当前的攻击者组成愈发复杂且有组织性,并且开始采用与传统软件开发和商业实践相类似的方法。
威胁发展趋势
随着宽带网在一些新兴地区的发展,攻击者获得了更多的攻击目标,并逐渐将目标转向攻击这些之前未被攻击过的地区。攻击活动的区域性特征在某种特定类型恶意代码的散播上体现得尤为明显。在本次报告期间,44%的潜在木马攻击感染来自于北美地区,37%来自于欧洲、中东和非洲地区。欧洲、 中东、非洲地区由蠕虫导致的潜在感染占全球总量的43%,而北美地区仅占23%。
蠕虫区域性散播的一个原因是由于有些蠕虫在电子邮件信息中采用某个特定区域的标题和正文。例如,在本次报告期间,欧洲、中东和非洲地区最常见蠕虫排名第五位的Rontokbro蠕虫便采用印度尼西亚文撰写电子邮件。另外,在欧洲、中东和非洲地区排名前五十位的恶意代码样本之一Sober.AA群发电子邮件蠕虫,采用德文和英文撰写电子邮件进行传播。
传统的攻击活动包含一个单一的被感染目标,用以获得对计算机或存储信息的未授权访问。但是,当前的攻击技术变得更为复杂。赛门铁克发现相当多的攻击活动采用多层攻击的方式。这些攻击通常会首先建立一个据点随后展开相关攻击。
多层攻击的采用某种程度上说明以前的攻击方法已不再像过去一样有效,例如大规模网络蠕虫和拒绝服务攻击等。为了攻克强大的网络防御系统,例如入侵监测系统、入侵防御系统和防火墙,攻击者开始采用隐匿的攻击技术,例如采用木马攻击的多层攻击实现部分率先感染。恶意代码多层攻击的最明显的例子就是分层下载工具。
分层下载工具,又称模块恶意代码,通过下载和安装其他恶意代码到被感染的计算机上造成威胁。这种威胁允许攻击者根据自身需求将下载组件改变成任何类型的威胁。攻击者随着自身需求的改变,可改变任何后层组件,并将其下载来开展所需的任务。
多层攻击的采用是由于攻击终端目标的变革而导致的。过去三期的互联网安全威胁报告都曾提到,经济获利是攻击活动的主要驱使因素。这就是说,大多数攻击是以窃取数据和信息为目的,从而直接用于网络诈欺和盗窃,例如信用卡号或银行帐号信息,或是间接用于为执行诈欺活动创建各种必要的条件。
其中,后者最明显的例子就是身份盗用。赛门铁克发现许多多层攻击用于获取信息从而可以访问未经授权的信息。某些情况下,这种做法需要几个步骤。以前的攻击方法,例如大规模网络蠕虫和拒绝服务攻击已无法满足这一目标的要求。取而代之的是小规模的分层攻击。2007年上半年,根据赛门铁克的监测,排名前十位的分层下载工具中有八个是木马攻击。
威胁环境另一个特征就是近几年攻击者逐渐不再主动寻求攻击目标,而是试图引诱目标自动献身。这就是说攻击者不再试图闯入目标用户的计算机,而是转为感染可信赖的网站和应用,当终端用户被引诱访问这些网站或采用这些应用,攻击者便能够感染用户的计算机。
网络应用和Web2.0技术的采用使得这一趋势成为可能。网络应用是指以浏览器作为用户界面,以HTTP作为传输协议,并寄存于网络服务器中。例如基于网络的应用包括内容管理系统、电子商务套件(例如网上购物车实现)、网络日志、以及基于网络的电子邮件。
过去几年里,网络应用的部署越来越广泛,从而逐渐成为攻击目标,攻击者可通过采用简单的方法便可突破网络安全防护措施,例如入侵监测系统、入侵防御系统和防火墙。社会网络站点对攻击者来说可谓是收获颇丰,因其可以引导攻击者接触到大量的用户,并且其中大部分用户都相信该网站和内容的安全性。随着网络用户对于自动发出的电子邮件附件和其他引诱方式的警觉性逐渐提高,攻击者越来越多的以社会网络站点为攻击目标。
攻击者发现许多用户信任的网站存在大量的漏洞,因此同样的攻击可以从这些不同网站发出,从而轻松实现攻击。在本次报告期间,所有发现的漏洞中有61%是网络应用漏洞。这对于终端用户来说无疑会产生严重的影响,因为即便是著名的网站也无法完全信任。
赛门铁克互联网安全威胁报告一般会将安全活动作为不同的独立活动进行分析和探讨,例如互联网攻击、漏洞、恶意代码、以及钓鱼攻击、垃圾邮件和其他恶意活动。本次报告延续了这一结构。但是,在过去两个报告阶段,我们可以明显地看到,尽管这些威胁过去通常都是独立展开的,而攻击者现在重新定义其攻击方法,将其资产进行重新整合,用于创建起全球网络来支持共同协作的犯罪活动。也就是说,赛门铁克发现不同攻击方法之间开始趋于集中化。
随着攻击者越来越受到经济获利的驱使,攻击活动集中化可使其优化所有攻击方法的功能。例如,MPack整合了恶意代码、垃圾邮件和网页浏览器漏洞应用。多层攻击通常整合了原始木马攻击,通过下载后门程序,从而允许攻击者创建钓鱼攻击网站。这也就说明代码利用开发者、恶意代码撰写者、垃圾邮件发件人和钓鱼攻击者很有可能为了共同的目标一起协作,或是出现新型攻击者精通各种不同类型的攻击,尤其在攻击方法和动机方面具有较强的灵活性。
过去分散独立的攻击事件现在趋于互联。网络应用攻击所导致的结果已不再是简单的破坏,而是更多的融入到攻击活动网络中,包括客户端利用发送、僵尸网络散播、木马攻击、垃圾邮件、以及钓鱼攻击。
随着攻击集中化并且越加复杂,为计算机和企业网络提供全面的防护势在必行。在过去,不同部门通常负责企业网络防护的不同方面,包括桌面防护、服务器和网络运营、防病毒部门、以及反垃圾邮件团队。面对攻击活动的集中化,赛门铁克建议这些部门应当更加紧密的协作并实现信息共享,因为即便是一个单一的威胁便会对所有部门造成影响。(下一页)
网友评论