趋势科技全球防毒研发暨技术支持中心--TrendLabs公布2006年安全威胁预测:密码窃贼与 BOT 傀儡虫等灰色软件将取代文件感染型病毒,并以各种隐匿行踪技巧,避免被侦测,从而拉长监听窃取机密资料的时间。这种窃取资料的攻击趋势也向手机发展了,2005 年11月第一个尝试窃取手机信息的安全威胁SYMBOS_PBSTEAL.A,会将所有窃取的联络人信息传送到距离范围内的其它所有移动装置。另外,TrendLabs统计发现2005年藏身在网页的间谍程序/广告程序与后门、Rootkit 或具BOT 功能等灰色程序,以更隐密的方式安装在不知情的计算机里。2005年此类灰色程序占前15大安全威胁中的65% 。而在所有的入侵方式中,以扫描网络共享资料夹占37%,得逞机率最高。其次为安全弱点攻击(19%),而IM 、IRC 和 P2P 通讯有关的安全威胁居第三(16%)。
2005 年病毒的创新伎俩,包含: 1. 木马生命周期延长,以充裕时间窃取信息 2. 新一代“间谍式网络钓鱼”,监控网络传输,开启真网页,登录数据传输第三者 3. 黑客渗透计算机,安装行销程序,换取佣金 4. 恶意程序隐身策略:封装程序、Rootkit、双组件攻击 5. BOT 开放原始码,模块化使其加速进行安全弱点攻击 趋势科技预测2006 年的安全威胁包含: 1. 整合后的BOT 殭尸军团火力将更强大 2. <掩护行踪更难侦测> 以封装程序 、Rootkit隐匿行踪的方法将会增加 3. <间谍式网络钓鱼更易上钩>不引诱造访假网站,传输机密资料不留痕迹 4. <恶意程序广告化>广告程序、间谍软件以量计价,黑客向“钱”看
IM 、IRC 和 P2P 通讯有关安全威胁持续成长 2005年前15大安全威胁,65%为灰色程序(间谍程序、后门程序、Rootkit 或 BOT )
2005年新的灰色程序增加了一倍,安装更为隐密。 灰色程序包括广告程序、后门程序、下载程序、以及植入程序。2005 年灰色程序出现极大的转变,新的广告程序变种变种改为采用更隐匿的方式将灰色程序安装在受害者的计算机上。整体上而言,2005 年新型态的广告程序依然维持稳定成长的趋势,但是新的后门程序、下载程序、植入程序、以及其它特洛依木马间谍程序数量都增加了一倍。 2005 年可说是「灰色程序充斥的一年」,通报次数将近 1100万次,在前十五大安全威胁排行榜中就占了 65% 的比例 –– 其中包括某些类型的间谍程序、广告程序、后门程序、Rootkit 或 BOT 程序。 安全威胁型态的分布比例: 1. 27% 为特洛依木马程序 2. 25% 为病毒或蠕虫 3. 18% 为广告程序 4. 11% 为间谍程序 5. 10% 为 BOT 傀儡程序 6. 3% 为Script指令文件病毒 7. 0.60% 为 Rootkit惡意程式工具包 8. 0.60% 为 Office 宏病毒
·QQ2006 界面编程之鸡蛋里挑骨头·官方下载:XP 2006新春桌面主题·张扬聊天个性:群英会2006正式版评测·AMD董事长鲁毅智2006年薪酬1610万美元·JPA重整ORM山河·教你玩转PP2006·2006:浏览器进入多元化发展·盘点:2006岁末IT业界大事狂PK·总结2006:十大Windows恢复技巧·[攒机]只需5000元 打造2006年最强悍游
入侵网络共享资料夹,得逞机率最高 (图片较大,请拉动滚动条观看) 上图提供了 2005 年恶意程序最常使用的散播技巧的综览,这些资料是以趋势科技全年所收集到的9,000 种较值得注意的新型恶意程序为依据。根据趋势科技的分析,反复搜寻网络共享资料夹以植入恶意程序依然是最成功的方法,在所有案例中占了将近 37% 的比例。针对安全弱点进行攻击是成功率第二高的手法,在所有案例中占了 19% 的比例。在其它的散播媒介中,利用大量发信程序代码,网络聊天室 (IRC)、以及预设共享资料夹进行散播的方式分别都占了大约 10% 的比例。利用实时传讯程序 (IM) 作为感染媒介只占了 4% 的比例,而其它所有方法,像是典型的文件感染及利用 P2P 网络资源共享等等,在所有攻击媒介中分别都只占了大约 2% 的比例,但若将IM 、IRC 和 P2P 等通讯有关的安全威胁归为同类,则居第三(16%)。
