Отчет McAfee LAbs Об угрО зах Report Q4 2013... · покупали готовые вредоносные программы для проведения атак на

Отчет McAfee Labs об угрозах | Четвертый квартал 2013 года 1

Отчет McAfee LAbs Об угрОзах

Отчет

за четвертый квартал 2013 года


О лабОратОрии McAfee LAbsMcAfee Labs занимает лидирующее положение в мире как источник аналитической информации об угрозах, данных об угрозах, а также передовых идей в области кибербезопасности. Получая данные с миллионов датчиков, расположенных по ключевым векторам угроз (файлы, веб-трафик, электронная почта и сети), McAfee Labs в режиме реального времени предоставляет информацию об угрозах, проводит анализ их критичности и дает экспертную оценку, позволяющую повысить уровень защиты и сократить риски.

www.mcafee.com/ru/mcafee-labs.aspx

ВВедениеПеред вами «Отчет McAfee Labs об угрозах за четвертый квартал 2013 года». В преддверии нового года мы решили по-новому подойти к составлению наших отчетов об угрозах. Начиная с этого выпуска, публикуемые нами отчеты станут короче и будут содержать раздел «Главные темы», в котором будет говориться об основных угрозах и проблемах безопасности в отчетном квартале. Кроме того, каждый выпуск будет посвящен проблемам безопасности, связанным с одним из четырех мегатрендов в сфере информационных технологий: мобильные устройства, социальные медиа, облачные службы и обработка больших объемов неопределенно структурированных данных. Доклад стал ярче с визуальной точки зрения и в нем стало легче ориентироваться.

Среди всех этих преобразований мы не забыли и о том богатом наборе данных об угрозах, который мы собираем посредством сети McAfee Global Threat Intelligence. Продолжая публиковать эти данные (в основном в виде временных рядов), мы даем нашим читателям возможность лучше разобраться в том, как меняются угрозы безопасности.

В этом квартале мы рассказываем о том, как индустрия киберпреступности оказывала содействие атакам на платежные терминалы в магазинах Target и других розничных сетей; как вредоносные программы с цифровыми подписями подрывают доверие к центрам сертификации; какие последствия имело обнаружение сотрудниками McAfee Labs уязвимости «нулевого дня» в Microsoft Office; в чем заключается проблема чрезмерного сбора данных мобильными приложениями и какая существует взаимосвязь между ними и вредоносными программами.

Винсент Уифер (Vincent Weafer), старший вице-президент McAfee Labs

Мы стараемся сделать наши отчеты об угрозах более наглядными и интересными и надеемся, что вам понравятся наши нововведения.

Подпишитесь на McAfee Labs

www.mcafee.com/ru/mcafee-labs.aspx

https://twitter.com/McAfee_Labs

http://blogs.mcafee.com/mcafee-labs

СОдержаниеКратКая сВОдКа 4

ГлаВные темы КВартала

Индустрия киберпреступности и атаки на платежные терминалы 6

Вредоносные двоичные файлы с цифровыми подписями: можем ли мы доверять модели, построенной на использовании центров сертификации? 9

Эксплойт «нулевого дня» для Microsoft Office: обнаружен специалистами McAfee Labs 11

Вредоносные программы для мобильных устройств: наступление продолжается 12

статистиКа УГрОз

Вредоносные программы 15

Веб-угрозы 19

Опасные сообщения 21

Сетевые угрозы 22

В пОдГОтОВКе и написании Отчет McAfee LAbs Об УГрОзахза четвертый квартал 2013 года

этого отчета принимали участие:Адам Восотовски (Adam Wosotowsky) Паула Греве (Paula Greve) Бенджамин Круз (Benjamin Cruz) Барбара Кэй (Barbara Kay) Хайфей Ли (Haifei Li) Дуг МакЛин (Doug McLean) Франсуа Паже (François Paget) Рик Саймон (Rick Simon) Дэн Соммер (Dan Sommer) Бин Сунь (Bing Sun) Чун Сюй (Chong Xu) Джеймс Уолтер (James Walter) Крейг Шмугар (Craig Schmugar


КратКая СВОдКаиндустрия киберпреступности и атаки на платежные терминалы В первой статье нашего отчета речь идет о громких случаях кражи данных кредитных карт, имевших место в отчетном квартале, и о том, как киберпреступная экосистема поддерживала организаторов этих атак. С точки зрения объема украденных данных эти случаи были беспрецедентными, но еще более примечательно то, насколько хорошо у индустрии вредоносного ПО получилось обслужить своих клиентов. Злоумышленники покупали готовые вредоносные программы для проведения атак на платежные терминалы и вносили в них простые изменения, чтобы настроить их на определенный объект атаки. Кроме того, для тестирования средств защиты атакуемых объектов и для уклонения от этих средств защиты они, по всей видимости, также использовали покупное программное обеспечение. У них был даже готовый и эффективный черный рынок, на котором они продавали похищенную информацию о кредитных картах, используя для этого анонимную платежную систему на основе виртуальных денег. Сырье, производственные мощности, рынок сбыта, поддержка транзакций: у воров есть все необходимое.

