Cisco 2Q10 Global Threat Report
|На 26.07.2010 Cisco Systems публикува обобщен доклад за заплахите към ИТ сигурността. Основните заключения на доклада включват:
- Източна Европа регистрира най-висок ръст на уеб-базиран malware, следвана от Южна Америка и Китай
- IPS устройствата засичат увеличен брой SQL injections
- След шестмесечно затишие са се завърнали Asprox SQL injections
- Инфектирани сайтове с Botnet Gumblar са били най-често срещания източник на уеб-базиран malware
- 90% от всички Asprox инциденти през юни 2010 са били в резултат от линкове на search engine result pages (SERP)
- Компаниите от фармацевтичния и химическия сектор са били изложени на най-висок риск от инциденти в следствие на уеб-базиран malware
- P2P дейността е била най-силна през март 2010 в P2P мрежите на eDonkey, Gnutella и BitTorrent
- P2P file sharing продължава да набира популярност
65% от всички уеб-базирани malware заразявания са били блокирани преди активиране на exploit code или са включвали заразявания без exploit code. През първото шестмесечие на 2010 най-разпространени са били експлойти, целящи Adobe Reader/Acrobat, Sun Java и Adobe Flash.
10 най-популярни уеб-базирани експлойти са били: Exploit.JS.Gumblar, Trojan.JS.Redirector.cq, PSW.Win32.Infostealer.bnkb, Mal/GIFIframe-A, JS.Redirector.AT, Worm.Win32.VBNA.b, Backdoor.Win32.Alureon, JS.Redirector.BD, Mal/Iframe-F, Backdoor.TDSSConf.A.
Освен търсене на уязвими SQL сървъри, хакерите са провеждали reconnaissance sweeps (например TCP SYN Host Sweep), които са показателни за наличието на network mapping. Други популярни суийпове са били ICMP Network Sweep with Echo и техника за Multiple Rapid SSH Connections. P2P мрежите са ускорили значително плоденето на червей, от типа Palevo family и Worm.Win32.VBNA.b. През юни специалисти от фирма за анти-вируси VirusBlokAda (VBA) в Беларус засичат rootkitenabled malware, които експлойтвал a zero-day Windows Shell vulnerability (Microsoft Security Advisory 2286198), позволявайки на деформирани. LNK файлове да изпълвянат дадени команди автоматично. Малуерът е бил част от насочена атака, която се смята, че е била замислена с цел кражба на документи SCADA (компютърни системи за контрол на индустриални процеси).
Географско разпределение на риска: Cisco IronPort SenderBase обработва обратна връзка от над 100,000 уникални точки по света. Географското оценяване на риска се базира на сравнение на количеството зловреден уеб трафик и обикновен трафик, като за отправна точка се използва местонахождението на устройството, поискало трафика. Източна Европа е оценена с най-висок риск от уеб-базиран malware. Казахстан е първенец по риск с 37%, следван от Украйна и Босна и Херцеговина.
Източник: Cisco 2Q10 Global Threat Report: http://tools.cisco.com/security/center/home.x
София, 05.08.2010 г.
dimitar (at) newhorizons.bg