Кибер-криминал , новый виток противостояния ( ботнет сети, спам)

13-14 мая 2010 г.

RIGF 2010, Москва, Экспоцентр на Красной Пресне

Кибер-криминал, новый Кибер-криминал, новый виток противостояниявиток противостояния

(ботнет сети, спам)(ботнет сети, спам)

Андрей ЯрныхАндрей ЯрныхНачальник отдела интернет-решенийНачальник отдела интернет-решений

[email protected][email protected]


Глобальные тенденцииГлобальные тенденции Ботнет сети совершенствуютсяБотнет сети совершенствуются

'Индивидуальное' заражение пользователей взломанных 'Индивидуальное' заражение пользователей взломанных сайтовсайтовИспользование технологии постоянной миграции серверовИспользование технологии постоянной миграции серверов

Мода на альтернативные Мода на альтернативные OSOS

мобильне платформымобильне платформы iPhone and Android iPhone and AndroidMAC OSMAC OS

Активное использование данных социальных сетейАктивное использование данных социальных сетей

эффективность распространения вредоносного кода в эффективность распространения вредоносного кода в социальных сетях составляет около 10%,социальных сетях составляет около 10%,


Кибер-криминал атакуетКибер-криминал атакует

на конец марта 2010 года бот-сеть насчитывала более 1300 центров управления зомби-компьютерами. Из них постоянно активными оставались более 700 центров. Каждый командный центр управляет в среднем 20-50 тысячами зараженных компьютеров.


Кибер-криминал атакуетКибер-криминал атакует

По данным центра ZeuS Tracker, в середине марта не детектировалось более половины зловредов, распространяемых через бот-сеть ZBot/Zeus. В реальности это означает, что атака на пользователей была успешной, т.е. до того как пользователи получали защиту со стороны антивирусных компаний, злоумышленники успевали собрать свою «жатву».


Атаки зловредов на компьютерыАтаки зловредов на компьютеры

По итогам работы KSN в 2009 году:компьютеры жителей 215 стран и регионов мира подвергались угрозе заражения 23 680 646 раз.Самые маленькие и отдаленные (Микронезия – 15 атак, Кирибати – 2 атаки, Каймановы острова – 13 атак)

Место Страна Количество атак

Процентот общегочисла атак

1 CHINA 12708285 53,665%

2 EGYPT 3615355 15,267%

3 TURKEY 709499 2,996%

4 INDIA 479429 2,025%

5 UNITED STATES 416437 1,759%

6 VIETNAM 346602 1,464%

7 RUSSIAN FEDERATION 335656 1,417%

8 MEXICO 308399 1,302%

9 SAUDI ARABIA 287300 1,213%

10 GERMANY 253097 1,069%


Вирусный фон в интернет сетиВирусный фон в интернет сети

пять стран, с веб-серверов которых вредоносный контент распространялся наиболее активно.Источник: «Лаборатория Касперского»

Страна Регион

Среднее числоуникальных зловредовна одного

пользователя

Изменение позиции в рейтинге

1 Канада Северная Америка

2,03 +1

2 Великобритания Европа 1,92 +1

3 Малайзия Азия 1,82 new

4 Россия Европа 1,68 -

5 Китай Азия 1,51 -


Зараженные интернет сайтыЗараженные интернет сайты

Данные за сентябрь 2009 г.Лаборатория Касперского

Тройка стран, на территории которых обнаружено больше всего вредоносных URLs

Первое место – Канада. Более 21% вредоносных ссылок от «общемировых запасов».Второе – США – 16%.Третье – Китай – 15%

Тройка стран, на территории которых обнаружено больше всего сайтов, распространяющих вредоносные объекты

Первое место – Китай – 26% от числа вредоносных сайтов во всем мире.Второе – США – 18%.Третье – Россия с – 12%

Вредоносный сайт, от которого пострадало больше всего посетителей

langlangXXX.com – 1,62% фактов заражения компьютеров от общего числа заражений по всему миру. Это китайский портал с порнографическими материалами.


Экономика ботнетовЭкономика ботнетов

Монетизация ботнет сети


Экономика ботнетовЭкономика ботнетов

Установка программ на компьютеры пользователей разных стран оплачивается фирмами по-разному. Например, за установку вредоносной программы на тысячу компьютеров в Китае в среднем платят 3 доллара, а в USA — 120 долларов. Это вполне объяснимо, ведь у пользователей развитых стран можно украсть куда более ценную, точнее более «денежную», информацию.

Стоимость украденных персональных данных напрямую зависит от страны, в которойживет их законный владелец. Например, полные данные жителей США стоят 5-8 долларов. На черном рынке особенно ценятся данные жителей Евросоюза — они стоят в два-три раза дороже данных жителей США и Канады. Это можно объяснить тем, что такими данными преступники могут пользоваться в любой стране, входящей в ЕС. В среднем по миру цена полного пакета данных об одном человеке составляет порядка $7.