Вредоносные двоичные файлы с цифровыми подписями: можем ли мы доверять модели, построенной на использовании центров сертификации?Быстрый рост количества вредоносных двоичных файлов с цифровыми подписями (как в квартальном, так и в годовом исчислении) ставит под сомнение жизнеспособность модели, построенной на использовании центров сертификации. Посудите сами: в основе этой модели лежит допущение о доверии, но мы насчитали уже восемь миллионов подозрительных двоичных файлов. Возможно, многие из этих файлов представляют собой потенциально нежелательные программы и не являются по-настоящему вредоносными, однако злоупотребление достоверными сертификатами, используемыми для подписывания кода, подрывает доверие пользователей. Конечно, подавляющая часть вредоносных двоичных файлов с цифровыми подписями является делом рук небольшого количества злоумышленников. Однако нет оснований полагать, что люди смогут отличить хорошие сертификаты от вредоносных. Мы считаем, что отрасль безопасности обязана помочь пользователям в этой непростой ситуации. Каким сертификатам можно доверять? Какой уровень доверия можно им назначить?

эксплойт «нулевого дня» для Microsoft Office: обнаружен специалистами McAfee LabsВ ноябре McAfee Labs обнаружила эксплойт «нулевого дня»1, нацеленный на уязвимость в Microsoft Office. Мы выявили целенаправленные атаки на объекты в странах Ближнего Востока и Азии, в ходе которых предпринимались попытки кражи конфиденциальных данных. McAfee Labs в сотрудничестве с Microsoft день и ночь работала над анализом эксплойта и созданием средств защиты от него. В этой статье мы подробно анализируем данный эксплойт и показываем, как трудно бывает обнаруживать и сдерживать некоторые атаки «нулевого дня».

Вредоносные программы для мобильных устройств: наступление продолжаетсяВ этом квартале в качестве «главной темы», затрагивающей один из четырех мегатрендов в сфере информационных технологий, мы выбрали вредоносные программы для мобильных устройств. Мы подробно освещали эту тему в «Отчете McAfee Labs об угрозах за первый квартал 2013 года»2 и в «Отчете McAfee Labs об угрозах за третий квартал 2013 года»3. В этих отчетах мы, среди прочего, писали о ряде очень опасных семейств вредоносного ПО для мобильных устройств и о том ущербе, который они наносят. В этом квартале мы уделяем внимание распространенности мобильных приложений, занимающихся сбором как пользовательских данных, так и телеметрической информации о мобильном устройстве; взаимосвязи между приложениями, собирающими слишком много данных, и вредоносным ПО; а также тому, какие вредоносные действия чаще всего совершаются вредоносными программами для мобильных устройств.

Быстрый рост количества вредоносных двоичных файлов с цифровыми подписями подрывает доверие пользователей к модели, построенной на использовании центров сертификации.

Индустрия киберпреступности сыграла ключевую роль в обеспечении и монетизации результатов этих атак на платежные терминалы.

Это первый известный эксплойт «нулевого дня», использующий уязвимость формата DOCX. Атаки с использованием этого эксплойта продолжаются.

McAfee Labs ежеминутно регистрирует 200 новых угроз, т. е. более трех угроз в секунду.

КратКая сВОдКа

Между приложениями, собирающими слишком много телеметрических данных о мобильных устройствах, и приложениями, содержащими или поддерживающими вредоносное ПО, существует, по всей видимости, взаимосвязь. Одной из первостепенных проблем является отслеживание географического местонахождения устройства (геолокация).


http://blogs.mcafee.com/mcafee-labs/mcafee-labs-detects-zero-day-exploit-targeting-microsoft-office-2

http://www.mcafee.com/ru/resources/reports/rp-quarterly-threat-q1-2013.pdf







глаВные темы КВартала


В декабре в новостях заговорили о серии атак на платежные терминалы в розничных сетях в разных уголках Соединенных Штатов. Сначала сообщили о нападении на Target; эта атака по-пала в число самых крупных случаев утечки данных за всю исто-рию.4 Вскоре мы узнали, что атакам на платежные терминалы подвергся и ряд других розничных сетей. Объектами похожих атак в 2013 году стали Neiman Marcus, White Lodging, Harbor Freight Tools, Easton-Bell Sports, Michaels Stores и ‘wichcraft. Несмотря на отсутствие публичных заявлений о том, что эти

атаки связаны друг с другом или осуществлялись одним и тем же субъектом, во многих из этих атак использовались готовые, покупные вредоносные программы.

И хотя события этого квартала являются беспрецедентными, вредоносные программы для атак на платежные терминалы не являются чем-то новым. За последние несколько лет мы стали свидетелями заметного увеличения числа вредоносных программ семейств POSCardStealer, Dexter, Alina, vSkimmer, ProjectHook и других, многие из которых можно купить в Интернете.

WHITE LODGING

HARBOR FREIGHT

‘WICHCRAFT

NEIMAN MARCUS

MICHAELS STORES

TARGET

EASTON-BELL SPORTS

Апрель 2013 г. Май

White Lodging: 30 марта 2013 г. — 16 декабря 2013 г.Harbor Freight Tools: 6 мая 2013 г. — 30 июня 2013 г.Neiman Marcus: 16 июля 2013 г. — 30 октября 2013 г.‘wichcraft: 11 августа 2013 г. — 2 октября 2013 г.Target: 27 ноября 2013 г. — 15 декабря 2013 г.Easton-Bell Sports: 1 декабря 2013 г. — 15 декабря 2013 г.Michaels Stores: Декабрь 2013 г.? — январь 2014 г.

