Liczba szkodliwych programów wykrytych w pierwszej połowie 2008 roku zwiększyła się w porównaniu z ubiegłym rokiem. Rok 2007 zakończył się wykryciem 500 000 szkodliwych programów. Pod koniec czerwca 2008 liczba ta wzrosła do około 900 000. Tempo wzrostu nigdy nie było szybsze.
Mebroot
Elastyczność obecnych ataków wskazuje, że niektórzy przestępcy dysponują znacznymi zasobami i wiedzą. Tworzenie zaawansowanych systemów pochłania dużo czasu i pieniędzy. W tym roku pojawił się bardzo zaawansowany rootkit głównego sektora rozruchowego (Master Boot Record, MBR), znany jako „Mebroot”, który prawdopodobnie jest najlepiej ukrywającym się wirusem, jaki dotychczas napisano. Modyfikuje on system w minimalnym stopniu i bardzo trudno jest go wykryć z poziomu zainfekowanego komputera. Zespó F-Secure, który opracował obronę przed Mebrootem, ocenia, że tworzono go przez kilka miesięcy.
Storm
Robak Storm został ochrzczony malware’em 2.0 ze względu na wyszukane „poczucie czasu” i zastosowane w nim metody inżynierii społecznej, a także bardzo złożoną konstrukcję. Wykorzystuje on technologie peer-to-peer, tworząc zdecentralizowaną sieć botów, która aktywnie broni się przed wykryciem. Storm odegrał ważną rolę w ewolucji internetowych zagrożeń w kierunku obecnego trendu: kodu instalowanego bez wiedzy użytkowników (drive-by downloads).
Wstrzykiwanie kodu SQL
Coraz więcej witryn WWW używa bazodanowego zaplecza, aby działać szybciej i bardziej dynamicznie. Z perspektywy bezpieczeństwa oznacza to, że konieczne jest weryfikowanie informacji zapisywanej lub odczytywanej z tych baz danych — zwłaszcza jeśli witryna pozwala użytkownikom na przesyłanie treści, jak ma to miejsce w przypadku forów dyskusyjnych, blogów, formularzy do zbierania opinii itd. Jeśli dane nie są oczyszczane przed zapisaniem, nie da się kontrolować tego, co zobaczą użytkownicy witryny. Wstrzykiwanie kodu SQL polega właśnie na znajdowaniu słabych punktów w tym systemie kontroli. Masowe wstrzykiwanie kodu SQL staje się coraz częstsze i coraz więcej domen staje się celem ataku. Problem dotyczy już dziesiątek tysięcy witryn. Uważamy, że obecnie działa kilka grup przestępczych używających różnych zautomatyzowanych narzędzi do wstrzykiwania szkodliwego kodu. Nie ma już czegoś takiego jak \”zaufana witryna\”. Każda witryna, w której znajduje się niezabezpieczony formularz, jest narażona na ryzyko.
Ataki SQL polegają na wstrzykiwaniu ramek IFrame, które próbują wykorzystać kilka znanych luk w zabezpieczeniach do zarażenia komputerów łączących się z witryną. Infekcje typu drive-by download są częstsze niż kiedykolwiek przedtem.
Cel -Pal
W pierwszej połowie 2008 roku mieliśmy do czynienia z większą ilością ukierunkowanych ataków na osoby indywidualne, firmy i organizacje.
W ataku ukierunkowanym napastnik profiluje metody w zależności od wybranej ofiary i wysyła do niej wiadomość e-mail z jej nazwiskiem, tytułem, a czasem również odniesieniami do stanowiska. Treść wiadomości jest zwykle zgodna z korespondencją, którą odbiorca otrzymuje codziennie np. różnie stosowana jest forma powitań i zwrotów grzecznościowych (Janie, Witaj Janku, Szanowny Panie Janie). Załącznik lub sama treść e-maila wygląda jak zwykły dokument Worda lub PDF albo inny często spotykany typ pliku, z tą jedną różnicą iż infekuje komputer odbiorcy ukrytym kodem. Często otwierane są \”tylne drzwi\”, które dają napastnikowi dostęp do informacji przechowywanych w komputerze bez żadnych zewnętrznych oznak infekcji.
Raport firmy F-Secure. Więcej informacji na stronie: http://www.f-secure.com
