zasadniczo s膮 to dokumenty HTML wy艣wietlaj膮ce natarczywe komunikaty sugeruj膮ce u偶ytkownikowi, aby wys艂a艂 SMS-a na kr贸tki numer oraz skorzysta艂 z pewnej us艂ugi. Kolejne dwie rodziny - Zwangi i Boran - 艂膮cz膮 r贸偶ne programy adware. Programy te pozwalaj膮 cyberprzest臋pcom zarobi膰 troch臋 pieni臋dzy na szarym rynku, poniewa偶 bardzo trudno jest udowodni膰, 偶e tego rodzaju oprogramowanie narusza jakie艣 przepisy. Destrukcyjne dzia艂anie program贸w adware nie jest na pierwszy rzut oka oczywiste - gromadz膮 one dane o preferencjach u偶ytkownika i wy艣wietlaj膮 reklamy - niekiedy jednak stosuj膮 w samoobronie taktyki hakerskie. Przyk艂adem mo偶e by膰 Boran instaluj膮cy sterownik, kt贸ry dzia艂a bardzo podobnie do rootkita: interpretuje funkcje j膮dra systemu operacyjnego, a przez to utrudnia usuwanie jego g艂贸wnego komponentu.
Luki w zabezpieczeniach
W pierwszym kwartale 2010 roku Kaspersky Lab wykry艂 12 111 862 nieza艂atanych luk w zabezpieczeniach na komputerach u偶ytkownik贸w - o 6,9% wi臋cej ni偶 w zesz艂ym kwartale. Coraz szybciej wykrywane s膮 nowe luki w zabezpieczeniach komputerowych, wzrasta r贸wnie偶 tempo publikowania 艂at, jednak nie wszyscy u偶ytkownicy zadaj膮 sobie trud ich instalowania. W wi臋kszo艣ci przypadk贸w, na jednym komputerze mo偶na znale藕膰 wi臋cej ni偶 jedn膮 niezalatan膮 luk臋.
Tabela 2 zawiera 20 najpopularniejszych luk w zabezpieczeniach oprogramowania wykrytych na komputerze u偶ytkownik贸w w pierwszych trzech miesi膮cach 2010 roku.
No | Secunia ID unikatowy identyfikator luki | Zmiana pozycji | Nazwa luki i odsy艂acz do jej opisu | Co mog膮 zrobi膰 szkodliwi u偶ytkownicy w systemie po wykorzystaniu danej luki | Odsetek u偶ytkownik贸w posiadaj膮cy systemu z t膮 luk膮 | Data og艂o- szenia | Poziom zagro偶enia |
1 | SA 35377 | Bez zmian | Microsoft Office Word - dwie luki | Uzyskuje dost臋p do systemu i wykonuje dowolny kod z przywilejami u偶ytkownika lokalnego | 28,62% | 2009- 06-09 | Wysoki |
2 | SA 37231 | +6 | Sun Java JDK / JRE - wiele luk | Uzyskuje dost臋p do systemu i wykonuje dowolny kod z przywilejami u偶ytkownika lokalnego
| 28,15% | 2009- 11-04 | Wysoki |
3 | SA 38547 | Nowo艣膰 | Adobe Flash Player Domain Sandbox Bypass Vulnerability | Obchodzenie systemu bezpiecze艅stwa | 23,37% | 2010- 02-12 | Umiarkowanie krytyczny |
4 | SA 34572 | +1 | Microsoft PowerPoint OutlineTextRefAtom Parsing Vulnerability | Uzyskuje dost臋p do systemu i wykonuje dowolny kod z przywilejami u偶ytkownika lokalnegos | 21,91% | 2009- 04-03 | Wysoki |
5 | SA 38551 | Nowo艣膰 | Adobe Reader/Acrobat - dwie luki |
| 17,87% | 2007- 01-09 | Wysoki |
6 | SA 31744 | +1 | Microsoft Office OneNote URI Handling Vulnerability | Uzyskuje dost臋p do systemu i wykonuje dowolny kod z przywilejami u偶ytkownika lokalnego | 17,57% | 2008- 09-09 | Wysoki |
7 | SA 35364 | -5 | Microsoft Excel - wiele luk | Uzyskuje dost臋p do systemu i wykonuje dowolny kod z przywilejami u偶ytkownika lokalnego | 17,55% | 2009- 06-09 | Wysoki |
