'

День антивирусной безопасности 2010.04.28

Понравилась презентация – покажи это...





Слайд 0

День антивирусной безопасности 2010.04.28 Станислав Шевченко, зам. директора по исследованиям и разработке, директор проекта «Антивирусная школа – новый источник IT-знаний» Kaspersky Lab


Слайд 1

Как работаем: Пишите и передавайте записки с вопросами, самые интересные будут отмечены подарками


Слайд 2

Программы


Слайд 3

Самое свежее... На 10.02.2010


Слайд 4

ВП – вредоносная программа Трудно ли создать ? Трудно ли использовать ? Опасно ли пользоваться ? Можно ли заработать ? Индустриализация киберкриминала ! нет нет да да Трудно ли противостоять ? да


Слайд 5

Click to edit Master title style Click to edit Master text styles Second level Third level Fourth level Fifth level June 10th, 2009 Event details (title, place) Основные тенденции Число новых вредоносных программ 2003 - 2009


Слайд 6

Самое свежее... На 20.02.2010


Слайд 7

О чем поговорим? WEB 2.0 – шагает по планете. Спам, спам и еще раз спам Ложные спасатели – что это? Уязвимости программ – точки проникновения Зомби сети – угрожающие рекорды SMS-платежи – новые возможности старого мошенничества Статистика – реалии в цифрах


Слайд 8

Web 2.0


Слайд 9

Социальные сети Google, Adobe и другие компании подверглись атакам хакеров через социальные сети, сообщает Financial Times Проанализировав атаки, эксперты по компьютерной безопасности заявили, что хакеры следили за конкретными людьми в компаниях, имеющими доступ к секретным данным, а затем узнавали, с кем эти люди общаются и дружат. После этого хакеры взламывали страницы в социальных сетях этих друзей, в надежде повысить вероятность того, что люди, являющиеся финальной целью хакеров, скорее нажмут на ссылки от "друзей" По данным «Лаборатории Касперского», социальные сети стали основной мишенью атак в 2008 году. По прогнозам «Лаборатории Касперского», в 2009 году будет наблюдаться переход от концептуальных угроз и пробных атак в социальных сетях к массовым атакам. Социальные сети содержат персональную информацию, которая может быть использована в том числе и злоумышленниками. Обманчивая атмосфера доверия ведет к предоставлению конфиденциальной информации «по дружбе». Практически каждый может представиться там коллегой по увлечению. Многие пользователи наиболее распространенной в России социальной сети «Одноклассники.ру» уже получали письма со ссылкой на вирус. Пример такого послания — просьба проголосовать за фотографию какой-либо претендентки на титул «Мисс Рунет». Пройдя по модифицированному адресу, пользователь видит фото претендентки и отзывы людей, якобы уже проголосовавших за нее. Далее при нажатии на ссылку «Отдать свой голос» посетителю сайта предлагается скачать видеоролик, в то время как на самом деле на компьютер скачивается вирусная программа.


Слайд 10

Пример сообщения


Слайд 11

In-the cloud security in- the-cloud security -основной технологический тренд развития AV-индустрии


Слайд 12

СПАМ


Слайд 13

Доля спама в потоке 60% 65% 70% 75% 80% 85% 90% 95% Январь Февраль Март Апрель Май Июнь Июль Август Сентябрь Октябрь Ноябрь Декабрь 2007 2008 2009


Слайд 14

Спам Доля спама в почтовом трафике рунета Январь 2010 85.1 %


Слайд 15

Спам


Слайд 16

Трюки и «фишки»


Слайд 17

Youtube video


Слайд 18

Mp3 Опять?!


Слайд 19

Мозаика


Слайд 20

Волны


Слайд 21

Fishing


Слайд 22

Ложные спасатели


Слайд 23

Ложные спасатели Первая половина 2008 года – около 3 000 шт Первая половина 2009 –более 20 000 шт Fraud Tool – риск варе попадает при помощи программ Hoax – Которые находят проблемную зону и предлагают поставить защиту. Распространение при помощи Рекламы Главное напугать, а затем вынудить заплатить Покупка как правило при помощи SMS


Слайд 24

Ложные антивирусы


Слайд 25

График добавления сигнатур


Слайд 26

Доля новых сигнатур


Слайд 27

Уязвимости


Слайд 28

Определение Уязвимость – в компьютерной терминологии, это недостаток в системе который может быть использован для изменения функционала системы. Возникает из-за ошибок программистов или ошибок архитектуры. Википедия


Слайд 29

Типы воздействия


Слайд 30

Drive-by загрузки. Суть технологии: при посещении пользователем легитимного взломанного сайта незаметно загрузить на его компьютер вредоносную программу. Такие атаки особенно опасны, ведь на взломанные легитимные сайты заходят тысячи ничего не подозревающих пользователей, и каждый из них является потенциальной жертвой.


