Trend Micro опубликовала данные по кибератакам, использующим эксплойт-паки с новым Java-эксплойтом ― к CVE-2012-4681, уязвимости нулевого дня, обнаруженной в конце августа. Период исследования ― первые дни сентября

Эксплойт к CVE-2012-4681 был добавлен в коммерческие версии таких инструментов, как Blackhole, в течение суток после публикации новой опасной бреши в Java. Данная уязвимость связана с некорректной обработкой контроля доступа в рамках «защитных доменов». По оценке израильской security-компании Seculert, включение свежего 0-day эксплойта в состав Blackhole, на долю которого приходится свыше 85% эксплойт-пак площадок в интернете, повысило результативность этого комплекта в 2,5 раза. Патч к опасной бреши Oracle выпустила лишь 30 августа, спустя несколько дней после публикации.

Trend Micro как и ЛК, отслеживает и блокирует попытки эксплуатации CVE-2012-4681 с момента появления первых эксплойтов. В ходе одной из таких кибератак эксперты обнаружили свыше 300 доменов и более 100 серверов, используемых злоумышленниками для размещения страниц с эксплойтами. Около ⅔ этих доменов зарегистрированы в TLD-зонах .com (23%), .org, .net, .info и .ru (9%). Почти половина эксплойт-площадок были обнаружены на территории США, 27% ― в России. При этом ⅔ жертв нового Java-эксплойта ― американцы, остальные проживают, в основном, в странах Западной Европы, в том числе 10% в Германии, 7% в Италии.

По данным Trend Micro, потенциальные жертвы попадают на целевую площадку с набором эксплойтов разными путями: через спам, взломанный сайт-редирект, редирект с порноресурса, внешнюю ссылку или зловредный скрипт в контекстной рекламе. Спам-письма, зафиксированные Trend Micro в начале сентября, имитировали сообщения соцсети LinkedIn, антивируса, онлайн-сервиса eFax или службы денежных переводов Western Union. Все эти фальшивые послания были снабжены ссылками, ведущими на взломанный сайт, который перенаправлял пользователя на целевую страницу. Здесь выполнялся поиск уязвимостей в подключенной системе и, в случае успеха, активация надлежащего эксплойта.

По данным очередного квартального отчета PandaLabs Quarterly Report. April-June 2012, чаще всего сегодня киберпреступники используют троянцев. Их объем составляет 79% от всех киберугроз. Эффективность действий вредоносного ПО доходит до 76%. На втором месте черви, отвечающие за 11% всех атак. При этом на них приходится почти 6% инфекций.

Эксперты делают вывод: массовые эпидемии, вызванные червями, остались в прошлом. Их место прочно заняли троянцы, в основном, ориентированные на кражу банковских данных, а также вирусы-полицейские.

По статистике PandaLabs, на первое место в рейтинге стран с наибольшим числом зараженных компьютеров во II квартале 2012 года вышла Южная Корея (57,3%). На втором месте – Китай (51,94%). От них заметно отстает Тайвань с 42,88% инфицированных машин. При этом для Гонконга данный показатель составляет всего лишь 23,36%. На другом конце рейтинга – Швейцария (18,4%) и Швеция (19,07%), единственные страны, которым удалось удержаться в пределах 20%.

По данным Symantec, в июне незначительно увеличилась доля спама, содержащего вредоносное ПО или ссылки, ведущие на сайты-распространители опасных для пользователей программ. На начало августа одно из каждых 340,9 писем было инфицировано вредоносным ПО. Ссылку на опасный сайт несли в себе 26,5% писем.

Основной мишенью зараженных писем стали Нидерланды (каждое 82-е письмо). Для сравнения: в Японии одно такое письмо попадается на пачку из 20837 сообщений, а в США – на каждые 553 мейла. Главными источниками инфицированных рассылок по-прежнему остаются США (40%) и Великобритания (30,8%).

Основной мишенью киберпреступников являются крупные компании. Частота зараженных писем, отлавливаемых в системах крупных корпораций, в 2 раза превышает данный показатель для малого и среднего бизнеса.

На первом и втором местах хит-парада вредоносных программ июля – троянцы из семейства W32/Bredolab: W32/Bredolab.gen!eml.k (15,9%) и W32/Bredolab.gen!eml.j (9,19%). Частота встречаемости вирусов-полиморфов в прошлом месяце составила 21,7%.

