Отчет ibm internet security systems x‑force о …...x‑force® 2007 trend statistics...

� Реализацияпотенциалалояльностиклиентоввсферерозничныхбанковскихуслуг

Отчет IBM Internet Security Systems X‑Force® о состоянии информационной безопасности в 2007 г. Статистические тенденции

IBM Global Technology ServicesЯнварь 2008 г.

X‑Force® 2007 Trend Statistics Стр. 2

Содержание

Краткий обзор 3Основные результаты 2007 г. 3

Анализ уязвимостей 5Количество уязвимостей в 2007 г. 6Количество раскрытых уязвимостей в год 6Разбивка обнаруживаемых уязвимостей по месяцам 8Разбивка обнаруживаемых уязвимостей по неделям 9Разбивка обнаруживаемых уязвимостей по дням недели 10Соотношение уязвимостей, раскрытых в выходные дни и в будние дни 11Распределение уязвимостей по степени риска 12Распределение уязвимостей в соответствии с единой системой классификации и оценки уязвимостей (CVSS) 14Пять производителей с наибольшим количеством раскрытых уязвимостей 16Дистанционные и локальные эксплойты 20Последствия эксплуатации уязвимостей 21

Тенденции в злонамеренном использовании Web‑браузеров 23Камуфлирование и шифрование 24Уязвимость Web‑браузеров для Windows 25

Анализ спама и фишинга 28Определение географического распределения 28Какие страны являются источником спама? 29Где осуществляется хостинг Web‑страниц, на которые ссылаются спамовые сообщения? 30Каков средний размер спамового сообщения в байтах? 31Каковы самые популярные темы в письмах со спамом? 32Как спамовые сообщения распределяются по языкам? 32Каковы масштабы графического спама? 33Каковы масштабы анимированного спама в формате GIF? 34Каковы масштабы спама в формате PDF? 35Какая часть спама относится к категории фишинга? 37Откуда исходят фишинговые электронные письма? 38Где осуществляется хостинг Web‑страниц, на которые ссылаются фишинговые электронные письма? 39Каковы самые популярные темы в фишинговых письмах? 40

Тенденции в области Web‑контента 41Анализ результатов 42Текущее положение дел в области нежелательного интернет‑контента 43Текущее распределение контента для совершеннолетних 44Текущее распределение контента с социальными отклонениями 45Текущее распределение криминального контента 46

Анализ вредоносных программ 47Деление вредоносного кода на категории 49Тенденции изменения категорий вредоносных программ 50Новые вредоносные программы 51Первые десятки наиболее распространенных вредоносных программ 52


Краткий обзорИсследователи и разработчики из подразделения X‑Force IBM Internet

Security Systems X‑Force® непрерывно выявляют, анализируют, контроли‑

руют и регистрируют обширный массив компьютерных угроз и уязвимос‑

тей. В результате этой деятельности X‑Force в 2007 г. было выявлено много

новых и неожиданных тенденций. Рассмотрение этих тенденций может

оказаться весьма полезным при подготовке мероприятий по совершенство‑

ванию информационной безопасности в 2008 г.

Основные результаты 2007 г.

Уязвимости

• Общееколичествозаявленныхуязвимостейв2007г.посравнениюс2006г.

снизилосьна5,4%.

• Несмотрянато,чтообщееколичествораскрытыхуязвимостейснизи‑

лись,количествозаявленныхуязвимостейсвысокимуровеньрискапосрав‑

нениюс2006годомувеличилосьна28%.

• Какив2006г.,чащевсегоуязвимостираскрывалисьвовторник:в2007г.

вэтотденьнеделибылараскрыта1361новаяуязвимость.

• В2007г.средипроизводителейснаибольшимколичествомуязвимостей

сноваоказалсярядкрупнейшихвмиредистрибьюторовпрограммногообес‑

печения:Microsoft,Apple,Oracle,IBMиCisco.Темнеменеевсовокупностина

этикомпанииприходитсялишь13,6%всехраскрытыхуязвимостей.

• Извсехуязвимостей,раскрытыхв2007г.,лишь50%молибытьустранены

спомощью«заплаток»соответствующегопоставщика.

• Около90%всехуязвимостей,раскрытыхв2007г.,могутбытьиспользова‑

ныудаленно,чтонаодинпроцентпревышаетпоказатели2006г.


ЭксплойтыWeb‑браузеров

• НаиболееопасныеэксплойтыWeb‑браузеровгенерируютсяспомощьюспе‑

циальныхинструментов.

• В2006г.впервыебылоотмеченоиспользованиеWeb‑эксплойтамираз‑

личныхметодовкамуфлирования.Всвязисширокимраспространением

инструментовдлясозданияWeb‑эксплойтовпочтивсеопасныеэксплойты

браузеров,выявляемыевконце2007г.,былизакамуфлированыи/илизашиф‑

рованы.

• ЧислокритическихуязвимостейбраузераMozillaFirefoxв2007г.оказалось

существенноменьшим,чемв2006г.

Спамифишинг

• Впервыебылообнаружено,чтообъемпочтовогоспамарезкоснизился

доуровней,зафиксированныхранее2005г.,чтосоответствуетуменьше‑

ниюспама,основанногонаиспользованииизображений.

• Одновременносуменьшениемобъемовспама,использующегоизображения,

группаX‑Forceзафиксировалакратковременныепопыткииспользования

вписьмахсоспамомвложенийвформатахPDFиMP3—новоеявление,

впервыепроявившеесяв2007г.

• Из20компаний,чащедругихстановившихсяобъектамифишинговыматак

в2007г.,19компанийотносятсякбанковскомусектору,аоднаявляется

рекрутинговымагентством.

Web‑контент

• 9%всегоинтернет‑контентабылоотнесеноккатегориинежелательного

(криминального,порнографическогоит.д.).Поитогам2006г.этотпока‑

зательсоставлял12,5%.

• СШАдалекоопередилидругиестранывкачествепервичногоинтернет‑ис‑

точникапорнографического,социальноопасногоикриминальногоконтен‑

та:надолюСШАприходитсяпримерно40—48%контентавкаждойиз

перечисленныхкатегорий.

• Примониторингенежелательногоинтернет‑контентанапротяжении

2007г.толькоСШАиГерманиянеизменнонаходилисьсредитрехведущих

источниковдлякаждоготипаподобногоконтента.


Вредоносныепрограммы

• В2007г.группаX‑Forceсобралаипроанализировалапочти410тыс.новых

экземпляроввредоносногокода,чтопочтинаоднутретьпревышаетре‑

зультаты2006г.

• Самойраспространеннойкатегориейвредоносныхпрограммв2007г.ока‑

залисьтроянскиепрограммы:былозарегистрировано109246разновиднос‑

тейтакихпрограмм,чтосоставляет28%отобщегочиславредоносных

программ.

• НаиболеераспространеннойвредоноснойпрограммойвИнтернетеявляет‑

сяTrojan.Win32.Agen:в2007г.былозарегистрировано26573ееразновиднос‑

ти,чтосоставляет24%отвсехтроянскихпрограмм.

• Самымраспространеннымчервемв2007г.оказаласьпрограммаNet‑Worm.

Win32.Allaple(21254разновидности).Этосемействополиморфныхчер‑

вей,которыеразмножаютсяпосредствомэксплуатацииуязвимостей

Windows®безиспользованияэлектроннойпочты.

Анализ уязвимостейВ 2007 г. группе X‑Force пришлось приложить значительные усилия

к анализу и документированию уязвимостей. Было выявлено 6437 новых

уязвимостей, что составляет 20,7% от всего количества уязвимостей, за‑

регистрированных в базе данных X‑Force за десятилетний период ее су‑

ществования. Во избежание каких‑либо неопределенностей относительно

характеристик уязвимостей в дальнейшем тексте данного отчета применя‑

ется следующее определение уязвимости, принятое в подразделении IBM

Internet Security Systems (ISS).

