Отчет об угрозах за вторую половину 2012 года: Интернет

в 17:42, , рубрики: интернет, информационная безопасность, итоги, отчёт, переводы, Песочница, метки: , , , ,

Отчет об угрозах за вторую половину 2012 года: Интернет

Предисловие

Данная статья является частичным переводом the report for H2 2012.
Отчёт сам по себе представился мне достаточно интересным и информативным в связи с чем я и решил опубликовать для начала его небольшую часть, а затем если получится то и всё остальное.

О чём собственно речь?

Это время года всегда является очень интересным. Это время когда Лаборатории оглядываются на события, произошедшие за последние полгода, и делают выводы.

Здравый смысл по-прежнему необходим во время использования Интернета, но в последнее время все труднее становится обнаружить опасности на своём пути. Рекламные сети (Ad-networks) внедрены в огромное количество сайтов и могут распространять вредоносное программное обеспечение через веб-порталы, которые должны быть надёжными.

Введение

Развитие Интернета сегодня — это достаточно тревожная тенденция.
С одной стороны никогда ещё размещение контента в Интернете не было таким простым занятием как сейчас. Любой сегодня может создать собственный веб-сайт за считанные секунды, не имея при этом специальных технических знаний, это достаточно приятный момент, а с другой стороны, это может быть нехороший человек который желает получать прибыль от злонамеренных действий в сети.

Размещение контента

Традиционно, «плохие парни» размещают свои вредоносные продукты на автономных веб-сайтах. Недавние события в хостинговой индустрии сделали этот вариант еще более привлекательным.

Однако хостинг пока еще не стал настолько доступным, что купить домены можно было бы оптом, в настоящее время субдоменный хостинг предлагает пользователю размещать контент в сети Интернет гораздо дешевле, а зачастую и совершенно бесплатно.

Хостинговые сайты разнообразны, некоторые из них подходят лучше других для размещения вредоносных программ. Сайт хостинга изображений, к примеру, не очень хорошо подходит для злоумышленников. Некоторые типы хостинга сайтов сами по своей природе, могут легко распространять зловредный контент. Следующие несколько сервисов наиболее активно используются распространителями вредоносных программ:

  • Динамические DNS провайдеры
  • Субдоменные и перенаправляющие хостинги
  • Блоги и контент хостинги
  • Файловые хостинги
  • Магазины приложений

Все эти сервисы являются наиболее предпочтительными для злоумышленника благодаря простоте использования, высокому уровню анонимности и тому факту, что они дешёвые или даже совершенно бесплатные. Хотя все эти услуги получили заметный рост в зловредном хостинге, самые яркие из них это динамические DNS провайдеры и магазины приложений (о которых в отчёте есть отдельная статья).

Поскольку число субдоменных хостинг-предложений от динамических DNS провайдеров выросли, наибольшее количество вредоносного контента направляется именно через них. При проверке одного из Топ-3 динамических DNS-провайдеров (no-ip.com, dnsdynamic.org и changeip.com) выяснилось, что 87% поддерживаемых ими доменов, размещают у себя вредоносный контент.
Отчет об угрозах за вторую половину 2012 года: Интернет

Затем идут субдоменые и перенаправляющие хостинги. Хотя они уступили динамическим DNS-провайдерам, эти сайты все еще удерживают свою долю вредоносного контента. Значительное число из них (uni.me, 110mb.com, vv.cc, x10.mx и rr.nu) активно используется для размещения вредоносного контента. Даже тогда, когда крупный игрок, co.cc, таинственно исчез, большинство из этих субдоменных хостингов продолжают процветать.

Не сильно отстают так же блоги и другие сайты хостинга контента. Давайте рассмотрим WordPress, наиболее популярная CMS на данный момент, доля которой составляет 59% рынка. Её удобство и революционность в сфере создания контента позволяет людям, наименее технически подкованным, быть частью киберпространства. Однако поскольку «плохие парни» тоже хорошо осведомлены о статистике, наборы эксплоитов направленные на сайты обслуживаемые с помощью CMS WordPress, позволяют подменять легальные страницы на страницы со зловредным содержимым.