8 | SA 38805 | Nowo艣膰 | Microsoft Office Excel - wiele luk | Uzyskuje dost臋p do systemu i wykonuje dowolny kod z przywilejami u偶ytkownika lokalnego | 16,65% | 2010-03-09 | Wysoki |
9 | SA 37690 | Nowo艣膰 | Adobe Reader/Acrobat - wiele luk |
| 15,27% | 2010- 01-14 | Wysoce krytyczny |
10 | SA 29320 | -1 | Microsoft Outlook "mailto:" URI Handling Vulnerability | Uzyskuje dost臋p do systemu i wykonuje dowolny kod z przywilejami u偶ytkownika lokalnego | 14.98% | 2009- 06-10 | Wysoki |
Tabela 2. 10 luk w zabezpieczeniach najcz臋艣ciej wykrywanych na komputerach u偶ytkownik贸w
Sze艣膰 z 10 najcz臋艣ciej wykrywanych luk w zabezpieczeniach dotyczy艂o produkt贸w Microsoftu, trzy zosta艂y znalezione w produktach Adobe, natomiast jedna w programie firmy Sun Microsystems, teraz Oracle. W naszym ostatnim raporcie pojawi艂a si臋 tylko jedna nowa luka; jednak tym razem mamy cztery nowe luki w zabezpieczeniach, a daty ich og艂oszenia po raz kolejny pokazuj膮, 偶e u偶ytkownicy nie 艣piesz膮 si臋 z instalacj膮 艂at. Na li艣cie 10 najcz臋艣ciej wykrywanych luk w zabezpieczeniach nadal znajduj膮 si臋 luki, o kt贸rych poinformowano ponad rok temu.
Na co pozwalaj膮 te luki cyberprzest臋pcom? Dziewi臋膰 na dziesi臋膰 luk daje cyberprzest臋pcom mo偶liwo艣膰 pe艂nego dost臋pu do systemu. To oznacza, 偶e je偶eli komputer nie jest chroniony programem antywirusowym, cybeprzest臋pca mo偶e zrobi膰 na nim wszystko, co tylko zechce. Exploity na wymienione wy偶ej luki ju偶 teraz kr膮偶膮 na wolno艣ci. Po raz kolejny podkre艣la to potrzeb臋 stosowania dobrego rozwi膮zania antywirusowego oraz znaczenie natychmiastowych aktualizacji dla wszelkiego rodzaju oprogramowania, niezale偶nie od tego, czy s膮 to systemy operacyjne, przegl膮darki internetowe, programy do odczytu dokument贸w PDF, odtwarzacze multimedi贸w itd.
Exploity
Przyjrzyjmy si臋 teraz exploitom wykorzystywanym przez cyberprzest臋pc贸w w pierwszym kwartale 2010 r.

10 najbardziej rozpowszechnionych rodzin exploit贸w w Internecie
Wyra藕nymi liderami s膮 exploity wykorzystuj膮ce luki w zabezpieczeniach program贸w Adobe przeznaczonych do przegl膮dania dokument贸w PDF. Rodziny Pdfka i Pidief stanowi艂y razem prawie po艂ow臋 (47,5%) wszystkich wykrytych exploit贸w. Pliki te s膮 dokumentami PDF zawieraj膮cymi skrypt Javascript, kt贸ry pobiera, uruchamia i wykonuje inne programy bez wiedzy czy zgody u偶ytkownika.
Kaspersky Lab wykry艂 wi臋cej nieza艂atanych luk w zabezpieczeniach produkt贸w Microsoftu ni偶 w programach firmy Adobe, jednak w przypadku exploit贸w mamy do czynienia z odwrotn膮 sytuacj膮. Statystycznie, szkodliwi u偶ytkownicy poszukuj膮 i wykorzystuj膮 luki w zabezpieczeniach produkt贸w firmy Adobe znacznie cz臋艣ciej ni偶 w przypadku program贸w innych producent贸w - 艂膮cznie z Microsoftem. Adobe jest g艂贸wnym celem tw贸rc贸w wirus贸w, poniewa偶 produkty tej firmy s膮 bardzo popularne oraz dzia艂aj膮 na wielu r贸偶nych platformach.
