攻击手法再翻新 网络犯罪数量明显增长 虚拟世界上演真实犯罪
前50大恶意程序代码样本中 80%会泄漏机密信息
2006年3月7 日,赛门铁克发布了第九期《互联网安全威胁报告》(Internet Security Threat Report ),涵盖最完整的全球网络威胁数据来源。此报告每半年一期,第九期的研究范围自 2005 年 7月 1日至 2005 年 12 月 31 日,报告中发现,设计用来进行网络犯罪的威胁数量渐增。
传统攻击目的通常是为了摧毁数据,但现在有越来越多的攻击旨在默默窃取可获利的数据,因未造成明显的损害,所以使用者不易注意到此类攻击的存在。赛门铁克在上一期《互联网安全威胁报告》中对于以获利为目的的恶意程序代码增加的情况提出警告,而此趋势延续至2005下半年。有可能造成机密信息外泄的恶意程序代码威胁,从上一期50大恶意程序提报样本中的74% ,窜升至本期的80%.
赛门铁克安全响应中心暨安全托管服务副总裁Arthur Wong 表示:" 网络犯罪(cybercrime)是现今消费者享受数字生活,及进行网络交易上最大的威胁。"Art Wong 进一步指出," 这份报告含有领先业界的见解,详细的分析网络犯罪发生的缘由,并提供如何预防网络犯罪的信息,使赛门铁克的保护能涵盖全球最多、最广泛的消费者。"
该报告中详细说明有越来越多的攻击者利用Bot 网络、模块化恶意程序代码,以及针对Web 应用程序与Web 浏览器发动目标式攻击。赛门铁克根据本期及前期报告的数据,预测用以进行网络犯罪的威胁形式将更加多样化且复杂化,并且为了获取金钱利益目的而窃取个人、金融及机密信息的情况将持续增加。
犯罪软件(crimeware )工具扩大功能和覆盖范围
网络犯罪相关威胁透过使用犯罪软件而持续成长,这些软件工具多以进行在线诈欺及窃取信息为目的。如同前期网络安全威胁研究报告中指出,赛门铁克注意到攻击者不再进行杂乱无章的大规模攻击(即入侵防火墙及路由器等传统安全装置),而是转向攻击区域性的目标、桌上型系统及Web 应用软件以取得公司、个人、金融或机密信息,再利用这些信息进行网络犯罪活动,以谋取金钱利益。
攻击者可利用暗中执行Bot 傀儡程序,未经授权即可获得计算机控制权,亦造成网络犯罪威胁的增加。2005下半年每天发现受感染的计算机系统平均有9 ,163 个,尽管感染Bot 傀儡程序的计算机数量比前期减少了11% ,但有越来越多的Bot 网络被用以进行犯罪活动,如阻断服务(DoS )式的诈骗尝试等。赛门铁克预估这种评量方式只能得知全球活动的一部份,实际的感染数目很可能更高。赛门铁克注意到每天平均有1 ,402 个阻断式服务攻击(DoS ),比前期报告多了51%.赛门铁克预测,这一增长趋势将随攻击者越来越多地利用基于Web 的应用程序和浏览器漏洞而持续。
在前期报告中,赛门铁克预测锁定Web 应用程序的攻击会增加。在目前的报告期间,有69% 提报给赛门铁克的漏洞会对Web 应用程序技术造成影响,相较于前期提升15%.依赖浏览器作为用户接口的Web 应用程序技术,由于只要通过HTTP等普遍提供的通讯协议即可存取,对于攻击者而言是较易着手的目标。
赛门铁克还观察到模块化恶意程序代码的增加,这些程序代码刚开始影响范围有限,但其设计能自我更新,下载其它更具破坏力之功能。模块化恶意威胁通常会揭露机密信息,因而被滥用以进行身份窃取、信用卡诈骗或其它金融犯罪活动。在2005下半年期间,模块化恶意程序代码就占了赛门铁克报告中50大恶意程序提报样本的88% ,较前期77% 高出许多。
其它主要的研究结果
·中国受Bot 傀儡程序感染的计算机数量增加最多,成长率高达37% ,比平均的成长率高出24个百分点,使中国成为仅次于美国的高感染率国家。中国bot 傀儡程序的高感染率,很可能与其宽带网络联机的迅速成长有关。在攻击来源国家排名中,中国整体的增加量也最可观,相较前期成长153%,比平均成长率量高出72个百分点,而Bot 傀儡程序可能是此类活动增长的来源。
