卡巴斯基安全公告:2008惡意軟件發展情況
近日,卡巴斯基實驗室發表題為《卡巴斯基安全公告:2008惡意軟件發展情況》的報告,該報告由公司高級分析師撰寫。
據悉,通過卡巴斯基安全網絡所收集到的數據也是首次被用在這樣的年度報告中,并作為論述的依據。這項新技術不僅使卡巴斯基實驗室能夠獲得有關惡意軟件威脅的信息,還能實時跟蹤、監控其演變過程,同時,在簽字或啟發式檢測尚未形成時,顯著加快了檢測新威脅的速度。
2007年,專家們強調“非營利性”的惡意軟件正在逐漸消失。2008年,真正意義的“獨家”惡意程序(主要指那些由一人或最多兩人創建和使用的程序)出現。今年檢測出的絕大多數木馬和病毒都是被開發出來以后用于出售給他人的。
而與此銷售配套的相關“支持”服務也以一個相當驚人的規模出現,其中包括幫助避開反病毒產品的承諾。網絡犯罪開始表現出明確的分工,從創建、傳播和使用惡意程序,每個階段都由不同的人參與并完成。
從全球范圍來看,中國可謂是幾大惡意程序出產國中的絕對領先者。中國黑客不斷的創造各種各樣的木馬程序變種,而且還開始將其他國家創建的惡意程序本地化。中國黑客是2008年4月到10月間發生的兩次主要攻擊的幕后黑手,攻擊的目標都為網站。第一起攻擊發生在2008年4月到6月間,全球超過 200萬個網站遭到黑客攻擊。
隨著犯罪分子活動范圍在惡意軟件2.0的領域展開,俄羅斯病毒編寫者成為了該領域的先鋒者。從Rustock.c和Sinowal這兩個rootkit所構成的重大威脅中讓我們能夠清楚的認識到這點 ,這些惡意軟件中所包含的科技成分也遠遠高出過去常見的的Zhelatin和Warezov蠕蟲等。
如同預期那樣,文檔病毒在2008年又開始死灰復燃。但與之前不同的是,新的病毒還增加了盜竊用戶數據以及通過移動存儲設備傳播的功能,通過后一種方式,該病毒可以在短時間內感染全世界的大量計算機。
這種方法能夠使蠕蟲通過閃存驅動器繞過傳統保護(如電子郵件和文件服務器反病毒,以及防火墻)的企業網絡。而一旦工作站遭到侵入,這種蠕蟲便能夠將自身復制到所有可以訪問的網絡資源,從而迅速蔓延到整個網絡。
在2008年,許多Zhelatin 變種(又稱風暴蠕蟲)停止傳播。這種存在近兩年的病毒(第一批變種出現在2007年1月)引發了很多疑問。而頗具傳奇色彩的“風暴僵尸網絡(Storm botnet)”,估計影響了超過200萬臺計算機,但最終沒有充分發揮其潛力。而之前預計的大量垃圾郵件和DDoS攻擊卻從未發生。
其中的一個原因可能是RBN(俄羅斯商務網)的及時關閉,它曾經是網絡犯罪提供主機業務的平臺。這個網絡可能參與了幾乎所有網絡犯罪活動,而它是如何被卷入其中的正成為大家熱議的話題。據悉,這些活動導致RBN的未知業主將這種犯罪交易轉移到幾十個世界各地的分網站,并以秘密的方式開展他們的活動。
直到去年秋天,打擊網絡犯罪活動的力度加大,Atrivo / Intercage 、 EstDomains和McColo在網絡公司、政府和反病毒軟件公司的合作下紛紛關閉。而McColo的關閉促使互聯網中垃圾郵件的數量大幅下滑了50 %以上。同時,大量依賴這類公司資源的僵尸網絡也停止了運作。盡管幾個星期后,垃圾郵件的數量又恢復到了之前的水平,但是這一事件應被看作是在過去的幾年里最重要的反病毒勝利之一。
2008年對整個反病毒行業以及整個信息安全產業都產生了重大影響的安全事件主要為rootkit的傳播,以及針對在線游戲產生的惡意程序及僵尸網絡。
與前一年相比,2008年中rootkit的傳播成為了更嚴重的問題。卡巴斯基實驗室發表了三篇與這個問題相關的研究性文章,分別為:“Rustock及同類惡意代碼”,“ rootkit的演變”和“ Bootkit : 2008年的挑戰”。這些文章都敘述了rootkit是如何被用來進行復雜性攻擊的,這使得整個殺毒行業必須努力確定如何才能檢測和清除活動的rootkit。
隨著社交網站越來越普及,并在一些國家(如東南亞,印度,中國,南美,土耳其,北非,和前蘇聯國家)十分受歡迎,并且還擁有大量的新客戶,因此通過這些社交網站發起的攻擊不再成為發生在虛擬世界的孤立事件,而是成為了日常生活中的一個事實。
專家估計,通過社交網站傳播惡意代碼大約有10 %的成功率,這大大高于通過電子郵件傳播的方式獲得的不到1 %的成功率。
而社交網站不僅僅被利用來傳播新的惡意程序,還被用作數據的采集和各種各樣的新型詐騙,其中包括釣魚行為。最典型事件便是Koobface的流行;這種蠕蟲的首個變種于2008年7月被卡巴斯基實驗室檢測到,12月,這種蠕蟲不僅可以攻擊Facebook和MySpace的用戶,還能夠攻擊另一個受歡迎的社交網站Bebo的用戶。
2008年,竊取在線游戲密碼的惡意程序數量穩步上升: 在這一年確認的新游戲木馬數量達到100397個,是2007年( 32374 個)的3倍。
盡管絕大多數的在線游戲禁止出售虛擬資產以換取真實貨幣,但是買家的數量卻在不斷增加。一般來說,買主毫不關心虛擬資產是否是其他玩家贏來的還是通過惡意代碼偷竊的。因此,這樣的條件對于病毒編寫者來說無疑是如虎添翼,因而導致虛擬資產的價格上升并增加了虛擬資產市場的不法交易。
僅僅在幾年前, '僵尸網絡'這個詞只是被反病毒公司人員使用,但在過去的一年里,僵尸網絡儼然已成為一個普通的術語。僵尸網絡已成為垃圾郵件、DDoS攻擊和新惡意程序傳播的最主要來源。應當指出的是,僵尸網絡與本報告中強調的所有主題都有著直接的聯系:例如rootkit以及針對社交網站和網絡游戲的攻擊等。
因為目前的技術重點都主要集中在這塊領域,這一點并不令我們感到驚訝。最重要的是, 2008年發生的事件表明,這些問題存在著巨大的潛在隱患,而且在不久的將來,他們將繼續發展和演化。
關于此報告每章細節總概括如上。#p#
預測
顯而易見,當前存在的威脅在2009年是不會消失的,對在線游戲和社交網絡的攻擊也將繼續;惡意軟件技術將變得越來越復雜,僵尸網絡數量還會增加。同時,網絡犯罪作為一種商業交易和服務,也將得到進一步發展。
卡巴斯基實驗室專家對2009年相關趨勢的預測中還沒有給出嚴格的定義,但是對確認網絡威脅的發展將會起到重要的作用。
全球性病毒爆發
專家們曾經公認全球性長時間病毒爆發的時代將在2008年結束。這段時期從2000年開始,在2003-2005年間達到高峰,其特點是大量的蠕蟲病毒在全球爆發。這種蠕蟲最初使用電子郵件來傳播,然后一直到發展末期,都是通過網絡傳播進行攻擊。
2007-2008年間則是木馬程序的時代,用來竊取機密數據的木馬程序大幅增長,主要目標是網上銀行和在線游戲賬戶。不過,這一趨勢在今年可能會扭轉,也可能會出現更嚴重的事件,就規模上來說,存在超過前幾年的潛力。Kido網絡蠕蟲的蔓延就是這種爆發的首個鮮例。
