在本白皮書中,我們將對其中每種趨勢進(jìn)行詳細(xì)的說明,并分析每種趨勢會(huì)給業(yè)已十分危險(xiǎn)的新威脅格局所帶來的影響�。在本白皮書中�����,我們將查看網(wǎng)站攻擊通常藏身于何處,例如����,您再也不能簡單地認(rèn)為非法網(wǎng)站是網(wǎng)站攻擊的唯一藏身地- 在當(dāng)今的互聯(lián)網(wǎng)環(huán)境下,任何網(wǎng)站都可能遭到攻擊者的攻擊�����,并可能被用來攻擊您的計(jì)算機(jī)����。我們將對用戶瀏覽互聯(lián)網(wǎng)時(shí)黑客用來感染其計(jì)算機(jī)的技術(shù)進(jìn)行分析,并將探究惡意軟件在進(jìn)入用戶的計(jì)算機(jī)后可能發(fā)動(dòng)的一些惡意活動(dòng)���。另外����,我們還將分析為何在面對新的威脅格局時(shí)�,某些傳統(tǒng)的防護(hù)方法(例如特征式防病毒)已不能提供充分的全面防護(hù)。最后�,我們將探討您可以采用的一些額外防護(hù)措施����,以降低您或您的計(jì)算機(jī)遭受網(wǎng)站攻擊的可能性���。
網(wǎng)站攻擊分析
首先�,我們先對典型的網(wǎng)站攻擊進(jìn)行整體分析����。下圖說明了組成典型網(wǎng)站攻擊的三個(gè)不同活動(dòng)階段。
我們發(fā)現(xiàn)網(wǎng)站攻擊有許多不同的攻擊方式���,但一般說來�����,這些攻擊都遵循下面的基本事件順序來攻擊受害者�。
1. 攻擊者入侵合法網(wǎng)站�,并發(fā)布惡意軟件惡意軟件已不僅僅存在于惡意網(wǎng)站之中。現(xiàn)如今��,合法的主流網(wǎng)站也常常成為惡意軟件的宿主�����,將惡意軟件傳遞給毫無戒心的訪客�。第2 節(jié)將分析現(xiàn)代網(wǎng)站的復(fù)雜性,以及其受到攻擊時(shí)黑客所用的常見技術(shù)�����。
2. 攻擊終端用戶的計(jì)算機(jī)在用戶訪問包含惡意軟件的網(wǎng)站時(shí)�����,網(wǎng)站上的惡意軟件會(huì)設(shè)法入侵該用戶的計(jì)算機(jī)���。第3 節(jié)將詳細(xì)說明被稱為"偷渡式下載"的一些技術(shù)��,這些技術(shù)可以在無需用戶交互的情況下����,自動(dòng)入侵用戶的計(jì)算機(jī)����。第4 節(jié)將探討一些其他技術(shù),這些技術(shù)需要用戶提供某些輸入�,但其威脅性較"偷渡式下載"卻有過之而無不及。
3. 利用終端用戶的計(jì)算機(jī)進(jìn)行惡意活動(dòng)大多數(shù)惡意活動(dòng)在新惡意軟件入侵用戶計(jì)算機(jī)之后便悄悄開始了����。第5 節(jié)將分析用戶計(jì)算機(jī)上的常見惡意活動(dòng)��。在本白皮書的最后�,我們將探討一些可供IT 管理員和個(gè)人在瀏覽互聯(lián)網(wǎng)時(shí)用來防御網(wǎng)站攻擊的技術(shù)��。
2. 網(wǎng)站如何受到感染��?
在2008 年����,賽門鐵克發(fā)現(xiàn)大量的合法網(wǎng)站被攻擊,并且在不知不覺中成了將網(wǎng)站攻擊帶給毫無察覺的網(wǎng)站訪客的幫兇��。在本節(jié)中����,我們將分析為何合法網(wǎng)站會(huì)成為惡意軟件制造者鎖定的目標(biāo),并將探討黑客們在攻擊這類網(wǎng)站時(shí)所采用的一些較為流行的技術(shù)��。
為何將攻擊目標(biāo)鎖定主流網(wǎng)站��?
在過去�����,企圖通過互聯(lián)網(wǎng)安裝在用戶計(jì)算機(jī)上的惡意軟件,通常是來自互聯(lián)網(wǎng)上見不得光的網(wǎng)站���。惡意軟件制造者深知,通過鎖定從事非法活動(dòng)的網(wǎng)站(例如成人內(nèi)容或盜版軟件)����,他們可以找到大量缺乏安全意識(shí)的用戶,這些用戶只關(guān)心其眼前的需求���,而不會(huì)對下載到自己計(jì)算機(jī)里的內(nèi)容進(jìn)行準(zhǔn)確的判斷��。
而現(xiàn)在�,惡意軟件制造者們正在鎖定更大的目標(biāo)群體�。能夠躲避攻擊,保證不發(fā)送惡意軟件給不知情訪客的網(wǎng)站少之又少��。主流網(wǎng)站上的大量用戶群成為惡意軟件制造者鎖定的目標(biāo)����。也許還有一個(gè)更主要的原因,那就是主流網(wǎng)站上的大批用戶都不擔(dān)心自己會(huì)成為惡意軟件的攻擊目標(biāo)�,因?yàn)樗麄冋J(rèn)為,如果只瀏覽主流網(wǎng)站,是不會(huì)存在安全問題的��。
2008 年�,賽門鐵克發(fā)現(xiàn)在來自808,000 個(gè)不同域的網(wǎng)站攻擊中,有許多來自主流網(wǎng)站���,包括新聞�、旅游���、聯(lián)機(jī)零售�����、游戲����、房地產(chǎn)��、政府及許多其他網(wǎng)站���。很遺憾����,只訪問合法網(wǎng)站就可以保證安全的觀念已經(jīng)不可取了。
現(xiàn)代網(wǎng)站的復(fù)雜性
似乎每過一年���,就會(huì)出現(xiàn)一種通過互聯(lián)網(wǎng)向用戶傳播信息的新媒體類型�����。此外���,當(dāng)前互聯(lián)網(wǎng)所用計(jì)算功能的復(fù)雜性不斷增加��,這些都意味著當(dāng)今的網(wǎng)站服務(wù)器已發(fā)展成為一系列非常復(fù)雜的程序代碼�����。當(dāng)您訪問某個(gè)網(wǎng)站時(shí)����,您所瀏覽的并非單個(gè)的靜態(tài)頁面,而是由許多不同互聯(lián)網(wǎng)資源組成的內(nèi)容組合����,而這些內(nèi)容又是通過許多不同的腳本技術(shù)、插件組件和數(shù)據(jù)庫以動(dòng)態(tài)方式創(chuàng)建而成的����。
這些組成部分必須可以相互通信����,而這種通信又往往需要借助可能存在漏洞并時(shí)刻受到檢測與攻擊的網(wǎng)絡(luò)才能實(shí)現(xiàn)���。此外�,網(wǎng)站的某些內(nèi)容可能來自完全由第三方控制的不同網(wǎng)站�����。您可以設(shè)想一下廣告在大多數(shù)網(wǎng)站上的顯示方式�。這類廣告很可能來自第三方托管網(wǎng)站,而其顯示所在網(wǎng)站的管理員對這些廣告的控制權(quán)限則非常有限���。一個(gè)網(wǎng)站的內(nèi)容來自十(10) 或二十(20) 個(gè)不同的域是很常見的���,正是來自這些不同域的網(wǎng)站內(nèi)容組合在一起,才形成了用戶最終看到的單個(gè)網(wǎng)頁�!