Уязвимость — любое свойство компьютерной системы (наличие неза-

щищенного места, ошибка конфигурации и т.д.), использование кото-

рого может привести к ослаблению защиты, раскрытию конфиденци-

альности, нарушению целостности или ухудшению доступности этой

системы.


Количество уязвимостей в 2007 г.

Впервые за всю историю своего существования группа X‑Force зафикси‑

ровала сокращение числа новых уязвимостей по сравнению с предыдущим

годом (на 5,4%). Это сокращение может представлять собой аномалию,

статистическую коррекцию или новую тенденцию в количестве раскрывае‑

мых уязвимостей.

В 2005 и 2006 гг. наблюдались высокие темпы роста числа уязвимостей

(приблизительно на 41% ежегодно), которые существенно превышали сред‑

ний показатель базы данных X‑Force (27%). Указанное снижение на 5,4%

могло быть простой статистической коррекцией роста, имевшего место

в 2005 и 2006 гг. Следует также отметить, что уменьшение числа раскры‑

тых уязвимостей в 2007 г. является менее радикальным, чем уменьшение

аналогичного показателя в период 2002 — 2003 гг. (см. рис. 1 и табл. 1.).

Несмотря на уменьшение общего числа уязвимостей количество уязвимос‑

тей с высоким уровнем риска выросло сразу на 28%. Возможно, это объ‑

ясняется тем, что в 2007 г. исследователи концентрировали свои усилия

на выявлении наиболее опасных уязвимостей.

1 В базе данных X‑Force регистрируются не только уязвимости, но и связанные с безопасностью

исправления, результаты аудита и методы обнаружения уязвимостей/защиты. В прошлом группа

X‑Force публиковала суммарное количество этих записей вместе с данными об уязвимостях.

В этом отчете показаны только статистические данные об уязвимостях.

Рис. 1. Число раскрытых уязвимостей в год1 в период 2000 — 2007 гг.

Число раскрытых уязвимостей в год

Число уязвимостей


Год Общее число уязвимостей

Среднее чис‑ло уязвимос‑тей в месяц

Среднее чис‑ло уязвимос‑тей в неделю

Годовой при‑рост

2000 �343 ��2 26

200� �553 �29 30 �5,6%

2002 2637 220 5� 69,8%

2003 2785 232 54 5,6%

2004 34�7 285 66 22,7%

2005 4824 402 93 4�,2%

2006 6803 567 �3� 4�,0%

2007 6437 536 �24 ‑5,4%

Табл. 1. Детальная статистика по раскрытым уязвимостям в 2000 — 2007 гг.


Разбивка обнаруживаемых уязвимостей по месяцам

Среднее количество новых уязвимостей в месяц устойчиво росло в период

с 2000 по 2006 гг. В 2007 г. в корреляции с отмеченным годовым снижени‑

ем группа X‑Force также зарегистрировала и небольшое замедление ежеме‑

сячного роста.

На рис. 2 показано количество новых уязвимостей, регистрируемых еже‑

месячно группой X‑Force на протяжении 2007 г. Горизонтальные линии

на диаграмме соответствуют среднемесячным значениям за 2003, 2004,

2005 и 2006 гг. При помесячном сравнении количества раскрытых уязви‑

мостей в 2007 г. относительно 2006 г. показатели 2007 г. оказались выше

в январе, марте, апреле, мае, июле и октябре, а в остальные шесть меся‑

цев, соответственно, ниже. В 2007 г. наибольшее количество уязвимостей

в месяц было зарегистрировано в мае и лишь ненамного меньшее количест‑

во — в январе. Наименьшее количество уязвимостей в месяц было зарегис‑

трировано в сентябре.

Рис. 2. Количество обнаруженных уязвимостей по месяцам в 2007 г. в сравнении с периодом

2003 — 2006 гг.

Количество обнаруженных уязвимостей по месяцам в 2007 г.

Количество обнаруженных уязвимостей по месяцам

ЯНВ ФЕВР МАРТ АПР МАЙ ИЮНЬ ИЮЛЬ АВГ СЕНТ ОКТ НОЯБ ДЕК


Разбивка обнаруживаемых уязвимостей по неделям

В 2007 г. максимальное количество уязвимостей за одну неделю было рас‑

крыто в 28‑ю неделю (9 — 15 июля) — 159 уязвимостей. В 2006 г. макси‑

мальное количество уязвимостей пришлось на неделю перед Днем благода‑

рения (последний четверг ноября). На протяжении многих лет — по 2005 г.

включительно — максимальное количество уязвимостей приходилось

на последнюю неделю перед Рождеством, однако в 2006 и 2007 гг. эта тен‑

денция была нарушена.

На рис. 3 показано процентное соотношение раскрытых в 2007 г. уязвимос‑

тей с разбивкой по неделям.

Процентное соотношение числа раскрытых в 2007 г. уязвимостей по неделям

Рис. 3. Процентное соотношение раскрытых в 2007 г. уязвимостей с разбивкой по неделям


Разбивка обнаруживаемых уязвимостей по дням недели

Согласно данным X‑Force, в 2007 г. максимальное количество уязвимостей

по дням недели приходилось на вторник (1361 уязвимость) и на понедель‑

ник (959 уязвимостей). В период со среды по субботу отмечалось посте‑

пенное снижение числа раскрываемых уязвимостей, а в воскресенье это ко‑

личество сохранялось на уровне, существенно меньшем среднего значения

для будних дней. На рис. 5 показана разбивка обнаруженных уязвимостей

по дням недели.

Всплеск числа уязвимостей во вторник может быть объяснен большим

количеством сообщений об уязвимостях и соответствующих исправлений,

традиционно выпускаемых поставщиками во второй вторник каждого

месяца. Это явление, получившее среди специалистов по безопасности

название Patch Tuesday (вторник патчей), было инициировано корпора‑

цией Microsoft, которая начала сообщать об уязвимостях своих продуктов

во второй вторник каждого месяца. Другие поставщики последовали этому

примеру по различным соображениям конкурентного и стратегического

характера. По указанным причинам в обозримом будущем вторник со‑

хранит свои позиции как день с максимальным количеством раскрытых

уязвимостей.

Рис. 4. Количество раскрытых уязвимостей по дням недели в 2007 г.

Количество раскрытых уязвимостей по дням недели в 2007 г.

Количество уязвимостей

Вос Пон Вт Ср Четв Пт Сб


Figure 5: Weekday vs. Weekend Vulnerability Disclosure Ratio in 2007

Соотношение уязвимостей, раскрытых в выходные дни и в будние дни

Согласно наблюдениям группы X‑Force, в 2006 г. в выходные дни раскры‑

лось больше уязвимостей, чем в предшествующие годы. В 2000 — 2005 гг.

в субботу и в воскресенье было раскрыто 11,6% уязвимостей, а в 2006 г.

этот показатель составил 17,6%. Как показано на рис. 5, в 2007 г. эта тен‑

денция сохраняется: в выходные дни было раскрыто 16% уязвимостей, что

лишь немного меньше, чем в 2006 г.

В табл. 2 в исторической перспективе демонстрируется соотношение уязви‑

мостей, раскрытых в выходные дни и в будние дни.

Соотношение уязвимостей, раскрытых в выходные дни и в будние дни в 2007 г.

Рис. 5. Соотношение уязвимостей, раскрытых в выходные дни и в будние дни в 2007 г.