Слайд 31

Зомби сети


Слайд 32

Определение Ботами называют вредоносные программы, занимающиеся объединением пораженных компьютеров в ботнеты.


Слайд 33

Зомби сети. Спят ли зомби? Нет, не спят. Самая большая сеть известная на сегодня – сеть созданная Net-Worm.win32.kido В каждом письме используется свой уникальный домен (для усложнения детектирования СПАМ рассылки) использованно -40542 домена 3 уровня и 33 домена второго уровня За 12 часов работы один только бот отправил 42298 спам письма с вредоносной программой


Слайд 34

Click to edit Master title style Click to edit Master text styles Second level Third level Fourth level Fifth level June 10th, 2009 Event details (title, place) Эпидемия Kido (Conficker) продолжалась на протяжении всего 2009 года. В ноябре количество зараженных систем превысило 7 млн. Для борьбы с Kido была создана специальная группа Conficker Working Group. Источник: www.shadowserver.org Kido


Слайд 35

Математика 1 бот iksmas – в сутки отправляет 80000 писем Допустим что заражено всего 500000 машин Получается что за сутки зомби сеть, только этого бота рассылает 400 000 000 000 (400 миллиардов) писем со спамом


Слайд 36

Kido Помимо спам бота iksmas кидо на компьютер жертвы устанавливает и уже известный нам поддельный антивирус Настойчивость так велика, что скорее всего пользователь установит себе этот ложный антивирус


Слайд 37

Kido Пользователь теряет не только 50 долларов, но и данные кредитных карт и платежные реквизиты Кроме аллертов этот ложный антивирус устанавливает еще один компонент а именно троян-загрузчик, trojan- downloader.win32.fraudLoad.ecl – который обеспечиват загрузку новых версий ложного антивируса SpywareProtect2009


Слайд 38

Click to edit Master title style Click to edit Master text styles Second level Third level Fourth level Fifth level June 10th, 2009 Event details (title, place) Глобальные эпидемии: Gumblar Система работает по замкнутому циклу


Слайд 39

Зомби - бизнес


Слайд 40

Управление жертвой


Слайд 41

Киберпреступность - «сервис»


Слайд 42

Trojan-Downloader.JS.Gumblar.a Свое название этот представитель киберфауны получил по причине того, что его первые версии перенаправляли пользователей на домен gumblar.cn Этот троянец представляет собой вредоносный зашифрованный сценарий JavaScript, вставленный в тысячи страниц различных взломанных сайтов и перенаправляющий посетителей этих сайтов на вредоносную веб-страницу. Компьютеры пользователей, попавших на зараженный сайт, подвергаются атаке с помощью эксплойтов, использующих уязвимости в Adobe Acrobat Reader и Adobe Flash Player.


Слайд 43

Trojan-Downloader.JS.Gumblar.a Если один из эксплойтов срабатывает, то в систему пользователя незаметно загружается троянская программа. Этот троянец изменяет результаты поиска через Google таким образом, что полученные ссылки могут вести на вредоносные сайты, и заодно собирает с компьютеров ftp-логины и пароли. Украденные данные в дальнейшем используются злоумышленниками для доступа к учетной записи на сервере и заражения новых сайтов. Собственно заражением страниц занимался инфектор, написанный на PHP, вставляющий код троянца Gumblar во все веб-документы на сервере после тега <body>.


Слайд 44

Click to edit Master title style Click to edit Master text styles Second level Third level Fourth level Fifth level June 10th, 2009 Event details (title, place) Мобильные платформы Появление первых угроз для iPhone и Android Слабая технология контроля публикуемых приложений ОС Android


Слайд 45

SMS-биллинг в России Выкачивание денег с помощью SMS, отправленных на премиум-номера. Например: Trojan-Ransom: Blocker и Smser. Российская специфика, русский «интерфейс». После успешного запуска блокируют запуск ОС. Требуется послать SMS-сообщение на короткий номер и в ответ получить код, которым активировать ОС. Последние версии троянцев семейства Blocker блокируют загрузку ОС под предлогом того, что у пользователя якобы установлена нелицензионная версия. Нелицензионное ПО, предлог вполне убедительный, и жертвой троянцев большей частью становится именно русскоязычная аудитория.