ХРОНИКА КРУПНЫХ АТАК НА СИСТЕМЫ ПРИЕМА ПЛАТЕЖЕЙ

Июнь Июль Август Сентябрь Октябрь Ноябрь Декабрь Январь 2014 г.

Источник: McAfee Labs, 2014 г.

ГлаВные темы

Индустрия киберпреступности и атаки на платежные терминалы





Компания Target подтвердила наличие вредоносных программ в своих платежных терминалах. Специалистам McAfee Labs в сотрудничестве с рядом учреждений удалось узнать, какое точно вредоносное ПО использовалось в данной атаке. На сегодняшний день Target — единственная розничная сеть, в отношении которой у нас есть такая надежная информация. Мы знаем также, что в своих платежных терминалах Target использует приложение собственной разработки.5 Это очень важная деталь, поскольку это означает, что у нападавших не было возможности изучить систему «в оффлайне», как это бывает в случае украденного у разработчиков кода коммерческих приложений, получить который не составляет особого труда. Мы знаем, что использованное в случае Target вредоносное ПО хоть и было основано на BlackPOS, но в него было внесено несколько изменений, чтобы оно вело себя в среде Target строго определенным образом. В сценариях, сброшенных некоторыми из его вредоносных компонентов, были жестко прописаны имена доменов Active Directory, учетные записи пользователей, IP-адреса общих ресурсов SMB и другие данные.

Следующий сценарий отвечал за отправку записанных данных слежения за кредитными картами на удаленный сервер. Вызов данного сценария производился командами, показанными на предыдущем изображении.


BlackPOS («Dump, CC Memory Grabber») можно приобрести в Интернете.

Этот сценарий отправлял данные кредитных карт организаторам атак на Target.

Во вредоносное ПО для Target были жестко закодированы сценарии, предназначенные для кражи имен доменов, учетных записей пользователей и других данных.

Обратите внимание, что этот сценарий был записан открытым текстом. Более того, передаваемые данные кредитных карт тоже не шифровались. До места назначения их передавали по FTP открытым текстом, в незашифрованном виде.

Обо всех этих атаках много говорили в новостях, и все их последствия вряд ли станут нам известны в ближайшее время. Тем не менее, мы должны признать, что этот класс атак нельзя отнести к атакам «повышенной сложности». Семейство вредоносных программ BlackPOS — это готовый покупной комплект разработчика эксплойтов. Чтобы внести в него изменения и распространить измененный вариант, достаточно иметь начальные навыки программирования и немного разбираться в функциях вредоносных программ. К тому же похищенный исходный код BlackPOS уже не раз публиковался в открытых источниках. Мы наблюдаем то же самое, что и в случае с Zeus/Citadel, gh0st, Poison Ivy и многими другими комплектами разработчика, исходный код которых перестал быть секретом: любой может их приобрести, изменить и использовать в своих целях.





Более того, нормой стало использование методов обхода хорошо известных средств защиты от вредоносного ПО. Не составляет труда протестировать популярные защитные приложения и сделать так, чтобы они не могли обнаруживать трояны, генерируемые этими комплектами разработчика. Злоумышленники превосходно освоили эту практику. Каждый день мы сталкиваемся с новыми шифраторами, упаковщиками и другими методами сокрытия кода, целью которых является предотвратить его обнаружение. Программное обеспечение для тестирования средств защиты, используемых в атакуемых организациях, и комплекты для разработки эксплойтов, позволяющих обходить эти средства защиты, легко приобрести в Интернете.

Что случилось с миллионами номеров кредитных карт, украденных из Target? Мы их отследили, и видим, что крупные партии (дампы) этих номеров продолжают появляться в основных местах торговли похищенными номерами кредитных карт. Обычно воры сбрасывают данные партиями размером от 1 до 4 млн номеров.

Одним из популярных черных рынков кредитных карт является Республика Лампедуза. Благодаря наличию четкой иерархии и документально закрепленной конституции Республика Лампедуза стала упорядоченным и хорошо функционирующим рынком. У Лампедузы очень активная сеть торговых веб-сайтов, в которой на продажу предлагается много партий номеров, полученных именно в ходе этих недавних атак на розничные сети. Для оплаты похищенных номеров кредитных карт воры могут использовать один из многих анонимных механизмов виртуальных денег, например, Bitcoin.

Мы считаем, что эти инциденты будут иметь долгосрочные последствия. Мы надеемся, что станем свидетелями изменений в подходах к обеспечению безопасности, изменений в нормативно-правовых требованиях и, конечно же, судебных исков. Но основной урок заключается в том, что мы имеем дело со здоровой и растущей индустрией киберпреступности, сыгравшей ключевую роль в обеспечении и монетизации результатов этих атак.


Рынки украденных номеров кредитных карт процветают.





Вредоносные двоичные файлы с цифровыми подписямиБезопасный доступ к информации через Интернет возможен благодаря тому, что существуют доверенные сторонние организации, называемые центрами сертификации (certificate authority — CA), у которых поставщики услуг, занимающиеся доставкой этой информации, получают цифровые сертификаты. В рамках этой модели доверия приложения (или двоичные файлы) должны иметь «цифровую подпись», т. е. получить в центре сертификации или у его полномочного посредника сертификат, подтверждающий, что данное приложение принадлежит данному поставщику услуг. Если злоумышленник может получить сертификат для вредоносной программы (вредоносного двоичного файла с цифровой подписью), то ему легче провести атаку, потому что пользователи начинают доверять поставщику услуг именно на основании наличия сертификата.

