Развитие угроз в 2007 году: смерть «некоммерческого» вредоносного ПО. Kaspersky Security Bulletin 2007

«Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает о публикации на информационно-аналитическом портале Viruslist.ru итогового годового отчета «Kaspersky Security Bulletin 2007. Развитие угроз в 2007 году», подготовленного ведущими экспертами компании.

В итоговом годовом отчете «Лаборатории Касперского» проанализированы важнейшие изменения в динамике развития вредоносных программ. Для подготовки отчета была использована новейшая статистическая методика, отличающаяся от применявшейся специалистами компании ранее. Отчет предназначен как для профессионалов в области компьютерной безопасности, так и для всех пользователей, которые интересуются проблемами вирусологии.

2007 год останется в истории как год смерти «некоммерческих» вредоносных программ. В этом году не было ни одной заметной эпидемии или распространенной вредоносной программы, не имеющей под собой «финансовой» подоплеки. Почти все эпидемии в 2007 были кратковременны, и затрагивали они не весь мировой Интернет, а только отдельные регионы и страны. Такой принцип организации эпидемий фактически уже стал стандартом.

В ряду новых вредоносных программ этого года особняком стоит Штормовой Червь (Zhelatin по классификации «Лаборатории Касперского»), впервые появившийся в январе 2007 года. В течение года он продемонстрировал такой спектр разнообразных поведений и путей распространения, что антивирусные эксперты не переставали удивляться изобретательности неизвестных авторов.

В Zhelatin оказались реализованы практически все достижения вирусописательской мысли последних лет. Тут и руткит-технологии, и замусоривание кода, и ботнеты, защищающие себя от анализа и исследования, и взаимодействие между зараженными компьютерами через P2P-сети — без наличия единого управляющего центра. Для распространения червь использовал все существующие возможности — как традиционные (электронная почта, системы мгновенного обмена сообщениями), так и сервисы эпохи Web 2.0 (распространение через социальные сети — блоги, форумы, RSS).

Одной из ключевых тем информационной безопасности всего 2007 года стали DoS-атаки. После периода активного применения в 2002-2003 годах DoS-атаки не пользовались особой популярностью у киберпреступников - вплоть до 2007 года. В этом году они вернулись, причем не столько как инструмент вымогания денег у жертв, сколько как средство политической и конкурентной борьбы. Атака на эстонские сайты в мае 2007 года широко освещалась в СМИ, и многими экспертами расценивается как первый случай кибервойны. За рядом DoS-атак 2007 года стоят бизнес-конкуренты жертв. Если четыре года назад DoS-атаки были орудием в руках исключительно хакеров-вымогателей или хулиганов, то теперь они стали таким же товаром, как спам-рассылки или создание на заказ вредоносных программ.

Киберпреступный бизнес в 2007 году явил миру несколько новых видов криминальной деятельности. Активно развивалась отрасль создания вредоносных программ на заказ с последующей техподдержкой покупателям. Самый яркий пример такого бизнеса — история троянской программы-шпиона Pinch. Его авторы за несколько лет создали на заказ более 4000 вариантов этого троянца. Эта история, судя по всему, закончилась в декабре 2007 года, когда руководитель ФСБ Н.Патрушев объявил об аресте авторов Pinch.

Если рассматривать итоги года в количественном выражении, безоговорочную победу одержали «игровые» троянцы, созданные с целью кражи данных пользователей онлайн-игр: их число значительно превысило показатели Bankers — троянских программ, ориентированных на кражу банковских аккаунтов.

Яркие события 2007 года — массовые взломы сайтов с последующим размещением на них вредоносных программ или ссылок на зараженные сайты. Одним из таких событий стал взлом в июне около 10 000 итальянских сайтов, на которых затем был размещен набор эксплоитов Mpack. Инцидент в Италии привлек внимание еще к одному виду бизнеса киберпреступников: в ходе расследования выяснилось, что вредоносные программы были расположены на сайтах Russian Business Network (RBN). Фактически речь шла о «пуленепробиваемом» хостинге, владельцы которого гарантировали заказчикам анонимность, защиту от юридического преследования и отсутствие лог-файлов. СМИ всего мира подняли вокруг RBN массовую шумиху, пока в итоге RBN не ушла в тень, раздробившись на несколько хостинг-площадок в разных странах мира и тем самым размыв реальные масштабы своей деятельности.

Такими были основные события 2007 года, который в итоге оказался самым «вирусным» за всю историю. Общее число угроз за год более чем удвоилось. В 2007 году мы добавили в наши антивирусные базы почти столько же программ, сколько за предшествующие 15 лет! Такого вала угроз Интернет еще не встречал, и нам в течение года требовалось прилагать все возможные, а порой и невозможные, усилия для того, чтобы справиться с ними. Это внушает серьезные опасения — ведь если ситуация в 2008 году не изменится (а предпосылок к изменению нет), то через год нас ждет очередное удвоение количества угроз.

