Trendy v počítačových hrozbách
description
Transcript of Trendy v počítačových hrozbách
![Page 1: Trendy v počítačových hrozbách](https://reader035.fdocument.pub/reader035/viewer/2022081505/568162a0550346895dd31770/html5/thumbnails/1.jpg)
Trendy v počítačových hrozbách
Filip NavrátilSales Engineer
ESET software spol s r.o.
![Page 2: Trendy v počítačových hrozbách](https://reader035.fdocument.pub/reader035/viewer/2022081505/568162a0550346895dd31770/html5/thumbnails/2.jpg)
Obsah
• O společnosti ESET• Technologie ThreatSense.Net, Virus Radar• 10 hlavních trendů v roce 2008 • Co to znamená pro koncové uživatele???• Nejrozšířenější hrozby roku 2008 dle ThreatSense.Net• Nejrozšířenější hrozby dle Virus Radar za rok 2008• Očekávané trendy v roce 2009…
![Page 3: Trendy v počítačových hrozbách](https://reader035.fdocument.pub/reader035/viewer/2022081505/568162a0550346895dd31770/html5/thumbnails/3.jpg)
O společnosti ESET
• Společnost ESET byla založena v roce 1992.
• ESET má sídlo v Bratislavě na Slovensku, pobočky v Praze, v Bristolu, Buenos Aires, San Diegu a je reprezentována ve více než 160 zemích světa.
• V roce 2008 otevřel ESET vývojové centrum v polském Krakově.
• ESET je světovým producentem bezpečnostního software pro firemní klientelu i koncové uživatele a věnuje se boji proti vznikajícím počítačovým hrozbám.
• Produkty ESET patří mezi technologickou špičku i díky tomu, že negenerují téměř žádné falešné poplachy a díky technologii ThreatSense® okamžitě reagují na nové hrozby.
![Page 4: Trendy v počítačových hrozbách](https://reader035.fdocument.pub/reader035/viewer/2022081505/568162a0550346895dd31770/html5/thumbnails/4.jpg)
Technologie ThreatSense.Net, Virus Radar
![Page 5: Trendy v počítačových hrozbách](https://reader035.fdocument.pub/reader035/viewer/2022081505/568162a0550346895dd31770/html5/thumbnails/5.jpg)
Technologie ThreatSense.Net
• Automatický sběr dat o aktuálních a nových hrozbách detekovaných produkty ESET.
• Data jsou automaticky zasílána na analýzu do virových laboratoří.
• Díky unikátní heuristické analýze umožňuje technologie ThreatSense.Net rychlou analýzu a reakci na nové hrozby.
• Poskytuje přesné informace o šíření jednotlivých hrozeb.
![Page 6: Trendy v počítačových hrozbách](https://reader035.fdocument.pub/reader035/viewer/2022081505/568162a0550346895dd31770/html5/thumbnails/6.jpg)
Virus Radar
• Projekt Virus Radar je realizován ve spolupráci se společností Seznam.cz.
• Cílem projektu je monitoring a statistická analýza počítačových hrozeb, které se šíří v přílohách emailů .
![Page 7: Trendy v počítačových hrozbách](https://reader035.fdocument.pub/reader035/viewer/2022081505/568162a0550346895dd31770/html5/thumbnails/7.jpg)
10 hlavních trendů v roce 2008
![Page 8: Trendy v počítačových hrozbách](https://reader035.fdocument.pub/reader035/viewer/2022081505/568162a0550346895dd31770/html5/thumbnails/8.jpg)
10 hlavních trendů v roce 2008
1. Nárůst počtu a sofistikovanosti programů, které se vydávají za antivirové nebo antispyware produkty.
2. Programy pro zcizení účtů a hesel k online hrám.
3. Zneužívání funkce Autorun v systému Windows různými druhy počítačových hrozeb, které se tímto snaží zajistit si spuštění na počítači.
4. Zneužití upravených dokumentů (např. PDF a dalších "důvěryhodných" formátů) ke zneužití konkrétních zranitelností příslušných aplikací.
5. Útočníci pokračují v pátrání po zranitelnostech za účelem tzv. "zero-day" útoků.
![Page 9: Trendy v počítačových hrozbách](https://reader035.fdocument.pub/reader035/viewer/2022081505/568162a0550346895dd31770/html5/thumbnails/9.jpg)
10 hlavních trendů v roce 2008
6. Zneužití zranitelnosti publikované v bulletinu MS08-067
7. Vyuití sociálního inženýrství – jednodušší než hledání zranitelností
8. Hrozby typu Drive-by downloads/exploitats
9. Pokračuje distrubuce malware v podobě falešných kodeků.
10.Pokračuje vyžití různých kopresních programů
![Page 10: Trendy v počítačových hrozbách](https://reader035.fdocument.pub/reader035/viewer/2022081505/568162a0550346895dd31770/html5/thumbnails/10.jpg)
Co to znamená pro koncové uživatele???
