Az elmúlt hónap legveszélyesebb rosszindulatú programjai
2018. május 26.
A Check Point Software Technologies Ltd., a világszerte vezető szerepet betöltő cyber-biztonsági megoldásokat szállító vállalat által összeállított, 2018. áprilisi adatokat feldolgozó Global Threat Intelligence Trends elemzés szerint a cyber bűnözők egyre gyakrabban veszik célba a szerverek javítatlan biztonsági réseit, hogy crypto-bányász rosszindulatú programokkal fertőzzék meg a gépeket.
Ez az április volt a negyedik hónap, hogy a Check Point listájának első tíz helyén túlsúlyban voltak a crypto-bányász rosszindulatú programok: a vezető helyet a Coinhive foglalta el, 16%-os jelenlétével a legelterjedtebb fenyegetésnek számít. Egy másik crypto-bányász program, a Cryptoloot a maga 14%-ával szorosan követi, míg a Roughted, rosszindulatú reklámokat terjesztő program a harmadik helyre került (11%-os elterjedtséggel).
Ugyanakkor a Check Point kutatói jelentős visszaesést tapasztaltak egy olyan trendben, mely az év korábbi szakaszában jelent meg, és a Microsoft Windows Server 2003 (CVE-2017-7269), illetve az Oracle Web Logic (CVE-2017-10271) javítatlan biztonsági réseit vette célba, jogosulatlan crypto-valuta bányászat céljából. A világ szervezeteinek 46%-át érinti a Microsoft Windows Server 2003 sérülékenysége, az Oracle Web Logic szorosan követte, és világszerte a szervezetek 40%-ánál jelent meg.
„A crypto-bányász rosszindulatú programok folyamatos terjedése nyomán a cyber-bűnözők rendre megújítják módszereiket, hogy az áldozataik gépeinek kihasználásra és a bevételeik növelésére egyre újabb megoldásokat tudjanak kidolgozni,” mondta Maya Horowitz, a Check Point Threat Intelligence csoportmenedzsere. „Az, hogy most a szerverek javítatlan biztonsági réseiből fakadó sérülékenységeken keresztül keresik a hálózatokba való bejutás módjait, nyilvánvalóan felhívja a figyelmet arra, hogy a biztonsági alapok – mint a hibák javítása – kritikus fontosságúak a hálózatok biztonságának védelme szempontjából.”
Horowitz hozzátette: „Aggasztó, hogy ilyen sok szervezetet érintettek ezen ismert sérülékenységek, különösen amiatt, hogy mindkét hibára már legalább 6 hónapja elérhető javítások álltak rendelkezésre. Figyelembe véve, hogy világszerte a szervezetek több, mint 40%-a ezen támadások célkeresztjébe került, kritikus fontosságú, hogy a nagyvállalatok többrétegű cyber-biztonsági stratégiát alkalmazzanak, mely mind a rosszindulatú program-családokkal, mind a legújabb fenyegetésekkel szemben biztos védelmet nyújt.”
2018 áprilisának top három rosszindulatú programja:
*A nyilak a helyezés előző hónaphoz képesti változását jelzik.
1.↔ Coinhive – A Monero crypto-valuta online bányászatára tervezett crypto-bányász, mely akkor kezd akcióba amikor a felhasználó a saját engedélye nélkül látogat meg egy weboldalt.
2.↑ Cryptoloot – Crypto-bányász, mely az áldozat CPU vagy GPU teljesítményét, valamint elérhető erőforrásait használja crypto-bányászatra, tranzakciókat rendelve a blockchainhez, így felszabadítva új valutát.
3.↑ Roughted – Rosszindulatú reklámokat terjesztő program, melyet olyan rosszindulatú weboldalak és terhelések terjesztésére használnak mint a scamek, a reklámprogramok (adware), az exploit kitek és a zsaroló programok. Bármilyen típusú platform és operációs rendszer támadására használható, alapja a reklámokat blokkoló rendszereken való átjutás és az ujjlenyomat-felismerés, aminek révén biztosítja, hogy a legrelevánsabb támadást tudja intézni a célba vett áldozat ellen.
A Lokibot, az Android-alapú, banki tevékenységre specializálódott trójai, mely felhasználói jogosultságokat szerezve tölt le rosszindulatú programokat, volt a szervezetek mobilparkjainak megtámadására szakosodott, legelterjedtebb rosszindulatú program, őt követte a Triada és a Hiddad.