O exploicie Aurora (7,58%) opinia publiczna dowiedzia艂a si臋 w styczniu tego roku - wydarzenie to nie usz艂o uwadze cyberprzest臋pc贸w. Microsoft sporo sp贸藕ni艂 si臋 z publikacj膮 tej 艂aty, i tylko najleniwsi hakerzy nie skorzystali z mo偶liwo艣ci wykorzystania tej luki, zanim zosta艂a usuni臋ta.
Niepokoj膮ca jest historia rodziny exploit贸w CVE-2010-0806, poniewa偶 jej rozpowszechnienie wi膮偶e si臋 z nazbyt szczeg贸艂owym opisem luki opublikowanym przez pracownika firmy z bran偶y bezpiecze艅stwa IT. Pracownik ten ujawni艂 domen臋, z kt贸rej przeprowadzane by艂y ataki, jak r贸wnie偶 nazw臋 plik贸w wykorzystywanych w atakach (notes.exe and svohost.exe). Naturalnie, ujawnienie pe艂nych szczeg贸艂贸w dotycz膮cych tego ataku umo偶liwi艂o ekspertom uzyskanie pr贸bek programu i stworzenie sygnatur. Z drugiej strony, takie informacje mog膮 wpa艣膰 w r臋ce cyberprzest臋pc贸w. W bran偶y istnieje niepisana zasada, do kt贸rej eksperci na og贸艂 stosuj膮 si臋: je偶eli w domenie znajduj膮 si臋 aktywne zagro偶enia, nale偶y ukry膰 cz臋艣膰 nazwy domeny. Niestety, opublikowane informacje by艂y wystarczaj膮co szczeg贸艂owe, aby umo偶liwi膰 szybkie stworzenie exploita PoC Metasploit, kt贸ry zosta艂 szeroko rozpowszechniony za po艣rednictwem MS Internet Explorera w wersji 6 i 7.
Interesuj膮ce jest to, 偶e w艣r贸d najpopularniejszych exploit贸w znalaz艂a si臋 rodzina Smid. Programy Smid mog膮 by膰 uruchomione na wielu r贸偶nych platformach oraz wykorzysta膰 luk臋 w zabezpieczeniach Sun Microsystems Java (CVE-2009-3867). Na przyk艂ad, wariant Exploit.OSX.Smid.b dzia艂a w systemie Windows, MacOS oraz systemach operacyjnych *nix oraz generuje odsy艂acz do zagro偶enia w zale偶no艣ci od rodzaju wykorzystywanego system operacyjnego. Nast臋pnie, po wywo艂aniu funkcji "getSoundbank", odsy艂acz ten jest przesy艂any jako wymagany parametr. Rezultatem jest przepe艂nienie bufora oraz wykonanie kodu pow艂oki. W przysz艂o艣ci mo偶emy spodziewa膰 si臋 cz臋stszego tworzenia zagro偶e艅 wieloplatformowych przez szkodliwych u偶ytkownik贸w.
Nale偶y zauwa偶y膰, 偶e bezpiecze艅stwo przegl膮darki jest tylko jednym z kryteri贸w bezpiecze艅stwa internetowego, niekoniecznie tym najwa偶niejszym. Do przeprowadzenia ataku cyberprzest臋pcy wykorzystaj膮 dowoln膮 przegl膮dark臋 - nawet tak膮, kt贸ra nie posiada 偶adnych luk w swoim kodzie - na przyk艂ad poprzez wykorzystanie luk w zabezpieczeniach odtwarzaczy multimedialnych, programach do przegl膮dania dokument贸w PDF oraz dodatkach do przegl膮darki. Problem luk w dodatkach nadal jest krytyczny i nie mo偶e zosta膰 rozwi膮zany przez samych producent贸w przegl膮darek. Je偶eli posiadasz na swoim komputerze odtwarzacz Flash lub program do przegl膮dania dokument贸w PDF zawieraj膮cy luki, wtedy nie ma znaczenia, jakiej przegl膮darki u偶ywasz, Tw贸j komputer i tak b臋dzie podatny na infekcje.
