Сетевые преступники используют сайты для распространения вредоносного кода. Подобные атаки становятся все масштабнее: заражение сайтов – один из самых востребованных злоумышленниками инструментов для осуществления преступной деятельности в сети. Устранить эти проблемы практически невозможно: заражение распространяется быстро, а лечится долго.
Специалисты компании SafeScan, занимающейся исследованиями в области сетевой безопасности, распространили информацию о крупной хакерской атаке, от которой пострадало более 100 тыс. сайтов.
Среди пострадавших оказались известные ресурсы: Wall Street Journal, Jerusalem Post, IntlJobs.org, ServiceWoman.org и многие другие.
Хакеры использовали дыры в серверном программном обеспечении и разместили на сайтах вредоносный HTML-код, который перенаправлял пользователей на хакерские сайты. Оттуда на ПК посетителей зараженных сайтов устанавливались троянцы и шпионские программы, которые открывали хакерам доступ к управлению зараженными компьютерами.
Известно, что все взломанные сайты работали под управлением серверов Microsoft Internet Information Services. Этими веб-серверами обслуживается около 25% всех сайтов сети.
Microsoft и HP уже выпустили специальное ПО для диагностирования уязвимостей, которые использовали хакеры. Также известно, что атака работала не всегда: на некоторых сайтах вредоносный код появился лишь частично и не на всех страницах.
В апреле этого года похожая атака была проведена на ресурсы, использовавшие блог-платформу Wordpress, в которой хакеры также обнаружили неизвестную ранее уязвимость.
Масштаб и причины
По данным компании «Яндекс», вредоносный код находится на 1% проверяемых сайтов, находящихся в индексе поисковика. В абсолютном выражении это 450 тыс. страниц на 160 тыс. сайтов. Зараженными оказываются не только заброшенные или непопулярные сайты, но и ресурсы с индексом цитируемости более 1000 (пять-десять таких сайтов попадают в «вирусную» базу компании ежедневно) и даже с индексом цитирования более 10 тыс. (несколько раз в месяц).
Большая часть зараженных сайтов и страничек находится в доменной зоне .com -- 47,44%; в зоне .ru содержится 11,41%, в .net -- 6,76%; в .org -- 4,17%; 28,79% приходится на множество других доменных зон.
Аналитики «Яндекса» также отмечают, что примерно 37% всех зараженных сайтов остаются таковыми более 90 дней. Только примерно в 10% случаев опасность устраняется в течение недели после обнаружения вредоносного кода.
Одной из наиболее распространенных причин заражения, по версии компании, является нерегулярная смена FTP-паролей и/или их сохранение в FTP-клиентах. Кража паролей приводит к заражению всех подконтрольных веб-мастеру сайтов.
Другими способами заражения сайтов являются: невнимательное отношение к чужому коду (зараженные баннеры, счетчики), который устанавливается на сайт; невнимательное отношение к антивирусной защите компьютеров, с которых осуществляется управление сайтом, а также к рекомендациям по безопасности при написании собственной системы управления сайтом; уязвимости в сторонних системах и их нерегулярное обновление.
Человеческий фактор
Большинство причин, обозначенных специалистами «Яндекса», указывают на человеческий фактор как на ключевую причину заражения сайтов. Однако не все и не всегда зависит от людей, которые обслуживают сайты.
«Известно, что человеческий фактор традиционно является наиболее слабым звеном в организации информационной безопасности, -- рассказал Infox.ru аналитик компании «Доктор Веб» Валерий Ледовской. -- Но вряд ли всегда стоит винить администрацию взломанного сайта. Часто администраторы используют виртуальный хостинг, а за обновления ПО, отражение DDoS-атак и прочие важные составляющие ИБ сайтов несут ответственность компании, которые предоставляют для этих сайтов хостинг».
По мнению руководителя Центра вирусных исследований и аналитики компании Eset Александра Матросова, достаточно много заражений происходит именно из-за ошибок или обычной беспечности администраторов. Однако не они оказываются основной причиной заражений.
«Наиболее распространенным способом заражения веб-страниц являются уязвимости, приводящие к возможности внедрения вредоносного сценария, -- рассказал Infox.ru эксперт. -- Именно такие уязвимости и закрывают выпускаемые вендорами обновления».
«Среди способов заражения интернет-ресурсов, которые есть на вооружении у злоумышленников, -- кража паролей доступа, различные варианты подбора паролей (в частности с применением специального ПО) и, наконец, какие-то уязвимости в ПО веб-серверов, которые не успели устранить их владельцы, -- рассказал Валерий Ледовской. -- Из вредоносных программ, которые злоумышленники распространяют через зараженные интернет-ресурсы, наиболее часто встречаются даунлоадеры (downloaders), которые затем уже могут загрузить на компьютер жертвы любые другие вредоносные объекты».
По словам Валерия Ледовского, злоумышленники часто используют так называемую «уязвимость нулевого дня», обнаруженную незадолго до атаки.
«В этом случае даже установка всех обновлений на все используемое для функционирования сайта ПО и соблюдение жестких правил ИБ может не помочь, -- пояснил эксперт. -- Ответственны в данном случае производители ПО. И до выпуска соответствующих патчей сайт будет потенциально уязвим».
Именно такая уязвимость стала причиной массового взлома сайтов, зарегистрированного компанией SafeScan.
Человеческий фактор вместе с недостатками серверного ПО вендоров привели к тому, что заражение через сайты сейчас является одним из самых популярных инструментов хакеров.
«Заражение через сайты входит в тройку наиболее используемых на сегодня каналов распространения вредоносных программ, -- сообщил Валерий Ледовской. -- Наряду с этим злоумышленники продолжают широко использовать такие каналы, как электронная почта, системы мгновенного обмена сообщениями, социальные сети и прочее».
«К сожалению, рейтинг популярности каналов заражения в традиционном понимании в достаточной степени условен, -- добавил Александр Матросов. -- Однако если бы такой рейтинг составлялся, заражения через интернет, несомненно, возглавляли бы его на протяжении уже нескольких лет».
