Symantec: "черви" атакуют

Введение

Корпорация Symantec опубликовала ежегодный отчет Internet Security Threat Report, отражающий состояние мировой антивирусной индустрии на сегодняшний день. За 2003 год специалистами Symantec было обнаружено и исправлено 2636 уязвимостей (примерно 220 штук ежемесячно) в программных продуктах, используя которые, вредоносные программы атаковали компьютеры пользователей. По сравнению с 2002 годом этот показатель увеличился на 2% - вместо 2587, в то время как два года назад (с 2001 на 2002 год) такой показатель увеличился на 81%. В первой половине 2003 года было обнаружено на 21% уязвимостей больше чем во второй половине - 1,469 против 1,167.

Аналитики Координационного Центра Экстренной Компьютерной Помощи (Computer Emergency Response Team Coordination Center) связывают такое незначительное увеличение обнаруживаемых дыр в программном обеспечении в первую очередь с повышением уровня квалификации программистов, а также повышением требований систем безопасности к выпускаемым программным продуктам. Также немаловажную роль играет намеченная тенденция предоставления времени компаниям-разработчикам на устранение обнаруженных уязвимостей вместо немедленной общественной огласки, которая, несомненно, приведет к общим финансовым потерям.

Направления атак, тенденция развития, прогнозы

Итак, отчет охватывает второе полугодие 2003 года. Наибольший урон пользователям по всему миру был нанесен в августе 2003 года, когда за двенадцать дней было обнаружено сразу три новых "червя" Категории 4 (Category 4) - Blaster, Welchia и Sobig.F. Сумма ущерба превысила 2 миллиарда долларов США.

Современные направления компьютерных атак:

По-прежнему, самыми активными вредителями остаются черви.
Примерно треть всех пораженных систем была атакована с использованием червя Blaster.
Злоумышленники часто повторно используют одни и те же дыры.
Определилась тенденция поражения компьютерных систем по географическому признаку.
Наиболее сильно пострадали от нападений финансовые учреждения, больницы, промышленные предприятия энергетики.
Всего более 70% пользователей в течение шести месяцев пострадали от действия компьютерных вирусов.

Современные тенденции компьютерных уязвимостей:

Специалисты Symantec обнаружили 2636 новых уязвимостей в 2003 году, примерно по 7 штук в день.
Анализ статистических данных Symantec показал стабильность уровня обнаружения и использования уязвимостей на всем исследуемом периоде.
Степень сложности обнаруженной уязвимости, а также простота ее использования пропорциональна времени, прошедшему с момента выпуска программного продукта.
Более 70% уязвимостей, обнаруженных в 2003 году были признаны простыми в использовании.
Более чем к 5% уязвимостей были опубликованы инструкции по использованию при проникновении в чужую систему.
Более чем 6% уязвимостей, обнаруженных в 2003 году, можно было воспользоваться без установки дополнительных утилит.

Тенденции злонамеренного кода:

Системный код, создающий смешанную угрозу пользователям за последние шесть месяцев составил 54% от общего количества.
В два с половиной раза, по сравнению со второй половиной 2002 года, увеличилось общее количество червей и вирусов, исследованных Symantec.
По сравнению с первым полугодием 2003 года, количество вредоносных программ, использующих массовую рассылку электронной почты, увеличилось до 61%.
Рекордный показатель скорости размножения вредоносной программы увеличился на 519%, по сравнению с аналогичным периодом прошлого года.

Насущные проблемы:

Начиная с января 2004 года, червь MyDoom начал размножение подобно Sobig.F, проникая на незащищенные компьютеры, которые в свою очередь становились очагом распространения.
Два новых червя - DoomJuice и Deadhat, следующие после MyDoom, размножались аналогичным образом.
Начиная с момента эпидемии, августа 2003 года, и по настоящий момент, MyDoom сотоварищи по-прежнему поражают компьютеры пользователей.

Прогнозы специалистов Symantec.
Специалисты Symantec определили развитие злонамеренной активности в нескольких направлениях. Во-первых, большинство версий операционной системы Windows, использует компоненты необходимые как для корпоративной, так и для самостоятельной работы. Вследствие этого, значительно повышается скорость размножения злонамеренных программ.

Во-вторых, практически каждую неделю обнаруживаются уязвимости в браузере Microsoft Internet Explorer. Использование этой программы при посещении некоторых сайтов ставит под угрозу конфиденциальность пользовательских данных. За последние 6 месяцев 2003 года было обнаружено и исправлено 34 подобных уязвимости.

