;

Botnety jsou opět v kurzu a jsou odolnější

14. 12. 2009
Doba čtení: 8 minut

Sdílet

Jednou ročně vydávaná zpráva MessageLabs Intelligence 2009 Security Report společnosti Symantec podrobně popisuje, jak počítačoví zloději v průběhu roku 2009 vylepšili svoji odolnost vůči ochranným opatřením a používali metodu velkých objemů a různých variant.

Zpráva upozorňuje na značné výkyvy v aktivitě nevyžádané pošty v průběhu roku. Průměrná úroveň nevyžádané pošty dosahovala 87,7 %, ale maxima a minima činila 90,4 % v květnu, respektive 73,3 % v únoru. Napadené počítače odeslaly 83,4 % ze 107 miliard nevyžádaných zpráv rozeslaných v průměru každý den na celém světě a zdá se, že po odpojení poskytovatelů služeb Internetu, kteří byli hostiteli robotických sítí, například společnosti McColo koncem roku 2008 a společnosti Real Host v srpnu 2009, byla přehodnocena a vylepšena strategie záložního řízení robotických sítí, takže obnovení již netrvá několik týdnů nebo měsíců, ale pouze několik hodin. Podle předpovědí budou mít robotické sítě v roce 2010 autonomní inteligenci; každý uzel bude obsahovat vestavěný plně autonomní kód, který bude koordinovat a prodlužovat jeho přežití.

Stav v oblasti zabezpečení určovaly v roce 2009 nadále hlavně robotické sítě. Deset nevýznamnějších robotických sítí, mezi nimi Cutwail, Rustock a Mega-D, nyní ovládá nejméně pět milionů napadených počítačů. Dominantní silou v oblasti nevyžádané pošty a škodlivého kódu byla v roce 2009 robotická síť Cutwail, která měla na svědomí rozeslání 29 % veškeré nevyžádané pošty, tj. 8 500 miliard nevyžádaných zpráv od dubna do listopadu 2009. Síť Cutwail také rozesílala nevyžádané e-maily obsahující trojského koně Bredolab maskovaného ve formě přiloženého souboru .ZIP. Trojský kůň Bredolab, který je jednou z hlavních hrozeb v roce 2009, byl navržen tak, aby odesílateli poskytl úplnou kontrolu nad cílovým počítačem, kterou je poté možno využít k instalaci dalšího škodlivého kódu robotické sítě, adwaru nebo spywaru do napadeného počítače. Podíl nevyžádané pošty, která distribuuje trojského koně Bredolab, se koncem roku 2009 neustále zvyšoval a nejvyšší úrovně dosáhl v říjnu 2009, kdy se odhadovalo, že denně je distribuováno přibližně 3,6 mld. e-mailů s tímto škodlivým kódem.

„V roce 2009 se zlepšovaly funkce hrozeb a nespoléhalo se pouze na velké objemy nevyžádané pošty a masové útoky škodlivého kódu. Zachytili jsme další varianty, které se vyznačovaly vyšší důmyslností, efektivitou a vylepšenou technologií,“ řekl Paul Wood, MessageLabs Intelligence Senior Analyst, společnost Symantec. „V roce 2009 jsme zablokovali více než 21 milionů různých typů kampaní nevyžádané pošty, což je více než dvojnásobek oproti roku 2008, a zaznamenali jsme 23% meziroční zvýšení počtu variant škodlivého kódu. Toto podstatné zvýšení naznačuje, že díky lepší dostupnosti specializovaných sad nástrojů pro počítačové zloděje se více něž kdykoli dříve usnadnilo vytváření, rozesílání a využití nevyžádané pošty a škodlivého kódu.“

Nejobávanější sledovanou bezpečnostní hrozbou byl letos červ Conficker/Downadup, který umožňuje vzdáleně instalovat software do infikovaných počítačů. Červ vznikl na konci roku 2008 a aktualizace z 1. dubna 2009 dodala další funkce, které umožňují lépe uniknout zjištění. Červ Conficker vzbuzuje značné obavy, protože zatím nebylo zjištěno, jak budou infikované počítače použity. Podle odhadu aliance Conficker Working Group, která přispěla k minimalizaci role, kterou tento škodlivý kód hrál v roce 2009, napadl celkem již více než šest milionů počítačů.

Finanční krize vygenerovala v první polovině roku 2009 mnoho nových útoků souvisejících s financemi. Autoři nevyžádané pošty a počítačoví zloději se v této době snažili využít nejistotu provázející globální ekonomický pokles. Velká část nevyžádané pošty věnované tématu recese byla v únoru rozesílána v podobě nevyžádané pošty obsahující odkazy na několik významných známých vyhledávačů. V roce 2009 obsahovalo 90,6 % nevyžádané pošty adresu URL, k čemuž výrazně přispěl rychlý nárůst použití zkrácených adres URL v nevyžádané poště ve druhé polovině roku. Zkrácené adresy pomohly zamaskovat skutečný webový server, na který uživatel přejde, a ztížily identifikaci nevyžádaných zpráv pomocí tradičních filtrů nevyžádané pošty. Zkracování adres URL se často používalo na webech společenských sítí a mikroblogů a využívají je s oblibou zloději online, protože pro tyto weby je charakteristická důvěra mezi jejich uživateli.

