根據(jù)谷歌安全瀏覽API服務(wù)收集的數(shù)據(jù)顯示,路過(guò)式感染是最常見的攻擊方式,而IP偽裝攻擊則不斷增加。
根據(jù)谷歌安全團(tuán)隊(duì)的最新報(bào)告顯示,攻擊者越來(lái)越多地開始使用IP偽裝來(lái)感染網(wǎng)站的訪問(wèn)者,他們通過(guò)向惡意軟件檢測(cè)系統(tǒng)提供干凈的頁(yè)面來(lái)繞過(guò)檢測(cè)系統(tǒng),同時(shí)讓網(wǎng)站訪客感染惡意軟件。
“在過(guò)去幾年,我們發(fā)現(xiàn)越來(lái)越多的惡意網(wǎng)站開始采用IP偽裝的方式。為了繞過(guò)隱藏防御,我們以不同的方式來(lái)運(yùn)行我們的掃描儀以模仿正常用戶流量,”谷歌安全團(tuán)隊(duì)Lucas Ballard和Niels Provos表示。
谷歌的研究是基于其安全瀏覽API服務(wù)四年多以來(lái)收集的數(shù)據(jù)。谷歌安全瀏覽API是一個(gè)在線數(shù)據(jù)庫(kù),包含很多已知的惡意操縱網(wǎng)頁(yè)和釣魚網(wǎng)站。Chrome以及Mozilla的Firefox和蘋果公司的Safari瀏覽器都在使用這個(gè)數(shù)據(jù)庫(kù)。
該搜索引擎巨頭對(duì)攻擊者使用的惡意軟件規(guī)避方法的分析主要基于約800萬(wàn)各網(wǎng)站的1.6億各網(wǎng)頁(yè)。
根據(jù)谷歌的報(bào)告(包括五年的數(shù)據(jù))顯示,截至2010年夏天,約16萬(wàn)各網(wǎng)站采用了隱藏域名。這項(xiàng)技術(shù)在兩年前達(dá)到頂峰,當(dāng)時(shí)游20萬(wàn)個(gè)網(wǎng)站使用了IP偽裝,比上一年增加了5萬(wàn)個(gè)網(wǎng)站。“這個(gè)高峰期恰逢大規(guī)模攻擊,上千個(gè)網(wǎng)站被感染并重定向到gumblar.cn,這有效地隱藏了我們的掃描儀,”谷歌在其報(bào)告中。“雖然隱藏頁(yè)的增加部分是因?yàn)槲覀兿到y(tǒng)中對(duì)隱藏域的檢測(cè)有所改進(jìn),但我們相信這只是一般隱藏狀態(tài)的代表。”
攻擊者也有使用社會(huì)工程學(xué)和路過(guò)式下載攻擊的方法,根據(jù)谷歌表示,社會(huì)工程網(wǎng)絡(luò)攻擊試圖誘使用戶點(diǎn)擊鏈接或者下載軟件。來(lái)自網(wǎng)站的惡意軟件式瀏覽器的三大主要威脅介質(zhì)之一;釣魚攻擊和漏洞利用是另外兩個(gè)。NSS實(shí)驗(yàn)室最新調(diào)查顯示,IE9在捕捉社會(huì)工程惡意軟件攻擊方面表現(xiàn)最好。
但是谷歌表示,雖然社會(huì)工程學(xué)攻擊正在不斷被作為網(wǎng)絡(luò)惡意軟件的載體,但是在傳播惡意軟件的所有網(wǎng)站中只有百分之二真正使用了這個(gè)載體。惡意軟件通常是以假冒防毒軟件或者瀏覽器插件的形式。
“社會(huì)工程學(xué)的使用頻率顯著增加,并仍在上升,但是重要的是這種增長(zhǎng)是否會(huì)保持,”谷歌報(bào)告顯示。
路過(guò)式下載仍然是最流行的惡意軟件載體:在這種感染中,攻擊者利用瀏覽器或者瀏覽器插件中的一個(gè)漏洞來(lái)感染受害者。“我們對(duì)攻擊者利用的漏洞的分析表明攻擊者很快轉(zhuǎn)移到新的和更可靠的漏洞,并且支持續(xù)很短一段時(shí)間,直到新的漏洞出現(xiàn)。而其中一個(gè)例外就是MDAC漏洞,該漏洞在大多數(shù)利用包中仍然存在。”
并且JavaScript混淆也被用來(lái)繞過(guò)瀏覽器模擬器和AV引擎。
谷歌發(fā)現(xiàn)攻擊者在不斷調(diào)整他們的方法來(lái)繞過(guò)更常見的虛擬機(jī)蜜罐、瀏覽器仿真蜜罐、域名聲譽(yù)和防病毒引擎的檢測(cè)方法。“我們的試驗(yàn)證實(shí)了我們的假設(shè),即惡意軟件編寫者會(huì)繼續(xù)追尋可以混淆不同惡意軟件檢測(cè)系統(tǒng)的機(jī)制,”報(bào)告顯示。
報(bào)告全文下載(PDF格式):http://i8.hexunimg.cn/2011-08-23/132706211.pdf
京公網(wǎng)安備 11010502049343號(hào)