Threat report Q4/2012

Transkript

1 Threat report Q4/2012 protected 60% útoků zaznamenaných v roce 2012 bylo provedeno pomocí exploit toolkitů. Stručné shrnutí: Q Klíčové body za čtvrté čtvrtletí roku 2012 Blackhole: Král malwarového vesmíru Blackhole toolkit byl jednoznačně nejvíce dominantním malwarem na trhu. Jeho celkový podíl tvořil 49% všech útoků zaznamenaných AVG během roku V tomto reportu se zmíníme o nejdůležitějších incidentech roku 2012, které se jej týkají. Malware cílený na mobilní zařízení V roce 2012 došlo k výraznému nárůstu průniků do mobilních zařízení. Nejpopulárnějším operačním systémem je Android se svými 72,4% trhu, což mělo za následek masivní nárůst útoků cílených právě na tento operační systém. V reportu zmíníme ty nejvýznamnější. Vzestup exploit toolkitů Dle statistik AVG Threat Labs bylo 60% všech útoků v roce 2012 provedeno pomocí exploit toolkitů. V rámci nového trendu si jejich autoři uvědomili, že mohou tvořit komerční toolkity a ty pak dále prodávat méně technicky zdatným útočníkům, pro které tyto toolkity představují relativně snadnou cestu, jak se dostat na trh. Blackhole a Cool exploit toolkity V posledním kvartálu roku 2012 se objevil nový toolkit nazvaný Cool Toolkit. Věříme, že tento toolkit je dílem tvůrců Blackhole Exploit toolkitu, protože jsou si velmi podobné. V tomto reportu tyto toolkity porovnáme. Je vaše dítě autorem malwaru? Mohlo by vaše předpubertální dítě psát škodlivý kód? Podíváme se na trojský kůň vytvořený 11-ti letým dítětem za účelem krádeže přihlašovacích informací online her a krátce rozebereme, jaké riziko to obnáší.

2 Threat report Q4/2012 strana 2/15 Během roku 2012 detekovalo AVG téměř mobilních hrozeb. Top trendy Web Threats Blackhole Exploit Kit 59% 12.74% Nejrozšířenější webová hrozba, zaujímá 39,9% všeho detekovaného malwaru a 84,1% všech toolkitů Exploit toolkity obecně představují více než polovinu hrozeb nacházejícího se na webu Malwaru se spoléhá na Autorun a externí hardware (jako např. USB flash disky) jako metodu šíření Mobilní hrozby com.utooo. android.compass ~3,930,500 Nejčastěji detekované aplikace pro Android, vydávají se za kompas Celkový počet mobilních hrozeb znamenaných AVG Threat Labs v roce ové hrozby (Spam) USA 45.7% Facebook.com Angličtina Nejčastější zdroj SPAMu SPAMu pochází z USA následovaných Velkou Británií s 9.3% Nejčastější doména ve SPAMu Je nejpopulárnějším jazykem nevyžádané pošty s podílem 70.3%

3 Threat report Q4/2012 strana 3/15 Top 10 Webových hrozeb Q Blackhole 39.9 C ool Exploit 15.5 Redirect to Rogue 14.5 Rogue Scanner 9.2 Facebook 6.6 Parallels Plesk 5.2 Redkit Exploit 3 Nuclear Exploit 2.2 Pharmacy 2.1 Script Injection 1.8 Webové hrozby: Top 10 Q Tato tabulka ukazuje nejčastější webové hrozby reportované komunitou AVG. Blackhole Exploit Kit Cool Exploit Kit Redirect to Rogue Scanner Rogue Scanner Facebook Scam Parallels Plesk Panel compromise Redkit Exploit Kit Stránky obsahující falešný antivirus nebo snažící se o instalaci falešného antiviru. Takovéto stránky se snaží buď nalákat uživatele ke koupi bezcenného softwaru, nebo (a) nainstalovat malware tvářící se jako užitečný software Exploit toolkit používaný k instalaci malwaru Injetovaný kód přesměrovávající návštěvníka na infikované stránky instalující Rogueware Stránky obsahující falešný antivirus nebo snažící se o instalaci falešného antiviru. Takovéto stránky se snaží buď nalákat uživatele ke koupi bezcenného softwaru, nebo (a) nainstalovat malware tvářící se jako užitečný software Využívá Facebooku k oklamání lidí a získání jejich osobních dat Parallels Plesk Panel je webhostingovými společnostmi běžně využívaný software k ovládání webových stránek. Ve starších verzích byla objevena zranitelnost (ukládání hesel v plain text formátu), která umožňovala útočníkům získat veškeré uložené účty Exploit toolkit používaný k instalaci malwaru Nuclear Exploit Kit Pharmacy Spam Site Script Injection Redirect Exploit toolkit používaný k instalaci malwaru Pharmacy Spam Sites (Podvodné stránky farmaceutických společností) vypadají jako legitimní online lékárny, ale obvykle se jedná pouze o kopie legitimních stránek. Často zasílají náhražkové nebo falešné léky, nebo nepošlou nic Útočníkem do programu injektovaný kód, který modifikuje způsob jeho spouštění a práce

