Drive-by download najpopularniejszym typem ataku

04-07-2009, 15:06

Ataki cyberprzestępcze są coraz bardziej zorientowane na WWW - wynika z rankingu szkodliwych programów, które najczęściej atakowały użytkowników w czerwcu br. W najnowszym zestawieniu analitycy z Kaspersky Lab zastosowali inne niż dotychczas metody wyboru i analizy danych.

Szkodliwe programy występujące najczęściej na komputerach użytkowników, czerwiec 2009
fot. Kaspersky Lab - Szkodliwe programy występujące najczęściej na komputerach użytkowników, czerwiec 2009
Pierwsza tabela zawiera szkodliwe programy, aplikacje wyświetlające reklamy oraz potencjalnie niebezpieczne narzędzia, które zostały wykryte i zneutralizowane na komputerach użytkowników po raz pierwszy, np. przez moduł ochrony w czasie rzeczywistym. Zmiana sposobu analizy danych nie miała żadnego wpływu na liderów rankingu - Net-Worm.Win32.Kido.ih, szerzej znany jako Conficker, pozostał na pierwszym miejscu. W zestawieniu pojawiły się także dwie nowe modyfikacje tego robaka: Kido.jq oraz Kido.ix.

Skuteczność robaków z rodziny Kido wynika przede wszystkim z tego, że rozprzestrzeniają się one na wiele sposobów, łącznie z wykorzystaniem nośników wymiennych, takich jak pendrive'y. Z podobnej metody infekowania korzystają robaki z rodziny AutoRun (AutoRun.dui oraz AutoRun.rxx), które także dostały się do zestawienia.

Warto także odnotować pojawienie się na dwudziestym miejscu aplikacji adware Shopper.v. Jest to typowy program z tej kategorii - instaluje rozmaite paski narzędzi w przeglądarce internetowej oraz kliencie poczty i przy ich użyciu wyświetla banery reklamowe. Pozbycie się wspomnianych pasków narzędzi może stanowić nie lada kłopot dla początkujących użytkowników systemu Windows.

Szkodliwe programy pobierane najcześciej ze stron WWW, czerwiec 2009
fot. Kaspersky Lab - Szkodliwe programy pobierane najcześciej ze stron WWW, czerwiec 2009
Drugie zestawienie przedstawia dane wygenerowane przez moduł ochrony WWW i odzwierciedla krajobraz zagrożeń online. Ranking obejmuje m.in. szkodliwe programy wykryte na stronach internetowych. Pierwsze miejsce zajął w nim Gumblar.a - koń trojański, który jest doskonałym przykładem zagrożenia typu drive-by download. Ma on postać małego zaszyfrowanego skryptu, który po uruchomieniu przekierowuje użytkownika na zainfekowaną stronę WWW. Następnie, przy użyciu szeregu luk, pobierany jest plik wykonywalny szkodliwego programu, który po instalacji m.in. modyfikuje wyniki wyszukiwania Google.

Kolejnym przykładem ataku drive-by download jest trojan LuckySploit.q, który uplasował się na trzecim miejscu drugiego rankingu, jest także obecny w pierwszym zestawieniu. Na początku szkodnik pobiera z zainfekowanego komputera informacje o konfiguracji przeglądarki internetowej. Następnie szyfruje dane przy użyciu publicznego klucza RSA i umieszcza je na stronie WWW przygotowanej przez cyberprzestępców. Dane są odszyfrowywane na serwerze z użyciem prywatnego klucza RSA, a do użytkownika trafia odpowiedni zestaw skryptów (w zależności od zainstalowanej przeglądarki). Skrypty te wykorzystują luki atakowanego komputera i ściągają z sieci szkodliwe programy.

Kraje, z których pochodzi najwięcej prób infekowania komputerów przez internet, czerwiec 2009
fot. Kaspersky Lab - Kraje, z których pochodzi najwięcej prób infekowania komputerów przez internet, czerwiec 2009
Takie wieloetapowe podejście znacznie utrudnia analizę oryginalnego skryptu, który pobiera informacje o przeglądarce. Jeżeli serwer odszyfrowujący dane jest niedostępny, wykrycie konkretnych skryptów trafiających na atakowany komputer staje się niemożliwe. Zdaniem analityków z Kaspersky Lab ataki cyberprzestępcze stają się coraz bardziej zorientowane na WWW. Nie należy więc zapominać o regularnym uaktualnianiu systemów operacyjnych i użytkowanych aplikacji.

Obecność w rankingu takich exploitów, jak Trojan-Clicker.SWF.Small.b, Exploit.JS.Pdfka.gu, Exploit.JS.Pdfka.lr czy Exploit.SWF.Agent.az, świadczy zarówno o popularności aplikacji Adobe Flash Player i Adobe Reader, jak też o dużej liczbie luk w tych programach. Dziury w produktach Microsoftu także są intensywnie wykorzystywane - na uwagę zasługuje zwłaszcza Trojan-Downloader.JS.Major.c, który przenika do systemu poprzez liczne błędy w zabezpieczeniach różnych wersji Windowsa oraz pakietu Microsoft Office.

Z najnowszego kwartalnego raportu F-Secure dotyczącego bezpieczeństwa w internecie (Q2 2009) wynika, że 48,87% wykorzystywanych exploitów jest ukierunkowanych na oprogramowanie firmy Adobe. W ubiegłym roku najczęściej atakowanym formatem plików był DOC, teraz cyberprzestępcy preferują PDF. Skąd ta zmiana? Przede wszystkim stąd, że obecnie programy Adobe Acrobat / Adobe Reader mają więcej luk w zabezpieczeniach, niż aplikacje Microsoft Office - czytamy w podsumowaniu analityków z F-Secure.

Natomiast statystyki aplikacji F-Secure Health Check pokazują, że w maju jeden na trzy przeskanowane komputery był podatny na usterki w programie Adobe Reader, które zostały zgłoszone w lutym. Zanim użytkownicy zaktualizują zabezpieczenia swoich systemów, mija sporo czasu. Nowy, kwartalny cykl aktualizacji Adobe powinien zwrócić uwagę na ten problem.


Źródło: Kaspersky Lab, F-Secure
  
znajdź w serwisie

RSS  
RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Lipiec 2019»
PoWtŚrCzwPtSbNd
1234567
891011121314
15161718192021
22232425262728
293031