客服邮箱
kaba365@pcstars.com.cn
销售客服
(购买咨询|订单查询|兑换帮助)
400-819-1313(9:00-18:00)
技术客服
(安装|使用问题咨询)
400-611-6633(5×8小时)
2011年已经过去,现在让我们回顾一下在过去12个月中所发生的安全事件。如果我们必须用一个词来总结过去一年的安全状况,我们认为必然要用“爆炸性”这个词。这一年中,发生了太多安全事件和事故,出现了众多新的趋势,涌现出不少闪耀的明星,所以,想要从中选出年度Top 10 安全事件,非常困难。以下事件列表的目的,是想让读者记住2011年所发生的能够代表某一重要趋势的安全事件,或者为安全领域带来的新明星的安全事件。通过了解这些事件,我们能够或多或少地预测2012年的安全趋势。
相信每个阅读本文的读者,都听说过Anonymous、LulzSec以及TeaMp0isoN黑客组织。2011年,这些黑客组织同其他黑客团体一道,发动了众多针对执法机关、银行、政府机构、安全公司以及大型软件厂商的攻击。有时候这些黑客组织协同工作,有时候则互相攻击。他们攻陷了很多机构的网络,包括联合国、安全情报公司Stratfor、FBI承包商IRC Federal、美国国防部承包商ManTech以及CIA等。有些安全事件,如Stratfor被黑事件还揭示出很多安全问题,包括很多机构采用不加密的格式保存CVV密码,或一些系统管理员使用强度非常弱的密码等。这些黑客组织是2011年安全领域最新涌现出来的明星之一。
整体来看,黑客主义的兴起是2011年一个重要的趋势。毫无疑问,这一趋势仍将在2012年继续,届时将会发生一些类似的安全事件。
虽然本事件同上述第一个事件有所关联,但是我们仍然将其单独作为一个事件列出。2011年1月,来自Anonymous的黑客通过SQL注入攻击方式,成功入侵HBGary Federal公司的网页服务器hbgaryfederal.com 。黑客设法获取到几个密码的MD5哈希值,而这些密码分别属于该公司CEO Aaron Barr和COO Ted Vera。不幸的是,这两位公司高管所使用的密码都非常简单,只包含6位小写字母和2位数字。通过获取这些密码,攻击者访问到公司的研究文档以及存储在Google Apps中的数万份电子邮件。这一事件表明一种奇怪的状况,即强度较弱的密码和未更新的软件系统以及云技术的联合使用,最终可能导致一场安全噩梦。如果该公司CEO和COO使用了高强度密码,上述被黑事件就很可能不会发生。或者,如果他们在Google Apps上使用了多因素认证,攻击者也不会获取到公司的超级用户账号,将公司全部电子邮件拷贝走。但是,需要指出的是,就算安全措施都到位,也不能排除执着的黑客通过其他渠道入侵的可能性。耐心和持之以恒,再加上大量的时间,使得黑客往往在攻击中获胜。
虽然很多安全专家都不屑于使用这个词汇,但是该词汇确实被很多媒体所使用,并且借助RSA被黑以及Night Dragon、Lurid和Shady Rat等安全事件迅速走红。有趣的是,很多此类攻击所使用的技术和手段并不高级。相反,很多攻击案例中黑客都利用了零日漏洞,例如在RSA被黑事件中。在针对RSA的攻击中,攻击者利用了一个存在于Adobe Flash Player中的CVE-2011-0609漏洞,在受攻击计算机上运行恶意代码。此外,存在于Adobe Reader中的CVE-2011-2462零日漏洞则被用在针对美国国防部承包商ManTech公司的攻击中。通过分析这些攻击,我们可以得出一些规律。首先,很多攻击都涉及Adobe软件产品中的零日漏洞。其次,很多攻击行为都针对美国,尤其是为美国军队或政府服务的公司。而Lurid攻击的主要目标则是东欧国家,如俄罗斯或独联体国家。这些攻击表明一些强大的国家级明星的出现,还预示着网络间谍行为已经不足为奇。此外,很多攻击行为之间似乎还有联系,并对全球形势有所影响。例如,针对RSA的攻击引起了很大的关注,因为攻击者窃取的SecurID令牌后来被发现用于其他攻击中。
