Ewolucja złośliwego oprogramowania 2007
2018-03-20 08:00:00

Reklama:

Ewolucja złośliwego oprogramowania 2007Ewolucja złośliwego oprogramowania 2007 Kaspersky Lab, producent rozwiązań do ochrony danych, poinformował o opublikowaniu rocznego raportu dotyczącego ewolucji szkodliwego oprogramowania - Kaspersky Security Bulletin 2007: Ewolucja szkodliwego oprogramowania w 2007 r. Raport przygotowano w oparciu o nową metodę statystyczną, dlatego zawarte w nim dane liczbowe dla 2006 r. - obliczone z wykorzystaniem tej metody - mogą różnić się od tych zawartych w ostatnim raporcie rocznym. Ewolucja złośliwego oprogramowania 2007 Rok 2007 w skrócie Zdaniem Kaspersky Lab rok 2007 zostanie zapamiętany jako rok upadku tak zwanych niekomercyjnych szkodliwych programów. Jednak dopiero czas pokaże, czy szkodniki te zniknęły na dobre. Na razie można powiedzieć jedynie tyle, że w 2007 roku osoby stojące za wszystkimi największymi epidemiami oraz szkodliwymi programami kierowały się pobudkami finansowymi. Jest to pewien przełom w stosunku do 2006 roku, gdy nadal pojawiały się wirusy wandale - przykładem może być epidemia spowodowana przez Nyxem.E, robaka, który nie robił nic poza rozprzestrzenianiem się i usuwaniem plików. Prawie wszystkie epidemie w 2007 roku były krótkotrwałe i nie obejmowały całego Internetu, ale ograniczały się do określonych regionów i państw. Trend ten stał się standardem dla epidemii. Według raportu, bez wątpienia na tle licznych nowych szkodliwych programów, jakie pojawiły się w 2007 r., wyróżniał się robak Storm (sklasyfikowany przez Kaspersky Lab jako Zhelatin). Szkodnik ten zadebiutował w styczniu 2007 roku. W ciągu roku zademonstrował szereg różnych zachowań, metod rozprzestrzeniania się oraz taktyk socjotechniki. Wraz z każdym pojawieniem się nowej wersji tego stworzonego przez nieznanego autora szkodnika eksperci z dziedziny zwalczania szkodliwego oprogramowania rwali sobie włosy z głowy. Zhelatin ucieleśniał prawie wszystkie osiągnięcia twórców szkodliwego oprogramowania z ostatnich kilku lat, z których wiele pojawiło się wcześniej tylko jako kod "proof of concept". Obejmowały one technologie rootkit, śmieciowy kod, botnet, który potrafi zabezpieczyć się przed analizą i badaniem, oraz interakcję między zainfekowanymi komputerami za pośrednictwem sieci P2P bez pojedynczego centrum kontroli. Robak wykorzystywał wszystkie istniejące metody propagacji, od tradycyjnych (wiadomości e-mail oraz komunikatory internetowe) po usługi Web 2.0 (serwisy społecznościowe, blogi, fora i kanały RSS). Cyberprzestępcy wykorzystali również coraz większe zainteresowanie internautów filmikami wideo, maskując Zhelatina jako plik wideo. Główną funkcją robaka Storm było stworzenie sieci, które byłyby następnie wykorzystywane jako spamowe platformy przeprowadzające ataki DoS. Jeżeli chodzi o ataki DoS, według ekspertów z Kaspersky Lab, stanowiły one jeden z kluczowych tematów bezpieczeństwa informatycznego w 2007 roku. O ile ataki te były aktywnie wykorzystywane w latach 2003-2004, do 2007 roku nie stanowiły popularnego narzędzia wśród cyberprzestępców. W zeszłym roku powróciły jednak do łask, ale już nie jako narzędzie do wyłudzania pieniędzy, ale jako sposób na prowadzenie wojny politycznej i konkurencyjnej. Atak DoS na Estonię w maju 2007 roku był szeroko relacjonowany przez media i wielu ekspertów uznało go za pierwszą w historii wojnę cybernetyczną. Bez wątpienia za wieloma atakami DoS przeprowadzonymi w 2007 roku stała konkurencja ich ofiar. Zaledwie cztery lata temu ataki DoS wykorzystywane były wyłącznie przez hakerów szantażystów oraz szkodliwych użytkowników. Obecnie jednak stały się produktem w takim samym stopniu jak wysyłki spamowe oraz wykonywane na zamówienie szkodliwe programy. Reklamowanie usług przeprowadzania ataków DoS stało się powszechnym zjawiskiem, a ich ceny są porównywalne z cenami przeprowadzania wysyłek spamowych. W 2007 branża cyberprzestępcza wprowadziła kilka nowych rodzajów działalności przestępczej, jak wynika z raportu. Szybko rozwijał się biznes tworzenia szkodliwych programów na zamówienie. Nabywcom takich szkodników oferowano nawet wsparcie techniczne. Najlepszym przykładem takiej działalności jest prawdopodobnie trojan szpiegujący Pinch. W ciągu kilku lat stworzono ponad 4 000 wariantów tego trojana. Większość z nich powstało na zamówienie innych szkodliwych użytkowników. Jednak wątek ten prawdopodobnie znalazł swój koniec: w grudniu 2007 roku szef Rosyjskich Federalnych Służb Bezpieczeństwa poinformował, że udało się ustalić tożsamość autorów Pincha. Ewolucja złośliwego oprogramowania 2007 Innym, podobnym przykładem jest wirus Fujack. Ten chiński szkodnik został stworzony w celu kradzieży danych użytkowników gier online, a jego autorzy sprzedawali go każdemu, kto był zainteresowany jego kupnem. Obecnie istnieje kilkaset wariantów Fujacka. Jego twórca zarobił na nim co najmniej 12 000 dolarów - taką sumę podały chińskie organy ścigania, które aresztowały cyberprzestępcę wraz z kilkoma jego