![Page 11: Trendy v počítačových hrozbách](https://reader035.fdocument.pub/reader035/viewer/2022081505/568162a0550346895dd31770/html5/thumbnails/11.jpg)
Co to znamená pro koncové uživatele???
• Využití sociálního inženýrství
• Nutí k nápuku plné verze pro aktivaci všech funkcí
• Neobsahuje žadné z deklarovaných funkcí
• Může obsahovat i další spyware a adware
Falešný Anti-malware
![Page 12: Trendy v počítačových hrozbách](https://reader035.fdocument.pub/reader035/viewer/2022081505/568162a0550346895dd31770/html5/thumbnails/12.jpg)
Co to znamená pro koncové uživatele???
• Mnoho uživatelů je stále překvapeno, že datové soubory mohou obsahovat spustitelný kód a považují datové typy souborů automaticky za důvěryhodné
• Nejedná se dnes již jen o MS Office, ale další datové formáty jako jsou PDF, MP3 a další
• Příkladem je WMA/TrojanDownloader.Wimad.N nebo WMA/TrojanDownloader.GetCodec.gen
Zneužití „důvěryhodných“ datových formátů
![Page 13: Trendy v počítačových hrozbách](https://reader035.fdocument.pub/reader035/viewer/2022081505/568162a0550346895dd31770/html5/thumbnails/13.jpg)
• Dlouhodobý trend vyžití sociálního inženýrství ke špuštění škodlivého kódu
• Uživatel je přesvědčen, že spuštěním získá cosi užitečného
• Klasický případ stránek s "multimediálním" obsahem• Často případ porno/warez stránek
Co to znamená pro koncové uživatele???
Podvodné kodeky
![Page 14: Trendy v počítačových hrozbách](https://reader035.fdocument.pub/reader035/viewer/2022081505/568162a0550346895dd31770/html5/thumbnails/14.jpg)
• Hrozba se sam nešíří, uživatel jde za hrozbou
• Objevuje se i na legitimních stránkách• Napadení webového serveru (SQL injection, sniffer,
keylogger, slovníkové útoky, známá zranitelnost, …)
• Umístění kódu do stávajících stránek
Co to znamená pro koncové uživatele???
Drive-by exploits / downloads
![Page 15: Trendy v počítačových hrozbách](https://reader035.fdocument.pub/reader035/viewer/2022081505/568162a0550346895dd31770/html5/thumbnails/15.jpg)
• Další variantou je neprolinkovaná webová stránka
• Provázáno se spamem
• Aplikováno v sociálním inženýrství
• Využití serveru jako download serveru pro hrozby
• Zjevné vazby mezi spammery a těmito útoky
• „Zombie“ v cizině spamují české URL linky
Co to znamená pro koncové uživatele???
Drive-by exploits / downloads
http://cadorgames.xf.cz/index1.php http://cobrahk.wz.cz/index1.phphttp://cykloservis.webzdarma.cz/index1.php http://nordex.cz/index1.php http://optikart.cz/index1.php http://penzion-hradsky.cz/index1.php http://restauracnisoftware.cz/index1.php http://romanegila.ic.cz/index1.php http://triz.ic.cz/index1.php http://vkshb.cz/index1.php http://www.aquasphere.cz/tophot.html http://www.aquasphere.cz/whatsup.html http://www.biosprerov.cz/index1.php http://www.czestochowa.tnoik.org/index1.php http://www.fiasw.cz/index1.php
![Page 16: Trendy v počítačových hrozbách](https://reader035.fdocument.pub/reader035/viewer/2022081505/568162a0550346895dd31770/html5/thumbnails/16.jpg)
• Funkce autorun je navržena jako "Spusť vše co připojím"
• Nejedná se o primární způsob šíření, ale většinou o další použitou metodu
• Obecné doporučení je raději tuto funkcionalitu vypnout
Co to znamená pro koncové uživatele???
Hrozby zneužívající funkci Autorun
![Page 17: Trendy v počítačových hrozbách](https://reader035.fdocument.pub/reader035/viewer/2022081505/568162a0550346895dd31770/html5/thumbnails/17.jpg)
Co to znamená pro koncové uživatele???
• Nástup chytrých mobilních zařízení připojených k internetu přidává novou skupinu potencionálních obětí
• První hrozby pro mobilní platformy se již objevují
• Větší útok je jen otázkou času
Mobilní hrozby
![Page 18: Trendy v počítačových hrozbách](https://reader035.fdocument.pub/reader035/viewer/2022081505/568162a0550346895dd31770/html5/thumbnails/18.jpg)
Co to znamená pro koncové uživatele???
• Nejednoznačná detekce adware a spyware• PUA je ve většině produktů jako volba
• Pozor na čtení EULA, to nejmenší bývá důležité
• Instalace takových programů může obsahovat i další aplikace, které nejsou uvedeny v EULA
Virtumonde, Adware, Potentially Unwanted Application ,…
![Page 19: Trendy v počítačových hrozbách](https://reader035.fdocument.pub/reader035/viewer/2022081505/568162a0550346895dd31770/html5/thumbnails/19.jpg)
Co to znamená pro koncové uživatele???
