2009年12大网络安全热点

　　携带恶意软件的垃圾邮件——通常，大家认为垃圾邮件烦人但并不危险。然而，2009年9月至10月间，平均而言，超过2%的垃圾邮件附带了恶意软件，使得实际包含恶意软件的垃圾邮件数量比以往增加了8倍。

　　针对社交网站的攻击变成家常便饭——2009年，对社交网站本身及其用户的攻击成了犯罪分子惯用的手法。2009年下半年，利用社交网站发起的攻击更加频繁和复杂。这类网站结合了两个因素——用户数量庞大和用户之间的信任度高，这两者使得社交网站成为在线犯罪活动的理想目标。

　　流氓安全软件——赛门铁克识别了250种不同的误导型应用软件，它们伪装成合法的安全软件。实际上，它们几乎不能、或根本不能提供保护，而且还利用恶意软件来攻击电脑，具有讽刺意味的是，它们攻击电脑所使用的恶意软件正是其标榜可以预防的恶意软件。2008年7月1日至2009年6月30日，赛门铁克收到了4,300万次流氓安全软件安装企图的报告。

　　恶意软件更容易被制造——2009年比以往任何时候都更容易制造恶意软件。这在很大程度上是因为Zeus等流行的用户友好型工具包的出现，即便是新的黑客也能很容易借助这些工具包制造出恶意软件和僵尸网络。许多已有的威胁实际上就是由一些老牌恶意软件的组件构成的集合体。例如 Dozer包含了MyDoom和Mytob的组件。这一趋势还使恶意软件的一次性程度变高，某个威胁出现后，可能在24小时之内就会消失。

　　僵尸网络猛增——僵尸网络正在迅速成为所有网络犯罪的基础。赛门铁克注意到：目前多数恶意软件都包含一条僵尸网络命令和控制通道。2009年，我们甚至看到僵尸网络设计者把社交网站当作沟通渠道，借此扩充他们的渗透范围。

　　业内合作与跨行业合作消除互联网威胁——随着Conficker威胁的第一个变种的周年日益临近，使我们想起了网络犯罪的日益组织化和复杂化是如何促使安全厂商、执法部门和互联网服务提供商更加密切合作的。

　　利用热点事件的威胁超出以往——情人节、美国大学篮球联赛的疯狂三月、H1N1流感、法航447班机坠毁、塞雷纳•威廉姆斯、气球男孩以及迈克尔•杰克逊和帕特里克•斯威兹的去世等等……2009年的这些事件以及其它无数热点事件都被恶意软件制作者和垃圾邮件传播者利用，以引诱未起疑心的互联网用户下载恶意软件、购买产品或上当受骗。我们已经处在这样一个阶段——任何热点话题都不能忽视，并且随着2010足球世界杯、冬奥会等等全球重要活动的临近，我们预计将会有更多此类的攻击。

　　隐蔽式下载充当急先锋——攻击者通过损害合法网站来秘密感染网上冲浪者的电脑，这种做法日益普遍。2008年，赛门铁克监测到1,800万次隐蔽式下载感染企图，而在2009年，仅在8月至10月期间，赛门铁克就监测到了1,740万次。

　　垃圾邮件回到McColo关闭之前的水平——赛门铁克曾发现：McColo网站于2008年年底关闭之前的24小时和关闭之后的24小时相比，垃圾邮件总数下降了65%，使垃圾邮件占所有电子邮件的比例降至69.8%。但在2009年，垃圾邮件总量占所有电子邮件的比例的平均值回升到了87.4%，更是在5月底达到了最高的95%。

　　多形态威胁增加 ——多形态是指变化能力。因此，多形态威胁是指恶意软件的每个实际形态都与前一个形态略微不同的威胁。恶意软件的每个实际形态的代码会自动变化，但这不会改变恶意软件的功能，而这使得传统的防病毒检测技术对它们几乎起不到作用。赛门铁克已经注意到：Waladac、Virut、Sality等多形态威胁变得越来越常见，这是因为网络犯罪分子在努力增强自己躲避常规防病毒技术的技能。

