Dávku smrticích webů, prosím. Protřepat, nemíchat

12. 10. 2010
Doba čtení: 5 minut

Sdílet

Autor: 29
Nová zpráva Global Threat Report mapuje dění v oblasti bezpečnosti během půl roku. Méně zkušení uživatelé se musí třást strachy, jelikož invence útočníků nezná mezí. Ani ti pokročilí nebo správci však nemohou klidně spát, armády zombie počítačů jsou totiž stále připraveny k útoku.

Kromě pravidelných statistik, jimž se v pravidelném týdenním přehledu většinou věnujeme, nachází své pevné místo ve sledování světa bezpečnosti také dlouhodobější analýzy. Jejich výhodou je pokrytí širšího časového intervalu, a tedy poskytnutí náhledu na jednotlivá bezpečnostní rizika v širším kontextu a odstupem. Jednou z posledních analýz tohoto typu je také Trend Micro Global Threat Report, jež mapuje dění za první pololetí letošního roku. Co tedy čísla prozrazují a před čím varují i do budoucna?

Podle citované zprávy Trend Micro se v prvním pololetí roku 2010 Evropa v generování spamu zařadila do rychlého pruhu, nechala za sebou Severní a Jižní Ameriku i tichomořskou Asii a získala titul „Hlavní zdroj spamu“. Podle zprávy Trend Micro o hrozbách za první pololetí 2010 objem nevyžádané pošty od ledna až do června 2010 trvale rostl, s krátkým propadem v dubnu. Navzdory obecnému přesvědčení tvoří porno pouhá 4 % spamu. 65 % nevyžádané pošty generované po celém světě spadá do kategorie komerčních, podvodných e-mailů a e-mailů souvisejících se zdravotnictvím a léčivy, nejčastěji se využívá technika HTML spamu.

Uvedená čtyři procenta spamu, jejichž předmětem jsou porno a s ním související nabídky, opravdu představují poměrně nízké číslo, navíc je zde vidět jasný rozdíl v míře útoků na stejné téma vedených prostřednictvím klasických webových stránek a e-mailových podvodů. V oblasti klasických webových stránek totiž právě porno zdarma tvoří jednu z cest, jak oběti nalákat do pasti, ať už příslibem podvodných odkazů na živé videokamery s chatem, stahování či streamování kompletních DVD zdarma apod.

Zmíněná léčiva a další farmaceutické výrobky patří mezi dlouhodobou klasiku, obecně jsou častým zdrojem servery v Čině. Podle dřívějších statistik McAfee vzorky farmaceutického spamu zachycené v jediném dni odkazovaly na více než dvanáct set různých domén převážně v Číně a velká většina z nich byla zaregistrována prostřednictvím místního registrátora Ename.cn, navíc odpovídající weby byly ještě po delší dobu nadále aktivní. Prozkoumejte vlastní spamovou složku v e-mailové schránce, možná budete překvapeni, kolik zpráv pochází z exotických zemí.

Vývoj spamu
Vývoj objemu spamu podle jednotlivých měsíců. Zdroj: Trend Micro

Nesmrtelná hrozba stále číhá

Jak již bylo uvedeno, nepatří porno mezi hlavní lákadla v oblasti nevyžádané pošty, ale především podvodných webových stránek. Podle citované zprávy se počet škodlivých adres URL od ledna do června celkově zvýšil z 1,5 miliardy na 3,5 miliardy, tedy více než dvojnásobek původní hodnoty. Většina škodlivých adres URL pochází ze Severní Ameriky a největší počet obětí malwarových infekcí je v Tichomořské Asii. Nejčastěji byly blokovány právě adresy pornostránek a také webů hostujících jejich škodlivé varianty, např. kódy IFRAME, TROJ_AGENT a JS_DLOADR.ATF.

A který škodlivý kód je vlastně v nedávné historii dlouhodobě nejúspěšnější? O mistrovský titul v této oblasti bojuje několik zástupců, respektive rodin malwaru, nicméně osobně bych sem zařadil Conficker. Rozmanitost zneužití Confickeru, resp. jeho záludných následků, vybočuje z řady běžných virů nebo jiných pokusů o útok. Původně vše začalo standardně: jedna zranitelnost ve Windows byla prohlášena za vysoce kritickou, bylo zapotřebí záplatovat, ale (podobně jak tomu už bývá) ne všichni správci a domácí uživatelé tak učinili.

