【51CTO.com 獨家譯稿】當伊朗總統馬哈茂德·艾哈邁迪－內賈德在去年11月份宣布該國的核計劃遭到軟件攻擊后，他證實了許多安全研究人員的猜測：原因是Stuxnet大爆發，篡改了控制處理鈾所用的離心機電機的關鍵系統。

內賈德對這起攻擊造成的影響輕描淡寫，但是安全研究人員認為，造成的破壞范圍要比他所說的廣泛得多。Eric Byres是專門保護制造和控制系統安全的Tofino工業解決方案公司的首席技術官兼聯合創始人；他表示，伊朗人訪問與保護工業控制系統安全有關的網站的流量穩步增長，這表明該國的IT專家在尋求解決持續性威脅的辦法。

Byres表示，伊朗人沒有辦法清除掉Stuxnet。他稱，從一臺機器上清除Stuxnet很容易，"但是在網絡上，Stuxnet就如同人間煉獄，因為它極具侵略性，能夠以各種各樣的方式來進行傳播。"

Stuxnet在去年7月份首次被確認，它可以攻擊四個之前未知的安全漏洞，通過USB存儲棒和網絡共享區來傳播。它可以感染用來管理工業控制系統的Windows系統，覆蓋嵌入式控制器，破滅破壞那些系統。

歡迎進入到未來的網絡安全世界：當今最先進、最成功的攻擊會是將來很平常的安全挑戰。網絡犯罪分子可能會試圖同樣謀求Stuxnet的這種能力：在網絡上持續潛伏，隱藏在嵌入式設備里面。他們勢必還會企圖仿效其他攻擊采用的手法；比如說，Zeus擅長于操縱瀏覽器會話，而Conficker可以做到不被關閉。

攻擊者們還在改變運作方式，采用新的方式來開發和傳播攻擊手法。網絡間諜行動日益利用社交網絡來尋找容易下手的目標。就拿網絡攻擊行動"極光行動"（Operation Aurora）來說，涉嫌來自中國的攻擊者利用社交網絡，鎖定了谷歌及其他公司的員工，然后向他們發送針對性的電子郵件，目的是感染那些公司的關鍵計算機。

此外，軟件開發人員社區在支持先進的即插即用惡意軟件，比如針對銀行的Zeus特洛伊木馬。像Conficker那樣動態生成的域將使得安全人員更難查明僵尸網絡的指揮和控制網絡。

Stuxnet的遺產

最后，與我們將來要面對的那種網絡攻擊造成的長遠影響相比，Stuxnet給伊朗核計劃造成的影響可能要小得多。賽門鐵克公司的全球情報網絡主管Dean Turner說，就Stuxnet而言，它變得不太像針對金融和電力等行業的攻擊，而是更像"有的放矢的攻擊"。"Stuxnet針對的是具體目標，即電機的變頻部件。"

安全專家長期以來就警告，嵌入式控制系統很容易受攻擊。2007年，美國能源部的測試表明，針對嵌入式系統的攻擊可以控制電力公司的發電機，引起發電機自毀。大多數工廠也由嵌入式系統和可編程邏輯控制器來控制。

在Stuxnet出現之前，這種危險還僅限于理論上的。而現在，凡是能接觸到代碼的人都有辦法來攻擊嵌入式系統。而且Stuxnet代碼廣泛傳播，感染了全球各地的計算機。Tofino公司的Byres說，Stuxnet為編寫可編程邏輯控制器的代碼提供了一堂"速成課"。我們遲早會開始看到各種各樣的"專門蠕蟲"伺機攻擊控制系統。

嵌入式系統通常把物理系統和數字系統連接起來，所以一旦攻擊者控制住了它們，也就控制住了關鍵系統。此外，代碼可以隱藏在嵌入式系統里面，讓攻擊得以持續存在，因而很難清理干凈。

