מחקר של קספרסקי חושף גידול בתפוצת קוד זדוני רב תכליתי
עמי רוחקס דומבה
| 05/09/2018
מקור: קספרסקי
חוקרי מעבדת קספרקי פרסמו דוח אודות פעילות בוטנטים במחצית הראשונה של 2018. הדוח מנתח את הפעילות של יותר מ-150 משפחות קוד זדוני ואת הגרסאות שלהם האחראיות על יותר מ-60 אלף רשתות בוטנט ברחבי העולם. אחד מהדברים החשובים שנחשפו במחקר הוא הביקוש הבינלאומי הגובר לקוד זדוני רב תכליתי, שלא תוכנן במיוחד למטרה מסוימת ומספק את הגמישות לבצע כמעט כל משימה שתידרש.
בוטנטים – רשתות של מכשירים שהודבקו בקוד זדוני – מגויסים על ידי עבריינים כדי להפיץ קוד זדוני וכדי להוציא לפועל התקפות DDoS וספאם. טכנולוגיה שפיתחה מעבדת קספרסקי למעקב אחר בוטנטים, מאפשרת לחוקרי החברה לנטר באופן רציף פעילות בוטנטים באמצעות אמולציה (חיקוי) של מכשירים פגועים, ולכידת הפקודות שהם מקבלים מגורמי האיום המשתמשים בבוטנטים. הטכנולוגיה מספקת לחוקרים דוגמיות חשובות של קוד זדוני וסטטיסטיקה, ומאפשרת למנוע התקפות עתידיות ולגדוע פעילות זדונית, כגון טרויאנים של בנקאות.
בהתבסס על תוצאות של המחקר החדש, במחצית הראשונה של 2018 אחוז הקוד הזדוני החד תכליתי, אשר הופץ דרך בוטנטים, צנח באופן משמעותי בהשוואה למחצית השנייה של 2017. לדוגמא, במחצית השנייה של 2017, 22.5% מכל קבצי הקוד הזדוני הייחודיים שנוטרו בבוטנטים על ידי מעבדת קספרסקי היו טרויאנים לבנקאות. במחצית הראשונה של 2018, לעומת זאת, אחוז "הבנקאים" צנח ב- 9.2% ל-13.2% מכל קבצי הקוד הזדוני שנאספו.
שיעור הבוטים לספאם – סוג נוסף של קוד זדוני בעל מטרה יחידה – צנח גם הוא משמעותית: מ-18.9% במחצית השנייה של 2017 ל-12.2% במחצית הראשונה של השנה. שיעור הבוטים המיועדים אך ורק ל- DDoS צנח גם הוא מ-2.66% במחצית השניה של 2017 ל-1.99% בתחילת השנה הנוכחית.
במקביל, הצמיחה המשמעותית ביותר התרחשה נצפתה מקוד זדוני רב תכליתי, ובמיוחד בקרב Remote Access Tools, המאפשרים הזדמנויות כמעט לא מוגבלות לניצול מחשבים שהודבקו. מאז המחצית הראשונה של 2017, אחוז קבצי ה-RAT שזוהו בבוטנטים כמעט והכפיל את עצמו, מ-6.55% ל- 12.22%. Njrat, DarkComet ו-Nanocore עומדים בראש רשימת ה-RAT הנפוצים ביותר. הודות למבנה הפשוט יחסית שלהם, שלוש הדלתות האחוריות האלה ניתנות לשינוי והתאמה אפילו על ידי גורמי איום חובבניים. הדבר מאפשר לקוד הזדוני להיות מותאם להפצה באזור מסוים.
טרויאנים, שגם הם יכולים לשמש למטרות מגוונות, לא הציגו רמה דומה של התרחבות, אבל בשונה מרוב הקוד הזדוני החד תכליתי, נתח הפעילות שלהם גדל גם הוא מ-32.89% במחצית השניה של 2017 ל- 34.25% במחצית הראשונה של 2018. בדיוק כמו הקוד הזדוני של הדלתות האחוריות הרב תכליתיות, גם בטרויאני ניתן לשלוט דרך מספר שרתי פיקוד ושליטה שלכל אחד מהם מטרה שונה, כגון ריגול סייבר או גניבת הרשאות.
"הסיבה שמשפחות RAT וקוד זדוני רב תכליתי אחר הופכות לנפוצות מאוד בבוטנטים היא ברורה: העלות של בעלות על בוטנטים היא גבוהה, וכדי להרוויח, עבריינים צריכים להיות מסוגלים לנצל כל הזדמנות להוציא כסף מהרשת שלהם. בוטנט שנבנה באמצעות קוד זדוני רב-תכליתי יכול לשנות את הפעילות שלו במהירות רבה יחסית, ולעבור ממשלוח ספאם ל-DDoS או להפצה של טרויאנים לבנקאות. בעוד שהיכולת הזו מאפשרת לבעלי הבוטנטים לעבור בין מודלים שונים של עסקים זדוניים, היא גם פותחת הזדמנות להכנסה פאסיבית יותר: הבעלים יכול פשוט להשכיר את הבוטנט לעבריינים אחרים".
הסוג היחיד של תוכנות זדוניות בעל יכולת חד תכליתית שהציג צמיחה היה קוד זדוני לכריית מטבעות קריפטוגרפיים. על אף שלא ניתן להשוות את מספר הקבצים שנרשמו מקוד זדוני זה לפופולאריות העצומה של הקוד הזדוני הרב תכליתי, שיעורו הכפיל את עצמו. מגמה זו תואמת לזינוק בכרייה זדונית שנצפתה על ידי מומחי מעבדת קספרסקי.
