Trendy v potaovch hrozbch Filip Navrtil Sales Engineer
Trendy v počítačových hrozbách Filip Navrátil Sales Engineer ESET software spol s r. o.
Obsah • O společnosti ESET • Technologie Threat. Sense. Net, Virus Radar • 10 hlavních trendů v roce 2008 • Co to znamená pro koncové uživatele? ? ? • Nejrozšířenější hrozby roku 2008 dle Threat. Sense. Net • Nejrozšířenější hrozby dle Virus Radar za rok 2008 • Očekávané trendy v roce 2009…
O společnosti ESET • Společnost ESET byla založena v roce 1992. • ESET má sídlo v Bratislavě na Slovensku, pobočky v Praze, v Bristolu, Buenos Aires, San Diegu a je reprezentována ve více než 160 zemích světa. • V roce 2008 otevřel ESET vývojové centrum v polském Krakově. • ESET je světovým producentem bezpečnostního software pro firemní klientelu i koncové uživatele a věnuje se boji proti vznikajícím počítačovým hrozbám. • Produkty ESET patří mezi technologickou špičku i díky tomu, že negenerují téměř žádné falešné poplachy a díky technologii Threat. Sense® okamžitě reagují na nové hrozby.
Technologie Threat. Sense. Net, Virus Radar
Technologie Threat. Sense. Net • Automatický sběr dat o aktuálních a nových hrozbách detekovaných produkty ESET. • Data jsou automaticky zasílána na analýzu do virových laboratoří. • Díky unikátní heuristické analýze umožňuje technologie Threat. Sense. Net rychlou analýzu a reakci na nové hrozby. • Poskytuje přesné informace o šíření jednotlivých hrozeb.
Virus Radar • Projekt Virus Radar je realizován ve spolupráci se společností Seznam. cz. • Cílem projektu je monitoring a statistická analýza počítačových hrozeb, které se šíří v přílohách emailů.
10 hlavních trendů v roce 2008
10 hlavních trendů v roce 2008 1. Nárůst počtu a sofistikovanosti programů, které se vydávají za antivirové nebo antispyware produkty. 2. Programy pro zcizení účtů a hesel k online hrám. 3. Zneužívání funkce Autorun v systému Windows různými druhy počítačových hrozeb, které se tímto snaží zajistit si spuštění na počítači. 4. Zneužití upravených dokumentů (např. PDF a dalších "důvěryhodných" formátů) ke zneužití konkrétních zranitelností příslušných aplikací. 5. Útočníci pokračují v pátrání po zranitelnostech za účelem tzv. "zero -day" útoků.
10 hlavních trendů v roce 2008 6. Zneužití zranitelnosti publikované v bulletinu MS 08 -067 7. Vyuití sociálního inženýrství – jednodušší než hledání zranitelností 8. Hrozby typu Drive-by downloads/exploitats 9. Pokračuje distrubuce malware v podobě falešných kodeků. 10. Pokračuje vyžití různých kopresních programů
Co to znamená pro koncové uživatele? ? ?
Co to znamená pro koncové uživatele? ? ? Falešný Anti-malware • Využití sociálního inženýrství • Nutí k nápuku plné verze pro aktivaci všech funkcí • Neobsahuje žadné z deklarovaných funkcí • Může obsahovat i další spyware a adware
Co to znamená pro koncové uživatele? ? ? Zneužití „důvěryhodných“ datových formátů • Mnoho uživatelů je stále překvapeno, že datové soubory mohou obsahovat spustitelný kód a považují datové typy souborů automaticky za důvěryhodné • Nejedná se dnes již jen o MS Office, ale další datové formáty jako jsou PDF, MP 3 a další • Příkladem je WMA/Trojan. Downloader. Wimad. N nebo WMA/Trojan. Downloader. Get. Codec. gen
Co to znamená pro koncové uživatele? ? ? Podvodné kodeky • Dlouhodobý trend vyžití sociálního inženýrství ke špuštění škodlivého kódu • Uživatel je přesvědčen, že spuštěním získá cosi užitečného • Klasický případ stránek s "multimediálním" obsahem • Často případ porno/warez stránek
Co to znamená pro koncové uživatele? ? ? Drive-by exploits / downloads • Hrozba se sam nešíří, uživatel jde za hrozbou • Objevuje se i na legitimních stránkách • Napadení webového serveru (SQL injection, sniffer, keylogger, slovníkové útoky, známá zranitelnost, …) • Umístění kódu do stávajících stránek