klientami. Fujack był jednym z najbardziej wyróżniających się szkodliwych programów z wszystkich rodzin trojanów atakujących gry w 2007 roku. W 2006 roku na scenie dominowały trojany z rodziny Banker (stworzone w celu kradzieży danych z kont bankowych), a firma Kaspersky Lab przewidywała, że w 2007 roku nastąpi rywalizacja pod względem liczby nowych programów między trojanami Banker oraz trojanami atakującymi gry. Jak pokazują wyniki z końca roku, pod względem ilościowym wygrały trojany atakujące gry: trojany te wyraźnie przewyższyły liczebnie trojany z rodziny Banker. Należy jednak zauważyć, że obecnie nie ma jeszcze żadnej bezpośredniej rywalizacji pomiędzy tymi dwiema rodzinami trojanów, ponieważ ich cele nadal stanowią dwie osobne grupy. Świadczy o tym fakt, że nadal nie pojawił się żaden trojan atakujący gry, który potrafi kraść dane dotyczące kont bankowych. Mimo że teoretycznie nietrudno byłoby stworzyć taką hybrydę, brak takich programów wskazywałby na to, że twórcy wirusów nie uważają ich ani za krytyczne, ani chociażby za interesujące. Do najbardziej znamiennych wydarzeń 2007 roku można zaliczyć masowe włamywania się na strony WWW, a następnie umieszczanie na nich szkodliwego oprogramowania (odsyłaczy do zainfekowanych stron). Przykładem może być włamanie się na prawie 10 000 włoskich stron internetowych w czerwcu, kiedy to na zainfekowanych stronach został umieszczony pakiet exploitów Mpack. Tego typu ataki hakerskie przeprowadzane były na całym świecie przez cały rok, a największy atak miał miejsce pod koniec 2007 roku, gdy ponad 70 000 stron internetowych w różnych państwach zostało zainfekowanych szkodliwym kodem pobierającym na zaatakowane maszyny innego trojana atakującego gry. Incydent we Włoszech związany z Mpackiem zwrócił uwagę na inną działalność cyberprzestępczą: w trakcie śledztw ustalono, że na stronach internetowych RBN (Russian Business Network) umieszczono szkodliwe oprogramowanie. Dogłębna analiza wykazała, że RBN setki razy była wykorzystywana jako platforma do rozprzestrzeniania szkodliwego oprogramowania. Był to tak zwany hosting "bullet-proof" - dostawcy usługi gwarantowali swoim klientom anonimowość, ochronę przed powództwem sądowym oraz brak jakichkolwiek plików logowania. Zdaniem ekspertów z Kaspersky Lab były to główne wydarzenia roku 2007, który okazał się najbardziej "zawirusowanym" w dotychczasowej historii. Całkowita liczba zagrożeń w 2007 roku zwiększyła się ponad dwukrotnie. W 2007 roku firma Kaspersky Lab dodała do swojej antywirusowej bazy danych prawie taką samą liczbę nowych programów co w ciągu poprzednich 15 lat. Internet nigdy wcześniej nie doświadczył tak dużej liczby zagrożeń. Sytuacja jest niepokojąca; jeśli w 2008 roku nie zmieni się (są podstawy, aby sądzić, że tak właśnie się stanie), do końca roku liczba zagrożeń znów podwoi się. Ewolucja złośliwego oprogramowania 2007 Szkodliwe programy System klasyfikacji szkodliwego oprogramowania firmy Kaspersky Lab wyróżnia trzy klasy szkodliwych programów: TrojWare - są to programy trojańskie, które nie potrafią samodzielnie się rozprzestrzeniać (backdoory, rootkity i wszystkie typy trojanów); VirWare - samodzielnie rozprzestrzeniające się złośliwe programy (wirusy i robaki); Inne rodzaje MalWare - programy aktywnie wykorzystywane przez szkodliwych użytkowników w celu tworzenia złośliwych programów i przeprowadzania ataków. Wzrost liczby nowych szkodliwych programów. Według ekspertów w 2007 roku średnia liczba nowych szkodliwych programów wykrywanych każdego miesiąca wzrosła o 114,28 % w stosunku do 2006 roku i wynosiła 18 347,67 (dla porównania, w 2006 roku liczba ta wynosiła 8 562,50). W okresie, który obejmuje raport Kaspersky Lab, wykryto 220 172 nowych szkodliwych programów. W 2007 roku liczba wykrytych nowych trojanów wzrosła w stosunku do 2006 roku o 119,73 %. Główne przyczyny wzrostu liczby tego typu programów w Internecie pozostają te same: tworzenie programów z klasy TrojWare jest stosunkowo proste (w przeciwieństwie do wirusów czy robaków); ponadto programy te mogą być wykorzystywane do kradzieży danych, tworzenia botnetów oraz przeprowadzania masowych wysyłek. Rozkład szkodliwych programów według klasy. Zgodnie z raportem w 2007 roku nie zaszły żadne poważne zmiany w udziale procentowym poszczególnych klas. Utrzymał się trend obserwowany przez kilka ostatnich lat: podczas gdy liczba programów z klasy TrojWare nadal wzrasta, klasy VirWare oraz Inne rodzaje MalWare wykazuje stopniowy spadek. Odsetek trojanów w całkowitej liczbie szkodliwych programów zwiększył się w ciągu roku o 2,28% i wynosił 91,73%. Spadek całkowitej liczby robaków i wirusów (VirWare) w 2006 roku trwał do czerwca 2007 roku (-2,26%), pod koniec roku nastąpił jednak pewien wzrost. Ogólnie w 2007 roku udział procentowy klasy VirWare spadł o 0,47% i stanowił 5,64% wszystkich szkodliwych programów. Do połowy roku udział klasy Inne rodzaje MalWare spadł do 1,95% wszystkich szkodliwych programów. Pod koniec 2007 roku sytuacja zmieniła się i szkodniki z