Операционныесистемы

Всего

Backdoors,Hacktools,Exploits & Rootkits

Вирусы и черви

Трояны

Linux 1898 942 (50%) 136 (7%) 88 (5%)

FreeBSD 43 33 (77%) 10 (23%) 0 (0%)

Sun Solaris 119 99 (83%) 17 (15%) 3 (2%)

Unix 212 76 (36%) 118 (56%) 3 (1%)

OSX 48 14 (29%) 9 (19%) 11 (23%)

Windows 2247659 501515 (22%) 40188 (2%) 1232798 (55%)

Вредоносные программы для Unix-подобных систем имеют совсем другие цели. Они остаются незамеченными и крадут данные о кредитных картах из интернет-магазинов или пароли пользователей. Чаще всего для атаки используются не троянцы, а известные уязвимости серверных сервисов.



Семейство Платформа Краткое описание

функционала

Коли-чество

модифи-каций

Noti J2ME Мобильный контент за SMS 1

CoS Symbian Хакерская утилита для отправки

специально сформированных SMS 2

Kinap Symbian Подмена шрифтов, иконок, логотипов 7

Disabler Symbian Блокировка SMS, MMS, звонков 1

Rebrew J2ME SMS-Flooder 1

Kblock Symbian Блокировка телефона 1

Pornidal Symbian Звонки на платные номера 2

SMSRtap Symbian мониторинг SMS, звонков и т.д. 3

Trojan-SMS.Agent

J2ME Рассылка SMS 4

Caneo Symbian мониторинг SMS, звонков и т.д. 2

Enoriv Symbian Рассылка SMS 1

Smofree J2ME Звонки на платный номер 1



Первый Backdoor для ATM – Backdoor.Win32.Skimer• кража денежных средств• кража данных кредитной карточки


Доля спама в Рунете в 1 кв. 2010 г.

Спам, что нового?Спам, что нового?


Спам, что нового?Спам, что нового? Доля спама в почтовом трафике составила в среднем Доля спама в почтовом трафике составила в среднем

85,2%. 85,2%. Ссылки на фишинговые сайты находились в 0,57% всех Ссылки на фишинговые сайты находились в 0,57% всех

электронных писем. электронных писем. Графические вложения находились в 11,7% спам-писем. Графические вложения находились в 11,7% спам-писем. В тройку лидеров стран — источников спама вошли США, В тройку лидеров стран — источников спама вошли США,

Индия и Россия. Индия и Россия. Спамеры переносят домены из зоны .cn в зону .ru. Спамеры переносят домены из зоны .cn в зону .ru.


Спам, что нового?Спам, что нового?

Перенос спамерских доменов в зону .ru После ужесточения правил регистрации доменных имен в Китае в конце прошлого года ссылок на китайские домены в спаме стало значительно меньше. К сожалению, сам спам никуда не делся — спамерские домены переместились из зоны .cn в зону .ru.

Действия китайских властей привели к тому, что в марте в Китае прекратили работу крупнейшие регистраторы доменных имен — компании Go Daddy и Network Solutions. Причиной для остановки регистрации новых доменных имен в КНР компаниями Go Daddy и Network Solutions стало предъявленное им властями КНР требование предоставить фотографии и идентификационные документы ряда клиентов — продавцов интернет-адресов.


Любимые хостинги вирусописателейЛюбимые хостинги вирусописателей

Страна Регион Доля

вредоносных хостингов

Изменение доли во втором

квартале

Изменение позиции в рейтинге

1 Китай Азия 19,43% +0,73% -

2 Россия Европа 17,35% +1,62% -

3 США Северная Америка

13,13% -1,35% -

4 Германия Европа 8,06% +0,47% -

5 Бразилия Южная

Америка 5,45% +1,65% +3

Страны, на ресурсах которых размещены вредоносные программыНа эту пятерку приходится 63,43% всех выявленных вредоносных хостингов.

пять самых популярных стран, где на хостингах размещается вредоносное ПО.Источник: «Лаборатория Касперского»


SMS-SMS-мошенничество: приняты мерымошенничество: приняты мерыВ первом квартале 2010 года, платная В первом квартале 2010 года, платная SMSSMS подписка стала причиной первого судебного подписка стала причиной первого судебного разбирательства. Арбитражный суд Магаданской области признал виновным сотового разбирательства. Арбитражный суд Магаданской области признал виновным сотового оператора в неправомерном списании средств со счета абонента при использовании оператора в неправомерном списании средств со счета абонента при использовании коротких SMS-номеров. Обычно в таких случаях виновными признают контент-провайдеров коротких SMS-номеров. Обычно в таких случаях виновными признают контент-провайдеров или биллинг-партнеров, операторы же сотовой связи, несмотря на то, что они тоже получают или биллинг-партнеров, операторы же сотовой связи, несмотря на то, что они тоже получают огромную прибыль, ответственности не несут. В данном случае истец опирался на то, что огромную прибыль, ответственности не несут. В данном случае истец опирался на то, что договор о предоставлении услуг был заключен с оператором, и именно он должен нести договор о предоставлении услуг был заключен с оператором, и именно он должен нести ответственность. ответственность.

