月度归档： 2013年8月

简介

网络罪犯和垃圾邮件发送者对于将电子邮件作为感染媒介的兴趣逐渐转淡。为什么?因为社交媒体当下极为盛行，为他们提供了许多新的方式来窃取他人的身份信息或个人信息，并利用恶意软件感染其计算机。
社交媒体综合了可供罪犯利用的两种行为：社会认同和分享。社会认同是一种因为朋友做某事而说服自己做某事的心理机制。例如，如果您在 Facebook Wall 上收到一位信赖的朋友发来的消息，那么您点击该消息的可能性会更大。
分享正是人们使用社交网络的目的：分享个人信息，如生日、家庭住址以及其他详细联系信息。此类信息对于身份信息窃贼非常有用。例如，您的社交媒体资料中可能包含安全问题线索，黑客需要通过这些安全问题来重置您的密码并控制您的帐户。
人们的上网时间越来越长，其中最受欢迎的活动便是社交网络。并且，年轻用户更经常使用移动设备来访问互联网和社交媒体应用程序。
此外，许多移动应用程序常常建立在基于云的存储基础上，如无互联网连接，其功能往往大为受限。越来越多用户和公司日常性地使用基于云的系统，有时甚至没有意识到这一点。
银行劫匪 Willie Sutton 对他为何抢劫银行给出了著名的答案：“因为那儿有钱。”网络罪犯之所以将目标对准社交媒体，是因为受害者在那里。Facebook 用户可通过以下电子邮件地址，向公司报告可能的Facebook 网页仿冒骗局：phish@fb.com。
　　概览
诈骗者继续将社交媒体作为欺诈和网页仿冒工具，包括诸如Pinterest 和 Instagram 等较新的网站。
2012 年移动恶意软件数量大幅上升，出现了诸如移动僵尸网络等新型威胁。
在所有移动恶意软件中，32% 意在从受感染设备窃取信息。
快速发展的云计算、自带设备以及消费化趋势给企业带来了更多风险。
　数据
2012 年前五大社交媒体攻击

虚假内容。此类骗局通过一些小恩小惠（如免费礼品卡），邀请社交网络用户参加虚假活动或团体。而参加活动往往要求用户与攻击者分享凭据，或向付费服务号码发送短信。
手动分享骗局。此类骗局借助受害者来实际执行繁重的骗局分享操作，方法是向受害者提供有趣的视频、虚假内容或消息，然后受害者与朋友分享。
Likejacking。攻击者使用虚假的“Like”按钮，诱骗用户点击网站按钮，而该按钮会安装恶意软件，并可能在用户的 NewsFeed 上张贴更新以扩散攻击。
虚假插件骗局。诱骗用户在计算机上下载虚假的浏览器扩展件。流氓浏览器扩展件伪装成合法的扩展件，但安装后会从受感染的计算机上窃取敏感信息。
复制粘贴骗局。用礼品券做诱饵，邀请用户将恶意 JavaScript 代码直接粘贴到浏览器地址栏中。

• 3 月是 2012 年最活跃的月份，共报告 121 个漏洞。
• 2012 年确认的移动设备漏洞为 415 个，2011 年为315 个。

　2012 年移动设备威胁

2012 年，信息窃取居移动恶意软件执行的活动之首，占记录某一类信息的全部威胁的 32%。
　2010 年至 2012 年 Android 移动恶意软件、系列和变体累积数量

　　• 2012 年移动恶意软件系列较 2011 年增长了 58%。全年总量占迄今为止所有恶意软件的59%。
• 与此同时，每个系列内的变体数量显著增加，变体与系列平均比率从 2011 年的 5:1 提高到2012 年的 38:1。这表明，威胁编写者投入更多时间对其威胁重新打包或进行微小调整，以便进一步扩散威胁并避开检测。

