概述
现如今,互联网已成为人们家庭与工作生活中的重要组成部 分。恶意软件制造者们正是看准了这一事实,开始通过互联网发动攻击。他们的目的并非成名,而是想谋利。本白皮书将分析一些当今流行的攻击技术,并简要说明在互联网上保持安全的一些最佳做法。
1. 简介
互联网技术的发展改变了企业与消费者相互沟通及交互的方式。互联网已成为信息共享与商务交易的主要平台。同时,互联网变得日益复杂、没有界限。现在,一张网页上可能包含着来自全球许多同步数据源的信息。只要其中一个数据源遭到攻击,新的网站攻击就可能快速传播并发送给许多毫无戒心的互联网用户。网站攻击的普遍性与复杂性,加上基础设施的漏洞,使得互联网变得异常脆弱,越来越容易受到攻击。2008 年,赛门铁克发现互联网威胁的数量与复杂程度都大幅提高,全球各地的用户都受到不同程度的影响。
本白皮书旨在提供有关基于Web 的攻击分析的常规认识,并分析在过去一年内,造成向这种攻击类型转变的一些影响因素。从2008 年至2009 年初,我们对威胁趋势进行了长时间的监视,发现了许多基于互联网活动的新兴威胁技术和格局。下面介绍了其中影响最大的几种威胁趋势。
在本白皮书中,我们将对其中每种趋势进行详细的说明,并分析每种趋势会给业已十分危险的新威胁格局所带来的影响。在本白皮书中,我们将查看网站攻击通常藏身于何处,例如,您再也不能简单地认为非法网站是网站攻击的唯一藏身地- 在当今的互联网环境下,任何网站都可能遭到攻击者的攻击,并可能被用来攻击您的计算机。我们将对用户浏览互联网时黑客用来感染其计算机的技术进行分析,并将探究恶意软件在进入用户的计算机后可能发动的一些恶意活动。另外,我们还将分析为何在面对新的威胁格局时,某些传统的防护方法(例如特征式防病毒)已不能提供充分的全面防护。最后,我们将探讨您可以采用的一些额外防护措施,以降低您或您的计算机遭受网站攻击的可能性。
网站攻击分析
首先,我们先对典型的网站攻击进行整体分析。下图说明了组成典型网站攻击的三个不同活动阶段。
我们发现网站攻击有许多不同的攻击方式,但一般说来,这些攻击都遵循下面的基本事件顺序来攻击受害者。
1. 攻击者入侵合法网站,并发布恶意软件恶意软件已不仅仅存在于恶意网站之中。现如今,合法的主流网站也常常成为恶意软件的宿主,将恶意软件传递给毫无戒心的访客。第2 节将分析现代网站的复杂性,以及其受到攻击时黑客所用的常见技术。
2. 攻击终端用户的计算机在用户访问包含恶意软件的网站时,网站上的恶意软件会设法入侵该用户的计算机。第3 节将详细说明被称为"偷渡式下载"的一些技术,这些技术可以在无需用户交互的情况下,自动入侵用户的计算机。第4 节将探讨一些其他技术,这些技术需要用户提供某些输入,但其威胁性较"偷渡式下载"却有过之而无不及。
3. 利用终端用户的计算机进行恶意活动大多数恶意活动在新恶意软件入侵用户计算机之后便悄悄开始了。第5 节将分析用户计算机上的常见恶意活动。在本白皮书的最后,我们将探讨一些可供IT 管理员和个人在浏览互联网时用来防御网站攻击的技术。
2. 网站如何受到感染?
在2008 年,赛门铁克发现大量的合法网站被攻击,并且在不知不觉中成了将网站攻击带给毫无察觉的网站访客的帮凶。在本节中,我们将分析为何合法网站会成为恶意软件制造者锁定的目标,并将探讨黑客们在攻击这类网站时所采用的一些较为流行的技术。
为何将攻击目标锁定主流网站?
