1. Отчет
Отчет McAfee об угрозах
за второй квартал 2012 года
McAfee Labs
2. Содержание
Угрозы безопасности мобильных устройств 4
Вредоносные программы 6
Вредоносные программы с цифровой подписью 10
Программы-вымогатели берут данные в заложники 12
Опасные сообщения 12
Статистика активности бот-сетей 15
В нежелательных сообщениях используются методы социальной инженерии 19
Сетевые угрозы безопасности 20
Веб-угрозы 23
Киберпреступность 27
«Абузоустойчивый» хостинг 27
Борьба с киберпреступностью 29
Хактивизм 30
Об авторах 31
О лаборатории McAfee Labs 31
О компании McAfee 31
2 Отчет McAfee об угрозах за второй квартал 2012 года
3. Предание гласит, что древнекитайский философ Лао-цзы, автор трактата «Дао Дэ Цзин», жил в VI веке до
нашей эры. Однако его наблюдения не потеряли своей ценности до наших дней. Оказавшись в окружении
постоянно эволюционирующих угроз безопасности, он мог бы сказать: «Мой разум приказывает мне сдаться,
но сердце не позволяет». Ситуацию с угрозами безопасности действительно можно сравнить с ситуацией на
поле битвы. И здесь, быть может, лучше всего подходит высказывание другого древнекитайского философа,
Сунь Цзы: «Непобедимость заключается в защите; возможность победы — в атаке». С годами мы много
узнали о вредоносных программах и других угрозах безопасности, но их количество продолжает расти
и с каждым кварталом достигает новых рекордных значений. Степень успешности вредоносных программ
и других киберугроз зависит от целого ряда взаимосвязанных факторов. Сунь Цзы также заметил, что «тот,
кто осторожен и ждет врага, который не осторожен, тот победит». Похоже, что все дело в подготовленности.
Самыми заметными событиями второго квартала 2012 года можно назвать возникновение нового
вектора атаки в виде «попутно загружаемых» вредоносных программ для мобильных устройств (Android),
использование Twitter для управления мобильными бот-сетями и появление мобильных «программ-
вымогателей» как новейшего способа выманивания денежных средств у доверчивых пользователей.
Высокие темпы увеличения количества вредоносных программ и угроз безопасности, отмеченные нами
в предыдущем квартале, продолжили отчетливо расти. Количество вредоносных программ для ПК уже давно
не росло такими высокими темпами, как в предыдущем квартале, а в отчетном квартале оно выросло еще
больше. Мы отметили значительный рост числа популярных руткитов и замедление темпов распространения
непопулярных. Почти все изучаемые нами семейства вредоносных программ продолжают достигать
рекордных показателей. Особенно велики темпы роста у троянских программ, предназначенных для
кражи паролей. Мы продолжаем вести статистику по руткиту ZeroAccess, темпы распространения которого
немного снизились, и по вредоносным программам с цифровой подписью, темпы распространения которых
слегка увеличились. По-прежнему наблюдался стабильный рост количества вредоносных программ для
компьютеров Macintosh. Тенденция роста здесь не крутая, но довольно отчетливая.
Количество вредоносных сообщений в некоторых регионах мира несколько увеличилось, но в целом
по-прежнему наблюдается долгосрочная тенденция на снижение объемов спама. Из всех упомянутых
в данном отчете стран лишь в Колумбии, Японии, Южной Корее и Венесуэле наблюдался рост,
превышающий 10 процентов. Число заражений бот-сетями резко подскочило в мае, но затем к началу
июня постепенно спало.
США опять лидируют по количеству размещенного в стране нового вредоносного веб-содержимого. Такая
динамика наблюдается и в ряде других разделов данного отчета. США лидируют в целом ряде категорий
и как страна с наибольшим количеством источников угроз, и как страна с наибольшим количеством жертв
различных угроз. Всемирная паутина — опасное место для неосведомленных и незащищенных. Поэтому
постарайтесь получить все необходимы знания и быть в курсе дела.
Уже второй раз мы включаем в свой отчет новый раздел, посвященный сетевым атакам. Мы проанализировали
атаки с использованием межсайтовых сценариев, внедрением SQL-кода и др. и составили подробную
статистику регионов по целому ряду разных параметров.
В главе о киберпреступности мы поговорим о сервисе «преступные программы как услуга» и об
«абузоустойчивом» хостинге, а также перечислим ряд проведенных в отчетном квартале громких
операций по закрытию киберпреступных веб-сайтов, аресту хакеров и привлечению к ответственности
киберпреступников. Мы также проанализируем изменения, происходящие в хактивисткой среде
Anonymous и в хактивизме в целом.
Мы увидим, что киберпреступники ведут упорную и продолжительную борьбу с целью отъема у нас наших
денег. Но прежде чем заняться изобретением новых операционных систем и других защитных технологий,
вернемся ненадолго к нашей аналогии с полем битвы.
Не испытывайте особой приверженности к тому или иному виду оружия или к чему бы то
ни было еще, раз уж на то пошло. Избыток — это то же самое, что недостаток. Никому не
подражая, используйте столько оружия, сколько вам требуется.
— Миямото Мусаси. Книга Пяти Колец. Перевод с английского.
Отчет McAfee об угрозах за второй квартал 2012 года 3
4. Угрозы безопасности мобильных устройств
Последние несколько кварталов показали, что наибольшее количество вредоносных программ
для мобильных устройств пишется под ОС Android. Отчетный квартал не исключение: практически
все новые вредоносные программы для мобильных устройств были предназначены для платформы
Android. Среди них были программы для рассылки СМС, мобильные бот-сети, шпионские программы
и деструктивные «троянские кони».
