Google opravdu analyzuje všechny e-maily
22.4.2014 Analýzy
Google aktualizoval podmínky užívání svých služeb tak, aby reflektovaly způsob, jakým analyzuje obsah emailů svých uživatelů, díky čemuž společnostem může nabízet co možná nejlepší zacílení reklamy.
Skenování emailů řada mezinárodních organizací dlouhodobě kritizuje s tím, že narušuje soukromí uživatelů. Konkurenční Microsoft ve své kampani zaměřené proti Googlu s názvem „Don't Get Scroogled by Gmail“ tvrdí, že jeho webmail Outlook.com je v tomto směru lepší než Gmail, jelikož neskenuje jednotlivé emaily pro klíčová slova tak, aby je následně využíval k cílené reklamě.
V případu, který je nyní u soudu v Kalifornii, soudkyně Lucy Kohová uvedla, že podmínky užívání Googlu uživatele výslovně neupozorňují na to, že „Google monitoruje jejich emaily pro účely vytváření uživatelských profilů nebo poskytování cílené reklamy.“ Nynější rozhodnutí Googlu změnit podmínky užívání své služby tak může být důsledkem právě tohoto verdiktu.
Skupina uživatelů u okresního soudu v Kalifornii podala před časem na Googlu žalobu, podle které americká společnost porušuje skenováním zpráv na Gmailu státní i federální zákony. Google kontroval, že koncoví uživatelé Gmailu i Google Apps výslovně s tímto jeho jednáním souhlasili, když přistoupili na podmínky užívání služby z let 2008 a 2013.
Nové podmínky užívání Googlu, které platí od tohoto pondělí, obsahují ustanovení, podle kterého „automatické systémy Googlu analyzují obsah (včetně elektronických zpráv) tak, aby uživatelům nabídly při hledání relevantní produkty, personifikované vyhledávání a lepší detekci spamu a malwaru, přičemž tato analýza probíhá, když je uživatelský obsah odesílán, přijímán a ukládán na naše servery.“
Google již doplňoval své podmínky užívání v minulosti – naposledy v listopadu minulého roku. Ve veřejném prohlášení americký gigant nyní uvedl, že chce, aby jeho politika byla pro všechny uživatele co nejtransparentnější. „Díky těmto změnám lidé budou mít o naší politice jasněji, než kdy předtím,“ dodali představitelé Googlu na oficiálním blogu.
Hrozby Finanční kybernetické v roce 2013 Část 2: malware
14.4.2014 Analýza
Zdroj: Kaspersky
Hlavní zjištění
Finanční malware
Hraničí Ohrožení: zeměpis útoků a napadl uživatele
Poznej svého nepřítele: finanční malware druhů
Bankovní malware stávky
Bitcoin: peníze pro nic za nic?
Mobilní bankovnictví hrozby
Závěr: sledovat digitální peněženku
Pro podnikání
Pro domácí uživatele a uživatele on-line bankovnictví
Pro držitele crypto-currency
Hlavní zjištění
Podle informací získaných od ochrany subsystémů produktů společnosti Kaspersky Lab 2013 došlo k dramatickému nárůstu počtu financí souvisejících s útoky, ať už je to phishing nebo útoků zahrnujících malware.
Níže jsou uvedeny hlavní závěry výzkumu:
PC Malware
V roce 2013, ze všech internetových uživatelů, kteří se vyskytly nějaké malware útoku, 6,2% se setkal finanční útoků zahrnujících malware. To byl nárůst o 1,3 procentního bodu oproti roku 2012.
V roce 2013 se počet kybernetických útoků zahrnujících malware navržen tak, aby ukrást finanční údaje, zvýšil o 27,6% a dosáhl 28,4 milionu. Počet uživatelů napadených tímto finančním cílení malware dosáhl 3,8 milionu, což je nárůst 18,6% meziročně.
Ze všech financí související s malware, nástroje spojené s Bitcoin prokázaly největší dynamický rozvoj. Nicméně, malware pro krádež peněz z bankovních účtů, jako je Zeus, stále hraje hlavní roli.
Mobilní malware
V malware odběru vzorku Kaspersky Lab, počet škodlivých aplikací pro Android, jejichž cílem je ukrást finančních dat vzrostl téměř pětkrát v druhé polovině roku 2013, z 265 vzorků v červnu na 1321 v prosinci.
V roce 2013, odborníci společnosti Kaspersky Lab poprvé objevil Android trojské koně, které byly schopné krást peníze z bankovních účtů napadených uživatelů.
Dále ve výzkumném textu, budeme diskutovat podrobněji, jak útoky vyvíjet v průběhu času, podívat se na jejich zeměpisné rozložení, a podívejte se na seznamy svých cílů.
Finanční malware
Programy určené k ukrást elektronických peněz a finančních dat patří mezi nejsložitější typy škodlivého softwaru tam dnes. Umožňují zločinci rychle vytvářet peněžní prostředky z jejich tvorby, takže uživatelé se zlými úmysly vynaložit veškeré úsilí nebo náklady ve vývoji finančních trojské koně a zadní vrátka. Odborníci společnosti Kaspersky Lab poznamenat, že tvůrci malwaru jsou dokonce ochotni zaplatit desítky tisíc dolarů za informace o nových zranitelností - první kodér, jak obejít bezpečnostní systémy výrobek ponechává veškerou trestní konkurenci v prachu.
Malware navržen tak, aby krást data a spáchat podvod byl zapojený do relativně malé procento útoků (0,44% v roce 2013), i když to je stále 0,12 procentního bodu vyšší než před rokem. Nicméně, pokud jde o počtu postižených uživatelů z počítačové hrozby, finančními, procento je mnohem výraznější: z celkového počtu uživatelů vystavených ve všech typech útoky škodlivého softwaru, 6,2% z těmito útoky obsahovat nějakou uvedený druh finanční hrozby - to je o 1,3 procentního bodu vyšší než v roce 2012.
Uživatelé zaútočili v roce 2013
V roce 2013, finanční malware vliv 6,2% z celkového počtu uživatelů v cílové skupině malware útoků.
K dispozici je slabá korelace mezi počtem útoků a počtu uživatelů cílených. V letech 2012-2013, měsíční počet útoků měnit desetiny procenta. Na jaře roku 2012 prudce poklesla a ne vyšplhat zpátky do své původní polohy až do podzimu 2013, když počet uživatelů napadených nedoznala žádné výrazné výkyvy a více či méně pokračovaly v růstu na měsíční bázi.
Finanční malware: útoky a zaútočil uživatelů v letech 2012-2013
Počet uživatelů cílených útoků zahrnujících finanční malware vzrostl do roku 2013.
Pokles v počtu útoků zaznamenaných na jaře roku 2012 by mohla být spojena s odstávkou několika cybercriminal skupin. Na druhé straně, nárůst útoků vidět v posledních šesti měsících roku 2013 lze vysvětlit několika faktory: uživatelé se zlými úmysly objevili nová zranitelná místa v Oracle Java, který umožnil jim, aby zahájily další útoky. Kromě toho, v návaznosti na zvýšení kurzu Bitcoin u konce roku, jsme viděli více programů, jejichž cílem je ukrást crypto-měnu od uživatele e-peněženky.
Hraničí Ohrožení: zeměpis útoků a napadl uživatele
Země nejčastěji cílené finanční malware v letech 2012-2013 byla Ruska, s více než 37% všech útoků. Žádná jiná země měla podíl během vykazovaného období vyšší než 10%.
Nejčastěji cílových zemí v letech 2012-2013
Top 10 nejčastěji napadl zemí byli na přijímací konci roku 70% všech finančních malware útoků během posledních dvou let.
Rusko bylo také vrchol země, když to přišlo k počtu útoků na jeden rok. Zatímco počet uživatelů cílených v Rusku v roce 2013 klesly jen mírně, ve většině ostatních zemí v Top 10 viděl toto číslo poroste.
Finanční malware útoky po celém světě
Uživatelé cílené finanční malware, podle země
Počet uživatelů napadených finanční malware v průběhu jednoho roku zvýšil v osmi z Top 10 nejčastěji cílových zemí.
Uživatelé v Rusku čelí největší riziko, že se stanou obětí finanční malware: v roce 2013, každý jednotlivec terčem kybernetických zločinců se specializují na finanční malware byl napaden 14,5 krát v průměru - porovnat, že na průměru něco málo přes osm krát za rok na obyvatele Spojené státy americké.
Země Počet útoků zahrnujících finanční malware Rok-na-rok změna Průměrný počet útoků na uživatele
Ruská federace 11474000 + 55.28% 14.47
Turecko 899000 + 156,41% 9.22
Spojené státy 1529000 + -22,76% 8.08
Vietnam 1473000 + 65.08% 6.43
Kazachstán 517000 + -26,88% 6.15
Itálie 593000 + -32,05% 5.61
Indie 1600000 + 65.03% 4.47
Ukrajina 401000 + -7,54% 4.07
Německo 747000 + -0.73% 3.9
Brazílie 553000 + -21,02% 3.87
Průměrný počet útoků na obyvatele cílené finanční malware v roce 2013
Top 10 Seznam zemí, na něž se zaměřuje on-line finančních hrozeb vedl Tureckem a Brazílií. Procento uživatelů vystavena finančním útoky v těchto zemích byl 12% a 10,5%, respektive z celkového počtu uživatelů, kteří vyskytují škodlivé programy v roce 2013. V Rusku, to číslo bylo o něco více než 6%, zatímco jen jeden v každé 30 Celkový počet uživatelů napadli v USA čelí specificky finanční hrozbu kybernetické.
Země Uživatelé zaútočili finanční malware Rok-na-rok změna % Uživatelů napadených jakýkoli typ malwaru
Turecko 97,000 + 37.05% 12.01%
Brazílie 143,000 + 29.28% 10.48%
Kazachstán 84,000 + 5.11% 8,46%
Itálie 105,000 + 20.49% 8,39%
Vietnam 229,000 + 31.77% 7,4%
Indie 358000 + 59.1% 6,79%
Ruská federace 792000 + -4,99% 6,16%
Ukrajina 98,000 + 22.73% 6,08%
Německo 191000 + 43.22% 5.52%
Spojené státy 189000 + 22.30% 3,1%
Uživatelé zaútočili finanční malware v roce 2013 a jejich příslušné procenta obyvatel země, kteří byli na něž jakýkoli typ škodlivého programu.
Když se podíváte na mapu světa, je zřejmé, že procentní podíl finančních útoků jsou relativně nízké v Číně, USA, Kanady a řady evropských zemí. Nejúspěšnější země v této kategorii se nacházejí po celém světě, a některé z nejvýraznějších jsou Mongolsko, Kamerun, Turecku a Peru.
Procento uživatelů, kteří se setkal finanční malware z celkového počtu uživatelů napadených malware v roce 2013
Poznej svého nepřítele: finanční malware druhů
Abychom pochopili, které škodlivé programy jsou zaměřeny na finanční aktiva uživatelů a tvoří krajinu hrozeb více než v minulém roce, odborníci společnosti Kaspersky Lab dát nástroje používané zločinci do různých kategorií. Pro účely této studie byly zkoumány 30 nejčastější příklady malware používaných ve finančních útoků. Ty byly dále rozděleny do čtyř skupin, v závislosti na funkci programu a určených cílů: bankovní malware, keyloggery, Bitcoin krádež malware, a Bitcoin crypto-currency instalační software.
Nejvíce různorodá skupina programů je skupina malware bankovnictví, která zahrnuje trojské koně a zadní vrátka, jejichž cílem je ukrást peníze z on-line účtů nebo na sklizeň údaje potřebné k ukrást peníze. Některé ty lepší známé programy v této skupině jsou Zbot , Carberp , a SpyEye .
Útoky využívající finanční malware v roce 2013
Programy spadající do druhé kategorie - keyloggery - jsou navrženy tak, aby krást důvěrné informace, včetně finančních údajů. Často, bankovní trojské koně plní stejnou funkci, což může přispět ke snížení používání keyloggerů jako samostatné nástroje. Nejznámější z nich jsou Keylogger a Ardamax .
Poslední dvě malware skupiny jsou spojeny s crypto měně Bitcoin, která se stala vyhledávanou cenu pro finanční podvodníky v průběhu posledních několika let. Tyto programy jsou nástroje používané k ukrást Bitcoin peněženky, a programy, které tajně nainstalovat aplikace na infikovaných počítačích získat tuto měnu, také známý jako důlní software .
První kategorie obsahuje malware, který krade Bitcoin peněženky soubory, které uchovávají data o bitcoins vlastněných uživatelem. Druhá je poněkud obtížné definovat: k instalaci aplikace pro generování Bitcoins (výtěžek APPS), lze použít téměř jakýkoli druh škodlivého programu schopného stahování nových programů do počítače, aniž by uživatele povšimnutí, což je důvod, proč pro byly zahrnuty pro účely této studie, pouze programy, které byly zaznamenány v přísném spojení při stahování a zahájení těžby nástroje.
Je třeba poznamenat, že tato kategorizace není 100% přesné. Například jeden a tentýž keylogger může být použito jak pro sklizeň finanční údaje a krást informace o online herní účet. Nicméně, obvykle škodlivé programy mívají zvláštní "specializaci", který definuje jeho primární neoprávněnému používání a funkci, která nám umožňuje spojit jednotlivé programy s určitou kategorii počítačové kriminality - finanční kriminality, v tomto případě.
Bankovní malware stávky
V roce 2013, bankovní malware - škodlivé programy, které kradou peníze z uživatelských účtů - hrál vedoucí roli mezi kybernetických hrozeb finanční. Během uplynulého roku, minimálně 19 milionů kybernetické útoky byly zahájeny, což představuje dvě třetiny všech finančních útoky zasahující malware.
Do konce roku 2013, celkové procento uživatelů napadl každý měsíc uživatelů se zlými úmysly, jejichž cílem je ukrást Bitcoins a nainstalovat Bitcoin důlní aplikace dosáhly téměř stejné úrovně jako bankovní malware.
Nejaktivnější škodlivý bankovnictví program - a to jak z hlediska počtu útoků, tak z hlediska počtu cílených uživatelů - je Trojan Zbot (aka Zeus). Počet útoků, které byly vysledovat zpět do úprav pro tento trojan je více než zdvojnásobila v průběhu roku, a počet uživatelů napadených Trojan v minulém roce byl větší než všechny oběti jiných Top 10 škodlivých bankovních programů dát společně.
Zbot, 2012-2013
V roce 2011, zdrojový kód Zbot šlo veřejnost a byla použita k vytvoření (a je stále používán k vytváření) nových variant škodlivých programů, které se mají dopad na statistiku útoku. Zbot je také známý pro mít sloužil jako základ pro rozvoj platformy Citadel - jedna z několika pokusech se stěhují principy komerčního softwaru do oblasti škodlivého vývoje programu. Citadela uživatelé mohou koupit nejen Trojan, mohli také získat technickou podporu a rychlou aktualizaci, aby se zabránilo jejich programy z odhalení antivirových produktů. Citadela webové zdroje také organizované sociální místo pro hackery, kteří by mohli objednávat nových funkcí. Na začátku června 2013 Microsoft spolupracoval s FBI a ohlásila odstavení několika velkých botnetů, které byly součástí Citadela; to bylo velké vítězství v boji proti počítačové kriminalitě. Nicméně, jak můžeme vidět ze statistik společnosti Kaspersky Lab, to neměl mít obrovský dopad na šíření škodlivých programů, jejichž cílem je ukrást finanční údaje.
Prudký pokles v počtu útoků využívajících Qhost by mohly být potenciálně související s zatčení svých tvůrců, kteří v roce 2011 ukradli zhruba 400.000 dolar z klientů jedné velké ruské banky. Tvůrci tohoto programu byli odsouzeni v roce 2012, ale to nezastavilo hrozbu dalšího šíření. Relativní jednoduchost jeho nastavení a jeho snadné použití znamená, že tento program i nadále přitahuje nové uživatelům se zlými úmysly.
Qhost, 2012-2013
Počet útoků na trh pomocí Carberp Trojan klesla během prvních šesti měsíců roku 2013 po jarní zatčení Trojan uživatelů - pravděpodobně se jednalo tvůrce programu. Nicméně, v létě, počet Carberp útoků začala výrazně stoupat, čímž 2013 end-of-rok čísla do stejné úrovni jako v roce 2012. Mimo jiné to souvisí s open-source zveřejnění zdroje na malware kód, což vede k nárůstu ve vývoji nových verzí Trojan. Všechny stejné, počet uživatelů cílených těmito úpravami stále výrazně v minulém roce klesl.
Carberp, 2012-2013
Obecný trend je jasný: po chvilce se propad v průběhu posledních šesti měsíců roku 2012, podvodníci odpovědné za finanční kybernetických útoků v roce 2013 pokračoval vyšší úroveň aktivity, jak můžeme vidět na zvýšení počtu útoků a vyšší počet cílených uživatelé.
Útoky pomocí bankovního malware v letech 2012-2013
* Trojan-Banker je univerzální vstup do databáze společnosti Kaspersky Lab pro detekci finanční malware
Bitcoin: peníze pro nic za nic?
Bitcoin je elektronický crypto-měně, která není regulována žádnou vládou, ale je v oběhu díky své široké použití. Specializovaná síť podporující Bitcoin byl zahájen v roce 2009. To bylo zpočátku používají lidé s úzkými vazbami na IT průmyslu, ale postupně stal se více široce známý. To začalo získat si oblibu jako měnu, kdy se stala možnost platby na několika významných webových stránkách specializujících se na černém trhu nebo jinak nezákonného obchodu. Tyto stránky si vybral Bitcoin, neboť umožňuje uživatelům zachovat anonymitu.
Jedna variace Bitcoin bankovky
Teoreticky, každý, kdo chce, může vydělat Bitcoins pomocí svých počítačů - tento proces se nazývá výtěžek. Těžba v podstatě zahrnuje řešení řady kryptografických úloh, které udržují síť Bitcoin.
Mnozí z těch, kteří se považují za "Bitcoin bohaté" získal své Bitcoin majetky zpět, když crypto-měna byla teprve založena, a před tím, než byl přijat jako tekuté peněžní fond. Nicméně, jak měna stala běžnější, se stalo obtížnější získat Bitcoins prostřednictvím výkonu počítače - to je jedna ze zvláštností systému, kromě konečného objemu Bitcoins, která bude vydána do oběhu. V tomto okamžiku, složitost požadovaných výpočtů vzrostl natolik, že Bitcoin těžba na typických počítačů se stala nerentabilní - dokonce potenciálně ztrátové a náročné jen zlomit, i když faktor nákladů na elektřinu.
Směnný kurz Bitcoin na začátku roku 2013 byl na 13,60 dolarů, a v prosinci, že dosáhla historického maxima přes $ 1200.
V průběhu roku se kurz Bitcoin vyletěl, přesahující 1200 dolarů na konci prosince. Tento nárůst byl následovaný poklesem, včetně vzhledem k opatrnému postoji mezi centrálními bankami řadě zemí s ohledem na tuto měnu. Lidová banka Číny zakázala používání výměn Bitcoin, které se prolínají měnu dolů přibližně o jednu třetinu. Ve stejné době, další země přijaly podpůrnou přístup k Bitcoin. Zejména Německé ministerstvo financí oficiálně uznala crypto-měnu jako formu platby, a v Kanadě a USA, bankomaty jsou nastaveny tak, aby umožnil Bitcoins být transformovány do peněžních fondů.
Stručně řečeno, v několika málo let Bitcoin se přestěhovala z bytí mezeru na Internet jev podporován malou skupinou nadšenců něco blízkosti plnohodnotné měnové jednotky, která drží skutečnou hodnotu a je nyní velmi vyhledávané. To dává smysl, tedy, že Bitcoin by přirozeně upozornit uživateli se zlými úmysly. Od okamžiku, kdy Bitcoin obchodování byl zahájen na burzách internetu pro skutečné peníze, stále více a více prodávajících začal přijímat tuto měnu platby, a zločinci stal se více zajímat.
Bitcoin je uložen na počítači ve speciálním peněženka souboru (wallet.dat, nebo něco podobného, v závislosti na aplikaci použité). Pokud je tento soubor není šifrován a uživatelé se zlými úmysly jsou schopni ukrást , pak by mohli převést všechny prostředky v nich obsaženým do svých peněženek. Síť Bitcoin umožňuje každému účastníkovi získat přístup k transakční historii pro všechny uživatele - to znamená, že je možné určit peněženku (y), které odcizené finanční prostředky byly převedeny.
Kromě Bitcoin krádeže, zločinci mohou také použít na počítačích se jejich obětí těžit Bitcoins, stejným způsobem, že oni používají jejich obětí počítače k rozesílání spamu a provádět jiné škodlivé činnosti. Tam jsou také dobře známé vyděrač programy, které vyžadují výkupné zaplatil v Bitcoin výměnou za rozluštění uživatelská data.
Níže uvedená tabulka ukazuje dynamiku útoků pomocí škodlivého nástrojů, jejichž cílem je ukrást Bitcoin peněženky, stejně jako malware, který může načíst hornické software na oběti počítačích. Kromě toho byly také případy, kdy byla Bitcoin mining software zjištěné v počítači a pokud vlastník počítače mohla záměrně umístěny tak, aby software, nebo by to mohlo se dostali na počítači uživatele, aniž by o tom neví. Produkty Kaspersky Lab dát tyto aplikace do kategorie RiskTool - to znamená, že tento typ aplikace by mohla skrývat škodlivou funkci, a uživatel je upozorněn, jako.
Jak můžete vidět z grafu, počet Kaspersky Lab produktů detekcemi Bitcoin programů krádeží a Bitcoin důlní nakladače začaly růst v druhé polovině roku 2012. Dynamika stala ještě zajímavější v roce 2013. Například, jeden z dvou nejvíce významné vrcholy Kaspersky Lab zjištěných v souvislosti s Bitcoin se konala v dubnu - to bylo přibližně v té době, kdy Bitcoin je výměna vyskočila na více než 230 dolarů. Je zřejmé, že nárůst v kurzu vyvolal uživatelům se zlými úmysly, aby se aktivněji šíří malware určený k ukradení nebo moje Bitcoins.
Mimochodem, v dubnu, cena kurzu v propadla až na 83 dolarů. Tento pád byl následován obnovy až do výše $ 149 na konci dubna a stabilizace v květnu. Od května do srpna, Bitcoin držel v rozmezí $ 90 - 100, a v srpnu začala stálý vzestupný nárůst. Tento proces byl jen slabě koreluje se situací na nebezpečný zepředu, i když je možné, že to byla stabilizace Bitcoin kurzu, který v podstatě vyvolal nový příval útoků v srpnu. Další prudký skok v počtu útoků se konala v prosinci, kdy se kurz Bitcoin nejprve klesla z 1000 dolar dolů na $ 584, a později vyšplhaly zpět na 804 dolarů na konci měsíce.
Od dubna, počet Kaspersky Lab produktů detekce softwaru používaných k výrobě Bitcoin se neustále zvyšuje. Tento růst pokračoval až do října, až do počtu zjištěných začaly klesat v listopadu.
Celkově v roce 2013, a to jak počet odhalených registrovaných produktů společnosti Kaspersky Lab a počet uživatelů, které přicházejí do styku s nebezpečným či potenciálně škodlivého softwaru souvisejícího s Bitcoin dramaticky vzrostl ve srovnání s 2012. To je také pozoruhodné, že začíná zhruba v říjnu 2013 počet zjištěných škodlivých programů loading Bitcoin mining aplikace začala chvíli klesat, v kontrastu, počet zjištěných z Bitcoin aplikací krádeže peněženky začala stoupat. To by mohlo být výsledkem výše uvedeného zvláštnost systému Bitcoin, kde se více "mince", které jsou generovány, tím obtížnější je získat nové. To by mohlo také řídit uživatelům se zlými úmysly se zaměřit na vyhledávání a krást Bitcoin peněženky drží již vygenerovaný crypto-měnu.
Škodlivé programy, jejichž účelem je ukrást finanční údaje jsou, samozřejmě, jeden z nejnebezpečnějších typů kybernetických hrozeb současnosti. Rozsah hrozby nadále rozšiřovat, takže vidíme obrovské množství potenciálních obětí útoků zahrnujících tyto typy škodlivých programů - jen asi každý, kdo vlastní platební kartu a přistupuje k Internetu z počítače se slabým zabezpečení by mohla stát obětí zločinci . Nicméně, počítače a notebooky jsou daleko od jediné zařízení používaných k provedení finanční transakce. Jen asi každý moderní jedinec vlastní smartphone nebo tablet v těchto dnech, a uživatelé se zlými úmysly, tyto mobilní přístroje nabízejí ještě jiný způsob, jak se dostat do kapes lidí, kteří používají on-line finančních služeb.
Mobilní bankovnictví hrozby
Po dlouhou dobu mobilních zařízení byly nedotčené zločinci. Do značné míry to bylo proto, že první generace mobilních zařízení, měli omezenou funkčnost a psát software pro ně bylo obtížné. Nicméně, všechno se změnilo s příchodem chytrých telefonů a tabletů - univerzální zařízení s připojením k internetu a veřejně přístupné nástroje pro vývoj aplikací. Již několik let odborníci společnosti Kaspersky Lab zaznamenává každoroční nárůst počtu škodlivých programů zaměřených na mobilní zařízení, zejména se systémem Android.
V roce 2013, Android byl hlavním terčem zákeřných útoků, s 98,1% všech mobilních malware detekovaného v roce 2013 a cílujeme na tuto platformu. To je údaj z obou popularity operačního systému a zranitelnosti jeho architektuře.
Mobilní malware v roce 2013
Většina škodlivých programů pro mobilní zařízení, včetně mnoha backdoorů a nějaký malware v trojské kategorie, jsou navrženy tak, aby ukrást peníze od uživatelů. Ale jeden z 2013 nejnebezpečnějších trendů v mobilní malware byl rostoucí počet programů, jejichž cílem je ukrást přihlašovací údaje pro online bankovnictví s cílem získat přístup k penězům lidí.
Počet mobilních bankovních vzorků malware v kolekci společnosti Kaspersky Lab v roce 2013
Počet těchto škodlivých programů začala rychle růst v červenci a překročila 1300 unikátních vzorků do prosince. Počet útoků zaznamenaných společností Kaspersky Lab začala stoupat zhruba ve stejnou dobu.
Útoky s mobilním bankovnictví malwaru v druhé polovině roku 2013
Mobilní malware cílení on-line bankovnictví zákazníky, není nic nového. Například, ZitMo (mobilní "dvojče" Zeus, neslavný Win32 bankovnictví Trojan) je na záznamu od roku 2010, ale až v poslední době nebylo známo, že byly použity v hromadných útoků. To bylo částečně kvůli jeho omezené funkčnosti: ZitMо může fungovat pouze ve spojení s "stolní" verze Zeus. Program "partner" zachytí přihlašovací údaje pro online bankovnictví oběti, a pak je na ZitMo získat jednorázových hesel používaných v on-line bankovních systémů k autorizaci transakce a pošlete jim zločinci, kteří budou používat údaje ukrást peníze z bankovní účty obětí.
Tento podvodný program byl také použit v roce 2013: v té době hlavními konkurenty Zeus - SpyEye (SpitMo) a Carberp (CitMo) - se také dostal se "bratříčky". Však není známo, že by došlo k významnému množství útoků. Černý trh pro hrozbách přišel s několika "autonomních" trojských koní, kteří byli schopni pracovat bez "stolních" protějšky.
Jedním z příkladů je Svpeng Trojan, který byl objeven odborníky společnosti Kaspersky Lab v červenci 2013. Trojan využívá, jak některé z ruských mobilních bankovních systémů, práce krást peníze z bankovních účtů obětí.
Zákazníci některých velkých bank v Rusku lze doplnit účty mobilních telefonů převodem peněz ze svých bankovních karet. Je to všechno děláno textové zprávy, která byla odeslána na určitý počet vedeného bankou. Svpeng odesílá zprávy SMS služby dvou z těchto bank. To umožňuje vlastníkovi Svpeng zjistit, zda jsou všechny karty vydané těmito bankami jsou spojeny s řadou infikované smartphonu a jak se vyrovnat informací, pokud existuje účet. Poté, cybercriminal může pověřit Svpeng převést peníze z bankovního účtu oběti na mobilní telefon účtu s ním spojené.
Svpeng falešné povolení rozhraní
Peníze mohou být dodatečně "krvácel" z mobilního účtu různými způsoby - např. tím, že převod do online peněženky pomocí stránky řízení účtu uživatele na internetových stránkách telefonní operátor mobilních nebo jednoduše zasláním zprávy na prémiová čísla. Svpeng má také další funkce ukrást přihlašovací údaje pro online bankovnictví uživatele.
Další dva příklady nebezpečných bankovních trojských koní objevili odborníci společnosti Kaspersky Lab jsou Perkele a Wroba. První z nich je podobná ZitMo - jeho hlavní funkcí je zachytit jednorázová hesla (čísla autorizace transakce). Druhé vyhledávání infikovaných mobilních zařízení pro on-line bankovních aplikací a odstraní všechny aplikace nalezené, nahrazovat je s falešnými kopiemi, které jsou pak použity pro sběr pověření uživatele a odesílat je do zločinci.
Ačkoli většina útoků zahrnujících mobilní bankovní trojské koně, které byly zjištěny Kaspersky Lab se konala na území Ruska a sousedních zemí, Perkele cílené uživatelé některých evropských bank a Wroba cílené uživatelů z Jižní Koreje.
Zeměpisné rozložení útoků zahrnujících škodlivé mobilní bankovní aplikace pro Android v roce 2013
V absolutním vyjádření se počet útoků, které byly zjištěny u společnosti Kaspersky Lab výrobky, zúčastněné finanční malware a cílených mobilních uživatelů je poměrně nízký až nyní, ale jejich počet roste - jasný trend, který teď byl zaznamenaný u více než šest měsíců. To znamená, že uživatelé mobilních zařízení, zejména těch, které běží na platformě Android, by měl být velmi opatrní, pokud jde o zabezpečení svých finančních dat.
Uživatelé zařízení iOS bázi by neměl usnout na vavřínech, a to buď. Ačkoli tam nebyl doposud spousta malware navržen tak, aby ukrást citlivá data z iPhone a iPad vlastníků, operačního systému chyby dělat takový malware možné opakovaně zobrazuje. Jedním z velmi nedávný příklad je chyba nalezena výzkumníky na konci února 2014, která může umožnit hackerům získat záznam znaky zadané uživatelem na klávesnici na obrazovce přístroje. Počítačoví zločinci mohl využít zranitelnost ukrást přihlašovací údaje pro online bankovnictví uživatele, mimo jiné citlivé údaje.
Závěr: sledovat digitální peněženku
Studie jasně ukázala, že elektronické peníze uživatelů je pod neustálou hrozbou. Vždy, když uživatel pracuje s jejich účtů prostřednictvím internetového bankovnictví, nebo platit za své nákupy v internetových obchodech, zločinci jsou tam na lov za své peníze.
Všechny typy finančních hrozeb prokázala významný nárůst v roce 2013. Podíl phishingových útoků zahrnujících bankovní značky zdvojnásobil, a to malware na základě finančních útoků bylo o třetinu více než v předchozím roce.
Tam byly žádné "nováčci" v finanční malware segmentu, které by mohly mít dopad srovnatelný s Zbot a Qhost. Tyto dva a další nechvalně trojské koně byli zodpovědní za většinu útoků v průběhu uplynulého roku. Nicméně, zločinci opět prokázaly, že mají zájem sledovat všechny změny v tržních podmínkách: dramatický nárůst útoků, jejichž cílem je ukrást Bitcoins, která začala na konci roku 2012, pokračoval v roce 2013.
Odborníci společnosti Kaspersky Lab nabízí následující rady o posílení ochrany proti finančním hrozbách.
Pro podnikání
Obchodní nese značnou část odpovědnosti za bezpečnost uživatelů. Finanční společnosti by měly vyprávět uživatele o hrozbách představovaných zločinci a poskytovat rady na způsoby, jak se vyhnout ztrátě peněz na kybernetické útoky.
Banky a platební systémy by měly nabízet svým zákazníkům komplexní ochranu před zločinci. Jedním z řešení, které lze použít pro to je Kaspersky prevence podvodům platforma, která nabízí multi-tier ochranu proti podvodům.
Pro domácí uživatele a uživatele on-line bankovnictví
Malware spisovatelé často spoléhají na zranitelnosti v populárním programu. To je důvod, proč by měl být používán pouze nejnovější verze aplikací, a měly by být instalovány aktualizace operačního systému, jakmile vyjdou ven.
Pozorování univerzální on-line bezpečnostní pravidla pomáhá minimalizovat riziko spojené s finančními útoky. Uživatelé by měli zvolit silné heslo, které jsou jedinečné pro každou službu, buďte opatrní při používání veřejných sítí Wi-Fi, vyhnout se ukládání citlivých dat v prohlížeči, atd.
Je důležité používat spolehlivé anti-malware produkty, které prokázaly svou účinnost v nezávislých testech. Kromě toho, některé bezpečnostní produkty, jako je Kaspersky Internet Security , mají vestavěné nástroje, které umožňují uživatelům pracovat s on-line finančních služeb bezpečně.
Pokud používáte smartphone nebo tablet pro přístup k on-line bankovnictví, platební systém nebo na on-line nakupování, ujistěte se, že chránit zařízení s spolehlivé bezpečnostní řešení, jako je Kaspersky Internet Security pro Android , který obsahuje pokročilé nástroje, které poskytují ochranu proti malware, phishing a ztráty nebo odcizení zařízení.
Pro držitele crypto-currency
Vzhledem k tomu Bitcoin a jiné podobné crypto-měny, jako například Litecoin, Dogecoin a mnoho dalších, nebyla asi moc dlouho, mnoho uživatelů jsou obeznámeni s jemnější aspekty práce s těmito systémy, což je důvod, proč odborníci společnosti Kaspersky Lab připravené poradenství v oblasti pomocí kryptografických měn bezpečně:
Vyhněte se použití online služby pro ukládání úspor; používat specializované aplikace Peněženka místo.
Rozdělte své úspory do několika peněženek - to pomůže minimalizovat ztráty v případě, že jeden z peněženky je ukradené.
Uložte peněženky, kde si drží své dlouhodobé úspory na šifrovaných médií. Případně můžete použít peněženky vytištěné na papíře.
Hrozby Finanční kybernetické v roce 2013. Část 1: phishing
4.4.2014 Analýza
Zdroj: Kaspersky
Úvod: Peníze a rizika ve světě, multi-zařízení
Finanční útoky: znepokojující trend
Bližší pohled na finanční phishing cíle
Hlouběji do dynamiky útoků
Phishing proti OS X: první náznaky rostoucí hrozbou
Úvod: Peníze a rizika ve světě, multi-zařízení
To bylo docela málo let, co útočníci začali aktivně krást peníze z uživatelských účtů v on-line obchody, e-platebních systémů a on-line bankovních systémů. Nicméně, pro většinu z té doby koule finančních podvodníků "činnosti byl omezen řadou faktorů, zejména relativně omezený rozsah elektronických platebních nástrojů.
V uplynulých letech, elektronické peníze roste na významu. Pohodlí a univerzální přístupnost elektronických platebních systémů a on-line bankovních služeb přiláká obrovské množství uživatelů, a v mnoha zemích banky a finanční instituce jsou vážně zvažuje úplné přerušení peněžních toků ve prospěch bezhotovostních plateb. 2013 Průzkum provedený International B2B ve spolupráci se společností Kaspersky Lab také ukazuje rostoucí popularitu digitálních platby: 98% respondentů uvádí, že pravidelně používají on-line bankovnictví nebo platebních systémů, nebo nakupovat on-line.
Tento rostoucí obliba bezhotovostních transakcí je doprovázen rostoucím počtem přístrojů, na kterých lze provádět finanční transakce. Jak se ukázalo ve stejném průzkumu, PC a notebooky jsou stále "hlavní" zařízení, ze kterých mohou uživatelé přistupovat finanční služby: 87% respondentů uvedlo, že provádějí operace zahrnující elektronické peníze pomocí stolního počítače nebo notebooku. Nicméně, podíl mobilních zařízení používaných pro stejné účely je podstatné: 22% a 27% dotázaných, resp používat tablety či chytré telefony pro některé finanční operace.
Samozřejmě, že tyto trendy přitahuje nežádoucí pozornost. Dramatický růst počtu uživatelů všech typů platebních systémů přilákala zločinci, a oni investují stále rostoucí zdroje do podvodů, se kterými se mohou poprvé získat přístup k finančním údajům uživatelů a pak do jejich skutečné peníze. Přestože finanční útoky patří mezi nejsložitější a dražších typů útoků, které jsou také velmi lukrativní, protože jakmile úspěšný, poskytují přímý přístup k penězům obětí. Jakmile je on-line bankovní účet přístup, vše, co zůstává, je, aby se peníze a peněžní ji do, zatímco malware spisovatel nebo majitel botnetu navržen tak, aby spuštění DDoS útoky nebo rozesílat spam má stále najít klienty ke koupi své služby.
Za více než 16 let, společnost Kaspersky Lab vyvinula nástroje na ochranu proti všem druhům kybernetických útoků, včetně finančních útoků. Vývoj takových technologií je nemožné bez rutinní podrobné analýzy nových vzorků malwaru, sociální inženýrství a dalších nástrojů používaných zločinci se podílejí na finančním podvodům. Jedním z nejobecnějších závěrů, které lze vyvodit z této analýzy je, že na rozdíl od mnoha jiných typů útoků, finanční útoky škodlivého softwaru typicky obsahovat velmi rozmanitou sadu nástrojů - od phishingových stránek napodobovat legitimní webové stránky finančních institucí, k využití zranitelných míst v populární software a psaní na míru škodlivých programů.
Protože finanční kybernetické útoky jsou složité, analýza toho, jak mají dopad bezpečnosti uživatele vyžaduje komplexní přístup. To je důvod, proč při přípravě této zprávy, odborníci společnosti Kaspersky Lab považován za hrozby Windows podél hrozeb zaměřených na OS X a Android; "Specializované" malware, stejně jako ostatní programy, které jsou potenciálně schopné krádeže finančních údajů; a to nejen šíření nebezpečných trojské koně, ale také phishingové útoky, které mohou být účinným nástrojem pro koaxiální cenné finanční údaje z neopatrných uživatelů. Podle názoru společnosti Kaspersky Lab, tento komplexní přístup je jediný způsob, jak dosáhnout cíle této studie, která měla poskytnout co nejširší obraz krajiny cyber-hrozby zaměřené na on-line financí, a pokusit se zhodnotit rozsah nebezpečí, že takové kybernetické hrozby představují.
Metodika zprávy
Studie používá de-osobní údaje získané od Kaspersky Security Network . Kaspersky Security Network je celosvětově distribuované infrastruktury cloud-based určeny pro zpracování v reálném čase údaje o hrozeb, které uživatelé Kaspersky Lab s nimiž se setkávají. Kaspersky Security Network byl vytvořen s cílem zajistit, aby informace o nejnovějších hrozbách se dodává pro uživatele produktů společnosti Kaspersky Lab tak rychle, jak je to možné. Díky této síti, informace o nové hrozbě je přidán do databáze během několika minut dříve neznámé hrozby jsou objeveny. Další funkce KSN je shromažďovat anonymizované statistiky o hrozbách, které přistávají na uživatelských počítačích. Je to pro každého uživatele dobrovolné rozhodnutí poskytnout své informace KSN. Údaje obdržené tímto způsobem byl použit jako základ pro tuto zprávu.
Vědci studovali údaje o počtu případů, kdy aplikace Kaspersky Lab komponenty úspěšně chráněny proti phishingu (pod Microsoft Windows a Apple OS X), malware (pod Windows) a mobilní malware (pod Google Android). Kromě toho se podíval na statistiky o počtu uživatelů napadených. Výzkum také analyzuje informace o geografické šíření útoků a jejich intenzitě.
Výzkum pokrývá celý rok 2013; data jsou analyzována ve srovnání s ekvivalentními údaji shromážděnými v roce 2012. Hlavním předmětem výzkumu je terčem phishingových kampaní: počet blokovaných pokusů o stažení falešné stránky platebních systémů, on-line bankovních systémů, internetových obchodů a dalších cílů v souvislosti s finančními institucemi. Kromě toho, odborníci společnosti Kaspersky Lab je vybrán několik desítek vzorků malwaru vytvořené speciálně ukrást finanční údaje, a analyzovat, jak často byly pozorovány "v divočině" během období výzkumu.
As crypto-měna Bitcoin stal velmi populární v roce 2013, odborníci společnosti Kaspersky Lab se oddělili hrozby spojené s výrobou a odcizení této měny do zvláštní kategorie, a následuje svého vývoje.
Hlavní zjištění
Podle informací získaných od ochrany subsystémů produktů společnosti Kaspersky Lab 2013 došlo k dramatickému nárůstu počtu útoků financí související.
Níže jsou uvedeny hlavní závěry výzkumu:
31.45% všech phishingových útoků v roce 2013 cílených finančních institucí
22,2% ze všech útoků zapojeny stránky falešných bank; Podíl bankovního phishing zdvojnásobil ve srovnání s 2012.
59,5% bankovních phishingových útoků využíván jména pouhých 25 mezinárodních bank. Zbytek útoků používal jména 1.000 + ostatní banky.
38.92% ze všech případů, které vyžadovaly zásah bezpečnostních technologií společnosti Kaspersky na počítačích Mac byly vyvolány "finanční" phishingových stránek.
Dále ve výzkumném textu, budeme diskutovat podrobněji, jak útoky vyvíjet v průběhu času, podívat se na jejich zeměpisné rozložení, a podívejte se na seznamy svých cílů.
Phishing hrozby
Phishing, nebo vytvářet falešné kopie stránek k získání důvěrných uživatelských dat, je velmi běžné počítačové hrozby. To je do značné míry způsobeno tím, že k nasazení nejjednodušší podvodnou kampaň, zločinci nemusíte mít specifické znalosti programování - je to dost, aby se určité dovednosti při vytváření webových stránek. Hlavním cílem phishingu je přesvědčit oběti, které jsou na návštěvě skutečné místo, ne falešný. Tyto pokusy jsou často úspěšné, takže phishingové kampaně se používají i jako hlavní nástroj k získání citlivých informací o uživateli a jako součást komplexního útoku nalákat uživatele na stránky, ze kterých malware budou staženy na jejich zařízení.
Podle naší studie, phishingové stránky jsou často používány v kybernetické útoky zaměřené na krádeže uživatelských finanční údaje. Nicméně předtím, než přikročí k podrobné analýze těchto útoků, že by bylo užitečné, aby předložila celkový obraz o phishingových hrozeb v roce 2013.
Útoky a uživatelé
Na ochranu rostlin Kaspersky Lab mají čtyři sub-systémů pro boj proti phishingu. Phishing databáze (podobné škodlivých databází soubor podpisu) jsou uloženy na uživatelských zařízení a obsahuje seznam nejčastějších phishing odkazy aktivní, když byla databáze uvolněna. Druhý sub-systém je anti-phishing cloud databáze, která na ochranu rostlin Kaspersky Lab poradit, pokud uživatel všimne podezřelý odkaz, který dosud nebyl zahrnut v místní anti-phishing databáze. Cloud Databáze je aktualizována rychleji než lokálními a je určen k detekci velmi nejnovější phishingu
Produkty Kaspersky Lab se také integruje dva automatické systémy pro detekci phishingu odkazy a stránky: Mail anti-phishing a anti-phishing Web. Mail Anti-phishing sleduje odkazy v e-mailech uživatelů, pokud jde o práci s jedním z populárních e-mailových klientů (Microsoft Outlook, atd.). Web Anti-phishing kontroly všeho, co se zobrazí v prohlížečích uživatelů, využívající sadu heuristických pravidel, a je schopen detekovat nové phishingové stránky, i když neexistuje žádná informace o nich v žádné databázi.
Pro účely této zprávy, Kaspersky Lab použít pouze údaje získané z webových anti-phishing, protože to je obecně jen vyzval-li informace o novém phishing stránky chybí z databáze společnosti Kaspersky Lab. Kromě toho, že umožňuje určit cíl pro útok typu phishing
Web anti-phishing podíl na celkovém počtu detekuje v roce 2013
Podle společnosti Kaspersky Lab, v roce 2013 asi 39,6 milionu uživatelů čelí phishingových útoků, což představuje nárůst o 2,32% oproti roku 2012.
Více než 600 milionů oznámení o phishing odkazů a stránek, s nimiž se setkávají našimi uživateli přijeli ze všech čtyř Kaspersky Lab anti-phishing subsystémů. V roce 2012 to bylo téměř stejné. Ve stejné době se počet útoků blokovaných heuristickou Web Anti-phishing vzrostl o 22,2% více než ve stejném období - od 270 milionů v roce 2012 na přibližně 330 milionů v roce 2013. To může být způsobeno neustálým vylepšení na heuristické detekčního systému.
Geografie útoků
V roce 2013, většina phishingových útoků blokovaných Kaspersky Lab (30,8%), cílené uživatele v USA. Druhá přišla Ruska (11,2%), následuje Německo (9,32%).
Nejčastěji zaútočili zemí v roce 2013
Zde a níže, data jsou poskytována společností Kaspersky Security Network.
Ve srovnání s předchozím rokem, v roce 2013 seznam nejčastěji napadl zemích došlo k významným změnám. Například podíl na útocích na ruských uživatelů snížil o 9,19 procentního bodu, zatímco procento útoků na uživatele v USA výrazně zvýšil - v roce 2013 z 17,56% v roce 2012 30,8%. Podíl útoků na německé uživatele také vzrostla o 3,49 procentního bodu, z 5,83% na 9,32%.
Tam by mohlo být několik důvodů pro toto geografické rozdělení. Již jsme viděli, snížení množství útoků v některých zemích a zvýšení dalších zemích. Pokles by mohl být výsledkem takových faktorů, jako je posílení opatření pro boj proti počítačové kriminalitě, složitější registraci doménového jména postupy, atd. růst může být vyvolána "přirozené" nárůst celkového počtu uživatelů internetu a jednotlivé webové zdroje: sociální sítě stránky, internetové obchody, atd. častěji lidé stáhnout webové stránky, tím větší pravděpodobnost, že se setkáte s phishingových stránek.
Cíle
Jak je patrné z níže uvedeného grafu, většina útoků v roce 2013 napodobil sociálních sítí - o 35,4%. Finanční a phishing cíle - falešné bankovní weby, platební systémy a on-line obchody - činil 31,45%. Poštovní služby skončil třetí s 23,3% útoků.
Phishing cíle v roce 2013
Výrazně, ve srovnání s 2012, rozdělení cílů podle typu výrazně změnila v roce 2013. Podíl útoků s použitím falešných sociálních sítí stránky se zvýšila o 6,79 procentního bodu a dosáhla 35,39%, zatímco podíl finančních útoků vzrostl o 8,5 pb a činila 31,45%. Ve stejné době, podíl útoků využívají falešné webové stránky mailových služeb se snížily o 10,5 pb na 23,3% a online hry poklesla z 3,14% v roce 2012 až 2,33% v roce 2013.
Phishing cíle v roce 2012 a 2013
Finanční útoky prokázaly nejvýraznější nárůst v roce 2013 oproti roku 2012, který dává prostor pro podrobnější analýzu dynamiky takových útoků.
Finanční útoky: znepokojující trend
V roce 2012, 22,95% všech phishingových útoků cílených finančních služeb jednoho druhu nebo jiný: 11.92% ze všech útoků bylo provedeno s použitím falešného banky a on-line bankovní weby, 5,66% cílené internetové obchody, a 5.37% cílené platebního styku stránky.
Finanční phishing v roce 2012
Nicméně, v roce 2013 rozdělení útoků v kategorii "Online Finance" dramaticky změnila. Procento phishing zaměřených bank téměř zdvojnásobil a dosáhl 22,2%. Podíl internetových obchodů vzrostla nepatrně - z 5,66% na 6,51% - zatímco podíl platebních systémů se snížil o 2,63 s. The závěr je zde zřejmá: útočníci se stále více zaměřují na bankovní webových služeb, a to je jeden z nejsilnějších trendů v oblasti oblast phishingových hrozeb.
Finanční phishing cíle v roce 2013
Tento trend je ještě jasný, když je finanční phishing oddělen od ostatních kategorií. V roce 2013, falešné bankovní stran tvoří 70,59% všech Kaspersky Lab Web Anti-phishing zjištěných v kategorii Online financí, ale o rok dříve činil podíl banky phishingu byla pouze 51,95%.
Procento útoků na on-line obchodů se snížil z 24,66% v roce 2012 - 20,71% v roce 2013, zatímco podíl útoků na platebních systémů poklesl z 23,39% na 8,7%.
Finanční phishing až v roce 2012 | Finanční phishing až v roce 2013
Bližší pohled na finanční phishing cíle
Banky
Ačkoli Kaspersky Lab anti-phishing databáze obsahuje více než tisíc jména bank, které byly napadeny, nebo jsou v nebezpečí, že budou napadeni kvůli své popularitě, drtivá většina všech phishingových útoků s použitím falešných bankovních stránek využíván jména pouhých 25 organizací.
V roce 2013, tato 25 bank přilákala asi 59,5% všech "bankovních" útoky. Nicméně, většina z těchto organizací jsou největší mezinárodní bankovní značek, které působí v desítkách zemí po celém světě. Široké povědomí o značce je jedním z hlavních nástrojů pro phisherů: více populární značka, tím snazší je pro zločinci použít jeho jméno lákat uživatele na falešné webové stránky.
Útoky proti bankám v roce 2013
Platební systémy
Stejně jako v případě útoků na banky, rozdělení útoků na platební systémy do značné míry závisí na povědomí o značce - téměř 90% ze všech phishingových útoků v této kategorii klesl na jednu z pěti světových značek: PayPal, American Express, MasterCard International, Visa nebo Western Union
Útoky proti platebních systémů v roce 2013
PayPal je velmi populární systém pro provádění on-line plateb, je stejně populární s hackery - množství útoků na tomto systému dosáhl 44,12%.
Příklad stránky phishing imitující webové stránky PayPal
Významný podíl útoků napodobil American Express - 26,26%. MasterCard International a Visa Inc stránky jsou zaměřeny mnohem méně často: tyto systémy tvořily 11,63% a 6,36% útoků, resp.
Příklad stránky phishing imitující webové stránky Visa
Internetové obchody
Již několik let po sobě Amazon.com (61.11% v roce 2013) byl nejvíce populární kryt pro phishingové útoky v kategorii Internetové obchody.
Příkladem falešné Amazon stránky zaměřené uživatelům v Německu
Jako největší on-line obchod, který nabízí širokou škálu zboží, Amazon je známý pro mnoho uživatelů. Proto je oblíbený u podvodníků, kteří vytvářejí falešné stránky.
Významný podíl útoků (12,89%) používat značku Apple. Obecně platí, že útočníci se snaží napodobit stránky on-line prodejnách Apple zařízení, stejně jako App Store a iTunes Store.
Útoky na on-line obchodů v roce 2013
Mezi tradiční phisher cílů je internetové aukční web eBay (12%), a čínský internetový obchod Alibaba (4,34%) se stává stále více atraktivní pro podvodníky. V roce 2013 to bylo spojené další čínský internetového obchodu - Taobao (1,26%). Téměř 3% všech útoků na on-line obchodech klesly na MercadoLibre.com, jihoamerické verzi eBay. Výše uvedený diagram znázorňuje "mezinárodní" charakter finančního phishing. Jak lze vidět, že oběti útoků jsou nejen anglicky mluvící uživatele, ale také lidi, kteří mluví čínsky, španělština, portugalština, a několik dalších jazyků.
Hlouběji do dynamiky útoků
Profesionální a marketingové aktivity společnosti, které jsou využívány v phishingovými nástrahami také ovlivňuje počet útoků.
Tento trend lze ilustrovat grafem útoků, které využívaných značku Apple.
Útoky využívající značku Apple v druhé polovině roku 2013
V průběhu roku se dynamika společnosti Kaspersky Lab, bezpečnostní technologie detekce hrozeb, které využívají společnosti Apple ochranná známka byla série vrcholy a žlaby v rozmezí od 1 do 2500 operací za den. Nicméně, jak je vidět z grafu výše, byly tam dva výrazné vrcholy, které se shodovalo s datem iPhone 5s a 5c byly vyhlášeny dne 10. září 2013 a vyhlášením iPad Air a iPad Mini s sítnice displeji dne 22. října 2013.
Logika je v tomto případě jasné: Apple zařízení jsou vždy horkým tématem pro zprávy a diskuse na Internetu, zvláště když nový produkt, má být propuštěn. Pro podvodníky, pomocí "horkých" klíčových slov je obvyklý způsob, jak přilákat diváky na falešné stránky, a jak je z grafu patrné, tato metoda funguje.
Apple není jen phisher cíl, který ukazuje korelaci mezi počtem útoků a činnosti společnosti. Přírodní katastrofy a high-profil mezinárodní akce přilákat aktivní krytí a diskuse v médiích a na internetu, což vede ke vzniku tzv. tematické phishing a spam. Podobně rozsáhlé marketingové kampaně v držení banky, e-obchod nebo jiných obchodních nebo finančních institucí se může stát záminkou pro phishing
Logický závěr pro banky, platebních systémů a ostatních finančních institucí pravidelně provozujících on-line marketingových aktivit je jednoduchý: při zahájení reklamní kampaně cílem přilákat nové podniky, nezapomeňte varovat zákazníky o možných kybernetických hrozeb.
Phishing proti OS X: první náznaky rostoucí hrozbou
Počet škodlivých útoků na majitele počítačů se systémem OS X byla vždy výrazně nižší než počet útoků na uživatele systému Windows. To může být snadno vysvětlit: když Apple aktivně podporuje své počítače a notebooky Mac po celém světě, se počet uživatelů těchto zařízení je zdaleka neodpovídá počtu počítačů běžících pod Windows. Vzhledem k tomu, zločinci chtějí maximalizovat své zisky, přirozeně věnovat větší pozornost uživatele systému Windows. Nicméně, toto tvrzení je platné pouze, pokud jde o malware. Útočník nemusí dělat nic zvláštního k útoku na uživatele Mac přes phishing: když Windows a OS X má zásadní rozdíly, které znemožňují napsat "univerzální" škodlivých programů pro obě platformy, uživatelé PC i Mac stáhnout stejný webové stránky a phishingu hrozby, které se šíří s pomocí techniky sociálního inženýrství jsou stejně nebezpečné pro uživatele počítačů Mac, protože jsou pro uživatele systému Windows. Výsledky studie společnosti Kaspersky Lab potvrzují tuto skutečnost.
Je však třeba poznamenat, že z technických důvodů pouze Kaspersky Lab se stal schopen shromažďovat relevantní statistické údaje od uživatelů počítačů Mac v listopadu 2013 všichni Mac související informace v této studii bylo sklizeno v listopadu a prosinci 2013. I když je období pozorování je krátká, získané údaje poskytuje vhled do krajiny hrozeb ohrožujících OS X uživatele a pomáhá definovat rozdíly ve srovnání s celkovým obrázku.
V roce 2013, 7,8% z Kaspersky Lab anti-phishing odhalení chráněných počítačů Mac. Téměř polovina z těchto útoků cílených uživatelů v USA (47,55%); 11.53% útoků bylo registrováno v Německu a 5,47% ve Velké Británii. Seznam nejčastěji napadl zemí také Švédsko a Austrálie.
Nejčastěji napadl země: uživatelé Mac
Rozdíly v distribuci útoků země lze vysvětlit relativní využití počítačů Apple v těchto zemích. Tradičně, USA a vyspělé evropské země jsou největšími trhy pro zařízení Apple.
Majitelé Mac čelí phishingových útoků tak často, jak uživatelé počítačů se systémem Windows, ale jejich šance stát se obětí finanční útoku jsou ještě větší.
V průběhu vykazovaného období, o 38.92% ze všech Kaspersky Lab anti-phishing detekcí na počítačích Apple zapojen "finanční" phishingových stránek. To je téměř o 7,5 procentního bodu více než "finanční" podíl na celkovém objemu útoků. 29.86% z celkového počtu útoků došlo, když uživatelé se snažili vstoupit falešné bankovní weby; on-line obchody a aukce činil 6,6%, zatímco platební systémy představovaly 2,46% všech anti-phishing detekce.
