Threat report Q4/2012
protected
“60% útoků zaznamenaných v roce 2012 bylo provedeno pomocí exploit toolkitů.”
Stručné shrnutí: Q4 2012 Klíčové body za čtvrté čtvrtletí roku 2012 Blackhole: Král malwarového vesmíru Blackhole toolkit byl jednoznačně nejvíce dominantním malwarem na trhu. Jeho celkový podíl tvořil 49% všech útoků zaznamenaných AVG během roku 2012. V tomto reportu se zmíníme o nejdůležitějších incidentech roku 2012, které se jej týkají.
Malware cílený na mobilní zařízení V roce 2012 došlo k výraznému nárůstu průniků do mobilních zařízení. Nejpopulárnějším operačním systémem je Android se svými 72,4% trhu, což mělo za následek masivní nárůst útoků cílených právě na tento operační systém. V reportu zmíníme ty nejvýznamnější.
Vzestup exploit toolkitů Dle statistik AVG Threat Labs bylo 60% všech útoků v roce 2012 provedeno pomocí exploit toolkitů. V rámci nového trendu si jejich autoři uvědomili, že mohou tvořit komerční toolkity a ty pak dále prodávat méně technicky zdatným útočníkům, pro které tyto toolkity představují relativně snadnou cestu, jak se dostat „na trh“.
Blackhole a Cool exploit toolkity V posledním kvartálu roku 2012 se objevil nový toolkit nazvaný Cool Toolkit. Věříme, že tento toolkit je dílem tvůrců Blackhole Exploit toolkitu, protože jsou si velmi podobné. V tomto reportu tyto toolkity porovnáme.
Je vaše dítě autorem malwaru? Mohlo by vaše předpubertální dítě psát škodlivý kód? Podíváme se na trojský kůň vytvořený 11-ti letým dítětem za účelem krádeže přihlašovacích informací online her a krátce rozebereme, jaké riziko to obnáší.
©2013 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
Threat report Q4/2012
“Během roku 2012 detekovalo AVG téměř 4.000.000 mobilních hrozeb.”
strana 2/15
Top trendy Web Threats Blackhole Exploit Kit
Nejrozšířenější webová hrozba, zaujímá 39,9% všeho detekovaného malwaru a 84,1% všech toolkitů
59%
Exploit toolkity obecně představují více než polovinu hrozeb nacházejícího se na webu
12.74%
Malwaru se spoléhá na Autorun a externí hardware (jako např. USB flash disky) jako metodu šíření
Mobilní hrozby com.utooo. android.compass
Nejčastěji detekované aplikace pro Android, vydávají se za kompas
~3,930,500
Celkový počet mobilních hrozeb znamenaných AVG Threat Labs v roce 2012
Emailové hrozby (Spam) USA
Nejčastější zdroj SPAMu
45.7%
SPAMu pochází z USA následovaných Velkou Británií s 9.3%
Facebook.com
Nejčastější doména ve SPAMu
Angličtina
Je nejpopulárnějším jazykem nevyžádané pošty s podílem 70.3%
©2013 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
Threat report Q4/2012
Top 10 Webových hrozeb Q4 2012
strana 3/15
Webové hrozby: Top 10 Q4 2012 Tato tabulka ukazuje nejčastější webové hrozby reportované komunitou AVG.
Blackhole
39.9
C ool Exploit
15.5
Redirect to Rogue
14.5
Rogue Scanner
9.2
Facebook
6.6
Parallels Plesk
5.2
Redkit Exploit
3
Nuclear Exploit
2.2
Pharmacy
2.1
Script Injection
1.8
Blackhole Exploit Kit
Stránky obsahující falešný antivirus nebo snažící se o instalaci falešného antiviru. Takovéto stránky se snaží buď nalákat uživatele ke koupi bezcenného softwaru, nebo (a) nainstalovat malware tvářící se jako užitečný software
Cool Exploit Kit
Exploit toolkit používaný k instalaci malwaru
Redirect to Rogue Scanner
Injetovaný kód přesměrovávající návštěvníka na infikované stránky instalující Rogueware
Rogue Scanner
Stránky obsahující falešný antivirus nebo snažící se o instalaci falešného antiviru. Takovéto stránky se snaží buď nalákat uživatele ke koupi bezcenného softwaru, nebo (a) nainstalovat malware tvářící se jako užitečný software
Facebook Scam
Využívá Facebooku k oklamání lidí a získání jejich osobních dat
Parallels Plesk Panel compromise
Parallels Plesk Panel je webhostingovými společnostmi běžně využívaný software k ovládání webových stránek. Ve starších verzích byla objevena zranitelnost (ukládání hesel v plain text formátu), která umožňovala útočníkům získat veškeré uložené účty
Redkit Exploit Kit
Exploit toolkit používaný k instalaci malwaru
Nuclear Exploit Kit
Exploit toolkit používaný k instalaci malwaru
Pharmacy Spam Site
Pharmacy Spam Sites (Podvodné stránky farmaceutických společností) vypadají jako legitimní online lékárny, ale obvykle se jedná pouze o kopie legitimních stránek. Často zasílají náhražkové nebo falešné léky, nebo nepošlou nic
Script Injection Redirect
Útočníkem do programu injektovaný kód, který modifikuje způsob jeho spouštění a práce
©2013 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
Threat report Q4/2012
Top 10 kategorií chování Q4 2012
strana 4/15
Top 10 Malware Q4 2012 Tato tabulka ukazuje nejčastější hrozby reportované komunitou AVG.