2000 2001 2002 2003 2004 2005 2006 2007 В сред‑нем

�0,�% �0,7% �4,3% �5,9% �0,4% 8,�% �7,6% �6,0% �3,7%

89,9% 89,3% 85,7% 84,�% 89,6% 9�,9% 82,4% 84,0% 86,3%

Табл. 2. Соотношение уязвимостей, раскрытых в выходные дни и в будние дни в период 2000 — 2007 гг.

Выходные дни

Будние дни


Распределение уязвимостей по степени риска

Для каждой регистрируемой уязвимости группа X‑Force тщательно ана‑

лизирует и оценивает возможные последствия от ее использования зло‑

умышленниками. Исследуя раскрытые уязвимости с 2000 г., специалисты

X‑Force обратили внимание, что доля уязвимостей с высокой степенью рис‑

ка постепенно уменьшается. Однако в 2007 г. число уязвимостей с высокой

степенью риска увеличилось на 28%, а их доля от общего количества уязви‑

мостей возросла с 16,2% в 2006 г. до 22% в 2007 г. Как показано на рис. 6,

это первое подобное увеличение с 2004 г.

Высокая степеньСредняя степеньНизкая степень

Рис. 6. Соотношение уязвимостей с различными степенями риска за период с 2000 г. (по критериям

группы X‑Force)

Соотношение уязвимостей с различными степенями риска в различные годы


В настоящее время группа X‑Force классифицирует уязвимости по степени

риска в соответствии со следующими критериями:

• Высокаястепень.Уязвимости,позволяющиеатакующемуполучить

немедленныйудаленныйилилокальныйдоступилидопускающиенемедлен‑

ноевыполнениепрограммногокодаиликомандснесанкционированными

привилегиями.Примеры:переполнениебуфера,уязвимостьтипаbackdoor,

парольпоумолчанию/отсутствиепароля,возможностьобходамежсете‑

выхэкрановилииныхсредствсетевойзащиты.

• Средняястепень.Уязвимости,позволяющиеатакующемуполучить

доступилидопускающиевыполнениепрограммногокодаврезультатевы‑

полненияатакующимсложныхилидлительныхпроцедур,илиуязвимости

снизкойстепеньюриска,ноотносящиесякважнейшиминтернет‑компо‑

нентам.Примеры:межсайтовыйскриптинг,атакитипа«человекпосе‑

редине»,SQL‑инъекции,DoS‑атаки(отказвобслуживании)наважнейшие

приложенияиDoS‑атаки,приводящиекраскрытиюсистемнойинформа‑

ции(напр.,файловядра).

• Низкаястепень.Уязвимости,приводящиекотказувобслуживанииили

предоставляющиенесистемнуюинформацию,котораяможетбыть

использованадляформированияструктурированныхцелевыхатак,

нонепозволяетнепосредственнополучитьнесанкционированныйдоступ.

Примеры:атакиметодомперебора,раскрытиенесистемнойинформации

(конфигурации,путиит.д.),DoS‑атаки.


Распределение уязвимостей в соответствии с единой системой

классификации и оценки уязвимостей (CVSS)

Единая система классификации и оценки уязвимостей (Common

Vulnerability Scoring System, CVSS) — это отраслевой стандарт для оценки

серьезности уязвимости и риска на основе установленных показателей

(базовых и временных) и формул. Базовые показатели состоят из харак‑

теристик, которые в общем случае не изменяются с течением времени.

К базовым относятся следующие показатели: вектор доступа, сложность доступа, аутентификация, влияние на конфиденциальность, влияние на целостность, влияние на доступность. Временные показатели состо‑

ят из характеристик, которые могут меняться с течением времени. К ним

относятся возможность использования уязвимости, уровень излечения и степень достоверности отчета. Более подробные сведения по системе

CVSS и входящим в нее показателям можно получить на Web‑сайте CVSS

по адресу: http://www.first.org/cvss/.

В табл. 3 иллюстрируется соответствие между уровнями риска и баллами

системы CVSS. На рис. 7 приведена диаграмма распределения уязвимостей

2007 г. согласно уровням риска CVSS.

Балы CVSS, определенные на основе базовых и временных показателей

Уровень риска

�0 Критический

7,0—9,9 Высокий

4,0—6,9 Средний

0,0—3,9 Низкий

Табл. 3. Обобщенные баллы CVSS, определенные на основе базовых и временных показателей, и со‑

ответствующие уровни риска

http://www.first.org/cvss/


Рис. 7. Распределение уязвимостей 2007 г. по базовым показателям CVSS

В соответствии с критериями CVSS критической считается уязвимость,

которая устанавливается по умолчанию, трассируется по сети, не требует

аутентификации для доступа и позволяет атакующему получить доступ

уровня system или root.

В 2007 г. к категории критических было отнесено приблизительно 2% всех

уязвимостей. Подразделение IBM ISS начало ранжировать все уязвимости

согласно стандарту CVSS в июле 2006 г. За 2006 г. к категории критичес‑

ких было отнесено 3% всех уязвимостей.

Баллы по временным показателям учитывают более актуальные и более

релевантные характеристики конкретной уязвимости (наличие исправле‑

ний, наличие эксплойта и достоверность информации). Баллы по времен‑

ным показателям определяются на основе баллов по базовым показателям,

скорректированным с учетом того, существует ли исправление для данной

уязвимости, был ли обнаружен соответствующий эксплойт и подтвердил ли

поставщик сообщение о наличии этой уязвимости.

Критический

Высокий

Средний

Низкий

Распределение уязвимостей 2007 г. по уровням риска CVSS, определенным на основе базовых показателей


На рис. 8 приведена диаграмма распределения уязвимостей 2007 г. соглас‑

но уровням риска CVSS, вычисленным по временным показателям.

Критический

Высокий

Средний

Низкий

Распределение уязвимостей 2007 г. по уровням риска CVSS, определенным на основе временных показателей

Рис. 8. Распределение уязвимостей 2007 г. по временным показателям CVSS

Пять производителей с наибольшим количеством раскрытых уязвимостейВ 2007 г. на пять ведущих производителей с наибольшим количеством

уязвимостей, выявленных в их продуктовых линейках, пришлось 13,6%

от всех раскрытых уязвимостей, или 878 из 6437 уязвимостей, зарегист‑

рированных в базе данных X‑Force в 2007 г. (см. рис. 9). В табл. 4 показа‑

ны абсолютные значения и процентные доли уязвимостей, выявленных

в 2007 г. в продуктах пяти ведущих производителей

Обратите внимание, что эти статистические данные не учитывают долю

рынка каждого производителя или количество выпускаемых им продук‑

тов. Другими словами, для выпускаемого и распространяемого в массовом

порядке программного продукта вероятность выявления уязвимостей

существенно выше.


Рис. 9. Доля уязвимостей 2007 г., приходящаяся на пять ведущих поставщиков

Поставщик Количество заявленных уязвимостей в 2007 г.

Доля от общего ко‑личества заявленных уязвимостей в 2007 г.

Microsoft 238 3,7%

Apple 207 3,2%

Oracle �83 2,8%

IBM �37 2,�%

Cisco ��3 �,8%

Табл. 4. Абсолютные значения и процентные доли уязвимостей, выявленных в 2007 г. в продуктах

пяти ведущих поставщиков

Доля уязвимостей 2007 г., приходящаяся на пять ведущих поставщиков

Первая пятерка

Другие


При рассмотрении скорости устранения уязвимостей в ИТ‑отрасли имеет

смысл проанализировать, как ведущие поставщики реализуют усовер‑

шенствования в своих продуктах. На рис. 10 показано, что 20% уязвимос‑

тей в продуктах пяти ведущих поставщиков остаются неисправленными,

что на 6% превышает показатель 2006 г.