2011年,知名安全软件和SSL数字证书公司Comodo的一个子公司被黑客攻陷。攻击者很快利用现有的基础架构,生成了9个假冒的针对网站的数字证书,其中包括Mail.google.com、login.yahoo.com、addons.mozilla.com和 login.skype.com。在对这一攻击进行分析过程中,Comodo发现攻击者的IP来自伊朗的Tehran,IP地址为212.95.136.18。但是,针对Comodo的攻击在规模上同针对DigiNotar的攻击完全无法相比。2011年6月17日,黑客开始针对DigiNotar服务器发动攻击。在接下来的五天内,黑客获取到其基础架构的访问权,并生成了超过300个假冒数字证书。黑客以数字证书的方式留言,其中包含波斯语信息“伟大的黑客,我将破译所有加密!”。几天后,这些假冒的证书被发现应用于针对100,000个伊朗Gmail用户的中间人攻击中。所以,这一攻击事件同伊朗肯定密切相关。
之前,人们对证书机构(CA)的信任度就有所下降。经历Comodo和DigiNotar攻击事件后,对其信任度更是大大打折。未来,针对CA公司的攻击可能会更广泛。此外,很可能更多采用数字签名的恶意软件会出现。
2010年6月,来自白俄罗斯VirusBlokada公司的安全研究人员Sergey Ulasen发现了一款恶意软件。该恶意软件采用了窃取到的数字证书对自身驱动进行签名,使用在典型的Autorun方式中利用.Ink进行自我复制的零日漏洞。这款恶意软件在全球迅速走红,并被命名为Stuxnet。Stuxnet是一种计算机蠕虫,其攻击目标是位于伊朗的核设施。Stuxnet能够劫持伊朗Natanz核电站所使用的西门子的PLC系统,并利用特殊的手段将其重新编程。这表明该恶意软件只有一个目的,即破坏Natanz电厂的浓缩铀处理系统。当时,我们看到黑客重新编程用于控制64,000-RPM 离心机的PLC的代码时,感到非常不可思议。因为如果攻击者没有接触到原始的原理图及源代码,不可能编写出这样的代码。但是,攻击者是如何获取到这些敏感代码的呢?要知道这些定制代码可是控制着价值数十亿美元的工业设施。
答案可能就存在于Duqu木马中。Duqu木马最早于2011年8月被匈牙利研究实验室CrySys所发现,其编写者同样创造了Stuxnet蠕虫。最初,我们并不了解Duqu木马是如何感染攻击目标的。后来发现,利用CVE-2011-3402漏洞的恶意Word文档是Duqu木马入侵系统的一种手段。Duqu木马的攻击目的同Stuxnet相差很大。该木马实际上是一款复杂的攻击工具,能够用来入侵系统,之后窃取其中的信息。此木马还能加载新的模块,不会留下文件系统足迹。其高度模块化架构以及较少的用户感染量,使得其存在多年后才被发现。最早同Duqu相关的行为其实早在2007年8月就已经出现。在我们所分析的所有感染案例中,攻击者均使用被攻陷的服务器架构转移数据。有时候从受害者计算机上转移的数据高达几百兆。
Duqu木马和Stuxnet蠕虫代表目前最为先进的网络武器,它们的出现,暗示着我们已经进入网络冷战时代。超级大国利用这些网络武器突破传统战争的限制,互相发动攻击。
2011年4月10日,索尼发现自己的PSN网络被黑客所攻陷。最初,索尼并不愿意公布发生的状况,并且声称该服务于4月20日暂停,并将在几天内恢复。但直到4 月26 日,索尼才承认PSN网络中的个人数据被盗,其中可能包括信用卡账号信息。三天后,有报道出现说有220万个信用卡账号信息在黑客论坛上出售。到5月1日,PSN 网络仍然不能访问,使得其用户不仅面临信用卡被盗的事实,还不能玩已经付费的游戏。2011 年10月,PSN网络再次成为媒体焦点,因为索尼为了避免账号被滥用,冻结了93,000 个被盗窃的PSN服务账号。索尼PSN 网络被黑事件是2011 年一件重大的安全事件,因为它揭示出在云存储时代,个人身份信息虽然很容易通过互联网在其它地方快速访问,但一旦哪出现设置错误或安全问题,很容易就造成失窃。在云存储时代的2011年,全球有约7700 万用户账号和220 万信用卡信息被盗。
虽然索尼PSN被黑事件的幕后攻击者还没有找到,但2011年对很多网络罪犯来说,绝对是难过的一年。因为全球范围内,很多网络罪犯被执法机关所逮捕。例如,ZeuS 的幕后攻击者被逮捕,DNSChanger 网络犯罪集团被打掉,Rustock、Coreflood 和Kelihos/Hilux 僵尸网络被关闭等。打击网络犯罪集团对于在全球范围内抑制网络犯罪有长远意义,因为通过大力度的打击,能够向其余的网络罪犯发出信号,即从事网络犯罪不再是一项没有风险的行为。需要特别提到的是Kelihos僵尸网络,它的关闭是卡巴斯基实验室同微软数字犯罪小组共同协作完成的。卡巴斯基实验室首先为该僵尸网络进行了“排污行动”,每天检测到数万台被感染计算机。正是在这个时候,一场争论开始了:了解该僵尸程序的更新详情后,卡巴斯基实验室或执法机关能够推送一个程序给所有的受感染用户,通知他们清除感染,甚至可以自动将受感染计算机上的僵尸程序清除。在Securelist 网站上进行的调查中,有超过83% 的参与者投票认为卡巴斯基实验室应该推送清除工具,清除感染。但是,这一做法在大部分国家是非法的。所以,基于这些显而易见的原因,我们并没有这样做。但是,这一事件却表明今天的立法系统对于有效打击网络犯罪,还存在很多限制。
2010 年8 月,我们发现了安卓平台下首个木马程序——Trojan-SMS.AndroidOS.FakePlayer.a,该木马会伪装成一个媒体播放器程序。在不到一年时间内,安卓恶意软件迅速增长,目前已经成为最常见的手机恶意软件种类之一。这一趋势在2011年第三季度更为明显。2011年期间我们所发现的所有手机恶意软件中,安卓恶意软件所占比例超过40%。并最后于2011年11月达到临界值,总数超过1000个恶意程序样本。这一数量几乎是过去六年中所有发现的其它手机恶意软件之和。安卓恶意软件之所以如此盛行,有多个原因。首先,安卓平台本身增长迅速。其次,有大量免费的安卓平台文档可供参考,使得编写安卓恶意软件较为方便。最后,还有很多人责怪Google 的安卓电子市场,因为该市场的审核措施比较薄弱,使得网络罪犯很容易上传恶意程序到电子市场中。而目前,针对iPhone的恶意软件目前仅发现两款,我们收集到的安卓木马数量现在已经接近2000个。
CarrierIQ 是一个成立于2005 年的小型私人公司,地址位于加利福尼亚的山景城。根据公司网站提供的信息,全球有1.4 亿台设备安装了CarrierIQ 软件。虽然该公司声称CarrierIQ 的目的是从手机终端收集“诊断”信息,但安全研究专家Trevor Eckhart 却演示了CarrierIQ 收集到的信息远远不止“诊断”信息,该软件甚至还包括键盘记录工具以及URL地址监控功能。CarrierIQ 具有典型的命令和控制架构,系统管理员能够决定收集何类信息,并选择将这些信息返回。很明显,CarrierIQ确实收集了很多手机用户的信息,但这并非表示其目的是不良的。至少其所属公司以及HTC 这样支持其使用的公司是这样宣称的。但是,作为一个美国公司,美国执法机关通过相关证明,可以强制CarrierIQ 公司交出他们收集的这些数据。这一法律漏洞甚至能够变成政府窃听和监控的工具。不管事实是否如此,很多用户决定将他们手机中的 CarrierIQ 软件清除。但不幸的是,清除过程并不简单,而且针对iPhone、安卓手机和黑莓手机,清除手段各不相同。对安卓系统手机,用户必须先要破解手机,才能够清除该软件。或者,很多用户选择重新刷新手机固件,如Cyanogenmod固件。