Finanční phishing: Mac
To byl názor odborníků společnosti Kaspersky Lab se na finanční phishing v roce 2013. Ačkoli phishing je poměrně časté hrozbou, pokud jde o finanční počítačové trestné činnosti tvoří relativně malou část celkového krajiny kybernetických hrozeb finančních. Klíčovou roli zde hraje finanční malware, nebezpečného softwaru, schopnou získat údaje uživatelů pro přístup k on-line účty a krást peníze oběti. To bude projednáno v další části zprávy společnosti Kaspersky Lab.
Zpráva Spam: leden 2014
1.3.2014 Analýza | Spam
Spam v centru pozornosti
V lednu byla spammeři měnit jejich pozornost od Vánoc a Nového roku se na den svatého Valentýna. Angličtina-a ruskojazyčných hromadné e-maily, které nabízejí kamerové systémy byly ještě další populární trend v lednu.
Takzvané nigerijské podvodníci i nadále využívat smrt Nelsona Mandely a Ariela Šarona, aby přimět uživatele k rozdávání své peníze.
Dovolená spam
S hlavními zimní dovolená přes spammery zapnutý svou pozornost na nadcházející události, a zejména na Valentýna. Stejně jako tradiční "květinové" korespondence a návrhy na romantickou večeři nebo výlet, anglický-jazyk spam obsažen inzeráty, které nabízejí některé poněkud neobvyklé dárky, včetně skutečné hvězdy na obloze.
V únoru, očekáváme růst nejen ve sváteční motivy spam, ale také v hromadné korespondenci na dalších témat. Kromě toho očekáváme nárůst počtu zásilek využívajících téma den svatého Patrika.
V "nigerijské" manželky Nelson Mandela
Tragické události posledních měsíců jsou aktivně využívány "nigerijské" podvodníky ve svých podvodných e-mailů. Na začátku ledna, bývalý izraelský premiér Ariel Šaron zemřel ao týden později jsme zaznamenali hromadnou korespondenci využívání zprávy. Nicméně, smrt Nelsona Mandely byl využíván v mnohem větší míře. První zásilky, kde je smrt bývalého jihoafrického prezidenta se objevila v prosinci.
V lednu, jak se očekávalo, nové e-maily se objevily. Je dobře známým faktem, že Nelson Mandela byl ženatý třikrát, a to bylo něco, co spammeři vyzvednout na. Tentokrát se aktivně používají jména svých manželek přesvědčit příjemce, že jejich příběhy jsou pravdivé.
Jeden "nigerijské" dopis údajně napsal právník po zesnulém prezidentovi druhá manželka Winnie Madikizela neobsahovaly žádné podrobnosti spolupráce. Je pouze uvedeno, že Winnie a její právník potřebuje pomoc při získávání obrovské množství peněz a zlatých prutů a investovat jej. Oni tvrdili, že hledali slušný člověk, který musel být cizí státní příslušník. Pro zpětnou vazbu a více informací e-mail zadali číslo mobilního telefonu. Pozoruhodné je, že podvodníci požádal příjemce kontaktovat a to i v případě, že nabídka nebyla zájmu k němu s tím, že v takovém případě by se hledat pomoc od někoho jiného. Podvodníci samozřejmě počítal chamtivost příjemce je větší, než je jejich zdravý rozum.
Ještě další hromadné korespondence byl údajně od Mandely třetí manželka Graca maršála. Tentokrát se podvodníci pokusili vyhrát sympatie příjemce se smutným příběhem o boji uvnitř Nelsona Mandely rodiny pro jeho miliony a o dalších chamtivých příbuzných, schopných čehokoliv. Pro potvrzení příběh e-maily obsahovaly odkaz na článek zpravodajství v renomovaných novinách. Podvodníci byli požádáni o pomoc při přenášení peníze z "nešťastného manželka prezidenta" a udržet ji v bezpečí na účet příjemce.
Video monitorovací systémy
V lednu byla nárůst ve výši hromadnou korespondenci s nabídkami na nákup a instalaci kamerové systémy na soukromých a komerčních prostor. Takové nabídky jsou poměrně typická. V podstatě, oni jsou nevyžádané e-maily psané na zastoupení různých firem specializujících se na video monitorovacích systémech. Je pravidlem, že tyto e-maily nezadáte název společnosti na adresu odesílatele. Místo, adresa obsahuje jméno nebo příjmení odesílatele, které není vždy stejný název správce ve zprávě.
Anglická jazyková spam na toto téma se zaměřením na osobní bezpečnost a možnost dohlédněte na manžely a manželky, stejně jako zdraví návštěvníků a dělníků v soukromých domech. Zprávy často obsahovaly odkaz na stránkách dodavatele nebo on-line prodejna Kamery místo a kontaktní telefonní číslo.
Zeměpisné rozložení zdrojů spamu
Podíl nevyžádané pošty v e-mailovém provozu
Podíl nevyžádané pošty v e-mailovém provozu
První týden roku 2014 došlo k mírnému poklesu podílu spamu způsobené poklesem spammer aktivity během prázdnin. Nicméně, druhý týden v lednu vynahradil toto: počet spamových zásilek výrazně zvýšil. V druhé polovině měsíce se situace normalizovala a průměr leden představovaly 65,7% všech e-mailového provozu.
Zdroje Spam
V lednu, seznam zdrojů distribuci spamu na celém světě prošla několika změnami.
Zdroje spamu podle země
USA posunul z druhého do prvního místa v kvalifikaci po rozdělení 21,9% veškeré nevyžádané pošty, což představuje nárůst o 3 procentní body. Naproti tomu podíl Číny (16%) se snížil o 7 procentních bodů, což vedlo v zemi klesl na druhé místo. Jižní Korea přišla opět třetí (12,5%), i když jejich podíl rovněž poklesl o 1,5 procentního bodu.
Stejně jako v prosinci, čtvrté místo byla pořízena Tchaj-wan (6,2%), následuje Rusko s 6%. Top 10 byla zaokrouhlena Rumunskem, což představovalo 2% veškeré nevyžádané pošty odeslané na celém světě.
Mírný nárůst spammer činnosti byl zaznamenán v Itálii, kde podíl nevyžádané pošty byl 1,5%, stejně jako ve Španělsku (1%), Hong Kong (1%) a Filipíny (1,1%). Údaje o ostatních zemích zůstal stejný bez změny jejich pořadí.
Zdroje spamu v Evropě podle země
V lednu, Jižní Korea zůstala hlavním zdrojem spamu poslal do evropských uživatelů (47,2%), i když jeho podíl klesl o 5,9 procentního bodu oproti předchozímu měsíci. Příští přišel Tchaj-wan (5,8%), což byl třetí v prosinci, následované USA (-2,1 procentního bodu), v průměru o 5,3%.
Hong Kong skončil měsíc na čtvrtém místě s 3% spamu v Evropě pochází odtud. Rusko (3%) zůstal pátý, získává 0,3 procentních bodů. To je následované Španělskem (2,4%) a Itálii (2%): obě země také vykázal mírný nárůst podílu spamu poslal evropským uživatelům. Rumunsko (1,7%) dokončilo Top 10.
Čína (1,4%) klesl sedm míst a ven z lednového Top 10 jako jeho podíl klesl téměř o 2 procentní body.
Za povšimnutí stojí mírný růst spammer činnost ve Velké Británii (1,4%), v Německu (1,3%) a Francie (0,9%).
Zdroje spamu podle krajů
Asie (49%) zůstal vedoucí regionální zdroj nevyžádané pošty v lednu i přes značný pokles (-7,6 procentního bodu), v spammer činnosti. Severní Amerika přišla druhá, co rozděleny 15% světového spamu, což představuje nárůst o 2,8 procentního bodu. Mezitím, podíl východní Evropě vzrostly o 1,3 procentního bodu, v průměru o 18%, čímž se kraj na třetím místě v hodnocení. Západní Evropa (5,8%) a Latinská Amerika (4%) přišel čtvrtý a pátý, resp.
Škodlivé příloh v e-mailovém provozu
V lednu se Top 10 škodlivých programů, které se šíří prostřednictvím e-mailu byl následující:
TOP 10 škodlivých programů distribuovaných prostřednictvím e-mailu
Trojan-Spy.html.Fraud.gen zůstává nejrozšířenější škodlivý program. Fraud.gen patří do rodiny trojských koní, které používají spoofing technologie: Tyto trojské koně napodobit HTML stránky a jsou distribuovány prostřednictvím e-mailu, se objeví v podobě oznámení od velkých komerčních bank, e-obchody, vývojáři softwaru, atd.
Trojan-PSW.Win32.Fareit.amzb, Trojan-PSW.Win32.Fareit.anaq, Trojan-PSW.Win32.Fareit.annp, Trojan-PSW.Win32.Fareit.anai a Trojan-PSW.Win32.Fareit.amzs přišel druhý, třetí, čtvrtý, osmý a devátý, resp. Tyto programy patří do rodiny malware, který krade uživatelská jména a hesla a posílá je do příkazového serveru zločinců. Mohou také zahájit DDoS útoky, stáhněte a spusťte náhodné software. Všech pět vzorků stáhnout a spustit trojské koně z rodiny Zbot určený k útoku servery a počítače, jakož i pro zachycení uživatelských dat. Ačkoli Trojan je schopen různých škodlivých aktivit, to je nejvíce často používán ukrást bankovní údaje. To může také nainstalovat CryptoLocker , je škodlivý program, který vyžaduje peníze na dešifrování dat uživatele. Trojan-PSW.Win32.Fareit.anai také načte Trojan, který nainstaluje škodlivý rozšíření pro prohlížeče, který je schopen se dívat skrz žádostí o vyhledávání uživatele na hlavních vyhledávačů a výměna výsledků v zájmu zločinců. Mezi škodlivé programy z rodiny Fareit krást peněženky Bitcoin a asi 30 dalších virtuálních měn.
Páté místo obsadil čistou červa Asprox určené k šíření spamu. To automaticky infikuje weby, načte a spustí další programy, a sbírá cenné informace uložené v počítači, jako jsou hesla a další údaje pro přístup k e-mailu a FTP účtů.
Top 10 byla završena Email-Worm.Win32.Bagle.gt., E-mailový červ, který posílá kopie sebe sama všem e-mailové adresy nalezené v infikovaném počítači. Červ také stahuje soubory z internetu bez vědomí uživatele. E-mailové Worm.Win32.Bagle.gt používá svůj vlastní SMTP knihovnu poslat infikované zprávy.
Distribuce mailové antivirových odhalení podle zemí
USA (3,5 procentních bodů), na špičce hodnocení zemí s nejvyšším počtem e-mailových antiviru tlačí na Spojené království až do druhé (-3,41 procentního bodu). Německo zůstalo třetí místo s poklesem o 0,39 procentního bodu ve srovnání s předchozím měsícem.
Ruský podíl na celkovém počtu mailová antivirových odhalení celého světa byla až 2%. Akcie Mexika a Jihoafrické republiky vzrostl výrazně znamená tyto země vstoupily do Top 20 v sedmnáctém a osmnáctém míst, resp.
Zvláštnosti škodlivého spamu
Minulý měsíc se podvodníci zaměřili na uživatele cross-platformní Messenger WhatsApp, jehož obliba po celém světě rychle roste. Messenger umožňuje uživatelům posílat textové zprávy a vyměňovat obrázky a videa a zvukové soubory. Skutečnost, že WhatsApp je v současné době k dispozici pouze pro smartphony a vytvoření účtu WhatsApp nevyžaduje e-mailový účet, nezabránila zločince z rozesílání spamu upozornění e-mailem.
V lednu jsme narazili na falešné oznámení z WhatsApp, který řekl, že jeden z uživatelových přátel nebo jen "váš přítel" poslal mu fotografii nebo obrázek. Přiložený archiv vlastně obsahoval škodlivý program detekován Kaspersky Lab jako Backdoor.Win32.Androm.bjkd., Notoricky známý backdoor, jehož hlavní funkcí je ke stažení další malware v počítači oběti.
Phishing
Pořadí organizací napadeny phisherů se v lednu výrazně nezmění.
Distribuce Top 100 organizací, na něž phisherů podle kategorií
Hodnocení je založeno na společnosti Kaspersky Lab anti-phishing součástí odhalení, které jsou aktivovány pokaždé, když se uživatel pokusí klikněte na odkaz phishing, bez ohledu na to, zda je odkaz v nevyžádaných e-mailů, nebo na webové stránce.
První místo byla opět obsazena sociálních sítí (27,3%), které se zvýšily svůj podíl o 0,9 procentního bodu. Podíl e-mailových služeb (19,7%) a vyhledávačů (16,9%) mírně zvýšil a tyto kategorie zůstaly v druhém a třetím místě v žebříčku, resp.
Finanční a e-pay organizace (15,7%) zůstal na čtvrtém místě, i přes podíl kategorii je pokles o 0,2 procentního bodu ve srovnání s předchozím měsícem.
Procento telefonie a poskytovatelů internetových služeb (8.29%) a IT dodavatelů (5,93%), kategorie mírně snížil, i když to neovlivnilo jejich pořadí - oni zůstali v páté a šesté pozice, resp.
V lednu byla phishery vyslat falešné oznámení z řady populárních on-line obchodů. Příjemci podvodného e-mailu podepsaného "manažer" amerického maloobchodního řetězce Walmart byli informováni, že jejich objednávka nebyla doručena. Chcete-li vyřešit tento problém, byli požádáni, aby vyplnit formulář a odeslat ji zpět do týdne. Zpráva byla navržena v oficiální firemní styl, včetně loga společnosti a automatický podpis na úpatí zprávy - to vše mělo přesvědčit uživatele, že e-mail byl legitimní. Příjemce je však mělo být podezřelé tím, že e-mail se jimi zabývat osobně jménem a skutečnost, že se více než jeden důvod pro dodání není provedena.
V lednu jsme také narazili na německého jazyka phishing hromadnou korespondenci, která byla pomocí názvu Amazon store. Příjemce byl informován, že služba byla zaregistrována pokus o přístup ke svému účtu z počítače někoho jiného. Příjemce byl požádán, aby potvrdil informace o účtu do 48 hodin, jinak by to být blokován. E-mail obsahoval odkaz na stránku phishing. Stojí za to poznamenat, že e-mail neměl sebemenší podobnost legitimní zprávy. Zdá se, že podvodníci doufali, že příjemci byli nezkušení nebo nepozorný, při použití legitimní hledá e-mailovou adresu v poli Od.
Závěr
Podíl nevyžádané pošty v celosvětovém e-mailovém provozu se snížil o 7,6 procentního bodu a v průměru 65,7% v lednu. Jak se předpokládá, že pokles v podílu nevyžádané pošty byl kvůli klidu brzy v lednu, kdy je zde méně podnikatelské činnosti a velký počet botnetů jsou vypnuty.
Spam zásilky obsahovaly reklamy pro dary, jakož i služby, které nabízejí k pořádání různých akcí nebo výletů. Ještě jeden svátek, den svatého Valentýna, byl využíván jak v anglické a ruské jazykové spamu. Zaznamenali jsme tradiční hromadnou korespondenci z "květinových" partnerských programů reklamní romantické večeře a mnoho dalších dárkových nabídkách.
Jak se dalo očekávat, spammeři i nadále posílat "nigerijské" dopisy využívající téma Nelsona Mandely smrti. Tentokrát podvodníci prošel sebe pryč jako manželky nebo asistentů bývalého prezidenta. Ledna také viděl Ariela Šarona smrti použity k oklamat uživatele.
Dalším významnou událostí zneužít podvodníci se olympijské hry v Soči. Hromadné e-maily byly detekovány v lednu reklamách na falešné značkové zboží a doplňky s logem her.
Hodnocení leden organizací zaměřeny nejčastěji phishery viděl malou změnu oproti předchozímu měsíci. Sociálních sítí zůstal na prvním místě s nárůstem o 0,9 procentního bodu. Jsou následuje e-mail a instant messenger, a kategorie vyhledávače, jejichž akcie také mírně vzrostl.
Populární sociálních sítí a instant messenger služby zachovány zůstaly cíle volbou pro falešné oznámení, které obsahují škodlivé programy. V lednu byla škodlivé oznámení provedené vypadají, jako by byly odeslány z WhatsApp cross-platformní messenger pro chytré telefony.
Mobilní malware Evolution: 2013
1.3.2014 Analýza | Mobil
Mobilní malware sektor je rychle rostoucí a to jak technologicky a konstrukčně. Je to bezpečné říci, že dnešní cybercriminal již není osamělý hacker, ale součástí vážné hospodářské činnosti.
Existují různé typy subjektů zapojených do mobilního malwaru průmyslu: autoři virů, testery, návrháři rozhraní obou škodlivých aplikací a webových stránek, které jsou distribuovány z, majitelé partnerských programů, které se šíří malware, a majitelé mobilní botnet.
Tato dělba práce mezi zločinci mohou také být viděn v chování jejich trojské koně. V roce 2013, existují důkazy o spolupráci (s největší pravděpodobností na komerční bázi) mezi různými skupinami autory virů. Například, botnet Trojan-SMS.AndroidOS.Opfake.a, kromě své vlastní činnosti, také šířit Backdoor.AndroidOS.Obad.a zasláním spamu obsahující odkaz na malware do seznamu oběti kontaktů.
Nyní je jasné, že zřetelné průmysl vyvinul a je stále více zaměřena na těžebním zisků, což je zřejmé z funkčnosti malware.
2013 v číslech
Bylo zjištěno celkem 143.211 nových úprav škodlivých programů zaměřených na mobilní zařízení ve všech od roku 2013 (od 1.1.2014).
V roce 2013, 3.905.502 instalační balíčky byly využívány zločinci k distribuci mobilního malwaru. Celkově v letech 2012-2013 jsme zjištěna přibližně deset milionů unikátních škodlivých instalačních balíčků:
Počet instalačních balíčků zjištěných v letech 2012-2013
Různé instalační balíčky lze instalovat programy se stejnou funkčností, které se liší pouze z hlediska škodlivého app rozhraní a, například, obsah textových zpráv, které se šíří.
Android je stále terčem zákeřných útoků. 98,05% všech malware detekovaného v roce 2013 zaměřena tuto platformu, což potvrzuje i popularitu tohoto mobilního operačního systému a zranitelnost jeho architektuře.
Distribuce mobilního malware zjištěn v roce 2013 podle platformy
Většina mobilní malware je navržen tak, aby ukrást peníze uživatelů, včetně SMS trojské koně, a spoustou zadních vrátek a trojských koní.
Distribuce mobilního malwaru podle kategorie
V průběhu roku se počet mobilních malware úprav určených pro phishing, krádež informací o kreditních kartách a peníze se zvýšila o faktor 19,7. V roce 2013, mobilní produkty společnosti Kaspersky Lab zabráněno 2500 napadením bankovních trojských koní.
Metody a postupy
2013 došlo nejen radikální nárůst výkonu z mobilního autoři virů, ale také viděl, je aktivně uplatňovat metody a technologie, které dovolily zločinci efektivněji využívat jejich malware. Tam bylo několik různých oblastí, kde mobilní malware podstoupili zálohy.
Distribuce
Počítačoví zločinci využili některých mimořádně sofistikovaných metod infikovat mobilní zařízení.
Infikovat právní webové zdroje napomáhá šíření mobilního malwaru prostřednictvím populárních webových stránkách. Stále více a více chytrých telefonů a tabletů majitelé využívat své zařízení k přístupu na internetové stránky, si neuvědomuje, že i většina renomovaných zdrojů může být počítačový pirát. Podle našich údajů, 0,4% z navštívených webových stránek uživateli našich výrobků byly ohroženy stránky.
Distribuce prostřednictvím alternativních app obchodech . V Asii existuje řada společností, které vyrábějí Android-založené zařízení a Android aplikací, a mnoho z nich nabízí uživatelům vlastní app obchody, které obsahují programy, které nelze nalézt v Google Play. Čistě nominální kontrolu nad aplikací nahraných na těchto prodejnách znamená, že útočníci mohou skrývat trojské koně v aplikacích vypadat jako nevinné hry nebo utility.
Distribuce prostřednictvím botnetů. Zpravidla bots self-množit zasláním textové zprávy s nebezpečným odkazem na adresy v adresáři oběti. Jsme také registrována jednu epizodu mobilní malware šíří prostřednictvím třetí strany botnet.
Odolnost na ochranu proti malware
Schopnost škodlivého softwaru neustále pracovat na mobilním zařízení oběti je důležitým aspektem jejího vývoje. Čím déle Trojan "žije" na telefonu, tím více peněz to bude pro majitele. To je oblast, kde autoři virů se aktivně pracuje, což má za následek velké množství technologických inovací.
Zločinci jsou stále více využívají mlžení , záměrné jednání o vytvoření komplexní kód, aby je obtížné je analyzovat. Čím složitější je zmatek, tím déle bude trvat antivirové řešení pro neutralizaci škodlivého kódu. Výmluvné je, aktuální spisovatelé virů zvládli komerční obfuskátory. To znamená, že vynaložily značné investice. Například, jeden komerční obfuscator, která stála 350 €, byl použit pro trojské koně a Opfak.bo Obad.a
Android zranitelnosti jsou využívány zločinci ze tří hlavních důvodů: aby se vyhnula kód kontrolu integrity při instalaci aplikace (zranitelnost Master Key), s cílem posílit práva škodlivých aplikací, značně rozšiřují své schopnosti, a aby to více obtížný pro odstranění škodlivého softwaru. Například, Svpeng využívá dosud neznámou zranitelnost se chránit před ručně odstranit nebo antivirového programu.
Počítačoví zločinci také zneužít tuto chybu zabezpečení hlavního klíče a naučili vložit nepodepsané spustitelné soubory v Android instalačních balíčků. Digitální ověření podpisu lze obejít tím, že soubor škodlivý přesně stejný název jako legitimní soubor a umístit jej na stejné úrovni v archivu. Systém ověřuje podpis oprávněného souboru při instalaci souboru škodlivého.
Bohužel, je specifickým rysem Android zabezpečení, které znamená, že je možné pouze se jich zbavit tím, že obdrží aktualizace od výrobce zařízení. Nicméně, mnoho uživatelů se v žádném spěchu aktualizovat operační systémy svých výrobků. Pokud smartphone nebo tablet byla vydána před více než rokem, je to pravděpodobně již není podporován výrobcem a záplatování zranitelností již není k dispozici. V tomto případě, pouze pomoc přichází z antivirové řešení, například Kaspersky Internet Security pro Android.
Vkládání škodlivého kódu do legitimních programů pomáhá zakrýt infekce z oběti. Samozřejmě, že to neznamená, že digitální podpis vývojáře softwaru mohou být použity. Nicméně, vzhledem k neexistenci certifikačních středisek, které ověřují digitální podpisy programy Android, nic nebrání tomu, zločince od přidání vlastního podpisu. Jako výsledek, kopie Angry Birds instalovaných z neoficiálních app store nebo stažených z fóra může snadno obsahovat škodlivý funkčnost.
Možnosti a funkce
V roce 2013, jsme zjistili několik technologických inovací vyvinula a zločinci používají v jejich škodlivého softwaru. Níže jsou uvedeny popisy některých z nejzajímavějších.
Řízení malware z jednoho centra poskytuje maximální flexibilitu. Botnet může výrazně více peněz, než autonomních trojské koně. To přijde jako žádné překvapení, pak, že mnoho SMS-Trojské koně patří funkčnost bot. Podle našich odhadů asi 60% z mobilního malwaru jsou prvky obou velkých a malých mobilních robotických sítí.
Pomocí Google Cloud Zprávy majitelé botnet může pracovat bez serveru C & C, čímž se eliminuje hrozba botnet je detekován a blokován donucovacími orgány. Google Cloud Messaging je navržen tak, aby odeslat krátkou zprávu (do 4 KB) do mobilních zařízení prostřednictvím služby Google. Developer prostě musí zaregistrovat a získat jedinečné ID pro jeho aplikace. Příkazy přijaté přes GCM nelze okamžitě zablokován na infikované zařízení.
Zjistili jsme několik škodlivých programů pomocí GCM pro velení a řízení - rozšířené Trojan-SMS.AndroidOS.FakeInst.a, Trojan-SMS.AndroidOS.Agent.ao, a Trojan-SMS.AndroidOS.OpFake.a mezi ostatními. Google je aktivně bojovat proti tomuto užívání služby, rychle reagovat na zprávy z antivirových společností a blokování identifikátory zločinci.
Útoky na systému Windows XP umožňují mobilní malware infikovat počítač po připojení smartphonu nebo tabletu. Na začátku roku 2013 jsme zjištěny dva stejné aplikace na Google Play, které byly údajně určeny pro čištění operačního systému zařízení se systémem Android od zbytečných procesů. Ve skutečnosti, že aplikace jsou navrženy tak, aby stažení souboru autorun.inf, ikonu souboru a soubor Win32 Trojan, který mobilní škodlivý program vyhledá v kořenovém adresáři SD karty. Na připojení smartphonu v režimu USB disku emulace k počítači se systémem Windows XP, systém automaticky spustí Trojan (pokud AutoPlay na externí médium není zakázán) a je nakažený. Trojan umožňuje zločinci na dálku ovládat počítač oběti a je schopen nahrávat zvuk z mikrofonu. Chtěli bychom zdůraznit, že tento způsob útoku funguje pouze na Windows XP a Android verze před 2.2.
Nejvyspělejší mobilní škodlivé programy jsou dnes trojské koně zaměřené na bankovní účty uživatelů - nejatraktivnější zdroj trestních výdělku.
Trend z roku: mobilní bankovnictví trojské koně
2013 byl poznamenán rychlým nárůstem počtu Android bankovních trojských koní. Cyber průmysl mobilního malwaru je stále více zaměřena na zefektivnění zisku, tj. mobilní phishing, krádež informací o kreditních kartách, převody peněz z bankovních karet do mobilních telefonů a od telefonů na e-peněženek zločinců. Počítačoví zločinci se stali posedlí touto metodou nelegálních příjmů: na začátku roku jsme věděli, že pouze 67 bankovních trojských koní, ale do konce roku to již bylo 1321 unikátních vzorků. Mobilních produktů společnosti Kaspersky Lab zabránit 2.500 infekcí bankovní trojské koně.
Počet mobilních bankovních trojských koní v naší sbírce
Mobilní bankovnictví trojské koně může běžet spolu s Win-32 trojské koně, aby se vyhnula dvoufaktorovou autentizaci - MTAN odcizení (krádež ověřování bankovní kódy, které banky posílají své zákazníky SMS zpráv). Nicméně, v roce 2013, autonomní mobilní bankovnictví trojské koně dále rozvíjet. V současné době jsou tyto trojské koně útoku omezeného počtu klientů bank, ale očekává se, že zločinci budou vymýšlet nové techniky, které jim umožní rozšířit počet a geografii potenciálních obětí.
Infekce způsobené mobilních bankovních programů
Dnes, většina bankovních trojských útoků vliv na uživatele v Rusku a Společenství nezávislých států. Nicméně, tato situace nebude trvat dlouho: vzhledem zájem počítačovými zloději "v uživatelských účtech, činnost mobilních bankovních trojských koní se očekává, že růst v jiných zemích v roce 2014.
Jak bylo uvedeno výše, bankovní trojské koně jsou snad nejsložitější ze všech mobilních hrozeb, a Svpeng je jedním z nejvýraznějších příkladů.
Svpeng
V polovině července jsme zjistili Trojan-SMS.AndroidOS.Svpeng.a, který na rozdíl od svých protějšků SMS trojské koně, je zaměřen na krádeže peněz z bankovního účtu oběti, spíše než z jeho mobilního telefonu. To nemůže jednat samostatně a pracuje přísně v souladu s příkazy obdržel od serveru C & C. Tento škodlivý program se šíří přes SMS spamu a od napadených legitimních stránek, které přesměrovávají mobilním uživatelům se zlými úmysly zdroj. Tam je uživatel vyzván ke stažení a instalaci Trojan napodobujícím aktualizaci Adobe Flash Player.
Svpeng je schopen dělat spoustu věcí.
Shromažďuje informace o telefonu (IMEI, země, poskytovatele služeb, jazyk operačního systému) a odešle ji do počítače prostřednictvím požadavku HTTP POST. To se zdá být nutné určit počet bank, oběť může používat. Svpeng je pouze v současné době útočí na klienty ruských bank. Typicky, nicméně, zločinci první test-run technologii na ruském sektoru na internetu a pak se vrátit na to globálně, útočí na uživatele v jiných zemích.
To krade SMS zpráv a informace o hlasových hovorů. Pomáhá útočník zjistit, které banky vlastníkem smartphone volání - Trojan obdrží seznam telefonních čísel bankovních z jeho C & C serveru.
To krade peníze z bankovního účtu oběti. V Rusku, některé velké banky nabízejí svým klientům speciální službu, která jim umožňuje převést peníze ze svého bankovního karty na jejich mobilní telefonní účet. Zákazníci mají poslat nastavenou textovou zprávu ze svého telefonu na určitý počet bank. Svpeng odešle příslušné zprávy SMS služeb obou bank. Svpeng dělá to pro kontrolu, zda jsou karty z těchto bank jsou připojeny k počtu infikovaných telefonu a zjistit zůstatek na účtu. Je-li telefon připojen k bankovní kartě, příkazy jsou odesílány ze serveru C & C s pokyny k převodu peněz z účtu uživatele na jeho / její mobilní účtu. Mezi zločinci pak odeslat peníze na digitální peněženky nebo na číslo prémie a peníze ji dovnitř
To krade přihlašovací jména a hesla do on-line bankovní účty nahrazením okno zobrazené bankovní aplikace. V současné době, to se týká pouze ruské banky, ale technologie za Svpeng může být snadno použit pro cílové jiných bankovních aplikací.
To krade údaje o bankovním karty (číslo, datum platnosti, CVC2/CVV2) napodobuje proces registraci bankovní kartu s Google Play. Pokud uživatel zahájila Play trhu, Trojan zachycuje události a zobrazí se okno v horní části okna Google Play, vyzve uživatele k zadání jeho / její platební kartě ve falešné okně. Údaje uvedené uživatelem je zaslána zločinci.
Je vymáhá peníze od uživatelů tím, že hrozí zablokovat smartphone: zobrazí zprávu požadující $ 500 odblokovat. Ve skutečnosti, Trojan neblokuje nic a telefon může být použit bez jakýchkoliv problémů.
To h Ides stopy své činnosti zakrývat odchozí a příchozí textové zprávy a blokování hovorů a zpráv z čísla, které patří do banky. Trojan dostane seznam bankovních telefonních čísel z jeho C & C serveru.
Je p rotects se od vypuštění vyžádáním práva správce zařízení během instalace. Jako výsledek, Trojan tlačítko smazat v seznamu aplikací se stane neaktivní, což může způsobit problémy pro nezkušené uživatele. Je nemožné, aby ho zbavit těchto práv bez použití speciálních nástrojů (jako je Kaspersky Internet Security pro Android). Chcete-li chránit sebe před přemístěním, Svpeng využívá dosud neznámou zranitelnost v Android. To používá stejný trik, aby se zabránilo smartphone od vracené do továrního nastavení.
Trojan je distribuován v Rusku a zemích SNS. Ale, jak jsme již zmínili, že zločinci mohli snadno obrátit svou pozornost k uživatelům v jiných zemích.
Perkele a Wroba
Zahraniční uživatelé také byli na přijímacím konci roku více škodlivých inovací zaměřených na bankovní účty.
Perkele Android Trojan nejen útoky ruských uživatelů, ale také klientům z několika evropských bank. Je zajímavé především proto, že funguje ve spojení s různými bankovními Win32 trojské koně. Jeho hlavním úkolem je, aby se vyhnula dvoufaktorovou autentizaci klienta v on-line bankovního systému.
Vzhledem ke specifické povaze své činnosti, Perkele je distribuován v poněkud neobvyklým způsobem. Když uživatel zadá bankovní internetové stránce na počítač napaden bankovní malware (Zeus, Citadela), žádost o počtu smartphone a typ operačního systému, je vstříknut do kódu přihlašovací stránku. Tato data jsou okamžitě zaslán zločinci a počítač zobrazí QR kód s odkazem na údajné certifikátu on-line bankovního systému. Po naskenování QR kód a instalaci komponenty stáhnout z odkazu, uživatel infikuje svůj smartphone s Trojan program, který se může pochlubit funkcí, které je velký zájem útočníků.
Perkele zachycuje mTANs (potvrzení kódy bankovních operací) zaslané bankou prostřednictvím textové zprávy. Pomocí přihlašovací jméno a heslo, ukradené z prohlížeče, Windows Trojan spustí falešnou transakci, zatímco Perkele zachytí (prostřednictvím serveru C & C) MTAN poslal bankou pro uživatele. Peníze pak zmizí z účtu oběti a inkasoval bez vědomí majitele.
Korejský malware Wroba, kromě tradičních vektoru infekce přes soubor-sdílení služeb, se šíří přes alternativní app obchodech. Jakmile se infikuje zařízení, Wroba se chová velmi agresivně. Hledá pro mobilní bankovní aplikace, odstraní je a obrázky padělané verze. Z vnější strany, které jsou k nerozeznání od legitimních aplikací. Nicméně, oni mají žádné bankovní funkce, a jen krást jména a hesla zadaných uživatelem.
TOP 10 mobilní hrozby zjištěné v roce 2013
Jméno * % Ze všech útoků
1 DangerousObject.Multi.Generic 40.42%
2 Trojan-SMS.AndroidOS.OpFake.bo 21.77%
3 AdWare.AndroidOS.Ganlet.a 12.40%
4 Trojan-SMS.AndroidOS.FakeInst.a 10.37%
5 RiskTool.AndroidOS.SMSreg.cw 8.80%
6 Trojan-SMS.AndroidOS.Agent.u 8,03%
7 Trojan-SMS.AndroidOS.OpFake.a 5,49%
8 Trojan.AndroidOS.Plangton.a 5,37%
9 Trojan.AndroidOS.MTK.a 4,25%
10 AdWare.AndroidOS.Hamob.a 3,39%
1.. DangerousObject.Multi.Generic. Tento rozsudek znamená, že jsme si vědomi škodlivého charakteru dané aplikace, ale pro toho či onoho důvodu nejsou poskytovány našim uživatelům s podpisy detekovat. V takových případech, detekce je k dispozici prostřednictvím cloudových technologií realizovaných společností v Security Network Kaspersky, které umožňují naše výrobky minimalizovat čas potřebný k reakci na nové a neznámé hrozby.
2. Trojan-SMS.AndroidOS.OpFake.bo. To je jeden z nejvíce sofistikovaných SMS trojské koně. Jeho charakteristické znaky jsou dobře navržené rozhraní a chamtivost jeho vývojářů. Po spuštění se krade peníze z majitele mobilního zařízení - od $ 9 k celé částky na účet uživatele. Je zde také riziko, telefonní číslo uživatele je zdiskreditovaný, protože Trojan může sbírat čísla ze seznamu kontaktů a SMS do všech těchto čísel. V malware se zaměřuje především rusko-reproduktory a uživatelů v zemích SNS.
3. AdWare.AndroidOS.Ganlet.a. reklamní modul, který má funkce potřebné pro instalaci dalších aplikací.
4. Trojan-SMS.AndroidOS.FakeInst.a. Tento malware se vyvíjel v průběhu posledních dvou let od jednoduchého SMS Trojan do plně funkčního robota řízeného prostřednictvím různých kanálů (včetně Google Cloud Messaging). Trojan může ukrást peníze z účtu uživatele a odesílat zprávy na čísla v seznamu kontaktů oběti.
5. RiskTool.AndroidOS.SMSreg.cw. Tento platební modul je rozšířený v Číně. To je zahrnuta v různých hrách jako modul pro vytváření on-line nákupy prostřednictvím SMS v rámci aplikace. Odstraňuje textové zprávy s potvrzením od zúčtovacího systému bez vědomí uživatele. Oběti nemám ponětí, peníze byly ukradeny ze svého mobilního telefonu, dokud se zkontrolovat stav.
6.. Trojan-SMS.AndroidOS.Agent.u. Jednalo se o první Trojan používat zranitelnost v OS Android pro získání ZAŘÍZENÍ oprávnění správce, čímž její odstranění velmi obtížný úkol. Kromě toho, že je schopen odmítnout příchozí hovory a volat na jeho vlastní. Možné poškození: odesílání více SMS zpráv s náklady v celkové výši 9 nebo více.
7. Trojan.AndroidOS.Plangton.a. Tento reklamní modul odešle osobní údaje uživatele (bez jejich vědomí) k reklamním serveru, aby to vypadalo jako cílené reklamní kampaně. Výsledná škoda zahrnuje číslo mobilního telefonu uživatele, účtu Google a některé další data jsou diskreditaci. Tento Trojan také libovolně mění domovskou stránku prohlížeče a dodává reklamní záložky.
8. . Trojan-SMS.AndroidOS.OpFake.a Tento multifunkční bot pomáhá distribuovat sofistikované Android malware Backdoor.AndroidOS.Obad.a. složen z těchto dvou je extrémně nebezpečný, protože jeho:
Široká škála možností: krádež identity, posílání textových zpráv na jakékoli číslo. Instalace aplikace, jako by to mohlo vést ke všem peněz, ukradené z mobilního účtu. To může také vyústit v dotčeném telefonní číslo je zdiskreditované po kontaktní čísla ukradené z účtu se používají k posílání textových zpráv. Seznam kontaktů bude také odeslat na server zločince.
extrémně komplexní sebeobranné mechanismy a protiopatření, které brání odstranění. Vzhledem k využití na Android zranitelnosti, to Trojan nelze odstranit bez speciálního programu, jako je KIS pro Android.
Je třeba poznamenat, že Trojan-SMS.AndroidOS.OpFake.a je rozložena na větší geografickou oblast než ostatní Top 10 vůdců. Často se zaregistrovat pokusy infikovat zařízení, a to nejen v zemích SNS, ale také v Evropě.
9. Trojan.AndroidOS.MTK.a. Jedná se o sofistikovaný Trojan program s širokou funkčnost a sofistikovaných metod šifrování přenosu. Jeho hlavním úkolem je spustit nebezpečné aplikace, které byly staženy do infikovaného zařízení.
10. AdWare.AndroidOS.Hamob.a je reklamní aplikace napodobovat legitimní programy (pomocí názvu a ikony, např. WinRAR), zatímco jeho jedinou funkcí je zobrazení reklamy.
Top 10 zahrnuje čtyři SMS trojské koně, i když některé z nich mají kontrolní mechanismy, které přeměňují infikované zařízení do roboty.
Geografie hrozeb
Země, kde se uživatelé setkávají největší riziko mobilního malware
(procento všech napadených unikátních uživatelů)
Top 10 zemí podle počtu napadených unikátních uživatelů:
Země % Ze všech napadených unikátních uživatelů
1 Rusko 40.34%
2 Indie 7,90%
3 Vietnam 3,96%
4 Ukrajina 3,84%
5 Spojené království 3,42%
6 Německo 3,20%
7 Kazachstán 2,88%
8 Spojené státy americké 2.13%
9 Malajsie 2.12%
10 Írán 2,01%
Mobilní hrozby mají vlastnosti specifické pro tento region - útočníci používají různé kategorie mobilního malwaru v závislosti na regionu nebo zemi. Níže je uvedeno několik příkladů distribuci mobilního malwaru podle země.
Rusko
V Rusku, mobilní počítačová kriminalita je zvláště převládající - 40,3% ze všech uživatelů zaútočili na celém světě v roce 2013 se nachází v této zemi.
Top 5 rodin z mobilního malware distribuovaných v Rusku
Rodina % Ze všech napadených unikátních uživatelů
Trojan-SMS.AndroidOS.OpFake 40.19%
Trojan-SMS.AndroidOS.FakeInst 28.57%
Trojan-SMS.AndroidOS.Agent 27.11%
DangerousObject.Multi.Generic 25.30%
Trojan-SMS.AndroidOS.Stealer 15.98%
V roce 2013 Rusko opět vedl v počtu infekcí SMS Trojan a v současné době žádné známky toho, že se situace zlepší. Jak již bylo uvedeno výše, většina mobilních bankovních trojských koní zaměřit ruské uživatele.
Rusko a země SNS často slouží jako zkušební terén pro nové technologie: když zdokonalil své technologie v ruské jazykové oblasti internetu, se zločinci pak obrátit svou pozornost k uživatelům v jiných zemích.
Německo
Německo je jednou ze zemí západní Evropy, kde SMS trojské koně jsou velmi aktivní. V roce 2013 byla Evropa jasně cíl pro ruské autory virů, protože jejich zpeněžení podvody zahrnující textové zprávy odesílané na prémiová čísla funguje dobře v tomto regionu. V Německu jsme zaznamenali neustálé pokusy o SMS Trojan infekce, zejména Agent malware rodiny.
Mobilní bankovní trojské koně jsou také aktivně používá v této zemi: Německo zaujímá první místo mezi západoevropských zemí podle počtu unikátních uživatelů napadených (6. místo ve světovém hodnocení).
Top 5 rodin z mobilního malwaru distribuován v Německu
Rodina % Ze všech napadených unikátních uživatelů
RiskTool.AndroidOS.SMSreg 25.88%
DangerousObject.Multi.Generic 20.83%
Trojan-SMS.AndroidOS.Agent 9,25%
Trojan.AndroidOS.MTK 8,58%
AdWare.AndroidOS.Ganlet 5,92%
USA
Situace v USA je jiný. Nejsou žádné zpeněžení podvody týkající textových zpráv, což znamená, že není jasné dominance mobilních SMS trojské koně. Vůdci jsou roboty sběr dat o infikovaných smartphony.
Top 5 rodin z mobilního malware distribuovaných v USA
Rodina % Ze všech napadených unikátních uživatelů
DangerousObject.Multi.Generic 19.75%
RiskTool.AndroidOS.SMSreg 19.24%
Monitor.AndroidOS.Walien 11.24%
Backdoor.AndroidOS.GinMaster 8,05%
AdWare.AndroidOS.Ganlet 7,29%
Čína
V Číně existuje mnoho reklamních modulů integrovaných do čistých a dokonce i škodlivé aplikace. Funkce reklamních modulů jsou různorodé, dokonce jít tak daleko, jak stahování škodlivého softwaru telefonu oběti. SMS trojské koně a zadní vrátka jsou také velmi populární v Číně.
Top 5 rodin z mobilního malware distribuovaných v Číně
Rodina % Ze všech napadených unikátních uživatelů
RiskTool.AndroidOS.SMSreg 46.43%
AdWare.AndroidOS.Dowgin 19.18%
DangerousObject.Multi.Generic 13.89%
Trojan-SMS.AndroidOS.Agent 10.55%
Trojan.AndroidOS.MTK 10.13%
Závěr
Škodlivý software, který útočí na uživatele mobilních bankovních účtů se stále vyvíjí a počet programů, rychle roste. Je zřejmé, že tento trend bude pokračovat, s více mobilních bankovních trojských koní a nových technologií, aby se zabránilo detekci a odstranění.
Ze všech mobilních vzorků malwaru zjištěných v roce 2013, boty byly nejpočetnější kategorií. Útočníci jsou jasně vidět výhody mobilních robotických sítí, pokud jde o vytváření zisku. Nové mechanismy pro řízení mobilních botnetů se mohou objevit v blízké budoucnosti.
V roce 2014 očekáváme zranitelnosti ve všech typech aktivně využívaných dát malware root přístup k zařízení, takže odstranění ještě obtížnější.
2013 viděl poprvé zaregistrován malware útok na počítače spouští z mobilního zařízení. Počasí jsme budoucích Wi-Fi útoky z mobilních zařízení na sousedních stanic a širší infrastruktuře.
SMS trojské koně jsou pravděpodobně zůstanou mezi mobilními malware vůdců a dokonce dobýt nové území.
Mobilní malware Evolution: 2013
1.3.2014 Analýza | Mobil
Mobilní malware sektor je rychle rostoucí a to jak technologicky a konstrukčně. Je to bezpečné říci, že dnešní cybercriminal již není osamělý hacker, ale součástí vážné hospodářské činnosti.
Existují různé typy subjektů zapojených do mobilního malwaru průmyslu: autoři virů, testery, návrháři rozhraní obou škodlivých aplikací a webových stránek, které jsou distribuovány z, majitelé partnerských programů, které se šíří malware, a majitelé mobilní botnet.
Tato dělba práce mezi zločinci mohou také být viděn v chování jejich trojské koně. V roce 2013, existují důkazy o spolupráci (s největší pravděpodobností na komerční bázi) mezi různými skupinami autory virů. Například, botnet Trojan-SMS.AndroidOS.Opfake.a, kromě své vlastní činnosti, také šířit Backdoor.AndroidOS.Obad.a zasláním spamu obsahující odkaz na malware do seznamu oběti kontaktů.
Nyní je jasné, že zřetelné průmysl vyvinul a je stále více zaměřena na těžebním zisků, což je zřejmé z funkčnosti malware.
2013 v číslech
Bylo zjištěno celkem 143.211 nových úprav škodlivých programů zaměřených na mobilní zařízení ve všech od roku 2013 (od 1.1.2014).
V roce 2013, 3.905.502 instalační balíčky byly využívány zločinci k distribuci mobilního malwaru. Celkově v letech 2012-2013 jsme zjištěna přibližně deset milionů unikátních škodlivých instalačních balíčků:
Počet instalačních balíčků zjištěných v letech 2012-2013
Různé instalační balíčky lze instalovat programy se stejnou funkčností, které se liší pouze z hlediska škodlivého app rozhraní a, například, obsah textových zpráv, které se šíří.
Android je stále terčem zákeřných útoků. 98,05% všech malware detekovaného v roce 2013 zaměřena tuto platformu, což potvrzuje i popularitu tohoto mobilního operačního systému a zranitelnost jeho architektuře.
Distribuce mobilního malware zjištěn v roce 2013 podle platformy
Většina mobilní malware je navržen tak, aby ukrást peníze uživatelů, včetně SMS trojské koně, a spoustou zadních vrátek a trojských koní.
Distribuce mobilního malwaru podle kategorie
V průběhu roku se počet mobilních malware úprav určených pro phishing, krádež informací o kreditních kartách a peníze se zvýšila o faktor 19,7. V roce 2013, mobilní produkty společnosti Kaspersky Lab zabráněno 2500 napadením bankovních trojských koní.
Metody a postupy
2013 došlo nejen radikální nárůst výkonu z mobilního autoři virů, ale také viděl, je aktivně uplatňovat metody a technologie, které dovolily zločinci efektivněji využívat jejich malware. Tam bylo několik různých oblastí, kde mobilní malware podstoupili zálohy.
Distribuce
Počítačoví zločinci využili některých mimořádně sofistikovaných metod infikovat mobilní zařízení.
Infikovat právní webové zdroje napomáhá šíření mobilního malwaru prostřednictvím populárních webových stránkách. Stále více a více chytrých telefonů a tabletů majitelé využívat své zařízení k přístupu na internetové stránky, si neuvědomuje, že i většina renomovaných zdrojů může být počítačový pirát. Podle našich údajů, 0,4% z navštívených webových stránek uživateli našich výrobků byly ohroženy stránky.
Distribuce prostřednictvím alternativních app obchodech . V Asii existuje řada společností, které vyrábějí Android-založené zařízení a Android aplikací, a mnoho z nich nabízí uživatelům vlastní app obchody, které obsahují programy, které nelze nalézt v Google Play. Čistě nominální kontrolu nad aplikací nahraných na těchto prodejnách znamená, že útočníci mohou skrývat trojské koně v aplikacích vypadat jako nevinné hry nebo utility.
Distribuce prostřednictvím botnetů. Zpravidla bots self-množit zasláním textové zprávy s nebezpečným odkazem na adresy v adresáři oběti. Jsme také registrována jednu epizodu mobilní malware šíří prostřednictvím třetí strany botnet.
Odolnost na ochranu proti malware
Schopnost škodlivého softwaru neustále pracovat na mobilním zařízení oběti je důležitým aspektem jejího vývoje. Čím déle Trojan "žije" na telefonu, tím více peněz to bude pro majitele. To je oblast, kde autoři virů se aktivně pracuje, což má za následek velké množství technologických inovací.
Zločinci jsou stále více využívají mlžení , záměrné jednání o vytvoření komplexní kód, aby je obtížné je analyzovat. Čím složitější je zmatek, tím déle bude trvat antivirové řešení pro neutralizaci škodlivého kódu. Výmluvné je, aktuální spisovatelé virů zvládli komerční obfuskátory. To znamená, že vynaložily značné investice. Například, jeden komerční obfuscator, která stála 350 €, byl použit pro trojské koně a Opfak.bo Obad.a
Android zranitelnosti jsou využívány zločinci ze tří hlavních důvodů: aby se vyhnula kód kontrolu integrity při instalaci aplikace (zranitelnost Master Key), s cílem posílit práva škodlivých aplikací, značně rozšiřují své schopnosti, a aby to více obtížný pro odstranění škodlivého softwaru. Například, Svpeng využívá dosud neznámou zranitelnost se chránit před ručně odstranit nebo antivirového programu.
Počítačoví zločinci také zneužít tuto chybu zabezpečení hlavního klíče a naučili vložit nepodepsané spustitelné soubory v Android instalačních balíčků. Digitální ověření podpisu lze obejít tím, že soubor škodlivý přesně stejný název jako legitimní soubor a umístit jej na stejné úrovni v archivu. Systém ověřuje podpis oprávněného souboru při instalaci souboru škodlivého.
Bohužel, je specifickým rysem Android zabezpečení, které znamená, že je možné pouze se jich zbavit tím, že obdrží aktualizace od výrobce zařízení. Nicméně, mnoho uživatelů se v žádném spěchu aktualizovat operační systémy svých výrobků. Pokud smartphone nebo tablet byla vydána před více než rokem, je to pravděpodobně již není podporován výrobcem a záplatování zranitelností již není k dispozici. V tomto případě, pouze pomoc přichází z antivirové řešení, například Kaspersky Internet Security pro Android.
Vkládání škodlivého kódu do legitimních programů pomáhá zakrýt infekce z oběti. Samozřejmě, že to neznamená, že digitální podpis vývojáře softwaru mohou být použity. Nicméně, vzhledem k neexistenci certifikačních středisek, které ověřují digitální podpisy programy Android, nic nebrání tomu, zločince od přidání vlastního podpisu. Jako výsledek, kopie Angry Birds instalovaných z neoficiálních app store nebo stažených z fóra může snadno obsahovat škodlivý funkčnost.
Možnosti a funkce
V roce 2013, jsme zjistili několik technologických inovací vyvinula a zločinci používají v jejich škodlivého softwaru. Níže jsou uvedeny popisy některých z nejzajímavějších.
Řízení malware z jednoho centra poskytuje maximální flexibilitu. Botnet může výrazně více peněz, než autonomních trojské koně. To přijde jako žádné překvapení, pak, že mnoho SMS-Trojské koně patří funkčnost bot. Podle našich odhadů asi 60% z mobilního malwaru jsou prvky obou velkých a malých mobilních robotických sítí.
Pomocí Google Cloud Zprávy majitelé botnet může pracovat bez serveru C & C, čímž se eliminuje hrozba botnet je detekován a blokován donucovacími orgány. Google Cloud Messaging je navržen tak, aby odeslat krátkou zprávu (do 4 KB) do mobilních zařízení prostřednictvím služby Google. Developer prostě musí zaregistrovat a získat jedinečné ID pro jeho aplikace. Příkazy přijaté přes GCM nelze okamžitě zablokován na infikované zařízení.
Zjistili jsme několik škodlivých programů pomocí GCM pro velení a řízení - rozšířené Trojan-SMS.AndroidOS.FakeInst.a, Trojan-SMS.AndroidOS.Agent.ao, a Trojan-SMS.AndroidOS.OpFake.a mezi ostatními. Google je aktivně bojovat proti tomuto užívání služby, rychle reagovat na zprávy z antivirových společností a blokování identifikátory zločinci.
Útoky na systému Windows XP umožňují mobilní malware infikovat počítač po připojení smartphonu nebo tabletu. Na začátku roku 2013 jsme zjištěny dva stejné aplikace na Google Play, které byly údajně určeny pro čištění operačního systému zařízení se systémem Android od zbytečných procesů. Ve skutečnosti, že aplikace jsou navrženy tak, aby stažení souboru autorun.inf, ikonu souboru a soubor Win32 Trojan, který mobilní škodlivý program vyhledá v kořenovém adresáři SD karty. Na připojení smartphonu v režimu USB disku emulace k počítači se systémem Windows XP, systém automaticky spustí Trojan (pokud AutoPlay na externí médium není zakázán) a je nakažený. Trojan umožňuje zločinci na dálku ovládat počítač oběti a je schopen nahrávat zvuk z mikrofonu. Chtěli bychom zdůraznit, že tento způsob útoku funguje pouze na Windows XP a Android verze před 2.2.
Nejvyspělejší mobilní škodlivé programy jsou dnes trojské koně zaměřené na bankovní účty uživatelů - nejatraktivnější zdroj trestních výdělku.
Trend z roku: mobilní bankovnictví trojské koně
2013 byl poznamenán rychlým nárůstem počtu Android bankovních trojských koní. Cyber průmysl mobilního malwaru je stále více zaměřena na zefektivnění zisku, tj. mobilní phishing, krádež informací o kreditních kartách, převody peněz z bankovních karet do mobilních telefonů a od telefonů na e-peněženek zločinců. Počítačoví zločinci se stali posedlí touto metodou nelegálních příjmů: na začátku roku jsme věděli, že pouze 67 bankovních trojských koní, ale do konce roku to již bylo 1321 unikátních vzorků. Mobilních produktů společnosti Kaspersky Lab zabránit 2.500 infekcí bankovní trojské koně.
Počet mobilních bankovních trojských koní v naší sbírce
Mobilní bankovnictví trojské koně může běžet spolu s Win-32 trojské koně, aby se vyhnula dvoufaktorovou autentizaci - MTAN odcizení (krádež ověřování bankovní kódy, které banky posílají své zákazníky SMS zpráv). Nicméně, v roce 2013, autonomní mobilní bankovnictví trojské koně dále rozvíjet. V současné době jsou tyto trojské koně útoku omezeného počtu klientů bank, ale očekává se, že zločinci budou vymýšlet nové techniky, které jim umožní rozšířit počet a geografii potenciálních obětí.
Infekce způsobené mobilních bankovních programů
Dnes, většina bankovních trojských útoků vliv na uživatele v Rusku a Společenství nezávislých států. Nicméně, tato situace nebude trvat dlouho: vzhledem zájem počítačovými zloději "v uživatelských účtech, činnost mobilních bankovních trojských koní se očekává, že růst v jiných zemích v roce 2014.
Jak bylo uvedeno výše, bankovní trojské koně jsou snad nejsložitější ze všech mobilních hrozeb, a Svpeng je jedním z nejvýraznějších příkladů.
Svpeng
V polovině července jsme zjistili Trojan-SMS.AndroidOS.Svpeng.a, který na rozdíl od svých protějšků SMS trojské koně, je zaměřen na krádeže peněz z bankovního účtu oběti, spíše než z jeho mobilního telefonu. To nemůže jednat samostatně a pracuje přísně v souladu s příkazy obdržel od serveru C & C. Tento škodlivý program se šíří přes SMS spamu a od napadených legitimních stránek, které přesměrovávají mobilním uživatelům se zlými úmysly zdroj. Tam je uživatel vyzván ke stažení a instalaci Trojan napodobujícím aktualizaci Adobe Flash Player.
Svpeng je schopen dělat spoustu věcí.
Shromažďuje informace o telefonu (IMEI, země, poskytovatele služeb, jazyk operačního systému) a odešle ji do počítače prostřednictvím požadavku HTTP POST. To se zdá být nutné určit počet bank, oběť může používat. Svpeng je pouze v současné době útočí na klienty ruských bank. Typicky, nicméně, zločinci první test-run technologii na ruském sektoru na internetu a pak se vrátit na to globálně, útočí na uživatele v jiných zemích.
To krade SMS zpráv a informace o hlasových hovorů. Pomáhá útočník zjistit, které banky vlastníkem smartphone volání - Trojan obdrží seznam telefonních čísel bankovních z jeho C & C serveru.