IM 蠕虫成长幅度达100% 过去三年来,趋势科技 TrendLabs研究人员不断警告使用者应注意偶发性、但日益频繁的另类感染媒介的运用。2005 年趋势科技 TrendLabs目睹了 KELVIR、FATSO 与 BROPIA 等蠕虫在这年的第一季发动另一波攻势,每一只蠕虫都能有效地散播给中毒计算机所有的 MSN Messenger 联络人。利用冒充他人传送信息的手法,以及 IM 使用者年龄层普遍较低的情形,警觉性不高的 IM 使用者往往会很惊讶地发现他们信任的联络人竟然会传送病毒给他们。这些转变迫使 Microsoft 推出更新版本的程序,强化文件传输过滤功能以防止客户端机器发生严重的病毒爆发情况。
(图片较大,请拉动滚动条观看) 上图显示的是实时传讯程序被用于散播病毒的发展情形,资料是以使用这种技巧的新型恶意程序数量为依据*。十二月的成长幅度超过一百倍。
手机威胁,开始窃取联络人信息 2005 年11月,趋势科技收到了一个手机恶意程序的样本,这个恶意程序会收集所有联络人信息,并且将它们传送到距离范围内的其它所有移动装置。趋势科技将这个恶意程序命名为 SYMBOS_PBSTEAL.A。事实上,这个恶意程序是第一个尝试窃取手机信息的安全威胁。
窃取手机通讯簿的恶意程序及恶意程序植入程序是否会受到恶意程序作者的青睐,目前尚无法得知。然而,这决不会是最后一次。因此,趋势科技 TrendLabs务必要提高警觉,保障新兴科技的安全 – 尤其是具备高带宽联机功能的移动装置,像是 WiFi、EDGE/GPRS、3G/UMTS,甚至是未来更高级的 WiMax。
2005 年病毒新伎俩 1. 木马生命周期延长,以充裕时间窃取信息 动机的转变使得安全威胁活动产生结构性变化。新的恶意程序大多都是以金钱利益为诱因。趋势科技 TrendLabs发现针对特定目标的攻击愈来愈多,这些攻击会锁定特定企业与他们的使用者,或是彼此具有共通之处的某个特定族群。精心设计的特洛依木马程序会透过邮件散播给这些目标,希望警觉性不高的使用者会落入圈套中。采用这种有别于大规模蠕虫感染的慢速散播方法,即可大幅增加了恶意程序维持长时间不被侦测到的机会。这种策略能让特洛依木马在被侦测并移除之前,收集到更多机密信息。
2. 新一代“间谍式网络钓鱼”,监控网络传输,开启真网页,登录数据传输第三者 2005年趋势科技目睹了一种全新的攻击手法称之为「间谍式网络钓鱼」。举例来说,有一种攻击手法结合了网络钓鱼圈套与网站嫁接攻击,并且锁定线上银行、金融机构、以及其它必须使用密码的网站作为对象。进行间谍程序网络钓鱼攻击时,作者会利用电子邮件中夹带一个特洛依木马程序,或是一个可下载特洛依木马程序的连结。一旦恶意程序下载并执行之后,无论是通过手动的方式或是利用安全弱点,恶意程序就会监控网络传输的信息,侦测使用者是否通过网络存取特定网页。一旦侦测到这种情况时,它就会将所有登入信息或机密资料传回给黑客。目前已有不同的变种锁定特定组织或相关的网络公司,但它们的目的都一样。大量散发的电子邮件内容可能与目标公司有关,或者它也可能会运用其它型态的社交工程圈套,类似传统病毒所使用的技巧。
3. 黑客渗透计算机,安装行销程序,换取佣金 2005 年有一个相当突出的趋势就是混合型安全威胁的实际运用。攻击者以金钱利益为出发点,他们的活动并未局限于窃取银行与电子商务网站的登入信息而已。许多黑客还会在中毒计算机中植入间谍程序、广告程序、以及其它灰色程序。如果黑客再加入来自第三方的间谍程序与广告程序,他们就能从事行销活动,每安装一个单位就能获得一笔佣金。因此只要遭到黑客渗透的使用者愈多,他们赚的钱就愈多。多重特洛依木马程序攻击是通过一个下载程序/植入程序来展开它的行动,这个程序存在的目的只是为了将更多文件植入系统中,最后再安装其它多种不同的特洛依木马程序、广告程序或间谍程序。这种方式在今天并非十分罕见,而且与之前讨论过的趋势转变有直接的关联。