托管安全提供商SecureWorks的首席技術官Jon Ramsey表示，私營公司不大可能長期不受到Stuxnet帶來的破壞，他提到"極光行動"就是襲擊私營公司的最先進攻擊的第一起事件。攻擊者通過"極光行動"表明："干嘛不攻擊行業企業……干嘛不攻擊擁有許多知識產權、在全球市場具有高度競爭力的大公司？"Ramsey如是說。#p#

攻擊者專業化

關于這些先進攻擊和所采用技術的知識在迅速傳播開來。一個主要原因是，攻擊者創建了自成體系的一整套聊天室、論壇、投件箱和技術刊物，以支持和擴大他們的攻擊行動。攻擊者在那里交流思想，培養特定的專長。某個小組幫助成員磨練攻擊流行軟件方面的技能；另一個小組編寫惡意腳本，植入到流行的惡意軟件里面。還有些小組致力于發展和維護僵尸網絡，企圖竊取數據。

Zeus就是證明這種專業化的一個典例。這個針對銀行的特洛伊木馬通過網絡釣魚和路過式下載攻擊，從合法網站傳播開來，它有一個龐大的生態系統，旗下的地下程序員編寫可植入Zeus的垃圾郵件傳播活動模板和可以利用特定漏洞的腳本工具包。犯罪分子可以購買一個腳本工具包來攻擊運行Mozilla Firefox瀏覽器的計算機，購買另一個腳本工具包來攻擊Adobe Acrobat的漏洞。Zeus的開放性更是推動了其普及程度，還大大增強了破壞能力。據賽門鐵克聲稱，現在Zeus的變種超過了9000個。

賽門鐵克的Turner表示，Zeus的一整套開發機制讓用戶可以花更少的錢搞更大的破壞。這是下面這個趨勢的一方面：網絡犯罪分子正變得更高效，對攻擊行動進行了優化，企圖從每次破壞事件中撈到最大的好處。邁克菲公司的全球安全戰略和風險管理主管Brian Contos表示，一些先進的惡意軟件會將與之競爭的、缺乏效率的程序從它們感染的系統上刪除，甚至還會給那些系統打補丁，目的是為了從被感染的機器撈到最大的好處。惡意軟件使用一臺計算機來從事多種不法勾當，比如竊取數據和獲取登錄資料。Contos表示，毫無防備的受害者看起來也從中受益，因為他們的機器運行更順暢了，但其實已經受到了感染。

攻擊者還在利用自動化技術來提高攻擊效率。他們不是攻擊世界上的每個互聯網地址，而是側重攻擊已知屬于運行容易受到攻擊的特定軟件（如WordPress）的計算機及其他流行博客平臺的地址。垃圾郵件發送者購買即開即用的垃圾郵件活動模板。而僵尸網絡經營者利用Web界面來監視和控制由受危及系統組成的網絡。

網絡攻擊軟件開發、支持和整個配套機制方面會出現所有這些創新，源動力是錢。許多網絡犯罪分子現在不是共享攻擊手法，而是變得更加隱秘，將自己的代碼和方法當成知識產權那樣來保護。

Contos表示，以前你要是參加DEF CON黑客大會這樣的會議，大家會共享工具。現在不再是這樣了。而現在他們忙于開發零日威脅，"因為他們想賺錢。"

明天的攻擊正在形成

適逢其時的攻擊

網絡犯罪分子攻擊手法的改變使得另一種攻擊：網絡抗議更容易組織和執行。我們也可以從最近針對萬事達、維薩和亞馬遜等網站的拒絕服務攻擊中一窺網絡犯罪的未來，這些攻擊是為了報復這些網絡拒絕與維基解密網站有業務往來。

雖然網絡抗議和拒絕服務攻擊不是什么新攻擊，但支持它們的技術變得越來越好，也工具變得越來越先進--這個趨勢會繼續下去。比如說，一個名為Anonymous的組織實施的維基解密攻擊采用了一種名為低軌道離子加農炮（LOIC）的程序。該程序讓任何抗議者只要輸入IP地址，都能加入針對目標網絡或系統的攻擊大軍。

[[18694]]