Слайд 46

SMS-биллинг


Слайд 47

*nix. Волшебная абревиатура Растущая популярность той или иной платформы не может не привлекать вирусописателей. Во втором квартале 2009 года - 48 новых вредоносных программ Наиболее интересными Trojan-Dropper.Linux.Prl -запускает процесс интерпретатора perl и передает ему скрипт, содержащий основную вредоносную нагрузку, которой является рассылка с зараженных серверов спама. первый прецедент использования зараженного *nix-сервера для рассылки спама. Trojan-Mailfinder.Perl.Hnc Ботсети из компьютеров под управлением Mac OS X. Распространение вредоносных программ-ботов велось в январе этого года через торрент-сети вместе с пиратской версией популярного пакета офисных программ Apple iWork’09, - Backdoor.OSX.iWorm


Слайд 48

Click to edit Master title style Click to edit Master text styles Second level Third level Fourth level Fifth level June 10th, 2009 Event details (title, place) Альтернативные платформы: Mac OS Первая троянская программа для Mac OS – OSX.RSPlug.A (Trojan-Downloader.OSX. Jahlav) Первый поддельный антивирус для Mac – Imunizator


Слайд 49

Защищать нужно ЛЮБУЮ ОС


Слайд 50

Статистика


Слайд 51

Статистика Веб-антивирус: детектируемые объекты в интернете Более 60% вредоносных программ, распространяемых на вебе, составляют программы пяти поведений:


Слайд 52

Статистика детали Trojan-Downloader - доля которого уменьшилась на 10,48% и составила 27,16%. Основной вклад внес Trojan-Downloader.JS.Gumblar.a Trojan: его доля изменилась на -7,37% и составила 13,80%. Своей популярностью поведение Trojan обязано в основном троянскому скриптовому загрузчику Trojan.JS.Agent.xy. Exploit, на долю которого пришлось 9,90% — это меньше на 2,25%. Главную роль здесь сыграл Exploit.HTML.CodeBaseExec, Предпоследнюю позицию в рейтинге по результатам второго квартала заняло поведение Trojan-Clicker — 7,36%. Trojan-Clicker потеряло 0,89% Packed. Это поведение стало единственным новичком рейтинга и вытеснило поведение Backdoor. На долю Packed пришлось чуть более 2% — на 0,33% меньше, чем за предыдущий период. Самым популярным представителем данного поведения стал вредоносный объект Packed.JS.Agent.ab


Слайд 53

OAS: последняя линия защиты Распределение поведений вредоносных программ по результатам 2009 Q2 (данные on-access сканера).


Слайд 54

Статистика - детали Worm (17,12%). Основной вклад в их популярность внесли представители семейства Worm.Win32.AutoRun, которые распространяются на внешних носителях. Virus: его доля составила 9,64%, а прирост на 0,64%. Основной вклад в популярность Virus внесли лидеры предыдущих кварталов, сохранившие высокую активность: Virus.Win32.Sality.aa -? обычный файловый вирус, вызвавший эпидемию в последнем квартале прошлого года Virus.Win32.Virut.ce. Интересной мишенью атаки в виде web-серверов и многоходовым механизмом заражения Net-Worm. На него пришлось 8,37% от всех обнаруженных OAS вредоносных программ, что почти на 2% больше результатов прошлого квартала. Такой популярностью поведение обязано Net-Worm.Win32.Kido.ih.


Слайд 55

География Распределение вредоносных доменов по странам


Слайд 56

Игры


Слайд 57

Атаки на антивирусы


Слайд 58

Резюме Современные вредоносные программы отличаются многообразием способов распространения. В настоящее время, когда среднестатистический пользователь использует большое количество клиентов (почта, веб, интернет-пейджеры, P2P и т.д.), очень важно уделять внимание защите каждого канала передачи данных. В каждом трафике ? свои зловреды, свои пути проникновения и заражения компьютера. Современные антивирусы уже давно перестали быть простыми сканерами: на многообразие вредоносного контента необходимо отвечать многообразием подсистем защиты. Неверно думать, что если включена какая-то одна из них, то пользователь будет защищен. Когда речь идет о защите от современных вредоносных программ, лишней защиты не бывает!


Слайд 59

Информация в Интернет: av-school.ru securelist.com kaspersky.com Информация


Слайд 60

Спасибо! Вопросы? Станислав Шевченко, зам. директора по исследованиям и разработке, директор проекта «Антивирусная школа – новый источник IT-знаний» Kaspersky Lab


×

HTML:





Ссылка: