| Sergey
Golovanov |
| Alexander
Gostev |
| Vitaly
Kamluk |
| Oleg
Zaitsev |
|
- 2008年恶意软件的发展与演化
- 2008年相关统计数据
- 2008年垃圾邮件的发展与演化
2008年恶意软件发展概况
2008年发生的一切标志着同种恶意软件大规模爆发的时代已经成为历史。这段时期是从2000年开始的,表现特征为大量的蠕虫最初通过电子邮件进行传播,之后又通过网络攻击的形式造成全球性的恶意软件爆发,并在2003-2005年间达到顶峰。
2007-2008年是一个新时期的开始,表现特征为用来窃取信息的木马程序数量迅速增多,而大多数木马攻击的目标为银行账户和网络游戏。目前在恶意软件的行当中已出现了明确的“劳动分工”:不同小组的人员负责产品研发的不同阶段,从创建到发布再到使用恶意软件。这种周密的网络犯罪业务已经形成了一种网络犯罪分子可以相互提供的服务体系。
2007年是值得铭记的一年,因为这一年见证了所谓非商业性恶意软件研发的终止。2008年则见证了“专用”恶意软件的消亡,也就是那些只由一至两个人研发和使用的恶意软件。在2008年发现出的大多数木马和病毒都是以进行销售为目的而被编写的。同时,出售这些恶意软件的人甚至还可以提供技术支持的服务,包括像反病毒产品开始检测某个文件时,如何避开反病毒保护程序的建议。
中国已经成为全球恶意软件开发的领先国家。中国的黑客们不再只是自己编写木马程序,他们还开始将国外(主要为俄罗斯)的恶意软件本地化。其中,他们开发了一些漏洞探测程序的中文版本,如IcePack、FirePack、和MPack,还将Pinch跟Zeus木马的几个变种进行了本地化。此外,中国的网络犯罪分子仍在积极地查找一些流行软件的漏洞,特别是微软Office办公软件以及微软Windows操作系统。相对来说,他们是取得成功了的,最显著的成就便是找到了NetAPI Windows中的一个漏洞。这个结果便导致了2008年底恶意软件活动呈现出的特点就是为了探测MS08-067的漏洞而发起了大量的攻击。
2008年4月至10月间,发生了两起大量黑客攻击网站的事件,其规模在互联网历史上是没有哪一次攻击能比得上的。第一起攻击(2008年4月至6月间)破坏了全球200多万的网络资源。攻击者使用了SQL注入的方式,以便能够将指令嵌入到被攻击站点的代码中,从而将访问该站点的用户重新定向到网络犯罪分子的网站,从而将恶意软件感染至用户的计算机中。
然而,俄语病毒的编写者在很大程度上仍旧保持了引领恶意软件发展趋势的领先地位。他们在继续大量使用恶意软件2.0模式的同时,遵循几大原则:不同的恶意模块执行不同的功能,使用标准方法以确保模块之间的通讯顺畅,保护数据传输通道、僵尸网络控制和控制中心不会被攻破。
而最生动的事例便是在2008年检测到的两个危险rootkits - Rustock.c (卡巴斯基实验室将其归类为Virus.Win32.Rustock.A)以及Sinowal (也就是Bootkit)。它们中运用了反病毒业界以前从未见过的先进技术。这两个恶意软件的架构无论是从规模上还是从复杂度上,都已经远远超越了那些用来支持Zhelatin 和 Warezov 的架构。
正如卡巴斯基实验室预期的那样,文件型病毒在2008年死灰复燃。原始文件的感染载荷中还添加了一些新的功能:比如,现在文件型病毒也可以盗取数据了,而更为重要是的,它们现在还可以通过可移动存储介质进行传播,使在短时间内造成全球性的大规模感染也成为了可能。如今,几乎所有的文件型病毒都是变形病毒,从而为反病毒厂商带来了更大的难题,在一个可接受的时间内开发出检测和清除程序变得更加困难。出现在USB闪存中的蠕虫也拥有了避开传统企业网络保护(如,邮件服务器反病毒、防火墙及文件服务器反病毒)的能力。一旦这样的蠕虫避开反病毒保护渗入到本地网络中,它们便能通过自我复制迅速地渗透到所有可以访问的网络资源中。
社交网站正在越来越受到大家的追捧,很多国家和地区(东南亚、印度、中国、南美洲、土耳其、北非以及前苏联成员国)还不断涌现出大量的新用户,而这也导致了通过这些社交网站发起的攻击不再只是孤立的事件,而成为了大家日常生活。专家预测通过一个社交网站传播恶意代码的成功率大约在10%左右,远远高于通过电子邮件传播不到1%的成功率。
2008年,Zhelatin(又名风暴蠕虫)的众多变种停止了传播,这种蠕虫的历史长达将近两年之久(该蠕虫的第一种变种出现在2007年1月),它的停止传播给我们带来了众多的疑惑。据初步估计,最神秘的“风暴僵尸网络”包括了200多万台计算机(甚至达到5千万),但它们都没有发挥出全部的实力,而之前预测的超大规模垃圾邮件散播和DDoS攻击却从来没有发生。出现这些情况的原因之一可能是RBN(俄罗斯商务网络),一个为犯罪分子提供主机服务的网络,被有效地关闭。关于此事件的广泛讨论多集中在该网络是如何卷入到几乎所有发生在互联网上的犯罪活动中去的,而该RBN的所有者在毫不知情的情况下将犯罪分子的业务转移到了RBN在世界各地的主站点上,从新加坡到乌克兰,以一种不太明显的方式执行着他们的活动。直到去年秋天,打击网络犯罪掀起高潮,在互联网服务提供商、政府以及反病毒公司的联合行动下,Atrivo/Intercage,EstDomains和McColo被相继关闭。McColo的关闭致使互联网中的垃圾邮件大量减少,降幅超过50%。这促使大量通过关闭前资源来管理的僵尸网络有效地停止了运行。尽管几个星期后,垃圾邮件的数量又开始恢复到之前的水平,但是这次事件被视作在过去几年中最卓有成效的胜利之一。
2008年恶意软件发展的趋势
反病毒产业和IT安全产业均受到了2008年最著名的几大事件的影响,可以分为四个主要方面:
- Rootkits
- 社交网站
- 网络游戏
- Botnets
