وضعيت امنيت در ماه مارس به روايت سايمانتک

IRCRE201104066
شركت سايمانتك در گزارش ماه مارس MessageLabs Intelligence، آخرين تهديدات در ماه مارس 2011 را مورد بررسي قرار داده و در مورد جنگ­هاي جاري عليه ويروس­ها، هرزنامه ها، جاسوس افزارها و ساير بدافزارها اطلاع رساني كرده است.

كاهش هرزنامه ها
در روز 16 مارس botnet معروف Rustock كه يكي از منابع اصلي ارسال هرزنامه بود از كار انداخته شد. در نتيجه در اين ماه شاهد كاهش محسوس هرزنامه هاي ارسال شده بوديم.
يافته هاي سايمانتك نشان مي­دهد كه بين روزهاي 15 و 17 مارس، حدود 33.6 درصد كاهش در حجم ايميل­هاي هرزنامه اي را شاهد بوده ايم.
در روزهاي پس از 16 مارس و از كار افتادن Rustock، ميزان هرزنامه ها به حدود 33 ميليارد ايميل در روز رسيد كه در مقايسه با روزهاي پيش از 16 مارس، حدود 20 ميليارد كاهش داشت.

Botnet هاي ارسال كننده هرزنامه در سال 2011
در ماه مارس 83.1 درصد از هرزنامه ها از طريق botnet ها ارسال شده اند. اين موضوع نشان دهنده يك افزايش 6.1 درصدي نسبت به پايان سال 2010 است كه 77 درصد از هرزنامه ها از طريق botnet ها ارسال مي­شدند. به طور ميانگين در طول سال 2010 حدود 88.2 درصد از هرزنامه ها به وسيله botnet ها انتشار مي يافتند. Botnet ها همچنان يكي از منابع مخرب مجرمان اينترنتي بوده و از ابزارهاي اصلي هرزنامه نويسان به شمار مي­روند. علاوه بر ارسال هرزنامه، بسياري از botnet ها مي­توانند براي اهداف ديگري از جمله حملات انكار سرويس توزيع شده، ميزباني وب سايت­هاي غير قانوني بر روي كامپيوترهاي آلوده، جمع آوري داده هاي شخصي از اين كامپيوترها و نصب جاسوس افزار براي رديابي فعاليت كاربران كامپيوترهاي آلوده به كار روند.
در ماه مارس و پيش از از كار افتادن botnet مشهور Rustock، اين botnet حدود 13.82 ميليارد ايميل هرزنامه اي در روز ارسال مي­كرد كه اين ميزان، حدود 28.5 درصد از هرزنامه هاي ارسال شده توسط تمامي botnet ها در ماه مارس بود. بنابراين كاهش ميزان هرزنامه هاي ارسال شده از سوي botnet ها پس از از كار افتادن اين botnet حدود يك سوم كاهش يافت. در پايان سال 2010، Rustock مسئول حدود 47.5 درصد از تمامي هرزنامه ها بوده و حدودا 44.1 ميليارد هرزنامه در طول روز ارسال مي­كرد.
در نبود Rustock، ساير botnet ها فعاليت خود را براي استفاده از اين فرصت افزايش دادند. جدول زير ده botnet برتر ارسال كننده هرزنامه در ماه مارس را نمايش مي­دهد.
از پايان سال 2010 تا كنون botnet ديگري به نام Bagle فعالتر شده و حدود 8.31 ميليارد هرزنامه را در طول روز ارسال مي­نمايد كه اغلب آنها به محصولات پزشكي مرتبط هستند. اگرچه تعداد اعضاي Bagle به Rustock نرسيده و در نتيجه ترافيك ارسالي آن بسيار كمتر از Rustock است، ولي خروجي آن از ثبات بيشتري برخوردار است. در حال حاضر Bagle فعالترين botnet در زمينه ارسال هرزنامه است.
در ماه مارس، هزرنامه هاي ارسال شده از طريق Bagle به بيشترين مقدار خود از سال 2009 تا كنون رسيد.
تحليل كشورهاي برتر ميزبان botnet هاي ارسال كننده هرزنامه در جدول زير نمايش داده شده است. فدراسيون روسيه بيشترين منبع هرزنامه ها در ماه مارس بوده است.
براي نخستين بار در طول يك سال گذشته، جدول فوق شامل كشورهاي زيادي از اروپا نيست.
علي رغم اينكه در سال 2010 بارها Cutwail از كار انداخته شد، ولي همچنان اين botnet در ميان ده botnet برتر ارسال كننده هرزنامه در مارس 2011 قرار دارد.
تحقيقات نشان دهنده افزايش در هرزنامه هاي حاوي يك فايل ZIP مي­باشند كه اين افزايش در ماه فوريه بيش از ماه مارس بوده است. در سال 2010 هرزنامه هايي با فايل پيوست بسيار كمتر مشاهده مي­شدند. اين هرزنامه ها در ژوئن 2010 حدود 3 درصد از كل هرزنامه ها را تشكيل مي­دادند كه اين ميزان در ماه سپتامبر به 11 درصد رسيد. هر چه اندازه فايل­هاي پيوست هرزنامه ها بزرگتر باشد، تعداد ايميل­هايي كه هرزنامه نويسان قادر به ارسال آن هستند كاهش مي يابد.