To krade peníze z bankovního účtu oběti. V Rusku, některé velké banky nabízejí svým klientům speciální službu, která jim umožňuje převést peníze ze svého bankovního karty na jejich mobilní telefonní účet. Zákazníci mají poslat nastavenou textovou zprávu ze svého telefonu na určitý počet bank. Svpeng odešle příslušné zprávy SMS služeb obou bank. Svpeng dělá to pro kontrolu, zda jsou karty z těchto bank jsou připojeny k počtu infikovaných telefonu a zjistit zůstatek na účtu. Je-li telefon připojen k bankovní kartě, příkazy jsou odesílány ze serveru C & C s pokyny k převodu peněz z účtu uživatele na jeho / její mobilní účtu. Mezi zločinci pak odeslat peníze na digitální peněženky nebo na číslo prémie a peníze ji dovnitř
To krade přihlašovací jména a hesla do on-line bankovní účty nahrazením okno zobrazené bankovní aplikace. V současné době, to se týká pouze ruské banky, ale technologie za Svpeng může být snadno použit pro cílové jiných bankovních aplikací.
To krade údaje o bankovním karty (číslo, datum platnosti, CVC2/CVV2) napodobuje proces registraci bankovní kartu s Google Play. Pokud uživatel zahájila Play trhu, Trojan zachycuje události a zobrazí se okno v horní části okna Google Play, vyzve uživatele k zadání jeho / její platební kartě ve falešné okně. Údaje uvedené uživatelem je zaslána zločinci.
Je vymáhá peníze od uživatelů tím, že hrozí zablokovat smartphone: zobrazí zprávu požadující $ 500 odblokovat. Ve skutečnosti, Trojan neblokuje nic a telefon může být použit bez jakýchkoliv problémů.
To h Ides stopy své činnosti zakrývat odchozí a příchozí textové zprávy a blokování hovorů a zpráv z čísla, které patří do banky. Trojan dostane seznam bankovních telefonních čísel z jeho C & C serveru.
Je p rotects se od vypuštění vyžádáním práva správce zařízení během instalace. Jako výsledek, Trojan tlačítko smazat v seznamu aplikací se stane neaktivní, což může způsobit problémy pro nezkušené uživatele. Je nemožné, aby ho zbavit těchto práv bez použití speciálních nástrojů (jako je Kaspersky Internet Security pro Android). Chcete-li chránit sebe před přemístěním, Svpeng využívá dosud neznámou zranitelnost v Android. To používá stejný trik, aby se zabránilo smartphone od vracené do továrního nastavení.
Trojan je distribuován v Rusku a zemích SNS. Ale, jak jsme již zmínili, že zločinci mohli snadno obrátit svou pozornost k uživatelům v jiných zemích.
Perkele a Wroba
Zahraniční uživatelé také byli na přijímacím konci roku více škodlivých inovací zaměřených na bankovní účty.
Perkele Android Trojan nejen útoky ruských uživatelů, ale také klientům z několika evropských bank. Je zajímavé především proto, že funguje ve spojení s různými bankovními Win32 trojské koně. Jeho hlavním úkolem je, aby se vyhnula dvoufaktorovou autentizaci klienta v on-line bankovního systému.
Vzhledem ke specifické povaze své činnosti, Perkele je distribuován v poněkud neobvyklým způsobem. Když uživatel zadá bankovní internetové stránce na počítač napaden bankovní malware (Zeus, Citadela), žádost o počtu smartphone a typ operačního systému, je vstříknut do kódu přihlašovací stránku. Tato data jsou okamžitě zaslán zločinci a počítač zobrazí QR kód s odkazem na údajné certifikátu on-line bankovního systému. Po naskenování QR kód a instalaci komponenty stáhnout z odkazu, uživatel infikuje svůj smartphone s Trojan program, který se může pochlubit funkcí, které je velký zájem útočníků.
Perkele zachycuje mTANs (potvrzení kódy bankovních operací) zaslané bankou prostřednictvím textové zprávy. Pomocí přihlašovací jméno a heslo, ukradené z prohlížeče, Windows Trojan spustí falešnou transakci, zatímco Perkele zachytí (prostřednictvím serveru C & C) MTAN poslal bankou pro uživatele. Peníze pak zmizí z účtu oběti a inkasoval bez vědomí majitele.
Korejský malware Wroba, kromě tradičních vektoru infekce přes soubor-sdílení služeb, se šíří přes alternativní app obchodech. Jakmile se infikuje zařízení, Wroba se chová velmi agresivně. Hledá pro mobilní bankovní aplikace, odstraní je a obrázky padělané verze. Z vnější strany, které jsou k nerozeznání od legitimních aplikací. Nicméně, oni mají žádné bankovní funkce, a jen krást jména a hesla zadaných uživatelem.
TOP 10 mobilní hrozby zjištěné v roce 2013
Jméno * % Ze všech útoků
1 DangerousObject.Multi.Generic 40.42%
2 Trojan-SMS.AndroidOS.OpFake.bo 21.77%
3 AdWare.AndroidOS.Ganlet.a 12.40%
4 Trojan-SMS.AndroidOS.FakeInst.a 10.37%
5 RiskTool.AndroidOS.SMSreg.cw 8.80%
6 Trojan-SMS.AndroidOS.Agent.u 8,03%
7 Trojan-SMS.AndroidOS.OpFake.a 5,49%
8 Trojan.AndroidOS.Plangton.a 5,37%
9 Trojan.AndroidOS.MTK.a 4,25%
10 AdWare.AndroidOS.Hamob.a 3,39%
1.. DangerousObject.Multi.Generic. Tento rozsudek znamená, že jsme si vědomi škodlivého charakteru dané aplikace, ale pro toho či onoho důvodu nejsou poskytovány našim uživatelům s podpisy detekovat. V takových případech, detekce je k dispozici prostřednictvím cloudových technologií realizovaných společností v Security Network Kaspersky, které umožňují naše výrobky minimalizovat čas potřebný k reakci na nové a neznámé hrozby.
2. Trojan-SMS.AndroidOS.OpFake.bo. To je jeden z nejvíce sofistikovaných SMS trojské koně. Jeho charakteristické znaky jsou dobře navržené rozhraní a chamtivost jeho vývojářů. Po spuštění se krade peníze z majitele mobilního zařízení - od $ 9 k celé částky na účet uživatele. Je zde také riziko, telefonní číslo uživatele je zdiskreditovaný, protože Trojan může sbírat čísla ze seznamu kontaktů a SMS do všech těchto čísel. V malware se zaměřuje především rusko-reproduktory a uživatelů v zemích SNS.
3. AdWare.AndroidOS.Ganlet.a. reklamní modul, který má funkce potřebné pro instalaci dalších aplikací.
4. Trojan-SMS.AndroidOS.FakeInst.a. Tento malware se vyvíjel v průběhu posledních dvou let od jednoduchého SMS Trojan do plně funkčního robota řízeného prostřednictvím různých kanálů (včetně Google Cloud Messaging). Trojan může ukrást peníze z účtu uživatele a odesílat zprávy na čísla v seznamu kontaktů oběti.
5. RiskTool.AndroidOS.SMSreg.cw. Tento platební modul je rozšířený v Číně. To je zahrnuta v různých hrách jako modul pro vytváření on-line nákupy prostřednictvím SMS v rámci aplikace. Odstraňuje textové zprávy s potvrzením od zúčtovacího systému bez vědomí uživatele. Oběti nemám ponětí, peníze byly ukradeny ze svého mobilního telefonu, dokud se zkontrolovat stav.
6.. Trojan-SMS.AndroidOS.Agent.u. Jednalo se o první Trojan používat zranitelnost v OS Android pro získání ZAŘÍZENÍ oprávnění správce, čímž její odstranění velmi obtížný úkol. Kromě toho, že je schopen odmítnout příchozí hovory a volat na jeho vlastní. Možné poškození: odesílání více SMS zpráv s náklady v celkové výši 9 nebo více.
7. Trojan.AndroidOS.Plangton.a. Tento reklamní modul odešle osobní údaje uživatele (bez jejich vědomí) k reklamním serveru, aby to vypadalo jako cílené reklamní kampaně. Výsledná škoda zahrnuje číslo mobilního telefonu uživatele, účtu Google a některé další data jsou diskreditaci. Tento Trojan také libovolně mění domovskou stránku prohlížeče a dodává reklamní záložky.
8. . Trojan-SMS.AndroidOS.OpFake.a Tento multifunkční bot pomáhá distribuovat sofistikované Android malware Backdoor.AndroidOS.Obad.a. složen z těchto dvou je extrémně nebezpečný, protože jeho:
Široká škála možností: krádež identity, posílání textových zpráv na jakékoli číslo. Instalace aplikace, jako by to mohlo vést ke všem peněz, ukradené z mobilního účtu. To může také vyústit v dotčeném telefonní číslo je zdiskreditované po kontaktní čísla ukradené z účtu se používají k posílání textových zpráv. Seznam kontaktů bude také odeslat na server zločince.
extrémně komplexní sebeobranné mechanismy a protiopatření, které brání odstranění. Vzhledem k využití na Android zranitelnosti, to Trojan nelze odstranit bez speciálního programu, jako je KIS pro Android.
Je třeba poznamenat, že Trojan-SMS.AndroidOS.OpFake.a je rozložena na větší geografickou oblast než ostatní Top 10 vůdců. Často se zaregistrovat pokusy infikovat zařízení, a to nejen v zemích SNS, ale také v Evropě.
9. Trojan.AndroidOS.MTK.a. Jedná se o sofistikovaný Trojan program s širokou funkčnost a sofistikovaných metod šifrování přenosu. Jeho hlavním úkolem je spustit nebezpečné aplikace, které byly staženy do infikovaného zařízení.
10. AdWare.AndroidOS.Hamob.a je reklamní aplikace napodobovat legitimní programy (pomocí názvu a ikony, např. WinRAR), zatímco jeho jedinou funkcí je zobrazení reklamy.
Top 10 zahrnuje čtyři SMS trojské koně, i když některé z nich mají kontrolní mechanismy, které přeměňují infikované zařízení do roboty.
Geografie hrozeb
Země, kde se uživatelé setkávají největší riziko mobilního malware
(procento všech napadených unikátních uživatelů)
Top 10 zemí podle počtu napadených unikátních uživatelů:
Země % Ze všech napadených unikátních uživatelů
1 Rusko 40.34%
2 Indie 7,90%
3 Vietnam 3,96%
4 Ukrajina 3,84%
5 Spojené království 3,42%
6 Německo 3,20%
7 Kazachstán 2,88%
8 Spojené státy americké 2.13%
9 Malajsie 2.12%
10 Írán 2,01%
Mobilní hrozby mají vlastnosti specifické pro tento region - útočníci používají různé kategorie mobilního malwaru v závislosti na regionu nebo zemi. Níže je uvedeno několik příkladů distribuci mobilního malwaru podle země.
Rusko
V Rusku, mobilní počítačová kriminalita je zvláště převládající - 40,3% ze všech uživatelů zaútočili na celém světě v roce 2013 se nachází v této zemi.
Top 5 rodin z mobilního malware distribuovaných v Rusku
Rodina % Ze všech napadených unikátních uživatelů
Trojan-SMS.AndroidOS.OpFake 40.19%
Trojan-SMS.AndroidOS.FakeInst 28.57%
Trojan-SMS.AndroidOS.Agent 27.11%
DangerousObject.Multi.Generic 25.30%
Trojan-SMS.AndroidOS.Stealer 15.98%
V roce 2013 Rusko opět vedl v počtu infekcí SMS Trojan a v současné době žádné známky toho, že se situace zlepší. Jak již bylo uvedeno výše, většina mobilních bankovních trojských koní zaměřit ruské uživatele.
Rusko a země SNS často slouží jako zkušební terén pro nové technologie: když zdokonalil své technologie v ruské jazykové oblasti internetu, se zločinci pak obrátit svou pozornost k uživatelům v jiných zemích.
Německo
Německo je jednou ze zemí západní Evropy, kde SMS trojské koně jsou velmi aktivní. V roce 2013 byla Evropa jasně cíl pro ruské autory virů, protože jejich zpeněžení podvody zahrnující textové zprávy odesílané na prémiová čísla funguje dobře v tomto regionu. V Německu jsme zaznamenali neustálé pokusy o SMS Trojan infekce, zejména Agent malware rodiny.
Mobilní bankovní trojské koně jsou také aktivně používá v této zemi: Německo zaujímá první místo mezi západoevropských zemí podle počtu unikátních uživatelů napadených (6. místo ve světovém hodnocení).
Top 5 rodin z mobilního malwaru distribuován v Německu
Rodina % Ze všech napadených unikátních uživatelů
RiskTool.AndroidOS.SMSreg 25.88%
DangerousObject.Multi.Generic 20.83%
Trojan-SMS.AndroidOS.Agent 9,25%
Trojan.AndroidOS.MTK 8,58%
AdWare.AndroidOS.Ganlet 5,92%
USA
Situace v USA je jiný. Nejsou žádné zpeněžení podvody týkající textových zpráv, což znamená, že není jasné dominance mobilních SMS trojské koně. Vůdci jsou roboty sběr dat o infikovaných smartphony.
Top 5 rodin z mobilního malware distribuovaných v USA
Rodina % Ze všech napadených unikátních uživatelů
DangerousObject.Multi.Generic 19.75%
RiskTool.AndroidOS.SMSreg 19.24%
Monitor.AndroidOS.Walien 11.24%
Backdoor.AndroidOS.GinMaster 8,05%
AdWare.AndroidOS.Ganlet 7,29%
Čína
V Číně existuje mnoho reklamních modulů integrovaných do čistých a dokonce i škodlivé aplikace. Funkce reklamních modulů jsou různorodé, dokonce jít tak daleko, jak stahování škodlivého softwaru telefonu oběti. SMS trojské koně a zadní vrátka jsou také velmi populární v Číně.
Top 5 rodin z mobilního malware distribuovaných v Číně
Rodina % Ze všech napadených unikátních uživatelů
RiskTool.AndroidOS.SMSreg 46.43%
AdWare.AndroidOS.Dowgin 19.18%
DangerousObject.Multi.Generic 13.89%
Trojan-SMS.AndroidOS.Agent 10.55%
Trojan.AndroidOS.MTK 10.13%
Závěr
Škodlivý software, který útočí na uživatele mobilních bankovních účtů se stále vyvíjí a počet programů, rychle roste. Je zřejmé, že tento trend bude pokračovat, s více mobilních bankovních trojských koní a nových technologií, aby se zabránilo detekci a odstranění.
Ze všech mobilních vzorků malwaru zjištěných v roce 2013, boty byly nejpočetnější kategorií. Útočníci jsou jasně vidět výhody mobilních robotických sítí, pokud jde o vytváření zisku. Nové mechanismy pro řízení mobilních botnetů se mohou objevit v blízké budoucnosti.
V roce 2014 očekáváme zranitelnosti ve všech typech aktivně využívaných dát malware root přístup k zařízení, takže odstranění ještě obtížnější.
2013 viděl poprvé zaregistrován malware útok na počítače spouští z mobilního zařízení. Počasí jsme budoucích Wi-Fi útoky z mobilních zařízení na sousedních stanic a širší infrastruktuře.
SMS trojské koně jsou pravděpodobně zůstanou mezi mobilními malware vůdců a dokonce dobýt nové území.
Mobilní malware Evolution: 2013
26.2.2014 Analýza
Mobilní malware sektor je rychle rostoucí a to jak technologicky a konstrukčně. Je to bezpečné říci, že dnešní cybercriminal již není osamělý hacker, ale součástí vážné hospodářské činnosti.
Existují různé typy subjektů zapojených do mobilního malwaru průmyslu: autoři virů, testery, návrháři rozhraní obou škodlivých aplikací a webových stránek, které jsou distribuovány z, majitelé partnerských programů, které se šíří malware, a majitelé mobilní botnet.
Tato dělba práce mezi zločinci mohou také být viděn v chování jejich trojské koně. V roce 2013, existují důkazy o spolupráci (s největší pravděpodobností na komerční bázi) mezi různými skupinami autory virů. Například, botnet Trojan-SMS.AndroidOS.Opfake.a, kromě své vlastní činnosti, také šířit Backdoor.AndroidOS.Obad.a zasláním spamu obsahující odkaz na malware do seznamu oběti kontaktů.
Nyní je jasné, že zřetelné průmysl vyvinul a je stále více zaměřena na těžebním zisků, což je zřejmé z funkčnosti malware.
2013 v číslech
Bylo zjištěno celkem 143.211 nových úprav škodlivých programů zaměřených na mobilní zařízení ve všech od roku 2013 (od 1.1.2014).
V roce 2013, 3.905.502 instalační balíčky byly využívány zločinci k distribuci mobilního malwaru. Celkově v letech 2012-2013 jsme zjištěna přibližně deset milionů unikátních škodlivých instalačních balíčků:
Počet instalačních balíčků zjištěných v letech 2012-2013
Různé instalační balíčky lze instalovat programy se stejnou funkčností, které se liší pouze z hlediska škodlivého app rozhraní a, například, obsah textových zpráv, které se šíří.
Android je stále terčem zákeřných útoků. 98,05% všech malware detekovaného v roce 2013 zaměřena tuto platformu, což potvrzuje i popularitu tohoto mobilního operačního systému a zranitelnost jeho architektuře.
Distribuce mobilního malware zjištěn v roce 2013 podle platformy
Většina mobilní malware je navržen tak, aby ukrást peníze uživatelů, včetně SMS trojské koně, a spoustou zadních vrátek a trojských koní.
Distribuce mobilního malwaru podle kategorie
V průběhu roku se počet mobilních malware úprav určených pro phishing, krádež informací o kreditních kartách a peníze se zvýšila o faktor 19,7. V roce 2013, mobilní produkty společnosti Kaspersky Lab zabráněno 2500 napadením bankovních trojských koní.
Metody a postupy
2013 došlo nejen radikální nárůst výkonu z mobilního autoři virů, ale také viděl, je aktivně uplatňovat metody a technologie, které dovolily zločinci efektivněji využívat jejich malware. Tam bylo několik různých oblastí, kde mobilní malware podstoupili zálohy.
Distribuce
Počítačoví zločinci využili některých mimořádně sofistikovaných metod infikovat mobilní zařízení.
Infikovat právní webové zdroje napomáhá šíření mobilního malwaru prostřednictvím populárních webových stránkách. Stále více a více chytrých telefonů a tabletů majitelé využívat své zařízení k přístupu na internetové stránky, si neuvědomuje, že i většina renomovaných zdrojů může být počítačový pirát. Podle našich údajů, 0,4% z navštívených webových stránek uživateli našich výrobků byly ohroženy stránky.
Distribuce prostřednictvím alternativních app obchodech . V Asii existuje řada společností, které vyrábějí systémem Android zařízení a Android aplikace, a mnoho z nich nabízí uživateli jeho own App Obchody, která obsahuje programy, které nelze nalézt v Google Play. Čistě nominální kontrolu nad aplikací nahraných na těchto prodejnách znamená, že útočníci mohou skrývat trojské koně v aplikacích vypadat jako nevinné hry nebo utility.
Distribuce prostřednictvím botnetů. Zpravidla bots self-množit zasláním textové zprávy s nebezpečným odkazem na adresy v adresáři oběti. Jsme také registrována jednu epizodu mobilní malware šíří prostřednictvím třetí strany botnet.
Odolnost na ochranu proti malware
Schopnost škodlivého softwaru neustále pracovat na mobilním zařízení oběti je důležitým aspektem jejího vývoje. Čím déle Trojan "žije" na telefonu, tím více peněz to bude pro majitele. To je oblast, kde autoři virů se aktivně pracuje, což má za následek velké množství technologických inovací.
Zločinci jsou stále více využívají mlžení , záměrné jednání o vytvoření komplexní kód, aby je obtížné je analyzovat. Čím složitější je zmatek, tím déle bude trvat antivirové řešení pro neutralizaci škodlivého kódu. Výmluvné je, aktuální spisovatelé virů zvládli komerční obfuskátory. To znamená, že vynaložily značné investice. Například, jeden komerční obfuscator, která stála 350 €, byl použit pro trojské koně a Opfak.bo Obad.a
Android zranitelnosti jsou využívány zločinci ze tří hlavních důvodů: aby se vyhnula kód kontrolu integrity při instalaci aplikace (zranitelnost Master Key), s cílem posílit práva škodlivých aplikací, značně rozšiřují své schopnosti, a aby to více obtížný pro odstranění škodlivého softwaru. Například, Svpeng využívá dosud neznámou zranitelnost se chránit před ručně odstranit nebo antivirového programu.
Počítačoví zločinci také zneužít tuto chybu zabezpečení hlavního klíče a naučili vložit nepodepsané spustitelné soubory v Android instalačních balíčků. Digitální ověření podpisu lze obejít tím, že soubor škodlivý přesně stejný název jako legitimní soubor a umístit jej na stejné úrovni v archivu. Systém ověřuje podpis oprávněného souboru při instalaci souboru škodlivého.
Bohužel, je specifickým rysem Android zabezpečení, které znamená, že je možné pouze se jich zbavit tím, že obdrží aktualizace od výrobce zařízení. Nicméně, mnoho uživatelů se v žádném spěchu aktualizovat operační systémy svých výrobků. Pokud smartphone nebo tablet byla vydána před více než rokem, je to pravděpodobně již není podporován výrobcem a záplatování zranitelností již není k dispozici. V tomto případě, pouze pomoc přichází z antivirové řešení, například Kaspersky Internet Security pro Android.
Vkládání škodlivého kódu do legitimních programů pomáhá zakrýt infekce z oběti. Samozřejmě, že to neznamená, že digitální podpis vývojáře softwaru mohou být použity. Nicméně, vzhledem k neexistenci certifikačních středisek, které ověřují digitální podpisy programy Android, nic nebrání tomu, zločince od přidání vlastního podpisu. Jako výsledek, kopie Angry Birds instalovaných z neoficiálních app store nebo stažených z fóra může snadno obsahovat škodlivý funkčnost.
Možnosti a funkce
V roce 2013, jsme zjistili několik technologických inovací vyvinula a zločinci používají v jejich škodlivého softwaru. Níže jsou uvedeny popisy některých z nejzajímavějších.
Řízení malware z jednoho centra poskytuje maximální flexibilitu. Botnet může výrazně více peněz, než autonomních trojské koně. To přijde jako žádné překvapení, pak, že mnoho SMS-Trojské koně patří funkčnost bot. Podle našich odhadů asi 60% z mobilního malwaru jsou prvky obou velkých a malých mobilních robotických sítí.
Pomocí Google Cloud Zprávy majitelé botnet může pracovat bez serveru C & C, čímž se eliminuje hrozba botnet je detekován a blokován donucovacími orgány. Google Cloud Messaging je navržen tak, aby odeslat krátkou zprávu (do 4 KB) do mobilních zařízení prostřednictvím služby Google. Developer prostě musí zaregistrovat a získat jedinečné ID pro jeho aplikace. Příkazy přijaté přes GCM nelze okamžitě zablokován na infikované zařízení.
Zjistili jsme několik škodlivých programů pomocí GCM pro velení a řízení - rozšířené Trojan-SMS.AndroidOS.FakeInst.a, Trojan-SMS.AndroidOS.Agent.ao, a Trojan-SMS.AndroidOS.OpFake.a mezi ostatními. Google je aktivně bojovat proti tomuto užívání služby, rychle reagovat na zprávy z antivirových společností a blokování identifikátory zločinci.
Útoky na systému Windows XP umožňují mobilní malware infikovat počítač po připojení smartphonu nebo tabletu. Na začátku roku 2013 jsme zjištěny dva stejné aplikace na Google Play, které byly údajně určeny pro čištění operačního systému zařízení se systémem Android od zbytečných procesů. Ve skutečnosti, že aplikace jsou navrženy tak, aby stažení souboru autorun.inf, ikonu souboru a soubor Win32 Trojan, který mobilní škodlivý program vyhledá v kořenovém adresáři SD karty. Na připojení smartphonu v režimu USB disku emulace k počítači se systémem Windows XP, systém automaticky spustí Trojan (pokud AutoPlay na externí médium není zakázán) a je nakažený. Trojan umožňuje zločinci na dálku ovládat počítač oběti a je schopen nahrávat zvuk z mikrofonu. Chtěli bychom zdůraznit, že tento způsob útoku funguje pouze na Windows XP a Android verze před 2.2.
Nejvyspělejší mobilní škodlivé programy jsou dnes trojské koně zaměřené na bankovní účty uživatelů - nejatraktivnější zdroj trestních výdělku.
Trend z roku: mobilní bankovnictví trojské koně
2013 byl poznamenán rychlým nárůstem počtu Android bankovních trojských koní. Cyber průmysl mobilního malwaru je stále více zaměřena na zefektivnění zisku, tj. mobilní phishing, krádež informací o kreditních kartách, převody peněz z bankovních karet do mobilních telefonů a od telefonů na e-peněženek zločinců. Počítačoví zločinci se stali posedlí touto metodou nelegálních příjmů: na začátku roku jsme věděli, že pouze 67 bankovních trojských koní, ale do konce roku to již bylo 1321 unikátních vzorků. Mobilních produktů společnosti Kaspersky Lab zabránit 2.500 infekcí bankovní trojské koně.
Počet mobilních bankovních trojských koní v naší sbírce
Mobilní bankovnictví trojské koně může běžet spolu s Win-32 trojské koně, aby se vyhnula dvoufaktorovou autentizaci - MTAN odcizení (krádež ověřování bankovní kódy, které banky posílají své zákazníky SMS zpráv). Nicméně, v roce 2013, autonomní mobilní bankovnictví trojské koně dále rozvíjet. V současné době jsou tyto trojské koně útoku omezeného počtu klientů bank, ale očekává se, že zločinci budou vymýšlet nové techniky, které jim umožní rozšířit počet a geografii potenciálních obětí.
Infekce způsobené mobilních bankovních programů
Dnes, většina bankovních trojských útoků vliv na uživatele v Rusku a Společenství nezávislých států. Nicméně, tato situace nebude trvat dlouho: vzhledem zájem počítačovými zloději "v uživatelských účtech, činnost mobilních bankovních trojských koní se očekává, že růst v jiných zemích v roce 2014.
Jak bylo uvedeno výše, bankovní trojské koně jsou snad nejsložitější ze všech mobilních hrozeb, a Svpeng je jedním z nejvýraznějších příkladů.
Svpeng
V polovině července jsme zjistili Trojan-SMS.AndroidOS.Svpeng.a, který na rozdíl od svých protějšků SMS trojské koně, je zaměřen na krádeže peněz z bankovního účtu oběti, spíše než z jeho mobilního telefonu. To nemůže jednat samostatně a pracuje přísně v souladu s příkazy obdržel od serveru C & C. Tento škodlivý program se šíří přes SMS spamu a od napadených legitimních stránek, které přesměrovávají mobilním uživatelům se zlými úmysly zdroj. Tam je uživatel vyzván ke stažení a instalaci Trojan napodobujícím aktualizaci Adobe Flash Player.
Svpeng je schopný dělat spoustu věcí.
Shromažďuje informace o telefonu (IMEI, země, poskytovatele služeb, jazyk operačního systému) a odešle ji do počítače prostřednictvím požadavku HTTP POST. To se zdá být nutné určit počet bank, oběť může používat. Svpeng je pouze v současné době útočí na klienty ruských bank. Typicky, nicméně, zločinci první test-run technologii na ruském sektoru na internetu a pak se vrátit na to globálně, útočí na uživatele v jiných zemích.
To krade SMS zpráv a informace o hlasových hovorů. Pomáhá útočník zjistit, které banky vlastníkem smartphone volání - Trojan obdrží seznam telefonních čísel bankovních z jeho C & C serveru.
To krade peníze z bankovního účtu oběti. V Rusku, některé velké banky nabízejí svým klientům speciální službu, která jim umožňuje převést peníze ze svého bankovního karty na jejich mobilní telefonní účet. Zákazníci mají poslat nastavenou textovou zprávu ze svého telefonu na určitý počet bank. Svpeng odešle příslušné zprávy SMS služeb obou bank. Svpeng dělá to pro kontrolu, zda jsou karty z těchto bank jsou připojeny k počtu infikovaných telefonu a zjistit zůstatek na účtu. Je-li telefon připojen k bankovní kartě, příkazy jsou odesílány ze serveru C & C s pokyny k převodu peněz z účtu uživatele na jeho / její mobilní účtu. Mezi zločinci pak odeslat peníze na digitální peněženky nebo na číslo prémie a peníze ji dovnitř
To krade přihlašovací jména a hesla do on-line bankovní účty nahrazením okno zobrazené bankovní aplikace. V současné době, to se týká pouze ruské banky, ale technologie za Svpeng může být snadno použit pro cílové jiných bankovních aplikací.
To krade údaje o bankovním karty (číslo, datum platnosti, CVC2/CVV2) napodobuje proces registraci bankovní kartu s Google Play. Pokud uživatel zahájila Play trhu, Trojan zachycuje události a zobrazí se okno v horní části okna Google Play, vyzve uživatele k zadání jeho / její platební kartě ve falešné okně. Údaje uvedené uživatelem je zaslána zločinci.
Je vymáhá peníze od uživatelů tím, že hrozí zablokovat smartphone: zobrazí zprávu požadující $ 500 odblokovat. Ve skutečnosti, Trojan neblokuje nic a telefon může být použit bez jakýchkoliv problémů.
To h Ides stopy své činnosti zakrývat odchozí a příchozí textové zprávy a blokování hovorů a zpráv z čísla, které patří do banky. Trojan dostane seznam bankovních telefonních čísel z jeho C & C serveru.
Je p rotects se od vypuštění vyžádáním práva správce zařízení během instalace. Jako výsledek, Trojan tlačítko smazat v seznamu aplikací se stane neaktivní, což může způsobit problémy pro nezkušené uživatele. Je nemožné, aby ho zbavit těchto práv bez použití speciálních nástrojů (jako je Kaspersky Internet Security pro Android). Chcete-li chránit sebe před přemístěním, Svpeng využívá dosud neznámou zranitelnost v Android. To používá stejný trik, aby se zabránilo smartphone od vracené do továrního nastavení.
Trojan je distribuován v Rusku a zemích SNS. Ale, jak jsme již zmínili, že zločinci mohli snadno obrátit svou pozornost k uživatelům v jiných zemích.
Perkele a Wroba
Zahraniční uživatelé také byli na přijímacím konci roku více škodlivých inovací zaměřených na bankovní účty.
Perkele Android Trojan nejen útoky ruských uživatelů, ale také klientům z několika evropských bank. Je zajímavé především proto, že funguje ve spojení s různými bankovními Win32 trojské koně. Jeho hlavním úkolem je, aby se vyhnula dvoufaktorovou autentizaci klienta v on-line bankovního systému.
Vzhledem ke specifické povaze své činnosti, Perkele je distribuován v poněkud neobvyklým způsobem. Když uživatel zadá bankovní internetové stránce na počítač napaden bankovní malware (Zeus, Citadela), žádost o počtu smartphone a typ operačního systému, je vstříknut do kódu přihlašovací stránku. Tato data jsou okamžitě zaslán zločinci a počítač zobrazí QR kód s odkazem na údajné certifikátu on-line bankovního systému. Po naskenování QR kód a instalaci komponenty stáhnout z odkazu, uživatel infikuje svůj smartphone s Trojan program, který se může pochlubit funkcí, které je velký zájem útočníků.
Perkele zachycuje mTANs (potvrzení kódy bankovních operací) zaslané bankou prostřednictvím textové zprávy. Pomocí přihlašovací jméno a heslo, ukradené z prohlížeče, Windows Trojan spustí falešnou transakci, zatímco Perkele zachytí (prostřednictvím serveru C & C) MTAN poslal bankou pro uživatele. Peníze pak zmizí z účtu oběti a inkasoval bez vědomí majitele.
Korejský malware Wroba, kromě tradičních vektoru infekce přes soubor-sdílení služeb, se šíří přes alternativní app obchodech. Jakmile se infikuje zařízení, Wroba se chová velmi agresivně. Hledá pro mobilní bankovní aplikace, odstraní je a obrázky padělané verze. Z vnější strany, které jsou k nerozeznání od legitimních aplikací. Nicméně, oni mají žádné bankovní funkce, a jen krást jména a hesla zadaných uživatelem.
TOP 10 mobilní hrozby zjištěné v roce 2013
Jméno * % Ze všech útoků
1 DangerousObject.Multi.Generic 40.42%
2 Trojan-SMS.AndroidOS.OpFake.bo 21.77%
3 AdWare.AndroidOS.Ganlet.a 12.40%
4 Trojan-SMS.AndroidOS.FakeInst.a 10.37%
5 RiskTool.AndroidOS.SMSreg.cw 8.80%
6 Trojan-SMS.AndroidOS.Agent.u 8,03%
7 Trojan-SMS.AndroidOS.OpFake.a 5,49%
8 Trojan.AndroidOS.Plangton.a 5,37%
9 Trojan.AndroidOS.MTK.a 4,25%
10 AdWare.AndroidOS.Hamob.a 3,39%
1.. DangerousObject.Multi.Generic. Tento rozsudek znamená, že jsme si vědomi škodlivého charakteru dané aplikace, ale pro toho či onoho důvodu nejsou poskytovány našim uživatelům s podpisy detekovat. V takových případech, detekce je k dispozici prostřednictvím cloudových technologií realizovaných společností v Security Network Kaspersky, které umožňují naše výrobky minimalizovat čas potřebný k reakci na nové a neznámé hrozby.
2. Trojan-SMS.AndroidOS.OpFake.bo. To je jeden z nejvíce sofistikovaných SMS trojské koně. Jeho charakteristické znaky jsou dobře navržené rozhraní a chamtivost jeho vývojářů. Po spuštění se krade peníze z majitele mobilního zařízení - od $ 9 k celé částky na účet uživatele. Je zde také riziko, telefonní číslo uživatele je zdiskreditovaný, protože Trojan mohou shromažďovat čísla ze seznamu kontaktů a SMS do všech těchto čísel. V malware se zaměřuje především rusko-reproduktory a uživatelů v zemích SNS.
3. AdWare.AndroidOS.Ganlet.a. reklamní modul, který má funkce potřebné pro instalaci dalších aplikací.
4. Trojan-SMS.AndroidOS.FakeInst.a. Tento malware se vyvíjel v průběhu posledních dvou let od jednoduchého SMS Trojan do plně funkčního robota řízeného prostřednictvím různých kanálů (včetně Google Cloud Messaging). Trojan může ukrást peníze z účtu uživatele a odesílat zprávy na čísla v seznamu kontaktů oběti.
5. RiskTool.AndroidOS.SMSreg.cw. Tento platební modul je rozšířený v Číně. To je zahrnuta v různých hrách jako modul pro vytváření on-line nákupy prostřednictvím SMS v rámci aplikace. Odstraňuje textové zprávy s potvrzením od zúčtovacího systému bez vědomí uživatele. Oběti nemám ponětí, peníze byly ukradeny ze svého mobilního telefonu, dokud se zkontrolovat stav.
6.. Trojan-SMS.AndroidOS.Agent.u. Jednalo se o první Trojan používat zranitelnost v OS Android pro získání ZAŘÍZENÍ oprávnění správce, čímž její odstranění velmi obtížný úkol. Kromě toho, že je schopen odmítnout příchozí hovory a volat na jeho vlastní. Možné poškození: odesílání více SMS zpráv s náklady v celkové výši 9 nebo více.
7. Trojan.AndroidOS.Plangton.a. Tento reklamní modul odešle osobní údaje uživatele (bez jejich vědomí) k reklamním serveru, aby to vypadalo jako cílené reklamní kampaně. Výsledná škoda zahrnuje číslo mobilního telefonu uživatele, účtu Google a některé další data jsou diskreditaci. Tento Trojan také libovolně mění domovskou stránku prohlížeče a dodává reklamní záložky.
8. . Trojan-SMS.AndroidOS.OpFake.a Tento multifunkční bot pomáhá distribuovat sofistikované Android malware Backdoor.AndroidOS.Obad.a. složen z těchto dvou je extrémně nebezpečný, protože jeho:
Široká škála možností: krádež identity, posílání textových zpráv na jakékoli číslo. Instalace aplikace, jako by to mohlo vést ke všem peněz, ukradené z mobilního účtu. To může také vyústit v dotčeném telefonní číslo je zdiskreditované po kontaktní čísla ukradené z účtu se používají k posílání textových zpráv. Seznam kontaktů bude také odeslat na server zločince.
extrémně komplexní sebeobranné mechanismy a protiopatření, které brání odstranění. Vzhledem k využití na Android zranitelnosti, to Trojan nelze odstranit bez speciálního programu, jako je KIS pro Android.
Je třeba poznamenat, že Trojan-SMS.AndroidOS.OpFake.a je rozložena na větší geografickou oblast než ostatní Top 10 vůdců. Často se zaregistrovat pokusy infikovat zařízení, a to nejen v zemích SNS, ale také v Evropě.
9. Trojan.AndroidOS.MTK.a. Jedná se o sofistikovaný Trojan program s širokou funkčnost a sofistikovaných metod šifrování přenosu. Jeho hlavním úkolem je spustit nebezpečné aplikace, které byly staženy do infikovaného zařízení.
10. AdWare.AndroidOS.Hamob.a je reklamní aplikace napodobovat legitimní programy (pomocí názvu a ikony, např. WinRAR), zatímco jeho jedinou funkcí je zobrazení reklamy.
Top 10 zahrnuje čtyři SMS trojské koně, i když některé z nich mají kontrolní mechanismy, které přeměňují infikované zařízení do roboty.
Geografie hrozeb
Země, kde se uživatelé setkávají největší riziko mobilního malware
(procento všech napadených unikátních uživatelů)
Top 10 zemí podle počtu napadených unikátních uživatelů:
Země % Ze všech napadených unikátních uživatelů
1 Rusko 40.34%
2 Indie 7,90%
3 Vietnam 3,96%
4 Ukrajina 3,84%
5 Spojené království 3,42%
6 Německo 3,20%
7 Kazachstán 2,88%
8 Spojené státy americké 2.13%
9 Malajsie 2.12%
10 Írán 2,01%
Mobilní hrozby mají vlastnosti specifické pro tento region - útočníci používají různé kategorie mobilního malwaru v závislosti na regionu nebo zemi. Níže je uvedeno několik příkladů distribuci mobilního malwaru podle země.
Rusko
V Rusku, mobilní počítačová kriminalita je zvláště převládající - 40,3% ze všech uživatelů zaútočili na celém světě v roce 2013 se nachází v této zemi.
Top 5 rodin z mobilního malware distribuovaných v Rusku
Rodina % Ze všech napadených unikátních uživatelů
Trojan-SMS.AndroidOS.OpFake 40.19%
Trojan-SMS.AndroidOS.FakeInst 28.57%
Trojan-SMS.AndroidOS.Agent 27.11%
DangerousObject.Multi.Generic 25.30%
Trojan-SMS.AndroidOS.Stealer 15.98%
V roce 2013 Rusko opět vedl v počtu infekcí SMS Trojan a v současné době žádné známky toho, že se situace zlepší. Jak již bylo uvedeno výše, většina mobilních bankovních trojských koní zaměřit ruské uživatele.
Rusko a země SNS často slouží jako zkušební terén pro nové technologie: když zdokonalil své technologie v ruské jazykové oblasti internetu, se zločinci pak obrátit svou pozornost k uživatelům v jiných zemích.
Německo
Německo je jednou ze zemí západní Evropy, kde SMS trojské koně jsou velmi aktivní. V roce 2013 byla Evropa jasně cíl pro ruské autory virů, protože jejich zpeněžení podvody zahrnující textové zprávy odesílané na prémiová čísla funguje dobře v tomto regionu. V Německu jsme zaznamenali neustálé pokusy o SMS Trojan infekce, zejména Agent malware rodiny.
Mobilní bankovní trojské koně jsou také aktivně používá v této zemi: Německo zaujímá první místo mezi západoevropských zemí podle počtu unikátních uživatelů napadených (6. místo ve světovém hodnocení).
Top 5 rodin z mobilního malwaru distribuován v Německu
Rodina % Ze všech napadených unikátních uživatelů
RiskTool.AndroidOS.SMSreg 25.88%
DangerousObject.Multi.Generic 20.83%
Trojan-SMS.AndroidOS.Agent 9,25%
Trojan.AndroidOS.MTK 8,58%
AdWare.AndroidOS.Ganlet 5,92%
USA
Situace v USA je jiný. Nejsou žádné zpeněžení podvody týkající textových zpráv, což znamená, že není jasné dominance mobilních SMS trojské koně. Vůdci jsou roboty sběr dat o infikovaných smartphony.
Top 5 rodin z mobilního malware distribuovaných v USA
Rodina % Ze všech napadených unikátních uživatelů
DangerousObject.Multi.Generic 19.75%
RiskTool.AndroidOS.SMSreg 19.24%
Monitor.AndroidOS.Walien 11.24%
Backdoor.AndroidOS.GinMaster 8,05%
AdWare.AndroidOS.Ganlet 7,29%
Čína
V Číně existuje mnoho reklamních modulů integrovaných do čistých a dokonce i škodlivé aplikace. Funkce reklamních modulů jsou různorodé, dokonce jít tak daleko, jak stahování škodlivého softwaru telefonu oběti. SMS trojské koně a zadní vrátka jsou také velmi populární v Číně.
Top 5 rodin z mobilního malware distribuovaných v Číně
Rodina % Ze všech napadených unikátních uživatelů
RiskTool.AndroidOS.SMSreg 46.43%
AdWare.AndroidOS.Dowgin 19.18%
DangerousObject.Multi.Generic 13.89%
Trojan-SMS.AndroidOS.Agent 10.55%
Trojan.AndroidOS.MTK 10.13%
Závěr
Škodlivý software, který útočí na uživatele mobilních bankovních účtů se stále vyvíjí a počet programů, rychle roste. Je zřejmé, že tento trend bude pokračovat, s více mobilních bankovních trojských koní a nových technologií, aby se zabránilo detekci a odstranění.
Ze všech mobilních vzorků malwaru zjištěných v roce 2013, boty byly nejpočetnější kategorií. Útočníci jsou jasně vidět výhody mobilních robotických sítí, pokud jde o vytváření zisku. Nové mechanismy pro řízení mobilních botnetů se mohou objevit v blízké budoucnosti.
V roce 2014 očekáváme zranitelnosti ve všech typech aktivně využívaných dát malware root přístup k zařízení, takže odstranění ještě obtížnější.
2013 viděl poprvé zaregistrován malware útok na počítače spouští z mobilního zařízení. Počasí jsme budoucích Wi-Fi útoky z mobilních zařízení na sousedních stanic a širší infrastruktuře.
SMS trojské koně jsou pravděpodobně zůstanou mezi mobilními malware vůdců a dokonce dobýt nové území.
Jaké antiviry ochrání počítač nejlépe
24.1.2014 Analýzy
Antivirových programů je na trhu nepřeberné množství. Jejich schopnosti a dovednosti pravidelně testují bezpečnostní experti z nezávislé organizace AV Comparatives. Ti nyní sestavili přehled těch nejlepších řešení. Vycházeli přitom z programů, které si uživatelé mohli v průběhu minulého roku na své počítače nainstalovat.
Nejlepším antivirovým programem loňského roku, který získal cenu „Product of the year“, je Kaspersky Internet Security. Ten vyšel jako vítěz po zhodnocení všech testovaných kategorií. Na hodnocení se tak podepsala nejenom schopnost odstraňovat nejrůznější škůdce, ale také například to, jak antivirový program zatěžuje celý systém.
Antivirová společnost Kaspersky Lab prvenství získala také v kategorii Real-World Protection, kde se během dlouhodobých testů hodnotí také schopnosti jednotlivých antivirů chránit operační systém před nezvanými návštěvníky.
V této kategorii, která se obecně považuje za jednu z nejdůležitějších, druhé místo patří programu Emsisoft Anti-Malware. Z výsledků se mohou radovat i Češi. Třetí příčku totiž obsadil Avast! Free Antivirus, který na konci 80. let vytvořili dva čeští počítačoví nadšenci Eduard Kučera a Pavel Baudiš. O třetí příčku se zároveň s Avastem dělí také slovenská společnost Eset se svým řešením Smart Security.
Samozřejmě ani vítěz testu, ani ostatní antiviry neochrání počítač vždy na 100 %. Zadní vrátka do operačního systému totiž často otevírají nejrůznějším škůdcům samotní uživatelé svým neuváženým jednáním.
Bulletin Kaspersky Security 2013. Celkové statistiky pro rok 2013
11.12.2013 Zdroj Kaspersky
Analýza
Obsah
2013 v číslech
Mobilní hrozby
Významné události
Statistika
Hlavní zjištění
Zranitelné aplikace využívané zločinci
On-line hrozeb (útoky přes web)
Top 20 škodlivých programů na internetu
Země, kde se on-line zdrojů nasazený s malware: TOP 10
Země, kde se uživatelé setkávají nejvyšší riziko infekce on-line
Místní hrozby
Top 20 škodlivé objekty zjištěné na uživatelských počítačích
Země, kde se uživatelé setkávají nejvyšší riziko lokální infekce
Tato část zprávy tvoří součást Věstníku Kaspersky Security 2013 a je založen na údajích získaných a zpracovaných pomocí Kaspersky Security Network (KSN). KSN integruje technologie cloud-based do osobních a firemních produktů, a je jedním ze společnosti Kaspersky Lab nejdůležitějších inovací.
Statistiky v této zprávě jsou založeny na údajích získaných z produktů společnosti Kaspersky Lab, instalované na počítačích uživatelů na celém světě a byly získány s plným souhlasem uživatelů zapojených.
2013 v číslech
Podle údajů KSN, v roce 2013 produkty společnosti Kaspersky Lab neutralizován 5 188 740 554 kybernetické útoky na uživatele počítačů a mobilních zařízení
104 427 byly zjištěny nové úpravy škodlivých programů pro mobilní zařízení.
Produkty Kaspersky Lab se neutralizuje 1 700 870 654 útokům z on-line zdrojů umístěných po celém světě.
Produkty Kaspersky Lab zjištěn téměř 3 miliardy malware útoky na počítačích uživatelů. Celkem 1,8 milionu byly zjištěny v těchto útoků škodlivých a potenciálně nežádoucích programů.
45% webových útoků neutralizuje produkty společnosti Kaspersky Lab bylo zahájeno před škodlivými webových zdrojů umístěných v USA a Rusku.
Mobilní hrozby
Mobilní svět je jednou z nejrychleji se rozvíjející IT bezpečnostní oblasti. V roce 2013 bezpečnostní otázky kolem mobilních telefonů dosáhl nových výšek a dosáhnout nové úrovně zralosti z hlediska kvality i kvantity. Pokud 2011 byl rokem, kdy mobilní malware impulz, a to zejména v Android-zemi, a rok 2012 byl rokem mobilního diverzifikace malware, pak 2013 viděl mobilní malware zletilosti. Není žádným velkým překvapením, že mobilní malware se blíží k PC hrozeb z hlediska cybercriminal obchodních modelů a technické metody, ale rychlost tohoto vývoje je pozoruhodné.
Obad, pravděpodobně nejvýznamnější objev v mobilní oblasti, je distribuován několika způsoby, včetně předem sestaveného botnet. Smartphony Android na bázi infikovaných virem Trojan-SMS.AndroidOS.Opfake.a slouží jako multiplikátory, posílání textových zpráv, které obsahují škodlivé odkazy na každý kontakt na zařízení oběti. To bylo běžnou praxí v PC hrozeb, a je populární služba poskytovaná Bot pastevců v underground cybercriminal ekonomice.
Mobilní botnety vlastně nabízí významné výhody ve srovnání s tradičními botnety: smartphony jsou zřídka vypnout, takže botnet mnohem spolehlivější, protože téměř všichni jeho aktiva jsou vždy k dispozici a připraven pro nové instrukce. Běžné úkoly vykonávané botnety patří hromadné nevyžádané pošty-out, DDoS útoky a masovou špionáž na osobní údaje, všechny z nich nejsou náročné akce, z hlediska výkonnosti a snadno dosáhnout na chytré telefony. MTK botnet, objevit se na začátku roku 2013, a Opfake, mezi mnoha jinými, jsou důkazem toho, že mobilní botnety jsou již jen hřiště pro zločinci, ale staly běžnou praxí sloužit hlavní cíl: finanční zisk.
Významné události
Mobilní bankovnictví trojské koně
Tyto zahrnují mobilní phishing, krádež informací o kreditních kartách, z bankovní karty do mobilního účtu a nakonec na QIWI peněženku. V roce 2013 jsme také viděli mobilní trojské koně, které by mohly zkontrolovat bilanci oběti, aby byla zajištěna maximální zisk.
Mobilní Botnety
Jak je uvedeno výše, botnet funkcí nabízí větší flexibilitu při ilegálních peněz tvorby programů. Tento trend se nyní dosáhl mobilní svět a je zde k pobytu. Podle našich odhadů asi 60% z mobilního malware zahrnuje prvky velkých nebo malých botnetů.
Backdoor. . AndroidOS Obad
Tento malware je pravděpodobně zjištěno, že data, včetně ohromující celkem ze tří činů, backdoor, SMS Trojan a schopností bot a dalších funkcí. Je to druh švýcarský armádní nůž, který zahrnuje celou řadu různých nástrojů.
Použití GCM pro kontrolu botnetů
kybernetických zločinců objevili způsob, jak používat Google Cloud Messaging (GCM) pro ovládání zombie zařízení v botnetu. Tato metoda se používá u relativně malého počtu škodlivých programů, ale některé z nich jsou velmi rozšířené. Provádění příkazů přijatých od GCM se provádí pomocí GCM systému a je možné je zablokovat přímo na infikované zařízení.
APT útoky proti ujgurských aktivistů
jsme viděli i Windows a Mac OS X malware nasazeny proti. PDF, XLS, DOC a ZIP soubory byly zaslány v e-mailech provádět útoky v minulosti. APK soubory byly nyní přidány do arzenálu, špehuje osobní informace uložené v přístroji oběti a také Vysílání jeho umístění.
Chyby zabezpečení v Android
Stručně řečeno, jsme viděli využije cílení Android ke třem účelům: k obcházení zařízení Android app integrity kontrolu instalace (také známý jako Master Key zranitelnosti, K získání zvýšené práv, a bránit analýzu app. Druhé dva typy byly také použity v Obad.
Útoky na PC přes zařízení Android
I když jsme viděli, PC malware, který může infikovat smartphony, jsme také narazili, že to je naopak. Pokud je infikovaný Android zařízení připojené k počítači v režimu emulace USB flash disk, jeho nebezpečný náklad se spustí.
Statistika
Co se týče mobilních operačních systémů, které jsou cílené malware, nic se výrazně změnila v roce 2013. Android je stále cílové číslo jedna, přitahuje neuvěřitelných 98,05% známých malware. Žádný jiný OS dostane všude blízko, jak je vidět níže. Důvody pro to jsou vedoucí postavení Android je na trhu, prevalence app obchodů třetích stran a fakt, že Android má poměrně otevřenou architekturu, takže je snadno použitelný jak pro app vývojáři a malware autorů podobně. Neočekáváme, že by se tento trend změnit, blízké budoucnosti.
Mobilní distribuce malware podle platformy
Do dnešního dne jsme shromáždili 8260509 unikátních malware instalační balíčky. Všimněte si, že různé instalační balíčky mohou spouštět aplikace se stejnými funkcemi. Rozdíl je v malware rozhraní a, například, obsah textových zpráv pošlou ven.
Celkový počet mobilních vzorků malwaru v naší kolekci je 148778 v době psaní - 104.421 z nich byly nalezeny v roce 2013. Sama října vidělo 19966 úpravy, polovina celkového že Kaspersky Lab nalézt v celku roku 2012. Naštěstí, to je daleko od situace, prožíváme v PC světě, kde jsme zpracovat proud více než 315.000 vzorků malwaru denně v naší laboratoři. Přesto, trend je nepřehlédnutelný a pokračuje.
Počet mobilních malware vzorků v naší sbírce
Mezi mobilní malware, trojské koně SMS jsou stále v čele pole:
Malware rozdělení podle typu chování
Nicméně, SMS trojské koně, až na několik výjimek, se vyvinuly do roboty, takže můžeme snadno spojit s lídry obou do jedné kategorie - Backdoor Malware. Takže, 62% škodlivých aplikací jsou prvky mobilních botnetů.
Hlavní zjištění
Všechny techniky a mechanismy infekce a malware se pohybují velmi rychle z počítače na Android díky otevřenosti a popularitě mobilní platformy.
Většina škodlivých mobilních aplikací jsou zaměřeny především na krádeže peněz a za druhé, na krádeže osobních údajů.
Většina z mobilního malwaru je tvořena roboty s bohatými funkcemi sady. V blízké budoucnosti, nákup a prodej mobilních botnetů je pravděpodobné, že začne.
Online bankovnictví je jasný cíl pro mobilní malware. Počítačoví zločinci se sleduje vývoj mobilního bankovnictví. Pokud smartphone úspěšně napaden, ale zkontrolujte, zda je tento telefon je upoutaná na bankovní karty.
Zranitelné aplikace využívané zločinci
Následující hodnocení zranitelných aplikací jsou založeny na údajích o hrdinských činech blokovány našich výrobků a používaných zločinci a to jak v internetových útoků a v ohrožení lokálních aplikací, včetně mobilních zařízení uživatelů.
Distribuce využije v kybernetických útoků typu napadl aplikace
90.52% ze všech detekovaných pokusů o zneužití zranitelností cílené Oracle Java. Tyto chyby jsou využívány drive-by útoky prováděné přes internet, a nové Java exploity jsou v současné době působí v mnoha využívat balení. Více informací naleznete v našem článku o Java využije .
Na druhém místě je pořízena kategorii "Součásti systému Windows", včetně zranitelných operačního systému Windows soubory, které se nevztahují na Internet Explorer a Microsoft Office - jsme přiřadili do samostatné kategorie. Většina útoků v této kategorii se zaměřují na zranitelnosti objevené v win32k.sys - CVE-2011-3402 - který byl poprvé použit v roce Duqu.
Na třetím místě s 2,5% se využije pro Android. Počítačoví zločinci (a sami někdy uživatelů) používat Android zranitelnosti s cílem získat oprávnění uživatele root, který poskytuje neomezené schopnosti manipulovat systému. Tato porušení se nepoužívají v drive-by útoky, a využije pro ně jsou detekovány buď antivirem, jestli tam byl pokus o stažení aplikace obsahující využít, nebo pomocí souboru antivirus, když využívají je k dispozici na zařízení. Nedávno bylo oznámeno, že prohlížeč Chrome pro Nexus 4 a Samsung Galaxy S4 obsahoval chybu , která by mohla být použita na budoucí využití android zranitelnosti v drive-by útoky.
Distribuce verzí operačního systému Windows nainstalován na počítačích uživatelů, 2013
Mezi uživatele produktů společnosti Kaspersky Lab, kteří souhlasili se podílet na KSN, 61,5% použití verze systému Windows 7 (5% více než v loňském roce), 6,3% použití Windows XP (7,75% méně než v roce 2012).
On-line hrozeb (útoky přes web)
Statistiky v této části byly odvozeny z webových antivirových komponentů, které chrání uživatele při škodlivý kód se pokusí stáhnout z infikovaných webových stránek. Infikované webové stránky mohou být vytvořeny uživatelů se zlými úmysly, nebo by mohly být tvořeny uživatelem přispěl obsah (jako fór) a legitimních zdrojů, které byly pirát.
Počet útokům z internetových zdrojů umístěných po celém světě vzrostl z 1 595 587 670 v roce 2012 na 1 700 870 654 . To znamená, že produkty společnosti Kaspersky Lab chráněny uživatelům průměrně 4 659 920 krát za den, kdy byly on-line.
Oproti loňskému roku došlo k poklesu tempa růstu útoků založených na prohlížeči. Počet neutralizované webových útoků v roce 2013 je 1,07 krát více než v roce 2012, zatímco v roce 2012 se jednalo o 1,7. Hlavním nástrojem za útoky na bázi prohlížeče je stále využívat balíček, který dává počítačoví zločinci surefire způsob napadení oběti počítačů, které nemají nainstalován bezpečnostní produkt, nebo mají alespoň jednu oblíbenou aplikaci, která je zranitelná (vyžaduje aktualizace zabezpečení).
Top 20 škodlivých programů na internetu
Identifikovali jsme top 20 nejvíce aktivních škodlivých programů se podílejí na webových útoků na počítače uživatelů. Tento seznam představuje 99,9% všech internetových útoků.
