Угрозы корпоративным и домашним пользователям — 2009
Безопасность операционных систем
Серверы с вредоносным ПО и фишинговые сайты
Угрозы, связанные с электронной почтой
Атаки, связанные с автоматизированным внедрением кода SQL
Уязвимости программного обеспечения
Эксплойты, связанные с документами различных форматов
Анализ страниц загрузки типа drive-by
Применение обновлений системы безопасности при борьбе с уязвимостями
Недавно корпорация Microsoft выпустила седьмой глобальный отчет по информационной безопасности (Microsoft Security Intelligence Report, Volume 7, January through June 2009). Этот документ, свободно доступный для загрузки, обобщает данные об основных угрозах информационной безопасности, полученные благодаря анализу данных об инцидентах, опубликованных в открытых источниках, и статистику самой корпорации Microsoft, а также описывает возможные меры противодействия угрозам и способы юридического преследования компаний и лиц, производящих и распространяющих вредоносное ПО. Как известно, средства безопасности Microsoft собирают (с разрешения пользователей) данные с миллионов компьютеров по всему миру, а также с некоторых наиболее популярных интернет-сервисов. Анализ этих данных дает уникальную возможность провести комплексный анализ активности вредоносного и потенциально нежелательного ПО в различных регионах по всему миру.
В этой публикации мы обсудим наиболее интересные данные, приведенные в упомянутом отчете.
Безопасность операционных систем
Приведенные в отчете данные свидетельствуют, что в первом полугодии 2009 года ОС Windows Vista имела гораздо более низкий уровень заражения по сравнению с Windows XP, уровень заражения для Windows Server 2008 RTM был на 52,6% ниже, чем для Windows Server 2003 с пакетом обновления 2 (SP2), и вполне очевидно, что чем выше уровень пакета обновления, тем ниже показатель заражения.
Количество очищенных компьютеров на тысячу запусков MSRT (Malicious Software Removal Tool),
по операционным системам в первом полугодии 2009 года
Серверные версии ОС Windows, как правило, демонстрируют в среднем более низкий показатель заражения по сравнению с клиентскими — серверы меньше подвержены атакам, чем компьютеры под управлением клиентских операционных систем, поскольку они, как правило, работают в контролируемых условиях, обслуживаются квалифицированными администраторами и обладают одним или несколькими уровнями защиты.
Категории угроз
Говоря о категориях угроз, отметим, что, по данным цитируемого отчета, самой распространенной из них являются программы-троянцы, а также черви, популярность которых за полгода заметно возросла, равно как и популярность программ для кражи паролей. Авторы отчета не исключают, что причина этого заключается в росте числа атак, направленных против любителей интернет-игр.
Очищенные компьютеры по категориям угроз (2006-2009 гг.), %
Угрозы, удаленные с помощью Windows Live OneCare и Forefront Client Security
в первом полугодии 2009 года (в процентах к общему количеству компьютеров,
очищенных каждой из программ)
Отметим, что на компьютерах, работающих в корпоративной среде с установленным пакетом Forefront Client Security, атаки червей в первом полугодии 2009 года регистрировались гораздо чаще, чем на домашних компьютерах под управлением Windows Live OneCare.
Серверы с вредоносным ПО и фишинговые сайты
Степень распространенности категории «Различные потенциально нежелательные программы» среди вредоносного ПО возросла с 35% во втором полугодии 2008 года до 44,5% в первом полугодии 2009-го, а процент очищенных компьютеров для данной категории снизился с 22,8 до 14,9%. Авторы отчета связывают это с тем, что за последние полгода стал широко применяться Internet Explorer 8, имеющий в своем составе фильтр SmartScreen для защиты от фишинга и вредоносных программ, который и обнаруживает их до проникновения на компьютер.
Количество просмотров фишинговых страниц во втором полугодии 2008 года
и в первом полугодии 2009 года по сравнению с январем 2009-го
Различные потенциально нежелательные программы распространяются главным образом через Интернет, черви же, напротив, редко распространяются через вредоносные веб-сайты и составляют лишь 1,2% от перехваченного фильтром SmartScreen вредоносного ПО по сравнению с 21,3% очищенных компьютеров.
В отчете отмечено, что в первом полугодии 2009 года количество просмотров фишинговых страниц значительно возросло, главным образом по причине увеличения количества фишинговых атак, направленных на социальные сети. Наиболее часто атакам подвергались игровые сайты, порталы, а также интернет-ресурсы крупных корпораций.
Отметим, что основными мишенями фишинговых атак, как и полгода назад, были финансовые организации, социальные сети и веб-сайты, посвященные электронной коммерции. Исследователи заметили также определенное распространение атак на другие организации, например на сайты онлайн-игр, веб-порталы, а также на крупные компании, производящие программное обеспечение и телекоммуникационное оборудование.
