Skip to main content

Безопасный web или история одного зловреда

7 votes

Недавно в своих внутренних аналитических отчетах обнаружил новую угрозу, которая впервые появилась всего пару дней назад, но за пару дней уже имела максимальный темп роста числа новых зараженных пользователей - прирост новых жертв исчислялся десятками тысяч в день.

Ничего экстраординарного в обнаруженном зловреде не было, но для ответа на финальный вопрос данного поста рассмотрим всю историю целиком.

Итак, продолжим. Просмотрев источники распространения заразы, обнаружил два сайта в Германии, с которых велось распространение троянской программы. Именно эта пара стала источником заражения 99,98% всех жертв.

Оба сайта хостятся в Германии, домены были зарегистрированы у одного и того же московского регистратора. Анализ истории сайтов показал, что с момента своего появления летом 2011 года они уже успели отметиться в распространении Backdoor’ов, Trojan-Downloader’ов, Trojan’ов и Trojan-Dropper’ов.

На момент моего посещения сайта злоумышленниками там был размещен SWF-эксплоит, который срабатывал при посещении ресурса жертвой. География жертв выглядит следующим образом:

99,6% заражений за сутки приходится всего на две страны – Россию и Украину. Посетители из других стран практически отсутствуют:

Country -- Number of users
-------------------
Russia -- 40268
Ukraine -- 6954
United States -- 120
Azerbaijan -- 32
Kazakhstan -- 8

Таким образом, картина выглядела следующим образом: на пару сайтов в Германии для заражения заходят десятками тысяч жители России и Украины. Практически все заражения происходят через браузеры жертв.

Откуда же берутся десятки тысяч новых жертв в сутки? Спам-рассылок не зарегистрировано, самораспространяющихся вредоносов, перенаправляющих жертву на эту ссылку, также не обнаружено.

Дополнительный анализ показал, что пользователи попадают на вредоносные сайты по клику на баннерах из нескольких российских рекламных сетей. Не малая часть баннеров носили сексуальный характер или сообщали о сайтах знакомств.

Таким образом, атака выглядит следующим образом:

  1. баннеры помещаются в рекламные сети;
  2. из рекламной сети баннеры показываются на множестве честных сайтов;
  3. по клику на баннер у жертвы срабатывает эксплоит с сайтов в Германии;
  4. после срабатывания эксплоита жертве загружается Trojan-Downloader;

дальше все зависит от фантазии злоумышленников.

Проверка на ресурсе VirusTotal показала, что зловреда детектируют лишь несколько антивирусов из 43 доступных.

Описанная выше история интересна, но жизнь она конечному пользователю не облегчает, т.к. возникает очень правильный финальный вопрос: а как быть пользователю при посещении честных сайтов, которые затем перебрасывают жертву по необходимой злоумышленнику цепочке для последующего заражения?

То, что подавляющее большинство заражений в современных условиях происходят именно через web, и при этом далеко не все антивирусы вовремя распознают угрозы, делает этот вопрос еще острее.

Ответом на этот острый вопрос может стать использование связки из браузера FireFox и плагина к нему NoScript. Эта связка эффективно защищает от описанного выше типа атак. Работа плагина очень проста – выполнение JavaScript, Flash, Java будет доступно только для доверенных сайтов. Ведение списка доверенных сайтов потребует незначительных усилий со стороны самого пользователя, чтобы добавить их при первом посещении в «белый список». Однако в дальнейшем работа посещение web-ресурсов станет гораздо безопаснее. Более того, плагин умеет еще несколько вещей, о которых вы узнаете по ссылке: http://noscript.net/

Если есть вопросы – задавайте в комментариях.

Аватар пользователя Бакина Маргарита

Юра, спасибо! Просвещен - значит, вооружен:-) или защищен Smile

Аватар пользователя Шевченко Станислав

Юр, спасибо большое, жить становиться интереснее, но с тем и менее безопасно. Последнее время, я очень часто работаю, используя планшетник, Юр, можешь ли ты развернуть немного тему поста и прояснить, на данном этапе, использование планшетников более безопасно или уже нет. И еще какая платформа планшетников более уязвима с твоей точки зрения.