M86 Security由一群專(zhuān)門(mén)從事Web和電子郵件威脅研究的安全研究人員組成,他們追蹤互聯(lián)網(wǎng)安全趨勢(shì),監(jiān)測(cè)和分析惡意活動(dòng)、垃圾郵件和釣魚(yú)攻擊,包括新發(fā)現(xiàn)的漏洞和已被廣泛使用的漏洞。
這份關(guān)于2011年下半年互聯(lián)網(wǎng)安全領(lǐng)域的最新報(bào)告突顯了一些有趣的新趨勢(shì):
● 有針對(duì)性的攻擊變得越來(lái)越復(fù)雜,有證據(jù)顯示,犯罪分子的目標(biāo)不僅包括商業(yè)機(jī)構(gòu),還包括政府和基礎(chǔ)設(shè)施目標(biāo)。此外,通過(guò)使用欺詐性的和被盜數(shù)字證書(shū),這些攻擊的成功率越來(lái)越高。
● 漏洞利用工具包市場(chǎng)已經(jīng)大范圍地轉(zhuǎn)向了Blackhole exploit kit(黑洞漏洞利用工具),這個(gè)工具能夠經(jīng)常更新,并能迅速利用應(yīng)用程序漏洞。
● 雖然垃圾郵件的數(shù)量急劇下降,但越來(lái)越多的垃圾郵件可能包含惡意鏈接或者附件。
● 使用社交網(wǎng)絡(luò)作為渠道的欺詐和惡意軟件傳播顯著增加。
有針對(duì)性的攻擊正變得越來(lái)越復(fù)雜
雖然有針對(duì)性的攻擊并不是新鮮事,但在2011年下半年有針對(duì)性攻擊的顯著增加必須引起重視,他們的目標(biāo)不僅僅是企業(yè),而且包括整個(gè)國(guó)家。根據(jù)這份報(bào)告,有針對(duì)性的攻擊變得越來(lái)越復(fù)雜,并且目標(biāo)很廣泛,包括商業(yè)機(jī)構(gòu)、國(guó)家關(guān)鍵基礎(chǔ)設(shè)施機(jī)構(gòu)和軍事機(jī)構(gòu)等。
經(jīng)過(guò)研究人員確定的新的攻擊向量之一是使用欺詐性數(shù)據(jù)證書(shū)。該報(bào)告指出黑客攻擊DigiNotar公司后,導(dǎo)致出現(xiàn)“數(shù)百份欺詐性數(shù)字證書(shū),這些證書(shū)可以用于很多域名,包括谷歌、雅虎、Facebook,甚至還有一些情報(bào)機(jī)構(gòu),例如美國(guó)中央情報(bào)局、英國(guó)軍情六處和以色列摩薩德等。”
M86 Security強(qiáng)調(diào),企業(yè)和組織必須計(jì)劃和部署一個(gè)多層安全政策來(lái)最大限度地減小有針對(duì)性攻擊帶來(lái)的風(fēng)險(xiǎn)。
Blackhole攻擊工具包
2011年下半年監(jiān)測(cè)到的漏洞利用針對(duì)的目標(biāo)很多,包括微軟IE瀏覽器、Oracle的Java、微軟Office產(chǎn)品以及Adobe Reader和Adobe Flash。最讓人驚訝的是,犯罪分子最常利用的漏洞不僅出現(xiàn)多年,而且漏洞的修復(fù)程序也在多年前就發(fā)布了。
例如,M86發(fā)現(xiàn)最常被利用的基于web的漏洞是微軟IE RDS ActiveX,這個(gè)漏洞的發(fā)現(xiàn)和補(bǔ)丁發(fā)布都是在2006年。而現(xiàn)在,六年過(guò)去了,這個(gè)漏洞仍然能夠幫助攻擊者成功發(fā)動(dòng)攻擊。這份報(bào)告指出:“很多用戶(hù)和企業(yè)并沒(méi)有及時(shí)地對(duì)他們所有安裝的軟件進(jìn)行修復(fù),而攻擊者就恰恰利用了這個(gè)來(lái)發(fā)動(dòng)攻擊。”
該報(bào)告還指出漏洞利用開(kāi)始從惡意附件轉(zhuǎn)移到惡意鏈接,這些惡意鏈接將鏈接到漏洞利用工具包,特別是Blackhole黑洞攻擊工具包。在2011年下半年,Blackhole工具包占所有惡意鏈接的95%,這表明Blackhole現(xiàn)在是最熱門(mén)的漏洞利用工具包,該工具包利用了目前最常被利用的漏洞的一半以上漏洞。Webopedia將Blackhole工具包描述為“在俄羅斯開(kāi)發(fā)的幫助黑客利用未修復(fù)漏洞以通過(guò)植入在被感染網(wǎng)站的惡意腳本攻擊計(jì)算機(jī)一種犯罪軟件。不知情的用戶(hù)訪問(wèn)這些被感染網(wǎng)站將會(huì)被重定向到瀏覽器漏洞利用惡意軟件門(mén)戶(hù)網(wǎng)站,隨后用戶(hù)電腦將會(huì)被植入在線銀行木馬或者類(lèi)似惡意軟件。”