Угрозы, связанные с электронной почтой
Сегодня подавляющее большинство сообщений электронной почты в Интернете являются нежелательными: они либо содержат вредоносные вложения или спам, либо служат средством фишинг-атак.
Входящие сообщения, блокированные фильтрами
в первом полугодии 2009 года
По данным цитируемого отчета, система Forefront Online Protection for Exchange (FOPE) заблокировала 97,3% всех сообщений, полученных в первом полугодии 2009 года (по сравнению с 92,2% во втором полугодии 2008-го). Наиболее распространенной категорией нежелательной почты в первом полугодии 2009 года была реклама товаров, главным образом фармацевтических препаратов. Во втором полугодии 2008-го реклама товаров составляла 69,2% всей нежелательной почты.
Атаки, связанные с автоматизированным внедрением кода SQL
Внедрение кода SQL представляет собой технологию, применяемую злоумышленниками для повреждения или похищения данных, расположенных в базах, использующих синтаксис языка структурированных запросов (SQL) для управления хранением и поиском информации. В отчете отмечено, что широкое распространение этой технологии отмечалось в течение первого полугодия 2009 года. Внедрение кода SQL обычно предполагает непосредственную передачу вредоносного кода SQL программе или сценарию, выполняющему запрос к базе данных. Если программа или сценарий не располагает достаточными средствами проверки вводимых команд, злоумышленник сможет исполнять произвольные команды.
Способы защиты от подобных атак описаны в соответствующих разделах сайта Microsoft TechNet.
Уязвимости программного обеспечения
Выявленные уязвимости
Уязвимостями считаются слабые стороны программного обеспечения, которые позволяют злоумышленнику нарушить его целостность, доступность или конфиденциальность. Общее количество выявленных в отрасли уникальных уязвимостей резко сократилось в первом полугодии 2009 года на 28,4%, по сравнению со вторым полугодием 2008-го. И если количество уязвимостей приложений сократилось по сравнению со вторым полугодием 2008 года, то количество уязвимостей операционной системы осталось приблизительно на том же уровне, что и в предшествующий период, а количество уязвимостей браузеров немного возросло.
Отраслевые показатели количества уязвимостей, затрагивающих
операционные системы, браузеры и пр. (с 2004 г.)
Количество уязвимостей, степень опасности которых по общей системе оценки уязвимостей CVSS (Common Vulnerability Scoring System — отраслевой стандарт оценки опасности уязвимостей ПО) оценивается как высокая, уменьшилось на 12,9% по сравнению со вторым полугодием 2008 года; 46% от общего числа уязвимостей оцениваются как уязвимости высокой степени опасности.
Аналогично степени опасности тенденция в отношении степени сложности уязвимостей в первом полугодии 2009 года также в основном была положительной. Так, в первом полугодии 2009 года 54,2% всех уязвимостей были уязвимостями низкой степени сложности (по сравнению с 57,7% во втором полугодии 2008-го), что свидетельствует о сокращении степени сложности уязвимостей почти на 30% за последние пять лет.
Выявленные уязвимости ПО Microsoft отражают положение в отрасли в целом, хотя и в меньшем масштабе. В течение последних пяти лет выявленные уязвимости ПО Microsoft неизменно составляли около 3-6% от всех уязвимостей в отрасли.
Отметим, что в первом полугодии 2009 года корпорация Microsoft выпустила 27 бюллетеней по безопасности, в которых были описаны 85 отдельных уязвимостей, зарегистрированных в базе данных CVE.
Выявленные уязвимости ПО Microsoft и сторонних производителей (2004-2009 гг.)
Один из самых эффективных способов борьбы с уязвимостями — сообщение о них непосредственно производителю того ПО, чью продукцию они затрагивают, до момента, когда сведения о них примут характер распространенных (так называемое ответственное обнаружение). Подобные действия позволяют защитить пользователей благодаря тому, что обновления для системы безопасности таких продуктов будут выпущены раньше, чем об уязвимостях узнают злоумышленники. Отметим, что за первое полугодие 2009 года с помощью ответственного обнаружения корпорацией Microsoft было выявлено 79,6% уязвимостей (во втором полугодии 2008 года — 70,6%) благодаря взаимодействию с сообществами специалистов в области безопасности.
Эксплойты в браузерах
Для оценки относительной распространенности эксплойтов в браузерах специалисты корпорации Microsoft проанализировали образцы данных, полученные при изучении уязвимостей в системе безопасности, о которых сообщалось пользователями, а также переданные образцы вредоносного кода и отчеты об ошибках операционной системы Microsoft Windows. Эти данные охватывают несколько операционных систем и версий браузеров и включают сведения о браузерах сторонних производителей, использующих механизм визуализации Internet Explorer, называемый Trident.4.
