Trendy v počítačových hrozbách

1. Trendy v počítačových hrozbách Filip Navrátil Sales Engineer ESET software spol s r.o.

2. Obsah • O společnosti ESET • Technologie ThreatSense.Net, Virus Radar • 10 hlavních trendů v roce 2008 • Co to znamená pro koncové uživatele??? • Nejrozšířenější hrozby roku 2008 dle ThreatSense.Net • Nejrozšířenější hrozby dle Virus Radar za rok 2008 • Očekávané trendy v roce 2009…

3. O společnosti ESET • Společnost ESET byla založena v roce 1992. • ESET má sídlo v Bratislavě na Slovensku, pobočky v Praze, v Bristolu, Buenos Aires, San Diegu a je reprezentována ve více než 160 zemích světa. • V roce 2008 otevřel ESET vývojové centrum v polském Krakově. • ESET je světovým producentem bezpečnostního software pro firemní klientelu i koncové uživatele a věnuje se boji proti vznikajícím počítačovým hrozbám. • Produkty ESET patří mezi technologickou špičku i díky tomu, že negenerují téměř žádné falešné poplachy a díky technologii ThreatSense® okamžitě reagují na nové hrozby.

4. Technologie ThreatSense.Net, Virus Radar

5. Technologie ThreatSense.Net • Automatický sběr dat o aktuálních a nových hrozbách detekovaných produkty ESET. • Data jsou automaticky zasílána na analýzu do virových laboratoří. • Díky unikátní heuristické analýze umožňuje technologie ThreatSense.Net rychlou analýzu a reakci na nové hrozby. • Poskytuje přesné informace o šíření jednotlivých hrozeb.

6. Virus Radar • Projekt Virus Radar je realizován ve spolupráci se společností Seznam.cz. • Cílem projektu je monitoring a statistická analýza počítačových hrozeb, které se šíří v přílohách emailů .

7. 10 hlavních trendů v roce 2008

8. 10 hlavních trendů v roce 2008 • Nárůst počtu a sofistikovanosti programů, které se vydávají za antivirové nebo antispyware produkty. • Programy pro zcizení účtů a hesel k online hrám. • Zneužívání funkce Autorun v systému Windows různými druhy počítačových hrozeb, které se tímto snaží zajistit si spuštění na počítači. • Zneužití upravených dokumentů (např. PDF a dalších "důvěryhodných" formátů) ke zneužití konkrétních zranitelností příslušných aplikací. • Útočníci pokračují v pátrání po zranitelnostech za účelem tzv. "zero-day"útoků.

9. 10 hlavních trendů v roce 2008 • Zneužití zranitelnosti publikované v bulletinu MS08-067 • Vyuití sociálního inženýrství – jednodušší než hledání zranitelností • Hrozby typu Drive-by downloads/exploitats • Pokračuje distrubuce malware v podobě falešných kodeků. • Pokračuje vyžití různých kopresních programů

10. Co to znamená pro koncové uživatele???

11. Co to znamená pro koncové uživatele??? Falešný Anti-malware • Využití sociálního inženýrství • Nutí k nápuku plné verze pro aktivaci všech funkcí • Neobsahuje žadné z deklarovaných funkcí • Může obsahovat i další spyware a adware

12. Co to znamená pro koncové uživatele??? Zneužití „důvěryhodných“ datových formátů • Mnoho uživatelů je stále překvapeno, že datové soubory mohou obsahovat spustitelný kód a považují datové typy souborů automaticky za důvěryhodné • Nejedná se dnes již jen o MS Office, ale další datové formáty jako jsou PDF, MP3 a další • Příkladem je WMA/TrojanDownloader.Wimad.N nebo WMA/TrojanDownloader.GetCodec.gen

13. Co to znamená pro koncové uživatele??? Podvodné kodeky • Dlouhodobý trend vyžití sociálního inženýrství ke špuštění škodlivého kódu • Uživatel je přesvědčen, že spuštěním získá cosi užitečného • Klasický případ stránek s "multimediálním" obsahem • Často případ porno/warez stránek

14. Co to znamená pro koncové uživatele??? Drive-by exploits / downloads • Hrozba se sam nešíří, uživatel jde za hrozbou • Objevuje se i na legitimních stránkách • Napadení webového serveru (SQL injection, sniffer, keylogger, slovníkové útoky, známá zranitelnost, …) • Umístění kódu do stávajících stránek