現代的網絡犯罪行當已經進入了市場飽和階段,由于該市場上活躍的人數和團體過多,導致競爭加劇。盡管如此,在2009年,網絡罪犯仍然會越來越多。主要的原因是全球經濟下滑,失業人數增加, IT工作機會減少,一些項目的關閉導致許多高熟練的程序員正在失去工作或是收入下降。
而這部分人正是網絡犯罪分子積極招募的對象,同時,這種有吸引力的賺錢方式也引起了其他人的關注。由于這類人員所掌握的技術技能明顯高于大多數網絡犯罪分子,這勢必造成更加激烈的競爭。而在競爭激烈的網絡市場,想要生存下去,只有一種辦法,那就是以最快的速度感染盡可能多的計算機。為了達到這一目的,網絡犯罪分子將定期攻擊百萬以上的用戶計算機。
游戲木馬程序:活動跡象遞減
與大多數反病毒軟件公司的預測相反,卡巴斯基實驗室預計游戲木馬的活動將會減少。目前,游戲木馬的數量還在三位數以內。而事實上,這些程序很容易被創建,由于存在大量的潛在受害者,以及其他因素,導致游戲市場的網絡犯罪趨于飽和。
由于網絡犯罪分子之間的競爭越來越激烈,依靠偷盜虛擬資產來獲取利潤的行為也相應縮水。現在,反病毒公司能夠設法處理如潮水般涌來的游戲惡意程序,用戶也逐漸意識到安全的重要性,而游戲公司也已采取措施來制止非法行動,保護被盜的賬戶和虛擬資產。因此,一些新的網絡游戲惡意程序和創造他們的犯罪團伙數量將有所下降。
惡意程序2.5
惡意程序2.0已經被一種全新概念的模式所取代:也就是大量僵尸網絡系統的散播。這種模式是由俄羅斯黑客創造,并通過Rustock.c實施,Sinowal bootkit和一些其他的惡意程序進一步證明了這種模式的有效性和可靠性。該模式特點在于:
該僵尸網絡沒有一個固定的指揮和控制中心——這也就是所謂的'遷移的僵尸網絡'
在指令和控制中心以及與僵尸網絡中的設備通信之間使用強大的加密算法。
使用通用命令和控制中心來管理大量不同的僵尸網絡
這些技術是與僵尸網絡系統的創建和設備布置緊密聯系的,該系統可以搭載高負荷的大量數據運行(高負荷的架構) 。創建犯罪需要的高抵抗力分布系統需要網絡犯罪集團之間的劇烈競爭。而那些能夠為自己創建系統的惡意用戶將決定未來威脅的整體級別,而能夠熟練操作惡意軟件2.5模式的專業人員將會取代那些只會編寫文本的小混混。
釣魚行為/網絡詐騙
網絡詐騙和釣魚行為將會在互聯網上加快發展的腳步。由此導致網絡犯罪的攻擊也會更加復雜和縝密。以下的兩種情況將會對網絡詐騙和釣魚行為攻擊的增加產生影響。
首先,在經濟危機時期,當銀行面臨破產的時候,業主會面臨金額支出帶來的問題或者想要改變支出的方式,網絡詐騙分子只要能夠讓用戶相信假的信息,便會獲得相當多的機會。其次,研發和傳播新的惡意程序需要更復雜的技術,這會迫使網絡犯罪分子尋求更簡單、便捷的方法來獲取利潤,而釣魚行為或許是最具有吸引力的方法。
向新平臺進軍
網絡犯罪之間愈演愈烈的競爭,以及盡可能感染更多計算機的動機會驅使威脅目標向那些之前沒有鎖定過的其他平臺進行轉移。這將影響到所有的非Windows的平臺,預計最先被影響到的會是Mac 操作系統和移動通訊平臺。
此前,入侵這些平臺的惡意程序絕大多數是為了證明自己的存在;然而現在,這些平臺的市場份額所能帶來的利益對于犯罪分子來說已經有足夠的吸引力了。但目前與這些操作平臺關聯的安全事件還有很多沒有解決,用戶也還沒有對惡意程序的攻擊做好準備。
【編輯推薦】
