科技时代新浪首页 > 科技时代 > 学园 > 病毒与杀毒专区专题 > 正文

病毒基础防治知识-赛门铁克提供


http://www.sina.com.cn 2006年05月24日 19:02 新浪科技

  赛门铁克《互联网安全威胁报告》提供近6个月来的互联网威胁活动情况,内容涵盖基于网络攻击分析、已知漏洞回顾、恶意代码和其它安全风险概述等。本期《互联网安全威胁报告》综述针对即将发生的威胁及当前趋势向读者提出警示。同时,报告还就如何防御和降低风险提出建议。本期报告覆盖了2005年7月 1日至2005年12月31日这6个月时间。

  Symantec™全球智能网络(Global Intelligence Network)包含赛门铁克Deep
Sight™威胁管理系统和Symantec™ 托管安全服务,由分布在180多个国家/地区的24,000 多个传感器组成,监控网络活动并全面追踪整个互联网上的攻击活动。此外,赛门铁克还从已部署赛门铁克防毒产品的1.2亿个客户端、服务器和网关系统中收集恶意代码数据以及间谍软件和广告软件报告。

  赛门铁克拥有并维护全球最全面的安全漏洞数据库,涵盖可能危及4,000多家厂商30,000多项技术的13,000多个漏洞。同时,赛门铁克还负责BugTraq的营运——BugTraq是互联网最热门的漏洞披露及讨论论坛之一。此外,拥有200多万个诱饵帐户的赛门铁克探查网络(Symantec Probe Network)系统自动接收来自全球20个不同国家的电子邮件,从而使赛门铁克能对全球的垃圾邮件和网页仿冒活动进行评估。这些数据赋予赛门铁克分析师丰富的资源,用以识别攻击和恶意代码活动的最新发展趋势。

  赛门铁克《互联网安全威胁报告》主要以针对实际数据的专业分析为基础。建立在赛门铁克专业知识和经验基础上的《互联网安全威胁报告》对当前互联网安全威胁活动做了最有见地的评论。通过在《互联网安全威胁报告》中发布互联网安全活动讨论分析,赛门铁克旨在为信息安全界提供现在和将来保护其系统安全所需的信息。
存档信息

  本期赛门铁克《互联网安全威胁报告》记录了以下两方面的增长趋势:协助网络犯罪和其它犯罪行为,并可能危及计算机或互联网组件的安全威胁;犯罪软件的使用——该软件用于协助网络犯罪活动。正如赛门铁克在第八期《互联网安全威胁报告》中所述,攻击者正从针对传统外围安全设备(如防火墙和路由器 )的大规模、多目标攻击转向地区目标、桌面和Web应用,使攻击者能够捕获个人、财务和机密信息,然后利用这些信息从事网络犯罪活动,谋取经济利益。
新兴威胁主要包括BOT网络、模块化恶意代码、针对Web应用和Web浏览器的攻击。早期趋势的特点是不分目标的高调攻击,如混合威胁和蠕虫。而当前的威胁是静默的、难以觉察的攻击,并且目标明确。以破坏数据为目的的传统攻击现已逐渐被旨在偷窃数据以谋取经济利益的新型攻击所取代。

  上一期赛门铁克《互联网安全威胁》报告提出了以获取经济利益为目的的恶意代码呈上升趋势的警示。现在仍是如此。能够获取机密信息的恶意代码在前50位恶意代码样本中所占的比例已从上期的74%增长到本期 的80%,这种增长主要源于报告的Mytob变种 的增加。通过这些威胁,攻击者能够记录按键、窃取保存在缓存中的密码,或从受到感染的主机上下载文件。赛门铁克同时发现模块恶意代码 也在不断增加。从2005年7月1日至12月31日,模块恶意代码在前50位恶意代码样本中所占的比例达到88%,而上期这一数字为77%。模块恶意代码的危险之处在于,虽然起初的威胁非常有限,但它可以对其它更危险的功能运行下载。它们通常透露机密信息,然后用于身份盗用、信用卡诈骗或其它金融犯罪活动。

  上一期《互联网安全威胁报告》提到BOT网络正在更多地用于犯罪活动,例如拒绝式服务攻击(DoS)的敲诈企图。赛门铁克平均每天发现1,402个拒绝式服务攻击,比上一期报告时段增长了51%。DoS攻击是严重的安全隐患,因为基于互联网的服务的中断会对依赖互联网进行关键数据沟通和/或创造收入的企业产生重大影响。在本报告期中,赛门铁克平均每天监测出9,163台受bot感染的计算机,比前一个报告期降低了11%。这一减少很可能是由于管理员采取了安全措施。尽管有所降低,但Bot和bot网络仍然存在严重的安全风险,因为它可以扩大攻击,提高攻击者匿名水平。

  本期报告特别指出,中国受 bot感染的计算机数量以及作为攻击源的趋势正在增长。2005年下半年是中国受bot感染的计算机数量第二个增长高峰,增长率为37%,比平均增长率增加了24个百分点——这一数据仅次于美国。中国受bot感染的计算机数量增长可能与宽带互联网连接的快速发展有关,也说明中国正在成为bot网络拥有者越来越明显的攻击目标。
在当前报告期内,中国也正成为整体攻击源增长最快的国家。2005年下半年,源于中国的攻击增加了153%,比平均增长值高出72%。攻击趋势的增长表明中国国内的攻击者越来越活跃,而bot日益成为此类攻击的来源。相比而言,从美国发出的攻击的数量增长了88%,仅高于平均值7%。

  在本期《互联网安全威胁报告》中,赛门铁克评估了攻击者以标准角色(如Web服务器和桌面系统)攻击新安装的操作系统的时间。在测试的Web服务器中,不带补丁的Windows2000服务器被攻破的时间最短,约为1小时17分。安装或未安装补丁的RedHat Enterprise Linux 3、或者安装了全部补丁的Windows2003 Web版本未被攻破。在测试的桌面系统中,微软的Windows XP专业版(不带补丁)被攻破的时间最短,约为1小时12秒。这些结果显示了尽快安装操作系统补丁和应用程序补丁的重要性。

  2005年下半年,赛门铁克共记录了10 ,992个新的Win32病毒和蠕虫变种,与前一报告期相比略有增长。Win32病毒和蠕虫变异的数量主要与新的BOT变异的增长有关。这也是第3和第4级威胁(分别为中等、极其危险)明显降低的一个原因;而第1和第2级威胁(分别为非常低、较低)的数量却有所增加。新的Win32病毒和蠕虫系列的数量降低39%,从2005年上半年的170个新系列,降低到本报告期的104个。这表明恶意代码的开发者可能选择修改目前传播的源代码,而不是重新开发新的威胁。

  网页仿冒威胁在2005年下半年持续增加,并转为针对小的地区型目标。网页仿冒是一种网络犯罪技术,利用社会工程学(social engineering)窃取机密信息——如密码、信用卡代码和其它财务信息,对个人和企业用户造成严重威胁。2005年7月1日至12月31日期间,每119封电子邮件中就有一封含有网页仿冒企图,每天平均有792万次网页仿冒攻击尝试。这比2005年上半年有所增加(上半年每125封电子邮件中有一封含有网页仿冒企图,每天平均有570万次攻击尝试)。在本报告期中,赛门铁克的Brightmail™ AntiSpam防病毒过滤器拦截了15亿次以上的网页仿冒攻击尝试,与前一时期的10.4亿次相比有所增加。

  2005年7月1日至12月31日,赛门铁克记录了1,896个新漏洞,平均每周73个,或说每日新增漏洞10个以上——这是1998年赛门铁克漏洞数据库建立以来的最高记录。这些漏洞中的97%为中等或极为严重级别,这意味着对于漏洞的成功利用会对目标网络造成部分或完全破坏。此外,79%的漏洞被认为易于攻击,这意味着无需定制代码就可以成功利用该漏洞,或者此代码已成为公共代码。

  上一期《互联网安全威胁报告》中,赛门铁克预计未来针对Web应用的攻击将继续增加。在本期报告时段,赛门铁克收到的漏洞报告中有69%将影响Web应用,比前一时期增长15%。Web应用主要依靠浏览器作为用户界面,并托管在Web服务器上,因此更容易成为攻击目标——根据网络协议(如HTTP),防火墙等外围安全设备会不会进行阻止。赛门铁克认为,随着漏洞数字的不断增加,Web应用将成为潜在攻击者的更主要目标。

  随着所发现的漏洞数量不断增加,赛门铁克开始监控企业为漏洞系统安装补丁的速度。从2005年7月1 日至12月31日,漏洞被发现到利用代码的公布,其时间间隔平均为6.8天,比2005年上半年的6.0天有所增加。赛门铁克也宣布从漏洞被发现到供应商发布补丁的平均时间间隔是49天。考虑到这些因素,企业和个人用户将有42天时间暴露于潜在攻击之下。这些统计数据加强了赛门铁克对于尽快安装补丁的建议。