Но что если сертификаты получат тысячи или миллионы вредоносных приложений? В какой-то момент пользователи больше не смогут доверять тому, что приложения являются безопасными, и это поставит под сомнение жизнеспособность модели, построенной на использовании центров сертификации.

McAfee Labs уже несколько лет наблюдает за ростом количества вредоносных программ с цифровыми подписями. Эта угроза не только распространяется все быстрее и быстрее, но и становится все более сложной. В течение этого квартала мы обнаружили более 2,3 млн новых уникальных вредоносных двоичных файлов с цифровыми подписями. Это на 52 % больше, чем в предыдущем квартале. В годовом исчислении показатель 2013 года (почти 5,7 млн обнаруженных файлов) более чем в три раза превзошел показатель 2012 года.

КОЛ-ВО НОВЫХ ВРЕДОНОСНЫХ ДВОИЧНЫХ ФАЙЛОВ С ЦИФРОВЫМИ ПОДПИСЯМИ

500 000

0

1 000 000

1 500 000

2 000 000

2 500 000

2011 2012 2013


III кв. IV кв. I кв. II кв. III кв. IV кв. I кв. II кв. III кв. IV кв.

Злоумышленники подписывают вредоносные программы, пытаясь тем самым внушить пользователям и администраторам доверие к файлу, избежать обнаружения файла защитными программами и обойти системные политики. Многие из таких вредоносных программ подписываются с помощью купленных или похищенных сертификатов, хотя встречаются и двоичные файлы с самоподписанными сертификатами или с «тестовой подписью». «Тестовые подписи» иногда используются в сочетании с методами социальной инженерии и в рамках целенаправленных атак.

Пользователи больше не могут просто положиться на сертификат. Им приходится полагаться на репутацию поставщика, подписавшего данный двоичный файл, и его способность обеспечить безопасность своих данных.

В 2013 году количество вредоносных двоичных файлов с цифровыми подписями в нашей библиотеке выросло в три раза и превысило 8 миллионов.






Откуда берутся все эти вредоносные программы с цифровыми подписями? Во всех этих случаях мы имеем дело с сертификатами, которые похищены, куплены или использованы не по назначению. При этом, однако, за подавляющим большинством новых вредоносных программ с цифровыми подписями стоят сомнительные сети распределения содержимого (content distribution network — CDN). Это веб-сайты и компании, которые позволяют разработчикам загружать свои программы (или указывать URL-адреса, по которым размещены внешние приложения) и упаковывают эти программы в установщик с цифровой подписью. Это не только обеспечивает преступным разработчикам канал сбыта, но и создает видимость легитимности.

На следующей диаграмме показаны крупнейшие субъекты сертификатов (подписывающие организации), имеющие отношение к вредоносным двоичным файлам с цифровыми подписями.

При дальнейшем рассмотрении обнаруживается, что следы разных субъектов сертификатов во вредоносных двоичных файлах с цифровыми подписями ведут к одним и тем же сомнительным сетям CDN. Так, например, двоичные файлы, подписанные Firseria SL, и другие файлы, подписанные PortalProgramas, получают содержимое с downloadmr.com.

Точно так же программы, подписанные Tuguu SL, Payments Interactive SL и Lunacom Interactive Ltd., отсылают к secdls.com, tuguu.com или domaiq.com, которые все принадлежат одной и той же организации. Эти организации предлагают такие услуги, как объединение файлов в пакет, оплата по количеству установок, анализ, реклама и т. д.

В итоге получается, что в этом квартале на двух крупнейших нарушителей, Tuguu SL и DownloadMR, пришлась треть всех новых вредоносных программ с цифровыми подписями. Данный список ни в коем случае не является исчерпывающим, потому что с этими сетями CDN связано и много других сертификатов. Однако факт использования такой практики разработчиками вредоносных программ помогает понять, почему так быстро растет количество вредоносных программ с цифровыми подписями.

ОБЩЕЕ КОЛ-ВО ВРЕДОНОСНЫХ ДВОИЧНЫХФАЙЛОВ С ЦИФРОВЫМИ ПОДПИСЯМИ

1 000 000

2 000 000

0

3 000 000

4 000 000

5 000 000

6 000 000

7 000 000

8 000 000


III кв. IV кв. I кв. II кв. III кв. IV кв. I кв. II кв. III кв. IV кв.2011 2012 2013

СУБЪЕКТЫ СЕРТИФИКАТОВ, КОТОРЫМИ ПОДПИСАНЫВРЕДОНОСНЫЕ ДВОИЧНЫЕ ФАЙЛЫ

Firseria SL

AND LLC

PortalProgramas

ITNT SRL

Tuguu SL Lunacom Interactive Ltd.

