![[anonymous]](https://secure.gravatar.com/avatar/?s=50&d=mm&r=g){kind=avatar}
Przez Zestawienie ilościowe nowych próbek złośliwego oprogramowania, jakie pojawiło się w drugiej połowie 2017 roku oraz ataków, którym udało się zapobiec w tym samym okresie, wskazuje na istnienie pewnych trendów. Co gorsze, zarejestrowano około 8,4 miliona nowych próbek złośliwego oprogramowania atakującego komputery, czyli 16 na minutę!
Produkcja kwitnie
Sposób, w jaki zliczane zostały typy złośliwego oprogramowania i który umożliwia przyjrzenie się ewolucji ilościowej tego zjawiska, opiera się na sygnaturach. Takie podejście wykracza poza metodę zliczania złośliwych plików i uwzględnia wyłącznie te odmiany, które posiadają wspólne fragmenty złośliwego kodu. Od momentu pojawienia się zagrożenia, jakim są wirusy, liczba nowych wersji bezustannie wzrasta. Jedynie rok 2015 uplasował się poniżej rekordowo wysokiego poziomu z 2014 roku. W 2017 roku liczba nowych rodzajów złośliwego oprogramowania wzrosła i osiągnęła poziom 8 400 058. W skali całego roku 2017, na jego drugą połowę przypadło 41,8% nowych przypadków złośliwego oprogramowania, a więc łączna liczba wynosi 3 508 754.
W drugiej połowie 2017 roku na godzinę odkrywanych było średnio 795 nowych przykładów złośliwego oprogramowania, co daje 13 próbek na minutę. Średnia roczna dla całego roku 2017 jest nieco wyższa: 959 próbek na godzinę, a więc odpowiednio 16 na minutę. Historyczne porównanie z rokiem 2007 pokazuje, że w roku 2017 liczba ta była ponad 63 razy wyższa!
Jeśli chodzi o rodzaje złośliwego oprogramowania, prym wiodą konie trojańskie (82,7%). Ich udział w zestawieniu zmniejszył się o 6,1%. Na drugim miejscu, po odnotowanym wzroście, znalazły się złośliwe reklamy – Adware (13,0%) i dalej potencjalnie niechciane programy (PUP, 3,3%). Ich udział wzrósł o 6%. Następnie w zestawieniu znajdują się backdoory, robaki i ransomware. Podczas gdy złośliwe oprogramowanie typu ransomware było ledwie zauważalne w pierwszej połowie 2017 roku, w drugiej połowie jego udział wzrósł sześciokrotnie. Mimo że wynik ten nie jest wysoki, zauważyć trzeba, że w drugiej połowie 2017 roku ransomware było najszybciej rozwijającą się grupą złośliwego oprogramowania.
Druga połowa 2017 roku: udaremnione ataki
Liczba nowych próbek złośliwego oprogramowania niewiele mówi o liczbie przeprowadzonych ataków. Jeden program może w końcu zaatakować tysiące, a nawet miliony komputerów, jednak większość ataków wchodzi w skład niewielkich “kampanii”, często przeprowadzanych w odległych krajach. Na potrzeby porównania ilości ataków, którym udało się zapobiec w różnych krajach i różnych przedziałach czasowych, ujednolicono dane liczbowe. Wartości dla drugiej połowy 2017 roku oscylują wokół średniej arytmetycznej 119,4, co oznacza, że każdego dnia średnio niemal co ósmy użytkownik zetknął się z atakiem, któremu udało się skutecznie zapobiec. Pytanie ile było ataków nieodnotowanych, tych, które niestety się powiodły? Na przestrzeni analizowanego półrocza daje to 22 udaremnione ataki. Ilość ataków waha się także w zależności od miesiąca pomiędzy 103,2 a 156,7 nieudanymi atakami dziennie w przeliczeniu na 1000 użytkowników.
