“三反”新安全—钓鱼、欺诈、垃圾邮件之攻防演义

日期: 2008-01-28 作者:赵晓涛 来源:TechTarget中国

    近两年来,伴随着全球范围内愈演愈烈的垃圾邮件泛滥,各种网络钓鱼、用户欺诈等安全威胁接踵而来。无论对企业还是对个人,此类威胁手段的变化之快令人防不胜防。毫无疑问的是,随着渗透其中的非法牟利情节的日趋严重,这类安全威胁的破坏力越发凸显。

    对用户而言,如何最大限度地确保自身互联网应用的安全,避免被垃圾邮件、网络钓鱼、恶意欺诈所伤害,已经成为了当前基于网络开展业务的最大挑战。

    ● 尴尬的现实

    如果将刚刚过去的2007年称为安全转折年,则其预示着一个时代的终结:即以往安全危机的非专业时代已经过去,进入2008年后安全威胁的专业化生产与传播将成为主流。

    此前美国《Network World》的安全专家Tim Green曾在网站上公开表示,在很多恶意软件设计看起来似乎停滞不前之时,新的攻击技术却大量涌现,其中一些技术经过复杂的研发,很明显不是业余人士所为。事实上,这些“进步”并不是偶然事件,它们实际上是安全行业自身成功的产物。

    用于管理垃圾邮件、防御网络钓鱼、恶意软件欺诈的安全设备一度能够有效工作,使大规模、高冲击力的攻击有所减少。但是成功的背后导致了一个不利后果:越来越多的安全威胁被迫改头换面。许多垃圾邮件、钓鱼网站和恶意欺诈软件都进行了重大的修改。新的威胁开始暗中行动,其复杂度也大大提高。

    事实上,RSA的安全专家万军在接受本报独家专访时坦言,随着大量的自我防御型僵尸网络、钓鱼网络的出现,以及一些充当可重用攻击平台的恶意欺诈软件的出现,已经将专业化安全袭击带到了用户的面前。

    稍稍回顾2007年的重大事件就可以发现,以Flux(钓鱼、恶意软件隐藏技术)、分布式命令和控制(DC)、循环利用包(REP)为代表的攻击技术不断出现。此前趋势科技的安全专家表示,当前很多专业攻击者甚至开始创建后端恶意软件管理系统,以维持感染机器的数量并及时监控插件的利用效果。从某种意义上说,安全厂商强调的统一威胁管理已经成为了一把技术上的“双刃剑”。

    事实上,如果将这些威胁继续向前追溯,人们会发现其发展的速度远远超过安全技术的发展。ICSA实验室内容安全计划经理Larry Briswell在其博客中透露,十年来积累的令人信服的数据清楚地表明,病毒问题没有衰退的迹象,而新的垃圾邮件、网络钓鱼、恶意软件欺诈则利用很多先进的病毒技术不断自我进化。对企业而言,只有当公司对防御技术的依赖减轻,而更多地依靠前瞻性的安全政策和实践时,才有可能取得真正的进步。不过遗憾的是,在此之前,大量的企业和个人仍将提前领略上述进化后的威胁“饱和攻击”。

    ● 进化后的威力

    从去年开始,具有“链接型”特征的混合威胁攻击不断出现,通过利用垃圾邮件,其内建的链接指向攻击者网站或者钓鱼站点,意在感染用户的电脑或者直接进行欺诈。

    IronPort中国区总经理吴若松指出,新型的混合威胁利用垃圾邮件作为传播的源头,整合了钓鱼和恶意欺诈的攻击形势,在攻击的同时还在被攻击的计算机中种植僵尸程序,并借助邮件和僵尸网络一起扩大影响。

    据悉,利用垃圾邮件作为攻击源头,同时整合僵尸网络技术进行多渠道扩散,已经成为当前混合威胁的新形势。由于此类攻击的整合性可以将钓鱼、恶意插件等多种供给手段组合其中,因此威胁相当可观。目前来看,在此领域以Feebs和Clagger攻击最有代表性。

