Перейти к содержанию
Александр Шабанов

F-Secure представила гео-карту киберкриминала

Recommended Posts

Александр Шабанов

Согласно данным компании F-Secure, большинство современных интернет-преступников базируются в России и других странах бывшего СССР, Китае и Южной Америке. В течение ближайших пяти лет будет иметь место значительное увеличение числа атак из Центральной Америки, Индии, Китая и Африки.

Специалисты компании F-Secure проанализировали тенденции развития интернет-преступности в период с 1986 г. до 2007 г., а также сделали прогноз на будущее.

Прошлое (1986-2003 гг.):

Старая школа-вирусописателей действовала преимущественно из Европы, США, Австралии и Индии.

В этот период написание вредоносного ПО можно назвать скорее «любительским» киберхулиганством или хобби.

image002.gif

Новейшая история (2003-2007 гг.):

Атаки стали более профессиональными и направленными.

Вредоносное ПО создается в странах бывшего СССР, таких, как Россия, Белоруссия, Украина, Казахстан, Латвия и Литва. Кроме того, отмечено повышение активности компьютерных преступников в Бразилии и Китае, где многие программисты высокого уровня не находили достойного места работы.

Данные преступления зачастую представляют собой путь к получению прибыли.

image003.gif

Прогноз на 2008 и последующие годы:

Появление групп Интернет-преступников в Мексике и в африканских странах.

Интернет-преступность станет еще более сложной и продуманной, с осознанным выбором целей для своих атак. Это связано со все большем распространением широкополосного Интернет-доступа, социально-экономическими факторами и безработицей среди высококвалифицированных ИТ-кадров.

Использование интернета возрастет в Азии, а затем в Африке. ИТ-занятость же будет отставать, тем самым, создавая почву для интернет-преступников.

Во многих странах до сих пор отсутствует законодательная база для борьбы с преступностью в сфере информационных технологий, и пройдет достаточно много времени до того, как во многих странах ИТ-обстановка будет регулироваться на правовом уровне. Компьютерные преступники, также возможно, смогут избежать проблем с законом в тех странах, которые претерпевают серьезные политические проблемы и проблемы безопасности.

image004.gif

Микко Хиппонен, глава отдела антивирусных исследований компании F-Secure, отмечает, что очаги создания и распространения вредоносного ПО обусловлены прежде всего социально-экономическими факторами, в частности, отсутствием достойной работы для ИТ-специалистов.

Источник: http://www.f-secure.com/f-secure/pressroom...0117_1_eng.html

post-3840-1200919606_thumb.png

post-3840-1200919612_thumb.png

post-3840-1200919616_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Мне кажется, что это из оперы "Все это происки КГБ. И вообще, у них медведи по улицам ходят".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Storm
"Все это происки КГБ. И вообще, у них медведи по улицам ходят".

На карте видно, что Россия по мнению финов "исправилась", а вот Китай стал еще хуже. :) КГБ тут не при чем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Бред (с).

Что это там за эпицентры взрывов в Уругвае и Куала-Лумпуре ? :)

А про Африку Микко прав, да - стодолларовых ноутбуков очень не хватало нигерийским спамерам, для того чтобы начать писать вирье.

В топку, короче...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
На карте видно, что Россия по мнению финов "исправилась", а вот Китай стал еще хуже.

Ну так коммунистов у нас мало, а в Китае много. Вот и перенос веса опасности на Китай. Странно, что они Кубу не назвали столицей IT-терроризма.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

ааа т.е америкосы вообще не приделах и у них нету вирмейкеров..

там запретили показ фильма "хакеры"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Что это там за эпицентры взрывов в Уругвае и Куала-Лумпуре ? smile.gif

Может бразильские хакеры теперь орудуют из Урагвая? А то на родине их ряды проредили:-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • santy
      Решает разработчик, согласно концепции программы, с минимумом исправлений в коде,  и с отсутствием дублирования функционала. 1. дополнить функционал поискового фильтра.... сейчас это работает по наименованию файла, по каталогу, статусу и производителю. возможно и стоит сделать более универсальный поисковый фильтр по всем или наиболее важным полям кроме выше указанных. это было бы полезно. 2. добавить возможность менять статус объектов в текущей категории (с учетом фильтра) на ?ВИРУС? в этом случае все отфильтрованные объекты попадают в автоскрипт. (без подтверждения проверки по snms, sgns, vt), ну это уже на риск пресловутого оператора.
    • PR55.RP55
      santy, 1) " критерии - это те же самые фильтры "  " один фильтр поднять, удалить все.... " Те, да не те.   В FRST оператор ( анализируя лог в текстовом редакторе ) может в один заход удалить _любое число объектов - хоть исполняемых, хоть не исполняемых. Это несколько секунд. Да, таких объектов в логах обычно 2-8 вроде бы и не много... Но они есть:  No File  ->  No Name ->  [0]  ->  [X]  ->  FirewallRules  -> .info.hta  всего 2-8 объекта у которых может быть до 100 записей. Создать постоянный критерий ? Это не вариант. Файлы:  .bat   Чего вроде проще - взять и всё удалить. Однако мы понимаем, что есть и полезные .bat файлы упрощающие работу администратора - запуск тех, или иных программ.  Или .TMP объекты - вроде и не нужны ?  но удалять всё разом также не вариант - если некая программа в процессе обновления и мы его прервём это может привести к сбою в её работе. Я же предлагаю адаптивный  _ситуативный вариант.  В системе есть, как полезные так и  не желательные... .bat ... Отфильтровываем ( по идентичному имени, или SHA1 ) и удаляем хоть 10 файлов разом не нанося вреда файлам полезным и не тратя зря время. И как мы знаем не всё что удаляется достойно занесения в snms так, как бывают уникальные случаи которые встречаются один -два раза, а мороки с настройкой\корректировкой критерия будет море. 2) " создать критерий black_sha "  мы же понимаем, что это не серьёзно - это не будет работать. Сейчас в ходу не те примитивные вирусы, что были, да и Adware ежедневно выпускаются новые. " изначально и не обещали, что будет легко работать с uVS "  Работа в uVS - как работа с инструментом это одно. А отдельно взятая операция\команда - это другое. Разве не требуется анализ лога в FRST ? однако никто не требует от оператора  тыкать 100 раз по всем этим _мусорным No File  ->  No Name ->  [0]  ->  [X]....  Здесь достаточно 2-3 команд. 3)  " если добавить команду "удалить текущий файл и всю его "родню"", на процент применения инструментов на форумах это не повлияет. " Не могу согласиться с эти утверждением. Привычки привычками. Например на некоторых велосипедах пита BMX вообще нет тормоза - он не предусмотрен конструкцией.  Тормоз утяжеляет велосипед - мешает работать в прыжковых дисциплинах ( можно случайно его нажать ) , влияет на стоимость при покупке ( есть место под крепление, если нужно - купи и установи ) Однако мы же понимаем, что такая езда не безопасна - тормозить ногами, ездить по городу в транспортном потоке и т.д. т.е. одно прямо противоречит другому. 4) " твои предложения сводятся к созданию еще одного удалятора " Программа, какой была такой и останется - что поменяется ? Здесь всё как раз наоборот: Сигнатуры это прерогатива антивирусов, это временное решение:  есть угроза - есть сигнатура, нет угрозы - нет сигнатуры ( она устарела )  Критерии же могут служить годами. Если программа будет помнить поисковые запросы оператора - не придётся и поиск с клавиатуры набирать. В предложении, я не умоляю функционал uVS - напротив предлагаю его дополнить. Под привычки операторов - которые анализируют\работают в текстовых редакторах ? Пусть так. _Оператор решает, как ему работать. Хочешь стреляй одиночными, хочешь отсекай по два выстрела - хочешь бей очередями.      
    • santy
      wscript.exe, csript.exe, mshta.exe, так же как regsvr32.exe, rundll32.exe засветят в образе тот отдельный файл, который они выполняют. --------------------------------- вот еще картинка, как могут быть применены системные файлы в деструктивных действиях. wmic, bitsadmin: Программа администрирования BITS (BITS) используется в Windows для загрузки обновлений безопасности. Именно это свойство службы использует киберпреступники, чтобы скрыть свое присутствие на скомпрометированной системе. Еще одна особенность, которая затрудняет предупреждение BITS, заключается в том, что когда опасное приложение загружает файлы с использованием службы, трафик, как представляется, поступает из BITS, а не из приложения.  Возможности злоупотреблений BITS не ограничиваются загрузкой программ. Служба BITS может стать источником утечки информации, если воспользоваться ею для передачи файлов из сети на внешний компьютер
    • santy
      RP55, 1. критерии - это те же самые фильтры, и потому команды удаления, реализованные в критериях - это тоже самое удаление с учетом конкретного фильтра. В snms их может быть много, и uVS строит автоскрипт согласно множеству фильтров одновременно, а не так как ты предлагаешь: один фильтр поднять, удалить все.... второй фильтр поднять - удалить все и т.д. 2. если тебе нравится удалять по хэшам, ты можешь создать критерий black_sha, и вести список черных хэшей в отдельном файле. надеюсь, как подключить файл к критерию ты еще не забыл. никто изначально и не обещал, что будет легко работать с uVS - только те, кому интересно не просто быстро удалять файлы, но и в первую очередь выполнить анализ заражения системы в комплексе. Зачастую же на форумах выполняют удаление вначале одним, потом вторых и третьим инструментом, (а иногда еще и сканерами) и только когда проблема не решается, тогда делают образ автозапуска в uVS, в итоге проанализировать всю картину заражения в комплексе (и сделать какие то полезные выводы и решения) становится сложнее по тем остаткам, что попадут в образ автозапуска. процент применения инструментов на форумах, если он такой какой ты его привел здесь не отражает адекватно тот факт, что инструменты FRST, avz удобнее в анализе или удалении, чем uVS. Скорее всего, это отражает привычку тех или иных форумов работать по определенной методике. avz +hj + скрипты + (adwcleaner) +FRST или uVS + скрипты+ (adwcleaner)+FRST и если добавить команду "удалить текущий файл и всю его "родню"", на процент применения инструментов на форумах это не повлияет. --------------- так что в основном твои предложения сводятся к созданию еще одного удалятора вредоносных программ, которых сейчас предостаточно, вместо реального поиска проблем и анализа, который можно сделать в uVS.
    • PR55.RP55
      Как мы выше выяснили, не все файлы которые нужно удалять являются исполняемыми. Не для всех файлов возможно добавление сигнатур - как мы помним из опыта в ряде случаев в код вируса намеренно добавляется код системных файлов - что приводит к ложным срабатываниям. Если у файлов идентичные SHA1 - сигнатуры не нужны так, как определение по SHA1 - надёжнее. Не все операторы работают с сигнатурами - это занимает больше времени - требуется проверка по V.T.  с целью определения типа угрозы, нужно прописать наименование угрозы, если нет результата по V.T. ; необходимо проверить список и исключить ложные срабатывания, если же корректировка невозможна то приходиться параллельно  работать с сигнатурами + удалять файлы в ручную, или через поисковые критерии\автоскрипт. таким образом изначально простое действие превращается в целый набор операций. Если бы удаление работало по типу: " Удалить все объекты с учётом фильтра "  было бы ещё проще. Удалить все: .bat Удалить все: .info.hta Удалить все: .TMP Удалить все: .HTTP  и т.д. Если есть опасение за целостность системы - можно установить заглушку на удаление по типам расширений. uVS  _избыточно требовательна к оператору. Как итог 75% всех случаев заражения  это очистка в FRST и 12% в AVZ на долю uVS приходиться ( как это ни печально ) 5%
×