Kategorie złośliwego oprogramowania
Wyróżniliśmy dwa rodzaje ataków: złośliwe oprogramowanie oraz potencjalnie niechciane program (PUP). Złośliwe oprogramowanie, przeprowadzając szkodliwe bądź zakazane działania na komputerze, działa bez zgody użytkownika i w większości przypadków pozostaje przez niego niezauważone. W przypadku PUP sytuacja nieco się komplikuje. Istnieją narzędzia i aplikacje, które pozwalają np. administratorom systemów na zarządzanie komputerami i sieciami. Gdy dostaną się w niepowołane ręce, może dojść do ich szkodliwego (nad)użycia. W wielu przypadkach chodzi tu również o programy z reklamami i paski narzędzi. W odpowiedzi na wątpliwości co do legalności ich działania, wyświetlane są umowy licencyjne. W większości przypadków użytkownik zostaje oszukany.
Większy udział w atakach w drugiej połowie 2017 roku mają PUPy (67,6%), a więc na złośliwe oprogramowanie przypada 32,4%. W czwartym kwartale udział PUPów wzrasta do 73,5%, a złośliwego oprogramowania spada do 26,5%. W uproszczeniu: udział PUPów i złośliwego oprogramowania w drugiej połowie roku wynosi 2:1, w czwartym kwartale wzrasta do 3:1. Z uwagi na przedstawione różnice, potencjalnie niechciane programy zajmują większość z 10 pozycji listy najczęściej występujących niebezpiecznych programów różnego typu. Niżej przedstawiony podział na złośliwe oprogramowanie i potencjalnie niechciane programy pozwala przyjrzeć się oddzielnie obydwu grupom i uwidacznia ich indywidualne cechy. Dla każdej kategorii przedstawiamy 10 najszerzej rozpowszechnionych programów wraz z ich udziałem procentowym i krótkim opisem.
Złośliwe oprogramowanie
| Pozycja | Złośliwy program | % | # na 1000 użytkowników | Opis |
| 1 | Trojan.BAT.Poweliks.Gen | 25,2% | 3252 | Skrypt jest częścią infekcji Poweliks. Jako niewielki skrypt pomocniczy (plik BATCH) uruchamia inny losowo nazwany plik. Poweliks to złośliwe oprogramowanie niezależne od plików, które odwołuje się do danych przechowywanych w rejestrze. Jego nielegalna aktywność polega na nieustannym klikaniu w banery reklamowe, co może w przypadku złośliwych reklam prowadzić do wprowadzenia złośliwego kodu. |
| 2 | JS:Trojan.JS.Agent.RB | 3,5% | 452 | Jest to oparty na JavaScript precyzyjnie zamaskowany program pobierający konia trojańskiego |
| 3 | Trojan.Html.Iframe.NA | 2,9% | 379 | Strony zainfekowane przez ukryty iframe, który ładuje się w formie złośliwego pliku binarnego zamaskowanego jako wygaszacz ekranu. |
| 4 | Gen:Variant.Graftor.369975 | 1,5% | 199 | W zależności od wersji może zawierać funkcjonalności właściwe dla robaków, backdoorów lub programów pobierających pliki. |
| 5 | Script.Trojan.Redirector.BA | 1,5% | 198 | Narzędzie przekierowujące, jak sama nazwa wskazuje, przekierowuje internautów na niechciane strony. Spotykane zazwyczaj na stronach dla dorosłych. |
| 6 | Exploit.Poweliks.Gen.4 | 1,0% | 126 | Exploit ten wykrywa linki korzystające z funkcji HTML help w Windowsie (mshta.exe), by zrealizować kod JScript przechowywany w rejestrze. Poweliks to złośliwe oprogramowanie niezależne od plików, które odwołuje się do danych przechowywanych w rejestrze. Jego nielegalna aktywność polega na nieustannym klikaniu w banery reklamowe, co może w przypadku złośliwych reklam prowadzić do wprowadzenia złośliwego kodu. |
| 7 | HTML.Trojan- Ransom.TechSupportScam.I |
