Отчет McAfee Labs об угрозах | Четвертый квартал 2013 года

24.03.2014 в 22:45

Отчет McAfee Labs об угрозах | Четвертый квартал 2013 года

 

О ЛАБОРАТОРИИ McAFEE LABS

 

McAfee Labs занимает лидирующее положение в мире как источник аналитической информации об угрозах, данных об угрозах, а также передовых идей в области кибербезопасности. Получая данные с миллионов датчиков, расположенных по ключевым векторам угроз (файлы, веб-трафик, электронная почта и сети), McAfee Labs в режиме реального времени предоставляет информацию об угрозах, проводит анализ их критичности и дает экспертную оценку, позволяющую повысить уровень защиты и сократить риски.

www.mcafee.com/ru/mcafee-labs.aspx

 

«Мы стараемся сделать наши отчеты об угрозах более наглядными и интересными и надеемся, что вам понравятся наши нововведения.»

 

 

В подго товке и написании

Отчет McAfee Labs об угрозах

за четвертый квартал 2013 года

этого отчета принимали участие:


Адам Восотовски (Adam Wosotowsky)

Паула Греве (Paula Greve)

Бенджамин Круз (Benjamin Cruz)

Барбара Кэй (Barbara Kay)

Хайфей Ли (Haifei Li)

Дуг МакЛин (Doug McLean)

Франсуа Паже (Francois Paget)

Рик Саймон (Rick Simon)

Дэн Соммер (Dan Sommer)

Бин Сунь (Bing Sun)

Чун Сюй (Chong Xu)

Джеймс Уолтер (James Walter)

Крейг Шмугар (Craig Schmugar

 

ВВЕДЕНИЕ

 

Перед вами «Отчет McAfee Labs об угрозах за четвертый квартал 2013 года».

 

В преддверии нового года мы решили по-новому подойти к составлению наших отчетов об угрозах. Начиная с этого выпуска, публикуемые нами отчеты станут короче и будут содержать раздел «Главные темы», в котором будет говориться об основных угрозах и проблемах безопасности в отчетном квартале. Кроме того, каждый выпуск будет посвящен проблемам безопасности, связанным с одним из четырех мегатрендов в сфере информационных технологий: мобильные устройства, социальные медиа, облачные службы и обработка больших объемов неопределенно структурированных данных. Доклад стал ярче с визуальной точки зрения и в нем стало легче ориентироваться.

Среди всех этих преобразований мы не забыли и о том богатом наборе данных об угрозах, который мы собираем посредством сети McAfee Global Threat Intelligence. Продолжая публиковать эти данные (в основном в виде временных рядов), мы даем нашим читателям возможность лучше разобраться в том, как меняются угрозы безопасности.

В этом квартале мы рассказываем о том, как индустрия киберпреступности оказывала содействие атакам на платежные терминалы в магазинах Target и других розничных сетей; как вредоносные программы с цифровыми подписями подрывают доверие к центрам сертификации; какие последствия имело обнаружение сотрудниками McAfee Labs уязвимости «нулевого дня» в Microsoft Office; в чем заключается проблема чрезмерного сбора данных мобильными приложениями и какая существует взаимосвязь между ними и вредоносными программами.

 

Винсент Уифер (Vincent Weafer), старший вице-президент McAfee Labs

 

Краткая сводка

 

индустрия киберпреступности и атаки на платежные терминалы

В первой статье нашего отчета речь идет о громких случаях кражи данных кредитных карт, имевших место в отчетном квартале, и о том, как киберпреступная экосистема поддерживала организаторов этих атак. С точки зрения объема украденных данных эти случаи были беспрецедентными, но еще более примечательно то, насколько хорошо у индустрии вредоносного ПО получилось обслужить своих клиентов. Злоумышленники покупали готовые вредоносные программы для проведения атак на платежные терминалы и вносили в них простые изменения, чтобы настроить их на определенный объект атаки. Кроме того, для тестирования средств защиты атакуемых объектов и для уклонения от этих средств защиты они, по всей видимости, также использовали покупное программное обеспечение. У них был даже готовый и эффективный черный рынок, на котором они продавали похищенную информацию о кредитных картах, используя для этого анонимную платежную систему на основе виртуальных денег. Сырье, производственные мощности, рынок сбыта, поддержка транзакций: у воров есть все необходимое.

 

«Индустрия киберпреступности сыграла ключевую роль в обеспечении и монетизации результатов этих атак на платежные терминалы.»

 

Вредоносные двоичные файлы с цифровыми подписями: можем ли мы доверять модели, построенной на использовании центров сертификации?

Быстрый рост количества вредоносных двоичных файлов с цифровыми подписями (как в квартальном, так и в годовом исчислении) ставит под сомнение жизнеспособность модели, построенной на использовании центров сертификации. Посудите сами: в основе этой модели лежит допущение о доверии, но мы насчитали уже восемь миллионов подозрительных двоичных файлов. Возможно, многие из этих файлов представляют собой потенциально нежелательные программы и не являются по-настоящему вредоносными, однако злоупотребление достоверными сертификатами, используемыми для подписывания кода, подрывает доверие пользователей. Конечно, подавляющая часть вредоносных двоичных файлов с цифровыми подписями является делом рук небольшого количества злоумышленников. Однако нет оснований полагать, что люди смогут отличить хорошие сертификаты от вредоносных. Мы считаем, что отрасль безопасности обязана помочь пользователям в этой непростой ситуации. Каким сертификатам можно доверять? Какой уровень доверия можно им назначить?

 

«Быстрый рост количества вредоносных двоичных файлов с цифровыми подписями подрывает доверие пользователей к модели, построенной на использовании центров сертификации.»

 

эксплойт «нулевого дня» для Microsoft Office: обнаружен специалистами McAfee Labs

В ноябре McAfee Labs обнаружила эксплойт «нулевого дня»1, нацеленный на уязвимость в Microsoft Office. Мы выявили целенаправленные атаки на объекты в странах Ближнего Востока и Азии, в ходе которых предпринимались попытки кражи конфиденциальных данных. McAfee Labs в сотрудничестве с Microsoft день и ночь работала над анализом эксплойта и созданием средств защиты от него. В этой статье мы подробно анализируем данный эксплойт и показываем, как трудно бывает обнаруживать и сдерживать некоторые атаки «нулевого дня».

 

«Это первый известный эксплойт "нулевого дня", использующий уязвимость формата DOCX. Атаки с использованием этого эксплойта продолжаются.»

 

Вредоносные программы для мобильных устройств: наступление продолжается

В этом квартале в качестве «главной темы», затрагивающей один из четырех мегатрендов в сфере информационных технологий, мы выбрали вредоносные программы для мобильных устройств. Мы подробно освещали эту тему в «Отчете McAfee Labs об угрозах за первый квартал 2013 года»2 и в «Отчете McAfee Labs об угрозах за третий квартал 2013года»3. В этих отчетах мы, среди прочего, писали о ряде очень опасных семейств вредоносного ПО для мобильных устройств и о том ущербе, который они наносят.

 

«Между приложениями, собирающими слишком много телеметрических данных о мобильных устройствах, и приложениями, содержащими или поддерживающими вредоносное ПО, существует, по всей видимости, взаимосвязь. Одной из первостепенных проблем является отслеживание географического местонахождения устройства (геолокация).»

 

В этом квартале мы уделяем внимание распространенности мобильных приложений, занимающихся сбором как пользовательских данных, так и телеметрической информации о мобильном устройстве; взаимосвязи между приложениями, собирающими слишком много данных, и вредоносным ПО; а также тому, какие вредоносные действия чаще всего совершаются вредоносными программами для мобильных устройств.

 

«McAfee Labs ежеминутно регистрирует 200 новых угроз, т. е. более трех угроз в секунду.»

