Отчет подготовлен по результатам исследований, проведенных специалистами FortiGuard Labs на основе информации от миллионов сетевых устройств, средств защиты сети и специализированных датчиков, к которым они имеют доступ в сетевой инфраструктуре по всему миру. В отчете использованы также данные организации Cyber Threat Alliance, соучредителем которой является компания Fortinet. Следует отметить, что согласно IDC на апрель 2017 года компания Fortinet располагала самыми обширными в мире данными о киберугрозах.
Представить ландшафт сканированных исследователями приложений, применяемых в различных отраслевых вертикалях корпоративных пользователей, позволяет табл. 1. Нужно учесть, что в ней приведены усредненные (медианные) количества используемых приложений для каждой из исследованных отраслей.
Таблица 1. Усредненные (медианные) количества используемых приложений в различных отраслевых вертикалях
Приложения |
Отраслевая вертикаль |
||||
Строительство |
Образование |
Финансовые услуги |
Госучреждения |
Здравоохранение |
|
Доля трафика HTTS, % |
62,20 |
65,70 |
69,00 |
64,30 |
67,30 |
Число приложений, используемых ежедневно |
182 |
352 |
194 |
255 |
190 |
SaaS |
26 |
51 |
32 |
70 |
42 |
IaaS |
21 |
29 |
25 |
38 |
31 |
RAS |
4 |
5 |
4 |
6 |
5 |
Proxy |
4 |
11 |
3 |
6 |
4 |
P2P |
<1 |
4 |
<1 |
2 |
1 |
Социальные |
14 |
26 |
14 |
18 |
14 |
Потоковые |
12 |
33 |
12 |
20 |
14 |
Игровые |
2 |
12 |
2 |
4 |
1 |
Каждодневные вредоносные сайты |
<1 |
2 |
1 |
2 |
1 |
Таблица 1. (продолжение)
Приложения |
Отраслевая вертикаль |
||||
Производство |
Торговля |
Обслуживание |
Технологии |
Транспорт |
|
Доля трафика HTTS, % |
65,70 |
69,40 |
63,40 |
66,10 |
62,60 |
Число приложений, используемых ежедневно |
199 |
181 |
174 |
159 |
196 |
SaaS |
44 |
26 |
35 |
19 |
31 |
IaaS |
33 |
24 |
21 |
15 |
21 |
RAS |
4 |
4 |
3 |
3 |
4 |
Proxy |
5 |
4 |
3 |
2 |
4 |
P2P |
1 |
1 |
1 |
<1 |
1 |
Социальные |
15 |
14 |
14 |
11 |
14 |
Потоковые |
15 |
10 |
12 |
9 |
14 |
Игровые |
2 |
2 |
2 |
1 |
2 |
Каждодневные вредоносные сайты |
<1 |
1 |
<1 |
<1 |
1 |
В представленном отчете основное внимание исследователей было сосредоточено на таких аспектах кибератак, как использование эксплойтов, вредоносных программ и ботнетов.
Эксплойты
В области этого вида атак исследователи FortiGuard Labs сосредоточились на анализе их критичности и надежности обнаружения.
Краткая статистика:
-
обнаружено 7230 уникальных эксплойтов; в среднем на одну компанию приходилось 811 эксплойтов;
-
96% обнаруженных эксплойтов было отнесено к мощным;
-
главной целью оказалось ПО компании Microsoft;
-
из систем контроля для промышленности (ICS) чаще других были атакованы системы Schneider Electric;
-
за второй квартал FortiGuard Labs обнаружила 30 уязвимостей «нулевого дня».
Присутствие среди лидеров давно известных эксплойтов Apache Struts и Heartbleed, как считают в FortiGuard Labs, заставляет думать о том, что злоумышленники продолжают рассчитывать на невнимательность атакуемых и собственное везение.
Относящийся к семейству CVE-2017-3506 эксплойт для ПО Oracle эксплуатирует уязвимость компонента Oracle WebLogic Server из Oracle Fusion Middleware, что позволяет неавторизованно через протокол HTTP получить доступ в сеть, скомпрометировать сервер и затем похитить или изменить критические данные. В последнее время связанные с этим эксплойтом атаки стали встречаться чаще из-за использования программ нелегитимного криптомайнинга (cryptojacking).