2018 áprilisának top három rosszindulatú mobil családja:
1. Lokibot – Android-alapú, banki tevékenységre specializálódott trójai és információ tolvaj, mely a telefont feloldó, rosszindulatú programmá is képes átalakulni.
2. Triada – Moduláris backdoor (hátsó ajtó) az Android eszközök számára, mely kiemelt felhasználói jogosultságokat ad a letöltött rosszindulatú programnak.
3. Hiddad – Android eszközöket támadó, rosszindulatú program, mely újracsomagolja a legitim alkalmazásokat, majd kiadja őket egy harmadik félnek.
A Check Point kutatói elemezték a leggyakrabban kihasznált cyber sérülékenységeket is. Első helyen állt a CVE-2017-7269 (világszerte 46%-os elterjedtséggel), melyet a CVE-2017-10271 követett (a szervezetek 40%-a volt érintett). A harmadik helyre az SQL injection került, mely globálisan a szervezetek 16%-ánál jelent meg.
2018 áprilisának top három sérülékenysége:
1. ↑ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – A távoli támadó egy speciálisan összeállított csomagot küld a Microsoft Windows Server 2003 R2-re a Microsoft Internet Information Services 6.0-án keresztül, és így lehetősége nyílhat önkényes kódfuttatásra vagy a cél szerver üzemeltetésének megtagadását okozhatja. Ennek legfőbb oka a buffer túlcsordulásából fakadó sérülékenység, amit a HTTP kérés hosszú fejlécének nem megfelelő validálása okoz. A javítás 2017 márciusa óta érhető el.
2. ↓ Oracle WebLogic WLS Security Component Remote Code Execution (CVE-2017-10271) – Az Oracle WebLogic WLS-ban van egy távoli kódfuttatást lehetővé tévő sérülékenység, aminek oka az, ahogyan az Oracle WebLogic az xml feldolgozásokat kezeli. Egy sikeres támadás távoli kódfuttatást tehet lehetővé. A javítás 2017 novembere óta érhető el.
3. ↓ SQL Injection – SQL lekérdezést injektál a kliens és az alkalmazás közti inputba, miközben az egyik alkalmazás szoftverének a biztonsági sérülékenységét használja ki.
Ez a lista jól mutatja, hogy a fenyegetések indítói egyszerre alkalmaznak modern technikákat (két sérülékenységet is 2017-ben hoztak nyilvánosságra) és az olyan hagyományos támadási vektorokat mint az SQL injection.
A Check Point ThreatCloud Map alapja a Check Point’s ThreatCloud intelligence, a legnagyobb, a cyber bűnözéssel szemben harcoló, kollaboráción alapuló hálózat, mely fenyegetésekkel kapcsolatos adatokat és támadási trendekkel kapcsolatos információkat szolgáltat a szenzorok globális hálózata számára. A ThreatCloud adatbázis több mint 250 millió címet (melyeket botok beazonosítása céljából elemez), 11 milliónál is több rosszindulatú aláírást és 5,5 millió feletti fertőzött weboldalt tartalmaz, illetve napi szinten több millió rosszindulatú programtípust azonosít be.
* A rosszindulatú programcsaládok teljes, 2018. áprilisi Top 10 listája megtalálható a Check Point Blogon: http://blog.checkpoint.com/2018/05/14/aprils-wanted-malware-cryptomining-malware-targeting-unpatched-server-vulnerabilities
A Check Point fenyegetésekkel szembeni védelmi forrásainak elérhetősége: http://www.checkpoint.com/threat-prevention-resources/index.html
Kapcsolódó cikkek
- Május hónapban három nagyhatású rosszindulatú programcsalád támadott
- A Check Point szerint a Fireball és a WannaCry négyből egy szervezetre van hatással világszerte
- Check Point megoldások cyber-támadások ellen
- A Check Point teljeskörű Gen V cyber-védelmi megoldása a felhők számára: CloudGuard
- A crypto-bányászok nem pihennek
- A crypto-bányászok világszerte a vállalatok 55%-ra jelentenek veszélyt
- Kiváló eredményt ért el a Check Point SandBlast
- Az NSS Labs első tesztjén a Check Point SandBlast szerepelt a legjobb eredménnyel
- A Check Point vSEC megoldása támogatja az Azure Stack-et
- Magas szintű Check Point biztonság a Microsoft Azure Stack-en