Payments Interactive SL Artur Kozak

Corleon Group Ltd. Другие

50 %

4 %

14 %

8 %

6 %

6 %

3 %3 %3 %

3 %







Эксплойт «нулевого дня» для Microsoft OfficeВ начале ноября 2013 года McAfee Labs обнаружила эксплойт «нулевого дня»6, нацеленный на Microsoft Office.7 Согласно нашим наблюдениям, первые образцы этого эксплойта совершали атаки на крупные организации в странах Ближнего Востока и Азии (включая ряд военных учреждений Пакистана). С помощью этих целенаправленных атак злоумышленники пытались красть конфиденциальные данные, т. е. определять местонахождение определенных типов файлов (PDF, TXT, PPT, DOC, XLS и др.) в среде объекта атаки и пересылать их за пределы среды. Данная уязвимость (CVE-2013-3906)8 была исправлена в декабрьском пакете исправлений Microsoft под номером MS 13-096. Защитные продукты McAfee тоже были обновлены и могут теперь блокировать атаки, в которых используется этот эксплойт.9 Эти атаки «нулевого дня» нацелены на уязвимость формата Word Open XML (DOCX)10, и в них, по всей видимости, используется элемент ActiveX для «распыления» динамической памяти.11 Распыление динамической памяти («кучи») через объекты ActiveX — это новый способ использования уязвимостей Office. Раньше для распыления динамической памяти в Office злоумышленники обычно использовали Flash Player. Это еще одно доказательство того, что методы проведения атак постоянно эволюционируют.

С тех пор, как McAfee Labs впервые обнаружила эту угрозу, мы в сотрудничестве с другими аналитиками обнаружили более 60 уникальных вариантов этой угрозы. Это говорит о том, что данную уязвимость активно использует большое количество злоумышленников. Мы даже стали свидетелями того, как с помощью данного эксплойта распространялись варианты трояна Citadel Trojan12. Теперь в нашей коллекции около 500 уникальных примеров вредоносных программ, основанных на данном эксплойте. Самый старый из обнаруженных нами образцов относится к середине июля 2013 года.

Уязвимость CVE-2013-3906 является первым «диким» эксплойтом, нацеленным на Open XML. В прошлом многие считали, что формат DOCX вполне безопасен по сравнению со «взломанным» двоичным форматом файлов Office.13 Теперь никто так не считает. Этот элемент неожиданности, возможно, и стал основной причиной того, что эту угрозу никто не обнаружил еще раньше: поскольку DOCX-файлы не считались уязвимыми, их не запускали в изолированной среде «песочницы».

Кроме того, в эксплойте использовался новый метод распыления динамической памяти без каких-либо сценариев, потому что оптимизированные средства защиты Office 2007 и более поздних версий легче распознают и блокируют действия, заданные в сценариях. Более важно (и более опасно) то, что этот недостаток полностью задокументирован, и имеются теоретические и практические доказательства возможности такого эксплойта, что значительно облегчает другим злоумышленникам задачу использования данного эксплойта в новых атаках, включения его в комплекты для разработки эксплойтов и т. п. Проводя анализ, мы узнали также, что в Office 2007 по умолчанию не включена функция предотвращения выполнения данных (DEP).14 Это вызывает у нас еще большее беспокойство. При отключенной функции DEP успешной может оказаться даже менее сложная атака с распылением динамической памяти, чем та, что описана выше.




400 000

200 000

800 000

600 000

1 000 000

КОЛ-ВО НОВЫХ ОБРАЗЦОВ ВРЕДОНОСНЫХ ПРОГРАММ ДЛЯ МОБИЛЬНЫХ ПЛАТФОРМ

0


I кв. II кв. III кв. IV кв. I кв. II кв. III кв. IV кв. I кв. II кв. III кв. IV кв.2011 2012 2013

ОБЩЕЕ КОЛ-ВО ОБРАЗЦОВ ВРЕДОНОСНЫХ ПРОГРАММ ДЛЯ МОБИЛЬНЫХ ПЛАТФОРМ

1 000 000

500 000

0

2 000 000

1 500 000

3 500 000

3 000 000

2 500 000

4 000 000



В 2013 году было зарегистрировано 2,4 млн новых образцов вредоносных программ для мобильных устройств, что на 197 % больше, чем в 2012 году.


Вредоносные программы отслеживают информацию о местонахождении устройств и собирают личные данные пользователей, используя молчаливое согласие пользователей с тем, что мобильным приложениям предоставляется доступ к данным на устройстве.

Вредоносные программы для мобильных устройств: наступление продолжаетсяВ 2013 году мы собрали 2,47 млн новых образцов вредоносных программ для мобильных устройств, из них 744 000 только в отчетном квартале. К концу этого года наш «зоопарк» вредоносных программ для мобильных устройств насчитывал 3,73 млн образцов, что на целых 197 % больше, чем к концу 2012 года.

Вредоносное ПО может попасть на мобильное устройство почти через все те векторы атаки, которые обычно ассоциируются с другими конечными устройствами: как правило, в результате загрузки приложений, но также и в результате посещения вредоносных веб-сайтов, получения спама и вредоносных SMS-сообщений, загрузки рекламных баннеров, содержащих вредоносное ПО. Интерес аналитиков вызывают степень распространенности мобильных приложений, занимающихся сбором как пользовательских данных, так и телеметрической информации о мобильном устройстве; взаимосвязь между приложениями, собирающими слишком много данных, и вредоносным ПО; а также то, какие вредоносные действия чаще всего совершаются вредоносными программами для мобильных устройств.

Начиная с «Отчета McAfee Labs об угрозах за третий квартал 2013 года»15 мы стали указывать в своих отчетах о вредоносных программах для мобильных устройств не количество семейств вредоносных программ, а количество уникальных образцов (хэшей). Причин для этого было две: во-первых, мы хотели, чтобы то, как мы сообщаем о вредоносных программах для мобильных устройств, соответствовало тому, как мы сообщаем обо всех остальных вредоносных программах; во-вторых, сообщая общее количество вариантов вместо общего количества семейств, мы даем более точную общую картину того, какой ущерб наносят пользователям вредоносные программы для мобильных устройств.








Как было отмечено нами в недавно опубликованном отчете о безопасности мобильных устройств и приложений (McAfee Mobile Security Report16), ни много ни мало 82 % мобильных приложений отслеживают, когда вы используете беспроводные сети и сети передачи данных, когда вы включаете свое устройство и ваше текущее и предыдущее местонахождение; 80 % приложений собирают информацию о местонахождении; а 57 % — отслеживают, когда используется ваш телефон. Конечно, по большей части такое отслеживание является безвредным. Мы отказываемся от конфиденциальности и делимся данными, позволяющими установить нашу личность, в обмен на удобства, доступ к ресурсам и персональный подход. Но как быть с аномальным поведением, когда приложение осуществляет сбор данных не так, как другие приложения из той же категории?

McAfee Labs ведет базу данных о репутации мобильных приложений. Когда поведение приложения значительно отличается от поведения других приложений из той же категории, мы можем повысить оценку его рискованности, выражаемую в баллах (на основе анализа сбора личных данных). Чем выше балл, тем больше личных данных собирает данное приложение в сравнении с аналогичными приложениями. Низкий балл, присвоенный категории приложений и самому приложению, означает, что приложение собирает очень мало информации или ведет себя так, как оно должно себя вести в соответствии с его описанием.

Мы также обнаружили, что между приложениями, собирающими слишком много телеметрических данных о мобильных устройствах, и приложениями, содержащими или поддерживающими вредоносное ПО, существует, по всей видимости, взаимосвязь. Чем больше данных приложение собирает в сравнении с аналогичными приложениями в своей категории, тем больше вам следует опасаться утечки данных и возможной кражи. В самом деле, когда мы обратились к своей базе данных о репутации

мобильных приложений и проанализировали десять приложений, набравших наибольшее количество баллов по сбору личных данных, мы обнаружили, что в шести из них содержалось вредоносное ПО. Все десять приложений считывают идентификатор устройства и отслеживают его последнее известное местонахождение.

Анализируя поведение вредоносных программ для мобильных устройств, мы отметили несколько интересных моментов. Во-первых, самый распространенный вид поведения, наблюдаемый у более трети всех вредоносных программ, это сбор и отправка телеметрической информации об устройстве. Вредоносная программа отправляет данные, которые можно использовать для создания профиля поведения владельца мобильного устройства. Широко распространены также действия, обычно ассоциируемые с перехватом контроля над устройством, например, превращение мобильного устройства в бота и установка другого, еще более вредоносного ПО. Во-вторых, что касается общей тенденции, то вредоносные программы для мобильных устройств, по всей видимости, постепенно переходят от использования уязвимостей к такому поведению, для которого более характерно создание профилей и перехват контроля над устройствами. Похоже, что информация о передвижениях владельцев устройств становится все более ценной.

Предоставление мобильному приложению информации слежения может показаться безобидным делом или, в крайнем случае, вопросом обеспечения конфиденциальности. Однако это может иметь серьезные последствия для безопасности бизнеса, если сотрудники используют на рабочем месте свои личные устройства. Умное вредоносное ПО, прямо или косвенно установленное на телефоне генерального директора компании мобильным приложением с сомнительной репутацией и не делающее ничего, кроме отслеживания информации о местонахождении, может на самом деле оказаться шпионом, предоставляющим информацию конкурентам, поставщикам, финансовым аналитикам, шантажистам и даже тем, кто собирается причинить физический вред.

НОВЫЕ ВРЕДОНОСНЫЕ ПРОГРАММЫ ДЛЯ МОБИЛЬНЫХ УСТРОЙСТВ,ПРЕДНАЗНАЧЕННЫЕ ДЛЯ ВЗЛОМА

15 %

10 %

5 %

0 %

25 %

20 %

40 %

35 %

30 %

45 %

Отп

равк

аин

фор

мац

иио

моб

ильн

омус

трой

стве

Шпи

онск

иепр

огра

мм

ы

Про

грам

мы

для

пока

за р

екла

мы

Отп

равк

апл

атны

х SM

S-со

общ

ений

Мош

енни

чест

во

Сред

ство

испо

льзо

вани

яуя

звим

ости

Вред

онос

ные

прог

рам

мы

для

рути

нга

Бэкд

ор/

бот-

сеть

Hac

ktoo

l

Загр

узчи

к/ус

тано

вщик

Разр

ушит

ельн

ое ПО

Неж

елат

ельн

ые

SMS-

сооб

щен

ия

Декабрь 2012 г.

Декабрь 2013 г.




http://www.mcafee.com/ru/resources/reports/rp-mobile-security-consumer-trends.pdf

http://www.mcafee.com/ru/resources/reports/rp-mobile-security-consumer-trends.pdf




СтатиСтиКа угрОз


Вредоносные программы

«Зоопарк» McAfee Labs за отчетный квартал вырос на 15 %. Теперь в нем более 196 миллионов уникальных образцов вредоносного ПО.