· 网络钓鱼威胁(即诱骗使用者揭露机密信息的技术)在2005年下半年持续增加,并且开始专注于更小型的区域性目标。在2005年下半年期间,每日平均发现792 万个企图进行网络钓鱼的攻击,较前期的570 万巨幅增加。赛门铁克预期未来利用即时信息散布的网络钓鱼讯息及恶意代码在数量上将有所增长。
·赛门铁克记录了超过1 ,895 个的新漏洞,此为1998年以来记录最多的总量,其中有97% 的漏洞列为中度或高度严重性,有79% 的漏洞则十分容易遭受攻击。
·为突显操作系统及应用程序尽快安装修补软件的重要性,赛门铁克评估了攻击者在破坏全新安装之标准操作系统所需的时间,这些系统包括Web 服务器及桌上型系统等。在所有测试的Web 服务器当中,未安装修补软件的Windows 2000 Server 遭到攻击的平均时间最短,而已安装修补程序的Windows 2003 Web Edition及RedHat Enterprise Linux 3 (包括已安装或未安装修补程序)在测试期间则未受影响。在所有评估的桌上型系统当中,未安装修补程序的Microsoft Windows XP Professional 遭到攻击的平均时间最短,而安装所有修补程序的相同桌上型系统及SuSE Linux 9 Desktop则未受影响。
·随着被发现的漏洞数量持续增加,赛门铁克开始监控公司机构修含有漏洞之系统的速度。2005下半年期间,从发布漏洞到相关恶意攻击程序出现的时间平均为6.8 天,而上半年则平均为6 天。从漏洞被发现到厂商提供修补程序间所需的时间平均为49天,因此中间42天的时间,企业及个人用户有可能遭受潜在攻击,该数据再次强化了使用者应尽速修补系统。随着漏洞黑市交易组织的成长与网络犯罪用之漏洞增加,赛门铁克预期未来漏洞研究将更具商业目的。
·2005下半年赛门铁克记录了10,992 个新的Win32 病毒和蠕虫,相较于2005上半年的10,866 个略为成长。值得注意的是危害指数列为3 级与4 级(中度严重及非常严重)的威胁明显减少,而危害指数1 级与2 级的威胁(低度严重和非常低度严重)则相对增加。新Win32 病毒和蠕虫家族的数量亦减少39% ,从2005上半年的170 个新家族降至本期的104 个。这表示恶意程序代码开发人员可能选择修改目前流通的源代码,而非从头开发新的威胁。
关于赛门铁克《互联网安全威胁报告》(ISTR)
赛门铁克《互联网安全威胁报告》提供网络式攻击的分析、已知漏洞的回顾,以及恶意代码与额外安全风险重要特性的说明。赛门铁克利用其全球智能网络识别并分析网络安全活动中新兴的趋势。此数据由以下几项来源提供:
·赛门铁克DeepSight 早期预警系统(Symantec DeepSight Threat Management System )及赛门铁克安全托管服务(Symantec Managed Security Services):超过 40 ,000 个传感器监控全球超过180 个国家的网络活动,并全面追踪遍及整个网络的攻击活动。
·赛门铁克防病毒解决方案:全球超过1 亿2 千万个客户端、服务器及网关系统部署的赛门铁克防毒产品,提供关于恶意代码、间谍软件及广告软件的报告。
·漏洞数据库:涵盖来自超过4 ,000 家厂商的30,000 多种技术,超过13,000 笔漏洞信息的庞大数据库。赛门铁克拥有并维护全球最大最完整的安全漏洞数据库。
·BugTraq :最受欢迎的在线论坛之一,专门揭露并探讨网络上的漏洞,拥有超过5 万名订阅会员。
" 赛门铁克全球探测网络(Symantec Probe Network):Symantec Probe Network吸引来自全球各地20个不同国家的电子邮件信息,由超过200 万个诱捕账号所组成的探测系统,使赛门铁克能够评判全球垃圾邮件及网络钓鱼的相关网络活动。