Skip to main content

Итоги 2012 по версии ВирЛаба (часть 1)

В рубрике
5 votes

Недавно мы уже опубликовали финальный отчет нашего ВирЛаба по 2012, и я хотел бы прокомментировать наиболее интересные тенденции уходящего года, а также подумать над тем, что нас ждет в следующем.

Наверное, самым нашумевшим событием прошлого года был анализ кибервооружения, созданного в рамках американского проекта «Olympic Games» для атак на Ближний Восток. Об этом неоднократно писала Лаборатория Касперского. Несмотря на незначительное количество заражений, эти публикации показали, что киберпространство может стать полем битвы для конфликтующих сторон. При этом на кибероружие не действуют никакие ограничения со стороны мирового сообщества, атаки являются целевыми, невидимыми и весьма эффективными. Как, например, показал случай с червем Stuxnet, который атаковал центр по обогащению урана в 2007, вследствие чего были выведены из строя 1000 из 5000 центрифуг (по данным NY Times).

Завод по обогащению урана

Таким образом, подобного рода атаки также могут приносить и физический ущерб. Эти события подтолкнули НАТО и страны Европы к созданию центров по киберзащите критически важных объектов от атак злоумышленников. Можно ожидать, что в ближайшие годы кибероружие все чаще будет использоваться странами для шпионажа и выведения из строя критически важных систем.

Следующим пунктом я хотел бы отметить непрекращающуюся активность ботнетов, которые могут быть использованы владельцами, например, для организации DDoS атак, шпионажа, рассылки спам сообщений, установки других вредоносных программ, таких как фейк антивирусы и блокировщики-вымогатели, с целью получения финансовой выгоды (монетизации) от ботнета.

Наиболее активными в 2012 были следующие ботнет семейства:

На основании их функциональных особенностей, можно выделить основные тенденции в работе ботнетов:

  • Протоколы, используемые для связи с C&C являются HTTP (Xpaj, Shiz, Carberp, Kelihos, Vundo, Zaccess) и IRC (Nrgbot). Иногда трафик между ботом и сервером передается в зашифрованном виде (Shiz, Carberp).
  • Большинство бэкдоров/червей используют полиморфное шифрования, чтобы избежать обнаружения антивирусами. К сожалению, детектирование полиморфов является большой проблемой для большинства антивирусов.
  • Буткит/руткит-технологии используются для глубоко внедрения вредоносных программ в систему, позволяющего осуществлять перехват конфиденциальной информации.
  • Противодействие антивирусам и блокировка доменов антивирусных компаний.
  • Основной упор делается на атаки онлайн-банков и других электронных платежных систем.
  • Способность к распространению через сменные диски, используя autorun скрипты и LNK-файлы.
  • Использование случайно сгенерированных имен для файлов и ключей реестра вредоносной программы.
  • Генерация доменных имен командных серверов по специальному алгоритму (Shiz, Zaccess).

Продолжение следует…

Аватар пользователя Бакина Маргарита

Ох-хо-хо! Противостояние продолжается, и нет ему ни конца, ни края?
"...Меж темным и белым, все ж, нет равновесия,
И это приводит в движение мир..." (А. Макаревич)
Да?

Спасибо за информацию, Саша!
Она очень полезна для подготовки к Урокам информационной безопасности.
Ждем продолжения!

И предновогоднего настроения тебе!

Аватар пользователя Шевченко Станислав

Саш, большое спасибо.
Конец года, это всегда подведение итогов, но этого мало, есть еще планирование на следующий год или года.
Есть одна интересная особенность, каждый отчет начинается с перечисления угроз, которые были найдены, и в большей части обезврежены. Очень мало информации о новых методах и технологиях, которые не позволят злоумышленникам творить свои злые дела. Мы не однократно отмечали тот факт, что система защиты следует на шаг позади систем нападения, это лишь последействие по устранению последствий. К сожалению данное соотношение активности остается и в этом году.
Многие могут сказать, что если компании производящие защиту, будут рассказывать о своих успехах, злоумышленникам будет проще обходить эту защиту, конечно это так, однако пока информационное первенство будет за злоумышленниками - то и защита будет отставать на один шаг. Видимо в новом году стоит обдумать и изменить подходы информационной части защитных систем.

Аватар пользователя Александр Адамов

Smile Тема однозначно "горячая". Согласен что системы защиты отстают от злоумышленников, причем хорошо если на 1 шаг, а то ведь и на 2-3 Smile Я хотел бы отметить тенденцию, что многие производители антивирусов больше внимания уделяют рекламе своих продуктов, нежели реальной борьбе с новыми угрозами и разработке проактивных технологий, которые бы были на 1 шаг впереди.