|
一、恶意软件演化趋势
恶意软件和网络犯罪在2009年都经历了一次里程碑式的发展,这两个领域都发生了显著的变化。因此,可以说2009年主导了恶意软件未来的演化趋势。
2007 到2008年,非商业用途的恶意软件几乎绝迹,盗窃数据的木马成了恶意软件的主要形式。其中,网游用户的数据,如网游用户的密码、角色以及游戏资产等,这些都是网络犯罪分子的主要目标。
值得一提的是,虽然不同的反病毒公司收集到的数据会有所不同(一些公司以文件的数量来计算,一些则以特征的数量来计,还有一些则是依据攻击的数量来计),但是每一家公司的统计数据都反映出2008年恶意软件的增长速度十分惊人。卡巴斯基实验室在过去的15年(1992 - 2007)间,发现了约200万个新恶意软件,而仅在2008年一年,就发现了超过1500万个新恶意软件。
截至2009年,卡巴斯基实验室收集到的恶意程序总量已经达到了3390万。
2007到2009年,新威胁的数量增长十分显著。我们应对这种情况的方法只能是不断强化反病毒中心处理威胁的能力(以及与此相关的 “云安全”反病毒技术)、开发新型的自动检测技术、部署新型的启发式扫描技术、虚拟化技术及行为分析技术。换言之,为了应对这样的形势,反病毒行业需要研发新的技术来增强保护能力。可以说,整个行业都经历了一场技术性革命。20世纪90年代的标准反病毒解决方案(以扫描和监测为主导)直到2006年还起着举足轻重的作用。然而,到了2009年,这种保护已经不再能满足于现实的需要,取而代之的是一种综合性的解决方案——全功能安全产品的出现使得更广泛的技术可以得到整合,并提供更深层次的防御能力。
从下图我们可以看出,2007到2008年,新威胁的数量呈几何级增长。2009年,新恶意程序的数量跟2008年持平,大约为1500万。
当然,出现这种情况的原因是多重的。2008年的恶意软件大爆发不仅仅只是因为新病毒种类的迅速增长,还因为文件感染型技术的进一步演化,导致大量恶意文件个体的出现。同时,网页浏览器由于其自身的特性,成为了多种攻击形式的混合载体,因此也在恶意软件的大爆发中扮演了一个很重要的角色。
所有这些趋势都在2009年得以延续,但是恶意程序的增长速度却明显地减缓了。木马活动甚至还有所减弱,例如游戏木马。这也正是我们在2008年底所做出的预测,并且这个趋势在2009年中旬开始变得明朗起来。
随着网络犯罪市场的竞争愈加激烈,网络罪犯所能获取的利润也大大降低,同时反病毒公司也在不断努力,这全都导致了游戏木马的数量急剧下降。
导致游戏木马数量下降的原因之一,还有网游公司开始关注安全的问题。与此同时,游戏玩家也开始采取相应措施来避免自己受到这样的威胁。
另一方面,执法和监管机构、电信公司以及反病毒企业也采取了多项的成功举措,严重打击了非法提供互联网主机托管服务的公司和机构,从而也致使恶意程序的数量有所下降。在2008年, McColo、Atrivo以及EstDomains等提供非法托管服务的公司和机构被相继关闭。 2009年,此项工作进一步加强,迫使UkrTeleGroup、RealHost以及3FN停止了它们的犯罪活动。上述提及的公司可谓是臭名昭著,它们为所有类型的垃圾邮件散播者和网络犯罪分子提供服务,包括提供僵尸网络指挥控制中心、网络钓鱼资源、有漏洞的站点等。
然而,就算非法的主机托管服务被关停,也没有带来犯罪和诈骗活动的终结,网络犯罪分子已经设法寻求到了新的资源。但不管怎样,在犯罪分子“搬家”的这段时期内,互联网确实变得更加安全了。
到目前为止,上述提及的所有趋势的特征都在2010年延续着,并且我们预计2010年的新增恶意程序数量会跟2009年的相当。
二、年度回顾
总体来说,2009年所呈现出来的特点包括:带有rookit功能的复杂恶意程序;全球范围的病毒爆发;Kido(Conficker)蠕虫;网页攻击及网页僵尸网络;短信诈骗以及社交网络上的攻击。
1.日趋复杂的恶意程序
2009年,恶意程序的复杂化程度显著提高。例如,过去恶意软件家族中携带rootkit功能的程序屈指可数,在2009年,此类的程序不仅传播得更加广泛,还变得更加复杂。其中特别值得一提的是Sinowal(bootkit)、TDSS以及Clampi。
卡巴斯基实验室的分析师们对Sinowal演变过程的跟踪已经有两年。其最近的一次爆发,发生在2009年春季。由于它使用了最先进的bootkit技术,因此能够在系统中有效地伪装自己,使得大多数反病毒软件无法对其进行检测。并且,Sinowal还给反病毒公司瓦解僵尸网络命令控制中心的努力造成了很大的阻碍。
Bootkit主要通过被攻破的网站、提供色情内容和盗版软件的网站进行传播。几乎所有感染受害计算机的服务器都是所谓“会员计划”中的一部分,也就是这些网站的所有者与恶意软件编写者进行合作。此类会员计划在俄罗斯以及乌克兰的网络犯罪界中是十分普遍的。