由于維護(hù)此類網(wǎng)站服務(wù)器的安全任務(wù)始終跟不上構(gòu)建網(wǎng)站的增長步伐與升級(jí)的復(fù)雜性,因此��,越來越多的網(wǎng)站變得容易受到攻擊����。
合法網(wǎng)站如何遭到攻擊��?
有許多不同的攻擊媒介可讓合法網(wǎng)站暴露在攻擊威脅之下���。在2008 年,我們發(fā)現(xiàn)了許多采用下列攻擊技術(shù)的實(shí)例:
1. SQL 注入式攻擊
2. 惡意廣告
3. 搜索引擎結(jié)果重定向
4. 針對后端虛擬托管公司的攻擊
5. 網(wǎng)站服務(wù)器或論壇托管軟件中的漏洞
6. 跨網(wǎng)站腳本(XSS) 的攻擊
以下章節(jié)將分析一些當(dāng)今黑客日?�;顒?dòng)中較為流行的攻擊技術(shù)��。
SQL 注入式攻擊
現(xiàn)在有很多網(wǎng)站(尤其是大型�、高流量網(wǎng)站)都以動(dòng)態(tài)方式使用存儲(chǔ)在數(shù)據(jù)庫內(nèi)的信息建構(gòu)網(wǎng)站內(nèi)容。用戶與這類網(wǎng)站交互時(shí)�,會(huì)從數(shù)據(jù)庫讀取信息并將信息寫入數(shù)據(jù)庫����。因此,維護(hù)網(wǎng)站安全的任務(wù)必須擴(kuò)展到數(shù)據(jù)庫本身以及數(shù)據(jù)庫中存儲(chǔ)的數(shù)據(jù)����。
針對這一現(xiàn)象,有一種流行的攻擊方式:使用SQL 注入技術(shù)來篡改數(shù)據(jù)庫����。這項(xiàng)技術(shù)會(huì)搜索那些依靠數(shù)據(jù)庫進(jìn)行工作的網(wǎng)站�,尋找其缺陷�,并展開攻擊。許多情況下����,攻擊者會(huì)在互聯(lián)網(wǎng)輸入表單中未設(shè)置驗(yàn)證的輸入字段(例如登錄表單或帳戶查詢表單)插入(或注入)額外的SQL 命令,而這些命令隨后可能會(huì)直接被發(fā)送到后端數(shù)據(jù)庫中���。經(jīng)過一些嘗試與錯(cuò)誤探查后�����,此項(xiàng)技術(shù)會(huì)向攻擊者提供數(shù)據(jù)庫的數(shù)據(jù)結(jié)構(gòu)���,攻擊者可以利用這些數(shù)據(jù)添加他們自己的惡意內(nèi)容,而這些惡意內(nèi)容稍后會(huì)傳送給毫無戒心地訪問該受攻擊網(wǎng)站的用戶����。通常,添加的內(nèi)容包括指向惡意網(wǎng)站的隱藏式鏈接�����,惡意網(wǎng)站中包含各種基于瀏覽器的攻擊工具�����,會(huì)對無戒心用戶的計(jì)算機(jī)展開惡意攻擊。
我們發(fā)現(xiàn)了一種非常流行的惡意軟件��,稱為Trojan.Asprox ����,它會(huì)自動(dòng)運(yùn)行此類攻擊。Trojan.Asprox 的第一個(gè)組件使用流行的搜索引擎來搜索可能存在漏洞的網(wǎng)頁��。然后使用SQL 注入技術(shù)攻擊這些網(wǎng)站���。
自動(dòng)攻擊會(huì)持續(xù)測試后續(xù)的網(wǎng)站����,直到發(fā)現(xiàn)包含易受攻擊輸入字段的網(wǎng)站�,然后將惡意HTML 程序代碼直接插入數(shù)據(jù)庫���。通常�,惡意 HTML 程序代碼會(huì)以HTML 標(biāo)記的形式存在��,例如指向惡意腳本代碼或惡意網(wǎng)頁的IFRAME�����。IFRAME 是一種HTML 標(biāo)記,可以將一個(gè)HTML 頁面嵌入另一個(gè)HTML 頁面之內(nèi)��。下圖介紹了插入的隱藏式IFRAME 可能的存在形式�。
當(dāng)毫無戒心的受害者請求該網(wǎng)頁時(shí),網(wǎng)站服務(wù)器在建構(gòu)網(wǎng)頁的過程中����,就會(huì)從受到攻擊的數(shù)據(jù)庫檢索數(shù)據(jù),并將此惡意代碼(上圖中的紅色部分)提供給受害者�。如果瀏覽器或其插件存在漏洞,受害者的瀏覽器就會(huì)開始執(zhí)行惡意IFRAME 所指向的惡意代碼����。
惡意廣告
賽門鐵克發(fā)現(xiàn),有越來越多的黑客開始利用惡意廣告來攻擊合法網(wǎng)站的用戶��,攻擊者會(huì)利用向合法網(wǎng)站提供內(nèi)容的眾多廣告內(nèi)容供應(yīng)商中的一個(gè)來發(fā)動(dòng)攻擊��,而非直接從網(wǎng)站自身發(fā)動(dòng)攻擊?����,F(xiàn)在的許多網(wǎng)站都會(huì)顯示由第三方廣告網(wǎng)站托管的廣告���。信譽(yù)卓著的廣告公司會(huì)驗(yàn)證他們提供的廣告內(nèi)容���,以檢查是否遭到攻擊���。然而,由于每天發(fā)布的在線廣告數(shù)量巨大�����,加上發(fā)布機(jī)制的自動(dòng)特性���,難免會(huì)漏過某些惡意廣告內(nèi)容���,無意間使其依附在完全合法的網(wǎng)站上。與這個(gè)問題相伴的事實(shí)是���,某個(gè)惡意廣告可能每1,000 次頁面查看才會(huì)顯示一次���,或只向特定地區(qū)的訪客顯示���,這些特點(diǎn)使得惡意廣告很難被檢測和根除��。
許多廣告是使用JavaScript 腳本語言編寫的����。該腳本語言中的函數(shù)很容易被濫用,可以悄悄地將用戶重定向至惡意網(wǎng)頁��。因此���,雖然托管網(wǎng)站本身沒有威脅���,但網(wǎng)站上的廣告卻很可能將用戶重定向到包含網(wǎng)站攻擊的惡意網(wǎng)頁。去年���,我們在許多品牌形象良好的合法網(wǎng)站上 都發(fā)現(xiàn)了這類惡意廣告�。
