近日,卡巴斯基实验室发表题为《卡巴斯基安全公告:2008恶意软件发展情况》的报告,该报告由公司高级分析师撰写。
据悉,通过卡巴斯基安全网络所收集到的数据也是首次被用在这样的年度报告中,并作为论述的依据。这项新技术不仅使卡巴斯基实验室能够获得有关恶意软件威胁的信息,还能实时跟踪、监控其演变过程,同时,在签字或启发式检测尚未形成时,显著加快了检测新威胁的速度。
2007年,专家们强调“非营利性”的恶意软件正在逐渐消失。2008年,真正意义的“独家”恶意程序(主要指那些由一人或最多两人创建和使用的程序)出现。今年检测出的绝大多数木马和病毒都是被开发出来以后用于出售给他人的。而与此销售配套的相关“支持”服务也以一个相当惊人的规模出现,其中包括帮助避开反病毒产品的承诺。网络犯罪开始表现出明确的分工,从创建、传播和使用恶意程序,每个阶段都由不同的人参与并完成。
从全球范围来看,中国可谓是几大恶意程序出产国中的绝对领先者。中国黑客不断的创造各种各样的木马程序变种,而且还开始将其他国家创建的恶意程序本地化。中国黑客是2008年4月到10月间发生的两次主要攻击的幕后黑手,攻击的目标都为网站。第一起攻击发生在2008年4月到6月间,全球超过 200万个网站遭到黑客攻击。
随着犯罪分子活动范围在恶意软件2.0的领域展开,俄罗斯病毒编写者成为了该领域的先锋者。从Rustock.c和Sinowal这两个rootkit所构成的重大威胁中让我们能够清楚的认识到这点 ,这些恶意软件中所包含的科技成分也远远高出过去常见的的Zhelatin和Warezov蠕虫等。
如同预期那样,文档病毒在2008年又开始死灰复燃。但与之前不同的是,新的病毒还增加了盗窃用户数据以及通过移动存储设备传播的功能,通过后一种方式,该病毒可以在短时间内感染全世界的大量计算机。
这种方法能够使蠕虫通过闪存驱动器绕过传统保护(如电子邮件和文件服务器反病毒,以及防火墙)的企业网络。而一旦工作站遭到侵入,这种蠕虫便能够将自身复制到所有可以访问的网络资源,从而迅速蔓延到整个网络。
在2008年,许多Zhelatin 变种(又称风暴蠕虫)停止传播。这种存在近两年的病毒(第一批变种出现在2007年1月)引发了很多疑问。而颇具传奇色彩的“风暴僵尸网络(Storm botnet)”,估计影响了超过200万台计算机,但最终没有充分发挥其潜力。而之前预计的大量垃圾邮件和DDoS攻击却从未发生。其中的一个原因可能是RBN(俄罗斯商务网)的及时关闭,它曾经是网络犯罪提供主机业务的平台。这个网络可能参与了几乎所有网络犯罪活动,而它是如何被卷入其中的正成为大家热议的话题。据悉,这些活动导致RBN的未知业主将这种犯罪交易转移到几十个世界各地的分网站,并以秘密的方式开展他们的活动。直到去年秋天,打击网络犯罪活动的力度加大,Atrivo / Intercage 、 EstDomains和McColo在网络公司、政府和反病毒软件公司的合作下纷纷关闭。而McColo的关闭促使互联网中垃圾邮件的数量大幅下滑了50 %以上。同时,大量依赖这类公司资源的僵尸网络也停止了运作。尽管几个星期后,垃圾邮件的数量又恢复到了之前的水平,但是这一事件应被看作是在过去的几年里最重要的反病毒胜利之一。
2008年对整个反病毒行业以及整个信息安全产业都产生了重大影响的安全事件主要为rootkit的传播,以及针对在线游戏产生的恶意程序及僵尸网络。
与前一年相比,2008年中rootkit的传播成为了更严重的问题。卡巴斯基实验室发表了三篇与这个问题相关的研究性文章,分别为:“Rustock及同类恶意代码”,“ rootkit的演变”和“ Bootkit : 2008年的挑战”。这些文章都叙述了rootkit是如何被用来进行复杂性攻击的,这使得整个杀毒行业必须努力确定如何才能检测和清除活动的rootkit。随着社交网站越来越普及,并在一些国家(如东南亚,印度,中国,南美,土耳其,北非,和前苏联国家)十分受欢迎,并且还拥有大量的新客户,因此通过这些社交网站发起的攻击不再成为发生在虚拟世界的孤立事件,而是成为了日常生活中的一个事实。专家估计,通过社交网站传播恶意代码大约有10 %的成功率,这大大高于通过电子邮件传播的方式获得的不到1 %的成功率。
而社交网站不仅仅被利用来传播新的恶意程序,还被用作数据的采集和各种各样的新型诈骗,其中包括钓鱼行为。最典型事件便是Koobface的流行;这种蠕虫的首个变种于2008年7月被卡巴斯基实验室检测到,12月,这种蠕虫不仅可以攻击Facebook和MySpace的用户,还能够攻击另一个受欢迎的社交网站Bebo的用户。
2008年,窃取在线游戏密码的恶意程序数量稳步上升: 在这一年确认的新游戏木马数量达到100397个,是2007年( 32374 个)的3倍。尽管绝大多数的在线游戏禁止出售虚拟资产以换取真实货币,但是买家的数量却在不断增加。一般来说,买主毫不关心虚拟资产是否是其他玩家赢来的还是通过恶意代码偷窃的。因此,这样的条件对于病毒编写者来说无疑是如虎添翼,因而导致虚拟资产的价格上升并增加了虚拟资产市场的不法交易。
