根據(jù)谷歌安全瀏覽API服務(wù)收集的數(shù)據(jù)顯示，路過(guò)式感染是最常見(jiàn)的攻擊方式，而IP偽裝攻擊則不斷增加。

根據(jù)谷歌安全團(tuán)隊(duì)的最新報(bào)告顯示，攻擊者越來(lái)越多地開(kāi)始使用IP偽裝來(lái)感染網(wǎng)站的訪問(wèn)者，他們通過(guò)向惡意軟件檢測(cè)系統(tǒng)提供干凈的頁(yè)面來(lái)繞過(guò)檢測(cè)系統(tǒng)，同時(shí)讓網(wǎng)站訪客感染惡意軟件。

“在過(guò)去幾年，我們發(fā)現(xiàn)越來(lái)越多的惡意網(wǎng)站開(kāi)始采用IP偽裝的方式。為了繞過(guò)隱藏防御，我們以不同的方式來(lái)運(yùn)行我們的掃描儀以模仿正常用戶(hù)流量，”谷歌安全團(tuán)隊(duì)Lucas Ballard和Niels Provos表示。

谷歌的研究是基于其安全瀏覽API服務(wù)四年多以來(lái)收集的數(shù)據(jù)。谷歌安全瀏覽API是一個(gè)在線數(shù)據(jù)庫(kù)，包含很多已知的惡意操縱網(wǎng)頁(yè)和釣魚(yú)網(wǎng)站。Chrome以及Mozilla的Firefox和蘋(píng)果公司的Safari瀏覽器都在使用這個(gè)數(shù)據(jù)庫(kù)。

該搜索引擎巨頭對(duì)攻擊者使用的惡意軟件規(guī)避方法的分析主要基于約800萬(wàn)各網(wǎng)站的1.6億各網(wǎng)頁(yè)。

根據(jù)谷歌的報(bào)告(包括五年的數(shù)據(jù))顯示，截至2010年夏天，約16萬(wàn)各網(wǎng)站采用了隱藏域名。這項(xiàng)技術(shù)在兩年前達(dá)到頂峰，當(dāng)時(shí)游20萬(wàn)個(gè)網(wǎng)站使用了IP偽裝，比上一年增加了5萬(wàn)個(gè)網(wǎng)站。“這個(gè)高峰期恰逢大規(guī)模攻擊，上千個(gè)網(wǎng)站被感染并重定向到gumblar.cn，這有效地隱藏了我們的掃描儀，”谷歌在其報(bào)告中。“雖然隱藏頁(yè)的增加部分是因?yàn)槲覀兿到y(tǒng)中對(duì)隱藏域的檢測(cè)有所改進(jìn)，但我們相信這只是一般隱藏狀態(tài)的代表。”

攻擊者也有使用社會(huì)工程學(xué)和路過(guò)式下載攻擊的方法，根據(jù)谷歌表示，社會(huì)工程網(wǎng)絡(luò)攻擊試圖誘使用戶(hù)點(diǎn)擊鏈接或者下載軟件。來(lái)自網(wǎng)站的惡意軟件式瀏覽器的三大主要威脅介質(zhì)之一;釣魚(yú)攻擊和漏洞利用是另外兩個(gè)。NSS實(shí)驗(yàn)室最新調(diào)查顯示，IE9在捕捉社會(huì)工程惡意軟件攻擊方面表現(xiàn)最好。

但是谷歌表示，雖然社會(huì)工程學(xué)攻擊正在不斷被作為網(wǎng)絡(luò)惡意軟件的載體，但是在傳播惡意軟件的所有網(wǎng)站中只有百分之二真正使用了這個(gè)載體。惡意軟件通常是以假冒防毒軟件或者瀏覽器插件的形式。

“社會(huì)工程學(xué)的使用頻率顯著增加，并仍在上升，但是重要的是這種增長(zhǎng)是否會(huì)保持，”谷歌報(bào)告顯示。

路過(guò)式下載仍然是最流行的惡意軟件載體：在這種感染中，攻擊者利用瀏覽器或者瀏覽器插件中的一個(gè)漏洞來(lái)感染受害者。“我們對(duì)攻擊者利用的漏洞的分析表明攻擊者很快轉(zhuǎn)移到新的和更可靠的漏洞，并且支持續(xù)很短一段時(shí)間，直到新的漏洞出現(xiàn)。而其中一個(gè)例外就是MDAC漏洞，該漏洞在大多數(shù)利用包中仍然存在。”

并且JavaScript混淆也被用來(lái)繞過(guò)瀏覽器模擬器和AV引擎。

谷歌發(fā)現(xiàn)攻擊者在不斷調(diào)整他們的方法來(lái)繞過(guò)更常見(jiàn)的虛擬機(jī)蜜罐、瀏覽器仿真蜜罐、域名聲譽(yù)和防病毒引擎的檢測(cè)方法。“我們的試驗(yàn)證實(shí)了我們的假設(shè)，即惡意軟件編寫(xiě)者會(huì)繼續(xù)追尋可以混淆不同惡意軟件檢測(cè)系統(tǒng)的機(jī)制，”報(bào)告顯示。

報(bào)告全文下載(PDF格式)：http://static.googleusercontent.com/external_content/untrusted_dlcp/research.google.com/en/us/archive/papers/rajab-2011a.pdf

原文地址：http://www.darkreading.com/security/application-security/231500264/google-report-how-web-attackers-evade-malware-detection.html

【編輯推薦】

1. 以牙還牙是對(duì)付網(wǎng)絡(luò)攻擊的解決之道嗎？
2. 新一波DDoS僵尸網(wǎng)絡(luò)攻擊來(lái)勢(shì)洶洶
3. 秘籍：DDOS網(wǎng)絡(luò)攻擊的7種武器
4. 知己知彼 解析網(wǎng)絡(luò)攻擊五大步驟