舉例說明�,某個(gè)頗受歡迎的房地產(chǎn)網(wǎng)站的訪客即報(bào)告說在訪問該網(wǎng)站時(shí)其端點(diǎn)安全軟件有時(shí)會(huì)發(fā)出防護(hù)警報(bào)。而沒有運(yùn)行端點(diǎn)安全軟件的用戶則報(bào)告遇到彈出式窗口��,且系統(tǒng)速度減慢����。顯然有地方出了問題。而當(dāng)網(wǎng)站管理員調(diào)查問題時(shí),卻找不到任何安全問題�����。然而�����,經(jīng)過安全研究人員的深入調(diào)查���,發(fā)現(xiàn)該網(wǎng)站包含會(huì)自動(dòng)感染用戶的偶發(fā)性惡意廣告�。該網(wǎng)站包括數(shù)百種不同的廣告����,它們會(huì)根據(jù)搜索參數(shù)和/或終端用戶所在的地區(qū)交替顯示,這使得檢測攻擊的難度非常之大�。
3. 進(jìn)入用戶的計(jì)算機(jī)(第1 部分- 自動(dòng))
本節(jié)我們將了解黑客從網(wǎng)站自動(dòng)發(fā)送惡意軟件內(nèi)容到用戶計(jì)算機(jī)時(shí)所使用的技術(shù)。
偷渡式下載
現(xiàn)在最危險(xiǎn)的一種惡意軟件感染形式被稱為"偷渡式下載"���。僅僅是瀏覽網(wǎng)站���,便可將可執(zhí)行內(nèi)容自動(dòng)下載到用戶的計(jì)算機(jī)上,而且用戶毫不知情��,也無需用戶授權(quán)。而且也不需要用戶交互����。
下圖說明了在成功的偷渡式下載中按順序發(fā)生的典型事件��。我們每天都能見到許多這樣的示例����。
1. 攻擊者攻擊合法的"規(guī)范"網(wǎng)站。
首先�����,攻擊者要找到入侵"規(guī)范"網(wǎng)站的途徑����。在前一個(gè)章節(jié)中,我們簡要說明了一些常見的攻擊技術(shù)���,例如SQL 注入式攻擊���。攻擊者可以將隱藏式IFRAME 插入到合法網(wǎng)站的一個(gè)或多個(gè)頁面內(nèi)。此鏈接指向單獨(dú)的惡意網(wǎng)站��,而這些惡意網(wǎng)站會(huì)將真正的惡意代碼發(fā)送給毫無戒心的用戶。
2. 用戶訪問"規(guī)范"網(wǎng)站����。
使用Windows 更新來保持計(jì)算機(jī)更新(以確保計(jì)算機(jī)上的基礎(chǔ)操作系統(tǒng)和瀏覽器擁有所有最新的軟件補(bǔ)丁程序)的用戶訪問受到攻擊的"規(guī)范"網(wǎng)站。不幸的是�����,其系統(tǒng)上運(yùn)行的多媒體插件與文檔查看器(用來收聽音樂與查看文檔)已經(jīng)過期�����,并出現(xiàn)了許多可以從遠(yuǎn)程進(jìn)行攻擊的漏洞�����,而他們卻毫不知情��。
3. 用戶在渾然不覺的情況下��,被重定向到"不法"網(wǎng)站���。
"規(guī)范"網(wǎng)站頁面上的隱藏式IFRAME 會(huì)誘導(dǎo)用戶的瀏覽器悄無聲息地從"不法"網(wǎng)站提取內(nèi)容�����。在進(jìn)行這些活動(dòng)時(shí)��, "不法"網(wǎng)站能夠判斷出用戶計(jì)算機(jī)上運(yùn)行的是哪種操作系統(tǒng)��、網(wǎng)頁瀏覽器以及有漏洞的插件��。"不法"網(wǎng)站可據(jù)此判定用戶瀏覽器是否附帶并運(yùn)行了有漏洞的多媒體插件�����。
4. 惡意代碼被下載到用戶的計(jì)算機(jī)�����。
"不法"網(wǎng)站會(huì)發(fā)送經(jīng)過特別設(shè)計(jì)的多媒體數(shù)據(jù)����,其中包括對受害者計(jì)算機(jī)的攻擊��; 一旦多媒體播放器播放此內(nèi)容����,攻擊者就會(huì)獲得對此計(jì)算機(jī)的控制權(quán)。
5. 在用戶的計(jì)算機(jī)上安裝惡意程序碼��。
利用用戶多媒體播放器上的漏洞,在用戶的計(jì)算機(jī)上安裝一個(gè)或多個(gè)惡意軟件文件����。
6. 惡意軟件利用用戶的系統(tǒng)為所欲為。
現(xiàn)如今的惡意代碼能夠竊取個(gè)人信息(例如網(wǎng)上銀行信息����、電子郵件、游戲密碼)�����,并將其返回給攻擊者����。
受害者通常對整個(gè)攻擊過程毫不知情,攻擊也不會(huì)留下可疑線索�,讓用戶知道計(jì)算機(jī)已受到攻擊。
軟件漏洞
漏洞是指應(yīng)用程序(例如網(wǎng)站服務(wù)器與網(wǎng)頁瀏覽器)中的錯(cuò)誤(缺陷)�,如果遇到攻擊,可能會(huì)導(dǎo)致應(yīng)用程序執(zhí)行不該執(zhí)行的操作����。此類行為使攻擊者有機(jī)會(huì)攻擊安裝了該軟件的系統(tǒng),并可能包括以下情況:
* 運(yùn)行攻擊者指定的任意命令
* 從互聯(lián)網(wǎng)下載文件
* 運(yùn)行本地文件
* 破壞應(yīng)用程序
賽門鐵克在其Security Focus 網(wǎng)站(www.securityfocus.com) 上跟蹤所有主要軟件漏洞����。
從2003 年開始�,Windows 操作系統(tǒng)中隱藏的漏洞(在MS-RPC DCOM 和LSASS 組件中)導(dǎo)致了Blaster 和Sasser 等蠕蟲的自我復(fù)制和擴(kuò)散���。后續(xù)發(fā)布的Microsoft Windows XP SP2 和SP3 消除了許多此類操作系統(tǒng)漏洞�����。然而,最近爆發(fā)的Downadup/Conficker 蠕蟲利用的是已知的MS-RPC 漏洞(MS08-067 )����,這也說明了在監(jiān)控所有可能影響操作系統(tǒng)的已發(fā)布漏洞方面,需要持續(xù)保持警惕���。
從更近期的情況來看�����,攻擊目標(biāo)已轉(zhuǎn)移到網(wǎng)頁瀏覽器����、ActiveX 控件��、瀏覽器插件、多媒體�、文檔查看器和其他第三方應(yīng)用程序上。只要用戶訪問某個(gè)受到攻擊的網(wǎng)頁��,其中某個(gè)應(yīng)用程序中的一個(gè)漏洞就可能讓用戶的系統(tǒng)毫無防御能力并遭到攻擊����。
雖然底層操作系統(tǒng)鼓勵(lì)用戶自動(dòng)下載并安裝針對已知漏洞而發(fā)布的更新,但許多公開數(shù)據(jù) 顯示���,終端用戶并未及時(shí)為其系統(tǒng)安
裝修補(bǔ)程序以解決已知漏洞�����。最近的一篇文章 稱�����,即使不考慮帶有漏洞的第三方插件��、ActiveX 控件和多媒體插件的影響�,仍有6 億個(gè)瀏覽器處于不安全狀態(tài)�。
