Растет число скрытых и целенаправленных сетевых атак
Корпорация IBM предупреждает об увеличении объемов и степени изощренности вредоносного программного обеспечения, об увеличении масштабов такого явления, как аренда эксплойтов (программных средств для использования уязвимостей) и об уменьшении числа раскрытых уязвимостей по сравнению с первой половиной 2006 г. Научно-исследовательская группа X-Force подразделения IBM Internet Security Systems (ISS) выявила и проанализировала более 210 тыс. новых образцов вредоносных программ, что уже превысило показатели за весь 2006 год.
В 2007 г. явление "эксплойт как услуга" получило бурное развитие. Поставщики управляемых эксплойтов начали приобретать код эксплойтов у недобросовестных программистов, шифровать этот код для защиты от пиратов и затем продавать его за большие деньги дистрибьюторам спама. В 2007 г. указанные поставщики эксплойтов добавили в свой репертуар новую практику – "аренду эксплойтов". Посредством аренды эксплойта атакующий теперь может проверять различные методики использования уязвимостей с меньшими начальными инвестициями, что делает этот подпольный рынок еще более привлекательным для злоумышленников.
Самой распространенной категорией вредоносных программ в 2007 г. являются троянские программы (внешне – вполне легитимные файлы), которые составили 28% от общего числа программ такого типа. В 2006 г. самой массовой категорией были т.н. "загрузчики" (downloader). Загрузчик – это небольшой фрагмент вредоносной программы, который устанавливает себя на поражаемом компьютере, после чего загружает и устанавливает более изощренного программного агента. В 2007 г. продолжают расти масштабы использования злоумышленниками вводящих в заблуждение web-эксплойтов для противодействия системам обнаружения и предотвращения вторжений, функционирующим на основе сигнатур.
По данным X-Force, в 2006 г. примерно 50% web-сайтов, на которых размещались предназначенные для заражения браузеров эксплойты, тем или иным образом пытались скрыть или закамуфлировать свои атаки. В первой половине 2007 г. этот показатель достиг 80%. В отличие от наблюдаемых ранее тенденций X-Force отмечает небольшое уменьшение общего количества уязвимостей, раскрытых в первой половине 2007 г. по сравнению с первым полугодием 2006 г. Так, в первой половине этого года было идентифицировано в общей сложности 3273 уязвимости, что на 3,3% меньше, чем в первой половине 2006 г. За всю историю базы данных уязвимостей, которая была создана группой X-Force в 1997 г., это первый случай, когда количество раскрытых уязвимостей снизилось в первой половине года. Следует также отметить, что доля уязвимостей, повлекших тяжелые последствия, увеличилась с 16% в 2006 г. до 21% в первой половине 2007 г.
В отчете X-Force приводится несколько факторов, объясняющих уменьшение количества раскрытых уязвимостей в первой половине 2007 при наблюдаемой в предыдущие годы тенденции экспоненциального роста количества уязвимостей. Во-первых, "монетизация" уязвимости и эксплойтов привлекла внимание подпольного рынка и достигла определенного уровня зрелости, в результате чего более значительная часть уязвимостей остается нераскрытой и продолжает тайно использоваться для незаконного обогащения и других преступных целей. Во-вторых, за последние два года повысились масштабы применения технологии fuzzing, в результате чего многие из сравнительно легко обнаруживаемых уязвимостей были выявлены.
Fuzzing – это методика тестирования, основанная на вводе в программу широкого диапазона случайных данных. Цель тестирования состоит в том, чтобы довести программу до сбоя и тем самым обнаружить потенциальную уязвимость. И, наконец, количество типичных ошибок и дефектов кодирования уменьшается в результате применения поставщиками программных продуктов и технологий более безопасных процедур разработки программного обеспечения и более строгих методик защищенного кодирования. В отчете отмечается и другая неожиданная тенденция – впервые количество писем со спамом уменьшилось, а не выросло по линейному закону. Одновременно с этим уменьшились объемы спама, использующего изображения.
С 2005 года основанный на изображении спам был одним из основных конкурентов обычного спама, но в первой половине 2007 г. доля основанного на изображении спама снизилась до уровня середины 2006 года – немногим более 30%. На конец 2006 г. основанный на изображении спам составлял более 40% от общего количества писем со спамом. Во втором полугодии 2007 г. и в 2008 г. группа X-Force прогнозирует экспоненциальный рост количества раскрываемых уязвимостей, продолжение роста числа целенаправленных и специализированных вредоносных программ, включая троянские, и дальнейшее развитие технологий камуфлирования интернет-угроз.