　　名誉劫持增加——为了欺骗电脑用户，垃圾邮件传播者经常劫持Geocities这样的普通品牌。但随着雅虎在10月底关闭了网络主机托管服务，赛门铁克发现一些更小的免费Web服务被利用的数量急剧增加，它们的名称以及正当名誉正遭到垃圾邮件传播者的滥用。这无疑是由于不断完善的CAPTCHA破解技术，该技术使得人们更容易用恶意字符来建立一次性账户和文件，用于垃圾邮件的传播。赛门铁克甚至注意到：在这些较小的Web服务公司中，一些公司实际上只能将关闭网站作为其阻挡垃圾邮件的唯一方式。

　　数据依然在泄漏——据身份盗窃资源中心（Identity Theft Resource Center）透露：截至2009年10月13日，今年报告的数据泄漏事件达403起，超过2.2亿条记录被泄漏。Ponemon Institute透露：“好心”的内部人士依然是造成数据丢失事件的主要原因，有88%的数据丢失事件是由员工、合作伙伴等内部人士导致的。但是，同时人们也日益担心恶意数据的丢失。Ponemon的另一项研究表明：在前员工当中，59%的人承认他们在离职时带走了公司数据。尽管各个组织日益重视数据丢失防范工作，但显然需要做更多事情，来防止组织敏感数据的泄漏。
 
　　2010年网络威胁趋势和预警趋势

　　仅防病毒是远远不够的——由于多形态威胁在2009年日益增多，并且不同的恶意软件变种呈爆炸式增长，因此行业很快就认识到：不论是基于文件特征或是启发式/行为分析，传统的防病毒方法都不足以防范当前的威胁。我们已经到达了一个拐点，即新的恶意程序的产生速度实际上快于好程序。同样，我们也到达了这样一个阶段，仅侧重于恶意软件的分析不再可行。取而代之的是，能将所有软件文件（譬如基于信誉的安全）纳入进来的安全方法将在2010年变得至关重要。

　　社会工程成为主要的攻击媒介——攻击者越来越多地直接尾随最终用户，并试图诱骗他们下载恶意软件，或者使用户自认为在做一件完全无害的事情的情况下，诱骗他们泄露敏感信息。社会工程之所以流行，在部分程度上是由以下事实促动的：发起这样的攻击，无需考虑用户电脑上安装了何种操作系统和浏览器。社会工程已经是目前使用的主要攻击途径之一，并且赛门铁克估计，利用社会工程方法的攻击企图在2010年肯定会增加。

　　流氓安全软件传播者变本加厉——2010年，预计流氓安全软件传播者会变本加厉，甚至会劫持用户的电脑，使它们变得毫无用处，并借此索取“赎金”。但是下一步不见得会这么激进，可能将是一些不具有明显恶意的软件。例如，赛门铁克注意到，一些流氓防病毒软件传播者把免费的第三方防病毒软件换一个品牌，当作自己提供的产品。在这些情形下，用户自己花钱购买的软件，实际上可以在别处免费下载相同的软件。

　　社交第三方应用软件将成为诈骗目标——社交网站的流行速度又将迎来前所未有的一年，因此预计针对网站用户的诈骗将会增加。同理，预计这些网站的拥有者将采取更多主动措施来应对这些威胁。在此过程中，由于这些网站更乐于让第三方开发者使用它们的API，因此攻击者们将有可能转向针对用户社交账户专用第三方应用软件中的漏洞。正如我们已经观察到的，随着浏览器本身变得越来越安全，攻击者们开始更多地利用浏览器插件。

　　Windows 7将进入攻击者的视野——微软公司已经为新操作系统发布了首批安全补丁。只要人们还是在编写电脑代码，那么不管发布前的测试多么彻底，都将会存在缺陷，并且代码越复杂，就越有可能存在未发现的漏洞。微软公司新的操作系统也不例外，并且由于Windows 7已经上市，并将在2010年迎来更大的发展，攻击者们无疑将会找到办法来利用这些用户。

　　快速变化的僵尸网络将会增加——快速变化是Storm等僵尸网络使用的一种方法惯用的伎俩，目的是把网络钓鱼和恶意网站隐藏在某个不断变化的网络的后面。这个网络由受到损害的主机构成，并充当了代理的角色。由于采用了将P2P网络、分布式命令与控制、基于web的负荷平衡以及代理重定向等结合起来的方法，这些僵尸网络很难被追踪到其地理位置。随着行业对策在不断减弱传统僵尸网络的有效性，预计更多的僵尸网络会利用该方法来发起攻击。

　　URL缩短服务成为网络钓鱼者的“铁哥们儿”——由于用户经常不知道缩短的URL实际上会把他们带到何处，因此，网络钓鱼者就会把那些具有安全意识的用户会慎重考虑是否点击的链接伪装起来。赛门铁克已经注意到了这样的趋势，即利用该策略来发布误导型应用软件将日益增多的趋势。另外，我们还预计，为了能混淆反垃圾邮件过滤器的视听，并躲避这些过滤器，垃圾邮件传播者也会利用URL缩短服务来做坏事。

　　苹果机与移动恶意软件将会增加——针对操作系统或平台的攻击数量是与这些操作系统或平台的市场份额直接相关的，因为毕竟恶意软件制作者干这行就是为了赚钱，并且总是想获得最高的利润率。2009年，我们看到恶意软件制作者更多是把苹果机和智能手机当作目标，例如Sexy Space僵尸网络瞄准了Symbian移动设备操作系统，而OSX.Iservice Trojan则瞄准了苹果机用户。2010年，随着苹果机和智能手机的日益流行，更多的攻击将是针对这些设备的。

　　垃圾邮件传播者违反法规——由于经济持续低迷以及更多人试图利用美国《反垃圾邮件法》的松散约束，我们将看到更多组织出售未获授权的电子邮件地址清单，并且将有更多不太合法的商人会根据这些清单发送垃圾邮件。

　　随着垃圾邮件传播者的逐步适应，垃圾邮件数量将会继续波动——自从2007年以来，垃圾邮件平均增加了15%。尽管就长期而言，垃圾邮件的这种显著增长也许无法持续，但很显然，只要存在经济动力，垃圾邮件传播者就不会放弃。2010年，随着垃圾邮件传播者不断适应安全软件的先进技术以及全球各地ISP和政府部门的干预，因此垃圾邮件数量在2010年将会出现波动。

　　特定用途的恶意软件——2009年，出现了非常特殊的恶意软件。它们的目标是利用某些ATM，这些恶意软件对于ATM的工作原理以及如何利用ATM等方面，具有一定程度的内行知识。预计该趋势在2010年将会继续，届时还可能会出现针对电子投票系统的恶意软件，既包括政治选举中的系统，也包括公众电话投票中的系统，比如与现实电视节目和竞赛相关的系统。
　　
　　CAPTCHA技术将得到改进——由于该技术得到改进，垃圾邮件传播者较难通过自动化的程序来破解CAPTCHA代码，因此新兴经济体中的此类传播者将设法利用真人来人工建立新账户，以便传播垃圾邮件，由此试图绕过改进后的CAPTCHA技术。赛门铁克估计，受雇来人工创建这些账户的个人，其报酬将不足垃圾邮件传播者所得的10%，而这些“账户农夫”们每一千个账户将收取30至40美元。

　　即时消息垃圾邮件——由于网络犯罪分子们将利用新方法来绕过CAPTCHA技术，即时消息(IM)攻击将日益流行。 IM威胁主要包括主动发送包含恶意链接的垃圾邮件消息，特别是那些以损害合法IM账户为目标的攻击。赛门铁克预计，到2010年底，每300条IM消息中就有1条包含URL，并且在2010年，每12个超文本链接中就有1个被链接到恶意软件的域名上。因此，IM消息中出现的每12个超文本链接中，就有1个将含有可疑或恶意的域名。2009年年中，这个比例是1:78。

　　非英语垃圾邮件将会增加——随着全球各地，特别是发展中国家的宽带连接普及率的继续增长，因此非英语的垃圾邮件也将会增加。赛门铁克预计：在欧洲某些地区，本地化垃圾邮件占所有垃圾邮件的比例将超过50%。