2012年即將過去了,在這一年中業界都發生了哪些重大事件?CSDN編譯了ZDNet《10 security stories that shaped 2012》的文章,對過去一年業界中包括Mac電腦中出現複雜惡意軟體、針對網路裝置大規模攻擊和最複雜、最具顛覆性的病毒Flame等十大安全事件進行了回顧和部分總結。
2012很快就要過去了,除了12月21日是世界末日的謊言即將被證明外,我們也會迎來2013年人生的新篇章,在這破舊迎新之際,就讓我們一起回顧下2012年業界發生的十大安全事件。
0.Mac OS X史上最嚴重的病毒——Flashback
雖然Mac OS X上的病毒Flashback出現在2011年底,但直到2012年4月它才大規模爆發。在鼎盛時期,Flashback感染了超過70萬臺Mac電腦,是目前為止已知感染Mac OS X最多的病毒。
怎麼可能會感染這麼多Mac OS X呢?有兩個主要因素,一方面是Java的CVE-2012-0507漏洞,另一方面是當涉及到安全問題那些Mac“死忠”使用者的冷漠。
Flashback的出現在Mac OS X歷史上有重大意義,因為它的出現打破了Mac系統刀槍不入的神話,同時也證實了病毒大規模的爆發,的確可以影響到非Windows平臺。
1.史無前例的高危害性病毒Flame和Gauss惡意軟體
最複雜的病毒Flame:Flame可以說是最具顛覆性、最複雜的病毒,該病毒能夠運用包括鍵盤、螢幕、麥克風、移動儲存裝置、網路、WiFi、藍芽、USB和系統程式在內的所有可能條件去收集資訊。另外它用上了5種不同的加密演算法、3種不同的壓縮技術,和至少5種不同的檔案格式,包括一些其專有格式。此外感染的系統資訊以高度結構化的格式儲存在SQLite等資料庫中,病毒檔案達到20MB之巨(程式碼列印出來的紙張長度達到2400米)。有專家稱,全面瞭解Flame病毒至少有10年時間。
最令人印象深刻的是,Flame可以使用一個假的微軟證照去執行鍼對Windows Updates的一箇中間人攻擊,這使得它能在一眨眼功夫感染全補丁的Windows 7電腦,這些操作毫無疑問很複雜,但Flame做到了。
Flame的存在有著重大意義,因為它表明高度複雜的病毒可以存在多年而不被發現。據估計,Flame病毒至少存在有5年時間了,此外,Flame病毒還重新定義了零日漏洞(zero-days)的概念——通過“上帝模式”這個中間人的方法進行傳播。
Flame的兄弟Gauss病毒:當Flame病毒被人們發現後,研究員們又繼續研究有多少這樣的病毒被安置,隨後人們發現了Gauss病毒。Gauss同樣是一個很厲害的病毒,有些東西至今為止仍然是一個謎,它安裝了一個叫Palida Narrow的特殊字型,有效負載部分則用特殊方式加密,為此俄羅斯卡巴斯基實驗室研究人員還向民眾求助,請求幫忙破解Gauss惡意軟體一個加密部分。
2.Android系統威脅呈爆炸性增長
2011年針對Android的惡意病毒呈現了高速度的增長,到了2012年針對Android的惡意軟體繼續以爆炸般驚人速度的增長,而下面的圖表則更清楚地顯示和證實了這一點。
總體而言,2012年一共發現了超過35000個Android惡意軟體,這一數字是2011年的六倍,同時這也是自2005年收到所有惡意軟體樣本數量的五倍。
造成這一形象可以歸納為兩個原因:經濟與平臺。首先,得承認Android已經成為非常受歡迎的平臺,有超過70%的市場份額,成為了最廣泛的移動作業系統。其次開放的作業系統,能夠輕鬆地建立應用和各種各樣的應用市場相結合,這不可避免地位Android平臺帶來了安全問題。
展望未來,這一增長趨勢將毫無疑問地持續下去,就像多年前的Windows飽受惡意軟體困擾一樣。
3.大規模密碼洩露事件:LinkedIn等網站密碼遭洩露
2012年6月,世界最大的商業客戶社交網站LinkedIn遭到黑客攻擊,使得超過650萬的LinkedIn網站使用者密碼遭到洩露。雖然使用SHA1加密,但安全研究人員使用快速地GPU卡驚人地恢復了85%的原始密碼,SHA1正是以前密碼保護的標準方式,而現在已經沒什麼作用。通過這個事件明白,一些Web開發人員必須加強密碼加密儲存方面的課程學習。
除此之外,包括Dropbox、Last.fm和Gamigo都遭遇黑客入侵和使用者賬戶資訊洩露事件,其中Gamigo更是有超過800萬個密碼被洩露。