这几个方面成为普遍关注的焦点并不让人感到惊讶。而发生的一些事件也证明了恶意软件应用的技术和方法是在不断地进化的,在不久的将来,还会变得更加复杂。
与前几年相比,rootkits的传播已成为一个更加严峻的问题。卡巴斯基实验室发表了三篇关于该课题的文章:“Rustock及同类恶意代码”、“Rootkit的发展和演化”以及“Bootkit:2008年的挑战”。这些著作全部都阐述了rootkits是如何被利用来执行复杂攻击的,而整个反病毒产业必须要认真对待并努力制定出如何检测出活动rootkits以及将其清楚的方法。
正像我们预期的那样,社交网站在去年频繁的成为恶意攻击的目标。这些网站一直在吸引着越来越多的用户并影响着互联网的发展。它们可以提供促销新服务的庞大机会,还能提供大量的广告契机。在发达国家,几乎所有的互联网用户都是某个社交网站的成员之一,而在东南亚地区,这类网站的使用率也呈现迅速增长的趋势。在线游戏是另一个迅速增长的市场。在线游戏其实并不是互联网络中的一部分,但是它也是一种人们常用的沟通方式,并且已经在现代生活中扮演了重要的角色。特别是在韩国、中国和东南亚等国,在线游戏非常受到人们的欢迎,因此,它也成为了吸引病毒编写者们的重要目标。
如今,游戏木马的势头已经超过用来攻击在线支付和银行系统的木马。现在的游戏木马通常包括文件感染功能和通过可移动存储介质传播的能力,并且还可以用来创建僵尸网络。而中国黑客们发起攻击的主要目的之一也就是上述提到的,传播游戏木马。
仅仅在几年以前,“僵尸网络”这个词仅仅在反病毒公司的内部人员之间使用,但是在去年,它已经成为了一个普通的词汇。僵尸网络已经成为垃圾邮件、DDoS攻击以及新恶意软件传播的主要来源。
除了发表对这些事件的专题文章之外,卡巴斯基实验室在2008年还发表了一篇题为“僵尸网络行业”的文章(http://www.viruslist.com/en/analysis?pubid=204792003),为初学者提供一个认识僵尸网络的向导。就像上面提到的那样,僵尸网络问题的真实情况以及它对病毒编写行业产生的影响仍旧被低估。互联网的整体安全依赖于解决该问题的进展程度——只要通过反病毒业界、互联网管理人员、政府和执法机构的共同努力,这个工作便可开展起来。而朝着这个方向的努力已经有了一些成效。2008年召开了几个以该事件为主题的大型会议。Atrivo 和McColo的关闭也是这个进程中的努力之一。然而,这个问题还没有得到完全解决,僵尸网络在2009年仍将是一个主要的问题。
Rootkits 2008年两个最著名的主要事件都与rootkits有关。经分析,第一个事件的罪魁祸首便是臭名昭著的Rustock.c rootkit;关于它我们已经说过了太多,大多都是围绕之前的一个传闻,也就是该rootkit应用的技术使其无法被实际确认。而第二个事件的标志是大量bootkit(Sinowal)ITW变种的出现。卡巴斯基实验室将Rustock.c归类为Virus.Win32.Rustock.a,这是因为它拥有文件感染的能力。
Rustock.c的趋势
- 文件感染作为自动运行的一种方式
Rustock.c使用的文件感染方法与标准文件病毒类似。唯一的不同是Rustock.c感染的是系统驱动程序;这样的方式使得rootkit在隐藏其活动上占据很大的优势。Rootkit并不使用一个单独的驱动文件,因此既不需要在硬盘驱动器上,也不需要在内存中去隐藏一单独的驱动程序。同时,也没有必要隐藏相关的注册表键值。除了隐藏系统中rootkit的存在之外,感染系统驱动程序使得清理被感染的设备变得更加困难。如果一台计算机是被一个标准的rootkit感染的话,所要做的只是将含有rootkit的组件从硬盘驱动器中清除。然而在这种情况下,恢复受感染的驱动器需要创建一个备份,或者使用包含一个能处理这种rootkit程序的反病毒解决方案。
- Rootkit定制和硬件绑定组件
很重要的是,Rustock.c包含了一个新概念功能:rootkit释放器获得关于受感染设备的系统信息后,将收到的数据同步发送到创建rootkit的互联网服务器上。加密后的rootkit稍后被发送到这个释放器上。硬件绑定组件与加密的rootkit病毒体以及反模拟技术一同被集成到该rootkit身上,从而狗狗能够阻碍反病毒程序的自动检测和分析。
Rustock.c所运用到的技术已经得到了进一步的发展。2008年12月,rootkit的一种ITW样本被检测到(卡巴斯基实验室目前将其归类为Trojan.Win32.Pakes.may),该样本使用了同样的技术。这种rootkit能在从panda-server.ru上下载并加密的同时,感染ndis.sys系统驱动程序,而感染ndis.sys的代码也是加密的。在下载的时候,保护代码被执行,进而解码驱动程序并将其控制。ITW样本执行所有的Rustock.c中应用到的主要技术:rootkit的加密体从网络犯罪分子的站点上被下载之后,加密技术和反调试技术被用来保护rootkit不会被反病毒程序分析。该rootkit与Rustock的运行方式比较相似:它通过注入代码的方式发送垃圾邮件,这些代码不仅可以下载邮件模板和大量投递参数到系统进程中,还可以自己执行大规模的邮件投递。
Bootkits Bootkit样本(理念上得以证明,或者为演示版本)有效地运用了2005-2006年间出现的新技术,也就是众所周知的eEye Bootroot原程序发布以后。Bootkits的ITW样本于2007年被检测到,并在2008年达到顶峰。最著名的bootkit当属Trojan-Spy.Win32.Sinowal。该bootkit使用的技术理念类似于DOS时代的引导区病毒。该bootkit感染系统磁盘上的引导扇区或者主引导扇区,使其能够在系统内核载入以及反病毒程序启动之前就获得对整个系统的控制。在获取控制之后,bootkit将自己定位到内核地址区域并在磁盘上伪装其存在。这种使用经典方法完成的手段通常是通过过滤IPR数据包进行的。Bootkit释放器打开磁盘到达读/写扇区,使其能够通过效仿程序检测到这样的操作,随后,威胁等级系统或者HIPS/PDM将下载器封锁。
