Макость.2014 - эволюция яблочных паразитов.

Previous Entry Поделиться Next Entry
25 сентября, 2014
e_kaspersky
Есть ли вирусы на Маке?

Да! Есть! Но что-то подозрительно давно ничего интересного на эту тему я здесь не рассказывал.

Прошло 2,5 года с момента глобальной эпидемии червя Flashback, заразившего 700 тыс. Маков по всему миру. Мы тогда немного пошумели по этому поводу для "поднятия тонуса" среди маководов – и потом тишина...

Для человека со стороны может показаться, что с тех пор на этом фронте было полнейшее затишье и ни один вредонос не потревожил спокойствие водной глади в яблочной бухте. Но это не совсем так.

Есть ли вирусы на Маках?

Да, если сравнивать уровень зловредства на разных платформах, то в "лидерах", как обычно, - самая распространённая платформа Microsoft Windows. Со значительным отрывом за ней следует Android. За прошедшие пару-тройку лет компьютерные негодяи всерьёз взялись за зелёного робота и потрошат Android-устройства с экспоненциально нарастающей активностью. В мире Айфонов и Айпадов пока практически абсолютный ноль, за исключением редких шпионских атак, умудряющихся заражать сверхбезопасные гаджеты разными экзотическими способами. В среде Маков тоже пока тишь да благодать... но уже не столь безмятежная. И про это будет рассказ.

Краткое содержание:

  • количество новых мак-зловредов за год исчисляется уже сотнями;

  • за 8 месяцев 2014г. обнаружено 25 семейств мак-зловредов;

  • вероятность подхватить мак-неприятность составляет приблизительно 3%.


Если надкусить копнуть поглубже и посмотреть на ситуацию изнутри, с точки зрения эксперта по вирусам, то картинка гораздо менее радостная. Мак-угрозы эволюционировали, восприятие Мак-безопасности среди пользователей изменилось и самый главный вопрос - что нам ждать в будущем? Без эмоций, только цифры, факты, хладнокровный анализ и непредвзятое обсуждение в комментах приветствуется.

Прежде всего – фронтовые сводки.

Что такого интересного стряслось с вирусной угрозой для Маков за последние годы? Начну вот с такого красноречивого графика. Это количество вредоносных Mac OS X файлов в нашей коллекции. Сколько мы отлавливаем новых Мак-зловредов ежегодно.

Есть ли вирусы на Маках?2014* - оценка

Как видно из графика, всего 4 года назад "зловредный яблочный улов" измерялся всего-то несколькими десятками штук в год, но в 2011м году наступил резкий перелом и на протяжении последних лет количество новых мак-зловредов за год исчисляется уже сотнями.

Что именно отлавливается?

За 8 месяцев этого (2014) года мы поймали и задетектили почти тысячу уникальных атак на Маки, которые группируются в 25 основных семейств. Пару слов о самых интересных экземплярах:

  • Backdoor.OSX.Callme – распространяется в теле специально сконструированного документа MS Word, который при запуске через уязвимость устанавливает в систему бэкдор. Предоставляет злоумышленнику удаленный доступ к системе. Заодно ворует список контактов, видимо, для поиска новых жертв.

  • Backdoor.OSX.Laoshu – каждую минуту делает скриншоты экрана. Оказался подписанным доверенным сертификатом разработчика. По всей видимости вирусописатели готовились разместить его в AppStore.

  • Backdoor.OSX.Ventir – многомодульный троян-шпион с функцией скрытого удалённого управления. Из интересного: несёт в себе драйвер перехвата нажатий клавиатуры logkext, который доступен публично с исходном коде.

  • Trojan.OSX.IOSinfector – установщик мобильной версии Trojan-Spy.IPhoneOS.Mekir (OSX/Crisis) – ага, заражает Айфоны.

  • Trojan-Ransom.OSX.FileCoder – первый шифровальщик файлов на OS X. Условно рабочий. Багливый прототип.

  • Trojan-Spy.OSX.CoinStealer – первый похититель биткоинов для OS X. Маскируется под несколько разных биткоин-утилит с открытым исходным кодом. На самом деле устанавливает вредоносное расширение браузера и/или пропатченный вариант bitcoin-qt (утилита с открытым исходным кодом для майнинга биткоинов).


Логичный вопрос: зловореды зловредами, а насколько этот зоопарк представляет реальную угрозу для пользователей? Как вероятно подхватить эту заразу? И какая зараза более всего распространена?