Worm/AutoRun
12.74%
Win32/Heur
12.49%
Worm/Downadup
8.14%
Win32/Sality
5.07%
Win32/Cryptor
4.4%
Crack.CO
3.83%
HTML/Framer
2.98%
Win32/Virut
2.93%
Generic20.GJD
2.93%
Luhe.Exploit.LNK.CVE2010-2568.A
2.78%
Webové hrozby: Top 5 Exploit Toolkits Q4 2012
Trojan
34.49%
Adware
19.14%
Adware/Spyware
10.62%
Blackhole
84.1%
Downloader
8.85%
Fragus
8.4%
Malware
8.52%
Phoenix
4.15%
Virus
4.60%
Seosploit
2.09%
Potentially Unwanted Application
4.03%
Bleeding Life
0.55%
Backdoor
2.19%
Network Worm
2.00%
Rootkit
0.85%
Tato tabulka ukazuje pět nejpopulárnějších exploit toolkitů v kontextu webových hrozeb. Kriminálníci čím dál častěji používají toolkity pro kyber-útoky. V mnoha případech použití těchto nástrojů nevyžaduje technické znalosti.
©2013 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
Threat report Q4/2012
Top 10 detekovaných mobilních hrozeb dle států Q4 2012
©2013 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
strana 5/15
Mobilní hrozby: Detekovaný malware dle států Q4 2012 Ruská federace
14.1%
Thajsko
8.32%
Velká Británie
6.68%
USA
6.43%
Španělsko
5.34%
Malajsie
4.46%
Německo
4.45%
Itálie
4.09%
Nizozemí
3.99%
Indonésie
3.15%
Threat report Q4/2012
strana 6/15
Klíčové hodnoty čtvrtletí září-prosinec 2012 Emailové hrozby: Top domény Q4 2012 bez uvedení domény
16.4%
facebook.com
8.2%
twitter.com
5.4%
bit.ly
3.7%
gmail.com
3.1%
youtube.com
2.7%
amazonaws.com
2.1%
hotmail.com
2.1%
Linkedin.com
1.8%
yahoo.com
1.75%
google.com
1.7%
Emailové hrozby: Top 5 jazyků SPAMu Q4 2012 Angličtina
70.3%
Španělština
6.7%
Portugalština
5.5%
Holandština
3.1%
Čínština
©2013 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
3%
Threat report Q4/2012
strana 7/15
Část 1: Shrnutí 2012 Král malwarového vesmíru: Blackhole fenomén Blackhole Exploit toolkit je bez pochyby králem malwaru roku 2012 s téměř 50% podílu na trhu (obr 1). To znamená, že 49% všech útoků v roce 2012 bylo učiněno za použití Blackhole Exploit Toolkitu. Obr 1: Podíl Blackhole na trhu v roce 2012
Blackhole toolkit dominoval malwaru v roce 2012. Jedná se o sofistikovaný a silný nástroj. Zejména díky své polymorfní povaze má silně „obalený“ kódu, aby unikl detekci antimalwarových produktů. Úspěch tohoto kitu spočívá v jeho jednoduchém uživatelském rozhraní, sofistikovaném designu, kryptování a úspěšném marketingovém modelu. Tvůrci Blackhole kitu svůj produkt „zkomercializovali“ poskytováním služby předplatného tím, že produkt je k zakoupení online a úspěšně každému umožňuje stát se kyberzločincem. AVG Threat Labs zaznamenaly významných počinů Blackhole v roce 2012: • Spoof FBI legal action ransomware demands fine for alleged PC misdemeanours: V červnu 2012, AVG objevilo novou ransomware stránku vytvořenou pomocí Blackhole exploit kitu, která se vydává za právní akci FBI. Tento malware pak zamkne operační systém Windows a požaduje zaplacení „pokuty“ pro jeho odemčení. • ‘Commercialized’ Malware, the Blackhole Toolkit, continues its upward trajectory: Pro ty, které láká stát se kyberzločincem je notoricky známý Blackhole toolkit první volbou do začátku.
