29
Trendy v počítačových hrozbách Filip Navrátil Sales Engineer ESET software spol s r.o.
Trendy v počítačových hrozbách
Filip NavrátilSales Engineer
ESET software spol s r.o.
Obsah
• O společnosti ESET• Technologie ThreatSense.Net, Virus Radar• 10 hlavních trendů v roce 2008 • Co to znamená pro koncové uživatele???• Nejrozšířenější hrozby roku 2008 dle ThreatSense.Net• Nejrozšířenější hrozby dle Virus Radar za rok 2008• Očekávané trendy v roce 2009…
O společnosti ESET
• Společnost ESET byla založena v roce 1992.
• ESET má sídlo v Bratislavě na Slovensku, pobočky v Praze, v Bristolu, Buenos Aires, San Diegu a je reprezentována ve více než 160 zemích světa.
• V roce 2008 otevřel ESET vývojové centrum v polském Krakově.
• ESET je světovým producentem bezpečnostního software pro firemní klientelu i koncové uživatele a věnuje se boji proti vznikajícím počítačovým hrozbám.
• Produkty ESET patří mezi technologickou špičku i díky tomu, že negenerují téměř žádné falešné poplachy a díky technologii ThreatSense® okamžitě reagují na nové hrozby.
Technologie ThreatSense.Net, Virus Radar
Technologie ThreatSense.Net
• Automatický sběr dat o aktuálních a nových hrozbách detekovaných produkty ESET.
• Data jsou automaticky zasílána na analýzu do virových laboratoří.
• Díky unikátní heuristické analýze umožňuje technologie ThreatSense.Net rychlou analýzu a reakci na nové hrozby.
• Poskytuje přesné informace o šíření jednotlivých hrozeb.
Virus Radar
• Projekt Virus Radar je realizován ve spolupráci se společností Seznam.cz.
• Cílem projektu je monitoring a statistická analýza počítačových hrozeb, které se šíří v přílohách emailů .
10 hlavních trendů v roce 2008
10 hlavních trendů v roce 2008
1. Nárůst počtu a sofistikovanosti programů, které se vydávají za antivirové nebo antispyware produkty.
2. Programy pro zcizení účtů a hesel k online hrám.
3. Zneužívání funkce Autorun v systému Windows různými druhy počítačových hrozeb, které se tímto snaží zajistit si spuštění na počítači.
4. Zneužití upravených dokumentů (např. PDF a dalších "důvěryhodných" formátů) ke zneužití konkrétních zranitelností příslušných aplikací.
5. Útočníci pokračují v pátrání po zranitelnostech za účelem tzv. "zero-day" útoků.
10 hlavních trendů v roce 2008
6. Zneužití zranitelnosti publikované v bulletinu MS08-067
7. Vyuití sociálního inženýrství – jednodušší než hledání zranitelností
8. Hrozby typu Drive-by downloads/exploitats
9. Pokračuje distrubuce malware v podobě falešných kodeků.
10.Pokračuje vyžití různých kopresních programů
Co to znamená pro koncové uživatele???
Co to znamená pro koncové uživatele???
• Využití sociálního inženýrství
• Nutí k nápuku plné verze pro aktivaci všech funkcí
• Neobsahuje žadné z deklarovaných funkcí
• Může obsahovat i další spyware a adware
Falešný Anti-malware
Co to znamená pro koncové uživatele???
• Mnoho uživatelů je stále překvapeno, že datové soubory mohou obsahovat spustitelný kód a považují datové typy souborů automaticky za důvěryhodné
• Nejedná se dnes již jen o MS Office, ale další datové formáty jako jsou PDF, MP3 a další
• Příkladem je WMA/TrojanDownloader.Wimad.N nebo WMA/TrojanDownloader.GetCodec.gen
Zneužití „důvěryhodných“ datových formátů
• Dlouhodobý trend vyžití sociálního inženýrství ke špuštění škodlivého kódu
• Uživatel je přesvědčen, že spuštěním získá cosi užitečného
• Klasický případ stránek s "multimediálním" obsahem• Často případ porno/warez stránek
Co to znamená pro koncové uživatele???
Podvodné kodeky
• Hrozba se sam nešíří, uživatel jde za hrozbou
• Objevuje se i na legitimních stránkách• Napadení webového serveru (SQL injection, sniffer,
keylogger, slovníkové útoky, známá zranitelnost, …)
• Umístění kódu do stávajících stránek
Co to znamená pro koncové uživatele???
Drive-by exploits / downloads
• Další variantou je neprolinkovaná webová stránka
• Provázáno se spamem
• Aplikováno v sociálním inženýrství
• Využití serveru jako download serveru pro hrozby
• Zjevné vazby mezi spammery a těmito útoky
• „Zombie“ v cizině spamují české URL linky
Co to znamená pro koncové uživatele???