Jméno * % Ze všech útoků **
1 Škodlivý URL 93.01%
2 Trojan.Script.Generic 3,37%
3 AdWare.Win32.MegaSearch.am 0,91%
4 Trojan.Script.Iframer 0,88%
5 Exploit.Script.Blocker 0.49%
6 Trojan.Win32.Generic 0,28%
7 Trojan-Downloader.Script.Generic 0,22%
8 Trojan-Downloader.Win32.Generic 0,10%
9 Hoax.SWF.FakeAntivirus.i 0.09%
10 Exploit.Java.Generic 0.08%
11 Exploit.Script.Blocker.u 0.08%
12 Exploit.Script.Generic 0.07%
13 Trojan.JS.Iframe.aeq 0,06%
14 Packed.Multi.MultiPacked.gen 0,05%
15 AdWare.Win32.Agent.aece 0,04%
16 WebToolbar.Win32.MyWebSearch.rh 0,04%
17 AdWare.Win32.Agent.aeph 0,03%
18 Hoax.HTML.FraudLoad.i 0,02%
19 AdWare.Win32.IBryte.heur 0,02%
20 Trojan-Downloader.HTML.Iframe.ahs 0,02%
* Tyto statistiky představují detekce rozsudky antivirového modulu webového a byly předloženy uživatelé produkty společnosti Kaspersky Lab, kteří souhlasili, aby se podělili o své lokální data.
** Procento unikátních incidentů zaznamenaných webových antivirus na uživatelských počítačích.
Oproti roku 2012 došlo k nárůstu podílu na černé listině škodlivých odkazů blokovaných (škodlivého URL v 1. st místě). Nové, vylepšené detekční technologie, které se spoléhají na schopnosti KSN měly za následek podílu hrozeb detekovaných pomocí heuristických metod stoupající z 87% na 93% v průběhu minulého roku. Většina škodlivých URL detekce byly pro webové stránky, které obsahují exploity a místa přesměrování na zneužití.
V tomto Top 20 hostů Sedm záznamy byly verdikty identifikační hrozby, které jsou během pokusů drive-by útoky, které jsou v současné době nejběžnější způsob útoku na webové škodlivého kódu šířeného blokovány. Jsou heuristické verdikty Trojan.Script.Generic, Trojan.Script.Iframer, Exploit.Script.Blocker, Trojan-Downloader.Script.Generic, Exploit.Java.Generic, Exploit.Script.Generic a non-heuristické. Tyto výroky jsou přiřazeny skripty, které přesměrovávají na zneužití, jakož i samotných využije.
V 9. ročníku místě je soubor záblesk detekován jako Hoax.SWF.FakeAntivirus.i, která obsahuje animace napodobující činnost antivirového programu. "Skenování" na počítači oběti odhalí obrovské množství "infekce", které vyžadují specializované bezpečnostní řešení. Oběť je vyzván, aby odeslat textovou zprávu na krátkou čísla a přijímá odkaz, takže tzv. řešení lze stáhnout. Flash soubory, jako je tento, se může objevit na stránkách s reklamními bannery, které čas od času patří přesměrování na nevyžádaný obsah.
V 18. místě je Hoax.HTML.FraudLoad.i, detekován jako stránku HTML, která napodobuje okno známý soubor ke stažení:
Uživatelé mohou skončit na tyto druhy stránek z různých ruskojazyčných stažení stránky, které nabízejí hry, software a filmů. Mají tendenci být hostitelem zdarma hosting zdrojů. Pokud uživatel klikne na "Uložit", jsou přesměrováni na hosting stránky souboru, kde jsou vyzváni ke stažení souboru po zaplacení předplatného prostřednictvím textové zprávy. Nicméně, po splnění všech požadavků, namísto přijímání požadovaných uživatelé obsahu si textový soubor s pokyny k použití vyhledávače, nebo, ještě hůře, škodlivé programy.
Existuje více adware verdikty v letošním hodnocení než v roce 2012, se celkový podíl roste z 0,3% na 1,04%.
Země, kde se on-line zdrojů nasazený s malware: TOP 10
Následující statistiky jsou založeny na fyzickém umístění on-line zdrojů, které byly použity při útocích, blokovaných antivirových (webové stránky, které obsahují přesměrování na exploity, stránky, které obsahují využije a další malware, botnet velitelských středisek, atd.). Každý jedinečný hostitel se může stát zdrojem jedné nebo více webových útoků.
Aby bylo možné určit zeměpisný zdroj webovými útoky, byla použita metoda, kterou jsou doménová jména uzavřeno proti skutečné domény IP adres, a pak zeměpisná poloha konkrétní IP adresu (GeoIP) je založena.
Za účelem provedení 1 700 870 654 útoků prostřednictvím internetu, počítačoví zločinci používají 10 604 273 unikátních hostitele, což je o 4 miliony více než v roce 2012. 82% z oznámení o blokovaných webových útoků byly vytvořeny tím, že blokuje webové zdroje se nacházejí v deseti zemích, což je 14,1 procentních bodů méně než v roce 2012.
Distribuce on-line zdrojů naočkována škodlivých programů, podle země
V roce 2013 nedošlo k výrazným změnám v Top 10 hodnocení hlavních zdrojů malware ve srovnání s 2012. Čína, která byla tradiční vůdce před rokem 2010, vypadl z top 10 a Vietnamu se objevil v 8. ročníku místě. V roce 2010 čínské úřady podařilo vypnutí spoustu škodlivých hosting zdrojů v jejich rámci kyberprostoru, zároveň kalení své právní předpisy týkající se doménových jmen v doméně. Zóny cn, což mělo za následek snížení škodlivých zdrojů v Číně. V roce 2010 byla Čína na 3 třetím místě, 6 th v roce 2011, 8 th v roce 2012 a v roce 2013 klesl na 21 st místo v hodnocení.
Země, kde se uživatelé setkávají nejvyšší riziko infekce on-line
Aby bylo možné posoudit, ve kterých zemích uživatelé čelit kybernetickým hrozbám nejčastěji, jsme vypočítali, jak často uživatelé Kaspersky setkat detekce rozsudky na svých strojích v každé zemi. Výsledná data charakterizuje riziko infekce na počítače, které jsou vystaveny v různých zemích po celém světě, poskytuje ukazatel agresivitě prostředí, ve kterém počítače pracují v různých zemích.
Top 20 zemí s nejvyšším rizikem infekce počítače přes internet:
Země * % Unikátních uživatelů **
1 Ázerbajdžán 56.29%
2 Kazachstán 55.62%
3 Arménie 54.92%
4 Rusko 54.50%
5 Tádžikistán 53.54%
6 Vietnam 50.34%
7 Moldavsko 47.20%
8 Bělorusko 47.08%
9 Ukrajina 45.66%
10 Kyrgyzstán 44.04%
11 Srí Lanka 43.66%
12 Rakousko 42.05%
13 Německo 41.95%
14 Indie 41.90%
15 Uzbekistán 41.49%
16 Gruzie 40.96%
17 Malajsie 40.22%
18 Alžír 39.98%
19 Řecko 39.92%
20 Itálie 39.61%
Tyto statistiky jsou založeny na detekci rozsudky vrácených web antivirového modulu, obdržely od uživatelů produktů společnosti Kaspersky Lab, kteří souhlasili, aby jejich statistických údajů.
* Vyloučili jsme ty země, v nichž počet uživatelů produktů společnosti Kaspersky Lab je relativně malý (méně než 10000).
* * Unikátní Uživatelé, jejichž počítače byly terčem internetových útoků jako podíl z celkového počtu unikátních uživatelů produktů společnosti Kaspersky Lab v zemi.
V roce 2013 spatřil nový vůdce objeví, se Ázerbájdžán skončil na prvním místě s 56,3% napadených uživatelům. Rusko, který zvítězil v předchozích dvou letech klesl na 4. ročníku místě s 54,4% (o 4,1 procentního bodu méně, než loni).
USA, Španělsko, Omán, Súdán, Bangladéš, Maledivy a Turkmenistán vypadl z TOP 20 seznamu zemí. Mezi nově příchozími jsou Rakousko, Německo, Řecko, Gruzie, Kyrgyzstán, Vietnam a Alžírsko.
USA klesl z 19 th až 25 th . Jeho podíl se snížil o 7 procentních bodů na 38,1%. Pro připomenutí, před dvěma roky USA byl ve 3. třetím místě. Snižující se úroveň rizika spojeného s webovými útoky v USA může být spojeno s rostoucí popularitou surfování po webu prostřednictvím mobilních zařízení. Španělsko, které zaokrouhlují TOP 20 hodnocení loňského roku, se objevil v 31. st místě v roce 2013 (36,7% - o 8 bodů méně než v předchozím roce).
Rakousko (8 bodů) skončil rok na 12. ročníku místě, Německo je v 13 th (9,3 bodů) a Řecku (-1,6 bodů) je v 19 th . Další západoevropské země - Itálie (-6 bodů) - dokončí rating.
Všechny země mohou být přiřazeny do jedné z následujících kategorií na základě jejich úrovně rizika a zároveň surfovat na internetu:
Vysoké riziko. Tato skupina zahrnuje 15 zemí z TOP 20 v rozmezí 41-60%. Oni jsou Rusko, Rakousko, Německo, několik bývalých sovětských republik a asijské země. Tato skupina má více než polovinu od loňského roku, kdy se skládala z 31 zemí.
Střední Riziko
celkem 118 zemí v rozmezí 21 - 40,99%: Austrálie (38,9%), USA (38,1%), Kanada (36,5%), Itálie (39,6%), Francie (38,1%), Španělsko (36,7 %), Velká Británie (36,7%), Nizozemí (27,3%), Finsko (23,6%), v Dánsku (21,8%), Polsko (37,6%), Rumunsko (33,2%), Bulharsko (24,1%), Brazílie (34,6 %), Mexiko (29,5%), Argentina (25%), Čína (32,2%), Japonsko (25,3%).
Nízké riziko (0-20,99%)
celkem 25 zemí: Česká republika (20,3%), Slovensko (19,7%), Singapur (18,5%) a počet afrických zemí.
Africké země s nízkou úrovní rizika, se ukázalo, že mají vysokou a mírné riziko infekce místních hrozeb (viz níže). Internet v těchto zemích je stále ještě silně vyvinuté. Proto, aby sdílení dat uživatelů stále využívat v různých vyměnitelných médií. To je důvod, proč webové útoky ohrožují tak málo uživatelů, zatímco malware, rozloženy vyměnitelných nosičů dat, je často detekován na počítači.
Průměrná globální úrovni internetových hrozeb vzrostl o 6,9 procentního bodu - v roce 2013, 41,6% uživatelů počítačů se setkal útoky alespoň jednou. Internet je stále hlavním zdrojem malware pro uživatele ve většině zemí po celém světě.
Místní hrozby
Místní statistiky infekce pro uživatele počítačů jsou kriticky důležitým ukazatelem. Tato data upozorňuje na hrozby, které pronikly na počítačový systém přes něco jiného než Internet, e-mail, nebo síťových portů na.
Tato část zprávy obsahuje analýzu statistik na základě údajů získaných ze skeneru a skenování statistik on-access pro různé disky, včetně vyměnitelných médií (skeneru na vyžádání).
Kaspersky Lab antivirové řešení zjištěno téměř 3 miliardy malware incidenty na počítačích, které se účastní v systému Kaspersky Security Network.
V celkem 1,8 milionu škodlivých nebo potenciálně nežádoucí programy, byly zjištěny v těchto incidentů.
Top 20 škodlivé objekty zjištěné na uživatelských počítačích
Název % Jednotlivých uživatelů *
1 DangerousObject.Multi.Generic 39.1%
2 Trojan.Win32.Generic 38.0%
3 Trojan.Win32.AutoRun.gen 20.1%
4 Virus.Win32.Sality.gen 13.4%
5 Exploit.Win32.CVE-2010-2568.gen 10.6%
6 AdWare.Win32.DelBar.a 8,0%
7 Trojan.Win32.Starter.lgb 6,6%
8 Virus.Win32.Nimnul.a 5.5%
9 Worm.Win32.Debris.a 5,4%
10 Virus.Win32.Generic 5,4%
11 Trojan.Script.Generic 5,4%
12 Net-Worm.Win32.Kido.ih 5.1%
13 AdWare.Win32.Bromngr.i 4.6%
14 Net-Worm.Win32.Kido.ir 4,4%
15 Trojan.Win32.Starter.yy 3.9%
16 DangerousPattern.Multi.Generic 3,8%
17 HiddenObject.Multi.Generic 3,8%
18 Trojan.Win32.Hosts2.gen 3.7%
19 AdWare.Win32.Agent.aeph 3,6%
20 Trojan.WinLNK.Runner.ea 3,6%
Tyto statistiky jsou sestavovány z detekce malwaru rozsudky vytvořených skenerem modulů on-access a on-demand na počítačích těchto uživatelů se systémem produkty společnosti Kaspersky Lab, které souhlasily s tím, aby předložily své statistické údaje.
* Podíl jednotlivých uživatelů na jehož computers antivir detekovat tyto objekty jako procento všech jednotlivých uživatelů produktů společnosti Kaspersky Lab, na jehož počítačů byl zjištěn škodlivý program.
V roce 2013, škodlivé programy jsou klasifikovány jako DangerousObject.Multi.Generic a zjištěné pomocí cloudových technologií umístila na prvním místě v seznamu Top 20 škodlivých objektŧ zjištěných na uživatelských počítačích. Cloud technologie fungovat, pokud jsou ještě v antivirových databázích žádné podpisy, a žádné heuristiky pro detekci škodlivých programů, ale společnosti Kaspersky Lab mrak již má k dispozici údaje o hrozbu. To je v podstatě, jak jsou zjištěny nejnovější škodlivé programy. S Detection System Urgent (UDS) implementované v systému Kaspersky Security Network více než 11 miliónů počítačů přijatých real-time ochranu.
Loňský lídr Trojan.Win32.Generic přišel druhý vychází z rozsudků vydaných na základě heuristické analýzy.
Exploit.Win32.CVE 2010-2568.gen (5. místo) a Trojan.WinLNK.Runner.ea (20. místo) jsou zjištěny rozsudky přiřazené škodlivých Inkoustové soubory (zkratky). Inkoustové soubory těchto rodin spustit další škodlivé spustitelné soubory. Oni jsou aktivně využívány červů pro distribuci prostřednictvím paměťových USB médií.
Osm z Top 20 programů, a to buď integrovat self-proliferující mechanismus, nebo se používají jako jednu ze složek v systému distribuce šnekového: Virus.Win32.Sality.gen (4. místo), Trojan.Win32.Starter.lgb (7. místo), Virus.Win32.Nimnul.a (8. místo), Worm.Win32.Debris.a (9. místo), Virus.Win32.Generic (10. místo), Net-Worm.Win32.Kido.ih (12. místo) , Net-Worm.Win32.Kido.ir (14. místo), Trojan.Win32.Starter.yy (15. místo).
Procento Net-Worm.Win32.Kido červy (12. a 14. místo), který se poprvé objevil v roce 2008, se snižuje s každým rokem, jak uživatelům aktualizovat své systémy.
Virus.Win32.Virut rodina rozsudků nepodařilo, aby se do Top 20 v roce 2013, zatímco podíl ostatních virů - Sality (4. místo) a Nimnul (8. místo) - vzrostl o 8,5 a 1,4 procentního bodu, resp.
Letošní novinkou Worm.Win32.Debris.a skončil na 9. místě. Tento červ je distribuován prostřednictvím vyměnitelných médií s pomocí inkoustu souborů. Užitečné zatížení tohoto červa je škodlivý program, Andromeda, která se používá pro stažení souborů třetích stran. Tento program se poprvé objevil na virus spisovatel černém trhu v roce 2011. Nicméně, nové způsoby montáže a distribuce znamená, že jsme přiřazeny do oddělené rodině.
Trojan.Win32.Hosts2.gen je na 18. místě. Tento verdikt je přiřazena škodlivých programů, které se snaží změnit soubor hosts speciální přesměrování požadavků uživatelů na určité domény na hostitele pod jejich kontrolou.
Země, kde se uživatelé setkávají nejvyšší riziko lokální infekce
Aby bylo možné posoudit míru rizika pro on-line infekci, kterým čelí uživatelé v různých zemích, jsme vypočítali, jak často uživatelé s produkty společnosti Kaspersky Lab se setkal webových antivirové detekce v průběhu roku. Zájmu se údaje týkající se detekce malwaru na uživatelských počítačích nebo na vyměnitelné médium připojené k počítači - USB flash disky, kamery a telefon paměťové karty, externí pevné disky. V podstatě, tyto statistiky odrážejí úroveň osobního počítače infekcí v různých zemích světa.
Úrovně Computer infekce podle zemí - Top 20:
Země * % **
Vietnam 68.14%
Bangladéš 64.93%
Nepál 62.39%
Mongolsko 60.18%
Indie 59.26%
Súdán 58.35%
Afghánistán 57.46%
Alžírsko 56.65%
Laos 56.29%
Kambodža 55.57%
Irák 54.91%
Džibuti 54.36%
Maledivy 54.34%
Pákistán 54.12%
Srí Lanka 53.36%
Mauritánie 53.02%
Indonésie 52.03%
Rwanda 51.68%
Angola 50.91%
Egypt 50.67%
Tyto statistiky jsou založeny na detekční verdicts vrácených modulu Antivirus, získaných od uživatelů produktů společnosti Kaspersky Lab, kteří souhlasili, aby své statistické údaje.
* Při výpočtu jsme vyřadili země, kde existují méně než 10.000 uživatelů Kaspersky Lab.
** Podíl unikátních uživatelů v zemi s počítači, které zablokoval místní hrozby jako podíl z celkového počtu unikátních uživatelů produktů společnosti Kaspersky Lab.
Již více než rok, Top 20 pozice v této kategorii byly drženy zemí v Africe, na Středním východě a jihovýchodní Asii. Od loňské pořadí, situace v top-zařadil zemích zlepšila: v roce 2012, údaj za první-umístil země byla více než 99%, v roce 2013, což je nejvyšší číslo nedosáhl 70%.
V roce 2013 v průměru o 60,1% počítačů připojených k KSN byly podrobeny alespoň jeden útok a zároveň surfovat na internetu ve srovnání s 73,8% v roce 2012.
Země mohou být rozděleny do kategorií z hlediska místních hrozeb. Vzhledem k celkovému snížení úrovně lokálních infekcí pravděpodobně způsobených poklesem využití flash disky pro výměnu informací, jsme se snížil práh pro úroveň skupiny (ve srovnání se statistikami pro rok 2012).
Maximální riziko (více než 60%): čtyři země, včetně Vietnamu (68,1%), Bangladéš (64,9%), Nepálu (62,4%) a Mongolska (60,2%).
Vysoké riziko 67 zemích po celém světě, včetně Indie (59,2%), Čína (46,7%), Kazachstánu (46%), Ázerbájdžánu (44,1%), Ruska (41,5%), většina afrických zemí.
Mírné lokální míra infekce (21 - 40,99%). V 78 zemích po celém světě, včetně Španělska (36%), Francie (33,9%), Portugalsku (33,1%), Itálie (32,9%), Německo (30,2%), USA (29%), Velké Británii (28,5%) , Švýcarsko (24,6%), ve Švédsku (21,4%), Ukrajiny (37,3%), Brazílie (40,2%), Argentina (35,2%), Chile (28,9%), Jižní Korea (35,2%), Singapur (22,8%).
Nízká míra místní infekce (0-20,99%). Devět zemí z celého světa.
Top 10 zemí s nejnižším rizikem lokální infekce jsou:
Hodnost Země %
1 Dánsko 14.74%
2 Česká republika 15.58%
3 Finsko 15.93%
4 Kuba 17.18%
5 Japonsko 18.93%
6 Slovensko 19.24%
7 Slovinsko 19.32%
8 Norsko 19.36%
9 Seychely 19.90%
10 Malta 21.28%
V roce 2013, jedna nová země - Seychely - objevil se v tomto Top 10, tlačí na Nizozemí.
V průměru 18,4% z uživatelů počítačů byli napadeni ve skupině s nízkým rizikem zemí. To je o 6,6 procentních bodů méně než v loňském roce.
Bulletin Kaspersky Security 2013. Malware Evolution
8.12.2013 Zdroj: Kaspersky
Analýza
Obsah
Horní příběhy 2013
Nové "staré" cyber-špionáž kampaně
Cyber-žoldáci: nově vznikající trend
Hacktivism a úniky
Ransomware
Mobilní malware a App Store (v) bezpečnosti
Útoky zalévání otvory
Potřeba znovu navázat nejslabším článkem v bezpečnostním řetězci
Ochrana osobních údajů ztráta: Lavabit, Silent Circle, NSA a ztráta důvěry
Chyby a nulové dny
Vzestupy a pády cryptocurrencies - jak Bitcoins vládnout světu
Závěry a těšíme se: "2014, rok důvěry"
Opět, je na čase, abychom dodávat naše obvyklé retrospektivu klíčových událostí, které definovaly hrozeb v roce 2013. Začněme tím, že při pohledu zpět na to, co jsme si mysleli, že tvar rok dopředu, na základě trendů, které jsme zaznamenali v předchozím roce.
Cílené útoky a cyber-špionáž
Kupředu pochod "hacktivism"
Národ-stát-podporovaný kybernetické útoky
Použití nástrojů právních dozoru
Zataženo, malware
Chyby a využije
Cyber vydírání
Komu věříte?
Mac OS malware
Mobilní malware
Ty vole, kde je moje soukromí?
Pokud bychom se nyní zaměřují na světlech na 2013, můžete posoudit sami, jak dobře jsme udělali v předpovídání budoucnosti.
Horní příběhy 2013
Tady je náš výběru z nejlepších bezpečnostních příběhů roku 2013.
1.. Nové "staré" cyber-špionáž kampaně
V každém retrospektiva nejlepších příběhů 2013 můžete očekávat, že si o incidenty, ke kterým došlo v letošním roce. Ale to není tak jednoduché, při pohledu na cílených útoků. Často se stává, že kořeny útoku sahají v čase od okamžiku, kdy jsou zjištěny a jsou analyzovány a hlášeny. Možná si ještě vzpomínáte, například, že to bylo v případě Stuxnet - čím více jsme to analyzovali, dále zpět jsme museli umístit datum jeho původu. Je to pravda, i některé z hlavních cyber-špionážních kampaní, které jsme viděli v tomto roce.
Rudý říjen je cyber-špionáž kampaň, která zasáhla stovky obětí na celém světě - včetně diplomatických a vládních agentur, výzkumných institucí, energetických a jaderných skupin a obchodu a letecké organizace. Malware je vysoce sofistikovaný - mimo jiné, že obsahuje "režim vzkříšení", který umožňuje malware re-infikovat počítače. Kód je vysoce modulární, což umožňuje útočníkům vyladit kód jednoduše pro každou konkrétní cíl. Zajímavé je, že Red October ne jen sběr informací od tradičních koncových bodů, ale také z mobilních zařízení připojených k síti obětí - jasné uznání zločinci, že mobilní zařízení jsou základní součástí dnešního podnikatelského prostředí a obsahují cenné informace. Zveřejnili jsme výsledky naší analýzy v lednu 2013, ale je jasné, že kampaň se datuje do roku 2008.
Mapa RedOctober oběti
V únoru jsme zveřejnili naši analýzu MiniDuke, navržen tak, aby krást data z vládních agentur a výzkumných institucí. Naše analýza odkryla 59 vysoký profil obětí organizací ve 23 zemích, včetně Ukrajiny, Belgii, Portugalsku, Rumunsku, České republice, Irsku, Maďarsku a USA. Stejně jako mnoho cílených útoků, MiniDuke kombinované použití "Old School" sociálního inženýrství taktiky s sofistikovaných technik. Například, MiniDuke včetně první využívat schopen obejít sandbox Adobe Acrobat Reader. Navíc, dané koncové obdržel pokyny z příkazového a-řídicí server pomocí předem definovaných Twitter účty (a použít vyhledávání Google jako záchytná metoda).
Dozvěděli jsme se o vlně útoků v březnu daného cílových špičkových politiků a aktivistů v oblasti lidských práv v zemích SNS a východní Evropy. Útočníci použili nástroj pro vzdálenou správu TeamViewer ke kontrole počítačů svých obětí, takže provoz stal se známý jako "TeamSpy". Cílem útoků bylo shromáždit informace z napadených počítačů. I když není tak propracovaný jako Rudý říjen, NetTraveler a jiných kampaní, tato kampaň byla přesto úspěšná - což znamená, že ne všechny úspěšné cílené útoky je třeba vybudovat kód od nuly.
NetTraveler (také známý jako "NetFile"), které bylo oznámeno v červnu, je další hrozba, že v době objevu, dlouho byl aktivní - v tomto případě od roku 2004.
Tato kampaň byla navržena tak, aby krást data týkající se průzkumu vesmíru, nano-technologie, výrobu energie, jaderné energie, lasery, medicíny a telekomunikací. NetTraveler byl úspěšně použit ke kompromisu více než 350 organizací ve 40 zemích - včetně Mongolska, Ruska, Indie, Kazachstán, Kyrgyzstán, Čína, Tádžikistán, Jižní Koreji, Španělsku a Německu. Cíle byly ze státního a soukromého sektoru, organizací, která zahrnovala vládní agentury, ambasády, ropné a plynárenské společnosti, výzkumná střediska, vojenské dodavatele a aktivisty.
Pokud vaše organizace ještě nikdy utrpěl záchvat, je to snadné říct si, že "to se nestane, aby mě", nebo si představit, že většina toho, co jsme slyšeli o malware je jen humbuk. Je to snadné číst titulky a dospět k závěru, že cílené útoky jsou problémem jen pro velké organizace. Ale ne všechny útoky zahrnují vysoké cíle profilu, nebo které jsou zapojeny do "kritické infrastruktury" projektů. Po pravdě řečeno, každá organizace se může stát obětí. Každá organizace má údaje, které by mohly být v hodnotě až zločinci, nebo mohou být použity jako "odrazový můstek" pro dosažení dalších společností. Tento bod byl bohatě ilustrována útoky Winnti a Icefog.
V dubnu jsme zveřejnili zprávu o počítačové trestné činnosti skupiny "Winnti" . Tato skupina, aktivní od roku 2009, se zaměřuje na krádeže digitální certifikáty podepsané oprávněnými dodavateli softwaru, stejně jako krádeže (včetně krádeže zdrojového kódu pro on-line herních projektů) duševního vlastnictví. Trojan používá skupina je DLL knihovna sestaven pro 64-bitové prostředí Windows. Používá řádně podepsaný ovladač a funguje jako plně funkční Remote Tool pro správu - dává útočníkům plnou kontrolu nad ohrožení počítače. Celkově jsme zjistili, že více než 30 společností v online herním průmyslu padlo za oběť na činnosti skupiny - hlavně v jihovýchodní Asii, ale také vliv společnosti v Německu, USA, Japonsku, Číně, Rusku, Brazílii, Peru, Bělorusko a Velká Británie. Tato skupina je stále aktivní.
V Icefog útoky , které jsme vyhlásili v září (popsané v další části této zprávy) byly zaměřeny na dodavatelském řetězci, a stejně assensitive údaje v rámci cílové sítě, také shromáždil e-mailu a síťových pověření ke zdrojům mimo cílové sítě .
2. Cyber-žoldáci: nově vznikající trend
Na první pohled to, Icefog se zdá být cílený útok jako každý jiný. Je to cyber-špionáž kampaň, aktivní od roku 2011, se zaměřil především v Jižní Koreji, Tchaj-wanu a Japonska, ale také v USA, Evropě a Číně. Podobně útočníci používají e-maily spear-phishing - obsahují buď přílohy nebo odkazy na nebezpečné webové stránky - distribuovat malware na jejich oběti. Stejně jako u jakéhokoli takového útoku, je těžké s jistotou říci, kolik obětí tam byly, ale my jsme viděli několik desítek obětí se systémem Windows a více než 350 běží Mac OSX (většina Ty jsou v Číně).
Nicméně, tam jsou některé klíčové rozdíly z dalších útoků, které jsme diskutovali už. Za prvé, Icefog je součástí nově vznikající trend, který vidíme - útoky malých skupin počítačovými žoldáků, kteří provozují malé hit-and-run útoky. Za druhé, útočníci specificky zaměřené dodavatelského řetězce - jejich rádoby oběti patří vládní instituce, vojenské dodavatelé, námořní a konstrukci lodí skupiny, telekomunikační operátory, satelitní operátoři, průmyslové a high-tech podniků a hromadných sdělovacích prostředků. Za třetí, jejich kampaně spoléhají na zakázku cyber-špionáže nástroje pro Windows a Mac OS X a přímo ovládat napadených počítačů, a navíc k Icefog, jsme si všimli, že oni používají zadní vrátka a jiné škodlivé nástroje pro boční pohyb v cílových organizacích a pro exfiltrace dat.
Čínská skupina "Skryté Lynx", jehož činnosti byly hlášeny výzkumníků společnosti Symantec v září, spadají do stejné kategorie - "zbraně-pro-pronájem" provádění útoků na zakázku s použitím špičkových vlastní nástroje. Tato skupina byla zodpovědná za, mimo jiné, útok na Bit9 na začátku tohoto roku.
Do budoucna předpokládáme, že více z těchto skupin se bude jevit jako podzemní černý trh "APT" služeb se začíná objevovat.
3. Hacktivism a úniky
Krádež peněz - a to buď prostřednictvím přímého přístupu bankovních účtů nebo krádeže důvěrných dat - není jediným motivem narušení bezpečnosti. Oni mohou také být spuštěn jako forma politického nebo sociálního protestu, nebo podkopat pověst společnosti terčem. Faktem je, že Internet prostupuje téměř každý aspekt života dnes. Pro ty, kteří s příslušnými dovednostmi, může to být snazší zaútočit na vládní nebo obchodní webové stránky, než je koordinovat reálný protest či demonstrace.
Jednou ze zbraní volby pro ty, kteří mají hádky je DDoS (Distributed Denial of Service) útoku. Jeden z největších takových útoků v historii (někteří by řekli * * největší) byla zaměřena na SpamHaus v měsíci březen. Odhaduje se, že na jeho vrcholu, útok dosáhl propustnost 300gbps. Jedna organizace podezřelá z uvedení do říkalo Cyberbunker. Konflikt mezi touto organizací a SpamHaus se datuje do roku 2011, ale dosáhla vrcholu, když byl Cyberbunker na černou listinu SpamHaus několik týdnů před incidentem. Majitel Cyberbunker popřel odpovědnost, ale tvrdil, že je mluvčí pro ty, kteří za ním. Útok byl zahájen jistě někdo schopný generovat obrovské množství provozu. Ke zmírnění této, Spamhaus byla nucena přestěhovat se do CloudFlare, hostingové a poskytovatele služeb je známá odvádí velké DDoS útoky. Zatímco někteří "to je konec světa, jak ho známe" titulky by mohla nadhodnocené účinky této události, událost upozorňuje na dopad, který rozhodl útočník může mít.
Zatímco útok na SpamHaus se zdá být izolovaný incident, probíhající hacktivist činnosti podle skupin, kteří byli aktivní za nějakou dobu pokračoval v letošním roce. To zahrnuje "anonymní" skupiny. V letošním roce je to již přihlásila k odpovědnosti za útoky na americké ministerstvo spravedlnosti, MIT (Massachusetts Institute of Technology) a na webových stránkách jednotlivých vlád - včetně Polska, Řecka, Singapuru, Indonésii a Austrálii (poslední dva incidenty výměnu mezi Anonymous skupiny ve svých zemích). Skupina také tvrdí, že hacknutý wi-fi síť britského parlamentu během protestů na náměstí Parliament během prvního listopadového týdne.
Ti, kteří tvrdí, že je součástí "syrské elektronické armády" (stoupenci syrského prezidenta Bašár al-Assad) byly aktivní také v průběhu celého roku. V dubnu se přihlásila k odpovědnosti za hacking Twitter úvahu Associated Press a odesílání falešných zpravodajské tweet exploze v Bílém domě - který zničila 136000000000dolary mimo DOW. V červenci skupina ohrožena účty Gmail tří zaměstnanců Bílého domu a Twitter úvahu Thomson Reuters.
Je jasné, že naše závislost na technologii, spolu s obrovským výpočetním výkonem vestavěný do dnešních počítačů, znamená to, že jsme potenciálně zranitelný vůči útoku skupiny lidí s různými motivy. Takže je pravděpodobné, že uvidíme konec činnosti hacktivists nebo někdo jiný rozhodli zaútočit na organizace všeho druhu.
4. Ransomware
Metody používané zločinci, aby se peníze z jejich obětí nejsou vždy jemné. Programy "Ransomware" pracovat jako počítačový specifické útoku "denial-of-service" - blokují přístup k systému souborů počítače, anebo se šifrování datových souborů uložených v počítači. Modus operandi se může lišit. V oblastech, kde úroveň softwarového pirátství jsou vysoké, například, Ransomware trojské koně mohou tvrdit, že jsou identifikovány nelicencované software na počítače a poptávky platby oběti získat přístup k počítači. Jinde, že smysl se pop-up zprávy z policejních agentur, kteří tvrdí, že našli dětskou pornografii nebo jiný nelegální obsah na počítači a náročnými pokutu. V ostatních případech, není žádný trik vůbec - prostě šifrování dat a upozorní vás, že musíte zaplatit, aby bylo možné obnovit vaše data. To byl případ s Cryptolocker Trojan, které jsme analyzovali v říjnu.
Cryptolocker stáhne RSA veřejný klíč z jeho příkazu a ovládání (C2) serveru. Unikátní klíč je vytvořen pro každou novou oběť a jen autoři mají přístup k dešifrování klíče. Chcete-li se připojit k serveru C2, Cryptolocker používá algoritmus generace doménu, která produkty 1000 jedinečné názvy kandidátské domén každý den. Mezi zločinci dát své oběti pouze tři dny splatit - a posilují jejich poselství s děsivé tapety, který je varuje, že pokud nezaplatí včas, budou jejich data budou navždy pryč. Oni přijímají různé formy plateb, včetně Bitcoin. Mezi nejvíce postižené země jsou Velká Británie a USA, vzdáleně následuje Indie, Kanady a Austrálie.
V tomto případě je trochu problém, v odstranění škodlivého aplikace, nebo dokonce přestavět na infikovaný počítač. Ale údaje mohou být potenciálně navždy ztraceny. Někdy v minulosti, jsme byli schopni dešifrovat unesených dat. To však není vždy možné, v případě, že šifrování je velmi silná, jako u některých Gpcode variant. Je také pravda, ze Cryptolocker. To je důvod, proč je důležité, aby jednotlivci a podniky vždy provádět pravidelné zálohy. Pokud dojde ke ztrátě dat - z jakéhokoli důvodu - potíže nemá proměnit v katastrofu.
Cryptolocker nebyl jediný vydírání program, který dělal titulky v letošním roce. V červnu jsme viděli Android aplikace s názvem "Volání zdarma Aktualizace" - falešný anti-malware program navržen tak, aby vyděsit své oběti na placení peněz pro odstranění neexistující malware z přístroje. Po instalaci aplikace se pokusí získat administrátorská práva: to umožňuje zapnout Wi-Fi a 3G zapínat a vypínat, a zabraňuje oběti z pouhé odstranění aplikace. Instalační soubor je odstraněn poté, v roce trik, vyhnout se odhalení legitimní anti-malware program, který může být instalován. Aplikace předstírá identifikovat malware a vyzve oběť koupit licenci pro plnou verzi odstranit malware. Zatímco aplikace je prohlížení, zobrazí se varování, že malware se snaží ukrást pornografický obsah z telefonu.
5. Mobilní malware a App Store (v) bezpečnosti
Explozivní růst v oblasti mobilních malware, který začal v roce 2011 pokračoval v tomto roce. V současné době existuje více než 148.427 mobilních malware úpravy v 777 rodinách. Drtivá většina z nich, stejně jako v minulých letech, je zaměřen na Android - 98,05% z mobilního malwaru našel tento rok se zaměřuje na tuto platformu. Není se co divit. Tato platforma vítězí na všech frontách pro zločinci: to je široce používán, je snadné vytvořit pro a lidí, kteří používají zařízení se systémem Android jsou schopny stahovat programy (včetně malwaru) z místa, kde oni si vyberou. Tento poslední faktor je důležitý: zločinci jsou schopni využít skutečnost, že lidé stahovat aplikace z Google Play, od jiných trzích, nebo z jiných webových stránek. To je také to, co umožňuje zločinci vytvářet své vlastní falešné webové stránky, které maškaráda jako legitimní obchody. Z tohoto důvodu je nepravděpodobné, že by jakékoliv zpomalení vývoje škodlivých aplikací pro Android.
Malware cílení na mobilní zařízení odráží malware běžně vyskytují na infikovaných počítačů a notebooků - zadní vrátka, trojské koně a Trojan-Spies. Jedinou výjimkou je SMS-Trojan programy - kategorie exkluzivně pro smartphony.
Hrozba není jen roste objem. Jsme svědky zvýšené složitosti příliš. V červnu jsme analyzovali nejmodernější mobilní malware Trojan jsme viděli to-data, Trojan s názvem Obad . Tato hrozba je multi-funkční: to posílá zprávy na čísla se zvýšenou sazbou, stáhne a nainstaluje další malware, pomocí Bluetooth poslat sama s jinými zařízeními a na dálku provádí příkazy na konzoli. Tento Trojan je také velmi složitá. Kód je silně zatemnil a využívá tři dosud nepublikované zranitelnosti. V neposlední řadě z nich je ten, který umožňuje získat Trojan rozšířené oprávnění správce zařízení - aniž by to, že jsou uvedeny na zařízení jako jeden z programů, které má tato práva. Toto dělá to nemožný pro oběť jednoduše odstranit malware z přístroje. To také umožňuje Trojan zablokovat obrazovku. To dělá to pro více než 10 sekund, ale to je dost Trojan poslat sám (a další malware) do okolních zařízení - trik navržen tak, aby se zabránilo postiženého od vidění činnosti Trojana.
Obad také používá několik metod k šíření. Jsme již zmínili využití Bluetooth. Kromě toho, že se šíří falešný Play úložiště Google, prostřednictvím textových zpráv, e-mailů a přes přesměrování z popraskaných míst. Na vrcholu tohoto, je to také klesla o další mobilní Trojan - Opfake.
Mezi zločinci stojí za Obad jsou schopni ovládat Trojan pomocí předem definované řetězce v textových zpráv. Trojan lze provést několik akcí. včetně zasílání textových zpráv, ping zadaný zdroj, pracuje jako proxy server, připojení na zadanou adresu, stahování a instalaci zadaný soubor, odesílání seznam aplikací nainstalovaných v zařízení, zasílání informací na konkrétní aplikaci, posílání kontaktů oběti na serveru a provádění příkazů zadaných serveru.
Trojan sklizně data z přístroje a odešle ji na povel a-řídicí server - včetně MAC adresy zařízení, operační jména, čísla IMEI, zůstatku na účtu, místním časem a zda Trojan nebo ne byl schopen úspěšně získat práva správce zařízení. Všechna tato data jsou nahrané na Obad ovládání a-příkaz server: Trojan nejprve pokusí použít aktivní připojení k Internetu, a, je-li k dispozici žádné připojení, hledá pro blízké Wi-Fi připojení, které nevyžaduje ověření.
6.. Útoky zalévání otvory
Ty by mohly být obeznámeni s výrazem "drive-by download" a kopí-phishing. První z nich je, kde zločinci podívejte se na nejistých webových stránek a zasadit škodlivý skript do PHP kódu HTTP nebo na jednom z internetových stránek. Tento skript může přímo nainstalovat malware do počítače někoho, kdo navštěvuje stránky, nebo může použít IFRAME přesměrovat oběť na škodlivé stránky ovládaném zločinci. Ten je cílená forma phishingu, často se používá jako výchozí bod pro cílený útok. E-mail je zaměřena na konkrétní osobu v rámci cílové organizace, v naději, že budou klikněte na odkaz, nebo spustit přílohu, která se spouští kód útočníka a pomůže jim získat počáteční oporu ve společnosti.
Když zkombinujete dva přístupy (drive-by stažení a kopí-phishing), můžete skončit s tím, co se nazývá "zalévání děr" útok. Útočníci studovat chování lidí, kteří pracují pro cílové organizace, aby se dozvěděli o jejich procházení návyky. Pak ohrozit webové stránky, které jsou často používané zaměstnanci - nejlépe ten, který je řízen důvěryhodné organizace, která je cenným zdrojem informací. V ideálním případě budou používat zero-day exploitu. Takže když zaměstnanec navštíví webovou stránku na webu, že jsou nakaženi - typicky backdoor Trojan je nainstalován, který umožňuje útočníkům přístup k interní síti společnosti. Ve skutečnosti, místo toho honit obětí, na cybercriminal číhá na místě, že oběť je vysoce pravděpodobné, že k návštěvě - tedy zalévání děr analogie.
Je to způsob útoku, který se ukázal jako úspěšný zločinci v letošním roce. Tvrdě na paty naší zprávy o útocích Winnti, našli jsme Flash Player využít na pečovatel webové stránky, které podporuje tibetských uprchlíků dětí, "Tibetské domy Foundation". Ukázalo se, že tato webová stránka byla ohrožena s cílem šířit zadní vrátka podepsané s ukradenými certifikáty od případu Winnti. To byl klasický případ zalévání děr útoku - se zločinci zkoumal preferované lokality svých obětí a ohrožena je, aby se infikovat jejich počítačů. Viděli jsme techniku používanou opět v srpnu, kdy kód na webových stránkách tibetské správy Střední začal přesměrovávat čínské mluvící návštěvníky na Java exploit, který spadl na zadní vrátka použít jako součást cíleného útoku.
Pak v září jsme viděli další zalévání děr útoků namířených proti těmto skupinám jako součást kampaně NetTraveler.
Je důležité si uvědomit, že útok zalévání děr je jen jedna metoda používaná zločinci, spíše než náhrada za kopí-phishing a jinými metodami. A útoky výše uvedené jsou jen částí z řady útoků na tibetských a ujgurských míst sahají po dobu dvou let nebo více.
Konečně, všechny tyto útoky jsou dále svědčí o tom, že nemusíte být nadnárodní korporace, nebo jiné high-profil organizace, aby se stal obětí cíleného útoku.
7. Potřeba znovu navázat nejslabším článkem v bezpečnostním řetězci
Mnoho z dnešních hrozeb jsou velmi propracované. To platí zejména pro cílené útoky, kde zločinci rozvíjet zneužití kódu je, aby se používání neopravených zranitelností aplikací, nebo vytvářet vlastní moduly, které jim pomohou krást data z jejich obětí. Nicméně, často první druh zranitelnosti zneužita útočníky je jeden člověk. Používají techniky sociálního inženýrství oklamat osoby, které pracují pro organizaci, aby dělali něco, co ohrožuje firemní bezpečnost. Lidé jsou citlivé na tyto přístupy z různých důvodů. Někdy se prostě neuvědomují nebezpečí. Někdy oni jsou přijata podle vábení "něco za nic". Někdy se řezat zatáčky, aby se jejich život jednodušší - například s použitím stejné heslo na všechno.
Mnoho z prestižních cílených útoků, které jsme analyzovali v letošním roce začali tím, "hacking člověka". Rudý říjen, série útoků na tibetských a ujgurských aktivistů, MiniDuke, NetTraveler a Icefog všech zaměstnaných spear-phishing získat první opěrný bod v organizacích, které cílené. Oni rám přístupy k zaměstnancům na základě údajů, které jsou schopni získat z webové stránky společnosti, veřejných fór a probírat různé útržky informací, které lidé přispívat do sociálních sítí. To jim pomáhá vytvářet e-maily, které vypadají legitimní a chytit lidi mimo stráž.
Samozřejmě, že stejný přístup je rovněž přijala ti za množství náhodných, spekulativních útoků, které tvoří většinu cybercriminal aktivit - na phishingové zprávy odeslané ve velkém velkého počtu spotřebitelů.
Sociální inženýrství mohou být také aplikovány na fyzické úrovni, a tento rozměr bezpečnosti je někdy přehlížena. To bylo zdůrazněno v letošním roce v pokusech o instalaci KVM přepínače ve větvích dvou britských bank. V obou případech, útočníci převlékl se za inženýry, aby bylo možné získat fyzický přístup do banky a instalaci zařízení, které by mělo nechat sledovat síťovou aktivitu. Můžete si přečíst o incidentech zde a zde .
Tato otázka byla rovněž zdůrazněna náš kolega, David Jacoby, v září: dirigoval malý experiment ve Stockholmu, aby viděli, jak snadné by bylo, abyste získali přístup k podnikovým systémům využitím ochotu personálu, který by pomohl cizince v nouzi. Zprávu Davida si můžete přečíst zde .
Bohužel, společnosti často ignorují lidský rozměr bezpečnosti. I když potřeba informovanosti zaměstnanců je uznáván, použité metody jsou často neúčinné. Přesto jsme ignorovat lidský faktor v oblasti bezpečnosti firemní na vlastní nebezpečí, protože je to příliš jasné, že samotné technologie nemůže zaručit bezpečnost. Proto je důležité, aby všechny organizace, aby se povědomí o bezpečnosti klíčovou součástí jejich bezpečnostní strategie.
8. Ochrana osobních údajů ztráta: Lavabit, Silent Circle, NSA a ztráta důvěry
Žádné přehled ITSEC od roku 2013 by nebyl úplný bez zmínky Edward Snowdena a širší důsledky ochraně osobních údajů, které následovaly až do vydání příběhů o Prism, XKeyscore a temperou, stejně jako jiné programy dozoru.
Možná, že jedním z prvních viditelných účinků bylo odstavení šifrované Lavabit e-mailové služby. Psali jsme o tom zde . Silent Circle, jiný šifrovaný poskytovatele e-mailu, se rozhodl ukončit své služby stejně, takže jen velmi málo možností pro soukromé a bezpečné výměny e-mail. Důvodem, proč tyto dvě služby vypnout to jejich neschopnost poskytovat takové služby, pod tlakem od vymáhání práva a dalších vládních agentur.
Další příběh, který má vliv více než soukromí je NSA sabotáž z eliptických křivek kryptografických algoritmů uvolněných přes NIST. Zdá se, že NSA zavedla jakousi "zadní vrátka" v Dual Elliptic Curve Deterministické Náhodné Bit generace (nebo Dual ES DRBG) algoritmu. "Backdoor" údajně umožňuje některé strany provádět jednoduché útoky proti konkrétním šifrovacím protokolem, lámání údajně zabezpečené komunikace. RSA, jeden z hlavních poskytovatelů šifrování na světě, třeba poznamenat, že tento algoritmus je ve své výchozí šifrování Toolkit a doporučuje všem svým zákazníkům migrovat pryč od něj. Algoritmus v pochybnost byl přijat NIST v roce 2006 poté, co bylo k dispozici a používá v širokém měřítku nejméně od roku 2004.
Je zajímavé, že jedním z diskutovaných incidentů má přímé důsledky pro antivirový průmysl. V září, Belgacom, belgický telekomunikační operátor oznámil , že byl hacknutý . Při rutinní vyšetřování, personál Belgacom identifikovat neznámý virus v řadě serverů a zaměstnaneckých počítačů. Později se objevily spekulace o původu viru a útoku, který poukázal na GCHQ a NSA. Přestože vzorky malwaru nebyly zpřístupněny bezpečnostního průmyslu, další podrobnosti se objevil které ukazují útoku došlo prostřednictvím "otrávené" stránky LinkedIn, které byly zaminované pomocí man-in-the-middle technik, s odkazy směřující na CNE (počítačová síť využívání) servery.
Všechny tyto příběhy o dohledu také vyvolává otázky o úrovni spolupráce mezi bezpečnostními firmami a vládami. ERF, spolu s dalšími skupinami, publikoval dopis dne 25. října žádat zabezpečení dodavatelů řadu otázek týkajících se detekce a blokování státem podporované malware.
Na Kaspersky Lab, máme velmi jednoduché a přímočaré politiku týkající se detekce malwaru: My odhalit a napravovat jakékoli malware útoku, bez ohledu na její původ či účel. Není tam žádná taková věc jako "pravé" nebo "špatné" malware pro nás. Náš výzkumný tým se aktivně podílí na objevení a zveřejnění několika útoky škodlivého softwaru s odkazy na vládami a národními státy. V roce 2012 jsme vydali důkladný výzkum do Flame a Gauss , dva z největších národních států operací masově dozoru dosud známých. Máme také vydal veřejné varování o rizicích tzv. "legální" nástrojů ostrahy, jako HackingTeam v DaVinci a gama je FinFisher . Je nezbytně nutné, aby tyto nástroje dozoru nepatří do nepovolaných rukou, a to je důvod, proč zabezpečení IT průmyslu je, aby žádné výjimky, pokud jde o zjištění škodlivého kódu. Ve skutečnosti, to je velmi nepravděpodobné, že by kompetentní a znalý vládní organizace bude požadovat antivirový developer (nebo vývojáře) přimhouřit oči, aby konkrétní státní sponzorována malware. Je to docela snadné pro "nepozorovaně" malware dostane do nepovolaných rukou a mohou být použity proti těm samým lidem, kteří ji vytvořili.
9. Chyby a nulové dny
Počítačoví zločinci se i nadále, aby se široké využití zranitelností ve legitimní software ke spuštění malware útoků. Dělají to pomocí exploitů - fragmenty kódu určené k použití na chybu v programu k instalaci škodlivého kódu do počítače oběti bez nutnosti zásahu uživatele. Tento kód využívat, může být vložena do speciálně vytvořené e-mailu, nebo se může zaměřit na zranitelnost v prohlížeči. Využít působí jako nakladač pro malware se cybercriminal přání k instalaci.
Samozřejmě, že pokud útočník využije zranitelnost je znám pouze k útočníkovi - tzv. "zero-day" zranitelnosti - každý pomocí chyby v aplikaci zůstane bez ochrany, dokud prodejce vyvinula patch, který uzavírá mezeru. Ale v mnoha případech zločinci úspěšně využívat známých zranitelností, u nichž náplast již byly vydány. To je pravda, pro mnoho z hlavních cílených útoků od roku 2013 - včetně Rudý říjen, MiniDuke, TeamSpy a NetTraveler. A to je také pravda, pro mnoho náhodných, spekulativních útoků, které tvoří podstatnou část počítačové trestné činnosti.
Počítačoví zločinci se zaměřují svou pozornost na aplikace, které jsou široce používány a jsou pravděpodobně zůstane unpatched nejdelší dobu - což jim velké okno příležitosti přes které k dosažení svých cílů. V roce 2013, Java zranitelnosti představoval přibližně 90,52% útoků, zatímco Adobe Acrobat Reader činil 2,01%. Vyplývá to z nastoleném trendu a není divu. Java není nainstalován pouze na velké množství počítačů (3000000000 podle Oracle), ale její aktualizace nejsou instalovány automaticky. Adobe Reader nadále aplikace využívány zločinci, ačkoli objem využije pro tuto aplikaci výrazně snížena v průběhu posledních 12 měsíců, v důsledku Adobe častější (a, v platném znění, automatické) náplasti rutiny.
Chcete-li snížit jejich "útoku", musí podniky zajistit, že běží nejnovější verze všech softwarových používaných ve společnosti, platí bezpečnostní aktualizace, jakmile budou k dispozici, a odeberte software, který je v organizaci již potřebné. Ty mohou dále snížit rizika pomocí zranitelnosti skener identifikovat neopravených aplikací a nasazení anti-malware řešení, které brání využití exploitů v un-záplaty aplikací.
10. Vzestupy a pády cryptocurrencies - jak Bitcoins vládnout světu
V roce 2009, chlápek jménem Satoshi Nakamoto publikoval článek , který by převrat ve světě e-měny. S názvem "Bitcoin: Peer-to-Peer Electronic Cash System", dokument definovaný základ pro distribuované, finanční platebního systému de-centralizované, bez transakčních poplatků. Systém Bitcoin byl implementován a lidé začali používat. Co je to za lidi? Na začátku byli většinou fandové a matematici. Brzy se k nim připojili další - většinou obyčejných lidí, ale také zločinci a teroristy.
Již v lednu 2013 Bitcoin byl ceněný na 13 $. Jak začal přijetím Bitcoin jako prostředek pro platbu stále více a více služeb, cena vzrostla. 9. dubna 2013 dosáhla 260 dolarů dolarů (průměrná cena byla $ 214), než narazil na další den jako Bitcoin bohatých subjekty začaly vyměňovat je za skutečné životní peněz.
Bitcoin denní průměrná cena (Mt. GOX)
V listopadu 2013 Bitcoin začal opět získává na síle, překonal 400 $ značku, směřuje k 450 $ a možná výše.
Tak proč jsou Bitcoins tak populární? Za prvé, které poskytují téměř anonymní a bezpečné způsoby placení za zboží. V návaznosti na příběhy dozoru roku 2013, tam je možná trochu překvapením, že lidé hledají alternativní formy platby. Za druhé, existuje snad pochyb o tom, že oni jsou také populární zločinci, kteří hledají způsoby, jak se vyhnout zákon.
V květnu jsme psali o brazilských zločinci , kteří se snaží vydávat Bitcoin výměnu domů. Bitcoin se také objevil důlní botnety , stejně jako malware navržen tak, aby krást Bitcoin peněženky.
V pátek 25. října v průběhu společné operace mezi FBI a DEA, neslavný Silk Road byl vypnut . Silk Road byl "skrytý web navržen tak, aby svým uživatelům nakupovat a prodávat nelegální drogy a jiné nezákonné zboží a služby anonymně a mimo dosah činných v trestním řízení", podle tiskové zprávy z amerického zastupitelství. To bylo v provozu na Bitcoins, což umožnilo oběma prodejci a zákazníci zůstávají neznámé. FBI a DEA chytil asi 140k Bitcoins (stojí přibližně 56 dolarů mil. Kč, při dnešních sazeb) z "Dread Pirate Roberts", Hedvábná stezka je operátorem. Společnost byla založena v roce 2011, Hedvábná stezka byla v provozu přes síť TOR Onion, které nashromáždil více než 9,5 mil. BTC do tržeb.
I když je jasné, že zločinci našli bezpečné útočiště v Bitcoins, tam je také mnoho dalších uživatelů, kteří nemají žádné škodlivé úmysly. Jak Bitcoin se stává více a více populární, bude zajímavé sledovat, jestli tam je nějaká vláda zákrok na burzách ve snaze dát zastavit jejich nedovoleného použití.
Pokud jste náhodou vlastní Bitcoins, snad nejdůležitější problémem je, jak udržet je v bezpečí. Můžete si najít nějaké tipy v tomto příspěvku zveřejněném naši kolegové Stefan Tanase a Sergey Lozhkin.
Závěry a těšíme se: "2014, rok důvěry"
Již v roce 2011, jsme si řekli, rok byl výbušný . jsme také předpověděl 2012 se odhalovat a 2013 se otevření očí.
Ve skutečnosti, některé z objevů 2013 bylo otevření očí a vyvolává otázky o způsob, jakým používáme internet dnes a kategorie rizik, kterým čelíme. V roce 2013, pokročilé herci hrozeb pokračovaly rozsáhlé operace, jako je například RedOctober nebo NetTraveler. Nové metody byly přijaty, jako útoky zalévání otvory, zatímco nula-dny jsou stále populární s pokročilými herci. Také jsme si všimli vzniku kybernetických žoldáků, specializovaný "k pronájmu" APT skupin zaměřených na hit-a-běh operací. Hacktivists byli neustále v médiích, spolu s termínem "únik", což je určitě dát strach do srdce každého opravdového sys-admin tam. Mezitím zločinci byli zaneprázdněni vymýšlet nové způsoby, jak krást peníze nebo Bitcoins a ransomware stala téměř všudypřítomný. V neposlední řadě, mobilní malware zůstává vážným problémem, pro které není jednoduché řešení neexistuje.
Samozřejmě, každý je zvědavý, jak všechny tyto příběhy budou ovlivňovat 2014. Podle našeho názoru 2014 bude vše o obnovení důvěry.
Ochrana osobních údajů bude horký předmět, s jeho vzestupy a pády. Šifrování bude opět v módě, a věříme, že bezpočet nových služeb se objeví, prohlašovat, že držet vás v bezpečí před zvědavýma očima. Cloud, zázrak dítě z předchozích let, je nyní zapomenuta, protože lidé ztratili důvěru a země začínají přemýšlet vážněji o důsledcích ochrany osobních údajů. V roce 2014, se finanční trhy pravděpodobně cítit vlny z Bitcoin, jak obrovské množství peněz, jsou čerpána z Číny a po celém světě. Možná Bitcoin dosáhne značku $ 10,000, a snad to bude pád a lidé začnou hledat další důvěryhodné alternativy.
