Symantec: Nejnebezpečnější jsou přílohy s koncovkou RAR

Společnost Symantec vydala březnovou zprávu 2010 MessageLabs Intelligence Report.

Symantec: Nejnebezpečnější jsou přílohy s koncovkou RAR


Analýza původu cílených útoků, tj. nebezpečných e-mailů zasílaných v malých objemech za účelem získání přístupu k citlivým firemním datům, ukazuje, že většina cíleného škodlivého kódu zaslaného v tomto měsíci pocházela podle umístění poštovního serveru ze Spojených států (36,6 %), ale na základě analýzy podle umístění odesílatele je zřejmé, že více cílených útoků pocházelo ve skutečnosti z Číny (28,2 %), Rumunska (21,1 %) a Spojených států (13,8 %).

„Když vezmeme v úvahu skutečné umístění odesílatele místo umístění e-mailového serveru, je ze Severní Ameriky ve skutečnosti odesláno méně útoků, než by se na první pohled zdálo,“ řekl Paul Wood, MessageLabs Intelligence Senior Analyst. „Velká část cílených útoků je odeslána z legitimních účtů webových e-mailových služeb, které se nacházejí v USA. IP adresa odesílajícího poštovního serveru proto není užitečným ukazatelem skutečného původu útoku. Skutečný zdroj těchto cílených útoků odhaluje analýza IP adresy odesílatele, ne IP adresy e-mailového serveru.“

Další analýza cílených útoků ukazuje, že pět nejčastějších cílových rolí jsou ředitel, vysoký vedoucí pracovník, vicepresident, manažer a výkonný ředitel a že osoby, které dostávají nejvíce cílený škodlivý kód, jsou odpovědné za zahraniční obchod a obrannou politiku, což se týká zejména asijských zemí.

Nejčastější přílohou všech nebezpečných e-mailů byly soubory typu .XLS a .DOC, ale jako nejnebezpečnější typ souboru byly identifikované šifrované soubory .RAR, což je proprietární formát komprimovaných souborů. Na každý z typů souboru .XLS a .DOC připadalo v březnu 15,4 % přiložených souborů k e-mailům a čtyři nejčastější typy souborů – .XLS, .DOC, .ZIP a .PDF – tvořily 50 % souborů přiložených k e-mailům. Šifrované soubory .RAR představovaly v březnu přibližně 1 z 312 (0,32 %) nebezpečných souborů připojených k e-mailům. Je to sice relativně neobvyklý typ souboru, ale když je přiložený k e-mailu, je v 96,8 % případů infikovaný.

„Naproti tomu nešifrované soubory .RAR jsou zneužívány zřídka a vyskytují se v 1,1 % e-mailů,“ řekl Wood. „I když jsou častější než šifrované soubory .RAR, je daleko méně pravděpodobné, že se objeví jako příloha nebezpečného e-mailu.“

U souboru typu .EXE je největší pravděpodobnost, že jako příloha e-mailu vzbudí podezření, že se jedná o infikovaný soubor. V březnu však spustitelné typy souborů tvořily 6,7 % souborů přiložených k e-mailu a byly rozpoznané jako infikované v 15 % případů. Přestože existuje velký počet nebezpečných e-mailů, které mají jako přílohu soubor s nejčastější příponou .XLS, .DOC, .ZIP nebo .PDF, jsou tyto typy souborů častěji připojeny jako příloha k e-mailům, které jsou bezpečné.

Tým MessageLabs Intelligence v březnu také pozoroval, že robotická síť Rustock odesílala podstatně více nevyžádané pošty s použitím protokolu TLS (Transport Layer Security). Zabezpečené připojení TLS bylo v březnu použito při odeslání přibližně 77 % nevyžádané pošty z robotické sítě Rustock.

Průměrný dodatečný příchozí a odchozí provoz v důsledku použití protokolu TLS představuje režii přibližně jeden kilobajt. Velikost mnoha nevyžádaných e-mailů je často mnohem menší než jeden kilobajt. Nevyžádaná pošta používající protokol TLS tvořila v březnu přibližně 20 % veškeré nevyžádané pošty a nejvyššího podílu 35 % dosáhla 10. března.

„TLS je oblíbený způsob zasílání e-mailů prostřednictvím šifrovaného kanálu,“ řekl Wood. „Využívá však daleko více prostředků serveru a je mnohem pomalejší než e-maily ve formátu prostého textu a vyžaduje příchozí i odchozí provoz. Odchozí provoz často převyšuje velikost samotné nevyžádané zprávy a může výrazně zatěžovat podnikové e-mailové servery.“

.