　2012 年不同设备类型的移动设备威胁

与漏洞数量不一样的是，Android 是 2012 年遭受攻击最多的移动设备平台，在全部 108 个独特威胁中占据 103 席。
　不同操作系统的移动设备漏洞

移动系统上的漏洞绝大部分位于 iOS平台中。不过，漏洞数量多并不代表威胁程度高，因为大多数移动设备威胁并不使用软件漏洞

基于 Web 的攻击与日俱增
我们注意到，基于 Web 的攻击数量增长了将近三分之一。当企业和个人用户访问遭破坏的网站时，会在毫无察觉的情况下感染此类攻击。换而言之，用户仅仅因为访问了一个合法网站而受到感染。通常情况下，攻击者潜入网站，在不为网站所有者或潜在受害者所知的情况下，安装攻击工具包和恶意软件负载。
Web 攻击工具包投下的恶意软件负载通常是服务器端多态或动态生成的，从而使得依赖基于特征的防病毒技术的企业无法抵御这种悄无声息的攻击。隐藏的 JavaScript? 段或链接到其他网站的区区数行代码，都能够安装难以检测的恶意软件。随后，该恶意软件会查看每位来访者的系统是否存在浏览器或操作系统漏洞，直到发现一个很可能管用的漏洞，然后通过该漏洞将恶意软件安装到来访者的计算机上。
由于企业和个人用户系统未采用最新的浏览器插件（例如，Adobe的 Flash Player? 和 Acrobat Reader? 以及 Oracle 的 Java?）修补程序进行更新，这些攻击得以取得成功。对于插件过期的个人用户，还可以归咎于不够重视，但在大公司里，关键业务系统的运行往往
要求使用较早的插件版本，因此较难升级到最新版本。修补程序管理的这种窘境，再加上修补程序部署速度的迟缓，使许多公司尤其难以抵御基于 Web 的攻击。
值得注意的是，漏洞数量与风险程度的加深并没有关联。即便是应用程序中的单个漏洞，只要利用得当，也会给企业带来灭顶之灾。2013 年，赛门铁克将对 Web 攻击工具包中利用的漏洞所存在的风险进行深入分析。
关键在于，致使 Web 攻击取得广泛成功的因素，并非最新的零日漏洞。遭破坏的网站的攻击率提高了 30%，而漏洞发现率仅提高了 6%。简而言之，导致大多数系统遭到破坏的是早期未经修补的漏洞。

　　新漏洞利用方面的竞赛
本年度我们目睹了零日漏洞的增加。2012 年，首次观察到 14个从未报告的漏洞被广泛利用。2011 年这一数据为 8。总体而言，2012 年报告的漏洞数量稍有提高，从 2011 年的 4,989增长到 2012 年的 5,291。移动设备漏洞也有所提高，从 2011年的 315 增长到 2012 年的 415。
一些有组织的团队（如 Elderwood 攻击背后的团队）专门寻找日常软件中的新漏洞，如 Web 浏览器和浏览器插件。当某个漏洞公开后，他们能迅速部署一个新的漏洞，这说明了制造漏洞的团伙的狡猾程度。
互联网罪犯与合法软件开发商之间存在着竞赛。罪犯迅速发现新漏洞并加以利用的能力，远非软件供应商修复并发布修补程序的能力所比。某些软件公司仅每个季度发布一次修补程序，而某些公司在确认漏洞方面行动迟缓。即使开发出了不错的更新程序，公司的部署也往往不够迅速。
零日漏洞固然是严重的安全威胁，但如果忽视已知的（甚至是经过修补的）漏洞，后果也很严重。许多公司和个人用户未能及时部署发布的更新程序。以众所周知的漏洞为目标的工具包，使罪犯很容易将目标对准成千上万台电脑，找到其中易于感染的系统。事实上，得以利用的漏洞通常都不是最新的漏洞。
　　恶意广告和网站黑客攻击

黑客是通过什么方式将代码添加到合法网站中的？工具包的存在使这一过程变得简单。例如，2012 年 5 月，LizaMoon 工具包采用 SQL注入技术，对至少一百万个网站造成了影响。13 其他方法还包括：
利用网站主机或内容管理软件中的已知漏洞
使用网页仿冒、间谍软件或社交骗局获取网站管理员的密码
通过 Web 服务器后端基础架构（如控制面板或数据库）进行黑客攻击
付费刊登包含感染源的广告
最后一项技术名为恶意广告，甚至无需破坏合法网站即可影响该网站。这种攻击形式很普遍。赛门铁克使用实验性的扫描软件（请参见本节稍后的“网站恶意软件扫描和网站漏洞评估”），
发现测试的网站中有一半被恶意广告感染。
恶意广告打通了一条攻击大道，使黑客无需直接攻击网站本身即可破坏网站。黑客通过这些恶意广告，使用户在毫无察觉的情况下被感染，通常是安装动态创建的恶意软件，而仅凭防病毒软件无法检测到此类恶意软件。
Google 及其他搜索引擎会扫描恶意软件以及包含恶意软件的纳入黑名单的网站，这一迹象表明该问题非常严重。知名广告网络深受恶意广告之害的事例时有发生，甚至影响到某些鼎鼎大名的在线媒体。14 对于那些利润主要取决于广告收入的网站而言，此类情况会造成严重后果，甚至削弱在读者眼中的公信力。广告网络数量庞大，广告内容不断翻新，因此跟踪并防御恶意广告是一个巨大的挑战。

恶意软件工具包在线广告
　　Web 攻击工具包
发现新漏洞是一回事，但找到以兹利用的方式又是另一回事。职业罪犯将漏洞利用转化为工具包，供不太精通的用户购买和使用。类似于商业软件，这些工具包甚至包括技术支持和
保修。编写者通过匿名账号，采用在线支付服务接受付款。

攻击工具包的出现是为了创建各种恶意软件并攻击网站。广为流传的 Blackhole 工具包便是一个臭名昭著的例子。其更新战略表明该工具包具有一定程序的品牌忠诚度，且编写者的运作方式与合法软件供应商提供更新程序及新版本的方式无异。

2012 年，Blackhole 的影响力不断加深，在所有基于 Web 的攻击中占到 41%。我们还注意到，2012 年 9 月该工具包推出了更新版本，Blackhole 2.0。不过，Blackhole 的整体优势地位可能已开始动摇，因为 2012 年下半年的几个月中，另一个Web 攻击工具包超越了 Blackhole。Sakura 是市场中新涌现的工具包，鼎盛时曾占全部工具包活动的 60% 之多，2012年总使用率达 22%。

2012 年，大约 41% 的基于 Web 的工具包攻击与Blackhole 攻击包有关，2011 年为 44%。Sakura 工具包 2011 年没有进入前十，但如今在基于 Web 的工具包攻击中占据约 22%，年中某些时候甚至超越了Blackhole。

网站恶意软件扫描和网站漏洞评估
2012 年，在赛门铁克网站恶意软件扫描和网站漏洞评估服务中，赛门铁克的信任服务技术（以前的 VeriSign）扫描了 150 多万个网站。每天扫描至少 13 万个 URL 以检测是否存在恶意软件，每 532个网站中便有一个受到恶意软件的感染。最常见的感染方式是通过偷渡式下载。
并且，在评估网站的潜在可利用漏洞过程中，每天执行至少 1,400次漏洞扫描。在扫描的网站中，大约 53% 存在未经修补且潜在可利用的漏洞（2011 年为 36%），其中 24% 可视为重大漏洞（2011 年为 25%）。发现的最普遍的漏洞为跨站点脚本漏洞。
　安全连接的增长
SSL 使用率增长的判断依据之一，是所监控的 OCSP（在线证书状态协议，用于获取数字证书的吊销状态）和 CRL（证书吊销列表）查询统计数据的变化。SSL 安全连接在启动时，将使用 OCSP 或CRL 执行吊销检查，我们会跟踪遍历系统的查询数量。该数据即在线执行的 SSL 安全会话数量的增长指示器。这意味着，上网并使用安全连接的用户越来越多（例如，表示网络上电子商务交易量在增长）。这也说明，SSL 的采用范围越来越广泛，在更多位置为更多用户所用，譬如，扩展验证 SSL 证书的使用日益普及，该证书会触发浏览器将地址栏变为绿色，从而指示用户处于安全的网站上，此外还有“Always On SSL”（整个 2012 年，社交网络、搜索服务和在线电子邮件提供商大量采用该技术）。另外，这可能也是除传统台式机和笔记本电脑之外的其他设备，如智能手机和平板电脑，支持在线访问的结果。
2012 年，赛门铁克发现，OCSP 查询平均数量从 2011 年到 2012年增长了 31%，2012 年每天执行的查询超过 48 亿次。2012 年，OCSP 查询单日最高达 58 亿次。值得一提的是，OCSP 是一种先进的吊销检查方法。

此外，赛门铁克的 CRL 查询从 2011 年到 2012 年增长了 45%，每天执行大约 14 亿次，单日最高达 21 亿次。CRL 是一种较老的查询技术，已被 OCSP 取代。
诺顿安全认证签章和信任标记
2012 年，越来越多个人用户访问带信任标记（如诺顿安全认证签章）的网站。根据赛门铁克自己的信任标记统计数据分析，我们注意到 2012 年增长了 8%。2012 年，赛门铁克信任标记的查看量高达每日 7.5 亿次，因为越来越多在线用户需要更强大的安全措施来保护其在线活动。

被盗的密钥签名证书
2012 年的情况还说明，企业无论大小，都容易成为全球恶意软件传播网络中不知情的一员。我们注意到，经合法代码签名证书签署的恶意软件活动加剧。恶意软件代码经签署后，披上了合法的外衣，因而更容易扩散。
恶意软件开发人员经常使用被盗的代码签名私钥。他们攻击证书颁发机构，一旦潜入其网络，便搜寻并窃取私钥。在其他情况中，他们利用糟糕的安全防护措施，用虚假身份购买合法证书。
例如，2012 年 5 月，大型证书颁发机构 Comodo 对一个由网络罪犯经营的虚假组织进行了身份验证，并向其颁发了合法的代码签名证书。

建议

使用全方位防护技术。
如果威胁形势的发展不那么迅猛，文件扫描技术（通常称为“防病毒”）便足以防御恶意软件感染。然而，随着工具包的出现，攻击者可根据需要构建恶意软件、多态恶意软件及零日漏洞利用，防病毒技术已远远不够。必须在端点上部署基于网络的防护和信誉技术，才能抵御攻击。此外，还必须使用行为阻止技术和文件计划扫描，以帮助查找避开预防性防御措施的恶意软件。
保护面向公众的网站。
考虑采用“Always On SSL”对整个网站中来访者与网站的交互进行加密，而不仅仅是注册和注销页面。如同对待客户端电脑一样，确保及时更新内容管理系统和 Web 服务器软件。在网站上运行漏洞和恶意软件扫描工具，以及时发现问题。为保护这些凭据免受社交骗局和网页仿冒的攻击，管理帐户及其他服务可使用强密码。只有需要的用户才能登录访问重要的 Web 服务器。

　保护代码签名的证书。
证书所有者应当运用严密的防护措施和安全策略来保护密钥。这意味着有效的物理安全措施，使用加密的硬件安全模块，以及有效的网络和端点安全措施，包括在与代码签名有关的服务器上实施数据泄露防护，对用于代码签名的应用程序进行全面安全保护。此外，证书颁发机构应确保在身份验证过程的每个步骤中，采取最佳实践。

采用“Always On SSL”方法有助于保护帐户信息避免未经加密的连接，从而使最终用户不易遭受中间人攻击。
主动更新软件并审核修补过程。
大部分基于 Web 的攻击工具包利用的是前 20 种最常见的漏洞。因此，安装已知漏洞的修补程序可防御最常见的攻击。及时更新和修补所有软件至关重要。尤其是，对于类似 Flashback 这种使用 Java 的攻击，要么运行最新的软件版本，要么干脆弃之不用。无论是管理数千名用户的 CIO，还是只有数十名用户的小企业主，亦或是家庭用户，这一点同样适用。
通过供应商的自动更新机制，将落后且不安全的浏览器、应用程序和浏览器插件更新、修补或迁移至可用的最新版本，尤其是对于被利用最多的软件漏洞。大多数软件供应商会努力修补可利用的软件漏洞，不过，此类修补程序必须现场采用才能起作用。在部署包含落后且不安全的早期版本的浏览器、应用程序和浏览器插件的标准企业映像时，应保持警惕。可考虑从不再需要该软件的员工的映像中删除薄弱的插件。应尽可能自动修补部署，以防止企业中出现漏洞

简介
　　Ponemon Institute 最近的研究表明，2012 年网络攻击次数增加了42%，网络犯罪造成的损失上升了 6%。企业付出巨大代价，蒙受的平均损失达 591,780 美元。12 鉴于漏洞及漏洞利用的获取更加容易，网络罪犯谋利能力的提高是意料之中的事。要发现漏洞，创造漏洞利用方式，然后使用漏洞发起攻击，需要具备各种技能。对于网络罪犯而言，幸好有黑市的存在，在黑市上他们能以工具包的形式购买到所需的技能。黑客发现并利用或销售漏洞。工具包编写者发现或购买漏洞利用代码，然后将该代码编入其“产品”中。随后，网络罪犯购买或窃取最新版本的工具包，并通过这些工具包发起大量攻击，根本不用学习所需技能即可完成整个过程。

　　概览

• 　　零日漏洞的使用率提高了，2012 年从 8% 增长到 14%。
• 　　黑市越来越高端，形成了数十亿美元的在线犯罪产业。
• 　　漏洞通常在公开发布之后，随之被商品化并添加到 Web 攻击工具包中。
• 　　2012 年偷渡式 Web 攻击增长了三分之一，可能是由于恶意广告的推动。
• 　　本年度约有 60 万台 Mac 受到 Flashback 恶意软件的感染。
• 　　2011 年影响甚微的 Sakura 工具包，如今在基于 Web 的工具包攻击中占据约 22%，年中某些时候甚至超越了 Blackhole。

　数据
　　　　2010 – 2012 年浏览器漏洞

2010 – 2012 年插件漏洞

　总的漏洞

• 　　2012 年报告漏洞 5,291 个，
• 　　2011 年为 4,989 个。
• 　　2012 年每月报告漏洞大致在300 到 500 个之间波动。
• 　　2012 年共有 85 个公开的SCADA（监控和数据采集）漏洞，较 2011 年的 129 个有显著减少。
• 　　2012 年确认的移动设备漏洞为 415 个，2011 年为315 个。

零日漏洞

零日漏洞指的是，在漏洞为公众所知晓且尚未公开发布修补程序之前，便报告已被广泛利用的漏洞。
2012 年总共报告了 14 个零日漏洞。
每个月最多曾报告过 3 个零日漏洞。

　　网络战争、网络破坏及行业间谍
目标性攻击是威胁形势中不容忽视的一部分，如何抵御此类攻击业已成为 CISO 及 IT 经理的主要关注事项。行业间谍通常使用目标性攻击，从遭破坏的计算机系统或网络上获取机密信息。目标性攻击虽不常见，但可能是最难防御的攻击类型。
如无充分证据，很难将攻击归咎于特定组织或政府。有时，攻击者的动机和资源会让人猜测其背后可能存在某个国家的支持，但很难找到确凿证据。相比常规网络犯罪，由国家提供支持的攻击很少见，往往会博得更多恶名。此类攻击是最复杂、危害性最大的威胁类型之一。毫无疑问，各国政府在网络战争攻防功能方面投入了更多资源。不过，2012 年大多数企业均不太可能遭遇此类攻击，最大的风险仍来自于那些为行业间谍而创建的日益猖獗的目标性攻击。越来越多的中小型企业发觉自己处于此类目标性攻击的前沿，因为他们没有足够的资源来对抗威胁，而且攻击者在成功攻克中小型企业后，随后可能会以此为跳板，进一步攻击作为供应商的大企业。
恶意软件（如 2010 年的 Stuxnet、2011 年的 Duqu、2012 年的Flamer 和 Disttrack）的发展表明其复杂性和危险性都在不断加剧。例如，针对沙特石油公司的 Shamoon 攻击中使用的恶意软件，具备硬盘擦除功能。
某些国家和国家代理在进行网络攻击和政治间谍活动时，也可能采用行业间谍网络罪犯所使用的技术。对复杂攻击进行逆向工程和复制，以便将相同或类似的技术用在差别不大的攻击中。更危险的是，为网络破坏目的而开发的恶意软件，可能会扩散到预定目标之外，并感染其他计算机造成间接伤害。