Bulletin Kaspersky Security 2013. Firemní hrozby
8.12.2013 Zdroj: Kaspersky
Analýza
Obsah
Motivy
Cílové organizace
Příprava k útoku
Zabezpečovací techniky
Slabá odkaz
Sociální inženýrství
Chyby a využije
Technologie
Co dostane ukradený
Vzestup cybermercenaries
Následky vysoce postavených zveřejňování
Počet závažných kybernetických útoků zjištěných v průběhu posledních dvou letech zvýšil natolik, že nové útoky vzácně způsobit mnoho překvapení. Nyní je běžné, že antivirové společnosti vydat zprávu o objevu jiné botnetu nebo vysoce sofistikované kampaně malware, který se shromažďování údajů.
Firmy se stále více stává obětí kybernetické útoky. Podle průzkumu, který provedla společnost Kaspersky Lab a mezinárodní B2B, 91% z dotázaných organizací utrpěl kybernetický útok alespoň jednou v průběhu období 12 měsíců, zatímco 9% byli oběťmi cílených útoků.
Rozsáhlé využívání počítačů a jiných digitálních zařízení ve všech oblastech podnikání vytváří ideální podmínky pro kybernetické špionáže programy a malware schopné krádeže firemních dat. Potenciál je tak velký, že škodlivé programy mohou brzy zcela nahradit firemní zasvěcené osoby jako způsob získávání informací. Nicméně, rizika podnikového sektoru nekončí. Tato závislost na spolehlivý provoz počítačů a kanálů, které je spojují znamená, že zločinci jsou prezentovány s řadou jiných způsobů, jak se zaměřují na podniky pomocí destruktivních programů, z tzv. encryptors a drtiče, které se šíří jako mor v podnikovém prostředí, do armáda zombie, která požírá všechny dostupné zdroje na webových serverech a datových sítí.
Motivy
Krást informace. krádeže cenných firemních dat, obchodní tajemství, osobní údaje zaměstnanců a zákazníků a sledování činností firmy jsou společné cíle podniků, které se zapínají na zločinci proniknout do sítí svých konkurentů nebo vládní zpravodajské agentury.
Otírání dat nebo zablokování provozu infrastruktury. Některé škodlivé programy se používá k provádění formu sabotáže - zničení důležitých dat nebo přerušení provozu infrastruktury společnosti. Například, stěrač a Shamoon trojské koně nenávratně vymazat data systému z pracovní stanice a servery.
Krást peníze. Firmy mohou vzniknout finanční ztráty v důsledku činnosti ze strany specializovaných trojských koní, které mohou krást peníze prostřednictvím on-line bankovních systémů nebo které vykonávají cílené útoky na vnitřních zdrojů obráběcích centrech.
Poškození pověst společnosti. Uživatelé se zlými úmysly jsou přitahovány úspěšnými společnostmi a oficiálních internetových stránkách s vysokou návštěvností, zejména těch, které v Internetu sféry. Ohrožena firemní web, který přesměruje návštěvníky škodlivých zdrojů, škodlivými reklamními bannery nebo bannery, které zobrazují politické poselství může způsobit značné škody na pověsti společnosti v očích svých klientů.
Dalším závažným reputační riziko je spojeno s krádeží digitálních certifikátů. U veřejných certifikačních autorit, například ztráta listů nebo pronikání certifikátu digitální infrastruktury může v některých případech vést k úplnému zhroucení důvěry a následné uzavření obchodu.
Finanční ztráty. Jedna populární metoda způsobit přímou škodu na společnosti nebo organizace, je tím, že se vystaví útoku DDoS. Počítačoví zločinci jsou neustále přicházejí s novými způsoby provádění těchto útoků. V důsledku útoku DDoS veřejné webové zdroje společnosti může být vyřazen z činnosti po dobu několika dnů. V situacích, jako je tato klientů má nejenže nemají přístup k služeb některého podniku - které vyplývají přímé finanční ztráty druhé - ale také začít hledat spolehlivější společnosti, což snižuje zákaznickou základnu a výsledkem dlouhodobého finančního losses .
2013 došlo ke zvýšení popularity DNS amplifikace útoků, kde uživatelé se zlými úmysly, s pomocí botnetů, odesílat rekurzivní dotazy na DNS servery, které odrážejí zesílený odpověď na cílené systému. To byla taktika použita v jednom z nejsilnějších útoků DDoS tento rok - útok na stránkách Spamhaus .
Cílové organizace
Pokud jde o masové distribuci škodlivých programů každá společnost může být ovlivněna. Notorious bankovní trojské koně, jako je Zeus a SpyEye může proniknout do počítače velmi malých obchodních organizací, která má za následek ztrátu peněz a duševního vlastnictví.
Nicméně, tam jsou také četné případy pečlivě plánované činnosti zaměřené na infikování síťovou infrastrukturu v konkrétní organizaci nebo jednotlivce. Výsledky našeho výzkumu ukazují, že v roce 2013 se obětí těchto cílených útoků včetně firem z ropy a telekomunikací, vědeckých výzkumných center, stejně jako firmy, kteří pracují v odvětvích, jako je letecký a kosmický průmysl, loďařství a dalších hi-tech odvětví.
Příprava k útoku
Počítačoví zločinci mají velkou řadu sofistikovaných nástrojů, které jim pomohou proniknout do podnikových sítí. Plánování cílené útok na společnost, může trvat několik měsíců, po které jsou všechny dostupné taktiky jsou rozmístěny, počínaje sociálního inženýrství a postupuje se využije pro neznámé softwarové zranitelnosti.
Útočníci pečlivě zkoumat komerční profilu cílové společnosti, veřejné zdroje, webové stránky, profily zaměstnanců na sociálních sítích, oznámení a výsledky různých prezentací, výstav atd. pro jakýkoliv kus užitečné informace. Při plánování strategie pro vniknutí a následné odcizení dat, mohou zločinci studovat síťovou infrastrukturu společnosti, síťové zdroje a komunikačních center.
Při plánování jejich útok, mohou počítačoví zločinci vytvářejí falešné škodlivé webové stránky, která je přesnou kopií vlastních stránek cílového a zaregistrovat ji s podobným názvem domény. To pak bude použit k oklamat uživatele a infikovat jejich počítačů.
Zabezpečovací techniky
Jeden z nejpopulárnějších metod pro vložení škodlivého kódu v podnikových sítích v roce 2013 bylo na odesílání e-mailů, které obsahují nebezpečné přílohy zaměstnanců společnosti. Více často než ne, jsou dokumenty v těchto e-mailů byly v známém Word, Excel nebo PDF. Když je připojen soubor otevřen softwaru chybu - je-li přítomen - je využívána a systém napaden škodlivým programem.
Slabá odkaz
Zaměstnanci, kteří pravidelně mají komunikovat s lidmi mimo jejich firemní struktury jsou často příjemci nebezpečných e-mailů. Více často než ne, že příjemci pracovat v oddělení public relations.
Pracoviště podílející se na přijímání nových zaměstnanců také dostávat spoustu e-mailů od externích uživatelů. Cybercriminal může předstírat, že je potenciálním kandidátem na práci, a poslat životopis v infikovaném souboru PDF. Samozřejmě, bude soubor otevřen HR zaměstnance, a v případě, že je zranitelnost na pracovní stanici, pak bude napaden.
Finanční oddělení může také přijímat škodlivé zprávy pod záminkou požadavků nebo požadavků od daňových úřadů, zatímco právní oddělení může přijímat zprávy, které se zdají být od soudních orgánů, policie nebo jiných vládních agentur.
Sociální inženýrství
Obsah zprávy je určen k vzbudí zájem o zaměstnance to řeší, zda ve vztahu k jeho / jejích pracovních povinností nebo obecné sféry společnosti podnikání. Například, hacking skupina Winnti odeslané zprávy do soukromých výrobců videoher, což naznačuje možnou spolupráci jako součást cíleného útoku:
Spyware Miniduke byl distribuován v dopise o plánech v oblasti zahraniční politiky Ukrajiny a vztahy Ukrajina-NATO:
Chyby a využije
Počítačoví zločinci aktivně využívat exploity na známých softwarových zranitelností.
Proslulý Rudý říjen , například, používá alespoň tři různé exploity na známé zranitelnosti v Microsoft Office: CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) a CVE-2012-0158 (MS Word) . Nettraveler používá využít z CVE-2013-2465, který je zranitelnost Java verze 5, 6 a 7, byla oprava jen Oracle v červnu 2013.
Nicméně, tzv. zero-day zranitelnost - v současné době neznámé na výrobce softwaru - jsou nejnebezpečnější. Počítačoví zločinci aktivně vyhledávat oblíbené programy pro neznámé střílnami a vytvořit využije k nim. Pokud existuje takové zabezpečení v kus softwaru, je velmi pravděpodobné, že se zneužít. Miniduke použít takovou chybu zabezpečení (CVE-2013-0640) v Adobe Reader verze 9, 10, 11 - to byla neznámá v době útoku .
Technologie
Počítačoví zločinci neustále zlepšovat malware, pomocí netradiční přístupy a řešení, krást informace.
Rudý říjen , jednou to mám oporu v systému, pracoval jako multifunkční platforma modulu bázi. Je přidáno různé moduly do infikovaného systému v závislosti na nastavené cíle. Každý z těchto modulů provádět určitý rozsah činností: od shromažďování informací o infikovaném počítači a jeho síťové infrastruktury, krade různá hesla, keylogging, self-propagace, zasílání ukradené informace atd.
Je třeba také poznamenat, že zločinci mají také reagoval na vývoj mobilních technologií a rozšiřování mobilních zařízení ve firemních prostředích. Moderní smartphone nebo tablet PC je skutečně plná pracovní stanice ukládání velkého množství dat, a je tedy potenciálním cílem pro zločinci. Tvůrci Rudý říjen vyvinuty specializované moduly, které určovaly, kdy smartphony běžící v Apple iOS, Windows Mobile i mobilních telefonů vyrobených společností Nokia připojen k infikované pracovní stanice, kopírovat data z nich a poslal jej na serveru C & C.
Tvůrci Kimsuky integrované celý modul do jejich kus malware, který může vzdáleně spravovat infikovaných systémů. Je zajímavé, že tak učinili s pomocí TeamViewer, zcela legitimní nástroj pro vzdálenou správu, zavedením drobné změny do svého programového kódu. Za to, že by operátoři mohli manuální připojení k infikovaných počítačů ke shromažďování a kopírovat údaje, které byly předmětem zájmu.
Winnti hacker skupina ukradl digitální certifikáty z firemních sítí on-line výrobců herních a používá je k podpisu jejich nebezpečného ovladače, následně infikovat jiné společnosti. Například digitální certifikát byl ukraden z jihokorejské společnosti KOG. Když jsme informovali společnost o krádež, ohrožena certifikát byl odvolán.
To je odvolaný certifikát:
Kromě toho, 64-bit Trojan součástí plně funkční backdoor modul. Jedná se o první případ, pokud víme, kdy se 64-bit škodlivý program byl použit u platný digitální podpis, které patří k legitimní společnosti.
Miniduke spyware používá Twitter pro příjem informací z C & C servery. Provozovatelé Miniduke je použít vyhrazené účty zveřejňovat speciálně vytvořených tweety, které zahrnovaly kódovaný C & C URL adresu.
Trojan přečíst Twitter na infikovaném počítači a použít adresu pro připojení k C & C.
Co dostane ukradený
Počítačoví zločinci se zajímají o krádež informací všeho druhu. Mohlo by to být nejmodernější technologie vyvinuté společnostmi a výzkumnými ústavy, zdrojových kódů softwarových produktů, finančních a právních dokumentů, osobních údajů o zaměstnanci a klienty, a veškeré další informace, které mohou představovat obchodní tajemství. Tyto informace jsou často uloženy ve formátu prostého textu v podnikových sítích v podobě elektronických dokumentů, návrhů dokumentů, zpráv, výkresů, prezentací, obrázků apod.
Jak bylo uvedeno výše, zločinci mají různé přístupy k shromažďování dat. Některé škodlivé programy shromažďovat prakticky všechny typy elektronických dokumentů. Například, Rudý říjen byl zájem o dokumenty v txt, csv, EML, doc, VSD, sxw, odt, DOCX, RTF, PDF, MDB, XLS, WAB, rst, XPS, IAU, atd. formáty, škodlivý program, poslal všechny z nich na serverech C & C.
Jiný přístup, který jsme identifikovali s Kimsuky a Icefog je v podstatě ruční analýzu dat uložených v podnikových sítích pomocí vzdáleného přístupu technologie integrované do malwaru na infikovaných stanicích, a následné kopírování těchto dokumentů, které byly specificky požadovaných nebo hodnoty do zločinci. Při zahájení takové útoky, útočníci vzít v úvahu všechny podrobnosti o cílené společnosti a mít jasnou představu o tom, co datové formáty se používají v této společnosti, a jaké typy informací jsou uloženy. Tak, během Kimsuky a Icefog útoky, cílené společnosti ztratil dokumenty, které byly velmi specifické pro jejich činnost a byly uloženy ve formátu Hwp, který je široce používán v Jižní Koreji.
Vzestup cybermercenaries
Při analýze nejnovější cílené útoky, jsme dospěli k závěru, že nová kategorie útočníků se objevila. Říkáme jim cybermercenaries. Jedná se o organizované skupiny vysoce kvalifikovaných hackery, kteří mohou být najatých vládami nebo soukromými společnostmi organizovat a provádět komplexní a účinné cílené útoky zaměřené na krádeže informací a zničení dat nebo infrastruktury.
Cybermercenaries jsou uvedeny smlouvu, která stanovuje cíle a popis úkolu, po kterém začnou se důkladně připravit a poté zahájit útok. Zatímco dřívější útoky tendenci krást informace bez rozdílu, cybermercenaries nyní za cíl položit své ruce na velmi specifických dokumentů nebo kontaktů lidí, kteří by vlastní cílové informace.
V roce 2013, jsme zkoumali činnost cybermercenary skupiny Icefog, která zahájila cílové útoky pod stejným názvem. Během vyšetřování se podařilo lokalizovat Icefog činnosti operátora protokol, který podrobně všechny útočné činnosti, které jsou. To se stalo zřejmé z tohoto protokolu, že zločinci mají nejen dobrou znalost čínština, korejština a japonština, ale také přesně vědět, kde hledat informace, které zajímá
Následky vysoce postavených zveřejňování
2013 viděl některé významné zveřejnění informací o útokům spyware, které byly spojené, přímo či nepřímo, do činnosti různých vlád. Zveřejnění těchto informací by mohla vést ke ztrátě důvěry v globálních služeb a podniků a větší zájem o vytvoření národní ekvivalenty globálních služeb. To by mohlo vést k zvláštní typ de-globalizace, což způsobuje rostoucí poptávku po IT obecně, ale k roztříštění uživatelů celosvětové sítě a určitou segmentaci služeb on-line. Již v mnoha zemích, existují lokální verze globálních služeb, včetně národních vyhledávačů, poštovní služby, služby národní chatu a dokonce místních sociálních sítí.
Tento rostoucí počet nových národních softwarových produktů a služeb je dodáván národními výrobci. Tyto společnosti jsou obvykle menší velikosti a rozpočtu, než lídrů na světovém trhu. V důsledku toho je možné, že jejich produkty nemusí mít stejnou kvalitu jako ty, které z větší mezinárodní společnosti. Naše zkušenosti z vyšetřování kybernetických útoků ukazuje, že menší a méně zkušený vývojář softwaru je, tím více zranitelnosti lze nalézt ve svém kódu. V důsledku cílené útoky snazší a efektivnější.
Kromě toho, jak uvádí převzít iniciativu v řízení informačních a hardwarové prostředky, některé státy mohou právně zavazovat místní firmy používat národní softwarové produkty nebo služby on-line, které mohou v konečném důsledku vliv na bezpečnost podnikového sektoru.
15.11.2013 Analýza
Zdroj: Kaspersky
Podle KSN údajů produktŧ společnosti Kaspersky Lab zjištěn a neutralizovány celkem 978 628 817hrozbám ve třetím čtvrtletí roku 2013
Kaspersky Lab zjištěn řešení 500 284 715 útoky vedené z on-line zdrojů nacházejících se po celém světě
Kaspersky Lab antivirové programy úspěšně zablokovalo celkem 476 856 965 pokusů o místně infikovat uživatele počítačů připojených do sluţby Kaspersky Security Network
45,2% webových útoků neutralizován produkty společnosti Kaspersky Lab byly provedeny pomocí škodlivých webových zdrojů umístěných v USA a Ruska.
Kaspersky Lab vědci našli nový způsob útoku používá NetTraveler, pokročilé přetrvávající hrozby, které již infikovaných stovky high-profil obětí ve více než 40 zemích světa. NetTraveler je známé cíle patří tibetské / ujgurské aktivisty, ropné společnosti, vědecká výzkumná centra a ústavy, vysoké školy, soukromé společnosti, vlády a vládní instituce, velvyslanectví a vojenských dodavatelů.
Ihned poté, co byly jejich operace veřejně vystaveny v červnu 2013 útočníci vypnout všechny známé NetTraveler systémy velení a řízení a přesunula na nové servery v Číně, Hongkongu a Tchaj-wanu, odkud útoky pokračovaly nerušeně.
V posledních několika dnech bylo několik kopí-phishing e-maily odeslané na více Ujgurů aktivistů. Java používá k distribuci provozují tuto novou variantu Red Star APT teprve nedávno oprava v červnu 2013 a má mnohem vyšší míru úspěšnosti. Čím dříve útoky používají Office exploity (CVE-2012-0158), které byly opravené Microsoft loni v dubnu.
Kromě použití kopí phishingových e-mailů, APT operátoři přijali zavlažování díra techniky (webové přesměrování a drive-by ke stažení na zmanipulovaných domén) nakazit oběti surfování na web.šKaspersky Lab zachycené a zablokoval celou řadu infekčních pokusů z "weststock [dot] org" domény, který je známý web spojená s předcházejícími NetTraveler útoky. Tyto přesměrování zdá pocházet z jiných Ujgurů-související webové stránky, které byly kompromitována a nakaženi NetTraveler útočníků.
Kaspersky Lab objevil " Icefog ", sice malý, ale energický APT skupina, která se zaměřuje na cíle v Jižní Koreji a Japonsku a udeří dodavatelské řetězce pro západní společnosti. Provoz byl zahájen v roce 2011 a vzrostl ve velikosti a rozsahu v průběhu posledních několika years.š Zatímco většina jiných APT kampaně nakazit oběti po celé měsíce nebo dokonce roky, zatímco útočníci neustále krást data, Icefog subjekty zpracovávají obětem jeden po druhém - lokalizovat a kopírování jediným konkrétním , cílené informace. Pokud je požadovaná informace byla získána odejdou. Útočníci unést citlivých dokumentů a firemních plánů, e-mailového účtu pověření a hesel pro přístup k různým zdrojů uvnitř i vně oběti síti. Ve většině případů se Icefog operátoři jeví velmi dobře vědí, co je třeba z obětí. Vypadají konkrétní názvy souborů, které jsou rychle identifikovány a přemístěny do C & C. Na základě profilů stanovenými cíli, útočníci Zdá se, že zájem těchto oblastech: vojenské, stavby lodí a námořní operace, počítačové a vývoj software, výzkumné společnosti, telekomunikační operátoři, satelitní operátoři, média a televize.
Kaspersky vědci sinkholed 13 z 70 + domén používaných útočníky. To poskytlo statistické údaje o počtu obětí po celém světě. Kromě toho Icefog velení a řízení servery udržovat šifrované protokoly svých obětí spolu s údaji o jednotlivých operací prováděných na ně. Tyto protokoly mohou někdy pomoci identifikovat cíle útoků av některých případech jsou oběti. Kromě Japonsku a Jižní Koreji, mnoho závrtu spojení v jiných zemích pozorovat, včetně Tchaj-wanu, Hongkongu, Číně, USA, Austrálii, Kanadě, Velké Británii, Itálii, Německu, Rakousku, Singapuru, Běloruska a Malajsie. Celkem Kaspersky Lab pozorovat více než 4000 unikátních IP adres a infikovaných několik set obětí (několik desítek Windows obětí a více než 350 Mac OS X oběti).
Na základě seznamu IP adres používaných pro sledování a řízení infrastruktury, společnosti Kaspersky Lab Odborníci předpokládají někteří hráči za touto hrozbou operace jsou založeny nejméně ve třech zemích: Čína, Jižní Korea a Japonsko.
V září zabezpečení společnosti Kaspersky Lab výzkumného týmu zveřejnil zprávu analyzující aktivní Cyber-špionáže kampaň zaměřenou především jihokorejský think-tanků.
Tato kampaň s názvem Kimsuky, je omezená a vysoce cílené. Podle technické analýzy, útočníci měli zájem 11 organizací se sídlem v Jižní Koreji a dvou subjektů v Číně, včetně Sejong Institute, Korea Institute for Defense analýz (KIDA), jihokorejský ministerstvo sjednocení, Hyundai Merchant Marine a příznivců Korean Sjednocení.
Nejstarší známky aktivity dni Kimsuky to zpátky do 03.4.2013 a první Kimsuky Trojan vzorky se objevil 5. května 2013. Tento prostý špionážní program obsahuje několik základních chyb v kódu a obstarávající komunikaci do az infikovaných počítačů přes bulharské webové bezplatný e-mailový server.
Přestože počáteční prováděcí mechanismus zůstává neznámý, Kaspersky vědci věří, Kimsuky malware je pravděpodobně dodáno přes kopí-phishingových e-mailů a má schopnost provádět následující funkce: špionáž klávesy protokolování, výpis adresáře sbírka, dálkové ovládání a přístup HWP dokument krádež (ve vztahu do Jižní Koreje v textovém editoru z balíku Office Hancom, značně použitý místní samosprávy).Útočníci používají upravenou verzi přístupového TeamViewer Vzdálená aplikace sloužit jako zadní vrátka, napadnout všechny soubory z infikovaných počítačů.
Kimsuky malware obsahuje speciální škodlivý program určený k ukradení NsP soubory, což naznačuje, že tyto dokumenty jsou jedním z hlavních cílů skupiny.
Stopy nalezené odborníky společnosti Kaspersky Lab, aby bylo možné domnívat se, že útočníci jsou Severní Koreje. Za prvé, jsou profily cílů mluví samy za sebe - jihokorejské univerzity provádějící výzkum na mezinárodních záležitostech a výrobu obranné politiky vlády, národní přepravní společnosti a příznivce korejské sjednocení.
Za druhé - kompilace cesta řetězec obsahující korejská slova (například, některé z nich se dá přeložit jako anglické příkazy "útok" a "doplnění").
Třetí - dvě e-mailové adresy, na které roboty zasílat zprávy o stavu a předávat informace o systému pomocí infikovaných příloh - iop110112@hotmail.com a rsh1213@hotmail.com - jsou registrovány s těmito názvy "Kim": "kimsukyang" a "Kim asdfa" . I když tento zápis dat neposkytuje tvrdá data o útočníků se zdrojovými IP adresami z útočníků odpovídaly profilu: existuje 10 pocházející z IP adresy, a všechny z nich leží v provincii Ťi-lin na sítě a sítě provincie Liao-ning v Číně. ISP poskytující přístup k Internetu v těchto provinciích jsou také věřil k udržení vedení v částech Severní Koreje.
Blackhole vývojář známý jako břicho a jeho údajných partnery byli zatčeni v Rusku na začátku října.Blackhole byl pravděpodobně nejúspěšnější exploit kit v posledních letech. Blackhole je v pronájmu zločinci, kteří chtějí šířit malware pomocí drive-by download, dnešní převažující útoku. Zločinci použití škodlivé odkazy, které vedou na rizikové weby infikovat počítače uživatelů a exploit kit vybere pracovní využije, v závislosti na softwarových verzích, např. Flash, Java a Adobe Reader nainstalován na počítač oběti.
Tento případ zadržených zločinců je považován za jeden z nejvýznamnějších v novodobé historii po zatčení členů gangu Carberp v březnu a dubnu tohoto roku. Zatímco v případě Carberp byl zdrojový kód veřejně k dispozici později, je to stále nejasné, zda Blackhole zmizí, převezme nebo jinými nahrazuje konkurentů v budoucnosti.
V září tohoto roku Heise hlášeny nový botnet se skládá z routerů byl objeven. Směrovače jsou páteří každé domácí síti uživatele, a to má vliv na infikování každé zařízení připojené k němu - PC, Macy, tablety, smartphony a dokonce i vaše smart-TV. Bot s názvem Linux / Flasher.A, extrahuje všechny přihlašovací údaje přenášené z libovolného zařízení. Infekce se děje prostřednictvím zranitelnosti webového serveru routerů běží DD-WRT, kus open source firmware routeru. Nebezpečný požadavek HTTP, vede ke spuštění libovolného kódu. Kořist v podobě zachycených přihlašovací údaje se pak převede na ohrožení webových serverech.
Využívány zranitelnost používá Flasher.a se datuje do roku 2009, a přestože se dostal stanovena poté, co bylo zjištěno více než 25000 zařízení jsou stále nebezpečné, podle Heise. To ukazuje na velkou hrozbu přicházející z routerů: firmware málokdy se aktualizuje uživateli, takže je snadné cíle, pokud jsou nalezeny nové zranitelnosti. Pro více informací o routeru malware Kaspersky Lab Marta Janus napsalanalýzu prvního routeru malware vidět ve volné přírodě - Psyb0t.
Vodafone Německo zažilo narušení dat v polovině září, ve kterém dostal zkopírovali dva miliony zákazníků datových záznamů. Záznamy obsahoval nejen jména a adresy, ale také bankovní údaje.Vodafone předpokládá vnitřní práci v důsledku stopy a objem dat porušena. Podezřelý byl rychle identifikován, ale hacking skupina volala Team_L4w přiznal k útoku, a tvrdila, že jeden z jejich členů používá infikovaného USB flash disk infikovat počítač o zaměstnance Vodafone.
Vodafone informovala všechny dotčené zákazníky prostřednictvím poštovních služeb. Z důvodů průhlednosti Vodafone vytvořila webový formulář, se kterým si zákazníci mohou ověřit, zda jejich data jsou ovlivněny.
Ervenci Apple sundat svůj Apple Developer portál pro více než tři týdny poté, co útočník získal přístup k osobním údajům registrovaných vývojářů. "Kdo" a "jak" hack stále zůstává nejasný, protože existuje několik možných vysvětlení. Krátce po incidentu se stal veřejností, údajný bezpečnostní poradce pustil video na YouTube vyznával k útoku.
Tvrdí, že kopírovat více než 100.000 záznamů z databází Apple, který slíbil odstranit a použít cross-site scripting chybu na portálu pro vývojáře. Útočník poté dělí 19 záznamů s novinami Guardian , který zjistil, že některé adresy byly neplatné a ostatní se zdá být opuštěný. Tento vrhají pochybnosti o pravdivosti doznání.
Zajímavé je, že dva dny před Apple vzal Developer portál offline, někdo zveřejnil zprávu o novém zranitelnosti na Apache fórech. Stejně jako vysvětlující detaily On také dělal plný pracovní využívat veřejně dostupné. Podle čínské webové stránky to vedlo k rozsáhlé útoky - Apple může být jen jedním z mnoha obětí.
Na začátku října bylo několik velmi známých domén poškozeno, včetně whatsapp.com, alexa.com, redtube.com a dvou předních bezpečnostních firem. Zdá se, že místo toho, aby byla ohrožena skutečné webové servery, útočníků, skupina volala KDMS, hlasoval pro únos DNS nebo registrátorů domén.Všechny napadené domény byly sdílející stejné DNS registrátora a byl nedávno aktualizován v době, kdy v tomto případě vyšla najevo. Podle Softpedia byl ISP dotčených stránek napadl posíláním podvržených nastavení hesla na žádosti poštou. Poté, co získal kontrolu nad domény s novými pověření, útočníci změnil údaje a šíření politických prohlášení.
Třetí čtvrtletí roku 2013 byla v plném proudu v boji proti malwaru pro mobily, jako celá sada nových triků objevil.
Uplynulém čtvrtletí byl nepochybně čtvrtina mobilních botnetů. Mezi zločinci za sebou nejrozšířenějších trojských koní SMS se snaží přidat interaktivitu způsobu řízení svých aktiv. To je důvod, proč tvůrci malwaru jsou nyní pomocí Google Cloud Messaging (GCM) spravovat své boty. Tato služba jim umožňuje posílat krátké zprávy ve formátu JSON na mobilní zařízení, které slouží jako další C & C pro své trojské koně.
Detekce tento druh interakce je velkou výzvou pro bezpečnostní řešení. Příkazy obdržené od GCM jsou zpracovány v systému, což znamená, že nemůže být jednoduše zablokována na infikovaných zařízení.Jediným způsobem, jak zabránit tomuto kanálu byly používány malware spisovatelů sdělit své malware je blokovat VOM účty vývojářů, kteří je používají k šíření malware.
Není mnoho mobilních škodlivé programy mohou používat GCM, ale ty, které mohou být často velmi populární.
V polovině července 2013 jsme zaznamenali první třetích stran botnety, tedy mobilních zařízení infikované s dalšími škodlivými programy a použity jinými zločinci k distribuci mobilního malwaru.
To je, jak byla distribuována nejdokonalejší Android Trojan, známý jako Obad, - používání mobilních zařízení infikované Trojan-SMS.AndroidOS.Opfake.a. Po obdržení příkazu z C & C serveru Opfake začal posílat textové zprávy na všechny oběti kontaktů, vyzve je, aby si stáhnout novou zprávu MMS. Pokud uživatel, který obdržel textu, dále pak na odkaz ve zprávě, to mělo za následek Backdoor.AndroidOS.Obad.a jsou automaticky staženy do zařízení.
Jako obvykle, je mobilní malware nejčastěji používá ukrást peníze z majitelů mobilních telefonů. Nový škodlivý program se objevil ve 3. čtvrtletí, což umožňuje zločinci ukrást peníze z bankovních účtů obětí, stejně jako jejich mobilních telefonů účtech. V červenci jsme zaznamenali Trojan-SMS.AndroidOS.Svpeng.a, který malware spisovatel může pověřit zjistit, zda číslo mobilního telefonu, je spojena s on-line bankovní služby z různých ruských bank. Trojský kůň je druhá modifikace včetně kódu k provedení této funkce:
Telefon spojený s mobilním bankovní služby obvykle umožňuje jeho majitel doplnit na všechna mobilní telefonní účet, zasláním textové zprávy na základě určité šablony. To umožňuje útočníkům používat mobilní bankovní služby převést částky, které jsou přístupné na mobilní čísla a následně je převést na hotovost, např. převodem peněz na účty v elektronického platebního systému, jako QIWI Wallet.
Trojan-SMS.AndroidOS.Svpeng.a brání oběti v komunikaci s bankou. Konkrétně se zachycuje zprávy a hovory od banky čísel. Jako výsledek, oběti často nejsou si vědomi, že jsou peníze ukradené z jejich bankovních účtů pro dlouhou dobu.
Tyto trojské koně mohou stát jednotliví uživatelé tisíce dolarů.
Využití různé chyby v OS Android získává na popularitě. Například Svpeng.a chráněn heslem neexistující archiv s neexistující heslo a zachytil dialog zrušit jeho oprávnění správce zařízení, což vede k tomu že jsou schopni odebrat aplikaci na vlastní pěst.
Oprávnění správce zařízení jsou v současné době používány jinými škodlivými programy stejně, což jim umožní efektivně pracovat po dlouhou dobu na většině verzí systému Android.
Na začátku třetího čtvrtletí viděl objevy dvou velmi nepříjemných chyb Android, oba který být odkazoval se na jako "hlavní klíč" zranitelnosti. Tyto chyby zabezpečení umožňují součásti aplikace změnit, obcházet kryptografického podpisu tak, že OS Android i nadále s nimi zacházet jako zcela legitimní bez ohledu na novou, potenciálně škodlivým obsahem.
Tyto chyby mají hodně společného. První chyba byla zjištěna již v únoru firmou bezpečnosti BlueBox a pak představeny podrobněji od Jeffa Forristal na BlackHat v Las Vegas. Podle BlueBox zranitelnost je přítomen ve všech verzích systému Android od 1,6 a tudíž by mohly ovlivnit téměř jakékoliv zařízení vydané v uplynulých čtyřech letech. Aplikace jsou jednotlivé soubory s příponou. APK Android (balíček).Oni jsou obvykle ZIP soubory se všemi zdroji zabalené ve formě speciálně pojmenované soubory (aplikace vlastního kódu je obvykle uložen v classes.dex). Zpravidla je každý pokus o změnu obsahu souboru APK zastavila během instalace aplikace na OS Android. Formátu ZIP sám nevylučuje duplicitní názvy souborů, v případě "duplicitních" zdroje, Android zdá se úspěšně kontrolovat jeden soubor, ale spustit jiný.
Informace o druhém zranitelnost byla zveřejněna čínskými odborníky. Problém je současné použití dvou metod čtení a rozbalování APK-soubory a dva různé výklady Java a C jako první zranitelnosti je možné použít různé APK soubory v identickými názvy, manipulovat se systémem. Je třeba poznamenat, že jedním z předpokladů pro úspěšné útoku je délka původního souboru classes.dex - musí být delší než 64 kb, a to není ve většině aplikací pro Android.
Pro více informací, přečtěte si související blogu Stefano Ortolani zde .
Ve 3. čtvrtletí 2013 se počet mobilních vzorků malwaru nadále růst:
Počet mobilních vzorků malwaru v naší sbírce
Distribuce mobilního malware detekovaného ve 3. čtvrtletí 2013 podle typu byl podobný jako ve 2. čtvrtletí:
Distribuce nového mobilního malwaru typ chování ve 2. čtvrtletí 2013
Horní pozice je stále držen zadní vrátka, ačkoli jejich podíl snížil o 1,3 procentního bodu ve srovnání s 2. čtvrtletím 2013. SMS trojské koně (30%), které získaly 2,3 procentního bodu od předchozího čtvrtletí, jsou na druhém místě. Jak ve 2. čtvrtletí, jsou následně trojské koně (22%) a Trojan-Spy malware, což představuje 5% z celkového počtu. Společně zadní vrátka a SMS trojské koně tvoří 61% všech mobilních malware detekovaného během třetího čtvrtletí - to je 4,5 procentního bodu více než ve 2. čtvrtletí.
To je obyčejné pro mobilní škodlivého programu zařadit několik škodlivých složek, což znamená, že zadní vrátka často SMS Trojan funkčnost a SMS trojské koně mohou zahrnovat sofistikované bot funkčnost.
TOP 20 mobilních škodlivých programů
Pořadí | Název | % Všech útoků |
1 | DangerousObject.Multi.Generic | 29.15% |
2 | Trojan-SMS.AndroidOS.OpFake.bo | 17.63% |
3 | Trojan-SMS.AndroidOS.FakeInst.a | 8.40% |
4 | Trojan-SMS.AndroidOS.Agent.u | 5.49% |
5 | Trojan.AndroidOS.Plangton.a | 3,15% |
6 | Trojan-SMS.AndroidOS.Agent.cm | 3,92% |
7 | Trojan-SMS.AndroidOS.OpFake.a | 3,58% |
8 | Trojan-SMS.AndroidOS.Agent.ao | 1,90% |
9. | Trojan.AndroidOS.MTK.a | 1,00% |
10 | DangerousObject | 1.11% |
11 | Trojan-SMS.AndroidOS.Stealer.a | 0,94% |
12 | Trojan-SMS.AndroidOS.Agent.ay | 0.97% |
13 | Exploit.AndroidOS.Lotoor.g | 0,94% |
14 | Trojan-SMS.AndroidOS.Agent.a | 0.92% |
15 | Trojan-SMS.AndroidOS.FakeInst.ei | 0.73% |
16 | Trojan.AndroidOS.MTK.c | 0,60% |
17 | Trojan-SMS.AndroidOS.Agent.df | 0.68% |
18 | Trojan-SMS.AndroidOS.Agent.dd | 0,77% |
19 | Backdoor.AndroidOS.GinMaster.a | 0,80% |
20 | Trojan-Downloader.AOS.Boqx.a | 0.49% |
Dvanáct z 20 programů představují Trojan-SMS třídu. To naznačuje, že SMS trojské koně jsou nejoblíbenější druh malwaru používají zločinci ve útoky, jejichž cílem je, aby peníze z mobilních zařízení.
Verdikt DangerousObject.Multi.Generic řadí nejvyšší - Tento rozsudek znamená, že jsme si vědomi aplikace škodlivého charakteru, ale pro toho či onoho důvodu nejsou poskytovány našim uživatelům s podpisy detekovat. V takových případech detekce je k dispozici prostřednictvím cloudových technologií realizovaných společnosti v Kaspersky Security Network, které umožňují náš produkt minimalizovat čas potřebný k reakci na nové a neznámé hrozby.
Mobilní vzorků malwaru v příštích třech polohách jsou složité aplikace používané malware spisovatelů vytvářet mobilní botnety.
Trojan-SMS.AndroidOS.OpFake.bo na druhém místě. To je jeden z nejvíce sofistikovaných SMS trojské koně. Její charakteristické rysy jsou dobře navržené rozhraní a chamtivost jeho vývojáři. Po spuštění se krade peníze z mobilního zařízení majitele - od $ 9 až celé částky na účet uživatele. Je zde také riziko uživatele telefonní číslo se zdiskreditoval, protože Trojan může sbírat čísla ze seznamu kontaktů a SMS do všech těchto čísel. Malware se zaměřuje především rusko-reproduktory a uživatelů v zemích SNS.Další škodlivý program ze stejné rodiny a podobnou funkci dělal to na sedmé místo v Top 20.
Třetí místo zaujímá Trojan-SMS.AndroidOS.FakeInst.a. Stejně jako OpFake tento malware se vyvinula během posledních dvou let od jednoduchého zpráv Trojan do plně funkčního robota ovládat pomocí různých kanálů (včetně Google Cloud Messaging). Trojan může ukrást peníze z účtu uživatele a odesílat zprávy na čísla v seznamu kontaktů oběti.
Čtvrté místo je obsazené Trojan-SMS.AndroidOS.Agent.u. Jednalo se o první Trojan používat zabezpečení v OS Android pro získání oprávnění ZAŘÍZENÍ Admin, čímž její odstranění velmi obtížný úkol. Kromě toho, že je schopen odmítnout příchozí volání a volání na jeho vlastní. Možné poškození: odesílání více zpráv SMS s náklady v celkové výši 9 nebo více.
Android tvořily 99,92% všech útoků na mobilní platformy ve 3. čtvrtletí 2013. To přijde jako žádné překvapení: platforma zůstane populární a otevřené, navíc i její nejnovější verze podporuje instalaci aplikací z neznámých zdrojů.
Nicméně, Google by měl dostat nějaký kredit - Systém nyní se reagovat na některé škodlivé aplikace:
To znamená, že vývojáři jedné z nejpopulárnějších mobilních operačních systémů došli k poznání, že Android je nyní hlavním cílem pro mobilní malware a snaží se poskytnout alespoň nějakou ochranu pro systém uživatelů.
Všechny statistiky použité v této zprávě byly získány z principu cloudů Kaspersky Security Network(KSN). Statistiky byly získány od uživatelů, kteří souhlasili KSN podělit o své lokální data. Miliony uživatelů produkty společnosti Kaspersky Lab v 213 zemích, se zapojila do celosvětové výměny informací o nebezpečné činnosti.
Statistiky v této části byly odvozeny z webových komponentách antivirový program, který chrání uživatele při škodlivý kód pokusí stáhnout z infikovaných webových stránek. Infikované webové stránky mohou být vytvořeny uživatelů se zlými úmysly nebo by mohly být tvořeny od uživatelů, obsahu (např. fóra) a legitimních zdrojů, které byly pirát.
Ve třetím čtvrtletí letošního roku, produktŧ společnosti Kaspersky Lab zjištěn 500 284 715 útoky vedené z on-line zdrojů po celém světě.
Top 20 zjistitelné on-line hrozbami
Pořadí | Název | % Všech útoků ** |
1 | Škodlivý URL | 89,16% |
2 | Trojan.Script.Generic | 3,57% |
3 | Adware.Win32.MegaSearch.am | 2,72% |
4 | Trojan-Downloader.JS.Psyme.apb | 1,19% |
5 | Trojan.Script.Iframer | 1,10% |
6 | Exploit.Script.Blocker | 0.37% |
7 | Trojan.Win32.Generic | 0,35% |
8 | Trojan-Downloader.Script.Generic | 0.28% |
9. | Trojan.JS.Iframe.aeq | 0,15% |
10 | Adware.Win32.Agent.aeph | 0.13% |
11 | Exploit.Java.Generic | 0.11% |
12 | Trojan-Downloader.Win32.MultiDL.k | 0,10% |
13 | Trojan-Downloader.Win32.Generic | 0,10% |
14 | Exploit.Script.Generic | 0.08% |
15 | Exploit.Script.Blocker.u | 0.06% |
16 | WebToolbar.Win32.MyWebSearch.rh | 0.06% |
17 | Packed.Multi.MultiPacked.gen | 0.06% |
18 | Trojan-SMS.J2ME.Agent.kn | 0,05% |
19 | Adware.Win32.Lyckriks.j | 0,05% |
20 | Exploit.JS.Agent.bnk | 0,04% |
* Tyto statistiky představují detekce výroky webové antivirového modulu a byly předloženy uživatelé produkty společnosti Kaspersky Lab, kteří souhlasili, aby se podělili o své lokální data.
** Procento jedinečných případů evidovaných webové antivirus na počítačích uživatelů.
Toto hodnocení se opět ukazuje, že většina antivirových detekce vyskytují na úrovni adresy URL. 89,2% všech webových detekci antivirových byly pro zakázaných škodlivých odkazů (Škodlivý URL, 1 st místo).
Polovina Top-20 rating skládá z různých výroků přiřazených škodlivých objektů zapojených do drive-by útoky, které jsou v současné době jedním z nejběžnějších způsobů, proniknout do počítače uživatele.Obě jsou heuristické verdikty (Trojan.Script.Generic, Trojan.Script.Iframer, Exploit.Script.Blocker, Trojan-Downloader.Script.Generic, Exploit.Java.Generic a Exploit.Script.Generic) a non-heuristické.
Non-heuristické verdikty v tomto hodnocení patří především reklamní programy: jejich podíl se zvýšil o 2,4 procentního bodu od 2. čtvrtletí 2013.
Neočekávaný vstup na hodnocení ve 3. čtvrtletí byl Trojan-SMS.J2ME.Agent.kn navržen tak, aby zaměřit na Java Platform Micro Edition mobilní platformu. Zástupci tohoto rodu byli z Top-20 od roku 2011. Tento mobilní malware hlavní funkcí je vyslat textové zprávy na prémiová čísla. Je distribuován pomocí spamových zpráv v ICQ, které obsahují odkaz na Java aplikace, stejně jako tematické míst, z nichž je uživatel vyzván ke stažení aplikace. Jakmile uživatel klikne na odkaz, pole User-Agent kontroluje na webu straně určit typ operačního systému používaného návštěvníkem. Pokud User-Agent shoduje s systémem Android webový prohlížeč, je stažen škodlivý Android aplikace. Ve všech ostatních případech, včetně použití webového prohlížeče na standardním PC, malware přednost majitelé používat J2ME aplikace "standardně". Je po kliknutí takové odkazy, které web antivirus na počítačích produkuje Trojan-SMS.J2ME.Agent.kn verdikt.
Následující statistiky jsou založeny na fyzické umístění on-line zdrojů, které byly použity při útocích nahlášených Kaspersky Security Network S (webové stránky, které obsahují přesměrování na stránky s obsahem, využije využije a další malware, botnet velení střediska atd.). Příslušné procentuální podíl je založen na počtu útoků webových hlášeny KSN. Aby bylo možné určit zeměpisný původ webovými útoky, byla metoda, kterou jsou doménová jména neladí skutečných adres doménových IP a pak zeměpisná poloha konkrétní IP adresu (GeoIP) je založen.
81.5% on-line zdrojů používaných k šíření škodlivých programů se nachází v 10 zemích světa. To je o 1,5 procentního bodu méně než ve 2. čtvrtletí 2013.
Distribuce on-line zdrojů naočkuje škodlivých programů ve 3. čtvrtletí 2013
Mezi země s největším počtem škodlivých hostingových služeb změnila jen nepatrně od druhého čtvrtletí tohoto roku. USA (27,7%), Ruska (18,5%), Německo (13,4%) a Nizozemsko (11,6%) se držel svých vedoucích pozic. Celkově tyto čtyři země tvoří 70,15% všech škodlivých hostitelů. Čína a Vietnam vypadl z Top 10, zatímco nováčci Kanada (1,3%) a Panenské ostrovy (1,2%) se 8 th a 9 ročník místa, resp.
Aby bylo možné posoudit míru rizika pro online infekce, kterým čelí uživatelé v různých zemích, jsme spočítali, jak často uživatelé s produkty společnosti Kaspersky Lab se setkal webových antivirové detekce v průběhu posledních tří měsíců.
Top 20 zemí * s nejvyšší úrovní rizika infekce ** ve 3. čtvrtletí 2013
* Pro účely těchto výpočtů jsme vyřadili zemích, kde počet uživatelů produktů společnosti Kaspersky Lab je relativně malý (méně než 10000).
** Podíl unikátních uživatelů v zemi s počítači se systémem produkty společnosti Kaspersky Lab, které blokovaly internetových hrozeb.
Seznam zemí, ve ratingu zůstal nezměněn od 2. čtvrtletí roku 2013, s výjimkou vzhledu Německa v 12.ročníku místě (35,78%) a Libye výstupu z hodnocení.
Výrazně, ve 3. čtvrtletí 2013 žádný z jednotlivých zemí výsledků více než 50%. Například údaj pro Rusko (1. místo v ratingu) byl 49.66%. šThis znamená, že ve 3. čtvrtletí 2013 žádné země způsobilá pro maximální rizikové skupiny zemí, v nichž více než 60% uživatelů se vyskytly online hrozby alespoň once.š
Ve všech zemích lze rozdělit do tří základních skupin.
Vysoké riziko. Prvních osm zemí z Top 20 byly v této skupině (dva méně než ve 2. čtvrtletí 2013), s procentech od 41 do 60%. Patří mezi ně Vietnam (43,45%) a země z bývalého Sovětského svazu, konkrétně Rusku (49,66%), Kazachstánu (49,22%), Arménie (49,06%), Ázerbájdžánu (48,43%), S šTajikistan (45,40%), Běloruska (40.36%) a na Ukrajině (40,11%).
Mírné riziko . Do této skupiny patří země, kde 21 až 40,99% všech uživatelů se vyskytly alespoň jeden on-line hrozby, a zahrnoval 76 zemí v třetím čtvrtletí tohoto roku. Patří v Německu (35,78%), v Polsku (32,79%), Brazílie (30,25%), USA (29,51%), Španělsko (28,87%), Katar (28.82%), Itálie (28,26%), Francii (27,91%) , Spojené království (27,11%), Spojené arabské emiráty (26,30%), Švédsku (21,80%), Nizozemsku (21,44%) a Argentina (21,40%).
Nízké riziko. Ve 3. čtvrtletí roku 2013, tato skupina zahrnovala 62 zemí s procentech v rozmezí od 10 až do 21%.
Nejnižší počty webovými útoky byly v Dánsku (17,01%), Japonsko (17,87%), Jižní Afrika (18,69%), Česká republika (19,68%), Slovensko (19,97%), Finsko (20,87%).
V průměru 34,1% počítačů připojených k KSN byly podrobeny alespoň jednomu útoku při surfování na webu během posledních tří měsíců - pokles o 1,1. procentních bodů ve srovnání s druhým čtvrtletím tohoto roku.
Tato část obsahuje analýzu statistik založených na údajích získaných z on-access skeneru a skenování statistik za různé disky, včetně vyměnitelných médií.
Ve 3. čtvrtletí 2013, Kaspersky Lab antivirové řešení úspěšně blokovány 476 856š965 nepodařené místní infekce na počítačích uživatelů se zapojí do sluţby Kaspersky Security Network.
Top 20 hrozbách zjištěných v počítačích uživatelů
Pořadí | Název | % Jednotlivých uživatelů * |
1 | Trojan.Win32.Generic | 35.51% |
2 | DangerousObject.Multi.Generic | 32.43% |
3 | Trojan.Win32.AutoRun.gen | 13,56% |
4 | Adware.Win32.DelBar.a | 11.80% |
5 | Virus.Win32.Sality.gen | 9.52% |
6 | Adware.Win32.Bromngr.j | 7.81% |
7 | Exploit.Win32.CVE-2010-2568.gen | 7.56% |
8 | Adware.Win32.Bromngr.i | 6,60% |
9. | Adware.Win32.Agent.aeph | 6.55% |
10 | Worm.Win32.Debris.a | 6.24% |
11 | Trojan.Win32.Starter.lgb | 5,59% |
12 | Adware.Win32.WebCake.a | 5,06% |
13 | Expoit.Script.Generic | 4,31% |
14 | Trojan.WinLNK.Runner.ea | 4,17% |
15 | Adware.Win32.Bandoo.a | 4,00% |
16 | Virus.Win32.Generic | 3,71% |
17 | Virus.Win32.Nimnul.a | 3,67% |
18 | Trojan.Win32.Staser.fv | 3.53% |
19 | Trojan.Script.Generic | 3,52% |
20 | HiddenObject.Multi.Generic | 3,36% |
Tyto statistiky jsou sestavovány z detekce malwaru rozsudky generované on-access a on-demand skener modulů na počítačích těchto uživatelů se systémem produkty společnosti Kaspersky Lab, které vyjádřily souhlas s tím, aby předložily své statistické údaje.
* Podíl jednotlivých uživatelů, na jejichž počítačích antivirový modul detekován tyto objekty jako procento všech jednotlivých uživatelů produkty společnosti Kaspersky Lab, na jejichž počítače škodlivý program byl detekován.
Stále zůstává tři jednoznačně vedou v tomto top 20.
Trojan.Win32.Generic umístila na prvním místě (35,51%) na základě rozsudků vydaných heuristické analýzy v proaktivní detekci mnoha škodlivých programů.
Škodlivé programy klasifikovány jako DangerousObject.Multi.Generic, byly zjištěny pomocí cloudových technologií, na druhém místě s 32,43%. Cloud technologie fungovat, když tam jsou ještě žádné podpisy v antivirové databáze a žádné heuristiky pro detekci škodlivých programů, ale když Kaspersky Lab mrak již má k dispozici údaje o ohrožení. To je v podstatě, jak jsou detekovány nejnovější škodlivé programy.
Trojan.Win32.AutoRun.gen (13,56%) skončila na třetím místě, a obsahuje škodlivé programy, které používají funkce Autorun.
Níže uvedené údaje ukazují průměrnou míru infekce u uživatelů počítačů v různých zemích. KSN Účastníci, kteří poskytují společnosti Kaspersky Lab informace se alespoň jeden nebezpečný soubor detekován na téměř každé třetí (31,9%) počítače - buď na svůj pevný disk nebo vyměnitelný disk připojený k počítači. To je o 2 procentní body více než v předchozím čtvrtletí.
Úrovně počítačové infekce * na zemi - 3. čtvrtletí 2013 Top 20 **
* Podíl unikátních uživatelů v zemi s počítači se systémem produkty společnosti Kaspersky Lab, které blokovaly internetových hrozeb.
** Při výpočtu jsme vyřadili zemích, kde existují méně než 10.000 Kaspersky Lab uživatelé.
Po více než roce se Top 20 pozice v této kategorii drží zemí v Africe, na Středním východě a jihovýchodní Asii.
Místní nakažených může také být rozděleny do čtyř skupin podle úrovně rizika:
Maximální míra infekce lokální (přes 60%). Pouze jedna země - Vietnam - kvalifikaci pro tuto kategorii s 61,2%.
Vysoká lokální výskyt infekce (41-60%). Celkem 29 zemí, ve 3. čtvrtletí 2013, včetně Nepálu (55,61%), Bangladéš (54,75%), Indie (51,88%), Maroko (42.93%) a na Filipínách (41,97%).
Mírné lokální výskyt infekce (21 - 40,99%). Celkem 87 zemí, včetně: SAE (39,86%), Turecku (38,41%), Brazílie (36.67%), Čína (36,07%), Mexiku (34,09%), Německu (24,31%) a ve Spojeném království (21.91% ).
Nízká lokální výskyt infekce (pod 21%). Celkem 29 zemí, včetně: USA (20,36%), Kanada (19.18%), Nizozemsku (18,39%), ve Švédsku (16,8%), Japonsko (12,9%) a České republice (12,65%).
Riziko lokální infekce po celém světě - 3. čtvrtletí 2013
Top 10 zemí s nejnižším rizikem lokální infekce byly:
Pořadí | Název | Země |
1 | Dánsko | 11.93% |
2 | Česká republika | 12.85% |
3 | Japonsko | 12.90% |
4 | Finsko | 14.03% |
5 | Slovinsko | 14.93% |
6 | Norsko | 15.95% |
7 | Seychely | 16.32% |
8 | Estonsko | 16.46% |
9. | Slovensko | 16.72% |
10 | Švédsko | 16.80% |
Ve 3. čtvrtletí roku 2013, tři nové země se objevily v tomto Top 10 - Seychely, Estonsko a Slovensko, tlačí na Irsko, Nizozemsko a Martinik.
Spam ve 3. čtvrtletí 2013
9.11.2013 Spam | Analýza
Zdroj: Kaspersky
Čtvrtletí v číslech
Zpět k základům
Novinky a malware
Statistika
Podíl nevyžádané pošty v e-mailovém provozu
Zdroje spamu podle země
Zdroje spamu podle krajů
Velikost nevyžádaných e-mailů
Škodlivé přílohy v e-mailu
Phishing
Závěr
Čtvrtletí v číslech
Podíl nevyžádané pošty v e-mailovém provozu celkem snížila o 2,4 procentního bodu od druhého čtvrtletí roku 2013 a přišel do 68,3%.
Procentuální podíl phishingových e-mailů rostl trojnásobně a činila 0,0071%.
Škodlivé přílohy byly zjištěny v 3,9% všech e-mailů - 1,6 procentního bodu více než ve 2. čtvrtletí 2013
Zpět k základům
Ve 3. čtvrtletí 2013, spammeři vyžívá v stereotypní propagaci léků na zlepšení potence byly obzvláště kreativní, kombinující techniky sociálního inženýrství s triků, jak obejít filtry nevyžádané pošty.
V jednom hromadnou korespondenci se používají následující metody: Předmět e-mailu používá řetězec symboly, které se podobají slovo "Viagra", zatímco text byl omezen na jeden odkaz na farmaceutické webu.
Minimalistický přístup pomáhá obejít filtrování obsahu. Nejsou žádná klíčová slova, které se nacházejí, protože slovo "Přípravek VIAGRA" nelze číst filtru, i když je zřejmé, lidské čtenáře. Protože každý email našel jiný "kód" pro Viagra, to nestačí jen přidat nové slovo do databáze jeden. Vzhledem k tomu, UTF-8 obsahuje symboly ze všech jazyků - včetně velmi vzácných ty. Většina jazyků má své vlastní jedinečné písmena, modifikátory a symboly, i když jsou založeny na známém latinkou. V důsledku toho existuje více než 100 symbolů, které by mohl být vykládán jako písmeno "a". To není překvapující, že tam jsou stovky milionů různých možných kombinací, které by mohlo znamenat "Viagra".
Další hromadnou korespondenci poslal jménem populárního e-mailu nebo sociálních sítí zdrojů doporučuje příjemci registrovat, přečtěte si novou zprávu nebo reagovat na selhání doručení. Nicméně, kliknutím na odkaz poslal uživatelů na sníženou webové stránky, které přesměrované je on-line obchodu, který prodává léky na zvýšení potence.
Autoři hromadnou korespondenci napodobil oznámení z mnoha společností, včetně Apple, Yahoo, Google, Amazon, eBay, Twitter, Instagram, Skype apod. Spammeři neměl dát hodně úsilí do těchto zpráv: falešné e-maily odeslané na účet různých společností byly navrženy s použitím stejné šablony, pouze název společnosti byl změněn.