我們每天仍發(fā)現(xiàn)有各式各樣的漏洞不斷遭到攻擊。其中不僅包括沒有修補(bǔ)程序的未知或新發(fā)布漏洞�����,也包括已經(jīng)發(fā)布修補(bǔ)程序的漏洞。2008 年�,我們還發(fā)現(xiàn)其他許多受到攻擊的漏洞,包括:各種網(wǎng)頁瀏覽器�����、ActiveX 控件���、瀏覽器插件�����、文檔閱讀器和其他第三方應(yīng)用程序。
網(wǎng)站攻擊工具包
找出用戶環(huán)境中的可攻擊漏洞并不容易���,但網(wǎng)站攻擊工具包使這項(xiàng)任務(wù)輕松了許多��。網(wǎng)站攻擊工具包是專為檢測用戶的計(jì)算機(jī)并自動(dòng)攻擊安全漏洞而編寫的軟件程序�,它可以為攻擊者提供一條可供入侵用戶系統(tǒng)的捷徑���。這類現(xiàn)成的軟件工具包可讓任何懷有惡意的用戶自動(dòng)攻擊成千上萬個(gè)系統(tǒng)�。此類常見工具包的例子包括Neosploit、MPack��、Icepack�、El Fiesta 和Adpack。
網(wǎng)站攻擊工具包具有易于使用的接口��,并且不需要任何技能便可進(jìn)行實(shí)際攻擊�。它們通過攻擊存在漏洞的瀏覽器、ActiveX 控件和多媒體插件版本中的漏洞來進(jìn)行攻擊��。一旦成功攻擊某個(gè)漏洞�����,攻擊者就可以在終端用戶的系統(tǒng)上隨意插入任何特定惡意軟件���。
隱藏式攻擊:貓捉老鼠的游戲
網(wǎng)站攻擊工具包提升了攻擊者的靈活性���,有利于其成功攻擊并逃避檢測。網(wǎng)站攻擊工具包的存在使遭到攻擊的系統(tǒng)數(shù)量大增����。這些工具包對以下一些技術(shù)起到了促進(jìn)作用:
1. 限定受害者范圍。
通過僅根據(jù)當(dāng)前在潛在受害者計(jì)算機(jī)上運(yùn)行的特定操作系統(tǒng)、瀏覽器類型與插件進(jìn)行有針對性的攻擊����,工具包在將攻擊成功率提升到最大的同時(shí),也會(huì)將攻擊者被檢測到的機(jī)會(huì)降至最低��。這種有針對性的方法通常稱為狙擊手式攻擊��。
2. 選擇攻擊時(shí)間���。
通過每小時(shí)或每天僅發(fā)動(dòng)一次的惡意攻擊�,使網(wǎng)站管理員和安全供應(yīng)商更加難以檢測與補(bǔ)救�。
3. 地區(qū)變化。
根據(jù)用戶所在的地區(qū)或操作系統(tǒng)語言類型���,發(fā)動(dòng)區(qū)域性攻擊���。這可以避免在特定攻擊無效的地區(qū)浪費(fèi)攻擊力量�����。
4. 有選擇性地攻擊漏洞����。
各種新舊漏洞都會(huì)受到攻擊����。在某些情況下�,只有在不能攻擊舊漏洞時(shí),才會(huì)攻擊新漏洞���。
5. 暴力攻擊����。
鑒于修復(fù)漏洞已變得越來越普遍����,攻擊工具包可能會(huì)轉(zhuǎn)向發(fā)動(dòng)范圍更廣泛的攻擊,在一次攻擊中將目標(biāo)鎖定在多個(gè)漏洞上���,希望攻擊會(huì)對其中的某個(gè)目標(biāo)有效��。只要對一個(gè)漏洞的攻擊成功�����,整個(gè)攻擊就會(huì)成功�����。這種廣泛鎖定目標(biāo)的方法稱為霰彈槍式攻擊�。
6. 機(jī)會(huì)法則。
攻擊工具包不會(huì)嘗試攻擊每一位網(wǎng)站訪客����,而是隨機(jī)發(fā)動(dòng)攻擊。這使得安全管理人員更加難以檢測到��。
7. 代碼混淆式攻擊���。
發(fā)送至客戶端計(jì)算機(jī)的攻擊會(huì)使用各式各樣的技術(shù)進(jìn)行偽裝��。
8. 動(dòng)態(tài)更改的URL 與惡意軟件變體����。
定期更改URL 以及發(fā)送惡意軟件的做法����,使檢測任務(wù)變得愈加困難。
以下章節(jié)將詳細(xì)分析我們近期發(fā)現(xiàn)的2008 年安全領(lǐng)域所呈現(xiàn)的大幅變化趨勢�。
代碼混淆技術(shù)在實(shí)際攻擊中的應(yīng)用
代碼混淆是一種越來越常見的技術(shù)�,它通過使操作更復(fù)雜因此更難以檢測來隱藏攻擊。2006 年,我們的統(tǒng)計(jì)顯示只有少部分攻擊屬于代碼混淆式攻擊��。但在2008 年��,我們發(fā)現(xiàn)大多數(shù)攻擊都屬于某種形式的代碼混淆式攻擊���。
攻擊者的典型手法是采用惡意代碼(通常是采用JavaScript 的形式)�����,并利用專有的加密方式將其加密��。例如��,一個(gè)簡單的惡意重定向代碼可能如下所示
相比之下�����,代碼被混淆后具有重定向功能的惡意JavaScript 重定向代碼則可能如下所示:
當(dāng)此被混淆后的代碼在網(wǎng)頁瀏覽器上執(zhí)行時(shí)會(huì)自動(dòng)自行解碼����,并發(fā)生上述重定向(至www.example.com )�����;完成解碼之后,瀏覽器就會(huì)心甘情愿地遵循此鏈接訪問惡意網(wǎng)站�����。通過使用這類代碼混淆技術(shù)�,攻擊者可以成功隱藏攻擊。
由于遭受攻擊的每個(gè)網(wǎng)站可能擁有不同的重定向邏輯代碼混淆版本��,因此這項(xiàng)技術(shù)使常規(guī)的特征式防病毒工具很難在用戶的計(jì)算機(jī)上檢測并阻止這類攻擊��。
動(dòng)態(tài)更改URL 與惡意軟件:
2008 年初���,賽門鐵克發(fā)現(xiàn)了Trojan.Asprox 的感染高峰�。這種木馬程序編寫工具使用動(dòng)態(tài)創(chuàng)建的URL 來隱藏源文件���,讓惡意軟件代碼更難以檢測����。與此攻擊相關(guān)的惡意域與URL 每天都會(huì)生成�,其中包括一些與搜索引擎統(tǒng)計(jì)收集結(jié)果相關(guān),且看起來就像真實(shí)域名的域與URL�。當(dāng)網(wǎng)站管理員或IT 管理員調(diào)查網(wǎng)頁時(shí),他們會(huì)看見類似搜索引擎跟蹤URL 的情況�。URL 通常包括拼寫錯(cuò)誤或字符變換�,初次看見時(shí)���,可能會(huì)讓人誤以為是真實(shí)的域。