在过去,企图通过互联网安装在用户计算机上的恶意软件,通常是来自互联网上见不得光的网站。恶意软件制造者深知,通过锁定从事非法活动的网站(例如成人内容或盗版软件),他们可以找到大量缺乏安全意识的用户,这些用户只关心其眼前的需求,而不会对下载到自己计算机里的内容进行准确的判断。
而现在,恶意软件制造者们正在锁定更大的目标群体。能够躲避攻击,保证不发送恶意软件给不知情访客的网站少之又少。主流网站上的大量用户群成为恶意软件制造者锁定的目标。也许还有一个更主要的原因,那就是主流网站上的大批用户都不担心自己会成为恶意软件的攻击目标,因为他们认为,如果只浏览主流网站,是不会存在安全问题的。
2008 年,赛门铁克发现在来自808,000 个不同域的网站攻击中,有许多来自主流网站,包括新闻、旅游、联机零售、游戏、房地产、政府及许多其他网站。很遗憾,只访问合法网站就可以保证安全的观念已经不可取了。
现代网站的复杂性
似乎每过一年,就会出现一种通过互联网向用户传播信息的新媒体类型。此外,当前互联网所用计算功能的复杂性不断增加,这些都意味着当今的网站服务器已发展成为一系列非常复杂的程序代码。当您访问某个网站时,您所浏览的并非单个的静态页面,而是由许多不同互联网资源组成的内容组合,而这些内容又是通过许多不同的脚本技术、插件组件和数据库以动态方式创建而成的。
这些组成部分必须可以相互通信,而这种通信又往往需要借助可能存在漏洞并时刻受到检测与攻击的网络才能实现。此外,网站的某些内容可能来自完全由第三方控制的不同网站。您可以设想一下广告在大多数网站上的显示方式。这类广告很可能来自第三方托管网站,而其显示所在网站的管理员对这些广告的控制权限则非常有限。一个网站的内容来自十(10) 或二十(20) 个不同的域是很常见的,正是来自这些不同域的网站内容组合在一起,才形成了用户最终看到的单个网页!
由于维护此类网站服务器的安全任务始终跟不上构建网站的增长步伐与升级的复杂性,因此,越来越多的网站变得容易受到攻击。
合法网站如何遭到攻击?
有许多不同的攻击媒介可让合法网站暴露在攻击威胁之下。在2008 年,我们发现了许多采用下列攻击技术的实例:
1. SQL 注入式攻击
2. 恶意广告
3. 搜索引擎结果重定向
4. 针对后端虚拟托管公司的攻击
5. 网站服务器或论坛托管软件中的漏洞
6. 跨网站脚本(XSS) 的攻击
以下章节将分析一些当今黑客日常活动中较为流行的攻击技术。
SQL 注入式攻击
现在有很多网站(尤其是大型、高流量网站)都以动态方式使用存储在数据库内的信息建构网站内容。用户与这类网站交互时,会从数据库读取信息并将信息写入数据库。因此,维护网站安全的任务必须扩展到数据库本身以及数据库中存储的数据。
针对这一现象,有一种流行的攻击方式:使用SQL 注入技术来篡改数据库。这项技术会搜索那些依靠数据库进行工作的网站,寻找其缺陷,并展开攻击。许多情况下,攻击者会在互联网输入表单中未设置验证的输入字段(例如登录表单或帐户查询表单)插入(或注入)额外的SQL 命令,而这些命令随后可能会直接被发送到后端数据库中。经过一些尝试与错误探查后,此项技术会向攻击者提供数据库的数据结构,攻击者可以利用这些数据添加他们自己的恶意内容,而这些恶意内容稍后会传送给毫无戒心地访问该受攻击网站的用户。通常,添加的内容包括指向恶意网站的隐藏式链接,恶意网站中包含各种基于浏览器的攻击工具,会对无戒心用户的计算机展开恶意攻击。
我们发现了一种非常流行的恶意软件,称为Trojan.Asprox ,它会自动运行此类攻击。Trojan.Asprox 的第一个组件使用流行的搜索引擎来搜索可能存在漏洞的网页。然后使用SQL 注入技术攻击这些网站。
自动攻击会持续测试后续的网站,直到发现包含易受攻击输入字段的网站,然后将恶意HTML 程序代码直接插入数据库。通常,恶意 HTML 程序代码会以HTML 标记的形式存在,例如指向恶意脚本代码或恶意网页的IFRAME。IFRAME 是一种HTML 标记,可以将一个HTML 页面嵌入另一个HTML 页面之内。下图介绍了插入的隐藏式IFRAME 可能的存在形式。
当毫无戒心的受害者请求该网页时,网站服务器在建构网页的过程中,就会从受到攻击的数据库检索数据,并将此恶意代码(上图中的红色部分)提供给受害者。如果浏览器或其插件存在漏洞,受害者的浏览器就会开始执行恶意IFRAME 所指向的恶意代码。