Zajímavé je, že tento přístup (falešné oznámení, odkaz na sníženou stránky a přesměrování do konečného místa) často používá spammeři distribuci škodlivého kódu. Tento typ spamu se šíří prostřednictvím partnerských programů, kde spammer zisky z každého uživatele, který klikne na odkaz a skončí s infikovaného počítače. Podmínky pro reklamní zásilky jsou stejné, kromě toho, že zde spammeři získat provizi z prodaných pilulek přes distribuovaných odkazy. To znamená, že útočníci používají stejnou taktiku pro různé partnerských programů. Ve 3. čtvrtletí jsme zaznamenali případy, pomocí stejného hromadnou korespondenci ve dvou různých partnerských programů: na odkazy v e-mailech vedly k různým zdrojům v závislosti na regionu nebo denní době. Například uživatelé byli v zemích, kde jsou léky dostupné pouze na lékařský předpis přesměrováni na stránky Viagra, zatímco všichni ostatní příjemci byli přesměrováni na podvodné nebo škodlivé zdroje.
Ještě jeden spam hromadnou korespondenci využívány techniky sociálního inženýrství (falešné oznámení od oblíbené zdroje) a odkaz mlžení.
E-maily napodobil oznámení ze střediska zpráv služby Google. Tělo zprávy obsahovalo odkaz na doménu Google. Ve skutečnosti, spammeři používali Google.Translate služby maskovat své vlastní internetové stránky: oni dělali žádost přeložit webových adres. Podvodníci nevyžaduje žádný skutečný překlad, protože stránky byly zpočátku anglického jazyka a byly přeloženy do angličtiny.
Spammeři používají ještě další trik: některé znaky v odkazu (liší v každém e-mailu) byly nahrazeny pro odpovídající hexadecimální ekvivalent v ASCII. Prohlížeč snadno rozpoznatelné obfuscated odkaz a otevřít příslušnou stránku, ale i pro spamové filtry každý odkaz vypadal jedinečný.
Novinky a malware
Q3 2013 byl bohatý na události, které vedly k veřejnému zájmu, jako je narození královského dítěte ve Velké Británii, FBI hon na Edwarda Snowdena a železniční nehody ve Španělsku. Všechny tyto zprávy byly použity podvodníci k distribuci malwaru.
V nebezpečných e-mailů registrovaných společností Kaspersky Lab ve 3. čtvrtletí 2013 přišel v různých formách, ale nejčastěji napodobil zásilky hromadných zpráv. Nicméně, odkazy obsažené ve všech e-mailech vedlo k ohrožení webových stránek, které uživatelé přesměrováni na stránku s jedním z nejpopulárnějších exploit kity - Blackhole. Jakmile se uživatel dostane na stránku, Blackhole začne hledat chyby v jejich softwaru. Pokud se zjistí, že některý, stáhne několik škodlivých programů, včetně spyware Trojan navržen tak, aby krást osobní údaje z napadených počítačů.
V říjnu, autor Blackhole, jít pod přezdívkou břicho, byl zatčen v Rusku . Budoucnost tohoto souboru využije, není jasné. Buď někdo jiný převezme řízení Blackhole soupravy nebo spammeři se stěhují do jiných sad. Ať tak či onak, je pravděpodobné, že bude méně příkladů těchto nebezpečných zásilek "News".
Statistika
Podíl nevyžádané pošty v e-mailovém provozu
Podíl nevyžádané pošty v e-mailovém provozu celkem během třetího čtvrtletí letošního roku přišlo na 68,3%, což je 2,4 procentního bodu od druhého čtvrtletí.
Podíl nevyžádané pošty v e-mailovém provozu ve 3. čtvrtletí 2013
Tento pokles však nelze chápat jako začátek trendu, podíl ve třetím čtvrtletí jen o 0,3 procentního bodu nižší než průměr od ledna do června na ukazateli
Zdroje spamu podle země
Rozdělení zdrojů spamu v jednotlivých zemích ve 3. čtvrtletí 2013
Ve 3. čtvrtletí tři nejlepší spam zdroje nezměnily: Čína (-0,9 procentního bodu), USA (1,2 procentního bodu) a Jižní Korea (2,1 procentních bodů). Celkový podíl těchto tří zemí tvořily 55% světového spamu provozu.
Stejně jako v předchozím čtvrtletí, Tchaj-wan přišel 4 th v hodnocení (0,1 procentních bodů).
Dále následuje Rusko (1,3 pb), jejichž podíl se zvýšil více než 1,5 krát.
Je zajímavé, že ruská rostoucí příspěvek shodoval s poklesem hladin spamu pocházející z jiných bývalých sovětských republikách - Bělorusko (-0,9 pb), Ukrajina (-0,9 pb), Kazachstán (-1,5 procentního bodu) - zatímco ve 2. čtvrtletí 2013 to země vyrábí mnohem více nevyžádané pošty než Rusku.
Změny v procentech spamu pocházejících z Běloruska, Ukrajiny a Kazachstánu ve 3. čtvrtletí roku 2013.
To však nutně neznamená, že spammeři uspořádání nových botnetů: Tyto fluktuace mohou být způsobeny například tím, že vymění z jednoho stávajícího botnetu na druhé, když šíření rozsáhlé korespondenci.
Zdroje spamu podle krajů
Rozdělení zdrojů spamu podle krajů ve 3. čtvrtletí 2013
Ve 3. čtvrtletí hodnocení z největších zdrojů spamu podle krajů nedoznala žádné výrazné změny z prvních dvou čtvrtletích roku 2013. Podíl krajů zůstaly téměř stejné taky.
Asie zůstal číslo jedna regionální zdrojem spamu (+ 0,2 pb). Dále následuje Severní Amerika (1,9 pb) a západní Evropy (-0,2 pb).
Podíl ostatních regionech se výrazně neliší.
Nápadně, není vždy korelace mezi tím, kde je spam poslán, a kde se vyrábí. Například, mnoho afrických spamu jde do Ruska, které pocházejí z Jižní Koreje je často poslán do Evropy, zatímco spam ze západní Evropy je rovnoměrně rozložen po celém světě.
Velikost nevyžádaných e-mailů
Velikost nevyžádaných e-mailů: Q3 2013
Jak je vidět z grafu, podíl malých nevyžádaných e-mailů váží méně než 1 KB je stále čtvrtletí od čtvrtletí. Většina z těchto e-mailů obsahuje téměř žádný text. Ty obsahují pouze odkaz, který obvykle vede k přesměrování stránky nebo krátké spojení služby, která činí v každém e jedinečný. Tyto e-maily vytvářet problémy pro spamové filtry a vzhledem k jejich malé velikosti, mohou být zaslány rychle a ve velkém množství.
Škodlivé přílohy v e-mailu
Úroveň škodlivých příloh ve třetím čtvrtletí o 1,6 pb vyšší než v druhém a přišel na 3,9% všech mailů.
Top 10 škodlivých programů se šíří emailem ve 3. čtvrtletí 2013
Trojan-Spy.HTML.Fraud.gen překonal hodnocení z nejpopulárnějších škodlivého programu šíří e-mailem ve třetím čtvrtletí tohoto roku. Tento škodlivý program je navržen tak, aby vypadal jako HTML stránky slouží jako registrační formulář pro on-line bankovnictví. To je používáno phisherů ukrást finanční informace.
Stejně jako v předchozím čtvrtletí, E-Worm.Win32.Bagle.gt skončil druhý. Tento e-mail červ, na rozdíl od jiných, mohou zaslat kopie sebe sama s kontakty v uživatelova adresáře a také přijímat vzdálené příkazy instalovat další malware.
Naše Q3 hodnocení zahrnuje dva červy Mydoom rodiny, které zabírají 3 rd a 4 th míst. Tyto škodlivé programy jsou určeny pro sběr e-mailových adres z adres uživatelů knih. Tento způsob sběru adres znamená, že vaše e-mailová adresa může spadnout do rukou podvodníci ", i když to není veřejně přístupná. Mydoom rodina je velmi starý, ale je i nadále efektivně pracovat na počítačích, kde software není aktualizován. E-Worm.Win32.Mydoom.m můžete posílat skryté požadavků na vyhledávání na vyhledávačích. Porovnává adresy míst zobrazených na první stránce výsledků vyhledávání a adresy, které má stažené ze serverů podvodníky. Poté, co našel shodu, otevře odkaz na stránce vyhledávače a zvýšit tak hodnocení výsledků vyhledávání pro konkrétní místa.
Zástupci Zeus / Zbot rodiny obsadil 5. ročník , 6 th , 7 th a 9 ročník místa. Tyto škodlivé programy jsou navrženy tak, aby krást důvěrné informace - obvykle údaje o platební kartě - z počítačů.
Trojan.Win32.Llac.dleq dokončil čtvrtletí v 8 ročníku místě. Tento program je hlavním úkolem je špehovat uživatele: shromažďuje informace o používání softwaru (většinou o antivirové programy a firewally) v počítači nainstalována, o PC sám (procesor, operační systém, disky), to zachytí obrazy webové kamery a hlavní tahy (keylogger) a sklizní důvěrná data z různých aplikací.
Trojan.Win32.Bublik.beyb přišlo 10 th . Tento trojan je hlavní funkcí je tajně stáhnout a nainstalovat nové verze škodlivých programů na počítačích oběti. Zdá se, ve formě. EXE soubor s dokumentem Adobe PDF ikona.
Distribuce škodlivých programů se šíří e-mailem ve 3. čtvrtletí 2013 je následující:
Top 10 rodin škodlivých programů šíří emailem ve 3. čtvrtletí 2013
Ve 3. čtvrtletí 2013 Zeus / Zbot rodina se ujal vedení. Dále následuje rodiny Tepfer ačkoli žádný z jeho úprav vstoupil do Top 10. Tento typ Trojan byl navržen tak, aby ukrást hesla pro uživatelské účty. Podvod rodina trojských koní je 3 rd místě, s Trojan-Spy.HTML.Fraud.gen individuální vůdce.
Rodina Bublik byl 4. ročník . Páté místo bylo obsazené Androm rodiny, která stahuje a spouští škodlivé soubory na oběti počítačích.
Seznam zemí, na něž se zaměřuje nejčastěji nebezpečných e-mailů prošel některé změny od druhého čtvrtletí tohoto roku.
Distribuce e-mailových antivirových odhalení na zemi ve 3. čtvrtletí 2013
USA je stále číslo jedna v ratingu (-0,2 pb). Německo posunula od 3 rd do 2 druhém místě, zatímco Ruska klesl na 9. ročníku místo (-8,6 procentního bodu), blíže ke své obvyklé umístění. UK dokončil Top 3 s nárůstem o 2,8 procentního bodu.
Ve 3. čtvrtletí 2013 jsme narazili na jednu velmi zajímavou hromadnou korespondenci - podvodníci napodobil odpověď od služby technické podpory velké antivirové společnosti.
Napsat informoval uživatele, že soubor, který údajně byl poslán k analýze, se ukázal být malware. "Technická podpora inženýr" nazval verdikt (v našem příkladu mydoom.j) a navrhl použít přiložený podpis dezinfikovat počítač. Pokud však uživatelé (kteří pravděpodobně neposlal žádné vzorky na prvním místě) otevřel příloha, by pro ně škodlivý program zjištěné aplikací Kaspersky Anti-Virus, jak e-mailem Worm.Win32.NetSky.q.
Zajímavé je, že spammeři udělal chybu: adresa v poli Od použity oficiální adresu technické podpory společnosti Symantec službu, když auto-podpis v e-mailu s názvem jiné společnosti, antivirového - F-Secure.
Phishing
Ve 3. čtvrtletí 2013 se podíl phishingových e-mailů trojnásobně vzrostl oproti předchozímu čtvrtletí a činila 0,0071%.
Distribuce Top 100 organizací nejčastěji namířena phisherů, * podle kategorií - 3. čtvrtletí 2013
* Toto hodnocení je založeno na anti-phishing společnosti Kaspersky Lab dílčích odhalení, které jsou aktivovány pokaždé, když se uživatel pokusí klikněte na odkaz phishing, bez ohledu na to, zda je odkaz v nevyžádaných e-mailů nebo na webové stránce .
Ve 3. čtvrtletí oznámení ze sociálních sítí se nejčastěji napodobovány phishingových e-mailů. Zprávy odeslané na účet e-mailových služeb a vyhledávačů byly v 2 nd a 3 rd míst. Ve skutečnosti jsou tyto dvě kategorie je obtížné oddělit, jak mnoho velkých firem kombinovat vyhledávač a webmail funkce.
Celkově tyto tři kategorie představuje více než 60% všech útoků v Top 100 organizací, nejčastěji na něž phisherů. Tento údaj ukazuje, že zpeněžení phishingu je do značné míry založena na prodej odcizených pověření účtu, které mohou být použity v pořadí pro distribuci spamu přes svých seznamů kontaktů.
Finanční a e-pay organizace a banky přišel 4 th v seznamu phisher cílů. To neznamená, že jsou méně phishingu zájem bank. To je více pravděpodobné, že útoky na jednotlivé instituce jsou jen zřídka v tak velkém rozsahu, že dostat se do Top 100.
Závěr
Ve 3. čtvrtletí 2013 spammeři aktivně využívají jak staré a nové triky, aby se vyhnula filtrování, stejně jako techniky sociálního inženýrství přesvědčit uživatele, aby klikněte na potřebné odkazy. Například jeden z nejčastějších triků šíření škodlivého softwaru je použití vysoce postavených novinové články a design e-maily ve formě bulletinů. Některé triky, jako například falešné e-maily odeslané jménem známého internetového zdroje, byl považován za zvláště účinný a používán v různých partnerských programů. Například by odkaz v e-mailu imitujícím oznámení z Facebooku, v různých dobách, které vedlo ke léky webu Reklama na webu nebo obsahující využije.
Nicméně, zatčení soupravy Blackhole Exploit tvůrce ukázal, že zločinci nemají zůstat nepotrestány, a to i v Rusku s jeho relativně slabou legislativou proti zločinci. Budeme i nadále sledovat vývoj v této věci.
Q3 2013 viděl malou změnu v hlavních zdrojů spamu podle země. Na regionální úrovni bylo ještě méně změna. Zdá se, že umístění botnetů je poměrně stabilní, nebo alespoň je klid v aktivní přemístění botnetů.
Navzdory mírnému poklesu podílu nevyžádané pošty v e-mailovém provozu, podíl škodlivého spamu vzrostla více než 1,5 krát ve srovnání s předchozím čtvrtletím. Většina malware šíří přes e-mail cílené uživatelská jména, hesla a důvěrné finanční informace.
Pokud jde o phisherů, jejich nejatraktivnější cíle byly uživatelské účty sociálních sítí, e-mailu a dalších zdrojů.
Secunia PSI je Country Report - Q3 2013
05.11.2013 Analýzy
Na paty diskutovat Microsoft Security Intelligence Report V15 , kde je zřejmé, stánek s jídlem, Secunia je právě vydala "Windows XP je pryč!" PSI Country Report - Q3 2013 je zajímavý doplňkový čtení. Zde jsou souhrnné údaje:
Nainstalované programy: 75 , od 25 různých výrobců
40% (30 z 75) z těchto programů jsou Microsoft programy
60% (45 z 75) z těchto programů jsou od dodavatelů třetích stran
Uživatelé s neopravených operačních systémů: 14,6% (WinXP, Win7, Win8, Windows Vista)
Neopravených programy třetích stran, na prům. PC: 10.7%
Neopravených MS programy: 4,1%
End-of-Life programy na průměrné PC již opravené prodejce: 3,9%
Obzvláště zajímavé: "Ve Spojených státech, 79% uživatelů PC, kteří používají Secunia PSI měl Microsoft XML Core Services nainstalována ve 3. čtvrtletí 2013 50% z těchto uživatelů nebyla oprava programu, i když oprava je k dispozici To znamená, že odhadované.. 39,5% ze všech počítačů v USA jsou zranitelní MSXML 4 ". Dejte souvisejících Secunia blog post na čtení pro více informací, jak, proč. Pak dostat se na záplatování a odstranění této EOL software, lidi. :-
Spam v září 2013
4.11.2013 Zdroj: Kaspersky
Analýzy
Spam v centru pozornosti
Halloween spam
Spammeři a ukládání
Pojištění motorových vozidel služby
Geografické rozdělení zdrojů spamu
Škodlivé přílohy v e-mailu
Zvláštnosti škodlivého spamu
Phishing
Závěr
Spam v centru pozornosti
Po září chladné počasí jsme zaznamenali hodně hromadnou korespondenci o nabídkách snížit účty za vytápění a udržovat domy teple. Oni často se objevil jak v ruštině a angličtině spamu. Velký podíl hromadnou korespondenci září nabízí služby auto pojištění a inzeráty pro tiskové služby, zejména kalendáře pro rok 2014. Slavnostní spam v září byl hlavně v angličtině a byl věnován Halloween.
Halloween spam
Každý rok v předvečer Halloweenu jsme zaznamenali velké množství nevyžádané pošty související s touto populární dovolenou. Jako vždy, angličtině spam inzeruje karnevalové kostýmy, zatímco známé hromadné e-maily nabízející falešné značkové kabelky nalákat příjemcům Halloween dýně a sliby nadpřirozených slev. Malé a střední podniky s nadšením připojil k tažení dovolenou s strašidelné tématikou nevyžádaných e-mailů s reklamou na své zboží. Samozřejmě, že se název dovolenou používá v poli Předmět e-mailů, aby upoutaly pozornost.
V září jsme zaznamenali frankofonních hromadnou korespondenci věnovaný Halloween. Spammeři rozeslal zprávy reklamní karnevalové kostýmy a různé doplňky Halloween.
Spammeři a ukládání
Podzim přináší do prvních mrazů, topení a elektřiny náklady zvyšují. Tento sezónní fakt byl aktivně využíván spammery. Mnoho září zásilky nabízeny různé způsoby, jak udržet domy v teple a snížit účty.
Angličtina-jazyk hromadné e-maily v tomto směru většinou inzerovány instalaci specializovaných solárních panelů. Tyto zprávy dorazila v různých formátech: někteří obsahovala krátký kus textu, ostatní barevné banner.
Všechny zprávy obsahovaly dlouhý odkaz vedoucí k nově registrované domény, která se lišila od e-mailu na e-mail. Po sérii přesměrování tyto odkazy směřují uživatele na stránky popisující americké vlády dotační program pro instalaci solárních panelů, nebo prázdné stránky, která obsahuje vazby na společnosti, které by mohly instalovat solární panely nebo prodat související zařízení.
Září přinesl i několik hromadnou korespondenci o instalaci izolačních oken, slibuje ušetřit teplo a snížit náklady na energii. Tyto zprávy obsahovala dlouhé odkazy, které po sérii přesměrování, vedly uživatele na internetových stránkách obchod poskytuje více detailů a čeká na rozkazy.
Tam byl také hromadné e-maily od výrobců z LED diod, který také hrál na snižování nákladů tématem. Tyto e-maily obvykle přijel jménem ředitele společnosti a za předpokladu jeho kontaktní údaje. Výrobky společnosti byly podrobně popsány v textu zprávy, a tam byl odkaz na webové stránky společnosti. Tyto e-maily připomínal obchodní korespondence, ale byly adresovány generických příjemců, nikoli na konkrétní jednotlivce. Adresa odesílatele byla náhodná sada znaků, které, samozřejmě, se lišil od adresy kontaktní e-mail je uvedeno v e-mailu.
Pojištění motorových vozidel služby
Angličtina-jazyk spammeři používají auto pojištění nabízí nalákat uživatele na předávání osobních údajů. Záhlaví zpráv slíbil jednoduchý způsob, jak výrazně snížit náklady na pojištění motorových vozidel. Odkazy obsažené v e-mailech vedlo k nově vytvořené webové stránky, které oběti přesměrované na jinou prostředku, který neměl nic společného s pojišťovacími službami. Tato stránka pozvaní uživatelé odpovědět na tři otázky a vyhrajte MacBook Air, iPhone nebo iPad. Po zodpovězení otázek a výběru preferované cenu, uživatelé museli zadat své osobní údaje - jméno, adresa, PSČ, telefonní číslo a e-mailová adresa. Jinými slovy, pod záminkou hodnotné ceny, podvodníci pokusili získat kontaktní údaje z jejich obětí.
Geografické rozdělení zdrojů spamu
V září 2013 se podíl nevyžádané pošty v e-mailovém provozu se snížil o 1,4 procentního bodu a dosáhla průměrné hodnoty 66,2%. Top 3 Zdroje světového spamu nezměněny: Čína zůstala na 1. místě s 22% všech distribuovaných spamu, což představuje nárůst o 1 procentní bod oproti předchozímu měsíci, USA přišel druhý, když rozdělí 18% světového spamu, pokles o 1 procentní bod ve srovnání se srpnem; Jižní Korea byla třetí, v průměru 14% (1,4 procentních bodů). Celkem tyto tři země představovaly 54% světového spamu.
Zdroje spamu na celém světě podle zemí
Jako v srpnu, Tchaj-wanu obsadila čtvrté místo, což přispívá 6% na toku světového spamu, a to až o 0,8 procentního bodu.
Indie je podíl zvýšil o 2 procentní body, což představuje 5% a pohybuje se z osmá-pátá celkově.
Jak předpokládalo , Japonsko vloupal do top 10 nejvíce aktivních distributorů globálního spamu: její přínos ve výši 2,4%, zvedl ji do 9. ročníku místě. Kanada dokončil Top 10 s podílem 2%, která tlačila ho dvě místa.
Bělorusko a Německo viděl jejich akcie pokles: Bělorusko (0,8%) se snížil na šesti místech a Německo (0,7%) rovněž vypadl z Top 10.
Ostatní Top 10 členů udržuje své pozice v ratingu se zanedbatelnými výkyvy v jejich příspěvků.
Zdroje spamu v Evropě podle země
V září, Jižní Korea zůstala hlavním zdrojem spamu poslal do evropských uživatelů (54%), i když jeho podíl klesl o 6 procentních bodů. To bylo následováno Tchaj-wan (5,6%) a Indie (4,8%). Indie je podíl zvýšil o 2,7 procentního bodu, pohybující se až od šestého do třetího místa.
Minulý měsíc třetí místo obsadil v USA (3,6%). V září klesla na šesté místo i když jeho podíl klesl jen nepatrně - pouze 0,3 procentních bodů.
Rusko (4,3%) a Vietnamu (4,1%) zůstal v 4. a 5. místa, resp. Nicméně, celkové procento spamu pocházejícího z těchto dvou zemí se zvýšil o 1,5 procentního bodu.
V září, TOP 10 součástí Malajsie (1,2%). Dva další asijské země, Japonsko a Hong Kong, také produkoval větší podíl spamu ve srovnání s předchozím měsícem - jejich počet se zvýšil o 0,6 a 0,9 procentního bodu, resp účet pro 1,2% a 1% spamu zaslány evropským uživatelům.
Mezitím září Spamové toky z Německa (0,7%) se snížil o 0,8 procentního bodu, což mělo za následek, že klesá na 17. místo v hodnocení.
Zdroje spamu podle krajů
V září Asie (59%) zůstal vedoucím regionální spamu zdroj zvýšila svůj podíl o 4 procentní body z předchozího měsíce. Severní Amerika (20%) a východní Evropa (12%) také udržoval své druhé a třetí míst, i když jejich postavy změnilo ve srovnání se srpnem: Severní Amerika podíl zvýšil o 2 procentní body, zatímco východní Evropě se podíl snížil o 2 procentní body. Západní Evropa (4%) a Latinská Amerika (2,4%) byla čtvrtá a pátá, resp.
Škodlivé přílohy v e-mailu
V září Top 10 škodlivých programů se šíří e-mailem viděl hlavní změny a zahrnoval pět nováčků.
Top 10 škodlivých programů se šíří e-mailem ve 3. čtvrtletí 2013
Trojan-Spy.html.Fraud.gen zůstala nejrozšířenější škodlivý program, pozice to držel několik měsíců v řadě. Pro připomenutí, Fraud.gen patří do rodiny trojských koní, které využívají technologii spoofing: tyto trojské koně napodobit HTML stránek a jsou distribuovány prostřednictvím e-mailu uvedeného v podobě oznámení od velkých komerčních bank, e-obchody, softwarové firmy, atd.
Čtyři z pěti nováčků v hodnocení zářijový - 2., 3., 6. a 9. - byly škodlivé programy z rodiny Bublík. Jejich hlavní funkcí je neoprávněné stahování a instalace nových verzí malware na počítačích obětí. Jakmile je úloha splněna, program nezůstává aktivní: je kopíruje do souboru% temp% imituje aplikaci Adobe nebo dokument.
E-Worm.Win32.Bagle.gt byl ve 4 tém místě. Tento mailový červ je spustitelný soubor distribuován v podobě e-mailových příloh. Jako většina mailových červů je self-rozrůstá na adresy v oběti adresáře. To může také stáhnout další škodlivé programy do počítače bez vědomí uživatele. Pro šíření škodlivých zpráv E-mailové Worm.Win32.Bagle.gt používá svůj vlastní SMTP knihovnu.
Dalším nováčkem září Trojan-PSW.Win32.Fareit.xvf, přišel pátý v kvalifikaci. Tento škodlivý program je navržen tak, aby krást jména a hesla z napadených počítačů. Stáhne vlastních aktualizací, aniž by byl zakořeněný v systému a imituje aplikaci Adobe nebo dokument.
Trojan.Win32.Llac.dleq byl na 7. místě. Tento program je hlavním úkolem je špehovat uživatele: shromažďuje informace o používání softwaru (většinou o antivirové programy a firewally) nainstalován na počítači, na počítači sám (procesor, operační systém, disky), to zachytí webová kamera obrázky a klávesových zkratek (keylogger) a sklizní důvěrná data z různých aplikací.
E-Worm.Win32.Mydoom.l byl osmý v září. Tato síť červ s backdoor funkce se šíří jako přílohu e-mailu pomocí služby sdílení souborů a zapisovatelné síťovým zdrojům. To sklizně e-mailové adresy z infikovaných počítačů, takže mohou být použity pro další hromadnou korespondenci. Červ také se připojuje přímo k příjemce SMTP serveru.
Ještě jeden červ, E-Worm.Win32.Mydoom.m, dokončil září v Top 10 nejrozšířenější škodlivé programy. Skenuje MS Windows adresáře a aplikace Internet Explorer mezipaměť prohlížeče k vyhledání adres pro nové oběti. Kromě vlastní zbraní odešle skryté požadavků na vyhledávání vyhledávačů a tím zvýšit návštěvnost a kvalifikací stránek, stažených ze serverů zločinců.
Distribuce e-mailových antivirových odhalení podle země
Top 3 země zaměřují nejvíce nebezpečných e-mailů se nezměnily: Německo (12,67%) byla na prvním místě opět následují společnosti z USA (11,33%) a ve Spojeném království, který viděl jeho podíl na svah 9,98% tento měsíc.
Rusko zůstalo v poloze 9. když procento zjištěných antivirových v zemi klesl na 2,6%.
Také stojí za zmínku, je skutečnost, že Saúdská Arábie (2,41%) až do Top 10 v září.
Zvláštnosti škodlivého spamu
Podvodníci nemají často zaměřují internetových a telekomunikačních poskytovatelů. Nicméně, v září 2013 jsme zaznamenali několik škodlivých hromadnou korespondenci, které zneužívají jména mezinárodních firem podnikajících v této oblasti.
Britská telekomunikační společnost BT Group byla vyvolána k distribuci Trojan-Downloader.Win32.Dofoil, který stáhne a spustí škodlivý software na počítači. Falešná zpráva uvádí, že příjemce nedávno uvedeno novou e-mailovou adresu, která by v budoucnu být využívána k doručování oznámení a aktualizace. Pro podrobnější informace, že příjemce vyzván, aby otevřel přílohu, která ve skutečnosti byla skrytá Trojan. Ve snaze přesvědčit příjemce legitimity e-mailu, útočníci použili adresu odesílatele, která se zdála na první pohled legitimní a odkaz na oficiální webové stránky společnosti. Je však třeba Neprovedení osobního a adresu přiloženém spustitelný soubor BT.Email Address Details.pdf.exe varovat uživatele na nebezpečí podvodu.
Falešné oznámení z banky, nejsou neobvyklé. V září jsme zaznamenali nebezpečný hromadnou korespondenci údajně poslal jménem Webster banky. Tentokrát přečtení zprávy, že společnost byla kontrola všech transakcí klienta identifikovat podezřelé aktivity v oblasti platebního styku. Napsat součástí přiloženého Trojan downloader Trojan-Downloader.Win32.Angent se tváří jako zprávy z banky. Chcete-li, aby jejich e-maily vypadají legitimní, podvodníci poslal z falešné adresy podobnou té oficiální a tělo e-mailu obsahoval odkaz na oficiálních stránkách společnosti, stejně jako automatický podpis.
Phishing
Nejatraktivnější cíle pro útoky typu phishing se výrazně neliší v září. Sociální síť lokalit pokračoval na začátek seznamu (28,1%).
Distribuce Top 100 organizacemi, na něž phisherů, podle kategorie *
Toto hodnocení je založeno na anti-phishing společnosti Kaspersky Lab dílčích odhalení, které jsou aktivovány pokaždé, když se uživatel pokusí klikněte na odkaz phishing, bez ohledu na to, zda je odkaz v nevyžádaných e-mailů nebo na webové stránce.
Podíl e-mail a instant messaging služby (18,1%) se zvýšila o 0,8 procentního bodů, což znamená v této kategorii zůstal druhý. Vyhledávače (16%) byla 3 rd s mírným poklesem 0,1 procentního bodu.
Podíl finančních a E-placené služby (14,9%) se zvýšil o 1 procentní bod a uviděl této kategorii vyrovnal minulý měsíc čtvrté místo.
IT dodavatelé ztratili 0,5 procentních bodů a vyměnili místa spolu s poskytovateli telefonních a internetových služeb, jejichž podíl vzrostl (0,6 procentních bodů): tyto dvě kategorie obsadili 5. a 6. místa příslušně.
V září se pozornost z phisherů opět zaměřil na velkých bank v Austrálii a na Novém Zélandu. V červenci 2013 jsme zaznamenali hromadnou korespondenci obsahující falešné upozornění zaslané na účet banky Austrálie a Nový Zéland Banking Group. Tentokrát phishingu snažil oklamat klienty Westpack, jedné z předních bank v Austrálii.
Útočníci se ani nesnažila vymyslet něco nového podvádět oběti - prostě použili léty prověřenou trik. Falešný e-mail příjemce informován, že bezpečnostní systém on-line bankovní služby evidovala tři neoprávněné pokusy vstoupit na účet a podle bezpečnostních pravidel, zablokoval přístup. Pro odblokování účtu, musel uživatel otevřít přiložený soubor. Archiv Westpac_form-413-217-9908.zip obsahuje HTML stránky, které vyžadují osobní informace o uživateli. Jakmile jsou všechny pole byla vyplněna, data byla převedena na podvodníky.
Phishing stránka používá barvy a logo na oficiálních stránkách banky, ale nebylo to přesná kopie. Nicméně, pokud uživatel klikl na odkaz na podvodnou stránku k zadání jednoho z lokality stránek, oficiální stránky banky otevřen v samostatném okně. Chcete-li oklamat uživatele, phishingu také podrobné informace o účtu, jako IP adresy, které byly údajně použity pro neoprávněnými pokusy o zadání hesla.
Závěr
V září se podíl světového spamu v mailového provozu i nadále klesat a dosáhne 66%. Jako vždy spammeři zaměřena na reklamní zboží, sezónní a služeb. Například počet nabídek souvisejících s energetickou úsporu a izolace staveb výrazně zvýšil. Září hromadnou korespondenci využívány na téma populárních svátků - tentokrát se chystali Halloween a Nový rok. Příští měsíc podíl vánoční spam bude zřejmě poroste.
Jak se dalo očekávat, podíl útoků na sociálních sítích snížil, zatímco podíl útoků na finanční a e-pay služby vzrostly. Tyto změny však byly zanedbatelné a hodnocení organizací nejčastěji namířena phisherů neviděl velké změny. S největší pravděpodobností obou těchto trendů bude pokračovat v říjnu. Rovněž v září podvodníci spíše přesouvá své útoky kroků od bank a poskytování služeb a na různých telekomunikačních společností.
Kaspersky Lab Zpráva: Java pod útokem - vývoj využije v letech 2012-2013
4.11.2013 Zdroj: Kaspersky
Analýzy
Úvod: Proč jsme se rozhodli prozkoumat Java
Rychlé Q & A o Javě
Metodika zprávy: Co a jak se počítá
Hlavní zjištění
Část 1: rok zranitelnosti v Javě
Část 2: Rok útoků na uživatele Java
Část 3: Mezinárodní hrozba - geografie útoků uživatelů a zdrojů
Část 4: Bližší pohled na činů "v přírodě"
Část 5: Plus 4,2 milionu útoků zachycených Automatické technologií Exploit Prevention
Závěr: Význam sofistikovaných technologií v době sofistikovaných útoků
Úvod: Proč jsme se rozhodli prozkoumat Java
Jedním z největších problémů, kterým čelí IT bezpečnostní průmysl je využití chyby ve legitimní software pro spuštění malware útoků. Škodlivé programy mohou používat tyto chyby infikovat počítač, aniž by přilákaly pozornost uživatele - a, v některých případech bez spuštění upozornění od bezpečnostního softwaru.
To je důvod, proč počítačoví zločinci preferují tyto útoky, známé jako zneužití, oproti jiným metodám infekce. Na rozdíl od sociálního inženýrství, které mohou být hop nebo trop, využití zranitelnosti pokračuje produkovat požadované výsledky.
Využije jsou speciální programy, které využívají zranitelnosti populární software využívají miliony lidí po celém světě. Pracují nenápadně, a uživatelé mohou obětí jednoduše tím, že navštívíte stránku, která obsahuje škodlivý kód exploitu nebo otevřením zdánlivě legitimní soubor s skryté škodlivého kódu. Využije jsou navrženy tak, aby stávku určité verze softwaru, které obsahují chyby, takže pokud má uživatel tuto verzi softwaru na otevření škodlivého objektu, nebo pokud web používá tento software ovládat, spustí exploit. Jakmile se získá přístup pomocí zranitelnosti, exploit načte další malware ze serveru zločinců ", které v závislosti na zamýšleném cíli, provádí škodlivou činnost jako jsou krádeže osobních údajů pomocí počítače jako součást botnetu na rozesílání nevyžádané nebo provádět DDoS útoky apod.
Využije stále představují hrozbu, i když je uživatel vědom nebezpečí, které představují, se dobře orientuje v oblasti bezpečnosti IT a dilligently udržuje jejich aktualizovaný software. Je to proto, že když se objevil zranitelnost může trvat týdny, dokud se náplast uvolní opravit. Během této doby hrdinské činy byly schopny fungovat svobodně a ohrozit bezpečnost téměř všech internetových uživatelů. Toto riziko lze výrazně snížit, pokud uživatelé mají vysoce kvalitní bezpečnostní řešení na svých počítačích nainstalovanou, včetně technologie dokáže blokovat útoky vedenými využije.
Využije jsou speciální programy, které využívají zranitelnosti populární software využívají miliony lidí po celém světě.
Při vývoji řešení pro vysoce kvalitní bezpečnostní pro domácí i firemní zákazníky, společnost Kaspersky Lab neustále sleduje cyberthreats krajiny. To pomáhá společnosti Kaspersky Lab odborníci pravidelně zlepšovat technologie ochrany a posílení bezpečnosti proti nejnaléhavějších hrozeb. Spolu s dalšími prostředky, obsahuje analýzu dat, získaných z Kaspersky Security Network - cloud infrastruktury, která spojuje více než 60 milionů uživatelů Kaspersky Lab na celém světě a poskytuje informace, které jsou nezbytné ke sledování situace v oblasti cyberthreats pravidelně.
Údaje, získané od společnosti Kaspersky Security Network, sloužil jako základ pro dřívější zprávě společnosti Kaspersky Lab, s názvem " Posouzení hrozeb úrovně softwarového zabezpečení ", ve kterém společnost experti analyzovali situaci obklopující nejrozšířenější legální software. Ukázalo se, že velké množství uživatelů neaktualizují zranitelné verze rizikových aplikací, dokonce i týdny poté, co byla zveřejněna nějaká aktualizace. Zpráva také identifikovala nejčastější cíle pro využívání útoků: Oracle Java software prostředí, multimediální obsah displeje aplikace Adobe Flash Player a jeho sestra produkt Adobe Reader, který se používá pro prohlížení souborů PDF.
V naší nové studii jsme se rozhodli zaměřit se na Oracle Java. Tato volba odráží obrovský nárůst útoků na tento produkt v minulém roce, jak je uvedeno v tabulce níže.
Rychlé Q & A o Javě
Co je Java?
Java je objektově orientovaný programovací jazyk, který umožňuje poměrně rychlé a snadné vytvořit multiplatformní multimediální prvky, včetně aplikací, které lze spustit na libovolné virtuální stroj Java, bez ohledu na architektuře počítače. Jinými slovy, nejsou potřeba přepsat aplikační pokaždé, když narazí na nový operační systém nebo prohlížeč. Hlavním požadavkem je stávající verze virtuálního stroje Javy pro tento operační systém a prohlížeč. To dělal nástroj Java velmi populární mezi vývojáři webových stránek a software pro různá zařízení.
Proč existuje tolik chyb v Javě?
Za prvé, vývoj Java začala, když škodlivými útoky prostřednictvím zranitelnosti byly prakticky neexistující. Jako výsledek, vývojáři softwaru obecně - nejen ty, kteří pracují na Javě - nemohli předvídat tuto potenciální bezpečnostní riziko, a software nebyl postaven s ohledem na bezpečnost.
Za druhé, velký počet zjištěných chyb v Javě potvrzuje velké množství odborníků speciálně hledají těmito chybami. Podle majitele Oracle, Java, je-li přípravek používán na více než 3 miliardy různých zařízeních po celém světě. Toto rozlehlé publikum, které je jedním z klíčových parametrů, které vedou počítačoví zločinci, když vybírají cíl jejich útoků. Čím více lidí používá určitý výrobek, tím větší je pravděpodobnost, že se zločinci mohou nezákonně obohacovali.
Proto, Java nelze považovat za nejzranitelnější softwarové platformy - ve skutečnosti zločinci jsou prostě vědomi toho, že miliony lidí používat tento produkt a cítí, že to dává smysl utrácet prostředky na hledání způsobů, jak využít této situace.
Co je to exploit balení?
Je nelegální software balíček, který obsahuje ovládací panel a sadu využije určených pro řadu legitimních aplikací. Exploit balení jsou podobné sadu klíčů, ale tady každá "klíč" je samostatný exploit, který se spouští v závislosti na tom, jaký software je oběť pomocí. Využije zranitelnosti Java mohou být také použity samostatně z exploit balení. Oni jsou také vidět, například v cílených útoků, kde zločinci připraví detekci chyb v cílovém IT infrastruktury a vytvořit webovou stránku, která sídlí exploit Java.
Jak jsou útoky pomocí Java využívá provádí?
Typicky počítačoví zločinci nalákat uživatele na speciálně navržené webové stránky, které hostí vhodný výběr využije. Když uživatel načte stránku, vestavěný modul identifikuje, který prohlížeč je v provozu a které Java-plugin verze jsou instalovány. Na základě těchto údajů exploit je vybrán, a to automaticky načte jeho škodlivého kódu do počítače.
Metodika zprávy: Co a jak se počítá
Pro tuto studii jsme použili informace získané z více než 40 milionů uživatelů produkty společnosti Kaspersky Lab na celém světě, kteří souhlas k poskytnutí statistických údajů společnosti Kaspersky Security Network. Tato data pocházejí z počítačů, které obsahují jakoukoli verzi softwaru Oracle Java. Zpráva obsahuje statistické údaje ze čtyř modulů antivirové ochrany používané v produktech společnosti Kaspersky Lab: web antivirového souboru antivirus, heuristická analýza a automatické Exploit Prevention modul.
Sledované období studia:
Vybrali jsme si dat shromážděných během 12 měsíců od září 2012 do srpna 2013. Těchto 12 měsíců je zvláště zajímavé, protože z poměrně velkého počtu chyb zjištěných v Javě - dvakrát tolik jako v předchozím období 12 měsíců. Chcete-li zvýraznit tuto změnu jsme se rozdělili toto období na dvě poloviny: září 2012 do února 2013 od březen do srpna 2013.
Předmětem studie:
Počet chyb v Javě a jejich povaze;
Počet útoků exploit Java a jejich dynamika;
Počet unikátních uživatelů pod útokem, a jejich dynamika;
Rozdělení útoků a individuálních uživatelů podle zeměpisné polohy;
Počet a převaha "sofistikovaných" útoků, zjištěné pomocí Kaspersky Lab jedinečnou Automatické Exploit Prevention
Rozsah distribuce využije vyvinut pro vulerabilities zjištěných ve sledovaném období.
Hlavní zjištění
Studie ukázala, že Oracle a její uživatelé museli velmi obtížná 12 měsíců, čelí obrovské množství útoků.
Více než 160 zranitelnosti, šest z nich kritické, byly zjištěny v softwaru Java různými společnostmi a kybernetické odborníků;
Kaspersky Lab zjištěn více než 14.100.000 útoků, které používají Java využije. To je 33,3% více než v předchozích 12 měsíců.
Počet útoků zvýšil v průběhu celého roku. Od března-srpen 2013 více než 8.540.000 útoky byly zjištěny, a to až 52,7% v předchozích šesti měsících.
Celkem bylo více než 3.570.000 uživatelů aplikací společnosti Kaspersky Lab řešení zaútočil na celém světě v průběhu 12 měsíců sledovaného období.
Ve druhé polovině roku se počet napadených uživatelů bylo o 21% ve srovnání s prvním pololetím a přišel do 2.000.000 unikátních uživatelů.
Asi 80% útoků byly soustředěny v pouhých 10 zemích. Většina z nich byly spáchány v USA, Rusku, Německu a Itálii.
Kanada, USA, Německu a Brazílii byly země s nejrychleji rostoucím počtem útoků. Spolu s Francií tyto země mají také nejrychleji rostoucí počet unikátních uživatelů pod útokem.
V blízkosti 50% útoků používá jen šest skupin využije.
V průběhu posledních 12 měsíců Kaspersky Lab Automatické Exploit Prevention blokován 4200000 "sofistikované" útoků, zaměřených na více než 2 miliony uživatelů.
Samozřejmě, tyto trendy mají své vlastní pecularities. Budeme studovat podrobněji.
Část 1: rok zranitelnosti v Javě
Doba se tato zpráva se ukázalo, že je velmi náročný na Java Oracle, pokud jde o neopravených chyb. Během této doby, byla 161 chyby zjištěny v různých verzích Java. Většina z nich byla ve verzích 1.5, 1.6 a 1.7, které jsou nejrozšířenější verze softwaru. Pro srovnání: ve stejném období v letech 2011-2012 bylo hlášeno jen 51 unpatched zranitelností.
Podklady použité pro výpočet níže uvedený graf pochází z dánské firmy Secunia, která agreguje data o zranitelnosti zjištěné v legitimní software. Jak je vidět z grafu, Secunia vydala osm doporučení a upozornění v tomto období (každá oznámil odhalení zranitelnosti Java), a některé z nich se zabýval tolik jako 40 nových hlášených chyb. Během stejného období 2011-2012, bylo vydáno pět Secunia upozornění.
Červené pruhy označují uvolňování jednoho nebo více doporučení a upozornění Secunia oznamující detekci kritických zranitelností. Pouze dvě doporučení a upozornění (zelené pruhy) neobsahovalo žádné kritické chyby. Zdroj: Secunia.
Je třeba zdůraznit, že drtivá většina chyb nalezených v Javě nepředstavují velkou hrozbu. Ale ve stejnou dobu, šest z těchto rad řešena alespoň jednu chybu, která by mohla vést k infekci počítače. Celkem jen dvě upozornění publikované od září 2012 a srpnem 2013 nevykazovala kritické chyby - zprávy otázky dne 20. února a 19. června. Během této doby společnost Kaspersky Lab zdůraznila šest nejnebezpečnější Java zranitelnosti lodě a "učí" své antivirové technologie reagovat na šesti Exploit rodin zaměřených na tyto chyby.
Chcete-li úvěr Oracle, všichni kritických chyb zjištěných během tohoto období již oprava v době, kdy tato zpráva byla napsána. Nejnovější verze Java (1.7) byla vydána v červnu tohoto roku (Update 25), když verze 1.6 (aktualizace 51) byl nejvíce převládající.
Bohužel Kaspersky Lab statistiky - což nám pomáhá získat úplnější obraz o tom, které verze lidí Java používáte v počítačích se systémem Kaspersky Lab bezpečnostní produkty - nepotvrzují, že všichni uživatelé jsou chráněny proti útokům Exploit po aktualizaci je propuštěn.
Jeden a půl měsíce po vydání nejnovější verze Javy, většina lidí stále používají zranitelné verze softwaru.
Tento koláčový graf byl sestaven na základě údajů z 26820000 jednotlivým uživatelům aplikace Kaspersky Security Network oznámení o použití jakékoliv verzi Java na svých osobních počítačích. Zdroj (zde a níže): Kaspersky Security Network.
Méně než polovina (42,5%) všech uživatelů Java aplikace Kaspersky Security Network nainstalovali aktualizaci na nejnovější verzi Java. Více než 15% (nebo více než 4 miliony uživatelů) používáte předchozí verzi SE7 U21, který byl propuštěn v polovině dubna. Zhruba 1,3 milionu uživatelů (4.93%) stále používáte SE7 U17, který byl propuštěn již v březnu 2013.
Pozoruhodné je, že SE 6 U37 - povolená záda v říjnu 2012 - byl poslední verze Javy 1.6 v Top 10 nejčastěji používaných verzí.
Závěry jsou zřejmé: jeden a půl měsíce po vydání nejnovější verze Javy, většina uživatelů stále pracují s ohroženými verzemi.
Tato situace stane znovu a znovu. Na konci června, necelé dva týdny poté, co byl propuštěn Aktualizace 25. pouhých 291 tisíc uživatelů uvedla, že používáte nejvíce up-to-date verzi. Bylo málo času na mnoha uživatelům aktualizovat jejich software, ale hrozivější do konce června jsme ještě viděli téměř dvakrát tolik lidí, kteří používají zranitelné zastaralé verze U17 jako novější U21 verze vydané v polovině dubna. Počet lidí, kteří používají U21 byl 3,5 mil. Kč a počet lidí, kteří stále používají zastaralé a zranitelné SE U17 byl více než 6 milionů.
Analýza odhaluje předchozím období ve stejné situaci. Většina uživatelů se pracovat s jazykem Java, které jsou 2-3 generace starší, než většina up-to-date verze v době výzkumu.
Ve stejné době, když tento trend je nebezpečné, ale také ukazuje některé pozitivní signály. Srovnáme-li pět nejpoužívanější verzí Javy v srpnu se stejnými daty z konce června, pak můžeme vidět, že s podobným počtem jednotlivých uživatelů (18.650.000 v srpnu a 19,7 milionů v červnu), počet uživatelů používajících nejvíce up-to-date verzi Javy v srpnu byl výrazně vyšší než v červnu.
Níže uvedený graf znázorňuje procentuální podíl uživatelů používajících Top 5 verzí Javy v červnu.
Protože tam byl relativně krátkou dobu (méně než dva týdny) od vydání nejnovější verze (U25) a shromažďování údajů pro tuto zprávu, "poslední" verze používá pro účely této analýzy bylo U21. Jak graf jasně ukazuje, pouze 17,85% uživatelů běhali danou verzi Javy, zatímco většina lidí (téměř jedna třetina) byly pomocí zastaralý a zranitelné U17.
V srpnu jsme zaznamenali mnohem povzbudivý trend.
Jinými slovy, v létě, Java uživatelé objevila mnohem více ochotni aktualizovat na nejnovější verzi softwaru, než na jaře. Je obtížné určit přesné důvody tohoto zrychlení v procesu aktualizace. Je možné, že hromadné sdělovací prostředky pokrytí detekce zranitelnosti Java vyzváni, aby lidé jednat - tam bylo mnoho příběhů tohoto typu ve zprávách po celé jaro roku 2013. Jak je uvedeno v naší další analýze, letos na jaře se ukázalo být velmi náročné období pro Javu, zejména pokud se domníváte, že počet útoků a číslo cílové uživatele.
Část 2: Rok útoků na uživatele Java
Stabilní nárůstu útoků
V průběhu 12 měsíců od září 2012 do srpna 2013 Kaspersky Lab nahrál přes 14.100.000 útoky vedené proti uživatelům po celém světě. Ve srovnání se stejným obdobím v roce 2011-2012 se počet útoků zvýšil o 33,3%.
Zároveň, pokud se zlomit, že 12-měsíční rozpětí do dvou šestiměsíčních období, dynamika jsou ještě výraznější. Tam byl 52,7% nárůst počtu útoků v druhé polovině roku - 8540000 od března do srpna 2013 ve srovnání s 5.590.000 v předchozích šesti měsících. Dynamika útoků během posledních 12 měsíců:
Na začátku tohoto období, viděli jsme stabilní počet útoků během podzimních měsíců, a slabý klesající trend v prosinci. Pak se na začátku ledna jsme viděli ostrý nárůst, vrcholit v polovině měsíce a následuje podobně dramatickým poklesem.
Ve srovnání se stejným obdobím v roce 2011-2012 se počet útoků v letech 2012-2013 zvýšil o 33,3%.
Od února a do konce května, počet útoků rychle rostla. Byl to výsledek, mimo jiné, detekce všech nových zranitelností v Javě (87 zranitelností v únoru až květnu, z nichž tři byly hodnoceny jako kritické) a pomalým přechod mezi uživateli Java záplatami, bezpečnější verze.
Od června do srpna, jsme pozorovali trvalý pokles počtu útoků. V polovině června Oracle vydal novou verzi Javy, který byl pozdraven s aktivnějším přechodu na aktuální verzi, jak je popsáno v předchozí části této zprávy. Letní dovolená sezóna je tradičně pomalý, pokud jde o cybercriminal činnosti, což je další faktor, aby zvážila.
Kromě počtu útoků v průběhu roku, se počet uživatelů, kteří se vyskytly tyto útoky také zvýšil.
Další uživatelé v hledáčku
V uplynulém roce více než 14 milionů útoky cílené 3.750.000 uživatelů 226 zemích. Během prvních šesti měsíců roku 1,7 milionu jednotliví uživatelé čelili útokům zahrnující Java využije, ve srovnání s více než 2 miliony v příštích šesti měsících. Toto zvýšení března do srpna bylo přes 21% ve srovnání s předchozími šesti měsíců.
Počet uživatelů napadených v průběhu celého roku měnit v souladu s počtem útoků samotných. V zářím-únorem, průměrná intenzita přišel do 3,29 útokům na uživatele, zatímco březnu-srpnem, že číslo bylo 4,15. Z jedné poloviny do následujícího roku, intenzita útoků se zvýšil o 26,1%. V průměru se v průběhu roku, každý uživatel se setkali 3,72 útoky. Jak jsme oslovili výše, nejrušnější období a to jak v počtu útoků a počet cílených uživatelů byla jaro 2013.
Drtivá většina cílové uživatele (zhruba 79,6%) žije v pouhých 10 zemích a 10 zemí představoval drtivou většinu útoků (82,2%).
Pozoruhodné je, nicméně, po "pružiny probuzení," počet útoků klesl rychleji, než je počet postižených uživatelů. Například v červnu počet útoků ve srovnání s květnem klesla o 21,9%, zatímco počet napadených uživatelů se snížil o 15,5%. Je možné, že Oracle uvolnění U25 aktualizace hrál hlavní roli v tomto vývoji, protože by to znamenalo až záplatování kritických zranitelných míst v softwaru Java. Vzhledem k poklesu počtu uživatelů zranitelných verzí Javy by kybernetické crimnals přijaly opatření k přilákání více nových jednotlivé uživatele na nebezpečné webové servery. Logika je jednoduchá: čím více uživatelů tam jsou, tím větší je pravděpodobnost, že někdo bude mít zastaralou verzi Javy.
Obecně platí, že tyto výkyvy v počtu útoků a počet obětí znepokojující. Obě čísla výrazně vzrostly v uplynulém roce. Avšak kromě změn v dynamice celkového počtu útoků, viděli jsme také některé další kuriózní trendy v jejich distribuci v jednotlivých zemích v průběhu posledních 12 měsíců.
Část 3: Mezinárodní hrozba - geografie útoků uživatelů a zdrojů
Geografie útoků - deset velkých obětí
Jedním z nejzajímavějších výsledků této části studie je fakt, že drtivá většina napadených uživatelů (o 79,6%) žije v 10 zemích světa. Drtivá většina útoků (82,2%) došlo také v těchto deseti států.
Výše uvedená tabulka ukazuje USA na prvním místě, obdrží 26,17% všech útoků. Rusko je na druhém místě s 24,53% a v Německu (11,67%) je na třetím místě. Mezitím seznam nejvíce napadených zemí změnila v průběhu roku.
V březnu a srpnu 2013 USA a Rusko si vyměnili místa. Útoky v USA vzrostl z 21,44% na 29,26%. Útoky na ruských uživatelů klesl 6,82 procentního bodu na 21,83%.
V Kanadě se počet útoků zvýšil o více než 118% a dosáhl 0,24 milionu, v Brazílii vzrostl o 72% (0,22 milionu útoky). Počet případů ve Velké Británii vzrostl o 51%, ve druhé polovině roku bylo zjištěno více než 0.250.000 útoky.
Německá "příspěvek" ke společnému útoku obrázku zvýšil výrazně - o 1,95 procentního bodu. Jiné země také vykázaly růst. Nejen Ukrajinu je podíl klesl - o 1 procentní bod, od 3,38% do 2,38%. Sazby jiných zemí liší jen nepatrně.
Celkově to vypadá takto:
V období od března do srpna USA čelil dvakrát tolik útoků - 2500000 ve srovnání s 1,19 miliony útoků v posledních 6 měsících. V březnu 08. 2013 bylo více než milion útoky detekovány v Německu, zatímco v období od září do února bylo 0.580.000. Obecně platí, že USA, Rusko a Německo jsou vedoucími zeměmi z hlediska počtu útoků. Nicméně, dynamika růstu mezi lídry značně liší.
V Kanadě počet útoků zvýšil o více než 118% na 0.240.000, v Brazílii byl nárůst o téměř 72% na 0220000 útokům. Počet případů ve Velké Británii vzrostl o 51%, ve druhé polovině roku bylo zjištěno více než 0.250.000 útoků. Nejnižší nárůst byl zaznamenán v Rusku, Španělsku a na Ukrajině.
Není divu, protože počet útoků roste i počet uživatelů, kterým čelí útoku. Ratingy vedoucích zemí jsou podobné: téměř polovina všech uživatelů napadl během období výzkumu (48,27%) žijí v Rusku a USA. Každý desátý oběť žije v Německu.
Z hlediska intenzity útoků na jednotlivé uživatele, vůdcové jsou Brazílie a USA - během sledovaného období tyto země, respektive 5,75 a 4,79 viděli útoky na uživatele, což je výrazně vyšší než průměrná hodnocení pro jiné země. Německo je třetí s 4,04 útoky na uživatele, a Itálie přišel čtvrtém místě s 3,82.
Top 10 zemí podle intenzity útoku jsou:
Země Útoky na uživatele %
Brazílie 5.75 9.01%
Spojené státy 4.79 9.72%
Německo 4.04 11.83%
Francie 3.65 12.10%
Kanada 3.58 12.78%
Španělsko 3.42 13.94%
Spojené království 3.39 14.22%
Ruská federace 3.32 14.47%
Ukrajina 3.04 14.55%
Proč je intenzita útoků roste? Velký počet chyb zjištěných v Javě a uživatele, kteří nevšímejte si aktualizace softwaru vytvořit ideální podmínky pro počítačové zločince zahájit intenzivnější útoky.
Téměř polovina všech napadených uživatelů za dané období (48.27%) žije v Rusku a USA.
Když se dozvěděl, kdo byl nejčastěji napaden a kde budeme nyní analyzovat informace o zdrojích těchto útoků získat lepší pochopení problému.
Zdroje útoků - noví hráči jsou
Výrazným detailem na zeměpisné poloze mnoha útočných zdrojů - serverů, v Prostě - je skutečnost, že země hosting těchto serverů jsou často daleko od zemí, které jsou na přijímací straně útoků.
Celkem bylo v průběhu roku 1210000 unikátních útok zdroje zjištěn v 95 zemích. Více než polovina z nich se nachází v USA, Německu a Rusku.
Od zářím-února Kaspersky Security Network zjištěna 0410000 škodlivé servery umístěné v 86 zemích.