Ну и наконец, файловые хостинги — это простой способ резервного копирования или распространения как законных, так и вредоносных программ в Интернете. Значительное количество вредоносного программного обеспечения из файловых хостнигов извлекается с помощью, так называемых Trojan-Downloader прямо в систему без вмешательства пользователя. Файловые хостинги обеспечивают свободный и легкий одноразовый хостинг для вредоносных программ, неплохая альтернатива для злоумышленника, которому иначе пришлось бы использовать технически более сложный динамический DNS хостинг, субдоменный хостинг или даже автономные домены.

Социальные сети и сайты социальных медиа

В настоящее время социальные сети и сайты социальных медиа очень эффективные места для распространения нелегального контента, крупные компании, такие как Facebook и Twitter были очень заинтересованы в улучшении систем безопасности. Facebook сотрудничает с экспертами по безопасности в надежде очистить огромное количество данных, обрабатываемых их системами ежедневно, в основном все их усилия успешны.

Количество вредоносных приложений и онлайн-мошенников размещенных на Facebook уменьшилось за эти годы, и во второй половине 2012 года, мы обнаружили менее чем 30 нелегальных приложений на сайте социальной сети. Twitter имеет свой собственный сервис сокращения URL (t.co), созданный для того чтобы помочь проверить столько опасного ПО распространяемого общедоступными ссылками, сколько возможно. Несмотря на то, что Facebook и Twitter работают над усилением своей безопасности, зачастую необходимо учитывать вопросы безопасности каждого конкретного пользователя из разных стран.

Основная проблема сайтов социальных сетей на самом деле в том, что они являются идеальным местом для так называемой социальной инженерии. Несмотря на возрастающий уровень компьютерного образования, всё ещё есть такие пользователи, которые невольно нажимают на «заманчивые» ссылки. И таким образом, нелегальный контент, являющийся мошенническим, по-прежнему распространяется.

Рекламные сети

В эпоху расширения прав и возможностей всех платформ для размещения бесплатного контента, кто-то должен платить по счетам той инфраструктуры, что за ними стоит. Techcrunch это интересный анализ современных методов монетизации используемых рекламных услуг и то, как они влияют на мобильный мир. Реклама переходит на темную сторону, являя собой то, что называется malvertising (от англ. «malicious advertising» — «вредоносная реклама»).

Вредоносная реклама быстро развивается. Беглого взгляда на рейтинг доменов Alexa достаточно, чтобы показать её привлекательность: из 1000 лучших доменов, 5,9% принадлежат к рекламным сетям. И, конечно же, пользователи не видят рекламы на этих сайтах, они видят её при посещении других сайтов с интересующим их контентом, на которые она добавляется из ad-серверов.

Достаточно много веб-сайтов, в настоящее время отображающих удаленный контент, в дополнение к основному. Давайте посмотрим на ESPN в качестве примера. Помимо основной части espn.go.com, сайт загружает содержимое из этих мест:

  • espncdn.com — форматирование страниц и содержимого
  • dl-rms.com, doubleclick.net, 2mdn.net, scorecardresearch.com, ooyala.com, adnxs.com, adroll.com, mktoresp.com — рекламные сервисы для монетизации
  • chartbeat.com, google-analytics.com, etc — статистика траффика
  • typekit.com, etc — инструментарий/программное обеспечение

Учитывая то, что используется несколько различных источников, безопасность веб-сайта уже не ограничивается отображаемым контентом, все это влияет на целостность рекламных сетей, обеспечивающих контент, а так же безопасность инструментария или программного обеспечения использованного на сайте. К сожалению, тот факт, что область информационной безопасности для одного сайта расширяется, увеличивает сложность обеспечения безопасности.

