2006 年趋势预测
有鉴于当前的安全威胁概况,趋势科技 TrendLabs 预期过去一年内出现的许多趋势将会持续延续下去:
< 多重攻击将达颠峰 > 整合后的 BOT 殭尸军团火力将更强大: 自 2002 年起 BOT
傀儡虫的数量已呈等比级数成长,它们变得愈来愈复杂,也愈来愈危险,而且已证明一旦有任何网络安全弱点被发现,随即就可能遭它们利用。去年警察与调查单位揭发的 BOT
网络涵盖全球超过 20 万个受害者。 BOT 已经迅速演变成最令人畏惧的安全威胁之一,而且它的破坏威力可能没有任何安全威胁可与之匹敌。现在 BOT
蠕虫就像是所有恶意程序的瑞士刀,因为它们具备散发大量电子邮件的能力、网络安全弱点攻击能力、可搭配 Rootkit 使用等等,
因此侦测数量不断向上攀升。各个主要的 BOT 家族分别拥有数千个留有记录的不同变种。由于 Rootkit
的运用,以及安全弱点从被发现到实际运用于攻击之间的时间缩短, BOT 傀儡虫形成的 殭 尸网络,将会发展出更多强大的功能。黑客使用 BOT 殭
尸网络能为它们的创造者带来极大的非法利益,趋势科技 TrendLabs 预期今年侦测到的新变种数量将会增加。当所有仍未被侦测到的旧 BOT
都被功能更强、或相互竞争的变种取代后,安装在系统中的恶意程序将会慢慢整合。
<掩护行踪更难侦测> 以封装程序 、
Rootkit 隐匿行踪的方法将会增加:
为压缩执行文件而开发出的二进制封装程序能让执行文件更容易散播。虽然这种做法最初是针对合法安装的文件而开发的,但是因为封装程序能修改文件内部结构,所以恶意程序作者能利用这种技巧来谋取自身的利益。这已经不是新的技巧,在去年的蠕虫大战中就是相当常见的策略,而且自
2002 年起有七次警报中都出现了这种技巧。趋势科技 TrendLabs
预测利用封装程序压缩恶意程序及加密,散播不断变化的蠕虫文件,并躲避扫描程序侦测的技法将会持续增加。
趋势科技 TrendLabs 预测
Rootkit 与其它隐匿行踪的技术将会有所成长。 Rootkit 技巧愈来愈受欢迎,短期之内这种情形将会持续下去。当 Microsoft 今年推出最新的
Windows 操作系统时以为因应时,但是黑客并不会放弃利用目前最多人使用的 Windows 版本而设计 Rootkit 。
此外,趋势科技
TrendLabs
还预测针对特定目标的攻击将会有小幅成长,因为这种攻击手法能让黑客直接接收信息,并且维持长时间不被侦测到。因为它是针对机密信息而来,与以往只强调攻击的一般性破坏行为有极大差异。
<间谍式网络钓鱼更易上钩> 不引诱造访假网站,传输机密资料不流痕迹:
他们可能有问题发生传统网络钓鱼 URL 的存活时间大约只有 48-52 个小时。 TrendLabs 解释说,这是因为包含网络钓鱼 URL
的电子邮件大约可在外流传 48 到 52
个小时,然后就会被提报为恶意电子邮件。网络钓客会不断关闭陷阱并转换另一个供应者,以免被盯上。不过以监控数据传输取代伪装页面的 “ 间谍式网络钓鱼 ”
将延长网络钓鱼的生命周期。无论是哪一种方式,后果都比传统网络钓鱼更加危险,因为它使用的并不是引诱使用者造访伪造网站的策略。而且从技术面来看,它比网站嫁接攻击更容易执行,因此就算是所谓的
“script-kiddie”( 抄袭他人原始码的青少年黑客 ) 也可能成功进行攻击。当使用者要登入银行网页时, 间谍程序网络钓鱼
会开启真实的网页。使用者输入个人信息之后,就会立刻进入他们所要前往的网站,而不会有任何中断,因此根本没有不寻常的征兆可警告他们可能有问题发生。唯一的差别是使用者的信息同时也会被转送给第三方,而这个第三方就能利用这些信息来进行不法活动。
<恶意程序广告化> 广告程序、间谍软件以量计价,黑客向 “ 钱
” 看