恶意广告
赛门铁克发现,有越来越多的黑客开始利用恶意广告来攻击合法网站的用户,攻击者会利用向合法网站提供内容的众多广告内容供应商中的一个来发动攻击,而非直接从网站自身发动攻击。现在的许多网站都会显示由第三方广告网站托管的广告。信誉卓著的广告公司会验证他们提供的广告内容,以检查是否遭到攻击。然而,由于每天发布的在线广告数量巨大,加上发布机制的自动特性,难免会漏过某些恶意广告内容,无意间使其依附在完全合法的网站上。与这个问题相伴的事实是,某个恶意广告可能每1,000 次页面查看才会显示一次,或只向特定地区的访客显示,这些特点使得恶意广告很难被检测和根除。
许多广告是使用JavaScript 脚本语言编写的。该脚本语言中的函数很容易被滥用,可以悄悄地将用户重定向至恶意网页。因此,虽然托管网站本身没有威胁,但网站上的广告却很可能将用户重定向到包含网站攻击的恶意网页。去年,我们在许多品牌形象良好的合法网站上 都发现了这类恶意广告。
举例说明,某个颇受欢迎的房地产网站的访客即报告说在访问该网站时其端点安全软件有时会发出防护警报。而没有运行端点安全软件的用户则报告遇到弹出式窗口,且系统速度减慢。显然有地方出了问题。而当网站管理员调查问题时,却找不到任何安全问题。然而,经过安全研究人员的深入调查,发现该网站包含会自动感染用户的偶发性恶意广告。该网站包括数百种不同的广告,它们会根据搜索参数和/或终端用户所在的地区交替显示,这使得检测攻击的难度非常之大。
3. 进入用户的计算机(第1 部分- 自动)
本节我们将了解黑客从网站自动发送恶意软件内容到用户计算机时所使用的技术。
偷渡式下载
现在最危险的一种恶意软件感染形式被称为"偷渡式下载"。仅仅是浏览网站,便可将可执行内容自动下载到用户的计算机上,而且用户毫不知情,也无需用户授权。而且也不需要用户交互。
下图说明了在成功的偷渡式下载中按顺序发生的典型事件。我们每天都能见到许多这样的示例。
1. 攻击者攻击合法的"规范"网站。
首先,攻击者要找到入侵"规范"网站的途径。在前一个章节中,我们简要说明了一些常见的攻击技术,例如SQL 注入式攻击。攻击者可以将隐藏式IFRAME 插入到合法网站的一个或多个页面内。此链接指向单独的恶意网站,而这些恶意网站会将真正的恶意代码发送给毫无戒心的用户。
2. 用户访问"规范"网站。
使用Windows 更新来保持计算机更新(以确保计算机上的基础操作系统和浏览器拥有所有最新的软件补丁程序)的用户访问受到攻击的"规范"网站。不幸的是,其系统上运行的多媒体插件与文档查看器(用来收听音乐与查看文档)已经过期,并出现了许多可以从远程进行攻击的漏洞,而他们却毫不知情。
3. 用户在浑然不觉的情况下,被重定向到"不法"网站。
"规范"网站页面上的隐藏式IFRAME 会诱导用户的浏览器悄无声息地从"不法"网站提取内容。在进行这些活动时, "不法"网站能够判断出用户计算机上运行的是哪种操作系统、网页浏览器以及有漏洞的插件。"不法"网站可据此判定用户浏览器是否附带并运行了有漏洞的多媒体插件。
4. 恶意代码被下载到用户的计算机。
"不法"网站会发送经过特别设计的多媒体数据,其中包括对受害者计算机的攻击; 一旦多媒体播放器播放此内容,攻击者就会获得对此计算机的控制权。
5. 在用户的计算机上安装恶意程序码。
利用用户多媒体播放器上的漏洞,在用户的计算机上安装一个或多个恶意软件文件。
6. 恶意软件利用用户的系统为所欲为。
现如今的恶意代码能够窃取个人信息(例如网上银行信息、电子邮件、游戏密码),并将其返回给攻击者。
受害者通常对整个攻击过程毫不知情,攻击也不会留下可疑线索,让用户知道计算机已受到攻击。
软件漏洞
漏洞是指应用程序(例如网站服务器与网页浏览器)中的错误(缺陷),如果遇到攻击,可能会导致应用程序执行不该执行的操作。此类行为使攻击者有机会攻击安装了该软件的系统,并可能包括以下情况:
* 运行攻击者指定的任意命令
* 从互联网下载文件
* 运行本地文件
* 破坏应用程序
赛门铁克在其Security Focus 网站(www.securityfocus.com) 上跟踪所有主要软件漏洞。
