Az elmúlt hónap legveszélyesebb rosszindulatú programjai

forrás: Prím Online, 2018. június 21. 08:28

A Check Point Software Technologies Ltd., a világszerte vezető szerepet betöltő cyber-biztonsági megoldásokat szállító vállalat által összeállított, 2018. májusi adatokat feldolgozó Global Threat Intelligence Trends elemzés szerint a Coinhive nevű crypto-bányász program világszerte a szervezetek 22%-ánál jelent meg, ami majd 50%-os növekedés az áprilisi adatokhoz képest (akkor 16% volt ez az adat).

2018 májusa már az ötödik hónap, hogy a Check Point listájának első tíz helyén túlsúlyban voltak a crypto-bányász rosszindulatú programok: a vezető helyet a Coinhive foglalta el, melyet egy másik crypto-bányász program, a Cryptoloot követett a maga 14%-ával, míg a Roughted, rosszindulatú reklámokat terjesztő program a harmadik helyre került (11%-os elterjedtséggel).

 

Ugyanakkor a Check Point kutatói arról is beszámoltak, hogy a cyber-bűnözők továbbra is célba veszik a Microsoft Windows Server 2003 (CVE-2017-7269), illetve az Oracle Web Logic (CVE-2017-10271) szerverek javítatlan biztonsági réseit, amikor vállalati hálózatokat támadnak meg. A világ szervezeteinek 44%-át érinti a Microsoft Windows Server 2003 sérülékenysége, az Oracle Web Logic szorosan követte, és világszerte a szervezetek 40%-ánál jelent meg, míg további 17%-ot SQL injection érte el.

 

„Egyre inkább jellemző, hogy a cyber-bűnözők a már ismert sérülékenységekkel próbálkoznak, abban a reményben, hogy a szerveztek még nem tettek semmit azok kivédése érdekében, mivel új támadási vektorokat dolgoznak ki. Mindig a legegyszerűbb útvonalat fogják keresni a hálózatba való bejutáshoz,” - mondta Maya Horowitz, a Check Point Threat Intelligence csoportmenedzsere. „Éppen ezért nagyon fontos, hogy a szervezetek azonnal alkalmazzák a javításokat, amint elérhetővé válnak. Az, hogy ezen sérülékenységek még mindig hatással vannak a szervezetekre, felhívja a figyelmet arra, hogy a biztonsági alapok – mint a hibák javítása – kritikus fontosságúak a hálózatok biztonságának védelme szempontjából.”

 

Horowitz hozzátette: „Figyelembe véve, hogy világszerte a szervezetek több, mint 40%-a ezen támadások célkeresztjébe került, a támadók nyivánvalóan profitábilisnak tartják ezt a módszert. Kritikus fontosságú, hogy hálózataik crypto-bányászattal – és más támadásfajtákkal – szembeni védelme érdekében a vállalatok több-rétegű cyber-biztonsági stratégiát alkalmazzanak, mely megvédi őket a jól ismert rosszindulatú programcsaládokkal, a cyber-támadásokkal és a legújabb fenyegetésekkel szemben is.”

 

www.sciencealert.com

 

2018 májusának top három rosszindulatú programja:

*A nyilak a helyezés előző hónaphoz képesti változását jelzik.

1.↔ Coinhive – A Monero crypto-valuta online bányászatára tervezett crypto-bányász, mely akkor kezd akcióba amikor a felhasználó a saját engedélye nélkül látogat meg egy weboldalt.

2.↔ Cryptoloot – Crypto-bányász, mely az áldozat CPU vagy GPU teljesítményét, valamint elérhető erőforrásait használja crypto-bányászatra, tranzakciókat rendelve a blockchainhez, így felszabadítva új valutát.

3.↔ Roughted – Rosszindulatú reklámokat terjesztő program, melyet olyan rosszindulatú weboldalak és terhelések terjesztésére használnak mint a scamek, a reklámprogramok (adware), az exploit kitek és a zsaroló programok. Bármilyen típusú platform és operációs rendszer támadására használható, alapja a reklámokat blokkoló rendszereken való átjutás és az ujjlenyomat-felismerés, aminek révén biztosítja, hogy a legrelevánsabb támadást tudja intézni a célba vett áldozat ellen.