Тут на помощь приходит статистика срабатываний антивируса из нашей облачной системы KSN. Но прежде чем анализировать цифры – важный дисклеймер: это данные исключительно по пользователям наших продуктов. Как распространены вредоносы в глобальном масштабе, в том числе среди пользователей других антивирусов и без антивирусов вообще – это неблагодарное и приблизительное дело экстраполяций на основе данных из разных источников. Однако тут тоже стоит покопаться, чтобы было о чём поговорить в кулуарах :)

Итак, топ-20 срабатываний для Mac OS X за 2013-2014 гг.

Вердикт Количество срабатываний %
AdWare.OSX.Geonei.b 56271 39,15
Trojan.OSX.Vsrch.a 28222 19,63
AdWare.OSX.Geonei.d 23904 16,63
Trojan.OSX.Yontoo.i 7595 5,28
AdWare.OSX.FkCodec.b 6395 4,45
Trojan.OSX.Yontoo.h 3636 2,53
Trojan.OSX.Yontoo.j 3366 2,34
AdWare.OSX.Geonei.c 2889 2,01
Trojan.OSX.Yontoo.a 2079 1,45
AdWare.OSX.Geonei.e 1758 1,22
Trojan.OSX.FakeCo.a 1413 0,98
Trojan.OSX.Okaz.a 1126 0,78
Trojan-Downloader.OSX.Vidsler.a 868 0,60
RemoteAdmin.OSX.AppleRDAdmin.c 677 0,47
AdWare.OSX.Bnodlero.a 656 0,46
Trojan.OSX.Yontoo.b 633 0,44
AdWare.OSX.FkCodec.a 609 0,42
Trojan-Downloader.OSX.FavDonw.c 571 0,40
AdWare.OSX.Geonei.a 544 0,38
Trojan.OSX.Yontoo.d 533 0,37

Вдогонку – география распространения маковской малвары за этот же период:

Есть ли вирусы на Маках?

Заметьте: около половины срабатываний - AdWare, 2/3 всех срабатываний приходится на три первых вердикта, география распространения мак-малвары в целом совпадает с популярностью Маков (и это в основном развитые страны, где у потенциальных жертв водятся деньги), знаменитый Flashback в двадцатке отсутствует.

Какие из этих данных следуют выводы?

Во-первых, кибер-преступникам проще зарабатывать на условно легальных подходах (назойливая реклама это тоже деньги, а вкупе с масштабным заражением немалые).

Во-вторых, судя по общему технологическому уровню малвары, вирусописатели для Mac OS X – довольно продвинутые типы. В отличие от вирусов для Windows "макость" перемахнула через стадию детских поделок ради забавы - за платформу сразу взялись серьёзно, серьёзные люди. Вполне возможно, они отточили своё "искусство" на Windows и пришли сюда осваивать новые, неизведанные "земли" в поисках новых заработков. Деньги есть, пользователь непуганый – значит заработать можно, надо только напрячь мозги.

В-третьих, за Mac OS X серьёзно взялись профессиональные шпионские группы. Многие APT-атаки в последнее время обзавелись маковскими-модулями, например - Careto, Icefog, целевые атаки против уйгурских активистов. Да, это точечные, НЕ массовые атаки, нацеленные на конкретных жертв и потому в "топы" не попадающие. Однако от того не менее опасные. Особенно если ваши данные представляют интерес для спецслужб.

Теперь давайте разберёмся в практической значимости этих цифр.

Действительно, на фоне масштаба бедствия на Windows сотня тысяч срабатываний за полтора года выглядит как-то совсем уныло и даёт повод сказать, что на самом деле никакой угрозы нет. Ну, или почти нет. Но "почти нет" настолько, что можно расслабиться и в вопросах безопасности полностью положиться на Apple. Иными словами, отказаться от защиты вообще.

И чтобы понять кто тут параноит, а кто тут неправ :) надо снова обратиться к данным KSN. А именно – подсчитаем уровень заражённости, или соотношение количества установленных антивирусов и количества их уникальных срабатываний.

В августе вероятность в течение месяца подхватить на Маке специфическую маковскую неприятность составила приблизительно 3%. Ну, не так страшно на фоне 21% вероятности заражения для пользователей Windows (тоже данные KSN), но всё же – по крайней мере 10 раз в год к активному Интернет-пользователю в компук весьма вероятно заглянет вредонос.

А дальше становится ещё интереснее.

Во-первых, на пользователей Маков охотится не только заповедная маковская малвара. Есть другие виды атак, которым всё равно какая операционная система установлена на компьютере. Например, фишинг или MiTM-атаки. А это, на минуточку, очень распространённые угрозы, которые бьют в первую очередь по кошельку банковскому счёту, ключевым веб-сервисам и социальной активности жертвы.

Во-вторых, по Макам бьёт и другой тип не совсем маковских угроз, а именно дыры в софте сторонних производителей, которые используются кибер-негодяями для проникновения. Например, Java, Flash или Silverlight. Этого софта по умолчанию на Макоси нет, но многие пользователи всё равно скачивают и устанавливают, чтобы полноценно впитывать все прелести веба.