从2003 年开始,Windows 操作系统中隐藏的漏洞(在MS-RPC DCOM 和LSASS 组件中)导致了Blaster 和Sasser 等蠕虫的自我复制和扩散。后续发布的Microsoft Windows XP SP2 和SP3 消除了许多此类操作系统漏洞。然而,最近爆发的Downadup/Conficker 蠕虫利用的是已知的MS-RPC 漏洞(MS08-067 ),这也说明了在监控所有可能影响操作系统的已发布漏洞方面,需要持续保持警惕。
从更近期的情况来看,攻击目标已转移到网页浏览器、ActiveX 控件、浏览器插件、多媒体、文档查看器和其他第三方应用程序上。只要用户访问某个受到攻击的网页,其中某个应用程序中的一个漏洞就可能让用户的系统毫无防御能力并遭到攻击。
虽然底层操作系统鼓励用户自动下载并安装针对已知漏洞而发布的更新,但许多公开数据 显示,终端用户并未及时为其系统安
装修补程序以解决已知漏洞。最近的一篇文章 称,即使不考虑带有漏洞的第三方插件、ActiveX 控件和多媒体插件的影响,仍有6 亿个浏览器处于不安全状态。
我们每天仍发现有各式各样的漏洞不断遭到攻击。其中不仅包括没有修补程序的未知或新发布漏洞,也包括已经发布修补程序的漏洞。2008 年,我们还发现其他许多受到攻击的漏洞,包括:各种网页浏览器、ActiveX 控件、浏览器插件、文档阅读器和其他第三方应用程序。
网站攻击工具包
找出用户环境中的可攻击漏洞并不容易,但网站攻击工具包使这项任务轻松了许多。网站攻击工具包是专为检测用户的计算机并自动攻击安全漏洞而编写的软件程序,它可以为攻击者提供一条可供入侵用户系统的捷径。这类现成的软件工具包可让任何怀有恶意的用户自动攻击成千上万个系统。此类常见工具包的例子包括Neosploit、MPack、Icepack、El Fiesta 和Adpack。
网站攻击工具包具有易于使用的接口,并且不需要任何技能便可进行实际攻击。它们通过攻击存在漏洞的浏览器、ActiveX 控件和多媒体插件版本中的漏洞来进行攻击。一旦成功攻击某个漏洞,攻击者就可以在终端用户的系统上随意插入任何特定恶意软件。
隐藏式攻击:猫捉老鼠的游戏
网站攻击工具包提升了攻击者的灵活性,有利于其成功攻击并逃避检测。网站攻击工具包的存在使遭到攻击的系统数量大增。这些工具包对以下一些技术起到了促进作用:
1. 限定受害者范围。
通过仅根据当前在潜在受害者计算机上运行的特定操作系统、浏览器类型与插件进行有针对性的攻击,工具包在将攻击成功率提升到最大的同时,也会将攻击者被检测到的机会降至最低。这种有针对性的方法通常称为狙击手式攻击。
2. 选择攻击时间。
通过每小时或每天仅发动一次的恶意攻击,使网站管理员和安全供应商更加难以检测与补救。
3. 地区变化。
根据用户所在的地区或操作系统语言类型,发动区域性攻击。这可以避免在特定攻击无效的地区浪费攻击力量。
4. 有选择性地攻击漏洞。
各种新旧漏洞都会受到攻击。在某些情况下,只有在不能攻击旧漏洞时,才会攻击新漏洞。
5. 暴力攻击。
鉴于修复漏洞已变得越来越普遍,攻击工具包可能会转向发动范围更广泛的攻击,在一次攻击中将目标锁定在多个漏洞上,希望攻击会对其中的某个目标有效。只要对一个漏洞的攻击成功,整个攻击就会成功。这种广泛锁定目标的方法称为霰弹枪式攻击。
6. 机会法则。
攻击工具包不会尝试攻击每一位网站访客,而是随机发动攻击。这使得安全管理人员更加难以检测到。
7. 代码混淆式攻击。
发送至客户端计算机的攻击会使用各式各样的技术进行伪装。
8. 动态更改的URL 与恶意软件变体。
定期更改URL 以及发送恶意软件的做法,使检测任务变得愈加困难。
以下章节将详细分析我们近期发现的2008 年安全领域所呈现的大幅变化趋势。
代码混淆技术在实际攻击中的应用
代码混淆是一种越来越常见的技术,它通过使操作更复杂因此更难以检测来隐藏攻击。2006 年,我们的统计显示只有少部分攻击属于代码混淆式攻击。但在2008 年,我们发现大多数攻击都属于某种形式的代码混淆式攻击。
攻击者的典型手法是采用恶意代码(通常是采用JavaScript 的形式),并利用专有的加密方式将其加密。例如,一个简单的恶意重定向代码可能如下所示
相比之下,代码被混淆后具有重定向功能的恶意JavaScript 重定向代码则可能如下所示:
当此被混淆后的代码在网页浏览器上执行时会自动自行解码,并发生上述重定向(至www.example.com );完成解码之后,浏览器就会心甘情愿地遵循此链接访问恶意网站。通过使用这类代码混淆技术,攻击者可以成功隐藏攻击。