 

Индустрия киберпреступности и атаки на платежные терминалы

 

В декабре в новостях заговорили о серии атак на платежные терминалы в розничных сетях в разных уголках Соединенных Штатов. Сначала сообщили о нападении на Target; эта атака по­пала в число самых крупных случаев утечки данных за всю исто­рию.4 Вскоре мы узнали, что атакам на платежные терминалы подвергся и ряд других розничных сетей. Объектами похожих атак в 2013 году стали Neiman Marcus, White Lodging, Harbor Freight Tools, Easton-Bell Sports, Michaels Stores и 'wichcraft. Несмотря на отсутствие публичных заявлений о том, что эти атаки связаны друг с другом или осуществлялись одним и тем же субъектом, во многих из этих атак использовались готовые, покупные вредоносные программы. И хотя события этого квартала являются беспрецедентными, вредоносные программы для атак на платежные терминалы не являются чем-то новым. За последние несколько лет мы стали свидетелями заметного увеличения числа вредоносных программ семейств POSCardStealer, Dexter, Alina, vSkimmer, ProjectHook и других, многие из которых можно купить в Интернете.

 

Компания Target подтвердила наличие вредоносных программ в своих платежных терминалах. Специалистам McAfee Labs в сотрудничестве с рядом учреждений удалось узнать, какое точно вредоносное ПО использовалось в данной атаке.

На сегодняшний день Target — единственная розничная сеть, в отношении которой у нас есть такая надежная информация.

Мы знаем также, что в своих платежных терминалах Target использует приложение собственной разработки.5 Это очень важная деталь, поскольку это означает, что у нападавших не было возможности изучить систему «в оффлайне», как это бывает в случае украденного у разработчиков кода коммерческих приложений, получить который не составляет особого труда.

Мы знаем, что использованное в случае Target вредоносное ПО хоть и было основано на BlackPOS, но в него было внесено несколько изменений, чтобы оно вело себя в среде Target строго определенным образом. В сценариях, сброшенных некоторыми из его вредоносных компонентов, были жестко прописаны имена доменов Active Directory, учетные записи пользователей, IP-адреса общих ресурсов SMB и другие данные.

 

 

«Во вредоносное ПО для Target были жестко закодированы сценарии, предназначенные для кражи имен доменов, учетных записей пользователей и других данных.»

Следующий сценарий отвечал за отправку записанных данных слежения за кредитными картами на удаленный сервер. Вызов данного сценария производился командами, показанными на предыдущем изображении.

 

 

Этот сценарий отправлял данные кредитных карт организаторам атак на Target

 

Обратите внимание, что этот сценарий был записан открытым текстом. Более того, передаваемые данные кредитных карт тоже не шифровались. До места назначения их передавали по FTP открытым текстом, в незашифрованном виде.

Обо всех этих атаках много говорили в новостях, и все их последствия вряд ли станут нам известны в ближайшее время. Тем не менее, мы должны признать, что этот класс атак нельзя отнести к атакам «повышенной сложности». Семейство вредоносных программ BlackPOS — это готовый покупной комплект разработчика эксплойтов. Чтобы внести в него изменения и распространить измененный вариант, достаточно иметь начальные навыки программирования и немного разбираться в функциях вредоносных программ. К тому же похищенный исходный код BlackPOS уже не раз публиковался в открытых источниках. Мы наблюдаем то же самое, что и в случае с Zeus/Citadel, ghOst, Poison Ivy и многими другими комплектами разработчика, исходный код которых перестал быть секретом: любой может их приобрести, изменить и использовать в своих целях.

 

 

Более того, нормой стало использование методов обхода хорошо известных средств защиты от вредоносного ПО. Не составляет труда протестировать популярные защитные приложения и сделать так, чтобы они не могли обнаруживать трояны, генерируемые этими комплектами разработчика. Злоумышленники превосходно освоили эту практику. Каждый день мы сталкиваемся с новыми шифраторами, упаковщиками и другими методами сокрытия кода, целью которых является предотвратить его обнаружение. Программное обеспечение для тестирования средств защиты, используемых в атакуемых организациях, и комплекты для разработки эксплойтов, позволяющих обходить эти средства защиты, легко приобрести в Интернете.