IBM
В 2007 г. явление "эксплойт как услуга" получило бурное развитие. Поставщики управляемых эксплойтов начали приобретать код эксплойтов у недобросовестных программистов, шифровать этот код для защиты от пиратов и затем продавать его за большие деньги дистрибьюторам спама. В 2007 г. указанные поставщики эксплойтов добавили в свой репертуар новую практику – "аренду эксплойтов". Посредством аренды эксплойта атакующий теперь может проверять различные методики использования уязвимостей с меньшими начальными инвестициями, что делает этот подпольный рынок еще более привлекательным для злоумышленников.
Самой распространенной категорией вредоносных программ в 2007 г. являются троянские программы (внешне – вполне легитимные файлы), которые составили 28% от общего числа программ такого типа. В 2006 г. самой массовой категорией были т.н. "загрузчики" (downloader). Загрузчик – это небольшой фрагмент вредоносной программы, который устанавливает себя на поражаемом компьютере, после чего загружает и устанавливает более изощренного программного агента. В 2007 г. продолжают расти масштабы использования злоумышленниками вводящих в заблуждение web-эксплойтов для противодействия системам обнаружения и предотвращения вторжений, функционирующим на основе сигнатур.
По данным X-Force, в 2006 г. примерно 50% web-сайтов, на которых размещались предназначенные для заражения браузеров эксплойты, тем или иным образом пытались скрыть или закамуфлировать свои атаки. В первой половине 2007 г. этот показатель достиг 80%. В отличие от наблюдаемых ранее тенденций X-Force отмечает небольшое уменьшение общего количества уязвимостей, раскрытых в первой половине 2007 г. по сравнению с первым полугодием 2006 г. Так, в первой половине этого года было идентифицировано в общей сложности 3273 уязвимости, что на 3,3% меньше, чем в первой половине 2006 г. За всю историю базы данных уязвимостей, которая была создана группой X-Force в 1997 г., это первый случай, когда количество раскрытых уязвимостей снизилось в первой половине года. Следует также отметить, что доля уязвимостей, повлекших тяжелые последствия, увеличилась с 16% в 2006 г. до 21% в первой половине 2007 г.
В отчете X-Force приводится несколько факторов, объясняющих уменьшение количества раскрытых уязвимостей в первой половине 2007 при наблюдаемой в предыдущие годы тенденции экспоненциального роста количества уязвимостей. Во-первых, "монетизация" уязвимости и эксплойтов привлекла внимание подпольного рынка и достигла определенного уровня зрелости, в результате чего более значительная часть уязвимостей остается нераскрытой и продолжает тайно использоваться для незаконного обогащения и других преступных целей. Во-вторых, за последние два года повысились масштабы применения технологии fuzzing, в результате чего многие из сравнительно легко обнаруживаемых уязвимостей были выявлены.
Fuzzing – это методика тестирования, основанная на вводе в программу широкого диапазона случайных данных. Цель тестирования состоит в том, чтобы довести программу до сбоя и тем самым обнаружить потенциальную уязвимость. И, наконец, количество типичных ошибок и дефектов кодирования уменьшается в результате применения поставщиками программных продуктов и технологий более безопасных процедур разработки программного обеспечения и более строгих методик защищенного кодирования. В отчете отмечается и другая неожиданная тенденция – впервые количество писем со спамом уменьшилось, а не выросло по линейному закону. Одновременно с этим уменьшились объемы спама, использующего изображения.
С 2005 года основанный на изображении спам был одним из основных конкурентов обычного спама, но в первой половине 2007 г. доля основанного на изображении спама снизилась до уровня середины 2006 года – немногим более 30%. На конец 2006 г. основанный на изображении спам составлял более 40% от общего количества писем со спамом. Во втором полугодии 2007 г. и в 2008 г. группа X-Force прогнозирует экспоненциальный рост количества раскрываемых уязвимостей, продолжение роста числа целенаправленных и специализированных вредоносных программ, включая троянские, и дальнейшее развитие технологий камуфлирования интернет-угроз.
IBM