由于遭受攻击的每个网站可能拥有不同的重定向逻辑代码混淆版本,因此这项技术使常规的特征式防病毒工具很难在用户的计算机上检测并阻止这类攻击。
动态更改URL 与恶意软件:
2008 年初,赛门铁克发现了Trojan.Asprox 的感染高峰。这种木马程序编写工具使用动态创建的URL 来隐藏源文件,让恶意软件代码更难以检测。与此攻击相关的恶意域与URL 每天都会生成,其中包括一些与搜索引擎统计收集结果相关,且看起来就像真实域名的域与URL。当网站管理员或IT 管理员调查网页时,他们会看见类似搜索引擎跟踪URL 的情况。URL 通常包括拼写错误或字符变换,初次看见时,可能会让人误以为是真实的域。
2008 年,赛门铁克发现服务器端多态型威胁的使用率大幅增加。在此类攻击情形中,攻击者会控制托管恶意软件文件的网站服务器。此外,攻击者会在网站服务器上运行特殊的"多态型"软件,该软件每隔几分钟或几小时就会动态生成该恶意软件的新变体(每一个都有其专有的特征)。因此,每当新的无戒备用户访问该恶意网站时,都有可能收到不同的恶意软件文件,这样每天就可能会出现数百个新的恶意软件变体!这使得使用常规的特征式防病毒方法检测恶意软件就变得极具挑战性,并使不同的恶意软件样本以极快的速度增加。赛门铁克过去一年中所发现的恶意软件剧增是前所未见的。从2002 到2007 年,我们共累积收集
了800,000 个独一无二的恶意软件特征。而仅在2008 一年,我们就收集了1,800,000 个独一无二的特征,与2007 年相比增加了239%,而且此趋势短期内还没有趋缓的迹象。
劫持网页或"点击劫持"
这是赛门铁克最近发现的新技术,攻击者可利用此项技术劫持对网页的点击。在此情况下,攻击者会在网页上放置看不见的图层。用户点击看似无害的按钮或链接(例如游戏按钮或视频)时,攻击者的代码就会自动执行,通常引导用户访问恶意网站或其他误导应用程序。
当今的攻击使传统的检测技术毫无招架之力
偷渡式下载攻击使仅具有防病毒功能的传统特征式检测技术几乎没有用武之地。使用常规的病毒特征很难(即使可以)检测到针对多媒体、阅读器、浏览器和第三方软件漏洞的攻击,因为这些攻击会利用隐藏的漏洞,自动显示在浏览器中。相比之下,常规的防病毒软件只知道如何在文件中搜索,却不会搜索网络通信,因此使得这类攻击遁于无形。当这种技术与代码混淆技术相结合时,常规的检测方法就更加无能为力了,因此我们就不得不采取新的检测与防护方法。
防护当前最新的威胁需要采用主动式防护技术。诸如Symantec Endpoint Protection 11 和诺顿2008 及2009 产品之类的新型解决方案包括:
* 网络入侵防护技术,有助于防护利用隐藏漏洞发起的攻击
* 浏览器防护功能,可以保护浏览器与插件免受代码混淆式威胁的入侵
* 启发式与行为式的检测技术,可以防护不能预期的新型攻击技术
这些攻击的发生频率如何?
来自主流网站的偷渡式下载每天都会发生数千例。受到感染或攻击的企业与消费者客户数量已经多到令人担忧。用户浑然不觉自己已经受到感染,因为此类攻击不需要用户交互即可发动。
赛门铁克已经发现有关各类型主流网站托管偷渡式下载或包括恶意广告的数千个案例。2008 年,赛门铁克的"诺顿社区防卫"从受保护的诺顿消费者客户群中,发现有超过1800 万次偷渡式下载感染尝试。2008 全年,偷渡式下载都呈现持续上升的趋势。
4. 进入用户的计算机 (第2 部分- 需要用户的"配合")
在上一节中,我们讨论了恶意软件制造者用来在无需用户激活的情况下进入用户计算机的一些技术,例如偷渡式下载。这些技术都利用了用户未打补丁的计算机上所存在的漏洞。然而,恶意软件制造者还有其他工具,甚至可以用来攻击较为谨慎的用户及其计算机。此类攻击着重于社会工程技术,而这项技术也是本节的重点。
社会工程实际上是一个现代术语,常规一点的叫法是信心骗局或欺诈,它指的是欺骗他人从事其根本不想执行的活动的骗术。在本节中,我们将分析一些我们所发现的用来欺骗用户在其计算机上下载与安装恶意软件的常用技术。
仿冒的解码器
