Трояны - излюбленное оружие хакеров в 2007 г.

Лаборатория IBM, Internet Security Systems (ISS) X-Force, опубликовала доклад о состоянии ИТ-безопасности в первом полугодии 2007 г. и прогноз на второе полугодие. За отчетный период специалисты X-Force обнаружили и изучили более 210 тыс. образцов вредоносного кода, что по количеству составляет почти столько же, сколько было найдено в 2006 г.

В докладе отмечаются тенденции к увеличению количества вредоносного кода и его усложнению, появлению и дальнейшему распространению подпольных услуг "аренды эксплоитов", а также снижение количества обнаруженных уязвимостей по сравнению с первым полугодием 2006 г.

"Эксплоиты как сервис" становятся отдельным распространенным сегментом черного рынка. Эксплоиты, предлагаемые на продажу, шифруются для защиты от пиратского использования, а также "сдаются в аренду". Последняя услуга появилась в этом году.

Согласно отчету, самой распространенной категорией вредоносных программ в 2007 г. стали троянские программы (внешне - вполне легитимные файлы), составив 28% от общего числа программ такого типа. В 2006 г. самой массовой категорией были "загрузчики" (downloader), представляющие собой небольшой фрагмент вредоносной программы, который устанавливает себя на компьютере, после чего загружает и устанавливает более изощренного программного агента.

"В 2006 г. X-Force предупреждала о количественном и качественном росте точечных атак, направленных на получение прибыли", - пишет директор X-Force Крис Лэмб (Kris Lamb). Эта тенденция, по его словам, совпадает с ростом числа троянов как основных средств для атак такого типа.

В 2007 г. продолжают расти масштабы использования злоумышленниками веб-эксплойтов. По данным X-Force, в 2006 г. примерно 50% веб-сайтов, на которых размещались эксплойты, пытались скрыть или закамуфлировать свои атаки, тогда как в первой половине 2007 г. этот показатель достиг 80%.

В отчете X-Force сообщается о небольшом уменьшении (на 3,3%) общего количества уязвимостей, раскрытых в первой половине 2007 г. по сравнению с первым полугодием 2006 г.: в общей сложности идентифицировано 3273 уязвимости. За всю историю базы данных уязвимостей, созданной группой X-Force в 1997 г., это первый случай, когда количество раскрытых уязвимостей снизилось в первой половине года. Однако доля уязвимостей, повлекших тяжелые последствия, увеличилась с 16% в 2006 г. до 21% в первой половине 2007 г.

По данным X-Force, уменьшение количества раскрытых уязвимостей в первой половине 2007 г. связано, во-первых, с "монетизацей" уязвимостей и эксплойтов, что привлекло внимание подпольного рынка, в результате чего значительная часть уязвимостей остается нераскрытой и продолжает тайно использоваться для атак.

Во-вторых, за последние два года повысились масштабы применения технологии fuzzing ("просеивания"), в результате чего многие из сравнительно легко обнаруживаемых уязвимостей были выявлены. И, наконец, количество типичных ошибок и дефектов кодирования уменьшается в результате применения поставщиками программных продуктов и технологий более безопасных процедур разработки ПО и более строгих методик защищенного кодирования.

Впервые количество спама уменьшилось, а не выросло по линейному закону. Одновременно с этим уменьшились объемы спама, использующего изображения. С 2005 г. графический спам был одним из основных конкурентов обычного спама, но в первой половине 2007 г. его доля снизилась до уровня середины 2006 г. - немногим более 30%. В конце 2006 г. графический спам составлял более 40% от общего количества спама.

По мнению г-на Лэмба, уменьшение объемов как обычного, так и графического спама связано с тем, что спамеры экспериментируют с применением более современных методик - например, спама в формате PDF или Excel - в качестве средства для более успешного противодействия антиспамовым технологиям.

В отчете X-Force приведены также и некоторые другие сведения. Так, самым напряженным месяцем года оказался январь, на протяжении которого было раскрыто 600 новых уязвимостей. Испания заняла место Южной Кореи в качестве основного источника фишинговых писем - на ее долю приходится 17,9% всего мирового объема таких писем. Доля уязвимостей, которыми злоумышленник может воспользоваться дистанционно, в первой половине 2007 г. выросла до 90% против 88% в 2006 г. Доля уязвимостей, позволяющих атакующим получать доступ к хосту после успешного заражения эксплойтом, также возросла - до 51,6% против 50,6% в 2006 г. В настоящее время приблизительно 10% всего интернета-контента относится к категории "нежелательного", что подразумевает материалы порнографического, криминального, недопустимого для детей или социально опасного характера.

Во втором полугодии 2007 г. и в 2008 г. группа X-Force прогнозирует небольшой рост числа раскрываемых уязвимостей, увеличение количества целенаправленных и специализированных вредоносных программ, включая троянские, и дальнейшее развитие технологий "камуфлирования" интернет-угроз.