Наконец, значительно сократилось время между объявлением вирусной эпидемии и выпуском "вакцины". Обычно пользователи, узнавшие об эпидемии, практически наверняка уже оказывались заражены вирусом. Даже когда неинфицированный пользователь узнает об эпидемии, он остается под угрозой до тех пор, пока не будет создано средства для вакцинации. Вероятность смешанных угроз, использующих неизвестную уязвимость (так называемые "однодневки" - ZeroDay) значительно возрастает. Если компьютер пользователя оказался заражен неизвестным вирусом, пройдет достаточно времени до тех пор, пока система будет очищена.

Тенденции компьютерных атак.
Специалистами Symantec установлено более 20 тысяч "датчиков" в 180 странах - часть систем Symantec DeepSight Threat Management System и Symantec Managed Security Data Services, предназначенная для сбора необходимой информации. Собранная информация поступает для анализа в пять аналитических центров Symantec Operators Center, расположенных на разных материках, каждый из которых способен автономно решать задачи обнаружения и подавления вирусной активности. Отделение Symantec Internet Security Threat Report предоставило аналитические данные по вирусной активности за второе полугодие 2003 года. В удобной для восприятия форме представлены следующие данные:

Активность атак в зависимости от типа - зондирование перед совершением атаки (40%), попытки непосредственного использования лазеек в системе (17%), черви и смешанные атаки (43%).


Самые массовые Интернет-атаки в процентном соотношении от общего числа.


Рейтинги атак компьютерных вирусов были составлены в результате анализа данных систем Symantec Managed Security Services и Symantec DeepSight Threat Management System. Возглавляет рейтинг червь SQLExp, также известный как Slammer. На его долю приходится больше четверти всех атак. Червь начал распространение 24 января 2003 года, и спустя пять месяцев, продолжает удерживать лидирующие позиции в рейтинге. Такая живучесть червя продиктована, в первую очередь, пассивным отношением зараженных к проблемам распространения червей - эпидемиологическое предупреждение было объявлено спустя несколько дней после начала деятельности червя. Также играет роль и метод размножения червя - один инфицированный компьютер SQLExp рассылает свои копии пакетами протокола UDP. В результате локальная сеть с небольшим числом компьютеров, зараженных SQLExp, по вирусной активности значительно превосходит аналоги.

А также в процентном соотношении от показаний датчиков:


Однако SQLExp исключительным образом отсутствует в десятке лидеров рейтинга, отображающего, в данном случае, большое количество локальных сетей, через которые червь мог бы добраться до своей цели - Microsoft SQL Server. С другой стороны в рейтинге присутствуют старые, но более успешные атаки, проводимые с помощью CodeRed и Nimda. Эти черви используют Directory Traversal-атаки, Indexing Server-атаки и Cmd.exe-атаки - все это включено в Microsoft Internet Information Web Server. Очень часто датчики фиксировали деятельность червей, атакующих с помощью протокола почтового SMTP (Simple Mail Transfer Protocol) - атака переполнения буфера Generic SMTP HELO Buffer Overflow и атака Generic SMTP Rcpt To Command, занимающие третью и четвертую строки рейтинга. Атаки этих червей приводили к увеличению спама в почтовых ящиках пользователей. Атака Wright FormMail приводила к активированию кода, который позволял пересылать почту произвольным образом - в результате чего пользователя заносили в черные списки спамеров.

Рейтинг атакуемых портов.


Для составления рейтинга атакуемых портов специалисты Symantec использовали два показателя - процентное соотношение атак на каждый порт и процентное соотношение датчиков, зафиксировавших атаку через данный порт. Эти показатели для каждого отдельного порта очень различались. Во втором полугодии 2003 года более трети всех атак приходилось на порт TCP/135 - именно через этот порт производились атаки червя Blaster, а также серии атак, инициированных семейством зловредных программ Gaobot. Червь Welchia, созданный вслед за Blaster, также производил атаки через порты TCP/135 и TCP/80. Высокая вирусная активность была зафиксирована в портах, используемых для передачи файлов - TCP/4662, TCP/6346 и UDP/41170. В большинстве случаев эти порты не блокируются, так как через них осуществляется обмен файлами внутри корпоративной сети предприятия. Практически всегда использовались порты TCP/445 и UDP/137 - их использует служба совместного использования общих ресурсов Windows File Sharing. На общем фоне лидер вирусной активности SQLExp занимает лишь десятое место в рейтинге портов - UDP/1434 используется практически только им.

