Ewolucja złośliwego oprogramowania 2008

Przeczytaj także: Ewolucja złośliwego oprogramowania I-VI 2008

Analiza danych statystycznych dotyczących zapytań sieciowych wysyłanych przez szkodliwe programy oraz 10 najpopularniejszych domen drugiego poziomu atakowanych przez szkodliwe programy potwierdzają, że w 2008 roku chińscy hakerzy i cyberprzestępcy byli liderami pod względem tworzenia szkodliwego oprogramowania. Chińska rodzina Hupigon, która wykorzystuje niestandardowe porty 8000 i 8181, odpowiadała za 29% zapytań sieciowych wysyłanych przez szkodliwe programy, podczas gdy ogromna większość domen drugiego poziomu atakowanych przez szkodliwe programy należy do chińskich serwisów DNS.

Chociaż Chiny wprowadziły narodowy program filtrowania ruchu sieciowego - Wielki Chiński Cybermur - Kaspersky Lab przewiduje, że w 2009 roku aktywność chińskich hakerów wzrośnie. Szkodliwe programy tworzone przez chińskich cyberprzestępców atakują głównie konta gier online i przede wszystkim stanowią zagrożenie dla graczy w Chinach i innych państwach. W 2009 roku eksperci nie przewidują na tym polu żadnej zmiany. Jednak programy tworzone przez chińskich hakerów mogą zacząć stanowić zagrożenie ze względu na rosnącą tendencję włączania backdoorów do programów trojańskich przeznaczonych do kradzieży haseł do gier online.

Ponad jedna trzecia zapytań sieciowych odbywa się na porcie 80, który jest standardowym portem. Generalnie, po tym jak szkodliwy program połączy się z portem 80, zostanie pobrana strona internetowa i ustanowione połączenie z centrum C&C botnetu. Cyberprzestępcy martwią się, że prędzej czy później ich konkurenci lub organy ścigania poznają adres ich centrum C&C, co spowoduje zamknięcie nazwy domeny lub serwera. Z tego powodu cyberprzestępcy nieustannie szukają sposobów szybkiej modyfikacji informacji DNS centrów C&C i preferują wykorzystywanie serwerów internetowych, które oferują anonimowość. Z tego powodu usługi DDNS cieszą się największą popularnością wśród oszustów: dostawcy usług DDNS posiadają ponad 50% domen drugiego poziomu, które stanowią cel szkodliwych programów, oraz wszystkie 10 najpopularniejszych domen drugiego poziomu. W 2009 roku dostawcy usług DDNS podejmą prawdopodobnie bardziej zdecydowane działania mające na celu zwalczanie nielegalnej aktywności, co prawdopodobnie przyczyni się do pojawienia się usług DDNS typu "abuse-proof" podobnie jak dostawcy usług hostingowych typu RBN zostali oddzieleni od legalnych usług hostingowych.

Ze względu na ogromną popularność usług DDNS wśród cyberprzestępców oraz wzrost przepustowości Kaspersky Lab przewiduje pojawienie się nowych typów aktywności przestępczej specjalizujących się w rozwijaniu nowych podejść do zapewniania anonimowości adresów/nazw serwerów sieciowych.

Wraz z każdą identyfikacją luki w zabezpieczeniach systemu Windows pojawia się duża liczba szkodliwych programów tworzonych w celu znajdowania "podatnych na ataki" maszyn. Podobnie jest w przypadku innych aplikacji działających w sieci. Szkodliwe programy skanujące sieć tworzą wiele dodatkowych połączeń sieciowych. Poza zużyciem przepustowości może to spowodować przepełnienie w tabelach tłumaczenia adresów na tanich routerach, co może doprowadzić do całkowitego odłączenia sieci lokalnej od Internetu. Już teraz stanowi to dość powszechny problem dla sieci domowych, które w celu uzyskiwania dostępu do Internetu wykorzystują jeden router.

Prognozy na 2009 rok

W tegorocznych prognozach Kaspersky Lab omówił trendy, które być może nie są w pełni ukształtowane, ale bez wątpienia będą miały istotny wpływ na ewolucję zagrożeń w 2009 roku.

1. Globalne epidemie

Eksperci uznali, że długa era globalnych epidemii dobiegła końca. Twórcy wirusów nie preferują już tworzenia robaków, które infekują miliony komputerów na całym świecie. Kaspersky Lab uważa jednak, że w 2009 roku sytuacja ta znów się zmieni - spodziewa się nowych poważnych incydentów, które pod względem zasięgu prześcigną wydarzenia, jakie miały miejsce w latach 2006-2008.