КОЛ-ВО НОВЫХ ОБРАЗЦОВ ВРЕДОНОСНЫХ ПРОГРАММ

10 000 000

5 000 000

0

15 000 000

25 000 000

20 000 000

30 000 000



ОБЩЕЕ КОЛ-ВО ВРЕДОНОСНЫХ ПРОГРАММ

50 000 000

0

100 000 000

150 000 000

200 000 000

250 000 000








В период с IV квартала 2012 года по IV квартал 2013 года объем новых образцов программ-вымогателей вырос в два раза. В 2013 году McAfee Labs зарегистрировала 1 миллион новых образцов.

НОВЫЕ ПРОГРАММЫ-ВЫМОГАТЕЛИ

100 000

50 000

0

200 000

150 000

350 000

300 000

250 000

400 000



ОБЩЕЕ КОЛ-ВО ПРОГРАММ-ВЫМОГАТЕЛЕЙ

600 000

400 000

200 000

0

1 000 000

800 000

1 600 000

1 400 000

1 200 000

1 800 000








НОВЫЕ ВРЕДОНОСНЫЕ РУТКИТЫ

50 000

0

100 000

150 000

200 000

250 000



ОБЩЕЕ КОЛ-ВО ВРЕДОНОСНЫХ РУТКИТОВ

600 000

400 000

200 000

0

1 000 000

800 000

1 600 000

1 400 000

1 200 000

1 800 000




Количество новых руткитов в этом квартале сократилось на 73 %. Это продолжение спада, начавшегося в 2011 году.





НОВЫЕ ОБРАЗЦЫ УГРОЗ, СВЯЗАННЫХ С МОДИФИКАЦИЕЙ ЗАГРУЗОЧНОЙ ЗАПИСИ

200 000

100 000

0

400 000

300 000

700 000

600 000

500 000

800 000

Варианты семейств с известным вредоносным кодом для модификации MBR


Выявленные компоненты основной загрузочной записи


ОБЩЕЕ КОЛ-ВО ОБРАЗЦОВ УГРОЗ, СВЯЗАННЫХС МОДИФИКАЦИЕЙ ЗАГРУЗОЧНОЙ ЗАПИСИ

2 000 000

1 000 000

0

3 000 000

5 000 000

4 000 000

6 000 000

Варианты семейств с известным вредоносным кодом для модификации MBR


Выявленные компоненты основной загрузочной записи


В 2013 году McAfee Labs зарегистрировала 2,2 миллиона новых образцов программ для проведения атак на главную загрузочную запись.






Веб-угрозы

КОЛ-ВО НОВЫХ ПОДОЗРИТЕЛЬНЫХ URL-АДРЕСОВ

4 000 000

2 000 000

0

8 000 000

6 000 000

14 000 000

12 000 000

10 000 000

16 000 000

URL-адреса Родственные домены

2012 2013


II кв. III кв. IV кв. I кв. II кв. III кв. IV кв.

Количество подозрительных URL-адресов в 2013 году по нашим данным выросло на 40 %.

МЕСТОПОЛОЖЕНИЕ СЕРВЕРОВ С ВРЕДОНОСНЫМ СОДЕРЖИМЫМ

Северная Америка

Африка

Австралия

Европа и Ближний Восток

Латинская Америка

55,9 %

31,9 %

3,2 %

0,1 %

0,4 %8,4 %


Азиатско-Тихоокеанский регион






КОЛ-ВО НОВЫХ URL-АДРЕСОВ ДЛЯ ФИШИНГА

150 000

100 000

50 000

0

250 000

200 000

400 000

350 000

300 000

450 000

URL-адреса

Родственные домены

2012 2013


II кв. III кв. IV кв. I кв. II кв. III кв. IV кв.

ОСНОВНЫЕ СТРАНЫ, В КОТОРЫХ РАЗМЕЩЕНЫURL-АДРЕСА ДЛЯ ФИШИНГА

Чешская Республика

Германия

Франция

Канада

БразилияСША

47 %

6 %5 %5 %

4 %

27 %

3 %3 %

ОСНОВНЫЕ СТРАНЫ, В КОТОРЫХ РАЗМЕЩЕНЫURL-АДРЕСА ДЛЯ РАССЫЛКИ СПАМА

Нидерланды

Россия

Япония

47 %

12 %5 %

5 %4 %

24 %

3 %

Великобритания

Другие







Опасные сообщения

ОБЪЕМ ЭЛЕКТРОННЫХ СООБЩЕНИЙ ПО ВСЕМУ МИРУ

2

1

0

4

3

7

6

5

10

9

8

Нежелательная почта Электронная почта

Триллионы сообщений



КОЛ-ВО ОБНАРУЖЕННЫХ СЛУЧАЕВ ЗАРАЖЕНИЯ БОТ-СЕТЯМИДЛЯ РАССЫЛКИ СООБЩЕНИЙ ПО ВСЕМУ МИРУ

4 000 000

2 000 000

0

8 000 000

6 000 000

14 000 000

12 000 000

10 000 000

20 000 000

18 000 000

16 000 000








Сетевые угрозы

ОСНОВНЫЕ СЕТЕВЫЕ АТАКИ

Обозреватель

Удаленный вызов процедур

Межсайтовые сценарии

Внедрение SQL-кода

Другие45 %

9 %

8 %

12 %

26 %


САМЫЕ РАСПРОСТРАНЕННЫЕ БОТ-СЕТИ ДЛЯРАССЫЛКИ СПАМА (В МИРОВОМ МАСШТАБЕ)

Cutwall

Kelihos

Slenfbot

Festi

Darkmailer

Другие

35 %

15 %

12 %

31 %

4 %3 %



На протяжении последних шести кварталов главной сетевой угрозой были атаки на веб-обозреватели, в основном нацеленные на уязвимости Internet Explorer и Firefox.