4 Threat report Q4/2012 strana 4/15 Top 10 kategorií chování Q Trojan 34.49% Adware 19.14% Adware/Spyware 10.62% Downloader 8.85% Malware 8.52% Virus 4.60% Potentially Unwanted Application 4.03% Backdoor 2.19% Network Worm 2.00% Rootkit 0.85% Top 10 Malware Q Tato tabulka ukazuje nejčastější hrozby reportované komunitou AVG. Worm/AutoRun 12.74% Win32/Heur 12.49% Worm/Downadup 8.14% Win32/Sality 5.07% Win32/Cryptor 4.4% Crack.CO 3.83% HTML/Framer 2.98% Win32/Virut 2.93% Generic20.GJD 2.93% Luhe.Exploit.LNK.CVE A 2.78% Webové hrozby: Top 5 Exploit Toolkits Q Tato tabulka ukazuje pět nejpopulárnějších exploit toolkitů v kontextu webových hrozeb. Kriminálníci čím dál častěji používají toolkity pro kyber-útoky. V mnoha případech použití těchto nástrojů nevyžaduje technické znalosti. Blackhole 84.1% Fragus 8.4% Phoenix 4.15% Seosploit 2.09% Bleeding Life 0.55%

5 Threat report Q4/2012 strana 5/15 Top 10 detekovaných mobilních hrozeb dle států Q Mobilní hrozby: Detekovaný malware dle států Q Ruská federace 14.1% Thajsko 8.32% Velká Británie 6.68% USA 6.43% Španělsko 5.34% Malajsie 4.46% Německo 4.45% Itálie 4.09% Nizozemí 3.99% Indonésie 3.15%

6 Threat report Q4/2012 strana 6/15 Klíčové hodnoty čtvrtletí září-prosinec ové hrozby: Top domény Q bez uvedení domény 16.4% facebook.com 8.2% twitter.com 5.4% bit.ly 3.7% gmail.com 3.1% youtube.com 2.7% amazonaws.com 2.1% hotmail.com 2.1% Linkedin.com 1.8% yahoo.com 1.75% google.com 1.7% ové hrozby: Top 5 jazyků SPAMu Q Angličtina 70.3% Španělština 6.7% Portugalština 5.5% Holandština 3.1% Čínština 3%

7 Threat report Q4/2012 strana 7/15 Část 1: Shrnutí 2012 Obr 1: Podíl Blackhole na trhu v roce 2012 Král malwarového vesmíru: Blackhole fenomén Blackhole Exploit toolkit je bez pochyby králem malwaru roku 2012 s téměř 50% podílu na trhu (obr 1). To znamená, že 49% všech útoků v roce 2012 bylo učiněno za použití Blackhole Exploit Toolkitu. Blackhole toolkit dominoval malwaru v roce Jedná se o sofistikovaný a silný nástroj. Zejména díky své polymorfní povaze má silně obalený kódu, aby unikl detekci antimalwarových produktů. Úspěch tohoto kitu spočívá v jeho jednoduchém uživatelském rozhraní, sofistikovaném designu, kryptování a úspěšném marketingovém modelu. Tvůrci Blackhole kitu svůj produkt zkomercializovali poskytováním služby předplatného tím, že produkt je k zakoupení online a úspěšně každému umožňuje stát se kyberzločincem. AVG Threat Labs zaznamenaly významných počinů Blackhole v roce 2012: Spoof FBI legal action ransomware demands fine for alleged PC misdemeanours: V červnu 2012, AVG objevilo novou ransomware stránku vytvořenou pomocí Blackhole exploit kitu, která se vydává za právní akci FBI. Tento malware pak zamkne operační systém Windows a požaduje zaplacení pokuty pro jeho odemčení. Commercialized Malware, the Blackhole Toolkit, continues its upward trajectory: Pro ty, které láká stát se kyberzločincem je notoricky známý Blackhole toolkit první volbou do začátku.

