Аренда эксплойтов приобретает массовый характер, а самой распространенной категорией вредоносного кода становятся троянские программы
IBM предупреждает об увеличении объемов и повышении степени изощренности вредоносного программного обеспечения, об увеличении масштабов такого явления, как аренда эксплойтов (программных средств для использования уязвимостей), и об уменьшении числа раскрытых уязвимостей по сравнению с первой половиной 2006 г. Эти сведения изложены в статистическом отчете IBM по состоянию безопасности в первой половины 2007. В этом году научно-исследовательская группа X-Force подразделения IBM Internet Security Systems (ISS) выявила и проанализировала более 210 тыс. новых образцов вредоносных программ, что уже превысило показатели за весь 2006 год.
В указанном отчете X-Force указывается, что явление «эксплойт как услуга» в 2007 г. получила бурное развитие. В отчете X-Force за 2006 отмечалось, что поставщики управляемых эксплойтов начали приобретать код эксплойтов у недобросовестных программистов, шифровать этот код для защиты от пиратов и затем продавать его за большие деньги дистрибьюторам спама. В 2007 г. указанные поставщики эксплойтов добавили в свой репертуар новую практику – «аренду эксплойтов». Посредством аренды эксплойта атакующий теперь может проверять различные методики использования уязвимостей с меньшими начальными инвестициями, что делает этот подпольный рынок еще более привлекательным для злоумышленников.
Согласно указанному отчету, самой распространенной категорией вредоносных программ в 2007 г. являются троянские программы (внешне – вполне легитимные файлы), которые составили 28% от общего числа программ такого типа. В 2006 г. самой массовой категорией были т.н. «загрузчики» (downloader). Загрузчик – это небольшой фрагмент вредоносной программы, который устанавливает себя на поражаемом компьютере, после чего загружает и устанавливает более изощренного программного агента.
«В статистическом отчете X-Force по состоянию безопасности в 2006 прогнозировалось дальнейшее повышение изощренности целевых кибератак, направленных на извлечение доходов, – говорит Крис Лэмб (Kris Lamb), директор группы X-Force подразделения IBM Internet Security Systems. – Этот факт непосредственно коррелирует с ростом популярности троянских программ, который мы отмечаем в этом году, поскольку троянские программы часто используются злоумышленниками для инициирования мощных целенаправленных атак».
В 2007 г. продолжают расти масштабы использования злоумышленниками вводящих в заблуждение Web-эксплойтов для противодействия системам обнаружения и предотвращения вторжений, функционирующим на основе сигнатур. По данным X-Force, в 2006 г. примерно 50% Web-сайтов, на которых размещались предназначенные для заражения браузеров эксплойты, тем или иным образом пытались скрыть или закамуфлировать свои атаки. В первой половине 2007 г. этот показатель достиг 80%.
В отличие от наблюдаемых ранее тенденций, в отчете X-Force сообщается о небольшом уменьшении общего количества уязвимостей, раскрытых в первой половине 2007 г. по сравнению с первым полугодием 2006 г. Так, в первой половине этого года было идентифицировано в общей сложности 3273 уязвимости, что на 3,3% меньше, чем в первой половине 2006 г. За всю историю базы данных уязвимостей, которая была создана группой X-Force в 1997 г., это первый случай, когда количество раскрытых уязвимостей снизилось в первой половине года. Следует также отметить, что доля уязвимостей, повлекших тяжелые последствия, увеличилась с 16% в 2006 г. до 21% в первой половине 2007 г.
В отчете X-Force приводится несколько факторов, объясняющих уменьшение количества раскрытых уязвимостей в первой половине 2007 при наблюдаемой в предыдущие годы тенденции экспоненциального роста количества уязвимостей. Во-первых, «монетизация» уязвимости и эксплойтов привлекла внимание подпольного рынка и достигла определенного уровня зрелости, в результате чего более значительная часть уязвимостей остается нераскрытой и продолжает тайно использоваться для незаконного обогащения и других преступных целей.
Во-вторых, за последние два года повысились масштабы применения технологии fuzzing, в результате чего многие из сравнительно легко обнаруживаемых уязвимостей были выявлены. Fuzzing – это методика тестирования, основанная на вводе в программу широкого диапазона случайных данных. Цель тестирования состоит в том, чтобы довести программу до сбоя и тем самым обнаружить потенциальную уязвимость. «Сегодня все больше технологий и программных продуктов подвергаются воздействию fuzzing-тестов и инструментов для автоматизированного выявления ошибок, в результате чего в открытии уязвимостей данного типа отрасль постепенно приближается к «точке насыщения». Это в конечном приведет к уменьшению общего числа раскрываемых уязвимостей», – сказал Лэмб.
И, наконец, количество типичных ошибок и дефектов кодирования уменьшается в результате применения поставщиками программных продуктов и технологий более безопасных процедур разработки программного обеспечения и более строгих методик защищенного кодирования.
В отчете отмечается и другая неожиданная тенденция – впервые количество писем со спамом уменьшилось, а не выросло по линейному закону. Одновременно с этим уменьшились объемы спама, использующего изображения. С 2005 года основанный на изображении спам был одним из основных конкурентов обычного спама, но в первой половине 2007 г. доля основанного на изображении спама снизилась до уровня середины 2006 года – немногим более 30%. На конец 2006 г. основанный на изображении спам составлял более 40% от общего количества писем со спамом.
«Уменьшение количества писем со спамом и основанного на изображениях спама произошло в результате того, что спамеры экспериментируют с применением более современных методик – например, спама в формате PDF или Excel – в качестве средства для более успешного противодействия обнаружению антиспамовыми технологиями», – считает Лэмб.
Группа X-Force занимается каталогизацией, анализом и исследованием уязвимостей с 1997 г. и располагает самой большой в мире базой данных, в которой каталогизировано более 33 тыс. уязвимостей. Эта уникальная база данных помогает исследователям X-Force находить закономерности, упрощающие обнаружение и раскрытие уязвимостей. В дополнение к уязвимостям, каталогизированным в базе данных X-Force, подразделение IBM ISS использует сервисы фильтрации контента, которые позволяют в глобальном масштабе получить представление о количестве фишинговых и спамерских атак. Посредством активного мониторинга миллионов почтовых адресов подразделение ISS смогло выявить многочисленные усовершенствования в технологиях спама и фишинга, применяемых сетевыми злоумышленниками.
Помимо вышесказанного, в отчете группы X-Force приведены следующие ключевые данные по состоянию безопасности в первой половине 2007 г.
· Самым напряженным месяцем года оказался январь, на протяжении которого было раскрыто 600 новых уязвимостей.
· Испания заняла место Южной Кореи в качестве основного источника фишинговых электронных писем – на ее долю приходится 17,9% всего мирового объема таких писем.
· Доля уязвимостей, которыми злоумышленник может воспользоваться дистанционно, в первой половине 2007 г. выросла до 90% (в 2006 г. этот показатель составлял 88%).
· Доля уязвимостей, позволяющих атакующим получать доступ к хосту после успешного заражения эксплойтом, также немного возросла – до 51,6% (в 2006 г. этот показатель составлял 50,6%).
· В настоящее время приблизительно 10% всего Интернета-контента относится к категории т.н. «нежелательного» (материалы порнографического, криминального, недопустимого для детей или социально опасного характера).
Во втором полугодии 2007 г. и в 2008 г. группа X-Force прогнозирует экспоненциальный рост количества раскрываемых уязвимостей, продолжение роста числа целенаправленных и специализированных вредоносных программ, включая троянские, и дальнейшее развитие технологий камуфлирования Интернет-угроз.