4. 恶意程序隐身策略:封装程序、Rootkit、双组件攻击 上述每一种技巧都具有一个共通点 – 只要维持不被侦测到的时间愈长,成功的可能性就愈高。窃取信息这种活动如果只能进行一天,它的有效性就会受到限制。它们进行监听的时间愈长,取得宝贵信息的可能性就愈高。这种躲避侦测的需求,使得骇客分别以封装程序、Rootkit、双组件攻击等策略,为恶意行径穿上隐身斗蓬。
封装程序 恶意程序作者仿效早在 2003 年就曾出现过的作法,使用不同的封装程序来掩饰二进制程序的内部结构。封装程序能将执行文件压缩成较小的文件,此外它们还能让不是使用程序代码仿真或行为模式分析的传统扫瞄程序对执行文件产生不同的侦测结果。运用这种功能作为掩护技巧就能延长程序的存活时间,因为防毒厂商必须取得许多样本才能正确侦测出恶意程序的变种。黑客现在会分数次以电子邮件散播同一个恶意的特洛依木马程序,但每一次都使用不同的封装程序,或者同时使用多种不同封装程序来压缩。蠕虫作者利用这种策略来散播不断变化的蠕虫文件,并且使用数十种不同的封装程序来作掩护。在恶意程序作者与安全产品厂商的猫捉老鼠游戏中,这种复杂性能拖延侦测时间,也因此让四个 WORM_MYTOB 变种能够在五月引发黄色警报。另一个值得注意的案例则是与2005年最后一季发现的 SOBER 变种有关。根据趋势科技的侦测结果,光是在十月造成了病毒爆发的 SOBER.AC 这个变种,就出现多达 64 种不同的封装样本。十一月 SOBER.AG 也利用这种技巧达到近似的成功效果。
Rootkit 黑客纷纷开始寻找其它方法以隐匿他们的行踪,而且已经找到其中最有效的一种方法:Rootkit。接近 2005 年底时,Rootkit 被当成协助掩饰恶意程序与灰色程序活动的终极武器。Rootkit 会修改操作系统行为模式,以隐藏某些处理程序、文件、资料夹、以及登录机码。这种做法能赋予恶意程序无与伦比的强大威力,同时又能让它变得更为复杂,所以更难以侦测及清除。由于 Rootkit 都是公开提供 – 许多都采用开放原始码标准 – 任何人即使没有制造 Rootkit 所需的技术能力,也都能运用这种工具,因为所有准备工作事先都已经完成了。随着 Rootkit 愈来愈受恶意程序作者欢迎,内容安全厂商必须强化它们的工具才能侦测到这些装置。据趋势科技的观察,Rootkit 遭 BOT 傀儡程序与 特洛依木马搭配使用的情形愈来愈频繁,尤其是第三季就有超过 150,000 台计算机被发现遭到感染。
双组件攻击 2005 年总共有 56 种不同的恶意程序运用利用 URL 连结或简单的下载程序技巧,过去几年来,安全产品厂商一直建议过滤并封锁特定文件类型,并且对附件文件进行验证,以避免发生病毒误判的情况,这是针对散发大量邮件的安全威胁最有效的防范方法。恶意程序作者于是采用URL 连结或下载程序设法突破这些安全防护措施,这种技巧的关键在于不必依赖电子邮件作为安全威胁的直接感染媒介,而是利用下载程序直接将恶意档案透过网络植入计算机。此外,这种技巧还能让恶意程序作者不断更新恶意程序,免去重新植入恶意程序的麻烦。根据趋势科技的追踪结果,而且趋势科技 TrendLabs预测这种技巧将会愈来愈普遍。
5. BOT 开放原始码,模块化使其加速进行安全弱点攻击
去年还有一个重要的恶意程序趋势,愈来愈多的恶意程序模块被用于从事攻击活动。BOT 已经发展程能迅速散播的恶意程序,最主要的原因是因为它们已经采用开放原始码的开发方式,以模块化的模式来建构。任何一个歹徒都能下载这些 BOT 的原始程序代码,选择要使用的模块,然后再创造出新的变种。恶意程序作者不断为 BOT 蠕虫增加新的模块及增强功能,因此原本散播速度缓慢的 BOT 攻击已经演变为一个新的类别:有史以来弹性最大的恶意程序。它们可能以电子邮件蠕虫、网络蠕虫、P2P 蠕虫,或者身兼上述几种型态现身。由于弹性更大,今年它们已经证明了另外一件事:只要有任何新的安全弱点公布在网络上,它们就能立即加入这些安全弱点的攻击行动。2000 年十月,在一个安全弱点公布的一年之后,NIMDA 蠕虫才针对这个安全弱点发动攻击;2004 年,SASSER 的现身已经将这个时间间隔缩短为 17 天;但是到了 2005 年,ZOTOB 更令人惊讶,从安全弱点公布到蠕虫程序代码中加入成功的攻击行动,只需要短短 4 天的时间。 将 BOT 功能运用于蠕虫攻击的作法一直未曾改变过。BOT 网络的拥有者利用这些网络来上传间谍程序/广告程序、窃取信息、建立垃圾邮件发送平台、以及对第三方发动服务阻断攻击。这些不法活动都会依据 BOT 网络中的受害者人数多寡,提供相对比例的金钱利益给 BOT 操控者。一旦 BOT 网络达到相当大的规模,就能转手出售,或是划分一部份出租给其它恶棍从事不法活动:充当代为散发垃圾邮件、窃取私密信息、或上传间谍程序或广告程序给中毒机器的工具。
2006 年趋势预测 有鉴于当前的安全威胁概况,趋势科技 TrendLabs预期过去一年内出现的许多趋势将会持续延续下去: - 整合后的BOT 殭尸军团火力将更强大:自 2002 年起BOT 傀儡虫的数量已呈等比级数成长,它们变得愈来愈复杂,也愈来愈危险,而且已证明一旦有任何网络安全弱点被发现,随即就可能遭它们利用。去年警察与调查单位揭发的 BOT 网络涵盖全球超过 20万个受害者。BOT 已经迅速演变成最令人畏惧的安全威胁之一,而且它的破坏威力可能没有任何安全威胁可与之匹敌。现在 BOT 蠕虫就像是所有恶意程序的瑞士刀,因为它们具备散发大量电子邮件的能力、网络安全弱点攻击能力、可搭配 Rootkit 使用等等, 因此侦测数量不断向上攀升。各个主要的 BOT 家族分别拥有数千个留有记录的不同变种。由于 Rootkit 的运用,以及安全弱点从被发现到实际运用于攻击之间的时间缩短,BOT 傀儡虫形成的殭尸网络,将会发展出更多强大的功能。黑客使用 BOT 殭尸网络能为它们的创造者带来极大的非法利益,趋势科技 TrendLabs预期今年侦测到的新变种数量将会增加。当所有仍未被侦测到的旧 BOT 都被功能更强、或相互竞争的变种取代后,安装在系统中的恶意程序将会慢慢整合。 - <掩护行踪更难侦测> 以封装程序 、Rootkit隐匿行踪的方法将会增加:为压缩执行文件而开发出的二进制封装程序能让执行文件更容易散播。虽然这种做法最初是针对合法安装的文件而开发的,但是因为封装程序能修改文件内部结构,所以恶意程序作者能利用这种技巧来谋取自身的利益。这已经不是新的技巧,在去年的蠕虫大战中就是相当常见的策略,而且自 2002 年起有七次警报中都出现了这种技巧。趋势科技 TrendLabs 预测利用封装程序压缩恶意程序及加密,散播不断变化的蠕虫文件,并躲避扫描程序侦测的技法将会持续增加。 趋势科技 TrendLabs预测 Rootkit 与其它隐匿行踪的技术将会有所成长。Rootkit 技巧愈来愈受欢迎,短期之内这种情形将会持续下去。当 Microsoft 今年推出最新的 Windows 操作系统时以为因应时,但是黑客并不会放弃利用目前最多人使用的 Windows 版本而设计 Rootkit。 此外,趋势科技 TrendLabs还预测针对特定目标的攻击将会有小幅成长,因为这种攻击手法能让黑客直接接收信息,并且维持长时间不被侦测到。因为它是针对机密信息而来,与以往只强调攻击的一般性破坏行为有极大差异。 - <间谍式网络钓鱼更易上钩>不引诱造访假网站,传输机密资料不流痕迹:他们可能有问题发生传统网络钓鱼 URL 的存活时间大约只有 48-52 个小时。TrendLabs解释说,这是因为包含网络钓鱼 URL 的电子邮件大约可在外流传 48 到 52 个小时,然后就会被提报为恶意电子邮件。网络钓客会不断关闭陷阱并转换另一个供应者,以免被盯上。不过以监控数据传输取代伪装页面的“间谍式网络钓鱼”将延长网络钓鱼的生命周期。无论是哪一种方式,后果都比传统网络钓鱼更加危险,因为它使用的并不是引诱使用者造访伪造网站的策略。而且从技术面来看,它比网站嫁接攻击更容易执行,因此就算是所谓的“script-kiddie”(抄袭他人原始码的青少年黑客) 也可能成功进行攻击。当使用者要登入银行网页时,间谍程序网络钓鱼会开启真实的网页。使用者输入个人信息之后,就会立刻进入他们所要前往的网站,而不会有任何中断,因此根本没有不寻常的征兆可警告他们可能有问题发生。唯一的差别是使用者的信息同时也会被转送给第三方,而这个第三方就能利用这些信息来进行不法活动。 - <恶意程序广告化>广告程序、间谍软件以量计价,黑客向“钱”看:长久以来,安装广告程序一直都是相当常见的做法。广告活动每年都能带来巨额收入。许多广告软件商都很乐意出钱投资,让他们的广告产品尽可能安装在更多的个人计算机上。虽然许多国家的政府都试图规范或禁止这种做法,但是在他们采取行动之后,广告程序却有愈来愈猖狂的趋势。现在,甚至连恶意程序作者都选择在他们的作品当中加入广告程序,设法增加他们的收入。趋势科技预测,这种行为模式及可能维持目前持续成长的趋势。 - < IM 等信息传输协议将成为穿越防火墙> IM 、IRC 和 P2P 通讯有关安全威胁持续成长:2005年与 IM 、IRC 和 P2P 通讯有关的安全威胁在整体安全威胁散播媒介中占了 16%, IM 蠕虫成长幅度在2005年12月更达100%。趋势科技预测此类信息传递协议将持续作为穿越防火墙的渠道,以及感染媒介。
2006 年防范恶意威胁之道 <企业组织>: - 部署 HTTP 扫描系统。许多现代的安全威胁都是通过 Web 通讯协议来散播,趋势科技 TrendLabs强烈建议采用 Web 病毒扫描系统,它的运作方式就像多年前管理员开始部署的电子邮件扫描系统一样。在终端使用者收到任何中毒文件之前就侦测到并加以拦截,能让企业的网络基础架构拥有更多一层的保护。网络层的间谍程序防护是附带的利益,因为这些安全威胁只会利用 HTTP 进入企业环境中。
- 禁止非必要的通讯协议进入企业网络。其中最危险的莫过于 IM 与 P2P 通讯协议,以及 IRC (线上交谈)。这两种通讯协议都是 BOT 进行散播或与 BOT 操控者联系时常用的利器,所以应该禁止这些通讯协议通过企业防火墙。 - 在网络中部署安全弱点扫瞄软件。随时保持扫描软件更新可让任何网络安全弱点的冲击降至最低,同时降低被此类蠕虫感染的风险。 - 请勿将管理员权限指派给所有使用者。在所有权限中,最危险的就是「加载和释放外围设备驱动程序」。若要避免 Rootkit 的攻击,这是最建议采取的措施 。通常 Rootkit 会以装置驱动程序的型态安装,以便取得操作系统所有内部组件的存取权限。重新规划使用者安全原则,通过这种方式来限制使用者,这可能是保护网络最有效的方法之一。如果取消使用者的管理员权限,还有一个附带的利益:野心勃勃的恶意程序就无法终止系统中的防毒软件处理程序。 - 部署企业间谍程序防护扫瞄系统。当间谍程序对企业营运构成相当大的威胁时,管理员就必须部署特定软件,以侦测并防堵这些间谍程序。 - 教育使用者:网络内部必须严格执行安全原则。不仅是软件与防护系统能有效对抗恶意程序。多数情况下,使用者必须要采取某些行动才会导致机器受到感染。无论是安装间谍程序的网页或夹带病毒的电子邮件,使用者都应该事先知道新型恶意程序攻击使用者的方法。使用者的认知才是维持网络安全无虞的关键所在,而且管理员应该定期举办一些教育活动,让使用者随时获得最新的信息,避免受到更新的恶意程序技术的侵袭。这一点对于较新的使用者十分重要,因为它们是恶意程序作者典型的攻击目标。
<家庭使用者>: - 安装新软件前请三思:对于要求您安装软件的网页必须提高警觉。请勿允许新软件从您的浏览器中安装,除非您百分之百信任此网页与软件供应商。 - 扫描所有从 Internet 下载的程序:使用较新的防毒软件与间谍程序防护软件扫描所有从 Internet 下载的程序。包括从 P2P 网络、网站、或任何 FTP 服务器下载的程序,无论来源为何。 - 不轻易开启邮件附件文件与连结:对于非预期且看似有异的电子邮件必须提高警觉,无论寄件人是谁。绝对不要开启这些电子邮件所含的附件文件,也不要按下邮件中的链接。 - 立即安装更新程序:开启 Windows 操作系统的「自动更新」功能,一旦有新的更新程序推出时,请立即安装。 - 保持防毒软件常驻状态:随时开启防毒软件实时扫描服务。定期监控防毒软件是否保持更新,以及服务是否已在执行。