8 Threat report Q4/2012 strana 8/15 Malware cílený na mobilní zařízení Během roku 2012 se dramaticky zrychlil růst počtu mobilních zařízení. Podle ComScore, 55% uživatelů mobilních zařízení v Evropě vlastní smartphone 1, 81% Američanů 2 a 81.7% Japonců. Android je nejpopulárnějším operačním systémem s podílem 72.4% trhu 3. Uživatelé se přesunují k mobilním zařízením a kyberzločinci jsou jim v patách. Soustředí se zejména na operační systém Android jako na lukrativní loviště. AVG Threat Labs v roce 2012 zaznamenalo, že: Social media and Smartphone: Téměř polovina uživatelů sociálních sítí z celého světa k nim přistupuje pomocí mobilních zařízení 4. Kyberzločinci si uvědomují, že skrze sociální sítě mají přístup k obrovskému počtu potenciálních obětí, které mohou být převedeny v nezanedbatelný zisk. Škodlivé aplikace: Google Play zaznamenalo více, než 25 miliard stažení aplikací 5 ; počet aplikací na Android Marketu je 600, Během roku 2012 jsme pokryli několik případů vztahujících se ke škodlivým aplikacím na Google Play a marketech třetích stran, jako na příklad: The First Android Rootkit Mobile banking targeted for attack: Instalací malwaru na telefon používaný pro mobilní bankovnictví muhou útočníci ukrást velké sumy jedinou transakcí Škodlivé aplikaci posílající SMS na prémiová čísla Trojanem infikovaná verze populární hry nahraná na neoficiálních Android marketech Angry Birds Space 1 big-5-marketsnow-at-55-apple-continues-to-feel-the-heat-from-fast- rising-samsung/ 2 stats/ a#topmobilemarkets media-users-gomobile-as-us-and-europe-lag-asia/ 5 downloads/ 6

9 Threat report Q4/2012 strana 9/15 Část 2: Webové hrozby a rizika Obr 2: Podíl exploit toolkitů na trhu za rok 2012 Vzestup Exploit Toolkitů Crimeware toolkit je komerční software, který může být používán začátečníky i experty k zahájení útoků. Pomocí toolkitu pak může útočník zahájit útok pomocí předchystaného skriptu, který zneužívá řadu zranitelných míst populárních aplikací. Takovéto útoky často zneužívají neopravených/neaktualizovaných bezpečnostních děr v produktech jako jsou Adobe Flash Player, Adobe Reader, Internet Explorer a Java Runtime Environment. Jednoduchost použití a dostupnost těchto toolkitů jim v posledních letech zajistila vzestup popularity a umožnila nové skupině kyberzločinců, kterým by jinak scházely nezbytné technické znalosti, vstoupit úspěšně na trh. Technicky zdatní kyberzločinci si uvědomují, že mohou své zkušenosti s psaním škodlivého kódu zmonetizovat prodejem toolkitů technicky méně zdatným jednotlivcům, kteří jim za ně dobře zaplatí. Jak můžete vidět v grafu 2 (obr 2), téměř 60% útoků v roce 2012 bylo uskutečněno pomocí toolkitů. Blackhole a Cool Exploit Kity: Víceméně stejné? AVG Web Threats Research Group analyzovaly nový exploit kit jménem Cool. Puvodně se zdálo, že se jedná o novou variantu Blackhole Exploit kitu. Prozkoumali jsme rozdíly a podobnosti obou toolkitů a zdá se, že Cool buď okopíroval Blackohole, nebo byl vytvořen stejným autorem. Podobnosti kódu Oba zneužívají zranitelnosti Javy, Flashe a PDF stejným způsobem. Kód příkazové části obou je velmi podobný. Jak Cool tak Blackhole se pokouší nainstalovat specifickou zranitelnou verzi JVM z nyní neaktivní stránky jinstall-6u60- windows-i586.cab#version=6,0,0,0. Příklady zabaleného kódu Příklad útržku Blackhole níže (obr 3) je po odstranění vnější vrstvy zabalení. Útržek příkladu Cool níže doslovný (obr 4).

10 Threat report Q4/2012 strana 10/15 Obr 3 Zabalení kódu Blackhole Obr 4 - Zabalení kódu Cool Rozdíly kódu Zde vidíme dva největší rozdíly: Balení kódu Blackhole (obr 5) se mění každých pár dní kvůli uniknutí detekci na rozdíl od Cool (obr 6). Blackhole se od verze 2.0 stalo více konzistentním v blokování návštěvnických IP adres v rámci své rozsáhlé sítě s cílem udělat revizi (druhý pohled) kódu obtížnější. Toto má za cíl odradit, případně zmást, kontrolory/vyšetřovatele jako webmastery, automatizované nástroje a antivirové analytiky. Obr 5 Zabalení kódu Blackhole Cool Toolkit Obr 6 Kód Cool Toolkit

11 Threat report Q4/2012 strana 11/15 O Cool Exploit Kitu Cool Exploit Kit nejspíš používá stejný business model jako Blackhole. Zákazník si od autora kupuje licenci a specifikuje si možnosti jejího využití 7. Umisťují kód na napadené servery a pak lákají objeti pomocí spamu nebo linků na jiných webových stránkách jako jsou např. sociální sítě. Doposud byl Cool masivně využíván pro instalaci ransomwaru na počítače objetí. Ransomware pak zamkne napadený počítač a zobrazí podvodnou webovou stránku předstírající upozornění na preventivní akci velké lokální bezpečnostní instituce, jako je FBI v USA, Metropilitan Police ve Spojeném království a Česká policie v ČR. Typicky zpráva říká, že počítač oběti je používán k uchování dětské pornografie nebo ke šíření materiálu chráněného autorskými právy. Požaduje zaplacení pokuty (většinou kolem 200 USD) prostřednictvím nevysledovatelného platebního systému MoneyPack. Pokud oběť zaplatí, zjistí, že to k odblokování počítače nevedlo. První indikací instalace ransomware můžete vidět na obrázku 7: 7

12 Threat report Q4/2012 strana 12/15 Pak rychle následuje stránka ransomwaru. Toto je jeden z příkladů (obr 8): Ransomware stále představuje výděleční business, který ročně vymůže od obětí přes 5 milionů USD ročně. Je také vhodné podotknout, že statisticky detekce Cool Exploit Kitu dotahuje statistiky Blackhole, jak můžete vidět na obrázku 9.

13 Threat report Q4/2012 strana 13/15 Část 3: Dětští autoři malwaru Obr 10 Jeden z falešných hacků do her. Přihlašovací údaje do hry budou odeslány autorovi a žádná odměna nepřijde. Je vaše dítě autorem malwaru? Pro dnešní děti jsou počítače druhou přirozeností, ale podezřívali byste svého potomka, že by byl schopný naprogramovat malware? O tom pochybuji, ale objevili jsme důkazy, že dokonce jedenáctileté děti píší škodlivý kód. Samozřejmě, že dnešní děti mají přístup k internetu a většina domácností je vybavena osobním počítačem, takže jejich technologické znalosti jsou daleko před předchozími generacemi, ale jak se vyvinuly schopnosti, tak se vyvinul i sklon dělat neplechu. Možná nebudete věřit tomu, že jedenáctiletý školák nebo školačka mohou vytvořit trojského koně schopného ukrást přihlašovací údaje oblíbené online hry, ale my takovéto případy vidíme prakticky denně. Tyto dětské trojany mají několik společných charakteristik. Zaprvé, valná většina z nich je napsaná za použití.net framework (Visual Basic, C#), který je jednoduché se naučit i pro začátečníky a je jednoduché k nasazení můžete si stáhnout Microsoft Visual Studio Express zdarma a začít ji používat ke kódování malwaru, nebo můžete použít pirátskou plnou verzi Borland Delphi ve kterém můžete rychle vyvíjet (škodlivé) aplikace. Zadruhé, jsou tyto škodlivé aplikace často cíleny na online hry, sociální sítě nebo y. Lákají na zisk virtuální měny (obr 10) nebo nabourání se do profilu na Facebooku. Jejich cílem je však ukrást citlivá data. Tito mladí autoři kódu neúmyslně zanechávají stopy v binárních souborech malwaru, což je vzhledem k jejich rozsáhlým znalostem poměrně překvapující. Přestože nejsou jejich výtvory ukázkou programovací dokonalosti, stále potřebují určitou míru technické zdatnosti a znalostí. Na příklad mnoho těchto zlodějů hesel odesílá zcizená data na svoji osobní ovou adresu, kterou mohou používat k přihlašování se na různé online služby jako Youtube nebo blogy. Toto výrazně zjednodušuje sbírání jejich osobních informací, jako jsou skutečné jméno, fotky, škola, Facebookový profil, za použití jakéhokoliv webového vyhledávače.