Symantec отмечает, что в июле наблюдалось ежедневное увеличение объема нового шпионского и рекламного ПО. На первом месте по масштабу блокируемого трафика – рекламные баннеры и всплывающие окна (34,5%). На втором месте – социальные сети (20,2%, то есть блокируется доступ к каждому пятому сайту).

http://www.symanteccloud.com/mlireport/SYMCINT_2012_07_July.pdf

В предыдущем блогпосте мы писали о вредоносной кампании Madi, обнаруженной в ходе совместного расследования с нашим партнером Seculert.

В этом блогпосте мы расскажем об инфраструктуре Madi, коммуникациях, сборе данных и жертвах.

Слежка за жертвами и коммуникации реализованы в инфраструктуре Madi достаточно просто. В настоящее время действуют пять командных веб-серверов, на которых установлен веб-сервер Microsoft IIS v7.0, а также Microsoft Terminal Services для RDP-доступа. Кроме того, на всех серверах используются одинаковые копии нестандартного ПО для управления сервером, написанного на C#. Эти же серверы используются для сбора украденных данных. Судя по всему, обработка украденных данных на стороне сервера организована не особенно хорошо: для изучения данных, полученных с каждой из взломанных систем, в разное время на сервер приходится заходить разным операторам.

Операторы по неизвестной пока причине осуществляли ротацию сервисов, доступных по этим IP-адресам: на данный момент не удалось определить закономерность, определяющую, какими экземплярами вредоносных программ управляет какой сервер. Согласно данным, полученным с sinkhole-марштуризатора и из других надежных источников, которые позволили определить примерное местонахождение жертв Madi, они преимущественно распределены территориально по Ближнему Востоку, однако некоторые из них находятся в США и ЕС. Похоже, что среди жертв есть специалисты и представители университетской среды (как студенты, так и преподаватели), которые путешествуют по всему миру с ноутбуками, зараженными шпионским ПО Madi:

Компания Microsoft опубликовала отчет, посвященный программе-шпиону SpyEye, в котором приведены данные по распространению этого зловреда, собранные за полтора года с помощью Microsoft Security Essentials, Microsoft Forefront Endpoint Protection и Malicious Software Removal Tool (MSRT).

Исследователи отметили уменьшение популяции SpyEye (в классификации MS Win32/EyeStye, ЛК ― Trojan-Spy.Win32.SpyEyes) с введением его сигнатур в базу MSRT ― средства удаления вредоносных программ, пользовательская база которого превышает 600 миллионов. Этот инструмент детектирует SpyEye с октября прошлого года, и к концу марта успел защитить от него или вылечить около 2,5 млн. компьютеров.    

Наибольшее количество вредоносных файлов онлайн, включая конструкторы, конфигурационные файлы, плагины и скрипты, MS обнаружила на территории Германии (26% зараженных сайтов), Голландии (13%) и США (17%). Однако в текущем году предпочтения SpyEye-ботоводов начали явно смещаться в сторону американского и отчасти британского хостинга.

Эти же страны, согласно показаниям MSRT, входят в ведущую пятерку по числу локальных заражений. С ноября по март включительно в Германии было обнаружено 533,6 тыс. машин, зараженных SpyEye, в Голландии ― 166,7 тыс., в США 95,2 тыс. Сильно страдают от этой напасти также Италия и Великобритания (142,1 и 66,7 тыс. ПК соответственно).

Помимо статистики, отчет Microsoft содержит подробное описание и анализ modus operandi зловредного семейства. Ознакомиться с полным вариантом отчета можно на сайте компании.

We've got our eye on Eyestye http://blogs.technet.com/b/mmpc/archive/2012/07/20/we-ve-got-our-eye-on-eyestye.aspx

9 июля истекает срок поддержки «чистых» DNS-каналов, которые были предоставлены жертвам DNS Changer, дабы те из-за ликвидации бот-сети не остались без интернета, пока идет процесс очистки. Наблюдатели отмечают, что сотни тысяч пользователей до сих пор не избавились от инфекции, включая 12% участников списка Fortune 500 и 4% ключевых госучреждений США.

Многомиллионный ботнет DNS Changer, использовавшийся злоумышленниками для перенаправления трафика на угодные им сайты, был обезврежен в ноябре прошлого года. Американцы с разрешения суда произвели подмену DNS-серверов на ограниченный срок, который позже был продлен.

Несмотря на все усилия, прилагаемые федеральными службами, экспертами, интернет-провайдерами для выявления и очистки зараженных ресурсов, этот процесс оказался не из легких. Правда, в новом году дело пошло быстрее: если в январе количество заражений превышало 3 млн., включая ресурсы половины участников Fortune 500 и американских ведомств, то к концу февраля их число сократилось до 400 тыс. Как впоследствии оказалось, этот рывок был достаточно коротким.