• Hrozby, které odesílají data z počítače• Trojské koně obsahující keylogers, rootkits,…
• Jmenná konvence pro celé soubory hrozeb
• Při detekci je využita heuristika
Win32/PSW.OnLineGames, Win32/Agent, …
![Page 20: Trendy v počítačových hrozbách](https://reader035.fdocument.pub/reader035/viewer/2022081505/568162a0550346895dd31770/html5/thumbnails/20.jpg)
Co to znamená pro koncové uživatele???
• Červ využívající zranitelnosti v MS bulletinu MS08-067
• Několik metod šíření• Využití zranitelnosti, autorun.inf, sdílené složky
• Infikován velký počet stanic• Botnet síť v řádu milionů stanic
Win32/Conficker
![Page 21: Trendy v počítačových hrozbách](https://reader035.fdocument.pub/reader035/viewer/2022081505/568162a0550346895dd31770/html5/thumbnails/21.jpg)
Nejrozšířenější hrozby roku 2008
![Page 22: Trendy v počítačových hrozbách](https://reader035.fdocument.pub/reader035/viewer/2022081505/568162a0550346895dd31770/html5/thumbnails/22.jpg)
Nejrozšířenější hrozby roku 2008 dle ThreatSense.Net
• Statistika "Top 20" dle počtu detekcí jednotlivých názvů
• Díky heuristické detekci hrozeb nemusí vždy reprezentovat jednotlivou hrozbu nebo celou rodinu hrozeb
• Tento výstup neposkytuje přehled o trendech
![Page 23: Trendy v počítačových hrozbách](https://reader035.fdocument.pub/reader035/viewer/2022081505/568162a0550346895dd31770/html5/thumbnails/23.jpg)
Nejrozšířenější hrozby roku 2008 dle ThreatSense.Net
• Statistika hrozeb dle typu
• Jednotlivé varianty hrozeb jsou seskupeny pod jeden název
• Podává lepší přehled o aktuálních trendech
![Page 24: Trendy v počítačových hrozbách](https://reader035.fdocument.pub/reader035/viewer/2022081505/568162a0550346895dd31770/html5/thumbnails/24.jpg)
Nejrozšířenější hrozby dle Virus Radar za rok 2008
• Projekt realizovaný v době útoků šířených téměř výhradně emailem.
• Stále živá scéna, i když poměry infikovaných emailů jsou jiné než v dobách největší "slávy"
• Přílohy emailu nahradily URL odkazy ve spamových zprávách2004-
062004-
122005-
062005-
122006-
062006-
122007-
062007-
122008-
06
0
5
10
15
20
25
19.56
10.6
4.287.61
0.8 0.9 0.81 0.29
0.09000000000000
01
![Page 25: Trendy v počítačových hrozbách](https://reader035.fdocument.pub/reader035/viewer/2022081505/568162a0550346895dd31770/html5/thumbnails/25.jpg)
Očekávané trendy v roce 2009
![Page 26: Trendy v počítačových hrozbách](https://reader035.fdocument.pub/reader035/viewer/2022081505/568162a0550346895dd31770/html5/thumbnails/26.jpg)
Očekávané trendy v roce 2009…
Lepší nevědět
![Page 27: Trendy v počítačových hrozbách](https://reader035.fdocument.pub/reader035/viewer/2022081505/568162a0550346895dd31770/html5/thumbnails/27.jpg)
Očekávané trendy v roce 2009…
• Více útoků s cílem získat peníze – hlavní a jediný cíl útoku• Opakování případů typu falešných antivirů• Bude vylepšena forma sociálního inženýrství a možná i
"funcionalita" falešných produktů
• Útoky na zranitelnosti prohlížečů=nejpoužívanějších aplikací• Tyto aplikace přivedou útočníka k hrozbám (drive-by
exploits)
• Více útoků na mobilní platformy• Větší rozšíření "smart" zařízení připojených na inet
![Page 28: Trendy v počítačových hrozbách](https://reader035.fdocument.pub/reader035/viewer/2022081505/568162a0550346895dd31770/html5/thumbnails/28.jpg)
Očekávané trendy v roce 2009…
• Útoky na další platformy jako OS X
• Použití technik pro skrývání hrozeb – více času na útok=více peněz (ROI)
• Zvýší se podíl hrozeb zněužívajících zranitelností aplikací s využitím "datových" souborů (PDF, media files…)
• Využití sociálního inženýrství pro útoky na služby typu Facebook, LinkedIn,twitter …
![Page 29: Trendy v počítačových hrozbách](https://reader035.fdocument.pub/reader035/viewer/2022081505/568162a0550346895dd31770/html5/thumbnails/29.jpg)
Děkuji za pozornost.
Filip NavrátilSales Engineer
ESET software spol s r.o.