如今的威脅環(huán)境只有一個(gè)特征:瞬息萬(wàn)變。
這種現(xiàn)象與互聯(lián)網(wǎng)上的威脅總數(shù)量有關(guān)。許多報(bào)告指出,威脅源開發(fā)新威脅的速度要比安全人員處理它們的速度快的多。
僅在2015年的第二季度,西班牙安全公司 Panda Security 研究發(fā)現(xiàn),互聯(lián)網(wǎng)每天會(huì)產(chǎn)生2萬(wàn)3千個(gè)惡意軟件樣本。趨勢(shì)科技公司則認(rèn)為該數(shù)字能夠達(dá)到100萬(wàn)。
Panda Security 公司的研究人員在其發(fā)布的報(bào)告中稱,大多數(shù)新的惡意軟件類型“屬于以往軟件的變種”,這表明威脅源正視圖修改現(xiàn)有的樣本,繞過(guò)反病毒解決方案。
這一觀察結(jié)果并不令人驚訝。惡意軟件作者們孜孜不倦地尋找繞過(guò)檢測(cè)的新方法,用有創(chuàng)造性的方式訪問敏感數(shù)據(jù),牟取利潤(rùn)。因此,威脅源通常會(huì)將新技術(shù)添加進(jìn)其軟件作品,改進(jìn)有效性和隱身性能。
高級(jí)惡意軟件防護(hù)企業(yè) Lastline 也充分認(rèn)識(shí)到了計(jì)算機(jī)罪犯?jìng)兊男省T摴狙芯咳藛T的任務(wù)是分析惡意軟件行為,以洞察惡意軟件開發(fā)行業(yè)的未來(lái)走向。
在過(guò)去的2015年,Lastline 公司發(fā)現(xiàn)惡意軟件成熟化呈現(xiàn)出的三個(gè)標(biāo)志:代碼簽名、更改瀏覽器設(shè)置和口令猜解攻擊。
標(biāo)志一:代碼簽名
利用數(shù)字簽名技術(shù)進(jìn)行代碼簽名,可以幫助構(gòu)建個(gè)體之間的信任關(guān)系。因此,惡意軟件作者經(jīng)常濫用代碼簽名,幫助其開發(fā)的軟件繞過(guò)反病毒方案提供商的檢測(cè)。
這并不意味著幫助非法軟件獲取有效簽名非常容易。相反,威脅源面前有幾個(gè)必須跨越的障礙。
首先,他們需要說(shuō)服CA認(rèn)證機(jī)構(gòu),為其頒發(fā)一份有效的證書。CA在該步驟中會(huì)要求驗(yàn)證公司的身份。這一過(guò)程可能會(huì)揭露威脅源的真實(shí)身份。
在拿到證書之后,惡意軟件作者必須同意購(gòu)買該證書,但前提是,如果他們簽名的軟件表現(xiàn)出惡意行為,證書可能會(huì)在任意時(shí)間被撤銷。
Lastline公司研究人員發(fā)現(xiàn)的實(shí)際情況正好印證了這種預(yù)測(cè):盡管簽名數(shù)量有所上漲,但使用簽名的軟件主要是所謂的“潛在有害程序”(Potentially Unwanted Programs,PUP)。這種程序的危害沒有惡意軟件那么大,它們一般而言僅會(huì)騷擾用戶;就算在最糟的情況下,也只是作為惡意軟件的開路者。
得到簽名的惡意/可疑軟件數(shù)量百分比
另外,明顯表現(xiàn)出惡意行為的軟件拿到的簽名數(shù)量并不多。這毫無(wú)疑問反映出軟件作者在說(shuō)服CA機(jī)構(gòu)為其頒發(fā)證書方面遇到了挑戰(zhàn)。
Lastline 并沒有具體指出哪些CA曾給惡意軟件頒發(fā)過(guò)證書。公司表示,全部知名CA都受到了影響。
標(biāo)志二:篡改瀏覽器設(shè)置
去年,惡意軟件表現(xiàn)出的另一個(gè)標(biāo)志是篡改瀏覽器設(shè)置。
Lastline 研究了全部的主流瀏覽器:IE 、 Chrome 、 火狐 、 Opera 、 Safari ,并發(fā)現(xiàn)修改瀏覽器關(guān)鍵安全選項(xiàng)的惡意軟件數(shù)量有所增加,與此同時(shí),這些軟件往往還會(huì)篡改與瀏覽器行為有關(guān)的注冊(cè)表設(shè)置。
篡改瀏覽器選項(xiàng)的惡意軟件數(shù)量百分比
大多數(shù)篡改瀏覽器的惡意軟件往往還會(huì)更改代理設(shè)置。
這種攻擊方式在2005年出現(xiàn),當(dāng)時(shí),巴西的計(jì)算機(jī)罪犯首次將PAC文件用作惡意目的。該方式中最有代表性的是更改IE瀏覽器的AutoConfigURL注冊(cè)表項(xiàng)。
來(lái)自土耳其、俄羅斯等地的攻擊者現(xiàn)在可以使用惡意腳本,成功、定期、悄悄地冒充HTTPS連接,發(fā)動(dòng)路過(guò)攻擊。
研究人員還發(fā)現(xiàn),攻擊者使用ProxyBack等惡意軟件,在未經(jīng)合法用戶許可的情況下將被感染系統(tǒng)變成代理。
標(biāo)志三:口令猜解
Lastline發(fā)現(xiàn)的最后一個(gè)標(biāo)志是惡意軟件使用口令猜測(cè)的方式進(jìn)行攻擊。
惡意軟件調(diào)用認(rèn)證流程,使用常見的用戶名及密碼組合進(jìn)行猜測(cè),試圖獲取或提升權(quán)限。以下是常見的弱密碼。
使用暴力破解的惡意軟件百分比
需要強(qiáng)調(diào)的是,暴力破解并不是什么新生事物,也不僅適用于臺(tái)式計(jì)算機(jī)。去年夏天,AppBugs公布的一項(xiàng)研究顯示,53種移動(dòng)應(yīng)用容易遭到口令猜解攻擊。這些漏洞使得來(lái)自iOS和安卓平臺(tái)的6億用戶處于風(fēng)險(xiǎn)之中。
然而,得益于近期的幾項(xiàng)進(jìn)步,暴力破解攻擊的數(shù)量仍在增長(zhǎng)。比如:許多軟件服務(wù)得到了加強(qiáng),惡意軟件更難利用漏洞,因此將目標(biāo)瞄向了物聯(lián)網(wǎng)、 WordPress這樣的內(nèi)容管理系統(tǒng)等其它領(lǐng)域。物聯(lián)網(wǎng)產(chǎn)品在設(shè)計(jì)過(guò)程中通常較少考慮安全因素。
結(jié)論
Lastline公司的分析結(jié)果表明,惡意軟件作者已經(jīng)大幅改進(jìn)了其作品。通過(guò)代碼簽名,威脅源可以保證軟件能繞過(guò)大多數(shù)反病毒解決方案。如果軟件還整合了潛伏等其它回避能力,其效果將更好。
惡意軟件也可以篡改目標(biāo)系統(tǒng)的代理設(shè)置,將所有瀏覽器流量導(dǎo)向攻擊者控制的設(shè)備;或者通過(guò)暴力破解口令,提升本地權(quán)限。
通過(guò)了解這些標(biāo)志,安全人員將意識(shí)到,如今比以往任何時(shí)候都更加需要信息共享。此外,這些標(biāo)志也可以幫助下一代安全專家了解惡意軟件的發(fā)展動(dòng)向。
京公網(wǎng)安備 11010502049343號(hào)