Несмотря на то, что в отчетном квартале абсолютные показатели роста не увеличились столь резко, как
в предыдущем, рост количества вредоносных программ в текущем году по-прежнему является беспрецедентным.
Общее кол-во образцов вредоносных программ
для мобильных платформ в базе данных
14 000
12 000
10 000
8 000
6 000
4 000
2 000
0
2004 2005 2006 2007 2008 2009 2010 2011 2012
Кол-во новых вредоносных программ для мобильных устройств, по кварталам
7 000
6 000
5 000
4 000
3 000
2 000
1 000
0
1-й кварт. 2-й кварт. 3-й кварт. 4-й кварт. 1-й кварт. 2-й кварт. 3-й кварт. 4-й кварт. 1-й кварт. 2-й кварт.
2010 2010 2010 2010 2011 2011 2011 2011 2012 2012
4 Отчет McAfee об угрозах за второй квартал 2012 года
5. Общее кол-во вредоносных программ
для мобильных платформ, по платформам
Android
Symbian
Java ME
Другие
В отчетном квартале впервые была обнаружена вредоносная программа попутной загрузки,
предназначенная для Android — Android/NotCompatible.A. По аналогии с «попутной установкой» на
ПК, когда компьютер заражается в результате простого посещения веб-сайта, в случае «попутной
загрузки» на мобильный телефон при посещении веб-сайта загружается вредоносная программа.
Конечно, загруженная вредоносная программа еще должна быть установлена пользователем телефона,
но если злоумышленник назвал свой файл «Android System Update 4.0.apk» («Системное обновление для
Android 4.0»), то в большинстве случаев подозрения у пользователя сразу улетучиваются.
Для управления новый клиент бот-сети — Android/Twikabot.A — использует Twitter. Вместо подключения
к веб-серверу эта вредоносная программа осуществляет поиск команд на специальных учетных
записях Twitter, подконтрольных злоумышленникам. Злоумышленник публикует команды в Twitter, и все
зараженные устройства их выполняют. Использование таких сервисов как Twitter дает злоумышленнику
возможность пользоваться чужими ресурсами, не платя за собственный отдельный сервер или не
захватывая сервер, принадлежащий жертве атаки. В прошлом для похожих целей использовались серверы
IRC, однако веб-сервис Twitter предоставляет злоумышленникам некоторую долю анонимности.
В предыдущем квартале мы обнаружили троянского коня для Android — Android/Moghava.A, —
искажающего все фотографии на SD-карте. В отчетном квартале разработчики вредоносных программ,
похоже, создали новый вариант этой программы — Android/Stamper.A. В нем используется другое
изображение, а целью атак являются поклонники популярной японской вокальной группы. Используемое
в данном варианте изображение взято из прошлогоднего конкурса «What would your baby look like?»
(«Как выглядел бы ваш ребенок?»). В данном варианте не изменено ничего, кроме используемого
изображения и нескольких строк кода из Android/Moghava.A, предназначенного для нанесения штампов
на изображения, т. е. в этом варианте тоже имеется ошибка, приводящая к искажению фотографий.
Когда поклонники этой группы отправляют свои фотографии на конкурс фанатов, на всех их фотографиях
оказывается изображение младенца.
Тот факт, что большая часть вредоносных программ для Android сильно напоминает вредоносные
программы для ПК, не должен вызывать удивление. Авторы вредоносных программ используют опыт,
накопленный за годы написания вредоносных программ для других платформ. Вредоносные программы
для мобильных устройств нельзя назвать экспериментальными или незрелыми. Это полнофункциональный
и зрелый код, и авторы этих программ знают, за чем они охотятся — за данными о потребителях и за
информацией коммерческого характера.
Отчет McAfee об угрозах за второй квартал 2012 года 5
6. Вредоносные программы
В своем знаменитом эссе Миф о Сизифе Альбер Камю знакомит читателя со своей философией абсурда
и говорит о тщетности нашего поиска смысла и ясности перед лицом непонятного мира, лишенного истин
и ценностей. В последней главе он сравнивает абсурдность человеческой жизни с наказанием Сизифа,
персонажа древнегреческой мифологии, приговоренного богами к бесконечному повторению одного и того
же бессмысленного действия: вкатывать на гору тяжелый камень, который затем снова скатывается вниз.
Анализируя последнее десятилетие в истории распространения вредоносных программ, мы словно видим
ту же самую гору, на которую так тщетно пытался вкатить свой камень Сизиф. Складывается даже впечатление,
что в последние несколько лет эта гора начала становится все выше и круче. В прошлый раз количество
обнаруженных за квартал вредоносных программ было самым большим за последние четыре года. Но в этот раз
их было обнаружено еще больше! По итогам отчетного квартала в коллекции нашего «зоопарка» насчитывается
на 1,5 миллиона больше уникальных образцов вредоносных программ, чем в предыдущем квартале. При таких
темпах к следующему кварталу в нашей коллекции может накопиться 100 миллионов образцов, а темп прироста
количества новых образцов может впервые достичь отметки 10 миллионов в квартал. Есть ли смысл во всех этих
числах? Что они говорят нам о том, как мы обеспечиваем информационную безопасность?