Эксплойты, целью которых является ПО Microsoft и сторонних производителей,
установленные на компьютерах под управлением различных ОС в первом полугодии 2009 года:
а — Windows XP, б — Windows Vista
Из общего количества атак, проведенных с применением уязвимостей в браузерах на компьютерах под управлением Windows XP, атаки посредством уязвимостей программного обеспечения Microsoft составили 56,4% (второе полугодие 2008 года), что выше, чем в предыдущем полугодии (40,9%). На компьютерах под управлением Windows Vista доля атакованного программного обеспечения Microsoft оказалась меньше и составила всего 15,5% от общего числа (что, тем не менее, почти втрое больше, чем в предыдущем полугодии).
В первом полугодии 2009 года программное обеспечение Microsoft явилось источником шести из десяти основных уязвимостей браузеров на компьютерах под управлением Windows XP; для Windows Vista аналогичный показатель равен 1. Названия уязвимостей приведены ниже и сопровождаются соответствующими номерами бюллетеней CVSS или бюллетеней по безопасности Microsoft.
Эксплойты, связанные с документами различных форматов
В качестве источников эксплойтов злоумышленники все активнее используют файлы стандартных форматов. Хотя сегодня большинство современных программ для работы с электронной почтой и обмена мгновенными сообщениями блокируют передачу потенциально опасных файлов, ориентируясь на их расширения, тем не менее они позволяют передавать файлы широко применяемых форматов, например Microsoft Office и Adobe PDF, — ведь подобные файлы широко используются в повседневной работе многими компаниями. То, что такие файлы, как правило, не блокируются почтовыми системами, и сделало их привлекательной мишенью для разработчиков эксплойтов.
Как ни странно, наиболее часто применяемыми уязвимостями в ПО Microsoft Office являются самые старые из них. Более половины используемых уязвимостей впервые было обнаружено и устранено в обновлениях для системы безопасности Microsoft еще в 2006 году.
71,2% от общего количества проанализированных атак связано с одной-единственной уязвимостью, исправление безопасности для которой было выпущено три года назад. Иными словами, в большинстве случаев атакованные приложения оказывались версиями приложений, для которых не были установлены текущие пакеты обновления.
Странным, однако, представляется по-прежнему имеющий место факт отсутствия упоминания о семействе продуктов Microsoft Office 2007 — ведь внедрений этой версии данного семейства продуктов даже в корпоративном секторе, традиционно более консервативном в плане обновления версий ПО, нежели сектор домашних пользователей, сегодня более чем достаточно (и уж точно больше, чем полгода назад). Если бы в названном продукте не было ни одной уязвимости, это, безусловно, было бы отражено в данном отчете.
А вот файлы формата Adobe PDF в нынешнем отчете, в отличие от отчета предыдущего, не упоминаются — видимо, выпущенные компанией Adobe соответствующие обновления системы безопасности уже загружены подавляющим большинством пользователей.
Анализ страниц загрузки типа drive-by
Метод, который предполагает загрузку вредоносного ПО с веб-сайтов без ведома пользователя, разработчики антивирусных решений называют «загрузкой drive-by». Доставка вредоносного ПО этим методом привлекает киберпреступников просто потому, что представляет собой наиболее незаметную форму заражения, а значит, позволяет чаще добиваться успеха при проведении атаки.
Атака drive-by осуществляется в два этапа. Сначала пользователь попадает на легальный сайт, содержащий код, который, в свою очередь, перенаправляет запрос на сторонний сервер, на котором хранится эксплойт.
Эксплойты, используемые при атаках drive-by, могут быть нацелены на уязвимости веб-браузера, его незащищенные встраиваемые модули (плагины), уязвимости элементов управления ActiveX или бреши в защите стороннего ПО.
Типы угроз, распространяемых посредством страниц загрузки drive-by
в первом полугодии 2009 года
Большинство страниц загрузки типа drive-by размещено на легальных зараженных веб-узлах. Злоумышленники получают доступ к легальным веб-узлам посредством вторжения или путем отправки вредоносного кода через слабо защищенную веб-форму (например, поле для комментариев в блоге). Зараженные серверы, действующие в качестве вредоносных, могут иметь огромный радиус действия: один вредоносный сервер может быть ответственным за сотни тысяч зараженных веб-страниц. Вредоносные серверы в 2009 году заразили многие тысячи страниц за короткий промежуток времени.
Троянцы-загрузчики и троянцы-сбрасыватели оказались наиболее часто встречающейся категорией среди страниц загрузки типа drive-by и составляли 40,7% от общего количества. Троянцы-загрузчики хорошо приспособлены для распространения посредством страниц загрузки drive-by, поскольку они могут использоваться для установки других угроз на зараженные компьютеры.