На первый взгляд этот показатель может показаться весьма высоким. Од‑

нако не следует забывать, что в целом по отрасли соответствующие исправ‑

ления от поставщика отсутствуют для половины заявленных уязвимостей

2007 г. Пять ведущих поставщиков демонстрируют существенно более

высокие показатели исправления уязвимостей, поэтому можно утверж‑

дать, что эти поставщики занимают в этой области лидирующие позиции.

Указанные выводы проиллюстрированы на рис. 10 и 11.

Первая пятерка, неисправ‑ленные

Первая пятерка, исправ‑ленные

Рис. 10. Соотношение количества исправленных и неисправленных уязвимостей для пяти ведущих

поставщиков в 2007 г.

Соотношение количества исправленных и неисправленных уязвимостей для пяти ведущих поставщиков в 2007 г.


Рис. 11. Соотношение количества исправленных и неисправленных уязвимостей для остальных

поставщиков в 2007 г.

Остальных поставщики, неисправленные

Остальных поставщики, исправленные

Соотношение количества исправленных и неисправленных уязвимостей для остальных поставщиков в 2007 г.


Дистанционные и локальные эксплойты

Наиболее опасными являются уязвимости, которые могут эксплуати‑

роваться злоумышленником дистанционно. Дистанционная уязвимость

может эксплуатироваться по сети, в то время как локальная уязвимость

опасна только после входа злоумышленника в локальную систему или через

удаленный рабочий стол. Уязвимость, относящаяся одновременно к дис‑

танционной и локальной категориям, может эксплуатироваться обоими

способами.

Зафиксированная в 2006 г. тенденция продолжилась и в следующем году.

В 2006 г. 88,4% всех уязвимостей допускали дистанционное использова‑

ние, в 2007 г. этот показатель составил 89,4%. Как показано в табл. 5, доля

дистанционных уязвимостей в период с 2000 г. непрерывно возрастала.

Год Доля дистанцион‑ных уязвимостей

Доля локальных уязвимостей

Доля уязвимос‑тей, относящихся к обеим катего‑риям

2000 43,6% 56,4% 0,0%

200� 57,4% 42,6% �2,0%

2002 75,7% 24,3% 7,�%

2003 76,6% 23,4% 5,0%

2004 73,3% 26,7% 5,0%

2005 84,8% �5,2% 2,�%

2006 88,4% ��,6% �,4%

2007 89,4% �0,6% �,0%

Табл. 5. Процентное соотношение дистанционных и локальных уязвимостей в период с 2000 г.


Последствия эксплуатации уязвимостейВ рамках экспертного анализа группа X‑Force регистрирует первичные по‑

следствия эксплуатации каждой уязвимости. Эти последствия, определяе‑

мые как наиболее распространенный эффект от эксплуатации уязвимости,

делятся на девять категорий:

• Обходограниченийбезопасности.Возможностьпреодолениясредствза‑

щиты(такихкакмежсетевойэкран,прокси‑сервер,системаобнаружения

вторжений,вирусныйсканерит.д.).

• Манипулированиеданными.Манипулированиеиспользуемымиилихраня‑

щимисянахостеданными,связаннымиссервисомилисприложением.

• Отказвобслуживании.Существенноеограничениевозможностей

илиполныйотказпрограммы,компьютернойсистемыилисети.

• Манипулированиефайлами.Возможностьсоздания,удаления,чтения,

измененияилиперезаписифайлов.

• Получениедоступа.Получениелокальногоидистанционногодоступа.

Кэтойкатегориитакжеотносятсяуязвимости,которыепозволяют

атакующемувыполнитькодиликоманды,предоставляющиедоступкси‑

стеме.

• Получениепривилегий.Привилегиимогутбытьполученытольконало‑

кальнойсистеме.

• Получениеинформации.Возможностьполучениятакойинформации,как

именафайловипутей,исходныетекстыпрограмм,паролииподробности

конфигурациисервера.

• Информационныеуязвимости.Возможностьраскрытияименисервиса.

• Другие.


На рис. 12 показано соотношение уязвимостей различных категорий

в 2007 г.

Получение доступа

Отказ в обслуживании

Манипулирование данными

Получение информации

Обход ограничений безопасности

Получение привилегий

Манипулирование файлами

Соотношение уязвимостей различных категорий в 2007 г.

Рис. 12. Соотношение уязвимостей различных категорий в 2007 г.

Основной категорией уязвимостей в 2007 г. было получение доступа (как

и в предшествующем году). Использование этой уязвимости позволяет ата‑

кующему выполнить последующие атаки, направленные на использование

других уязвимостей в данной системе.


Тенденции в области злонамеренного использования Web‑браузеровС помощью своих поисковых агентов Project Whiro и мониторинга сетевой

деятельности с помощью MSS‑сервисов подразделения IBM ISS группа

X‑Force зафиксировала продолжающийся рост масштабов злонамеренного

использования Web‑браузеров. Во втором полугодии 2007 г. группа X‑Force

развернула новую версию поискового агента с расширенными возможнос‑

тями по анализу закамуфлированных атак на Web‑браузеры. Агент X‑Force

для поиска эксплойтов обладает существенным преимуществом: он поз‑

воляет быстро проверить сравнительно небольшой участок Интернета, не

проводя обследования всего Интернета, которое отнимает много времени.

В 2007 г. широко распространилось использование технологии IFrames

и подобных методов для хостинга ссылок на злонамеренный контент.

Технология IFrames позволяет представить сторонний контент в виде

части URL‑адреса, отображаемого браузером, хотя реально хостинг этого

контента осуществляет другой сервер. Исследование X‑Force концентриро‑

валось на методах, используемых злонамеренными Web‑серверами для экс‑

плуатации браузеров, а не на фреймах IFrames, спаме и других методах,

с помощью которых хозяева этих сайтов соблазняют пользователей нажи‑

мать на ссылки.

В 2007 г. продолжали процветать подпольные продажи эксплойтов, осу‑

ществляемые через посредников с помощью ICQ. Кроме того, более широ‑

кое распространение получила сравнительно новая тенденция — аренда

инструментария для работы с эксплойтами. Посредством аренды эксплойта

атакующий может проверять различные методики использования уяз‑

вимостей с меньшими начальными инвестициями. Однако точное число

приобретенных экземпляров инструментария остается неизвестным.

Согласно отчетам, инструменты этой категории были найдены на Web‑сай‑

тах для онлайнового хранения файлов, что наводит на мысль о широком

распространении пиратства и в этой области. Кроме того, если достоянием

общественности становится какой‑либо новый эксплойт, то атакующие

соответствующим образом модифицируют свой инструментарий для рабо‑

ты с эксплойтами.

Вследствие широкого применения инструментов для атак на Web‑бра‑

узеры, а также высокой скорости их обновления и адаптации к новым

эксплойтам все большее значение приобретает анализ наиболее распро‑

страненных эксплойтов. Если наличие какого‑либо эксплойта для Web‑бра‑

узера становится достоянием общественности, то он, скорее всего, будет

использован одним из инструментов для работы с эксплойтами.


Камуфлирование и шифрование

Зашифрованные эксплойты включаются в потоки зашифрованных дан‑

ных, присутствующие в сценарии (напр., в сценарии на языке JavaScript),

декодирование и выполнение которого осуществляется на клиентском

компьютере. Зашифрованный эксплойт может использовать и камуфлиро‑

вание, однако в общем случае не делает этого. Камуфлирование эксплойта

сводится к его перекомпоновке каким‑либо способом, который затрудняет

проверку на соответствие сигнатурам, осуществляемую системами обнару‑

жения и предотвращения вторжения (IDS/IPS).

До 2006 г. закамуфлированные эксплойты Web‑браузеров не были настоль‑

ко распространены, чтобы вызывать беспокойство у специалистов по безо‑

пасности. Такие эксплойты применялись почти исключительно в целевых

атаках, использующих известные бреши в средствах защиты периметра

организации. Сегодня ситуация в области камуфлирования атак значи‑

тельно изменилась.