©2013 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
Threat report Q4/2012
strana 8/15
Malware cílený na mobilní zařízení Během roku 2012 se dramaticky zrychlil růst počtu mobilních zařízení. Podle ComScore, 55% uživatelů mobilních zařízení v Evropě vlastní smartphone1, 81% Američanů2 a 81.7% Japonců. Android je nejpopulárnějším operačním systémem s podílem 72.4% trhu3. Uživatelé se přesunují k mobilním zařízením a kyberzločinci jsou jim v patách. Soustředí se zejména na operační systém Android jako na lukrativní „loviště“. AVG Threat Labs v roce 2012 zaznamenalo, že: • Social media and Smartphone: Téměř polovina uživatelů sociálních sítí z celého světa k nim přistupuje pomocí mobilních zařízení4. Kyberzločinci si uvědomují, že skrze sociální sítě mají přístup k obrovskému počtu potenciálních obětí, které mohou být převedeny v nezanedbatelný zisk. •Š kodlivé aplikace: Google Play zaznamenalo více, než 25 miliard stažení aplikací5; počet aplikací na Android Marketu je 600,0006. Během roku 2012 jsme pokryli několik případů vztahujících se ke škodlivým aplikacím na Google Play a marketech třetích stran, jako na příklad: • The First Android Rootkit • Mobile banking targeted for attack: Instalací malwaru na telefon používaný pro mobilní bankovnictví muhou útočníci ukrást velké sumy jedinou transakcí • Škodlivé aplikaci posílající SMS na prémiová čísla • Trojanem infikovaná verze populární hry nahraná na neoficiálních Android marketech ‘Angry Birds Space’ 1
ttp://techcrunch.com/2012/12/17/smartphone-penetration-in-europes- big-5-marketsh now-at-55-apple-continues-to-feel-the-heat-from-fast- rising-samsung/
2
ttp://mobithinking.com/mobile-marketing-tools/latest-mobile- stats/ h a#topmobilemarkets
3
http://mashable.com/2012/11/14/android-72-percent/
4
ttp://thenextweb.com/asia/2012/11/16/report-half-of-worlds-social- media-users-goh mobile-as-us-and-europe-lag-asia/
5
http://techcrunch.com/2012/09/26/google-play-store-25-billion-app- downloads/
6
http://www.appbrain.com/stats/number-of-android-apps
©2013 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
Threat report Q4/2012
strana 9/15
Část 2: Webové hrozby a rizika Vzestup Exploit Toolkitů Obr 2: Podíl exploit toolkitů na trhu za rok 2012
Crimeware toolkit je „komerční“ software, který může být používán začátečníky i experty k zahájení útoků. Pomocí toolkitu pak může útočník zahájit útok pomocí předchystaného skriptu, který zneužívá řadu zranitelných míst populárních aplikací. Takovéto útoky často zneužívají neopravených/neaktualizovaných bezpečnostních děr v produktech jako jsou Adobe® Flash® Player, Adobe® Reader, Internet Explorer® a Java Runtime Environment. Jednoduchost použití a dostupnost těchto toolkitů jim v posledních letech zajistila vzestup popularity a umožnila nové skupině kyberzločinců, kterým by jinak scházely nezbytné technické znalosti, vstoupit úspěšně na trh. Technicky zdatní kyberzločinci si uvědomují, že mohou své zkušenosti s psaním škodlivého kódu zmonetizovat prodejem toolkitů technicky méně zdatným jednotlivcům, kteří jim za ně dobře zaplatí. Jak můžete vidět v grafu 2 (obr 2), téměř 60% útoků v roce 2012 bylo uskutečněno pomocí toolkitů.
Blackhole a Cool Exploit Kity: Víceméně stejné? AVG Web Threats Research Group analyzovaly nový exploit kit jménem „Cool“. Puvodně se zdálo, že se jedná o novou variantu Blackhole Exploit kitu. Prozkoumali jsme rozdíly a podobnosti obou toolkitů a zdá se, že Cool buď okopíroval Blackohole, nebo byl vytvořen stejným autorem.
Podobnosti kódu • Oba zneužívají zranitelnosti Javy, Flashe a PDF stejným způsobem. • Kód příkazové části obou je velmi podobný. • Jak Cool tak Blackhole se pokouší nainstalovat specifickou zranitelnou verzi JVM z nyní neaktivní stránky http://java.sun.com/update/1.6.0/ jinstall-6u60- windows-i586.cab#Version=6,0,0,0.