Прогнозы

Malware 2.0

Эволюция вредоносных программ от единичных зловредов к сложным и взаимодействующим между собой проектам началась четыре года назад с модульной системы компонент, использованной в черве Bagle. Новая модель функционирования вредоносных программ, показавшая в 2007 году свою эффективность в виде «Штормового Червя», станет не только стандартом для массы новых вредоносных проектов, но и получит свое дальнейшее развитие.

Ее основными чертами являются:

• отсутствие единого центра управления сетью зараженных компьютеров;
• активное противодействие попыткам стороннего исследования и перехвата управления;
• рассылки вредоносного кода массовые и кратковременные одновременно;
• грамотное применение средств социальной инженерии;
• использование разных способов распространения и постепенный отказ от наиболее заметных из них (электронная почта);
• для осуществления разных функций используются разные модули (а не один универсальный).

По аналогии с известным термином Web 2.0 новое поколение вредоносных программ можно назвать MalWare 2.0. перечисленные черты есть у всех трех вышеупомянутых вредоносных программ: Bagle, Zhelatin и Warezov. Они нацелены на осуществление большей части нынешних спам-рассылок, но некоторые семейства «банковских» и «игровых» троянцев уже начинают демонстрировать отдельные черты такой схемы функционирования.

Руткиты и «буткиты»

Техника сокрытия своего присутствия в системе (руткиты) станет применяться не только в троянских программах, но и в файловых вирусах. Еще одним опасным способом сокрытия своего присутствия в компьютере будет технология заражения загрузочного сектора диска — так называемые «буткиты». Это реинкарнация старой техники, позволяющая вредоносной программе получить управление еще до загрузки основной части операционной системы (и антивирусных программ). В 2007 этот прием был реализован в Backdoor.Win32.Sinowal. Способ представляет повышенную опасность для пользователей и в 2008 году может стать одной из главных проблем информационной безопасности.

Файловые вирусы

Файловые вирусы продолжат свое возвращение. По-прежнему первенство в их создании будет принадлежать китайским злоумышленникам, и нацелены они будут на пользователей онлайн-игр. Не исключено, что заражение файлов возьмут на вооружение авторы Zhelatin или Warezov — ведь это даст этим вредоносным программам еще один серьезный способ распространения.

В 2008 году нас ожидает всплеск инцидентов с зараженными дистрибутивами игр и программ, размещенных на популярных сайтах и в файлообменных сетях. Вирусы будут стремиться заразить именно те файлы, которые пользователь предоставляет для общего пользования. Во многих случаях такой способ распространения может оказаться даже более эффективным, чем рассылка вредоносного файла по электронной почте.

Атаки на социальные сети

Фишинг в 2008 году претерпит значительные изменения в сторону нацеленности на пользователей социальных сетей. Учетные данные абонентов таких сервисов, как Facebook, MySpaces, Livejournal, Blogger и аналогичных им, будут пользоваться повышенным спросом у злоумышленников. Это станет важной альтернативой методике размещения вредоносных программ на взломанных сайтах. В 2008 году множество троянских программ будут распространяться именно через аккаунты пользователей социальных сетей, через их блоги и профили.

Еще одной, связанной с социальными сетями, проблемой останутся XSS\PHP\SQL-атаки. В отличие от фишинга, который использует исключительно мошеннические и социоинженерные методы, данные атаки базируются на ошибках и уязвимостях самих Web 2.0-сервисов и могут затронуть даже весьма грамотных пользователей. Целью, как всегда, будут являться частные данные, которые нужны для создания некоторых баз\списков для проведения последующих атак «традиционными» способами.

Угрозы для мобильных устройств

Что касается мобильных устройств, и в первую очередь мобильных телефонов, то угрозы будут распределяться между примитивными троянскими программами, аналогичными представителям семейства Skuller для Symbian и «первому троянцу» для iPhone, и различными уязвимостями в операционных системах и приложениях для смартфонов. Возникновение некоей глобальной эпидемии мобильного червя пока представляется маловероятным, хотя технические предпосылки для этого уже существуют. Наблюдавшаяся консолидация рынка операционных систем для смартфонов между Symbian и Windows Mobile, в 2007 году была нарушена появлением iPhone и анонсированием новой мобильной платформы Android от Google. Вероятней всего, именно новизна и популярность iPhone привлекут к нему внимание злоумышленников более, чем к другим мобильным устройствам. Особенно, если средства разработки приложений для него (SDK) станут общедоступными, как это анонсировала компания Apple в конце 2007 года.

Полную версию итогового годового отчета «Kaspersky Security Bulletin 2007. Развитие угроз в 2007 году» читайте на информационно-аналитическом ресурсе Viruslist.ru.