0,9% | 119 | Niebezpieczne strony internetowe wykorzystujące niektóre skrypty do tego, by komputer sprawiał wrażenie zablokowanego na fałszywej stronie z ostrzeżeniem. Żąda od użytkowników wykonania telefonu pod fałszywy numer infolinii technicznej. |
| 8 | JS:Trojan.Cryxos.1164 | 0,9% | 110 | Wykrywanie dla stron związanych z fałszywą pomocą techniczną. Narzędzia sugerowane do pobrania są często wykrywane jako „HTML.Trojan-Ransom.TechSupportScam” |
| 9 | JS:Trojan.Cryxos.1018 | 0,7% | 89 | Wykrywanie dla stron związanych z fałszywą pomocą techniczną. |
| 10 | Win32.Worm.Autorun.A@gen | 0,5% | 64 | Robaki z rodziny autorun stają się aktywne po podłączeniu do komputera takich urządzeń, jak przenośne nośniki pamięci – pendrive’y, aparaty fotograficzne itp. Rutynowe działania systemu operacyjnego są nadużywane, by rozsyłać robaka. |
| … | Others | 61,4% | n/a | n/a |
10 najszerzej rozpowszechnionych przykładów złośliwego oprogramowania zawiera kilka skryptów. Większość z nich działa w odniesieniu do stron internetowych. Poweliks, złośliwe oprogramowanie zajmujące czołową pozycję w rankingu, oraz powiązane exploity działają bez uzyskiwania dostępu do systemu plików. Poweliks opiera się na skryptach Powershell, które mogą być zapisywane w pozycjach rejestru. Program ten był liderem w pierwszej połowie 2017 roku i utrzymywał wysoką pozycję (pierwsze miejsce) przez trzeci kwartał, jednak w czwartym kwartale spadł na dwunaste miejsce. Oprócz typowych downloaderów (jak sama nazwa wskazuje, są to programy pobierające i wykonujące pliki z internetu) i robaków, na miejscach od 7 do 9 znajdziemy złośliwe oprogramowanie wykorzystywane w niebezpiecznych kampaniach związanych z infoliniami wsparcia technicznego. Pojawiło się w tym zakresie wiele zgłoszeń o rzekomych pracownikach działu zabezpieczeń Microsoftu (w szczególności z Indii). Strony będące nośnikiem tego rodzaju złośliwego oprogramowania pokazują nieprawdziwą informację, że komputer, z którego są odwiedzane, został zainfekowany lub błędnie skonfigurowany, co bardzo przypomina dawne oszustwa oparte na fałszywych programach antywirusowych. Jednak w tym przypadku od użytkownika żąda się wykonania telefonu na infolinię wsparcia technicznego. Oszuści po drugiej stronie słuchawki przekonują ofiary do udzielenia zdalnego dostępu do komputera i zainstalowania niebezpiecznego oprogramowania. Przeszkolono ich, by przekonywali rozmówców, że powiadomienia wysyłane przez programy antywirusowe stanowią fałszywy alarm. W takim przypadku należy jednak ufać programom antywirusowym!
PUP
| Pozycja | Potencjalnie niechciany program (PUP) | % | Opis |
| 1 |
Application.BitCoinMiner.SX
|
8,5% | BitCoinMiners wykorzystuje możliwości urządzenia do pozyskiwania BitCoinów. W większości przypadków są one dostarczane poprzez stronę internetową.Instalator zbiorczy wyposażony w wykrywanie dla maszyn wirtualnych. Oferty w trakcie instalacji będą mniej nachalne, gdy zostanie wykryta maszyna wirtualna. Na urządzeniu fizycznym zazwyczaj mamy do czynienia z niedozwolonymi zachowaniami. |
| 2 | Win32.Application.DownloadGuide.T |
5,0%
|
Ta odmiana OpenCandy to potencjalnie niechciany program (PUP). Jest instalowany razem z różnymi legalnymi darmowymi programami, np. odtwarzaczami DVD, programami do plików PDF, programami archiwizującymi itp., do których dołączono niechciany dodatek. |
