2012

Threat report Q4/2012

protected

“60% útoků zaznamenaných v roce 2012 bylo provedeno pomocí exploit toolkitů.”

Stručné shrnutí: Q4 2012 Klíčové body za čtvrté čtvrtletí roku 2012 Blackhole: Král malwarového vesmíru Blackhole toolkit byl jednoznačně nejvíce dominantním malwarem na trhu. Jeho celkový podíl tvořil 49% všech útoků zaznamenaných AVG během roku 2012. V tomto reportu se zmíníme o nejdůležitějších incidentech roku 2012, které se jej týkají.

Malware cílený na mobilní zařízení V roce 2012 došlo k výraznému nárůstu průniků do mobilních zařízení. Nejpopulárnějším operačním systémem je Android se svými 72,4% trhu, což mělo za následek masivní nárůst útoků cílených právě na tento operační systém. V reportu zmíníme ty nejvýznamnější.

Vzestup exploit toolkitů Dle statistik AVG Threat Labs bylo 60% všech útoků v roce 2012 provedeno pomocí exploit toolkitů. V rámci nového trendu si jejich autoři uvědomili, že mohou tvořit komerční toolkity a ty pak dále prodávat méně technicky zdatným útočníkům, pro které tyto toolkity představují relativně snadnou cestu, jak se dostat „na trh“.

Blackhole a Cool exploit toolkity V posledním kvartálu roku 2012 se objevil nový toolkit nazvaný Cool Toolkit. Věříme, že tento toolkit je dílem tvůrců Blackhole Exploit toolkitu, protože jsou si velmi podobné. V tomto reportu tyto toolkity porovnáme.

Je vaše dítě autorem malwaru? Mohlo by vaše předpubertální dítě psát škodlivý kód? Podíváme se na trojský kůň vytvořený 11-ti letým dítětem za účelem krádeže přihlašovacích informací online her a krátce rozebereme, jaké riziko to obnáší.

©2013 AVG Technologies CZ, s.r.o. Všechna práva vyhrazena.


“Během roku 2012 detekovalo AVG téměř 4.000.000 mobilních hrozeb.”

strana 2/15

Top trendy Web Threats Blackhole Exploit Kit

Nejrozšířenější webová hrozba, zaujímá 39,9% všeho detekovaného malwaru a 84,1% všech toolkitů

59%

Exploit toolkity obecně představují více než polovinu hrozeb nacházejícího se na webu

12.74%

Malwaru se spoléhá na Autorun a externí hardware (jako např. USB flash disky) jako metodu šíření

Mobilní hrozby com.utooo. android.compass

Nejčastěji detekované aplikace pro Android, vydávají se za kompas

~3,930,500

Celkový počet mobilních hrozeb znamenaných AVG Threat Labs v roce 2012

Emailové hrozby (Spam) USA

Nejčastější zdroj SPAMu

45.7%

SPAMu pochází z USA následovaných Velkou Británií s 9.3%

Facebook.com

Nejčastější doména ve SPAMu

Angličtina

Je nejpopulárnějším jazykem nevyžádané pošty s podílem 70.3%



Top 10 Webových hrozeb Q4 2012

strana 3/15

Webové hrozby: Top 10 Q4 2012 Tato tabulka ukazuje nejčastější webové hrozby reportované komunitou AVG.

Blackhole

39.9

C ool Exploit

15.5

Redirect to Rogue

14.5

Rogue Scanner

9.2

Facebook

6.6

Parallels Plesk

5.2

Redkit Exploit

3

Nuclear Exploit

2.2

Pharmacy

2.1

Script Injection

1.8

Blackhole Exploit Kit

Stránky obsahující falešný antivirus nebo snažící se o instalaci falešného antiviru. Takovéto stránky se snaží buď nalákat uživatele ke koupi bezcenného softwaru, nebo (a) nainstalovat malware tvářící se jako užitečný software

Cool Exploit Kit

Exploit toolkit používaný k instalaci malwaru

Redirect to Rogue Scanner

Injetovaný kód přesměrovávající návštěvníka na infikované stránky instalující Rogueware

Rogue Scanner

Stránky obsahující falešný antivirus nebo snažící se o instalaci falešného antiviru. Takovéto stránky se snaží buď nalákat uživatele ke koupi bezcenného softwaru, nebo (a) nainstalovat malware tvářící se jako užitečný software