互聯網安全公司Renesys的副總裁兼總經理Earl Zmijewski表示，三個因素導致了分布式拒絕服務攻擊屢屢得逞。首先，受到攻擊的系統擁有比以往任何時候都要多的帶寬，所以攻擊者只要危及比較少的系統，就能對目標造成相當大的影響。其次，許多用戶繼續在運行舊軟件，因而攻擊者更容易接管他們的計算機，讓它們成為僵尸網絡的一員。第三，目前還是沒有輕松的辦法來對付拒絕服務攻擊。雖然內容分發網絡能起到幫助，但最有效的防御還是使用一個專門的網絡，在惡意流量進入到目標服務器之前先將它們過濾掉。

由于這三個因素，僵尸網絡經營者擁有了巨大威力。邁克菲的Contos表示，比如說，Conficker危及了640萬個系統，為它提供了每秒28 TB（注：1TB＝1012字節）的聚合帶寬。他說："這超過了亞馬遜和谷歌的帶寬總和--這實在太大了。"

安全威脅正將自己安插到用戶與互聯網之間。這種"瀏覽器中間人"（man-in-the-browser）攻擊--針對銀行的Zeus特洛伊木馬廣泛使用這種攻擊--讓攻擊者可以控制用戶能看到的一切。如果用戶依賴被Zeus感染的計算機，他會誤以為自己將100美元的電費劃到電力公司賬戶，實際上7000美元被劃到了另一個地方屬于網絡犯罪團隊某個成員的賬戶。用戶確認交易后，他看到的只是付款100美元，而實際上銀行接到的是轉賬7000美元的請求。

銀行安全公司Trusteer的首席技術官Amit Klein說："你從來不知道自己受騙上當，等到上銀行分行查賬后才恍然大悟。這種伎倆最先由其他惡意軟件采用；但是拜Zeus所賜，這種伎倆現在變得極其普遍。"

Zeus及其他威脅在避開旨在消除銀行詐騙的保護措施，比如雙因子驗證。由于攻擊是實時進行的，而且從受害者的計算機上發動，所以常規保護措施不管用。

更好的防御

許多公司想當然地以為，僅僅遵守法律要求的安全控制措施就夠了。但是單單遵守還不行。SecureWorks的Ramsey表示，先進的威脅會避開眾所周知的安全要求。要是每個人都使用同樣的技術和控制措施，"那么犯罪分子就會改動攻擊手法，破壞那些類型的防御機制，"他說。

美國聯邦存款保險公司要求銀行應使用雙因子驗證和加密技術，正是這一要求促使犯罪分子開發出了Zeus，以避開那些保護措施。惡意廣告是表明攻擊者在避開防御機制的另一個例子，這種網上廣告把點擊廣告的用戶引到惡意網站。這些攻擊避開防火墻的手段是，通過互聯網進入。據SecureWorks聲稱，許多公司發現互聯網是第一大攻擊途徑。

Trusteer的Klein表示，像反病毒軟件這些常規防御機制對付先進的攻擊效果并不好。Stuxnet在傳播了一年多后才被發現；Zeus經常避開基于特征的防御機制。

賽門鐵克的Turner表示，公司需要全面的防御，而不是僅僅需要技術。他說："我們必須開始討論我們該如何在網上共享信息、如何使用安全系統。政策及實施與技術本身來得一樣重要。"

保護網絡邊界是關鍵，但由于像iPad和iPhone這些消費級移動設備進入到公司企業，連保護邊界這項工作都變得更為復雜。Turner表示，隨著個人設備與企業之間的界線日益模糊，"我們已增加了我們的機密數據或企業數據擁有的接觸點的數量。"

公司不但要找出潛在威脅，還要找出最寶貴的資產。SecureWorks的Ramsey表示，公司需要了解威脅、這些威脅要攻擊的目標，以及威脅如何攻擊目標。

公司還必須確定有多少用戶和系統可以訪問重要信息、哪些對象值得保護。Turner表示，它們必須實施一套數據分類系統，確定最寶貴的知識產權，然后將安全經費和人員重點投入到這部分數據上。與試圖一視同仁地保護所有數據相比，企業成功保護一小部分數據的可能性要大得多。