互联网上有许多不同的多媒体文件格式,其中的许多文件格式需要特殊的软件才能查看或收听。因此,互联网用户知道自己有时必须下载与安装新的媒体播放器或浏览器插件,才能查看所访问的网站内容。用户在访问新网站时常常会收到提示,请求其下载新播放器或插件的最新版本。通常所说的编解码器(编码- 解码器)是指一种可以为二进制文件解码并重组原始音频或视频版本的软件。
恶意软件制造者会通过创建包含诱人内容(例如成人内容或音频及视频文件存储库)的网站,来伪造用户所熟悉的情景。当用户访问网站时,会被提示必须安装新的编解码器,才可以访问网站的内容。然而,用户授权下载并安装到其计算机上的可执行内容,实际上并非编解码器,而是一款恶意软件。
此屏幕截图显示了一个仿冒的解码器,它提示用户安装"视频"编解码器,实际上却安装了一款恶意软件。我们看到许多这样的实例,即恶意软件制造者冒用可信任视频与多媒体播放器的徽标与图标,使恶意软件看起来更合法。
所安装的"视频编解码器"实际就是感染用户计算机的木马程序。Trojan.Zlob 和Trojan.Vundo 都是我们在2008 年发现的非常流行的木马程序。赛门铁克发现受感染的博客留言、即时消息垃圾信息以及恶意文本广告,都是将用户带往此类仿冒的解码器网站的主要工具。
恶意点对点文件
点对点(P2P) 文件共享系统已经成为分享合法与非法数字内容的常见途径。这些系统为恶意软件通过互联网入侵用户计算机提供了另一条渠道。恶意软件制造者会将其恶意内容与流行应用程序捆绑在一起。我们已发现他们在文件命名方式上采用了许多充满创意的做法,为了吸引更多用户的注意,他们会使用名人的姓名或流行的品牌名称。然后,他们会将这些文件上传至流行的文件共享网站,等待毫无戒备的用户上钩。当用户搜索自己喜好的应用程序或电影时,搜索到的就是受恶意软件感染的版本。
我们在研究中还发现,互联网上有许多关于创建此类伪装恶意软件应用程序进程的在线公开教学课程材料,其中包括了有关如何将应用程序发布至P2P 网站的入门指南、网站使用建议、如何使用代理服务器来提供文件,以及如何防止因为误用而被关闭的情况。
恶意广告
在恶意软件制造者用来开发新业务的技术当中,最招摇的一种可能就是通过利用广告来模仿合法业务。
在上一节中,我们介绍了表面上看似合法的广告如何造成危害,现在我们将提出一些证据,说明恶意软件作者如何直接向毫无戒备的用户宣传他们的仿冒的解码器。
在其中一个示例中,我们在一个主要搜索引擎上进行了网页搜索,通过关键字搜索一款新游戏的免费版本。除了常规结果之外,其中有一个赞助商链接指向了伪装成游戏官方版本下载页面的网页,但实际上这是一个指向伪扫描程序网页的网站。广告供应商已开始注意到此问题,并采取了一些措施来防止恶意软件作者利用其服务,但由于每天显示的文本广告数量巨大,难免仍有一些恶意软件在审查过程中成为漏网之鱼。
伪扫描程序网页
恶意广告技术的一种变体是创建特定网站来推广公然误导事实的服务或产品。
此类网站可以轻易地利用浏览器的JavaScript 功能,让用户的浏览器显示弹出式窗口,其中会显示看似合法操作系统警报通知的内容。在所示的图中,您可以看到我们偶然发现的一个警报通知,它试图让用户相信其计算机已经受到感染。实际上,这只不过是吓唬人的把戏。
此外,我们还发现了数千个此类伪扫描程序网页,它们采用了具有创新性和说服力的社会工程策略。例如,我们曾发现一个将其自身定位为"成人内容图片扫描程序"的伪扫描程序网页。该网页会装做扫描系统中的可疑图片,然后显示预先保存的色情图片,并宣称该图片是从用户的系统中发现的。接下来,该网页会提示用户下载伪卸载工具,以删除这些图片。我 们会在下一节中进一步讨论伪造或误导应用程序。
垃圾博客
博客提供了另一种影响用户采取与平常不同操作的渠道。合法的博客经常会感染一些URL 链接,这些链接会指向使用社会工程骗局或浏览器攻击技术的网页,进而感染用户的计算机。攻击者常使用博客留言板块来张贴此类链接。这些留言常常会使用一些有吸引力的语句, 来吸引访客点击该链接。地下网络中提供了一些工具,可以将博客垃圾信息的发送过程自动化。
其他攻击媒介
如今用来传播恶意软件的其他媒介还包括垃圾邮件和盗版软件网站。与过去不同,攻击者不再直接将恶意软件植入电子邮件,而是将URL添加到垃圾邮件,这些URL 会直接指向恶意偷渡式下载网站或伪扫描程序/仿冒的解码器网页。盗版软件网站亦称为"warez"网站,除 了盗版软件之外,此类网站通常还包括会攻击终端用户系统的木马程序。
5. 用户的计算机上将发生哪些变化?