На протяжении 2007 г. масштабы применения камуфлирования и шифро‑

вания Web‑эксплойтов существенно возросли. Согласно оценкам X‑Force,

в первой половине 2007 г. почти 80% Web‑эксплойтов использовали камуф‑

лирование и/или самошифрование (не путать с протоколами HTTP/SSL).

Группа X‑Force считает, что к концу 2007 г. этот показатель вплотную

приблизился к 100% преимущественно благодаря влиянию на подпольный

рынок таких инструментов, как mPack. Хотя некамуфлированные экс‑

плойты все еще встречаются, они быстро выходят из употребления.


Уязвимость Web‑браузеров для Windows

В этом разделе анализируются критические уязвимости двух самых рас‑

пространенных Web‑браузеров для Windows‑систем, а именно, браузеров

Microsoft® Internet Explorer и Mozilla Firefox. Данный анализ не охватывает

уязвимости, затрагивающей подключаемые модули сторонних постав‑

щиков (на базе ActiveX, XPI и т.д.). Хотя в этом разделе рассматриваются

только исправленные уязвимости указанных браузеров, оба поставщика,

по всей видимости, уже выпустили исправления для всех критических

уязвимостей, выявленных в 2007 г.

Критические уязвимости браузера IE в 2007 г.

Искажение памяти


Переполнение буфера

Другие

Рис. 13. Критические уязвимости браузера Internet Explorer в 2007 г.


В 2007 г. корпорация Microsoft выпустила исправления для 28 критичес‑

ких уязвимостей Internet Explorer (IE). По сравнению с оценками X‑Force

за 2006 г. общее количество и типы уязвимостей очень похожи, вплоть

до их распределения по соответствующим категориям.

На протяжении 2007 г. браузер IE сильно страдал от уязвимости типа

«искажение памяти», и группа X‑Force предполагала, что эта ситуация

сохранится и в 2008 г. Отсутствовали какие‑либо проблемы критического

характера, связанные с обходом ограничений безопасности, однако число

критических проблем прочего характера за второе полугодие 2007 г. увели‑

чилось в четыре раза. К числу этих проблем относятся логические ошибки,

способные привести к дистанционному выполнению кода или спуфингу.

Искажение памяти


Переполнение буфера

Другие

Критические уязвимости браузера Firefox в 2007 г.

Рис. 14. Критические уязвимости браузера Firefox в 2007 г.


В 2007 г. Mozilla выпустила исправления для 36 критических уязвимостей

Firefox. По сравнению с оценками X‑Force за 2006 г. (64 исправленные кри‑

тические уязвимости) число заявленных критических уязвимостей Firefox

для Windows значительно уменьшилось (почти на 44%). Почти в каждой

категории количество уязвимостей уменьшилось в два раза, за исключе‑

нием категории «другие», количество уязвимостей в которой выросло на

единицу. В 2008 г. группа X‑Force будет пристально следить за сравнитель‑

ными показателями двух указанных браузеров.

В 2007 г. браузер Firefox имел удивительно низкое число заявленных про‑

блем искажения памяти по сравнению с браузером Internet Explorer. В срав‑

нении с 2006 г, диаграммы для Internet Explorer и для Firefox за 2007 г.

обладают поразительным сходством.


Анализ спама и фишингаПодразделение IBM ISS использует лучшие в отрасли сервисы фильтрации

контента, которые позволяют получить представление о масштабах спа‑

мовых и фишинговых атак во всем мире. Посредством активного монито‑

ринга миллионов почтовых адресов группа X‑Force выявила многочислен‑

ные усовершенствования в технологиях спама и фишинга, применяемых

злоумышленниками.

В среднем подразделение IBM ISS анализирует в день более 150 тыс.

уникальных образцов писем со спамом. С помощью технологии

Fuzzy‑fingerprint подразделение IBM ISS определяет спамовое сообщение

как уникальное, если оно отличается от когда‑либо полученного ранее

спамового сообщения не менее чем на 10%.

В этом разделе рассматриваются следующие вопросы:

• Какиестраныявляютсяисточникомспама?

• ГдеосуществляетсяхостингWeb‑страниц,накоторыессылаютсяспамо‑

выесообщения?

• Каковсреднийразмерспамовогосообщениявбайтах?

• Каковысамыепопулярныетемывписьмахсоспамом?

• Какспамовыесообщенияраспределяютсяпоязыкам?

• Каковымасштабыграфическогоспама?

• КаковымасштабыанимированногоспамавформатеGIF?

• КаковымасштабыспамавформатеPDF?

• Какаячастьспамаотноситсяккатегориифишинга?

• Откудаисходятфишинговыеэлектронныеписьма?

• ГдеосуществляетсяхостингWeb‑страниц,накоторыессылаютсяфишин‑

говыеэлектронныеписьма?

• Каковысамыепопулярныетемывфишинговыхписьмах?

• Какиекомпанииявляютсяпервоочереднымицелямифишинга?


Определение географического распределения

Приведенные ниже статистические данные используют базу данных

IP‑to‑Country Database (распределение IP‑адресов по странам мира), поддер‑

живаемую ресурсом WebHosting.Info (http://www.webhosting.info). Указан‑

ная база данных доступна по адресу http://ip‑to‑country.webhosting.info.

Географическое распределение определялось посредством запроса IP‑ад‑

реса у хоста (при анализе распределения контента) или у сервера почтовой

рассылки (в случае спама и фишинга) с последующим анализом этого

IP‑адреса по базе данных IP‑to‑Country Database.

Спам по стране происхождения

На следующей карте в глобальном масштабе показаны пункты проис‑

хождения спама. Страна происхождения указывает на местонахождение

сервера, отославшего электронное письмо со спамом. По мнению группы

X‑Force, большинство электронных писем со спамом рассылается с по‑

мощью т.н. бот‑сетей (bot network). Поскольку ботами можно управлять

из любого места, национальность реальных инициаторов спамовых атак

может не совпадать со страной, из которой исходит спам.

Карта на рис. 15 демонстрирует, что около 15% от общемирового объема

рассылаемого спама приходится на серверы, расположенные в США.

Распределение отправителей спама

США 15%

Россия 9,9%

Германия 5,3%

Южная Корея 5,3%

Польша 4,6%

Бразилия 4,6%

Италия 3,9%

Турция 3,9%

Китай 3,8%

Испания 3,5%

Рис. 15. Географическое распределение отправителей спама

http://www.webhosting.info

http://ip-to-country.webhosting.info


Спам по стране происхождения внедренных Web‑ссылок

На следующей карте показано, где осуществляется хостинг URL‑ссылок,

содержащихся в сообщениях со спамом.

США 33%


Китай 7,0%

Франция 5,2%

Гонконг 4,0%

Великобритания 2,7%

Чехия 2,6%

Канада 2,5%

Венгрия 2,4%


Рис. 16. Географическое распределение URL‑ссылок в сообщениях со спамом

Распределение URL‑ссылок в сообщениях со спамом


Спам средний размер в байтах

В 2005 и 2006 гг. размеры сообщений со спамом выросли в среднем с 6 КБ

до более 10 КБ. Однако за последние три квартала размеры этих сообщений

уменьшились ниже уровня, соответствующего началу 2005 г.

Рис. 17. Средние размеры сообщений со спамом с 2005 г.

Это уменьшение тесно коррелирует с тенденцией сокращения графическо‑

го спама (см. ниже). В последние месяцы 2007 г. имела место ярко выра‑

женная тенденция перехода к коротким спамовым сообщениям в текстовом

формате, содержащим не более одной URL‑ссылки.