tej klasy stanowiły 2,63%. Na przedstawionym wykresie widać, że najwyższe punkty na wykresie przypadają na maj i sierpień 2007 roku, po których natychmiast następowały spadki. W niczym nie przypomina to sytuacji z 2006 roku, gdy liczba programów z tej klasy nieustannie rosła. Możliwe, że klasa trojanów osiągnęła stabilizację i sytuacja, jaka miała miejsce w 2007 roku, powtórzy się. Jeśli stanie się tak, jak przewidują eksperci, następnego natężenia aktywności w obrębie klasy TrojWare można spodziewać się na samym początku 2008 r. Ewolucja złośliwego oprogramowania 2007 Analiza wzrostu liczebnego różnych zachowań pozwoli lepiej zrozumieć zmiany, jakie zaszły w klasie TrojWare. Prawie wszystkie typy trojanów odnotowały wzrost liczbowy. W 2007 roku najznaczniejszy wzrost w obrębie klasy TrojWare odnotowały trojany kradnące hasła oraz backdoory. 400% wzrost liczby trojanów SMS nie został uwzględniony w analizie Kaspersky Lab, ponieważ liczba takich programów jest niezwykle mała. Liczba backdoorów wzrosła o prawie 190%, tym samym trojany te wysunęły się na pierwsze miejsce pod względem liczebności (wyprzedzając trojany downloadery, które były na prowadzeniu w 2006 roku). Wzrost ten można porównać jedynie do szybkiej ewolucji robaków pocztowych w latach 2002 - 2004. Obecnie backdoory stanowią prawie jedną trzecią wszystkich szkodliwych programów tworzonych na całym świecie, z których ogromną większość stanowią backdoory stworzone w Chinach. W 2007 roku Chiny bezsprzecznie zdobyły tytuł wirusowego supermocarstwa. Oprócz backdoorów w 2007 roku chińscy twórcy wirusów aktywnie zajmowali się również rozwojem szeregu różnych trojanów przeznaczonych do kradzieży danych użytkowników, w szczególności danych dotyczących kont popularnych gier online. Odzwierciedla to 200% wzrost liczby trojanów kradnących hasła. Podobnie jak w 2006 roku zachowanie to znalazło się na drugim miejscu pod względem liczebności, ostro rywalizując z trojanami downloaderami o czołową pozycję. W obrębie kategorii TrojWare Kaspersky Lab wyróżnia obecnie trzy główne grupy zachowań: Backdoory, trojany PSW oraz trojany downloadery. Są to najbardziej rozpowszechnione rodzaje trojanów i stanowią 75 proc. całej klasy TrojWare (udział każdego z tych zachowań w klasie TrojWare przekracza 20 proc.). Trojany oraz trojany szpiegujące. Udział procentowy tych zachowań w klasie TrojWare wynosi prawie 9 proc. i wykazuje średnie współczynniki wzrostu. Prawdopodobieństwo, że zachowania te odnotują wystarczający wzrost, aby znaleźć się w pierwszej grupie, jest niewielkie. Z drugiej strony, równie mało prawdopodobny jest ich spadek do trzeciej kategorii. Trojany proxy, trojany droppery, trojany clickery oraz inne rootkity. Udział procentowy tej grupy zachowań mieści się w przedziale od 0,7% do 2,1%. Z wyjątkiem rootkitów współczynnik wzrostu zachowań z tej grupy nie przekracza 40 proc. Rootkity dołączyły do tej grupy w 2007 roku dzięki znacznemu współczynnikowi wzrostu wynoszącemu 116,1%. Liczba programów wykazujących określone zachowanie może wzrosnąć i mogą one wejść do drugiej grupy, mimo że bardziej prawdopodobny jest dalszy spadek udziału procentowego tej grupy, ponieważ liczba przedstawicieli pierwszej grupy nadal wzrasta. Trojany szpiegujące, które najszybciej ewoluują i stanowią największe zagrożenie dla użytkowników, to programy należące do rodzin, których celem jest kradzież danych użytkowników związanych z grami online oraz systemami bankowymi. Zdaniem specjalistów na uwagę zasługują rootkity. Często programy takie służą do maskowania innych trojanów w zainfekowanym systemie, a jeden rootkit może zostać wykorzystany przez wielu szkodliwych użytkowników. W 2005 roku (gdy firma Kaspersky Lab po raz pierwszy wprowadziła to zachowanie do swojej klasyfikacji) rootkity stanowiły jeden z najgorętszych tematów w branży antywirusowej, a twórcy wirusów zaczęli aktywnie rozwijać te programy: w ciągu jednego roku liczba nowych rootkitów zwiększyła się o 413%. Po tak dużym wzroście należałoby się spodziewać niewielkiego spadku współczynnika wzrostu. Jednak w 2006 roku liczba rootkitów wzrosła o 74%. Ewolucja złośliwego oprogramowania 2007 Według raportu trend ten utrzymał się w roku 2007, a wzrost dla całego roku wyniósł ponad 116%. Jednak dane Kaspersky Lab wyraźnie pokazują, że w pierwszej połowie 2007 roku liczba nowych rootkitów przewyższyła wartości osiągnięte w innych okresach. Firma Kaspersky Lab odnotowała 178% wzrost tych programów w pierwszej połowie 2007 roku. Zaraz po nim nastąpił niewyjaśniony spadek. Spadek ten mógł być spowodowany zmniejszoną aktywnością autorów robaka Zhelatin (znanego jako Storm), który w 2007 roku stanowił jeden z głównych programów wykorzystujących rootkity. W opinii specjalistów na razie sytuacja programów wykazujących zachowanie typowe dla trojanów nie pozwala przewidzieć, co może zdarzyć się w najbliższej przyszłości. Bardzo dużo zależy od rozpowszechnienia systemu Windows Vista. Jak wynika z wykresu, w 2007 r. pojawianie się nowych programów z