По крайней мере, они говорят нам, что вкатываемый на гору камень становится все тяжелее. За очень
немногочисленными исключениями темпы распространения вредоносных программ по сравнению
с предыдущим кварталом увеличились почти во всех категориях вредоносных программ (при том что
в некоторых категориях в предыдущем квартале наблюдались рекордные темпы роста). Одно можно
сказать с уверенностью: продолжать принимать те же самые меры безопасности, что и прежде, —
абсурдно как сизифов труд. Следует сделать то, что предложил Камю в своем эссе. Скорее всего,
нам придется совершить революцию — инновационную революцию.
Общее кол-во образцов вредоносных программ в базе данных
100 000 000
90 000 000
80 000 000
70 000 000
60 000 000
50 000 000
40 000 000
30 000 000
20 000 000
10 000 000
0
ИЮЛ АВГ СЕН ОКТ НОЯ ДЕК ЯНВ ФЕВ МАР АПР МАЙ ИЮН
2011 2011 2011 2011 2011 2011 2012 2012 2012 2012 2012 2012
Кол-во новых образцов вредоносных программ
10 000 000
8 000 000
6 000 000
4 000 000
2 000 000
0
1-й кварт. 2-й кварт. 3-й кварт. 4-й кварт. 1-й кварт. 2-й кварт. 3-й кварт. 4-й кварт. 1-й кварт. 2-й кварт. 3-й кварт. 4-й кварт. 1-й кварт. 2-й кварт.
2009 2009 2009 2009 2010 2010 2010 2010 2011 2011 2011 2011 2012 2012
6 Отчет McAfee об угрозах за второй квартал 2012 года
7. Рост общего числа руткитов в отчетном квартале слегка ускорился, а Koutodoor продемонстрировал
огромные темпы роста. Темпы распространения ZeroAccess и TDSS по сравнению с предыдущим
кварталом слегка замедлились, однако отчетливо ощущается их влияние на другие категории
вредоносных программ. Руткиты, или вредоносные программы-невидимки, в настоящее время являются
одним из самых опасных типов вредоносных программ. Они оказывают существенное влияние на
большинство других типов вредоносных программ. Их строение позволяет им оставаться незамеченными
и длительное время «жить» в системе.
Кол-во обнаруженных уникальных образцов руткитов
350 000
300 000
250 000
200 000
150 000
100 000
50 000
0
1-й кварт. 2-й кварт. 3-й кварт. 4-й кварт. 1-й кварт. 2-й кварт. 3-й кварт. 4-й кварт. 1-й кварт. 2-й кварт. 3-й кварт. 4-й кварт. 1-й кварт. 2-й кварт.
2009 2009 2009 2009 2010 2010 2010 2010 2011 2011 2011 2011 2012 2012
Кол-во новых образцов Koutodoor
200 000
180 000
160 000
140 000
120 000
100 000
80 000
60 000
40 000
20 000
0
1-й кварт. 2-й кварт. 3-й кварт. 4-й кварт. 1-й кварт. 2-й кварт. 3-й кварт. 4-й кварт. 1-й кварт. 2-й кварт. 3-й кварт. 4-й кварт. 1-й кварт. 2-й кварт.
2009 2009 2009 2009 2010 2010 2010 2010 2011 2011 2011 2011 2012 2012
Отчет McAfee об угрозах за второй квартал 2012 года 7
8. Кол-во новых образцов TDSS
300 000
250 000
200 000
150 000
100 000
50 000
0
1-й кварт. 2-й кварт. 3-й кварт. 4-й кварт. 1-й кварт. 2-й кварт. 3-й кварт. 4-й кварт. 1-й кварт. 2-й кварт. 3-й кварт. 4-й кварт. 1-й кварт. 2-й кварт.
2009 2009 2009 2009 2010 2010 2010 2010 2011 2011 2011 2011 2012 2012
Кол-во новых образцов ZeroAccess
250 000
200 000
150 000
100 000
50 000
0
1-й кварт. 2-й кварт. 3-й кварт. 4-й кварт. 1-й кварт. 2-й кварт. 3-й кварт. 4-й кварт. 1-й кварт. 2-й кварт.
2010 2010 2010 2010 2011 2011 2011 2011 2012 2012
8 Отчет McAfee об угрозах за второй квартал 2012 года
9. Ложные антивирусы (поддельные защитные программы), вредоносные программы с автозапуском
и троянские кони для кражи паролей по-прежнему с нами. Темпы распространения ложных антивирусов
несколько выросли, однако общая тенденция по-прежнему заключается в отсутствии роста. Вредоносные
программы с автозапуском и троянские программы для кражи паролей в отчетном квартале показали
значительные темпы роста.
Кол-во новых образцов ложных антивирусов
1 000 000
800 000
600 000
400 000
200 000
0
1-й кварт. 2-й кварт. 3-й кварт. 4-й кварт. 1-й кварт. 2-й кварт. 3-й кварт. 4-й кварт. 1-й кварт. 2-й кварт. 3-й кварт. 4-й кварт. 1-й кварт. 2-й кварт.
2009 2009 2009 2009 2010 2010 2010 2010 2011 2011 2011 2011 2012 2012
Кол-во обнаруженных уникальных образцов программ с автозапуском
1 400,000
1 200 000
1 000 000
800 000
600 000
400 000
200 000
0
1-й кварт. 2-й кварт. 3-й кварт. 4-й кварт. 1-й кварт. 2-й кварт. 3-й кварт. 4-й кварт. 1-й кварт. 2-й кварт. 3-й кварт. 4-й кварт. 1-й кварт. 2-й кварт.
