بدافزارهای سه‌ماهه سوم 2012 به گزارش Kindsight – قسمت اول

IRCRE201211118
تاريخ: 28/08/91

مقدمه
گزارش بدافزارهاي سه‌ماهه سوم 2012 از آزمايشگاه‌هاي امنيتي Kindsight، روندهاي معمول آلودگي‌هاي بدافزاري را در شبكه‌هاي خانگي يا دستگاه‌هاي موبايل مورد بررسي قرار مي‌دهد. داده‌هاي اين گزارش از شبكه‌هايي جمع‌آوري شده است كه Kindsight در آنها به كار گرفته مي‌شود. در اين مطلب، به قسمت اول اين گزارش مي‌پردازيم.

خلاصه آماري گزارش

• 13% از شبكه‌هاي خانگي در سه‌ماهه سوم 2012 توسط بدافزار آلوده شده‌اند كه كمي نسبت به سه‌ماهه پيشين (14%) كاهش نشان مي‌دهد.
• 6.5% از مشتريان پهن‌باند توسط تهديدات سطح بالايي مانند بت‌نت‌ها، روت‌كيت‌ها و تروجان‌هاي بانكي آلوده شده‌اند.
• ZeroAccess فعال‌ترين بت‌نت در سه‌‎ماهه سوم بوده است. تخمين زده مي‌شود كه بيش از دو ميليون كاربر در سراسر جهان توسط اين بت‌نت آلوده شده‌اند كه 685 هزار نفر از آنها در ايالات متحده قرار دارند.
• اعضاي اين بت‌نت در يك طرح پيچيده جعل كليك‌هاي تبليغاتي درگير شده‌اند كه هر روزه حدود 140 ميليون كليك تبليغاتي جعلي و 260 ترابايت ترافيك شبكه توليد مي‌نمايد. ZeroAccess مي‌تواند روزانه 900 هزار دلار درآمد براي تبليغ كنندگان ايجاد كند.
• تبليغ‌افزاراي اندرويد در حال رشد بوده و از طريق Google Play منتشر مي‌گردند و مسئوليت 90% از آلودگي 3 درصدي دستگاه‌هاي موبايل بر عهده آن مي‌باشد.