Trzeba pami臋ta膰, 偶e podstawowym sposobem ochrony komputer贸w u偶ytkownik贸w przed exploitami jest instalowanie wszystkich 艂at natychmiast po ich opublikowaniu. Dodatkow膮 ochron臋 dostarczaj膮 wbudowane w przegl膮darki filtry, kt贸rych celem jest blokowanie phishingu oraz zainfekowanych stron internetowych (Mozilla Firefox 3.5, Internet Explorer 8.0 oraz Chrome 2.0). Filtry te uniemo偶liwiaj膮 u偶ytkownikom odwiedzanie zainfekowanych stron internetowych, kt贸re zawieraj膮 exploity dla znanych lub nieznanych luk w zabezpieczeniach lub kt贸re wykorzystuj膮 metody socjotechniki w celu kradzie偶y danych osobistych. W celu uzyskania niezawodnej ochrony u偶ytkownicy powinni zainstalowa膰 i uruchomi膰 produkt antywirusowy, kt贸ry oferuje regularne aktualizacje antywirusowych baz danych. Istotne jest to, aby program antywirusowy skanowa艂 ruch internetowy.
Geografia zagro偶e艅
W ostatnich latach Chiny sta艂y si臋 istn膮 fabryk膮 szkodliwych program贸w, wypuszczaj膮c ogromne ilo艣ci szkodliwego kodu. Naturalnie, "produkty" tej fabryki cz臋sto znajdowane s膮 r贸wnie偶 na serwerach zlokalizowanych w samym Celestial Empire - co t艂umaczy, dlaczego Chiny tak d艂ugo prowadzi艂y pod wzgl臋dem liczby zainfekowanych serwer贸w. Przyjrzyjmy si臋 teraz li艣cie 20 pa艅stw z najwi臋ksz膮 liczb膮 serwer贸w zawieraj膮cych szkodliwe programy w czwartym kwartale 2009 roku i pierwszym kwartale 2010 roku.
No | 1 kwarta艂 2010 | No | 4 kwarta艂 2009 | ||
1 | Stany Zjednoczone | 27,57% | 1 | Chiny | 32,80% |
2 | Federacja Rosyjska | 22,59% | 2 | Stany Zjednoczone | 25,03% |
3 | China | 12,84% | 3 | Holandia | 11,73% |
4 | Holandia | 8,28% | 4 | Federacja Rosyjska | 7,97% |
5 | Hiszpania | 6,83% | 5 | Niemcy | 3,49% |
6 | Niemcy | 6,78% | 6 | Szwecja | 2,75% |
7 | Wielka Brytania | 3,29% | 7 | Wielka Brytania | 2,39% |
8 | Filipiny | 1,60% | 8 | Filipiny | 2,02% |
9 | Ukraina | 1,35% | 9 | Kanada | 1,70% |
10 | Kanada | 1,29% | 10 | Francja | 1,50% |
11 | Szwecja | 0,95% | 11 | Izrael | 1,06% |
12 | Francja | 0,80% | 12 | Hiszpania | 0,87% |
13 | Turcja | 0,72% | 13 | Ukraina | 0,72% |
14 | Australia | 0,48% | 14 | Turcja | 0,53% |
15 | Mo艂dawia | 0,42% | 15 | Luksemburg | 0,46% |
16 | 艁otwa | 0,31% | 16 | Australia | 0,43% |
17 | Republika Czeska | 0,31% | 17 | Korea Po艂udniowa | 0,42% |
18 | Luksemburg | 0,26% | 18 | Tajwan | 0,41% |
19 | Malezja | 0,26% | 19 | 艁otwa | 0,40% |
20 | Wietnam | 0,25% | 20 | Hong Kong | 0,33% |
Inne | 2,80% | Inne | 2,98% |
Lista 20 pa艅stw z najwi臋ksz膮 liczb膮 serwer贸w zawieraj膮cych szkodliwy kod w pierwszym kwartale 2010 roku i czwartym kwartale 2009 roku
