年中評估14項預測 解讀2010年安全趨勢
【51CTO.com綜合報道】在2009年進入尾聲時,賽門鐵克對2010年安全趨勢進行了一些預測。而今,我們對這過去的半年進行評估,看看到目前為止實際發生的事件是否如當初所料。
預測1
僅防病毒是不夠的 —— 2009年,隨著多種形態威脅的增加,以及獨特惡意軟件變種的爆發,業界迅速意識到,傳統防病毒的方式,如文件簽名、啟發式殺毒和病毒行為偵測等,已不足以應對今天的威脅。我們已經到了這樣一個轉折點:新的惡意程序產生的速度要遠遠快于合法程序得產生速度;同時,把注意力都放在惡意軟件的分析上已然行不通了。相反,將所有軟件文件納入安全監控的方法,如基于信譽的安全技術,將成為2010年的重點。
狀況:符合預測
理由:不出所料,單是去年一年,賽門鐵克就創建了2,895,802個新的惡意代碼簽名,比2008年增加了71%,其數量占賽門鐵克所創建的全部惡意代碼簽名的一半以上。此外,賽門鐵克識別出超過2.4億個新的獨特惡意程序,比2008年翻了一番。2010年這種上升勢頭還會繼續。僅今年上半年,我們就創建了180萬個新的惡意代碼簽名,并識別出逾1.24億個新的獨特惡意程序。
這意味著傳統安全技術要捕捉到每個新威脅的可能性越來越低;這些威脅的數量太過于龐大,即使安裝了自動化系統也無濟于事。那些無須捕捉和分析威脅就能夠對其防御的技術,如賽門鐵克基于信譽的安全技術,顯得愈發必要。在應對當今最流行威脅中發揮關鍵作用的其他安全方法還包括啟發式殺毒、病毒行為偵測和入侵防護技術等。 #p#
預測2
社會工程學成為首要攻擊載體——越來越多攻擊者直接追蹤終端用戶,披著“合法”的外衣,引誘用戶下載惡意軟件或透露敏感信息。社會工程學攻擊盛行的一個原因是,這與用戶電腦上的操作系統和網絡瀏覽器無關,因為攻擊的對象是實際用戶本身,而不一定是電腦上的漏洞。社會工程學已經成為目前所使用的主要攻擊技術之一,賽門鐵克預計,2010年,使用社會工程手段試圖發起攻擊的數量肯定會增加。
狀況:與預測相符
理由:該趨勢并非臆測而是有事實依據的。社會工程學可能是世界上第二古老的職業,在數字時代迅速躥紅也在意料之中。但其效率的提高歸功于Web 2.0。大量計算機用戶沉迷于社交網絡中的網戀,我們常收到期望“交朋友”或“崇拜者”之類的郵件。攻擊者正是利用網民的弱點巧布陷阱,引誘用戶去下載惡意軟件或透露自己的敏感信息。
釣魚攻擊是社會工程類威脅最典型的例子。2010年上半年,平均每476封電子郵件中就有一封包含了某種形式的釣魚攻擊。這些攻擊之所以更為危險,是因為它們與操作系統完全無關。由于對個人電腦的依賴性日益下降,釣魚使網絡罪犯能夠利用計算機用戶,無論這些用戶使用的是什么操作平臺。例如,2010年7月,賽門鐵克觀察到一個假冒是澳大利亞知名互聯網服務提供商的釣魚網站。用戶收到一封電子郵件,該郵件聲稱最近由于客戶聯系方式細節的變動,網絡服務提供商(ISP)無法驗證其賬戶。郵件中包含了假冒網站的鏈接,并要求用戶訪問該網站,以對重要的客戶信息進行確認,其中包括支付詳情,如信用卡號碼。在這種情況下,Windows和Macintosh操作系統用戶、甚至是手機用戶都容易上當受騙。
我們還看到在近期的一些高端攻擊中,社會工程類攻擊扮演了重要角色。例如,今年年初,針對大型企業組織的臭名昭著的Hydraq攻擊,就部分地使用了社會工程性電子郵件。攻擊者將這些郵件發送給企業組織內個人或小組,一旦用戶誤點擊惡意鏈接或打開附件,Hydraq 木馬病毒就會植入其電腦。#p#