仅仅在几年前, '僵尸网络'这个词只是被反病毒公司人员使用,但在过去的一年里,僵尸网络俨然已成为一个普通的术语。僵尸网络已成为垃圾邮件、DDoS攻击和新恶意程序传播的最主要来源。应当指出的是,僵尸网络与本报告中强调的所有主题都有着直接的联系:例如rootkit以及针对社交网站和网络游戏的攻击等。因为目前的技术重点都主要集中在这块领域,这一点并不令我们感到惊讶。最重要的是, 2008年发生的事件表明,这些问题存在着巨大的潜在隐患,而且在不久的将来,他们将继续发展和演化。
关于此报告每章细节总概括如上。
预测
显而易见,当前存在的威胁在2009年是不会消失的,对在线游戏和社交网络的攻击也将继续;恶意软件技术将变得越来越复杂,僵尸网络数量还会增加。同时,网络犯罪作为一种商业交易和服务,也将得到进一步发展。
卡巴斯基实验室专家对2009年相关趋势的预测中还没有给出严格的定义,但是对确认网络威胁的发展将会起到重要的作用。
全球性病毒爆发
专家们曾经公认全球性长时间病毒爆发的时代将在2008年结束。这段时期从2000年开始,在2003-2005年间达到高峰,其特点是大量的蠕虫病毒在全球爆发。这种蠕虫最初使用电子邮件来传播,然后一直到发展末期,都是通过网络传播进行攻击。 2007-2008年间则是木马程序的时代,用来窃取机密数据的木马程序大幅增长,主要目标是网上银行和在线游戏账户。不过,这一趋势在今年可能会扭转,也可能会出现更严重的事件,就规模上来说,存在超过前几年的潜力。Kido网络蠕虫的蔓延就是这种爆发的首个鲜例。
现代的网络犯罪行当已经进入了市场饱和阶段,由于该市场上活跃的人数和团体过多,导致竞争加剧。尽管如此,在2009年,网络罪犯仍然会越来越多。主要的原因是全球经济下滑,失业人数增加, IT工作机会减少,一些项目的关闭导致许多高熟练的程序员正在失去工作或是收入下降。而这部分人正是网络犯罪分子积极招募的对象,同时,这种有吸引力的赚钱方式也引起了其他人的关注。由于这类人员所掌握的技术技能明显高于大多数网络犯罪分子,这势必造成更加激烈的竞争。而在竞争激烈的网络市场,想要生存下去,只有一种办法,那就是以最快的速度感染尽可能多的计算机。为了达到这一目的,网络犯罪分子将定期攻击百万以上的用户计算机。
游戏木马程序:活动迹象递减
与大多数反病毒软件公司的预测相反,卡巴斯基实验室预计游戏木马的活动将会减少。目前,游戏木马的数量还在三位数以内。而事实上,这些程序很容易被创建,由于存在大量的潜在受害者,以及其他因素,导致游戏市场的网络犯罪趋于饱和。
由于网络犯罪分子之间的竞争越来越激烈,依靠偷盗虚拟资产来获取利润的行为也相应缩水。现在,反病毒公司能够设法处理如潮水般涌来的游戏恶意程序,用户也逐渐意识到安全的重要性,而游戏公司也已采取措施来制止非法行动,保护被盗的账户和虚拟资产。因此,一些新的网络游戏恶意程序和创造他们的犯罪团伙数量将有所下降。
恶意程序2.5
恶意程序2.0已经被一种全新概念的模式所取代:也就是大量僵尸网络系统的散播。这种模式是由俄罗斯黑客创造,并通过Rustock.c实施,Sinowal bootkit和一些其他的恶意程序进一步证明了这种模式的有效性和可靠性。该模式特点在于:
•该僵尸网络没有一个固定的指挥和控制中心——这也就是所谓的'迁移的僵尸网络'
•在指令和控制中心以及与僵尸网络中的设备通信之间使用强大的加密算法。
•使用通用命令和控制中心来管理大量不同的僵尸网络
这些技术是与僵尸网络系统的创建和设备布置紧密联系的,该系统可以搭载高负荷的大量数据运行(高负荷的架构) 。创建犯罪需要的高抵抗力分布系统需要网络犯罪集团之间的剧烈竞争。而那些能够为自己创建系统的恶意用户将决定未来威胁的整体级别,而能够熟练操作恶意软件2.5模式的专业人员将会取代那些只会编写文本的小混混。
钓鱼行为/网络诈骗
网络诈骗和钓鱼行为将会在互联网上加快发展的脚步。由此导致网络犯罪的攻击也会更加复杂和缜密。以下的两种情况将会对网络诈骗和钓鱼行为攻击的增加产生影响。首先,在经济危机时期,当银行面临破产的时候,业主会面临金额支出带来的问题或者想要改变支出的方式,网络诈骗分子只要能够让用户相信假的信息,便会获得相当多的机会。其次,研发和传播新的恶意程序需要更复杂的技术,这会迫使网络犯罪分子寻求更简单、便捷的方法来获取利润,而钓鱼行为或许是最具有吸引力的方法。
向新平台进军
网络犯罪之间愈演愈烈的竞争,以及尽可能感染更多计算机的动机会驱使威胁目标向那些之前没有锁定过的其他平台进行转移。这将影响到所有的非Windows的平台,预计最先被影响到的会是Mac 操作系统和移动通讯平台。此前,入侵这些平台的恶意程序绝大多数是为了证明自己的存在;然而现在,这些平台的市场份额所能带来的利益对于犯罪分子来说已经有足够的吸引力了。但目前与这些操作平台关联的安全事件还有很多没有解决,用户也还没有对恶意程序的攻击做好准备。
“2008年恶意软件发展情况”的全文,请登陆viruslist.com查询。