Facebook Scam

Využívá Facebooku k oklamání lidí a získání jejich osobních dat

Parallels Plesk Panel compromise

Parallels Plesk Panel je webhostingovými společnostmi běžně využívaný software k ovládání webových stránek. Ve starších verzích byla objevena zranitelnost (ukládání hesel v plain text formátu), která umožňovala útočníkům získat veškeré uložené účty

Redkit Exploit Kit


Nuclear Exploit Kit


Pharmacy Spam Site

Pharmacy Spam Sites (Podvodné stránky farmaceutických společností) vypadají jako legitimní online lékárny, ale obvykle se jedná pouze o kopie legitimních stránek. Často zasílají náhražkové nebo falešné léky, nebo nepošlou nic

Script Injection Redirect

Útočníkem do programu injektovaný kód, který modifikuje způsob jeho spouštění a práce



Top 10 kategorií chování Q4 2012

strana 4/15

Top 10 Malware Q4 2012 Tato tabulka ukazuje nejčastější hrozby reportované komunitou AVG.

Worm/AutoRun

12.74%

Win32/Heur

12.49%

Worm/Downadup

8.14%

Win32/Sality

5.07%

Win32/Cryptor

4.4%

Crack.CO

3.83%

HTML/Framer

2.98%

Win32/Virut

2.93%

Generic20.GJD

2.93%

Luhe.Exploit.LNK.CVE2010-2568.A

2.78%

Webové hrozby: Top 5 Exploit Toolkits Q4 2012

Trojan

34.49%

Adware

19.14%

Adware/Spyware

10.62%

Blackhole

84.1%

Downloader

8.85%

Fragus

8.4%

Malware

8.52%

Phoenix

4.15%

Virus

4.60%

Seosploit

2.09%

Potentially Unwanted Application

4.03%

Bleeding Life

0.55%

Backdoor

2.19%

Network Worm

2.00%

Rootkit

0.85%

Tato tabulka ukazuje pět nejpopulárnějších exploit toolkitů v kontextu webových hrozeb. Kriminálníci čím dál častěji používají toolkity pro kyber-útoky. V mnoha případech použití těchto nástrojů nevyžaduje technické znalosti.



Top 10 detekovaných mobilních hrozeb dle států Q4 2012


strana 5/15

Mobilní hrozby: Detekovaný malware dle států Q4 2012 Ruská federace

14.1%

Thajsko

8.32%

Velká Británie

6.68%

USA

6.43%

Španělsko

5.34%

Malajsie

4.46%

Německo

4.45%

Itálie

4.09%

Nizozemí

3.99%

Indonésie

3.15%


strana 6/15

Klíčové hodnoty čtvrtletí září-prosinec 2012 Emailové hrozby: Top domény Q4 2012 bez uvedení domény

16.4%

facebook.com

8.2%

twitter.com

5.4%

bit.ly

3.7%

gmail.com

3.1%

youtube.com

2.7%

amazonaws.com

2.1%

hotmail.com

2.1%

Linkedin.com

1.8%

yahoo.com

1.75%

google.com

1.7%

Emailové hrozby: Top 5 jazyků SPAMu Q4 2012 Angličtina

70.3%

Španělština

6.7%

Portugalština

5.5%

Holandština

3.1%

Čínština


3%


strana 7/15

Část 1: Shrnutí 2012 Král malwarového vesmíru: Blackhole fenomén Blackhole Exploit toolkit je bez pochyby králem malwaru roku 2012 s téměř 50% podílu na trhu (obr 1). To znamená, že 49% všech útoků v roce 2012 bylo učiněno za použití Blackhole Exploit Toolkitu. Obr 1: Podíl Blackhole na trhu v roce 2012

Blackhole toolkit dominoval malwaru v roce 2012. Jedná se o sofistikovaný a silný nástroj. Zejména díky své polymorfní povaze má silně „obalený“ kódu, aby unikl detekci antimalwarových produktů. Úspěch tohoto kitu spočívá v jeho jednoduchém uživatelském rozhraní, sofistikovaném designu, kryptování a úspěšném marketingovém modelu. Tvůrci Blackhole kitu svůj produkt „zkomercializovali“ poskytováním služby předplatného tím, že produkt je k zakoupení online a úspěšně každému umožňuje stát se kyberzločincem. AVG Threat Labs zaznamenaly významných počinů Blackhole v roce 2012: • Spoof FBI legal action ransomware demands fine for alleged PC misdemeanours: V červnu 2012, AVG objevilo novou ransomware stránku vytvořenou pomocí Blackhole exploit kitu, která se vydává za právní akci FBI. Tento malware pak zamkne operační systém Windows a požaduje zaplacení „pokuty“ pro jeho odemčení. • ‘Commercialized’ Malware, the Blackhole Toolkit, continues its upward trajectory: Pro ty, které láká stát se kyberzločincem je notoricky známý Blackhole toolkit první volbou do začátku.



