在本白皮書中���,我們將對其中每種趨勢進行詳細的說明��,并分析每種趨勢會給業(yè)已十分危險的新威脅格局所帶來的影響�。在本白皮書中�,我們將查看網站攻擊通常藏身于何處���,例如�����,您再也不能簡單地認為非法網站是網站攻擊的唯一藏身地- 在當今的互聯網環(huán)境下�����,任何網站都可能遭到攻擊者的攻擊�����,并可能被用來攻擊您的計算機�。我們將對用戶瀏覽互聯網時黑客用來感染其計算機的技術進行分析,并將探究惡意軟件在進入用戶的計算機后可能發(fā)動的一些惡意活動���。另外��,我們還將分析為何在面對新的威脅格局時�,某些傳統的防護方法(例如特征式防病毒)已不能提供充分的全面防護����。最后�����,我們將探討您可以采用的一些額外防護措施,以降低您或您的計算機遭受網站攻擊的可能性�。
網站攻擊分析
首先,我們先對典型的網站攻擊進行整體分析��。下圖說明了組成典型網站攻擊的三個不同活動階段���。
我們發(fā)現網站攻擊有許多不同的攻擊方式�����,但一般說來�����,這些攻擊都遵循下面的基本事件順序來攻擊受害者��。
1. 攻擊者入侵合法網站�����,并發(fā)布惡意軟件惡意軟件已不僅僅存在于惡意網站之中?�,F如今���,合法的主流網站也常常成為惡意軟件的宿主�����,將惡意軟件傳遞給毫無戒心的訪客����。第2 節(jié)將分析現代網站的復雜性�����,以及其受到攻擊時黑客所用的常見技術����。
2. 攻擊終端用戶的計算機在用戶訪問包含惡意軟件的網站時,網站上的惡意軟件會設法入侵該用戶的計算機��。第3 節(jié)將詳細說明被稱為"偷渡式下載"的一些技術�,這些技術可以在無需用戶交互的情況下,自動入侵用戶的計算機��。第4 節(jié)將探討一些其他技術���,這些技術需要用戶提供某些輸入����,但其威脅性較"偷渡式下載"卻有過之而無不及�����。
3. 利用終端用戶的計算機進行惡意活動大多數惡意活動在新惡意軟件入侵用戶計算機之后便悄悄開始了����。第5 節(jié)將分析用戶計算機上的常見惡意活動。在本白皮書的最后����,我們將探討一些可供IT 管理員和個人在瀏覽互聯網時用來防御網站攻擊的技術。
2. 網站如何受到感染�����?
在2008 年�,賽門鐵克發(fā)現大量的合法網站被攻擊,并且在不知不覺中成了將網站攻擊帶給毫無察覺的網站訪客的幫兇�����。在本節(jié)中,我們將分析為何合法網站會成為惡意軟件制造者鎖定的目標�,并將探討黑客們在攻擊這類網站時所采用的一些較為流行的技術。
為何將攻擊目標鎖定主流網站�����?
在過去�,企圖通過互聯網安裝在用戶計算機上的惡意軟件,通常是來自互聯網上見不得光的網站�。惡意軟件制造者深知,通過鎖定從事非法活動的網站(例如成人內容或盜版軟件)��,他們可以找到大量缺乏安全意識的用戶����,這些用戶只關心其眼前的需求,而不會對下載到自己計算機里的內容進行準確的判斷����。
而現在,惡意軟件制造者們正在鎖定更大的目標群體��。能夠躲避攻擊����,保證不發(fā)送惡意軟件給不知情訪客的網站少之又少�。主流網站上的大量用戶群成為惡意軟件制造者鎖定的目標����。也許還有一個更主要的原因,那就是主流網站上的大批用戶都不擔心自己會成為惡意軟件的攻擊目標�,因為他們認為���,如果只瀏覽主流網站����,是不會存在安全問題的��。
2008 年�����,賽門鐵克發(fā)現在來自808,000 個不同域的網站攻擊中����,有許多來自主流網站,包括新聞����、旅游�、聯機零售�����、游戲�、房地產、政府及許多其他網站�。很遺憾,只訪問合法網站就可以保證安全的觀念已經不可取了��。
現代網站的復雜性
似乎每過一年�,就會出現一種通過互聯網向用戶傳播信息的新媒體類型。此外����,當前互聯網所用計算功能的復雜性不斷增加,這些都意味著當今的網站服務器已發(fā)展成為一系列非常復雜的程序代碼�����。當您訪問某個網站時����,您所瀏覽的并非單個的靜態(tài)頁面,而是由許多不同互聯網資源組成的內容組合��,而這些內容又是通過許多不同的腳本技術、插件組件和數據庫以動態(tài)方式創(chuàng)建而成的���。
這些組成部分必須可以相互通信�,而這種通信又往往需要借助可能存在漏洞并時刻受到檢測與攻擊的網絡才能實現���。此外���,網站的某些內容可能來自完全由第三方控制的不同網站�����。您可以設想一下廣告在大多數網站上的顯示方式��。這類廣告很可能來自第三方托管網站��,而其顯示所在網站的管理員對這些廣告的控制權限則非常有限�。一個網站的內容來自十(10) 或二十(20) 個不同的域是很常見的,正是來自這些不同域的網站內容組合在一起����,才形成了用戶最終看到的單個網頁!
由于維護此類網站服務器的安全任務始終跟不上構建網站的增長步伐與升級的復雜性�,因此���,越來越多的網站變得容易受到攻擊。
合法網站如何遭到攻擊�����?
有許多不同的攻擊媒介可讓合法網站暴露在攻擊威脅之下���。在2008 年����,我們發(fā)現了許多采用下列攻擊技術的實例:
1. SQL 注入式攻擊
2. 惡意廣告
3. 搜索引擎結果重定向
4. 針對后端虛擬托管公司的攻擊
5. 網站服務器或論壇托管軟件中的漏洞
6. 跨網站腳本(XSS) 的攻擊
以下章節(jié)將分析一些當今黑客日?��;顒又休^為流行的攻擊技術����。
SQL 注入式攻擊
現在有很多網站(尤其是大型�、高流量網站)都以動態(tài)方式使用存儲在數據庫內的信息建構網站內容。用戶與這類網站交互時�����,會從數據庫讀取信息并將信息寫入數據庫。因此����,維護網站安全的任務必須擴展到數據庫本身以及數據庫中存儲的數據。
針對這一現象�����,有一種流行的攻擊方式:使用SQL 注入技術來篡改數據庫��。這項技術會搜索那些依靠數據庫進行工作的網站�����,尋找其缺陷��,并展開攻擊���。許多情況下,攻擊者會在互聯網輸入表單中未設置驗證的輸入字段(例如登錄表單或帳戶查詢表單)插入(或注入)額外的SQL 命令�,而這些命令隨后可能會直接被發(fā)送到后端數據庫中。經過一些嘗試與錯誤探查后����,此項技術會向攻擊者提供數據庫的數據結構,攻擊者可以利用這些數據添加他們自己的惡意內容�����,而這些惡意內容稍后會傳送給毫無戒心地訪問該受攻擊網站的用戶。通常����,添加的內容包括指向惡意網站的隱藏式鏈接,惡意網站中包含各種基于瀏覽器的攻擊工具���,會對無戒心用戶的計算機展開惡意攻擊���。
我們發(fā)現了一種非常流行的惡意軟件,稱為Trojan.Asprox �����,它會自動運行此類攻擊���。Trojan.Asprox 的第一個組件使用流行的搜索引擎來搜索可能存在漏洞的網頁��。然后使用SQL 注入技術攻擊這些網站����。
自動攻擊會持續(xù)測試后續(xù)的網站,直到發(fā)現包含易受攻擊輸入字段的網站����,然后將惡意HTML 程序代碼直接插入數據庫。通常���,惡意 HTML 程序代碼會以HTML 標記的形式存在��,例如指向惡意腳本代碼或惡意網頁的IFRAME���。IFRAME 是一種HTML 標記,可以將一個HTML 頁面嵌入另一個HTML 頁面之內�����。下圖介紹了插入的隱藏式IFRAME 可能的存在形式�。
當毫無戒心的受害者請求該網頁時,網站服務器在建構網頁的過程中����,就會從受到攻擊的數據庫檢索數據��,并將此惡意代碼(上圖中的紅色部分)提供給受害者�����。如果瀏覽器或其插件存在漏洞,受害者的瀏覽器就會開始執(zhí)行惡意IFRAME 所指向的惡意代碼�。
惡意廣告
賽門鐵克發(fā)現,有越來越多的黑客開始利用惡意廣告來攻擊合法網站的用戶�,攻擊者會利用向合法網站提供內容的眾多廣告內容供應商中的一個來發(fā)動攻擊,而非直接從網站自身發(fā)動攻擊?�,F在的許多網站都會顯示由第三方廣告網站托管的廣告����。信譽卓著的廣告公司會驗證他們提供的廣告內容,以檢查是否遭到攻擊����。然而,由于每天發(fā)布的在線廣告數量巨大��,加上發(fā)布機制的自動特性���,難免會漏過某些惡意廣告內容��,無意間使其依附在完全合法的網站上�。與這個問題相伴的事實是�,某個惡意廣告可能每1,000 次頁面查看才會顯示一次����,或只向特定地區(qū)的訪客顯示�,這些特點使得惡意廣告很難被檢測和根除。
許多廣告是使用JavaScript 腳本語言編寫的���。該腳本語言中的函數很容易被濫用����,可以悄悄地將用戶重定向至惡意網頁���。因此����,雖然托管網站本身沒有威脅���,但網站上的廣告卻很可能將用戶重定向到包含網站攻擊的惡意網頁�。去年�,我們在許多品牌形象良好的合法網站上 都發(fā)現了這類惡意廣告。
舉例說明�,某個頗受歡迎的房地產網站的訪客即報告說在訪問該網站時其端點安全軟件有時會發(fā)出防護警報。而沒有運行端點安全軟件的用戶則報告遇到彈出式窗口�,且系統速度減慢。顯然有地方出了問題�。而當網站管理員調查問題時,卻找不到任何安全問題��。然而����,經過安全研究人員的深入調查,發(fā)現該網站包含會自動感染用戶的偶發(fā)性惡意廣告����。該網站包括數百種不同的廣告,它們會根據搜索參數和/或終端用戶所在的地區(qū)交替顯示���,這使得檢測攻擊的難度非常之大�����。
3. 進入用戶的計算機(第1 部分- 自動)
本節(jié)我們將了解黑客從網站自動發(fā)送惡意軟件內容到用戶計算機時所使用的技術�。
偷渡式下載
現在最危險的一種惡意軟件感染形式被稱為"偷渡式下載"����。僅僅是瀏覽網站,便可將可執(zhí)行內容自動下載到用戶的計算機上��,而且用戶毫不知情,也無需用戶授權�����。而且也不需要用戶交互�。
下圖說明了在成功的偷渡式下載中按順序發(fā)生的典型事件。我們每天都能見到許多這樣的示例�����。
1. 攻擊者攻擊合法的"規(guī)范"網站�。
首先,攻擊者要找到入侵"規(guī)范"網站的途徑��。在前一個章節(jié)中�,我們簡要說明了一些常見的攻擊技術,例如SQL 注入式攻擊��。攻擊者可以將隱藏式IFRAME 插入到合法網站的一個或多個頁面內�����。此鏈接指向單獨的惡意網站����,而這些惡意網站會將真正的惡意代碼發(fā)送給毫無戒心的用戶���。
2. 用戶訪問"規(guī)范"網站����。
使用Windows 更新來保持計算機更新(以確保計算機上的基礎操作系統和瀏覽器擁有所有最新的軟件補丁程序)的用戶訪問受到攻擊的"規(guī)范"網站。不幸的是�����,其系統上運行的多媒體插件與文檔查看器(用來收聽音樂與查看文檔)已經過期�����,并出現了許多可以從遠程進行攻擊的漏洞�,而他們卻毫不知情。
3. 用戶在渾然不覺的情況下����,被重定向到"不法"網站。
"規(guī)范"網站頁面上的隱藏式IFRAME 會誘導用戶的瀏覽器悄無聲息地從"不法"網站提取內容��。在進行這些活動時�����, "不法"網站能夠判斷出用戶計算機上運行的是哪種操作系統、網頁瀏覽器以及有漏洞的插件����。"不法"網站可據此判定用戶瀏覽器是否附帶并運行了有漏洞的多媒體插件。
4. 惡意代碼被下載到用戶的計算機����。
"不法"網站會發(fā)送經過特別設計的多媒體數據,其中包括對受害者計算機的攻擊�����; 一旦多媒體播放器播放此內容��,攻擊者就會獲得對此計算機的控制權����。
5. 在用戶的計算機上安裝惡意程序碼。
利用用戶多媒體播放器上的漏洞�,在用戶的計算機上安裝一個或多個惡意軟件文件。
6. 惡意軟件利用用戶的系統為所欲為��。
現如今的惡意代碼能夠竊取個人信息(例如網上銀行信息�、電子郵件、游戲密碼),并將其返回給攻擊者�����。
受害者通常對整個攻擊過程毫不知情����,攻擊也不會留下可疑線索,讓用戶知道計算機已受到攻擊���。
軟件漏洞
漏洞是指應用程序(例如網站服務器與網頁瀏覽器)中的錯誤(缺陷),如果遇到攻擊���,可能會導致應用程序執(zhí)行不該執(zhí)行的操作��。此類行為使攻擊者有機會攻擊安裝了該軟件的系統�����,并可能包括以下情況:
* 運行攻擊者指定的任意命令
* 從互聯網下載文件
* 運行本地文件
* 破壞應用程序
賽門鐵克在其Security Focus 網站(www.securityfocus.com) 上跟蹤所有主要軟件漏洞����。
從2003 年開始��,Windows 操作系統中隱藏的漏洞(在MS-RPC DCOM 和LSASS 組件中)導致了Blaster 和Sasser 等蠕蟲的自我復制和擴散。后續(xù)發(fā)布的Microsoft Windows XP SP2 和SP3 消除了許多此類操作系統漏洞��。然而���,最近爆發(fā)的Downadup/Conficker 蠕蟲利用的是已知的MS-RPC 漏洞(MS08-067 )�����,這也說明了在監(jiān)控所有可能影響操作系統的已發(fā)布漏洞方面��,需要持續(xù)保持警惕����。
從更近期的情況來看����,攻擊目標已轉移到網頁瀏覽器、ActiveX 控件���、瀏覽器插件�、多媒體�、文檔查看器和其他第三方應用程序上。只要用戶訪問某個受到攻擊的網頁���,其中某個應用程序中的一個漏洞就可能讓用戶的系統毫無防御能力并遭到攻擊��。
雖然底層操作系統鼓勵用戶自動下載并安裝針對已知漏洞而發(fā)布的更新��,但許多公開數據 顯示�����,終端用戶并未及時為其系統安
裝修補程序以解決已知漏洞���。最近的一篇文章 稱�,即使不考慮帶有漏洞的第三方插件�、ActiveX 控件和多媒體插件的影響�����,仍有6 億個瀏覽器處于不安全狀態(tài)。
我們每天仍發(fā)現有各式各樣的漏洞不斷遭到攻擊����。其中不僅包括沒有修補程序的未知或新發(fā)布漏洞,也包括已經發(fā)布修補程序的漏洞���。2008 年���,我們還發(fā)現其他許多受到攻擊的漏洞���,包括:各種網頁瀏覽器��、ActiveX 控件�����、瀏覽器插件��、文檔閱讀器和其他第三方應用程序�����。
網站攻擊工具包
找出用戶環(huán)境中的可攻擊漏洞并不容易�����,但網站攻擊工具包使這項任務輕松了許多。網站攻擊工具包是專為檢測用戶的計算機并自動攻擊安全漏洞而編寫的軟件程序����,它可以為攻擊者提供一條可供入侵用戶系統的捷徑。這類現成的軟件工具包可讓任何懷有惡意的用戶自動攻擊成千上萬個系統��。此類常見工具包的例子包括Neosploit、MPack�、Icepack、El Fiesta 和Adpack��。
網站攻擊工具包具有易于使用的接口��,并且不需要任何技能便可進行實際攻擊����。它們通過攻擊存在漏洞的瀏覽器、ActiveX 控件和多媒體插件版本中的漏洞來進行攻擊���。一旦成功攻擊某個漏洞�����,攻擊者就可以在終端用戶的系統上隨意插入任何特定惡意軟件��。
隱藏式攻擊:貓捉老鼠的游戲
網站攻擊工具包提升了攻擊者的靈活性��,有利于其成功攻擊并逃避檢測�����。網站攻擊工具包的存在使遭到攻擊的系統數量大增��。這些工具包對以下一些技術起到了促進作用:
1. 限定受害者范圍���。
通過僅根據當前在潛在受害者計算機上運行的特定操作系統����、瀏覽器類型與插件進行有針對性的攻擊���,工具包在將攻擊成功率提升到最大的同時�,也會將攻擊者被檢測到的機會降至最低�����。這種有針對性的方法通常稱為狙擊手式攻擊���。
2. 選擇攻擊時間。
通過每小時或每天僅發(fā)動一次的惡意攻擊����,使網站管理員和安全供應商更加難以檢測與補救���。
3. 地區(qū)變化。
根據用戶所在的地區(qū)或操作系統語言類型���,發(fā)動區(qū)域性攻擊��。這可以避免在特定攻擊無效的地區(qū)浪費攻擊力量�。
4. 有選擇性地攻擊漏洞��。
各種新舊漏洞都會受到攻擊����。在某些情況下��,只有在不能攻擊舊漏洞時���,才會攻擊新漏洞。
5. 暴力攻擊��。
鑒于修復漏洞已變得越來越普遍����,攻擊工具包可能會轉向發(fā)動范圍更廣泛的攻擊,在一次攻擊中將目標鎖定在多個漏洞上���,希望攻擊會對其中的某個目標有效�。只要對一個漏洞的攻擊成功����,整個攻擊就會成功。這種廣泛鎖定目標的方法稱為霰彈槍式攻擊����。
6. 機會法則。
攻擊工具包不會嘗試攻擊每一位網站訪客�,而是隨機發(fā)動攻擊����。這使得安全管理人員更加難以檢測到�。
7. 代碼混淆式攻擊。
發(fā)送至客戶端計算機的攻擊會使用各式各樣的技術進行偽裝�。
8. 動態(tài)更改的URL 與惡意軟件變體���。
定期更改URL 以及發(fā)送惡意軟件的做法�,使檢測任務變得愈加困難����。
以下章節(jié)將詳細分析我們近期發(fā)現的2008 年安全領域所呈現的大幅變化趨勢。
代碼混淆技術在實際攻擊中的應用
代碼混淆是一種越來越常見的技術�����,它通過使操作更復雜因此更難以檢測來隱藏攻擊��。2006 年�,我們的統計顯示只有少部分攻擊屬于代碼混淆式攻擊。但在2008 年�,我們發(fā)現大多數攻擊都屬于某種形式的代碼混淆式攻擊。
攻擊者的典型手法是采用惡意代碼(通常是采用JavaScript 的形式)�����,并利用專有的加密方式將其加密。例如��,一個簡單的惡意重定向代碼可能如下所示
相比之下����,代碼被混淆后具有重定向功能的惡意JavaScript 重定向代碼則可能如下所示:
當此被混淆后的代碼在網頁瀏覽器上執(zhí)行時會自動自行解碼,并發(fā)生上述重定向(至www.example.com )�;完成解碼之后,瀏覽器就會心甘情愿地遵循此鏈接訪問惡意網站����。通過使用這類代碼混淆技術,攻擊者可以成功隱藏攻擊�。
由于遭受攻擊的每個網站可能擁有不同的重定向邏輯代碼混淆版本,因此這項技術使常規(guī)的特征式防病毒工具很難在用戶的計算機上檢測并阻止這類攻擊�。
動態(tài)更改URL 與惡意軟件:
2008 年初,賽門鐵克發(fā)現了Trojan.Asprox 的感染高峰�����。這種木馬程序編寫工具使用動態(tài)創(chuàng)建的URL 來隱藏源文件��,讓惡意軟件代碼更難以檢測�。與此攻擊相關的惡意域與URL 每天都會生成��,其中包括一些與搜索引擎統計收集結果相關��,且看起來就像真實域名的域與URL�����。當網站管理員或IT 管理員調查網頁時��,他們會看見類似搜索引擎跟蹤URL 的情況。URL 通常包括拼寫錯誤或字符變換��,初次看見時���,可能會讓人誤以為是真實的域��。
2008 年�����,賽門鐵克發(fā)現服務器端多態(tài)型威脅的使用率大幅增加����。在此類攻擊情形中�,攻擊者會控制托管惡意軟件文件的網站服務器����。此外�,攻擊者會在網站服務器上運行特殊的"多態(tài)型"軟件,該軟件每隔幾分鐘或幾小時就會動態(tài)生成該惡意軟件的新變體(每一個都有其專有的特征)����。因此,每當新的無戒備用戶訪問該惡意網站時�,都有可能收到不同的惡意軟件文件,這樣每天就可能會出現數百個新的惡意軟件變體����!這使得使用常規(guī)的特征式防病毒方法檢測惡意軟件就變得極具挑戰(zhàn)性,并使不同的惡意軟件樣本以極快的速度增加�。賽門鐵克過去一年中所發(fā)現的惡意軟件劇增是前所未見的。從2002 到2007 年���,我們共累積收集
了800,000 個獨一無二的惡意軟件特征����。而僅在2008 一年��,我們就收集了1,800,000 個獨一無二的特征����,與2007 年相比增加了239%��,而且此趨勢短期內還沒有趨緩的跡象����。
劫持網頁或"點擊劫持"
這是賽門鐵克最近發(fā)現的新技術��,攻擊者可利用此項技術劫持對網頁的點擊�。在此情況下,攻擊者會在網頁上放置看不見的圖層���。用戶點擊看似無害的按鈕或鏈接(例如游戲按鈕或視頻)時,攻擊者的代碼就會自動執(zhí)行��,通常引導用戶訪問惡意網站或其他誤導應用程序�。
當今的攻擊使傳統的檢測技術毫無招架之力
偷渡式下載攻擊使僅具有防病毒功能的傳統特征式檢測技術幾乎沒有用武之地。使用常規(guī)的病毒特征很難(即使可以)檢測到針對多媒體�、閱讀器、瀏覽器和第三方軟件漏洞的攻擊���,因為這些攻擊會利用隱藏的漏洞����,自動顯示在瀏覽器中。相比之下����,常規(guī)的防病毒軟件只知道如何在文件中搜索,卻不會搜索網絡通信���,因此使得這類攻擊遁于無形����。當這種技術與代碼混淆技術相結合時����,常規(guī)的檢測方法就更加無能為力了,因此我們就不得不采取新的檢測與防護方法�����。
防護當前最新的威脅需要采用主動式防護技術���。諸如Symantec Endpoint Protection 11 和諾頓2008 及2009 產品之類的新型解決方案包括:
* 網絡入侵防護技術�����,有助于防護利用隱藏漏洞發(fā)起的攻擊
* 瀏覽器防護功能��,可以保護瀏覽器與插件免受代碼混淆式威脅的入侵
* 啟發(fā)式與行為式的檢測技術���,可以防護不能預期的新型攻擊技術
這些攻擊的發(fā)生頻率如何���?
來自主流網站的偷渡式下載每天都會發(fā)生數千例。受到感染或攻擊的企業(yè)與消費者客戶數量已經多到令人擔憂����。用戶渾然不覺自己已經受到感染,因為此類攻擊不需要用戶交互即可發(fā)動����。
賽門鐵克已經發(fā)現有關各類型主流網站托管偷渡式下載或包括惡意廣告的數千個案例。2008 年��,賽門鐵克的"諾頓社區(qū)防衛(wèi)"從受保護的諾頓消費者客戶群中����,發(fā)現有超過1800 萬次偷渡式下載感染嘗試���。2008 全年����,偷渡式下載都呈現持續(xù)上升的趨勢。
4. 進入用戶的計算機 (第2 部分- 需要用戶的"配合")
在上一節(jié)中��,我們討論了惡意軟件制造者用來在無需用戶激活的情況下進入用戶計算機的一些技術���,例如偷渡式下載�。這些技術都利用了用戶未打補丁的計算機上所存在的漏洞�����。然而����,惡意軟件制造者還有其他工具,甚至可以用來攻擊較為謹慎的用戶及其計算機���。此類攻擊著重于社會工程技術��,而這項技術也是本節(jié)的重點���。
社會工程實際上是一個現代術語,常規(guī)一點的叫法是信心騙局或欺詐�,它指的是欺騙他人從事其根本不想執(zhí)行的活動的騙術。在本節(jié)中,我們將分析一些我們所發(fā)現的用來欺騙用戶在其計算機上下載與安裝惡意軟件的常用技術�����。
仿冒的解碼器
互聯網上有許多不同的多媒體文件格式�����,其中的許多文件格式需要特殊的軟件才能查看或收聽�。因此,互聯網用戶知道自己有時必須下載與安裝新的媒體播放器或瀏覽器插件��,才能查看所訪問的網站內容��。用戶在訪問新網站時常常會收到提示��,請求其下載新播放器或插件的最新版本����。通常所說的編解碼器(編碼- 解碼器)是指一種可以為二進制文件解碼并重組原始音頻或視頻版本的軟件。
惡意軟件制造者會通過創(chuàng)建包含誘人內容(例如成人內容或音頻及視頻文件存儲庫)的網站���,來偽造用戶所熟悉的情景�����。當用戶訪問網站時�����,會被提示必須安裝新的編解碼器��,才可以訪問網站的內容�����。然而�����,用戶授權下載并安裝到其計算機上的可執(zhí)行內容���,實際上并非編解碼器,而是一款惡意軟件�����。
此屏幕截圖顯示了一個仿冒的解碼器�����,它提示用戶安裝"視頻"編解碼器,實際上卻安裝了一款惡意軟件���。我們看到許多這樣的實例�����,即惡意軟件制造者冒用可信任視頻與多媒體播放器的徽標與圖標��,使惡意軟件看起來更合法�。
所安裝的"視頻編解碼器"實際就是感染用戶計算機的木馬程序���。Trojan.Zlob 和Trojan.Vundo 都是我們在2008 年發(fā)現的非常流行的木馬程序�。賽門鐵克發(fā)現受感染的博客留言�����、即時消息垃圾信息以及惡意文本廣告��,都是將用戶帶往此類仿冒的解碼器網站的主要工具���。
惡意點對點文件
點對點(P2P) 文件共享系統已經成為分享合法與非法數字內容的常見途徑��。這些系統為惡意軟件通過互聯網入侵用戶計算機提供了另一條渠道����。惡意軟件制造者會將其惡意內容與流行應用程序捆綁在一起����。我們已發(fā)現他們在文件命名方式上采用了許多充滿創(chuàng)意的做法,為了吸引更多用戶的注意�,他們會使用名人的姓名或流行的品牌名稱。然后�����,他們會將這些文件上傳至流行的文件共享網站����,等待毫無戒備的用戶上鉤。當用戶搜索自己喜好的應用程序或電影時�,搜索到的就是受惡意軟件感染的版本。
我們在研究中還發(fā)現��,互聯網上有許多關于創(chuàng)建此類偽裝惡意軟件應用程序進程的在線公開教學課程材料�����,其中包括了有關如何將應用程序發(fā)布至P2P 網站的入門指南��、網站使用建議、如何使用代理服務器來提供文件���,以及如何防止因為誤用而被關閉的情況����。
惡意廣告
在惡意軟件制造者用來開發(fā)新業(yè)務的技術當中���,最招搖的一種可能就是通過利用廣告來模仿合法業(yè)務����。
在上一節(jié)中����,我們介紹了表面上看似合法的廣告如何造成危害,現在我們將提出一些證據����,說明惡意軟件作者如何直接向毫無戒備的用戶宣傳他們的仿冒的解碼器。
在其中一個示例中����,我們在一個主要搜索引擎上進行了網頁搜索,通過關鍵字搜索一款新游戲的免費版本�。除了常規(guī)結果之外�,其中有一個贊助商鏈接指向了偽裝成游戲官方版本下載頁面的網頁�����,但實際上這是一個指向偽掃描程序網頁的網站����。廣告供應商已開始注意到此問題�����,并采取了一些措施來防止惡意軟件作者利用其服務�,但由于每天顯示的文本廣告數量巨大,難免仍有一些惡意軟件在審查過程中成為漏網之魚���。
偽掃描程序網頁
惡意廣告技術的一種變體是創(chuàng)建特定網站來推廣公然誤導事實的服務或產品�����。
此類網站可以輕易地利用瀏覽器的JavaScript 功能����,讓用戶的瀏覽器顯示彈出式窗口��,其中會顯示看似合法操作系統警報通知的內容。在所示的圖中��,您可以看到我們偶然發(fā)現的一個警報通知���,它試圖讓用戶相信其計算機已經受到感染�。實際上���,這只不過是嚇唬人的把戲�。
此外�,我們還發(fā)現了數千個此類偽掃描程序網頁,它們采用了具有創(chuàng)新性和說服力的社會工程策略�。例如,我們曾發(fā)現一個將其自身定位為"成人內容圖片掃描程序"的偽掃描程序網頁��。該網頁會裝做掃描系統中的可疑圖片��,然后顯示預先保存的色情圖片��,并宣稱該圖片是從用戶的系統中發(fā)現的���。接下來�,該網頁會提示用戶下載偽卸載工具,以刪除這些圖片�。我 們會在下一節(jié)中進一步討論偽造或誤導應用程序。
垃圾博客
博客提供了另一種影響用戶采取與平常不同操作的渠道����。合法的博客經常會感染一些URL 鏈接,這些鏈接會指向使用社會工程騙局或瀏覽器攻擊技術的網頁�,進而感染用戶的計算機。攻擊者常使用博客留言板塊來張貼此類鏈接�����。這些留言常常會使用一些有吸引力的語句��, 來吸引訪客點擊該鏈接��。地下網絡中提供了一些工具�,可以將博客垃圾信息的發(fā)送過程自動化���。
其他攻擊媒介
如今用來傳播惡意軟件的其他媒介還包括垃圾郵件和盜版軟件網站���。與過去不同,攻擊者不再直接將惡意軟件植入電子郵件����,而是將URL添加到垃圾郵件���,這些URL 會直接指向惡意偷渡式下載網站或偽掃描程序/仿冒的解碼器網頁。盜版軟件網站亦稱為"warez"網站����,除 了盜版軟件之外,此類網站通常還包括會攻擊終端用戶系統的木馬程序�。
5. 用戶的計算機上將發(fā)生哪些變化?
到目前為止���,我們一直將重點放在幫助惡意軟件從其制造者向用戶計算機傳播的一系列事件?��,F在,我們要將注意力轉移到惡意軟件本身�����,以及在其抵達用戶的計算機時會進行的活動���。在本節(jié)中��,我們將介紹我們所發(fā)現的惡意軟件在用戶計算機上進行的一些活動�。
購買誤導應用程序
也是以欺騙為主題,目的是將惡意軟件置入用戶的計算機�����;我們發(fā)現在過去12 個月內����,惡意軟件攻擊用戶最常用的形式就是"誤導應用程序",又稱為"流氓程序"或偽防病毒應用程序����。
誤導應用程序會故意錯誤顯示計算機的安全狀態(tài)。其目標是讓用戶相信自己已受到惡意軟件的感染���,并且應該立即采取操作��,刪除計算機中的潛在不必要程序或安全風險(通常并不存在或是偽造)。
誤導應用程序通?���?雌饋矸浅S姓f服力- 此類程序可能與合法安全程序類似,并且通常有對應的網站���,其中包括用戶的建議���、功能列表等等�����。
完成初始部分安裝之后(通常是通過由惡意網站攻擊發(fā)送的木馬程序進行)��,這些應用程序會嘗試恐嚇用戶����,讓其相信自己的計算機已經受到數個威脅的感染��。用戶瀏覽互聯網時�,攻擊者會利用持續(xù)的彈出式窗口以及任務欄通知圖標等來達成此目標。此時���,偽防病毒軟件就會阻止用戶��,使其不能瀏覽至真正的防病毒廠商網站�����,并防止偽防病毒軟件本身被卸載���。該應用程序會拒絕允許用戶刪除或修復這些實際不存在的安全問題��,以此威脅用戶��,直到用戶購買并安裝軟件完整版本為止���。系統會鼓勵用戶購買軟件,并將其帶往訂購頁面���,他們在那里可以"方便地"將信用卡號碼和其他個人信息提供給攻擊者�。我們發(fā)現�,此類產品的價格范圍通常在30 美元至100 美元之間。這種方法已經成功騙過了數千人��,而他們都認為自己購買的是合法軟件���。
這些攻擊的發(fā)生頻率如何�?
2008 年后半年�,賽門鐵克檢測并阻止了超過2300 萬次誤導應用程序的感染企圖�����。因為每次感染企圖都需要用戶點擊或安裝程序��,因此攻擊者散布這些數據包的時間很長、范圍也很廣泛����,因為他們知道只有少數終端用戶會安裝這些誤導應用程序。垃圾郵件的散布者也使用
類似的手法��,試圖將電子郵件散布給盡可能多的人�,因為他們知道只有少數終端用戶會落入這個圈套。
促成誤導應用程序快速成長的唯一動機就是謀取財富�。誤導應用程序制造者已經創(chuàng)建了完整的經銷與營銷網絡來散布其軟件。即使在
2300 萬名終端用戶中�,只有1% 的用戶落入敲詐陷阱,誤導應用程序作者也能坐收超過1100萬美元的收益�。 如需有關攻擊者利益動機的詳細信息,請參見"賽門鐵克地下經濟活動報告"�。4
哪些誤導應用程序最為盛行?
2008 年12 月��,賽門鐵克發(fā)現下列誤導應用程序最為流行��。惡意軟件作者通常會使用"多態(tài)型"工具來重新虛擬機器并改變其應用程序�,讓檢測任務變得益發(fā)困難。
惡意軟件可能會在計算機上執(zhí)行的其他動作
竊取個人信息
許多惡意軟件程序會記錄鍵盤上進行的每一次擊鍵行為���。這些惡意軟件程序稱為擊鍵記錄程序���。當用戶通過受到攻擊的系統瀏覽至在線帳戶(例如銀行���、購物、游戲和電子郵件帳戶)時����,擊鍵記錄程序就會捕獲其個人信息(例如用戶名和密碼)并返回給攻擊者。
利用您的計算機攻擊其他計算機
另一種常見的攻擊是將受害者的計算機納入由其他受攻擊計算機組成的網絡�,而攻擊者可以遠程利用該網絡進行惡意活動。僵尸程序是指悄悄安裝在受害者計算機上的程序��,可以讓未經授權的用戶從遠程控制受感染的系統�����。僵尸網絡是指受僵尸程序感染的一組計算機�����,它們都受到攻擊者的控制����。
6. 您應該采取什么措施來保護自己?
本白皮書前面的章節(jié)闡明���,即使是保持謹慎并且只瀏覽主流合法網站的互聯網用戶�����,也可能成為網站攻擊的受害者�����。在本節(jié)中����,我們將探討一些可供您用來保護自己的計算機和信息不受網站攻擊侵害的防護措施���。這些措施包括:
將軟件更新至最新版本
這可能是看似沒有必要的瑣事��,但是您可以采取的最重要的防護措施之一��,就是盡可能讓系統上的所有軟件更新至最新版本�����。其中包括操作系統(例如Windows )����、應用程序、網頁瀏覽器和相關的插件軟件?�,F有軟件中新發(fā)現的漏洞是攻擊者在未經授權的情況下入侵系統
的最佳途徑�。軟件發(fā)行者會定期發(fā)布更新來修復已知的漏洞。如有可能����,您應該啟動軟件自動更新,這樣在有新的更新發(fā)布時��,它們就會自動下載并安裝至您的計算機��。
3 以每套誤導應用程序平均50 美元的價格計算����。
4 賽門鐵克地下經濟活動報告
http://www.symantec.com/business/theme.jsp?themeid=threatreport
部署全面的端點安全產品
常規(guī)的特征式防病毒產品只能檢查系統上的文件。全面的端點安全產品可通過許多額外防護級別彌補這一不足��,包括:
*啟發(fā)式文件防護����。即使沒有常規(guī)的病毒特征,這項技術也能夠讓安全產品根據文件本身的特性發(fā)現新的病毒變體����。
*入侵防護系統(IPS )���。入侵防護系統不只專注于磁盤上的病毒文件�,它還會監(jiān)控網絡通信并搜索可疑的行為,在攻擊進入系統之前便將其拒之門外����。在近期的第三方測試中,賽門鐵克產品利用其入侵防護系統和瀏覽器防護技術檢測到了所有的偷渡式下載攻擊���,而排名緊隨其后的競爭對手僅檢測到不足60% 的攻擊�。
*行為監(jiān)控�。即使惡意軟件繞過入侵防護系統及文件防護功能(包括特征式與啟發(fā)式防護功能)的防御進入您的系統,行為監(jiān)控系統仍可能將其捕獲����。其工作方式是監(jiān)控系統上的軟件運行操作并搜索可疑行為(例如嘗試訪問您的個人數據或進行擊鍵記錄)。
全面的安全產品應該包括所有這些防御級別���,此外���,還務必確保已經啟用所有這些功能。
訂購最新的安全產品更新
安全產品的好壞取決于其底層的安全內容。其中包括病毒定義與入侵防護系統特征����,它們通常會每天通過網絡更新數次,并確保您的安全產品擁有最新的有效防護�����。更新中的任何錯誤都可能很快地侵蝕產品的防護能力�。舉例來說,試想賽門鐵克當前每天提供針對超過10,000 種新病毒樣本的防護��。如果一周沒有更新��,就可能意味著用戶錯過了針對70,000 種獨一無二的新病毒變體的防護���。保持產品訂購有效�����,以主動防護惡意軟件使其遠離您的系統���,同時保護您免受最新威脅入侵,這一點至為重要��。
保持警覺
對您訪問的網站、點擊的鏈接��、打開的搜索結果以及安裝的應用程序持謹慎態(tài)度���。許多攻擊依靠社會工程技術進入您的系統�����,因此即使您的所有軟件都是最新的并且您擁有全面的最新安全產品,如果您授權惡意程序進入系統����,將攻擊者請到自家門前,則您仍有可能成為攻擊
的受害者��。
一般說來�,若提供的產品或服務太過優(yōu)惠誘人,則用戶要有所警覺���。您可以遵循一項常規(guī)原則:如果有所懷疑���,就撥打電話- 不要依賴電子郵件內包括的信息或網頁上顯示的內容。
如果需要協助判斷互聯網上搜索的結果����,請使用諸如諾頓網頁安全之類的"安全搜索"解決方案����。(http://safeweb.norton.com)
采用密碼策略
有效的密碼策略有助于保護在線信息的安全���。
*有效的密碼應包括字母�����、數字和其他鍵盤字符的組合��。
*盡可能避免所有帳戶都使用相同的密碼�。當然�,在眾多網站都請求用戶創(chuàng)建帳戶的情況下,做到這一點非常困難��。請至少為最敏感的在線帳戶使用獨一無二的密碼(例如銀行帳戶和電子郵件帳戶)���。
防患于未然上述的許多自我防護步驟看起來似乎是基本常識��,但在我們分析的受到感染或安全受到破壞的企業(yè)與消費者中��,有許多用戶并未遵循這些簡單的步驟�����。
如果您夠積極主動�,保護自己免受最新互聯網威脅的入侵就會變得非常簡單。受感染之后才部署新的安全產品或者才續(xù)訂安全產品����,可能耗費高額成本并且難以見效。與感染之后再清理系統相比�����,企業(yè)機構和終端用戶運行幾個額外的步驟�����,從一開始就降低受感染的機會�����,這
樣做不僅更具成本效益�����,而且能夠更好地利用資源����。
7. 結論
互聯網日趨復雜,威脅狀況也是日新月異�。終端用戶和IT 管理員必須在自我防護方面始終保持警惕。利用已過期的常規(guī)特征式防病毒技術或在完全沒有保護的情況下瀏覽互聯網����,很快就會遭受嚴重的惡意軟件感染,從而導致系統受損��。本白皮書中闡述的許多威脅并不能單
靠特征式防病毒技術來防御��。
從悄無聲息地讓惡意軟件溜進您系統的偷渡式下載�,到將您重定向至企圖向您敲詐錢財的偽防病毒產品的惡意廣告,互聯網世界里充斥著各種未知的威脅��。您的威脅防護策略必須不斷進步����,才能更好地防護當前及未來的威脅狀況。
無擔保�。本文檔"按現狀"提供,Symantec Corporation(賽門鐵克公司)對其準確性或使用不做任何擔保����。使用此處所含的任何信息����,其相關風險均由用戶自行承擔�。文檔可能包含技術上或其他方面的不準確性或排印錯誤。Symantec(賽門鐵克)保留隨時進行修改的權利����,恕不另行通知。