Od března do srpna Kaspersky Security Network shromažďují informace o 0,8 milionu škodlivých serverech ve 78 zemích. Celkový růst v útoku zdrojů 95,2%.
Nicméně, nejvíce zajímavá věc tady není, že počet zdrojů zdvojnásobil ve lhůtě šesti měsíců, ale skutečnost, top 10 zemí dramaticky změnila. Německé čísla klesly o více než trojnásobně z 36,82% na 10,59%, tlačí dolů na třetí místo v druhé polovině roku. Rusko zůstalo na druhém místě a jeho postavy se příliš nezměnilo - 19,57% od září do března a 18,40% od března do srpna.
Německo a USA vyměnili místa. V první polovině roku byly pouze 12,99% útočných zdrojů nachází ve Spojených státech, v druhé polovině tohoto vzrostla na 31,14%
Celkem po 12 měsících studia Top 10 zemí, které slouží jako zdroj útoku jsou následující:
Celkem bylo v průběhu roku 1210000 unikátních útok zdroje identifikovány v 95 zemích. Více než polovina z nich - 63,06% - se nachází v USA, Německu a Rusku. Další významné zdroje Exploit útoků lze nalézt v Nizozemsku (7,48%), Spojeném království (5,1%), České republice (3,66%), Francie (2,93%), Kanadě (2,47%) a Lucembursku (1,72%) . Zbývajících 10% zdrojů se nachází v 85 dalších zemích.
USA ukazuje silnou a stabilní nárůst počtu útoků zdrojů s počty zvyšuje od února a vrcholit v červenci.
Je zarážející, že některé země jsou vysoce hodnocené mezi "útočníky", ale nejsou mezi nejvýznamnější obětí. To by mohlo být připojeno k skutečnosti tyto země - likes Nizozemí, České republice, Lotyšsku a Lucembursku - nejsou považovány jako vysoce rizikové adresy pro zločinci, so hosting poskytovatele jsou méně pravděpodobné, že reagovat na stížnosti na nebezpečné stránky hostované na tyto servery. Samozřejmě, že tyto společnosti lze nalézt v mnoha dalších zemích, ale čísla jsou větší v zemích uvedených výše.
V průběhu roku útok zdroje změnily takto:
Na začátku sledovaného období bylo Německo konzistentní vůdce, i když počet útočných zdrojů klesl na rozdíl od špice mezi lednem a březnem. USA ukázal, rovnoměrného a největší nárůst počtu útoků zdrojů, horolezectví od února a vrcholit v červenci. V březnu se počet škodlivých serverů umístěných v Rusku prudce vzrostla. Je zajímavé, že na konci období studia tři členové Top 5 - Rusko, Německo a Nizozemsko - se má klesající tendenci, zatímco množství škodlivých serverů v USA a ve Velké Británii rostla. Ovšem stejně jako v níže uvedené tabulce, se však nemají zásadní vliv na celkový počet škodlivých serverů. Jak s útoky a napadení uživatelů, počet serverů klesly v průběhu léta.
Výše uvedená tabulka ukazuje korelaci počtu útoků napadl uživatele a servery, ze kterých byly pokusy o stažení využije.
V průměru, v průběhu roku 11,64 pokusí stáhnout exploit, byly vyrobeny z každého z více než 1,2 milionu unikátních zjištěné IP adresy.
Je to hodně? Za prvé, měli bychom vzít v úvahu tyto hodnoty platí pouze pro společnosti Kaspersky Lab uživatele, kteří se setkali takové stránky. Ve skutečnosti by mohlo být mnohem více stažení z každé IP adresy. Za druhé, exploity jsou velmi nebezpečný typ malware. Úspěšné stažení může vést k vážnému poškození, včetně finančních ztrát. Jinými slovy, škody způsobené útoky prováděné s exploity jsou nepřiměřené svým poměrně malým počtem.
Když už mluvíme o samotných útoků, během sledovaného období bylo jen šest kritické chyby zjištěny v Javě. Mohl by se opravdu vážně poškodit nechráněné uživatelů? Podíváme se na to podrobněji v další části zprávy.
Část 4: Bližší pohled na činů "v přírodě"
V průběhu sledovaného období produktŧ společnosti Kaspersky Lab zjištěn 2047 různých škodlivých rodiny byly zařazeny mezi využije. Nicméně - a to je typické - jen devět z těchto rodin tvoří většinu útoků, které byly zahájeny.
Zhruba 81% všech útoků byly zahájeny od pouhých 9 exploit rodin zaměřené 9 zranitelnosti.
Exploit.Java.Generic podpis znamená, že Kaspersky Lab cloud technologie zabezpečení zjistil chování, které je typické zneužití, ale v té době, že statistiky byly připraveny, byly tyto Nálezy nezjištěné v podmínkách, které Java zranitelnost byli cílení. Jen přes 2 miliony takové detekce byly zaznamenány během vykazovaného období.
Níže uvedená tabulka je dalším příkladem smutné stavu aktualizací ohrožených programů. Více než 50% zjištěných zpracovaných Kaspersky Lab technologie pochází z hrdinských zaměřené speciálně na chyby, které byly objeveny v roce 2012. V roce 2013 představovaly asi 13,61% útoků.
Dalo by se předpokládat, že souhrnné statistiky za posledních 12 měsíců není opravdu dát jasný obraz o situaci, protože tyto hrdinské činy byly navrženy tak, aby cílové chyby, které nebyly patch v roce 2012 a měl více času na šíření. Ve skutečnosti, pokud porušíte čísla se v srpnu 2013 je zřejmé, že unpatched využije v roce 2013 byl zodpovědný za mnohem větší počet útoků v posledním měsíci léta, než byly v průběhu roku v průměru.
Nicméně, pokud jste se podívat na Top 10 využije za tentýž měsíc, situace vypadá jinak.
CVE-2012-1723 je stále lídrem mezi identifikovaných využije. První veřejné oznámení o této chybě došlo v červnu 2012. Oracle vydal patch jen o několik dní později. Jak můžete vidět z grafu více než o rok později 20% útoků i nadále zahrnovat CVE-2012-1723.
Více než 50% z odhalení zpracovaných Kaspersky Lab technologií dobu 12 měsíců účastní zneužití chyby zabezpečení, které byly zaměřené na unpatched v roce 2012. Chyby zjištěna v roce 2012 odpovídat za zhruba 13,61%.
Nicméně, jak jsme již zmínili výše, v průběhu vykazovaného období, bylo zjištěno šest nových kritických zranitelností. To je, jak se krajina útoků se měnila i nové díry v zabezpečení Java jsou detekovány.
Řádky v tabulce představují využít vedené útoky registrovány v průběhu roku
Dynamika útoky zasahující exploity, které se objevily v průběhu vykazovaného období připomínají závodě štafet. Jak se počet útoků zaměřených na jednu chybu začne padat, nový vzniká, a využije cílení že jednou převezme štafetu a v čele závodu. Tato tabulka také ukazuje, jak byla CVE-2012-4681 zapojen do útoků. To zejména činem byl zjištěn pouhé tři dny před uplynutím lhůty se vztahuje tato studie začala, a byl Zero Day typu zranitelnost představuje zásadní hrozbu. Přestože Oracle dělal uvolnění nouzového náplast dne 30. srpna 2012 graf ukazuje, že i po mírném poklesu v počtu útoků v říjnu, to bylo lezení zálohovat grafu konci listopadu.
Využít zaměření CVE-2012-5076 byl objeven v polovině října 2012 a vzal štafetu od CVE-2012-4681. To se okamžitě staly populární mezi zločinci, protože je schopen infikovat několik verzí Javy. Ačkoli místo pro zranitelnost byla vydána v témže měsíci v březnu 2013 byl tento exploit stále uveden na Blackhole , jeden z nejčastějších Exploit balení na černém trhu, protože se mohou zaměřovat na širokou škálu verzí a infikuje oběti spolehlivěji .
CVE-2013-0422 je dalším Zero Day zranitelnost, která byla objevena letos v lednu. Patch byl propuštěn rychle, ale počet útoků zvýšil, a to až do února. Poté, pokles počtu útoků začal zpomalovat, a usadil se v na úrovni 25,000 detekcí za měsíc až do srpna. Stejně jako jeho předchůdce, byl tento exploit uveden na Blackhole spolu s dalšími známými exploit balení. CVE-2013-0422 spolu s CVE-2012-1723 byly použity v Icefog špionážní kampani objevil Kaspersky Lab vědci nedávno.
CVE-2013-0431 zranitelnost, která se objevila na počátku února, byl aktivně používán, včetně gangem počítačoví zločinci šíření Reveton , scareware Trojan. Toto programové bloky počítače oběti a zobrazí se zpráva údajně od FBI o tom, že uživatel porušil zákon a musí zaplatit pokutu. Skupina stojící za těmito typy útoků byl zatčen španělskou policií na začátku února 2013 když to nezabránilo šíření tohoto Trojan. V polovině února se objevily informace on-line o počítač infikován Reveton po útoku zahrnující využije zaměřené CVE-2012 až 0431.
CVE-2013-1493 zranitelnost, která se objevila na začátku března byl také terčem útoků, které byly většinou zaměřené na průmyslovou špionáž. Konkrétně, podle údajů z nezávislých studií, škodlivý program, který byl nainstalován po činem byl spuštěn spojen s uživateli se zlými úmysly serveru na stejné IP adresy jako C & C server používaný při útoku proti Bit9 v únoru letošního roku.
V absolutním vyjádření útoky zahrnující šest rodin využije představovat nejméně 47,95% z celkového počtu exploit útoků. To je téměř polovina všech útoků exploit Java zjištěných produkty společnosti Kaspersky Lab.
Využije zaměřené CVE-2013-2423, který byl zjištěn v červnu 2013 byly nalezeny odborníky společnosti Kaspersky Lab, které mají být zapojeny do útoků proti uživatelům Apple. To je si myslel, že tyto útoky byly zahájeny v rámci kampaně proti návštěvníků na internetových stránkách vlády exilové tibetské něco Kaspersky Lab řešit dříve.
Všechna tato data je jen dalším příkladem toho, jak uživatelé se zlými úmysly využil chyb, které byly objeveny v průběhu vykazovaného období. Obecně platí, že šest zranitelností, které jsou definovány tok útoků proti Javy v září 2012 do srpna 2013.
V absolutním vyjádření, útoky na kterých se tyto rodiny představoval alespoň 47,95% z celkového počtu útoků, nebo téměř polovina všech Java využívat detekci zpracované produkty společnosti Kaspersky Lab.
Ve stejné době, více než polovina (53,17%) z celkového počtu uživatelů vystaven útokům s nimiž se setkávají alespoň jeden útok zahrnující exploit, z jednoho z těchto šesti rodin.
A to bylo 12 měsíců útoky na Javu. Nicméně předtím, než jsme se spojit výsledky této studie, dejte nám první se podívat na jen jeden nebezpečný typ útoku setkala společnosti Kaspersky Lab uživatelů během tohoto období 12 měsíců.
Část 5: Plus 4,2 milionu útoků zachycených Automatické technologií Exploit Prevention
Klíčovou postavou v této studii je, že produktŧ společnosti Kaspersky Lab blokován přes 14 milionů útoky zasahující Java využije. Ve skutečnosti, společnosti bezpečnostního systému registrováno 4.200.000 další incidenty. To je počet útoků, které byly zablokovány jeden-a-druhu společnosti Kaspersky Lab Automatické Exploit Prevention techniky. Tyto 4200000 útoky měly vliv 2250000 jednotlivých uživatelů po celém světě.
Proto jsme se rozhodli analyzovat údaje z automatického Exploit Prevention samostatně
Boj proti útokům pomocí exploitů je vícestupňový proces, ve kterém několik bezpečnostních subsystémů antivirový produkt hrají roli. První krok se odehrává na úrovni webové stránky, když bezpečnostní produkt, vedené v databázi škodlivých webových stránek, se pokouší blokovat každý uživatel přesměruje na stránky očkuje zneužít. Pokud to nepodaří odhalit hrozbu, snad proto, že webové stránky právě vytvořili, a dosud není zařazen na černou listinu, pak soubor antivirový modul zapojí. To naskenuje stránku na jakékoliv známky škodlivého kódu, na základě podpisu databáze a heuristické záznamy. Ty jsou rozšířeny s podpisy, které pomohou odhalit jako-of-přesto neznámý škodlivý kód, pomocí značek, které jsou typické známého malware. Pokud to není možné rozpoznat hrozbu, Kaspersky Lab software automaticky provést kontrolu pomocí exploitu podpis databáze. Pokud to nebude vytvářet žádné výsledky, pak aktivní exploit technologie detekce je aktivována - Automatické Exploit prevence je jednou ze složek této technologie postavené na produkty společnosti Kaspersky Lab. Můžete se dozvědět více o tom, jak bojuje proti zneužití v tomto článku publikované zranitelnosti manažer společnosti Kaspersky Lab Research Group, Vyacheslav Zakorzhevsky.
Na tomto místě bychom měli poznamenat, že v procesu neutralizace exploitu je popsáno výše, Automatická Exploit Prevention je svým způsobem jakýsi není konečná hranice bezpečnosti "Final Frontier." - Pokud z nějakého důvodu, škodlivý kód řídí dostat přes Automatické Exploit Prevention (což je velmi nepravděpodobné) a stáhnout škodlivého kódu do počítače uživatele, bude stále detekován a blokován dalšími složkami bezpečnostního produktu. Nicméně, Automatická Exploit Prevention je jedinečný v tom, že výrazně snižuje pravděpodobnost tohoto scénáře se odehrály.
Zatímco většina jiných bezpečnostních technologií jsou postaveny, aby obhlédli škodlivé komponenty v kódu, který vstupuje do počítačového systému zvenčí, Automatická Exploit Prevention analyzuje chování legitimní součástí, nikoli škodlivé komponenty. V případě Javy, to znamená, že komponenty softwarového prostředí nainstalován v počítači uživatele. Obecně lze říci, Automatická Exploit Prevention má "základní představu" o tom, jak ten či onen prvek Java by měla nebo neměla fungovat. V případě analytických systémů, technologie na vědomí, anomálie v chování komponent Java, a je-li, že software začne fungovat tak, že developer nemá v úmyslu to, Automatické aktivuje Exploit Prevention a bloky využívat.
Tato technologie má zásadní význam pro zajištění nejvyšší kvality ochranu uživatele před počítačovými útoky z jednoho prostého důvodu: uživatelé se zlými úmysly jsou připraveni a ochotni investovat do rozvoje způsoby, jak obejít bezpečnostní systémy instalované na počítačích svých potenciálních obětí.
Podle informací, které lze nalézt na jakékoliv hackerské fórum - dokonce i ten, který není uzavřen pro veřejnost - 1000 úspěšný exploit stažení běží o $ 80 - 120 dolarů. A pokud "klient" těchto služeb chce vidět jakýkoliv typ potenciálních "zisků" na infikovaných počítačů, jako je on-line bankovní trojské koně nebo šifrování trojské koně, pak je cena za tisíc downloads může být jak hodně jak $ 140 - 160 dolarů.
Není žádný důvod se domnívat, že všechny 4200000 útoky zablokovány automatické Exploit Prevention byly zaměřeny útoky, ale lze předpokládat, s notnou mírou jistoty, že mnohem více péče byla pořízena při přípravě těchto útoků, ve srovnání s ostatními.
Vysoká úspěšnost těchto typů útoků je vytvoření efektivního zneužití balení lukrativní usilovat o počítačoví zločinci. To je důvod, proč jsou ochotni věnovat čas a prostředky pečlivě studovat antivirové programy, aby bylo možné zjistit, jak porazit detekčních technologií v jakékoliv součásti antiviru.
Níže uvedená tabulka ukazuje dynamiku těchto sofistikovanějším využít LED útoky:
Zřetelný pokles počtu zjištěných APZ po březnu 2013 lze vysvětlit dvěma klíčovými faktory: neustálé zlepšování odborníky společnosti Kaspersky Lab jiných technologií Exploit Detection, a skutečnost, že počítačoví zločinci prostě neměl potřebovat, aby jejich útoky tak sofistikovaný.
To stačí vrátit do grafu od začátku této studie:
Zatímco počet odhalených APZ snížila, počet zjištěných ostatních, "vyšší úrovni" Společnost Kaspersky Lab má bezpečnostní komponenty, naopak stouply.
Současně byly tři kritické zranitelnosti objevené v Javě a využívá cílení je již úspěšně útočili uživatelé. Jinými slovy, uživatelé se zlými úmysly mají velkou zásobu cílů k útoku, a oni se není třeba dbát zvýšené opatrnosti, aby zakryly již známé exploity nebo vyhledat nové. V červnu Oracle už obvázal většinu bezpečnostních incidentů v jeho produktu, a situace se začala měnit. Nemáme žádný důvod se domnívat, že všechny 4200000 útoky zablokovány automatické Exploit Prevention byly zaměřeny útoky, ale můžeme říci s notnou mírou jistoty, že tyto útoky byly připraveny s mnohem větší péči než jiné útoky. Po vynikajících výsledků v odborných laboratorních testů, Automatická Exploit Prevention nyní osvědčil na bojišti.
Závěr: Význam sofistikovaných technologií v době sofistikovaných útoků
Klíčovým závěrem celé studie může být scvrkla na jednu větu: bez ohledu na to, jak rychle se vývojáři uvolnit aktualizace záplat chyb, je to stále neřeší problém exploit útoků. Oracle oprava všech kritických zranitelných míst a informace o těchto oprav byla zveřejněna během období určeného v této zprávě. V některých případech byl propuštěn jen pár dní trvalo, než náplast. Všechny stejné, počet útoků a počet uživatelů vystavených na tyto útoky pokračovaly v růstu.
Uživatelé si nemusí instalovat aktualizace zabezpečení dostatečně rychle a počítačoví zločinci, protože věděl, že Java software se používá obrovské množství lidí, nikdy neunaví vyhledává zranitelnosti tohoto softwaru, aby mohli vytvářet nezákonné zisky z těchto chyb.
Bezpečnostní řešení, které mohou účinně působit proti zneužití se stávají jakousi hranici v oblasti bezpečnosti, poskytuje vývojářům softwaru zranitelné více času na přípravu náplastí, a uživatelům bezpečný způsob, jak používat internet, dokud se náplast uvolní. Navíc tato řešení obecně nižší výnosnost úsilí kybernetické trestné. Vyjádřeno v penězích, 14100000 útoky zablokovány Kaspersky Lab znamená ztrátu nejméně 1.400.000 dolar (za předpokladu, že 100 dolarů za každých 1000 úspěšné stažení) pro počítačoví zločinci, kteří se snaží vydělat peníze z prodeje stažení, které v konečném důsledku nemají konat.
Aby se zabránilo útokům zahrnující chyby a ztráty, které tyto útoky by mohly způsobit, Odborníci společnosti Kaspersky Lab doporučují, aby podniky a domácí uživatele dodržovat následující pravidla.
Pro podnikatele:
Obrovská část rizik spojených s zranitelností bude neutralizovat, pokud podnikové IT infrastruktury zahrnuje řešení pro administraci firemní osobní počítač s funkcemi patch management, jako ti nalezený v Kaspersky Lab Management Systems . Patch management funkce pomáhá rychle nainstalovat důležité aktualizace do centralizovaného systému, držet krok admina o stavu software běžící na libovolné pracovní stanice v rámci firemní sítě.
Většina útoků, které využívají zranitelná místa v legitimní software (včetně Java) začít s odkazem na škodlivé webové stránky. Tyto útoky lze zabránit tím, že blokuje odkazy na tyto stránky s Web Control, speciální zdroj, který pomáhá kontrolovat zdroje uživatelské access.These může pomoci přísně omezit seznam webových stránek, které firemních počítačů je povoleno navštívit.
Zkontrolujte pracoviště ještě spolehlivější zabezpečení spolu s produktem Application Control, který umožňuje pouze omezený seznam aplikací, uvést na firemních počítačích. V případě, že potenciálně nebezpečné unpatched chyba je objevena v programu, široce používané v rámci společnosti, může Application Control zabránit, aby program již spuštěn na jakémkoli počítači v rámci firemní sítě. Pokročilé Web Control a funkce ovládání aplikace jsou prováděny pomocí robustní platformu pro firemní IT infrastruktury jistoty poskytnuté na Kaspersky Endpoint Security pro podnikání .
Uživatelé se zlými úmysly jsou často schopni vyvinout cílené neopravených zranitelností využije nějakou dobu, než kritické aktualizace zabezpečení pro firemní software, může být propuštěn. To je důvod, proč celková ochrana pro firemní infrastruktury by měly využívat pokročilých bezpečnostních řešení s technologiemi, které mohou působit proti exploit útoky. Kaspersky Lab Automatické Exploit Prevention účinně brání Exploit útoky ve spolupráci s řadou dalších moderních technologií jsou k dispozici v aplikaci Kaspersky Endpoint Security for Business .
Pro spotřebitele:
Nejmodernější software, včetně Java, Adobe Reader a Flash Player, obsahuje vestavěnou aktualizací softwaru systému. Nezapomeňte používat, a ne ignorovat vyzve k instalaci aktualizací, protože to je nejspolehlivější způsob, jak udržet software běžící na vašem domácím počítači v aktuálním stavu.
Uživatelé se mohou setkat využije na jiných místech než jen škodlivé webové stránky. Často se uživatelé se zlými úmysly najít chyby v legitimní a populární webové stránky, jako je mediální sítě, sociální sítě, nebo online obchod, a používat to, aby rozšířil využije. Aby bylo možné spolehlivě chránit před všemi druhy potenciálních hrozeb, včetně útoků prostřednictvím zranitelného softwaru, použijte kvalitní internetové řešení pro zabezpečení - například Kaspersky Internet Security - se specializovanými technologiemi, které jsou schopny působit proti phishingu, spamu, viry, trojské koně a komplexní útoky.
Java je velmi rozšířený software, který obvykle vyžaduje počítač fungovat normálně při spuštění multimediálního obsahu na internetu. Nicméně, Java není nezbytně nutné, aby bylo možné pracovat s webovým obsahem. Takže i když jste nainstalovali všechny příslušné aktualizace a co nejlepší bezpečnostní řešení, pokud máte stále pocit, že váš počítač není bezpečný, jednoduše vypněte Java na vašem počítači. Tato akce může zabránit některé funkce na některé webové stránky pracovat, ale současně mohou tyto zdroje být vždy přístupný pomocí bezpečnější alternativní technologie.
Nejlepší IT předpovědi pro rok 2014 a dále
10.10.2013 Analýzy
Gartner ukázal své nejlepší předpovědi pro IT organizace a uživatelů IT pro rok 2014 a dále. Předpovědi na rok 2014 v sobě spojují několik rušivých témat - digitální průmyslové revoluce digitálních obchodních, inteligentní Stroje a Internet věcí - které jsou nastaveny mít dopad i daleko jen funkce IT.
"Gartner 2013 generálním ředitelem průzkumu vyplývá, generální ředitelé domnívají, že podnikatelské nejistoty klesá, a přesto, CIO vzhůru každý den do světa technologické nejistoty a změny," řekl Daryl Plummer, výkonný viceprezident a významný analytik společnosti Gartner. "Důvtipný CIO dostane jeho nebo její CEO rozpoznat změny jsou vyvolané působením rušivých směn se blíží rychlým tempem a na globální úrovni dopadu." 10 nejlepších Předpovědi jsou rozdělena do čtyř kategorií a zahrnují: Digitální průmyslové Revolution - IT není jen o IT fungovat. Místo toho se stal katalyzátorem pro další fázi inovace v osobním a konkurenceschopné podnikatelské ekosystémy. Jedním z míst, kde je to patrné v počátcích digitální průmyslové revoluce, která ohrožuje přetvořit jak fyzické zboží vytvořeny pomocí 3D tisku. Do roku 2018 bude 3D tisk za následek ztrátu nejméně 100 miliard dolarů ročně v oblasti duševního vlastnictví na celém světě. Blízké budoucnosti Flag: Alespoň jedna hlavní západní výrobce bude tvrdit, že měl duševního vlastnictví (IP) ukradené pro běžné výrobku zloději používají 3D tiskárny, která bude pravděpodobně bydlí ve stejných západních trzích než v Asii v roce 2015. propad v náklady 3D tiskárny, skenery a 3D modelování technologie v kombinaci s možnostmi zlepšení, je technologie pro IP krádeže více přístupné pro rádoby zločinci. Důležité je, že 3D tiskárny nemusí produkovat hotové dobrý k tomu, aby IP krádeže. Schopnost vytvořit voskovou formu z naskenovaného objektu, například, může umožnit zloděje produkovat velké množství položek, které přesně kopírují původní. Do roku 2016 bude 3D tisk tkání a orgánů (bioprinting) způsobují globální debatu o regulaci technologie nebo zákaz ji jak pro člověka a nelidský použití. Blízké budoucnosti Flag: US Food and Drug Administration nebo srovnatelné agentura v rozvinuté zemi, která má za úkol vyhodnocovat veškeré lékařské návrhy představí zásady, které zakazují bioprinting záchranu života 3D tištěných orgánů a tkání bez jejího předchozího schválení do konce roku 2015. Bioprinting je lékařské využití 3D tiskáren vyrábět živou tkání a orgánů. Den, kdy 3D bioprinted lidských orgánů jsou k dispozici se blíží. Vznik 3D bioprinting zařízení s možností tisku lidské orgány mohou nechat lidi zajímalo, jaký vliv to bude mít na společnost. Kromě těchto otázek, nicméně, tam je realita, co znamená 3D bioprinting na pomoc lidem, kteří potřebují orgány, které jinak nejsou k dispozici. Digitální Business - Digitální podnikání se vztahuje na činnosti vytvořené pomocí digitálních aktiv a / nebo schopnosti, zahrnující digitální produkty, služby a / nebo zkušenosti zákazníků, a / nebo prováděny prostřednictvím digitálních kanálů a komunit. Gartner digitální obchodní předpovědi se zaměřují na efekt digitálního podnikání bude mít na pracovní snížení na spotřebním příjmů a nakládání s osobními údaji. I když tyto nepokrývají součet digitálního podnikání, nemají zvýraznit kritické oblasti středně až dlouhodobého dopadu. roku 2017 bude více než polovina výrobců spotřebního zboží obdrží 75 procent svých spotřebitelů inovací a VaV kapacit z crowdsourced řešení. Blízko Termín Vlajka: . Spotřební zboží společnosti, které zaměstnávají crowdsourced řešení marketingových kampaní nebo vývoj nových produktů se mohou těšit na 1 procento zvýšení příjmů nad noncrowdsourced konkurentů 2015 inženýři, vědci, odborníky v oblasti IT a marketingu ve firmách spotřebního zboží se zapojí davy mnohem agresivněji a s rostoucí frekvencí pomocí digitálních kanálů k dosažení větší a anonymní bazén intelektu a názor. Gartner vidí obrovský posun směrem k aplikacím crowdsourcing, umožněné technologií, jako například:. Reklama, on-line komunity, vědecké řešení problémů, interních nové produktové nápady a spotřební, vytvořených produktů Do roku 2020 bude pracovní snížení efekt digitalizace způsobit sociální nepokoje a poptávka po nových ekonomických modelů v několika vyspělých ekonomikách. Blízké budoucnosti Flag: rozsáhlejší verzí "Occupy Wall Street" typ pohybu začne do konce roku 2014, což naznačuje, že sociální nepokoje začnou podporovat politickou debatu. Digitalizace snižuje pracovní obsah služeb a produktů v nevídané míře , čímž se zásadně mění způsob odměňování je alokována mezi prací a kapitálem. Dlouhodobá, to dělá to nemožný pro stále velké skupiny k účasti na tradičním ekonomickém systému - a to i při nižších cenách - vést je k hledání alternativy, jako je vyměňování bázi (sub) společnosti, ve kterém vyzývá k návratu k protekcionismu nebo oživení iniciativy, jako Occupy Wall Street, ale v mnohem větším měřítku. Vyspělých ekonomikách budou trpět nejvíce, protože nemají populační růst autonomní zvýšit poptávku, ani dostatečně silný, odborové svazy nebo politické strany, aby (znovu) rozdělení zisku v tom, co je i nadále globální ekonomiky. roku 2017 bude 80 procent spotřebitelů sbírat, sledovat a vyměnit své osobní údaje pro úspory, pohodlí a přizpůsobení. Blízké budoucnosti Flag: počet Kickstarter bázi aukcí osobních údajů zvýší o trojmístnou procenta do konce roku 2014. Eskalace povědomí spotřebitelů o postupy sběru je připravit půdu pro které spotřebitelům nabízí větší kontrolu nad dispozicí osobní data - sběr online i offline. Jako rostoucí poptávce a nedostatku vyžene hodnoty těchto údajů, pobídky růst lákat spotřebitele, aby sdílet dobrovolně. Mezitím zájem spotřebitelů Samořízená také vyplývá, že spotřebitelé se investovat více času a energie při shromažďování dat o sobě. Jsou stále více vidět takové údaje jako klíčový přínos pro zlepšení života, která je potenciálně v souladu s myšlenkou, že obchodování je pro hodnotu za správných okolností. podniky 2020, a vlády se nechrání 75 procent citlivých údajů a odtajnit a poskytnout široká / veřejný přístup k ní. Blízké budoucnosti Flag: Do roku 2015 bude alespoň jeden další Snowdenová nebo WikiLeaks okamžik nastane, což naznačuje rostoucí trend ve společnosti a přijímání vlád, že se nemohou chránit všechny důvěrné informace. množství dat uložených a používají podniky a vlády roste exponenciálně tak, že jakýkoli pokus o ochranu toho všeho je nereálné. Místo toho, aby tváří v tvář nezměrné úkol chránit veškeré údaje, podniky a vlády se zaměří na ochranu jen malou část, ale chrání to dobře. Širší společnost bude také těžit z tohoto přístupu, což je zavést lepší kontrolu nad vládou a podnikatelským sektorem, předcházení zneužívání moci a plodí větší důvěru. inteligentní stroje - vznik inteligentních strojů dodává příležitost a strach jako "Cognizant a kognitivní systémy" a může zlepšit procesy a rozhodování, ale může také odstranit potřebu pro člověka v procesu rozhodování a úsilí. CIO budou vidět toto jako prostředku, který poskytne větší efektivitu, ale bude muset najít rovnováhu mezi aktivním lidské síly a studené efektivity strojů, které mohou učit. do roku 2024 bude nejméně 10 procent činností potenciálně škodlivých lidskému životu vyžadují povinné používání z nonoverideable "inteligentní systém". Blízké budoucnosti Flag: cenově výhodný vozy s "automatizované pomoci" technologií přidán jako standardní vybavení se zvýší až 2014 jako indikátor přijetí. Rostoucí využívání "inteligentních" systémů, které jsou schopny automaticky reagovat na vnější události se zvyšuje po celou dobu, ale zůstává hluboce zakořeněného odporu eliminovat možnost lidského zásahu. Schopnosti, spolehlivost a dostupnost vhodné technologie nejsou problém. Ochota obecné populace přijmout počáteční všeobecný rozvoj a zvýšení odstranění manuálních možností přepsání, je otázka. Do roku 2020 bude většina znalostí cest pracovníků kariérového být narušena inteligentních strojů v pozitivních i negativních způsoby. Blízké budoucnosti Flag: Virtuální osobní asistent využití v podnikání roste rychleji v letech 2017 a 2018, než iPad použití dělal v letech 2010 a 2011. Gartner předpovídá, že inteligentní stroje budou převrátit většina profesních znalostí pracovníků cest v roce 2020. Inteligentní stroje využít strojového učení a hluboké algoritmů. Oni se chovají autonomně, přizpůsobit se jejich prostředí. Učí se z výsledků, vytvářet svá vlastní pravidla a vyhledejte nebo si vyžádat doplňující údaje k testování hypotéz. Jsou schopni detekovat nové situace, často daleko rychleji a přesněji než lidé. IT odborníci si musí uvědomit, že inteligentní stroje mohou vytvořit významné konkurenční výhody, stejně jako zcela nové podniky. roku 2017 bude 10 procent počítačů se učit, nikoli zpracování. Blízké budoucnosti Flag: V roce 2014 se počet žádostí rozpoznávání řeči běžících na hluboké algoritmů neuronových sítí zdvojnásobit. Hluboké výukové metody, založené na hluboké neuronových sítí, se v současnosti používají v systémech rozpoznávání řeči, jakož i některé aplikace rozpoznávání objektů. Kvalita života zlepšuje, když společnost může získat užitečné informace z velkým množstvím nestrukturovaných sběru dat na internetu. Nejdůležitějším důsledkem učení počítače, je to, že rozšiřuje mnohem méně energie rozpoznat složitější vzory. Internet věcí - Internet věcí cementů spojení mezi stroji, osob a obchodních interakcí v moderní době. S příchodem masivně připojených zařízení, podniky, vlády a lidé mají nyní přístup k více informacím o sebe io své okolí, než mohou skutečně jednají. Gartner předpověď zaměřuje na příležitost k vytvoření aplikací a služeb, které mohou tyto informace použít k vytvoření nové angažmá modely pro zákazníky, zaměstnance a partnery, a podporovat novou sadu obchodních a marketingových modelů, které slovo "zasnoubení" skutečně cenný . Do roku 2020 se spotřebitelské údaje získané od nositelná zařízení řídit 5 procent tržeb z Global 1000. Blízké budoucnosti vlajky: . Počet smartphone aplikace, které žádaly o sdílení spotřebitelských dat se zvýší dvojnásobně do roku 2015, což znamená nárůst počtu obchodníků a majitelů, kteří hledají přístup k údajům zákazníků profilu nositelných počítačů nebo Wearables, se rychle pohybuje do většinové společnosti , vedl o pěstování, multibillion dolar zdraví a fitness trzích. Během pěti let se spotřební wearables stále důmyslnější, zachytit to, co uživatel vidí, slyší nebo dokonce cítí přes Biorhythmic odpovědí. Technické překážky, které pozastavily přijetí Wearables (životnost baterie, rozšířená realita, čip vývoj a šířku pásma) se rychle eroduje, otevírání dveří, aby tvůrců určených k využití této technologie pro komerční zisk o čemž svědčí značných investic do nositelných technologií společnosti Samsung, Google, Apple a Microsoft. "Zatímco některé z těchto rušivých témat by se mohlo zdát, jako by nemají přímý dopad na IT funkce, musíme přijmout představu, že je nyní součástí všeho," řekl pan Plummer. "Vzhledem k tomu, strukturu podniků a průmyslu změnit, budou systémy, které podporují jejich změnu, a tak na dovednosti, postupy a kontroly potřebné k udržení jejich funkčnosti. Den, kdy 3D tištěné architektura počítače existuje, je na nás, a dny, kdy digitální obchod, chytré stroje nebo Internet věcí změnit to, co počítače, nemusí být daleko. "
Microsoft exceedes 100 bulletiny pro rok 2013
10.10.2013 Zranitelnosti | Analýza
Byl to zajímavý měsíc pro Microsoft diváků zabezpečení na světě. Pokud je vaše práce závislá na zajištění systémů se systémem Windows, měli byste se netrpělivě čekají na opravu pro Internet Explorer (IE) 0-day (CVE-2013-3893: SetMouseCapture Use-po-Free) zranitelnosti v dnešním Patch Tuesday (MS13-080 ). Zneužití této chyby zabezpečení byla zjištěna první cílené, regionálně omezené využití, a později v širším použití, pokud se kód exploitu rozšířila do různých veřejných místech. Doufejme, že uživatelé nainstalovali Microsoft fixit a / nebo Emet zmírňování, a možná dokonce i vyzkoušel s Metasploit modul, který vyšel minulý týden. To, co asi nevíte, pokud pracujete v Security Response společnosti Microsoft nebo mají připojení na to, co člověk by se dalo nazvat "Advanced Persistent Threat," je to, že z devíti dalších IE zranitelnosti opravené MSFT tento měsíc, tam je druhý IE 0-day, který také byl zaznamenán na použití v cílené využívání. To je CVE-2013 - 3897. Nyní, to neznamená, že zbývajících osm IE chyby nejsou potenciálně stejně špatné nebo ještě horší. Nicméně, alespoň v této době, nejsou známo, že v použití "špatné lidi." MS13-081 adresy exploit cesta (CVE-2013 až 3128), který by útočník kernel-level přístup do systému, který pokusy o proměnu stránku obsahující škodlivý písmo OpenType. Technicky jeden z CVEs v MS13-082 řeší variantu téže věci, které Microsoft zjištěné auditem použití daného kódu. V tomto případě je varianta by poskytnout pouze na úrovni uživatele přístup k tomuto útočníka. V současné době je tento problém není známo, že se v aktivní využití. Tento informační zpravodaj obsahuje také šest dalších zranitelností různé závažnosti. MS13-083 vypadá opravdu zábavné jeden - dálkové ovládání, server-side zranitelnosti nabízí vzdálené spuštění kódu, který je zasažitelný přes ASP.net webových stránek. Jedná se o originální výrobek, skutečný, upřímný k dobru, potenciálně "wormable" stavu. Pokud jsou "špatní" vymyslet způsob, jak automatizovat vykořisťování, mohli se rychle šíří a hloubkové ochrany opatřeních vaší organizace budou testovány. Nicméně, tato zranitelnost soukromými osobami společnosti Microsoft a není známo, že je předmětem aktivního využití. Na vrcholu toho všeho, že existují čtyři MS Office zranitelností. Tyto problémy byly pouze označeny jako "důležité" pro toho či onoho důvodu. Nepoužívejte ignorovat, ale oprava další problémy v tomto měsíci poradní prvním případě budete muset provést tento druh rozhodnutí. Autor: Ross Barrett, Senior Manager, Bezpečnostní technika, Rapid7.
Internet věcí se změní vše
5.10.2013 Analýza
Internet věcí (Internet věcí) představuje novou konstrukci ve světě informačních a komunikačních technologií, který okupuje mysl IT dodavatelé, poskytovatelé služeb a systémoví integrátoři, neboť představuje obrovský potenciál pro nové toky příjmů a nové zákazníky.
IDC se na součásti, procesů a podpůrných informačních technologií a připojení k internetu věcí a očekává internetu věcí technologií a služeb tráví generovat globální příjmy ve 4800000000000dolar v roce 2012 a 8900000000000dolar roku 2020 roste složeným ročním tempem (CAGR) . 7,9% Některé umožnění vzestupu internetu věcí patří:
Pokračující rozvoj inteligentních měst, auta i domů
Rozšířené možnosti připojení infrastruktura
Je stále více spojena kultury.
I když tam je rostoucí poptávka po internetu věcí, stále existuje několik faktorů, které brání růstu tohoto trhu. To však neznamená, že nemohou být překonány, ale v současné době jsou překážky, které obě společnosti a podniky budou muset překonat, aby se internet věcí realitou. Některé z těchto problémů jsou na straně nabídky, včetně nedostatkem norem, globální škálovatelnost a rodícího se ekosystému pro vývoj aplikací. Na straně poptávky, problémy patří nedostatek povědomí a ostatní IT / mobility priority. I přes tyto problémy, IDC očekává, že instalovaný základ internetu věcí bude přibližně 212 miliard "věci" na celém světě ke konci roku 2020. To bude zahrnovat 30100000000 nainstalované "Connected (autonomní) věci" v roce 2020. To je do značné míry řízen inteligentních systémů, které budou nainstalovány a sběr dat - v obou spotřebitele a podnikové aplikace - na konci prognózovaného období. "Je důležité si uvědomit, že zatímco trh pro internet věcí, je stále ještě v plenkách , tam je dlouhá dědictví autonomních kabelové spojených věcí, "říká Carrie MacGillivray, Program Vice President, mobilní služby, M2M a síťové infrastruktury. "Enabler pro zvýšení růstu v období prognózy je všudypřítomnost připojení k bezdrátové síti a všeobecného přístupu k Internetu bez ohledu na umístění."
4.10.2013 Zdroj:Kaspersky Analýzy
Proxy Auto-config (PAC) soubory jsou moderní zdroj, který existuje ve všech moderních prohlížečích.Definují, jak webové prohlížeče a další uživatelské agenty lze automaticky vybrat odpovídající proxy server (přístup metoda) k načtení dané URL.
Soubor PAC formát byl původně navržen firmou Netscape v roce 1996 pro Netscape Navigator 2.0.Prohlížeč podporující PAC poskytuje přístup k seznamu funkcí, jak jsou definovány v původním Netscape specifikace. Každý prohlížeč implementuje PAC do karantény, pouze umožňuje přístup k těmto JavaScript funkcí potřebných k provozu a nic víc. Například, to není možné pro přístup ke řetězec agenta uživatele v souboru PAC, i když tento řetězec by být k dispozici normální webové stránky.
PAC je textový soubor, který definuje alespoň jednu funkci JavaScript, FindProxyForURL (url, host) , se dvěma argumenty: "url" je URL objektu a "host" je hostitel-jméno odvozené z tohoto URL. Tato funkce vrací adresu proxy serveru, který musí být použit k dosažení zadané URL, nebo řetězec "DIRECT", je-li nastaven žádný proxy je potřeba. Podle konvence je soubor PAC obvykle pojmenován proxy.pac .
Na podnikových sítích a to je velmi užitečné pro síťové administrátory, neboť jim umožňuje přesměrovat interní provoz. Umístění souboru PAC je určen - například to může odkazovat na adresu URL, kde se nachází skript, tato adresa URL musí být nakonfigurován na prohlížeči v nastavení:
Obrázek 1: URL ukazující na soubor PAC na Internet Explorer
Nebo by to mohlo být umístěna v místě:
Obrázek 2: PAC místně soubor nakonfigurován na Firefox
Soubor PAC může poskytnout podporu proxy, převzetí služeb při selhání, moderní proxy, boční podporu, a mnoho dalších :
Rozvinutí | Výhody | Nevýhody |
PAC |
|
|
Tabulka 1: Výhody a nevýhody použití PAC
Funkce podporované a povoleno v prostředí sandbox, jsou zdokumentovány níže :
dnsDomainIs: hodnotí názvy hostitelů a vrací "true", pokud názvy hostitelů zápas.
shExpMatch : pokusy odpovídají hostitele nebo adresu URL zadanou shell výrazu a vrací "true", pokud uzavřeno.
isInNet : vyhodnocuje IP adresu hostitele, a vrátí "true", pokud se zjistí ve stanoveném podsíti.Pokud název hostitele je předán funkce přeložit název hostitele na adresu IP.
myIpAddress : vrací IP adresu hostitelského počítače.
dnsResolve : řeší hostitelů na IP adresy. Tato funkce může být použita ke snížení počtu vyhledávání DNS.
isPlainHostName : tato funkce vrátí "true", pokud je název hostitele neobsahuje tečky, např.http://intranet. Užitečné při uplatnění výjimky pro interní webové stránky, protože může eliminovat potřebu vyřešit hostname jeho IP adresu zjistit, že je místní.
localHostOrDomainIs : hodnotí hostname a pouze vrací "true", pokud přesně název hostitele je nalezena shoda.
isResolvable: pokusy vyřešit název hostitele na adresu IP a vrátí "true" pokud bude úspěšný.
dnsDomainLevels: tato funkce vrací počet úrovní DNS domény (počet bodů), název hostitele.Může být používán dělat výjimky pro interní webové stránky, které používají krátké názvy DNS, např. http://intranet
timeRange, RozmeziDatumu, weekdayRange: umožňuje pravidla musí být časový bázi, například vrátit pouze proxy v určitých hodinách, dnech nebo měsících.
Upozornění: alert () funkce není součástí původní specifikace PAC, ačkoliv podpora pro toto je součástí aplikace Internet Explorer a Firefox. Tato funkce může být použita pro výstup hodnoty proměnné nebo výsledek funkce, a to způsobem, který může být viděn u koncového uživatele. To může být užitečné pro odstraňování problémů souborů PAC pravidel.
Ze souboru PAC níže:
Obrázek 3: Příklad obecného souboru PAC
Web Proxy Auto-Discovery Protocol, nebo WPAD, je variací na standardní informace PAC which umožňuje systému Windows stroje určit, které zařízení použít jako server proxy pro HTTP (S) provozu.Prohlížeč, který podporuje DHCP a DNS se nejprve pokusí najít soubor PAC pomocí DHCP. Pokud není konfigurace DHCP bude fail-over na DNS WPAD.
Stejně jako soubory PAC, WPAD metoda má také své výhody a nevýhody při použití v podnikových sítích:
Rozvinutí | Výhody | Nevýhody |
PAC |
|
|
Tabulka 2: klady a zápory používání WPAD
Proces nalezení web proxy s WPAD v podstatě funguje takto:
Jsem obdržel položku WPAD ve svém pronájmu DHCP? Pokud ano, pak skok na # 4.
Zeptejte DNS server, který uživatel sítě s názvem "WPAD" (nebo WPAD. [Mydomain.com]). Přejít na # 4 v případě, že vyhledávání bylo úspěšné.
Vysílání název NetBIOS servisní zprávu a požádat o "WPAD". Pokračujte na # 4, pokud někdo na síti tvrdí, že je nazýván "WPAD", v opačném případě nepoužívejte web proxy.
Stáhněte soubor http://wpad/wpad.dat
Použijte IP adresu definovanou v Wpad.dat jako proxy pro všechny protokoly HTTP a HTTPS webového provozu.
Windows 'WPAD funkce již mnoho let za předpokladu, útočníkům a penetrační testery jednoduchý způsob, jak provést MITM útoky na provoz webu. Tato metoda byla použita Flame malware zahájit MITM na Windows Update připojení v infikovaném síti.
Problém s Windows realizaci WPAD spočívá v tom, že používá název NetBIOS Service (dále jen NBNS) k řešení adresu "WPAD" serveru a NBNS je citlivá na spoofing útokům.
Ve výchozím nastavení jsou počítače se systémem Windows konfigurovány takovým způsobem, že se nejprve pokusí požádat serveru WINS pro název. WINS server je velmi nepravděpodobné, že být nakonfigurován tak, že se pak zeptá, všechny počítače v místní podsíti, pokud vědí o adresu počítače tímto jménem. A to je místo, kde spoofing vypovídací
Obrázek 4: NetBIOS Name Service dotaz na WPAD
Útočník by se mohl vyvinout aplikaci, která bude naslouchat na portu UDP 137 a odpovědět na všechny dotazy s wpad adresu útočníka webserver. Webserver, podle pořadí, by mohlo poskytnout škodlivý PAC soubor, který přesměruje oběť prohlížeče používat specifické servery proxy pro připojení na webové stránky, které jsou pro útočníka.
Ačkoli PAC je legitimní funkce se zneužití PAC soubory byly známy od roku 2005 . Tato technika byla zdokonaluje a vylepšuje brazilských zločinci, a pak to bylo společně s počítačovými zločinci z Turecka a Ruska.
Tyto útoky dosáhly dosud nevídanou úroveň složitosti a účinnosti, takže je možné použít 1 KB soubor hack celý bankovní účet. Kombinace hodně kreativity s drive-by download útoky, mohou tyto škodlivé skripty udělat víc, než obyčejný člověk-in-the-middle nájezdy, jsou schopni vydávat připojení HTTPS v tichém režimu, webovými útoky, které mohou být zahájeny pravidelně a úspěšně . Obecně se jedná o uživatele přesměrovat na phishingové stránky banky, společnosti vydávající kreditní karty atd.
V Brazílii škodlivé PAC soubory Trojan bankéřů byly častější od 2009 , kdy se několik rodin, jako Trojan.Win32.ProxyChanger začal nutit URL souborů PAC v prohlížeči infikovaných počítačů.
Obrázek 5: phishing stránka brazilské banky ve webovém prohlížeči nakonfigurován s nebezpečným PAC
Dnes alespoň 6 z 10 brazilských Trojan bankéři mají funkci, která může přidat škodlivý PAC prohlížeče config.
Obrázek 6: prostý textový škodlivý PAC soubor vytvořen a používán brazilské zločinci
Některé trojské koně se také pokusit změnit soubor prefs.js používá Mozilla Firefox nastavit konfigurace proxy serveru:
Obrázek 7: Trojan bankéř chystá změnit prefs.js na Firefox
Tento útok je velmi jednoduchá, vše Trojan je třeba udělat, je změnit jednu hodnotu v registru systému Windows, přidání URL souboru PAC:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings: "AutoConfigURL = http://www.badsite.com/pacscript.pac
Nebo přidání cesty do malého souboru (obvykle menší než 1 KB), pořádané v místě:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings, AutoConfigURL = file :/ / C :/ WINDOWS / proxy.pac
Některé útoky také změnit hodnoty níže uvedený klíč, který je zodpovědný za nastavení automatického serveru proxy Připojení k internetu v názvu:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Connections \ {Connection Name}
Počítačoví zločinci mohou výrazně zvýšit jejich možnosti útoků - a potenciální počet obětí - tím, že kombinuje tuto techniku s drive-by-download útoky, využívající Java zranitelnosti, vložení škodlivého applety na populárních webových stránkách nebo dokonce pomocí exploit kity, jako Blackhole .
Obrázek 8: úryvek z Blackhole užitečného zatížení používané brazilských zločinci změnit nastavení PAC na počítače oběti
To je tak efektivní, že ruští bankéři Trojan jako Trojan-Banker.Win32.Capper rovněž přijala stejnou techniku v roce 2012, spolu s kovanou digitálních certifikátů, jejímž cílem je přesměrovat uživatele na stránku phishing HTTPS.
Někteří podvodníci se rozhodl použít sociální inženýrství oklamat uživatele a zachovat škodlivý URL nakonfigurované nastavení prohlížeče pomocí klamavých doménových jmen, které se zdají na první pohled být důvěryhodně. Některé příklady:
http://egcon.com.br/images/avast.pac
http://defaultcache.com.br/ie
http://vpn.install-pcseguro.com/ssl.js
http://update.microsoft.com.br-ieconfig.ma.cx/security.jsp
http://sec.autoatt.com/
http://ww1.appsegurancamobile.com/kb2438658.php
Jako součást ochrany a detekce nabízíme našim uživatelům jsme začali blokování adres URL, které by poukázaly na škodlivé PAC soubory. V reakci na některé trojské koně přijala náhodné adresy URL, které se mění při každém restartu. Ostatní trojské koně začali používat krátké URL služby, jako bit.ly a doufal, že kontrole přesměrování a shromažďovat statistiky.
Obrázek 9: bit.ly URL ukazující na soubor PAC s více než 1 milion návštěv za 10 dní
Zjistili jsme, že černou listinu neposkytuje dostatečnou ochranu, a tak jsme se rozhodli vytvořit podpis detekce pro tyto malé soubory PAC pomocí verdikt Trojan-Banker.JS.Proxy. Udělali jsme to pro mnoho souborů:
Obrázek 10: Některé podpis detekce škodlivých souborů pro PAC
Pak se naše kočka a myš hra s brazilskými zločinci začal být zajímavější.
Protože některé anti-malware společnosti začaly pracovat na podpis detekce škodlivých skriptů PAC, zločinci reagovala s větší kód mlžení ve snaze obejít detekce.
To se ukázalo jako úspěšné: i dnes téměř každá AV Společnost má velmi nízké detekční míra těchto škodlivých PAC. Vzhledem k tomu, že je legitimní funkcí uživatelských prohlížečů, a protože tam jsou originální PAC, bezpečnostní produkty jsou často velmi opatrní zjištění ji ze strachu zvrací falešně pozitivní. Někteří nejsou ochotni nabídnout žádné řešení tohoto problému.
Chcete-li obejít podpis detekce brazilské zločinci začali používat všechny druhy mlžení JavaScript těchto škodlivých souborů PAC. Někteří šli ještě dál a vytvořit nástroje pro automatizaci tohoto zmatku a obchodování je mezi svými partnery ve zločinu za cenu R 5000 dolarů (asi US $ 2,500).
Obrázek 11: "PAC dělat Baixada" crimeware vyvinut v Brazílii poplést kód škodlivých PAC
Jiní dávají přednost použití webové stránky, které nabízejí Javascript šifrování:
Obrázek 12: on-line nástroj pro šifrování Javascript
Tato vydala nějaké neobvyklé crypto škodlivé skripty do volné přírody. Měli všechny druhy mlžení, jako je tento, se zřetězit řetězců:
Obrázek 13: PAC pomocí zřetězit řetězce
Nebo tohle s řetězci zrcadlovými:
Obrázek 14: PAC pomocí zrcadlové řetězce
Jiní se rozhodli nahradit název domény, na něž se skriptem nebo OŠ webové stránky:
Obrázek 15: PAC pomocí IP adresy namísto názvů domén
Jiní se objevil s využitím pokročilých JavaScript mlžení:
Obrázek 16: vysoce popletl škodlivý PAC
Ostatní skripty začal používat šifrování přidat symboly hodně odpadky:
Obrázek 17: Škodlivý PAC pomocí symbolů a odpadkové charCode
V některých souborů PAC, zločinci dokonce začal posílat varovné zprávy malware analytiků, jako je tento:
Obrázek 18: Zpráva v hlavě PAC říká: "f * ck, proč jsou tyto motherf * ckers čichání (moje PAC)? No tak, jdi cucat [redigován], dovolte mi, abych se svobodně, musím živit rodinu, partu matky * ckers, jít snadno na mě! Chcete-li pracovat se mnou poslat e-mail na xxxxxx@bol.com.br "
V dalším škodlivým PAC začali posílat pozdravy svým partnerům v trestné činnosti:
Obrázek 19: Zpráva říká: "Nepokoušejte se vymazat nebo upravovat tento soubor, nesnažte se čichat, zprávy, sundat nebo publikovat na Twitteru. Obyvatelé pekla přesměruje všechno znovu a všichni budou šťastní do konce.Zdravím zloději (několik přezdívky) "
Pojďme se blíže podívat na tento příklad. Rozhodla se XOR obsah PAC:
Obrázek 20: XORed škodlivý PAC
Použití konkrétní XOR klíče pro dešifrování skript nám ukazuje velký seznam cílů, který obsahuje:
Brazilské a latinskoamerické banky
Společnosti vydávající kreditní karty
Letecké společnosti, se ukrást body z věrnostních programů
Webmail služby jako Gmail, Hotmail, Yahoo
Platební systémy jako PayPal, PagSeguro, atd.