Co to znamená pro koncové uživatele? ? ? Drive-by exploits / downloads http: //cadorgames. xf. cz/index 1. php • Další variantou je neprolinkovaná webová stránka http: //cobrahk. wz. cz/index 1. php • • • http: //cykloservis. webzdarma. cz/index 1. php Provázáno se spamem http: //nordex. cz/index 1. php http: //optikart. cz/index 1. php http: //penzion-hradsky. cz/index 1. php Aplikováno v sociálním inženýrství http: //restauracnisoftware. cz/index 1. php http: //romanegila. ic. cz/index 1. php Využití serveru jako download serveru pro hrozby http: //triz. ic. cz/index 1. php http: //vkshb. cz/index 1. php http: //www. aquasphere. cz/tophot. html Zjevné vazby mezi spammery a těmito útoky http: //www. aquasphere. cz/whatsup. html http: //www. biosprerov. cz/index 1. php „Zombie“ v cizině spamují české URL linky http: //www. czestochowa. tnoik. org/index 1. php http: //www. fiasw. cz/index 1. php
Co to znamená pro koncové uživatele? ? ? Hrozby zneužívající funkci Autorun • Funkce autorun je navržena jako "Spusť vše co připojím" • Nejedná se o primární způsob šíření, ale většinou o další použitou metodu • Obecné doporučení je raději tuto funkcionalitu vypnout
Co to znamená pro koncové uživatele? ? ? Mobilní hrozby • Nástup chytrých mobilních zařízení připojených k internetu přidává novou skupinu potencionálních obětí • První hrozby pro mobilní platformy se již objevují • Větší útok je jen otázkou času
Co to znamená pro koncové uživatele? ? ? Virtumonde, Adware, Potentially Unwanted Application , … • Nejednoznačná detekce adware a spyware • PUA je ve většině produktů jako volba • Pozor na čtení EULA, to nejmenší bývá důležité • Instalace takových programů může obsahovat i další aplikace, které nejsou uvedeny v EULA
Co to znamená pro koncové uživatele? ? ? Win 32/PSW. On. Line. Games, Win 32/Agent, … • Hrozby, které odesílají data z počítače • Trojské koně obsahující keylogers, rootkits, … • Jmenná konvence pro celé soubory hrozeb • Při detekci je využita heuristika
Co to znamená pro koncové uživatele? ? ? Win 32/Conficker • Červ využívající zranitelnosti v MS bulletinu MS 08 -067 • Několik metod šíření • Využití zranitelnosti, autorun. inf, sdílené složky • Infikován velký počet stanic • Botnet síť v řádu milionů stanic
Nejrozšířenější hrozby roku 2008
Nejrozšířenější hrozby roku 2008 dle Threat. Sense. Net • Statistika "Top 20" dle počtu detekcí jednotlivých názvů • Díky heuristické detekci hrozeb nemusí vždy reprezentovat jednotlivou hrozbu nebo celou rodinu hrozeb • Tento výstup neposkytuje přehled o trendech
Nejrozšířenější hrozby roku 2008 dle Threat. Sense. Net • Statistika hrozeb dle typu • Jednotlivé varianty hrozeb jsou seskupeny pod jeden název • Podává lepší přehled o aktuálních trendech
Nejrozšířenější hrozby dle Virus Radar za rok 2008 • Projekt realizovaný v době útoků šířených téměř výhradně emailem. 25 20 19, 56 • Stále živá scéna, i když poměry infikovaných emailů jsou jiné než v dobách největší "slávy" 15 10, 6 10 5 0 7, 61 4, 28 • Přílohy emailu nahradily URL odkazy ve spamových 0, 090000000 zprávách 0, 9 0, 81 0, 29 0, 8 0000001 2004 -06 2004 -12 2005 -06 2005 -12 2006 -06 2006 -12 2007 -06 2007 -12 2008 -06
Očekávané trendy v roce 2009
Očekávané trendy v roce 2009… Lepší nevědět
Očekávané trendy v roce 2009… • Více útoků s cílem získat peníze – hlavní a jediný cíl útoku • Opakování případů typu falešných antivirů • Bude vylepšena forma sociálního inženýrství a možná i "funcionalita" falešných produktů • Útoky na zranitelnosti prohlížečů=nejpoužívanějších aplikací • Tyto aplikace přivedou útočníka k hrozbám (drive-by exploits) • Více útoků na mobilní platformy • Větší rozšíření "smart" zařízení připojených na inet
Očekávané trendy v roce 2009… • Útoky na další platformy jako OS X • Použití technik pro skrývání hrozeb – více času na útok=více peněz (ROI) • Zvýší se podíl hrozeb zněužívajících zranitelností aplikací s využitím "datových" souborů (PDF, media files…) • Využití sociálního inženýrství pro útoky na služby typu Facebook, Linked. In, twitter …
Děkuji za pozornost. Filip Navrátil Sales Engineer ESET software spol s r. o.
- Slides: 29