Mariano Sumrell Miranda – AVG Brasil/Winco

SegInfo - Agosto, 2011

Cenário de Ameaças em 2011

Agenda

Introdução

Como os dados foram levantados

Algumas estatísticas do 2º Trimestre de 2011

Exploit Toolkits e Blackhole

Destaques de 2011

Malwares assinados com certificados roubados

Ameaças no mundo Apple

Ameaças para dispositivos móveis

Mídias Sociais

Os Dados Dados e tráfego coletados do Community Protection

Network e analisados pelo AVG.

Community Protection Network

Informações sobre as ameaças mais recentes e são coletadas de

clientes que optam por participar do programa. Essas informações são

analisadas e compartilhadas com a comunidade AVG para assegurar que

todos recebam a melhor proteção possível.

120 milhões de usuários.

http:/www.avgbrasil.com.br/relatorio-ameacas-Q2-2011

http:/www.avgbrasil.com.br/relatorio-ameacas-Q1-2011

EstatísticasFalsos Antivírus: 35,79% das ameaças detectadas

Exploit Toolkits: 37% das ameaças em websites são de exploit kits

Exploit Toolkit mais usado: Blackhole -> 75,83% dos toolkits

Driver Externo: 11,3% das ameaças usam devices externos, como pendrive,

como forma de propagação através do autorun.

Spam:

EUA é a origem da maioria dos spams com 32,9% do total

bit.ly é o encurtador mais usado nos spams

Inglês é a lingua mais usada

Prevalência de Ameaças na Web

Antivírus Falso 35,79%

Blackhole Exploit Kit 28,66%

Fragus nulled exploit kit 7,48%

Engenharia Social 5,73%

Spam sites de produtos farmaceuticos 3,75%

Links para Exploit Sites 3,34%

Facebook Clickjacking 2,92%

Falsos Antispywares 2,29%

Codecs Falsos 1,23%

NeoSploit Exploit Kit 1,22%

Principais domínios encontrados em Spams

6

Línguas mais usadas em Spams

7

Principais países de origem de Spams

8

Exploit Toolkits Toolkits que automatizam o ataque a visitantes de sites

infectados (‘drive-by’ attack).

Exploram diferentes falhas de segurança de sistemas

operacionais, navegadores e aplicações.

Vendidos no mercado negro com preços variando de

centenas de dólares a mais de mil dólares.

Licença anual do Blackhole custam em torno de USD 1.500

Podem ser usados por não especialistas, não requerendo

conhecimento de TI ou segurança.

Blackhole Toolkit Iframe com script obfuscado redireciona para o servidor do

Blackhole

Página contém exploits para várias vulnerabilidades: Java,

PDF, HCP, MDAC, etc.

Faz download de Trojan.Carberp que envia ao command-

and-control server (C&C) um id único usado nas transações

sibsequentes e envia uma lista de todos os processos em

execução na máquina atacada.

O trojan faz download de 3 módulos:

miniav.plug – procura outros trojans, como o Zeus, e desabilita os

concorrentes

stopav.plug – disabilita o antivírus instalado no computador

passw.plug – loga todos as combinações de usuários/senhas e as urls

visitadas

Blackhole Por fim faz 2 downloads:

Trojan Hiloti (downloader que tenta baixar arquivo de um

servidor gratuito de downloads)

FakeAV – antivírus falso

Tela do falso antivírus do Blackhole

12

Loja do falso antivírus do Blackhole

13

Administrador do Blackhole

AVG Confidential 14

Administrador do Blackhole -Índice de Detecção por Diferentes Antivírus

15

Malwares assinados com certificados falsos Crescimento de mais 300% em 2011 de malwares

assinados

Usuários acreditam em aplicações assinadas por empresas

conhecidas e certificadas por autoridades certificadoras

confiáveis.

Windows Vista e 7 permite a instalação de certos tipos de

softwares (ex.: device drivers) se forem assinados

Exemplo mais famoso:

Stuxnet: assinado por Jmicron e Realtek - 2010

Ameaças no mundo Apple O cybercrime percebeu o crescimento de usuários Mac e

passaram a atacar as plataformas da Apple também.

Mesmas técnicas usadas para Windows, principalmente

engenharia social.

Fonte: http://marketshare.hitslink.com

Dispositivos móveis

Mesmo caso do Mac OS: aumento do uso de smartphones e

tablets torna interessante atacar esses dispositivos.

Internet: 1,5 bilhões de usuários

Celulares: 4,5 bilhões de usuários

Cuidados com a segurança dos dispositovos móveis é bem menor

que do que com o desktop.

Ameaças para o Android Comparado com o número de ameaças para o desktop, o

número de malwares é pequeno. Mas o crescimento

impressiona.

Dispositivos móveis Principal forma de contaminação: aplicativos falsos

Durante o 1º Trimestre de 2011 0,20% dos downloads de

aplicativos foram malwares.

3,9 Bilhões de downloads (fonte androlib.com) => 7,8 milhões

de download de malwares.

Engenharia Social, incluindo Spams por SMS, é a principal forma de induzir as pessoas a baixarem essesaplicativos

0,02% das mensagens de SMS são maliciosas

Nos EUA, em Dezembro de 2010 (fonte www.ctia.org):

187,7 bilhões de SMSs => 3,75 milhões de mensagensmaliciosas

Dispositivos móveis Roubo de senhas, informações bancárias e cartões de

crédtio, como nos desktops.

Smartphones possibilitam uma nova forma de monetização

Envio de SMS para a contratação de serviços SMS pagos:

Horóscopo

Previsão de tempo

Notícias

Midias Sociais Crescimento acelearado continua fazendo das midias sociais

ótima forma de propagar malwares

Links encurtados ajudam o phishing

Clickjacking usado principalmente no Facebook

Sequestro de conexões (ex. Firesheep)

http://www.avg-empresas.com.br/videos

Obrigado!

mariano@winco.com.br