klasy VirWare cechowało się zmiennością, miały miejsce trzy okresy wzrostu, a po których nastąpiły okresy spadkowe. Obecnie według ekspertów wahania te zmniejszają się i 2008 rok przyniesie prawdopodobnie stabilniejsze trendy. Ogólnie, w 2007 r. kategoria VirWare wykazała prawie 98% wzrost liczby nowych szkodliwych programów (w 2006 roku liczba nowych szkodliwych programów z klasy VirWare wzrosła o zaledwie 8%). To jednak nie wystarczyło, aby kategoria ta utrzymała swój poprzedni udział w całkowitej liczbie szkodliwych programów: odsetek programów z klasy VirWare zmniejszył się z 6,11% w 2006 r. do 5,64% w 2007. Jak wynika z raportu wszystkie zachowania z klasy VirWare wykazały wzrost w 2007 roku. To jedyna klasa szkodliwych programów, które odnotowały takie liczby. Robaki pocztowe, najbardziej rozpowszechnione zachowanie, odnotowały w 2007 roku najwyższe współczynniki wzrostu. W 2006 roku ich liczba wzrosła o 43%, a w 2007 roku o 36,35%. Pozwoliło to szkodliwym programom z tej klasy utrzymać się na pierwszym miejscu, mimo że różnica między innymi zachowaniami zmniejszyła się do niecałych 11%. Duża liczba wariantów robaków pocztowych to zasługa przedstawicieli wszystkich trzech głównych rodzin: Warezov, Zhelatin oraz Bagle. W raportach dla pierwszego półrocza 2007 r. firma Kaspersky Lab przewidywała, że zachowanie Wirus przesunie się na drugie miejsce i tak też się stało: według wyników z końca roku, odsetek programów wykazujących takie zachowanie wyniósł prawie 28%, co pod względem liczebności zapewniło im drugie miejsce w klasie VirWare. W 2007 roku klasyczne wirusy odnotowały największy wzrost spośród wszystkich szkodliwych programów - ich liczba zwiększyła się o 389,6%. Wzrost ten spowodowany był głównie rozprzestrzenianiem wirusów za pośrednictwem pamięci przenośnej flash. Ten spory wzrost jest tym bardziej zaskakujący, jeśli wziąć pod uwagę, że wzrost odnotowany przez ten typ szkodliwych programów w 2006 roku wynosił 29%. Zdaniem specjalistów jest to dość niepokojące, ponieważ usuwanie wirusów jest trudniejsze niż usuwanie trojanów. Ponadto, wiele popularnych programów antywirusowych, które deklarują dużą skuteczność w wykrywaniu standardowych szkodliwych programów, często słabo radzi sobie z wykrywaniem złożonych wirusów polimorficznych. Może spowodować to poważne problemy w najbliższej przyszłości, ponieważ twórcy wirusów już teraz koncentrują się na tym słabym punkcie. W 2006 roku szkodliwe programy wykazujące zachowanie Wirus odnotowały imponujący wzrost wynoszący 220%. W 2007 roku ich tempo wzrostu nieco spadło i pod koniec roku wynosiło mniej niż połowa wartości dla 2006 roku (prawdopodobnie było to spowodowane aresztowaniem w Chinach autora rodziny robaków Viking). Jednak pod koniec roku wzrost liczby tych programów wynosił 111,8%. Kolejną grupą szkodliwych programów, która wywołała poruszenie w 2007 roku, według raportu, były robaki rozprzestrzeniające się za pośrednictwem komunikatorów internetowych. W 2006 roku Kaspersky Lab stwierdził, że robaki komunikatorów internetowych nie są w stanie zdobyć mocnej pozycji na scenie wirusów. W 2006 roku nastąpił 45% spadek liczby nowych robaków komunikatorów internetowych i wszystko wskazywało na to, że w 2007 roku programy te znikną. Jednak wbrew przewidywaniom, szkodniki te nie tylko przetrwały, ale nawet przeżywały rozkwit. Spowodowane to było zmianą wektora propagacji takich robaków, odejściem od komunikatorów AOL oraz MSN na rzecz Skypea. Co więcej, powszechne wykorzystywanie klientów IM jako sposobu rozprzestrzeniania szkodliwych programów przyczyniło się do aktywnego rozprzestrzeniania robaka Zhelatin za pośrednictwem ICQ. W rezultacie, robaki komunikatorów internetowych niespodziewanie zajęły czwarte miejsce pod względem ilości w obrębie klasy VirWare (5,5%) oraz drugie miejsce pod względem współczynnika wzrostu (178,2%) W kategorii VirWare można wyróżnić dwie główne grupy zachowań: Robak pocztowy, robak oraz wirus. Ta grupa zachowań stanowi niecałe 90% całej klasy VirWare. Udział procentowy każdego zachowania wynosi ponad 20 proc. całej klasy VirWare. Mimo że lider tej grupy (robak pocztowy) nie ewoluował znacząco, zachowania wirus oraz robak odnotowały znaczny wzrost. Robak komunikatorów internetowych (IM-Worm), robak sieciowy (Net-Worm), robak P2P oraz robak IRC. Z wyjątkiem robaka komunikatorów internetowych udział procentowy każdego z tych zachowań stanowi mniej niż 5 proc. całej klasy VirWare. W 2007 roku zachowania te wykazywały średnie współczynniki wzrostu. Z grupy tej swą liczebność zwiększą prawdopodobnie tylko robaki komunikatorów internetowych ze względu na szybką ewolucję komunikatorów internetowych, łącznie ze Skypem. Sytuacja robaków sieciowych nadal nie wygląda najlepiej; z powodu braku luk krytycznych w zabezpieczeniach usług sieciowych systemu Windows, twórcy wirusów nie mogą zaimplementować niczego nowego. Ogólnie współczynniki wzrostu w obrębie klasy VirWare są mniejsze niż w obrębie klasy TrojWare (98% w stosunku do 120%) i znacznie