Příklady zabaleného kódu • Příklad útržku Blackhole níže (obr 3) je po odstranění vnější vrstvy zabalení. Útržek příkladu Cool níže doslovný (obr 4).
©2013 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
Threat report Q4/2012
strana 10/15
Obr 3 – Zabalení kódu Blackhole
Obr 4 - Zabalení kódu Cool
Rozdíly kódu Zde vidíme dva největší rozdíly: • Balení kódu Blackhole (obr 5) se mění každých pár dní kvůli uniknutí detekci na rozdíl od Cool (obr 6). • Blackhole se od verze 2.0 stalo více konzistentním v blokování návštěvnických IP adres v rámci své rozsáhlé sítě s cílem udělat revizi (druhý pohled) kódu obtížnější. Toto má za cíl odradit, případně zmást, kontrolory/vyšetřovatele jako webmastery, automatizované nástroje a antivirové analytiky.
Obr 5 – Zabalení kódu Blackhole Cool Toolkit
Obr 6 – Kód Cool Toolkit
©2013 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
Threat report Q4/2012
strana 11/15
O Cool Exploit Kitu Cool Exploit Kit nejspíš používá stejný business model jako Blackhole. „Zákazník“ si od autora kupuje licenci a specifikuje si možnosti jejího využití7. Umisťují kód na napadené servery a pak lákají objeti pomocí spamu nebo linků na jiných webových stránkách jako jsou např. sociální sítě. Doposud byl Cool masivně využíván pro instalaci ransomwaru na počítače objetí. Ransomware pak zamkne napadený počítač a zobrazí podvodnou webovou stránku předstírající upozornění na preventivní akci velké lokální bezpečnostní instituce, jako je FBI v USA, Metropilitan Police ve Spojeném království a Česká policie v ČR. Typicky zpráva říká, že počítač oběti je používán k uchování dětské pornografie nebo ke šíření materiálu chráněného autorskými právy. Požaduje zaplacení „pokuty“ (většinou kolem 200 USD) prostřednictvím nevysledovatelného platebního systému MoneyPack. Pokud oběť zaplatí, zjistí, že to k odblokování počítače nevedlo. První indikací instalace ransomware můžete vidět na obrázku 7:
7
http://en.wikipedia.org/wiki/Blackhole_exploit_kit
©2013 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
Threat report Q4/2012
strana 12/15
Pak rychle následuje stránka ransomwaru. Toto je jeden z příkladů (obr 8):
Ransomware stále představuje výděleční business, který ročně „vymůže“ od obětí přes 5 milionů USD ročně. Je také vhodné podotknout, že statisticky detekce Cool Exploit Kitu dotahuje statistiky Blackhole, jak můžete vidět na obrázku 9.
©2013 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
Threat report Q4/2012
strana 13/15
Část 3: Dětští autoři malwaru Je vaše dítě autorem malwaru? Pro dnešní děti jsou počítače druhou přirozeností, ale podezřívali byste svého potomka, že by byl schopný naprogramovat malware? O tom pochybuji, ale objevili jsme důkazy, že dokonce jedenáctileté děti píší škodlivý kód. Obr 10 – Jeden z falešných „hacků“ do her. Přihlašovací údaje do hry budou odeslány autorovi a žádná odměna nepřijde.
Samozřejmě, že dnešní děti mají přístup k internetu a většina domácností je vybavena osobním počítačem, takže jejich technologické znalosti jsou daleko před předchozími generacemi, ale jak se vyvinuly schopnosti, tak se vyvinul i sklon „dělat neplechu“. Možná nebudete věřit tomu, že jedenáctiletý školák nebo školačka mohou vytvořit trojského koně schopného ukrást přihlašovací údaje oblíbené online hry, ale my takovéto případy vidíme prakticky denně. Tyto dětské trojany mají několik společných charakteristik. Zaprvé, valná většina z nich je napsaná za použití .NET framework (Visual Basic, C#), který je jednoduché se naučit i pro začátečníky a je jednoduché k nasazení – můžete si stáhnout Microsoft Visual Studio Express zdarma a začít ji používat ke kódování malwaru, nebo můžete použít „pirátskou“ plnou verzi Borland Delphi ve kterém můžete rychle vyvíjet (škodlivé) aplikace. Zadruhé, jsou tyto škodlivé aplikace často cíleny na online hry, sociální sítě nebo emaily. Lákají na zisk virtuální měny (obr 10) nebo nabourání se do profilu na Facebooku. Jejich cílem je však ukrást citlivá data. Tito mladí autoři kódu neúmyslně zanechávají stopy v binárních souborech malwaru, což je vzhledem k jejich rozsáhlým znalostem poměrně překvapující. Přestože nejsou jejich výtvory ukázkou programovací dokonalosti, stále potřebují určitou míru technické zdatnosti a znalostí. Na příklad mnoho těchto zlodějů hesel odesílá zcizená data na svoji osobní emailovou adresu, kterou mohou používat k přihlašování se na různé online služby jako Youtube nebo blogy. Toto výrazně zjednodušuje sbírání jejich osobních informací, jako jsou skutečné jméno, fotky, škola, Facebookový profil, za použití jakéhokoliv webového vyhledávače.