這些密碼洩露事件顯示,在這個雲時代,數以百萬計的賬戶資訊放在網際網路高速連線的伺服器上,資料洩露正呈現新的維度,大家應特別加強資訊保安意識。
4.Adobe的證照盜竊和無處不在的APT
2012年9月27日,Adobe宣佈發現兩種惡意程式,它們使用了有效地Adobe程式碼簽名證照。據悉Adobe的數字證照被安全地存放HSM中,HSM是一個特殊的加密裝置,這使得黑客的攻擊行為會變得更加複雜。儘管如此,攻擊者仍然搞定伺服器並執行了簽發數字證照的請求。
這一具有針對性且一系列具有連鎖性地複雜威脅行為通常被描述為APT(即高階持續性威脅,具體解釋請見:維基百科),事實上,包括Adobe這樣的著名公司正成為這些高階持續攻擊者潛在的目標。
5.DNSChanger伺服器被關閉
DNSChanger是活躍在2007年至2011年的DNS劫持軟體。它會通過修改計算機的DNS設定,指向他們自己的伺服器來感染電腦。通過這種方法,使用者在瀏覽網頁的時候就會被插入廣告,在該軟體鼎盛時期,大約感染了超過四百萬臺計算機。
隨後美國聯邦調查局(FBI)宣佈將關閉與DNSChanger惡意軟體相關的伺服器,這將使得被感染的電腦無法訪問網際網路。不過FBI後來同意保持線上伺服器到2012年7月9日,讓那些感染使用者有時間去防毒。
6.Madi不間斷地間諜行動
在2011年末和2012年上半年,一個不斷持續活動的病毒滲透到整個中東,並針對性地擴散到伊朗、以色列和阿富汗等國家的個人計算機系統,隨後卡巴斯基實驗室和高階威脅檢測公司Seculer合作發現了這個病毒,根據攻擊者使用的某些特定的字串,並把這個病毒命名為“Madi”。
儘管Madi病毒相對簡單,但它通過社會工程學等戰術成功地讓世界各地的受害者妥協。
7.Java的零日漏洞
首先要提的是,Java曾造成Mac電腦受到廣泛攻擊,在Mac OS X遭到Flashback攻擊後,蘋果公司採取了大膽的措施,禁用了數百萬使用者Mac OS X中的Java。另外需要指出的是,自二月份以來儘管有一個補丁能夠有效修復漏洞,但蘋果的使用者仍然在該漏洞下暴露了幾個月,這些得歸結於蘋果行動緩慢。要知道Mac OS X中的補丁機制和Windows不一樣,對於Windows,Java漏洞補丁是直接由甲骨文釋出,而對Mac電腦使用者,這一補丁得交給蘋果。
如果這還不夠,那還有另外一個事例:2012年8月一個Java零日漏洞(CVE-2012-4681)剛發現後,就被用於瘋狂的攻擊,後來該漏洞還被黑客製作成行之有效地攻擊工具包,這導致世界各地數以百萬計的電腦感染病毒。
另外,在對部分使用者計算機進行分析後發現,超過30%的使用者仍然安裝有老舊和易受攻擊的Java版本。
8.“惡毒”軟體Shamoon出現
今年8月中旬,一種具有高度破壞性的惡意軟體被用於針對沙烏地阿拉伯國家石油公司的攻擊中,雖然只有30000臺電腦感染這個惡意軟體,但這些電腦都被完全摧毀。
這個叫Shamoon的惡意軟體很惡毒,不僅盜竊使用者電腦中的資料,它還會將盜竊後的電腦資料永久刪除,甚至包括主開機記錄,從而導致系統完全癱瘓,不能開機。
發現Shamoon具有重大意義,因為它提出了使用Wiper惡意軟體的想法,Wiper是一個極具破壞性的有效負載,目前它的細節很多都還未知,只知道它的存在就是為了大規模破壞資料。
9.針對網路裝置的大規模攻擊
2012年10月,研究員Fabio Assolini在網上發表了一篇使用單一漏洞攻擊的文章,文章詳細介紹了2011年在巴西,攻擊者使用兩個惡意指令碼和40個惡意DNS伺服器進行攻擊的詳細過程。這使得受影響的硬體製造商達到六家,同時這也導致大規模的DSL調變解調器攻擊和數百萬的巴西網際網路使用者成為受害者。
2012年3月,巴西CERT小組證實,超過450萬的調變解調器在攻擊中被攻破,同時各種欺詐活動也被這些網路罪犯濫用。
另外Recurity實驗室安全研究員Felix ‘FX’ Lindner發現了華為家庭路由器存在安全漏洞,隨後美國政府決定調查華為間諜活動的風險。
華為和DSL路由器在巴西的漏洞攻擊不是隨機事件,這些跡象表明,硬體路由器同樣也可以造成和軟體漏洞一樣的安全風險,同時也說明,電腦保安防衛工作將比以往任何時候都要困難和複雜,因為有的時候真的防不勝防。