1988年11月2日,美国康奈尔大学一名22岁的学生Robert Morris释放出一种能够利用UNIX操作系统中弱点的网络蠕虫。当时估计该蠕虫成功感染了10%的网络用户。二十年来,恶意软件问题的规模已大幅增长。现在的因特网攻击讲究组织化且专门以窃取消费者和企业的信息资源为主。虽然曾经发生出于政治和宗教动机的若干攻击案例,但是攻击动机仍以金钱为主。
目前,由于越来越多的组织在电子邮件网关设置保护,使得网页成为网上罪犯用来感染计算机的首要途径。于是,网上罪犯开始在无辜的网站植入恶意代码。这些代码只需要守株待兔,便可以神不知鬼不觉地感染前往访问网页的计算机。
这种全球范围的犯罪活动规模惊人,Sophos每4.5秒便会发现一个新的被感染网页,然后同样的事在一年365天里重复上演。除此之外,Sophos的全球威胁分析中心Sophos Labs每一天都收到将近20,000个新的可疑代码样本。
在2008年,我们见证了恶意软件不再只是微软的问题而已。虽然纯粹针对Windows的威胁在数量上远远超过针对其它平台的攻击,但网上罪犯却已开始将魔爪伸向其它操作系统(如Apple Macintosh)和脆弱的跨平台软件。随着可移动设备如iPhone、iPod Touch、Google Android电话和超移动Netbook的普及率越来越高,这样的攻击趋势应该会延续至2009年。
|
2008年简要回顾 |
|
最大型恶意软件威胁-针对网站的SQL注入攻击以及恐吓性软件
(scare ware)崛起 |
|
新的网页感染-Sophos每4.5秒即发现新的网页被感染 |
|
恶意邮件附件-2008年年底的攻击数量比年初超出5倍 |
|
垃圾邮件相关网页-Sophos每15秒即发现新的网页 |
|
新的恐吓性软件网站-每日发现5个网站 |
|
最多恶意软件寄生的国家-美国,占37% |
|
最多垃圾邮件转发的大陆-亚洲,占36.6% |
|
垃圾邮件类商业信件数量-97% |
企业仍然不能松懈,务必对他们的事业展开全面的防护,不能只保护电子邮件和网页网关。企业应当对网络、台式计算机、笔记本电脑和移动设备建立广泛的防护,才能抵挡由地下罪犯所发出的大量威胁。
网页威胁
利用合法网站的漏洞
在最近几年,网络取代电子邮件系统,成为网上罪犯的主要攻击媒介。藉由缺少防护的合法网站漏洞,黑客能够将恶意代码植入网站,稍后再趁机感染每一个网站访问者。网络之所以成为常见的犯罪工具,其中一个原因是合法网站可以吸引大量的访问者,这些访问者都可能成为攻击的受害者。
许多著名企业和品牌在2008年都曾经沦为这种攻击的受害者。无论企业大小都可能成为被攻击目标,强调全面实施正确的网络安全的重要性不言而喻。
‧ 2008年1月 Fortune500大企业的公司、政府部门和学校的上千个网站受到恶意代码的感染。
‧ 2008年2月 英国电视台ITV成为中毒网络广告攻击的受害者,该攻击企图对Windows和Mac用户散播恐吓性软件(scare ware)。
‧ 2008年3月 2008欧洲杯足球赛售票网站被黑,而且趋势科技防病毒公司也发现其部份网页被黑。
‧ 2008年4月 剑桥大学出版社的网站被黑,未经授权的黑客程序攻击访问在线辞典的访客。
‧ 2008年6月 当温布尔登网球公开赛在英国开幕时,男子职业网球协会(ATP)的网站被感染。
‧ 2008年7月 Sony在美国的PlayStation网站遭受SQL注入攻击,导致访问网站的消费者可能遭遇恐吓性软件攻击。
‧ 2008年9月 Business Week杂志由于SQL注入攻击而感染,该攻击企图从俄罗斯的服务器下载恶意软件。
‧ 2008年10月 Adobe网站上专门为影音博客提供支持的区块遭到SQL注入攻击而被黑。
SQL注入攻击
SQL注入攻击是2008年新闻头条的常客。这类攻击利用安全弱点然后在执行网站的数据库中植入恶意代码(脚本代码标签)。当用户(例如经由网页表格)输入的数据无法正确地进行过滤或检查时,脚本代码便会向数据库掷出恶意指令。复原工作可能相当困难,而且网站所有人在清除数据库以后的几小时以内又再次受到攻击的案例亦不在少数。
自动化系统
黑客们已经发展出自动化的工具,利用如Google等搜索引擎来找出可能存在弱点的网站,然后将代码植入其服务器中。网站不太可能成为特定的攻击目标,而且通常只是太倒霉,被网上罪犯的恶意软件散播工具发现而已。
网上罪犯同时也在建立自己的恶意软件感染网站,通常是利用免费的网页主机托管服务,因为用户不必经过严格的身份认证程序。犯罪者进而利用自动化系统将指向上述感染网站的恶意链接植入合法博客和网络论坛。
例如,在2008年,Sophos发现有许多合法的博客和留言板,都有留言含有伪称提供色情影片的网站链接,但实际上却事先要求浏览器升级插件。用户所下载的伪造更新代码或假造的Flash Player软件事实上是恐吓性软件,企图恐吓用户购买伪造的安全软件。
十大最多网页恶意软件的国家
2008年的调查显示,全世界散播恶意软件的网站中,有将近四分之三来自美国、中国和俄罗斯。然而,这个问题在其它国家也同样值得关注。
|
美国37.0% |
|
中国(含香港)27.7% |
|
俄罗斯9.1% |
|
德国2.3% |
|
南韩2.1% |
|
乌克兰1.8% |
|
英国1.7% |
|
土耳其1.5% |
|
捷克1.3% |
|
泰国1.2% |
|
其它14.3% |
十大恶意软件寄生的国家
Sophos的研究发现,超过150个国家境内的网页主机含有恶意软件,而产生「长尾」效应。在这些被感染的网页中,其中85%是被罪犯黑掉的合法网站。
恶意软件排名表概述
‧ 美国居排名表之冠,每8个被感染网页中有少于3个位在美国。此数量在2007年有攀升,每4个网页就有少于1个(23.4%)在美国主机。
‧ 中国,在2007年全世界的恶意软件中有超过一半位在中国的主机(51.4%),而目前已将制造问题的比例降低近半数。
‧ 捷克是新进榜的国家而且全世界有逾1%的网页恶意软件位在捷克的主机。
‧ 波兰、法国、加拿大、荷兰在2007年分别占据第6、7、8、9、10位,但如今其恶意软件的困扰已大幅减少,不再名列榜上。
用户抗拒心理
虽然网络安全是为了抵挡恶意软件和其它威胁而设计,部份用户仍反应消极并采取破坏防护的行动。当公司和组织由于策略原因而过滤特定网站的URL时,例如拦截社交网络或影片网站,这种抗拒情形尤其明显。
匿名代理服务器
有些用户利用匿名代理服务器来对付网页过滤,掩饰网站的实质内容,以便蒙骗组织的网页过滤程序来换取存取权限。在成千上万的博客、论坛和网站上都有人免费分享有关公用匿名代理服务器的信息,甚至有供个人或小团体使用的私人匿名代理服务器,其数量不明。用户存取匿名代理服务器因此变得易如反掌,但是管理者要追踪及拦截则相对困难且耗时。若用户经由匿名代理服务器访问,而且略过URL过滤,他们同时也环绕浏览着在边界扫描的内容,将大幅增加感染的机会。
Sophos甚至发现有的匿名代理服务器本身已受到恶意软件的感染。我们无法知悉匿名代理服务器本身究竟是被感染的无辜受害者,或是嵌入恶意软件后再设置。但是无论是否蓄意感染,所有使用匿名代理服务器的人都面临计算机和联机网络受到感染的巨大风险。
教育机关中使用匿名代理服务器的情况似乎特别普遍,其中有谙熟科技的学生试图破坏许可使用策略。Sophos积极追踪网络论坛以找出新的匿名代理服务器,并且将在网页设备中整合透过流量监控来实时侦测私人匿名代理服务器的功能。
电子邮件威胁
基于附件的威胁渐长
近年来,经由电子邮件附件散播的威胁数量已有所减少。
年份 含有被感染附件的邮件(平均)
2005 每44封有1封
2006 每337封有1封
2007 每909封有1封
2008 每714封有1封
不过,尽管在过去12个月内基于网页的威胁有成为恶意
软件重心的倾向,在2008年底所发现的恶意邮件附件
最是显而易见:今年的第一季度每3333封便有1封的低比例,2008年被感染邮件附件的百分比,逐月列示
竟比年初时超出5倍。若以月份为单位,则上述增长现象
至9月时已成长为每200封有1封。
Sophos发现,上述增长可以归咎于自2008年8月以后由垃圾制造者发动的若干次大型恶意软件攻击。这段期间声名大噪的攻击事件包括Invo-Zip木马程序冒充FedEx和UPS等公司寄出包裹投递失败通知、Agent-HNY木马程序寄出垃圾邮件伪装成Apple iPhone计算机游戏Penguin Panic,以及EncPk-CZ木马程序佯装成Microsoft安全补丁。
2008年后半年电子邮件攻击的规模可从Pushdo木马程序(伪称含有好莱坞女明星的裸照)窥知一二,此木马程序在前半年所有回报的恶意软件中占31%。
Troj/Agent和Troj/Invo在基于邮件附件的恶意软件排行榜的名次迅速攀升,囊括将近50%,其超越Netsky蠕虫的地位值得注意,因为后者自2004年初释出以来曾长期占据排行榜的高名次。
2008年十大邮件附文件恶意软件
Netsky含有可自行复制的代码使本身数量加倍然后在因特网上散播,而Agent和Invo木马程序却无法自行散布,通常是藉由被黑掉的计算机,依赖垃圾邮件帮助散播。
恶意链接
在利用恶意邮件附件的同时,网上罪犯仍不断在电子邮件中嵌入恶意链接,并且发出新式且即时的攻击,专门以好奇的用户为猎物。
例如在2008年8月,Sophos针对一波广为传播的垃圾邮件攻击提出警告,该垃圾邮件宣称是来自MSNBC和CNN的头条新闻提醒。每一封电子邮件皆怂恿用户点击链接来阅读新闻内容,但事实上却将他们带到恶意网页,以Mal/EncPkDA木马程序感染Windows计算机。
2008年9月,有一封流传甚广的垃圾邮件,宣称其中链接含有美国总统候选人巴拉克‧奥巴马的色情影片。然而,该网页实际上安装了Mal/Hupig-D恶意软件。
在奥巴马赢得总统选举以后的隔天,另一波恶意软件垃圾邮件邀请收件人点击一个网页链接,以观赏民主党候选人成功的影片。事实上,访问该网站的后果可能是受害者计算机的信息遭窃并且被传送到乌克兰基辅市的服务器。
| 共3页: 1 [2] [3] 下一页 |