 

 

Что случилось с миллионами номеров кредитных карт, украденных из Target? Мы их отследили, и видим, что крупные партии (дампы) этих номеров продолжают появляться в основных местах торговли похищенными номерами кредитных карт. Обычно воры сбрасывают данные партиями размером от 1 до 4 млн номеров.

Одним из популярных черных рынков кредитных карт является Республика Лампедуза. Благодаря наличию четкой иерархии и документально закрепленной конституции Республика Лампедуза стала упорядоченным и хорошо функционирующим рынком. У Лампедузы очень активная сеть торговых веб-сайтов, в которой на продажу предлагается много партий номеров, полученных именно в ходе этих недавних атак на розничные сети. Для оплаты похищенных номеров кредитных карт воры могут использовать один из многих анонимных механизмов виртуальных денег, например, ВТсоМ.

Мы считаем, что эти инциденты будут иметь долгосрочные последствия. Мы надеемся, что станем свидетелями изменений в подходах к обеспечению безопасности, изменений в нормативно-правовых требованиях и, конечно же, судебных исков. Но основной урок заключается в том, что мы имеем дело со здоровой и растущей индустрией киберпреступности, сыгравшей ключевую роль в обеспечении и монетизации результатов этих атак.

 

«Пользователи больше не могут просто положиться на сертификат.
Им приходится полагаться на репутацию поставщика, подписавшего данный двоичный файл, и его способность обеспечить безопасность своих данных.»

 

Вредоносные двоичные файлы с цифровыми подписями

 

Безопасный доступ к информации через Интернет возможен благодаря тому, что существуют доверенные сторонние организации, называемые центрами сертификации (certificate authority — CA), у которых поставщики услуг, занимающиеся доставкой этой информации, получают цифровые сертификаты. В рамках этой модели доверия приложения (или двоичные файлы) должны иметь «цифровую подпись», т. е. получить в центре сертификации или у его полномочного посредника сертификат, подтверждающий, что данное приложение принадлежит данному поставщику услуг. Если злоумышленник может получить сертификат для вредоносной программы (вредоносного двоичного файла с цифровой подписью), то ему легче провести атаку, потому что пользователи начинают доверять поставщику услуг именно на основании наличия сертификата.

 

«В 2013 году количество вредоносных двоичных файлов с цифровыми подписями в нашей библиотеке выросло в три раза и превысило 8 миллионов.»

 

Но что если сертификаты получат тысячи или миллионы вредоносных приложений?

В какой-то момент пользователи больше не смогут доверять тому, что приложения являются безопасными, и это поставит под сомнение жизнеспособность модели, построенной на использовании центров сертификации.

Им приходится полагаться на репутацию поставщика, подписавшего данный двоичный файл, и его способность обеспечить безопасность своих данных.

Злоумышленники подписывают вредоносные программы, пытаясь тем самым внушить пользователям и администраторам доверие к файлу, избежать обнаружения файла защитными программами и обойти системные политики. Многие из таких вредоносных программ подписываются с помощью купленных или похищенных сертификатов, хотя встречаются и двоичные файлы с самоподписанными сертификатами или с «тестовой подписью». «Тестовые подписи» иногда используются в сочетании с методами социальной инженерии и в рамках целенаправленных атак.

 

 

McAfee Labs уже несколько лет наблюдает за ростом количества вредоносных программ с цифровыми подписями. Эта угроза не только распространяется все быстрее и быстрее, но и становится все более сложной. В течение этого квартала мы обнаружили более 2,3 млн новых уникальных вредоносных двоичных файлов с цифровыми подписями. Это на 52 % больше, чем в предыдущем квартале. В годовом исчислении показатель 2013 года (почти 5,7 млн обнаруженных файлов) более чем в три раза превзошел показатель 2012 года.