2008年与rootkit相关的其它恶意软件发展趋势
2008年,以下与rootkit相关的技术也进一步得到了发展:
- 用于对抗反病毒程序和反病毒工具的技术。今年,这些“自我保护”的技术不断地在改变。最普遍的变化为:
- 阻止或毁坏反病毒文件。通过使用文件名掩码或者特征来确认是否为反病毒文件。由于特征阻止本身法的广泛适用性,它显得更加危险。
- 替换系统驱动程序的rootkit渗透,如beep.sys。在这种情况下,驱动程序不需要注册到系统注册表中;系统分析日志中不会出现额外的(未批准的)驱动程序。
- 新的自我保护和伪装措施的使用。除了已经出现的hook KiST功能,对内核功能的机器码挂接及IRP过滤以外,网络犯罪分子已经开始挂接IRP驱动程序并使用标准系统回调过程来与注册表协同工作。对抗反病毒解决方案的一些方法也正在被积极地使用:
- 拦截对内核文件的访问,使得无法对这些文件的机器码进行分析,从而无法恢复处于内存中的内核,也无法搜索被hook的功能;
- 使用属于rootkit的文件环境变量来取代内核文件的环境变量;作为一个规则,hook打开的文件功能时将会这样做,同时,还会采取打开另一个系统可执行文件来替代打开系统的内核文件;
- 阻止磁盘因扇区读/写而被打开;这样可以对抗使用自身文件系统分析算法的反病毒及反rootkit解决方案;
- Hook NTSaveKey和NTSaveKeyEx功能,以便阻止系统注册表的dump文件为创建和分析(最近产生的大多数TDSS rootkit都在使用这种方法);
- 跟踪钩子的运行和它们的恢复(自A311“死亡rootkit”出现时,这种方法已经被使用到了,现在也再次被积极地使用到,例如,近期出现的大多数RDSS rootkit的变种。)
- 用于隐藏磁盘中对象的新技术。该技术基于对MFT对象的修改来实现,既可以在读取该对象时,也可以直接在磁盘上进行操作。这些技术还没有被广泛的应用开来,但它们会继续发展。其使用的方法是:rootkit首先计算出相关MFT记录的物理位置,当读取磁盘时,就会交换受MFT保护的文件记录(如系统对象记录)。这样就可以在不需要常规钩子技术的帮助下伪装文件内容,另一个例子就是修改NTFS卷标的索引(这种方法在2008年9月发现的rootkit组件Trojan-GameThief.Win32.OnLineGames.snjl中得到确认)。
游戏恶意软件
尽管大多数在线游戏都禁止使用游戏虚拟资产换取真实货币的行为,但是购买虚拟资产的需求却在不断的增多。大多数的买家并不对购货的来源感兴趣:他们不会关心购买的物品是否是玩家通过合法途径赢得还是通过使用恶意代码从别的玩家那儿窃取过来的。这样就自然的激发了病毒编写者的动力;还导致了买卖价格的不断攀升和虚拟资产犯罪交易的不断扩大。
2008年,用来盗取在线游戏密码的恶意软件数量稳步上升:100,397种新游戏木马在这一年中被确认,比2007年确认的数量(32,374)多出三倍。
用于盗取在线游戏密码的恶意软件数量
在众多以在线游戏为目标的恶意软件中,最常见的家族当属Trojan-GameThief.Win32.OnLineGames。这个家族中的恶意软件专门被用来同时盗取多款在线游戏的帐户密码:它在所有种类的游戏木马中占据65.4%。2008年夏天,我们见证了这种活动的大量爆发:8月,卡巴斯基实验室检测到近12000种属于Trojan-GameThief.Win32.OnLineGames家族的新变种 – 新恶意软件的产生频率高达每四分钟就有1种。
另一个家族,Trojan-GameThief.Win32.WOW家族的恶意软件只攻击魔兽世界,截至2008年11月,其活动比较稳定。11月,大约10,000个相关站点遭到黑客攻击,随后恶意代码被植入到这些站点中。欧洲与美国的网站被攻击得最为严重,因为这些地区拥有最多数量的魔兽世界玩家。这次事件是专为11月13日魔兽世界 – 巫妖王之怒的发布而事先悉心设计的。
2008年用于盗取在线游戏密码的恶意软件数量(以家族来划分)
在用来盗取在线游戏密码的恶意软件中,游戏木马占了绝大多数,而病毒和蠕虫仅占到这类恶意软件中大约10%的比例。不管怎样,2008年9月(新学年伊始),自我繁殖的恶意软件显示出非常活跃的趋势,Worm.Win32.AutoRun变种的数量急剧增多。
游戏恶意软件的主要特征
2008年袭击在线游戏的恶意软件具备以下几个主要特征:
- 单个的恶意软件可能包含盗取多款在线游戏密码的模块。
- 游戏恶意软件可能包含一个后门程序,使其能通过受感染的计算机构建僵尸网络。
- 加密技术和打包程序被广泛的应用在游戏恶意软件中,目的是为了防止程序被发现和分析。
- 游戏恶意软件可以积极地对抗反病毒解决方案的检测。
- rootkit技术的使用。
Trojan-GameThief.Win32.Magania是2008年技术最为复杂的游戏恶意软件。这个家族跟几次知名的游戏木马事件有着直接的关系。例如,2008年6月,曾经攻击过“游戏橘子”玩家(http://en.wikipedia.org/wiki/Gamania)的木马被修改,从而使其拥有了盗取几乎所有知名在线游戏帐户密码的能力,包括:
- 魔兽世界
- 天堂
- 天堂2
- 欢谷
- 征途
- 完美世界
- Dekaron之挑战死亡魔界
- 黄易群侠传
- RuneScape
- 热血江湖
- 洛汗
- 希望
- 指环王
- 冒险岛
- R2
- 天翼之链
- 星辰
Trojan-GameThief.Win32.Magania采用了一系列有效的方法来防止从受感染的计算机中被检测到并被清除。