СЕТЕВЫЕ УГРОЗЫ БЕЗОПАСНОСТИ

4 000 000

2 000 000

0

8 000 000

6 000 000

14 000 000

12 000 000

10 000 000

16 000 000 Атаки на веб-обозреватели




Другие


2012 2013I кв. II кв. III кв. IV кв. I кв. II кв. III кв. IV кв.

ОБЩЕЕ КОЛ-ВО СЕТЕВЫХ УГРОЗ БЕЗОПАСНОСТИ

10 000 000

5 000 000

0

20 000 000

15 000 000

35 000 000

30 000 000

25 000 000

40 000 000 Атаки на веб-обозреватели




Другие


2012 2013I кв. II кв. III кв. IV кв. I кв. II кв. III кв. IV кв.






О КОмпании McAfeeMcAfee, стопроцентная дочерняя компания Intel Corporation (NASDAQ: INTC), позволяет предприятиям, организациям государственного сектора и домашним пользователям безопасно и эффективно применять Интернет-технологии. Компания поставляет проверенные упреждающие решения защиты для систем, сетей и мобильных устройств по всему миру. Благодаря своей реализуемой стратегии Security Connected, новаторскому подходу к решениям безопасности, усиленным средствами аппаратного обеспечения, а также благодаря уникальной сети сбора информации об угрозах Global Threat Intelligence, компания McAfee непрерывно и целеустремленно ищет новые пути защиты своих клиентов.

http://www.mcafee.com/ru

1 http://blogs.mcafee.com/mcafee-labs/mcafee-labs-detects-zero-day-exploit-targeting-microsoft-office-2

2 http://www.mcafee.com/ru/resources/reports/rp-quarterly-threat-q1-2013.pdf


4 По текущим оценкам общий объем утечек мог составлять 110 миллионов записей транзакций.

5 http://www.microsoft.com/casestudies/Case_Study_Detail.aspx?CaseStudyID=4000009407

6 http://blogs.mcafee.com/mcafee-labs/mcafee-labs-detects-zero-day-exploit-targeting- microsoft-office-2

7 http://blogs.mcafee.com/mcafee-labs/mcafee-labs-detects-zero-day-exploit-targeting-microsoft-office-2

8 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3906

9 http://blogs.mcafee.com/business/updates-and-mitigation-to-cve-2013-3906-zero-day-threat

10 http://msdn.microsoft.com/en-us/library/aa338205%28v=office.12%29.aspx

11 Распыление динамической памяти (heap spraying): способ доставки вредоносного содержимого путем внедрения фрагмента кода по прогнозируемому и перемещаемому адресу памяти. Вредоносный код может пытаться применить этот метод в адресном пространстве другого процесса с целью получения контроля над системой.

12 http://www.mcafee.com/ru/resources/white-papers/wp-citadel-trojan-summary.pdf

13 http://msdn.microsoft.com/en-us/library/cc313105%28office.12%29.aspx

14 https://blogs.mcafee.com/mcafee-labs/solving-the-mystery-of-the-office-zero-day-exploit-and-dep


16 http://www.mcafee.com/ru/resources/reports/rp-mobile-security-consumer-trends.pdf

Информация, содержащаяся в настоящем документе, предоставляется исключительно в ознакомительных целях и предназначена для клиентов компании McAfee. Содержащаяся в настоящем документе информация может быть изменена без предварительного уведомления и предоставляется «как есть» без каких-либо гарантий точности и применимости данной информации к каким-либо конкретным ситуациям или обстоятельствам.

McAfee и логотип McAfee являются товарными знаками или зарегистрированными товарными знаками корпорации McAfee, Inc. или ее филиалов в США и других странах. Другие названия и фирменная символика являются собственностью соответствующих владельцев. Планы, спецификации и описания, содержащиеся в данном документе, предоставляются исключительно в информационных целях и могут быть изменены без предварительного уведомления; они предоставляются без какой-либо гарантии, явно выраженной или подразумеваемой. Copyright © 2014 McAfee, Inc.

60989rpt_qtr-q4_0314_fnl_PAIR





http://www.microsoft.com/casestudies/Case_Study_Detail.aspx?CaseStudyID=4000009407





http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3906

http://blogs.mcafee.com/business/updates-and-mitigation-to-cve-2013-3906-zero-day-threat

http://msdn.microsoft.com/en-us/library/aa338205%28v=office.12%29.aspx

http://www.mcafee.com/ru/resources/white-papers/wp-citadel-trojan-summary.pdf

http://msdn.microsoft.com/en-us/library/cc313105%28office.12%29.aspx

https://blogs.mcafee.com/mcafee-labs/solving-the-mystery-of-the-office-zero-day-exploit-and-dep

Documents

Отчет McAfee LAbs Об угрО зах Report Q4 2013... · покупали готовые вредоносные программы для проведения атак на