Рейтинг стран, из которых была произведена атака.


При составлении этого рейтинга принимались следующие допущения - отслеживался конечный IP-адрес, с которого производилась атака, то есть если злоумышленник использовал для нападения прокси-сервер, то определялся именно IP адрес прокси, а уже по нему определялась доменная принадлежность к определенному региону или стране. К примеру, когда злоумышленник, находясь в Китае, инициирует атаку через систему, расположенную в Южной Корее - против сервера, находящегося в Нью-Йорке - датчики фиксировали нападение из Южной Кореи. Юридически злоумышленник нарушил законы Китая и США. Значение "отсутствовала" - устанавливалось в случае, если процент атак за отчетный период не попадал в десять самых высоких показателей. Для большинства злоумышленных проникновений рейтинг составлялся в зависимости от общего количества уязвимых систем в этой стране. Чем меньше количество уязвимых компьютерных систем, тем меньше был рейтинг атак. К примеру, Южная Корея занимала лидирующее место в рейтинге атак червя SQLExp в январе 2003 года. Однако весьма часто атаки заканчивались неудачей из-за загруженности каналов связи Интернет.

В ноябре 2003 года Microsoft анонсировала планы по совместной работе с корейской службой информационной безопасности Korean Information Security Agency, цель которой - объединить усилия в повышении уровня компьютерной безопасности в этой стране. Количество атак, исходящих из Южной Кореи характеризует, насколько Интернет пользователи этой страны активно участвуют в создании вирусных атак.

Рейтинг количества атак на сто тысяч пользователей, по странам - инициаторам атак.



Рейтинг регионов (3-8 столбец таблицы), которые наиболее часто подвергались атакам страной-"агрессором" (второй столбец таблицы). Коэффициент означает превышение (или понижение) отношения доли атак страны-мишени от общего числа атак всех стран - к средневзвешенному числу атак (отношение атак к числу стран). Т.е. если мы видим, например, что атакующая страна Тайвань - имеет коэффициент 0.5 в Африке, то мы понимаем, что атака африканских ресурсов из Тайваня производилась в два раза реже, чем в среднем по всем регионам мира.



Анализируя показания датчиков Symantec DeepSight Threat Management System и Symantec Managed Security Services были выявлены некоторые предпочтения злоумышленников касательно географического расположения атакуемой системы. Для некоторых стран выявлены направления повышенного внимания к отдельным регионам: Франция, Германия, Италия и Австралия особенно активно, на общем фоне, определили "фронт работ" в определенных регионах.

Рейтинг червей \ вирусов, использованных для смешанных атак.



Также приведены статистические данные зависимостей частоты атак от календарного месяца, дня недели, сферы деятельности компании...

Рекомендации специалистов

Наиболее актуальны для российского пользователя приведенные в отчете рекомендации, воспользовавшись которыми, можно значительно снизить вероятность потери работоспособности компьютера. Отдельно приводятся советы для корпоративных клиентов.

Для корпоративных клиентов.

Отключать неиспользуемые услуги.

В случае поражения отдельного компьютера или участка локальной сети немедленно локализовать его, отключив от локальной сети.

Постоянно устанавливать официальные обновления операционной системы и защитных программ - антивирусных, firewall'ов и пр., особенно на компьютерах, открытых для доступа через HTTP, FTP и предоставляющих почтовые сервисы, DNS.

Ужесточить локальную политику безопасности - установить пароли везде, где можно.

Установить на почтовом сервере настройки по блокированию или удалению электронных писем, содержащих файлы с расширением .VBS, .BAT, .EXE, .PIF, .SCR. Вероятность нанесения повреждения файлами с таким расширением значительно выше, чем у всех остальных.

Обучить персонал элементарным правилам безопасной работы в Интернет - не открывать письма от неизвестных отправителей, проверять входящую корреспонденцию на вирусы и т.п.

Разместить на рабочем месте плакаты с перечнем действий на случай возникновения эпидемии компьютерных вирусов.

Периодически тестировать систему безопасности.

Для частных пользователей.

Использовать комбинированную систему Интернет-безопасности, состоящую из антивирусной программы, firewall'а, системы мониторинга сетевой активности.