2008 年��,賽門鐵克發(fā)現(xiàn)服務(wù)器端多態(tài)型威脅的使用率大幅增加����。在此類攻擊情形中,攻擊者會(huì)控制托管惡意軟件文件的網(wǎng)站服務(wù)器��。此外��,攻擊者會(huì)在網(wǎng)站服務(wù)器上運(yùn)行特殊的"多態(tài)型"軟件�,該軟件每隔幾分鐘或幾小時(shí)就會(huì)動(dòng)態(tài)生成該惡意軟件的新變體(每一個(gè)都有其專有的特征)。因此���,每當(dāng)新的無戒備用戶訪問該惡意網(wǎng)站時(shí)��,都有可能收到不同的惡意軟件文件�,這樣每天就可能會(huì)出現(xiàn)數(shù)百個(gè)新的惡意軟件變體���!這使得使用常規(guī)的特征式防病毒方法檢測惡意軟件就變得極具挑戰(zhàn)性����,并使不同的惡意軟件樣本以極快的速度增加。賽門鐵克過去一年中所發(fā)現(xiàn)的惡意軟件劇增是前所未見的���。從2002 到2007 年�,我們共累積收集
了800,000 個(gè)獨(dú)一無二的惡意軟件特征��。而僅在2008 一年���,我們就收集了1,800,000 個(gè)獨(dú)一無二的特征�,與2007 年相比增加了239%����,而且此趨勢短期內(nèi)還沒有趨緩的跡象。
劫持網(wǎng)頁或"點(diǎn)擊劫持"
這是賽門鐵克最近發(fā)現(xiàn)的新技術(shù)�,攻擊者可利用此項(xiàng)技術(shù)劫持對網(wǎng)頁的點(diǎn)擊。在此情況下�����,攻擊者會(huì)在網(wǎng)頁上放置看不見的圖層���。用戶點(diǎn)擊看似無害的按鈕或鏈接(例如游戲按鈕或視頻)時(shí)�,攻擊者的代碼就會(huì)自動(dòng)執(zhí)行,通常引導(dǎo)用戶訪問惡意網(wǎng)站或其他誤導(dǎo)應(yīng)用程序�。
當(dāng)今的攻擊使傳統(tǒng)的檢測技術(shù)毫無招架之力
偷渡式下載攻擊使僅具有防病毒功能的傳統(tǒng)特征式檢測技術(shù)幾乎沒有用武之地。使用常規(guī)的病毒特征很難(即使可以)檢測到針對多媒體�����、閱讀器����、瀏覽器和第三方軟件漏洞的攻擊�,因?yàn)檫@些攻擊會(huì)利用隱藏的漏洞,自動(dòng)顯示在瀏覽器中����。相比之下,常規(guī)的防病毒軟件只知道如何在文件中搜索��,卻不會(huì)搜索網(wǎng)絡(luò)通信��,因此使得這類攻擊遁于無形�。當(dāng)這種技術(shù)與代碼混淆技術(shù)相結(jié)合時(shí),常規(guī)的檢測方法就更加無能為力了����,因此我們就不得不采取新的檢測與防護(hù)方法����。
防護(hù)當(dāng)前最新的威脅需要采用主動(dòng)式防護(hù)技術(shù)�����。諸如Symantec Endpoint Protection 11 和諾頓2008 及2009 產(chǎn)品之類的新型解決方案包括:
* 網(wǎng)絡(luò)入侵防護(hù)技術(shù)�,有助于防護(hù)利用隱藏漏洞發(fā)起的攻擊
* 瀏覽器防護(hù)功能,可以保護(hù)瀏覽器與插件免受代碼混淆式威脅的入侵
* 啟發(fā)式與行為式的檢測技術(shù)�����,可以防護(hù)不能預(yù)期的新型攻擊技術(shù)
這些攻擊的發(fā)生頻率如何�?
來自主流網(wǎng)站的偷渡式下載每天都會(huì)發(fā)生數(shù)千例。受到感染或攻擊的企業(yè)與消費(fèi)者客戶數(shù)量已經(jīng)多到令人擔(dān)憂��。用戶渾然不覺自己已經(jīng)受到感染�����,因?yàn)榇祟惞舨恍枰脩艚换ゼ纯砂l(fā)動(dòng)���。
賽門鐵克已經(jīng)發(fā)現(xiàn)有關(guān)各類型主流網(wǎng)站托管偷渡式下載或包括惡意廣告的數(shù)千個(gè)案例��。2008 年�,賽門鐵克的"諾頓社區(qū)防衛(wèi)"從受保護(hù)的諾頓消費(fèi)者客戶群中,發(fā)現(xiàn)有超過1800 萬次偷渡式下載感染嘗試���。2008 全年�����,偷渡式下載都呈現(xiàn)持續(xù)上升的趨勢�����。
4. 進(jìn)入用戶的計(jì)算機(jī) (第2 部分- 需要用戶的"配合")
在上一節(jié)中,我們討論了惡意軟件制造者用來在無需用戶激活的情況下進(jìn)入用戶計(jì)算機(jī)的一些技術(shù)�,例如偷渡式下載。這些技術(shù)都利用了用戶未打補(bǔ)丁的計(jì)算機(jī)上所存在的漏洞����。然而,惡意軟件制造者還有其他工具����,甚至可以用來攻擊較為謹(jǐn)慎的用戶及其計(jì)算機(jī)。此類攻擊著重于社會(huì)工程技術(shù)����,而這項(xiàng)技術(shù)也是本節(jié)的重點(diǎn)���。
社會(huì)工程實(shí)際上是一個(gè)現(xiàn)代術(shù)語,常規(guī)一點(diǎn)的叫法是信心騙局或欺詐�����,它指的是欺騙他人從事其根本不想執(zhí)行的活動(dòng)的騙術(shù)�。在本節(jié)中,我們將分析一些我們所發(fā)現(xiàn)的用來欺騙用戶在其計(jì)算機(jī)上下載與安裝惡意軟件的常用技術(shù)���。
仿冒的解碼器
互聯(lián)網(wǎng)上有許多不同的多媒體文件格式����,其中的許多文件格式需要特殊的軟件才能查看或收聽����。因此,互聯(lián)網(wǎng)用戶知道自己有時(shí)必須下載與安裝新的媒體播放器或?yàn)g覽器插件���,才能查看所訪問的網(wǎng)站內(nèi)容���。用戶在訪問新網(wǎng)站時(shí)常常會(huì)收到提示����,請求其下載新播放器或插件的最新版本�。通常所說的編解碼器(編碼- 解碼器)是指一種可以為二進(jìn)制文件解碼并重組原始音頻或視頻版本的軟件。
惡意軟件制造者會(huì)通過創(chuàng)建包含誘人內(nèi)容(例如成人內(nèi)容或音頻及視頻文件存儲(chǔ)庫)的網(wǎng)站��,來偽造用戶所熟悉的情景�。當(dāng)用戶訪問網(wǎng)站時(shí),會(huì)被提示必須安裝新的編解碼器���,才可以訪問網(wǎng)站的內(nèi)容���。然而,用戶授權(quán)下載并安裝到其計(jì)算機(jī)上的可執(zhí)行內(nèi)容�����,實(shí)際上并非編解碼器�,而是一款惡意軟件�。