Средние размеры сообщений со спамом

Ки

ло

ба

йты

Средние размеры сообщений со спа‑мом


Спам — самые распространенные темы сообщений

В следующей таблице приведены самые распространенные темы спамовых

сообщений во втором полугодии 2007 г.

Тема электронного сообщения Доля

Re: 7,�8%

<пустаястрокатемы> 2,78%

ThePharmacyAmericaTrusts 2,�2%

TheUnitedStatesNationalMedicalAssociation �,47%

Fw: �,47%

ReplicaWatches �,�2%

ManLebtnureinmal—probiersaus! 0,97%

Canyoutellmewhat’swrong,andhowwecanfixit? 0,96%

You’vereceivedanecardfromaPartner! 0,85%

You’vereceivedagreetingecardfromaWorshipper! 0,8�%

Спам: самые распространенные языки

В следующей таблице приведены пять языков, чаще других использовав‑

шихся в сообщениях со спамом в 2007 г.

Язык Доля

Английский 88,3%

Немецкий 5,�%

Японский �,7%

Русский �,7%

Испанский 0,6%


Графический спам

Графический спам начал представлять проблему для антиспамовых реше‑

ний с середины 2005 г. Однако на протяжении второго квартала 2007 г.

доля этой категории спама значительно сократилась. К концу года 2007 г.

на графический спам приходилось не более 5% от всего объема спама.

Остается открытым вопрос, продолжит графический спам свое сущес‑

твование в нынешнем виде или в 2008 г. появятся новые разновидности

графического спама.

Процентное содержание графического спама

Графический спам

Рис. 18. Процентное содержание графического спама с 2005 г.


Спам на основе анимированных изображений в формате GIF

Судьба спама на основе анимированных изображений в формате GIF по‑

добна судьбе его «старшего брата». К концу 2007 г. на эту категорию спама

приходилась незначительная доля от общего объема спама.

Рис. 19. Процентное содержание спама на основе анимированных изображений в формате GIF с июля

2007 г.

Процентное содержание спама на основе анимированных изображений в формате GIF

Июль 2007 г.

Спам в формате GIF

Август 2

007 г.

Сентябрь 2007 г.

Октябрь 2007 г.

Ноябрь 2007 г.

Декабрь 2007 г.


Рис. 20. Процентное содержание спама в формате PDF с июля 2007 г.

Спам: вложения в формате PDF

Летом 2007 г. группа X‑Force зафиксировала новый метод доставки спама:

с помощью электронных писем, содержащих спамовые вложения в фор‑

мате PDF. Сначала некоторые поставщики средств безопасности не имели

возможностей для анализа таких вложений на предмет спама, однако вско‑

ре они усовершенствовали свои методики. В результате высокий уровень

PDF‑спама держался на протяжении нескольких недель, а затем пошел

на спад.

Процентное содержание спама в формате PDF

Июль 2007 г.

Спам в формате PDF

Август 2

007 г.






Летом 2007 г. на протяжении всего нескольких часов PDF‑спам состав‑

лял 10 — 20% от общего объема спама. Этот момент проиллюстрирован

на рис. 21.

Процентное содержание спама в формате PDF


Рис. 21. Процентное содержание спама в формате PDF в августе 2007 г.

Самые большие объемы PDF‑спама были зафиксированы 2, 8 и 12 августа.

Начиная с 22 августа какой‑либо PDF‑спам не фиксировался, за исключе‑

нием незначительного эпизода в октябре 2007 г. Дополнительную статисти‑

ческую информацию по спаму в формате PDF можно получить по адресам

http://blogs.iss.net/archive/PDFSpam.html и http://blogs.iss.net/archive/

PDFSpamv20.html.

В 2007 г. на короткое время появился спам в формате MP3. Спамовые элек‑

тронные письма с использованием этой технологии фиксировалось в октяб‑

ре, но на протяжении всего нескольких дней. Объем спама этой категории

был намного меньше, чем объем PDF‑спама в летние месяцы. Интересно,

что исходные тексты у MP3‑спама и у PDF‑спама были очень похожи. Под‑

робности относительно MP3‑спама можно найти по адресу: http://blogs.iss.

net/archive/mp3‑spam.html.

http://blogs.iss.net/archive/PDFSpam.html

http://blogs.iss.net/

http://blogs.iss.net/archive/mp3-spam.html

http://blogs.iss.net/archive/mp3-spam.html


2008 г. покажет, укрепит ли спам в форматах PDF и MP3 свои позиции или

останется коротким эпизодом в истории спама. Наиболее вероятен второй

сценарий, поскольку получателям спама в форматах PDF и MP3 прихо‑

дится выполнять значительно больше операций (открывать файл в фор‑

мате PDF или другой документ, а в некоторых случаях — даже запускать

MP3‑файл или распаковывать файл в формате ZIP), чем в случае с тексто‑

вым и/или графическим спамом.

Фишинг: процентное содержание в общем объеме спамаК концу 2007 г. доля фишингового спама увеличилась до 1%.


Рис. 22. Процентное содержание фишингового спама

Процентное содержание фишингового спама

Фишинговый спам

Июль 2007 г.

Август 2

007 г.






Фишинг по стране происхождения

На следующей карте показаны страны, из которых исходят фишинговые

электронные письма. Страна происхождения указывает на местонахож‑

дение сервера, отославшего фишинговое электронное письмо. По мнению

группы X‑Force, большинство фишинговых электронных писем рассыла‑

ется с помощью бот‑сетей. Поскольку ботами можно управлять из любого

места, реальные инициаторы фишингового мошенничества могут нахо‑

диться не в той стране, где размещен сервер, рассылающий электронные

письма. Представленная ниже статистика с большей вероятность указыва‑

ет на местонахождение зараженных ботами хостов, чем на национальность

фишинговых мошенников.

Рис. 23. Географическое распределение отправителей фишинговых сообщений

Распределение отправителей фишинговых сообщений

Испания 14,8%

Италия 14,3%

Бразилия 10,7%

Израиль 8,4%

Франция 6,5%


США 5,0%

Польша 4,9%


Аргентина 3,8%


Фишинг по стране происхождения внедренных Web‑ссылок

На следующей карте показано, где осуществляется хостинг URL‑ссылок,

содержащихся в фишинговых сообщениях.

США 29,3%


Китай 10,4%

Таиланд 8,0%

Казахстан 6,0%


Румыния 2,8%


Турция 2,2%

Австрия 2,2%

Рис. 24. Географическое распределение URL‑ссылок в фишинговых сообщениях

Распределение URL‑ссылок в фишинговых сообщениях


Фишинг: самые популярные темы сообщений

В следующей таблице приведены самые распространенные темы фишинго‑

вых сообщений во втором полугодии 2007 г.

Тема электронного сообщения Доля

<пустаястрокатемы> 22,2�%

AccountSecurityMeasures! 3,86%

ImportantNotice—E*TRADEFINANCIALCorp 3,2�%

Importantnotice! 2,0�%

VolksbankenRaiffeisenbankenAG:02/��/2007 �,94%

SecurityMeasures! �,82%

CitibankAccountSecurity! �,77%

CitibankBankNotice! �,75%

CitibankAccountSecurityMeasures! �,74%


Тенденции в области Web‑контентаВ этом разделе отчета анализируется количество и распределение «плохо‑

го» Web‑контента, который неприемлем для организаций в силу социаль‑

ных принципов и корпоративной политики. Нежелательный или «плохой»

интернет‑контент ассоциируется с Web‑сайтами следующих трех типов:

сексуально ориентированный, с социальными отклонениями и криминаль‑

ного характера. В табл. 6 приведены категории Web‑фильтров IBM ISS,

соответствующие указанным типам сайтов.

