根据思科ScanSafe的研究显示,在2011年第一季度,企业用户平均遇到274次基于web的恶意攻击,比2010年增长103%。为何急剧增长?一个主要的原因是路过式下载(drive-bydownload)越来越多。路过式下载是犯罪分子用来在不知情的最终用户的计算机上安装病毒和间谍软件的恶意方法。
路过式下载非常危险,因为这种攻击方式非常隐蔽:顾名思义,这种攻击方式会自动安装软件到最终用户的计算机上,而用户毫不知情。
“一旦攻击者在用户计算机上安装了恶意软件,用户的计算机中的所有信息以及计算机连接到的网络都将处于危险之中,”BarracudaNetworks公司的研究科学家DanielPeck表示。
事实上,在2011年接受卡巴斯基实验室调查的所有企业中,有一半企业遭受过这种攻击,并且造成部分数据丢失。
路过式下载如何进行攻击
Peck表示,路过式下载主要通过利用web浏览器或浏览器内的插件和其他组件中存在的漏洞来实现攻击,并且可以采取多种方式。例如,你可能在随心所欲地浏览网站时,突然进入一个攻击者设计的网站,下载恶意软件到你的计算机中,这种网站可能是攻击者专为感染用户计算机设计的网站,也可能是攻击者通过漏洞攻击的合法网站。Dasient公司(专门开发抵御web恶意软件攻击的软件)指出每个月都有超过40万个网站的近4万个网页被恶意软件感染。
另一种路过式下载是通过广告网络。在2009年,纽约时报被攻击者安插了一条假冒防病毒软件的广告,点击广告的用户会被重定向到伪装杀毒软件网站,并诱骗用户输入信用卡信息来购买杀毒软件。次年,谷歌和微软的在线广告网络也遭遇了同样的攻击。SoleraNetworks公司的研究实验室的威胁研究总监AndrewBrandt表示,犯罪分子仍然在试图使用广告网络来散步恶意软件,因为广告网络能够快速将恶意软件安装到很多人的电脑上。
还有一种路过式下载会提示用户进行一项操作以允许恶意软件控制他们的电脑。最常见的例子就是流氓杀毒软件。你在访问网页时,会突然看到一个弹出窗口,看起来像是你计算机中的合法杀毒程序,该程序会告诉你它检测到一个病毒,并要求你点击进行免费病毒扫描。
虽然流氓杀毒软件的危害不小,但这并不是最大的威胁,因为IT部门会教育最终用户不要落入这种陷阱。“只有一些路过式下载攻击需要依赖用户的不慎点击”,Brandt表示,“那些完全独立于用户操作的攻击才是最具破坏性的。”
Barracuda实验室的Peck估计,用户访问的每一千个网页中有一个网页是恶意的,并试图对用户执行一些漏洞利用攻击。
“路过式下载攻击可以悄无声息的进行,只有一些路过式下载攻击是可以避免的,越来越多的路过式下载攻击无法避免,”Brandt表示。
是什么引发了路过式下载攻击热潮?
Brandt、Peck和其他安全专家表示路过式下载攻击发生的频率越来越高。Peck说:“最近,路过式下载攻击形式似乎越来越受欢迎。”
Brandt认为,路过式下载如此盛行是因为用于感染网站的攻击工具包很容易在黑市上买到,这种攻击包非常好用,并且是自动化的,让攻击者可以在尽可能多的服务器上散播恶意软件。
浏览器环境的日益复杂也是路过式下载攻击盛行的原因之一。随着浏览器插件、附件的增加,就有更多漏洞可以供攻击者利用。
“通过创造性地使用JavaScript和其他脚本组件,恶意攻击者可以成功利用这些漏洞,并让他们随心所欲地运行任何代码,”Peck补充说。
Brandt表示,恶意攻击者通过路过式下载安装的程序范围包括:从让用户计算机崩溃的病毒到启动和停止应用程序和浏览文件系统的恶意PHP脚本。路过式下载还可以安装间谍软件、远程访问软件、按键记录软件以及能够在几秒钟内从计算机提取信息的木马程序等。它可以将计算机变成僵尸网络,或者使计算机成为其分布式拒绝服务攻击(DDoS)的一部分。
安全顾问公司JASGlobalAdvisors公司首席执行官JeffSchmidt表示,路过式下载的问题在短期内并不会缓和。“现在,随着HTML5的出现,浏览器周围的界限正在减少,所以我认为路过式下载的问题可能在未来会得到缓解。”
在那之前,路过式下载对于技术支持团队和用户来说仍然是一个噩梦。然而,虽然路过式下载将继续为不知情的用户制造混乱,IT部门可以采取一些措施来抵御这些隐形攻击。
保护员工免受路过式下载攻击的六种方法
1.鼓励员工保持软件更新。Peck、Brandt和Schmidt都认为,为了保护员工免受路过式下载攻击,IT部门可以采取的一个最重要的措施就是鼓励用户保持所有软件的更新,特别是杀毒软件、浏览器以及所有插件和附件,包括Java、Flash和AdobeAcrobat。
确保员工使用最新版本的浏览器和扩展是非常重要的,因为很多员工都习惯使用最新版本之前的版本,而大多数路过式下载攻击都是利用较旧浏览器和插件版本中存在的漏洞。AdobeAcrobat是最常用的过时插件,也是恶意攻击者最常利用的漏洞。
安装软件更新经常会对最终用户造成滋扰,因为更新(尤其是windows系统)似乎会随机弹出,打断用户的工作,并常常被用户忽视。IT部门需要提醒最终用户花五分钟来安装这些更新将大大降低通过路过式下载感染病毒而导致生产力下降的几率。
2.安装web过滤软件。Web过滤产品可以阻止用户访问被路过式下载感染的网站,这些产品可能有内置机制来检测网站是否安全,如果不安全,它们将阻止用户访问。有些产品则是寻找已知漏洞利用和路过式下载攻击的迹象。
3.在你的火狐浏览器上安装NoScript。NoScript是一款免费开源附件,允许你只能访问运行JavaScript、Java和Flash的受信任网站。Brandt表示,使用具有NoScript的火狐浏览器能够抵御“很多”路过式下载。“至少我可以告诉大家,这是防止windows计算机通过路过式下载意外感染病毒的唯一的万无一失的方法。”
4.禁用Java。Brandt鼓励用户在其PDF阅读器参数中禁用PDF文档内的JavaScript。他还建议IT部门从他们控制的所有系统中卸载Java,至少在CVE-2011-3544漏洞被解决之前,这个存储在Java归档文件内的恶意Java应用程序允许未签名的小应用程序可以不受限制地访问运行任意Java代码。
5.监视BLADE系统。BLADE代表阻止所有路过式下载漏洞利用(BlockAlldrive-bydownloadExploits),这是一个新兴的windows免疫系统,能够防止路过式下载攻击感染有漏洞的windows计算机。该系统由GeorgiaTech和SRIInternational的研究人员开发而成,BLADEv1.0是免费的研究版本,不久将可供大家下载使用。
6.不要授予用户对计算机的管理员访问权限。当分配计算机给用户使用时,精明的IT部门会为员工分配标准用户账户,而不会授予最终用户对其计算机的本地管理访问权限。
“让每个人拥有对其计算机的本地管理访问权限,这曾经是标准做法,”Schmidt表示,“从安装驱动器的角度来看,这样做让事情更简单,但同时这也意味着任何以软件都能够访问该计算机。”
Schmidt补充说,限制用户的访问权限能够减轻恶意软件的破坏程度,“如果用户打开浏览器,并且无意下载了恶意软件,那么恶意软件的破坏程度就被限制在了用户层面,它并不能控制整个计算机。”
【编辑推荐】
