Отчет об угрозах интернет-

безопасности

Том XIV
Global Intelligence Network
Выявляет больше угроз + быстрее реагирует +
предотвращает удар

Всемирный охват Глобальный масштаб и размах Круглосуточная регистрация событий

Быстрое обнаружение
Выявление вредоносного Уязвимости Спам/фишинг
Действия
кода •32 000+ уязвимостей •2,5 млн подставных учетных
злоумышленников •11 000 поставщиков • записей
•240,000 датчиков •130 млн ПК, серверов, шлюзов
•Глобальный охват •72 000 технологий •8+ млрд сообщений email в день
•200+ стран •1+ млрд веб-запросов в день

Предупредительные сигналы Защита информации Реакция на угрозы

ISTR XIV 2
Картина угроз
Общие темы

• Злоумышленники все чаще нацелены на конечных

пользователей, которых атакуют через взломанные
пользующиеся доверием веб-сайты с интенсивным
трафиком
• Они переносят свои операции в регионы с
развивающейся инфраструктурой интернета, а в
некоторых случаях создают и поддерживают свои
собственные сети услуг
• Межотраслевая кооперация сообщества безопасности
становится жизненно необходимой

ISTR XIV 3
Взлом системы пользователя

1. Злоумышленник
взламывает веб-
сервер 3. Пользователи
переадресуются
на вредоносный
сервер

2. Пользователи
посещают
легитимный веб-
сайт 4. Вредоносный
сервер использует
уязвимость для
установки
вредоносного кода

ISTR XIV 4
Система угроз

Фишинговые сайты

Теневая экономика
Бот-сети
Взломанные компьютеры

ISTR XIV 5
Взлом веб-сайтов

• Злоумышленники находят и взламывают сайты с интенсивным трафиком

при помощи специфической уязвимости этого сайта или работающего на
нем веб-приложения.
• Когда сайт взломан, злоумышленники подменяют страницы таким
образом, чтобы загружать вредоносный контент в системы посетителей.

% уязвимостей

Период
Период Не-веб приложения

Специфические Веб приложения

уязвимости сайта Уязвимости веб-приложений

ISTR XIV 6
Атаки на посетителей
• Во многих случаях атаки запускаются не из самого взломанного веб-
сайта
• Наиболее распространенные атаки направлены против уязвимостей
как веб-браузера, так и плагинов и клиентских приложений
• Многие веб-атаки используют уязвимости средней степени опасности

Основные типы веб-атак

ISTR XIV 7
 Установка вредоносного кода
• В 2008 году выявлялось в среднем 28,7 млн вредоносных программ в месяц.
• Свыше 60% всех вредоносных программ, выявленных Symantec, было
обнаружено в 2008 году.
• Свыше 90% угроз – это угрозы для конфиденциальной информации.
% выявленных угроз
Удаленный доступ Экспорт данных пользователей
Экспорт адресов Регистрация клавиш
Экспорт системных данных
Число новых угроз

Период Период

ISTR XIV 8
Продажа краденой информации

• Сведения о кредитных картах (32%) и банковские реквизиты (19%)

остаются наиболее часто рекламируемыми товарами.
• Диапазон цен на кредитные карты в 2008 году остается постоянным:
от $0,06 дo $30 за один номер карты.
• Взломанные учетные записи эл. почты могут обеспечить доступ к
другой конфиденциальной информации и дополнительным
ресурсам

ISTR XIV 9
Отчет об угрозах интернет-
безопасности, том XIV

Основные факты и цифры

Тенденции в активности угроз
Утечки данных по секторам
• Сведения об утечках данных, которые могут привести к «краже личности».
• Большинство случаев утечки данных произошло в секторе образования (27%), за
которым следуют государственное управление (20%) и здравоохранение (15%) –
свыше половины всех случаев утечки данных (57%) стали результатом кражи
или потери, тогда как на долю недостаточных мер безопасности приходится 21%.

Утечка данных Раскрытие персональной информации

ISTR XIV 11
Тенденции в активности угроз
Утечки данных по типам

• В большинстве случаев главными причинами утечки

информации остаются кража и потеря данных.
• Многие случаи связаны с потерей мелких портативных
устройств, таких как USB-диски, сменные жесткие диски и
смартфоны.

Утечка данных Раскрытие персональной информации

ISTR XIV 12
Тенденции в активности угроз
Вредоносная деятельность
• В 2008 году наиболее интенсивная вредоносная деятельность
велась в США, на долю которых пришлись 23% всей такой
деятельности. Второе место занял Китай с 9%.
• По мере роста в некоторых странах инфраструктуры интернета и
широкополосного доступа интенсивность вредоносной
деятельности в этих странах также растет.

