2003年度病毒回顾与2004网络安全趋势展望 -pc6资讯

您的位置：首页 → 网络冲浪 → 安全资讯 → 2003年度病毒回顾与2004网络安全趋势展望

2003年度病毒回顾与2004网络安全趋势展望 时间：2004/10/8 16:49:00来源：本站整理作者：蓝点我要评论(0)

　　2003 已经进入尾声，经过了速客一号Slammer、冲击波Blast、霸王虫Sobig、米虫Mimail的轮番搅局，病毒等恶性程序却没有打算放年假。无恐不入的威胁在网关、服务器或家用电脑前虎视眈眈, 年关将近使用者仍需要对他们的数字资产保持高度的警觉性，以免一年的辛劳付诸流水。相信多数企业已经备有安全方案，但是它们真正能抵挡得住一波波的恶意攻击吗？系统管理者该选择哪些安全方案？他们又该如何在有限预算范围内，把钱花在刀口上？以下这份来自网络安全软件及服务专家趋势科技(Trend Micro)的"2003年网络事件分析与趋势"报告，将一一为您解答。

2003年主要病毒攻击事件列表

　　一年前的今天，趋势科技预测说2003年 email蠕虫将"疫"发不可收拾，成为网络攻击主流。事实证明，通过email 群发的蠕虫果真成为恶意程序首选的犯罪工具，趋势科技全球防毒研发暨技术支持中心-- TrendLabs 预测 2004年， email 仍会是蠕虫必备的特快车。同时，根据包含 IDC 在内的多个公正机构调查显示，2003 年截至 1 0月为止，垃圾邮件的比例，已经攀升至49%，高出预测值25%将近一倍，趋势科技表示，如何避免垃圾邮件搭上蠕虫顺风车，变本加厉引发多重网络攻击，将是 2004 年 IT 部门的头号安全任务。

　　表一为2001-2003年趋势科技全球防病毒研究暨技术支持中心-TrendLabs所发布的重大病毒警戒次数表， 3 年来经由email 散布的病毒数量几乎都呈现一枝独秀的居高不下状况。其中有一个有趣的对比现象是，借着 eMail 附件散播的文件型病毒，却大幅减少，主要原因是因为此类病毒可以通过文件型态过滤加以拦阻，相对的其它也以 eMail 为媒介的恶意攻击，却依然可以穿透企业重重防护，滋生蔓延。如霸王虫Sobig佯装比尔盖兹、微软与雅虎技术部门的eMail 警告信；米虫Mimail伪装信用卡付款机制厂商、和假借征求反儿童色情连署，实则 DOS 攻击反垃圾邮件组织。2003年多次登上月感染冠军的后门爱虫Lovgate ，则为自受害者信箱搜寻最近的信件，并且一一回信，而收件者误以为自己寄出的信得到回复，其实是病毒找上门了。这种操控计算机使用者而非计算机本身的手法被称为“社会工程学”(social engineering)。在许多案例当中，它是黑客作案的关键，而且在病毒攻击行动中担任重要角色。

表一.来源: Trend Micro World Malware Tracking Center趋势科技全球病毒实时监控中心

　　从病毒发展史上来看， Internet 起飞之前，传统经由磁盘为感染媒介的病毒，受病毒感染的文件一旦储存在共享的区域，病毒会一个文件一个文件地感染，直到更新病毒码的防毒软件侦测了这个病毒予以清除，或是病毒出现了一些奇怪的讯息(如：救护车在屏幕下方飞驰而过、"星期天干嘛这么拼命!"的字眼)，甚至是产生破坏行为(删除文件、格式化硬盘等)，计算机使用者才会发现蹊跷。所以当年米开朗基罗从台湾传染至美国可得花上数周的时间。

　　今天通过email大量散播的病毒，占用了带宽、中断了地球两端的数字联机，恶性程序撰写者还不断地钻研新的方法，让恶性程序传播更快更远。趋势科技 TrendLabds发现，在2001-2003 年期间，每一次的重大病毒爆发事件，都具有 Internet 蠕虫大量扩散的特质。

　　下表更进一步的资料显示病毒型态的消长，脚本( Script)和宏( Marco)已逐渐失去作用，2002年脚本( Script)病毒还以极低比例的姿态出现，到2003 年就已经完全销声匿迹了。

表 2. 来源: Trend Micro World Malware Tracking Center趋势科技全球病毒实时监控中心

　　下表你可以发现，Virus Bulletin 杂志追踪过去 3 年全球各企业遭遇的病毒型态比例，与趋势科技的统计资料吻合。

表 3. 来源: Virus Bulletin

　　趋势科技 TrendLabs 表示，另外一个感染趋势是，在 2002 年初次被作为病毒传播途径的线上聊天软件 Internet relay chat (IRC) ,在 2003 年再度被大肆利用，而且成为恶性程序传播的特快车。一个值得管理者留意的案例是，有一个大型企业饱受一个众所周知的后门程序侵扰，令系统管理者困惑的是该木马程序没有任何网络蠕虫的能力，却可以在网络上大量传播。直到发现几个员工利用公司网络联机至某个聊天室，才真相大白。趋势科技提醒，开放使用 ICQ 与 MSN Messenger 的企业需留意，在为员工开方便之门时，别为病毒黑客也开启企业后门。