2009 2009 2009 2009 2010 2010 2010 2010 2011 2011 2011 2011 2012 2012
Отчет McAfee об угрозах за второй квартал 2012 года 9
10. Кол-во новых образцов программ для кражи паролей
1 600 000
1 400 000
1 200 000
1 000 000
800 000
600 000
400 000
200 000
0
1-й кварт. 2-й кварт. 3-й кварт. 4-й кварт. 1-й кварт. 2-й кварт. 3-й кварт. 4-й кварт. 1-й кварт. 2-й кварт. 3-й кварт. 4-й кварт. 1-й кварт. 2-й кварт.
2009 2009 2009 2009 2010 2010 2010 2010 2011 2011 2011 2011 2012 2012
Вредоносные программы с цифровой подписью
Старший аналитик McAfee Labs Крейг Шмугар (Craig Schmugar) ведет хороший блог, который невозможно
не цитировать. Вот что он пишет о том, почему разработчики вредоносных программ используют в них
цифровые подписи:
Злоумышленники подписывают вредоносные программы, пытаясь тем самым внушить
пользователям и администраторам доверие к файлу, а также избежать обнаружения файла
защитными программами и обойти системные политики. Многие из таких вредоносных
программ подписываются с помощью украденных сертификатов, хотя встречаются
и двоичные файлы с самоподписанными сертификатами или с «тестовой подписью».
Тестовая подпись иногда используется в сочетании с методами социальной инженерии.1
На протяжении отчетного квартала мы наблюдали рост количества случаев использования этого
сложного метода атаки. В нашем Прогнозе угроз на 2012 год говорилось о том, что в свете успеха бот-
сетей Duqu и Stuxnet популярность этого метода в 2012 году будет расти.2 Похоже, в данном случае
мы действительно «как в воду глядели».
Общее кол-во вредоносных двоичных файлов с цифровыми подписями
800 000
700 000
600 000
500 000
400 000
300 000
200 000
100 000
0
1 сен 1 окт 1 ноя 1 дек 1 янв 1 фев 1 мар 1 апр 1 май 1 июн
2011 2011 2011 2011 2012 2012 2012 2012 2012 2012
10 Отчет McAfee об угрозах за второй квартал 2012 года
11. Кол-во новых вредоносных двоичных файлов с цифровыми подписями
140 000
120 000
100 000
80 000
60 000
40 000
20 000
0
АВГ СЕН ОКТ НОЯ ДЕК ЯНВ ФЕВ МАР АПР МАЙ ИЮН
2011 2011 2011 2011 2011 2012 2012 2012 2012 2012 2012
К сведению всех любителей компьютеров Macintosh: темпы распространения вредоносных программ
для компьютеров Macintosh по-прежнему стабильно растут. Конечно, в количественном отношении они
значительно уступают вредоносным программам для Windows, однако эти угрозы следует воспринимать
серьезно, а пользователям компьютеров Macintosh следует принимать меры предосторожности.
Все просто. Вредоносную программу можно написать для любой операционной системы и платформы.
Кол-во новых образцов вредоносных программ для Mac OS
700
600
500
400
300
200
100
0
1-й кварт. 2-й кварт. 3-й кварт. 4-й кварт. 1-й кварт. 2-й кварт. 3-й кварт. 4-й кварт. 1-й кварт. 2-й кварт. 3-й кварт. 4-й кварт. 1-й кварт. 2-й кварт.
2009 2009 2009 2009 2010 2010 2010 2010 2011 2011 2011 2011 2012 2012
После всплеска в середине 2011 года темпы распространения ложных антивирусов для компьютеров
Macintosh в отчетном квартале значительно сократились:
Кол-во новых образцов ложных антивирусов для Mac OS
600
500
400
300
200
100
0
1-й кварт. 2-й кварт. 3-й кварт. 4-й кварт. 1-й кварт. 2-й кварт. 3-й кварт. 4-й кварт. 1-й кварт. 2-й кварт.
2010 2010 2010 2010 2011 2011 2011 2011 2012 2012
Отчет McAfee об угрозах за второй квартал 2012 года 11
12. Программы-вымогатели берут данные в заложники
У некоторых видов вредоносных программ уровень популярности то растет, то падает. Темпы распространения
ложных антивирусных программ сокращаются уже с 2011 года. Это касается общего количества уникальных
образцов и количества систем, в которых такие программы обнаруживались. Среди возможных причин этого
сокращения можно назвать повышение активности правоохранительных органов, а также возникновение
у киберпреступников дополнительных трудностей с обработкой платежей по кредитным карточкам жертв
своих атак. К сожалению, киберпреступники не опускают руки, когда одна из их бизнес-моделей перестает
работать; они тотчас изобретают новые способы для зарабатывания денег. В последнее время разработчики
вредоносных программ стали заниматься «программами-вымогателями».
Программы-вымогатели частично или полностью берут в заложники компьютер или данные жертвы.
Они зашифровывают данные или весь компьютер, а затем требуют у пользователей заплатить за
восстановление данных или компьютера, используя анонимные способы оплаты. Таким образом
киберпреступнику не требуется находить компанию для обработки платежей по кредитным карточкам.
Этот способ мошенничества довольно стар. Обнаруженный в 1989 году AIDS — один из первых троянских
коней для ПК — работал именно по этому принципу, однако такие атаки на протяжении многих лет были
редкостью. Теперь же они стали намного более распространенными.
Новые программы-вымогатели
140 000
120 000
100 000
80 000
60 000
40 000
20 000
0
1-й кварт. 2-й кварт. 3-й кварт. 4-й кварт. 1-й кварт. 2-й кварт. 3-й кварт. 4-й кварт. 1-й кварт. 2-й кварт.
2010 2010 2010 2010 2011 2011 2011 2011 2012 2012
Темпы распространения программ-вымогателей росли на протяжении нескольких последних кварталов.
В отчетном квартале эти темпы достигли рекордной отметки.
Особая проблема в том, что наносимый программами-вымогателями ущерб проявляется сразу,
и зараженная ими система, как правило, становится полностью непригодной к использованию. И если
жертва атаки попытается заплатить злоумышленнику требуемый выкуп, то она потеряет не только данные,
но и деньги. Потерять накопленные за многие годы данные, фотографии и воспоминания будет трагедией
для любого пользователя, а в корпоративной среде ситуация может оказаться еще хуже: представьте,
например, что будет, если вредоносная программа зашифрует все данные в корпоративной сети,
к которым жертва атаки имеет доступ на запись.
Как нам защитить себя? Помимо крайне осторожного обращения с файловыми вложениями и ссылками
в электронных письмах и на веб-сайтах, следует регулярно проводить резервное копирование систем.
Администраторам корпоративных сетей для предотвращения заражения рекомендуется использовать
защитные решения, позволяющие ограничивать доступ к системам.
Опасные сообщения
Несмотря на скачки, имевшие место в октябре 2011 года и в январе 2012 года, объемы нежелательных
сообщений по-прежнему сокращаются. В отчетном квартале наблюдалось некоторое увеличение, но мы
считаем, что это не изменит общей тенденции на сокращение. Что касается статистики по отдельным
странам, то в некоторых странах наблюдалась стабильная картина, а в некоторых — сокращение объемов
нежелательных сообщений. Рост объемов нежелательных сообщений, превышающий 10 процентов,
наблюдался только в Венесуэле, Колумбии, Южной Корее и Японии. Но не обольщайтесь: нежелательные
сообщения по-прежнему опасны, а целенаправленный фишинг опасен еще больше.
12 Отчет McAfee об угрозах за второй квартал 2012 года
15. Статистика активности бот-сетей
В предыдущем квартале мы отметили замедление роста количества бот-сетей для рассылки сообщений.
В отчетном квартале, однако, количество заражений стало рекордным за последние 12 месяцев.
Примерно в то же самое время по всему миру наблюдались всплески объемов нежелательных сообщений.
Такое совпадение свидетельствует о том, что рассылкой нежелательных сообщений занимаются
преимущественно бот-сети. Это также показатель того, что поддержание постоянного уровня рассылки
нежелательных сообщений требует увеличения нагрузки на бот-сети.
Кол-во обнаруженных случаев заражения бот-сетями
для рассылки сообщений по всему миру
7 000 000
6 000 000
5 000 000
4 000 000
3 000 000
2 000 000
1 000 000
0
ИЮЛ АВГ СЕН ОКТ НОЯ ДЕК ЯНВ ФЕВ МАР АПР МАЙ ИЮН
2011 2011 2011 2011 2011 2011 2012 2012 2012 2012 2012 2012
В отчетном квартале основная доля вредоносных нежелательных сообщений появилась в результате
активной работы бот-сетей Cutwail и Grum.
Влияние бот-сетей Cutwail и Grum на глобальною
статистику случаев заражения бот-сетями
1 600 000
1 400 000
1 200 000
Все
1 000 000 Cutwail
800 000 Grum
600 000
400 000
200 000
0
15.04.12
22.04.12
29.04.12
13.05.12
20.05.12
27.05.12
10.06.12
17.06.12
24.06.12
01.04.12
08.04.12
06.05.12
03.06.12
Общий рейтинг бот-сетей для рассылки сообщений почти не изменился по сравнению с предыдущим
кварталом. Grum и Lethic остались на втором и третьем местах соответственно, а во главе списка,
как и прежде, находится Cutwail.
Отчет McAfee об угрозах за второй квартал 2012 года 15
16. Лидеры среди бот-сетей по случаям заражения по всему миру
3 500 000
3 000 000
Cutwail
2 500 000 Grum
Lethic
2 000 000
Waledac
1 500 000 Festi
1 000 000 Bobax
Maazben
500 000
0
ИЮН ИЮЛ АВГ СЕН ОКТ НОЯ ДЕК ЯНВ ФЕВ МАР АПР МАЙ ИЮН
2011 2011 2011 2011 2011 2011 2011 2012 2012 2012 2012 2012 2012
У большинства других крупнейших бот-сетей для рассылки сообщений темпы роста числа новых
заражений в отчетном квартале не увеличились или даже уменьшились. Единственным исключением
стал Bobax, полностью исчезнувший в июне после того, как возобновила свою работу бот-сеть Maazben.
К странам, в которых наблюдался более чем 10-процентный прирост количества новых отправителей
сообщений, предназначенных для распространения бот-сетей, относятся Индия, Китай, США и Южная
Корея. Самый большой прирост наблюдался в Корее — более 50 процентов.