ISTR XIV 13
Тенденции в активности угроз
Вредоносная деятельность
• В 2008 году наиболее интенсивная вредоносная деятельность
велась в США, на долю которых пришлись 23% всей такой
деятельности. Второе место занял Китай с 9%.
• По мере роста в некоторых странах инфраструктуры интернета и
широкополосного доступа интенсивность вредоносной
деятельности в этих странах также растет.

ISTR XIV 14
Тенденции в активности угроз
Другие параметры

• В 2008 году Symantec выявила 15 197 новых командно-управляющих серверов бот-

сетей, из которых 43% управлялись по каналам IRC и 57% — через HTTP.
• В 2008 году наблюдалось в среднем 75 158 активных бот-инфицированных
компьютеров в день, что на 31% больше, чем в предыдущий период.
• В 2008 году источником наибольшего числа веб-атак были США, на долю которых
пришлось 38% всех таких атак.
• США были страной, наиболее часто подвергавшейся атакам на отказ в обслуживании
– на их долю пришелся 51% всех таких атак в 2008 году.

Страны – источники атак

ISTR XIV 15
Тенденции в активности угроз
Другие параметры

• В 2008 году Symantec выявила 15 197 новых командно-управляющих серверов бот-

сетей, из которых 43% управлялись по каналам IRC и 57% — через HTTP.
• В 2008 году наблюдалось в среднем 75 158 активных бот-инфицированных
компьютеров в день, что на 31% больше, чем в предыдущий период.
• В 2008 году источником наибольшего числа веб-атак были США, на долю которых
пришлось 38% всех таких атак.
• США были страной, наиболее часто подвергавшейся атакам на отказ в обслуживании
– на их долю пришелся 51% всех таких атак в 2008 году.

Ботнеты
Страны – зараженные
источники атак
ПК, EMEA
ISTR XIV 16
Тенденции в активности угроз
Другие параметры

• В 2008 году Symantec выявила 15 197 новых командно-управляющих серверов бот-

сетей, из которых 43% управлялись по каналам IRC и 57% — через HTTP.
• В 2008 году наблюдалось в среднем 75 158 активных бот-инфицированных
компьютеров в день, что на 31% больше, чем в предыдущий период.
• В 2008 году источником наибольшего числа веб-атак были США, на долю которых
пришлось 38% всех таких атак.
• США были страной, наиболее часто подвергавшейся атакам на отказ в обслуживании
– на их долю пришелся 51% всех таких атак в 2008 году.

Ботнеты
Страны – центры
зараженные
источники
управления,
атак
ПК, EMEA
EMEA
ISTR XIV 17
Тенденции в активности угроз
Другие параметры

• В 2008 году Symantec выявила 15 197 новых командно-управляющих серверов бот-

сетей, из которых 43% управлялись по каналам IRC и 57% — через HTTP.
• В 2008 году наблюдалось в среднем 75 158 активных бот-инфицированных
компьютеров в день, что на 31% больше, чем в предыдущий период.
• В 2008 году источником наибольшего числа веб-атак были США, на долю которых
пришлось 38% всех таких атак.
• США были страной, наиболее часто подвергавшейся атакам на отказ в обслуживании
– на их долю пришелся 51% всех таких атак в 2008 году.

Ботнеты
Страны––источники
Страны зараженные
центры
источники
управления,
атак
вебПК, EMEA
атак, EMEA
EMEA
ISTR XIV 18
Тенденции в сфере уязвимостей
Наиболее атакуемые уязвимости
• Наиболее атакуемыми уязвимостями были те, которые использует
червь Downadup (aka Conficker).
• В 2008 году 95% атакованных уязвимостей были уязвимостями
клиентских систем, а 5% - уязвимостями серверов

ISTR XIV 19
Тенденции в сфере уязвимостей
Уязвимости плагинов браузеров
• Уязвимости плагинов веб-браузеров часто используются для
установки вредоносного ПО.
• Среди технологий первое место опять заняли уязвимости плагинов
браузеров, связанные с искажением данных в памяти – в 2008 году к
этому типу относились 272 обнаруженные уязвимости.

ISTR XIV 20
Тенденции в сфере уязвимостей
Неисправленные уязвимости по
поставщикам
• В 2008 году в ПО поставщиков корпоративного класса оставалось 112
неисправленных уязвимостей, против 144 в 2007 году.
• Первое место занимает Microsoft с 46 неисправленными уязвимостями.
• Из 112 неисправленных уязвимостей 37 имеют низкую степень опасности, 71 —
среднюю и 4 — высокую.