Finanční informační služby, Serasa Experia,
B2C webové stránky, a to zejména populární e-commerce webové stránky
V tomto příkladu všechny adresy URL uvedené níže se bude přitažené za vlasy pomocí proxy "att.nossodomain2.me ":
RRR + + mjqhdli FJH: www.hotmail.com
mjqhdli + FJH: hotmail.com
mjqhdli + FJH + gw: Hotmail.com.br
rrr + + mjqhdli FJH + gw: www.hotmail.com.br
HVK + FJH: msn. com
RRR + + HVK FJH: www.msn.com
ILS `+ FJH: live.com
rrr + ILS `+ FJH: www.live.com
rrr + + lqdp FJH + gw: www.itau.com.br
RRR + gdkfjlqdp + + FJH gw: www.bancoitau.com.br
gdkfjlqdp + FJH + gw: bancoitau.com.br
lqdp + FJH + gw: itau.com.br
rrr + lqdpu `wvjkkdilq` + FJH + gw: www.itaupersonnalite.com . br
lqdpu `wvjkkdilq` + FJH + gw: itaupersonnalite.com.br
rrr + v `wdvd + FJH + gw: www.serasa.com.br
v `wdvd + FJH + gw: serasa.com.br
v `` wdvd } u `wldk + FJH + gw: serasaexperian.com.br
rrr + v `wdvd`} u `wldk + FJH + gw: www.serasaexperian.com.br
rrr + vdkqdka `w + FJH + gw: www.santander. com.br
vdkqdka `w + FJH + gw: santander.com.br
rrr + vdkqdka `wk` q + FJH + gw: www.santandernet.com.br
vdkqdka `wk` q + FJH + gw: santandernet.com.br
RRR + + gdkwlvpi FJH + gw: www.banrisul.com.br
gdkwlvpi + FJH + gw: banrisul.com.br
rrr + + mvgf FJH + gw: www.hsbc.com.br
mvgf + FJH + gw: hsbc.com . br
dh `wlfdk`} uw `vv + FJH + gw: americanexpress.com.br
rrr + dh `wlfdk`} uw `vv + FJH: www.americanexpress.com
dh `wlfdk`} uw `vv + FJH: AmericanExpress . com
rrr + gdk `v` + FJH + gw: www.banese.com.br
gdk `v` + FJH + gw: banese.com.br
rrr + Gwda `vfjuo + FJH + gw: www.bradescopj.com. br
Gwda `vfjuo + FJH + gw: bradescopj.com.br
Gwda `` q `vfjk TUV` vd + FJH + gw: bradesconetempresa.com.br
rrr + Gwda `` q `vfjk TUV` vd + FJH + gw: www . bradesconetempresa.com.br
rrr + Gwda `vfj + FJH + gw: www.bradesco.com.br
rrr + Gwda `vfjuwlh` + FJH + gw: www.bradescoprime.com.br
Gwda `vfj + FJH + gw: Bradesco . com.br
Gwda `vfjuwlh` + FJH + gw: bradescoprime.com.br
uwlh `+ FJH + gw: prime.com.br
rrr + Gwda `` vfju vvjdopwlalfd + FJH + gw: www.bradescopessoajuridica.com.br
Gwda `` vfju vvjdopwlalfd + FJH + gw: bradescopessoajuridica.com.br
rrr + gg + FJH + gw: www.bb.com.br
gg + FJH + gw: bb.com.br
gdkfjajgwdvli + FJH + gw: bancodobrasil.com. br
RRR + + gdkfjajgwdvli FJH + gw: www.bancodobrasil.com.br
rrr + FDL} d + FJH + gw: www.caixa.com.br
rrr + FDL} d + bjs + gw: www.caixa.gov.br
rrr + FDL} d `fjkjhlfd + FJH + gw: www.caixaeconomica.com.br
rrr + FDL} d `fjkjhlfd + bjs + gw: www.caixaeconomica.gov.br
rrr + FDL} d `` `fjkjhlfdc WDI + FJH + gw: www.caixaeconomicafederal.com.br
rrr + FDL} d `` `fjkjhlfdc WDI + bjs + gw: www.caixaeconomicafederal.gov.br
rrr + f `c + + FJH gw: www.cef.com. br
rrr + f `c + + bjs gw: www.cef.gov.br
FDL} d + FJH + gw: caixa.com.br
FDL} d + bjs + gw: caixa.gov.br
FDL} d `fjkjhlfd + FJH + gw: caixaeconomica.com.br
FDL} d `fjkjhlfd + bjs + gw: caixaeconomica.gov.br
FDL} d `` `fjkjhlfdc WDI + FJH + gw: caixaeconomicafederal.com.br
FDL} d `fjkjhlfdc` `WDI + bjs + gw: caixaeconomicafederal.gov.br
f `c + + FJH gw: cef.com.br
f `c + + bjs gw: cef.gov.br
rrr + vlfw `al + FJH + gw: www. sicredi.com.br
vlfw `al + FJH + gw: sicredi.com.br
rrr + udbv `bpwj + FJH + gw: www.pagseguro.com.br
udbv `bpwj + FJH + gw: pagseguro.com.br
udbv ` bpwj + + PJI FJH + gw: pagseguro.uol.com.br
flqlgdkn + FJH + gw: citibank.com.br
rrr + + flqlgdkn FJH + gw: www.citibank.com.br
ud | udi + FJH: paypal.com
rrr + ud | udi + FJH: www.paypal.com
GKG + bjs + gw: bnb.gov.br
rrr + + GKG bjs + gw: www.bnb.gov.br
rrr + + GWG FJH + gw: www.brb . com.br
GWG + FJH + gw: brb.com.br
lkqjpfm + + pklqcjpw FJH + gw: intouch.unitfour.com.br
dduo + gg + FJH + gw: aapj.bb.com.br
f `q` i `h + FJH + gw: cetelem.com.br
rrr + f `q` i `h + FJH + gw: www.cetelem.com.br
vdcwd + FJH + gw: safra.com.br
rrr + + vdcwd FJH + GW: www.safra.com.br
gdkwlvpi + FJH + gw: banrisul.com.br
rrr + + gdkwlvpi FJH + gw: www.banrisul.com.br
gdvd + FJH + gw: basa.com.br
rrr + gdvd + FJH + gw: www.basa.com.br
rrr + + umlvmqdkn FJH: www.phishtank.com
umlvmqdkn + FJH: phishtank.com
rrr + qmw `dq`} u `wq + FJH: www.threatexpert.com
qmw `dq `} u` wq + FJH: threatexpert.com
rrr + + slwpvqjqdi FJH + gw: www.virustotal.com.br
slwpvqjqdi + FJH + gw: virustotal.com.br
slwpvvfdk + FJH: virusscan.com
rrr + + slwpvvfdk FJH: www.virusscan.com
rrr + `c` ilkmda kvlsd + jwb: www.linhadefensiva.org
ilkmda `c` kvlsd + jwb: linhadefensiva.org
BJI + FJH + gw: gol.com.br
rrr + + BJI FJH + gw: www.gol.com.br
rrr + sj `BJI + FJH + gw: www.voegol.com.br
sj `BJI + FJH + gw: voegol.com.br
vdcwdk `q + FJH + gw: safranet.com.br
rrr + vdcwdk `q + FJH + gw: www.safranet.com.br
DH3: att.nossodomain2.me
Pokud byl škodlivý PAC je nakonfigurován v prohlížeči, než se uživatel pokusí o přístup k těmto stránkám URL zobrazená v adresním řádku vypadá důvěryhodně, ale masky phishing stránka. V důsledku toho mnoho infikovaných uživatelů obětí těchto útoků, aniž by si to uvědomovali.
Seznam obsahuje také několik bezpečnostních služeb, jako je PhishTank, VirusTotal, ThreatExpert, VirusScan LinhaDefensiva.org. škodlivého PAC blokuje přístup na tyto stránky, instruovat prohlížeč používat proxy server 127.0.0.1 donést je.
V škodlivého doméně, kde je přesměrován veškerý provoz najdeme phishingové stránky připravené podvodník. Všechny z nich mají zajímavá jména, jsme seznam některých zde jako příklad:
Phishing URL | Cíl |
att.nossodomain2.me/peipau | Paypal |
att.nossodomain2.me/citi | Citibank |
att.nossodomain2.me/desco | Bradesco Bank |
att.nossodomain2.me/santa | Santander Bank |
att.nossodomain2.me/bb | Banco do Brasil |
att.nossodomain2.me/taui | Itau Bank |
att.nossodomain2.me/tamtam | TAM (brazilská letecká společnost) |
att.nossodomain2.me/azulinha | Caixa Bank |
Tabulka 3: některé z podvodných adres URL, používá se zlými úmysly PAC a jejich cíle
Ostatní skripty také blokovat přístup na stránky a aktualizovat servery různých antivirových produktů:
Obrázek 21: Škodlivý PAC snaží zablokovat přístup k AV aktualizace
Pokud virus uživatel pokusí o přístup k webu z AV dodavatele, zobrazí se tato zpráva:
Obrázek 22: Fake "Služba není k dispozici, zkuste to znovu později" se zobrazí zpráva se zlými úmysly PAC v infikovaném počítači
Pokud se uživatel pokusí se vyhledat pomoc na bezpečnostní komunity, která žádá o malware odstranění radu škodlivý PAC se také pokusí zablokovat přístup na tyto stránky, zejména brazilské LinhaDefensiva.org, který má zdarma malware odstranění pomoc ve svých fórech.
Některé PAC přesměrovat uživatele na falešnou stránku simulující zprávu BSOD:
Obrázek 23: BSOD v prohlížeči? Ne, je to falešný zobrazena zpráva při infikovaný počítač pokusí o přístup k LinhaDefensiva.org
Zdá se, že tyto škodlivé PAC jsou "univerzální" útok nástroj, který nejen přesměrovat uživatele na podvodné stránky, krást (většinou finanční) přihlašovací údaje, ale také zablokovat přístup na internetové stránky výrobců bezpečnostních řešení a komunit, v nichž je napadený uživatel může dostat pomoci dezinfikovat počítač. Tyto PAC dokonce blokovat účinnost PhishTank jak se snaží, aby jejich phishingové stránky klasifikována jako "čisté" v prohlížeči.
Když viděl, jak efektivně pracovat tyto útoky proti internetovým bankovních účtů, je tato technika byla použita k jiným cílům - opět snaží ukrást peníze. Příkladem z nedávné doby je přesměrování na podvodné stránky napodobující mtgox.com, nejrozšířenější Bitcoin měny na trhu:
Obrázek 24: Virtuální Bitcoin peníze jsou také terčem škodlivých PAC
Jiné podvody snažil přesměrovat přístup uživatelů z populárních internetových stránek na odkazované stránky, plné reklam a sponzorovaných odkazů. To byl navržen tak, aby generovat provoz a získat hity v naději na nějaké peníze od sponzorovaných reklamních služeb, jako je Google Adwords.
Obrázek 25: "busca.afiliados.pac" znamená "hledá pro pobočky"
Další cybercriminal rozhodl ukrást hesla z webových služeb, vládních, jako consultasintegradas.rs.gov.br, webové stránky hosting údaje občanů ve státě Rio Grande do Sul v Brazílii:
Obrázek 26: brazilská vláda webová služba terčem škodlivého PAC
Od roku 2009 se brazilští útočníci mají přednost používání škodlivých PAC v prohlížečích, jako prostředek krádeže bankovních účtů. Je to tichý, efektivní, a mnoho bezpečnostní produkty nenabízejí žádnou ochranu proti ní.
Tento druh útoku umožňuje brazilské podvodníci ukrást spoustu peněz, většinou z místních bank.Brazilská federace bank (FEBRABAN), oznámila, že její členové ztratili výsledky v oblasti vývoje 1200000000 dolarů (asi U 700.000.000 dolar ) v roce 2012.
Statistika o Trojan.Win32.ProxyChanger rodiny potvrzují, že je nejrozšířenější v Brazílii a Rusku:
Obrázek 27: Země nejvíce postiženy Trojan ProxyChanger v 1. pololetí 2013: Brazílie, Portugalsko a Rusko
Škodlivý PAC Samotný soubor od Trojan-Banker.JS.Proxy rodiny, má podobné rozšíření s Brazílií a Ruskem opět na vrcholu:
Obrázek 28: nejvíce postižených zemí podle Trojan-Banker.JS.Proxy H1 2013
Přesto znovu, Brazílie a Rusko nejvíce postiženy Trojan-Banker.PAC.Agent, Trojan bankéře naprogramovaný změnit proxy v prohlížečích:
Obrázek 29: nejvíce postižených zemí podle Trojan-Banker.PAC.Agent H1 2013
Jak je to možné zjistit? Škodlivé PAC používat těžké mlžení, aby se zabránilo detekci signatur, takže výchozím bodem je použití dobré heuristiky na těchto skriptů. To také zohledňuje rozšířené existenci legitimních PAC, které se běžně vyskytují v podnikových prostředích.
Obrázek 30: důvěryhodně PAC použitý na univerzitní síti
Detekční metoda používaná v produktech společnosti Kaspersky Lab je založen na emulaci JavaScript - emulátor pokusí volat FindProxyForURL funkci s různými bankovními adresy a kontroluje výsledek.Pokud funkce vrací adresu proxy pro bankovní webové stránky, a "DIRECT" na jiné webové stránky, pak detekce musí být vydán.
Tato technika zajišťuje proaktivní detekci souboru PAC, protože emulace výsledky zůstávají stejné bez ohledu na to, kolik zmatku se používá v souboru.
Obrázek 31: heuristická detekce v akci
Naším konečným řešením tohoto problému je Bezpečné peníze . Tato sada vlastností zahrnuje ověření SSL v oblaku, který kontroluje, zda webová stránka je legitimní a pošle upozornění pro uživatele v případě, že je nějaký problém s certifikátem zabezpečení:
Obrázek 32: Bezpečné peníze kontroluje stránky pro legitimitu a chrání proti infekci prohlížeče
Tyto škodlivé skripty zůstat mimo radar většiny antivirových společností, někteří ani nesnaží odhalit a zablokovat tyto útoky. Naším cílem je povzbudit všechny antimalware společnosti nahlédnout do tohoto útoku a pracovat společně nabídnout spolehlivou ochranu a účinná protiopatření. Počítačoví zločinci jsou velmi odhodláni zabránit detekci a bude investovat do nástrojů poplést kód, který jim umožňuje, aby kradl peníze z nevinných.
Cílená zneužití
4.10.2013 Zranitelnosti | Analýza
V září Microsoft publikoval informace o novém Internet Explorer zranitelnosti - CVE-2013-3893. Tato chyba zabezpečení se týká verze IE 6 až 11 pro platformy systému Windows XP přes systém Windows 8.1. Později, v září, společnost vydala opravu zavírání zranitelnost.
Počítačoví zločinci jsou rádi, že takové využití chyby, protože jsou snadno zpeněžit - Internet Explorer je stále populární.
Top 5 prohlížeče podle http://gs.statcounter.com
Tento typ zranitelnosti je velmi nebezpečné, protože umožňuje spuštění libovolného kódu na cílovém systému. Na konci září jsme zjistili, exploit pro zranitelnosti, která využívá útok používání po volném typu proti vykreslování HTML v aplikaci Internet Explorer v motoru mshtml.dll.
Nedávno jsme zjistili, že modifikace zneužití byl použit v cílených útoků proti řadě vysoce postavených organizací v Japonsku.
Cílený útok
Tato chyba je využíván pouze na ty počítače, které jsou součástí konkrétní podsítě sítí cílových organizací:
Definování podsítí, ve kterém bude počítač být napaden
Jestliže je IP adresa počítače patří k jednomu z rozsahů definovaných zločinci, bude možné tuto chybu zabezpečení zneužít poté, co uživatel navštíví infikovanou webovou stránku.
Jsou získány následující informace v první fázi útoku:
Operační systém verze
Internet Explorer verze
Jazyk používaný OS
Ať už je nainstalován Microsoft Office
Využít zvolí vhodný ROP řetěz a shell kód na základě údajů získaných v této fázi:
Volba ROP řetězce a shellcode
Stojí za zmínku, že exploit nebude fungovat na těchto systémech Windows 7, které nemají nainstalován Microsoft Office.
Kontrola verzi operačního systému a zda je nainstalován Microsoft Office
To je proto, že dnešní operační systémy obsahují mechanismy, které činí využití zranitelností obtížnější. Jedním z těchto mechanismů je ASLR (Address Space Layout randomizace). Využít používá chytrý trik vyhnout mechanismus: načte modul kompilovaný bez podpory ASLR do kontextu prohlížeče procesu - hxds.dll knihovny.
Kód po provedení, který je načten hxds.dll
Knihovna, která je součástí balíku Microsoft Office nepodporuje ASLR. To je naloženo na známých adresách v paměti,po které útočníci používají technologii ROP označte paměť obsahující shell kódu jako spustitelný soubor.
Následující shell kód je vykonáván po zranitelnost byla úspěšně zneužil:
To může být viděno na obrázku výše, že shell kód dekóduje její hlavní část pomocí 0x9F jako klíč.
Po dešifrování kódu vyhledá funkcí potřebných stáhnout a spustit náklad, najít podle jejich hashe:
Hash použitých funkcí
Po dokončení hledání potřebných adres, zobrazí se následující činnost probíhá:
škodlivý objekt s názvem "runrun.exe" je stažen ze serveru útočníků:
Stahování na náklad
Vzhledem k tomu, stáhnout modul je šifrována, shell kód načte z disku a dešifruje ji pomocí 0x95 jako klíč, po které se spouští dešifrovaný modul:
Dešifrování stažený modul
Distribuce exploitu
Jak již bylo uvedeno výše, cílené útoku použít pouze na jednu změnu zneužití pro CVE-2013 - 3893. Ve stejné době, celkový počet změn objevil dosud činí 21. Útoky využívající tuto chybu většinou byly zjištěny na Tchaj-wanu:
Máme následující informace o serveru, ze kterého exploit je užitečná byly staženy:
Server
Kraj
211.23.103.221
Tchaj-wan
210.177.74.45
Hong-Kong
192.192.91.6
Tchaj-wan
61.63.47.27
Tchaj-wan
Stručná analýza jednoho z užitečného zatížení variantách ( md5 - 1b03e3de1ef3e7135fbf9d5ce7e7ccf6 ) ukázala, že spustitelný modul má šifrovaná data ve svých zdrojích:
Šifrovaných dat obsažených v datovém zdroji je
Spustitelný modul extrahuje data a převádí jej na modulu DLL:
Extrakce šifrovaná data
DLL vytvořené konverzí dat získaných z užitečného zatížení je zapsán na disk pomocí následující cestu:
TempPath \ tmp.dll ( md5 - bf891c72e4c29cfbe533756ea5685314 ).
Knihovna exportuje následující funkce:
Funkce vyvážené tmp.dll
Pokud se knihovna byla zapsána na disk, je vložen do adresového prostoru procesu a ishk vyvážené funkce se nazývá:
Volání ishk exportovat funkci
Knihovna sama provádí injekci do jiného adresového prostoru procesu.
Po spuštění malware komunikuje se serverem v Jižní Koreji. Následující požadavky jsou odesílány z infikovaného stroje:
Žádosti odeslané z infikovaného počítače
Kaspersky Lab detekuje užitečné zatížení stažený jako Trojan-Dropper.Win32.Injector.jmli.
Zjistíme exploit jako HEUR: Exploit.Script.Generic.
IT hrozby Evolution: Q1 2013
11.6.2013 Analýzy
Q1 v číslech Přehled Cyberespionage a kybernetické zbraně Cílené útoky Mobilní hrozby Statistika On-line hrozeb Místní hrozby Chyby Q1 v číslech Podle KSN údajů produktŧ společnosti Kaspersky Lab zjištěn a neutralizovat 1 345 570 352 hrozby v 1. čtvrtletí 2013. Celkem 22.750 nových úprav škodlivých programů zaměřených na mobilní zařízení byly zjištěny tento uplynulém čtvrtletí - to je více než polovina z celkového počtu zjištěných změn v celém roce 2012. Přibližně 40% využije vidět v prvním čtvrtletí letošního roku cílových zranitelností v produktech Adobe. Téměř 60% všech škodlivých hostitelů jsou umístěny ve třech zemích: USA, Rusko a Nizozemsko. Přehled V prvním čtvrtletí roku 2013 se ukázalo, že je v plném proudu v oblasti IT bezpečnosti. Tato zpráva se bude zabývat nejvýznamnější události.
Cyberespionage a kybernetické zbraně
Red October Na začátku roku společnost Kaspersky Lab vydala významnou zprávu s výsledky studie o globálním cyberespionage akce známý jako Rudý říjen . Tyto útoky cílené různých vládních agentur, diplomatické organizací a firem po celém světě. Analýza souborů a rekonstrukce strukturu útoku trvalo několik měsíců. Nicméně, po pracovně intenzivního studia, jsme byli schopni určit několik klíčových faktů.
Útočníci byli aktivní za posledních pět let. Multifunkční platformu, která se používají jim pomohlo rychle využívat nové, rozšířené moduly pro sběr informací. Aby bylo možné kontrolovat a řídit infikované systémy, které vytvořil více než 60 různých doménových jmen a několik servery hostované v různých zemích. Příkaz sever infrastruktura se skládá z řetězce proxy servery.
Kromě tradičních cílených útoků na pracovních stanicích, Red October je schopen krást data z mobilních zařízení, sběr dat ze síťových zařízení, sběr souborů z USB disků, krást e-mailové databáze z lokálního archivu Outlook nebo ze vzdáleného POP / IMAP serverů, a těžbu soubory z lokálního FTP serveru na Internetu.
MiniDuke V únoru FireEye publikoval analýzu na nový škodlivý program, který proniká do systému pomocí 0-day zranitelnost v aplikaci Adobe Reader (CVE-2013-0640). To se stalo první exploit schopen obejít Acrobat Reader pískoviště. Jedná stáhnout backdoor chtěl ukrást data z infikovaného systému. Po získání příklady tohoto škodlivého programu pro analýzu, dali jsme mu jméno ItaDuke.
Postupem času jsme zjistili několik podobných incidentů, které se zaměřují na samý chyby, jen s různými hrozbami. Škodlivý program používají zločinci byl nazván MiniDuke. Vyšetřování těchto případů byla provedena maďarské Lab společnosti CrySys. MiniDuke Oběti se ukázalo být státní správy se sídlem na Ukrajině, Belgie, Portugalsko, Rumunsko, Česká republika a Irsko, stejně jako výzkumné organizace v Maďarsku, kromě výzkumného ústavu, dvou vědeckých výzkumných center a zdravotnických zařízení v USA. Celkem jsme zjistili 59 obětí ve 23 zemích.
Jednou z nejzajímavějších vlastností útoků MiniDuke byla kombinace hrozby s kód napsaný pomocí komplex, "old school" přístup, a relativně nový, přesto se pokusil-a-pravdivý, zaměřené na využití technologie Adobe Reader zranitelnosti.
Útočníci rozeslal škodlivé dokumenty PDF využívá cílení verze 9 až 11 programu Adobe Reader. Dokumenty obsahovaly informace o semináři o lidských právech (ASEM), zprávy o zahraniční politice Ukrajiny, a plány členských států NATO. Je-li činem byl úspěšný, oběti počítač infiltrována unikátní backdoor, malý na pouhých 20 kb, napsaný v assembleru.
Mezi zločinci používají Twitter v tomto útoku: pro získání C & C adresy serverů a následně stáhnout nové škodlivé moduly, backdoor hledal speciální tweety z dříve vytvořených účtů. Jakmile je infikovaný systém navázání spojení s příkazem serveru, bylo by to začít přijímat šifrované moduly (zadní vrátka) dodávané se soubory ve formátu GIF. Tyto moduly měly relativně jednoduché funkce: kopírování, přesouvání a mazání souborů, vytváření adresářů a stahování nových škodlivých programů.
APT1 V únoru Mandiant vydával velké PDF zprávu o útoky vedené určitým skupina čínských hackerů jít podle jména APT1. Termín APT (Advanced Persistent Threat) je stále Buzz slovo. Ale někdy to se týká hrozeb nebo útoků, které nejsou zrovna "advanced". Nicméně, v případě APT1, "advanced" se bez nadsázky - to kampaně, kterou čínští hackeři ve velkém měřítku a nemělo by se brát na lehkou váhu.
V Mandiant zprávy začíná tím, že APT1 zdá být rozdělení čínské armády. Společnost ani součástí možnou fyzickou adresu pro rozdělení, a odhaduje počet lidí zapojených a infrastruktura používá. Mandiant věří, že APT1 působí od roku 2006, a to v průběhu 6 let se jí podařilo ukrást terabajtů dat z nejméně 141 organizací. Oběť organizace nacházejí především v anglicky mluvících zemích. Není pochyb o tom tyto masivní útoky by nebyly možné bez skutečné podpory ze stovek lidí a rozvinuté, moderní infrastrukturou.
To rozhodně není to poprvé, kdy Čína čelí obvinění z jeho zapojení kybernetickými útoky proti vládním agenturám a organizací v zemích po celém světě. A není nic zvlášť překvapivého čínské vlády pevné odmítnutí tvrzeními v Mandiant zprávě.
Všimněte si, že doposud žádná země nikdy netvrdil, odpovědnost za jakékoliv cyberespionage útoku, nebo se přiznal k účasti na cyberespionage pod tlakem veřejného nebo agentura důkazů.
TeamSpy V březnu 2013 byla zveřejněna informace o nejnovější z řady komplexních útoky na vysoce postavených politiků a obhájců lidských práv v zemích SNS a východní Evropy. Operace byla nazvána " TeamSpy ", jako dálkové admin programu TeamViewer byl používán útočníky ovládat obětí počítačů. Hlavním cílem tohoto útoku bylo shromáždit informace z uživatelských počítačů, počínaje screenshoty a konče kopií. PGP, včetně hesla a šifrovací klíče.
I přesto, že nástroje používané v TeamSpy provozu - a dokonce i samotné operace - nezdálo se, že všechny složité nebo profesionální ve srovnání s provozem červeném říjnu se TeamSpy útoky byly také úspěšné.
Stuxnet 0.5 Případy, které vyžadují měsíce trvalé úsilí, aby prošetřila jsou poměrně vzácné v průmyslu antiviru. Ještě vzácnější jsou události, které zůstávají relevantní i tři roky poté, co se uskuteční - stejně jako detekci Stuxnet, například. Ačkoli tento červ byla studována řadou antivirových firem, stále existuje mnoho modulů, které sotva byly vyšetřeny, pokud vůbec. Je důležité si uvědomit, že tam bylo několik verzí Stuxnet, a to nejdříve z nich se objevila v roce 2009. Odborníci několikrát navrhovalo, že tam byly (nebo ještě jsou) i starší verze tohoto červa, ačkoli tam byl žádný pevný důkaz.
Ale na konci, byly potvrzeny tato tvrzení. V pozdním únoru, Symantec zveřejnila studii o nové "staré" verze červa Stuxnet - 0.5. Tato verze se ukázalo být nejdříve známá modifikace Stuxnet, a byl aktivní v letech 2007 a 2009. Navíc, tato verze měla několik velmi zajímavých vlastností:
Za prvé, byl vytvořen na stejné úrovni, jako plamen, a to stejně jako následné Tilded Stuxnet úprav. Za druhé, červ šíří pomocí infikované soubory generované pomocí Simatic Step 7 a neobsahuje žádné hrdinské činy pro produkty společnosti Microsoft. Za třetí, byl Stuxnet 0.5 již množily po 4.7.2009 . Nakonec to bylo Stuxnet 0.5, který uváděl úplná kompatibilita s PLC (Siemens 417 novějších verzích díla neměl tuto funkci v plném rozsahu). Výsledky studie verzi Stuxnet 0.5 poskytly další informace o tomto škodlivého programu obecně. Je pravděpodobné, že budeme zjistit mnohem více informací v budoucnosti. To samé lze říci o příkladech kybernetické zbraně zjištěných po Stuxnet, stejně jako malware používané v cyberespionage - je tu toho mnoho, co ještě nevím.
Cílené útoky
Útoky proti tibetským a Ujgurů aktivistů V prvním čtvrtletí roku 2013, cílené útoky pokračovaly proti tibetským a ujgurské aktivisty. Za účelem dosažení svých cílů, útočníci použít všechno, co mají k dispozici, a uživatelé Mac OS X, Windows a Android byli vystaveni útokům.
V lednu až únoru, Kaspersky Lab zjištěn podstatný nárůst počtu cílených útoků na Ujgury pomocí Mac OS X. Všechny tyto útoky používal CVE-2009-0562 zranitelnost, která byla opravené Microsoft téměř před čtyřmi lety. Zneužití této chyby zabezpečení byl rozeslán dokumenty MS Office, které byly snadno rozpoznatelné od "kapitána" autor tag. Pokud činem byl úspěšně vykonán, byl backdoor pro Mac OS X ke stažení v podobě Mach-O souboru. Tento malý backdoor má velmi specifickou funkci: instaluje zadní vrátka a další program, který krade osobní údaje (kontakty).
Kaspersky Lab zaznamenala útoky proti aktivistům tibetských v polovině března 2013. Tentokrát útočníci použili exploit je uvedeno výše (CVE-2013-0640 - dříve použito ve ItaDuke útoků) se dostat kolem na pískovišti v Acrobat Reader X a infikovat cílových počítačů.
Na konci března 2013 uživatelé zařízení se systémem Android padly za oběť této vlně útoků. Po schránky na známého aktivisty Tibetu byl hacknutý, zásilky z jeho adresu začal přichází s přílohou soubor APK, což se ukázalo být škodlivý program pro Android (produktŧ společnosti Kaspersky Lab se označovali Backdoor.AndroidOS.Chuli.a ). Tato hrozba se kradmo oznámí příkaz server úspěšné infekce, a pak začne sbírat data uložená na zařízení: kontakty, protokoly volání, textové zprávy, GPS data a informace o zařízení. Pak malware šifruje data pomocí ukradené Base64 a nahrává je do příkazového serveru. Kaspersky Lab vyšetřování příkazu serveru vyplývá, že útočníci mluvit čínsky.
Jen pár dní poté, co výsledky naší studie byly zveřejněny, výzkumná organizace, Citizen Lab publikoval výsledky svého studia podobného incidentu. Cílem útoku byli lidé, kteří byli v jedné cestě nebo jiný spojený s Tibetem nebo tibetských aktivistů a škodlivý program, který byl použit má podobnou funkci (krást osobní informace), ale infikovaný verze posla Talk Kakao.
Hacking podnikové sítě Bohužel, v prvním čtvrtletí tohoto roku se ukázalo být přeplněný incidentů s hacknutý firemních infrastruktur a hesla únikům. Oběti včetně Apple, Facebook, Twitter, a Evernote, mezi ostatními.
Počátkem února Twitter dělal oficiální oznámení, že uživatelé se zlými úmysly se podařilo ukrást uživatelská data (včetně hesel hash) z 250000 členů sociální sítě. O dva týdny později, Facebook vydal prohlášení , že počítače několika z firmy zaměstnanci byli nakaženi využije během návštěv na mobilní vývojáře webu. Facebook popsal jako sofistikované a cílený útok s tím, že cílem bylo proniknout na Facebooku podnikové sítě. Naštěstí, zástupci společnosti uvedl, že Facebook byl schopen, aby se zabránilo úniku informací o uživateli.
Jen o několik dní později, Apple oznámil, že několik zaměstnanců společnosti stal obětí velmi stejného útoku při návštěvě webové stránky pro mobilní vývojáře. Apple data ukázala, že žádná data úniku došlo. Na začátku března, Evernote oznámili, že jejich vnitřní síť byly napadeny hackery a že uživatelé se zlými úmysly se pokusil získat přístup k jejich datům.
V roce 2011 jsme byli svědky hmotnost hacking různých firem a masových úniků uživatelských dat. Mohlo by se zdát, že tyto útoky všichni přišli k ničemu - ale ne tak! Uživatelé se zlými úmysly zůstávají zájem jako dřív v hackerů velkých společností a jak se jejich ruce na důvěrných údajů, včetně informací o uživateli.
Mobilní hrozby
Kaspersky Lab Zpráva o vývoji hrozeb zaměřených na smartphony, tablety a další mobilní zařízení v roce 2012 byla zveřejněna v únoru 2013. Naše data ukazují, že v roce 2012 se stal Android cíl číslo jedna mezi autory virů, a že počet hrozeb v průběhu roku rostl stabilně. Tento vzestup v počtu mobilních hrozeb pokračovaly v roce 2013 tak daleko? Ve skutečnosti to má.
Několik čísel Leden je tradičně tichý měsíc pro mobilní autoři virů - "jen" 1262 nových úprav se objevil v prvním měsíci roku. Ale v posledních několika měsících, společnost Kaspersky Lab zjištěn více než 20.000 nových mobilních malware úprav. V únoru jsme zjistili 12044 mobilní malware úpravy a další 9443 v měsíci březnu. Pro porovnání - celkem 40.059 úprav škodlivých programů zaměřených na mobilní zařízení byly zjištěny v průběhu celého roku 2012.
SMS trojské koně, které zasílají neoprávněným textové zprávy na krátké, prémiová čísla, jsou stále nejrozšířenější kategorie mobilních hrozeb a představují v současnosti 63,6% všech útoků.
Celkem 99,9% nových mobilních hrozeb zjištěných zaměřit na platformu Android.
Podle KSN údajů Top 20 nejčastěji používaných škodlivých nebo potenciálně nežádoucí programy pro Android je:
Pořadí Název % Všech útoků 1 Trojan-SMS.AndroidOS.FakeInst.a 29,45% 2 Trojan.AndroidOS.Plangton.a 18,78% 3 Trojan-SMS.AndroidOS.Opfake.a 12,23% 4 Trojan-SMS.AndroidOS.Opfake.bo 11,49% 5 Trojan-SMS.AndroidOS.Agent.a 3,43% 6 Trojan-SMS.AndroidOS.Agent.u 2,54% 7 RiskTool.AndroidOS.AveaSMS.a 1,79% 8 Monitor.AndroidOS.Walien.a 1,60% 9. Trojan-SMS.AndroidOS.FakeInst.ei 1,24% 10 Trojan-SMS.AndroidOS.Agent.aq 1,10% 11 Trojan-SMS.AndroidOS.Agent.ay 1,08% 12 Trojan.AndroidOS.Fakerun.a 0,78% 13 Monitor.AndroidOS.Trackplus.a 0,75% 14 Adware.AndroidOS.Copycat.a 0,69% 15 Trojan-Downloader.AndroidOS.Fav.a 0,66% 16 Trojan-SMS.AndroidOS.FakeInst.ee 0,55% 17 HackTool.AndroidOS.Penetho.a 0,54% 18 RiskTool.AndroidOS.SMSreg.b 0,52% 19 Trojan-SMS.AndroidOS.Agent.aa 0,48% 20 HackTool.AndroidOS.FaceNiff.a 0,43%
První místo v uplynulém čtvrtletí jde Trojan-SMS.AndroidOS.FakeInst.a (29,45%). Tato hrozba se zaměřuje především ruskojazyčných uživatelů internetu snaží stáhnout software pro zařízení se systémem Android od pochybných stránek. Často zločinci používají tyto stránky k šíření malware pod rouškou užitečného softwaru.
(18,78%), adware Trojan umístila na druhém místě. Tato hrozba je vidět především v evropských zemích, kde se používá vývojáři svobodného softwaru zpeněžit produkty zobrazováním reklam.
Třetí a čtvrté místo tak šel do SMS trojské koně z rodiny Opfake: Trojan-SMS.AndroidOS.Opfake.a (12.23%) a Trojan-SMS.AndroidOS.Opfake.bo (11.49%). První modifikace Opfake rodiny hrozby byly maskované jako poslední verzi Opery, populární mobilní prohlížeče. Dnes jsou škodlivé programy v této rodině se tváří jako nové verze dalších oblíbených aplikací (Skype, Angry Birds, atd.).
Incidenty Rádi bychom se dotknout dvou nejzajímavějších virových incidentů v prvním čtvrtletí letošního roku:
nová hrozba jít podle jména Perkele nebo Perkel, která loví mTANs, a MTK botnet. Další významnou událostí, která se konala letos v čtvrtletí bylo cílené útoky proti uživatelům, kteří Android se zabývá výše.
Perkel Během prvních dvou týdnů měsíce března, dobře známý novinář Brian Krebs zjistil informace o podzemních ruskojazyčných fórech o o nové bankovní Trojan cílení mobilních zařízení a údajně vliv na uživatele v 69 zemích. Jak říkalo,, nová hrozba již infikovaných nemalé množství zařízení. Krebs navrhl, že tento Trojan byl vytvořen rusky mluvících autory virů, protože kombinace nástrojů použité k jejímu vytvoření, jsou k dispozici na ruskojazyčných fórech.
Tato zpráva přirozeně upozornila odborníků antivirových, ale žádné příklady softwaru jsou k dispozici na chvíli.
O několik dní později, bylo zjištěno, že první modifikace Perkel. Po Kaspersky Lab provádí analýzu, to stalo se jasné, že tam byly některé nové přírůstky do rodiny škodlivých programů, jejichž cílem je ukrást textové zprávy, které obsahují mTANs. Funkce vidět v Perkel rodiny jsou typické pro tuto skupinu, se dvěma výjimkami:
Perkel inklinuje používat textové zprávy spíše než HTTP komunikaci s příkazem serveru a nahrát ukradených dat (kromě textových zpráv s mTANs, hrozba také shromažďuje informace o infikovaných zařízení). Hrozba je schopen provádět samočinné aktualizace stažením nové kopie sebe sama ze vzdáleného serveru. MTK Botnet V polovině ledna, slovo vyšel o existenci botnetu, který infikované až jeden milion zařízení Android vlastnictví především čínských uživatelů. Jak se ukázalo, šíření škodlivého programu v Číně byl u kořene botnet (Kaspersky Lab nazval tento škodlivý program Trojan.AndroidOS.MTK). To se rozšířilo přes neoficiálních čínskými app obchodů s oblíbenými, prasklý hry. Kromě krást informace o infikovaného telefonu, uživatelské kontaktní údaje a zprávy, hrozby v této rodiny humbuk vytvořit řadu aplikací. Chcete-li tak učinit, trojské koně tajně stahovat a instalovat aplikace na oběti mobilním zařízení, a pak dát, že App nejvyšší možný rating v App Store. Pak se informovat o svých akcích na vzdálený server. Počet aplikací pro Android je neustále na vzestupu, a to je často problém získat popularitu s uživateli - což je důvod, proč tyto nelegitimní taktiky jsou stále všechny běžnější.
TurkTrust Certifikáty zrušeno V prvním čtvrtletí roku 2013, jsme viděli ještě další příhodu kořenové certifikáty . Microsoft, Mozilla a Google zrušit dvě kořenové certifikáty vydané TurkTrust certifikační autority, a tím odstranění z jejich prohlížeče databází.
Jak se ukázalo, TurkTrust pustil nadbytečné kořenových certifikátů do dvou organizací v místě typických SSL certifikátů. Ty by mohly být použity, aby se SSL certifikáty pro všechny zdroje na internetu a prohlížeče používané pro přístup k těmto prostředkům by přijímal tyto certifikáty jako "důvěryhodné".
V prosinci, Google zjistil, že jeden z certifikátů vydaných TurkTrust SSL pro *. Se google.com byl zapojený do "man-in-the-middle" typu útoku. Samozřejmě, že skutečnost, že Google byl napaden znamenalo, že osvědčení vydaná stejným způsobem by mohly být zapojeny do útoků proti jiným společnostem.
To poslední v řadě významných událostí souvisejících s kořenových certifikátů a důvěryhodných problémy ukázaly, že ke zneužití oprávněných certifikátů zůstává kritický problém. Nicméně, škodlivý použití těchto typů certifikátů je vždy jen byla zjištěna po tom, jak je v současné době nejsou k dispozici žádné účinné prostředky pro prevenci těchto typů událostí v této době.
Statistika Všechny statistické údaje použité v této zprávě byla získána z cloudové sluţby Kaspersky Security Network (KSN). Statistiky byly získány od uživatelů, kteří souhlasili KSN podělit o své lokální data. Miliony uživatelů produkty společnosti Kaspersky Lab v 213 zemích, se zapojila do celosvětové výměny informací o nebezpečné činnosti.
On-line hrozeb
Statistiky v této části byly odvozeny z webových komponentách antivirový program, který chrání uživatele při škodlivý kód pokusí stáhnout z infikovaných webových stránek. Infikované webové stránky mohou být vytvořeny uživatelů se zlými úmysly nebo by mohly být tvořeny od uživatelů, obsahu (např. fóra) a legitimních zdrojů, které byly pirát.
Detekovatelné on-line hrozeb V prvním čtvrtletí letošního roku společnost Kaspersky Lab řešení neutralizovat 821 379 647 útoky vedené z on-line zdrojů po celém světě.
Top 20 zjistitelné on-line hrozbami
Pořadí Jméno * % Všech útoků ** 1 Škodlivý URL 91,44% 2 Trojan.Script.Generic 2,79% 3 AdWare.Win32.Bromngr.b 1,91% 4 Trojan.Script.Iframer 0,73% 5 Exploit.Script.Blocker 0,70% 6 Trojan.JS.Redirector.xa 0,33% 7 Hoax.SWF.FakeAntivirus.i 0,22% 8 Trojan.Win32.Generic 0,17% 9. AdWare.Win32.MegaSearch.am 0,13% 10 Trojan-Downloader.Win32.Generic 0,09% 11 Exploit.Script.Blocker.u 0,07% 12 AdWare.Win32.IBryte.heur 0,05% 13 Exploit.JS.Retkid.a 0,05% 14 Exploit.Script.Generic 0,05% 15 Hoax.HTML.FraudLoad.i 0,04% 16 Exploit.Win32.CVE-2011-3402.c 0,04% 17 Packed.Multi.MultiPacked.gen 0,04% 18 Trojan-Clicker.HTML.Agent.bt 0,04% 19 WebToolbar.Win32.BetterInstaller.gen 0,03% 20 Trojan.JS.Redirector.xb 0,03%
* Tyto statistiky představují detekce výroky webové antivirového modulu a byly předloženy uživatelé produkty společnosti Kaspersky Lab, kteří souhlasili, aby se podělili o své lokální data. ** Celkový počet jedinečných případů evidovaných webové antivirus na počítačích uživatelů.
První místo v této uplynulém čtvrtletí v Top 20 zjistitelné on-line hrozeb byla opět pořízena zakázaných škodlivých odkazů. Jejich podíl vzrostl o 0,5 pb na ve 4. čtvrtletí 2012 a celkově tyto odkazy představoval 91,4% všech webových detekce antiviru. Mimochodem, používání nástrojů KSN dodat instant aktualizace uživatelských počítačů přes cloud pomohl produktů společnosti Kaspersky Lab zablokovat 6,6% škodlivých odkazů. Tyto odkazy směřují na poslední pirát webové stránky, nebo webové stránky, které byly speciálně vytvořeny uživatelů se zlými úmysly, že uživatelé se začali hojně navštěvovat.
Opět Trojan.Script.Generic (2. místo) a Trojan.Script.Iframer (4.) z Top 5. Tyto hrozby jsou zablokovány při pokusu o drive-by útoky, které jsou jedním z nejběžnějších způsobů, infikovat počítače uživatelů v těchto dnech.
Top 20 představoval Hoax.HTML. FraudLoad.i již několik měsíců, a v 1. čtvrtletí 2013 tato hrozba byla na 15. místě. Tento škodlivý program se setkáváme především uživatelé, kteří stahují filmy, televizní pořady a software z pochybných zdrojů. Hoax.HTML.FraduLoad je detekován na webových stránkách, které uživatelé mohou navštívit údajné stáhnout určitý obsah, ale aby se to podařilo, musí uživatel nejprve odeslat placenou textovou zprávu nebo zadejte své mobilní telefonní číslo vyplňovat placené objednací formulář. Pokud uživatel splňuje všechny požadavky, pak obdrží obsahu, které chtěl buď ve formě textového souboru s návodem k použití vyhledávače, nebo ještě hůře - škodlivý program.
Exploit.Win32.CVE-2011-3402.c byl v 16. ročníku místě tentokrát. Tato hrozba využívá zranitelnost v registru Win32k.sys (Písmo TrueType při analýze zabezpečení). Toto bylo stejné zranitelnost používají k šíření červa Duqu.
Země, kde jsou on-line zdrojů nasazený s malware Tato statistika ukazuje země, ve kterých jsou webové stránky fyzicky nacházejí a které jsou osety škodlivých programů. Aby bylo možné určit zeměpisný původ webovými útoky, byla metoda, kterou se doménová jména neladí skutečných adres doménových IP a pak zeměpisná poloha konkrétní IP adresu (GeoIP) byl založen.
Některé 81% on-line zdrojů používaných k šíření škodlivých programů se nacházejí v 10 zemích světa. Během uplynulých šesti měsíců, že ukazatel se snížil o 5 procentních bodů - 3 procentní body více než v prvním čtvrtletí roku 2013, a o 2 procentní body ve 4. čtvrtletí 2012.
Distribuce on-line zdrojů nasazený škodlivými programy, v 1. čtvrtletí 2013
Tentokrát, Rusko (19%, -6 procentních bodů) a USA (25%, +3 procentní body) opět vyměnili místa v hodnocení z hlediska škodlivých hostingových služeb - USA vyhrál první místo zpět poté, co ztratil to poslední čtvrtletí. Procenta zastoupené v jiných zemích jsou víceméně beze změny od 4. čtvrtletí 2012.
Země, kde uživatelé čelí největší riziko infekce on-line Aby bylo možné posoudit míru rizika pro online infection byly uživatelské počítače čelit v různých zemích, jsme spočítali, jak často uživatelé s produkty společnosti Kaspersky Lab se setkal webových antivirové detekce během prvních tří měsíců roku.
Top 20 zemí * pro on-line rizika infekce ** v 1. čtvrtletí 2013
* Pro účely těchto výpočtů jsme vyřadili zemích, kde počet uživatelů produktů společnosti Kaspersky Lab je relativně malý (méně než 10000). ** Podíl unikátních uživatelů v zemi s počítači se systémem produkty společnosti Kaspersky Lab, které blokovaly internetových hrozeb.
Top 10 zemí, kde se uživatelé setkávají nejčastěji škodlivých programů sotva změnily od posledního čtvrtletí roku 2012 a stále patří země z bývalého Sovětského svazu. Rusko (57%), na třetím místě v seznamu. Nicméně, tam byly některé změny v Top 20: během prvních tří měsíců letošního roku, Tunisko (43,1%) a Alžírsko (39%), jak vstoupil do Top 20. Jedinou západní evropské země, aby v do Top 20 byla Itálie (39,9%, 16. místo).
Ve všech zemích lze rozdělit do čtyř základních skupin.
Maximální riziko : Tato skupina zahrnuje země, kde více než 60% uživatelů se vyskytly malware alespoň jednou v režimu online v průběhu vykazovaného období. V prvních třech měsících roku 2013, Tádžikistán byl osamocený člen této skupiny s 60,4%. Vysoké riziko : Tato skupina zahrnuje země, kde 41 - 60% uživatelů, s nimiž on-line malware alespoň jednou. Během tohoto období, 13 zemí, z Top 20 (stejný počet jako ve 4. čtvrtletí 2012) byly do této kategorie. S výjimkou Vietnamu, Tuniska a na Srí Lance, většina členů této skupiny jsou z bývalého Sovětského svazu, konkrétně Arménie (59,5%), Ruska (57%), Kazachstánu (56,8%), Ázerbájdžánu (56,7%), v Bělorusku (49,9%) a Ukrajina (49%). Střední riziko : Tato skupina zahrnuje země, kde 21 - 40% uživatelů internetu se vyskytly malware - celkem 102 zemí, v 1. čtvrtletí 2013, včetně Itálie (39,9%), Německo (36,6%), Francie (35,8%), v Belgii (33,8% ), Súdán (33,1%), Španělsko (32,5%), Katar (31,9%), USA (31,6%), v Irsku (31,5%), Spojené království (30,2%), Spojené arabské emiráty (28,7%) a Nizozemí ( 26,9%). Nízké riziko : Pouhým 12,5-21% uživatelů setkávají malware během vykazovaného období, tato skupina zahrnovala 28 zemí, které v 1. čtvrtletí 2013 a představoval první řadě afrických zemí, kde internet je stále nerozvinutý. Japonsko (15,6%) a Slovensko (19,9%) byly výjimky.
Riziko infekce on-line po celém světě, Q1 2013
V průměru bylo 39,1% ze všech počítačů připojených k KSN vystaven útoku alespoň jednou v průběhu prvních tří měsíců roku, během surfování po webu. Průměrné procento počítačů napadl v 1. čtvrtletí 2013 vzrostla o 1,5 procentního bodu od 4. čtvrtletí 2012.
Místní hrozby
Tato část zprávy obsahuje analýzu statistik založených na údajích získaných z on-access skeneru a skenování statistik za různé disky, včetně vyměnitelných médií (on-demand skener).
Hrozbách zjištěných v počítačích uživatelů V 1. čtvrtletí 2013, Kaspersky Lab bezpečnostní řešení úspěšně blokovány 490 966 403 nepodařené místní infekce na počítačích uživatelů se účastní systému Kaspersky Security Network.
TOP 20 hrozbách zjištěných v počítačích uživatelů
Pořadí Název % Jednotlivých uživatelů * 1 DangerousObject.Multi.Generic 18,51% 2 Trojan.Win32.Generic 16,04% 3 Trojan.Win32.AutoRun.gen 13,60% 4 Virus.Win32.Sality.gen 8,43% 5 Exploit.Win32.CVE-2010-2568.gen 6,93% 6 Trojan.Win32.Starter.yy 5,11% 7 Net-Worm.Win32.Kido.ih 3,46% 8 HiddenObject.Multi.Generic 3,25% 9. Trojan.Win32.Hosts2.gen 3,17% 10 Virus.Win32.Nimnul.a 3,13% 11 Virus.Win32.Generic 3,09% 12 Net-Worm.Win32.Kido.ir 2,85% 13 Trojan.Script.Generic 2,54% 14 AdWare.Win32.Bromngr.b 2,51% 15 Exploit.Java.CVE-2012-1723.gen 2,38% 16 Trojan.Win32.Starter.lgb 2,38% 17 Trojan-Downloader.Win32.Generic 2,13% 18 AdWare.Win32.Bromngr.h 2,11% 19 Hoax.Win32.ArchSMS.gen 2,09% 20 Trojan-Dropper.VBS.Agent.bp 1,97%
Tyto statistiky jsou sestavovány z detekce malwaru rozsudky generované on-access a on-demand skener modules v počítačích těchto uživatelů se systémem produkty společnosti Kaspersky Lab, které souhlas s tím, aby předložily své statistické údaje. * Podíl jednotlivých uživatelů, na jejichž počítačích Antivirový modul detekoval tyto objekty jako procento všech jednotlivých uživatelů produkty společnosti Kaspersky Lab, na jejichž počítače škodlivý program byl detekován.
Stejně jako dříve, tři verdikty jsou pevně v čele v tomto top 20.
Škodlivé programy jsou klasifikovány jako DangerousObject.Multi.Generic detekována pomocí technologie cloud umístily na prvním místě v 1. čtvrtletí 2013 s 18,51% (o 1,8 pb ve 4. čtvrtletí 2012). Cloud technologie fungovat, když tam jsou ještě žádné signatury antivirové databáze a žádné heuristiky pro detekci škodlivých programů, ale společnosti Kaspersky Lab je mrak již má k dispozici údaje o ohrožení. To je v podstatě, jak jsou detekovány nejnovější škodlivé programy.
Druhé místo byla pořízena Trojan.Win32.Generic s 16% na základě rozsudků vydaných heuristické analýzy v proaktivní detekci mnoha škodlivých programů. Trojan.Win32.AutoRun.gen (13,6%) byla na třetím místě, a obsahuje škodlivé programy, které používají funkce Autorun.
Adware rodina AdWare.Win32.Bromngr debutoval v Top 20 na 8. místě ve 4. čtvrtletí 2012. V tomto čtvrtletí tvrdil, dva žebříčku (14. a 18.). Všechny změny tohoto adware modulu jsou DLL adresářů, které jsou v podstatě add-ons do běžně používaných prohlížečů (Internet Explorer, Mozilla Firefox a Google Chrome). Stejně jako drtivá většina z těchto typů programů, tento modul změny, které uživatel v nastavení vyhledávání, domovskou stránku, a pravidelně zobrazuje různé reklamy v pop-up oken.
Země, kde uživatelé spustit nejvyšší riziko lokální infekce Níže uvedené údaje ukazují průměrnou míru infekce u uživatelů počítačů v různých zemích. KSN Účastníci, kteří poskytují společnosti Kaspersky Lab informace se alespoň jeden nebezpečný soubor detekován na každé třetí (31,4%), počítače, a to buď na svém pevném disku nebo vyměnitelného disku připojeného k počítači. To je o 0,8 procentního bodu nižší než v předchozím čtvrtletí.
Úrovně počítačové infekce podle zemí * - TOP 20 hodnocení ** za 1. čtvrtletí 2013
* Podíl unikátních uživatelů v zemi s počítači se systémem produkty společnosti Kaspersky Lab, které blokovaly internetových hrozeb. ** Při výpočtu jsme vyřadili zemích, kde existují méně než 10.000 Kaspersky Lab uživatelé.
Pro čtvrté čtvrtletí v řadě, se Top 20 pozice v této kategorii drží zemí v Africe, na Středním východě a jihovýchodní Asii. Procento počítačů s zablokovaného škodlivého kódu je nejvyšší v Bangladéši, který viděl další pokles, tentokrát o 11,8 procentních bodů, takže to celkem na 67,8% (pokles z 90,9% ve 3. čtvrtletí 2012).
Místní nakažených může být také uveden do čtyř skupin podle úrovně rizika:
Maximální míra infekce lokální (přes 60%): na konci 1. čtvrtletí roku 2013, tato skupina součástí jen dvě země: Bangladéš (67,8%) a Vietnamu (60,2%). Vysoká lokální výskyt infekce (41-60%): 41 zemí, včetně Iráku (50,9%), Sýrie (45,5%), Myanmar (44,5%), Angola (42,3%) a Arménie (41,4%). Mírné lokální výskyt infekce (21 - 40%): 60 zemí, včetně Číny (37,6%), Katar (34,6%), Ruska (34,3%), Ukrajiny (33,6%), Libanonu (32,4%), v Chorvatsku (26,1%) , ve Španělsku (26%), Itálie (23,8%), Francie (23,4%) a na Kypru (23,3%). Nejnižší lokální výskyt infekce (až 21%): 31 zemí, včetně Belgii (19,3%), USA (19%), Spojeném království (18,6%), Austrálie (17,5%), do Německa (17,7%), Estonsku (o 17,8 %), Nizozemsko (16,2%), ve Švédsku (14,6%), v Dánsku (12,1%) a Japonsko (9,1%).
Riziko lokální infekce v různých zemích, Q1 2013
Top 10 nejbezpečnějších míst, pokud jde o místní infekce sazby jsou:
Japonsko 9,10% Dánsko 12,10% Finsko 13,60% Švédsko 14,60% Česká republika 14,80% Švýcarsko 15,10% Irsko 15,20% Nizozemsko 16,20% Nový Zéland 16,60% Norsko 16,80%
Dvě země, Nizozemsko a Norsko, jsou na seznamu sledovaného období, vytlačuje Lucembursko a Puerto Rico.
Chyby V prvním čtvrtletí letošního roku celkem 30 901 713 byly zranitelné programy a soubory zjištěna na uživatelských počítačích se systémem KSN. V průměru osm různých chyby zjištěn jednotlivých ohrožených počítači.
Top 10 nejčastější chyby jsou uvedeny v následující tabulce.
№ Secunia ID - Unikátní zranitelnost číslo Zranitelnost jméno a odkaz na popis Co zranitelnost umožňuje uživatelům se zlými úmysly dělat Procento uživatelů, na jejichž počítačích chyba byla detekována * Datum vydání Hrozba hodnocení 1 SA 50949 Oracle Java Několik chyb DoS útoky, získat přístup k systému, sdělování důvěrných informací a manipulaci s daty 45,26% 17.10.2012 Velmi kritický 2 SA 51771 Adobe Flash Player / AIR Integer přetečením Získat přístup k systému 22,77% 08.01.2013 Velmi kritický 3 SA 51090 es Adobe Shockwave Player Multiple Vulnerabiliti Získat přístup k systému 18,19% 24.10.2012 Velmi kritický 4 SA 51280 Oracle Java dvě chyby zabezpečení spuštění kódu Získat přístup k systému 17,15% 10.01.2013 Velmi kritický 5 SA 47133 Adobe Reader / Acrobat Více Chyby Získat přístup k systému 16,32% 07.12.2011 Velmi kritický 6 SA 51692 VLC Media Player HTML titulků syntaktické chyby zabezpečení přetečení vyrovnávací paměti Získat přístup k systému 14,58% 28.12.2012 Velmi kritický 7 SA 51226 Apple QuickTime Několik chyb Získat přístup k systému 14,16% 08.11.2012 Velmi kritický 8 SA 43853 Google Picasa Nejisté načítání knihovny Chyba zabezpečení Získat přístup k systému 12,85% 25.03.2011 Velmi kritický 9. SA 46624 Winamp AVI / IT zpracování souborů Slabá Získat přístup k systému 11,30% 03.08.2012 Velmi kritický 10 SA 41917 Adobe Flash Player Více chyb Získejte přístup k systému, mlčenlivost o důvěrných informacích a obejít bezpečnostní systém 11,21% 28.10.2010 Velmi kritický
* Procento ze všech uživatelů, na jejichž počítačích alespoň jeden zranitelnost byla zjištěna.
Nejrozšířenější chyby se vyskytují v Javě a byly zjištěny na 45,26% všech počítačů. Také v hodnocení je poměrně starý, ale velmi nebezpečná chyba v Adobe Flash Player. Tato chyba byla zjištěna již v říjnu 2010, ale společnosti Kaspersky Lab je stále odhalovat to na 11,21% zranitelných počítačů.
Top 5 chyby se vyskytují v Oracle a produkty Adobe, a jak jsme zmínili výše, Adobe je v horní části grafu. Šestého až devátého místa byla pořízena chyb nalezených v softwarových produktů od různých firem.
Vývojáři produktů s Top 10 chyb, Q1 2013
Použití jakéhokoliv zranitelnosti na Top 10 v konečném důsledku vede k realizaci náhodného kódu v systému.
Rozložení Top 10 zranitelností podle typu systému, vlivu v 1. čtvrtletí 2013
Tyto chyby jsou vždy nejlepší volbou mezi uživateli se zlými úmysly a zneužití, které je cílovým jsou cennější než jiné na černém trhu.