קרא את הדוח המלא ב- Securelist.com
מקור: קספרסקי
חוקרי מעבדת קספרקי פרסמו דוח אודות פעילות בוטנטים במחצית הראשונה של 2018. הדוח מנתח את הפעילות של יותר מ-150 משפחות קוד זדוני ואת הגרסאות שלהם האחראיות על יותר מ-60 אלף רשתות בוטנט ברחבי העולם. אחד מהדברים החשובים שנחשפו במחקר הוא הביקוש הבינלאומי הגובר לקוד זדוני רב תכליתי, שלא תוכנן במיוחד למטרה מסוימת ומספק את הגמישות לבצע כמעט כל משימה שתידרש.
בוטנטים – רשתות של מכשירים שהודבקו בקוד זדוני – מגויסים על ידי עבריינים כדי להפיץ קוד זדוני וכדי להוציא לפועל התקפות DDoS וספאם. טכנולוגיה שפיתחה מעבדת קספרסקי למעקב אחר בוטנטים, מאפשרת לחוקרי החברה לנטר באופן רציף פעילות בוטנטים באמצעות אמולציה (חיקוי) של מכשירים פגועים, ולכידת הפקודות שהם מקבלים מגורמי האיום המשתמשים בבוטנטים. הטכנולוגיה מספקת לחוקרים דוגמיות חשובות של קוד זדוני וסטטיסטיקה, ומאפשרת למנוע התקפות עתידיות ולגדוע פעילות זדונית, כגון טרויאנים של בנקאות.
בהתבסס על תוצאות של המחקר החדש, במחצית הראשונה של 2018 אחוז הקוד הזדוני החד תכליתי, אשר הופץ דרך בוטנטים, צנח באופן משמעותי בהשוואה למחצית השנייה של 2017. לדוגמא, במחצית השנייה של 2017, 22.5% מכל קבצי הקוד הזדוני הייחודיים שנוטרו בבוטנטים על ידי מעבדת קספרסקי היו טרויאנים לבנקאות. במחצית הראשונה של 2018, לעומת זאת, אחוז "הבנקאים" צנח ב- 9.2% ל-13.2% מכל קבצי הקוד הזדוני שנאספו.
שיעור הבוטים לספאם – סוג נוסף של קוד זדוני בעל מטרה יחידה – צנח גם הוא משמעותית: מ-18.9% במחצית השנייה של 2017 ל-12.2% במחצית הראשונה של השנה. שיעור הבוטים המיועדים אך ורק ל- DDoS צנח גם הוא מ-2.66% במחצית השניה של 2017 ל-1.99% בתחילת השנה הנוכחית.
במקביל, הצמיחה המשמעותית ביותר התרחשה נצפתה מקוד זדוני רב תכליתי, ובמיוחד בקרב Remote Access Tools, המאפשרים הזדמנויות כמעט לא מוגבלות לניצול מחשבים שהודבקו. מאז המחצית הראשונה של 2017, אחוז קבצי ה-RAT שזוהו בבוטנטים כמעט והכפיל את עצמו, מ-6.55% ל- 12.22%. Njrat, DarkComet ו-Nanocore עומדים בראש רשימת ה-RAT הנפוצים ביותר. הודות למבנה הפשוט יחסית שלהם, שלוש הדלתות האחוריות האלה ניתנות לשינוי והתאמה אפילו על ידי גורמי איום חובבניים. הדבר מאפשר לקוד הזדוני להיות מותאם להפצה באזור מסוים.
טרויאנים, שגם הם יכולים לשמש למטרות מגוונות, לא הציגו רמה דומה של התרחבות, אבל בשונה מרוב הקוד הזדוני החד תכליתי, נתח הפעילות שלהם גדל גם הוא מ-32.89% במחצית השניה של 2017 ל- 34.25% במחצית הראשונה של 2018. בדיוק כמו הקוד הזדוני של הדלתות האחוריות הרב תכליתיות, גם בטרויאני ניתן לשלוט דרך מספר שרתי פיקוד ושליטה שלכל אחד מהם מטרה שונה, כגון ריגול סייבר או גניבת הרשאות.
"הסיבה שמשפחות RAT וקוד זדוני רב תכליתי אחר הופכות לנפוצות מאוד בבוטנטים היא ברורה: העלות של בעלות על בוטנטים היא גבוהה, וכדי להרוויח, עבריינים צריכים להיות מסוגלים לנצל כל הזדמנות להוציא כסף מהרשת שלהם. בוטנט שנבנה באמצעות קוד זדוני רב-תכליתי יכול לשנות את הפעילות שלו במהירות רבה יחסית, ולעבור ממשלוח ספאם ל-DDoS או להפצה של טרויאנים לבנקאות. בעוד שהיכולת הזו מאפשרת לבעלי הבוטנטים לעבור בין מודלים שונים של עסקים זדוניים, היא גם פותחת הזדמנות להכנסה פאסיבית יותר: הבעלים יכול פשוט להשכיר את הבוטנט לעבריינים אחרים".
הסוג היחיד של תוכנות זדוניות בעל יכולת חד תכליתית שהציג צמיחה היה קוד זדוני לכריית מטבעות קריפטוגרפיים. על אף שלא ניתן להשוות את מספר הקבצים שנרשמו מקוד זדוני זה לפופולאריות העצומה של הקוד הזדוני הרב תכליתי, שיעורו הכפיל את עצמו. מגמה זו תואמת לזינוק בכרייה זדונית שנצפתה על ידי מומחי מעבדת קספרסקי.
קרא את הדוח המלא ב- Securelist.com
