Windows: итоги по киберугрозам-2013

Самой распространенной в России вредоносной программой был и остается троян Win32/Qhost, изначально ориентированный на российских пользователей. Функционал Qhost относительно прост — программа модифицирует системный файл hosts для перенаправления пользователя на принадлежащие злоумышленникам фишинговые, рекламные или вредоносные ресурсы. Подобные перенаправления (клики) монетизируются и приносят злоумышленникам фактическую прибыль. Также мошенники могут выманивать у пользователя аутентификационные данные с помощью фальшивых страниц, замаскированных под популярные социальные сети.

В прошлом году компания Microsoft исправила большое количество уязвимостей для ОС Windows и ее компонентов, а также для пакета программ MS Office. Некоторые из этих уязвимостей использовались злоумышленниками для доставки вредоносного кода еще до выхода обновления (так называемой уязвимости 0day или «нулевого дня»). Как правило, большинство из них ориентировались на изъяны в браузере Internet Explorer.

2013 год отметился появлением 0day уязвимостей, которые использовались в направленных атаках. Иными словами, злоумышленники осуществляли разработку эксплойтов не для спонтанного распространения вредоносного кода, а для атак на конкретных пользователей, преследуя вполне определенные цели.

Статистика по выпущенным обновлениям демонстрирует, что в 2013 году браузер Internet Explorer, компоненты .NET и плагин к браузеру Silverlight наиболее активно использовались злоумышленниками для удаленного исполнения кода, причем в большинстве случаев такие атаки реализовывались через браузер.

Уязвимости в приложениях пакета программ Office также продолжали использоваться для удаленной установки вредоносного кода. При таком сценарии злоумышленники создают специальный файл Office (например, doc-файл Word) и отправляют его с фишинговым письмом на адрес жертвы. Текст письма должен быть максимально убедительным, чтобы заставить пользователя открыть вложение. Запуская такой файл с помощью уязвимой версии Office, пользователь инициирует установку вредоносного ПО.

Кроме того, прошлый год закрепил основной тренд разделения вредоносных программ на два вида: используемые киберпреступниками для личной материальной выгоды, а также применяемые для узконаправленных атак (так называемая watering hole) с целью компрометации определенной компании, отрасли индустрии или региона. Для многих из атак второго вида злоумышленники специально осуществляли поиск той или иной программной уязвимости, используя ее непосредственно для атаки на конкретный регион или компанию.

Злоумышленники все чаще прибегают к использованию возможностей анонимной сети TOR для работы с удаленными C&C-серверами. В 2013 году появилось несколько новых угроз с такими возможностями — например, Win32/Atrax.A, Win32/Agent.PTA, Win32/Napolar. Благодаря анонимности TOR, преступники скрывают информацию о C&C (IP-адресе или домене), что особенно полезно для сокрытия данных от систем, которые собирают информацию о входящем/исходящем трафике в сети того или иного предприятия. Если бы не TOR, служба безопасности быстро обнаружила бы подлинный вредоносный URL.

Еще одним трендом стало использование распределенной архитектуры в вымогателях-шифровальщиках. На примере Cryptolocker (Win32/Filecoder.BQ) стало очевидно, что если использовать алгоритм шифрования с открытым ключом, то у пользователя не будет иного выхода, кроме как заплатить злоумышленникам выкуп (или, в противном случае, потерять свои файлы). В декабре ESET сообщала об обнаружении новой модификации этой программы, Cryptolocker 2.0. Кроме этого, в начале 2014 года уже появилась информация о новом шифровальщике, который использует схожий подход и называется Prison Locker (Power Locker), о чем сообщили в блоге malwaremustdie.

Наиболее востребованным вредоносным кодом у злоумышленников являются инструменты, которые используются для хищения различной конфиденциальной информации. Такие программы содержат в себе несколько компонентов (например, мобильный компонент, который позволяет обходить двухфакторную аутентификацию в виде кодов подтверждения SMS). Подобное вредоносное ПО является одним из самых современных методов хищения денежных средств и конфиденциальных данных пользователей.

Несмотря на то, что уязвимости типа Remote Code Execution (удаленное исполнение кода) в браузерах и другом популярном ПО играют существенную роль для доставки вредоносного кода, киберпреступники часто прибегали к более простому методу — использованию человеческого фактора. Применение двойных расширений у файлов, убедительное фишинговое сообщение, нацеленность на определенную группу людей (с учетом предварительно проведенной разведки), поддельные иконки файлов — эти и многие другие приемы находятся в активном арсенале киберпреступников и будут использоваться в дальнейшем.

В 2013 году была обнаружена модификация широко известного файлового вируса Expiro, которая умеет заражать как 32-битные, так и 64-битные файлы, а также обладает переносимым кроссплатформенным телом. Кроме того, многие вредоносные программы уже имеют в своем составе 64-битную полезную нагрузку. Очевидно, что киберпреступники руководствуются весьма практическими целями, поскольку 64-битных ОС в мире становится все больше.

Наконец, сложные вредоносные программы в 2013 году становились способом извлечения значительной выгоды. Пример печально известного семейства ZeroAccess (Win32/Sirefef, Win64/Sirefef) показывает, что глубокое сокрытие кода в системе, нестандартные подходы к заражению файлов, а также направленность на платформу x64 позволяют злоумышленникам извлекать колоссальную выгоду. По подсчетам Microsoft Digital Crimes Unit, ботнет ZeroAccess заразил около 2 млн компьютеров, а прибыль от его деятельности составляла 2,7 млн долларов в месяц.

По сообщению ESET