Drive-by exploits / downloads
http://cadorgames.xf.cz/index1.php http://cobrahk.wz.cz/index1.phphttp://cykloservis.webzdarma.cz/index1.php http://nordex.cz/index1.php http://optikart.cz/index1.php http://penzion-hradsky.cz/index1.php http://restauracnisoftware.cz/index1.php http://romanegila.ic.cz/index1.php http://triz.ic.cz/index1.php http://vkshb.cz/index1.php http://www.aquasphere.cz/tophot.html http://www.aquasphere.cz/whatsup.html http://www.biosprerov.cz/index1.php http://www.czestochowa.tnoik.org/index1.php http://www.fiasw.cz/index1.php
• Funkce autorun je navržena jako "Spusť vše co připojím"
• Nejedná se o primární způsob šíření, ale většinou o další použitou metodu
• Obecné doporučení je raději tuto funkcionalitu vypnout
Co to znamená pro koncové uživatele???
Hrozby zneužívající funkci Autorun
Co to znamená pro koncové uživatele???
• Nástup chytrých mobilních zařízení připojených k internetu přidává novou skupinu potencionálních obětí
• První hrozby pro mobilní platformy se již objevují
• Větší útok je jen otázkou času
Mobilní hrozby
Co to znamená pro koncové uživatele???
• Nejednoznačná detekce adware a spyware• PUA je ve většině produktů jako volba
• Pozor na čtení EULA, to nejmenší bývá důležité
• Instalace takových programů může obsahovat i další aplikace, které nejsou uvedeny v EULA
Virtumonde, Adware, Potentially Unwanted Application ,…
Co to znamená pro koncové uživatele???
• Hrozby, které odesílají data z počítače• Trojské koně obsahující keylogers, rootkits,…
• Jmenná konvence pro celé soubory hrozeb
• Při detekci je využita heuristika
Win32/PSW.OnLineGames, Win32/Agent, …
Co to znamená pro koncové uživatele???
• Červ využívající zranitelnosti v MS bulletinu MS08-067
• Několik metod šíření• Využití zranitelnosti, autorun.inf, sdílené složky
• Infikován velký počet stanic• Botnet síť v řádu milionů stanic
Win32/Conficker
Nejrozšířenější hrozby roku 2008
Nejrozšířenější hrozby roku 2008 dle ThreatSense.Net
• Statistika "Top 20" dle počtu detekcí jednotlivých názvů
• Díky heuristické detekci hrozeb nemusí vždy reprezentovat jednotlivou hrozbu nebo celou rodinu hrozeb
• Tento výstup neposkytuje přehled o trendech
Nejrozšířenější hrozby roku 2008 dle ThreatSense.Net
• Statistika hrozeb dle typu
• Jednotlivé varianty hrozeb jsou seskupeny pod jeden název
• Podává lepší přehled o aktuálních trendech
Nejrozšířenější hrozby dle Virus Radar za rok 2008
• Projekt realizovaný v době útoků šířených téměř výhradně emailem.
• Stále živá scéna, i když poměry infikovaných emailů jsou jiné než v dobách největší "slávy"
• Přílohy emailu nahradily URL odkazy ve spamových zprávách2004-
062004-
122005-
062005-
122006-
062006-
122007-
062007-
122008-
06
0
5
10
15
20
25
19.56
10.6
4.287.61
0.8 0.9 0.81 0.29
0.09000000000000
01
Očekávané trendy v roce 2009
Očekávané trendy v roce 2009…
Lepší nevědět
Očekávané trendy v roce 2009…
• Více útoků s cílem získat peníze – hlavní a jediný cíl útoku• Opakování případů typu falešných antivirů• Bude vylepšena forma sociálního inženýrství a možná i
"funcionalita" falešných produktů
• Útoky na zranitelnosti prohlížečů=nejpoužívanějších aplikací• Tyto aplikace přivedou útočníka k hrozbám (drive-by
exploits)
• Více útoků na mobilní platformy• Větší rozšíření "smart" zařízení připojených na inet
Očekávané trendy v roce 2009…
• Útoky na další platformy jako OS X
• Použití technik pro skrývání hrozeb – více času na útok=více peněz (ROI)
• Zvýší se podíl hrozeb zněužívajících zranitelností aplikací s využitím "datových" souborů (PDF, media files…)
• Využití sociálního inženýrství pro útoky na služby typu Facebook, LinkedIn,twitter …
Děkuji za pozornost.
Filip NavrátilSales Engineer
ESET software spol s r.o.