Кол-во новых отправителей в бот-сетях
Австралия Аргентина
14 000 60 000
12 000 50 000
10 000 40 000
8 000
30 000
6 000
20 000
4 000
10 000
2 000
0 0
ИЮЛ АВГ СЕН ОКТ НОЯ ДЕК ЯНВ ФЕВ МАР АПР МАЙ ИЮН ИЮЛ АВГ СЕН ОКТ НОЯ ДЕК ЯНВ ФЕВ МАР АПР МАЙ ИЮН
2011 2011 2011 2011 2011 2011 2012 2012 2012 2012 2012 2012 2011 2011 2011 2011 2011 2011 2012 2012 2012 2012 2012 2012
Бразилия Великобритания
200 000 40 000
35 000
150 000 30 000
25 000
100 000 20 000
15 000
50 000 10 000
5 000
0 0
ИЮЛ АВГ СЕН ОКТ НОЯ ДЕК ЯНВ ФЕВ МАР АПР МАЙ ИЮН ИЮЛ АВГ СЕН ОКТ НОЯ ДЕК ЯНВ ФЕВ МАР АПР МАЙ ИЮН
2011 2011 2011 2011 2011 2011 2012 2012 2012 2012 2012 2012 2011 2011 2011 2011 2011 2011 2012 2012 2012 2012 2012 2012
Венесуэла Германия
140 000 90 000
80 000
120 000
70 000
100 000
60 000
80 000 50 000
60 000 40 000
30 000
40 000
20 000
20 000 10 000
0 0
ИЮЛ АВГ СЕН ОКТ НОЯ ДЕК ЯНВ ФЕВ МАР АПР МАЙ ИЮН ИЮЛ АВГ СЕН ОКТ НОЯ ДЕК ЯНВ ФЕВ МАР АПР МАЙ ИЮН
2011 2011 2011 2011 2011 2011 2012 2012 2012 2012 2012 2012 2011 2011 2011 2011 2011 2011 2012 2012 2012 2012 2012 2012
16 Отчет McAfee об угрозах за второй квартал 2012 года
17. Кол-во новых отправителей в бот-сетях
Индия Индонезия
350 000 140 000
300 000 120 000
250 000 100 000
200 000 80 000
150 000 60 000
100 000 40 000
50 000 20 000
0 0
ИЮЛ АВГ СЕН ОКТ НОЯ ДЕК ЯНВ ФЕВ МАР АПР МАЙ ИЮН ИЮЛ АВГ СЕН ОКТ НОЯ ДЕК ЯНВ ФЕВ МАР АПР МАЙ ИЮН
2011 2011 2011 2011 2011 2011 2012 2012 2012 2012 2012 2012 2011 2011 2011 2011 2011 2011 2012 2012 2012 2012 2012 2012
Испания Китай
70 000 180 000
60 000 160 000
140 000
50 000
120 000
40 000
100 000
30 000 80 000
60 000
20 000
40 000
10 000
20 000
0 0
ИЮЛ АВГ СЕН ОКТ НОЯ ДЕК ЯНВ ФЕВ МАР АПР МАЙ ИЮН ИЮЛ АВГ СЕН ОКТ НОЯ ДЕК ЯНВ ФЕВ МАР АПР МАЙ ИЮН
2011 2011 2011 2011 2011 2011 2012 2012 2012 2012 2012 2012 2011 2011 2011 2011 2011 2011 2012 2012 2012 2012 2012 2012
Республика Корея Россия
70 000 200 000
60 000
50 000 150 000
40 000
100 000
30 000
20 000 50 000
10 000
0 0
ИЮЛ АВГ СЕН ОКТ НОЯ ДЕК ЯНВ ФЕВ МАР АПР МАЙ ИЮН ИЮЛ АВГ СЕН ОКТ НОЯ ДЕК ЯНВ ФЕВ МАР АПР МАЙ ИЮН
2011 2011 2011 2011 2011 2011 2012 2012 2012 2012 2012 2012 2011 2011 2011 2011 2011 2011 2012 2012 2012 2012 2012 2012
США Япония
160 000 16 000
140 000 14 000
120 000 12 000
100 000 10 000
80 000 8 000
60 000 6 000
40 000 4 000
20 000 2 000
0 0
ИЮЛ АВГ СЕН ОКТ НОЯ ДЕК ЯНВ ФЕВ МАР АПР МАЙ ИЮН ИЮЛ АВГ СЕН ОКТ НОЯ ДЕК ЯНВ ФЕВ МАР АПР МАЙ ИЮН
2011 2011 2011 2011 2011 2011 2012 2012 2012 2012 2012 2012 2011 2011 2011 2011 2011 2011 2012 2012 2012 2012 2012 2012
Отчет McAfee об угрозах за второй квартал 2012 года 17
18. Темпы заражения новых систем не влияют на ситуацию с уже зараженными системами. Приведенные
нами результаты анализа активности бот-сетей по странам показывают, что многие из этих бот-сетей
по-прежнему довольно активны в мировом масштабе, даже несмотря на то, что число заражаемых
ими компьютеров снижается. По числу новых случаев заражения и по общему количеству зараженных
компьютеров первое место в мире занимает Cutwail. Исключением стали Венесуэла, Индия и Пакистан,
где самой распространенной бот-сетью является Grum.
Кол-во новых отправителей в бот-сетях
Австралия Бразилия Великобритания Бот-сети
Bobax
Cutwail
Festi
Grum
Lethic
Maazben
Другие
Германия Испания Индия
Китай Колумбия Республика Корея
Россия США Япония
18 Отчет McAfee об угрозах за второй квартал 2012 года
19. В нежелательных сообщениях используются методы социальной инженерии
Темы нежелательных сообщений в разных регионах мира сильно отличаются друг от друга. Спамеры видят,
что эффективность придуманных ими приманок зависит от страны, культуры, религии и других факторов.
Мировым «лидером» среди приманок стало уведомление о доставке (DSN), давний любимец спамеров.
Большой популярностью пользовались также приманки, связанные с лекарствами.
