Предисловие
Данная статья является частичным переводом the report for H2 2012.
Отчёт сам по себе представился мне достаточно интересным и информативным в связи с чем я и решил опубликовать для начала его небольшую часть, а затем если получится то и всё остальное.
О чём собственно речь?
Это время года всегда является очень интересным. Это время когда Лаборатории оглядываются на события, произошедшие за последние полгода, и делают выводы.
Здравый смысл по-прежнему необходим во время использования Интернета, но в последнее время все труднее становится обнаружить опасности на своём пути. Рекламные сети (Ad-networks) внедрены в огромное количество сайтов и могут распространять вредоносное программное обеспечение через веб-порталы, которые должны быть надёжными.
Введение
Развитие Интернета сегодня — это достаточно тревожная тенденция.
С одной стороны никогда ещё размещение контента в Интернете не было таким простым занятием как сейчас. Любой сегодня может создать собственный веб-сайт за считанные секунды, не имея при этом специальных технических знаний, это достаточно приятный момент, а с другой стороны, это может быть нехороший человек который желает получать прибыль от злонамеренных действий в сети.
Размещение контента
Традиционно, «плохие парни» размещают свои вредоносные продукты на автономных веб-сайтах. Недавние события в хостинговой индустрии сделали этот вариант еще более привлекательным.
Однако
Хостинговые сайты разнообразны, некоторые из них подходят лучше других для размещения вредоносных программ. Сайт
- Динамические DNS провайдеры
- Субдоменные и перенаправляющие хостинги
- Блоги и контент хостинги
- Файловые хостинги
- Магазины приложений
Все эти сервисы являются наиболее предпочтительными для злоумышленника благодаря простоте использования, высокому уровню анонимности и тому факту, что они дешёвые или даже совершенно бесплатные. Хотя все эти услуги получили заметный рост в зловредном
Поскольку число субдоменных хостинг-предложений от динамических DNS провайдеров выросли, наибольшее количество вредоносного контента направляется именно через них. При проверке одного из Топ-3 динамических DNS-провайдеров (no-ip.com, dnsdynamic.org и changeip.com) выяснилось, что 87% поддерживаемых ими доменов, размещают у себя вредоносный контент.
Затем идут субдоменые и перенаправляющие хостинги. Хотя они уступили динамическим DNS-провайдерам, эти сайты все еще удерживают свою долю вредоносного контента. Значительное число из них (uni.me, 110mb.com, vv.cc, x10.mx и rr.nu) активно используется для размещения вредоносного контента. Даже тогда, когда крупный игрок, co.cc, таинственно исчез, большинство из этих субдоменных хостингов продолжают процветать.
Не сильно отстают так же блоги и другие сайты
Ну и наконец, файловые хостинги — это простой способ резервного копирования или распространения как законных, так и вредоносных программ в Интернете. Значительное количество вредоносного программного обеспечения из файловых хостнигов извлекается с помощью, так называемых Trojan-Downloader прямо в систему без вмешательства пользователя. Файловые хостинги обеспечивают свободный и легкий одноразовый
Социальные сети и сайты социальных медиа
В настоящее время социальные сети и сайты социальных медиа очень эффективные места для распространения нелегального контента, крупные компании, такие как Facebook и Twitter были очень заинтересованы в улучшении систем безопасности. Facebook сотрудничает с экспертами по безопасности в надежде очистить огромное количество данных, обрабатываемых их системами ежедневно, в основном все их усилия успешны.
Количество вредоносных приложений и онлайн-мошенников размещенных на Facebook уменьшилось за эти годы, и во второй половине 2012 года, мы обнаружили менее чем 30 нелегальных приложений на сайте социальной сети. Twitter имеет свой собственный сервис сокращения URL (t.co), созданный для того чтобы помочь проверить столько опасного ПО распространяемого общедоступными ссылками, сколько возможно. Несмотря на то, что Facebook и Twitter работают над усилением своей безопасности, зачастую необходимо учитывать вопросы безопасности каждого конкретного пользователя из разных стран.
Основная проблема сайтов социальных сетей на самом деле в том, что они являются идеальным местом для так называемой социальной инженерии. Несмотря на возрастающий уровень компьютерного образования, всё ещё есть такие пользователи, которые невольно нажимают на «заманчивые» ссылки. И таким образом, нелегальный контент, являющийся мошенническим, по-прежнему распространяется.
Рекламные сети
В эпоху расширения прав и возможностей всех платформ для размещения бесплатного контента, кто-то должен платить по счетам той инфраструктуры, что за ними стоит. Techcrunch это интересный анализ современных методов монетизации используемых рекламных услуг и то, как они влияют на мобильный мир. Реклама переходит на темную сторону, являя собой то, что называется malvertising (от англ. «malicious advertising» — «вредоносная реклама»).
