Hlavní navigace

Podzimní inventura hrozeb: útočníci přes léto nezlenivěli

Pavel Čepský 5. 10. 2011

Přes hlavní letní období si všichni snad aspoň trochu odpočinuli a vychutnali klidnější režim, útočníci a podvodníci však bohužel pilně pracovali. Aktuální čísla to dostatečně potvrzují.

Škodlivý kód prožívá rozdílný vývoj podle toho, které techniky a události jeho tvůrcům právě nahrávají. Nejvděčnější jsou samozřejmě celosvětově rozšířené zprávy, na nichž se svezou i méně zkušení malwaroví tvůrci – pohromy, smrt celebrit, a dokonce i zprávy o přesně stanoveném termínu konce světa. Jakmile se však zásobník těchto univerzálně použitelných vějiček začne vyprazdňovat, přicházejí na scénu propracovanější útoky. Jaký byl aktuální stav v plynulém měsíci, prozrazuje nejnovější zpráva společnosti Symantec.

Podle citované zprávy Symantec Intelligence Report došlo v září k výrazné změně v oblasti škodlivého kódu. Přibližně 72 % všech škodlivých kódů šířených e-mailem šlo charakterizovat jako agresivní varianty polymorfního malwaru. Zásadní nárůst polymorfního malwaru jen podtrhuje myšlení počítačových zločinců, kteří v tomto roce vystupňovali útoky na firmy a snaží se plně využít slabin tradičních bezpečnostních opatření.

Pro úplnost dodejme, že polymorfní viry jsou takové viry, které mají různé varianty díky odlišnému kódování, ve výsledku se tedy při detekci jedná o rozdílné vzorky, i když mají naprosto stejnou funkcionalitu. Polymorfní viry samozřejmě nejsou žádnou novinkou, jedná se o techniku tvorby škodlivého kódu, která z pohledu útočníků s většími či menšími úspěchy funguje již dlouhou dobu. Pokud se však tvůrci na programování a vývoj těchto virů pořádně zaměří, je detekce obtížnější – naštěstí jsou už zapotřebí detailní technické znalosti, a tak se nejedná o obecné a hromadné útoky, kam spadá například phishing a další.

V celkovém podílu objemu konkrétního škodlivého kódu k výraznému překvapení nedochází, na prvním místě se v září co do počtu zachycených blokací umístil vir W32.Sality.AE, který se šíří tak, že napadá spustitelné soubory a pokouší se stáhnout z Internetu potenciálně nebezpečné soubory. Jedná se tedy o klasický downloader, v jehož případě však útočníci pozměnili techniku nalákání přespříliš důvěřivých uživatelů – stojí za zmínku, že originální kód ve své původní podobě se datuje dokonce až do roku 2008.

Imitace zprávy tiskárny
Budeme se do budoucna bát imitací zpráv souvisejících s pokročilými funkcemi tiskáren? Zdroj: Symantec

Reseting hesla bankování…

Z citované analýzy také vyplývá, že důvodem nárůstu polymorfních virů a dalšího malwaru je sociální inženýrství, které zneužívá nové technologie. Například nebezpečné e-maily se mohou maskovat jako e-mail z chytré tiskárny nebo skeneru, který byl kolegy přeposlaný v rámci firmy. S tím, jak se budou zlepšovat pokročilé možnosti stávajících tiskáren, mohou být útoky postupně stále více zneužívány. Prozatím se naštěstí jedná o první vlaštovky, nicméně tak tomu bylo u drtivé většiny útoků. E-maily, instant messaging, známé webové služby a další prostředky nebo předměty podvodů či zneužití v historii vždy gradovaly s tím, jak stoupala jejich popularita.

Z pohledu útočníků je v dnešní době nejdůležitější zvolit správnou cestu k oblafnutí uživatelů, přesvědčit je ke stažení infikovaných dat. Tvorba škodlivého kódu není příliš složitá, a tak právě toto přesvědčování tvoří tenkou hranici mezi úspěchem a neúspěchem. Sociální inženýrství (též nazývané jako sociotechniky) může na první pohled vypadat jednoduše, nicméně s rostoucím povědomím o relativně bezpečném surfování i u naprostých začátečníků jsou nároky na schopnosti podvodníků vyšší. Na druhou stranu v případě zmíněného napodobení standardních zpráv pokročilých tiskáren v kancelářském prostředí, kde řada uživatelů s počítačem bohužel stále pracuje jen a pouze z donucení, se mohou šance na úspěch zvýšit.

Celkově ukazatel trendu naznačuje postupný odklon od již zprofanovaných metod, například i ústup od přikládání virů vedoucí k většímu zneužití podvodných odkazů. Jedním z důvodů může být větší osvěta uživatelů, že opravdu nemají klikat na přiložený soubor EXE s příslibem fotek nahé Anny Kurnikovové, dále pak samozřejmě stoupající blokace potenciálních rizik již na cestě k nim. Spustitelné soubory nebo podezřelé přílohy filtry většinou odříznou, doplňky prohlížečů zablokují stránky ještě před návštěvou dle blacklistu a lámané phishingové e-maily požadující „reseting hesla k uživatel soukromí online bankování“ již nikoho také nezviklají. Tak proč nezkusit inovace.

Vývoj spamu
Graf a detaily vývoje spamu. Zdroj: Symantec

Mozek v kombinaci se softwarem

Přestože úroveň nevyžádané pošty zůstala během září poměrně stabilní, aktuální statistiky ukazují ve větším množství zneužití zranitelností ve starších verzích populárního publikačního systému WordPress. Nevyžádané e-maily s odkazy na ohrožené webové stránky šířily hrozbu dále, nicméně podle všeho blogy hostované na WordPress nebyly nijak ohroženy.

Podle průzkumu se dále JavaScript stal populárním programovacím jazykem spammerů a autorů škodlivého kódu. Spameři JavaScript používají k maskování a přesměrování webových stránek. „Spameři zneužívají jednoduché podvodné JavaScript stránky na bezplatném hostingu, což zvyšuje jejich životnost, protože provozovatelé často nezjistí, že jsou používány k nebezpečné činnosti,“ komentuje Paul Wood ze společnosti Symantec. „JavaScript je používán pro přesměrování návštěvníků ohrožené webové stránky na stránky spamerů. Zatímco některé z těchto technik byly již dříve běžné při distribuci škodlivého kódu, spameři je začínají využívat častěji až nyní.“

Zářijové dny tedy řečí čísel aktuálních statistik přinesly některá varování do budoucna, možná se ještě do konce roku objeví nové vlny rizik, na něž běžní uživatelé nebudou zcela připraveni. Stejně jako útočníci neusínají a snaží se inovovat, musí být také koncoví uživatelé pořádně opatrní při svých pravidelných webových toulkách. Základem je stále prevence, v těsném závěsu pronásledovaná použitím pravidelně aktualizovaného systému a antiviru pro případné zaskočení při selhání lidského faktoru.

Které cesty infiltrace považujete za nejvíce rizikové, jakými způsoby by se uživatelé měli bránit? Jaký antivir pro případnou pro- i reaktivní ochranu používáte, pokud vůbec nějaký? Podělte se o své zkušenosti s ostatními čtenáři v diskuzi pod článkem.

Našli jste v článku chybu?
DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

120na80.cz: 5 poporodních problémů a jejich řešení

5 poporodních problémů a jejich řešení

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube