赛门铁克第13期《互联网安全威胁报告》

赛门铁克近日发布了第十三期《互联网安全威胁报告》。

安全威胁变化

赛门铁克《互联网安全威胁报告》提供了过去六个月中互联网威胁活动的最新动态，包括分析基于网络的攻击，考察已知的漏洞，重点介绍恶意代码，还探讨了网络诈欺（包括网页仿冒攻击、垃圾邮件）的大量事件。最新的《互联网安全威胁报告》研究成果就即将发生的威胁和当前发展趋势对读者发出警报。此外，它还为防止和消除这些问题提供部分建议。本期报告涵盖了2007年7月1日到2007年12月31日六个月的时间周期。

赛门铁克已建成几个全球最为全面的互联网威胁数据来源。Symantec™全球智能网络（Global Intelligence Network）包含赛门铁克DeepSight™威胁管理系统，Symantec™ 托管安全服务以及，由分布在180多个国家/地区的40,000 多个传感器组成，监控网络活动并全面追踪整个互联网上的攻击活动。

此外，赛门铁克还从已部署赛门铁克防病毒产品的1.2亿个客户端、服务器和网关系统中收集恶意代码数据以及间谍软件和广告软件报告。赛门铁克拥有并维护全球最全面的安全漏洞数据库，涵盖可能危及8,000多家厂商55,000多项技术的25,000多个漏洞。赛门铁克还负责BugTraq的营运——BugTraq是互联网最热门的漏洞披露及讨论论坛之一，大约拥有50,000个直接用户，他们每天提供、收到并讨论有关漏洞的研究。

最后，拥有200多万个诱饵帐户的赛门铁克探测网络（Symantec Probe Network）系统自动接收来自全球30多个不同国家的电子邮件，从而使赛门铁克能对全球的垃圾邮件和网页仿冒活动进行评估。赛门铁克还通过赛门铁克网页仿冒报告网络(Phish Report Network)收集网页仿冒信息，这是一个由企业和消费者组成的全面的防欺诈社区，其成员可以提供和接收欺诈性的网站地址，通过各种解决方案发出警报及进行过滤。

这些资源为赛门铁克的分析专家在鉴别分析数据方面提供了巨大优势，同时在仿冒信息、恶意病毒攻击等趋势方面提供详细注解。赛门铁克《互联网安全威胁报告》旨在为企业和个人消费者提供保护其系统安全现在和将来所需的信息。

存档信息

随着安全管理员和终端用户逐渐采用新的方法来应对安全威胁，攻击者必须采取前所未有的方式进行攻击，从而导致安全现状不断变化。这一随之而来的变化在2007年下半年十分显著。根据本报告阶段收集的数据，赛门铁克检测到当前安全威胁现状主要有以下特征：
恶意活动转而基于网页进行攻击
攻击者更多针对终端用户而非计算机
成熟稳固的地下交易体系
攻击者和攻击活动具备快速的适应性

过去，传统的攻击活动主要采用广泛传播的方式，攻击都以联网计算机为目标。但是，随着管理员和供应商采用防火墙和入侵检测/防护系统来增强边界防护，攻击者因而开始寻求新的方法。攻击者开始采用更为隐秘、更具针对性的技术，通过万维网攻击单个计算机，过去深入网络进行大范围高密度攻击的方式已经过时。这一现象部分原因在于企业网络上受到影响的计算机极易被发现然后关闭。另一方面，在终端用户计算机和网站上进行的所有活动极易被检测。出于这些考虑，赛门铁克监测到大多数有效的恶意活动逐渐转变为基于网页的方式：网页已成为攻击活动目前的主要管道。

针对具体站点的漏洞正能够表明这一趋势。这些漏洞能够影响特定站点定制或私有的代码。2007年下半年，赛门铁克共监测到11,253个针对具体站点的跨站点脚本漏洞，远远超过同一时期的2,134个传统漏洞。

这些漏洞之所以值得注意，是因为它允许攻击者攻击某些特定站点，并基于此引发一系列针对使用者的攻击。这种方法对于发起多层级攻击并利用客户端漏洞十分有效。

赛门铁克还监测到攻击者尤其会以终端用户长期信赖的网站为目标，例如社交网站。这便增加了攻击成功的可能性，因为用户大多都会允许可信赖的网站在其计算机上执行代码或打开从该站点下载的文件。攻击者通过攻击这些网站还能够窃取用户个人信息或发动大型攻击，因为他们能够通过受感染的社交网络迅速大量传播。这也是攻击者转向采用针对具体站点漏洞的原因。

赛门铁克还监测到越来越多的恶意活动从针对计算机开始转向针对终端用户。具体说来，攻击者针对的是终端用户的机密信息，从而可用于诈欺活动获取经济利益。这也是赛门铁克在过去两年中监测到恶意活动转向以经济获利为目的而带来的副作用。

许多针对机密信息的威胁专门针对终端用户。例如，按键记录就是针对用户输入的所有机密的敏感信息。它能够直接影响用户的机密信息，而非影响存储或传输信息的计算机或系统。

2007年下半年，赛门铁克监测到与身份、信用卡和其他金融相关细节的数据在地下交易服务器销售的商品中占44%。银行帐号是地下交易服务器是最常出现的商品，占22%，较2007年上半年占21%有所增长。

2007年下半年银行帐号仍然流行的原因之一很可能是由于银行木马感染的数量大幅增加。潜在的银行木马感染较上一报告期增长了86%，大多是由于在本次报告期银行帐号信息被盗次数以及地下交易服务器的销售数量不断增加。

地下交易系统

在上一报告期，赛门铁克不断谈到的一个话题就是恶意活动趋于专业化和商业化。在本次报告期，这一趋势仍然存在，因此赛门铁克认为这必然涉及了一个成熟稳固的地下交易系统。这种交易具备目前传统交易的一些特征，包括：
产品与服务的专业化生产和供应
生产外包
多元化定价
适应性业务模式

产品与服务的专业化实际上表明了该种交易已经十分成熟稳固。专业化的产品与服务生产意味着每个人将更专注于某一个具体的任务或作业，主要有两个原因：一是该种交易模式已经趋于稳定，每个人能够成功的专注于某个特定领域；二是能够通过个体或团队专门进行一项活动而充分提高交易效率。

2007年下半年，赛门铁克共监测到499,811个新型恶意代码威胁，与上一报告期的212,101个新型威胁相比增长了136%，而2006年下半年的数量仅为571。2007年，赛门铁克共监测到711,912个新型威胁，与2006年的125,243相比增长了468%。因此，截至2007年年底，赛门铁克共监测到的恶意代码威胁总数为1,122,311。这表明目前监测到的恶意代码威胁中有三分之二是2007年出现的。

过去一年新型威胁的显著增加主要是由于专业恶意代码开发人员的出现以及存在某些组织雇用程序员专门开发威胁。这也反映了专业化恶意活动的增加，于是导致专业恶意代码开发人员获得成为需要。

一群专业程序员于一个恶意代码开发人员相比能够创建更多新型威胁，致使交易不断扩大，从而增加了投资回报率。许多威胁能够通过盗取机密信息进行在线销售而获取经济利益。这些获利便可用于支付程序员持续开发新型威胁。所有这些活动导致大量新型威胁代码样本的产生影响在线用户。

专业化的恶意产品与服务生产的实现是由于外包模式的恶意活动开发导致的。外包模式是由他人或其它组织提供某种服务，这种做法通常能够实现经济效率最大化或获取该组织不具备的某种技能。

地下交易系统中至少有两项活动能够表明这一现象。首先，之前提到的新型恶意代码威胁的显著增加表明恶意代码开发人员被雇佣开发新型样本。其次，自动化钓鱼攻击toolkit的持续使用。钓鱼攻击toolkit是一系列脚本文件允许攻击者自动设置钓鱼网站伪装成不同品牌的合法网站，包括与该品牌相关的图片和标志。这些套件是由某个组织或个人开发的，并在地下交易系统中进行出售。这些复杂的钓鱼攻击套件一般难以获取且十分昂贵，通常是由有组织的钓鱼攻击者购买和利用，而非一般用户。

成熟稳固的交易系统主要以某个特定业务模式进行开发和执行为特征，能够适应当前交易中的流行趋势。赛门铁克监测到企业和个人目前在地下交易系统中的操作开始改变其业务模式或采用新型方式以应对威胁状况的变化。

地下交易系统目前以定价方式为特征，主要是受到市场的影响，尤其是供需关系。地下交易系统中的定价方式经常以增值目的为条件。例如，包含高额收支余额银行帐号信息要比其他帐号更有价值，例如商业帐号、欧盟帐号等。此外，某些情况下，银行帐号如果捆绑了个人信息，例如姓名、地址和出生日期等，与没有捆绑任何信息的帐号相比价格要高出许多。

威胁状况与过去相比毫无疑问更具变化性。这是由于攻击者和攻击活动对于不断开发的安全防护措施具备快速的适应能力所导致。

还有一些现象表明攻击者重新选择攻击目标，主要针对缺乏安全实践、法规和基础架构不够完善的地区。赛门铁克监测到，在宽带网连接刚刚出现或快速扩展的地区，互联网服务供应商更加专注于满足增长的用户需求，而忽略了确保足够的安全措施。此外，在这些地区，用户和管理员对于最佳安全实践较为陌生。由于这些地区的互联网基础架构缺乏或相对较为初期，相应的法规和法律执行也未能实施到位。

攻击者转向针对潜在不够安全的地区会导致攻击活动的进一步区域化。例如，一些国家和地区过去与恶意活动毫不相关，却在本报告期在许多类别中都有涉及。

报告要点

攻击趋势
•在本次报告期，美国是恶意活动最多的国家，占31%，与2007年上半年的30%相比有所增长。
•2007年下半年，美国是攻击来源最多的国家，占全球总量的24%，与2007年上半年的25%相比有所减少。
•2007年下半年，秘鲁是按宽带用户计算恶意活动发生率最高的国家，占9%。
•注册意大利电信IP地址的计算机占全球恶意活动最大比例，为6%。
•在本次报告期，教育行业在数据泄漏导致身份盗用方面占24%，高于其它任何行业。这与上一报告期的30%相比有所下降。
•政府机构在身份泄漏方面占总量的60%，与2007年上半年的12%相比显著增长。
•在本次报告期，计算机以及其它数据存储介质的失窃或丢失是大多数数据泄漏导致身份盗用的原因，占总量的57%，并且在2007年下半年占身份泄漏的61%。
•根据赛门铁克的监测，美国是地下交易服务器最多的国家，占全球总量的58%，与2007年上半年的64%相比有所下降。
•根据赛门铁克的监测，银行帐号在地下交易服务器中最常被宣传售卖，占所有商品的22%，与2007年上半年的21%相比有所增长。
•2007年下半年，赛门铁克监测到平均每天有61,940台感染僵尸网络的计算机，与上一报告期相比增长了17%。
•2007年下半年，感染僵尸网络的计算机平均生命周期为4天，与2007年上半年相同。
•美国感染僵尸网络的计算机数量最多，占全球总量的14%，与2007年上半年的13%相比略有增长。
•马德里是全球感染僵尸网络计算机数量最多的城市，约占全球总量的3%。
•2007年下半年，赛门铁克共监测到4,091个僵尸命令控制服务器，与上一报告期的4,622个相比减少了11%。其中，45%位于美国，多于其它任何国家。
•美国是拒绝服务攻击的主要目标国家，占全球总量的56%，与2007年上半年的61%相比有所下降。

漏洞趋势
•不包括针对具体站点的漏洞，赛门铁克在2007年下半年共监测到2,134个漏洞，与2007年上半年相比减少了13%。
•本次报告期监测到的漏洞中有3%为高度严重性漏洞，61%为中度严重性，36%为低度严重性。2007年上半年监测到的漏洞中，高度严重性漏洞占9%，中度严重性占51%，低度严重性占40%。
•2007年下半年监测到的漏洞中有58%能够影响网页应用，与2007年上半年的61%相比有所下降。
•本次报告期监测到的漏洞中有73%属于极易被利用的漏洞，2007年上半年为72%。
•除了Apple和Sun以外，操作系统供应商平均补丁开发时间都有所缩短。微软的补丁开发时间最短，为6天；Sun的补丁开发时间最长，为157天。
•2007年下半年，微软、惠普和Sun有一半以上的中度和高度严重性漏洞已经打上补丁，这些漏洞为网页浏览器和客户端漏洞。2007年上半年，除Apple以外，网页浏览器和客户端漏洞在已经打上补丁的操作系统漏洞中占大多数。
•2007年下半年，企业级供应商的空窗期为46天，而上半年为55天。
•2007年下半年，Safari在网页浏览器中的空窗期最短，平均低于一天便能够为18个漏洞打上补丁。Safari在2007年上半年的空窗期也是最短，平均三天能够为13个漏洞打上补丁。
•2007年下半年，Mozilla浏览器共有88个漏洞，Safari有22个，微软IE浏览器有18个， Opera有12个。在上一报告期，IE浏览器共有39个漏洞，Mozilla浏览器有34个，Safari有25个，Opera有7个。
•2007年下半年，赛门铁克共记录了239个网页浏览器插件漏洞，而2007年上半年为237个。2007年下半年，这些漏洞中有79%能够影响Active X组件，而上半年为89%。
•2007年下半年，有58%的漏洞能够影响网页应用，与2007年的61%相比有所下降。
•2007年下半年，赛门铁克共监测到11,253个针对具体站点的跨站点脚本漏洞，而上半年仅为6,961个（上半年从二月开始计算）。
•2007年下半年，赛门铁克共记录了9个零日攻击漏洞，都能够影响Windows平台的第三方应用，而2007年上半年零日攻击漏洞的数量为6个。
•2007年下半年，未打补丁的企业级供应商漏洞有88个，与2007年上半年的81个相比有所增长。微软在这两个报告阶段具有最多未打补丁的漏洞。
•2007年下半年，赛门铁克共记录了92个漏洞能够影响安全产品，与上半年的113个相比有所下降。在这92个漏洞中，有15个高度严重性漏洞，48个中度严重性和29个低度严重性。

报告要点

恶意代码趋势
•2007年下半年，赛门铁克共监测到499,811个新型恶意代码威胁，与2007年上半年相比增长了136%。
•2007年下半年，在排名前十位的新型恶意代码中有5个木马攻击、2个蠕虫、2个包含后门组件的蠕虫、以及1个包含病毒组建的蠕虫。
•2007年下半年，木马攻击在排名前五十位的恶意代码样本中占71%，与2007年上半年的73%相比有所下降。
•欧洲、中东和非洲地区的蠕虫感染占全球总量的43%。
•在本次报告期，北美地区的木马攻击占全球总量的46%。
•根据赛门铁克的监测，针对机密信息的威胁在排名前五十位的潜在恶意代码感染中占68%
•本次报告期，在所有机密信息威胁中，有76%包含按键记录组件，86%具有远程访问功能，均与上一报告期的88%相比有所下降。
•通过可执行的文件共享进行传播的恶意代码占40%，与2007年上半年的14%相比有显著增长，同时也使这种方法成为本次报告期最为常见的传播机制。
•在本次报告期，排名前五十位的恶意代码样本有7%能够修改网页，与上一报告期的3%相比有所增长。
•2007年下半年所记录的1,032个恶意代码样本中，有10%是通过利用漏洞，与2007年上半年1,509个恶意代码中占18%相比有所下降。
•在本次报告期，排名前十位的分层下载工具中有7个木马攻击，2个蠕虫以及1个包含滤过性毒菌感染组件的蠕虫。
•在本次报告期，排名前十位的下载组件中有8个是木马攻击，另外2个是后门程序。
•以在线游戏为目标的恶意代码占排名前五十位的恶意代码样本潜在感染的8%，而上一报告期为5%。

钓鱼攻击趋势
•赛门铁克探测网络（Symantec Probe Network）共监测到207,547条钓鱼信息，较2007年上半年增加了5%，相当于2007年下半年平均每天出现1,134条钓鱼信息。
•在用于钓鱼攻击的的品牌中，有80%来自金融行业，上一报告期为79%。
•在本次报告期，有66%的钓鱼攻击网站假冒金融服务品牌，与2007年上半年的72%相比有所下降。
•2007年下半年，66%的钓鱼攻击网站位于美国。其中，91%的钓鱼攻击是以两大社交网站为目标。
•钓鱼攻击网站最常使用的顶级域名为.com，占44%；位居第二的是.cn，占23%。
•在本次报告期，赛门铁克在全球共监测到87,963个钓鱼攻击主机，与上半年的32,939相比增长了147%。
•63%的钓鱼攻击主机位于美国，远远高于全球其它国家。
•2007年下半年，赛门铁克监测到有3个钓鱼攻击toolkit操控了26%的钓鱼攻击。
垃圾邮件趋势
•2007年下半年，根据赛门铁克在网关处的监测，垃圾邮件占电子邮件总量的71%，与去年同期61%相比增长了16%。
•在本次报告期，所有垃圾邮件中有80%为英文，与上一报告期的60%相比有所增长。
•2007年下半年，所有垃圾邮件中有0.16%包含恶意代码，2007年上半年为0.43%。这就意味着赛门铁克Brightmail AntiSpam所拦截的每617条垃圾邮件信息中便有1条包含恶意代码。
•在本次报告期，产品类垃圾邮件占垃圾邮件总量的27%，高于其它任何种类，与上一报告期的22%相比有所增长。
•2007年下半年，全球垃圾邮件中有42%来自美国，上一报告期为50%。
•2007年上半年，位于美国的僵尸电脑最多，占全球总量的10%，与2007年上半年相同。
•2007年下半年，图片垃圾邮件平均每天占垃圾邮件总量的7%，与2007年上半年的27%相比显著下降。