    以Feebs病毒为例,美国《Network World》的许多研究者认为它构建了一个规模和威力均异常发达的网络。有意思的是,为了不引起安全厂商对其增长的注意,其构建进程非常隐秘。

    事实上,根据IronPort威胁运营中心公布的检测报告,从2007年1月到2008年1月,平均每周都会出现不同的Feebs攻击变种,最多的时候达到每周6次,而且每一次都是发生在相关安全厂商的特征码发布之前的数小时。甚至有一天两种完全不同的Feebs攻击变种在同一时间发布,世界各国的安全专家花了将近一天的时间才找到对付其中一种的方法,而对付另外一种也花费了半天时间。显然,这种专业的攻击方式并非普通黑客所为。

    此外,为了便于进行网络钓鱼,通过URL而不是传统的邮件扩散的Feebs攻击的爆发次数也大大增多。根据IDC的统计,利用URL开展网络钓鱼的恶意攻击平均每年增加253%,并表现出了多阶段攻击发展中的分布趋势,这些攻击尝试以多种方式发送看起来无害(比如纯链接的电子邮件)的信息,但是当其中的URL指向一个被恶意软件感染的Web 服务器时,会导致严重的安全风险。

    ● 平台化袭击

    如果说Feebs和Clagger开启了多渠道攻击的大门,那么Storm的出现则将平台化攻击引入现实。

    据Cisco中国公司的安全专家透露,Storm系列恶意软件联合新开发的和现有的恶意软件技术,创建了一个高度复杂的攻击平台。Storm将不同的技术整合成一个更大的系统,无论是在源头还是规模方面,这个系统都更难于追踪,其行动快速,动力十足。作为混合性威胁,它使用电子邮件和Web进行双重攻击。

    事实上,Storm的可怕之处还不仅如此,其威胁的精髓在于整合后的“饱和攻击”。对此吴若松解释说,在安全业界Storm经常被称作:Storm木马、Storm僵尸网络、Storm蠕虫、Storm垃圾邮件引擎、Storm分布式拒绝服务网络。他认为多种叫法说明了Storm具有各种特征,也说明它是一种新型的恶意软件—可重复再生的恶意软件。这种威胁将钓鱼、欺诈、恶意软件、木马、入侵等多种手段集于一身,防不胜防。

    目前来看,能够称之为“平台化袭击”的技术前提至少有六个。

    第一,能够实现自我繁殖。Storm以发送海量垃圾邮件方式进行扩散。用户被指向多个不断变化的HTTP URL,这些URL为Storm恶意软件服务。系统如果被感染,就会成为Storm网络的一部分。

    第二,对等性。以前的僵尸网络是通过一个分等级的管理结构被集中控制,Storm节点通过独特的对等通信协议互相联络。所以,要追踪其总规模十分困难。

    第三,协作特性。Storm发送指向其他Storm电脑托管的网页的垃圾邮件,其网络发起攻击的方式异常复杂。

    第四,可重用性。以前的恶意软件攻击是神风突击队式的。一旦发动,就会一直运行,直至油尽机毁,最终在互联网中消失。而Storm 不是一次性的恶意软件。它是一个可以改变、延伸和重用的平台。这种适应性使得它在2007年生存、发展下来,并迈进2008年。

    第五,集成性。Storm可用来发动多种攻击,如垃圾邮件、网络钓鱼和DDoS等。它还因危害IM网络和张贴垃圾博客信息而成为多种网络协议的主要威胁。

    第六,自我防御。作为平台化袭击的核心,Storm能够监控逆向工程或分析迹象,针对研究者和反垃圾邮件组织反复发动拒绝服务攻击。

    不难看出,如此复杂的攻击平台并非出自个人黑客之手,事实上,为了实现经济利益,Storm已经在联合全球的黑客组织进行专业化开发。根据目前披露的信息可以发现,Storm集电子邮件和Web攻击于一身,形成一个双重攻击系统,随之形成了一种有趣的同步现象:Storm僵尸网络发送垃圾邮件,其他僵尸网络专注于恶意网页。这样一来,就大大提高了网络钓鱼和交易欺诈的效率。

