eScan анализирует угрозы компьютерным сетям

20.08.2012
Генеральный директор eScan MicroWorld Говинд Раммурти рассказал изданию InformationWeek о наиболее актуальных компьютерных угрозах для крупных корпоративных сетей.

Как отметил г-н Раммурти, с каждым годом угрозы информационной безопасности становятся все более трудными для обнаружения. 2011 год для большинства предприятий стал годом осознания серьезности вопросов, касающихся информационной безопасности, поскольку многие известные организации пережили взломы информационных систем и утечки важной информации.<br />
<br />
В течение 2012 года, как мы видим, появляются новые виды вредоносных программ, расширяется спектр вирусных и хакерских атак – по сравнению с прошлым годом вредоносная активность увеличилась на 30%. Всемирная сеть в ближайшем будущем, несомненно, останется главным каналом распространения вредоносного ПО. Злоумышленники продолжат разрабатывать методы социальной инженерии, предназначенные для целевых атак на браузеры и связанные приложения (приложения, запускающиеся группой).<br />
<br />
Для большинства организаций серьезной информационной угрозой становится рост использования смартфонов и планшетных ПК. Слабый контроль над мобильными устройствами сотрудников вызывает множество проблем информационной безопасности, требующих неотложных решений, и создает огромное количество трудностей для ИТ-отделов.<br />
<br />
Можно ожидать, что киберпреступники будут и дальше активно использовать облачные технологии для распространения вредоносных кодов. Продолжатся атаки групп хактивистов, таких как LulzSec и Anonymous, приводящих к отказам сервисов, утечкам документов и недоступности сайтов.<br />
<br />
Киберпреступники работают всё более профессионально благодаря тому, что на «черном» рынке им доступны готовые пакеты вредоносного ПО, например, популярный набор эксплойтов Blackhole kit. Распространение подобных наборов приводит к созданию новых вариантов и модификаций вредоносных программ и эксплойтов, что значительно увеличивает общее количество вредоносного программного обеспечения и вредоносных ссылок.<br />
<br />
Многочисленные взломы систем парольной защиты свидетельствуют о неэффективности использования слабых паролей. То, что мы стали свидетелями роста числа заражений через скрытые загрузки на веб-сайтах (атаки drive-by-downloads), ещё раз подчеркивает необходимость исправления уязвимых приложений, браузеров и операционных систем. С усложнением угроз и распространением новых платформ и устройств растет потребность в инновационных решениях в области информационной безопасности.<br />
<br />
Появление Flame знаменует начало эры кибервойн<br />
<br />
Многие слышали о знаменитом Stuxnet - компьютерном черве, предназначенном для заражения и вывода из строя промышленных систем. Stuxnet имеет очень сложный код и использует для проникновения в промышленные системы сразу несколько уязвимостей ПО, а также подлинные цифровые сертификаты (сейчас, конечно, отозванные).<br />
<br />
Однако сложность и возможности обнаруженной после Stuxnet вредоносной программы Flame изумили экспертов по информационной безопасности. Занимая около 20 МБ на дисковом пространстве, Flame (в переводе с английского – пламя) значительно превосходит Stuxnet по размеру и сложности. Исследование Flame показало, что он имеет со Stuxnet единые участки кода, что указывает на использование при создании двух этих программ общей платформы.<br />
<br />
Stuxnet нацелен на вывод из строя промышленной инфраструктуры, Flame – на шпионаж и сбор информации. Вредоносная программа Flame включает функции, которые позволяют красть документы, сочетания нажатия клавиш и передаваемые через встроенный микрофон аудиоданные, а также делать скриншоты, отключать средства информационной безопасности и журналировать сетевой трафик. Один из уникальных методов Flame – сбор данных через Bluetooth о находящихся вблизи зараженной машины устройствах. Целевыми форматами файлов для Flame, в частности, являются чертежи AutoCAD, PDF-файлы и файлы изображений. На сегодня Flame уже инфицировал около 1500 машин, принадлежащих государственным организациям, учебным заведениям и высокопоставленным лицам. Страны, компьютеры которых наиболее подвержены заражению на момент подготовки данной статьи - Иран, Израиль, Судан, Ливан, Египет, Саудовская Аравия и Сирия.<br />
<br />
Исследование Flame ясно показывает: разработка вредоносных программ, относящихся к классу кибероружия, находится на подъёме. Для прогнозирования дальнейшего развития атак с использованием кибероружия необходимо продолжать наблюдения.<br />
<br />
Скрытые загрузки на веб-сайтах (drive-by-downloads)<br />
<br />
Скрытые загрузки не являются новшеством, мы наблюдаем этот вид атак уже довольно давно. В атаках drive-by-downloads используются незакрытые уязвимости в браузерах, плагинах, приложениях и операционных системах. Для совершения скрытых загрузок пользователей уязвимых компьютеров заманивают на зараженные вредоносным кодом сайты. Мы неоднократно видели, как известные легитимные сайты взламываются в целях размещения на них вредоносного ПО – привлекая значительное количество трафика, популярные сайты высокоэффективны и в распространении вредоносного ПО среди ничего не подозревающих пользователей.<br />
<br />
Атаки с помощью Blackhole<br />
<br />
В настоящее время набор эксплойтов Blackhole kit является популярнейшим инструментом переправления пользователей на сайты с вредоносным содержимым с целью скрытой загрузки вредоносных программ. Типичная схема заражения такова: пользователь заходит на популярный зараженный сайт или переходит по недоверенной ссылке и перенаправляется с помощью Blackhole на целевой вредоносный пейлоуд, соответствующий особенностями пользовательской системы.<br />
<br />
Blackhole kit рекламируется и продается на «черном» рынке в виде готовых хакерских комплектов, в которых реализованы очень сложные технологии, (в том числе, серверный полиморфизм и сильно обфусцированные скрипты), затрудняющие антивирусное детектирование.<br />
<br />
Обычно зараженные ресурсы загружают на компьютеры пользователей следующие компоненты:<br />
<br />
  - вредоносную программу-бот, например, Zbot (он же Zeus);<br />
  - загрузчик руткитов (такой как TDL и ZeroAccess);<br />
  -поддельный антивирус.<br />
<br />
Вредоносное ПО на сайтах, распространяющих инфекцию, нацелено, в основном, на уязвимости технологий Java, Flash и PDF на атакуемых компьютерах. Это подводит нас к следующей теме обсуждения.<br />
<br />
Уязвимости программного обеспечения<br />
<br />
Вендоры ПО по-прежнему отстают от злоумышленников в поиске уязвимостей, что позволяет последним проводить атаки нулевого дня, эксплуатируя новые бреши.<br />
<br />
Microsoft Windows остается основной целевой операционной системой для киберпреступников. Тем не менее, сегодня главный вектор кибератак – не ОС, а технологии Java, PDF и Flash на атакуемых компьютерах.<br />
<br />
Основная часть взломов веб-приложений происходит в результате SQL-инъекций и межсайтового скриптинга. В 2011 г. мы отмечали целый ряд подобных веб-атак, позволивших группам хактивистов, в частности Anonymous, взломать и вывести из строя несколько респектабельных сайтов. Эта тенденция наблюдается и в текущем году.<br />
<br />
Эксперты eScan уверены: лучший способ защиты от любых кибератак – постоянная актуализация программного обеспечения путем регулярных обновлений. Это способствует значительному повышению уровня безопасности компьютерной системы. Не стоит забывать и про важность использования антивирусного программного обеспечения, которое позволит нейтрализовать информационные угрозы в режиме реального времени.