strana 8/15

Malware cílený na mobilní zařízení Během roku 2012 se dramaticky zrychlil růst počtu mobilních zařízení. Podle ComScore, 55% uživatelů mobilních zařízení v Evropě vlastní smartphone1, 81% Američanů2 a 81.7% Japonců. Android je nejpopulárnějším operačním systémem s podílem 72.4% trhu3. Uživatelé se přesunují k mobilním zařízením a kyberzločinci jsou jim v patách. Soustředí se zejména na operační systém Android jako na lukrativní „loviště“. AVG Threat Labs v roce 2012 zaznamenalo, že: • Social media and Smartphone: Téměř polovina uživatelů sociálních sítí z celého světa k nim přistupuje pomocí mobilních zařízení4. Kyberzločinci si uvědomují, že skrze sociální sítě mají přístup k obrovskému počtu potenciálních obětí, které mohou být převedeny v nezanedbatelný zisk. •Š kodlivé aplikace: Google Play zaznamenalo více, než 25 miliard stažení aplikací5; počet aplikací na Android Marketu je 600,0006. Během roku 2012 jsme pokryli několik případů vztahujících se ke škodlivým aplikacím na Google Play a marketech třetích stran, jako na příklad: • The First Android Rootkit • Mobile banking targeted for attack: Instalací malwaru na telefon používaný pro mobilní bankovnictví muhou útočníci ukrást velké sumy jedinou transakcí • Škodlivé aplikaci posílající SMS na prémiová čísla • Trojanem infikovaná verze populární hry nahraná na neoficiálních Android marketech ‘Angry Birds Space’ 1

ttp://techcrunch.com/2012/12/17/smartphone-penetration-in-europes- big-5-marketsh now-at-55-apple-continues-to-feel-the-heat-from-fast- rising-samsung/

2

ttp://mobithinking.com/mobile-marketing-tools/latest-mobile- stats/ h a#topmobilemarkets

3

http://mashable.com/2012/11/14/android-72-percent/

4

ttp://thenextweb.com/asia/2012/11/16/report-half-of-worlds-social- media-users-goh mobile-as-us-and-europe-lag-asia/

5

http://techcrunch.com/2012/09/26/google-play-store-25-billion-app- downloads/

6

http://www.appbrain.com/stats/number-of-android-apps



strana 9/15

Část 2: Webové hrozby a rizika Vzestup Exploit Toolkitů Obr 2: Podíl exploit toolkitů na trhu za rok 2012

Crimeware toolkit je „komerční“ software, který může být používán začátečníky i experty k zahájení útoků. Pomocí toolkitu pak může útočník zahájit útok pomocí předchystaného skriptu, který zneužívá řadu zranitelných míst populárních aplikací. Takovéto útoky často zneužívají neopravených/neaktualizovaných bezpečnostních děr v produktech jako jsou Adobe® Flash® Player, Adobe® Reader, Internet Explorer® a Java Runtime Environment. Jednoduchost použití a dostupnost těchto toolkitů jim v posledních letech zajistila vzestup popularity a umožnila nové skupině kyberzločinců, kterým by jinak scházely nezbytné technické znalosti, vstoupit úspěšně na trh. Technicky zdatní kyberzločinci si uvědomují, že mohou své zkušenosti s psaním škodlivého kódu zmonetizovat prodejem toolkitů technicky méně zdatným jednotlivcům, kteří jim za ně dobře zaplatí. Jak můžete vidět v grafu 2 (obr 2), téměř 60% útoků v roce 2012 bylo uskutečněno pomocí toolkitů.

Blackhole a Cool Exploit Kity: Víceméně stejné? AVG Web Threats Research Group analyzovaly nový exploit kit jménem „Cool“. Puvodně se zdálo, že se jedná o novou variantu Blackhole Exploit kitu. Prozkoumali jsme rozdíly a podobnosti obou toolkitů a zdá se, že Cool buď okopíroval Blackohole, nebo byl vytvořen stejným autorem.

Podobnosti kódu • Oba zneužívají zranitelnosti Javy, Flashe a PDF stejným způsobem. • Kód příkazové části obou je velmi podobný. • Jak Cool tak Blackhole se pokouší nainstalovat specifickou zranitelnou verzi JVM z nyní neaktivní stránky http://java.sun.com/update/1.6.0/ jinstall-6u60- windows-i586.cab#Version=6,0,0,0.