Chiny, kt贸re wcze艣niej znajdowa艂y si臋 na prowadzeniu, spad艂y na trzecie miejsce. Powodem tego spadku jest najwyra藕niej noworoczny "podarek" dla cyberprzest臋pc贸w od chi艅skich w艂adz. Jest nim zaostrzenie polityki dotycz膮cej rejestracji adres贸w internetowych przy u偶yciu chi艅skiej domeny ".cn". Niestety, chocia偶 chcieliby艣my, aby ostrzejsze procedury rejestracji w jednym pa艅stwie oznacza艂y mniejsz膮 cyberprzest臋pczo艣膰, nie jest to takie proste. Szkodliwy kod "przeni贸s艂 si臋" do Stan贸w Zjednoczonych i Rosji, w szczeg贸lno艣ci do tego drugiego pa艅stwa. Wygl膮da na to, 偶e cyberprzest臋pcy ch臋tnie wykorzystuj膮 stosunkowo 艂agodne rosyjskie przepisy dotycz膮ce rejestracji domen, co pokazuj膮 nie tylko dane statystyczne dotycz膮ce hostingu szkodliwego kodu, ale r贸wnie偶 dane statystyczne odnosz膮ce si臋 do spamu i phishingu. Mo偶emy mie膰 tylko nadziej臋, 偶e 艣rodki wprowadzone 1 kwietnia 2010 roku dotycz膮ce rejestracji rosyjskiej domeny '.ru', kt贸re wymagaj膮 przedstawienia dokument贸w potwierdzaj膮cych to偶samo艣膰 wnioskuj膮cych stron, b臋dzie mia艂o taki sam skutek jak w Chinach, a szkodliwe programy "wyemigruj膮" z rosyjskich serwer贸w.
Zagro偶enia na komputerach u偶ytkownik贸w
Je偶eli zagro偶enie zdo艂a obej艣膰 kilka warstw ochrony internetowej i pocztowej, przedostanie si臋 do komputera u偶ytkownika, gdzie powinien czeka膰 na nie program antywirusowy. Zobaczmy, co wykry艂 program antywirusowy, i przeanalizujmy rozk艂ad zachowa艅 wykrytych zagro偶e艅 zar贸wno w czwartym kwartale 2009 roku jak i pierwszym kwartale 2010 roku.

10 najcz臋艣ciej wykrywanych zagro偶e艅 na komputerach u偶ytkownik贸w w czwartym kwartale 2009 roku i pierwszym kwartale 2010 roku.
Na prowadzenie wysun臋艂y si臋 trojany, kt贸re w trzecim kwartale 2009 roku wypchn臋艂y z tej pozycji robaki. Odsetek trojan贸w ro艣nie - pod koniec pierwszego kwarta艂u stanowi艂 21,46% wszystkich wykrytych zagro偶e艅. Na drugim miejscu znajduj膮 si臋 programy adware - one r贸wnie偶 zaj臋艂y miejsce robak贸w po wprowadzeniu surowszych przepis贸w oraz zwr贸ceniu wi臋kszej uwagi na dzia艂alno艣膰 cyberprzest臋pc贸w. W tych okoliczno艣ciach popularne staj膮 si臋 zar贸wno legalne jak i na wp贸艂 legalne sposoby generowania dochod贸w przy u偶yciu narz臋dzi hakerskich. W ko艅cu szkodliwi u偶ytkownicy mog膮 u偶y膰 botnetu w celu zainstalowania ca艂ej gamy program贸w adware. Na przyk艂ad, popularny program AdWare.Win32.Funweb, kt贸ry dodaje do r贸偶nych przegl膮darek pasek narz臋dzi, jest coraz cz臋艣ciej rozprzestrzeniany za po艣rednictwem masowych wysy艂ek spamowych rozsy艂anych z botnet贸w.