預測3
流氓安全軟件商變本加厲 —— 2010年,我們將看到流氓安全軟件的傳播者更進了一步,甚至開始劫持用戶的電腦,使其癱瘓并趁機訛詐。傳播者還會提供一些看起來并非惡意、至多是有些令人懷疑的軟件。例如,賽門鐵克注意到,一些流氓防病毒軟件商將第三方免費防病毒軟件進行重新包裝,作為自己的產品進行銷售。在這種情況下,雖然從技術上來說,用戶是得到了自己所購買的防病毒軟件,但事實上這些軟件能隨處免費下載。
狀況:基本上與預測相符
理由: 流氓安全軟件仍是安全軟件行業及消費者所面臨的最大問題之一,但是,惡意應用軟件的傳播者們向用戶提出索要贖金,才幫助其解鎖計算機的違法案件并不常見。但是,這并不意味著惡意傳播者無所作為。
例如,賽門鐵克最近對一家名為Online PC Doctors(在線電腦醫生)的公司進行了調查,發現該公司通過熱線電話哄騙用戶說其計算機“被感染了”。一旦用戶上當,電話專員就會遠程連接該用戶的計算機進行檢查。接著就謊稱發現其電腦感染了嚴重的惡意軟件 。然后,電話專員會說Online PC Doctors能夠“解決”這些問題,當然不是免費的。用戶所要做的就是給Online PC Doctors發一封電子郵件,其中包括所有相關的支付信息以及信用卡詳情。#p#
預測4
社交網絡第三方應用軟件將成為詐騙的目標 —— 隨著社交網站有望今年再次實現前所未有的增長,針對網站用戶的詐騙活動數量也將增加。同時,這些網站的所有者會采取更為積極的措施來防范威脅。在這種情況下,隨著這些網站越來越多地為第三方軟件開發者提供登錄自己API的權限,攻擊者很可能會將目標轉向為社交網絡用戶賬戶提供的第三方應用軟件的漏洞。正如我們所見,隨著網絡瀏覽器變得更加安全,攻擊者會轉而更多地利用瀏覽器插件。
狀況:基本上與預測相符
理由:直接跟蹤很困難,但據輿論反應和賽門鐵克托管服務的網絡安全服務的URL分析顯示, 2010年社交網站觸發的惡意內容攔截數量比2009年有所增加。2009年,平均每451次網絡安全服務攔截就有1次是與社交網站有關的,而2010年這一頻率上升為每301次攔截就有1次與社交網站有關。
同時,最近還有不少關于各種目的的流氓應用軟件的報告,一些是用來傳播惡意軟件,另一些用于金融詐騙或利用計算機用戶發送垃圾郵件。例如,最近我們發現一個嵌入智商測驗的詐騙應用軟件,其目的是暗中將用戶注冊到某項手機收費服務,服務費每月10美元。
還有一個例子能夠說明這種趨勢發展迅猛。Facebook最近對自己的應用授權系統進行了升級,以降低此類詐騙及通過其網絡傳播惡意應用軟件的數量。現在,當一種應用程序要求獲得用戶基本信息或在用戶的個人頁面上發布信息時,用戶都會被告知。#p#
預測5
Windows 7 將成為攻擊者的目標——微軟已發布了新操作系統的首個安全補丁。不管發布前的測試工作做得多么徹底,只要是由人來編寫計算機程序,那么缺陷就是無法避免的。而且,程序越復雜,存在未被發現漏洞的可能性就越大。微軟的新操作系統也不例外。2010年,隨著Windows 7的上市,攻擊者毫無疑問會找到針對其用戶的新攻擊方法。
狀況:仍有可能
理由:到目前為止,只出現了一次針對Windows 7漏洞的大規模攻擊,這讓我們感到非常驚訝。值得注意的是,這種漏洞也存在于微軟支持的所有操作系統中。此次攻擊涉及一個名為Stuxnet的惡意軟件。該軟件利用的是Windows在處理超鏈接時存在的漏洞。雖然Stuxnet的傳播范圍有限,但由于它是第一個已知的針對SCADA系統的惡意軟件,所以引起了人們的廣泛注意。