После разработки рабочего кода эксплойта для платформы Drupal исследователи зарегистрировали в начале мая в течение 24 часов тысячекратное увеличение числа атак с его использованием. Многие из них предназначались для устройств IoT и служили базой для криптомайнинга.
Список наиболее атакуемых с использованием эксплойтов SCADA-вендоров с заметным отрывом возглавляет Schneider Electric. Наиболее распространенной атакой против оборудования этой компании за второй квартал была попытка получить доступ через бэкдор в Quantum Ethernet Module с использованием установленных по умолчанию заводских логина/пароля.
Далее следуют попытки использовать уязвимость переполнения буфера в программном обеспечении Advantech WebAccess и Siemens Automation License Manager. Они связаны с неправильным обезличиванием данных на входе, что позволяет злоумышленникам выполнять произвольные коды.
Исследователи обратили внимание на то, что для cryptojacking злоумышленники стали использовать вычислительные мощности устройств, подключенных к Интернету вещей (IoT), ориентируясь на производительные графические процессоры, которые предназначены для кодирования и транскодирования графического контента в формате высокого разрешения.
В табл. 2 приведен список поставщиков программного обеспечения (в алфавитном порядке) и количество обнаруженных в нем уязвимостей «нулевого дня».
Таблица 2. Обнаруженные специалистами FortiGuard Labs во втором квартале 2018 года угрозы «нулевого дня» в ПО разных вендоров
Вендор |
Количество уязвимостей |
Adobe |
2 |
Box |
1 |
Cisco |
3 |
CrashPlan |
1 |
D-Link |
2 |
FooLabs |
2 |
Foxit Software |
1 |
Free Software Foundation |
1 |
Golden Frog |
1 |
|
1 |
Joomla |
1 |
Microsoft |
5 |
Naver |
2 |
Recon Instruments |
1 |
Shenzhen Lingan Intelligent Technology |
1 |
Smarter |
1 |
Telesquare |
1 |
Tresorit |
1 |
Zabbix |
1 |
Zimbra |
1 |
Вредоносные программы
Тренды именно этого направления, по мнению специалистов FortiGuard Labs, определяют главные намерения и возможности атакующих.
Краткая статистика:
-
обнаружено 23 945 уникальных вариантов вредоносов;
-
зарегистрировано 4856 семейств вредоносов;
-
в среднем у каждой компании ежедневно обнаруживалось 13 уникальных вредоносов;
-
шесть вариантов вредоносов атаковали более 10% компаний;
-
23,3% компаний были атакованы вредоносами cryptojacking.
После серьезной атаки Gold Rush, случившейся в конце 2017 — начале 2018 года и нацеленной на cryptojacking, ландшафт вредоносов выглядит как более обычный, несмотря на постоянно и повсеместно растущую активность cryptojacking, которая хорошо коррелирует с колебаниями стоимости криптовалют.
С большим отрывом от остальных вредоносов по количеству вариантов шли трояны семейства W32/StartPage. Самым примечательным в их детектировании оказалось обнаружение троянов с большим спектром вредоносных действий. Основная часть из них детектировалась как DLL-модули Browser Helper Objects, многие из которых подменяли стартовую страницу веб-браузера пользователя.
Наиболее сложным для блокирования семейством вредоносов на середину 2018 года специалисты FortiGuard Labs признали семейство W32/Injector. Его представители заняли ведущую позицию на шкале распространенности. Большая часть из них относилась к классам Loki и Fareit, троянам — похитителям информации, способным собирать учетные данные из браузеров, FTP-клиентов, клиентов электронной почты и кошельков биткоинов.
Вместе с семейством W32/Injector эксперты выделяют по тем же признакам семейства W32/Agent, VBA/Agent и JS/Agent. Как активный отмечен их член PowerShell/Agent.
Вредонос ELF/Агент оказался интересен тем, что включает в себя образцы, связанные с ботнетом VPNFilter.
В целом же семейство «агентов», детектируемое устройствами FortiGuard, охватывает широкий спектр угроз, а как наиболее опасный из них отмечен PowerShell/Agent.
Многие образцы из семейства W32/Kryptik, отмеченного как активное, относятся к программе-вымогателю GandCrab. С учётом полученных за несколько последних месяцев с ее помощью выкупов она стала одной из самых (если не самой, по мнению FortiGuard Labs) серьезных угроз этого типа. Главная причина успеха GandCrab — в инновационных методах ее разработки, сбора и распространения.