CarrierIQ 事件表明我们对于运行在自己手机设备中的软件几乎毫不知情,对于他人控制我们手机硬件的程度也知之甚少。
我意识到我一旦提到Mac OS X 系统下的恶意软件,就将自己推入了火线。但是,Mac恶意软件的出现是2011年不能忽视的一个重大安全趋势。2011年5月,出现了一些名为MacDefender、MacSecurity或MacGuard的恶意软件。它们都是Mac操作系统下的欺诈反病毒软件,并且很快普及开来。这些恶意软件利用黑帽搜索引擎优化技术,通过Google 搜索结果进行传播。此外,这些恶意程序还利用社交工程学技术,诱惑用户下载安装,并让用户付费获取完整版。如果用户付费40美元购买完整版,会发现自己其实支付了140美元,有时候甚至还多次被扣费。PC平台下的威胁跨平台出现于Mac平台,是2011年一个重要趋势(欺诈反病毒软件是PC平台下最常见的恶意软件种类之一)。除了Mac平台下的欺诈反病毒软件,DNSChanger家族的木马程序同样值得关注。该类恶意软件最早于2007年被发现,这类木马会利用简单的方式感染系统,修改系统的DNS设置,将DNS指向网络罪犯设置的专用DNS服务器,之后将自身删除。这样,即使用户感染了DNSChanger,系统DNS 设置被更改,用户也不易发现,因为计算机上并不存在恶意软件。但是,网络罪犯利用这种手段,感染DNS通讯,让用户访问假冒的网站,或者进行点击诈骗以及中间人攻击。幸运的是,2011年11月,FBI逮捕了六个爱沙尼亚国籍的网络罪犯,他们是 DNSChanger恶意软件的幕后操作者。根据FBI提供的数据,在过去四年中,他们在全球100 多个国家共感染400万台计算机,获得非法利润约1400万美元。这些事件表明Mac操作系统下的恶意软件同PC平台下的一样真实存在,即使采取了当今的安全措施,也很难预防复杂的社交工程学感染技术。而且毫无疑问,这两个平台下的恶意软件数量还会增加。
总结来说,上述十个事件只是2011 年众多安全事件中的一小部分。之所以选择这些事件,是因为它们是2011年安全领域里的绝对主角,并且在不远的将来,仍将继续在网络安全领域扮演重要角色。其中涉及黑客主义者集团、安全公司以及超级大国互相对抗,进行网络间谍行为的高级可持续性威胁,此外,还包括软件和游戏开发商(如Adobe、微软和索尼)、执法机关、传统的网络罪犯、安卓系统开发商Google以及Mac OS X 平台开发商苹果公司。他们之间的关系可能会错综复杂,充满戏剧性或包含很多秘密,就像是电视剧《Dexter》那样神秘和梦幻。但有一点可以确认,这些IT领域的明星在2012年的安全大戏中,仍将继续吸引大家的眼球。
2011年期间,几乎全球的强国均发出信号,表明随时可以开发和部署各自的网络武器。2010 年,Stuxnet 蠕虫的发现引发了一系列恐慌,导致一些国家将使用网络武器对其攻击视作是战争行为。但是,这种情况下,他们却忽视了这类威胁的一些重要特征。以Stuxnet为例,该网络武器是一种特殊的现象,其设计和用途都具有针对性,目的是在某一特定时间对某一特定地点发动攻击。对于这种网络武器的攻击,目前没有可行的军事解决方案来对付。所以,我们认为像Stuxnet这样的网络武器,仍将被局限于孤立的事件中。其出现主要取决于相关国家之间的关系。实际上,要开发这种高标准的网络武器,需要攻击者和受害者。对攻击者来说,之所以开发和使用这种网络武器,是因为面临的问题足够严重,不能被忽视,但又不能实施军事行动。对当前国际冲突形势的分析,能够帮助预测未来类似事件的发生。