Windows 7是微軟迄今為止銷量最好的操作系統。我們之所以還沒有看到針對該系統攻擊數量大幅增加的原因是,攻擊者永遠在尋找最簡單的方式。由于網絡瀏覽器及針對網絡的第三方應用及插件中存在很多缺陷,而這些缺陷更容易被利用,因此,攻擊新操作系統并不是侵入這些系統的首選方法。當然也有上述的個別例外情況。#p#
預測6
通過Fast Flux技術傳播的僵尸網絡數量增長——Fast Flux技術是一些僵尸網絡(如Storm僵尸網絡)使用的手段,目的是將釣魚和惡意網站隱藏在不斷變化的目標主機網絡之后,而這些目標主機往往是作為代理在發揮作用。。它綜合使用了對等網絡、分布式指揮控制、基于網絡的負載平衡與代理重定向等技術,這樣一來,對僵尸網絡原始地理位置的跟蹤就變得非常困難了。雖然行業的應對手段使傳統僵尸網絡的效率不斷降低,但是我們仍預計未來會看到更多應用此方法發起的攻擊。
狀況:仍有可能
理由: 到目前為止,我們尚未看到使用Fast Flux技術發起的新的大規模攻擊。雖然希望這種趨勢能夠保持下去,但是今年才剛剛過去一半。我們已經觀察到一個利用此技術卷土重來的攻擊,那就是Storm僵尸網絡,它已經成為排名首位的僵尸網絡。Storm僵尸網絡將繼續使用Fast Flux技術,將網站域名隱藏在發送的垃圾郵件里的超鏈接中。
我們還看到了Spakrab等威脅的增加。這是一種通常用來發送垃圾郵件的后門木馬病毒,這種病毒使用與Fast Flux類似的偽裝手段,譬如,它利用動態 DNS供應商來掩蓋指揮控制服務器的地理位置。動態DNS是免費的,并易于安裝,攻擊者可以利用沒有靜態IP地址的目標主機,這樣一來,其物理位置就更難被發現了。
不管攻擊使用的是Fast Flux還是其他類似技術,如果無法確認攻擊源的位置,那么,攻擊就很難被阻止。因此,網絡罪犯為何大肆利用這些手段發起攻擊的原因也就不言自明了。#p#
預測7
URL縮短服務成為釣魚者最好的朋友——由于用戶通常無法知道一個縮短的URL到底會將自己引導到什么地方,有安全意識的用戶會在點擊時再三考慮,所以釣魚者將對鏈接進行偽裝。賽門鐵克已經發現了應用這種策略來發布具有誤導性應用的趨勢,并且這種趨勢還會愈演愈烈。同時,賽門鐵克預測,為了躲避反垃圾郵件過濾軟件,垃圾郵件發送者會利用縮短的URL來發動攻擊。
狀況:與預測相符
理由:如預測所示,垃圾郵件發送者越來越喜歡利用URL縮短服務。在2009年7月的高峰階段,有9.3%的垃圾郵件中含有由免費在線URL縮短服務提供的縮短式超鏈接,這相當于全球每天發送100億封垃圾郵件。然而,到了2010年4月,這一峰值幾乎翻了一番,達到所有垃圾郵件的18%,這也締造了迄今為止的歷史最高值。
不止是釣魚者和惡意軟件制造者會利用縮短的URL,來給那些無防范意識的電腦用戶下圈套,同時,我們還發現縮短的URL被用作讓原來的威脅起死回生的手段。之前提到過,2010年4月末和5月初,賽門鐵克發現Storm僵尸網絡死灰復燃。從新的Storm僵尸網絡發出的大部分垃圾郵件信息都包含了在線購藥網站的鏈接,這種垃圾郵件的數量在2010年5月8日達到了峰值,約占垃圾郵件總數的1.4%。這些鏈接大部分是以縮短的URL形式出現的。#p#
預測8