Dalšími z mnoha témat nevyžádané pošty byly v roce 2009 vedle světové finanční krize také akce celosvětového významu, svátky a důležité zprávy, například den svatého Valentýna, pandemie chřipky H1N1 a úmrtí celebrit, mezi jinými zpěváka Michaela Jacksona a herce Patricka Swayzeho. Smrti Michaela Jacksona se chopili také autoři škodlivého kódu a dokonce i podvodníci zaměření na aktivity ve stylu nigerijských dopisů a jako první příklady se krátce po jeho smrti objevily nebezpečné odkazy šířící brazilského bankovního trojského koně.

„Hlavním rysem některých současných útoků je důmyslnost a inovace, ale důležitou roli v každodenním světě hrozeb hraje také předpověditelnost,“ řekl Wood. „Celý obor zabezpečení informuje o tématicky zaměřených útocích, jako jsou například nevyžádané e-maily, které se objevují v období okolo dne svatého Valentýna, Vánoc nebo úmrtí nějaké celebrity, ale četnost a množství těchto útoků naznačují, že počítačoví zloději stále dosahují požadovaných výsledků, protože jinak by svoji taktiku změnili.“

Zvýšené pozornosti se letos dostalo také technikám CAPTCHA (Completely Automated Public Turing test to tell Computer and Humans Apart), protože v podzemní ekonomice se čile obchodovalo s nástroji umožňujícími prolomení těchto technik. Počítačovým zlodějům to umožnilo vytvořit velké množství skutečných účtů pro webovou poštu, rychlé zprávy a weby společenských sítí. Objevily se organizace, které se specializují na poskytování skutečných lidí pro vytváření skutečných účtů v hlavních webových e-mailových službách 24 hodin denně. Tato práce je často inzerována jako zpracování dat a u každého pracovníka lze očekávat, že za 1 000 vytvořených účtů dostane přibližně dva až tři dolary. Účty jsou dále prodávány autorům nevyžádané pošty za přibližně 30 až 40 USD. Některé významné webové servery již zkoumají alternativy k poskakujícím písmenkům a číslicím, jako jsou velké knihovny fotografií, ve kterých musí být uživatel schopen analyzovat obraz nebo s ním vykonávat interakce způsobem, který by byl obtížně zvládnutelný pro počítačový program.

 

Hlavní trendy v roce 2009

  • Zabezpečení webu: V roce 2009 vzrostl průměrný počet každodenně zablokovaných nových nebezpečných webových serverů na 2 465 oproti 2 290 v roce 2008, což je zvýšení o 7,6 % Tým MessageLabs Intelligence zablokoval nebezpečné webové hrozby ve 30 000 různých doménách. 80 % těchto domén byly napadené zavedené legitimní weby, zbývajících 20 % byly nové domény zřízené výhradně se zlým úmyslem.
  • Nevyžádaná pošta: V roce 2009 dosáhl průměrný roční podíl nevyžádané pošty 87,7 %, což je zvýšení o 6,5 procentního bodu oproti hodnotě 81,2 % za rok 2008. V dubnu došlo k nárůstu obrázkové nevyžádané pošty, která 5. dubna tvořila 56,4 % veškeré nevyžádané pošty na rozdíl od ročního průměru 28,2 %.

bitcoin_skoleni

  • Viry: Průměrná úroveň výskytu virů v roce 2009 byla 1 virus ve 286,4 e-mailu (0,35 %), což je pokles o 0,35 procentního bodu oproti roku 2008, kdy průměrná úroveň byla 1 virus ve 143,8 e-mailu (0,70 %). Pokles je možno přičíst na vrub přechodu k vývoji většího počtu variant (23% zvýšení v roce 2009 oproti roku 2008), ale menšího počtu nebezpečných e-mailů na každou variantu (přibližně 5 827 nebezpečných e-mailů na každou variantu v roce 2009 oproti 10 436 e-mailů na každou variantu v roce 2008).
  • Phishing: Míra výskytu phishingových útoků byla 1 útok v 325,2 e-mailu (0,31 %) oproti 1 útoku v 244,9 e-mailu (0,41 %) v roce 2008. V roce 2009 bylo distribuováno více než 161 miliard phishingových útoků.

 

MessageLabs Intelligence Report podrobněji rozvádí všechny výše uvedené trendy a hodnoty a podrobněji popisuje další trendy roku 2009. Úplná zpráva je k dispozici na adrese http://www.messagelabs.com/Threat_Watch/Intelligence_Reports.