对于Stuxnet 这样的网络武器,其设计目的可能确实是进行工业设施的破坏。但是,使用更为广泛的网络武器应该能够在指定时间破坏数据。例如能够破坏交换器、逻辑炸弹的程序等。这类程序能够定期进行开发,还可以系统地进行部署。不仅如此,这类程序的开发可以外包给私人的承包商,这些承包商还经常是军工、执法部门或情报部门的合作商。很多情况下,承包商甚至不了解自己客户的真实身份。
能够肯定,2012年的网络冲突仍将围绕着传统的国际纷争进行,包括美国和以色列对抗伊朗等。
2011年,我们见证了多种新型恶意软件的出现以及多起针对性网络攻击。我们预计在新的一年,新型威胁、新黑客团体和严重的安全事件将有显著增长。
更为有效的检测流程能够帮助提升针对性攻击的检出数量。在检测和抵御针对性攻击的过程中所遇到的问题,催生了一个完全独立的IT安全产业。越来越多的大型公司开始寻求一些小型私人公司的帮助,以应对这类攻击。提供此类保护服务的市场中的激烈竞争,同样凸显了针对性攻击的严重性。由于增强的保护级别以及提供此类服务的安全厂商数量增多,使得 攻击者不得不改变他们的攻击手段。
目前,很多发动针对性攻击的组织甚至都不会单独为攻击定制恶意软件,而是使用他人制作好的现成的恶意软件发起攻击。例如Poison Ivy木马最早出自瑞典,但却颇受中国黑客的青睐。而Duqu木马则同它们不同,该恶意软件具有先驱性,是一种新型的能够被修改从而实现特定目标的恶意软件。此外,该木马还具有专门的命令服务器。
传统的攻击手段效果将大打折扣,例如利用包含漏洞攻击代码的电子邮件附件发动攻击。这类攻击方式将逐渐消失。而通过浏览器发起的攻击将增多。当然,通过这种途径的攻击的有效性取决于受攻击用户计算机上常见软件的漏洞数量,如浏览器、Office工具套装以及多媒体系统软件等。
受攻击的公司范围以及经济范围均将扩大。目前,这类攻击事件涉及的公司和政府机构大部分都从事武器生产、金融交易以及高科技研发项目。但到2012年,从事自然资源采集、能源、交通、食品生产和制药行业的公司也会遭受影响。除此之外,互联网服务提供商以及信息安全公司也将成为这类攻击的目标。攻击的地理范围也将显著增加,包括西欧和美国,并 将波及东欧、中东和东南亚。
安卓平台颇受病毒编写者的青睐,虽然这不是什么好事,但这种情况仍将持续。2012年,针对移动平台发起攻击的网络罪犯会主要编写和使用针对Google安卓系统的恶意软件。2011年下半年,安卓系统下恶意程序数量呈现急剧上升,使得Google的安卓系统成为恶意威胁数量最多的移动平台。目前,没有迹象表明病毒编写者会在不久的将来转移注意力。
此外,我们预计利用漏洞进行攻击的数量也将有所增加。2012年,网络罪犯将更加积极主动地利用各种漏洞传播恶意软件,利用包含漏洞攻击代码的恶意程序提升权限,获取对设备操作系统的访问权。2011年期间,攻击者所使用的几乎所有漏洞攻击均会提升操作系统访问权限。但是到2012年,我们很可能看到首例利用漏洞攻击直接感染操作系统本身的攻击。换句话说,我们将看到首例针对移动平台的隐藏下载。
另外,会有更多的恶意程序进入应用商店,尤其是安卓电子市场。虽然之前在安卓电子市场中发现了多款恶意程序,但Google 在检测最新应用时的策略还是没有发生显著变化。这表明病毒编写者很可能还会继续向此官方应用商店上传恶意软件。
很可能将出现第一款针对安卓系统的大规模蠕虫爆发,这种恶意程序会通过短信传播,并且通过应用商店发布自身的链接。此外,首个基于安卓平台的手机僵尸网络也可能出现。
2011年,多个病毒编写团体专门编写手机恶意软件,逐渐演化成一个恶意软件批发商。这一情况在2012年仍将继续。所以,未来一年,我们可能将面临一个趋于成熟的手机恶意软件产业。
2012年,预计会有一定数量的非安卓恶意软件被用来发动针对性攻击。例如利用ZitMo 和SpitMo(移动平台下的Zeus和SpyEye恶意程序)进行攻击。