Trojan-GameThief.Win32.Magania中的rootkit技术
游戏恶意软件的传播
2008年,下述方法被广泛的应用来传播游戏恶意软件:
- 探测网络资源中未识别的漏洞,以便感染大量的网站。
- 探测客户端软件中的未知漏洞。
- 创建比反病毒软件发布的升级次数更加频繁的恶意软件升级机制。
- 发送大量包含受感染页面链接的邮件。
如果我们拿一百个新恶意软件为例,那么平均每一个程序可以感染五百个用户。如此高的感染率是通过探测受害设备上的软件漏洞获得的。2007年,反病毒厂商、在线游戏开发商以及游戏服务器管理商共同开启了对抗游戏恶意软件的战斗。2008年,遭到黑客攻击的网站运营商,以及软件被欺诈者用来在用户计算机中传播恶意软件的开发商也加入到了这场战斗中。
有关游戏恶意软件的一次“著名”事件是,网络犯罪分子发现IE浏览器中处理XML文件时的一个错误,进而大量传播Trojan-GameThief.Win32.Magania,之后MS08-78的漏洞被广泛知晓,据微软统计,0.2%的互联网用户被感染。
主探测程序用来传播游戏木马的服务器位置
迅速(并频繁)修改的恶意软件有助于确保其蔓延;在恶意软件的签名被添加至反病毒数据库之前就可以将程序进行修改。
2008年最“著名”的游戏恶意软件事件包括:
2008年4月, 身份不明的网络犯罪分子侵入150多万个互联网站点,目的是用Trojan-GameThief.Win32.OnLineGames感染所有的访问用户。
2008年7月, 大量包含变形病毒Virus.Win32.Alman.b链接的邮件被发送。这种病毒包含一个可以盗取在线游戏帐户和密码的模块。而Virus.Win32.Alman.b病毒本身其实在2007年4月时就已被检测到。
2008年8月, Trojan-GameThief.Win32.Magania在国际空间站中被检测到。
2008年12月, IE浏览器中的MS08-78漏洞被用来传播Trojan-GameThief.Win32.Magania家族的恶意软件。
被盗数据的转移
恶意软件通过程序把偷来的密码发给网络犯罪分子。先通过电子邮件将密码发送到指定的服务器,然后将信息转发给网络犯罪分子。服务器的IP地址会经常变化,有时候一天之内变化几次。这种转移数据方法可以保证数据传给网络犯罪分子时的匿名性,而频繁更换的域名可以防止重新定向的服务器不被列入黑名单。
重新定向服务器的位置,也就是包含被盗密码的邮件被发往的地方
发送漏洞探测程序、恶意软件以及包含被盗密码邮件的服务器大部分位于亚洲和东半球。
游戏恶意软件发展预测
全球经济危机似乎并没有影响到游戏产业,它们在2009年还会继续蓬勃的发展。
2009年可能出现的主要趋势为:
- 用于自动生成和传播盗取在线游戏密码恶意软件的体系架构的创建。
- 将恶意软件传播到用户的新渠道的使用,如IM、P2P网络等。
- 针对应用程序和操作系统漏洞的大范围零日攻击。
- 以攻击网站和传播游戏恶意软件为目的的大范围零日漏洞攻击。
- 在盗取在线游戏密码时,文件病毒和网路蠕虫的大范围使用。
针对在线游戏的攻击将会更多,也将变得更加复杂。在线游戏玩家的交易行为促使了虚拟资产市场的繁荣,然而这也成为了黑客和病毒编者们的收入来源。
针对社交网站的攻击
近几年,社交网站已经成为互联网上最受欢迎的资源之一。RelevantView和 eVOC Insight在他们的预测中指出,在2009年,80%的互联网用户,也就是超过10亿的人都会用到社交网站。社交网站的逐渐兴起并没有躲过网络犯罪分子的注意;2008年,像这样的一些网站已经成为恶意软件、垃圾邮件滋生的温床,也是互联网上非法收入的来源。
为何要攻击社交网站
总的来说,社交网站的用户都是相互信任的。这就意味着他们会不假思索地接收来自好友名单中的成员发送的信息,而这也使得网络犯罪分子利用此类信息传播感染网站的链接变得更加容易。各式各样的信息会被他们用来吸引接收者打开链接,从而下载恶意软件。
恶意软件具体是如何传播开来的?
- 首先,用户接收到来自信任联系名单中发来的链接信息,比如说,一段视频。
- 用户被告知需要安装一个特殊的程序才能观看这段视频。
- 一旦程序被安装以后,便开始盗取该用户的帐户,然后继续给受害用户的信任联系名单中发送恶意软件。
上述方法与电子邮件蠕虫传播的方式相似。然而,通过社交网站传播恶意代码的感染成功率大约能达到10%。这远远超过了恶意软件通过电子邮件传播而不到1%的成功率。
如果被盗帐户和密码的用户是某个社交网站的会员,这个用户名还可以被利用来发送受感染站点的链接、垃圾邮件,甚至欺诈信息(例如,紧急汇款的请求)。所有这些方法都可以让网络犯罪分子获得不法之财。
如今,各种各样由网络犯罪分子提供的业务都可以在互联网上找到,包括:侵入社交网站中的帐户,向联系人名单中发送大量垃圾邮件,或者收集特定用户的个人信息。
侵入帐户
恶意软件
截止至2008年底,卡巴斯基实验室收集到的恶意软件中,超过43000种恶意软件都与社交网站相关。
袭击社交网站的恶意软件数量
从卡巴斯基病毒实验室收到的程序数量来看,社交网站正逐步成为恶意软件普遍攻击的目标。
各社交网站遭到恶意软件攻击的数量
下表比较了2008年各社交网站的风险指数,数据通过比较恶意软件攻击不同站点(http://en.wikipedia.org/wiki/List_of_social_networking_websites)用户的数量得出。
| 网站名称 |
2008年检测到的恶意软件数量 |
注册用户数量 |
单个用户遭到感染的机率 |
大多数注册用户所在的地理位置(数据来源:lemonde.fr) |
| Odnoklassniki |
3302 |
22 000 000 |
0.015% |
俄罗斯 |
| Orkut |
5984 |
