【51CTO.com综合报道】在2009年进入尾声时,赛门铁克对2010年安全趋势进行了一些预测。而今,我们对这过去的半年进行评估,看看到目前为止实际发生的事件是否如当初所料。
预测1
仅防病毒是不够的 —— 2009年,随着多种形态威胁的增加,以及独特恶意软件变种的爆发,业界迅速意识到,传统防病毒的方式,如文件签名、启发式杀毒和病毒行为侦测等,已不足以应对今天的威胁。我们已经到了这样一个转折点:新的恶意程序产生的速度要远远快于合法程序得产生速度;同时,把注意力都放在恶意软件的分析上已然行不通了。相反,将所有软件文件纳入安全监控的方法,如基于信誉的安全技术,将成为2010年的重点。
状况:符合预测
理由:不出所料,单是去年一年,赛门铁克就创建了2,895,802个新的恶意代码签名,比2008年增加了71%,其数量占赛门铁克所创建的全部恶意代码签名的一半以上。此外,赛门铁克识别出超过2.4亿个新的独特恶意程序,比2008年翻了一番。2010年这种上升势头还会继续。仅今年上半年,我们就创建了180万个新的恶意代码签名,并识别出逾1.24亿个新的独特恶意程序。
这意味着传统安全技术要捕捉到每个新威胁的可能性越来越低;这些威胁的数量太过于庞大,即使安装了自动化系统也无济于事。那些无须捕捉和分析威胁就能够对其防御的技术,如赛门铁克基于信誉的安全技术,显得愈发必要。在应对当今最流行威胁中发挥关键作用的其他安全方法还包括启发式杀毒、病毒行为侦测和入侵防护技术等。 #p#
预测2
社会工程学成为首要攻击载体——越来越多攻击者直接追踪终端用户,披着“合法”的外衣,引诱用户下载恶意软件或透露敏感信息。社会工程学攻击盛行的一个原因是,这与用户电脑上的操作系统和网络浏览器无关,因为攻击的对象是实际用户本身,而不一定是电脑上的漏洞。社会工程学已经成为目前所使用的主要攻击技术之一,赛门铁克预计,2010年,使用社会工程手段试图发起攻击的数量肯定会增加。
状况:与预测相符
理由:该趋势并非臆测而是有事实依据的。社会工程学可能是世界上第二古老的职业,在数字时代迅速蹿红也在意料之中。但其效率的提高归功于Web 2.0。大量计算机用户沉迷于社交网络中的网恋,我们常收到期望“交朋友”或“崇拜者”之类的邮件。攻击者正是利用网民的弱点巧布陷阱,引诱用户去下载恶意软件或透露自己的敏感信息。
钓鱼攻击是社会工程类威胁最典型的例子。2010年上半年,平均每476封电子邮件中就有一封包含了某种形式的钓鱼攻击。这些攻击之所以更为危险,是因为它们与操作系统完全无关。由于对个人电脑的依赖性日益下降,钓鱼使网络罪犯能够利用计算机用户,无论这些用户使用的是什么操作平台。例如,2010年7月,赛门铁克观察到一个假冒是澳大利亚知名互联网服务提供商的钓鱼网站。用户收到一封电子邮件,该邮件声称最近由于客户联系方式细节的变动,网络服务提供商(ISP)无法验证其账户。邮件中包含了假冒网站的链接,并要求用户访问该网站,以对重要的客户信息进行确认,其中包括支付详情,如信用卡号码。在这种情况下,Windows和Macintosh操作系统用户、甚至是手机用户都容易上当受骗。
我们还看到在近期的一些高端攻击中,社会工程类攻击扮演了重要角色。例如,今年年初,针对大型企业组织的臭名昭著的Hydraq攻击,就部分地使用了社会工程性电子邮件。攻击者将这些邮件发送给企业组织内个人或小组,一旦用户误点击恶意链接或打开附件,Hydraq 木马病毒就会植入其电脑。#p#
预测3
流氓安全软件商变本加厉 —— 2010年,我们将看到流氓安全软件的传播者更进了一步,甚至开始劫持用户的电脑,使其瘫痪并趁机讹诈。传播者还会提供一些看起来并非恶意、至多是有些令人怀疑的软件。例如,赛门铁克注意到,一些流氓防病毒软件商将第三方免费防病毒软件进行重新包装,作为自己的产品进行销售。在这种情况下,虽然从技术上来说,用户是得到了自己所购买的防病毒软件,但事实上这些软件能随处免费下载。
状况:基本上与预测相符
理由: 流氓安全软件仍是安全软件行业及消费者所面临的最大问题之一,但是,恶意应用软件的传播者们向用户提出索要赎金,才帮助其解锁计算机的违法案件并不常见。但是,这并不意味着恶意传播者无所作为。
例如,赛门铁克最近对一家名为Online PC Doctors(在线电脑医生)的公司进行了调查,发现该公司通过热线电话哄骗用户说其计算机“被感染了”。一旦用户上当,电话专员就会远程连接该用户的计算机进行检查。接着就谎称发现其电脑感染了严重的恶意软件 。然后,电话专员会说Online PC Doctors能够“解决”这些问题,当然不是免费的。用户所要做的就是给Online PC Doctors发一封电子邮件,其中包括所有相关的支付信息以及信用卡详情。#p#
预测4
社交网络第三方应用软件将成为诈骗的目标 —— 随着社交网站有望今年再次实现前所未有的增长,针对网站用户的诈骗活动数量也将增加。同时,这些网站的所有者会采取更为积极的措施来防范威胁。在这种情况下,随着这些网站越来越多地为第三方软件开发者提供登录自己API的权限,攻击者很可能会将目标转向为社交网络用户账户提供的第三方应用软件的漏洞。正如我们所见,随着网络浏览器变得更加安全,攻击者会转而更多地利用浏览器插件。
状况:基本上与预测相符
理由:直接跟踪很困难,但据舆论反应和赛门铁克托管服务的网络安全服务的URL分析显示, 2010年社交网站触发的恶意内容拦截数量比2009年有所增加。2009年,平均每451次网络安全服务拦截就有1次是与社交网站有关的,而2010年这一频率上升为每301次拦截就有1次与社交网站有关。
同时,最近还有不少关于各种目的的流氓应用软件的报告,一些是用来传播恶意软件,另一些用于金融诈骗或利用计算机用户发送垃圾邮件。例如,最近我们发现一个嵌入智商测验的诈骗应用软件,其目的是暗中将用户注册到某项手机收费服务,服务费每月10美元。
还有一个例子能够说明这种趋势发展迅猛。Facebook最近对自己的应用授权系统进行了升级,以降低此类诈骗及通过其网络传播恶意应用软件的数量。现在,当一种应用程序要求获得用户基本信息或在用户的个人页面上发布信息时,用户都会被告知。#p#
预测5
Windows 7 将成为攻击者的目标——微软已发布了新操作系统的首个安全补丁。不管发布前的测试工作做得多么彻底,只要是由人来编写计算机程序,那么缺陷就是无法避免的。而且,程序越复杂,存在未被发现漏洞的可能性就越大。微软的新操作系统也不例外。2010年,随着Windows 7的上市,攻击者毫无疑问会找到针对其用户的新攻击方法。
状况:仍有可能
理由:到目前为止,只出现了一次针对Windows 7漏洞的大规模攻击,这让我们感到非常惊讶。值得注意的是,这种漏洞也存在于微软支持的所有操作系统中。此次攻击涉及一个名为Stuxnet的恶意软件。该软件利用的是Windows在处理超链接时存在的漏洞。虽然Stuxnet的传播范围有限,但由于它是第一个已知的针对SCADA系统的恶意软件,所以引起了人们的广泛注意。
Windows 7是微软迄今为止销量最好的操作系统。我们之所以还没有看到针对该系统攻击数量大幅增加的原因是,攻击者永远在寻找最简单的方式。由于网络浏览器及针对网络的第三方应用及插件中存在很多缺陷,而这些缺陷更容易被利用,因此,攻击新操作系统并不是侵入这些系统的首选方法。当然也有上述的个别例外情况。#p#
预测6
通过Fast Flux技术传播的僵尸网络数量增长——Fast Flux技术是一些僵尸网络(如Storm僵尸网络)使用的手段,目的是将钓鱼和恶意网站隐藏在不断变化的目标主机网络之后,而这些目标主机往往是作为代理在发挥作用。。它综合使用了对等网络、分布式指挥控制、基于网络的负载平衡与代理重定向等技术,这样一来,对僵尸网络原始地理位置的跟踪就变得非常困难了。虽然行业的应对手段使传统僵尸网络的效率不断降低,但是我们仍预计未来会看到更多应用此方法发起的攻击。
状况:仍有可能
理由: 到目前为止,我们尚未看到使用Fast Flux技术发起的新的大规模攻击。虽然希望这种趋势能够保持下去,但是今年才刚刚过去一半。我们已经观察到一个利用此技术卷土重来的攻击,那就是Storm僵尸网络,它已经成为排名首位的僵尸网络。Storm僵尸网络将继续使用Fast Flux技术,将网站域名隐藏在发送的垃圾邮件里的超链接中。
我们还看到了Spakrab等威胁的增加。这是一种通常用来发送垃圾邮件的后门木马病毒,这种病毒使用与Fast Flux类似的伪装手段,譬如,它利用动态 DNS供应商来掩盖指挥控制服务器的地理位置。动态DNS是免费的,并易于安装,攻击者可以利用没有静态IP地址的目标主机,这样一来,其物理位置就更难被发现了。
不管攻击使用的是Fast Flux还是其他类似技术,如果无法确认攻击源的位置,那么,攻击就很难被阻止。因此,网络罪犯为何大肆利用这些手段发起攻击的原因也就不言自明了。#p#
预测7
URL缩短服务成为钓鱼者最好的朋友——由于用户通常无法知道一个缩短的URL到底会将自己引导到什么地方,有安全意识的用户会在点击时再三考虑,所以钓鱼者将对链接进行伪装。赛门铁克已经发现了应用这种策略来发布具有误导性应用的趋势,并且这种趋势还会愈演愈烈。同时,赛门铁克预测,为了躲避反垃圾邮件过滤软件,垃圾邮件发送者会利用缩短的URL来发动攻击。
状况:与预测相符
理由:如预测所示,垃圾邮件发送者越来越喜欢利用URL缩短服务。在2009年7月的高峰阶段,有9.3%的垃圾邮件中含有由免费在线URL缩短服务提供的缩短式超链接,这相当于全球每天发送100亿封垃圾邮件。然而,到了2010年4月,这一峰值几乎翻了一番,达到所有垃圾邮件的18%,这也缔造了迄今为止的历史最高值。
不止是钓鱼者和恶意软件制造者会利用缩短的URL,来给那些无防范意识的电脑用户下圈套,同时,我们还发现缩短的URL被用作让原来的威胁起死回生的手段。之前提到过,2010年4月末和5月初,赛门铁克发现Storm僵尸网络死灰复燃。从新的Storm僵尸网络发出的大部分垃圾邮件信息都包含了在线购药网站的链接,这种垃圾邮件的数量在2010年5月8日达到了峰值,约占垃圾邮件总数的1.4%。这些链接大部分是以缩短的URL形式出现的。#p#
预测8
针对苹果的应用程序、设备及其它移动设备的恶意软件数量将增加——针对某一操作系统或平台的攻击数量与该操作系统或平台所占的市场份额有着直接关系,因为恶意软件制造者的目的是为了赚钱,他们始终想获得最大的利益。2009年,我们看到苹果的应用程序、设备和智能手机已经成为恶意软件制造者的目标。例如,Sexy Space僵尸网络针对的是Symbian移动设备操作系统,而OSX.Iservice Trojan针对的则是苹果用户。2010年,随着苹果的产品以及智能手机日益受到欢迎,更多的攻击者会潜心制造能够利用这些设备的恶意软件。
状况:仍有可能
理由:我们发现了一些针对Mac OS X操作系统的新的恶意软件,但到目前为止还没有一个是“惊天动地”的;我们也许永远也不会看到“惊天动地”的恶意软件,尤其是进入后PC时代之后。
在移动设备方面,目前为止已发现了300多个iPhone的漏洞,Android平台上也存在十几个漏洞,但除此之外,我们没有发现大规模的移动安全威胁。尽管如此,随着更多的应用程序涌入市场,而其中的一些程序是由新手程序员使用,如Google新的App Inventor for Android开发的,因此我们认为移动设备的安全完整性会受到影响。事实上,大众化的移动平台应用市场的迅速发展将成为未来移动安全威胁背后的主要驱动力。虽然我们不希望这样,但今年的下半年这一趋势将进入它的繁盛时期。#p#
预测9
垃圾邮件发送者破坏规则——随着经济的持续低迷,越来越多的人试图利用《反垃圾邮件法案》的宽松限制做文章。我们将看到更多的企业出售未经授权的电子邮件地址名单,更多不正当的市场营销者利用这些名单发送垃圾邮件。
状况:基本上与预测相符
理由:虽然到目前为止尚未大规模爆发,但今年我们会看到更多的“灰色”邮件。举例来说,此类灰色邮件可能是貌似合法并主动提供的新闻邮件。这些电子邮件通常为迎合《反垃圾邮件法案》而包含一个“选择退订”的信息,但事实上用户很可能从未订阅过相关的新闻,这说明邮件发送者是从不正当渠道得到这些邮件名单的。关于此类不请自来的灰色邮件,最常见的例子便是免费订阅在线新闻的邮件。赛门铁克最近进行了取样分析,此类邮件中确实包含了“选择退订”条款,因此也就遵守了《反垃圾邮件法案》,但发送邮件的公司是否能马上履行“选择退订”请求则是另外一回事了。#p#
预测10
随着垃圾邮件发送者不断应变,垃圾邮件数量将继续波动——自2007年以来,垃圾邮件的数量平均增长了15%。虽然垃圾邮件的这种大幅度增长或许从长期看来不会持久,但显而易见的是,只要经济驱动仍然存在,垃圾邮件发送者们便不会善罢甘休。2010年,随着垃圾邮件发送者们不断变化,以应对日趋成熟的安全软件以及有责任心的ISP和政府机构的干预,垃圾邮件数量将继续波动。
状况:与预测相符
理由:事实上,我们看到垃圾邮件发送者与反垃圾邮件发送者之间的“军备竞赛”一直在继续。随着诸如关闭Mariposa僵尸网络等反垃圾邮件的胜利,垃圾邮件发送者们采取了诸如大量使用一次性及被劫持的URL等方式来予以还击。虽然被识别出的垃圾邮件仅占全部邮件的一小部分,但是垃圾邮件的数量却很庞大。#p#
预测11
专业化的恶意软件——2009年,我们发现了极具专业性的恶意软件,这些恶意软件的目标是某些特定的ATM,这表明软件的制造者具备了一定的专业知识,并了解如何利用这些专业知识。赛门铁克预计2010年这一趋势将持续,并有可能出现针对电子投票系统的恶意软件,包括在政治选举和公众电话投票中使用的系统,如与真人秀电视节目和竞赛相关的系统。
状况: 仍有可能
理由:我们尚未看到专业化的恶意软件大规模爆发,但是,有一些现象使我们有理由相信,这一趋势仍将发展下去。例如,2009年末,在我们发布了自己的原始预测后,纽约的The Gouverneur Times报道了纽约汉弥尔顿县“众多投票者”所使用的电子投票机被发现感染了旨在破坏投票结果的计算机病毒。此外,之前提到的于2010年7月发现的Stuxnet病毒,其目的主要是为了盗窃SCADA相关文件,包括工业自动化布局设计和控制文件。
与最初预测有关的另一个需要注意的是,2010年4月,Rodney Reed Caverly因制造针对银行计算机和ATM机的恶意软件而被指控犯有计算机诈骗罪。他根据自己所掌握的有关计算机系统和自动提款机的专业知识,实施了此次犯罪活动,估计在被捕之前盗取了20万美元甚至更多。#p#
预测12
CAPTCHA 技术将得到改进——随着技术的进步,垃圾邮件发送者们通过自动流程破译CAPTCHA代码的难度越来越大。这样一来,新兴经济体国家的垃圾邮件发送者们将发明新的方式,通过人工生成发送垃圾邮件的新账户,从而试图绕过经改进的技术。赛门铁克估计,被雇来人工建立这些账户的人,其报酬比垃圾邮件发送者成本的10%还要低,而“账户农夫”(account farmer)的收费为每1000个账户30-40美元。
状况:与预测相符
理由: 2010年4月末,《纽约时报》报道,垃圾邮件发送者雇佣发展中国家的工人输入CAPTCHA码,人工生成用于发送垃圾邮件的新账户。这份报道显示,每1000个解码的CAPTCHAS付费从80美分到1.20美元不等。因此,我们承认,在人工费用方面,我们的预测不够准确,情况比预想的还要糟糕。但是非常遗憾的是,在整体趋势方面,我们的预测非常准确。#p#
预测13
即时信息垃圾邮件——随着网络罪犯开始寻求新的方式来绕过CAPTCHA技术,即时信息(IM)攻击的受欢迎程度也与日俱增。即时信息威胁主要来自包含恶意链接的垃圾邮件,尤其是那些针对合法即时信息账户的攻击。赛门铁克预测,到2010年底,每300个即时信息中就有一个会包含URL。从整体来看,每12个超链接中就有一个会连接到已知的恶意软件域名上。因此,即时信息中出现的每12个超链接中就有一个会包含被认为是可疑或是恶意的域名。而在2009年中期,每78个超链接中才有一个与恶意软件域名相关。
状况:与预测相符
理由:截止到2010年6月,赛门铁克的数据显示,每387个即时信息中就有一个包含了某种形式的超链接,而每8个超链接中就有一个是指向恶意网站的,例如包含某种形式、旨在对某一有漏洞的网络浏览器或浏览器插件实施“过路式”攻击的恶意软件网站。#p#
预测14
非英语类垃圾邮件数量将增加——随着全球范围,尤其是发展中国家宽带普及率的不断提高,非英语国家的垃圾邮件数量也将增加。在欧洲的某些地方,赛门铁克估计,本土化垃圾邮件占垃圾邮件发送总数的比例将超过50%。
状况:明年更有可能
理由:进一步的分析显示,一些域名收到的本国语言垃圾邮件的比例超过了50%,虽然平均水平还不得而知。某些域名(如.com)吸引的英语类垃圾邮件数量仍然多于顶级国家代码类域名。虽然我们预测这一数字将增加,但许多非英语国家中的情形恰恰相反。例如,在巴西,本国语言垃圾邮件的比例一直是最高的,但这个比例却未能像我们2009年末所看到的那样继续增长(2009年末约为41%)。事实上,在巴西本国的葡萄牙语类垃圾邮件比例已经下降为约29%。
【编辑推荐】