此屏幕截圖顯示了一個(gè)仿冒的解碼器,它提示用戶安裝"視頻"編解碼器����,實(shí)際上卻安裝了一款惡意軟件����。我們看到許多這樣的實(shí)例�,即惡意軟件制造者冒用可信任視頻與多媒體播放器的徽標(biāo)與圖標(biāo),使惡意軟件看起來更合法����。
所安裝的"視頻編解碼器"實(shí)際就是感染用戶計(jì)算機(jī)的木馬程序。Trojan.Zlob 和Trojan.Vundo 都是我們在2008 年發(fā)現(xiàn)的非常流行的木馬程序��。賽門鐵克發(fā)現(xiàn)受感染的博客留言�、即時(shí)消息垃圾信息以及惡意文本廣告,都是將用戶帶往此類仿冒的解碼器網(wǎng)站的主要工具�����。
惡意點(diǎn)對點(diǎn)文件
點(diǎn)對點(diǎn)(P2P) 文件共享系統(tǒng)已經(jīng)成為分享合法與非法數(shù)字內(nèi)容的常見途徑�����。這些系統(tǒng)為惡意軟件通過互聯(lián)網(wǎng)入侵用戶計(jì)算機(jī)提供了另一條渠道��。惡意軟件制造者會(huì)將其惡意內(nèi)容與流行應(yīng)用程序捆綁在一起�����。我們已發(fā)現(xiàn)他們在文件命名方式上采用了許多充滿創(chuàng)意的做法,為了吸引更多用戶的注意�,他們會(huì)使用名人的姓名或流行的品牌名稱。然后���,他們會(huì)將這些文件上傳至流行的文件共享網(wǎng)站�,等待毫無戒備的用戶上鉤����。當(dāng)用戶搜索自己喜好的應(yīng)用程序或電影時(shí),搜索到的就是受惡意軟件感染的版本�。
我們在研究中還發(fā)現(xiàn),互聯(lián)網(wǎng)上有許多關(guān)于創(chuàng)建此類偽裝惡意軟件應(yīng)用程序進(jìn)程的在線公開教學(xué)課程材料����,其中包括了有關(guān)如何將應(yīng)用程序發(fā)布至P2P 網(wǎng)站的入門指南、網(wǎng)站使用建議�、如何使用代理服務(wù)器來提供文件,以及如何防止因?yàn)檎`用而被關(guān)閉的情況�。
惡意廣告
在惡意軟件制造者用來開發(fā)新業(yè)務(wù)的技術(shù)當(dāng)中���,最招搖的一種可能就是通過利用廣告來模仿合法業(yè)務(wù)����。
在上一節(jié)中,我們介紹了表面上看似合法的廣告如何造成危害����,現(xiàn)在我們將提出一些證據(jù),說明惡意軟件作者如何直接向毫無戒備的用戶宣傳他們的仿冒的解碼器���。
在其中一個(gè)示例中����,我們在一個(gè)主要搜索引擎上進(jìn)行了網(wǎng)頁搜索���,通過關(guān)鍵字搜索一款新游戲的免費(fèi)版本����。除了常規(guī)結(jié)果之外���,其中有一個(gè)贊助商鏈接指向了偽裝成游戲官方版本下載頁面的網(wǎng)頁����,但實(shí)際上這是一個(gè)指向偽掃描程序網(wǎng)頁的網(wǎng)站����。廣告供應(yīng)商已開始注意到此問題�����,并采取了一些措施來防止惡意軟件作者利用其服務(wù)�,但由于每天顯示的文本廣告數(shù)量巨大���,難免仍有一些惡意軟件在審查過程中成為漏網(wǎng)之魚��。
偽掃描程序網(wǎng)頁
惡意廣告技術(shù)的一種變體是創(chuàng)建特定網(wǎng)站來推廣公然誤導(dǎo)事實(shí)的服務(wù)或產(chǎn)品��。
此類網(wǎng)站可以輕易地利用瀏覽器的JavaScript 功能����,讓用戶的瀏覽器顯示彈出式窗口�,其中會(huì)顯示看似合法操作系統(tǒng)警報(bào)通知的內(nèi)容。在所示的圖中���,您可以看到我們偶然發(fā)現(xiàn)的一個(gè)警報(bào)通知����,它試圖讓用戶相信其計(jì)算機(jī)已經(jīng)受到感染���。實(shí)際上�,這只不過是嚇唬人的把戲���。
此外����,我們還發(fā)現(xiàn)了數(shù)千個(gè)此類偽掃描程序網(wǎng)頁��,它們采用了具有創(chuàng)新性和說服力的社會(huì)工程策略���。例如��,我們曾發(fā)現(xiàn)一個(gè)將其自身定位為"成人內(nèi)容圖片掃描程序"的偽掃描程序網(wǎng)頁���。該網(wǎng)頁會(huì)裝做掃描系統(tǒng)中的可疑圖片,然后顯示預(yù)先保存的色情圖片���,并宣稱該圖片是從用戶的系統(tǒng)中發(fā)現(xiàn)的����。接下來���,該網(wǎng)頁會(huì)提示用戶下載偽卸載工具�,以刪除這些圖片。我 們會(huì)在下一節(jié)中進(jìn)一步討論偽造或誤導(dǎo)應(yīng)用程序�����。
垃圾博客
博客提供了另一種影響用戶采取與平常不同操作的渠道���。合法的博客經(jīng)常會(huì)感染一些URL 鏈接�,這些鏈接會(huì)指向使用社會(huì)工程騙局或?yàn)g覽器攻擊技術(shù)的網(wǎng)頁����,進(jìn)而感染用戶的計(jì)算機(jī)。攻擊者常使用博客留言板塊來張貼此類鏈接�。這些留言常常會(huì)使用一些有吸引力的語句, 來吸引訪客點(diǎn)擊該鏈接�����。地下網(wǎng)絡(luò)中提供了一些工具�����,可以將博客垃圾信息的發(fā)送過程自動(dòng)化�。
其他攻擊媒介
如今用來傳播惡意軟件的其他媒介還包括垃圾郵件和盜版軟件網(wǎng)站�����。與過去不同����,攻擊者不再直接將惡意軟件植入電子郵件�����,而是將URL添加到垃圾郵件�,這些URL 會(huì)直接指向惡意偷渡式下載網(wǎng)站或偽掃描程序/仿冒的解碼器網(wǎng)頁�����。盜版軟件網(wǎng)站亦稱為"warez"網(wǎng)站���,除 了盜版軟件之外�,此類網(wǎng)站通常還包括會(huì)攻擊終端用戶系統(tǒng)的木馬程序��。
5. 用戶的計(jì)算機(jī)上將發(fā)生哪些變化����?