Так, создатели GandCrab первыми стали принимать криптовалюту Dash; в разработке, искоренении ошибок в кодах и борьбе с конкурентами они используют подход Agile; предлагаемая ими услуга Ransomeware as-a-Service (RaaS) основана на модели распределения прибыли (в отношении 60/40) между разработчиками и преступниками, желающими ею воспользоваться; GandCrab применяет .BIT, не признанный ICANN домен верхнего уровня, который обслуживается через инфраструктуру Namecoin cryptocurrency и использует различные серверы имен, чтобы разрешить функционирование DNS и перенаправлять трафик на нее.
Ботнеты
Лидеры по активности по сравнению с прошлым кварталом практически не изменились: Andromeda, Zeroaccess, H-worm, Conficker, Necurs, Sality, Pushdo, Gh0st... Отмечается, что наиболее эффективные ботнеты были построены на заказ.
Заметным дополнением в списке лидеров исследователи считают ботнет Smominru, активизировавшийся в феврале за счет использования эксплойта EternalBlue (CVE-20170144). Smominru нацелен на добычу криптовалюты Monero на компьютерах, работающих на платформе Windows.
Отмечена активность ботнета Anubis, нового члена семейства BankBot, появившегося во второй половине 2016 года и атакующего Android-устройства с помощью троянов. Наряду с кражами учетных данных Anubis способен выполнять функции RAT, вымогательства, кейлоггеры, перехват SMS, блокировку экрана и переадресацию вызовов.
Краткая статистика:
-
обнаружено 265 новых ботнетов;
-
в среднем каждая компания была атакована ботнетами 7,6 дня;
-
в среднем на каждую компанию приходилось по 1,8 активного ботнета;
-
10% ботнетов атаковали более 1,1% компаний;
-
57% атак ботнетами длились один день;
-
5% атак длились более недели.
Внимание исследователей заслужил нацеленный на кражу информации ботнет Loki, имеющий отношение к всплеску активности вредоносов — похитителей данных.
С повышенной регулярностью на радаре FortiGuard Labs обнаруживался ботнет Mirai, распространяющий варианты одноименного вредоноса. Некоторые из этих вариантов претерпели существенные изменения. Например, одни из них могут теперь превращать зараженные устройства во множество вредоносных прокси-серверов и криптомайнеров, другие интегрировали код Mirai с несколькими эксплойтами, нацеленными на известные и неизвестные уязвимости, а вариант, открытый специалистами FortiGuard Labs, который они назвали WICKED, использует по крайней мере три дополнительных эксплойта для атак непропатченных устройств IoT.
Ботнет VPNFilter представляет собой угрозу, заслуживающую, по мнению специалистов FortiGuard Labs, внимания всего партнерства Cyber Threat Alliance. Это спонсируемый неким государством инструмент для APT-атак, нацеленных на среду SCADA/ICS путем мониторинга протоколов Modbus SCADA.
Особенно опасным VPNFilter делает то, что с его помощью не только выполняется фильтрация данных, но могут полностью отключаться атакуемые устройства — как индивидуально, так и целыми группами. Изначально активность VPNFilter была обнаружена на Украине, однако полученные данные указывают на его активность более чем в сотне стран.
Выводы и рекомендации
Cryptojacking с помощью устройств IoT стал растущей тенденцией, поэтому FortiGuard Labs советует убедиться, что используемые персоналом в домашних условиях компьютеры, которые подключаются к корпоративной сети через VPN, находятся в отдельных сегментах домашних сетей.
Большая часть обнаруженных уязвимостей никогда не используются. Это, однако, не означает, что их можно игнорировать. Отчеты об угрозах, подобные приведённому в статье, помогут определить приоритеты для актуализации защиты.
При защите от cryptojacking следует ориентироваться на стоимость криптовалют: с ее ростом возрастает количество cryptojacking-атак.
PowerShell, конечно, хороший инструмент, однако злоумышленники могут использовать его для причинения вреда. Следует контролировать использование PowerShell (как и других инструментов администрирования), чтобы своевременно выявлять их вредоносное применение. Крупным компаниям можно рекомендовать применять в этих целях инструменты UEBA.
Сегодня атаки на устройства SCADA не являются самыми распространенными, но они могут быть весьма критичными. Если компания использует SCADA, первым делом ей следует оценить бизнес-риски, связанные с этими технологиями, чтобы с их учетом выстроить стратегию защиты.