    此外,为了使Storm病毒的危害更大,很多专业的黑客在其中加入了“Drive-by”浏览器劫持程序,无须下载任何可执行文件,仅仅通过浏览网页就能够感染易受攻击和未打补丁的电脑。

    一旦用户中招,被Storm感染的系统将连接成一个对等的P2P网络,以保持冗余和分布式通信。在Storm出现之前,僵尸网络依靠集中指挥和控制的结构。它们经常使用IRC通道,等待操纵者的指令。但是,这种设计有一个弱点,通过关闭中央IRC通道或阻截对其的访问,就能有效地使僵尸网络“身首异处”,使之成为一堆废物。Storm吸取了这些弱点的教训,转而采用分布式指挥和控制结构。

    为了保持生命力和预防逆向工程,Storm具备了自我防御特性。如果对它的检查太接近,它会自动地发动分布式拒绝服务攻击。根据IDC的统计,在2007年底Storm曾反复攻击了开展僵尸网络分析研究人员的系统。据悉,这样的DDoS能力也被用来对付诸多反垃圾邮件和计算机安全组织。

    在此情况下,当一个新的系统加入Storm网络,它会被用来执行各种类型的攻击,包括:发送Storm吸收垃圾邮件以发展Storm网络;为网络钓鱼和恶意网页服务;攻击即时通信客户;提供Fast-fulx和DNS解决方案;在网站上张贴垃圾博客信息。

    据调查,Storm僵尸网络能够根据需要改变用途,进行循环攻击。整个网络能够保持同步和协作,以确保垃圾邮件与基于Web的登录页面的联系。

    目前来看,Storm的开放性使操纵者能够重新定向计算资源,以新的指令更新被感染的系统,从而发起“饱和攻击”。

    ● 商业化运作

    多年来,病毒、木马、恶意软件都是主要通过电子邮件进行感染。但随着威胁的不断发展,以及大量威胁与金钱的捆绑特性,一些商业化的“黑客公司”开始在网络上大肆运作。其中最臭名昭著的就是来自俄罗斯的Dream Coders Team(DCT)“公司”。

    本报今年第二期曾对DCT的背景进行过简要介绍,该公司创始人Robert Lemos是俄罗斯的著名黑客,不过他并不满足于普通的攻击或者入侵,而是将自身的经验转化为MPack恶意软件包,并成立公司在互联网上进行销售。

    Mpack的设计初衷就是针对Web进行攻击,其设计理念源于PHP技术,只不过MPack采用商业化的设计、更新、支持和销售方法。

    基本系统售价为500~1000美元。在为期1年的时间内,DCT公司将提供各种系统的新漏洞升级服务,并支持附加的MPack工具。附加模块的价格从50美元到300美元不等,“用户”可以购买针对最新弱点的模块——弱点越严重,系统就越容易被攻破,模块价格也就越高。

    此前Robert Lemos在接受《Security Focus》的采访时表示,他并不会对被MPack袭击的用户感到难过,他认为,他们只是一家提供弹药的公司。事实上,销售并使用恶意软件并不新鲜,但提供服务和支持却是首开先河。MPack以及DCT本身创造了一个市场,提供增值销售附加模块,并为其销售的恶意产品提供随时的支持。

    对此吴若松表示,MPack与Storm类似,采用双重攻击的方法感染用户的计算机。据悉,Mpack的“客户”购买Mpack恶意软件包只是第一步,为了实际进行感染,他们必须在受害者的计算机上装载软件包。

    根据美国ISS实验室的检测报告,MPack最善于袭击没有安装补丁的系统。事实上,Mpack攻击旨在击中大量系统,这些系统几乎没有什么活动能够逃过攻击者的监控。为了监控感染率,MPack工具包提供了管理接口,记录浏览每个受感染网页的系统数量和成功的利用软件包数量的统计数据。该接口将感染率按照地域进行分解,并监控哪些攻击案例是该软件包最为成功的。这些统计数据和指标使Mpack的“客户”能够衡量攻击的有效性并确定自己的投资回报。这些回报包括了基于MPack开展的网络钓鱼成功率、网络欺诈的有效率等等。从安全公司统计的结果看,Mpack的设计和此类攻击的频率显示两者都有可能继续增长。