:长久以来,安装广告程序一直都是相当常见的做法。广告活动每年都能带来巨额收入。许多广告软件商都很乐意出钱投资,让他们的广告产品尽可能安装在更多的个人计算机上。虽然许多国家的政府都试图规范或禁止这种做法,但是在他们采取行动之后,广告程序却有愈来愈猖狂的趋势。现在,甚至连恶意程序作者都选择在他们的作品当中加入广告程序,设法增加他们的收入。趋势科技预测,这种行为模式及可能维持目前持续成长的趋势。
<IM 等信息传输协议将成为穿越防火墙> IM
、IRC 和 P2P 通讯有关安全威胁持续成长 :2005 年与 IM 、 IRC
和 P2P 通讯有关的安全威胁在整体安全威胁散播媒介中占了16% , IM 蠕虫成长幅度在 2005 年 12 月更达 100
%。趋势科技预测此类信息传递协议将持续作为穿越防火墙的渠道,以及感染媒介。
2006 年防范恶意威胁之道
<企业组织> :
部署 HTTP 扫描系统 。许多现代的安全威胁都是通过 Web 通讯协议来散播,趋势科技 TrendLabs
强烈建议采用 Web
病毒扫描系统,它的运作方式就像多年前管理员开始部署的电子邮件扫描系统一样。在终端使用者收到任何中毒文件之前就侦测到并加以拦截,能让企业的网络基础架构拥有更多一层的保护。网络层的间谍程序防护是附带的利益,因为这些安全威胁只会利用
HTTP 进入企业环境中。
禁止非必要的通讯协议进入企业网络 。其中最危险的莫过于 IM 与 P2P 通讯协议,以及 IRC ( 线上交谈 ) 。这两种通讯协议都是
BOT 进行散播或与 BOT 操控者联系时常用的利器,所以应该禁止这些通讯协议通过企业防火墙。
在网络中部署安全弱点扫瞄软件 。随时保持扫描软件更新可让任何网络安全弱点的冲击降至最低,同时降低被此类蠕虫感染的风险。
请勿将管理员权限指派给所有使用者 。在所有权限中,最危险的就是「加载和释放外围设备驱动程序」。若要避免 Rootkit
的攻击,这是最建议采取的措施 。通常 Rootkit
会以装置驱动程序的型态安装,以便取得操作系统所有内部组件的存取权限。重新规划使用者安全原则,通过这种方式来限制使用者,这可能是保护网络最有效的方法之一。如果取消使用者的管理员权限,还有一个附带的利益:野心勃勃的恶意程序就无法终止系统中的防毒软件处理程序。
部署企业间谍程序防护扫瞄系统 。当间谍程序对企业营运构成相当大的威胁时,管理员就必须部署特定软件,以侦测并防堵这些间谍程序。
教育使用者:网络内部必须严格执行安全原则
。不仅是软件与防护系统能有效对抗恶意程序。多数情况下,使用者必须要采取某些行动才会导致机器受到感染。无论是安装间谍程序的网页或夹带病毒的电子邮件,使用者都应该事先知道新型恶意程序攻击使用者的方法。使用者的认知才是维持网络安全无虞的关键所在,而且管理员应该定期举办一些教育活动,让使用者随时获得最新的信息,避免受到更新的恶意程序技术的侵袭。这一点对于较新的使用者十分重要,因为它们是恶意程序作者典型的攻击目标。
<家庭使用者> :
安装新软件前请三思 :对于要求您安装软件的网页必须提高警觉。请勿允许新软件从您的浏览器中安装,除非您百分之百信任此网页与软件供应商。
扫描所有从 Internet 下载的程序 :使用较新的防毒软件与间谍程序防护软件扫描所有从 Internet
下载的程序。包括从 P2P 网络、网站、或任何 FTP 服务器下载的程序,无论来源为何。
不轻易开启邮件附件文件与连结:
对于非预期且看似有异的电子邮件必须提高警觉,无论寄件人是谁。绝对不要开启这些电子邮件所含的附件文件,也不要按下邮件中的链接。
立即安装更新程序: 开启 Windows 操作系统的「自动更新」功能,一旦有新的更新程序推出时,请立即安装。
保持防毒软件常驻状态: 随时开启防毒软件实时扫描服务。定期监控防毒软件是否保持更新,以及服务是否已在执行。
(责任编辑:luwei) | 
精彩生活 
