Web安全和广域网优化解决方案厂商Blue Coat系统公司日前发布了《2011年中网络安全报告》,报告研究了网络恶意软件的生态系统,其中包括10大恶意软件交付网络。这些恶意软件交付网络通常是跨越多个站点而托管的,并负责向不知情的用户发起动态攻击。报告还研究了网络恶意软件生态系统的相互作用,包括用户行为、托管站点和交付网络。
信誉防御效果开始降低
恶意软件传递网络分布于多个网站——多数为热门和可信任的网站——以利用信誉分析避开检测。Blue Coat北亚区高级产品市场经理申强表示:“目前,网络威胁传递和钓鱼攻击隐藏在具有良好信誉的网站内已十分常见,基于信誉的防御方式并不能成为用户抵御新的攻击的有效方式。”
申强告诉记者,虽然信誉度较高的网站普遍防御等级较高,但鉴于现在的网站包括了数以千计的指向各种内容形式和来源的动态网页链接,网络犯罪渗透广告网络各个层面。它们静待机会,甚至通过多次中继,有选择的挑选目标并对攻击和漏洞进行评估,最终形成恶意行为。
恶意软件交付网络显现
2011年上半年,无论从规模还是有效性来说,Shnakule都是排名第一的恶意软件交付网络。在此期间,该网络平均每天有2000个唯一的主机名称,高峰期每天超过4300个。它也被证明是最善于引诱用户上钩的,平均每天有超过21,000个请求,最多可达51000个请求。Shnakule是一个具有广泛基础的恶意软件交付网络,其恶意活动包括:路过式下载、假冒防病毒软件和编解码器,假冒flash和Firefox更新,假冒warez,以及僵尸网络/指令控制。其它相关活动还包括:色情、赌博、医药、链接养殖场、在家办公诈骗。
恶意软件传递网络及其相关联网站
作为独立恶意软件交付网站,Shnakule不仅影响深远,还包含许多大型恶意软件交付网络。入围10大恶意软件交付网络的Ishabor、Kulerib、Rabricote和Albircpana实际上都隶属于Shnakule,它们将其恶意活动延伸至以赌博为主体的恶意软件和可疑链接养殖场。
按单个主机名称数量的前10大恶意软件传递网络
搜索引擎、社交媒体成恶意交付网络重要切入点
《2011年中网络安全报告》还分析了用户如何以及在哪里被带入恶意交付网络。2011年上半年,搜索引擎中毒是最流行的恶意软件载体。在近40%的所有恶意软件事件中,搜索引擎/门户网站是进入恶意软件交付网络的切入点。不出所料,搜索引擎/门户网站也是同一时间段内最受欢迎的网络内容。社交网络是进入恶意软件交付网络的第五大流行切入点,以及第三大最受欢迎的内容。
虽然网络犯罪分子通常在用户花时间最多的地方向用户发起攻击,例如搜索引擎和社交网络,但是2011年上半年,他们还利用电子邮件和色情内容等传统手段。电子邮件是第三大最流行的用来将用户带入恶意软件网络的网络内容类别,尽管该类别的受欢迎程度只排在第17位。色情内容长期以来一直是最受喜爱的恶意软件目标,一般与电子邮件捆绑在一起,它是引诱用户使用恶意软件的第四大最流行方式,而它的受欢迎程度只排在第20位。
分析了网络恶意软件生态系统的动态和关联特性,《2011年中网络安全报告》的结论是:
· 恶意软件托管往往出现在各种应用中,如在线存储和软件下载,这些应用往往都是公司政策中允许使用的。
· 企业应不断阻止色情、占位符、网络钓鱼、黑客、在线游戏和非法/可疑类别,遵守网络安全最佳实践。
· 搜索图片和盗版媒体排在潜在恶意软件交付的榜首,参与这些活动的用户特别容易受到攻击。
· 单一防御层,如防火墙或防病毒软件,不足以抵御恶意软件的动态性质和恶意软件交付网络的延伸基础设施。相反,随着迅速扩展并适应新威胁,企业需要基于云的网络防御可提供的实施保护和情报。