آمار بدافزارهاي خانگي در سه‌ماهه سوم 2012

• نرخ آلودگي شبكه‌هاي خانگي
  در سه‌ماهه سوم 2012، در 13% از خانواده‌ها نشانه‌هايي از آلودگي به بدافزار مشاهده مي‌گردد. اين عدد كمي نسبت به سه‌ماهه دوم (14%) كاهش نشان مي‌دهد. 6.5% از خانواده‌ها توسط تهديدات سطح بالا مانند بت‌نت، روت‌كيت يا تروجان‌هاي بانكي آلوده شده بودند. 8.1% از خانواده‌ها توسط يك بدافزار با سطح تهديد متوسط مانند جاسوس‌افزار، سرقت مرورگر يا تبليغ‌افزار آلوده شده بودند. برخي از خانواده‌ها نيز به چندين نوع آلودگي شامل تهديدات سطح بالا و سطح متوسط گرفتار شده بودند.
• روش‌هاي آلوده‌سازي
  روش اصلي آلوده‌سازي، از طريق وب‌سايت‌هاي خرابكار اجرا كننده كيت‌هاي سوء استفاده كننده مانند Blackhole مي‌باشد. زماني كه قرباني وارد اين سايت‌ها مي‌شود، اين كيت‌ها سعي در آلوده كردن سيستم وي مي‌نمايند. اگر پروسه آلوده‌سازي موفقيت‌آميز باشد، اين كيت عموما يك بت‌نت روت‌كيت مانند Alureon يا ZeroAccess را نصب مي‌كند كه پس از آن براي هماهنگ كردن فعاليت‌هاي ديگر بدافزار مورد استفاده قرار مي‌گيرد. در برخي موارد، اين كيت به‌طور مستقيم اقدام به دانلود نرم‌افزار آنتي‌ويروس جعلي، يك بت‌نت ارسال هرزنامه يا يك تروجان بانكي نظير زئوس يا SpyEye مي‌نمايد. قرباني از طريق پيشنهاد سرويس‌هاي رايگان يا ايميل‌هاي هرزنامه‌اي به اين وب‌سايت‌ها جذب مي‌گردد. نوعا قرباني يك ايميل از يك شركت يا يك سازمان دولتي دريافت مي‌كند كه در مورد مسأله‌اي در حساب وي به او اطلاع‌رساني مي‌نمايد. اين ايميل حاوي لينكي به يك وب‌سايت است كه معتبر به نظر مي‌آيد، اما متأسفانه حاوي كيت سوء استفاده كننده است. همچنين پيدا شدن بدافزار در ضميمه يك هرزنامه كاملا مورد انتظار است.
• 20 آلودگي برتر شبكه‌هاي خانگي
  نمودار زير نشان‌دهنده آلودگي‌هاي برتر شبكه‌هاي خانگي است كه توسط Kindsight ثبت شده است. اين نتايج بر اساس تعداد آلودگي‌هاي كشف شده در سه ماهه اين گزارش مرتب شده‌اند.
• تهديدات برتر سطح بالا
  جدول زير نشان‌دهنده 20 تهديد سطح بالاي برتر بدافزاري است كه منجر به سرقت هويت، جرائم سايبري يا ساير حملات آنلاين مي‌گردند. در ادامه به جزئيات مهم‌ترين تهديدات خواهيم پرداخت.
  دو نسخه متفاوت از بت‌نت ZeroAccess در صدر اين ليست قرار دارند. اين بت‌نت‌ها در يك طرح بسيار پيچيده جعل كليك بر روي تبليغات درگير هستند كه مي‌تواند براي تبليغ كنندگان نزديك به يك ميليون دلار در روز ارزش داشته باشد. آنها همچنين از طريق Bitcoin mining نيز كسب درآمد مي‌كنند. در ادامه گزارش به جزئيات اين فعاليت‌ها اشاره خواهد شد.
  روت‌كيت‌هاي TDSS و Alureon همچنان در رديف‌هاي بالايي فهرست تهديدات برتر قرار دارند. اين روت‌كيت‌ها مهاجمان را با يك پلت‌فورم امن مجهز مي‌سازند تا بدافزارهاي ديگر را براي كسب درآمد از بت‌نت خود بارگذاري نمايند و اغلب با بت‌نت‌هاي ارسال هرزنامه، تروجان‌هاي بانكي و سرقت هويت آلوده كنند. تروجان بانكي زئوس هنوز بسيار فعال است و در حال نفوذ در تكنولوژي نظير به نظير (P2P) براي دستور و كنترل مي‌باشد. بت‌نت فلش‌بك در سيستم‌هاي مك به رديف هشتم جدول سقوط كرده است و DNSchangerنيز هنوز در اين جدول حضور دارد، ولي به مكان پانزدهم تغيير مكان داده است.
  دو نسخه جديد از Hupigon (يك بت‌نت با ويژگي دسترسي از راه نفوذ مخفي) و Obvod (يك دانلود كننده تروجان)، عضوهاي جديد اين جدول هستند. يك نسخه جديد از بت‌نت ارسال هرزنامه Cutwail نيز در اين جدول ديده مي‌شود.
• 20 تهديد برتر اينترنتي
  نمودار زير نشان دهنده 20 بدافزار فعال برتر كشف شده بر روي اينترنت مي‌باشد كه بر اساس ميزان فعاليت اين بدافزارها مرتب شده است. كشف تعداد زيادي از نمونه‌هاي يك بدافزار، نشان دهنده سرعت انتشار آن بدافزار و تلاش بدافزار نويس براي جلوگيري از شناسايي بدافزار توسط آنتي‌ويروس‌ها است.