手机窃听——即利用手机以及位置服务窃取用户数据,跟踪用户行踪将变得更为普遍。而之前,只有执法机关或私人调查公司才会利用这些手段。
2012年,针对网银系统的攻击将成为网络罪犯窃取银行和银行客户钱财的主要手段。尽管银行采取了各种技术措施,但全球范围内针对网银犯罪的案件数量仍然在急剧增长。
在不久的将来,亚洲地区国家的网银系统可能会遭遇更多的非授权访问。这是因为此类服务目前在东南亚以及中国处于快速发展期。而之前,这些地区大量的网络罪犯主要进行其它类型的网络攻击(包括针对在线游戏)。除了针对在线游戏进行攻击外,亚洲地区的网络罪犯还以对欧洲以及美国的银行客户进行钓鱼攻击而闻名。所以,当本地区的电子支付和银行服务不断完善后,他们肯定会利用专门的针对本地区优化后的钓鱼工具以及木马程序,针对当地银行和客户进行大规模攻击。
这类攻击不仅针对移动设备用户,还会针对PC用户。受影响地区除了东南亚和中国,还可能包括东非国家的移动支付服务。
保护用户机密数据问题,已经逐渐成为IT安全界最热门的话题。2011年发生了多起严重的安全事件。例如,有俄罗斯用户的个人数据通过手机和电子交易网站被泄露。此外,还有关于手机软件CarrierIQ以及iPad/iPhone储存用户地理位置的事件。另外,韩国数千万用户的个人数据被窃取,还有索尼的PSN网络被攻陷等等。虽然这些安全事件发生的原因以及被窃取的数据数量和类型不同,但网络罪犯的目的都是一样的。
全球的公司都会尽可能多的收集客户信息。但不幸的是,对于收集到的这些信息,保护措施远远不够。同时,不断被引入的“云技术”增加了数据丢失的风险。现在,网络罪犯多了一种独立的攻击目标,即储存多个公司数据的数据中心。由云服务引发的数据泄漏会造成机密技术被窃,对企业造成重大影响。因为“云存储”概念本身就主要基于用户的信任。
对于收集用户数据的系统,如CarrierIQ,我们认为在2012年将会有更多的此类系统被网络罪犯攻破。移动通讯服务提供商、软件商和网页服务开发商为了抓住更多的商业机遇,将更多地持有用户的个人数据。
黑客主义或黑客攻击也是一种抗议形式,目前这种抗议形式有所复兴,并且达到了新的水平。虽然权利机构花费大力气逮捕了一些行为高调的黑客主义者,但预计2012年,针对政府机构和大型企业的攻击仍将继续。黑客主义所具有的政治意图也将更为明显,这同2011 年的黑客主义攻击有所不同。因为2011年的攻击主要针对大型企业,黑客甚至只是为了恶作剧而发起攻击。
此外,黑客主义还能够用来吸引注意力,掩盖其它攻击。这样,黑客就能够较为“安全地”实现对真正目标的攻击。2011年发生了多起黑客主义攻击,导致敏感信息泄漏,这些攻击无疑是经典的针对性攻击,而且还具有商业间谍性质,涉及到某些国家的利益。在这些案例中,黑客主义者在很大程度上帮助了(可能是非自主地)其它黑客集团利用他们所发动的攻击窃取重要的信息,这类攻击的性质同一般黑客攻击完全不同。
总的来说,我们预计2012年在网络犯罪领域,将出现以下趋势和事件:
通知:
使用2020版及更早版本的卡巴斯基安全软件与卡巴斯基反病毒软件用户续费时,您在兑换激活码后,请先卸载旧版产品程序,下载安装最新的2021版产品程序后再进行激活操作。
注意:新旧产品授权时间不累加,请您在原产品到期后再进行上述操作!
销售客服(9:00-18:00):400-819-1313(购买咨询 | 订单查询 | 兑换帮助) | 5×8小时技术服务:400-611-6633(安装 | 使用问题咨询)
团购及大宗购买 |
淘宝直营店 |
联系我们 |
业务合作 |
客服中心 |
帮助中心
京ICP备09021557号 营业执照 增值电信业务经营许可证 出版物经营许可证 Copyright2024 数字星空
卡巴斯基单机版中国区发行服务商