Příklady zabaleného kódu • Příklad útržku Blackhole níže (obr 3) je po odstranění vnější vrstvy zabalení. Útržek příkladu Cool níže doslovný (obr 4).



strana 10/15

Obr 3 – Zabalení kódu Blackhole

Obr 4 - Zabalení kódu Cool

Rozdíly kódu Zde vidíme dva největší rozdíly: • Balení kódu Blackhole (obr 5) se mění každých pár dní kvůli uniknutí detekci na rozdíl od Cool (obr 6). • Blackhole se od verze 2.0 stalo více konzistentním v blokování návštěvnických IP adres v rámci své rozsáhlé sítě s cílem udělat revizi (druhý pohled) kódu obtížnější. Toto má za cíl odradit, případně zmást, kontrolory/vyšetřovatele jako webmastery, automatizované nástroje a antivirové analytiky.

Obr 5 – Zabalení kódu Blackhole Cool Toolkit

Obr 6 – Kód Cool Toolkit



strana 11/15

O Cool Exploit Kitu Cool Exploit Kit nejspíš používá stejný business model jako Blackhole. „Zákazník“ si od autora kupuje licenci a specifikuje si možnosti jejího využití7. Umisťují kód na napadené servery a pak lákají objeti pomocí spamu nebo linků na jiných webových stránkách jako jsou např. sociální sítě. Doposud byl Cool masivně využíván pro instalaci ransomwaru na počítače objetí. Ransomware pak zamkne napadený počítač a zobrazí podvodnou webovou stránku předstírající upozornění na preventivní akci velké lokální bezpečnostní instituce, jako je FBI v USA, Metropilitan Police ve Spojeném království a Česká policie v ČR. Typicky zpráva říká, že počítač oběti je používán k uchování dětské pornografie nebo ke šíření materiálu chráněného autorskými právy. Požaduje zaplacení „pokuty“ (většinou kolem 200 USD) prostřednictvím nevysledovatelného platebního systému MoneyPack. Pokud oběť zaplatí, zjistí, že to k odblokování počítače nevedlo. První indikací instalace ransomware můžete vidět na obrázku 7:

7

http://en.wikipedia.org/wiki/Blackhole_exploit_kit



strana 12/15

Pak rychle následuje stránka ransomwaru. Toto je jeden z příkladů (obr 8):

Ransomware stále představuje výděleční business, který ročně „vymůže“ od obětí přes 5 milionů USD ročně. Je také vhodné podotknout, že statisticky detekce Cool Exploit Kitu dotahuje statistiky Blackhole, jak můžete vidět na obrázku 9.



strana 13/15

Část 3: Dětští autoři malwaru Je vaše dítě autorem malwaru? Pro dnešní děti jsou počítače druhou přirozeností, ale podezřívali byste svého potomka, že by byl schopný naprogramovat malware? O tom pochybuji, ale objevili jsme důkazy, že dokonce jedenáctileté děti píší škodlivý kód. Obr 10 – Jeden z falešných „hacků“ do her. Přihlašovací údaje do hry budou odeslány autorovi a žádná odměna nepřijde.

Samozřejmě, že dnešní děti mají přístup k internetu a většina domácností je vybavena osobním počítačem, takže jejich technologické znalosti jsou daleko před předchozími generacemi, ale jak se vyvinuly schopnosti, tak se vyvinul i sklon „dělat neplechu“. Možná nebudete věřit tomu, že jedenáctiletý školák nebo školačka mohou vytvořit trojského koně schopného ukrást přihlašovací údaje oblíbené online hry, ale my takovéto případy vidíme prakticky denně. Tyto dětské trojany mají několik společných charakteristik. Zaprvé, valná většina z nich je napsaná za použití .NET framework (Visual Basic, C#), který je jednoduché se naučit i pro začátečníky a je jednoduché k nasazení – můžete si stáhnout Microsoft Visual Studio Express zdarma a začít ji používat ke kódování malwaru, nebo můžete použít „pirátskou“ plnou verzi Borland Delphi ve kterém můžete rychle vyvíjet (škodlivé) aplikace. Zadruhé, jsou tyto škodlivé aplikace často cíleny na online hry, sociální sítě nebo emaily. Lákají na zisk virtuální měny (obr 10) nebo nabourání se do profilu na Facebooku. Jejich cílem je však ukrást citlivá data. Tito mladí autoři kódu neúmyslně zanechávají stopy v binárních souborech malwaru, což je vzhledem k jejich rozsáhlým znalostem poměrně překvapující. Přestože nejsou jejich výtvory ukázkou programovací dokonalosti, stále potřebují určitou míru technické zdatnosti a znalostí. Na příklad mnoho těchto zlodějů hesel odesílá zcizená data na svoji osobní emailovou adresu, kterou mohou používat k přihlašování se na různé online služby jako Youtube nebo blogy. Toto výrazně zjednodušuje sbírání jejich osobních informací, jako jsou skutečné jméno, fotky, škola, Facebookový profil, za použití jakéhokoliv webového vyhledávače.