ISTR XIV 21
Тенденции в сфере уязвимостей
Другие параметры

• В 2008 году Symantec зарегистрировала 5 491 уязвимость,

на 19% больше, чем в 2007.
• По степени опасности: высокая - 2%, средняя - 67% и
низкая - 30%.
• 80% выявленных за этот период уязвимостей были легко
эксплуатируемыми, против 74% в предыдущий период.
• 99 уязвимостей 2008 года относятся к браузерам Mozilla,
больше, чем к любому другому браузеру; в Internet Explorer
было выявлено 47 новых уязвимостей, в Apple Safari - 40, в
Opera - 35 и в Google Chrome - 11.
• В 2008 году Symantec зарегистрировала 9 уязвимостей
«нулевого дня», против 15 в 2007 году.

ISTR XIV 22
Тенденции в сфере вредоносных
программ. Типы
• 68% всего объема 50 наиболее распространенных образцов
вредоносного кода в 2008 году были троянами – чуть меньше, чем
в 2007 (69%).
• Доля червей немного увеличилась – с 26% в 2007 году до 29% в
2008.
• Доля «лазеек» (back doors) в текущий отчетный период
сократилась с 21% дo 15%.
Тип

Доля среди топ-50 потенциальных инфекций

ISTR XIV 23
Тенденции в сфере вредоносных
программ. Механизмы распространения
• 66% потенциальных инфекций распространялось в виде исполняемых
файлов – значительно больше, чем в 2007 году (44%).
• Доля вредоносного кода, использующего протоколы файлообмена Р2Р,
сократилась с 17% в 2007 году до 10% в 2008.

ISTR XIV 24
Тенденции в сфере вредоносных
программ. Другие параметры
• Среди 10 основных семейств вредоносных программ,
обнаруженных в 2008 году, три относились к троянам, три – к
троянам с компонентом лазейки, два – к червям, один – к
червям с компонентом лазейки и один – к червям с
компонентом лазейки и компонентом вируса.
• В 2008 году наиболее заметный рост числа потенциальных
инфекций произошел в регионе ЕМЕА (Европа, Ближний
Восток и Африка)
• Доля документированных образцов вредоносного кода,
использующих уязвимости, существенно сократилась – с
13% в 2007 до 3% в 2008 году.
• Среди 50 потенциальных инфекций 10% составили
вредоносные программы, нацеленные на онлайновые игры,
против 7% в 2007 году.
ISTR XIV 25
Тенденции в области фишинга
Наиболее интенсивно атакуемые сектора

• В 2008 году на долю сектора финансовых услуг

пришлось 76% всех случаев фишинга, против 52% в 2007.
• Учетные записи ISP могут быть привлекательными
мишенями для фишеров, так как люди часто используют
одни и те же пароли для нескольких учетных записей,
включая учетные записи эл. почты.

ISTR XIV 26
Фишинг
Другие параметры
• В 2008 году Symantec обнаружила 55 389 хост-серверов фишинговых веб-
сайтов, что на 66% больше, чем в 2007, когда Symantec выявила 33 428
таких серверов.
• В 2008 году 43% всех фишинговых веб-сайтов, обнаруженных Symantec,
были расположены в США – значительно меньше, чем в 2007 (69%).
• В 2008 году один набор автоматических инструментов для фишинга,
выявленных Symantec, отвечал в среднем за 14% всех фишинговых атак.

Страны хостинга фишинговых сайтов, EMEA

ISTR XIV 27
Спам
Страны-источники
• За прошедший год Symantec наблюдала рост уровня спама в
интернете в целом на 192% - с 119,6 млрд сообщений в 2007 году
до 349,6 млрд в 2008.
• В 2008 году бот-сети распространили около 90% всех электронных
сообщений со спамом
• Значительный рост уровня спама в этом году продемонстрировали
Россия, Турция и Бразилия.

Страны – источники спама

ISTR XIV 28
Спам
Страны-источники
• За прошедший год Symantec наблюдала рост уровня спама в
интернете в целом на 192% - с 119,6 млрд сообщений в 2007 году
до 349,6 млрд в 2008.
• В 2008 году бот-сети распространили около 90% всех электронных
сообщений со спамом
• Значительный рост уровня спама в этом году продемонстрировали
Россия, Турция и Бразилия.

Страны
Страны – источники
– источники спама
спама, EMEA
ISTR XIV 29
Спам
Категории
• Основной категорией был спам, связанный с интернетом (24%), за
которым следует спам, относящийся к коммерческим продуктам (19%)
• Доля финансового спама сократилась с 21% до 13%, во многом
благодаря продолжающемуся снижению уровня биржевых афер типа
«накачка и сброс».

ISTR XIV 30
Спам
Другие параметры

• Большая часть спама, зарегистрированного в 2008 году,

состоит из сообщений в форме неформатированного
текста или HTML.
• 8% спама 2008 года имеет вложения; спам в виде
изображений составляет 49% от общего объема спама.

ISTR XIV 31
 Спасибо!

Copyright © 2008 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of
Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this
document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to
change without notice. Report on the Underground Economy 32