Další informace v březnovém reportu:

  • Nevyžádaná pošta: V březnu 2010 byl globální podíl nevyžádané pošty v e-mailovém provozu z nových a dříve neznámých závadných zdrojů 90,7 % (1z 1,10 e-mailů), což je od února zvýšení o 1,5 procentního bodu.
  • Viry: Globální podíl e-mailů napadených virem v e-mailovém provozu z nových a dříve neznámých závadných zdrojů byl v březnu jeden z 358,3 e-mailů (0,28 %), což je od února pokles o 0,05 procentního bodu. 16,8 % škodlivého kódu šířeného e-mailem obsahovalo v březnu odkazy na nebezpečné webové servery, což je od února pokles o 13,7 procentního bodu.
  • Phishing: V březnu byla aktivita phishingu 1 z 513,7 e-mailů (0,19 %), to je od února pokles o 0,02 procentního bodu. Pokud je posuzován jako podíl ze všech hrozeb, jako jsou viry a trojské koně, šířených e-mailem, zvýšil se podíl phishingových e-mailů o 8,4 procentního bodu na 64,6 % ze všech hrozeb šířených e-mailem.
  • Zabezpečení webu: Analýza činností zaměřených na zabezpečení webu ukazuje, že 14,9 % veškerého webového škodlivého kódu zachyceného v březnu byl nový kód, což je od února zvýšení o 1,6 procentního bodu. Tým MessageLabs Intelligence identifikoval také každý den v průměru 1 919 webových serverů, které se nově staly hostiteli škodlivého kódu a jiných potenciálně nežádoucích programů, jako je spyware a adware, což je od února pokles o 61,6 %.

 

Trendy podle zeměpisných oblastí:

  • Podíl nevyžádané pošty vzrostl v březnu v Maďarsku na 95,7 %, takže Maďarsko se stává zemí s největším podílem nevyžádané pošty.
  • V USA bylo 91,1 % e-mailů nevyžádaná pošta, v Kanadě to bylo 89,5 %. Podíl nevyžádané pošty ve Velké Británii vzrostl na 90,1 %.
  • V Nizozemsku tvořila nevyžádaná pošta 93,0 %, v Austrálii dosáhl podíl nevyžádané pošty 90,1 % a v Německu zůstal na úrovni 91,3 %.
  • V Hongkongu dosáhl podíl nevyžádané pošty 92,0 %, v Japonsku byl na úrovni 87,5 %.
  • Aktivita virů na Tchaj-wanu byla 1 v 90,9 e-mailů, takže Tchaj-wan se stal v březnu zemí, která byla nejčastěji cílem škodlivého kódu šířeného e-mailem.
  • Úroveň virů v USA byla 1 v 551,4 a v Kanadě 1 v 492,8. V Německu byla úroveň virů 1 v 462,0, v Nizozemsku 1 v 834,7, v Austrálii 1 v 351,6, v Hongkongu 1v 505,5, v Japonsku 1 v 1063,3 a v Singapuru 1 v 504,1.
  • Velká Británie byla v březnu nejaktivnější zemí v oblasti phishingových útoků s 1 útokem v 254,8 e-mailu.

 

Trendy ve vertikálních oborech:

  • Nejvíce zamořený nevyžádanou poštou byl v březnu sektor strojírenství s podílem nevyžádané pošty 94,7 %.
  • Úroveň nevyžádané pošty byla 91,9 % v sektoru vzdělávání, 91,1 % v chemickém a farmaceutickém sektoru, 91,6 % v službách IT, 91,8 % v maloobchodu, 89,1 % ve veřejném sektoru a 89,5 % ve financích.
    • V březnu byl veřejný sektor nadále nejčastějším cílem škodlivého kódu mezi všemi obory. Jako nebezpečný zde byl zablokován 1 ze 77,1 e-mailů.
    • Úroveň virů v chemickém a farmaceutickém sektoru byla 1 v 642,9, v sektoru služeb IT 1 v 510,9, v maloobchodu 1 v 728,6, ve vzdělávání 1 ve 189,1 a ve financích 1 v 301,8.

 

Březnová zpráva 2010 MessageLabs Intelligence Report obsahuje podrobnější údaje o všech výše uvedených trendech a hodnotách a podrobnější rozbor trendů v zeměpisných oblastech a ve vertikálních oborech. Úplná zpráva je k dispozici na adrese http://www.messagelabs.com/intelligence.aspx.





Komentáře