A co je na stále aktivním Confickeru tak zajímavé? Jeho vznik sahá až do roku 2008, a tak jde o malware, který vydatně řádí a patří mezi nejaktivnější již po dobu dvou let. A bohužel zatím nic nenaznačuje, že by jeho manévry měly v brzké době skončit. Conficker tak postupně využíval nezáplatované stroje, a dokonce je ještě nyní zneužívá. Hlavní problém ale tkví v tom, že na první pohled nemusí být infekce Confickerem pozorovatelná, žádné soubory se nesmažou, varovná okna nevyskočí, nikdo uživatele nevydírá. Právě to poskytlo prostor pro vybudování armády botů, která čeká na příkazy.

Čas již dostatečně prokázal, že právě botnety mohou být nejvíce problematické, a to kvůli popsané tiché hrozbě. Jejich tvůrci navíc nemusí usilovat pouze o rozesílání spamu nebo hromadné útoky, včele například s DDoS, ale nabízí se jim také možnost pronájmu takto systematicky vytvořených sítí – pokud chce někdo další rozeslat nevyžádanou poštu, případně odrovnat konkurenci odepřením služby, stáčí se veškeré otázky jen k ceně. Conficker již dva roky představuje nejrozšířenější hrozbu a můžeme směle odhadnout, že nás neopustí ani v roce 2011.

Vývoj nebezpečných URL
Počet nebezpečných webů podle jednotlivých měsíců. Zdroj: Trend Micro

Nechráníme jen sami sebe

Podle citované zprávy se v prvním pololetí 2010 nejvíce zviditelnily ZeuS a Koobface. ZeuS, vytvořený východoevropskou sítí organizovaného zločinu, je v první řadě sada crimewarových nástrojů určených pro krádeže přihlašovacích údajů pro internetové bankovnictví a dalších osobních dat uživatelů. Cílem zlodějů jsou malé podniky a jejich banky. Síť Zeus nyní čítá miliony počítačů, které mohou na první pohled neviditelně poslouchat příkazy svých tvůrců, resp. pronajimatelů.

Botnet Koobface je neblaze proslulý jako dosud největší hrozba v oblasti sociálních sítí, navíc je botnet neustále aktualizován, je měněna jeho architektura. Také začal šifrovat předávané instrukce a řídicí pokyny. Původně červ s výmluvným názvem Koobface rozesílal zprávy odkazující na stránky podobné klasickému videoportálu YouTube, ale pokud je příjemce facebookové zprávy následoval, došlo k otevření podvodné kopie. Namísto spuštění videa byl uživatel vyzván ke stažení doplňku pro přehrání, a tedy stažení viru. Podobně jako u e-mailu nebo instant messagingu zde autoři těží z toho, že zprávy na první pohled pocházejí od známého kontaktu. Facebook samozřejmě útočníky láká, ať už si zvolí jakoukoliv cestu zneužití.

Zeměmi s nejvíce počítači napadenými boty, nyní oblíbenými nástroji počítačových pirátů, kteří budují botnety, tedy sítě pro distribuci malwaru, realizaci útoků a rozesílání spamu, se staly Indie a Brazílie. Provozovatelé a tvůrci botnetů vydělávají miliony dolarů, které nepoctivě získávají od nevinných počítačových uživatelů. Snažme se jim tedy jejich činnost co nejvíce ztížit, a to poctivou obranou. Nebezpečí botnetů a jednotlivých zombie počítačů není v tom, že bychom sami přišli o cenná data, ale že náš počítač může být zneužit pro napadení cizích strojů nebo otravování jejich uživatelů.

Máte Internet Explorer nastaven jako výchozí prohlížeč?

Autor článku

Autor je odborníkem na počítačovou bezpečnost a moderní online služby. Pracuje jako konzultant na volné noze zejména pro finanční instituce.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).