wyższe niż współczynniki wzrostu w obrębie klasy Inne rodzaje MalWare. Inne rodzaje MalWare Liczba wykrywanych szkodliwych programów z klasy Inne rodzaje MalWare jest najmniejsza, jednak klasa ta charakteryzuje się największym zróżnicowaniem zachowań, jak wynika z raportu. Niewielki wzrost liczby nowych szkodliwych programów z tej klasy w latach 2004-2005 (odpowiednio 13% i 43%) przeszedł w 2006 roku w spadek (-7%). Jednak w 2007 roku okazało się, że w poprzednim roku mieliśmy prawdopodobnie do czynienia z okresem plateau; szkodliwe programy z tej klasy umocniły swoje pozycje, aby następnie przejść na kolejny poziom. Pod koniec 2007 roku klasa Inne rodzaje MalWare odnotowała ponad 27% wzrost liczby nowych szkodliwych programów. Jednak to nie wystarczyło, aby klasa ta utrzymała swój udział w całkowitej liczbie szkodliwych programów i pod koniec roku wzrost wynosił 2,63%, co oznacza spadek w stosunku do 2006 roku (gdy wzrost wynosił 4,44%). Według badań najbardziej dominującym zachowaniem w tej klasie nie jest już Exploit. W ciągu ostatnich dwóch lat jego pozycja spadła. W 2006 roku udział tego zachowania wynosił ponad 30%, a jego współczynnik wzrostu zmniejszył się do 21%. W 2007 roku zachowanie to stanowiło 21,02% klasy Other MalWare, a w ciągu roku liczba exploitów spadła o 34% w stosunku do 2006 roku. Posiadające wcześniej niezagrożoną pozycję zachowanie exploit utraciło swoją dominację z powodu twórców przeglądarek internetowych oraz systemów operacyjnych - głównie Microsoftu. W przeciwieństwie do poprzednich lat, nie wykryto żadnych krytycznych luk w zabezpieczeniach porównywalnych do tych wykorzystywanych przez twórców wirusów w latach 2003-2005. Największy współczynnik wzrostu wykazało zachowanie Hoax (+284,63%). Już drugi rok z rzędu zachowanie to odnotowało wzrost przekraczający 150%. Hoax wyprzedził Exploita (którego udział wyniósł 22,68% całej klasy VirWare), jednak różnica między nimi wyniosła zaledwie 1,56%. Ewolucja złośliwego oprogramowania 2007 Packed oraz FraudTool to dwa nowe zachowania, które w 2007 roku zostały włączone do systemu klasyfikacji firmy Kaspersky Lab i znalazły się na trzecim i czwartym miejscu pod względem rozpowszechnienia. Zachowanie FraudTool obejmuje fałszywe produkty antywirusowe, które oszukały setki internautów, rzekomo wykrywając na ich komputerach trojana i prosząc o uiszczenie niewielkiej zapłaty za usunięcie tak zwanej infekcji. W 2007 roku spam i ataki DoS stanowiły główne tematy newsów dotyczących bezpieczeństwa IT. W 2006 roku liczba zachowań SpamTool wzrosła aż o 107%, a zachowanie to uplasowało się na piątym miejscu w klasie Inne rodzaje MalWare. W pierwszej połowie 2007 roku SpamTool był absolutnym liderem pod względem współczynników wzrostu w tej klasie: liczba jego reprezentantów wzrosła o 222%, co pozwoliło mu na zajęcie drugiego miejsca pod względem liczebności. Pod koniec roku liczba programów wykazujących ten rodzaj zachowania była podoba do tej z 2006 roku (6 miejsce). Pod koniec roku liczba nowych programów w obrębie tego zachowania była dość duża i, zdaniem ekspertów, trend ten prawdopodobnie nie zmieni się w 2008 roku. Jeżeli chodzi o ataki DoS, liczba przedstawicieli tego zachowania nadal jest niewielka, jednak współczynnik wzrostu wyraźnie pokazuje, że w 2008 roku pojawi się setka programów wykazujących to zachowanie. Potencjalnie niechciane programy Zdaniem Kaspersky Lab potencjalnie niechciane programy to programy, które są wprawdzie rozwijane i dystrybuowane przez legalne firmy, posiadają jednak funkcje, które mogą zostać wykorzystane przez szkodliwych użytkowników. Programy te nie można sklasyfikować jako szkodliwe lub całkowicie bezpieczne - wszystko zależy od tego, kto ich używa. Kaspersky Lab klasyfikuje RiskWare, PornWare oraz AdWare jako potencjalnie niechciane programy. Przez wiele lat firma Kaspersky Lab oferowała opcję wykrywania potencjalnie niechcianych programów. Jednak dane takie nie były uwzględniane w raportach firmy. Częściowo było to spowodowane niewielką liczbą takich programów, częściowo zmieniającymi się kryteriami, jakie stosowano w celu określenia, czy dane oprogramowanie stanowi potencjalnie szkodliwe. W 2007 roku branża antywirusowa zdołała wypracować ogólną definicję potencjalnie niechcianego programu, dzięki czemu firma Kaspersky Lab może bardziej szczegółowo klasyfikować takie programy. RiskWare oraz PornWare Klasa RiskWare obejmuje legalne oprogramowanie, które - jeśli znajdzie się w rękach szkodliwych użytkowników - może zostać wykorzystane do wyrządzenia szkód użytkownikom oraz ich danych poprzez niszczenie, blokowanie, modyfikowanie lub kopiowanie danych lub zakłócanie działania komputerów lub sieci komputerowych. Obecnie liczba programów RiskWare nie jest nawet równa liczbie programów z klasy Inne rodzaje MalWare, jednak w opinii specjalistów ogólny wzrost liczebności takich programów stanowi powód do niepokoju. Coraz więcej programów znajduje się na cienkiej granicy oddzielającej oprogramowanie "szkodliwe" od "nieszkodliwego". Stwarza