По данным специализированной рабочей группы DCWG, в середине июня глобальное число заражений DNS Changer (IP-адресов) все еще превышало 300 тыс. Хуже всего ситуация в США (около 70 тыс. заражений), Италии (26,5 тыс.), Индии (свыше 21 тыс.), Великобритании (около 20 тыс.) и Германии (18,4 тыс.). В TOP 10 неблагополучных стран входят также Франция, Китай и Испания (во всех более 10 тыс. заражений). В России этот показатель составляет 4,4 тыс. (географическую принадлежность DCWG определяет по TLD-зоне). Из автономных систем хуже всех справляются с очисткой индийская AS9829 (15,6 тыс. «грязных» IP-адресов), итальянская AS3269 (13,4 тыс.) и американская AS7922 (Comcast ― около 12 тыс.). Нелишне напомнить, что присутствие DNS Changer в системе ослабляет ее защиту, так как этот зловред препятствует обновлению ОС и антивирусных баз, открывая двери новым незваным гостям.

Известный журналист и исследователь Брайан Кребс проанализировал  отчеты о вредоносных рассылках, зафиксированных студентами филиала университета штата Алабама в г. Бирмингем (UAB ― University of Alabama at Birmingham) в рамках исследовательского спецпроекта.

Эти отчеты составляются каждые сутки и помогают отслеживать актуальные интернет-угрозы в почтовом сервисе. Они также содержат информацию об элементах социальной инженерии, используемых злоумышленниками, способах доставки вредоносных программ и результаты их детектирования по списку VirusТotal.

Жертвами вредоносного спама нередко становятся представители малого и среднего бизнеса, однако они, как правило, не разглашают детали таких кибератак или вовсе не в курсе того, каким образом были прорваны их заслоны и какой зловред за это ответственен. Посему Кребс решил составить профиль современных атак через почту, используя данные UAB за период 21 мая – 20 июня текущего года.

Согласно университетской статистике, около ⅔ вредоносных рассылок в настоящее время стремятся привлечь пользователей на взломанные и специально созданные сайты с наборами эксплойтов. Такие письма-ловушки обычно снабжены ссылками, реже ― вложенной html-страницей с javascript-кодом. Иногда злоумышленники используют оба способа в рамках одной и той же спам-кампании. Среди целевых эксплойт-китов преобладает BlackHole, собирающий обильные урожаи за счет незакрытых уязвимостей в популярных плагинах. В минувшем месяце он использовался, в основном, для установки ZeuS, а также червя Cridex и троянского дроппера Dapato. 

Чтобы вынудить получателя перейти по вредоносной ссылке или открыть опасный аттач, спамеры используют разного рода приманки ― в частности, подделывают свои письма под срочные сообщения известных организаций. Наибольшей популярностью у почтовых распространителей зловредов пользуются такие брэнды, как Amazon.com, Better Business Bureau, DHL, Facebook, LinkedIn, PayPal, Twitter и Verizon Wireless.

В спамерских вложениях, обнаруженных UAB за минувший месяц, наиболее часто встречался вирус Andromeda, иногда ― ZeuS или Cridex. Примечательно, что большинство зловредов, распространявшихся по электронной почте, плохо детектились: процент обнаружения по VirusТotal в среднем составлял около 25 при медианном показателе 19%.

В IV квартале 2011 года защитные решения Microsoft обнаружили Conficker на 1,7 млн. компьютеров. Общее число атак, проведенных червем по этой базе, составило около 59 миллионов.

Несмотря на ограничительные меры, принятые специализированной рабочей группой и прочими активистами, Conficker, он же Kido, до сих пор возглавляет списки самых распространенных угроз в корпоративных сетях. Согласно статистике Microsoft, в октябре-декабре он был ответственен за 13,5% локальных заражений, зафиксированных в сфере бизнеса. Живучесть грозному червю обеспечивает широкий арсенал средств самозащиты и способов распространения. По данным Microsoft, 92% современных заражений Conficker происходит путем взлома или кражи административных паролей, 8% ― посредством эксплуатации брешей, которые жертвы не удосужились вовремя закрыть.

Тем не менее, в общем списке локальных угроз, обнаруженных MS-антивирусами в III-IV кварталах, Conficker занял лишь 6-е место. Наибольшее количество детектов пришлось на потенциально нежелательное ПО (PUPs) ― кейгены и adware. В пятерку лидеров вошли также autorun-черви и Sality. В абсолютном выражении число заражений сильно возросло в Германии (на 30,4% за квартал) и России (на 28,5%). В первой преобладают SpyEye, JS-компонент Blackhole и кейгены, во второй ― разные PUPs (57,2% детектов), троянцы (39,1%) и эксплойты (преимущественно Blackhole, 17,4%) . Из PUPs у россиян обнаружены фейковые инсталляторы Win32/Pameseg, требующие отправки дорогих SMS за установку приложений, а также кейгены и многокомпонентные программы показа рекламы Win32/Vundo, которые маскируются под расширение браузера и умеют загружать и запускать произвольные файлы.

