Hirdetés

Rafináltabb veszélyforrások a neten

A Symantec internetes veszélyekről szóló jelentése (ISTR) félévente tájékoztat az internetes veszélyforrások tevékenységéről. A jelentés a hálózati támadások elemzését és az ismert sérülékenységek áttekintését tartalmazza, valamint a legfontosabb rosszindulatú programokkal, az adathalászattal, a levélszeméttel és az egyéb veszélyekkel foglalkozik. A legutóbbi jelentés a 2006. január 1. és június 30. közötti hat hónappal foglalkozik.

A régebben megfigyelt, nagy kiterjedésű hálózati támadások helyett a támadók ma sokkal inkább célirányos rosszindulatú programkódot és célzott támadást használnak a felhasználói oldal alkalmazásai, a webes alkalmazások és a webre épülő szolgáltatások ellen. Ez világosan látható volt az év első hat hónapjában, amikor az újonnan felfedezett sérülékenységek 69%-a a webalkalmazásoknál jelentkezett, ami persze nem jelenti azt, hogy a bűnőzök ezeket mind ki is tudták használni.

Webböngészők a célpontban

A webböngészők is a védelmi kutatások és a támadások kimagasló célpontjaivá váltak, a Symantec ebben a félévben 47 darab Mozilla-típusú és 38 Microsoft Internet Explorer böngészőket érintő sérülékenységet jegyzett fel. Ezekkel a támadásokkal megkerülhetőek a hálózat határának szokásos védelmi eszközei, mivel olyan portokat használnak, amelyeket nem szokás szűrni. Így ezeket nem lehet a hálózat határát védő hagyományos eszközökkel, a tűzfalakkal kivédeni. A webböngészőkre irányuló sikeres támadással veszélyeztethetők a sérülékeny számítógépek, és meg lehet szerezni a számítógépre bejelentkezett felhasználó jogait. A webböngésző elleni sikeres támadás következtében a támadó a megtámadott számítógépet kiindulási pontul használhatja a hálózat elleni további, a hálózat határvédelme mögüli támadás végrehajtásához. Így illegálisan elérhető a hálózat többi számítógépe, vagy kifigyelhető a hálózat belső forgalma. 2006 első hat hónapjában a Microsoft Internet Explorer volt a leggyakrabban célba vett böngésző. A webböngészőket célba vevő összes támadás 47%-a irányult erre. A Microsoft Internet Explorer „kimagasló szereplése” nem meglepő, ha figyelembe vesszük, hogy a nagy- és kisvállalatok, valamint az otthoni felhasználók ezt a böngészőt telepítik a leggyakrabban.

Hirdetés

A trójaiak vezetnek a rosszindulatúak között

A veszélyek jelenlegi környezetére a rosszindulatú programkódok terén beállott változás is rányomja bélyegét. Napjaink rosszindulatú programkódjára nem csak a kisebb és célirányosabb, csalásra, adatlopásra és más bűncselekményre összpontosító támadás, hanem az egyes vállalatokra való fokozott összpontosítás is jellemző. A mai rosszindulatú programok gyakorta lassabban terjednek, hogy elkerüljék a lelepleződést. Úgy tűnik, a támadók a trójaiak használatával történő, célzott támadások felé mozdultak el.

Ebben az évben eddig a leggyakrabb tíz új rosszindulatú kódcsaládból öt trójai volt. A levélözönférgek a „sörétes puska” módszer felé fordultak, nagy mennyiségben küldve el önmagukat a lehető legnagyobb számú felhasználónak. Egyre gyakrabban jelennek meg a bizonyos felhasználók és csoportok elleni trójaiak. Az Mdropper.H trójai például a Microsoft Word egy nulladik napi sérülékenységét használta ki a Ginwui hátsóajtó-program egyik változatának telepítéséhez. Az Mdropper trójait tartalmazó Word-dokumentum levélszemétként, a címzetteket az üzenet megnyitására késztető átverést alkalmazva jutott el egy kiválasztott felhasználócsoporthoz. Az ilyen támadások célzott jellegéből következően a trójait kisebb felhasználócsoportnak küldik el, így kevésbé lesz gyanús, és kisebb a valószínűsége, hogy elküldik elemzésre egy vírusirtó-gyártónak.