©2013 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
Threat report Q4/2012
strana 14/15
Jako příklad jednoto takovéhoto útoku můžeme použít případ jedenáctiletého chlapce z Kanady, který s přáteli hraje Team Fortress a před pár dny dostal nový iPhone. Přestože by antiviroví výzkumníci takovéto informace nikdy nezneužili, najde se řada dalších lidí, kteří zkoumají binární souboru a někteří určitě budou mít nekalé úmysly. Jeden z lepších scénářů by byla „pomsta oběti“ například tím, že útočníkovi změní hesla a tak zablokují přístup do emailu nebo na Facebook. Horší variantou by bylo kompletní zcizení a zneužití identity. Jaká je motivace pro toto chování? Nejpravděpodobnější je varianta, že to tito dětští autoři nedělají kvůli finančnímu zisku, ale kvůli vzrušení. Zejména mladí „geekové“ se snaží všemožně přechytračit své přátele a vítězit ve hrách, nebo prostě jen ukázat své schopnosti. Obr 11 – Funkce na odesílání emailu s citlivými daty.
Na druhou stranu se takováto hra může snadno vymknout kontrole. Přeci jen ukrást něčí přihlašovací údaje, například k účtu na Steamu, který obsahuje software za 500 USD není nic, čemu bychom se měli smát. Pokud jsou navíc údaje z účtu shodné dalšími účty uživatele, jako například emailovými schránkami nebo sociálními sítěmi, narůstá riziko vzniku kyber-šikany a krádeže identity.
©2013 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.
Threat report Q4/2012
strana 15/15
Část 4: Výhled na 2013 Předpověď pro rok 2013 • Mobily: Očekáváme více profilované útoky na mobilní uživatele, zejména na operační systém Android. • Vzhledem k tomu, že Čína předstihla Spojené státy a dostala se na první místo žebříčku s více než jednou miliardou aktivních mobilních zařízení, očekáváme zvýšený počet mobilních útoků pocházející z Číny. • Cool a Blackhole Exploit toolkits budou i nadále dominovat trhu s malwarem. • Kyber-válka mezi národy bude nabývat na intenzitě. • Soukromí: Online reklama na počítačích, tabletech a smartphonech bude ještě agresivnější a personalizovanější kvůli trendu monetizovat uživatele prostřednictvím zneužití jeho soukromí. Poskytovatelé reklamy budou používat trackery v prohlížeči a na sociálních sítích a lokalizační data, aby identifikovali jednotlivé uživatele a nabízeli jim reklamu na míru. • Bezpečnost cloudu: Útoky na virtualizovanou infrastrukturu se rozšíří na veřejné cloudové služby a tím zvýší náklady na jejich zabezpečení. Dobře známé cloudové systémy, jak Dropbox, SkyDrive, Cloud Drive (Amazon) a Google Drive byly pod útokem malwaru a byl na ně také zaznamenán zvýšený počet DoS/DDoS útoků. • PC hrozby: Stálý vzestup popularity Windows 8 inspiruje hackery k odhalování nových zranitelností a k vyvíjení nového druhu malwaru a fraudwaru a k objevování nových typů exploitů. Počet infikovaných webových stránek pro PC se bude také zvyšovat s rostoucí popularitou „komerčních“ nástrojů jako na příklad Blackhole, zatímco uživatelé budou více spoléhat na v systému zabudované zabezpečení. • Mobile-to-PC hrozby: Zvyšování konektivity mezi mobilními zařízeními a stolními počítači kombinované s BYOD trendem (Bring-Your-OwnDevice – přines-si-vlastní-zařízení) znatelně usnadní možnosti šíření malwaru do podnikových i domácích sítí. Také očekáváme více MITMO (Man-In-The-Mobile) útoků cílených na PC a mobilní bankovnictví. Útoky na tyto systémy více násobné autentikace boudu nenápadnější, vypilovanější a lokalitně orientované.
©2013 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.