 

 

Откуда берутся все эти вредоносные программы с цифровыми подписями? Во всех этих случаях мы имеем дело с сертификатами, которые похищены, куплены или использованы не по назначению. При этом, однако, за подавляющим большинством новых вредоносных программ с цифровыми подписями стоят сомнительные сети распределения содержимого (content distribution network — CDN). Это веб-сайты и компании, которые позволяют разработчикам загружать свои программы (или указывать URL-адреса, по которым размещены внешние приложения) и упаковывают эти программы в установщик с цифровой подписью. Это не только обеспечивает преступным разработчикам канал сбыта, но и создает видимость легитимности.

На следующей диаграмме показаны крупнейшие субъекты сертификатов (подписывающие организации), имеющие отношение к вредоносным двоичным файлам с цифровыми подписями.

 

 

При дальнейшем рассмотрении обнаруживается, что следы разных субъектов сертификатов во вредоносных двоичных файлах с цифровыми подписями ведут к одним и тем же сомнительным сетям CDN. Так, например, двоичные файлы, подписанные Firseria SL, и другие файлы, подписанные PortalProgramas, получают содержимое с downloadmr.com.

Точно так же программы, подписанные Tuguu SL, Payments Interactive SL и Lunacom Interactive Ltd., отсылают к secdls.com, tuguu.com или domaiq.com, которые все принадлежат одной и той же организации. Эти организации предлагают такие услуги, как объединение файлов в пакет, оплата по количеству установок, анализ, реклама и т. д.

В итоге получается, что в этом квартале на двух крупнейших нарушителей, Tuguu SL и DownloadMR, пришлась треть всех новых вредоносных программ с цифровыми подписями. Данный список ни в коем случае не является исчерпывающим, потому что с этими сетями CDN связано и много других сертификатов. Однако факт использования такой практики разработчиками вредоносных программ помогает понять, почему так быстро растет количество вредоносных программ с цифровыми подписями.

 

Эксплойт «нулевого дня» для Microsoft Office

 

В начале ноября 2013 года McAfee Labs обнаружила эксплойт «нулевого дня»6, нацеленный на Microsoft Office.7 Согласно нашим наблюдениям, первые образцы этого эксплойта совершали атаки на крупные организации в странах Ближнего Востока и Азии (включая ряд военных учреждений Пакистана). С помощью этих целенаправленных атак злоумышленники пытались красть конфиденциальные данные, т. е. определять местонахождение определенных типов файлов (PDF, TXT, PPT, DOC,

XLS и др.) в среде объекта атаки и пересылать их за пределы среды. Данная уязвимость (CVE-2013-3906)8 была исправлена в декабрьском пакете исправлений Microsoft под номером MS 13-096. Защитные продукты McAfee тоже были обновлены и могут теперь блокировать атаки, в которых используется этот эксплойт.9 Эти атаки «нулевого дня» нацелены на уязвимость формата Word Open XML (DOCX)10, и в них, по всей видимости, используется элемент ActiveX для «распыления» динамической памяти.11 Распыление динамической памяти («кучи») через объекты ActiveX — это новый способ использования уязвимостей Office. Раньше для распыления динамической памяти в Office злоумышленники обычно использовали Flash Player. Это еще одно доказательство того, что методы проведения атак постоянно эволюционируют.

С тех пор, как McAfee Labs впервые обнаружила эту угрозу, мы в сотрудничестве с другими аналитиками обнаружили более 60 уникальных вариантов этой угрозы. Это говорит о том, что данную уязвимость активно использует большое количество злоумышленников.

Мы даже стали свидетелями того, как с помощью данного эксплойта распространялись варианты трояна Citadel Trojan12. Теперь в нашей коллекции около 500 уникальных примеров вредоносных программ, основанных на данном эксплойте. Самый старый из обнаруженных нами образцов относится к середине июля 2013 года.