到目前为止,我们一直将重点放在帮助恶意软件从其制造者向用户计算机传播的一系列事件。现在,我们要将注意力转移到恶意软件本身,以及在其抵达用户的计算机时会进行的活动。在本节中,我们将介绍我们所发现的恶意软件在用户计算机上进行的一些活动。
购买误导应用程序
也是以欺骗为主题,目的是将恶意软件置入用户的计算机;我们发现在过去12 个月内,恶意软件攻击用户最常用的形式就是"误导应用程序",又称为"流氓程序"或伪防病毒应用程序。
误导应用程序会故意错误显示计算机的安全状态。其目标是让用户相信自己已受到恶意软件的感染,并且应该立即采取操作,删除计算机中的潜在不必要程序或安全风险(通常并不存在或是伪造)。
误导应用程序通常看起来非常有说服力- 此类程序可能与合法安全程序类似,并且通常有对应的网站,其中包括用户的建议、功能列表等等。
完成初始部分安装之后(通常是通过由恶意网站攻击发送的木马程序进行),这些应用程序会尝试恐吓用户,让其相信自己的计算机已经受到数个威胁的感染。用户浏览互联网时,攻击者会利用持续的弹出式窗口以及任务栏通知图标等来达成此目标。此时,伪防病毒软件就会阻止用户,使其不能浏览至真正的防病毒厂商网站,并防止伪防病毒软件本身被卸载。该应用程序会拒绝允许用户删除或修复这些实际不存在的安全问题,以此威胁用户,直到用户购买并安装软件完整版本为止。系统会鼓励用户购买软件,并将其带往订购页面,他们在那里可以"方便地"将信用卡号码和其他个人信息提供给攻击者。我们发现,此类产品的价格范围通常在30 美元至100 美元之间。这种方法已经成功骗过了数千人,而他们都认为自己购买的是合法软件。
这些攻击的发生频率如何?
2008 年后半年,赛门铁克检测并阻止了超过2300 万次误导应用程序的感染企图。因为每次感染企图都需要用户点击或安装程序,因此攻击者散布这些数据包的时间很长、范围也很广泛,因为他们知道只有少数终端用户会安装这些误导应用程序。垃圾邮件的散布者也使用
类似的手法,试图将电子邮件散布给尽可能多的人,因为他们知道只有少数终端用户会落入这个圈套。
促成误导应用程序快速成长的唯一动机就是谋取财富。误导应用程序制造者已经创建了完整的经销与营销网络来散布其软件。即使在
2300 万名终端用户中,只有1% 的用户落入敲诈陷阱,误导应用程序作者也能坐收超过1100万美元的收益。 如需有关攻击者利益动机的详细信息,请参见"赛门铁克地下经济活动报告"。4
哪些误导应用程序最为盛行?
2008 年12 月,赛门铁克发现下列误导应用程序最为流行。恶意软件作者通常会使用"多态型"工具来重新虚拟机器并改变其应用程序,让检测任务变得益发困难。
恶意软件可能会在计算机上执行的其他动作
窃取个人信息
许多恶意软件程序会记录键盘上进行的每一次击键行为。这些恶意软件程序称为击键记录程序。当用户通过受到攻击的系统浏览至在线帐户(例如银行、购物、游戏和电子邮件帐户)时,击键记录程序就会捕获其个人信息(例如用户名和密码)并返回给攻击者。
利用您的计算机攻击其他计算机
另一种常见的攻击是将受害者的计算机纳入由其他受攻击计算机组成的网络,而攻击者可以远程利用该网络进行恶意活动。僵尸程序是指悄悄安装在受害者计算机上的程序,可以让未经授权的用户从远程控制受感染的系统。僵尸网络是指受僵尸程序感染的一组计算机,它们都受到攻击者的控制。
6. 您应该采取什么措施来保护自己?
