Fortinet opublikował najnowszy raport o zagrożeniach sieciowych. W lipcu br. specjaliści z laboratorium FortiGuard wykryli osiem kolejnych wersji botneta Sasfis, które znalazły się w zestawieniu 10 najgroźniejszych wirusów miesiąca.

Tworzenie nowych wersji i ich masowa dystrybucja w rozmaitych formach z wykorzystaniem metod inżynierii społecznej jest coraz bardziej powszechną praktyką stosowaną przez twórców złośliwego oprogramowania.

“Cyberprzestępcy kontynuują strategię dywersyfikacji w procesie rozsyłania groźnego spamu,” mówi Derek Manky, menedżer projektu w laboratorium badawczym Fortinet. “W ubiegłym miesiącu w sieci pojawiło się wiele różnego rodzaju e-maili z załącznikami HTML zawierającymi ukryty skrypt Java, który przekierowywał użytkowników na spreparowane, fałszywe strony WWW. Różnorodność tych kampanii spamerskich i ich cele pokazują, w jaki sposób botnety nadal będą ewoluować w celu zaspokojenia potrzeb swoich klientów z czarnego rynku”.

Kolejny groźny atak Stuxnet, który pojawił się w tym miesiącu potwierdził znaczenie szybkiego łatania luk w systemach i oprogramowaniu. Jednak nawet przy właściwym zarządzaniu łatkami, ataki na lukę zero-day, mogą spowodować znaczące szkody. Stuxnet jest także przykładem na to, że dozwolone działanie użytkownika może doprowadzić do zainfekowania systemu. Stuxnet wykorzystywał do ataku lukę w Windows Shell (CVE-2010-2568). Do uruchomienia ataku wystarczyło, że użytkownik po prostu otworzył folder.

"Widzieliśmy już podobną metodę ataku z plików PDF poprzez rozszerzenia dla plików JBIG2 i Windows w lutym 2009 roku (CVE-2009-0658). Wówczas zwykłe przeglądanie folderu mogło spowodować infekcję," kontynuuje Manky. Fortinet wykrywa podatność związaną z atakiem Stuxnet jako "MS.Windows.Shell.LNK.Code.Execution” i wykrywa w systemie antywirusowm jako 'W32/ShellLink.a!exploit.CVE20102568'. Istnieją już rozwiązania alternatywne uszczelniające tą lukę, ale jak dotąd Microsoft nie opublikował oficjalnej łatki.

Z podobnymi sytuacjami mieliśmy do czynienia także w czerwcu. 5 czerwca została publicznie ujawniona luka w systemie pomocy i obsługi technicznej Windows, która umożliwiała zdalne wykonanie kodu. Podobnie jak Stuxnet, to kolejny przykład luki typu zero-day, wykorzystanej do przeprowadzania skutecznych ataków przed udostępnieniem łatki. Byliśmy świadkami ataków na lukę już 11 czerwca, zanim Microsoft opublikował łatkę dla CVE-2010-1855 13 lipca. Ataki były silniejsze, ponieważ przeprowadzane były poprzez protokół HCP, który jest wykorzystywany przez wszystkie przeglądarki.

Statystyki najważniejszych zagrożeń lipca tego roku opracowano w laboratoriach FortiGuard na podstawie danych zebranych przez  urządzenia FortiGate® i systemy wywiadowcze z całego świata. Klienci korzystający z Fortinet FortiGuard Subscription Services są już chronieni przed zagrożeniami, zawartymi w niniejszym sprawozdaniu.

Pełna wersja raportu Threatscape zawierająca rankingi zagrożeń w różnych kategoriach znajduje się na stronie http://www.fortiguard.com/report/roundup_july_2010.html. Informacje o aktualnych zagrożeniach można znaleźć na stronie FortiGuard Center (http://www.fortiguardcenter.com/)