手机威胁,开始窃取联络人信息
2005 年 11
月,趋势科技收到了一个手机恶意程序的样本,这个恶意程序会收集所有联络人信息,并且将它们传送到距离范围内的其它所有移动装置。趋势科技将这个恶意程序命名为
SYMBOS_PBSTEAL.A 。事实上,这个恶意程序是第一个尝试窃取手机信息的安全威胁。
窃取手机通讯簿的恶意程序及恶意程序植入程序是否会受到恶意程序作者的青睐,目前尚无法得知。 然而,这决不会是最后一次。因此,趋势科技 TrendLabs
务必要提高警觉,保障新兴科技的安全 – 尤其是具备高带宽联机功能的移动装置,像是 WiFi 、 EDGE/GPRS 、 3G /UMTS ,甚至是未来更高级的
WiMax 。
2005 年病毒新伎俩
1. 木马生命周期延长,以充裕时间窃取信息
动机的转变使得安全威胁活动产生结构性变化。新的恶意程序大多都是以金钱利益为诱因。趋势科技 TrendLabs
发现针对特定目标的攻击愈来愈多,这些攻击会锁定特定企业与他们的使用者,或是彼此具有共通之处的某个特定族群。精心设计的特洛依木马程序会透过邮件散播给这些目标,希望警觉性不高的使用者会落入圈套中。采用这种有别于大规模蠕虫感染的慢速散播方法,即可大幅增加了恶意程序维持长时间不被侦测到的机会。这种策略能让特洛依木马在被侦测并移除之前,收集到更多机密信息。
2. 新一代 “ 间谍式网络钓鱼 ”
,监控网络传输,开启真网页,登录数据传输第三者
2005
年趋势科技目睹了一种全新的攻击手法称之为「间谍式网络钓鱼」。举例来说,有一种攻击手法结合了网络钓鱼圈套与网站嫁接攻击,并且锁定线上银行、金融机构、以及其它必须使用密码的网站作为对象。进行间谍程序网络钓鱼攻击时,作者会利用电子邮件中夹带一个特洛依木马程序,或是一个可下载特洛依木马程序的连结。一旦恶意程序下载并执行之后,无论是通过手动的方式或是利用安全弱点,恶意程序就会监控网络传输的信息,侦测使用者是否通过网络存取特定网页。一旦侦测到这种情况时,它就会将所有登入信息或机密资料传回给黑客。目前已有不同的变种锁定特定组织或相关的网络公司,但它们的目的都一样。大量散发的电子邮件内容可能与目标公司有关,或者它也可能会运用其它型态的社交工程圈套,类似传统病毒所使用的技巧。
3. 黑客渗透计算机,安装行销程序,换取佣金
2005
年有一个相当突出的趋势就是混合型安全威胁的实际运用。攻击者以金钱利益为出发点,他们的活动并未局限于窃取银行与电子商务网站的登入信息而已。许多黑客还会在中毒计算机中植入间谍程序、广告程序、以及其它灰色程序。如果黑客再加入来自第三方的间谍程序与广告程序,他们就能从事行销活动,每安装一个单位就能获得一笔佣金。因此只要遭到黑客渗透的使用者愈多,他们赚的钱就愈多。多重特洛依木马程序攻击是通过一个下载程序
/
植入程序来展开它的行动,这个程序存在的目的只是为了将更多文件植入系统中,最后再安装其它多种不同的特洛依木马程序、广告程序或间谍程序。这种方式在今天并非十分罕见,而且与之前讨论过的趋势转变有直接的关联。
4. 恶意程序隐身策略:封装程序、 Rootkit 、双组件攻击
上述每一种技巧都具有一个共通点 –
只要维持不被侦测到的时间愈长,成功的可能性就愈高。窃取信息这种活动如果只能进行一天,它的有效性就会受到限制。它们进行监听的时间愈长,取得宝贵信息的可能性就愈高。这种躲避侦测的需求,使得骇客分别以
封装程序、 Rootkit 、 双组件攻击 等策略,为恶意行径穿上隐身斗蓬。
封装程序
恶意程序作者仿效早在 2003
年就曾出现过的作法,使用不同的封装程序来掩饰二进制程序的内部结构。封装程序能将执行文件压缩成较小的文件,此外它们还能让不是使用程序代码仿真或行为模式分析的传统扫瞄程序对执行文件产生不同的侦测结果。运用这种功能作为掩护技巧就能延长程序的存活时间,因为防毒厂商必须取得许多样本才能正确侦测出恶意程序的变种。黑客现在会分数次以电子邮件散播同一个恶意的特洛依木马程序,但每一次都使用不同的封装程序,或者同时使用多种不同封装程序来压缩。蠕虫作者利用这种策略来散播不断变化的蠕虫文件,并且使用数十种不同的封装程序来作掩护。在恶意程序作者与安全产品厂商的猫捉老鼠游戏中,这种复杂性能拖延侦测时间,也因此让四个