Более подробно категории Web‑фильтров определены по следующе‑

му адресу: http://www‑935.ibm.com/services/us/index.wss/detail/iss/

a1029077?cntxt=a1027244

ТипWeb‑сайта КатегорияWeb‑фильтра

Сексуальноориентирован‑ный

Порнография

Эротический/сексуальный

Ссоциальнымиотклоне‑ниями

Политический,экстремизм/ненависть/дискриминация

Секты

Криминальногохарактера Анонимныепрокси‑серверы

Компьютерныепреступления

Незаконнаядеятельность

Незаконныйоборотнаркотиков

Вредоносныепрограммы

Насилие/экстремизм

Хакерскиеинструменты/нелегальныепрограммы

Табл. 6. Категории Web‑фильтров для нежелательного Web‑контента


Анализ результатов

Группа X‑Force фиксирует информацию о распределении интернет‑кон‑

тента посредством подсчета хостов, классифицированных по различным

категориям базы данных Web‑фильтров IBM ISS.

Подсчет хостов — общепринятый метод для решения этой задачи, обеспе‑

чивающий самую реалистичную оценку. При использовании других мето‑

дов (например, подсчет Web‑страниц/фрагментов Web‑страниц) результа‑

ты могут отличаться.

В центре обработки данных IBM ISS непрерывно просматриваются и ана‑

лизируются новые данные по Web‑контенту. Деятельность центра обработ‑

ки данных IBM ISS можно охарактеризовать следующей статистической

информацией:

• Ежемесячноанализируется150млнновыхWeb‑странициизображений.

• С1999г.былопроанализировано7,8млрдWeb‑странициизображений.

База данных Web‑фильтров IBM ISS содержит:

• 62категориифильтров;

• 95млн.записей.

Ежедневно в эту базу данных добавляется 100 тыс. новых или обновленных

записей.

Проверить наличие сайта в базе IBM ISS можно по следующему адресу:

http://filterdb.iss.net/urlcheck/


Текущая ситуация в области нежелательного интернет‑контента

В настоящее время почти 9% интернет‑контента относится к категории не‑

желательного (порнография, материалы криминального характера и т.д.).

Рис. 25. Распределение нежелательного интернет‑контента

Прочий

Сексуально ори‑ентированный

Криминального характера

С социальными отклонениями

Распределение контента


Текущее распределение сексуально ориентированного контента

Рис. 26. Географическое распределение контента для совершеннолетних

Распределение сексуально ориентированного контента

США 48,2%


Нидерланды 6,3%


Канада 4,5%

Франция 4,3%

Россия 2,3%


Китай 1,1%

Польша 0,9%


Текущее распределение контента с социальными отклонениями

Распределение контента с социальными отклонениями

США 47,9%



Канада 4,8%

Франция 2,9%


Китай 2,4%

Италия 2,1%

Испания 0,8%

Польша 0,8%

Рис. 27. Географическое распределение контента с социальными отклонениями


Текущее распределение криминального контента

Рис. 28. Географическое распределение криминального контента

Распределение криминального контента

США 41,8%



Канада 6,6%


Италия 4,6%

Франция 3,5%

Китай 3,0%


Россия 2,9%


Анализ вредоносных программВ 2007 г. количество вредоносных программ продолжало расти. Кроме

того, эти программы становятся все более изощренными. На протяжении

2007 г. группа X‑Force проанализировала почти 410 тыс. новых образцов

вредоносного кода, что более чем на 30% превышает показатели 2006 г.

Самой распространенной категорией вредоносных программ в 2007 г.

являются троянские программы, в отличие от 2006 г., когда самой массо‑

вой категорией были т.н. загрузчики (downloader), а троянские програм‑

мы и черви незначительно отстали от них. В 2007 г. троянских программ

оказалось почти на 60% больше, чем червей (второе место), а загрузчики

существенно сдали свои позиции по сравнению с уровнем 2006 г.

Продолжает действовать тенденция 2006 г., согласно которой вредонос‑

ный код становится все менее дифференцируемым по типам. В эту общую

категорию попадают все новые технологии, используемые самыми раз‑

ными успешными разновидностями вредоносных программ. Продолжая

мониторинг вредоносного кода в 2008 г., группа X‑Force констатирует,

что классические категории (вирусы, черви, троянские программы, бэк‑

дор‑программы и т.д.) становятся все более трудно отличимыми друг от

друга. Современный вредоносный код — это цифровой аналог швейцар‑

ского армейского ножа, и данные 2007 г. в очередной раз подтверждают

этот тезис.


По мнению X‑Force, последующая классификация вредоносного кода долж‑

на основываться на наиболее важных особенностях угрозы. Проанализи‑

рованный в 2007 г. вредоносный код разделен на следующие категории:

• Черви.Способнысамостоятельнораспространятьсяпосети.

• Бэкдор‑программы.Предоставляетатакующемуфункциональные

возможностидляподключениякпоражаемойсистемеудаленнобезпредо‑

ставлениялегальныхаутентификационныхданныхдлявходавсистему.

• Вирусы.Заражаютхостинаносятемутотилиинойвред,неспособны

распространятьсяпосетисамостоятельно.

• Похитителипаролей.Предназначеныдлякражиаутентификационных

данныхдлявходавопределенныеонлайновыеприложения,играютключе‑

вуюрольприпроведенииатак,направленныхнакражуидентификацион‑

нойинформации.

• Загрузчики.Небольшиепрограммы,которыеустанавливаютсебянапо‑

ражаемомкомпьютере,послечегозагружаютболееизощренныйпрограм‑

мныйагентилиобновленнуюверсиювраждебногокода.

• Кейлогеры.Фиксируютвсенажатияклавишисохраняютэтуинформа‑

циюдляпоследующегоиспользованиязлоумышленником.

• Программыдозвона.Используютмодемноеподключениедляустановле‑

ниясвязисозлоумышленникомилидлянесанкционированногосоединения

телефонажертвыатакисплатныминомерами.

• Троянскиепрограммы.Вредоносныепрограммы,которыедоустановки

выглядяткаклегитимныефайлы.Частообладаютфункциональнымивоз‑

можностямипосокрытиюсвоегоналичиявоперационнойсистеме(рутки‑

ты).

• Прочие.Всеостальныевредоносныепрограммы,неотносящиесякка‑

кой‑либоизвышеперечисленныхбазовыхкатегорий.


,,,

Деление вредоносного кода на категории

Экземпляры вредоносных программ, собранные группой X‑Force на про‑

тяжении 2007 г., относятся к нескольким категориям. Самой распростра‑

ненной категорией вредоносных программ в 2007 г. являются троянские

программы, в отличие от загрузчиков, которые были самой распространен‑

ной категорией в 2006 г.

Троянские программы

Черви

Рекламные про‑граммы (adware)

Вирусы

Загрузчики

Похитители паролей

Программы дозвона

Бэкдор‑программы

Прочие

Кейлогеры

Скрытые програм‑мы (Rootkit)Шпионские про‑граммы (spyware)

Разбивка вредоносных программ по категориям в 2007 г.

Рис. 29. Разбивка вредоносных программ по категориям в 2007 г.


Тенденции изменения категорий вредоносных программ

За исключением всплеска в конце года, вызванного преимущественно чер‑

вем Net‑Worm.Win32. Allaple, активность червей оставалась сравнительно

постоянной на протяжении всего 2007 г. Это объясняется более слабыми

вспышками активности со стороны вредоносных программ определенных

семейств и, соответственно, сокращением продолжительности и более

ограниченными масштабами последовательных атак с использованием

различных вариантов червей. Например, червь Nuwar (он же Storm Worm,

Peacomm и т.д.) обнаруживался достаточно легко. По указанной причине

методика распространения червей переориентировалась на массовую рас‑

сылку спама. В категории троянских программ, напротив, группа X‑Force

зафиксировала последовательное усиление роли этих программ в качестве

доминирующей категории вредоносного кода, чем объясняется повышен‑

ное внимание злоумышленников к использованию троянских программ

для проведения мощных целенаправленных атак.