針對蘋果的應用程序、設備及其它移動設備的惡意軟件數量將增加——針對某一操作系統或平臺的攻擊數量與該操作系統或平臺所占的市場份額有著直接關系,因為惡意軟件制造者的目的是為了賺錢,他們始終想獲得最大的利益。2009年,我們看到蘋果的應用程序、設備和智能手機已經成為惡意軟件制造者的目標。例如,Sexy Space僵尸網絡針對的是Symbian移動設備操作系統,而OSX.Iservice Trojan針對的則是蘋果用戶。2010年,隨著蘋果的產品以及智能手機日益受到歡迎,更多的攻擊者會潛心制造能夠利用這些設備的惡意軟件。
狀況:仍有可能
理由:我們發現了一些針對Mac OS X操作系統的新的惡意軟件,但到目前為止還沒有一個是“驚天動地”的;我們也許永遠也不會看到“驚天動地”的惡意軟件,尤其是進入后PC時代之后。
在移動設備方面,目前為止已發現了300多個iPhone的漏洞,Android平臺上也存在十幾個漏洞,但除此之外,我們沒有發現大規模的移動安全威脅。盡管如此,隨著更多的應用程序涌入市場,而其中的一些程序是由新手程序員使用,如Google新的App Inventor for Android開發的,因此我們認為移動設備的安全完整性會受到影響。事實上,大眾化的移動平臺應用市場的迅速發展將成為未來移動安全威脅背后的主要驅動力。雖然我們不希望這樣,但今年的下半年這一趨勢將進入它的繁盛時期。#p#
預測9
垃圾郵件發送者破壞規則——隨著經濟的持續低迷,越來越多的人試圖利用《反垃圾郵件法案》的寬松限制做文章。我們將看到更多的企業出售未經授權的電子郵件地址名單,更多不正當的市場營銷者利用這些名單發送垃圾郵件。
狀況:基本上與預測相符
理由:雖然到目前為止尚未大規模爆發,但今年我們會看到更多的“灰色”郵件。舉例來說,此類灰色郵件可能是貌似合法并主動提供的新聞郵件。這些電子郵件通常為迎合《反垃圾郵件法案》而包含一個“選擇退訂”的信息,但事實上用戶很可能從未訂閱過相關的新聞,這說明郵件發送者是從不正當渠道得到這些郵件名單的。關于此類不請自來的灰色郵件,最常見的例子便是免費訂閱在線新聞的郵件。賽門鐵克最近進行了取樣分析,此類郵件中確實包含了“選擇退訂”條款,因此也就遵守了《反垃圾郵件法案》,但發送郵件的公司是否能馬上履行“選擇退訂”請求則是另外一回事了。#p#
預測10
隨著垃圾郵件發送者不斷應變,垃圾郵件數量將繼續波動——自2007年以來,垃圾郵件的數量平均增長了15%。雖然垃圾郵件的這種大幅度增長或許從長期看來不會持久,但顯而易見的是,只要經濟驅動仍然存在,垃圾郵件發送者們便不會善罷甘休。2010年,隨著垃圾郵件發送者們不斷變化,以應對日趨成熟的安全軟件以及有責任心的ISP和政府機構的干預,垃圾郵件數量將繼續波動。
狀況:與預測相符
理由:事實上,我們看到垃圾郵件發送者與反垃圾郵件發送者之間的“軍備競賽”一直在繼續。隨著諸如關閉Mariposa僵尸網絡等反垃圾郵件的勝利,垃圾郵件發送者們采取了諸如大量使用一次性及被劫持的URL等方式來予以還擊。雖然被識別出的垃圾郵件僅占全部郵件的一小部分,但是垃圾郵件的數量卻很龐大。#p#
預測11
專業化的惡意軟件——2009年,我們發現了極具專業性的惡意軟件,這些惡意軟件的目標是某些特定的ATM,這表明軟件的制造者具備了一定的專業知識,并了解如何利用這些專業知識。賽門鐵克預計2010年這一趨勢將持續,并有可能出現針對電子投票系統的惡意軟件,包括在政治選舉和公眾電話投票中使用的系統,如與真人秀電視節目和競賽相關的系統。
狀況: 仍有可能