67 000 000 |
0.0089% |
拉丁美洲 |
| Bebo |
2375 |
40 000 000 |
0.0059% |
欧洲 |
| Livejournal |
846 |
18 000 000 |
0.0047% |
俄罗斯 |
| Friendster |
2835 |
90 000 000 |
0.0032% |
亚太 |
| Myspace |
7487 |
253 000 000 |
0.003% |
北美 |
| Facebook |
3620 |
140 000 000 |
0.0026% |
北美 |
| Cyworld |
301 |
20 000 000 |
0.0015% |
韩国 |
| Skyblog |
28 |
2 200 000 |
0.0013% |
法国 |
主要社交网站的风险评级
以每个用户占到的恶意软件数量来看,俄罗斯的“Odnoklassniki.ru”网站拔得头筹。而全球最受欢迎的社交网站——МуSpace仅排在第6位,尽管2008年在它的用户之间传播的恶意软件总数最多。
在这些恶意软件中,攻击这类网站的行为各不相同,包括:Trojan-Spy、Trojan-PSW、蠕虫、木马等。
2008年社交网站遭到攻击的情况
2008年1月, 一种叫做“秘密粉碎“(Secret Crush)的Flash应用程序被植入Facebook,该程序包含一个广告软件的链接。而在网站管理员将其清除之前,已有超过150万的用户下载了这个程序。
2008年5月, 卡巴斯基实验室检测到Trojan-Mailfinder.Win32.Myspamce.a,通过MySpace上的评论传播垃圾邮件。同一星期,一种名叫Net-Worm.Win32.Rovud.a的蠕虫在俄罗斯“VKontakte”站点上被发现。该蠕虫已经给受感染用户的信任联系名单中发送了大量含有恶意链接的邮件。几天之后,“Odnoklassniki.ru”的用户收到一封垃圾邮件,邮件中包含一个指向miss-runet.net的链接和一条为竞争者之一投票的请求。那些按要求操作的用户发现他们的计算机被来自Trojan-Dropper.Win32.Agent家族的恶意软件感染。
2008年6月, 一封含有“Odnoklassniki.ru”管理员“正式声明”的垃圾邮件被散播开。“声明”怂恿用户通过邮件里提供的链接访问网站的主页面,然而,当用户按此要求操作的时候,一个木马就被下载到了他们的计算机中。一旦进行安装,这个木马就会进一步下载恶意软件,然后再把受害用户重新定向到真正的“Odnoklassniki.ru”网站。
2008年7月, 卡巴斯基实验室确定Facebook、MySpace以及VKontakte被卷入到几起恶意软件事件中。Net-Worm.Win32.Koobface.a就是通过MySpace传播开来的,采用的方式跟5月检测到的Trojan-Mailfinder.Win32.Myspamce.a相似。另一个蠕虫变种,Net-Worm.Win32.Koobface.b则通过Facebook传播。这种蠕虫会发送邮件给用户的“好友”,而由该蠕虫发送的评论和信息都会包含一个指向假冒Youtube风格网站的链接,要求用户下载“新版本的Flash播放器”。当然,用户下载到计算机中的不会是媒体播放器,而是蠕虫。
发送给VKontakte用户的垃圾邮件包含一个以假乱真的个人地址。这些邮件中包含指向一个服务器的链接,这个服务器可以将用户重定向到色情网站。而后,用户被告知必须下载一种解码器才能观看视频。这种所谓的“解码器”其实却是Trojan.Win32.Crypt.ey,一种恶意的浏览器助手对象。这样就会导致在输入任意网络搜索请求后 ,搜索结果的前五位都是恶意链接。卡巴斯基实验室估计,仅在几个小时之内,大约4000个VKontakte帐户被盗取。
2008年8月, 正在逐渐受到人们欢迎的社交网站Twitter遭到网络犯罪分子的攻击。一张色情视频的图片被安置在特别创建的用户页面。当有用户点击这张图片时,他/她就会被要求下载一个“新版本的Adobe Flash”,但实际上下载的是Trojan-Downloader.Win32.Banload.sco。
2008年12月, 大量指向手机用户的恶意软件链接在VKontakte上传播。网站上被盗帐户的联系人收到一条声称可以免费为手机充值的消息。消息中包含一个链接,用来在手机上安装一种JAVA应用程序,这样才可以看到如何免费使用的方法。这个应用程序就是Trojan-SMS.J2ME.Konov.b.,一旦安装以后,它可以在用户不知情或者未许可的情况下发送SMS信息到5个短号码,而每条信息会花费250卢布(约10美元)。
当然,以上所述并没有囊括所有有关社交网站的事件,主要强调了发生在2008年最有意思的几个事例。我们没有把所有攻击社交网站的事件一一罗列出来,只是将最有代表性的攻击做了一个叙述。
结论
2008年,社交网站与“虚拟化”和“云计算”技术成为IT技术的前沿。很不幸的是,它们的发展却被新威胁的出现紧紧跟随,而新威胁的目标恰恰是这类资源的用户。
2008年见证了攻击社交网站的威胁发生了质的飞跃。针对这些站点的攻击不再只是孤立的事件,而正逐渐形成一个繁荣的网络犯罪交易市场。在黑市上,所有有关社交网站帐户的信息都是很有价值的,比如用户的个人信息就有很大的需求,因此,侵入这些帐户并在之后利用它们发送垃圾邮件就成为了网络犯罪分子提供的一项热门服务。而商业化也是导致攻击社交网站的恶意软件不断增多的一大因素,就目前情况来看,这种趋势还会依然继续。
恶意软件的网络活动
恶意软件在世界范围内的活动总是能够引起大家的兴趣。蜜罐(Honeypots)就是用来在恶意软件网络活动中收集信息的最常用工具。然而,这种系统只能监测自己的互联网通道,并且只能在自己的观察范围内记录攻击服务器的次数。这也就是说大多数恶意软件的活动还是没有被察觉到的。