Уязвимость CVE-2013-3906 является первым «диким» эксплойтом, нацеленным на Open XML. В прошлом многие считали, что формат DOCX вполне безопасен по сравнению со «взломанным» двоичным форматом файлов Office.13 Теперь никто так не считает. Этот элемент неожиданности, возможно, и стал основной причиной того, что эту угрозу никто не обнаружил еще раньше: поскольку DOCX-файлы не считались уязвимыми, их не запускали в изолированной среде «песочницы».

Кроме того, в эксплойте использовался новый метод распыления динамической памяти без каких-либо сценариев, потому что оптимизированные средства защиты Office 2007 и более поздних версий легче распознают и блокируют действия, заданные в сценариях. Более важно (и более опасно) то, что этот недостаток полностью задокументирован, и имеются теоретические и практические доказательства возможности такого эксплойта, что значительно облегчает другим злоумышленникам задачу использования данного эксплойта в новых атаках, включения его в комплекты для разработки эксплойтов и т. п. Проводя анализ, мы узнали также, что в Office 2007 по умолчанию не включена функция предотвращения выполнения данных (DEP).14 Это вызывает у нас еще большее беспокойство. При отключенной функции DEP успешной может оказаться даже менее сложная атака с распылением динамической памяти, чем та, что описана выше.

 

Вредоносные программы для мобильных устройств: наступление продолжается

 

В 2013 году мы собрали 2,47 млн новых образцов вредоносных программ для мобильных устройств, из них 744 000 только в отчетном квартале. К концу этого года наш «зоопарк» вредоносных программ для мобильных устройств насчитывал 3,73 млн образцов, что на целых 197 % больше, чем к концу 2012 года.

 

 

«Вредоносные программы отслеживают информацию о местонахождении устройств и собирают личные данные пользователей, используя молчаливое согласие пользователей с тем, что мобильным приложениям предоставляется доступ к данным на устройстве.»

В 2013 году было зарегистрировано 2,4 млн новых образцов

Вредоносное ПО может попасть на мобильное устройство почти через все те векторы атаки, которые обычно ассоциируются с другими конечными устройствами: как правило, в результате загрузки приложений, но также и в результате посещения вредоносных веб-сайтов, получения спама и вредоносных SMS-сообщений, загрузки рекламных баннеров, содержащих вредоносное ПО.

 

«В 2013 году было зарегистрировано 2,4 млн новых образцов вредоносных программ для мобильных устройств, что на 197 % больше, чем в 2012 году.»

 

Интерес аналитиков вызывают степень распространенности мобильных приложений, занимающихся сбором как пользовательских данных, так и телеметрической информации о мобильном устройстве; взаимосвязь между приложениями, собирающими слишком много данных, и вредоносным ПО; а также то, какие вредоносные действия чаще всего совершаются вредоносными программами для мобильных устройств.

 

«Начиная с «Отчета McAfee Labs об угрозах за третий квартал 2013 года»'5 мы стали указывать в своих отчетах о вредоносных программах для мобильных устройств не количество семейств вредоносных программ, а количество уникальных образцов (хэшей). Причин для этого было две: во-первых, мы хотели, чтобы то, как мы сообщаем о вредоносных программах для мобильных устройств, соответствовало тому, как мы сообщаем обо всех остальных вредоносных программах; во- вторых, сообщая общее количество вариантов вместо общего количества семейств, мы даем более точную общую картину того, какой ущерб наносят пользователям вредоносные программы для мобильных устройств.»

 

 

Как было отмечено нами в недавно опубликованном отчете о безопасности мобильных устройств и приложений (McAfee Mobile Security Report'6), ни много ни мало 82 % мобильных приложений отслеживают, когда вы используете беспроводные сети и сети передачи данных, когда вы включаете свое устройство и ваше текущее и предыдущее местонахождение; 80 % приложений собирают информацию о местонахождении; а 57 % — отслеживают, когда используется ваш телефон. Конечно, по большей части такое отслеживание является безвредным.