Odsetek wirus贸w w pierwszym kwartale 2010 roku zmniejszy艂 si臋 o 0,23% i wyni贸s艂 9,72%. Najpopularniejszym wirusem jest dzisiaj Virus.Win32.Sality. Co dwudziesty wykryty program by艂 zainfekowany tym wirusem. Pod koniec kwarta艂u Kaspersky Lab uzyska艂 nowy wariant - Virus.Win32.Sality.ag - kt贸ry wykorzystuje ca艂kowicie nowy algorytm deszyfrowania utrudniaj膮cy wykrywanie tego wirusa. Naturalnie, w czasach, gdy wirusy s膮 pisane w celach przest臋pczych, nic i nikt nie zostaje zainfekowany bez wyra藕nej przyczyny. Wirus ten jest szczeg贸lnie gro藕ny ze wzgl臋du na jego funkcj臋 backdoora, kt贸ra pozwala szkodliwym u偶ytkownikom na przej臋cie ca艂kowitej kontroli nad zainfekowanym komputerem.
Jak ju偶 wspominali艣my wcze艣niej, robaki stanowi膮 obecnie trzeci najbardziej rozpowszechniony rodzaj szkodliwego oprogramowania. W g艂贸wnej mierze wynika to z epidemii robaka Autorun, kt贸ra wydaje si臋 nie s艂abn膮膰. W trzecim kwartale 2009 roku mia艂 miejsce niewielki spadek liczby tych zagro偶e艅, niestety jednak trend ten nie utrzyma艂 si臋. Obecnie prawie ka偶de urz膮dzenie, kt贸re mo偶na zsynchronizowa膰 z komputerem, mo偶e by膰 wykorzystane przez robaka Autorun jako no艣nik infekcji. Liczba takich urz膮dze艅 nieustannie wzrasta. Robak ten mo偶e r贸wnie偶 dzia艂a膰 w systemach Android i Symbian. Odnotowali艣my infekcj臋 wielu r贸偶nych urz膮dze艅, kt贸re dopiero zostan膮 oficjalnie opublikowane.
J臋zyki skryptowe s膮 stosunkowo proste, dlatego mo偶na je bez trudu wykorzysta膰 do napisania dowolnego rodzaju kodu, 艂膮cznie ze szkodliwym. W ostatnim kwartale odsetek zagro偶e艅 tworzonych w r贸偶nych j臋zykach skryptowych wzr贸s艂 o 2,3% i obejmowa艂 takie j臋zyki jak FlyStudio ('e' language) oraz VisualBasic, chocia偶 najpopularniejszy w艣r贸d szkodliwych u偶ytkownik贸w jest AutoIT.
W ostatnim kwartale 艂adowarka baterii USB okaza艂a si臋 najbardziej nietypowym no艣nikiem zagro偶e艅. Wykorzystuje ona trojana o nazwie Arucer.dll, kt贸ry dzia艂a w systemie operacyjnym Windows i przenika do komputer za po艣rednictwem oprogramowania wykorzystywanego do wy艣wietlania procesu na艂adowania baterii. Po infekcji szkodliwe oprogramowanie 艂膮czy si臋 z portem 777 i czeka na polecenie. Potrafi usuwa膰, pobiera膰 i uruchamia膰 pliki. Po instalacji program konfiguruje rejestr w taki spos贸b, aby uruchamia艂 si臋 automatycznie.
Botnety: w wirze walki
Walka mi臋dzy botnetami robi si臋 coraz bardziej zaci臋ta. Zagro偶enie ze strony cyberprzest臋pczo艣ci w ko艅cu zosta艂o dostrze偶one przez spo艂ecze艅stwo, w tym przez organy 艣cigania oraz inne organizacje. Wsp贸lne wysi艂ki r贸偶nych agencji i firm, od tw贸rc贸w oprogramowania po r贸偶ne instytucje rz膮dowe, takie jak Ameryka艅ska federalna komisja handlowa, ju偶 teraz doprowadzi艂y do zdj臋cia kilku wa偶nych centr贸w kontroli botnet贸w.