 

A Lokibot, az Android-alapú, banki tevékenységre specializálódott trójai, mely felhasználói jogosultságokat szerezve tölt le rosszindulatú programokat, volt a szervezetek mobilparkjainak megtámadására szakosodott, legelterjedtebb rosszindulatú program, őt követte a Triada és a Lotoor.

 

2018 májusának top három rosszindulatú mobil családja:

1. Lokibot – Android-alapú, banki tevékenységre specializálódott trójai és információ tolvaj, mely a telefont feloldó, rosszindulatú programmá is képes átalakulni.

2. Triada – Moduláris backdoor (hátsó ajtó) az Android eszközök számára, mely kiemelt felhasználói jogosultságokat ad a letöltött rosszindulatú programnak.

3. Lotoor – Az Android operációs rendszer sérülékenységeit kihasználva root jogosultságokra szert tevő, hack eszköz.

 

A Check Point kutatói elemezték a leggyakrabban kihasznált cyber sérülékenységeket is. Első helyen állt a CVE-2017-7269 (világszerte 46%-os elterjedtséggel), melyet a CVE-2017-10271 követett (a szervezetek 40%-a volt érintett). A harmadik helyre az SQL injection került, mely globálisan a szervezetek 16%-ánál jelent meg.

 

2018 áprilisának top három sérülékenysége:

1. ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – A távoli támadó egy speciálisan összeállított csomagot küld a Microsoft Windows Server 2003 R2-re a Microsoft Internet Information Services 6.0-án keresztül, és így lehetősége nyílhat önkényes kódfuttatásra vagy a cél szerver üzemeltetésének megtagadását okozhatja. Ennek legfőbb oka a buffer túlcsordulásából fakadó sérülékenység, amit a HTTP kérés hosszú fejlécének nem megfelelő validálása okoz. A javítás 2017 márciusa óta érhető el.

2. ↔ Oracle WebLogic WLS Security Component Remote Code Execution (CVE-2017-10271) – Az Oracle WebLogic WLS-ban van egy távoli kódfuttatást lehetővé tévő sérülékenység, aminek oka az, ahogyan az Oracle WebLogic az xml feldolgozásokat kezeli. Egy sikeres támadás távoli kódfuttatást tehet lehetővé. A javítás 2017 novembere óta érhető el.

3. ↔ SQL Injection – SQL lekérdezést injektál a kliens és az alkalmazás közti inputba, miközben az egyik alkalmazás szoftverének a biztonsági sérülékenységét használja ki. 

 

Ez a lista jól mutatja, hogy a fenyegetések indítói egyszerre alkalmaznak modern technikákat (két sérülékenységet is 2017-ben hoztak nyilvánosságra) és az olyan hagyományos támadási vektorokat mint az SQL injection.

 

A Check Point ThreatCloud Map alapja a Check Point’s ThreatCloud intelligence, a legnagyobb, a cyber bűnözéssel szemben harcoló, kollaboráción alapuló hálózat, mely fenyegetésekkel kapcsolatos adatokat és támadási trendekkel kapcsolatos információkat szolgáltat a szenzorok globális hálózata számára. A ThreatCloud adatbázis több mint 250 millió címet (melyeket botok beazonosítása céljából elemez), 11 milliónál is több rosszindulatú aláírást és 5,5 millió feletti fertőzött weboldalt tartalmaz, illetve napi szinten több millió rosszindulatú programtípust azonosít be.

 

A Check Point fenyegetésekkel szembeni védelmi forrásainak elérhetősége: http://www.checkpoint.com/threat-prevention-resources/index.html

 

_______________

* A rosszindulatú programcsaládok teljes, 2018. májusi Top 10 listája megtalálható a Check Point Blogon: http://blog.checkpoint.com/2018/05/14/aprils-wanted-malware-cryptomining-malware-targeting-unpatched-server-vulnerabilities

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Az ázsiai autóipar lehagyta digitalizációban Európát

2024. december 21. 10:22

Új platform köti össze a vállalkozókat és partnereiket

2024. december 16. 13:25

CES 2025 előzetes: Elon Musk Amerikája, avagy a világ Musk-ja

2024. december 9. 16:46

Újabb részvételi rekordot döntött az e-Hód

2024. december 9. 11:32