Вирусописатели и ботнетыВирусописатели и ботнеты На прошлой неделе хакер Альберт Гонсалес (Albert Gonzalez), грабивший американских На прошлой неделе хакер Альберт Гонсалес (Albert Gonzalez), грабивший американских ритейлеров, был приговорен к 20 годам тюремного заключения. Такое беспрецедентное ритейлеров, был приговорен к 20 годам тюремного заключения. Такое беспрецедентное решение суда затмило даже вердикт, вынесенный в феврале по делу именитого хакера Max решение суда затмило даже вердикт, вынесенный в феврале по делу именитого хакера Max Vision: тот получил «всего лишь» 13 лет. Одиннадцать соучастников Гонсалеса также не ушли Vision: тот получил «всего лишь» 13 лет. Одиннадцать соучастников Гонсалеса также не ушли от ответа. Шестеро уже признали свою вину, в их числе гражданин Эстонии Александр от ответа. Шестеро уже признали свою вину, в их числе гражданин Эстонии Александр Суворов, арестованный во время отпуска в Германии и переданный американским властям. Суворов, арестованный во время отпуска в Германии и переданный американским властям. Украинец Максим Ястремский, помогавший хакерам сбывать украденные реквизиты и Украинец Максим Ястремский, помогавший хакерам сбывать украденные реквизиты и проводить «грязные» деньги через зарубежные банки, был задержан в Турции и приговорен проводить «грязные» деньги через зарубежные банки, был задержан в Турции и приговорен местным судом к 30 годам тюремного заключения.местным судом к 30 годам тюремного заключения.

Противодействие киберкриминалуПротиводействие киберкриминалу


Очистка трафикаОчистка трафикаФедеральное ведомство по обеспечению информационной безопасности Германии (Bundesamt Федеральное ведомство по обеспечению информационной безопасности Германии (Bundesamt

fur Sicherheit in der Informationstechnik, BSI) совместно с Ассоциацией немецких интернет-fur Sicherheit in der Informationstechnik, BSI) совместно с Ассоциацией немецких интернет-коммерсантов разработала проект по очистке национальных сетей от инфекции.коммерсантов разработала проект по очистке национальных сетей от инфекции.

По замыслу авторов проекта, интернет-провайдеры будут отслеживать подозрительный трафик и По замыслу авторов проекта, интернет-провайдеры будут отслеживать подозрительный трафик и оповещать пользователей о наличии заражения. Для устранения возникших проблем оповещать пользователей о наличии заражения. Для устранения возникших проблем планируется создать бесплатный веб-сайт. В особо тяжелых случаях пользователи смогут планируется создать бесплатный веб-сайт. В особо тяжелых случаях пользователи смогут прибегнуть к услугам call-центра, в котором будут работать около 40 специалистов.прибегнуть к услугам call-центра, в котором будут работать около 40 специалистов.

. .

Бывает и так …Бывает и так …

• За написание и использование вредоносной программы жителю г. За написание и использование вредоносной программы жителю г. Докшицы Витебской области грозит штраф в размере 10,5 млн. бел. руб. Докшицы Витебской области грозит штраф в размере 10,5 млн. бел. руб. (около 3,5 тыс. долл.). Как выяснилось, 24-летний вирусописатель вообще-то (около 3,5 тыс. долл.). Как выяснилось, 24-летний вирусописатель вообще-то работает плотником, а программирование — это его хобби.работает плотником, а программирование — это его хобби.

Противодействие киберкриминалуПротиводействие киберкриминалу


Противодействие киберкриминалуПротиводействие киберкриминалу АнонимностьАнонимность

Добровольная авторизация пользователейДобровольная авторизация пользователей Создание гос. сервисов использующих единую авторизациюСоздание гос. сервисов использующих единую авторизацию Предоставление коммерческих льгот авторизованному пользователюПредоставление коммерческих льгот авторизованному пользователю

Сложности юридического противодействияСложности юридического противодействия Снятие препятствий для взаимодействия с зарубежными структурамиСнятие препятствий для взаимодействия с зарубежными структурами Трудоемкость и высокая стоимость сбора доказательной базы Трудоемкость и высокая стоимость сбора доказательной базы Наработка судебной практики, готовность судов.Наработка судебной практики, готовность судов.

Фильтрация вредоносного трафика и спамаФильтрация вредоносного трафика и спама На уровне инфраструктуры сетиНа уровне инфраструктуры сети На уровне пользователяНа уровне пользователя Разметка контента Разметка контента


Вопросы?Вопросы?


Спасибо за внимание!Спасибо за внимание!

Documents

Кибер-криминал , новый виток противостояния ( ботнет сети, спам)