理由:我們尚未看到專業化的惡意軟件大規模爆發,但是,有一些現象使我們有理由相信,這一趨勢仍將發展下去。例如,2009年末,在我們發布了自己的原始預測后,紐約的The Gouverneur Times報道了紐約漢彌爾頓縣“眾多投票者”所使用的電子投票機被發現感染了旨在破壞投票結果的計算機病毒。此外,之前提到的于2010年7月發現的Stuxnet病毒,其目的主要是為了盜竊SCADA相關文件,包括工業自動化布局設計和控制文件。
與最初預測有關的另一個需要注意的是,2010年4月,Rodney Reed Caverly因制造針對銀行計算機和ATM機的惡意軟件而被指控犯有計算機詐騙罪。他根據自己所掌握的有關計算機系統和自動提款機的專業知識,實施了此次犯罪活動,估計在被捕之前盜取了20萬美元甚至更多。#p#
預測12
CAPTCHA 技術將得到改進——隨著技術的進步,垃圾郵件發送者們通過自動流程破譯CAPTCHA代碼的難度越來越大。這樣一來,新興經濟體國家的垃圾郵件發送者們將發明新的方式,通過人工生成發送垃圾郵件的新賬戶,從而試圖繞過經改進的技術。賽門鐵克估計,被雇來人工建立這些賬戶的人,其報酬比垃圾郵件發送者成本的10%還要低,而“賬戶農夫”(account farmer)的收費為每1000個賬戶30-40美元。
狀況:與預測相符
理由: 2010年4月末,《紐約時報》報道,垃圾郵件發送者雇傭發展中國家的工人輸入CAPTCHA碼,人工生成用于發送垃圾郵件的新賬戶。這份報道顯示,每1000個解碼的CAPTCHAS付費從80美分到1.20美元不等。因此,我們承認,在人工費用方面,我們的預測不夠準確,情況比預想的還要糟糕。但是非常遺憾的是,在整體趨勢方面,我們的預測非常準確。#p#
預測13
即時信息垃圾郵件——隨著網絡罪犯開始尋求新的方式來繞過CAPTCHA技術,即時信息(IM)攻擊的受歡迎程度也與日俱增。即時信息威脅主要來自包含惡意鏈接的垃圾郵件,尤其是那些針對合法即時信息賬戶的攻擊。賽門鐵克預測,到2010年底,每300個即時信息中就有一個會包含URL。從整體來看,每12個超鏈接中就有一個會連接到已知的惡意軟件域名上。因此,即時信息中出現的每12個超鏈接中就有一個會包含被認為是可疑或是惡意的域名。而在2009年中期,每78個超鏈接中才有一個與惡意軟件域名相關。
狀況:與預測相符
理由:截止到2010年6月,賽門鐵克的數據顯示,每387個即時信息中就有一個包含了某種形式的超鏈接,而每8個超鏈接中就有一個是指向惡意網站的,例如包含某種形式、旨在對某一有漏洞的網絡瀏覽器或瀏覽器插件實施“過路式”攻擊的惡意軟件網站。#p#
預測14
非英語類垃圾郵件數量將增加——隨著全球范圍,尤其是發展中國家寬帶普及率的不斷提高,非英語國家的垃圾郵件數量也將增加。在歐洲的某些地方,賽門鐵克估計,本土化垃圾郵件占垃圾郵件發送總數的比例將超過50%。
狀況:明年更有可能
理由:進一步的分析顯示,一些域名收到的本國語言垃圾郵件的比例超過了50%,雖然平均水平還不得而知。某些域名(如.com)吸引的英語類垃圾郵件數量仍然多于頂級國家代碼類域名。雖然我們預測這一數字將增加,但許多非英語國家中的情形恰恰相反。例如,在巴西,本國語言垃圾郵件的比例一直是最高的,但這個比例卻未能像我們2009年末所看到的那樣繼續增長(2009年末約為41%)。事實上,在巴西本國的葡萄牙語類垃圾郵件比例已經下降為約29%。
【編輯推薦】