Na pocz膮tku 2010 roku zamkni臋to kilka centr贸w kontroli botnet贸w, kt贸re zosta艂y stworzone przy pomocy szkodliwego oprogramowania o nazwie Email-worm.Win32.Iksmas, znanego r贸wnie偶 jako Waledac. Botnet ten jest znany ze swoich mo偶liwo艣ci wysy艂ania spamu - do 1,5 miliarda maili dziennie. Wiadomo艣ci te zwykle zawieraj膮 "gor膮ce tematy" w nag艂贸wkach oraz odno艣niki do Iksmasa, bot贸w polimorficznych po stronie serwera oraz technologii fast-flux. W rezultacie powsta艂 ogromny i stosunkowo z艂o偶ony botnet. 22 lutego stanowy s膮d Wirginii wyda艂 orzeczenie na korzy艣膰 Microsoftu i zezwoli艂 na zawieszenie obs艂ugi domen zwi膮zanych z systemem kontroli botnetu. Wszystkie te domeny zosta艂y zarejestrowane w strefie ".com", a dostawc膮 us艂ugi by艂a firma VeriSign z siedzib膮 w Stanach Zjednoczonych. Z pewno艣ci膮 mo偶na tu m贸wi膰 o zwyci臋stwie, jest to jednak tylko jedna wygrana bitwa w ca艂ej wojnie. Po zdj臋ciu niekt贸rych centr贸w kontroli szkodliwi u偶ytkownicy zacz臋li ustanawia膰 centra kontroli botnetu w innych strefach domen i nadal wysy艂ali spam. Odosobnione dzia艂ania przeciwko takiemu przeciwnikowi nie s膮 tak skuteczne jak regularne operacje ukierunkowane na zamykanie centr贸w kontroli botnet贸w. To w艂a艣nie ta ci膮g艂a presja wywierana na cyberprzest臋pc贸w powinna by膰 kolejnym etapem walki z botnetami. Mamy nadziej臋, 偶e takie 艣rodki zostan膮 zastosowane w najbli偶szej przysz艂o艣ci.
Opr贸cz likwidowania centr贸w kontroli istnieje r贸wnie偶 inny potencjalny spos贸b zwalczania botnet贸w - co prawda podej艣cie to jest o wiele bardziej z艂o偶one z punktu widzenia organ贸w 艣cigania, ale za to znacznie skuteczniejsze - nale偶y 艂apa膰 tw贸rc贸w wirus贸w. W Hiszpanii organy 艣cigania aresztowa艂y w艂a艣cicieli jednego z najwi臋kszych botnet贸w. Botnet Mariposa zosta艂 stworzony przy pomocy robaka P2P-Worm.Win32.Palevo, kt贸ry posiada szerok膮 funkcjonalno艣膰, obejmuj膮c膮 samodzielne rozprzestrzenianie si臋 oraz mo偶liwo艣膰 wykonywania szkodliwych dzia艂a艅. Rozprzestrzenia si臋 za po艣rednictwem sieci P2P, komunikator贸w internetowych oraz urz膮dze艅 takich jak aparaty fotograficzne czy pami臋ci masowe. Gdy szkodliwe oprogramowanie zainstaluje si臋 na komputerze ofiary, cyberprzest臋pcy uzyskuj膮 ca艂kowit膮 kontrol臋 nad jego maszyn膮 i pr贸buj膮 pobra膰 inny modu艂. G艂贸wnym celem by艂o generowanie pieni臋dzy poprzez sprzeda偶 osobistych danych skradzionych w艂a艣cicielom zainfekowanych komputer贸w, w szczeg贸lno艣ci nazw u偶ytkownik贸w i hase艂 do r贸偶nych serwis贸w internetowych, g艂贸wnie bankowo艣ci online.
Z pomoc膮 dostawc贸w us艂ug internetowych zamkni臋to centra kontroli botnet贸w i zidentyfikowano jednego z przest臋pc贸w kieruj膮cych botnetem. W wi臋kszo艣ci przypadk贸w niezwykle trudno jest zidentyfikowa膰 藕r贸d艂o polece艅, jednak w przypadku Palevo okaza艂o si臋 to stosunkowo proste. Osoby kieruj膮ce botnetem nie posiada艂y g艂臋bszej wiedzy technicznej ani do艣wiadczenia, co oznacza艂o, 偶e jeden z w艂a艣cicieli botnetu u偶ywa艂 swojego komputera domowego.