Применение обновлений системы безопасности при борьбе с уязвимостями
При правильном использовании обновлений для системы безопасности и других программных обновлений можно значительно уменьшить степень распространения и воздействия вредоносного программного обеспечения. Microsoft рекомендует использовать для этой цели Центр обновления Microsoft для своевременного обновления операционных систем Windows и программного обеспечения Microsoft.
Центр обновления Windows обеспечивает обновление компонентов Windows, драйверов устройств, выпускаемых корпорацией Microsoft и другими производителями аппаратного оборудования, а также распространяет обновления подписей для программ защиты от вредоносного ПО и ежемесячные выпуски утилиты для удаления вредоносных программ MSRT. Центр обновления Microsoft предоставляет те же обновления, что и Центр обновления Windows, а также обеспечивает обновление других программ Microsoft, например Microsoft Office. В течение последних нескольких лет использование Центра обновления Microsoft значительно увеличилось, в частности за счет пользователей Центра обновления Windows, которые перешли на использование Центра обновления Microsoft.
Уровень инфицированности компьютеров по странам и регионам (первое полугодие 2009 года)
Автоматическое обновление является одним из наиболее эффективных средств борьбы с распространением вредоносного ПО, которое с равным успехом используют как пользователи, так и организации. Например, в феврале 2007 года троянцы — загрузчики семейства Win32/Renos начали заражать компьютеры по всему миру. 27 февраля корпорация Microsoft выпустила обновление подписей для защитника Windows через Центр обновления Windows и Центр обновления Microsoft. Благодаря обновлению подписей во всем мире в течение трех дней количество ежедневно регистрируемых отчетов об ошибках сократилось с 1,2 млн до менее чем 100 тыс.
Российская специфика угроз
Несмотря на глобальный характер Интернета, угрозы для компьютеров пользователей в различных частях мира существенно различаются. Поскольку в последнее время вредоносное ПО все чаще использует средства социальной инженерии, угрозы безопасности в большей степени начинают зависеть от языковых и культурных факторов: в одних странах применяются атаки против пользователей интернет-банкинга, в других — вредоносные расширения браузеров, в третьих — атаки против пользователей онлайновых игр, в которых сегодня обращается огромное количество виртуальных ресурсов, имеющих вполне реальную (и нередко немалую) денежную стоимость.
На карте приведены данные об уровне инфицированности компьютеров по регионам в единицах CCM (Computers Cleaned per Mil — очищенных компьютеров на тысячу), отражающих количество очищенных компьютеров на тысячу запусков средства удаления вредоносных программ.
Распределение вредоносного ПО в России по категориям в первом полугодии 2009 года
Для России уровень инфицированности компьютеров в единицах CCM составил от 13 до 17%, что ниже, чем в предыдущем полугодии (21,1%), но гораздо выше среднего показателя (8,7%). Данные обсуждаемого отчета также свидетельствуют о том, что Россия хотя уже и не находится в числе лидеров по доле серверов — источников вредоносного ПО (как это было в предыдущем полугодии), но все же сохраняет достаточно большую долю в их количестве в мире. А это означает, что российским ИТ-специалистам и пользователям, несмотря на очевидные улучшения в статистике безопасности, достигнутые усилиями многочисленной армии отечественных ИТ-специалистов, пока не стоит расслабляться и забывать об угрозах как от российских серверов, так и от серверов, расположенных в других странах.
Каковы самые распространенные в России угрозы безопасности? Ответ на этот вопрос содержится в диаграмме, отображающей распределение вредоносного ПО в России по категориям.
Из приведенных данных следует, что наиболее распространенной в России категорией угроз являются черви, а достаточно широко распространены — трояны и средства кражи паролей.
Заключение
Отчеты, подобные процитированному в данной публикации, позволяют ИТ-менеджерам и лицам, ответственным за информационную безопасность, планировать мероприятия, позволяющие обеспечить непрерывность и безопасность функционирования корпоративной ИТ-инфраструктуры, такие как операции резервного копирования данных, обучение пользователей, внедрение средств обеспечения информационной безопасности.
Домашним же пользователям подобные отчеты могут еще раз напомнить о том, что не следует использовать устаревшие версии операционных систем, браузеров, офисных приложений, поскольку они не рассчитаны на постоянное подключение к Интернету и характерное для сегодняшнего момента массовое его использование; нельзя открывать вложения из незнакомых источников, посещать сомнительные сайты, приобретать пиратское ПО. При этом необходимо позаботиться о том, чтобы пароли для доступа к приложениям и ресурсам соответствовали требованиям к сложности и хранились надлежащим образом, а домашние компьютеры содержали средства защиты данных. И конечно, следует своевременно устанавливать обновления программного обеспечения, поскольку, как правило, они содержат средства защиты от новых угроз.
 |
|