Трудно сказать, какова будет вероятность атаки, если учесть все перечисленные напасти. Думаю, раз в несколько уж точно вырастет.

В-третьих… ну, это уже не совсем о вирусной угрозе. На самом деле антивирус – это уже давно не просто хрень, которая висит в фоновом режиме и как-то незаметно от чего-то там спасает. "Наша служба и опасна и трудна и, на первый взгляд, как будто не видна…". Современный антивирус содержит в себе множество других полезных фичей, которые идут далеко за пределы канонического представления об этом софте. Например, родительский контроль, менеджер паролей, проверку надёжности Wi-Fi, блокировку веб-камеры и сотни других функций. Да, маковские продукты пока отстают от своих PC-братьев по функционалу, но потихоньку к этой планке подтягиваются.

А теперь немного фруктологии футурологии.

Вопрос, который свербит давно и у многих. Почему же на Маках так мало малвары и стоит ли ждать ухудшения ситуации?

Я много раз говорил, что есть три главных условия существования вредоносных программ на конкретной платформе: (i) платформа должна иметь незащищённую архитектуру и уязвимости, (ii) быть достаточно распространённой и (iii) иметь открытые средства разработки для сторонних приложений. На Mac OS X "буксует" только пункт 2.

"Ха!", - скажет осведомлённый читатель. В мире больше 80 миллионов устройств на Макоси! Неужели этого недостаточно? Ну, вот и ответ, ага. Не-до-ста-точ-но. Особенно на фоне 1,5 (полутора) миллиардов (sic!) Windows-машин.

Тут уже писалось об экономике компьютерного андерграунда. Этот закон универсален для любой платформы и Mac OS X тут не исключение. Кибер-негодяям нет смысла распылять силы, когда перед ними непаханые поля Windows-компьютеров без антивирусов, с необновлёнными или бесплатными дырявыми антивирусами. "Нас и тут неплохо кормят" ©

Вопрос упёрся в другое – какова критическая масса, когда андерграунду станет экономически эффективно заинтересоваться Маками? Я раньше кивал на 5-7% мировой installed base, но оказалось, что маловато. В этом году доля Mac OS X вплотную приблизилась к 10%. Вирусописатели зашевелились, но как-то неуклюже, нехотя и по большей части концептуально.

Есть ли вирусы на Маках?источник

Экстраполируя тенденцию, года через три Apple может занять уже процентов 15 рынка. Будет ли это триггером для бурного развития малвары?

Не знаю. Для бурного – скорее всего нет. Но активизация будет точно. Уж точно положительная тенденция сохранится и даже наверняка зашкалит выше нынешних значений. Другие мнения на этот счёт есть?

Что произойдёт, когда рыночная доля Макоси накопит критическую массу? Я думаю, что сначала произойдёт несколько крупных эпидемий с реальными жертвами и значительными денежными потерями. А потом случится цепная реакция – вирусописатели, почуяв лёгкую и многочисленную добычу, начнут массово переключаться на эту платформу.

Другой возможный сценарий развития ситуации – выход из под контроля какой-нибудь APT-атаки против Mac OS X. Например, глобальная эпидемия из-за бага недокументированной фичи зловреда или утечка технологии атаки, её распространение в компьютерном андерграунде и появление многочисленных клонов.

Реальную "температуру по больнице" в области мак-безопасности просчитать трудно, ведь большинство Мак-пользователей до сих пор живёт в уверенности в святости и непогрешимости любимого вендора. Поэтому, что именно происходит на десятках миллионов незащищённых Маков – неизвестно. Собственно, именно из этой сумеречной зоны случайно и выцепили червя Flashback в марте 2012г. Какие там ещё звери водятся? Чем они там занимаются? Кто именно там кукловодит – обычные кибер-негодяи или "беловоротничковые" бизнесмены с наёмными программистами? Интересных вопросов много и мы потихоньку будем находить на них ответы. И нам нужна ваша помощь: мы не можем спасти вас насильно – позаботьтесь о своей безопасности сами, сделайте хотя бы первый шаг.

А пока что вот несколько простых советов, как содержать ваш Мак в порядке и безопасности.

На этом всё про кибер-садоводство, оставайтесь на моей волне. Истории ещё будут, и чем дальше тем интереснее.

P.S. Интересное не заставило себя ждать. В Юниксовом шелле нашли дыру громадного размера. Linux, Unix и, конечно, Макось спешно делают патчи, пока не очень получается. Пользователям и админам рекомендуется срочно апдейтить свои системы. Любопытно, какой процент мак-юзеров накатит патч, а как много так и останутся с дырявым шеллом, открытым для любого мерзавца? "Бластера" ещё не забыли? А ведь тогда Микрософт выкатил патч за месяц до катастрофы... Под "катастрофой" я имею ввиду грандиозный блекаут на востоке США.