to wiele dodatkowych problemów, zarówno dla użytkowników, jak i firm antywirusowych. Co więcej, na tym tle powstają spory prawne między twórcami oprogramowania RiskWare a firmami antywirusowymi. W 2007 roku doprowadziło to do wielu procesów, z których wiele zostało rozstrzygniętych na korzyść firm antywirusowych. Ewolucja złośliwego oprogramowania 2007 Termin PornWare odnosi się do narzędzi, które wiążą się z wyświetlaniem, w ten czy inny sposób, materiałów pornograficznych. Klasa ta obejmuje szereg różnych programów związanych z pornografią, takich jak dialery, downloadery oraz PornTool. Programy PornWare nie są szczególnie rozpowszechnione, a liczba nowych programów tego typu wykrytych przez Kaspersky Lab w 2007 roku nie przekracza 500, dlatego eksperci Kaspersky Lab zdecydowali się połączyć tę klasę z RiskWare. Według raportu wśród zachowań z klasy RiskWare oraz PornWare wyłaniają się dwaj zdecydowani liderzy: Monitor (36,65%) oraz Porn-Dialer (13,98%). Zachowanie Monitor obejmuje szereg tak zwanych legalnych keyloggerów. Tego typu oprogramowanie jest oficjalnie tworzone i sprzedawane, mimo że ze względu na zdolność do ukrywania swojej obecności w zainfekowanym systemie może być wykorzystywany w taki sam sposób co w pełni funkcjonalne trojany szpiegujące. Porn-Dialers to programy, które wywołują płatne zasoby materiałów pornograficznych. Łączą się one z płatnymi numerami telefonicznymi, co często prowadzi do procesów sądowych między subskrybentami a firmami telefonicznymi. Według danych dostarczonych przez skaner online firmy Kaspersky Lab, w 2007 roku najbardziej rozpowszechnione były programy zaklasyfikowane jako dialery i Porn-Dialery. Oprócz zachowania Monitor i Porn-Dialer, szeroko rozpowszechnione były również inne zachowania, takie jak PSW-Tool oraz RemoteAdmin. Programy PSW-Tool mogą służyć do przywracania zapomnianych haseł, jednak szkodliwi użytkownicy mogą z łatwością wykorzystywać je do wydobywania haseł z komputerów niczego nie spodziewających się ofiar. Programy wykazujące zachowanie RemoteAdmin są niezwykle popularne wśród administratorów systemu. Mimo że posiadają legalne zastosowania, programy te są wykorzystywane przez hakerów w celu sprawowania kontroli nad zaatakowanymi komputerami. Legalny status programów RemoteAdmin daje szkodliwym użytkownikom pewną gwarancję, że niektóre programy antywirusowe nie będą w stanie wykryć ich obecności w systemie. AdWare obejmuje oprogramowanie przeznaczone do wyświetlania reklam (najczęściej banerów), przekierowywania żądań wyszukiwania na strony reklamowe oraz zbierania danych marketingowych dotyczących użytkownika (na przykład rodzajów odwiedzanych przez niego stron internetowych). Jest to duża klasa programów, wykrywanych przez firmy antywirusowe już od pewnego czasu. Walka z programami AdWare przyczyniła się zarówno do narodzin jak i upadku przemysłu tworzenia oprogramowania do zwalczania adware. W 2007 roku nastąpił gwałtowny wzrost liczby programów AdWare (o 456%.) Spowodowane to było "niewyważoną" reakcją twórców tych programów na działania rządów różnych państw (głównie Stanów Zjednoczonych), których celem było położenie kresu nielegalnej i natarczywej reklamie internetowej. Mimo przyjęcia ustaw zawierających wyraźne nakazy odnoszące się do twórców programów AdWare oraz przewidujące kary za ich naruszenie, sytuacja w rzeczywistości pogorszyła się. Platformy i systemy operacyjne W swym rocznym raporcie dla 2006 r. firma Kaspersky Lab nie opublikowała szczegółowych statystyk dotyczących rozkładu szkodliwych programów, programów AdWare czy potencjalnie niechcianych programów ze względu na system operacyjny czy platformy. Zamiast tego przedstawiono analizę najbardziej interesujących systemów nie należących do rodziny Windows (*nix, Mac OS oraz Symbian). Kwestie te zostały szczegółowo omówione w raporcie obejmującym 2007 rok. Przedstawiono również dane niezbędne do przeanalizowania zmian, jakie zaszły w ciągu roku. Ewolucja złośliwego oprogramowania 2007 System operacyjny lub urządzenie może być podatne na ataki szkodliwego oprogramowania, jeśli jest w stanie uruchomić program, który nie jest komponentem systemu. Warunek ten spełniają wszystkie systemy operacyjne, wiele aplikacji biurowych, edytorów grafiki oraz inne rodzaje pakietów oprogramowania, które posiadają wbudowane języki skryptowe. W 2007 roku firma Kaspersky Lab wykryła szkodliwe programy, programy AdWare oraz potencjalnie szkodliwe programy dla 43 różnych platform i systemów operacyjnych. Oczywiście przeważająca większość istniejących szkodliwych programów jest wykonywana przez pliki binarne przeznaczone do działania w środowisku Win32. Programy przeznaczone dla innych systemów operacyjnych i platform stanowią niecałe 4%. Udział szkodliwych programów dla środowiska Win32, mimo że w roku 2007 stanowił 96,36%, zaczął powoli, ale wyraźnie zmniejszać się. W pierwszej połowie 2007 roku odsetek zagrożeń atakujących inne platformy niż Win32 wzrósł z 3,18% do 3,42%, a w drugiej połowie przekroczył 