基于 Web 的攻击与日俱增
我们注意到,基于 Web 的攻击数量增长了将近三分之一。当企业和个人用户访问遭破坏的网站时,会在毫无察觉的情况下感染此类攻击。换而言之,用户仅仅因为访问了一个合法网站而受到感染。通常情况下,攻击者潜入网站,在不为网站所有者或潜在受害者所知的情况下,安装攻击工具包和恶意软件负载。
Web 攻击工具包投下的恶意软件负载通常是服务器端多态或动态生成的,从而使得依赖基于特征的防病毒技术的企业无法抵御这种悄无声息的攻击。隐藏的 JavaScript? 段或链接到其他网站的区区数行代码,都能够安装难以检测的恶意软件。随后,该恶意软件会查看每位来访者的系统是否存在浏览器或操作系统漏洞,直到发现一个很可能管用的漏洞,然后通过该漏洞将恶意软件安装到来访者的计算机上。
由于企业和个人用户系统未采用最新的浏览器插件(例如,Adobe的 Flash Player? 和 Acrobat Reader? 以及 Oracle 的 Java?)修补程序进行更新,这些攻击得以取得成功。对于插件过期的个人用户,还可以归咎于不够重视,但在大公司里,关键业务系统的运行往往
要求使用较早的插件版本,因此较难升级到最新版本。修补程序管理的这种窘境,再加上修补程序部署速度的迟缓,使许多公司尤其难以抵御基于 Web 的攻击。
值得注意的是,漏洞数量与风险程度的加深并没有关联。即便是应用程序中的单个漏洞,只要利用得当,也会给企业带来灭顶之灾。2013 年,赛门铁克将对 Web 攻击工具包中利用的漏洞所存在的风险进行深入分析。
关键在于,致使 Web 攻击取得广泛成功的因素,并非最新的零日漏洞。遭破坏的网站的攻击率提高了 30%,而漏洞发现率仅提高了 6%。简而言之,导致大多数系统遭到破坏的是早期未经修补的漏洞。
新漏洞利用方面的竞赛
本年度我们目睹了零日漏洞的增加。2012 年,首次观察到 14个从未报告的漏洞被广泛利用。2011 年这一数据为 8。总体而言,2012 年报告的漏洞数量稍有提高,从 2011 年的 4,989增长到 2012 年的 5,291。移动设备漏洞也有所提高,从 2011年的 315 增长到 2012 年的 415。
一些有组织的团队(如 Elderwood 攻击背后的团队)专门寻找日常软件中的新漏洞,如 Web 浏览器和浏览器插件。当某个漏洞公开后,他们能迅速部署一个新的漏洞,这说明了制造漏洞的团伙的狡猾程度。
互联网罪犯与合法软件开发商之间存在着竞赛。罪犯迅速发现新漏洞并加以利用的能力,远非软件供应商修复并发布修补程序的能力所比。某些软件公司仅每个季度发布一次修补程序,而某些公司在确认漏洞方面行动迟缓。即使开发出了不错的更新程序,公司的部署也往往不够迅速。
零日漏洞固然是严重的安全威胁,但如果忽视已知的(甚至是经过修补的)漏洞,后果也很严重。许多公司和个人用户未能及时部署发布的更新程序。以众所周知的漏洞为目标的工具包,使罪犯很容易将目标对准成千上万台电脑,找到其中易于感染的系统。事实上,得以利用的漏洞通常都不是最新的漏洞。
恶意广告和网站黑客攻击
黑客是通过什么方式将代码添加到合法网站中的?工具包的存在使这一过程变得简单。例如,2012 年 5 月,LizaMoon 工具包采用 SQL注入技术,对至少一百万个网站造成了影响。13 其他方法还包括:
利用网站主机或内容管理软件中的已知漏洞
使用网页仿冒、间谍软件或社交骗局获取网站管理员的密码
通过 Web 服务器后端基础架构(如控制面板或数据库)进行黑客攻击
付费刊登包含感染源的广告
最后一项技术名为恶意广告,甚至无需破坏合法网站即可影响该网站。这种攻击形式很普遍。赛门铁克使用实验性的扫描软件(请参见本节稍后的“网站恶意软件扫描和网站漏洞评估”),
发现测试的网站中有一半被恶意广告感染。
恶意广告打通了一条攻击大道,使黑客无需直接攻击网站本身即可破坏网站。黑客通过这些恶意广告,使用户在毫无察觉的情况下被感染,通常是安装动态创建的恶意软件,而仅凭防病毒软件无法检测到此类恶意软件。
Google 及其他搜索引擎会扫描恶意软件以及包含恶意软件的纳入黑名单的网站,这一迹象表明该问题非常严重。知名广告网络深受恶意广告之害的事例时有发生,甚至影响到某些鼎鼎大名的在线媒体。14 对于那些利润主要取决于广告收入的网站而言,此类情况会造成严重后果,甚至削弱在读者眼中的公信力。广告网络数量庞大,广告内容不断翻新,因此跟踪并防御恶意广告是一个巨大的挑战。
恶意软件工具包在线广告
Web 攻击工具包
发现新漏洞是一回事,但找到以兹利用的方式又是另一回事。职业罪犯将漏洞利用转化为工具包,供不太精通的用户购买和使用。类似于商业软件,这些工具包甚至包括技术支持和
保修。编写者通过匿名账号,采用在线支付服务接受付款。
攻击工具包的出现是为了创建各种恶意软件并攻击网站。广为流传的 Blackhole 工具包便是一个臭名昭著的例子。其更新战略表明该工具包具有一定程序的品牌忠诚度,且编写者的运作方式与合法软件供应商提供更新程序及新版本的方式无异。
2012 年,Blackhole 的影响力不断加深,在所有基于 Web 的攻击中占到 41%。我们还注意到,2012 年 9 月该工具包推出了更新版本,Blackhole 2.0。不过,Blackhole 的整体优势地位可能已开始动摇,因为 2012 年下半年的几个月中,另一个Web 攻击工具包超越了 Blackhole。Sakura 是市场中新涌现的工具包,鼎盛时曾占全部工具包活动的 60% 之多,2012年总使用率达 22%。
2012 年,大约 41% 的基于 Web 的工具包攻击与Blackhole 攻击包有关,2011 年为 44%。Sakura 工具包 2011 年没有进入前十,但如今在基于 Web 的工具包攻击中占据约 22%,年中某些时候甚至超越了Blackhole。
网站恶意软件扫描和网站漏洞评估
2012 年,在赛门铁克网站恶意软件扫描和网站漏洞评估服务中,赛门铁克的信任服务技术(以前的 VeriSign)扫描了 150 多万个网站。每天扫描至少 13 万个 URL 以检测是否存在恶意软件,每 532个网站中便有一个受到恶意软件的感染。最常见的感染方式是通过偷渡式下载。
并且,在评估网站的潜在可利用漏洞过程中,每天执行至少 1,400次漏洞扫描。在扫描的网站中,大约 53% 存在未经修补且潜在可利用的漏洞(2011 年为 36%),其中 24% 可视为重大漏洞(2011 年为 25%)。发现的最普遍的漏洞为跨站点脚本漏洞。
安全连接的增长
SSL 使用率增长的判断依据之一,是所监控的 OCSP(在线证书状态协议,用于获取数字证书的吊销状态)和 CRL(证书吊销列表)查询统计数据的变化。SSL 安全连接在启动时,将使用 OCSP 或CRL 执行吊销检查,我们会跟踪遍历系统的查询数量。该数据即在线执行的 SSL 安全会话数量的增长指示器。这意味着,上网并使用安全连接的用户越来越多(例如,表示网络上电子商务交易量在增长)。这也说明,SSL 的采用范围越来越广泛,在更多位置为更多用户所用,譬如,扩展验证 SSL 证书的使用日益普及,该证书会触发浏览器将地址栏变为绿色,从而指示用户处于安全的网站上,此外还有“Always On SSL”(整个 2012 年,社交网络、搜索服务和在线电子邮件提供商大量采用该技术)。另外,这可能也是除传统台式机和笔记本电脑之外的其他设备,如智能手机和平板电脑,支持在线访问的结果。