通过监测恶意软件和识别由恶意软件创建的网络连接,我们已经收集到关于恶意软件网络活动的完整统计数据。这种方法能够客观的衡量本地网络以及互联网上网络犯罪分子活动的情况。使用UDP协议的连接的统计数据无法看出特别之处,因为恶意软件极少使用UDP。因此,下文列举了从TCP连接上统计的数据。这些数据与2008年底主要的情况相符,不包括合法程序的网络活动。僵尸网络的节点在网络流量中占了相当大的比例,而本文中列出的数据也反应出典型的僵尸网络活动。
恶意软件网络连接所使用的端口
恶意软件连接网络时候主要使用的端口:
恶意软件使用的网络连接端口
就恶意软件所使用的网络连接方式(TCP)而言, 139、445及135被证实是最常用的端口。这些特别的端口用于微软Windows的网络服务,主要是通过NetBIOS协议在Windows网络中提供文件共享服务。需要指出的是,尽管Windows使用这种协议来自动完成信息的发送,但是标准操作系统连接上的统计数据没有被列入上表。
从我们分析的情况来看,超过96%的恶意软件在连接网络时使用139、445和135端口。如此高的百分比与MS08-067漏洞有关,该漏洞于2008年10月在一项Windows网络服务中被发现。幸运的是,为了加强安全,几乎所有的互联网提供商都关闭了流向这些端口的通信量。众所周知,自Windows95和98以来,NetBIOS已成为Windows操作系统漏洞的一个潜在来源。如果互联网服务提供商在去年10月没有开始过滤NetBIOS的话,那么在仅仅几分钟之内会出现什么样的后果?我们只能自己想象了。无论如何,对于某些网络来说,MS08-067漏洞还是一个相对严峻的问题,例如,家庭网络、企业商务网络或者政府组织网络,因为这些网络的NetBIOS协议在通常情况下是不会被封闭的。
网络请求
下图显示了不同端口受到恶意软件青睐的程度,数据通过网络连接量与网络需求量之间的比较得出,创建连接的恶意软件将请求发送至这些端口。“请求”在这里被定义为一个或多个网络数据包的传输。例如,某个程序在同一个端口上创建了1000个连接,这被视作向那个端口发送了一个网络请求。
恶意软件的网络请求量
上图显示,恶意软件34%的网络请求都经过了端口80,这是网络服务器的标准端口。但它也是合法程序最常用使用的端口。恶意软件通常用80端口来创建到网络犯罪分子网站的链接。在这种情况下,恶意网络活动可以伪装成用户在网上冲浪。大量的僵尸网络节点和木马,包括Trojan-PSW.Win32.Zbot、Backdoor.Win32.Sinowal以及Trojan-GameThief.Win32.OnLineGames的各类变种都在使用80端口。恶意软件在创建与僵尸网络指令中心之间的连接的时候 ,也使用同样的端口。
排在第二位的是非标准端口8000。一些合法程序,像HP Web Jetadmin、ShoutCast Server、Dell OpenManage以及大量基于Java RMI技术的应用程序都在使用这个端口,尽管它们使用的都是自己的协议。我们研究发现,Backdoor.Win32.Hupigon(灰鸽子)家族的程序也在使用端口8000。这个特别的家族是由中国的黑客们创造的,很可能是自卡巴斯基实验室监测以来成长最迅速的恶意软件家族。截至2008年,我们已收集到数量超过11万的各类灰鸽子变种。
那么端口8000的特别之处到底在哪儿呢?答案非常简单,因为QQ使用的就是这个端口,QQ是中国最受欢迎的即时消息服务工具。中国的网络犯罪分子利用这个服务来控制受到感染的计算机。灰鸽子的其中一个版本使用的是端口8181. 从总的网络请求量来看,灰鸽子家族在众多恶意软件之间独占鳌头,基本上每三个发送到同一端口的网络请求中就有一个来自灰鸽子!
经过我们的分析,另一个非标准端口3460在整个恶意软件网络请求量中占到7%。使用这个端口的程序主要为Backdoor.Win32.Poison,也就是毒葛(Poison Ivy)。这个家族的恶意软件用来创建小型僵尸网络(最多200台计算机)。这类软件非常受到欢迎,因为可以从开发者的网站上免费下载。毒葛不允许同时向多台计算机发送大量的嵌入式指令,这也被网络犯罪分子新手们视为行规。一些小型网络的系统管理员还将毒葛作为远程管理的工具。
遭到恶意软件攻击的二级域名
下表显示了恶意软件攻击二级域名的情况,使用端口为80.
恶意软件攻击二级域名的请求量
大多数与恶意软件有关联的二级域名都属于中国的DNS服务。基本上40%的恶意软件连接上了3322.org的子域名。那这个域名的提供商有什么特别之处吗?为什么它能吸引网络犯罪分子的眼球呢?
域名3322.org隶属于一家中国的主要网站cn99.com,该网站拥有3500万用户。cn99.com在中国受到欢迎的原因并不难解释,因为它提供免费的邮件帐户和第三级域名。从该网站的服务协议来看,cn99.com的用户被禁止将该服务用于违反国家法律及国际法的活动。此外,协议还规定持邮箱/域名的用户需要提供详细的个人信息,如果信息有变化,必须及时更新。但不幸的是,这么做还是没能阻止网络犯罪分子通过提供虚假信息来利用cn99.com。而从最受欢迎的二级域名列表中可以看出它们受到欢迎的原因:这些域名的所有者都提供一个叫做DDNS(动态域名系统)的服务。
DDNS服务与网络犯罪