| 3 | Win32.Application.OpenCandy.G | 3,7% | Win32.Application.OpenCandy.GZostał stworzony przez firmę SweetLabs z San Diego w USA. Ten PUP wpływa na zachowanie przeglądarki poprzez zmianę strony głównej oraz ustawień wyszukiwarek, przekierowuje użytkownika na potencjalnie niechciane strony i wyświetla wyskakujące okienka. Cel zmian: generowanie przychodu z wyświetlanych reklam. |
| 4 | Win32.Application.DownloadSponsor.R | 3,2% | DownloadSponsor.R to instalator zbiorczy. Łączy on legalne darmowe oprogramowanie z instalatorami PUPów i przekazuje tak przygotowane pakiety drogą internetową w celach zarobkowych. Oferty i dialogi ofert są dynamicznie pobierane z serwerów DownloadSponsor. Każde kliknięcie w reklamę przynosi zyski dystrybutorom tego oprogramowania. |
| 5 | Win32.Application.Uniblue.A | 2,2% | Uniblue oferuje kilka produktów o niemal identycznych funkcjonalnościach. Najprościej mówiąc są to narzędzia do czyszczenia rejestru, które mają przyspieszać pracę komputera. Wersje próbne są często instalowane za pośrednictwem instalatorów zewnętrznych bez odpowiedniej zgody użytkownika. Standardowy wstępny skan wykrywa niepoprawne pozycje wymagające „naprawy”, co z kolei wymaga płatnej subskrypcji. |
| 6 | Win32.Application.DownloadSponsor.S |
2,2%
|
DownloadSponsor.S, tak jak wersja “R” opisana powyżej, przechwytuje legalne darmowe oprogramowanie i łączy je z instalatorami PUPów. |
| 7 | Application.BitCoinMiner.UB | 2,1% | BitCoinMiners wykorzystuje możliwości urządzenia do pozyskiwania CryptoCoinów. W większości przypadków są one dostarczane poprzez strony internetowe. |
| 8 | Application.Alphaeon.1Gen:Variant | 2,1% | lphaeon to instalator PUPów wykorzystujący InstallCore. Szyfrowanie payloadu zapobiega jego wykryciu. Próbuje zmylić użytkownika, by ten zainstalował również inne PUPy. |
| 9 | Application.Bundler.DownloadGuide.24Script | 1,9% | Instalator zbiorczy wyposażony w wykrywanie dla maszyn wirtualnych. Oferty w trakcie instalacji będą mniej nachalne, gdy zostanie wykryta maszyna wirtualna. Na urządzeniu fizycznym zazwyczaj mamy do czynienia z niedozwolonymi zachowaniami. |
| 10 | Application.FusionCore.B | 1,9% | Instalator zbiorczy wyposażony w wykrywanie dla maszyn wirtualnych. Oferty w trakcie instalacji będą mniej nachalne, gdy zostanie wykryta maszyna wirtualna. Na urządzeniu fizycznym zazwyczaj mamy do czynienia z niedozwolonymi zachowaniami. |
| … | Script.Application.FusionCore.B | 69,3% | Nie dotyczy |
Lista 10 najszerzej rozpowszechnionych potencjalnie niechcianych programów PUP jest zdominowana przez typowe przykłady oprogramowania reklamowego i instalatorów zbiorczych. W trzecim kwartale 2017 roku pojawił się na miejscu dziesiątym nowy „okaz”: „Application.BitCoinMiner.SX”. W czwartym kwartale jego pozycja stale rosła, aż uplasował się na samej górze. Ponadto, trzecie miejsce zajmuje podobna do niego odmiana programu, co pokazuje, że w ostatnim kwartale 2017 roku powstało nowe zagrożenie: CoinMining. Podczas odwiedzania strony internetowej lub instalowania pliku połączonego z innymi plikami, maszyna wykorzystuje urządzenie do zarabiania pieniędzy na pozyskiwaniu kryptowalut. Najbardziej rozpowszechnioną usługą jest Coinhive pozyskująca Moneros. Ofiara ponosi zwiększone koszty energii elektrycznej, podczas gdy dostawca “usługi” otrzymuje pieniądze z monet.
Cóż za różnorodność!