    ● 全面防御时代

    综上所述,当前的安全危机与形式的复杂度均超过了以往。对此万军的看法是,当前越来越多的专业安全公司开始意识到,用户的安全威胁是全方位的,传统上仅仅依靠简单产品就能确保安全的时代已经过去了。面对复杂的垃圾邮件、网络钓鱼、恶意欺诈,有效的应对之道将是全面防御,从网络和应用的各个层次入手,保持安全的上下可控。

    事实上,这种观点在大部分安全公司中带有普遍性。举例来看,以往很多安全厂商提出的传统型URL过滤器对网站进行分类,拦截危险的网站或行为,但是,当受信网站被黑并携带恶意代码时,这样做便无法提供有效的保护。对于企业来说,这种技术上的变化使得员工即使进行“安全浏览”,避免接触有问题的网站,也会带来风险。

    再比如许多Mpack攻击采用恶意软件来感染系统,试图从受到感染的系统盗窃数据,并将其发送回大本营。但目前许多企业配置的防火墙设计无法监控或拦截从公司网络内部发起的数据传输,特别是当这些传输以正常的用户活动为基础的时候。另外,即使企业对进入的电子邮件流进行病毒内容扫描,以及使台式机的防病毒软件保持更新等措施,也同样无法满足要求。因为Mpack利用被认为是安全的网站的HTTP,并不涉及电子邮件渠道。

    对此吴若松指出,当前很多新型攻击的多阶段、多协议特性使得以前的一些最佳安全实践变得过时。遗留的防垃圾邮件网关在多样性和数量方面,无法跟上垃圾邮件的发展速度。在保护用户免遭许多通过HTTP发出的新型攻击方面,传统的Web代理设备(充当缓存并强制执行Web浏览安全策略)已经无法满足要求。

    因此,当前主流的安全厂商一致认为,如果要在这种混合攻击的前提下防御网络钓鱼、垃圾邮件、以及恶意软件欺诈等威胁,企业的CIO就必须从以下四点考虑安全建设的蓝图。

    第一,保护Web数据流的安全。

    无疑,Web环节已经成为企业威胁的入口,在此领域部署全面的Web安全网关(包括HTTP过滤网关)将是不可忽视的一环。需要注意的是,Web安全网关并非传统的URL过滤。事实上,即使企业用户部署了URL过滤方案来对个人Web使用行为进行控制和报告,这些数据库也不足以避免恶意软件下载到企业的网络之中。URL过滤器的安全分类保护在一个阶段内是静态的,无法提供全程实时的Web对象扫描。经验证明,依靠安全清单防御恶意软件,类似于使用静态的黑名单来防御垃圾邮件,效果非常有限。恶意软件分发者将其恶意代码插入遭到入侵的“合法”网站的技术越进步,URL过滤保护就越无用。

    第二,部署对电子邮件的预防性保护措施。

    随着一系列新型恶意木马、病毒的发展,“传统的”病毒分发途径(电子邮件)依旧需要先进的保护措施。对用户来说,可扩展的多核心垃圾防护设备是未来的发展方向。另外,一些安全厂商开始采用IP声誉系统来过滤垃圾邮件站点,这样在连接层拦截输入的攻击,降低了防垃圾邮件网关和网络总体数据流通的负担。

    第三,预防企业数据丢失。

    此前深信服的安全专家邬迪在接受采访时表示,很多木马程序旨在扫描用户的硬盘,将重要信息(账号、密码等)发送回指挥控制中心。但是,没有感染木马也有可能丢失数据,其中主要是由于企业的员工失误造成的。因此他的看法是,防范外部威胁进入网络盗取重要信息至关重要。与此同时,针对可能的违反政策行为对输出的通信进行扫描或者延时审计也非常有必要。

    第四,跟踪重要通信。

    对于企业防御系统来说,有一个事实必须认识到,当前以垃圾邮件为载体的钓鱼和欺诈攻击数量在翻番增长。在这种情况下,企业需要对邮件系统进行控制与追踪。据了解,目前国内已经出现了可对电子邮件信息进行实时追踪的新技术,这种技术与物理包裹投递时所使用的技术类似。有安全专家表示,这种技术将为企业的法规遵从性建设提供帮助。

    编看编想

    安全威胁复杂度提升

    大量的经验表明,当前安全威胁的主要趋势是复杂度提高。大量的黑客采用垃圾邮件、恶意软件和数据窃贼等传统的攻击手段。但是,这些攻击却变得更加复杂,而且得到不断改进。

    记者的看法是,很多黑客似乎放弃了专门设计的单点攻击方法,转而采用可重用平台,周期性、同步地发动攻击。垃圾邮件越来越多地被用作进入公司网络的无害网关,并采用社会工程攻击使最终用户将恶意软件带入到网络中。

    一些专业安全厂商表示,当前越来越多的恶意软件不再使用单步感染。新的攻击分为多个阶段,并由设计良好的基础架构提供支持、分发和管理。

    不难看出,在2008年混合攻击技术将继续大行其道。这意味着企业的IT经理必须通盘考虑自己的安全建设思路。有专家表示,企业通过对电子邮件和Web数据流进行综合分析并在两者之间建设共享信息的系统,将优于针对电子邮件和Web的单一解决方案。

    这样做是有道理的,因为大量的新型木马和恶意软件的新变种将更加有针对性,也更加短命。这使得它们更加难以检测。对此,很多企业的IT经理会感到信息安全的压力越来越大。企业的IT团队必须采取措施衡量网络中恶意软件的流量,部署包括基于网络的威胁监测和网络访问控制等高级技术的综合系统。

    此外,对于各种攻击的载体—垃圾邮件也不能掉以轻心。对反垃圾邮件厂商而言,通常以垃圾邮件捕捉率作为衡量标准。但是,最终用户的体验是由邮箱内垃圾邮件的绝对数量决定的。可以看出,随着垃圾邮件数量的增长,垃圾邮件过滤器技术也将迎来新的发展。

    相关链接一

    Storm攻击简介

    根据IronPort、Websense、RSA等安全公司全球网络的监测结果显示,Storm系统发动的攻击主要有两种类型。

    ■ 垃圾邮件攻击

    主要包括了PDF、XLS、MP3、Pharma文本垃圾邮件攻击和Pump-and-Dump股票欺诈攻击。

    ■ Storm网络系统攻击

    主要利用各种恶意插件控制用户的计算机,支持Storm网络的更新和发展。此外,使用受感染的系统托管特定的登录页,这些登录页与垃圾邮件、网络钓鱼和信息欺诈中包含的内容直接相关。从2007年11月份开始,当前,网络系统攻击渐渐成为了主流。

    相关链接二

    关注威胁的变化

    从Cisco近日公布的2007-2008信息安全调查报告中可以看出,来自于互联网的威胁在不断变化之中。

    ● 垃圾邮件的数量增长了一倍,每天产生的垃圾邮件超过1200亿。也就是说,地球上每人每天收到20 份垃圾邮件信息。

    ● 垃圾邮件危险性更大,截止到2008年1月,83%以上的垃圾邮件含有URL 链接。伴随着不同恶意软件技术混合的趋势,基于URL 的病毒增长了256%。

    ● “自我防御僵尸网络”问世。Storm木马病毒可能是迄今为止观测到的最复杂的僵尸网络病毒。其特性和技术复杂程度都显示,这些程序是由专业工程师开发的。

    ● 病毒、恶意软件不再高调出现,其攻击形式更加多样化,而且通常与Feebs 和Storm 这样非常复杂的僵尸网络沆瀣一气。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