Вредоносная реклама быстро развивается. Беглого взгляда на рейтинг доменов Alexa достаточно, чтобы показать её привлекательность: из 1000 лучших доменов, 5,9% принадлежат к рекламным сетям. И, конечно же, пользователи не видят рекламы на этих сайтах, они видят её при посещении других сайтов с интересующим их контентом, на которые она добавляется из ad-серверов.
Достаточно много веб-сайтов, в настоящее время отображающих удаленный контент, в дополнение к основному. Давайте посмотрим на ESPN в качестве примера. Помимо основной части espn.go.com, сайт загружает содержимое из этих мест:
- espncdn.com — форматирование страниц и содержимого
- dl-rms.com, doubleclick.net, 2mdn.net, scorecardresearch.com, ooyala.com, adnxs.com, adroll.com, mktoresp.com — рекламные сервисы для монетизации
- chartbeat.com, google-analytics.com, etc — статистика траффика
- typekit.com, etc — инструментарий/программное обеспечение
Учитывая то, что используется несколько различных источников, безопасность веб-сайта уже не ограничивается отображаемым контентом, все это влияет на целостность рекламных сетей, обеспечивающих контент, а так же безопасность инструментария или программного обеспечения использованного на сайте. К сожалению, тот факт, что область информационной безопасности для одного сайта расширяется, увеличивает сложность обеспечения безопасности.
«Плохие парни» знают об этом и могут легко это использовать. Наиболее распространённые атаки, распространяют вредоносные объявления и ставят под угрозу ad-платформы использованные хостом сайта. Ярким примером может послужить случай, когда рекламная сеть, которая используется одним из самых популярных веб-сайтов Финляндии, suomi24, невольно послужила злоумышленникам.
Ad-платформы для атак, хотя и требуют гораздо больше технических знаний, так же эффективны. Недавний пример был предоставлен Websense и учувствовавший в нём рекламный сервер был скомпрометирован злоумышленником, чтобы выполнять вредоносный код на сайте.
Другой популярный механизм распространения вредоносной рекламы это adf.ly служба сокращения URL, которая платит пользователям за обмен ссылками. По рейтингу Alexa это 76 самый посещаемый сайт по всему миру, 37 по Индии. 116155 сайтов имеют ссылки на него, эта услуга имеет очень широкое распространение. Для большего понимания, вредоносные объявления распространяемые данным сервисом изучает Malekal для отслеживания вредоносного контента распространяемой данным сервисом.
Взглянем на топ-1000 самых посещаемых сайтов
Теперь давайте взглянем на топ-1000 самых посещаемых сайтов по версии Alexa и посмотрим, что же там есть на самом деле. В рейтинге находятся поисковые системы, социальные сети и социальные медиа, а так же новости и торговые сайты, и всевозможные варианты файловых и рекламных хостингов.
Файл-хостинговые сайты составляют 1,9%, а веб-сайты подобные социальным сетям и социальным медиа составляют 3,4%. Рекламные сети — 5,9% от общей массы. Хотя лишь немногие из них были уличены в распространении вредоносного контента за вторую половину 2012 года, они, безусловно могут при необходимости обеспечить удобную площадку для злоумышленников.
Наибольшее количество вредоносного содержимого пришло из сайтов
Обратите внимание, что до сих пор мы рассматривали только прямые вредоносные программы или мошенничества; мы не рассматривали то, что работает на границе дозволенного и использует всевозможные способы (вопросы о здоровье, красоте, деньгах и всевозможных проблемах сексуального характера) заманивания жертвы, для того, чтобы получить от неё деньги или необходимую информацию.
Эти виды мошенничества также наращивают свои обороты, особенно в конкретных странах. Например, Австралия, Испания, Исландия, Венгрия и Армения очень подвержены уловкам, обещающим быстрый способ разбогатеть или что-нибудь выиграть.
Данные виды мошенничества, как правило, считаются потенциально нежелательными, а не злонамеренными, и, следовательно, принадлежат к другой категории нелегального контента.
В заключение
Действительно удивительно, как много свободы предлагает Интернет своим пользователям. В настоящее время получить доступ к Интернету можно через любые устройства, это истинная сила, связывающая людей из разных уголков земного шара.
Однако тёмная сторона — это то, что злонамеренное поведение имеет точно такие же возможности для атаки любого уголка Интернета. Понятие безопасности в Интернете было пересмотрено. Хотя на некоторых сайтах всё ещё безопаснее, чем на других, ничего не может быть безопасно на 100%.
Для пользователей это означает, что безопасность в интернете становится всё более личным вопросом, требующим несколько уровней защиты и здоровую дозу паранойи, по крайней мере, это минимизирует шансы быть пораженным.
Автор: Frink