سوء استفاده كلاهبرداران از انقلاب­هاي كشورهاي عربي، فريب 419
كلاهبرداراني كه از فريب 419 استفاده مي­كنند، همواره به دنبال وقايع جديد جهان هستند تا با استفاده از آن قربانيان خود را فريب داده و از آنان پول دريافت نمايند. اين بار يك ايميل 419 كه به زبان آلماني نوشته شده بود، ادعا مي­كرد كه از طرف وكيل رئيس جمهور پيشين مصر (حسني مبارك) نوشته شده است و از گيرندگان ايميل درخواست مي­كرد كه براي بازيابي 2.5 ميليون دلار سرمايه رئيس جمهور كه در بانك بلژيك مسدود شده است كمك نمايند.
همچنين در مورد ديگري فريبكاران سعي در سوء استفاده از ناآرامي­هاي ليبي داشتند. اين ايميل ادعا مي­كرد توسط شخصي مرتبط با سنوسي (كه در سال 1969 توسط قذافي سرنگون شد) نوشته شده است و از گيرندگان درخواست مي­كرد براي خروج پول­هاي وي به خارج از كشور كمك نمايند.

سوء استفاده هرزنامه نويسان از سرويس­هاي كوتاه كننده URL
IDN اجازه مي­دهد كه نام­هاي دامنه شامل كاراكترهاي عربي، چيني، روسي و بسياري كاراكترهاي ديگر باشند. اخيرا تعدادي ايميل­هاي هرزنامه اي در آلمان، استراليا و سوئيس مشاهده شده اند كه شامل لينك­هايي به يك سايت كوتاه كننده URL مشهور هستند. اين لينك­ها كاربر را به وب سايتي منتقل مي­كنند كه تحت يك دامنه IDN ميزباني مي­شود و آن وب سايت، به وب سايت حقيقي هرزنامه نويسان منتقل مي­گردد.

تحليل حملات سرقت هويت
در ماه مارس فعاليت­هاي سرقت هويت، 0.065 درصد نسبت به فوريه 2011 كاهش نشان داد. به طور كلي در اين ماه يكي از هر 252.5 ايميل به شكلي حاوي حملات سرقت هويت بود.
يك بار ديگر آفريقاي جنوبي بيشترين هدف ايميل­هاي سرقت هويت در ماه مارس بود. بسياري از اين ايميل­ها چهار بانك ملي اصلي اين كشور را هدف قرار مي­دهند.
در انگلستان يك ايميل از هر 98.3 ايميل حاوي فعاليت سرقت هويت است. اين ميزان در ايالات متحده يك ايميل از هر 535.5 ايميل و در كانادا يك ايميل از هر 161.0 ايميل است. اين تعداد در ژاپن به يك ايميل از هر 1724 ايميل مي­رسد.