Мы отказываемся от конфиденциальности и делимся данными, позволяющими установить нашу личность, в обмен на удобства, доступ к ресурсам и персональный подход. Но как быть с аномальным поведением, когда приложение осуществляет сбор данных не так, как другие приложения из той же категории?

McAfee Labs ведет базу данных о репутации мобильных приложений. Когда поведение приложения значительно отличается от поведения других приложений из той же категории, мы можем повысить оценку его рискованности, выражаемую в баллах (на основе анализа сбора личных данных). Чем выше балл, тем больше личных данных собирает данное приложение в сравнении с аналогичными приложениями. Низкий балл, присвоенный категории приложений и самому приложению, означает, что приложение собирает очень мало информации или ведет себя так, как оно должно себя вести в соответствии с его описанием.

Мы также обнаружили, что между приложениями, собирающими слишком много телеметрических данных о мобильных устройствах, и приложениями, содержащими или поддерживающими вредоносное ПО, существует, по всей видимости, взаимосвязь.

Чем больше данных приложение собирает в сравнении с аналогичными приложениями в своей категории, тем больше вам следует опасаться утечки данных и возможной кражи. В самом деле, когда мы обратились к своей базе данных о репутации мобильных приложений и проанализировали десять приложений, набравших наибольшее количество баллов по сбору личных данных, мы обнаружили, что в шести из них содержалось вредоносное ПО. Все десять приложений считывают идентификатор устройства и отслеживают его последнее известное местонахождение.

Анализируя поведение вредоносных программ для мобильных устройств, мы отметили несколько интересных моментов. Во- первых, самый распространенный вид поведения, наблюдаемый у более трети всех вредоносных программ, это сбор и отправка телеметрической информации об устройстве. Вредоносная программа отправляет данные, которые можно использовать для создания профиля поведения владельца мобильного устройства. Широко распространены также действия, обычно ассоциируемые с перехватом контроля над устройством, например, превращение мобильного устройства в бота и установка другого, еще более вредоносного ПО. Во-вторых, что касается общей тенденции, то вредоносные программы для мобильных устройств, по всей видимости, постепенно переходят от использования уязвимостей к такому поведению, для которого более характерно создание профилей и перехват контроля над устройствами. Похоже, что информация о передвижениях владельцев устройств становится все более ценной.

Предоставление мобильному приложению информации слежения может показаться безобидным делом или, в крайнем случае, вопросом обеспечения конфиденциальности. Однако это может иметь серьезные последствия для безопасности бизнеса, если сотрудники используют на рабочем месте свои личные устройства. Умное вредоносное ПО, прямо или косвенно установленное на телефоне генерального директора компании мобильным приложением с сомнительной репутацией и не делающее ничего, кроме отслеживания информации о местонахождении, может на самом деле оказаться шпионом, предоставляющим информацию конкурентам, поставщикам, финансовым аналитикам, шантажистам и даже тем, кто собирается причинить физический вред.

 

Статистика угроз

 

 

«Зоопарк» McAfee Labs за отчетный квартал вырос на 15 %. Теперь в нем более 196 миллионов уникальных образцов вредоносного ПО.»

 

 

«В период с IV квартала 2012 года по IV квартал 2013 года объем новых образцов программ-вымогателей вырос в два раза. В 2013 году McAfee Labs зарегистрировала 1 миллион новых образцов.»

 

 

«Количество новых руткитов в этом квартале сократилось на 73 %. Это продолжение спада, начавшегося в 2011 году.»


 

«В 2013 году McAfee Labs зарегистрировала 2,2 миллиона новых образцов программ для проведения атак на главную загрузочную запись.»


 

«Количество подозрительных URL-дресов в 2013 году по нашим данным выросло на 40 %.»


 

 

 

 

 

 

 

 


«На протяжении последних шести кварталов главной сетевой угрозой были атаки на веб-обозреватели, в основном нацеленные на уязвимости Internet Explorer и Firefox.»

