Одним из непременных условий, которое, судя по всему, было включено в ТЗ на разработку червя Stuxnet, являлось ограничение срока действия его многочисленных компонентов. Все они, включая несколько эксплойтов нулевого дня, не должны были выйти за пределы завода по обогащению урана в Нетензе. Со времени этой диверсии в Иране прошло восемь лет, однако исследователи до сих пор продолжают находить свидетельства нарушения требования заказчика первого в истории кибероружия.

Вчера «Лаборатория Касперского» опубликовала отчет об эксплойт-кампаниях, который показал, что эксплойты, обеспечивающие распространение вредоносного ПО через LNK-механизм Windows, до сих пор составляют угрозу для конечных пользователей. Соответствующая уязвимость (CVE-2010-2568) давно пропатчена, однако, по данным за 2016 год, LNK-эксплойты применяются в два раза чаще, чем другой лидер этого рынка, Lotoor, позволяющий рутовать Android-устройства.

По оценке «Лаборатории», в прошлом году на долю эксплойтов к CVE-2010-2568 (25%) и Lotoor (16%) совокупно приходилось 41% попыток эксплойта, с которыми столкнулись пользователи. Хотя первый показатель ниже, чем в 2015 году (27%), похоже, что LNK-эксплойт сохранит актуальность в обозримом будущем. «Возможно, причина кроется в том, что вредоносное ПО, использующее эти эксплойты, обладает способностью к самораспространению и постоянно воссоздается в атакуемой сети, к которой подключены уязвимые компьютеры», — сказано в отчете «Лаборатории».

LNK-эксплойт — лишь часть атак Stuxnet в Нетензе, которым подверглись не только Windows-машины на предприятии, но преимущественно ПЛК производства Siemens, управляющие центрифугами обогатительного завода. Эксплойт в данном случае осуществляется с помощью специально созданных файлов .lnk, которые обрабатываются с ошибкой в ходе отображения иконок в Windows Explorer. В случае успеха атакующий получает возможность исполнить код в Windows Shell на уязвимой машине.

LNK-файлы определяют короткий путь к файлу или папке; Windows допускает использование кастомных иконок из апплетов панели управления (файлов .cpl). В Windows эти иконки загружаются из модулей, исполняемых или DLL; cpl-файлы представляют собой DLL. Таким образом, автор атаки сможет определить, какой исполняемый модуль будет загружен, и использовать lnk-файл для исполнения произвольного кода внутри оболочки Windows.

Microsoft быстро пропатчила уязвимость, обнаруженную в 2010 году, однако пять лет спустя выяснилось, что патч был неполным, и разработчику пришлось его исправлять.

Новый отчет «Лаборатории Касперского» доказывает ценность надежных эксплойтов для атакующих. Многие отмеченные экспертами эксплойты — отнюдь не эффектные 0-day, но хорошо зарекомендовавшие себя инструменты, ориентированные на давние, пропатченные уязвимости. Хотя эксплойт-паки, похоже, перестали быть топовой угрозой, такие ветераны, как CVE-2012-0158 в Office и CVE-2014-2423 в Java, по-прежнему в чести у создателей эксплойтов.

Массовый сход со сцены мощных эксплойт-паков, в первую очередь Angler из-за ареста его разработчиков, вынудил киберкриминал вернуться к спам-рассылкам и макросам Office, которые ныне являются основным средством доставки вредоносного ПО. Так, в 2015 году использование уязвимостей в браузерах и Windows, по оценке «Лаборатории», сократилось на 33,4%, в 2016-м — на 21,5%, тогда как доля эксплойтов для Office увеличилась на 103%. Эксплойты для Java и Adobe Reader в целом тоже теряют свои позиции, вырос лишь вклад Adobe Flash и Android.

Согласно статистике «Лаборатории», в прошлом году количество уязвимостей в браузерах уменьшилось на 8%, тогда как число раскрытых багов в Office возросло на 20%.

Другие знаменательные цифры из отчета «лаборантов»:

  • в 2016 году защитные решения компании заблокировали 702 млн атак с использованием эксплойтов, что на 24% больше в сравнении с 2015 годом;
  • число эксплойт-атак на корпоративных пользователей возросло на 28%;
  • 70% пользователей столкнулись с эксплойтами для браузеров, Windows, Android или Office;
  • русскоязычная APT-группа Sofacy использует в атаках 25 уязвимостей, в том числе шесть 0-day; Equation Group использует 17 уязвимостей, из них восемь 0-day;
  • уязвимость CVE-2012-0158 до сих пор присутствует на 15% компьютеров Европы и Северной Америки.

Категории: аналитика, вредоносные программы, Главное

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *