从事网络犯罪并不复杂,也不需要特殊的技能。正是由于以上主要原因,导致网络犯罪成为了一个利润达几十亿美元的产业,并且具有自身的自给自足经济生态系统。
简介:网络犯罪的趋势和演化
作者:卡巴斯基实验室EEMEA全球研发和分析小组首席安全专家 Costin G. Raiu
简介:网络犯罪的趋势和演化
最近几年,互联网逐渐成为一个危险的领域。最初,互联网的设计初衷只是为了满足一小部分用户的需求。但互联网的增长速度大大超过其创建者的预料。目前,世界上有大约超过15亿互联网用户(http://www.internetworldstats.com/stats.htm)。而且由于互联网技术越来越成熟,用户数量还在持续增长。
一些犯罪份子也同样注意到了这一趋势,并且逐渐意识到通过互联网从事犯罪活动的这种“网络犯罪”行为有不少优点。
首先,网络犯罪承担的风险低。网络犯罪可以超越地理以及政治疆界,而执法机关很难抓到这种从境外实施犯罪的人员。此外,进行跨国界的刑事调查和诉讼成本太高,所以只适用于重大案件。其次,网络犯罪实施容易,互联网上有大量免费的关于网络攻击和病毒撰写方面的文档,所以从事网络犯罪并不复杂,也不需要特殊的技能。正是由于以上主要原因,导致网络犯罪成为了一个利润达几十亿美元的产业,并且具有自身的自给自足经济生态系统。
信息安全企业和软件开发商一直坚持不懈地同网络罪犯进行斗争。其目标是为互联网用户和合法软件提供安全保护。当然,网络罪犯为了对抗这些措施,也会经常转换策略,从而造成了目前的两个显著趋势。
首先,网络罪犯会利用恶意程序针对零日漏洞进行攻击。零日漏洞指的是还未来得及发布修复补丁的漏洞。如果未运行专门的安全保护软件,即使计算机系统已更新,仍有可能通过零日漏洞被感染。由于零日漏洞具有强大的潜在威胁,所以经常被当作是一种有价值的商品在黑市上进行买卖,其价格可高达数万美元。
其次,我们可以看到,专门用于窃取机密信息的恶意程序数量大增,并且能够在黑市买卖。这些恶意程序窃取的信息包括信用卡卡号、银行帐户信息、网站密码(例如eBay或PayPal),甚至包括《魔兽世界》这种在线游戏的帐号密码信息。
导致网络犯罪猖獗的一个明显原因是网络罪犯通过犯罪可以获取可观的利润。利润的驱使一直会促生新的网络犯罪技术。
除了上述发展趋势外,网络犯罪还有一个明显的趋势,那就是利用万维网网页传播恶意程序。进入2000年后的最初几年,曾经发生过几次由电子邮件蠕虫如Melissa引发的疫情,所以很多安全企业开始关注此类威胁并提供了解决方案,确保能够消除电子邮件所携带的恶意附件产生的危害。但有时候防护有些过当,甚至将邮件中附带的所有可执行文件都清除了。
最近几年,网页却成为了传播恶意程序的主要基地。恶意程序被放置在这些网站上,网络罪犯会诱骗互联网用户手动运行这些恶意程序,或者使用漏洞在浏览网页的用户计算机上自动运行恶意程序。
卡巴斯基实验室一直在对这一趋势进行监控,并且认为事态比较严重。
数据
在过去的三年里,卡巴斯基实验室一直对100,000-300,000个“干净”网站进行监控,试图追踪这些网站何时被感染并成为传播恶意程序的基地。由于越来越多的新网站注册,我们所监控的网站数量也随之增加。
上表显示了近几年受监控网站的最高感染率。2006年时,大约每20,000个网站中会有一个被感染的恶意网站,但到2009年初,大约每150个网站中就有一个被感染,可见其增长幅度非常大。网站的感染率总在目前这个数值波动,这有可能是已经达到饱和点,因为有可能被感染的网站都已经被感染了。但是,随着新漏洞的爆出或者网站攻击新工具的出现,感染率数值还是会上下波动。
感染网站的恶意程序
下面两个表格给出了2008年和2009年最常见的感染网站的恶意程序。
2008年感染网站的十大恶意程序
2009年感染网站的十大恶意程序
2008年,Trojan-Clicker.JS.Agent.h木马感染网站的数量最多,其次是Trojan-Downloader.JS.Iframe.oj木马。
示例:被Trojan-Clicker.JS.Agent.h木马感染后的页面源代码
被破译的Trojan-Clicker.JS.Agent.h木马源代码
Trojan-Clicker.JS.Agent.h木马所使用的网站注入感染技术非常典型,是2008年最常见的感染手段,在2009年的使用也非常普遍。首先,它会在网站中加入一小段JavaScript干扰代码,避免被检测到。从上图的代码中可以看到,干扰代码由简单的ASCII字符组成,是转换成hex代码的恶意代码。其解密后的内容通常是一个iframe,并且指向一个含有漏洞利用程序的网站。所使用网站的IP地址经常变化,使得网络罪犯可以经常变更恶意程序安置点。恶意网站的首页一般都包含针对IE、Firefox或Opera的漏洞利用程序。感染率仅次于Trojan-Clicker.JS.Agent.h的Trojan-Downloader.JS.Iframe.oj木马的工作方式与此类似。
2009年有两个比较有趣的案例。其中一个为Net-Worm.JS.Aspxor.a蠕虫。虽然这种蠕虫早在2008年7月就被发现了,但在2009年,才开始更为广泛的传播。这种蠕虫的工作原理是通过工具查找网站的SQL注入漏洞,然后通过漏洞插入恶意iframe。
另外一个案例是Gumblar漏洞程序。Gumblar的命名是基于一个被用来传播此恶意程序的中国域名。感染网站后,恶意程序会在被感染的网页中加入包含“gumblar”字符的JavaScript代码。所以如果网页代码中包含此字符,就表明网站已经被感染。
典型的Gumblar网站注入
如果对干扰代码解密,会发现Gumblar的代码如下:
解密的Gumblar代码
“gumblar.cn”这个域名已经被取缔,但不幸的是,幕后的网络罪犯已经转投其他新的域名继续进行类似的网络攻击。
感染网站的恶意程序
感染和恶意程序传播手段
目前,恶意程序感染网站主要有三种主要途径和手段:
首先,最普遍的是利用网站本身漏洞,例如SQL注入漏洞。该漏洞允许在网站上附加恶意代码。一些攻击工具,例如ASPXor就能够很好的针对这种漏洞进行攻击。这些攻击工具能够一次扫描上千个IP地址,并进行恶意程序注入。网页服务器的日志文件中经常能看到这种攻击留下的痕迹。
第二种常用方式是利用恶意程序感染网页开发者的计算机,从而对创建和上载的HTML文件进行监控,并且将恶意代码注入到这些生成的文件中。
此外,还可以通过使用盗号木马(例如Trojan-Ransom.Win32.Agent.ey)感染网页开发者或其他具有网站账户访问权限用户的计算机。通常,盗号木马会通过HTTP协议联系远程服务器,将从常见FTP工具如FileZilla或CuteFTP中盗取到的网站FTP帐号和密码发送出去。服务器端组件会将这些帐号密码信息记录于SQL数据库中。然后,基于服务器的工具会搜寻数据库中的数据,登录所有窃取到的FTP帐号,获取网站的检测页面文件,并将木马代码加入这些文件中,重新上传到网站。
最后一种感染方式中,网站服务的帐号木马等信息已经被窃取。即使网站开发者或浏览者觉察到网站被感染,并且清楚了恶意程序,很有可能第二天又会被重新感染。
示例:一个网站(*.*.148.240)从被感染,清除感染到又被感染的过程
还有一种情况经常发生,即不同的网络罪犯集团同时使用相同的漏洞或获取到了同一个网站帐号。他们之间会为了获取网站控制权互相斗争,将网站植入自己的恶意程序。下面为示例:
示例:一个网站(*.*.176.6)被多种恶意程序感染的扫描报告
首先,根据监测,该网站在2009年6月11日时没有被感染。而到2009年7月5日,发现被Trojan-Clicker.JS.Agent.gk感染。接下来,到2009年7月15日,一种名为Trojan-Downloader.JS.Iframe.bin的恶意程序被注入到网站。十天后,感染网站的恶意程序又发生了变化。这种现象相对来说很普遍,很多网站都包含不止一种恶意程序,而且很多都是被不同的网络罪犯集团放置。
一旦发现网站被感染,请采取下列措施:
确认所有具有网站服务访问权的用户,使用最新的互联网安全软件对上述用户的计算机彻底扫描,将发现的恶意程序清除
更改网站服务访问密码,并加大密码强度。高强度的密码包含字母、数字以及特殊符号,不容易被猜出
使用干净的备份文件替换染毒文件
找出可能被感染的备份文件并清除其中的恶意程序
按照以往经验,即使将感染网站中的恶意程序清除,也很容易再次被感染。但是,很多情况下,这种重复感染只会遭遇一次。虽然第一次被感染后所采取的应对措施看似效果不大,但发现第二次感染后,网站管理员就应该仔细调查感染原因。
转向合法网站
演化:转向合法网站
几年前,当网络罪犯刚开始通过网站进行恶意程序传播时,主要依赖的是所谓的不限上传内容的网站主机服务或利用窃取到的信用卡购买的网站主机服务。很多信息安全企业意识到这个趋势,开始共同努力尽可能关闭了几个主要恶意程序主机服务商(例如美国的McColohttp://www.viruslist.com/en/analysis?pubid=204792048和爱沙尼亚的EstDomains http://news.softpedia.com/news/ICANN-Terminates-Accreditation-of-Notorious-Malware-Hosting-Domains-Registrar-EstDomains-96713.shtml)。但是,仍然有一些的恶意网站存在,例如中国就有一些网站明显是恶意网站,但很难将其关闭。也许,目前恶意程序传播技术最重要的发展趋势是开始使用一些名声良好的合法域名进行传播。
行动
如上所述,在网络罪犯和信息安全企业进行的持续斗争中,适应性是一个很关键的要素。双方都在不断改变各自的策略,采取新兴技术,试图遏制对方。
当今的浏览器,比如Firefox 3.5、Chrome 2.0以及Internet Explorer 8.0本身都具备基于URL地址过滤的反恶意程序功能。这种设计可以保护用户免遭包含漏洞程序(包括已知或未知漏洞)的恶意网站的危害,或者保护用户身份不会被使用社交工程的网络罪犯窃取。
例如,Firefox和Chrome浏览器都会使用谷歌提供的免费URL过滤服务——谷歌安全浏览应用程序接口(http://code.google.com/apis/safebrowsing/)。截至到本文发稿时,谷歌安全浏览应用程序接口已经包含大约300,000个已知恶意网站记录以及超过20,000个钓鱼网站记录。
谷歌安全浏览应用程序接口在进行URL地址过滤时,并不采用入侵式方式,而是将每个URL地址发送到第三方进行验证。其工作原理同IE8的钓鱼网站过滤功能类似,都是将URL地址同已有的MD5值列表进行比对。为了增强这种验证方式的有效性,恶意网站列表需要经常定时更新,一般推荐更新间隔为30分钟。当然,这种验证方法也有一个不足,那就是恶意程序网站数量会超过MD5值列表中的条目。但是,为了保证恶意网站列表体积不至于过大(目前大小为12MB),列表只能收录那些用户最常遇到的恶意网站。这意味着即使在上网时使用了采用网址过滤技术的应用程序,仍然不能避免计算机在访问未收录到恶意网站列表中的恶意网站时被恶意程序感染。
无论如何,安全浏览技术的推广证明浏览器开发商已经意识到网站正在传播恶意程序这一趋势,并且已经开始采取对策。事实上,内置的安全保护功能已逐渐成为浏览器的标准配置。
结论
过去的三年里,大量原本干净的良性网站被恶意程序感染,其增长速度惊人。目前,互联网上恶意网站的数量是三年前的一百五十多倍。知名并且访问量大的网站是更多潜在受感染用户的资源储备,对网络罪犯来说,是一种非常有价值的利用渠道。通过这些知名网站进行恶意程序传播的效果比使用普通渠道效果要好得多。
以下是一些针对网站管理员的安全小建议:
网站账户要使用强度高的密码
使用SCP/SSH/SFTP代替FTP上传文件,这样可以防止密码通过互联网以明文形式传送
安装和运行安全解决方案
对网站数据多做几个不同的备份,一旦网站被感染,俄可以通过备份快速恢复
互联网用户如果不注意以下几点安全隐患,被恶意网站携带的恶意代码所感染的风险将大大增高。这些安全隐患包括使用盗版软件、不安装安全补丁、不运行安全解决方案以及对互联网威胁整体缺乏认知,同时缺乏防范威胁的基本知识。
盗版软件经常造成计算机被恶意程序感染。盗版的微软Windows系统通常不会自动更新最新的安全补丁,这就使得系统的漏洞完全暴露,便于网络罪犯利用漏洞进行攻击。
此外,旧版本的Internet Explorer(仍然被广泛使用)有很多漏洞。例如,任何恶意网站都可以利用未打补丁的Internet Explorer 6.0漏洞进行攻击。正由于此,所以一定要避免使用盗版软件,尤其盗版的Windows。
另外一种风险是不安装安全解决方案。即使系统本身已经是最新的,但恶意程序仍有可能利用第三方软件的零日漏洞感染系统。通常,安全解决方案的更新要比软件自身更新更为迅速和及时,而且即使处于漏洞爆发期,安全解决方案也能够提供多层次的安全防护。
虽然为计算机系统及时更新补丁对保护计算机安全很重要,但人为因素对于保护计算机安全所发挥的效果也不容忽视。例如,用户可能试图从网上下载和观看一段“搞笑视频”,但下载的却是恶意程序。一些网站如果未能通过漏洞感染用户计算机,甚至会故意使用这种伎俩诱骗用户进行下载,从而感染其计算机系统。所以,互联网用户应该对网上存在的安全隐患加强认识,并且要特别警惕Web2.0 社交网络相关的威胁,因为目前网络罪犯针对此类网站的攻击数量一直呈上升趋势。
下面是一些如何保护自己免遭网络攻击的建议:
不要下载盗版软件
保持所有软件更新,包括操作系统、浏览器、PDF阅读器、音乐播放器等
安装和使用安全解决方案(例如卡巴斯基全功能安全软件2010)
鼓励员工每月花一定时间浏览安全相关的网站,例如www.viruslist.com ,员工们可以从中学习到网络威胁相关知识以及如何防范威胁
最后要指出的是,预防远比治疗更为有效,所以建议采取适当的措施保护自己的系统更为科学。
网友评论