Previous Entry Поделиться Next Entry
о, а мои знакомые говорили что у маков нет вирусов.
нужно будет показать заметку.
Спасибо!

везде есть))
А на железках которые миллионами штампуют, просто по определению должен быть))

Для каких версий Mac OS X упомянутые вами зловреды наиболее опасны? Может ли так быть, что старые версии Mac OS X менее подвержены атакам чем новые? Я исхожу из предположения, что вирусы создают для атаки на новые версии операционной системы, и в силу этого они могут неработать на старых версиях. :)

Упппп... Глубоко грызёте. Я о плотоядности мак-зловредов не столь осведомлён. Прошу помощи у специалистов...

Как показала практика некоторые старые Мак зловреды не работают на новых версиях Mас OS. Бывает и что новые Мак зловреды неполноценно работают на самых последний версиях Mac OS. Это особенно касается тех зловредов, в которых используются Rootkit технологии и им необходимо ядро операционной системы.

В целом довести старый простой зловред для работы в новой версии ОС не является проблемой. Поэтому мы часто видим детектирование весьма старого семейства, но собранного уже под новую версию ОС.

Вообще попытки атаковать идут независимо от версии Макоси. Но успешные атаки возможны преимущественно на 10.5-10.8, в некоторых случаях на 10.9,10.10.

В случае примитивных зловредов и использовании социальной инженерии версия операционной системы не имеет значения.


Edited at 2014-09-26 12:46 (UTC)

Интересный взгляд, спасибо! Хотя, пока читал, не покидало ощущение что вот, конец квартала, а в Лаборатории горит план по продажам антивируса под макось ))) все силы на спасение плана!

Кстати, я пару недель назад установил ваш антивирус - пока в триальном режиме, но в общем готов купить. Так он, скотина, завис и висит, кажется, до сих пор - всего-то попросил его сделать полную проверку :(( Так что с покупкой теперь не уверен.

Наши деньго-результаты весьма позитивны, всё нормально. Спасать планы постами в ЖЖ потребности нет. Просто захотелось рассказать что там и как - дабы мак-народ не расслаблялся и не кликал куда ни попадя. А то иначе может случиться попадос..

Антивирус завис? Это полный бардак и совершенно неправильно. Можно как-то узнать подробности этой неприятности? Я пну кого надо чтобы разобраться и больше такого не повторять. Заранее спасибо.

Подробности такие: скачал KIS for Mac, поставил, все ОК. Точно не помню, но по-моему, для начала прогнал экспресс-тест - все ОК. Потом черт дернул запустить полную проверку - компьютер задумался, и надолго (точнее, комп работал, но медленно - окошко IS перестало отвечать (при наведении мыши появлялось крутящееся цветное колесико). Плюнул, оставил на ночь, - утром все то же самое. Пришлось как то его убить (типа завершить принудительно) и перезагрузиться. Теперь KIS висит в Доке, но на клики не реагирует. В строке состояния вверху экрана, иконка KIS серая, при наведении курсора - опять колесико. Висит, короче. Комп - iMac под OS X версии 10.9.4...

Версия триальная, которая на месяц - хотел попробовать..

Добрый день! Мы поможем вам с решением проблемы. Не могли бы вы поделиться с нами вашими контактами для связи (e-mail)?

с Днем рождения, всего самого наилучшего!)

Уважаемый Евгений!
Сердечно поздравляю Вас с днём рождения, желаю радости, здоровья и УДАЧИ!

ПОЗДРАВЛЯЮ С ДНЁМ РОЖДЕНИЯ !!!

Вас, поздравляю с Днём Рождения...
И фирме вашей также пожелаю и процветания, и долговечности, и прочности, как этому двухсотлетнему дубу!

май 2012 352

Поздравляю с днем рождения моего защитника от интернет-гадостей! Уже несколько лет под охраной.
Поэтому особенно желаю здоровья и успехов)))

С Днём рождения!

bogdan_63

2014-10-04 14:01 (UTC)

Здоровья, счастья, благополучия, мира, добра, любви!

Поздравляю с Днём Рождения!
И победы над всеми плохими вирусами )

Присоединяюсь к банкету Поздравлениям!)

Социальные сети есть зло!

mitya_solovyov

2014-10-15 23:23 (UTC)

Зашел к вам F1 глянуть, заодно провел и тест антивируса для Мак.
Здорово! Сразу вылет. Системный отчет на вашем сайте отправить некуда... Все как всегда.

?

Log in

No account? Create an account