4%. Wzrost dla całego roku wyniósł 3,64%. W ciągu ostatnich sześciu miesięcy 2007 roku liczba szkodliwych programów, programów AdWare oraz potencjalnie szkodliwych programów dla Win32 wzrosła o 36% w stosunku do pierwszej połowy roku. Jednak wzrost szkodliwego kodu dla innych platform i urządzeń wyniósł 63%, co zdaniem ekspertów świadczy o zmianie priorytetów twórców wirusów jak również coraz większym zagrożeniu dla użytkowników innych systemów. W pierwszej połowie roku liderami pod względem współczynnika wzrostu (powyżej 150%) były języki skryptowe: Java Script, PHP, Ruby, oraz platforma MS Office. Jednak, jak wynika z raportu, w ciągu ostatnich sześciu miesięcy sytuacja zmieniła się diametralnie. Niekwestionowanym liderem (+ 1550%) został system operacyjny MacOS X, który w 2007 roku atakowany był 35 razy, a 33 z tych ataków miało miejsce w drugiej połowie roku. W półrocznym raporcie Kaspersky Lab zwrócił uwagę na dziwną nieobecność nowych szkodliwych programów atakujących tę platformę, mimo że ataki na nią pojawiały się coraz częściej (w ciągu jednego roku, od czerwca 2006 r. do maja 2007 r. nie stworzono żadnego nowego szkodliwego programu dla tej platformy). Jednak pod koniec roku sytuacja zmieniła się i spełniły się przewidywania ekspertów. W 2007 roku wśród szkodliwych programów stworzonych dla systemu Mac dominowały trojany, łącznie z takimi, które zastępują żądania DNS użytkownika i mają na celu przeprowadzanie ataków phishingowych w celu kradzieży danych. Pojawienie się nowych wirusów dla systemu MS-DOS można pominąć uznając to jako ciekawostkę współczesnej wirusologii, szczególnie w świetle rzeczywistych liczb. Z danych wynika, że istnieje około pięciu tuzinów "przeróbek" programów, które stanowią jedynie ciekawostkę historyczną. Ewolucja złośliwego oprogramowania 2007 Z drugiej strony, istnieje dość znaczny wzrost liczby szkodliwych programów w formie stron HTML lub napisanych w ASP. Szkodniki oparte na HTML-u stanowią z reguły strony phishingowe lub fałszywe elektroniczne kartki okolicznościowe. Jeśli użytkownik połknie przynętę, jego komputer może zostać zainfekowany lub może dojść do kradzieży jego prywatnych danych. W Chinach ASP stanowi jeden z najpowszechniejszych sposobów zarządzania zainfekowanymi stronami oraz backdoorami zainstalowanymi za pośrednictwem interfejsu sieciowego. Ogólnie, w 2007 roku w krajobrazie zagrożeń dla różnych platform i systemów operacyjnych zaszły niewielkie zmiany. Wzrost trojanów wykorzystujących luki w zabezpieczeniach aplikacji Microsoft Office (Word, Excel, PowerPoint itd.), jaki miał miejsce w 2006 roku, przekształcił się w spadek. Zdaniem specjalistów spowodowane jest to prawdopodobnie tym, że Microsoft załatał wszystkie krytyczne luki w zabezpieczeniach tych produktów. Mimo to powstało ponad 200 szkodliwych programów dla samego tylko programu MS Word, co stanowi duże zagrożenie. Wiele z tych programów zostało wykorzystywanych w 2007 roku w celu przeprowadzenia serii głośnych ataków, o zorganizowanie których podejrzewano chińskich hakerów. Przełomem roku okazał się JavaScript, który stał się najbardziej innowacyjnym środowiskiem rozwoju i implementacji szkodliwych programów. Obecnie, oprócz trojanów downloaderów, programy napisane w języku programowania JavaScript obejmują również exploity wykorzystujące luki w zabezpieczeniach przeglądarek, robaki pocztowe, szereg różnych spambotów oraz phishing grabbers. Pod koniec roku liczba nowych szkodliwych programów dla JavaScript ponad dwukrotnie przewyższyła liczbę dla bliźniaczego Visual Basic Script. Można spróbować zgrupować wszystkie 43 systemy operacyjne i platformy, które były atakowane w 2007 roku, według wspólnego mianownika, na przykład ze względu na atakowany system operacyjny. Można na przykład zgrupować JavaScript i Visual Basic Script z systemem Windows, a Ruby i Perl z systemami z grupy *nix. W ten sposób uzyskamy rzeczywisty obraz sytuacji będącej przedmiotem niekończącej się debaty dotyczącej tego, czy użytkownicy systemów innych niż Windows są narażeni na szkodliwy kod. W opinii ekspertów ewolucja sposobów działania szkodliwych programów - od pojedynczych szkodników do złożonych projektów, które wchodzą ze sobą w interakcje - rozpoczęła się cztery lata temu od modularnego systemu komponentów wykorzystanych w robaku Bagle. Ten nowy model szkodliwego oprogramowania, który pod koniec 2006 r. przybrał formę robaka Warezov i zademonstrował swoją długowieczność oraz skuteczność podobnie jak robak Storm (Zhelatin) w 2007 roku, nie tylko stanie się standardem dla ogromnej liczby nowych szkodliwych projektów, ale będzie nadal ewoluował. Jego kluczowe cechy to: brak pojedynczego centrum kontroli dla zainfekowanych komputerów; metody aktywnie przeciwdziałające próbom analizy i przechwytywania kontroli; ogromne wysyłki flashowe szkodliwego kodu; zręczne wykorzystanie taktyk socjotechniki; wykorzystanie szeregu różnych metod propagacji i odejście od niektórych bardziej oczywistych metod (tj. e-mail); różne metody