Zagrożenia internetowe I kw. 2012

Przeczytaj także: Ataki DDoS II poł. 2011

Pierwsze miejsca w rankingu okupują różne szkodliwe adresy URL (wcześniej wykrywaliśmy je jako Blocked), które już teraz znajdują się na naszej czarnej liście. W porównaniu z poprzednim kwartałem ich udział zmniejszył się o 2 punkty procentowe i wynosił 84% wszystkich wykrytych problemów. Ranking ten tworzą głównie strony internetowe, na które są przekierowywani użytkownicy. Użytkownicy zazwyczaj trafiają na takie strony ze zhakowanych legalnych zasobów z osadzonymi szkodliwymi skryptami (w wyniku tak zwanego ataku drive-by). Jednak, użytkownicy mogą klikać niebezpieczne odsyłacze sami z siebie, np. szukając pirackiego oprogramowania. Jednak obecnie głównym gwarantem udanego ataku sieciowego jest wykorzystywanie exploitów atakujących niezałatane oprogramowanie: znaczny odsetek wykrytych szkodliwych adresów URL pochodzi ze stron związanych z pakietami exploitów.

12 programów z rankingu Top 20 wykorzystuje luki w zabezpieczeniach oprogramowania i bierze udział w dostarczaniu szkodliwego oprogramowania na komputery użytkowników.

W pierwszym kwartale 2012 roku tylko trzem szkodliwym programom typu adware udało się zakwalifikować do listy Top 20. Zadanie takich programów jest proste: po tym, jak zostaną zainstalowane na komputerze (z reguły pod przykrywką pakietu rozszerzeń dla przeglądarki), wyświetlają reklamy. Ilość oprogramowania adware jest znacznie mniejsza niż w poprzednim kwartale, gdy oprogramowanie z tej kategorii stanowiło jedną trzecią pozycji na liście Top 20. Świadczy to o tym, że cyberprzestępcy po raz kolejny przerzucili się na bardziej szkodliwe i dochodowe kategorie szkodliwego oprogramowania.

Podatne na ataki aplikacje celem szkodliwych użytkowników

Ponieważ większość ataków przeprowadzanych za pośrednictwem internetu odbywa się przy użyciu exploitów wykorzystujących luki w zabezpieczeniach oprogramowania w celu złamania systemów bezpieczeństwa i wykonania szkodliwego kodu bez wiedzy użytkownika, warto zapytać, które programy są zazwyczaj atakowane przez exploity. W pierwszej kolejności zaleca się aktualizować te programy, a następnie ustawiać automatyczne aktualizacje w przyszłości.

Jak pokazuje diagram, celem 66% ataków wykorzystujących exploity są zaledwie dwa programy - Adobe Reader oraz Java.

Mniej więcej jeden na cztery ataki na Javę wykorzystuje lukę CVE-2011-3544, która w całym kwartale cieszyła się popularnością wśród cyberprzestępców: luka ta była wykorzystywana do rozprzestrzeniania bota Hlux, trojana Carberp oraz bota “bezplikowego”.

Państwa, w których występuje najwięcej szkodliwego oprogramowania w zasobach sieciowych

Aby określić geograficzne źródło ataku, nazwa domeny jest porównywana do rzeczywistego adresu IP, w którym zlokalizowana jest dana domena, a następnie określana jest geograficzna lokalizacja adresu IP (GEOIP).