 

 

О КОМПАНИИ McAFEE

 

McAfee, стопроцентная дочерняя компания Intel Corporation (NASDAQ: INTC), позволяет предприятиям, организациям государственного сектора и домашним пользователям безопасно и эффекто применять Интернет-технологии. Компания поставляет проверенные упреждающие решения защиты для систем, сетей и мобильных устройств по всему миру. Благодаря своей реализуемой стратегии Security Connected, новаторскому подходу к решениям безопасности, усиленным средствами аппаратного обеспечения, а также благодаря уникальной сети сбора информации об угрозах Global Threat Intelligence, компания McAfee непрерывно и целеустремленно ищет новые пути защиты своих клиентов.

 

http://www.mcafee.com/ru

 

  1. http://blogs.mcafee.com/mcafee-labs/mcafee-labs-detects-zero-day-exploit-targeting-microsoft-office-2
  2. http://www.mcafee.com/ru/resources/reports/rp-quarterly-threat-q1-2013.pdf
  3. http://www.mcafee.com/ru/resources/reports/rp-quarterly-threat-q3-2013.pdf
  4. По текущим оценкам общий объем утечек мог составлять 110 миллионов записей транзакций.
  5. http://www.microsoft.com/casestudies/Case_Study_Detail.aspx?CaseStudyID=4000009407
  6. http://blogs.mcafee.com/mcafee-labs/mcafee-labs-detects-zero-day-exploit-targeting- microsoft-office-2
  7. http://blogs.mcafee.com/mcafee-labs/mcafee-labs-detects-zero-day-exploit-targeting-microsoft- office-2
  8. http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3906
  9. http://blogs.mcafee.com/business/updates-and-mitigation-to-cve-2013-3906-zero-day-threat
  10. http://msdn.microsoft.com/en-us/library/aa338205%28v=office.12%29.aspx
  11. Распыление динамической памяти (heap spraying): способ доставки вредоносного содержимого путем внедрения фрагмента кода по прогнозируемому и перемещаемому адресу памяти. Вредоносный код может пытаться применить этот метод в адресном пространстве другого процесса с целью получения контроля над системой.
  12. http://www.mcafee.com/ru/resources/white-papers/wp-citadel-trojan-summary.pdf
  13. http://msdn.microsoft.com/en-us/library/cc313105%28office.12%29.aspx
  14. https://blogs.mcafee.com/mcafee-labs/solving-the-mystery-of-the-office-zero-day-exploit-and-dep
  15. http://www.mcafee.com/ru/resources/reports/rp-quarterly-threat-q3-2013.pdf
  16. http://www.mcafee.com/ru/resources/reports/rp-mobile-security-consumer-trends.pdf

 

Информация, содержащаяся в настоящем документе, предоставляется исключительно в ознакомительных целях и предназначена для клиентов компании McAfee. Содержащаяся в настоящем документе информация может быть изменена без предварительного уведомления и предоставляется «как есть» без каких-либо гарантий точности и применимости данной информации к каким-либо конкретным ситуациям или обстоятельствам.

McAfee и логотип McAfee являются товарными знаками или зарегистрированными товарными знаками корпорации McAfee, Inc. или ее филиалов в США и других странах. Другие названия и фирменная символика являются собственностью соответствующих владельцев. Планы, спецификации и описания, содержащиеся в данном документе, предоставляются исключительно в информационных целях и могут быть изменены без предварительного уведомления; они предоставляются без какой-либо гарантии, явно выраженной или подразумеваемой.

Copyright © 2014 McAfee, Inc.

60989rpt_qtr-q4_0314_fnl_PAIR

 

 

 






Контакты в Харькове


+380(57) 752 97 27


+380(97) 111 21 31


+380(99) 097 71 23


office@komplektuha.com.ua



Сертифицированный партнер Dr.Web Авторизованный сервисный центр Dr.Web Бронзовый партнер Bitdefender Сертифицированный партнер Лаборатории Касперского