本白皮书前面的章节阐明,即使是保持谨慎并且只浏览主流合法网站的互联网用户,也可能成为网站攻击的受害者。在本节中,我们将探讨一些可供您用来保护自己的计算机和信息不受网站攻击侵害的防护措施。这些措施包括:
将软件更新至最新版本
这可能是看似没有必要的琐事,但是您可以采取的最重要的防护措施之一,就是尽可能让系统上的所有软件更新至最新版本。其中包括操作系统(例如Windows )、应用程序、网页浏览器和相关的插件软件。现有软件中新发现的漏洞是攻击者在未经授权的情况下入侵系统
的最佳途径。软件发行者会定期发布更新来修复已知的漏洞。如有可能,您应该启动软件自动更新,这样在有新的更新发布时,它们就会自动下载并安装至您的计算机。
3 以每套误导应用程序平均50 美元的价格计算。
4 赛门铁克地下经济活动报告
http://www.symantec.com/business/theme.jsp?themeid=threatreport
部署全面的端点安全产品
常规的特征式防病毒产品只能检查系统上的文件。全面的端点安全产品可通过许多额外防护级别弥补这一不足,包括:
*启发式文件防护。即使没有常规的病毒特征,这项技术也能够让安全产品根据文件本身的特性发现新的病毒变体。
*入侵防护系统(IPS )。入侵防护系统不只专注于磁盘上的病毒文件,它还会监控网络通信并搜索可疑的行为,在攻击进入系统之前便将其拒之门外。在近期的第三方测试中,赛门铁克产品利用其入侵防护系统和浏览器防护技术检测到了所有的偷渡式下载攻击,而排名紧随其后的竞争对手仅检测到不足60% 的攻击。
*行为监控。即使恶意软件绕过入侵防护系统及文件防护功能(包括特征式与启发式防护功能)的防御进入您的系统,行为监控系统仍可能将其捕获。其工作方式是监控系统上的软件运行操作并搜索可疑行为(例如尝试访问您的个人数据或进行击键记录)。
全面的安全产品应该包括所有这些防御级别,此外,还务必确保已经启用所有这些功能。
订购最新的安全产品更新
安全产品的好坏取决于其底层的安全内容。其中包括病毒定义与入侵防护系统特征,它们通常会每天通过网络更新数次,并确保您的安全产品拥有最新的有效防护。更新中的任何错误都可能很快地侵蚀产品的防护能力。举例来说,试想赛门铁克当前每天提供针对超过10,000 种新病毒样本的防护。如果一周没有更新,就可能意味着用户错过了针对70,000 种独一无二的新病毒变体的防护。保持产品订购有效,以主动防护恶意软件使其远离您的系统,同时保护您免受最新威胁入侵,这一点至为重要。
保持警觉
对您访问的网站、点击的链接、打开的搜索结果以及安装的应用程序持谨慎态度。许多攻击依靠社会工程技术进入您的系统,因此即使您的所有软件都是最新的并且您拥有全面的最新安全产品,如果您授权恶意程序进入系统,将攻击者请到自家门前,则您仍有可能成为攻击
的受害者。
一般说来,若提供的产品或服务太过优惠诱人,则用户要有所警觉。您可以遵循一项常规原则:如果有所怀疑,就拨打电话- 不要依赖电子邮件内包括的信息或网页上显示的内容。
如果需要协助判断互联网上搜索的结果,请使用诸如诺顿网页安全之类的"安全搜索"解决方案。(http://safeweb.norton.com)
采用密码策略
有效的密码策略有助于保护在线信息的安全。
*有效的密码应包括字母、数字和其他键盘字符的组合。
*尽可能避免所有帐户都使用相同的密码。当然,在众多网站都请求用户创建帐户的情况下,做到这一点非常困难。请至少为最敏感的在线帐户使用独一无二的密码(例如银行帐户和电子邮件帐户)。
防患于未然上述的许多自我防护步骤看起来似乎是基本常识,但在我们分析的受到感染或安全受到破坏的企业与消费者中,有许多用户并未遵循这些简单的步骤。
如果您够积极主动,保护自己免受最新互联网威胁的入侵就会变得非常简单。受感染之后才部署新的安全产品或者才续订安全产品,可能耗费高额成本并且难以见效。与感染之后再清理系统相比,企业机构和终端用户运行几个额外的步骤,从一开始就降低受感染的机会,这
样做不仅更具成本效益,而且能够更好地利用资源。
7. 结论
互联网日趋复杂,威胁状况也是日新月异。终端用户和IT 管理员必须在自我防护方面始终保持警惕。利用已过期的常规特征式防病毒技术或在完全没有保护的情况下浏览互联网,很快就会遭受严重的恶意软件感染,从而导致系统受损。本白皮书中阐述的许多威胁并不能单
靠特征式防病毒技术来防御。
从悄无声息地让恶意软件溜进您系统的偷渡式下载,到将您重定向至企图向您敲诈钱财的伪防病毒产品的恶意广告,互联网世界里充斥着各种未知的威胁。您的威胁防护策略必须不断进步,才能更好地防护当前及未来的威胁状况。
无担保。本文档"按现状"提供,Symantec Corporation(赛门铁克公司)对其准确性或使用不做任何担保。使用此处所含的任何信息,其相关风险均由用户自行承担。文档可能包含技术上或其他方面的不准确性或排印错误。Symantec(赛门铁克)保留随时进行修改的权利,恕不另行通知。