3月第1周安全回顧間諜軟體滲透企業ZDnet被注入惡意程式碼

技術小美發表於2017-11-08
 
本週(080303至080309)資訊保安威脅程度為低。全球知名的RSA安全會議的組委會前幾天釋出公告稱,將在4月份舉行的RSA  2008會議上增加一個新欄目:研究內幕(Research Revealed),這個新欄目由來自包括Symantec、VeriSign和Mcafee在內的大型安全廠商的研究人員主持,為與會者介紹針對若干最新威脅的深度技術分析。筆者將密切關注RSA 2008的訊息,併為大家帶來及時詳細的報導。
媒體方面,本週值得關注的新聞集中在惡意軟體、反垃圾郵件和威脅趨勢方面。

惡意軟體:中小企業因間諜軟體感染事件損失嚴重;瀏覽器廠商關注惡意軟體防禦;關注指數:高
新聞1:週三,計算機技術行業協會CompTIA最新的一份調查報告顯示,中小企業因間諜軟體感染事件而損失嚴重。調查得出的結果還顯示,中小企業如果發生單個間諜軟體感染事件,最少需要耗費標準的兩個半工作日才能得到修正。
筆者觀點:中小企業由於專門用在資訊科技方面的預算有限,通常都不會安排專人來專門負責企業內的資訊系統和網路的安全維護。在中小企業中常常能看到這樣一種情況,企業花了不少錢採購部署了資訊系統和網路,在遇到入侵、惡意軟體等安全事件時卻因為缺少專職的安全人員而束手無策。
筆者認為,CompTIA的調查雖然只是反映了中小企業在間諜軟體防禦方面的缺失,但也從一個側面上反映了中小企業的資訊保安現狀。中小企業預算有限,資訊科技應用水平不高的現狀在未來一段時間內不會有大的改觀,但隨著大型企業對資訊保安的重視和相應安全措施的實施,攻擊者將會把更多的注意力放到安全措施及意識薄弱的中小企業上,並會直接針對中小企業的商業機密及其他資源實施經濟目的的犯罪。雖然目前已經有不少的大型廠商已經針對中小企業推出了多種安全產品,但從採購部署成本和對使用者的技術需求上並不完全適應於中小企業的現狀,而且目前也沒有一套很適合中小企業的資訊保安培訓教育體系,這些都應該引起中小企業及安全業界的關注。

新聞2:週五,在本週拉斯維加斯舉行的MIX08會議上,Microsoft稱將在其瀏覽器產品IE的下一個版本中,加入安全過濾器和域名高亮兩個與惡意軟體防禦相關的功能,這兩個功能都能在使用者進行網際網路瀏覽時可能遇到的惡意軟體威脅提供額外保護。而另外一個主流瀏覽器廠商Mozilla在之前不久也曾經發布公告稱,將在其瀏覽器產品Firefox的下一個版本中,增加與Microsoft在IE8中新增功能類似的Web惡意下載保護。
筆者觀點:隨著去年初Web一舉超過電子郵件成為惡意軟體傳播的第一大途徑之後,IT業界對Web瀏覽所帶來的惡意軟體威脅都越發重視,Microsoft和Mozilla等主流瀏覽器廠商都宣佈在自己產品的下一個版本中新增Web惡意下載保護相關功能便是其中的一個縮影。但目前其他的瀏覽器廠商尚未對Microsoft和Mozilla的行為做出積極的響應,仍處於觀望的態度當中,而在新版本的IE和Firefox推出之後,主動進行更新的使用者仍佔少數,這點可以從IE7推出差不多大半年時間仍有很多使用者使用功能和安全性都弱的多的IE6這一例子得到證實。
同時,與IT業界的熱情相比,使用者安全意識的淡薄仍然是主要的問題,即使瀏覽器本身內建了足夠的安全功能,使用者也往往會為了方便而關閉這些安全功能,或者對這些安全功能的提醒視而不見。因此,儘管安全功能更為強大的新版本瀏覽器即將推出,但使用者的Web瀏覽安全形勢仍不容樂觀,這點尤其值得企業使用者關注。

反垃圾郵件:來自Gmail域名的垃圾郵件數量翻番;關注指數:中
新聞:週四,Web安全廠商MessageLabs當天發表2008年2月的月度安全報告稱,在2月份,來自免費Web郵件服務的垃圾郵件數量佔到了垃圾郵件總數的4.6%,而來自Google域名的垃圾郵件所佔份額則從垃圾郵件總數的1.3%上升到2.6%,這個調查結果顯示垃圾郵件傳送者已經突破了Google為其免費郵件服務設定的反垃圾郵件方案CAPTCHA。現在被垃圾郵件傳送者利用最多的是Yahoo的免費郵件服務,在所有基於Web郵件的垃圾郵件中佔了88.7%的份額。
筆者觀點:CAPTCHA是各大免費Web郵件服務商常用的反垃圾郵件方案,它通過人類能夠識別但機器不能識別的文字圖片,來防禦垃圾郵件傳送者通過自動化程式大量傳送垃圾郵件。但從來自免費Web郵件服務的垃圾郵件迅速增加的趨勢來看,攻擊者顯然採用了一種新的更有效的演算法來突破CAPTCHA的保護。
考慮到現有的反垃圾郵件方案對來自各大免費Web郵件服務商域名的郵件在檢測強度上較弱,而短時間內各免費Web郵件服務商也不會對現有的CAPTCHA保護方案進行大的升級,因此筆者認為,來自免費Web郵件服務商域名的垃圾郵件在今年內將會以一個較快的速度增長,甚至會成為垃圾郵件傳送者爭相使用的新技術,垃圾郵件傳送者還將結合使用去年流行的PDF檔案附件等可以突破 使用者端 反垃圾郵件保護的技術,今年的反垃圾郵件形勢不容樂觀。

威脅趨勢:黑客在知名網站的搜尋結果中注入惡意程式碼;關注指數:高
新聞:週三,黑客現在正使用一個新的方法在知名網站的搜尋結果中注入惡意程式碼,使用者在使用搜尋引擎時如果不小心點選了這種網址,將有可能被重定向到一個攻擊者精心構建的惡意網站去,並被安裝各種惡意軟體或丟失使用者密碼資訊。目前已經確認有ZDnet Asia、Torrent Reactor等多個知名網站受到黑客使用這種新的程式碼注入技術進行的攻擊。
筆者觀點:通過攻擊合法站點並加入惡意程式碼是黑客常用的惡意軟體散佈手段,對於安全防範水平較高無法成功入侵的知名站點,黑客往往會採取其他的方式來危害使用者的系統安全。在國內各大機房被廣泛使用的ARP欺騙就是一種最常用的方法,而這次被研究人員發現的新攻擊方法尤其具有欺騙性。黑客利用了搜尋引擎能夠快取知名站點頁面的特性,將惡意的程式碼嵌入到知名站點的搜尋關鍵詞中,並利用知名站點的名義來欺騙使用者點選。
針對這種新的惡意軟體散佈手段,筆者建議,首先使用者在使用搜尋引擎時應該提高警惕,看清楚搜尋結果的網址之後再進行點選,千萬不要點選帶有iframe字樣的網址。另外使用者將瀏覽器版本更新到最新也會對這種新攻擊方式有一定的防護作用。
本文轉自J0ker51CTO部落格,原文連結:http://blog.51cto.com/J0ker/64843,如需轉載請自行聯絡原作者


相關文章