mające na celu spełnienie różnych funkcji. Nową generację szkodliwego oprogramowania można sklasyfikować, analogicznie do powszechnie stosowanego terminu Web 2.0, jako Malware 2.0. Wymienione w raporcie taktyki stosowane są obecnie przez wszystkie trzy wspomniane wcześniej szkodliwe programy: Bagle, Zhelatin oraz Warezov. Ich celem jest nie tyle kradzież danych co przeprowadzanie dużej liczby masowych wysyłek. Jednak niektóre rodziny trojanów Banker i trojanów atakujących gry już teraz zaczęły wykazywać niektóre z takich cech. Ewolucja złośliwego oprogramowania 2007 2. Rootkity i bootkity Techniki wykorzystywane do ukrywania obecności szkodliwego programu w systemie (rootkity) będą wkrótce wykorzystywane nie tylko przez trojany, ale również wirusy plikowe, jak uważają eksperci. Wydaje się, że cofamy się do ery MS-DOS oraz tworzonych dla niego rezydentnych wirusów ukrywających się. Jest to logiczny krok w ewolucji metod wykorzystywanych do zwalczania programów antywirusowych. Obecnie szkodliwe programy próbują przetrwać w systemie, nawet gdy zostaną wykryte. Zdaniem Kaspersky Lab wykorzystywana będzie jeszcze inna niebezpieczna metoda ukrywania obecności szkodliwego programu na komputerze. Polega ona na aktywnym wykorzystaniu technologii infekcji w sektorze startowym: tzw. bootkitów. Programy te są najnowszym wcieleniem starszych taktyk pozwalających szkodliwemu programowi na przejęcie kontroli, jeszcze zanim zostanie uruchomiona główna część systemu operacyjnego (obejmująca ochronę antywirusową). Taktyka ta, która pojawiła się w 2005 roku jako kod "proof of concept", została całkowicie zaimplementowana w 2007 roku jako Backdoor.Win32.Sinowal i w ostatnich dwóch tygodniach roku spowodowała kilka tysięcy infekcji na całym świecie. Metoda ta staje się coraz większym zagrożeniem dla użytkowników, a w 2008 roku może stanowić główny problem bezpieczeństwa informacji. 3. Wirusy plikowe Nadal będą powracały wirusy plikowe, jak podają specjaliści. Tak jak wcześniej, będą tworzone głównie przez chińskich szkodliwych użytkowników i większość z nich będzie atakowała użytkowników gier online. Być może autorzy Zhelatina i Warezova również zaczną wykorzystywać plikowe techniki infekcji - w końcu dostarczyłoby to im sposobów rozprzestrzeniania swojego szkodliwego kodu. W 2008 roku w opinii Kaspersky Lab możemy spodziewać się znacznego wzrostu liczby incydentów związanych z zamieszczaniem na popularnych stronach internetowych oraz sieciach wymiany plików gier i oprogramowania zainfekowanego przez dystrybutorów. Wirusy będą próbowały zainfekować pliki, które użytkownicy wysyłają innym. W wielu przypadkach ta metoda propagacji może okazać się nawet skuteczniejsza niż wysyłanie szkodliwych plików za pośrednictwem poczty elektronicznej. 4. Ataki na serwisy społecznościowe Eksperci Kaspersky Lab przewidują, że w 2008 roku phishing ulegnie poważnym zmianom i w coraz większym stopniu jego celem będą serwisy społecznościowe. Dane dotyczące kont subskrybentów w takich serwisach jak Facebook, MySpace, LiveJournal, Blogger czy podobnych do nich będą częstszym celem ataków szkodliwych użytkowników. Będzie to istotna alternatywna w stosunku do infekowania zaatakowanych stron szkodliwym oprogramowaniem. W 2008 roku wiele trojanów będzie rozprzestrzeniać się za pośrednictwem blogów i profili kont użytkowników serwisów społecznościowych. Innym problemem według specjalistów związanym z serwisami społecznościowymi są ataki XSS/PHP/SQL. W przeciwieństwie do phishingu, który opiera się wyłącznie na oszukańczych metodach oraz socjotechnice, ataki te wykorzystują błędy i luki w zabezpieczeniach serwisów Web 2.0, a ich ofiarą padają nawet zaawansowani użytkownicy komputerów. Jak zawsze celem takich ataków jest uzyskanie prywatnych danych i stworzenie baz danych lub list wykorzystywanych do przeprowadzania kolejnych ataków przy użyciu bardziej tradycyjnych metod. 5. Zagrożenia dla urządzeń mobilnych Jeśli chodzi o urządzenia przenośne, w szczególności telefony komórkowe, zagrożenia będą w większości należały do kategorii prymitywnych trojanów, takich jak rodzina Skuller, stworzona dla systemu Symbian, oraz "pierwszy trojan" dla iPhonea - przewiduje Kaspersky Lab. Zagrożenie będzie stanowił również szereg różnych luk w zabezpieczeniach systemów operacyjnych dla smartfonów oraz aplikacji. Nadal istnieje niewielkie prawdopodobieństwo, że będziemy świadkami globalnej epidemii robaka mobilnego, mimo że warunki techniczne zostały już spełnione. Konsolidacja na rynku systemów operacyjnych dla smartfonów pomiędzy Symbianem a Windows Mobile została przerwana w 2007 roku pojawieniem się iPhonea oraz zapowiedzią nowej platformy mobilnej Google - Android. Ta nowa platforma, jak również popularność iPhonea, zwrócą prawdopodobnie większą uwagę szkodliwych użytkowników niż inne urządzenia mobilne. Tym, bardziej, że narzędzia do rozwoju aplikacji dla iPhonea (SDK) są już publicznie dostępne.     [

January 4th, 2007 by Author

Posted in Suspendisse iaculis | Edit | 23 Comment »