Периодически устанавливать официальные обновления операционной системы и защитных программ.

Использовать в паролях комбинации букв и цифр, с учетом регистра. Не использовать простые слова. Периодически производить замену пароля.

Никогда не открывать электронные письма, содержащие неизвестные прикрепленные файлы.

На предложения браузера о сохранении паролей для облегчения повторного посещения ресурса всегда отказываться, так как злоумышленникам может быть доступен файл с сохраненными паролями.

Периодически тестировать собственную систему безопасности, например, с помощью системы Symantec Security Check. (http://www.symantec.com/securitycheck).

Существующие уязвимости

Специалисты Symantec, в зависимости от обнаруживаемых уязвимостей, определили три уровня возникающих проблем. Уровень проблем определяется как показатель использования уязвимостей на конфиденциальность данных, целостность и доступность компьютерной системы.

Низкий уровень - использование обнаруженных уязвимостей не приводит к снижению уровня производства. Злоумышленники могут пользоваться самыми общими ресурсами локальной сети - принтерами, некоторыми файлами и т.д., которые не представляют угрозу конфиденциальности данных компании.

Средний уровень - использование обнаруженных уязвимостей привело к частичной потере конфиденциальной информации компании. Злоумышленниками получен частичный доступ к файловым архивам, являющимися коммерческой тайной компании, однако возможности злоумышленников ограничены - перед использованием некоторых ресурсов локальной сети злоумышленникам необходимо пройти процедуру авторизации, которая является критичной. В случае отрицательного результата при авторизации ресурс недоступен.

Высокий уровень - использование обнаруженных уязвимостей приводит к потере контроля над системой. Основные ресурсы локальной сети доступны злоумышленникам - для их использования не требуется авторизации. Информационное обеспечение производственного процесса в любой момент может быть прекращено.

Основываясь на такой классификации, в результате подавляющего количества использованных уязвимостей, специалисты Symantec, определили повреждения среднего и высокого уровня. С использованием уязвимостей низкого уровня специалисты Symantec сталкивались в среднем за 2003 год по шесть раз в месяц. Прослежена общая тенденция снижения с течением времени использования обнаруженных уязвимостей низкого уровня. Средний ежемесячный показатель использования уязвимостей высокого уровня определился на уровне 99, среднего уровня - 115.

Специалистами Symantec был определен показатель "легкость в использовании" (Easy of Exploitation), подразумевающий средства, необходимые для применения в использовании уязвимости - exploit.

Exploit не требуется - отсутствует необходимость в написании системного кода. Для использования уязвимости достаточно собственных технических знаний программного обеспечения компьютерной сети. (Легкое использование).

Exploit общедоступны - средства использования уязвимости общедоступны - системный код злонамеренной программы размещен на web-страницах общего пользования. (Сложное использование).

Exploit недоступны - без использования специальных средств использовать уязвимость невозможно. Такие средства существуют, но не являются общедоступными (в большинстве случаев уникальны). (Использование повышенной сложности).

За 2003 год менее одного процента обнаруженных уязвимостей признаны легкими в использовании, 41% - повышенной сложности использования, и 58% - относящиеся к третьей категории (повышенной сложности).

Смешанные атаки однодневками.
Под смешанной атакой понимается использование уязвимости неизвестным способом, так как злонамеренная программа не идентифицирована, а также неизвестно начало атаки и в какой фазе она сейчас находится. Как правило, на момент совершения смешанной атаки, уже известно о существовании подобной угрозы и выпущено обновление для программного продукта, использование уязвимости которого делает атаку возможной. К примеру, через 26 дней с момента выпуска официального обновления заплатки обнаруженной уязвимости в Microsoft DCOM RPC, которую использует червяк Blaster, зафиксирован пик активности червяка. Отличительной чертой однодневок является период их размножения - как правило, счет идет на секунды. По данным Symantec DeepSight Threat Management червь Blaster размножается со скоростью 2500 новых зараженных компьютеров в час.

Использование различных программ, препятствующих распространению червей, таких как официальные обновления (патчи), фильтры портов и т.п. существенно снижают вероятность успешного проникновения в систему. Несмотря на это, с каждым годом количество таких успешных атак растет.

Уязвимости в ядре Windows.