Motiváció: sok-sok pénz

Az internetes veszélyekről szóló jelentés korábbi számaiban már jelezte a Symantec, hogy a támadások motivációja a hírnév vagy hírhedtség felől az anyagi előny megszerzése felé tolódott el. Gyakran olyan információt próbálnak meg megszerezni, amely valamiféle értékkel bír a támadónak, például olyan személyes információt, amelyet aztán személyazonosság-lopásra vagy csalásra lehet felhasználni. A vállalati környezetben az ilyen célzott támadásokat a cég védett információihoz történő jogtalan hozzáférésre, és ezáltal a szervezet szellemi tulajdonának veszélyeztetésére lehet használni.

Az internetes veszélyekről szóló jelentésben célirányos támadásnak azt nevezzük, amikor egy adott iparág területéről legalább három érzékelőt megtámadtak, ugyanakkor más iparágat nem érintett a támadás. A célzott támadásokat a széles körű támadásokkal (például a semmilyen konkrét információt sem kereső, szolgáltatást lehetetlenné tevő DoS támadásokkal) ellentétben meghatározott céllal, például bizalmas információ megszerzése érdekében hajtják végre. 2006. január 1. és június 30. között az otthoni felhasználókat érte az összes célirányos támadás 86%-a. Mivel az otthoni felhasználók számítógépeinek gyengébb a védelme, másrészt bőséges forrást biztosítanak a személyazonosság ellopásához, valószínű, hogy az ellenük irányuló, célzott támadások közül sokat csalásra vagy más, pénzügyi indíttatású bűncselekmény elkövetésére használnak. A Symantec azon állítását, hogy a támadókat egyre inkább az anyagi előny megszerzése motiválja, az is alátámasztja, hogy a pénzügyi szolgáltatókat célba vevő támadások 2006 első felében a második helyen álltak.

Adathalászok a háló végpontjainál

A műszaki megoldások hatékonyabbá válásával a sikeres támadások végrehajtása érdekében a támadók visszanyúlnak a régebbi, nem műszaki módszerekhez, például az átveréshez. A támadók ilyenformán eltávolodnak a hálózati infrastruktúra és az operációs rendszer elleni támadásoktól, és a végfelhasználóra, mint a védelem leggyengébb láncszemére összpontosító támadásokkal operálnak.

Az adathalászat (phishing) olyan támadás, amely az átverhetőségre számít. Az adathalászok olyan csoportosulások, amelyek megpróbálják rászedni a felhasználókat, hogy azok kiadják személyes adataikat, például bankkártyájuk számát, a netbankban használt hozzáférési adataikat és más kényes információjukat. Ezt az információt aztán csalásra lehet felhasználni.

2006 első hat hónapja alatt a Symantec Probe Network 157 477 különböző adathalászó üzenetet észlelt. Ez 81%-kal több a 2005 második felében észlelt 86 906 különböző adathalászó üzenetnél. Nem meglepő, hogy a pénzügyi területen a leggyakoribb az adathalászat. A Symantec Phish Report Network és a Symantec Brightmail AntiSpam által nyomon követett adathalászó webhelyek 84%-a erről a területről származik. Valószínűleg az ezt a területet célba vevő adathalászó támadásokból származik a támadók legnagyobb haszna. Ha a támadó e támadások valamelyikén keresztül hozzáfér az áldozat számlájához, akkor átutalással pénzt emelhet le, kölcsönt, hitelkeretet vagy hitelkártyát igényelhet. A pénzügyi szektort érintő, nagyon gyakori adathalászó tevékenységre további bizonyítékot jelent az a tény, hogy az adathalászattal leggyakrabban érintett tíz márkanév közül kilenc ehhez a területhez tartozik.