DDNS服务的宗旨是要找出带有动态IP地址的服务器。那么是谁会需要这个信息呢?例如,使用ADSL上网的合法用户,其ADSL外部地址来自于互联网中的IP地址库。通常情况下,提供商给新接入的ADSL调制解调器派发一个从互联网IP地址库提取的IP地址,每次有新的连接时,IP地址也会随之改变。如果一个用户由于身处异地,无法使用自己的计算机,但是想要进行远程连接的时候,他就必须要知道能够访问这台计算机的IP地址。DDNS提供商可以注册一个域名(例如,myhomepc.dyndns.org),然后通过这个域名连接到计算机。一些ADSL调制解调器的生产商在解调器管理软件中加入了DDNS支持。如果调制解调器的设置正确的话,每一次连接互联网的时候,它会将当前的IP地址通知到DDNS服务提供商。然后,远程访问计算机的用户程序使用主机名给myhomepc.dyndns.org这个IP地址发送一条DNS请求。该请求经过DNS服务器,最后到达一个知道这台计算机当前IP地址的DNS提供商,因为该提供商存储着ADSL调制解调器发送的最新信息。
这种服务方式使得网络犯罪分子能够在匿名的情况下迅速、容易的注册到新域名,并可以在任何时候更改有关服务器使用情况的DNS信息。除此之外,使用外部IP地址的计算机受到感染后,可以被用来作为临时的僵尸网络C&C中心。如果其中一台计算机发生故障,网络犯罪分子可以通过控制中心手动或自动转换到另一台受感染的计算机,始终保持通过DDNS域名访问网络的状态。
这就是为什么DDNS服务如此受到网络犯罪分子欢迎的原因。我们估计在恶意软件使用的域名中,有50%属于DDNS提供商。
结论
最常见的恶意软件种类都拥有网络活动能力:木马程序将收集到的数据发送给网络犯罪分子,网络蠕虫可以在本地网络中搜索并感染其它的计算机,spam bots(垃圾邮件僵尸机)可以不断的发送垃圾邮件,DDoS bots(DDoS僵尸机)攻击互联网服务器,bots(僵尸机)则负责保持与C&C中心的通讯。Bots与网络蠕虫是目前网络中最活跃的行为,它们还可以同时被整合到一个应用程序中。因此,当一个程序被确认为蠕虫或者木马时,它其实也具备了bots的功能,能够把受感染的计算机构建成僵尸网络的一部分。互联网上大多数恶意软件带来的网络通信量都是由僵尸网络造成的。
我们在2008年确认出最常遭到恶意软件攻击的10个二级域名,根据恶意软件在这些域名上的网络请求量来分析,中国的黑客和网络犯罪分子是恶意软件创建的先锋者。来自中国的灰鸽子家族,使用非标准端口8000和8181,占到整个恶意软件网络请求量的29%,而大多数遭到恶意软件攻击的二级域名也是属于中国的DNS服务。
尽管中国已经使用了一种国家网络流量过滤程序-中华网络长城(the Great Cyberwall of China),但是中国的黑客活动在2009年还是持续增长。中国的网络犯罪分子主要制造以攻击在线游戏帐户为目的的恶意软件,这也是中国和其它国家游戏玩家面临的主要威胁。然而,由于包含后门程序的木马盗取在线游戏密码的趋势逐渐上扬,中国的黑客们也开始涉足这方面的威胁了。
超过三分之一的网络请求量都是通过标准端口80。一般情况下,一旦恶意软件连接上端口80,一个页面就会被下载并创建到僵尸网络C&C中心的连接。网络犯罪分子担心的是C&C的地址迟早会被他们的竞争对手或者执法机构发现,域名和服务器就会被关闭。这就是为什么网络犯罪分子,诈骗分子一直在寻求快速修改C&C DNS信息的方法,并且热衷于使用提供匿名服务的互联网服务器。因此,DDNS服务在诈骗分子中广受欢迎:在恶意软件攻击的所有二级域名中,DDNS提供商占到50%以上,而10个最易受到攻击的二级域名都属于DDNS。2009年,DDNS的提供商们会采取更加积极的行动来打击非法活动,但这也会导致出现对DDNS服务程序的恶意试验,就像把RBN-type主机提供商从合法的主机服务程序上分离开来一样。
由于DDNS服务在网络犯罪分子之间的广为使用,同时随着宽带用户的不断增加,我们预计一种新的网络犯罪活动会浮出水面,能够开发将网络服务器地址/名称匿名化的新方法将会出现。
每当Windows有新的漏洞被确认后,大量寻找有漏洞设备的恶意软件会马上出现。而一些在网络运行的应用程序也会遇到同样的情况。恶意软件扫描网络以后可以创建出很多二级网络的连接。除了使用宽带以外,还可以造成普通路由器上地址转换表的超负荷运行,从而导致本地网络完全从互联网上断开。只要其中一台计算机被感染,就可以将网络中的其它计算机也全部从互联网上断开。这已经成为家庭网络中存在的一个相当普遍的问题,因为家庭用户通常使用单独的路由器访问互联网。
由于网络犯罪分子对网络漏洞的兴趣不会减少,我们在2009年还会看多新的网络漏洞被发现,导致小型网络的用户不能访问互联网。因此,本地网络中的所有计算机必须被全部保护以来,以免受到恶意的攻击。
2009年恶意软件发展预测
一年前,我们在2007卡巴斯基安全公告中给2008年的恶意软件发展趋势做了预测。当时我们所预计到的一些问题在2008年实际变得更加严重:
- 恶意软件2.0 – 已经传播开来的恶意软件在构成组件上还在不断的进化。
- Rootkit与bootkits – 使用这些技术的程序开始爆发。
- 文件型病毒 – 经典病毒进化到了一个新的阶段,变得更加复杂,一些其它恶意软件开始使用文件感染技术。
- 社交网站 – 进一步证实了这种威胁的存在,从“试攻击”到“大规模攻击”的转变。
- 移动威胁 – 针对手机的威胁增多,攻击带有商业牟利性质。
就像这些“趋势”和统计数据描述的一样,我们的预测最终都一一出现。
我们对2009年的预测采取与2008年使用的同一种模式。我们在2008年面临的问题会在2009年形成严重的威胁。而现在遇到的威胁也不会消失。一些威胁也没有必要再继续强调,比如说针对在线游戏和社交网站的攻击,病毒技术的不断进化,僵尸网络的增多,以及已经形成一种市场或服务的网络犯罪交易。所有这些事情都已经发生了。下述预测所讨论的趋势也许还没有完全发展成熟,但是也必将对2009年威胁的发展和演变起到至关重要的作用。
全球性病毒爆发
全球性病毒长期爆发的时代已经结束。病毒编写者不再青睐用创建蠕虫的方式来感染全世界上百万的计算机。但是我们相信,这种情况在2009年会再次改变,预计新的爆发会超过2006-2008年间此类事件的规模。