Самые высокие уровни заражений, зафиксированных в IV квартале, наблюдались в Пакистане, Палестине и Турции, а также в Албании и Египте. Частота детектов в этих странах составила 22,7-32,9 на 1 тыс. прогонов MSRT (Malicious Software Removal Tool — специализированное средство удаления вредоносных программ для Microsoft Windows). Среднестатистический показатель по всему миру за тот же период намного ниже ― 7,1 (в России 7,2).

Актуальная статистика по Conficker и прочим угрозам с разбивкой по регионам представлена в глобальном отчете Microsoft за II полугодие, который можно скачать на сайте компании.

Анализ результатов первичного осмотра, проведенного бесплатным антивирусом Sophos для Mac, показал, что 2,7% «яблочных» компьютеров (каждый 36-й) заражены, а 20% являются носителями одного или нескольких Win-зловредов.

Основой для исследования послужили данные, собранные за неделю по контрольной выборке из 100 тыс. Mac-машин, на которые был недавно установлен упомянутый антивирусный сканер. Как оказалось, наиболее распространенными видами локальной OSX-инфекции являются Flashback (75,1% детектов) и лжеантивирусы (17,8%). Среди резидентных зловредов, ориентированных на платформу Windows, преобладают Bredolab (12,2%) и Mal/Phish (фишинговая html-страница, обычно распространяемая в спаме, ― 7,4%), в меньшем объеме ― поддельные антивирусы (3,8%).

Разумеется, вредоносные Win-приложения, обосновавшиеся на «маках», лишены возможности реализовать свой функционал: для этого надо, чтобы пользователь запустил на своей машине Windows. Однако их присутствие создает лишний очаг инфекции в Сети, и, согласно статистике Sophos, такую угрозу представляет собой каждый пятый Mac, лишенный защиты. По словам экспертов, некоторые зловреды, обнаруженные на компьютерах пользователей в рамках исследования, были запущены в Сеть еще в 2007 году. Их без труда может выявить любой антивирус, но ставить его следует вчера.

Нью-йоркский суд удовлетворил ходатайство американских властей и продлил срок работы подставных серверов DNS Changer до 9 июля.

Как мы уже писали, ботнет DNS Changer, использовавшийся операторами для перенаправления трафика на рекламные сайты заказчиков, был обезврежен в ноябре прошлого года. Американские власти при поддержке зарубежных коллег временно отключили основные DNS-серверы ботнета, заменив их подставными. Срок поддержки альтернативных DNS-каналов, назначенный судом, должен был окончиться 8 марта, однако процесс очистки зараженных компьютеров еще не завершен.

По либеральным оценкам, в начале февраля число заражений DNS Changer по всему миру превышало 3 млн. Зловред все еще присутствовал в сетях половины Fortune-500 компаний и ключевых федеральных служб США, включая Netflix, Amazon и американскую налоговую службу. Для ускорения процесса выявления пострадавших и очистки ресурсов была создана специализированная рабочая группа, а департамент юстиции, ФБР и НАСА обратились в суд с просьбой продлить срок работы суррогатных DNS-серверов.

К концу февраля глобальное число жертв DNS Changer удалось сократить до 400 тысяч, включая 94 представителя Fortune 500 и 3 важные правительственные службы США. Министерство национальной безопасности США форсировало поиск заражений в своих ведомствах, призвав на помощь частный сектор и операторов правительственной системы мониторинга интернет-угроз Einstein. Тем не менее, вопрос о продлении срока поддержки «чистых» DNS-каналов, вопреки возражениям экспертов, остался на повестке дня, и федеральный суд решил его положительно.

Согласно обновленному судебному приказу, организация Internet Systems Consortium (ISC), контролирующая работу подставных серверов, обязана представить суду 2 отчета о масштабах инфекции ― 22 мая и 23 июля. Индивидуальным пользователям предлагается проверить ПК на наличие DNS Changer, обратившись к соответствующему разделу на сайте Рабочей группы, где приведены также инструкции по очистке. Удалить этого зловреда можно также, запустив специализированную утилиту, такую как TDSSKiller разработки ЛК. Список этих бесплатных инструментов приведен на сайте Рабочей группы, равно как и перечень ее участников, оказывающих безвозмездную помощь операторам ASN.