Botnet Mariposa po raz kolejny pokaza艂 nam, 偶e cyberprzest臋pcy nie musz膮 posiada膰 zaawansowanej wiedzy technicznej. Obecnie wszystko mo偶na kupi膰 i sprzeda膰, a botnety nie s膮 wyj膮tkiem od tej regu艂y. Bez trudu mo偶na zakupi膰 nawet us艂ugi maskowania kodu 藕r贸d艂owego s艂u偶膮cego do kontroli botnetu. Jak dot膮d nie wprowadzono 偶adnego ograniczenia prawnego w stosunku do os贸b 艣wiadcz膮cych tego rodzaju us艂ugi.
Aby odnie艣膰 zwyci臋stwo w wojnie przeciwko botnetom, niezb臋dne s膮 dzia艂ania proaktywne w zakresie prawodawstwa, w po艂膮czeniu z wykorzystaniem najnowszych technologii bezpiecze艅stwa IT. Nie mo偶na zapomina膰, 偶e zdj臋cie centr贸w kontroli botnetu nie oznacza os艂abienia jego si艂y: jego "spu艣cizna" pozostaje. Zmiany, jakich dokona w systemie komputerowym szkodliwy program, nie znikn膮 nagle - je偶eli 偶膮dania u偶ytkownika zostan膮 przekierowane do zainfekowanych zasob贸w, nadal b臋d膮 tak przekierowywane, a je艣li dysk twardy zosta艂 otwarty do publicznego dost臋pu, ju偶 taki pozostanie. Co wi臋cej, szkodliwi u偶ytkownicy mog膮 odzyska膰 kontrol臋 nad wcze艣niej zainfekowanym komputerem. Tylko wszechstronne podej艣cie do rozwi膮zywania problemu botnetu mo偶e uniemo偶liwi膰 dzia艂ania cyberprzest臋pc贸w oraz zapewni膰 ochron臋 ich potencjalnym ofiarom.
Co dalej?
W nast臋pnych trzech miesi膮cach prawdopodobnie us艂yszymy o procesach zwi膮zanych z cyberprzest臋pczo艣ci膮. Na szcz臋艣cie, organy 艣cigania z r贸偶nych pa艅stw zacz臋艂y podejmowa膰 w艂a艣ciwe dzia艂ania i odgrywa膰 znacz膮c膮 rol臋 w aktywnym zmienianiu geografii cyberprzest臋pczo艣ci. Istotne jest to, 偶e walka toczy si臋 nie tylko na papierze, ale znajduje odzwierciedlenie r贸wnie偶 w 偶yciu realnym. W dzisiejszych czasach cyberprzest臋pca nie musi by膰 nadzwyczajnym programist膮. Rozwijaj膮cy si臋 czarny rynek, na kt贸rym mo偶na kupi膰 wszystko od szkodliwego oprogramowania po centra kontroli botnetu, w po艂膮czeniu z rosn膮cym problemem bezrobocia, mo偶e przyczyni膰 si臋 do dalszego wzrostu liczby cyberprzest臋pc贸w dzia艂aj膮cych na rozrastaj膮cym si臋 rynku cyberprzest臋pczym. Nie ma w膮tpliwo艣ci, 偶e trojany zaciekle walcz膮 o kontrol臋 nad komputerami u偶ytkownik贸w. Szkodliwe oprogramowanie stanie si臋 jeszcze bardziej proaktywne w zwalczaniu zabezpiecze艅 antywirusowych, podobnie jak inne zagro偶enia. Mo偶emy si臋 r贸wnie偶 spodziewa膰, 偶e cyberprzest臋pcy b臋d膮 rozwijali i wykorzystywali ulepszone metody rozprzestrzeniania istniej膮cych trojan贸w.
殴r贸d艂o:![]() |