基础架构软件供应商赛门铁克,3月21日发布《第十一期互联网安全威胁研究报告》。根据报告显示,当前威胁环境的主要特征是数据窃取、数据泄漏和为了获利而以特定组织为目标进行攻击所创造的恶意代码不断增加。攻击者不断改进攻击方法,逃避检测,进而建立全球性的协作网络,用来支持持续增长的犯罪活动。网络犯罪者以获利为目的,不断开发目的性更强的恶意威胁,试图在窃取机密信息时逃避检测。
根据赛门铁克《第十一期互联网安全威胁报告》指出:
Ÿ 2006年下半年,全球共有超过 600万个僵尸(Bots)网络。与上半年相比,受到感染而被远程黑客控制的计算机数量增加了 29%。尽管感染僵尸网络的计算机数量持续增加,赛门铁克检测到被僵尸网络控制的Command and Control服务器数量却减少了 25%。减少的原因可能是由于这一类服务器被成功移除,迫使僵尸网络所有者通过合并网络扩大现有规模。
Ÿ 2006年下半年,排名前50的恶意代码样本中,木马程序占45%,相较于2006年上半年增加了23%。这一明显上升,也证实了赛门铁克在上一期报告当中的预测:供给这回通过大量发送电子邮件传播蠕虫,转而使用木马程序进行攻击。
Ÿ 赛门铁克在 2006 年下半年一共发现了 12 个零日攻击漏洞,远远超过 2006年上半年所发现的 1个零日攻击漏洞,使消费者和企业面临未知威胁。
Ÿ 犯罪分子和犯罪组织使用地下交易服务器兜售所窃取的机密信息的服务器,这些信息包括社会安全号码 (SSN)、信用卡、银行卡、个人识别码 (PINs) 以及电子邮件地址列表。
Ÿ 计算机或其他数据存储或传输介质(USB或备份盘)遭窃或丢失,占此期间与数据破坏相关的身份盗用总量的54%。
Ÿ 赛门铁克首次指出了恶意活动主要来源国家。美国发生恶意活动的比例最高,占全球的31%。中国次之,占10%;德国第三,占7%。
赛门铁克中国区业务拓展经理郭训平谈到第11期的报告与前几期的不同特点主要在于以下几个方面。
第一,这次报告发现所有的漏洞、攻击,都是针对数据泄露、数据攻击和对财务有目的的攻击。这是很重要的一点。
第二,这在以往的报告中没有提到,没有体现出来。发现这些攻击的威胁,攻击的手段,攻击的方法有很大的变化。黑客也好,黑客组织也好,逐渐通过各种各样的手段和技术,通过不同的威胁把他们整合在一起,试图创建一个他自己的全球攻击网络基础。这个人可以通过越来越多的手段和方法来控制全球性的网络,一些主机,通过它们来做一些动作。
第三,黑客在采用具体技术的时候,大家知道以往的黑客会采用发垃圾邮件或者利用漏洞进行攻击,比如说漏洞利用,编一些木马程序。现在的黑客通过越来越多、不同的攻击手段,来达到一个攻击目的或者一连串、连续的攻击目的。
另外,僵尸网络和控制服务器上面,和通讯技术、沟通技术上面和以前比有很多的变化,以前明码传输,现在是P2P的方式,是加密的,这样可以绕过很多的安全措施,比如说国外有ISP,他通过ISP的方式,对已经发现僵尸的网络,在端口上就给阻挡。现在很多僵尸网络通过P2P的方式,不是说一万台机器由一台主机控制,而是A机器和B机器相连,B机器再和C机器相连,这样相连下去。这像传销一样,上面发展下面,下面再发展下面。真到控制的时候,不是一台主机给十万台主机发指令。这时候有一个困难,突然发现一台主机给全球10万台客户端或者百万台客户端发,从国家一级、ISP一级或者监管部门一级是很容易被发现的,所以他通过加密方式,还通过P2P的通信方式,有一个是主控的,一个是从控的。这是僵尸网络技术方面不太一样的地方。中国总量占到亚太71%,将近三分之二在中国,其它在台湾。
从来源方面来讲,最主要的攻击来自美国,整个亚太地区中国是最多的,绝大部分的攻击在国内。
针对中国的攻击很多还是来自中国内部的,起码IP地址是来自中国内部的僵尸主机。现在绝大部分的攻击目标是针对个人用户,在北美的宽带用户在2006年也增长了12%—14%,中国已经到了1.37亿,为什么越来越多的攻击目标针对客户端?有两个原因,现在很多的攻击是基于Web应用来进行攻击的,应该说90%以上的客户端都会装上浏览器,因为人们要上带宽,上网。所以90%的客户端都要装浏览器,所以很多的攻击是针对浏览器的。而且这些个人用户比较容易攻击。同时互联网使用者数量越来越庞大。