Becsapós „védelmi” szoftverek

Az anyagi előny szerzése érdekében egyre gyakrabban alkalmazott rászedés másik példája a félrevezető alkalmazásokban testesül meg. A félrevezető alkalmazások hamis vagy eltúlzott jelzést adnak a felhasználó rendszerének veszélyeztetettségéről, hogy ezzel rávegyék a felhasználót, hogy olyan szoftvert vegyen, amely az ígéret szerint eltávolítja a talált „veszélyforrásokat”, vagy frissítse a meglevő védelmi szoftverét. Ha a felhasználó rááll a program megvásárlására, a támadó hozzáférést szerez a felhasználó bankkártya-információiról, amelyet aztán bűncselekmény elkövetésére használhat.

2006 első hat hónapja alatt a tíz leggyakoribb új veszélyforrásból három félrevezető alkalmazás volt, ezek a tíz leggyakoribb új veszélyforrásról szóló jelentések felét tették ki. A leggyakrabban jelzett három veszélyforrás közül kettő félrevezető alkalmazás volt. Egyikük, az ErrorSafe 30 százalékkal részesedett a leggyakrabban beküldött 10 új veszélyforrás között.

Kína felől záporokra és zivatarokra számíthatunk

Az internetes veszélyekről szóló jelentés 2005. szeptemberi kiadásának „Pillantás a jövőbe” című fejezetében a Symantec azt jósolja, hogy a moduláris rosszindulatú programkód kiemelkedő adatbiztonsági probléma lesz. A moduláris rosszindulatú programok megtámadnak egy számítógépet, és utána további programkódot töltenek le, amely új, és lehetséges, hogy kártékonyabb képességekkel rendelkezik. A moduláris rosszindulatú programkódot gyakran olyan alkalmazás letöltéséhez használják, amely bizalmas információt gyűjt, és ezt az információt a támadó haszonszerzésre használhatja. 2005. január 1. és június 30. között a moduláris rosszindulatú programok tették ki a Symantec-nek jelentett ötven leggyakoribb programminta 79%-át. Mind 2006 első, mind 2005 második félévében 36 különböző moduláris rosszindulatú programmintát jeleztek.

A botokat, azaz a távvezérelt zombigépeket a külső támadók egy szervezet webhelye elleni DOS-támadások véghezvitelére használhatják. Ez összeomlaszthatja a szervezet kommunikációját, jelentős veszteséget és a szervezet jó hírnevének csorbulását okozhatja. A szervezet hálózatán belül levő botokat továbbá más szervezetek webhelyeinek megtámadására és rosszindulatú programok terjesztésére is fel lehet használni. Mindkettőnek komoly jogi és üzleti következményei lehetnek. A botokat végül a megfertőzött számítógépeken levő bizalmas információ begyűjtésére is használhatják a támadók. Ez alatt az idő alatt a Symantec átlagosan 57 717 aktív bothálózatot figyelt meg naponta, amelyekhez összesen 4 696 903 különböző aktív bothálózati számítógép kapcsolódott a hat hónap során. A Symantec 6337 bot parancs- és vezérlőszervert is azonosított az első félévben.

Kínában volt a legnagyobb a bottal fertőzött számítógépek száma, a világ összes ilyen gépének 20%-át tették ki. Kína fővárosa, Peking volt a bottal legfertőzöttebb város a világon, a világ összes ily módon fertőzött gépének közel három százaléka volt ott található. Az Egyesült Államok után Kína volt az az ország, ahonnan a második legtöbb támadás indult ki 2006 első felében. Az összes támadó IP-cím tíz százaléka származik innen. 2005 utolsó hat hónapjához képest a kínai eredetű támadások 37%-kal nőttek, ami jóval az átlagos 16% felett van. A Symantec arra számít, hogy a kínai eredetű támadások a széles sávú internet ottani terjedésével tovább szaporodnak.

Hirdetés

Azóta történt

Előzmények