　　高级持续性威胁和目标性攻击
目标性攻击综合了社交骗局和恶意软件，以特定公司的个别人为目标，目的是窃取诸如商业秘密或客户数据等机密信息。此类攻击通常使用定制的恶意软件，有时也利用零日漏洞，这使得此类攻击更难以检测，并且可能传染性更强。
目标性攻击采用各种媒介作为其主要传递机制，例如，通过电子邮件传递的恶意软件，或来自目标对象经常访问的受感染网站的偷渡式下载，此技术称为“水坑”攻击。
相比传统攻击，高级持续性威胁依靠高度定制的入侵技术，因而往往更复杂、更隐蔽。虽然目标性攻击日益常见，不过发动高级持续性威胁需要大量资源，这意味着此类攻击仅局限于那些以高价值目标为攻击对象的资金充裕的团伙。
赛门铁克注意到，2012 年目标性攻击比例相比过去 12 个月增长了 42%。虽然制造业占到攻击的 24%，成为主要攻击目标，但我们也注意到，遭受攻击的公司分布很广泛，不仅仅是大公司，中小型企业也在增多。2011 年，18% 的目标性攻击针对的是员工人数不到 250 名的公司，但到 2012 年年底，该比例上升至 31%。

　社交骗局和间接攻击

攻击者可能会将供应链中规模较小的公司作为目标，因为小公司不仅更薄弱，而且具有访问重要知识产权的权限，可作为攻击大公司的垫脚石。此外，它们也因自身特点而成为攻击目标。小公司数量众多，具备有价值的数据，而且防护措施通常不及大公司。例如，攻击者可以潜入小供应商，将其作为跳板入侵大公司。攻击者可能会利用小公司中某个人的个人信息、电子邮件和文件来精心编写电
子邮件，以对付目标公司里的某人。
2012 年，我们注意到针对研发和销售职位的攻击较上一年大幅增加。这表明攻击者的撒网范围更宽泛，并将高管以下的职位作为目标来获取公司的访问权限。攻击次数的增加尤其体现在这两类职位上。不过，其他职位（如后勤人员）遭受的攻击也仍然是巨大威胁。
在目标性攻击中，攻击者继续采用社交骗局技术。例如，在邮件里冒充欧盟官员，邮件看似来自美国安全机构并针对其他政府官员，或者来自潜在政府客户（如美国空军）且附带了有关新的采购计划的通告。这说明攻击者广泛研究并精准把握了收件人的心理诱因，大大提高了受害者打开包含恶意软件的附件的几率。
水坑攻击中使用的 Web 注入过程 

　水坑攻击
目标性攻击中最大的创新莫过于水坑攻击的兴起。此类攻击指的是破坏目标受害者可能会访问的合法网站，并通过该网站在受害者的计算机上安装恶意软件。例如，本年度我们在某个人权组织网站的跟踪脚本中发现了一行代码10，可能会对计算机造成危害。该代码利用 Internet Explorer®中一个新的零日漏洞来感染访问者。我们的数据表明，在24 小时内，来自 500 家大公司和政府机构的用户访问了该网站，并处于感染风险之下。此事件的攻击者被认为是Elderwood Gang，他们在攻击中采用了复杂的工具并利用了零日漏洞，说明这个资源充足的团伙背后，有大型犯罪组织或国家提供支持。

建议
　假定自己就是目标
小规模和相对隐蔽并非抵御最复杂攻击的有效措施。目标性攻击对于小公司的威胁和大公司是一样的。攻击者还可能将您的网站作为攻击其他人的工具。如果您假定自己就是潜在目标，并完善抵御最严重威胁的措施，那么您防御其他威胁的能力将自动提高。
培训员工
提高员工对社交骗局风险的认知度，并培训员工如何应对这种情况。同样，良好的培训和规程可以减少意外数据泄露风险和其他内部人员风险。此外，就数据价值以及数据保护方式对员工进行培训。
深入防御
注重相互支持的多层重叠式防御体系，可以使用任何一种特定的技术或防护方法来防御单点故障。其中应该包括在整个网络中部署定期更新的防火墙，以及防病毒、入侵检测、入侵防御系统和Web 安全网关解决方案。不能仅仅采用基于特征的防病毒技术来保护端点。
数据泄露防护
在网络中安装数据泄露防护软件，防止数据泄露和丢失。无论在线传输还是通过可移动存储设备传输，采用加密保护传输中的数据