在我们看来,网络犯罪已经进入了市场饱和期:参与的人和团伙已经达到一个竞争不可避免的阶段。不用怀疑,竞争其实一直是存在的,只是竞争的范围被局限到几大团伙之间的利益冲突。现在的竞争是全球性的,超过了地域的限制。然而,俄罗斯、中国、巴西、乌克兰以及土耳其的犯罪分子之间的竞争并不受他们所使用的技术的限制。他们同样为客户和那些能够下订单的用户而竞争,目的都是为了获取更好的数据收集渠道,以便出售和处理这些数据,以及利用黑客程序侵入获取资源等。
预计到2009年,犯罪分子的数量还会增加。主要原因为全球经济的低迷:失业人数上升,IT工作机会减少。由于一些IT项目被迫停止,导致大量技术熟练的程序员失业或者收入减少。对于收入的需要使得他们其中一些人会被网络犯罪分子招募,而别的程序员会看到这是一个吸引人的挣钱方式。由于这些人员的技术比大多数网络犯罪分子要显著高很多,势必导致更为严酷的竞争。这种情况将导致受害用户的增加。每感染1000台计算机都将是一个很大的挑战,网络犯罪分子能够生存下去的唯一方法就是尽可能在最短的时间内感染更多的计算机。构建一个10万台计算机的僵尸网络必须攻击几百万台计算机。因此,必须进行常规的全球性攻击才能维持一个僵尸网络的运行。这也是大多数全球病毒爆发的原因。
游戏木马:逐渐减少的活动
与其他反病毒公司的观点正好相反,我们预计游戏木马的活动将会减少。不管怎样,我们相信经济危机以及网络犯罪分子之间日趋加剧的竞争是导致这种活动减少的原因。在过去的两年间,游戏木马已经成为传播最为广泛的恶意软件。目前,它们已有成百上千的数量,它们的规模已经取代了之前用来盗取信用卡和网银信息的木马程序。而游戏木马之所以拥有这样的优势,不仅是因为中国的网络犯罪分子对这种恶意木马的使用很在行,而且还因为盗取银行用户钱财的方式变得更加困难、竞争也更加激烈。因此,网络犯罪分子的潜在收入也大幅度的下降了。
俄罗斯与东欧国家的网络犯罪分子过去以编写病毒为主,但现在他们已经转换方向,放弃了这种犯罪方式,现在他们更多的是创造和传播广告软件与假冒的反病毒解决方案。
亚洲的网络犯罪分子尤其在行游戏木马的编写,这一点从中国的网络犯罪分子那就可知道。然而,由于现在编写游戏恶意软件很容易,而潜在的受害用户又很多,游戏恶意软件的市场开发已经饱和。盗取虚拟资产不再轻易带来高额的回报。(这与前些年银行木马程序下降的趋势相似)。尽管现在能够获得的利益只能说是可以满足网络犯罪分子三年前的胃口,但是中国的经济增长所带来的效益还是会在网络犯罪分子之间引起很大反响。
由于网络犯罪分子之间的竞争更加激烈,那些靠盗取虚拟资产发财的人会越来越少。反病毒公司正在设法处理如潮水般涌向在线游戏的恶意软件,用户们也更加意识到安全的重要性,游戏开发公司也采取了积极的行动,阻止被盗帐户和财产的非法交易。尽管预测游戏恶意软件会消失的说法还为时过早,但是针对在线游戏开发的新恶意软件和专门创建它们的犯罪团伙数量会有所减少。
恶意软件2.5
恶意软件2.0已经被一个全新概念的模式所取代,也就是大量传播的僵尸网络系统。这种模式由俄罗斯黑客创建,并在Rustock.c中实践,Sinowal bootkit以及其它一些恶意软件已经证明了这种模式的高效性和可靠性。
这种模式的特点为:
- 僵尸网络C&C中心的位置不再固定 – 我们在论述bootkit的文章中提到过“迁徙的僵尸网络”。C&C中心要么不断的从一个IP地址迁移到另一个,要么更换服务器,或者还可以在某个时期消失。现在已经有一种系统可以为C&C中心创建随机地址,这样就可以使网络犯罪分子阻止C&C中心被检测或瓦解,然后再选择C&C中心的位置。
- C&C中心与僵尸网络中计算机之间的通讯采用了复杂的加密算法。就算拦截到C&C的访问和数据传输,分析师还是没有办法获得对僵尸网络的控制。加密密码只有僵尸网络的所有者才知道。
- C&C中心的普遍使用方式是用来管理大量不同的僵尸网络。这种理念源于Zbot使用的“通用代码”:创建恶意软件的不同作者可以使用同一个C&C沟通。当前一个明显的趋势是从同一个C&C上管理不同的僵尸网络。
这些技术与分布式计算和系统的创建有着紧密的联系,这些系统可以在有大量数据(高负荷结构)的超大载荷下运行。这样的技术还可以用于搜索引擎,并且还是“云计算”技术的基础,目前其他很多反病毒公司也在使用。
在创建具有高抵抗能力的分布式系统的领域,网络犯罪团伙之间的竞争还会日益激烈。那些能够创建自己系统的犯罪团伙能在未来的威胁领域起到一定的影响。能熟练操作恶意软件2.5模式的专业人员将会取代那些只会编写文本的小角色。
钓鱼行为/网络诈骗
由于受到全球经济危机的影响,网络诈骗、钓鱼行为以及其它类型的网络犯罪将会加快发展的脚步。首先,经济环境会促使用户对于任何关于电子支付和银行系统的行为更加敏感。当然,这也没有意味着人们对可能出现的网络诈骗行为更加防备。当银行面临破产、转手或是有支付问题的时候,将会给网络犯罪分子机会来攻击用户。
其次,研发和传播新的恶意软件需要更复杂的技术,这会迫使网络犯罪分子寻求更简单、便宜的方法来获取利润,而钓鱼攻击或许是最具有吸引力的方法。管怎样 ,钓鱼攻击者之间的竞争不断加剧。简单使用一个假冒的银行站点已经不能够欺骗到用户了。攻击的手段会变得更加复杂和周密。
整体的经济形势会减少资金流入互联网的机会,尤其是当电子支付系统遇到一些严重的问题时候,比如无法将虚拟资金转化为真实货币的情况。
向其它平台/操作系统进军
网络犯罪分子之间愈演愈烈的竞争以及尽可能感染更多计算机的驱使会使得威胁目标向那些之前没有锁定过的其他平台转移。这将影响到所有的非Windowss平台,预计最先被影响到的是Mac操作系统和移动通讯平台。此前,入侵这些平台的恶意软件绝大多数是为了证明自己的存在;然而现在,这些平台的市场份额所能带来的利益对于犯罪分子来说已经有足够的吸引力了。但目前与这些操作平台关联的安全问题还有很多没有解决,用户也还没有对恶意软件的攻击做好准备。 |