表4,来源: Trend Micro World Malware Tracking Center趋势科技全球病毒实时监控中心

　　利用系统漏洞大量繁殖恶性程序，已经成为病毒撰写者的恶习癖好，黑客试炼身手的游乐园，包含Microsoft Internet Information Service (IIS) 和 Apache等网站服务器、Microsoft SQL Server数据库等等。而最普遍的黑客必备基本功，当属于不用执行 eMail 附件，光预览就会中毒的招数。尽管利用邮件大量散播的病毒事件，因为更完善的邮件过滤功能，而逐渐衰退中，但当它与社会工程学(social engineering)结合时，仍然是恶性程序弹指间绕着地球跑的快速快捷方式。另外一个黑客们的标准配备是，共享或分享资料夹成为有难同当的毒窟。 (见表 4)

表5. 来源: Trend Micro World Malware Tracking Center趋势科技全球病毒实时监控中心

　　回顾 2003

　　"多重攻击(blended threat)" 已经成为恶性程序利用各种渠道，同时攻击网络的代名词。当网络管理者决定依据上表的病毒攻击手法，拟定反击策略时，必须注意这些恶性程序会采用哪种方式，以保障自己渗透入企业时仍有机会存活。

　　趋势科技综观2003 的网络安全事件，归纳出以下几点结论：

　　1. eMail 攻无不克：如表一和表五所示，大部分蠕虫使用 email 大量繁殖感染，其中并有一部份使用社会工程学( social engineering)，诱惑使用者 Click 鼠标，激活恶性程序的攻击行为。

　　2. 病毒反监控：如表五所示，病毒自我保护能力已经提升，它们借着自我压缩和加密，反除害虫(anti-debugging)、解除防毒防火等功能，让自己更加复杂，也增加侥幸苟活的机率。

　　3. 黑客嗜吃臭虫大餐:系统漏洞和软件臭虫，已经形成安全保护网上的一个显而易见污点，而这却也是黑客和病毒撰写者难以抵挡的诱惑。

　　4. DOS 动弹不得：Denial-of-Service 阻断式服务攻击，是2003 年显而易见的主流攻击手法。在 2002 年也一度成为主流，所不同的是，当时是以Unix 平台为主要攻击目标，而今已转向为数众多的Windows 平台。

　　5. 系统后门洞开：系统后门将让黑客有机会再度光临和带来更多意外的灾难，假设被入侵者的网络权限愈高，那么风险指数就相对增高。除了少数安全厂商外，市面上封锁黑客入侵Port 的解决方案乏善可陈，多数系统管理者只得安装软件厂商公布的修正程序，以避免系统门户洞开。

　　6. 间谍程序不请自来：在 Internet 上以一个含有ActiveX程序代码的简单连结，就可以让许多人毫无警觉地下载间谍程序，甚至自动安装。而一般没有反间谍程序的防毒软件和内容过滤软件并无法给无知的使用者任何警讯。

　　7. 恶性程序跟你同步上工：愈来愈多的恶性程序有自我检查的功能，彷佛它们在自己的程序代码里安装监视器一般，一旦受害者激活计算机，便会同步激活病毒。甚至还能在受害者开机激活个人计算机防毒软件、个人防火墙和防木马程序时，同步让这些保护措施废功，毫无作用可言。

　　8. email没有附件，照"毒"不误：过去教育使用者别开启来路不明附件的方法，已经不能全面防御 email 病毒了。因为只要稍稍运用社会工程学(social engineering)，就可以避免含有病毒的附件在 email 进入的第一道关口：网关，被拦截搜身。冒充微软技术部门发修正程序(Sobig)、假装提倡遏止儿童色情光盘蔓延( Mimail)，就足以让使用者自己陷自己(还有人手永远不够的 IT 部门)于兵荒马乱的地步。

　　9. 发病毒信不求人：病毒撰写者不再依靠Microsoft 的MAPI 邮件应用程序接口发病毒信，它们用自己的 SMTP发信,绕道而行，可以降低被防毒软件侦测的风险。

　　预测 2004

　　根据这些 2003 年病毒的观察，趋势科技全球防病毒研究暨技术支持中心-TrendLabs预测2004 年，网络攻击的趋势如下：

　　　多重入侵，乱箭齐发：多重入侵的网络攻击依然会成为"必备标准配备"。

　　　病毒反监控：恶性程序将会继续于病毒程序代码中，设法让防毒软件、个人防火墙、反木马软件等监控程序，无法发挥预期的作用。

　　　网站藏风险：于eMail 上放个简单的连结，就可能使员工连上含也恶意程序网站，并带回木马等程序。企业需借着网站过滤软件，或至少制订员工上网规章，避免员工连结至含有恶意程序的网站，导致企业环境暴露在风险当中。