strana 14/15

Jako příklad jednoto takovéhoto útoku můžeme použít případ jedenáctiletého chlapce z Kanady, který s přáteli hraje Team Fortress a před pár dny dostal nový iPhone. Přestože by antiviroví výzkumníci takovéto informace nikdy nezneužili, najde se řada dalších lidí, kteří zkoumají binární souboru a někteří určitě budou mít nekalé úmysly. Jeden z lepších scénářů by byla „pomsta oběti“ například tím, že útočníkovi změní hesla a tak zablokují přístup do emailu nebo na Facebook. Horší variantou by bylo kompletní zcizení a zneužití identity. Jaká je motivace pro toto chování? Nejpravděpodobnější je varianta, že to tito dětští autoři nedělají kvůli finančnímu zisku, ale kvůli vzrušení. Zejména mladí „geekové“ se snaží všemožně přechytračit své přátele a vítězit ve hrách, nebo prostě jen ukázat své schopnosti. Obr 11 – Funkce na odesílání emailu s citlivými daty.

Na druhou stranu se takováto hra může snadno vymknout kontrole. Přeci jen ukrást něčí přihlašovací údaje, například k účtu na Steamu, který obsahuje software za 500 USD není nic, čemu bychom se měli smát. Pokud jsou navíc údaje z účtu shodné dalšími účty uživatele, jako například emailovými schránkami nebo sociálními sítěmi, narůstá riziko vzniku kyber-šikany a krádeže identity.



strana 15/15

Část 4: Výhled na 2013 Předpověď pro rok 2013 • Mobily: Očekáváme více profilované útoky na mobilní uživatele, zejména na operační systém Android. • Vzhledem k tomu, že Čína předstihla Spojené státy a dostala se na první místo žebříčku s více než jednou miliardou aktivních mobilních zařízení, očekáváme zvýšený počet mobilních útoků pocházející z Číny. • Cool a Blackhole Exploit toolkits budou i nadále dominovat trhu s malwarem. • Kyber-válka mezi národy bude nabývat na intenzitě. • Soukromí: Online reklama na počítačích, tabletech a smartphonech bude ještě agresivnější a personalizovanější kvůli trendu monetizovat uživatele prostřednictvím zneužití jeho soukromí. Poskytovatelé reklamy budou používat trackery v prohlížeči a na sociálních sítích a lokalizační data, aby identifikovali jednotlivé uživatele a nabízeli jim reklamu na míru. • Bezpečnost cloudu: Útoky na virtualizovanou infrastrukturu se rozšíří na veřejné cloudové služby a tím zvýší náklady na jejich zabezpečení. Dobře známé cloudové systémy, jak Dropbox, SkyDrive, Cloud Drive (Amazon) a Google Drive byly pod útokem malwaru a byl na ně také zaznamenán zvýšený počet DoS/DDoS útoků. • PC hrozby: Stálý vzestup popularity Windows 8 inspiruje hackery k odhalování nových zranitelností a k vyvíjení nového druhu malwaru a fraudwaru a k objevování nových typů exploitů. Počet infikovaných webových stránek pro PC se bude také zvyšovat s rostoucí popularitou „komerčních“ nástrojů jako na příklad Blackhole, zatímco uživatelé budou více spoléhat na v systému zabudované zabezpečení. • Mobile-to-PC hrozby: Zvyšování konektivity mezi mobilními zařízeními a stolními počítači kombinované s BYOD trendem (Bring-Your-OwnDevice – přines-si-vlastní-zařízení) znatelně usnadní možnosti šíření malwaru do podnikových i domácích sítí. Také očekáváme více MITMO (Man-In-The-Mobile) útoků cílených na PC a mobilní bankovnictví. Útoky na tyto systémy více násobné autentikace boudu nenápadnější, vypilovanější a lokalitně orientované.


2012

Recommend Documents