«Плохие парни» знают об этом и могут легко это использовать. Наиболее распространённые атаки, распространяют вредоносные объявления и ставят под угрозу ad-платформы использованные хостом сайта. Ярким примером может послужить случай, когда рекламная сеть, которая используется одним из самых популярных веб-сайтов Финляндии, suomi24, невольно послужила злоумышленникам.

Ad-платформы для атак, хотя и требуют гораздо больше технических знаний, так же эффективны. Недавний пример был предоставлен Websense и учувствовавший в нём рекламный сервер был скомпрометирован злоумышленником, чтобы выполнять вредоносный код на сайте.

Другой популярный механизм распространения вредоносной рекламы это adf.ly служба сокращения URL, которая платит пользователям за обмен ссылками. По рейтингу Alexa это 76 самый посещаемый сайт по всему миру, 37 по Индии. 116155 сайтов имеют ссылки на него, эта услуга имеет очень широкое распространение. Для большего понимания, вредоносные объявления распространяемые данным сервисом изучает Malekal для отслеживания вредоносного контента распространяемой данным сервисом.

Взглянем на топ-1000 самых посещаемых сайтов

Теперь давайте взглянем на топ-1000 самых посещаемых сайтов по версии Alexa и посмотрим, что же там есть на самом деле. В рейтинге находятся поисковые системы, социальные сети и социальные медиа, а так же новости и торговые сайты, и всевозможные варианты файловых и рекламных хостингов.

Файл-хостинговые сайты составляют 1,9%, а веб-сайты подобные социальным сетям и социальным медиа составляют 3,4%. Рекламные сети — 5,9% от общей массы. Хотя лишь немногие из них были уличены в распространении вредоносного контента за вторую половину 2012 года, они, безусловно могут при необходимости обеспечить удобную площадку для злоумышленников.

Наибольшее количество вредоносного содержимого пришло из сайтов хостинга контента. Во второй половине 2012 года мы увидели, что 56 из 1000 или 5,6% лучших сайтов по версии Alexa, размещали вредоносный контент, как правило, это были ссылки или перенаправления на вредоносные программы или фишинговые страницы. Самым интересным было то, что 95,4% всех вредоносных URL-адресов, найденных на этих 56 сайтах, принадлежали лишь нескольким доменам.
Отчет об угрозах за вторую половину 2012 года: Интернет

Обратите внимание, что до сих пор мы рассматривали только прямые вредоносные программы или мошенничества; мы не рассматривали то, что работает на границе дозволенного и использует всевозможные способы (вопросы о здоровье, красоте, деньгах и всевозможных проблемах сексуального характера) заманивания жертвы, для того, чтобы получить от неё деньги или необходимую информацию.

Эти виды мошенничества также наращивают свои обороты, особенно в конкретных странах. Например, Австралия, Испания, Исландия, Венгрия и Армения очень подвержены уловкам, обещающим быстрый способ разбогатеть или что-нибудь выиграть.

Данные виды мошенничества, как правило, считаются потенциально нежелательными, а не злонамеренными, и, следовательно, принадлежат к другой категории нелегального контента.

В заключение

Действительно удивительно, как много свободы предлагает Интернет своим пользователям. В настоящее время получить доступ к Интернету можно через любые устройства, это истинная сила, связывающая людей из разных уголков земного шара.

Однако тёмная сторона — это то, что злонамеренное поведение имеет точно такие же возможности для атаки любого уголка Интернета. Понятие безопасности в Интернете было пересмотрено. Хотя на некоторых сайтах всё ещё безопаснее, чем на других, ничего не может быть безопасно на 100%.

Для пользователей это означает, что безопасность в интернете становится всё более личным вопросом, требующим несколько уровней защиты и здоровую дозу паранойи, по крайней мере, это минимизирует шансы быть пораженным.

Автор: Frink

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js