IT經理也不能再忽視網絡上計算機和路由器之外的其他部件。安全研究人員已證明，越來越像小型服務器的打印機可以作為進入企業網絡的跳板，而Stuxnet正是通過嵌入式控制器一路傳播的。

Turner說："我們不得不開始考慮技術的不同部分。閥門歸工程師管理，而網絡歸IT人員管理，"我們必須讓它們可以說相同的語言。

公司還必須關注更好的檢測和響應機制。Ramsey表示，網絡異常檢測和情報服務可以識別在企業網絡已成功找到立足點的攻擊。但檢測并不能有效地防御這些攻擊。他說："阻止攻擊所需的成本低于清理攻擊所需的成本；攻擊潛伏時間越長，重新控制自己的IT系統所需的成本就越高。"

如果關注一下將來司空見慣的先進攻擊，防范工作顯得尤為重要。正如Stuxnet告訴我們的那樣，這類程序持續時間越長，造成的破壞就越大。最終，防御人員必須完善防御機制，以便時時比壞人搶先一步。#p#

嚴加防范，應對將至的威脅

不要單單遵守。法律要求的安全控制措施很少足夠安全。

擴大關注范圍。技術不是安全工作的全部；還要關注政策及實施。

保護移動用戶。所有那些新設備都讓你的數據面臨風險。

分析你的數據。確定自己的最寶貴信息，然后重點保護這部分信息。

仔細觀察一切。數字系統和物理系統的所有部分現在都面臨風險。

[[18695]]

2011年會是Mac攻擊盛行的一年？

今年，網絡犯罪分子可能會將注意力轉向Mac，這是他們之前基本上沒去碰的一種平臺。Steve Santorelli以前是倫敦警察廳的一名偵探，現在是安全研究組織Team Cymru Research負責全球對外聯系的主管，他表示，俄羅斯黑客雜志《Xakep》里面的幾篇文章著重介紹了如何攻擊Mac OS X操作系統，表示東歐的黑客們可能已經在開發攻擊技術。

由于很少面臨威脅，大多數Mac用戶并沒有運行反惡意軟件程序。Santorelli說："要是有人在明年推出了瀏覽器漏洞包，我們會看到許多人會被感染。所以，你最后會遇到針對OS X的Zeus。"

蘋果公司嚴格控制Mac、比較簡單的代碼以及比較出色的安全模型，這讓OS X比Windows來得安全。據Santorelli聲稱，但OS X并不是從根本上比Windows 7更安全的一款操作系統。針對OS X的惡意軟件之所以數量比較少，原因在于面向OS X的應用程序數量少得多。

2008年，計算機科學家Adam O'Donnell利用博弈論推算出：一旦Mac機占到計算機安裝總量的大約17%，惡意軟件對OS X來說就會開始成問題。據NetMarketshare.com網站聲稱，如今，Mac機約占美國計算機安裝總量的11.5%，約占全球安裝總量的5%。

有跡象表明地下犯罪分子對Mac產生了興趣，這表明蘋果用戶要小心了。去年10月，Koobface病毒的一個版本攻擊了OS X用戶，該病毒在Facebook用戶中廣泛傳播。攻擊者利用了Mac機上Java軟件存在的漏洞，將Mac機變成了僵尸網絡的指揮和控制服務器。

原文鏈接：http://www.darkreading.com/insider-threat/167801100/security/vulnerabilities/229100054/next-generation-threats-the-inside-story.html

【51CTO.com獨家譯稿，非經授權謝絕轉載！合作媒體轉載請注明原文出處及出處！】

【編輯推薦】

1. 內網網絡安全的解決之道
2. 2011年網絡安全預測 精確打擊與“社攻”當道
3. Stuxnet蠕蟲攻擊方法簡介
4. 微軟修復嚴重的瀏覽器漏洞和Stuxnet惡意軟件漏洞