Во втором полугодии 2003 года Symantec сообщала о 13 обнаруженных уязвимостях, связанных с различными версиями операционной системы Windows. Сегодня, операционные системы от Microsoft являются универсальными в использовании - как для корпоративного, так и домашнего использования, что положительным образом сказывается на разработке, наполнению и поддержке выпускаемых продуктов. Однако, ложкой дегтя является использование уязвимостей, обнаруженных при корпоративном использовании разделяемых ресурсов против "гражданских" систем. Яркий пример - использование уязвимости Microsoft DCOM RPC Interface Buffer Overflow. Как Windows 2000, так и Windows XP без установленных обновлений оказываются беззащитными перед злоумышленниками - всем известные Blaster и Welchia успешно применяются при управлении удаленными компьютерами. Через уязвимости разделяемых ресурсов часто производятся смешанные атаки - инфицированный ресурс инициирует передачу данных из корпоративной сети, которые не контролируются корпоративной системой безопасности. К примеру, ноутбук, находящийся вне локальной сети предприятия оказался заражен червем. Когда компьютер вновь включили в локальную сеть, червь начал распространение по всей сети. На одном ряду с ноутбуками могут оказаться различные мобильные устройства, части Виртуальной Частной Сети (Virtual Private Network) и т.п.

Отдельное место в перечне программных разработок, содержащих уязвимости, значительную роль играет Microsoft Internet Explorer. В двух предыдущих отчета Symantec Internet Security Threat Report были отражены уже устаревшие уязвимости, на сегодняшний день практически не актуальные. Для большинства пользователей Internet Explorer является лишь средством просмотра web-страниц, однако это не совсем так. В ОС Windows программа Internet Explorer загружена всегда, выступая в роли браузера, эта программа использует лишь часть своих возможностей - клиентская часть Internet Explorer. Также часть IE используется в разных программах, например в Microsoft Outlook, а, следовательно, злоумышленники могут использовать уязвимости IE, используя возможности Outlook.

Каждый раз злоумышленники находят какую-нибудь новую уязвимость системы безопасности IE. По данным Symantec в первой половине 2003 года было известно о 20 подобных фактах, во второй половине - 34. Большинство из обнаруженных уязвимостей позволяют злоумышленникам, независимо от желания пользователя, принудительно отправлять пользователей при просмотре web-страниц на злонамеренные серверы, содержащие компрометирующие материалы. Большинство Firewall'ов предоставляют неограниченные права при просмотре web-страниц. Иногда уровень безопасности ограничивается сетевой политикой безопасности корпоративной сети. Более того, защитные программы не всегда могут классифицировать HTML-код страницы как "хороший" или "плохой". В результате, для использования уязвимости Internet Explorer'а достаточно лишь посетить сайт злоумышленника. Полный перечень изменений и обновлений в системе Internet Explorer приведен в официальном обновлении Windows XP Service Pack 2.

Вирусы / черви Win32.
Широкое поле деятельности для злоумышленников представляет интерфейс обмена данными приложений с операционной системой Win32 API. Атаки с помощью модулей Win32 представляют собой некоторым образом запущенную стандартную процедуру этого интерфейса. По данным Symantec, общее число обнаруженных уязвимостей в Win32 API во втором полугодии 2002 года - составило 687 штук, в первом полугодии 2003 года - 994, во втором полугодии 2003 года - 1,702. На 31 декабря 2003 года всего было обнаружено 5,500 уязвимостей Win32 API.

Жизненный цикл червей и скорость размножения.
Когда червь попадает в незараженную систему, начинается новый жизненный цикл. Основная задача червя - размножиться во всех возможных местах (компьютерах локальной сети, доменах и т.д.) или инициировать атаку через Интернет. В случае успешного распространения каждый последующий компьютер начинает автономно пытаться размножиться так же, как его прародитель. Число пораженных систем растет до тех пор, пока не будут приняты контрмеры - либо антивирусная программа предотвратит дальнейшее размножение, либо каналы связи будут настолько забиты самим червем, что их пропускная способность приблизится к нулю.

Скорость размножения червя является критичным параметром в его жизненном цикле. Изначально скорость размножения определяется создателем червя и может корректироваться в зависимости от параметров каналов связи, специфики операционной системы, быстродействия компьютера и пр.


Вот такие данные от одного из лидеров индустрии в сфере систем по обеспечению информационной безопасности. Надеюсь, приведённый материал показался вам достаточно интересным...