14 Threat report Q4/2012 strana 14/15 Obr 11 Funkce na odesílání u s citlivými daty. Jako příklad jednoto takovéhoto útoku můžeme použít případ jedenáctiletého chlapce z Kanady, který s přáteli hraje Team Fortress a před pár dny dostal nový iphone. Přestože by antiviroví výzkumníci takovéto informace nikdy nezneužili, najde se řada dalších lidí, kteří zkoumají binární souboru a někteří určitě budou mít nekalé úmysly. Jeden z lepších scénářů by byla pomsta oběti například tím, že útočníkovi změní hesla a tak zablokují přístup do u nebo na Facebook. Horší variantou by bylo kompletní zcizení a zneužití identity. Jaká je motivace pro toto chování? Nejpravděpodobnější je varianta, že to tito dětští autoři nedělají kvůli finančnímu zisku, ale kvůli vzrušení. Zejména mladí geekové se snaží všemožně přechytračit své přátele a vítězit ve hrách, nebo prostě jen ukázat své schopnosti. Na druhou stranu se takováto hra může snadno vymknout kontrole. Přeci jen ukrást něčí přihlašovací údaje, například k účtu na Steamu, který obsahuje software za 500 USD není nic, čemu bychom se měli smát. Pokud jsou navíc údaje z účtu shodné dalšími účty uživatele, jako například ovými schránkami nebo sociálními sítěmi, narůstá riziko vzniku kyber-šikany a krádeže identity.

15 Threat report Q4/2012 strana 15/15 Část 4: Výhled na 2013 Předpověď pro rok 2013 Mobily: Očekáváme více profilované útoky na mobilní uživatele, zejména na operační systém Android. Vzhledem k tomu, že Čína předstihla Spojené státy a dostala se na první místo žebříčku s více než jednou miliardou aktivních mobilních zařízení, očekáváme zvýšený počet mobilních útoků pocházející z Číny. Cool a Blackhole Exploit toolkits budou i nadále dominovat trhu s malwarem. Kyber-válka mezi národy bude nabývat na intenzitě. Soukromí: Online reklama na počítačích, tabletech a smartphonech bude ještě agresivnější a personalizovanější kvůli trendu monetizovat uživatele prostřednictvím zneužití jeho soukromí. Poskytovatelé reklamy budou používat trackery v prohlížeči a na sociálních sítích a lokalizační data, aby identifikovali jednotlivé uživatele a nabízeli jim reklamu na míru. Bezpečnost cloudu: Útoky na virtualizovanou infrastrukturu se rozšíří na veřejné cloudové služby a tím zvýší náklady na jejich zabezpečení. Dobře známé cloudové systémy, jak Dropbox, SkyDrive, Cloud Drive (Amazon) a Google Drive byly pod útokem malwaru a byl na ně také zaznamenán zvýšený počet DoS/DDoS útoků. PC hrozby: Stálý vzestup popularity Windows 8 inspiruje hackery k odhalování nových zranitelností a k vyvíjení nového druhu malwaru a fraudwaru a k objevování nových typů exploitů. Počet infikovaných webových stránek pro PC se bude také zvyšovat s rostoucí popularitou komerčních nástrojů jako na příklad Blackhole, zatímco uživatelé budou více spoléhat na v systému zabudované zabezpečení. Mobile-to-PC hrozby: Zvyšování konektivity mezi mobilními zařízeními a stolními počítači kombinované s BYOD trendem (Bring-Your-Own- Device přines-si-vlastní-zařízení) znatelně usnadní možnosti šíření malwaru do podnikových i domácích sítí. Také očekáváme více MITMO (Man-In-The-Mobile) útoků cílených na PC a mobilní bankovnictví. Útoky na tyto systémy více násobné autentikace boudu nenápadnější, vypilovanější a lokalitně orientované.