不久前,思科公司安全业务部门IronPort发布了《2008年互联网安全趋势报告》,报告认为,恶意软件已经发展到一个平台期,而新的攻击方式即将爆发。过去,我们针对恶意软件进行了很多有效的安全控制,但是恶意软件威胁也在相应地进行改变,特别是随着各种Web2.0技术不断应用,社会性恶意软件可能会出现。
根据IronPort威胁运营中心对2007年的垃圾邮件数据统计发现,2007年,“脏邮件”(包含指向恶意软件站点的链接)的增长率达到253%。这在一定程度上体现了恶意软件制作者正在结合使用电子邮件和Web技术来扩散威胁。
据思科安全业务部IronPort大中华区总经理吴若松介绍,目前垃圾邮件已经不仅限于销售产品,而是越来越注重垃圾邮件网络的增长。之前的垃圾邮件发送者主要目的是销售某些类型的产品(药品、低息抵押等)。但是,现在的垃圾邮件中,已经包含了越来越多指向发布恶意软件的网站的链接。这些恶意软件经常是为了进一步扩大僵尸网络的规模,而僵尸网络正是垃圾邮件的起源地之一。
垃圾邮件中携带的病毒,也变得更加隐蔽,数量越来越多。病毒编写者正在从之前的Netsky和Bagel等大规模分布式攻击模式中不断演进。2007年,病毒威胁表现的更加多态化,并且通常与Feebs和Storm等复杂僵尸网络的扩散相关。
同时,特定攻击技巧的持续时间大幅缩短。前些年,垃圾邮件制造者在几个月内持续使用某种典型的技术,例如嵌入式图像。而现在,MP3等最新威胁只持续三天时间,且这种小规模攻击的数量更多。2006年,图像垃圾邮件是主要的新技术。2007年,我们看到超过20种附件类型被用作短期攻击技术。
对于整个垃圾邮件和恶意软件发展趋势,吴若松认为可以概括为“出现大量更精准、更隐秘和更复杂的攻击”。 现代的恶意软件已经开始借鉴社交网络和协作站点的Web 2.0概念。Strom木马等恶意软件是协作式的、有适应能力的、智能的P2P恶意软件,能在企业或个人PC上驻留几个月,甚至几年时间,而不被发现。新的木马和恶意软件变种针对性更强,寿命更短,也因此更难以发现。企业将面临越来越大的压力来确保敏感信息的完整性——不管是信用卡号码、企业收入信息或新产品计划。
恶意软件制作者正在建立复杂的P2P网络来捕捉各种有价值的数据,因此更加难以检测和阻止。对于用户的IT安全团队来说,吴若松建议应该进一步采取有效的方式来判断网络中的恶意软件通信,并部署综合的安全系统,其中包括基于网络的威胁检测和网络访问控制等先进技术,这样才能更好地应对恶意软件威胁。
