病毒基础防治知识-赛门铁克提供 | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|
http://www.sina.com.cn 2006年05月24日 19:02 新浪科技 | ||||||||||
赛门铁克《互联网安全威胁报告》提供近6个月来的互联网威胁活动情况,内容涵盖基于网络攻击分析、已知漏洞回顾、恶意代码和其它安全风险概述等。本期《互联网安全威胁报告》综述针对即将发生的威胁及当前趋势向读者提出警示。同时,报告还就如何防御和降低风险提出建议。本期报告覆盖了2005年7月 1日至2005年12月31日这6个月时间。 Symantec™全球智能网络(Global Intelligence Network)包含赛门铁克Deep
赛门铁克拥有并维护全球最全面的安全漏洞数据库,涵盖可能危及4,000多家厂商30,000多项技术的13,000多个漏洞。同时,赛门铁克还负责BugTraq的营运——BugTraq是互联网最热门的漏洞披露及讨论论坛之一。此外,拥有200多万个诱饵帐户的赛门铁克探查网络(Symantec Probe Network)系统自动接收来自全球20个不同国家的电子邮件,从而使赛门铁克能对全球的垃圾邮件和网页仿冒活动进行评估。这些数据赋予赛门铁克分析师丰富的资源,用以识别攻击和恶意代码活动的最新发展趋势。 赛门铁克《互联网安全威胁报告》主要以针对实际数据的专业分析为基础。建立在赛门铁克专业知识和经验基础上的《互联网安全威胁报告》对当前互联网安全威胁活动做了最有见地的评论。通过在《互联网安全威胁报告》中发布互联网安全活动讨论分析,赛门铁克旨在为信息安全界提供现在和将来保护其系统安全所需的信息。 本期赛门铁克《互联网安全威胁报告》记录了以下两方面的增长趋势:协助网络犯罪和其它犯罪行为,并可能危及计算机或互联网组件的安全威胁;犯罪软件的使用——该软件用于协助网络犯罪活动。正如赛门铁克在第八期《互联网安全威胁报告》中所述,攻击者正从针对传统外围安全设备(如防火墙和路由器 )的大规模、多目标攻击转向地区目标、桌面和Web应用,使攻击者能够捕获个人、财务和机密信息,然后利用这些信息从事网络犯罪活动,谋取经济利益。 上一期赛门铁克《互联网安全威胁》报告提出了以获取经济利益为目的的恶意代码呈上升趋势的警示。现在仍是如此。能够获取机密信息的恶意代码在前50位恶意代码样本中所占的比例已从上期的74%增长到本期 的80%,这种增长主要源于报告的Mytob变种 的增加。通过这些威胁,攻击者能够记录按键、窃取保存在缓存中的密码,或从受到感染的主机上下载文件。赛门铁克同时发现模块恶意代码 也在不断增加。从2005年7月1日至12月31日,模块恶意代码在前50位恶意代码样本中所占的比例达到88%,而上期这一数字为77%。模块恶意代码的危险之处在于,虽然起初的威胁非常有限,但它可以对其它更危险的功能运行下载。它们通常透露机密信息,然后用于身份盗用、信用卡诈骗或其它金融犯罪活动。 上一期《互联网安全威胁报告》提到BOT网络正在更多地用于犯罪活动,例如拒绝式服务攻击(DoS)的敲诈企图。赛门铁克平均每天发现1,402个拒绝式服务攻击,比上一期报告时段增长了51%。DoS攻击是严重的安全隐患,因为基于互联网的服务的中断会对依赖互联网进行关键数据沟通和/或创造收入的企业产生重大影响。在本报告期中,赛门铁克平均每天监测出9,163台受bot感染的计算机,比前一个报告期降低了11%。这一减少很可能是由于管理员采取了安全措施。尽管有所降低,但Bot和bot网络仍然存在严重的安全风险,因为它可以扩大攻击,提高攻击者匿名水平。 本期报告特别指出,中国受 bot感染的计算机数量以及作为攻击源的趋势正在增长。2005年下半年是中国受bot感染的计算机数量第二个增长高峰,增长率为37%,比平均增长率增加了24个百分点——这一数据仅次于美国。中国受bot感染的计算机数量增长可能与宽带互联网连接的快速发展有关,也说明中国正在成为bot网络拥有者越来越明显的攻击目标。 在本期《互联网安全威胁报告》中,赛门铁克评估了攻击者以标准角色(如Web服务器和桌面系统)攻击新安装的操作系统的时间。在测试的Web服务器中,不带补丁的Windows2000服务器被攻破的时间最短,约为1小时17分。安装或未安装补丁的RedHat Enterprise Linux 3、或者安装了全部补丁的Windows2003 Web版本未被攻破。在测试的桌面系统中,微软的Windows XP专业版(不带补丁)被攻破的时间最短,约为1小时12秒。这些结果显示了尽快安装操作系统补丁和应用程序补丁的重要性。 2005年下半年,赛门铁克共记录了10 ,992个新的Win32病毒和蠕虫变种,与前一报告期相比略有增长。Win32病毒和蠕虫变异的数量主要与新的BOT变异的增长有关。这也是第3和第4级威胁(分别为中等、极其危险)明显降低的一个原因;而第1和第2级威胁(分别为非常低、较低)的数量却有所增加。新的Win32病毒和蠕虫系列的数量降低39%,从2005年上半年的170个新系列,降低到本报告期的104个。这表明恶意代码的开发者可能选择修改目前传播的源代码,而不是重新开发新的威胁。 网页仿冒威胁在2005年下半年持续增加,并转为针对小的地区型目标。网页仿冒是一种网络犯罪技术,利用社会工程学(social engineering)窃取机密信息——如密码、信用卡代码和其它财务信息,对个人和企业用户造成严重威胁。2005年7月1日至12月31日期间,每119封电子邮件中就有一封含有网页仿冒企图,每天平均有792万次网页仿冒攻击尝试。这比2005年上半年有所增加(上半年每125封电子邮件中有一封含有网页仿冒企图,每天平均有570万次攻击尝试)。在本报告期中,赛门铁克的Brightmail™ AntiSpam防病毒过滤器拦截了15亿次以上的网页仿冒攻击尝试,与前一时期的10.4亿次相比有所增加。 2005年7月1日至12月31日,赛门铁克记录了1,896个新漏洞,平均每周73个,或说每日新增漏洞10个以上——这是1998年赛门铁克漏洞数据库建立以来的最高记录。这些漏洞中的97%为中等或极为严重级别,这意味着对于漏洞的成功利用会对目标网络造成部分或完全破坏。此外,79%的漏洞被认为易于攻击,这意味着无需定制代码就可以成功利用该漏洞,或者此代码已成为公共代码。 上一期《互联网安全威胁报告》中,赛门铁克预计未来针对Web应用的攻击将继续增加。在本期报告时段,赛门铁克收到的漏洞报告中有69%将影响Web应用,比前一时期增长15%。Web应用主要依靠浏览器作为用户界面,并托管在Web服务器上,因此更容易成为攻击目标——根据网络协议(如HTTP),防火墙等外围安全设备会不会进行阻止。赛门铁克认为,随着漏洞数字的不断增加,Web应用将成为潜在攻击者的更主要目标。 随着所发现的漏洞数量不断增加,赛门铁克开始监控企业为漏洞系统安装补丁的速度。从2005年7月1 日至12月31日,漏洞被发现到利用代码的公布,其时间间隔平均为6.8天,比2005年上半年的6.0天有所增加。赛门铁克也宣布从漏洞被发现到供应商发布补丁的平均时间间隔是49天。考虑到这些因素,企业和个人用户将有42天时间暴露于潜在攻击之下。这些统计数据加强了赛门铁克对于尽快安装补丁的建议。 为了概述报告所包含的分析类型,下文突出显示了赛门铁克《互联网安全威胁报告》第九期将进一步深入探讨的主要发现。 要点 攻击趋势 · 在连续第5个报告时间内,Microsoft SQL Server Resolution Service Stack Overflow Attack (之前称为Slammer 攻击) 仍是最常见的攻击。45%的攻击者都采用这种方式。 漏洞趋势 · 在当前报告期,公布漏洞与发布相关漏洞攻击代码之间的间隔时间从6天增加到6.8天。 恶意代码趋势 · Sober.X是当前报告期内最广泛的恶意代码类型。 其它安全风险 · 报告的最常见广告软件程序是Websearch,占前十位广告软件程序的19%。 未来展望 · 赛门铁克预计以网络犯罪为目的的威胁将呈现多样化、复杂化趋势;同时,受利益驱动的对机密信息、财务和个人信息的盗窃行为将有所增加。
|