　　　实时通讯便利与危机：为了更有效率的沟通，实时讯息传送软件，如 P2P 、 IRC(象MSN，ICQ等) 将持续被爱用者及黑客使用。

　　　垃圾邮件攀升至49%:在 2002 年各种预估报告都显示，在 2007 年时每 4 封信当中就会一封是垃圾邮件。然而由Nucleus Research、 AmikaNow!、 IDC 和 New York Time等公正单位的实际调查资料显示，截至 2003 年10 月为止，垃圾邮件比例已经从预估的 25% 攀升至 49%，也就是说将近每两封信就有一封是垃圾邮件，而且预估每年将会持续成长7% 。

　　应对方案

　　　安全伙伴服务要到家：系统管理者必须慎选评估安全厂商，是否有能力实时地修补安全漏洞和持续提供可信赖的服务。为何趋势科技总是能领先业界？主要关键在于，趋势科技总比对手早 30 分钟做好解毒方案。趋势科技能在病毒爆发的那一刻充分发挥平日累积的实力，因此能在病毒爆发的那一刻，以先知般直觉保障网络安全。

　　　中央控管有效率：当企业成长到一定规模，中央集中控管将非常重要，不但可避免防毒软件在终端机被卸载，也可使得更新维护更为容易。在选择中央控管方案时，得仔细评估整体效率，包括产品结构有使用是否有弹性？产品是否可与目前的网络管理工具结合？能否提供完整的产品线？如果企业的计算机系统成长，是否依然能防止病毒的入侵？趋势科技的TMCM-Trend Micro Control Manager 为企业网络的防毒策略，提供了强大的集中控管能力。因为可以从单一地点来进行软件的管理、监控和部署，所以公司企业能够更有效地管理整个企业的防毒策略。Control Manager 的设计旨在能够快速部署、积极防制，主动遏止新病毒，这对于减少大量邮寄病毒的危害以及降低技术支持成本均大有帮助。

　　　网关防堵最关键：过滤Email附件方式依然可以发挥拦截多数企图夹毒闯关的病毒。而于网关(gateway)把关，设置防毒软件，拦截企图进入企业网络的病毒文件，是最有效率的方法。

　　　空档期有效隔离灾区：在网络攻击频传情况下，系统管理者需要更好的管理工具，让他们能够将网域做区段式的隔离。比如在病毒疫情爆发时，趋势科技 EPS 提供下载的病毒爆发防范服务 OPS( Outbreak Prevention Service)可以在第一时间内快速隔离高度风险区和受感染区，预防灾情在病毒码公布之前的空档期破窗而入。

　　　灾后系统迅速还原：灾后清除与复原仍将是一个重要的议题。让企业可以在有限的时间与人力资源下，让他们的系统尽速恢复原貌。趋势科技的损害清除服务DCS-Damage Cleanup Service，即可有效避免木马程序残存在系统内。

　　　过滤垃圾邮件需兼具防毒功能：垃圾邮件防治软件最高侦测率为95%，但若5%中含有一只 Sobig 漏网之毒， eMail 瘟疫就会再度蔓延。所以必须备有含有防毒功能的整合性的 Gateway 方案，才能阻绝多重式的网络攻击。趋势科技以网关Gateway 服务器与邮件服务器防毒软件的市场占有率领先全球优势，推出了强化防堵病毒并新增过滤垃圾邮件功能的 InterScan Messaging Security Suite(IMSS)。IMSS可以快速反应各种突发状况，将安全威胁围堵在 Internet 网关端，并可大幅降低45% 的企业总体成本。

　　　本地化技术支持与服务：趋势科技于今年8月与国家计算机防病毒应急中心达成协议，在国家计算机防病毒应急中心设立"趋势科技*中国防病毒研发暨技术支持中心-国家防病毒应急中心联合实验室"(TrendLabs China)，便于双方能够进行广泛的技术交流，促进中国的网络安全事业的发展，协助国应中心打击网络安全犯罪和更好地服务于趋势科技在国内的广大用户。趋势科技中国实验室将充分利用总部位于菲律宾的趋势科技全球防毒研发暨技术支持中心-TrendLabs的丰富资源，TrendLabs是全球唯一一家通过ISO90002认证的防毒机构，由400多位资深安全专家组成，能够为趋势科技全球用户提供7*24小时不间断的专业防毒服务。TrendLabs China在天津的正式成立，必将对TrendLabs更好地为中国用户服务起到积极的促进作用。

文章评论

查看所有0条评论>>

热门文章 设置高强度密码技巧之