  为了概述报告所包含的分析类型,下文突出显示了赛门铁克《互联网安全威胁报告》第九期将进一步深入探讨的主要发现。

要点

 攻击趋势

  · 在连续第5个报告时间内,Microsoft SQL Server Resolution Service Stack Overflow Attack (之前称为Slammer 攻击) 仍是最常见的攻击。45%的攻击者都采用这种方式。
  · 结合防火墙和入侵检测数据,赛门铁克传感器每天平均监测到39次攻击,与上一个报告期相比每天减少18个。
  · 已知的bot网络计算机从2005年上半年的每日10,347台减少到下半年的每日9,163台。美国的受感染bot计算机占据全球 最高比例,为26%。
  · 位于美国的Bot 网络命令控制服务器的比例最高,达到47%;其次是韩国和加拿大,分别占9%和6%。
  · 美国仍然是攻击源最多的国家,31%的攻击来源于美国;其次是中国和英国,分别占7%和6%。
  · 金融服务是最常见的目标攻击行业,其次是教育和小型企业。

漏洞趋势

  · 在当前报告期,公布漏洞与发布相关漏洞攻击代码之间的间隔时间从6天增加到6.8天。
  · 平均来说,漏洞被发现到厂商发布相关补丁之间的时间间隔为49天。
  · 在2005年下半年发现的所有漏洞中,Web 应用程序漏洞占 69%,比 上一个报告期增加15% 。
  · 在2005年下半年发现的漏洞中,97%为中等或高级严重级别,79%属于易于攻击级别。
  · 微软IE浏览器拥有24个供应商和非供应商确认的漏洞,是Web浏览器漏洞数量最多的。
  · Mozilla系列浏览器拥有13个厂商确认的漏洞,是2005年上半年Web浏览器漏洞数量最多的。

恶意代码趋势

  · Sober.X是当前报告期内最广泛的恶意代码类型。
  · 除Sober.X之外,在报告给赛门铁克的前五十位恶意代码中,暴露机密信息的模块化恶意代码占80%,比前一时期的74%有所上升,而去年同期为54%。
  · 2005年下半年,在报告给赛门铁克的前五十位恶意代码中,模块化恶意代码占80%,与2005年上半年的77%相比,有所增长。
  · 赛门铁克记录了10,992个新的Win32病毒和蠕虫,比2005年上半年的10,866个略有增长。
  · 2005年下半年,共报告了6,542个新的Spybot明显变种,比前6个月增长近3%。
  · 在针对即时信息(IM)服务的恶意代码中,蠕虫病毒占91%以上。

其它安全风险

  · 报告的最常见广告软件程序是Websearch,占前十位广告软件程序的19%。  
  · CometCursor是报告最频繁的间谍软件程序,占前十位间谍软件程序的42%。
  · 在当前报告期中,赛门铁克平均每天检测到790万次网页仿冒企图,比前一个报告期增长7.9%。
  · 赛门铁克AntiFraud传感器监测到的垃圾邮件占电子邮件总流量的50%以上。全球56%的垃圾邮件源于美国。
  · 赛门铁克AntiFraud传感器监测到与金融货物和服务有关的垃圾邮件是最常见的类型。

未来展望

  · 赛门铁克预计以网络犯罪为目的的威胁将呈现多样化、复杂化趋势;同时,受利益驱动的对机密信息、财务和个人信息的盗窃行为将有所增加。
  · 赛门铁克预计攻击者将更频繁地利用rootkit技术来破坏安全措施并躲避检测。
  · 赛门铁克预计漏洞的研究将更趋商业化,地下论坛和供攻击者购买的漏洞信息将会增加。
  · 赛门铁克预计非传统的平台威胁将在游戏控制台、集成的语音和数据设备中出现;针对

在线游戏的欺诈行为将会增加。
  · 赛门铁克预计即时信息服务中的网页仿冒信息和恶意代码的数量将增加。
  · 赛门铁克预计bot和bot网络近期将呈现上升趋势,因为攻击者开始利用不断增加的基于Web的应用程序漏洞及Web浏览器漏洞。

 

发表评论

爱问(iAsk.com)



评论】【论坛】【收藏此页】【 】【多种方式看新闻】【下载点点通】【打印】【关闭




科技时代意见反馈留言板 电话:010-82628888-5595   欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

Copyright © 1996 - 2006 SINA Inc. All Rights Reserved

新浪公司 版权所有