Рис. 30. Тенденции изменения категорий вредоносных программ в 2007 г.


Черви

Рекламные программы

Тенденции изменения категорий вредоносных программ в 2007 г.

Вирусы


Похитители паролей

Программы дозвонаБэкдор‑програм‑мыПрочие

Кейлоггеры

Скрытые про‑граммы

Шпионские программы


Новые вредоносные программы

На следующей диаграмме показаны данные по количеству новых вредо‑

носных программ, классифицированных группой X‑Force в 2007 г. Особого

внимания заслуживает переход от массовой рассылки червей к изощрен‑

ным целенаправленные атакам с применением троянских программ, скры‑

тых программ (rootkit) и других комбинированных методов.

Рис. 31. Новые вредоносные программы 2007 г.


Черви

Рекламные про‑граммы (adware)

Вирусы


Похитители паро‑лей (PWS)

Программы дозвона

Бэкдор‑программы

Прочие

Кейлогеры

Скрытые програм‑мы (Rootkit)

Шпионские про‑граммы (spyware)

Новые вредоносные программы 2007 г.


Первые десятки наиболее распространенных вредоносных программ

Top‑10‑2007 Вредоносные программы

Trojan.W32.Agent

Net‑Worm.Win32.Allaple

Trojan‑Downloader.Win32.Small

Trojan‑Downloader.Win32.Zlob

Trojan‑Downloader.Win32.Agent

Email‑Worm.Win32.Zhelatin

Virus.Win32.Virut

Email‑Worm.Win32.Mixor

Trojan‑Spy.Win32.Bzub

Trojan‑PSW.Win32.Delf

Top‑10‑2007 Скрытые программы (Rootkit)

Rootkit.Win32.Agent

Rootkit.Win32.Vanti

Rootkit.Evilotus

Rootkit.Win32.Delf

Trojan.NTRootkit

Rootkit.Win32.Podnuha

Rootkit.Win32.Fuzen

Rootkit.Win32.Ntrtk

Rootkit.Win32.Small

Rootkit.Win32.HideProc

Top‑10‑2007 Бэкдор‑программы

Backdoor.Win32.Hupigon

Backdoor.Win32.Agent

Backdoor.Win32.Delf

Backdoor.Win32.Rbot

Backdoor.Win32.Bifrose

Backdoor.IRC.Zapchast

Backdoor.Win32.Small

Backdoor.Win32.SdBot

Backdoor.Win32.VB

Backdoor.Win32.IRCBot

Top‑10‑2007 Троянские программы

Trojan.Win32.Agent


Trojan.Win32.Delf

Trojan.Win32.Small

Trojan‑Spy.Win32.Banker

Trojan.Win32.Obfuscated

Trojan‑Spy.Win32.Bancos

Trojan‑Spy.Win32.Perfloger

Trojan‑Downloader.Win32.IstBar

Trojan‑Clicker.Win32.Agent


Top‑10‑2007 Черви

Net‑Worm.Win32.Allaple

Email‑Worm.Win32.Zhelatin

Email‑Worm.Win32.Mixor

Worm.Win32.Viking

Email‑Worm.Win32.NetSky

Worm.W32.Agent

Email‑Worm.Win32.Warezov

Email‑Worm.Win32.Bagle

Email‑Worm.Win32.Scano

Worm.W32.Delf

Top‑10‑2007 Похитители паролей

Trojan‑PSW.Win32.OnlineGames

Trojan‑PSW.Win32.Delf

Trojan‑PSW.Win32.Agent

Trojan‑PSW.Win32.Nilage

Trojan‑PSW.Win32.Sinowal

Trojan‑PSW.Win32.QQShou

Trojan‑Spy.Win32.ProAgent

Trojan‑Spy.Win32.Bancos


Trojan‑PSW.Win32.QQPass

Top‑10‑2007 Вирусы

Virus.Win32.Virut

Virus.Win32.Agent

Virus.Win32.Parite

Virus.Win32.Delf

Virus.Win32.Kies

Virus.Win32.AutoRun

Virus.Win32.Small

Virus.Win32.Sality

Virus.Boot

Virus.DOS.Trivial

Top‑10‑2007 Загрузчики

Trojan‑Downloader.Win32.Small

Trojan‑Downloader.Win32.Zlob

Trojan‑Downloader.Win32.Agent

Trojan‑Downloader.Win32.Banload

Trojan‑Downloader.Win32.Delf

Trojan‑Downloader.Win32.Tibs

Trojan‑Downloader.Win32.Obfuscated

Trojan‑Downloader.Win32.Adload

Trojan‑Downloader.Win32.VB

Trojan‑Downloader.Win32.Tiny


Top‑10‑2007 Почтовые черви (Mass Mailer)

Email‑Worm.Win32.Mydoom.m

Email‑Worm.Win32.NetSky.q

Email‑Worm.Win32.NetSky.t

Trojan‑Dropper.Win32.Agent.bzp

Password‑protected‑EXE

Email‑Worm.Win32.Nyxem.e

Email‑Worm.Win32.NetSky.y

Trojan‑Spy.Win32.KeyLogger.rp

Email‑Worm.Win32.Zafi.d

Email‑Worm.Win32.Bagle.gt

О подразделении IBM ISSПодразделение IBM Internet Security Systems (ISS) является одним из

ведущих консультантов по вопросам безопасности, который обслуживает

крупнейшие компании и государственные учреждения, предлагая про‑

дукты и услуги для защиты от интернет‑угроз. Являясь лидером рынка

с 1994 года, подразделение IBM ISS гарантирует заказчикам экономичес‑

кую эффективность, соотвествие нормативным требованиям и уменьше‑

ние опасностей для бизнес‑активов. Продукты и услуги IBM ISS основы‑

ваются на результатах исследовательской деятельности группы X‑Force,

являющейся мировым лидером в области анализа уязвимостей и угроз.

Для получения дополнительной информации о подразделении IBM ISS об‑

ращайтесь в местное представительство корпорации IBM или к бизнес‑парт‑

неру IBM. Дополнительную информацию можно также получить на сайте

www.ibm.com/ru/services/iss/iss.html или по тел. +7 (495) 775‑88‑00

© Copyright IBM Corporation 2008

IBM Global Services

IBMВосточнаяЕвропа/Азия

�233�7,Россия,Москва,

Краснопресненскаянаб.,�8

Тел.:+7(495)775‑88‑00

Факс:+7(495)258‑63‑63

IBMилоготипIBMявляютсятоварнымизнаками

илизарегистрированнымитоварнымизнаками

InternationalBusinessMachinesCorporationвСША

и/илидругихстранах.

InternetSecuritySystemsиX‑Forceявляютсятовар‑

нымизнакамиилизарегистрированнымитоварными

знакамиIBMInternetSecuritySystems,Inc.вСША

и/илидругихстранах.InternetSecuritySystems,Inc.

являетсядочернейкомпаниейInternationalBusiness

MachinesCorporation.

WindowsявляетсятоварнымзнакомMicrosoft

CorporationвСШАи/илидругихстранах.

Другиеназваниякомпаний,продукциииуслугмогут

являтьсятоварнымизнакамиилизнакамиобслужи‑

ваниясоответствующихкомпаний.

Упомянутыевданнойпубликациипродукты

илиуслугиIBMмогутбытьнедоступныврядестран,

гдеIBMведетсвоюдеятельность.

Отчет ibm internet security systems x‑force о …...x‑force® 2007 trend statistics...

Documents