另外一个恶意程序TDSS同时运用了两种极其复杂的技术:它可以感染Windows系统驱动,并创建自己的虚拟文件系统,以在其中隐藏自己的恶意代码。TDSS的出现可谓是史无前例,它是第一种能够在这样一个级别渗透入系统的恶意软件。
在美国一些主要的大公司和政府机构受到感染后,Clampi于2009年夏季引起了安全专家的注意。该恶意软件的第一次出现是在2008年(根据一些数据表明其源头为俄罗斯),它被设计为用来盗取特定在线银行系统中的账户数据。其变种于2009年出现,在技术上,它不仅比之前的版本结构更加复杂,采用了多模块结构(与臭名昭著的Zbot运用的技术相似),而且还在其创建的僵尸网络中使用了高度复杂的通讯架构,利用RSA算法来加密网络流量。Clapmi另一个显著的特点就是在通过本地网络传播时,会使用标准的Windows工具。这就给一些不能阻止“白名单程序”的反病毒解决方案带来了诸多的麻烦,从而使其失去对抗攻击的能力。
值得注意的是,这些威胁在互联网上的传播十分广泛。Sinowal和Clampi都达到了都达到了全球爆发的级别,而TDSS则造成了2009年最大规模的一次爆发。而9月出现的Packed.Win32.Tdss.z(当时其编写者称之为TDL 3)传播范围尤其广泛。
2.恶意软件疫情
去年,我们预测今年的全球恶意软件疫情数量将会增加。很不幸,事实证明我们所做的预测是正确的。造成全球恶意软件疫情原因的不仅仅是上述威胁,还包括所有其它的恶意程序。
(1)针对计算机的攻击
卡巴斯基安全网络收集到的数据显示,有超过一百万台计算机系统分别遭受到以下恶意程序的攻击:
Kido — 蠕虫
Sality — 病毒/蠕虫
Brontok — 蠕虫
Mabezat — 蠕虫
Parite.b —文件型病毒
Virut.ce — 病毒/僵尸程序
Sohanad — 蠕虫
TDSS.z — rootkit/后门程序
毫无疑问,今年全球最大的恶意软件疫情是由Kido(Conficker)蠕虫造成的,它感染了全球数百万台计算机。该蠕虫可以通过多种途径感染计算机,包括暴力破译网络密码、通过USB设备或Windows系统的MS08-067漏洞感染等。每个被感染的计算机都将成为僵尸网络的一部分。要对抗Kido蠕虫创建的僵尸网络相当困难,因为Kido蠕虫采用了最新的、非常复杂的病毒编写技术。例如,有一个Kido变种就能够通过500个不同域名自动升级。这些域名地址是从每日自动产生的50,000个地址中随机选定的。此外,此蠕虫还能够利用类P2P连接技术作为备用的升级渠道。不仅如此,Kido蠕虫还能够阻止反病毒软件升级,甚至关闭相关安全服务、屏蔽反病毒软件厂商的网站。
在2009年3月之前,Kido蠕虫的编写者相对比较低调。但是,我们估计当时他们已经通过该蠕虫感染了全球5百万台以上的计算机。虽然当时Kido蠕虫并不通过垃圾邮件传播,也不会组织DoS攻击,但当时病毒分析专家们预测此蠕虫将在4月1日实施上述恶意行为。因为从3月份开始传播的Kido蠕虫的版本被设计为在四月初开始下载一些附加模块。但是当时Kido的编写者却与我们玩起了等待游戏,直到4月8日和9日夜间,所有受感染计算机都接收到一个通过P2P网络升级的指令。这次升级除了升级恶意软件本身外,受感染计算机还下载了两个附加程序,分别为Email-Worm.Win32.Iksmas蠕虫的一个变种和一个名为FraudTool.Win32.SpywareProtect2009的流氓反病毒程序。前者能够发送垃圾邮件,而后者在安装后会向用户索要钱款,用于清除在用户计算机上检测到的所谓“威胁”。
为了对抗传播范围如此广泛的恶意威胁,Conficker工作组应运而生。该组织联合了反病毒软件厂商、互联网服务提供商、独立研究机构、教育机构以及相关监管机构。这种合作跨越了反病毒研究者之间的日常交流局限,使得该组织成为历史上首次正式的国际间对抗网络威胁的合作案例。今后,它可以作为如何组织国际间联合对抗网络威胁的范例。
Kido(Conficker)蠕虫的疫情贯穿整个2009年,截止到11月,此蠕虫感染的计算机数量已经超过7百万台。
Kido蠕虫疫情 数据来源:www.shadowserver.org
根据以往其他蠕虫(Lovesan、Sasser和Slammer)所引发的疫情经验来看,Kido蠕虫很可能在2010年还会保持在爆发级别。
此外,由Virut病毒引发的疫情也应该得到高度重视。Virus.Win32.Virut.ce病毒的显著特点是以网页服务器为其攻击目标。其感染方式颇值得一提,这种病毒只会感染扩展名为.EXE和.SCR的可执行文件,并且会在.HTM、.PHP以及.ASP文件后面添加链接形式的特制代码,例如 | 