到目前為止,我們一直將重點(diǎn)放在幫助惡意軟件從其制造者向用戶計(jì)算機(jī)傳播的一系列事件。現(xiàn)在�����,我們要將注意力轉(zhuǎn)移到惡意軟件本身�,以及在其抵達(dá)用戶的計(jì)算機(jī)時(shí)會(huì)進(jìn)行的活動(dòng)。在本節(jié)中����,我們將介紹我們所發(fā)現(xiàn)的惡意軟件在用戶計(jì)算機(jī)上進(jìn)行的一些活動(dòng)。
購買誤導(dǎo)應(yīng)用程序
也是以欺騙為主題��,目的是將惡意軟件置入用戶的計(jì)算機(jī)�����;我們發(fā)現(xiàn)在過去12 個(gè)月內(nèi)�,惡意軟件攻擊用戶最常用的形式就是"誤導(dǎo)應(yīng)用程序",又稱為"流氓程序"或偽防病毒應(yīng)用程序�����。
誤導(dǎo)應(yīng)用程序會(huì)故意錯(cuò)誤顯示計(jì)算機(jī)的安全狀態(tài)���。其目標(biāo)是讓用戶相信自己已受到惡意軟件的感染����,并且應(yīng)該立即采取操作,刪除計(jì)算機(jī)中的潛在不必要程序或安全風(fēng)險(xiǎn)(通常并不存在或是偽造)�����。
誤導(dǎo)應(yīng)用程序通?���?雌饋矸浅S姓f服力- 此類程序可能與合法安全程序類似��,并且通常有對應(yīng)的網(wǎng)站�,其中包括用戶的建議、功能列表等等����。
完成初始部分安裝之后(通常是通過由惡意網(wǎng)站攻擊發(fā)送的木馬程序進(jìn)行),這些應(yīng)用程序會(huì)嘗試恐嚇用戶��,讓其相信自己的計(jì)算機(jī)已經(jīng)受到數(shù)個(gè)威脅的感染�����。用戶瀏覽互聯(lián)網(wǎng)時(shí)�,攻擊者會(huì)利用持續(xù)的彈出式窗口以及任務(wù)欄通知圖標(biāo)等來達(dá)成此目標(biāo)���。此時(shí),偽防病毒軟件就會(huì)阻止用戶�����,使其不能瀏覽至真正的防病毒廠商網(wǎng)站����,并防止偽防病毒軟件本身被卸載。該應(yīng)用程序會(huì)拒絕允許用戶刪除或修復(fù)這些實(shí)際不存在的安全問題�����,以此威脅用戶�����,直到用戶購買并安裝軟件完整版本為止���。系統(tǒng)會(huì)鼓勵(lì)用戶購買軟件���,并將其帶往訂購頁面,他們在那里可以"方便地"將信用卡號(hào)碼和其他個(gè)人信息提供給攻擊者�����。我們發(fā)現(xiàn),此類產(chǎn)品的價(jià)格范圍通常在30 美元至100 美元之間����。這種方法已經(jīng)成功騙過了數(shù)千人,而他們都認(rèn)為自己購買的是合法軟件�。
這些攻擊的發(fā)生頻率如何?
2008 年后半年�����,賽門鐵克檢測并阻止了超過2300 萬次誤導(dǎo)應(yīng)用程序的感染企圖����。因?yàn)槊看胃腥酒髨D都需要用戶點(diǎn)擊或安裝程序�,因此攻擊者散布這些數(shù)據(jù)包的時(shí)間很長、范圍也很廣泛�����,因?yàn)樗麄冎乐挥猩贁?shù)終端用戶會(huì)安裝這些誤導(dǎo)應(yīng)用程序�。垃圾郵件的散布者也使用
類似的手法,試圖將電子郵件散布給盡可能多的人���,因?yàn)樗麄冎乐挥猩贁?shù)終端用戶會(huì)落入這個(gè)圈套��。
促成誤導(dǎo)應(yīng)用程序快速成長的唯一動(dòng)機(jī)就是謀取財(cái)富����。誤導(dǎo)應(yīng)用程序制造者已經(jīng)創(chuàng)建了完整的經(jīng)銷與營銷網(wǎng)絡(luò)來散布其軟件。即使在
2300 萬名終端用戶中���,只有1% 的用戶落入敲詐陷阱���,誤導(dǎo)應(yīng)用程序作者也能坐收超過1100萬美元的收益。 如需有關(guān)攻擊者利益動(dòng)機(jī)的詳細(xì)信息�,請參見"賽門鐵克地下經(jīng)濟(jì)活動(dòng)報(bào)告"。4
哪些誤導(dǎo)應(yīng)用程序最為盛行���?
2008 年12 月�,賽門鐵克發(fā)現(xiàn)下列誤導(dǎo)應(yīng)用程序最為流行����。惡意軟件作者通常會(huì)使用"多態(tài)型"工具來重新虛擬機(jī)器并改變其應(yīng)用程序,讓檢測任務(wù)變得益發(fā)困難���。
惡意軟件可能會(huì)在計(jì)算機(jī)上執(zhí)行的其他動(dòng)作
竊取個(gè)人信息
許多惡意軟件程序會(huì)記錄鍵盤上進(jìn)行的每一次擊鍵行為���。這些惡意軟件程序稱為擊鍵記錄程序��。當(dāng)用戶通過受到攻擊的系統(tǒng)瀏覽至在線帳戶(例如銀行���、購物、游戲和電子郵件帳戶)時(shí)����,擊鍵記錄程序就會(huì)捕獲其個(gè)人信息(例如用戶名和密碼)并返回給攻擊者。
利用您的計(jì)算機(jī)攻擊其他計(jì)算機(jī)
另一種常見的攻擊是將受害者的計(jì)算機(jī)納入由其他受攻擊計(jì)算機(jī)組成的網(wǎng)絡(luò)���,而攻擊者可以遠(yuǎn)程利用該網(wǎng)絡(luò)進(jìn)行惡意活動(dòng)�。僵尸程序是指悄悄安裝在受害者計(jì)算機(jī)上的程序�,可以讓未經(jīng)授權(quán)的用戶從遠(yuǎn)程控制受感染的系統(tǒng)。僵尸網(wǎng)絡(luò)是指受僵尸程序感染的一組計(jì)算機(jī)�,它們都受到攻擊者的控制��。
6. 您應(yīng)該采取什么措施來保護(hù)自己�?