WORM_MYTOB 变种能够在五月引发黄色警报。另一个值得注意的案例则是与 2005 年最后一季发现的 SOBER
变种有关。根据趋势科技的侦测结果,光是在十月造成了病毒爆发的 SOBER.AC 这个变种,就出现多达 64 种不同的封装样本。十一月 SOBER.AG
也利用这种技巧达到近似的成功效果。
Rootkit
黑客纷纷开始寻找其它方法以隐匿他们的行踪,而且已经找到其中最有效的一种方法: Rootkit 。接近 2005 年底时, Rootkit
被当成协助掩饰恶意程序与灰色程序活动的终极武器。 Rootkit
会修改操作系统行为模式,以隐藏某些处理程序、文件、资料夹、以及登录机码。这种做法能赋予恶意程序无与伦比的强大威力,同时又能让它变得更为复杂,所以更难以侦测及清除。由于
Rootkit 都是公开提供 – 许多都采用开放原始码标准 – 任何人即使没有制造 Rootkit
所需的技术能力,也都能运用这种工具,因为所有准备工作事先都已经完成了。随着 Rootkit
愈来愈受恶意程序作者欢迎,内容安全厂商必须强化它们的工具才能侦测到这些装置。据趋势科技的观察, Rootkit 遭 BOT 傀儡程序与
特洛依木马搭配使用的情形愈来愈频繁,尤其是第三季就有超过 150,000 台计算机被发现遭到感染。
双组件攻击
2005 年总共有 56 种不同的恶意程序运用利用 URL
连结或简单的下载程序技巧,过去几年来,安全产品厂商一直建议过滤并封锁特定文件类型,并且对附件文件进行验证,以避免发生病毒误判的情况,这是针对散发大量邮件的安全威胁最有效的防范方法。恶意程序作者于是采用
URL
连结或下载程序设法突破这些安全防护措施,这种技巧的关键在于不必依赖电子邮件作为安全威胁的直接感染媒介,而是利用下载程序直接将恶意档案透过网络植入计算机。此外,这种技巧还能让恶意程序作者不断更新恶意程序,免去重新植入恶意程序的麻烦。根据趋势科技的追踪结果,而且趋势科技
TrendLabs 预测这种技巧将会愈来愈普遍。
5. BOT 开放原始码,模块化使其加速进行安全弱点攻击
去年还有一个重要的恶意程序趋势,愈来愈多的恶意程序模块被用于从事攻击活动。 BOT
已经发展程能迅速散播的恶意程序,最主要的原因是因为它们已经采用开放原始码的开发方式,以模块化的模式来建构。任何一个歹徒都能下载这些 BOT
的原始程序代码,选择要使用的模块,然后再创造出新的变种。恶意程序作者不断为 BOT 蠕虫增加新的模块及增强功能,因此原本散播速度缓慢的 BOT
攻击已经演变为一个新的类别:有史以来弹性最大的恶意程序。它们可能以电子邮件蠕虫、网络蠕虫、 P2P
蠕虫,或者身兼上述几种型态现身。由于弹性更大,今年它们已经证明了另外一件事:只要有任何新的安全弱点公布在网络上,它们就能立即加入这些安全弱点的攻击行动。
2000 年十月,在一个安全弱点公布的一年之后, NIMDA 蠕虫才针对这个安全弱点发动攻击; 2004 年, SASSER 的现身已经将这个时间间隔缩短为
17 天;但是到了 2005 年, ZOTOB 更令人惊讶,从安全弱点公布到蠕虫程序代码中加入成功的攻击行动,只需要短短 4 天的时间。
将 BOT 功能运用于蠕虫攻击的作法一直未曾改变过。 BOT 网络的拥有者利用这些网络来上传间谍程序 /
广告程序、窃取信息、建立垃圾邮件发送平台、以及对第三方发动服务阻断攻击。这些不法活动都会依据 BOT 网络中的受害者人数多寡,提供相对比例的金钱利益给 BOT
操控者。一旦 BOT
网络达到相当大的规模,就能转手出售,或是划分一部份出租给其它恶棍从事不法活动:充当代为散发垃圾邮件、窃取私密信息、或上传间谍程序或广告程序给中毒机器的工具。
(责任编辑:luwei) | 
精彩生活 