W zależności od kraju, udaremniano ataki różnego typu i miało to miejsce z różną częstotliwością. Dotarliśmy do większości incydentów w Izraelu, Norwegii i Meksyku i przedstawiliśmy je w przeliczeniu na dzień i na 1000 użytkowników. Tabela poniżej przedstawia kraje z największą liczbą incydentów dla złośliwego oprogramowania różnego typu. Scenariusze są bardzo różne. Podczas gdy we Francji PUPy i złośliwe oprogramowanie plasują się na podobnym poziomie (odpowiednio miejsca 5 i 6), w wielu krajach obserwuje się pewne różnice. Niemcy zajmują 27 miejsce zarówno w kategorii „Wszystkie Ataki”, jak i „Złośliwe oprogramowanie”, podczas gdy PUPy zajmują miejsce 19. Szwajcaria ma więcej problemów ze złośliwym oprogramowaniem (miejsce 10) niż z PUPami (miejsce 23). Izrael doświadcza wielu ataków PUPów, podczas gdy Norwegia jest bardziej dotknięta złośliwym oprogramowaniem.
| Wszystkie ataki |
| 1 | Izrael | 1458,2 |
| 2 | Norwegia | 731,6 |
| 3 | Meksyk | 273,9 |
| 4 | Maroko | 251,5 |
| 5 | Francja | 251,2 |
| 6 | Grecja | 232,9 |
| 7 | Węgry | 227,1 |
| 8 | Brazylia | 206,1 |
| 9 | Panama | 184,5 |
| 10 | Indie | 183,9 |
ZŁOŚLIWE OPROGRAMOWANIE
| 1 | Norwegia | 1344,5 |
| 2 | Meksyk | 496,7 |
| 3 | Maroko | 295,7 |
| 4 | Panama | 260,9 |
| 5 | Indie | 213,7 |
| 6 | Francja | 204,1 |
| 7 | USA | 194,8 |
| 8 | Izrael | 193,2 |
| 9 | Turcja | 151,8 |
| 10 | Szwajcaria | 149,6 |
PUP
| 1 | Israel | 1361,6 |
| 2 | Greece | 197,9 |
| 3 | Hungary | 170,0 |
| 4 | Brazil | 160,1 |
| 5 | France | 149,2 |
| 6 | United Kingdom | 146,3 |
| 7 | Portugal | 143,5 |
| 8 | Belgium | 135,7 |
| 9 | Japan | 121,7 |
| 10 | Poland | 115,1 |
Nareszcie!
Przyjrzyjmy się najszerzej rozpowszechnionym próbkom złośliwego oprogramowania oraz liczbie udaremnionych ataków, a uzyskamy obraz branż, metod i struktur ekonomii cyberprzestępców – przynajmniej tej części, która odnosi się do większej rzeszy użytkowników. W środowisku reklam zarabia się duże pieniądze. Na topie jest nowa działalność – CoinMining. Przykład nadużywania wsparcia technicznego pokazuje, że cyberprzestępcom nie zależy już na natychmiastowym zainfekowaniu systemu. Chcą oni raczej „przekonywać” użytkowników, by zadzwonili na infolinię, gdzie faktycznie dochodzi do przestępstwa. Biznes ransomware zwalnia, ale nadal pozostaje aktywny. Mamy także do czynienia ze złośliwym oprogramowaniem opartym na tworzeniu i utrzymywaniu botnetów jako kluczowej infrastruktury, wysyłaniu wiadomości ze spamem lub przeprowadzaniu ataków DoS.
Większość przykładów złośliwego oprogramowania to pliki wykonywalne dla systemu Windows, jednak wiele ataków jest przeprowadzanych z wykorzystaniem skryptów lub makr na stronach internetowych, plikach PDF i dokumentach. Należy zachować ostrożność podczas otwierania nieznanych plików lub stron internetowych oraz korzystać z dobrego rozwiązania antywirusowego chroniącego przed bieżącymi zagrożeniami.
Więcej informacji
Raport dotyczący złośliwego oprogramowania w pierwszym półroczu 2017 roku można znaleźć na stronie: https://www.gdatasoftware.com/blog/2017/07/29905-malware-zahlen-des-ersten-halbjahrs-2017