2012 年,赛门铁克发现,OCSP 查询平均数量从 2011 年到 2012年增长了 31%,2012 年每天执行的查询超过 48 亿次。2012 年,OCSP 查询单日最高达 58 亿次。值得一提的是,OCSP 是一种先进的吊销检查方法。
此外,赛门铁克的 CRL 查询从 2011 年到 2012 年增长了 45%,每天执行大约 14 亿次,单日最高达 21 亿次。CRL 是一种较老的查询技术,已被 OCSP 取代。
诺顿安全认证签章和信任标记
2012 年,越来越多个人用户访问带信任标记(如诺顿安全认证签章)的网站。根据赛门铁克自己的信任标记统计数据分析,我们注意到 2012 年增长了 8%。2012 年,赛门铁克信任标记的查看量高达每日 7.5 亿次,因为越来越多在线用户需要更强大的安全措施来保护其在线活动。
被盗的密钥签名证书
2012 年的情况还说明,企业无论大小,都容易成为全球恶意软件传播网络中不知情的一员。我们注意到,经合法代码签名证书签署的恶意软件活动加剧。恶意软件代码经签署后,披上了合法的外衣,因而更容易扩散。
恶意软件开发人员经常使用被盗的代码签名私钥。他们攻击证书颁发机构,一旦潜入其网络,便搜寻并窃取私钥。在其他情况中,他们利用糟糕的安全防护措施,用虚假身份购买合法证书。
例如,2012 年 5 月,大型证书颁发机构 Comodo 对一个由网络罪犯经营的虚假组织进行了身份验证,并向其颁发了合法的代码签名证书。
建议
使用全方位防护技术。
如果威胁形势的发展不那么迅猛,文件扫描技术(通常称为“防病毒”)便足以防御恶意软件感染。然而,随着工具包的出现,攻击者可根据需要构建恶意软件、多态恶意软件及零日漏洞利用,防病毒技术已远远不够。必须在端点上部署基于网络的防护和信誉技术,才能抵御攻击。此外,还必须使用行为阻止技术和文件计划扫描,以帮助查找避开预防性防御措施的恶意软件。
保护面向公众的网站。
考虑采用“Always On SSL”对整个网站中来访者与网站的交互进行加密,而不仅仅是注册和注销页面。如同对待客户端电脑一样,确保及时更新内容管理系统和 Web 服务器软件。在网站上运行漏洞和恶意软件扫描工具,以及时发现问题。为保护这些凭据免受社交骗局和网页仿冒的攻击,管理帐户及其他服务可使用强密码。只有需要的用户才能登录访问重要的 Web 服务器。
保护代码签名的证书。
证书所有者应当运用严密的防护措施和安全策略来保护密钥。这意味着有效的物理安全措施,使用加密的硬件安全模块,以及有效的网络和端点安全措施,包括在与代码签名有关的服务器上实施数据泄露防护,对用于代码签名的应用程序进行全面安全保护。此外,证书颁发机构应确保在身份验证过程的每个步骤中,采取最佳实践。
采用“Always On SSL”方法有助于保护帐户信息避免未经加密的连接,从而使最终用户不易遭受中间人攻击。
主动更新软件并审核修补过程。
大部分基于 Web 的攻击工具包利用的是前 20 种最常见的漏洞。因此,安装已知漏洞的修补程序可防御最常见的攻击。及时更新和修补所有软件至关重要。尤其是,对于类似 Flashback 这种使用 Java 的攻击,要么运行最新的软件版本,要么干脆弃之不用。无论是管理数千名用户的 CIO,还是只有数十名用户的小企业主,亦或是家庭用户,这一点同样适用。
通过供应商的自动更新机制,将落后且不安全的浏览器、应用程序和浏览器插件更新、修补或迁移至可用的最新版本,尤其是对于被利用最多的软件漏洞。大多数软件供应商会努力修补可利用的软件漏洞,不过,此类修补程序必须现场采用才能起作用。在部署包含落后且不安全的早期版本的浏览器、应用程序和浏览器插件的标准企业映像时,应保持警惕。可考虑从不再需要该软件的员工的映像中删除薄弱的插件。应尽可能自动修补部署,以防止企业中出现漏洞