Виды спама Австралия Беларусь Бразилия
«Нигерийские письма»
DSN
Товары для взрослых
Казино
Лекарства
Вакансии
Одинокие женщины
Лотереи
Великобритания Германия Индия
Маркетинг
Новостные рассылки
Фишинг
Копии изделий
известных брендов
Путешествия
Нежелательная реклама
Вирусы
Веб-семинары
Россия США Франция
Отчет McAfee об угрозах за второй квартал 2012 года 19
20. Сетевые угрозы безопасности
Как мы уже сообщали в предыдущем квартале, мы значительно расширили объем информации, включаемой
нами в аналитические отчеты об активности сетей. Анализ этих данных показывает, что определить, откуда
исходят атаки и кто за ними стоит, — очень сложная задача. Сложно дать хоть сколько нибудь точный
ответ на вопросы о том, откуда исходят те или иные атаки и кто за ними стоит. Анализ кода не часто
дает возможность понять, кто его написал. Анализ сетевых атак для выявления примет и признаков их
организаторов — задача не менее сложная. У нас уже есть некоторые наработки в деле определения
авторства, но чтобы быть в состоянии делать выводы о том, кто является организаторами атак, предстоит
еще выполнить огромную работу. Иногда все, что мы можем узнать, это то, как код себя ведет, для чего
предназначена атака и где предположительно находится ее источник. Любое более смелое высказывание
рискует навлечь на себя критику, подобную той, которую Оскар Уайльд высказал в адрес искусства:
Во всяком искусстве есть то, что лежит на поверхности, и символ.
Кто пытается проникнуть глубже поверхности, тот идет на риск.
И кто раскрывает символ, идет на риск.
В сущности, Искусство — зеркало, отражающее того, кто в него смотрится, а вовсе не жизнь.
Если произведение искусства вызывает споры, — значит, в нем есть нечто новое,
сложное и значительное.
— Портрет Дориана Грея, перевод Марии Абкиной
Среди специалистов по безопасности существует много разных мнений по поводу определения
авторства. Большинство из них является лишь предубеждениями аналитиков. Значительное расхождение
во мнениях по данному вопросу свидетельствует о том, что изучение проблемы определения авторства
находится пока еще на самой ранней стадии. Иногда приходится просто признать, что собранные данные
ни о чем не говорят.
С уверенностью можем сказать, что по совокупности США по-прежнему является крупнейшим источником
и объектом кибератак. Давайте поподробнее остановимся на некоторых категориях угроз безопасности,
информация о которых собирается и анализируется с помощью сети McAfee Global Threat Intelligence™.
Категории угроз остались теми же, что и в предыдущем квартале, но их пропорциональное соотношение
изменилось из-за повышения числа атак с использованием уязвимости в службе удаленных вызовов
процедур. Из-за этого сдвига показатели во всех остальных категориях снизились, но порядок
категорий сохранился.
Лидеры среди сетевых угроз безопасности
Удаленный вызов процедур
Внедрение SQL-кода
Обозреватель
Межсайтовые сценарии
Другие
20 Отчет McAfee об угрозах за второй квартал 2012 года
21. США заняли первое место по числу организаторов атак, лишь ненамного опередив Венесуэлу.
По числу жертв атак США лидируют с явным отрывом.
Страны, из которых исходит большинство
атак с внедрением SQL-кода
США
Венесуэла
Великобритания
Турция
Испания
Мексика
Китай
Республика Корея
Другие
Страны, наиболее подверженные
атакам с внедрением SQL-кода
США
Китай
Испания
Германия
Великобритания
Республика Корея
Япония
Франция
Другие
Как и в предыдущем квартале США намного опередили другие страны как самый популярный источник
атак с использованием межсайтовых сценариев (сross-site scripting — XSS).
Страны, из которых исходит большинство
межсайтовых атак с внедрением сценария (XSS)
США
Япония
Бразилия
Индия
Иордания
Венесуэла
Другие
Отчет McAfee об угрозах за второй квартал 2012 года 21
22. По количеству жертв атак с использованием XSS на первом месте опять США. На втором месте с большим
отставанием — Турция.
Страны, наиболее подверженные межсайтовым
атакам с внедрением сценария (XSS)
США
Турция
Япония
Другие
Если в предыдущем квартале первое и второе места занимали бот-сети Mariposa и Pushdo (Cutwail),
то в отчетном квартале эти места заняли Darkshell и Maazben.
Лидеры среди обнаруженных бот-сетей
Darkshell
Maazben
Ainslot.B
Darkness
Cycbot
Zeus
Троянская программа Carberp
Spybot
BlackEnergy
DirtJumper
По количеству жертв атак США вытеснили с первого места Венесуэлу. На втором месте оказалась Чили
с вдвое меньшим числом заражений.
Страны, наиболее подверженные бот-сетям
США
Чили
Бразилия
Колумбия
Великобритания
Украина
Аргентина
Китай
Другие
22 Отчет McAfee об угрозах за второй квартал 2012 года
23. США по-прежнему занимают первое место по числу серверов для управления бот-сетями, хотя в отчетном
квартале этот показатель сократился на 10 процентов. Среди остальных стран по этому показателю
лидируют Китай и Венесуэла.
Лидеры по количеству управляющих серверов бот-сетей
США
Китай
Венесуэла
Германия
Россия
Нидерланды
Великобритания
Испания
Другие
Веб-угрозы
Веб-сайты могут приобрести репутацию плохих или вредоносных по целому ряду причин. Репутация
может определяться на основе полных доменов и любого количества субдоменов, а также на основе
одного IP-адреса или даже конкретного URL-адреса. Сайт может получить репутацию вредоносного,
если на нем размещены вредоносные или потенциально нежелательные программы, или если сайт создан
для фишинга. Часто мы наблюдаем те или иные сочетания сомнительного кода и сомнительных функций.