15. Co to znamená pro koncové uživatele??? Drive-by exploits / downloads http://cadorgames.xf.cz/index1.php http://cobrahk.wz.cz/index1.php http://cykloservis.webzdarma.cz/index1.php http://nordex.cz/index1.php http://optikart.cz/index1.php http://penzion-hradsky.cz/index1.php http://restauracnisoftware.cz/index1.php http://romanegila.ic.cz/index1.php http://triz.ic.cz/index1.php http://vkshb.cz/index1.php http://www.aquasphere.cz/tophot.html http://www.aquasphere.cz/whatsup.html http://www.biosprerov.cz/index1.php http://www.czestochowa.tnoik.org/index1.php http://www.fiasw.cz/index1.php • Další variantou je neprolinkovaná webová stránka • Provázáno se spamem • Aplikováno v sociálním inženýrství • Využití serveru jako download serveru pro hrozby • Zjevné vazby mezi spammery a těmito útoky • „Zombie“ v cizině spamují české URL linky

16. Co to znamená pro koncové uživatele??? Hrozby zneužívající funkci Autorun • Funkce autorun je navržena jako "Spusť vše co připojím" • Nejedná se o primární způsob šíření, ale většinou o další použitou metodu • Obecné doporučení je raději tuto funkcionalitu vypnout

17. Co to znamená pro koncové uživatele??? Mobilní hrozby • Nástup chytrých mobilních zařízení připojených k internetu přidává novou skupinu potencionálních obětí • První hrozby pro mobilní platformy se již objevují • Větší útok je jen otázkou času

18. Co to znamená pro koncové uživatele??? Virtumonde, Adware, Potentially Unwanted Application ,… • Nejednoznačná detekce adware a spyware • PUA je ve většině produktů jako volba • Pozor na čtení EULA, to nejmenší bývá důležité • Instalace takových programů může obsahovat i další aplikace, které nejsou uvedeny v EULA

19. Co to znamená pro koncové uživatele??? Win32/PSW.OnLineGames, Win32/Agent, … • Hrozby, které odesílají data z počítače • Trojské koně obsahující keylogers, rootkits,… • Jmenná konvence pro celé soubory hrozeb • Při detekci je využita heuristika

20. Co to znamená pro koncové uživatele??? Win32/Conficker • Červ využívající zranitelnosti v MS bulletinu MS08-067 • Několik metod šíření • Využití zranitelnosti, autorun.inf, sdílené složky • Infikován velký počet stanic • Botnet síť v řádu milionů stanic

21. Nejrozšířenější hrozby roku 2008

22. Nejrozšířenější hrozby roku 2008 dle ThreatSense.Net • Statistika "Top 20" dle počtu detekcí jednotlivých názvů • Díky heuristické detekci hrozeb nemusí vždy reprezentovat jednotlivou hrozbu nebo celou rodinu hrozeb • Tento výstup neposkytuje přehled o trendech

23. Nejrozšířenější hrozby roku 2008 dle ThreatSense.Net • Statistika hrozeb dle typu • Jednotlivé varianty hrozeb jsou seskupeny pod jeden název • Podává lepší přehled o aktuálních trendech

24. Nejrozšířenější hrozby dle Virus Radar za rok 2008 • Projekt realizovaný v době útoků šířených téměř výhradně emailem. • Stále živá scéna, i když poměry infikovaných emailů jsou jiné než v dobách největší "slávy" • Přílohy emailu nahradily URL odkazy ve spamových zprávách

25. Očekávané trendy v roce 2009

26. Očekávané trendy v roce 2009… Lepší nevědět 

27. Očekávané trendy v roce 2009… • Více útoků s cílem získat peníze – hlavní a jediný cíl útoku • Opakování případů typu falešných antivirů • Bude vylepšena forma sociálního inženýrství a možná i "funcionalita" falešných produktů • Útoky na zranitelnosti prohlížečů=nejpoužívanějších aplikací • Tyto aplikace přivedou útočníka k hrozbám (drive-by exploits) • Více útoků na mobilní platformy • Větší rozšíření "smart" zařízení připojených na inet

28. Očekávané trendy v roce 2009… • Útoky na další platformy jako OS X • Použití technik pro skrývání hrozeb – více času na útok=více peněz (ROI) • Zvýší se podíl hrozeb zněužívajících zranitelností aplikací s využitím "datových" souborů (PDF, media files…) • Využití sociálního inženýrství pro útoky na služby typu Facebook, LinkedIn,twitter …

29. Děkuji za pozornost. Filip Navrátil Sales Engineer ESET software spol s r.o.