本白皮書前面的章節(jié)闡明,即使是保持謹(jǐn)慎并且只瀏覽主流合法網(wǎng)站的互聯(lián)網(wǎng)用戶���,也可能成為網(wǎng)站攻擊的受害者���。在本節(jié)中���,我們將探討一些可供您用來保護(hù)自己的計(jì)算機(jī)和信息不受網(wǎng)站攻擊侵害的防護(hù)措施。這些措施包括:
將軟件更新至最新版本
這可能是看似沒有必要的瑣事��,但是您可以采取的最重要的防護(hù)措施之一�����,就是盡可能讓系統(tǒng)上的所有軟件更新至最新版本�。其中包括操作系統(tǒng)(例如Windows )、應(yīng)用程序�����、網(wǎng)頁瀏覽器和相關(guān)的插件軟件?��,F(xiàn)有軟件中新發(fā)現(xiàn)的漏洞是攻擊者在未經(jīng)授權(quán)的情況下入侵系統(tǒng)
的最佳途徑�����。軟件發(fā)行者會(huì)定期發(fā)布更新來修復(fù)已知的漏洞�����。如有可能�,您應(yīng)該啟動(dòng)軟件自動(dòng)更新,這樣在有新的更新發(fā)布時(shí)���,它們就會(huì)自動(dòng)下載并安裝至您的計(jì)算機(jī)���。
3 以每套誤導(dǎo)應(yīng)用程序平均50 美元的價(jià)格計(jì)算。
4 賽門鐵克地下經(jīng)濟(jì)活動(dòng)報(bào)告
http://www.symantec.com/business/theme.jsp?themeid=threatreport
部署全面的端點(diǎn)安全產(chǎn)品
常規(guī)的特征式防病毒產(chǎn)品只能檢查系統(tǒng)上的文件����。全面的端點(diǎn)安全產(chǎn)品可通過許多額外防護(hù)級(jí)別彌補(bǔ)這一不足,包括:
*啟發(fā)式文件防護(hù)��。即使沒有常規(guī)的病毒特征���,這項(xiàng)技術(shù)也能夠讓安全產(chǎn)品根據(jù)文件本身的特性發(fā)現(xiàn)新的病毒變體�����。
*入侵防護(hù)系統(tǒng)(IPS )。入侵防護(hù)系統(tǒng)不只專注于磁盤上的病毒文件�,它還會(huì)監(jiān)控網(wǎng)絡(luò)通信并搜索可疑的行為,在攻擊進(jìn)入系統(tǒng)之前便將其拒之門外。在近期的第三方測試中�,賽門鐵克產(chǎn)品利用其入侵防護(hù)系統(tǒng)和瀏覽器防護(hù)技術(shù)檢測到了所有的偷渡式下載攻擊,而排名緊隨其后的競爭對手僅檢測到不足60% 的攻擊����。
*行為監(jiān)控。即使惡意軟件繞過入侵防護(hù)系統(tǒng)及文件防護(hù)功能(包括特征式與啟發(fā)式防護(hù)功能)的防御進(jìn)入您的系統(tǒng)��,行為監(jiān)控系統(tǒng)仍可能將其捕獲�����。其工作方式是監(jiān)控系統(tǒng)上的軟件運(yùn)行操作并搜索可疑行為(例如嘗試訪問您的個(gè)人數(shù)據(jù)或進(jìn)行擊鍵記錄)�����。
全面的安全產(chǎn)品應(yīng)該包括所有這些防御級(jí)別�,此外,還務(wù)必確保已經(jīng)啟用所有這些功能����。
訂購最新的安全產(chǎn)品更新
安全產(chǎn)品的好壞取決于其底層的安全內(nèi)容。其中包括病毒定義與入侵防護(hù)系統(tǒng)特征���,它們通常會(huì)每天通過網(wǎng)絡(luò)更新數(shù)次�,并確保您的安全產(chǎn)品擁有最新的有效防護(hù)。更新中的任何錯(cuò)誤都可能很快地侵蝕產(chǎn)品的防護(hù)能力���。舉例來說���,試想賽門鐵克當(dāng)前每天提供針對超過10,000 種新病毒樣本的防護(hù)。如果一周沒有更新�����,就可能意味著用戶錯(cuò)過了針對70,000 種獨(dú)一無二的新病毒變體的防護(hù)����。保持產(chǎn)品訂購有效,以主動(dòng)防護(hù)惡意軟件使其遠(yuǎn)離您的系統(tǒng)��,同時(shí)保護(hù)您免受最新威脅入侵��,這一點(diǎn)至為重要�。
保持警覺
對您訪問的網(wǎng)站、點(diǎn)擊的鏈接��、打開的搜索結(jié)果以及安裝的應(yīng)用程序持謹(jǐn)慎態(tài)度�。許多攻擊依靠社會(huì)工程技術(shù)進(jìn)入您的系統(tǒng),因此即使您的所有軟件都是最新的并且您擁有全面的最新安全產(chǎn)品����,如果您授權(quán)惡意程序進(jìn)入系統(tǒng),將攻擊者請到自家門前���,則您仍有可能成為攻擊
的受害者����。
一般說來�,若提供的產(chǎn)品或服務(wù)太過優(yōu)惠誘人,則用戶要有所警覺��。您可以遵循一項(xiàng)常規(guī)原則:如果有所懷疑���,就撥打電話- 不要依賴電子郵件內(nèi)包括的信息或網(wǎng)頁上顯示的內(nèi)容���。
如果需要協(xié)助判斷互聯(lián)網(wǎng)上搜索的結(jié)果,請使用諸如諾頓網(wǎng)頁安全之類的"安全搜索"解決方案��。(http://safeweb.norton.com)
采用密碼策略
有效的密碼策略有助于保護(hù)在線信息的安全����。
*有效的密碼應(yīng)包括字母、數(shù)字和其他鍵盤字符的組合���。
*盡可能避免所有帳戶都使用相同的密碼����。當(dāng)然,在眾多網(wǎng)站都請求用戶創(chuàng)建帳戶的情況下���,做到這一點(diǎn)非常困難�。請至少為最敏感的在線帳戶使用獨(dú)一無二的密碼(例如銀行帳戶和電子郵件帳戶)����。
防患于未然上述的許多自我防護(hù)步驟看起來似乎是基本常識(shí),但在我們分析的受到感染或安全受到破壞的企業(yè)與消費(fèi)者中���,有許多用戶并未遵循這些簡單的步驟��。
如果您夠積極主動(dòng)�,保護(hù)自己免受最新互聯(lián)網(wǎng)威脅的入侵就會(huì)變得非常簡單����。受感染之后才部署新的安全產(chǎn)品或者才續(xù)訂安全產(chǎn)品,可能耗費(fèi)高額成本并且難以見效���。與感染之后再清理系統(tǒng)相比�����,企業(yè)機(jī)構(gòu)和終端用戶運(yùn)行幾個(gè)額外的步驟����,從一開始就降低受感染的機(jī)會(huì)�,這
樣做不僅更具成本效益,而且能夠更好地利用資源�。
7. 結(jié)論
互聯(lián)網(wǎng)日趨復(fù)雜,威脅狀況也是日新月異����。終端用戶和IT 管理員必須在自我防護(hù)方面始終保持警惕。利用已過期的常規(guī)特征式防病毒技術(shù)或在完全沒有保護(hù)的情況下瀏覽互聯(lián)網(wǎng)����,很快就會(huì)遭受嚴(yán)重的惡意軟件感染,從而導(dǎo)致系統(tǒng)受損����。本白皮書中闡述的許多威脅并不能單
靠特征式防病毒技術(shù)來防御。
從悄無聲息地讓惡意軟件溜進(jìn)您系統(tǒng)的偷渡式下載�,到將您重定向至企圖向您敲詐錢財(cái)?shù)膫畏啦《井a(chǎn)品的惡意廣告,互聯(lián)網(wǎng)世界里充斥著各種未知的威脅���。您的威脅防護(hù)策略必須不斷進(jìn)步��,才能更好地防護(hù)當(dāng)前及未來的威脅狀況��。
無擔(dān)保��。本文檔"按現(xiàn)狀"提供����,Symantec Corporation(賽門鐵克公司)對其準(zhǔn)確性或使用不做任何擔(dān)保。使用此處所含的任何信息��,其相關(guān)風(fēng)險(xiǎn)均由用戶自行承擔(dān)�����。文檔可能包含技術(shù)上或其他方面的不準(zhǔn)確性或排印錯(cuò)誤�。Symantec(賽門鐵克)保留隨時(shí)進(jìn)行修改的權(quán)利,恕不另行通知��。