Это только некоторые из факторов, на основе которых мы определяем репутацию сайта.
К концу июня общее количество URL-адресов с плохой репутацией, учтенных специалистами наших
лабораторий, превысило 36 миллионов! Это соответствует 22,6 млн доменных имен. В отчетном
квартале мы ежемесячно регистрировали в среднем 2,7 млн новых URL-адресов с плохой репутацией.
Обнаруженным в июне новым URL-адресам соответствовало 300 000 доменов с плохой репутацией, что
дает примерно 10 000 новых вредоносных доменов ежедневно. Это несколько больше, чем в предыдущем
квартале. Интересно отметить, что это число сравнимо с числом 9 500 (новых вредоносных веб-сайтов),
опубликованным в июне в блоге компании Google.3
Кол-во новых URL-адресов с плохой репутацией
4 000 000
3 500 000
3 000 000 Кол-во новых URL-адресов
Родственные домены
2 500 000
2 000 000
1 500 000
1 000 000
500 000
0
ФЕВ МАР АПР МАЙ ИЮН
2012 2012 2012 2012 2012
Отчет McAfee об угрозах за второй квартал 2012 года 23
24. Большинство (94,2 процента) из этих URL-адресов ведет к вредоносным программам, средствам
использования уязвимостей или коду, предназначенному для взлома компьютеров. На фишинговые
атаки и на нежелательные сообщения приходится 4 процента и 1 процент соответственно.
Распределение новых URL-адресов с плохой репутацией
Новые URL-адреса
для фишинга
Новые URL-адреса
с вредоносными программами
Другие
Новые URL-адреса для
распространения спама
Другие
Распределение доменов показывает несколько иную статистику:
Распространение новых доменов с плохой репутацией
Новые домены
Новые домены для фишинга
с вредоносными
программами
Другие
Новые домены
для рассылки спама
Другие
24 Отчет McAfee об угрозах за второй квартал 2012 года
25. Кол-во новых URL-адресов для фишинга
120 000
100 000
Кол-во новых URL-адресов
80 000
Родственные домены
60 000
40 000
20 000
0
ФЕВ МАР АПР МАЙ ИЮН
2012 2012 2012 2012 2012
Кол-во новых URL-адресов для рассылки спама
50 000
45 000
Кол-во новых URL-адресов
Родственные домены
40 000
35 000
30 000
25 000
ФЕВ МАР АПР МАЙ ИЮН
2012 2012 2012 2012 2012
На протяжении отчетного периода наблюдался значительный сдвиг в статистике месторасположения этих
серверов с плохой репутацией. Если в предыдущем квартале почти 92 процента из них находились в Северной
Америке, то в отчетном квартале бо́льшая часть вредоносного веб-содержимого переместилась в Европу
и на Ближний Восток. Дальнейший анализ этих регионов показывает большие различия между отдельными
странами, а первое место по количеству размещенного в них вредоносного контента занимают Нидерланды.
Местоположение серверов с вредоносным содержимым
Азиатско-Тихоокеанский регион
Австралия
Европа и Ближний Восток
Латинская Америка
Северная Америка
Отчет McAfee об угрозах за второй квартал 2012 года 25
26. Местоположение серверов с вредоносным содержимым
Австралия и Новая Зеландия Азиатско-Тихоокеанский регион
Австралия Республика Корея
Новая Зеландия Япония
Китай
Гонконг
Индонезия
Другие
Африка Европа и Ближний Восток
Южно-Африканская Республика Нидерланды
Сенегал Швейцария
Сейшельские Острова Германия
Тунис Великобритания
Другие Италия
Другие
Латинская Америка Северная Америка
Багамские острова США
Британские Канада
Виргинские острова
Бразилия
Другие
26 Отчет McAfee об угрозах за второй квартал 2012 года
27. Киберпреступность
«Абузоустойчивый» хостинг
Продолжим начатую в предыдущем отчете тему «преступные программы как услуга» и поговорим
об «абузоустойчивых» серверах. В предыдущем квартале мы рассказывали об операции Open Market
(«Открытый рынок»), проведенной Секретной службой США с целью задержания членов, сообщников
и сотрудников преступной организации Carder.su общим числом 50 человек.
Один из обвиняемых, известный под никами Dorbik и Matad0r, занимался предоставлением подобных
услуг. В 2010 году он публиковал информацию о своих услугах в разных специализированных форумах:
Цены Matad0r:
Хостинг Виртуальные частные или выделенные серверы Выделенные серверы
• 2 ГБ на сервере • технология VMware • разные конфигурации
• до 10 припаркованных доменов • полный root-доступ к серверам • установка в течение суток
• выделенные DNS-серверы • до 25 % ЦП Xeon • безлимитный трафик
• панели управления хостингом • от 1 ГБ ОЗУ • бесплатная установка/переустановка
• безлимитный трафик • от 30 ГБ дискового пространства • любая ОС (включая Windows) бесплатно
• необходимые модули и программное • безлимитный трафик • дополнительные IP-адреса (если
обеспечение (бесплатно) требуется)
• бесплатная установка/переустановка
• 50 долларов США в месяц • 400 долларов США в месяц
• полный набор программного обеспечения
• дополнительные IP-адреса (если требуется)
• 150 долларов США в месяц
В наши дни в Интернете очень много подобных предложений, и вполне понятно, на кого они рассчитаны.
Приведем несколько примеров на русском языке:
Отчет McAfee об угрозах за второй квартал 2012 года 27