赛门铁克：12期《互联网安全威胁报告》

赛门铁克《互联网安全威胁报告》提供了过去六个月中互联网威胁活动的最新动态，包括分析基于网络的攻击，考察已知的漏洞，重点介绍恶意代码，还探讨了网络诈欺（包括网页仿冒攻击、垃圾邮件）的大量事件。最新的《互联网安全威胁报告》研究成果就即将发生的威胁和当前发展趋势对读者发出警报。此外，它还为防止和消除这些问题提供部分建议。本期报告涵盖了2007年1月1日到2007年6月30日六个月的时间周期。

赛门铁克已建成几个全球最为全面的互联网威胁数据来源。Symantec™全球智能网络（Global Intelligence Network）包含赛门铁克DeepSight™威胁管理系统和Symantec™ 托管安全服务，由分布在180多个国家/地区的40,000 多个传感器组成，监控网络活动并全面追踪整个互联网上的攻击活动。此外，赛门铁克还从已部署赛门铁克防病毒产品的1.2亿个客户端、服务器和网关系统中收集恶意代码数据以及间谍软件和广告软件报告。

赛门铁克还负责BugTraq的营运——BugTraq是互联网最热门的漏洞披露及讨论论坛之一，大约拥有50,000个直接用户，他们每天提供、收到并讨论有关漏洞的研究。赛门铁克拥有并维护全球最全面的安全漏洞数据库，涵盖可能危及8,000多家厂商50,000多项技术的22,000多个漏洞。赛门铁克还通过网络诈欺监控工具跟踪并评估部分犯罪活动。

最后，拥有200多万个诱饵帐户的赛门铁克探测网络（Symantec Probe Network）系统自动接收来自全球20个不同国家的电子邮件，从而使赛门铁克能对全球的垃圾邮件和网页仿冒活动进行评估。这些资源赋予赛门铁克分析人员丰富的信息渠道，用以识别攻击和恶意代码活动的最新发展趋势。赛门铁克还通过赛门铁克网页仿冒报告网络(Phish Report Network)收集网页仿冒信息，这是一个由企业和消费者组成的全面的防欺诈社区，其成员可以提供和接收欺诈性的网站地址，通过各种解决方案发出警报及进行过滤。

赛门铁克《互联网安全威胁报告》主要以针对由以上资源提供的数据的专业分析为基础。建立在赛门铁克专业知识和经验基础上的《互联网安全威胁报告》对当前互联网安全威胁活动做了最有见地的评论。通过在《互联网安全威胁报告》中发布互联网安全活动分析，赛门铁克旨在为企业和个人消费者提供现在和将来保护其系统安全所需的信息。

报告综述

在前几个报告监测阶段，赛门铁克已经观察到威胁环境发生了根本的变化。攻击者已不再采用破坏性的攻击，而转向以经济获利为目的的攻击活动。当前的攻击者组成愈发复杂且有组织性，并且开始采用与传统软件开发和商业实践相类似的方法。

在第九期互联网安全威胁报告中，赛门铁克曾推测在一些零日攻击漏洞交易在大众流行论坛将持续增长，例如，互联网多线交谈(IRC)、网站、黑市拍卖网站等。随着这种推测逐渐被证实，与攻击相关的各种商品和信息的地下交易也渐渐兴起，并且发展状况超过预期。在过去的两年里，许多恶意活动的开发和散播愈发趋于专业化和商业化，以满足这个几亿美元的犯罪行业的发展要求。

MPack是2007年上半年值得注意的一种新兴安全威胁。作为可在黑市购买的攻击toolkit，它能够在用户访问恶意或被感染的网站时利用浏览器和客户端漏洞。赛门铁克认为MPack的撰写和开发都相当专业化，从其可靠性和稳定性便可看出是得益于专业的开发。另外，在线售价达到1千美元也证明了这一点。

另一个商业化恶意活动的表现就是钓鱼攻击toolkit的兴起。钓鱼攻击toolkit是一系列脚本文件，允许攻击者自动设置钓鱼攻击网站，从而不同欺骗合法网站，包括相关的图片和标识等。这些脚本文件还帮助攻击者生成相应的钓鱼攻击电子邮件信息。2007年上半年，赛门铁克监测到86%的钓鱼攻击网站是寄存于30%的钓鱼攻击IP地址，这表明钓鱼攻击者越来越多的开始采用钓鱼攻击toolkit。

地下交易服务器的数量不断增长进一步证明了恶意活动的专业性和商业性。犯罪分子和犯罪组织采用地下交易服务器来售卖盗窃来的信息，特别是身份盗用的相关信息，包括政府发布的身份证号、信用卡、银行卡、个人识别密码、用户帐号、以及电子邮件地址列表等。

2007年上半年，根据赛门铁克的监测，美国的地下交易服务器数量位居第一，占全球总量的64%。信用卡是地下交易服务器最常被宣传的商品，占所有宣传内容的22%。在本次报告期间，赛门铁克监测到在地下交易服务器中共有8,011个不同的信用卡被宣传售卖。根据赛门铁克的监测，85%被宣传售卖的信用卡来自于美国的银行。攻击者也逐渐转向开发区域性的威胁攻击。虽然这种类型的攻击活动长期以来都有不同程度的出现，但是根据最近的分析表明，攻击者目前更多的会针对采用同一种语言、架构和在线活动的目标进行攻击。早期威胁活动主要是全球范围内的，并且随着宽带网络的不断发展，使得一些过去宽带网络欠发达的地区成为攻击者进行攻击活动的新目标。

在之前几期互联网安全威胁报告中，赛门铁克曾提到随着宽带网不端快速扩张发展，安全问题将会面临新的挑战。一部份原因是由于新型宽带用户对于必要的保护措施缺乏足够的认识。另外就是由于快速扩张的基础架构更多的为了满足服务的各种要求，因此无法提供安全防护所需的足够资源。

随着宽带网在一些新兴地区的发展，攻击者获得了更多的攻击目标，并逐渐将目标转向攻击这些之前未被攻击过的地区。攻击活动的区域性特征在某种特定类型恶意代码的散播上体现得尤为明显。在本次报告期间，44%的潜在木马攻击感染来自于北美地区，37%来自于欧洲、中东和非洲地区。欧洲、 中东、非洲地区由蠕虫导致的潜在感染占全球总量的43%，而北美地区仅占23%。

蠕虫区域性散播的一个原因是由于有些蠕虫在电子邮件信息中采用某个特定区域的标题和正文。例如，在本次报告期间，欧洲、中东和非洲地区最常见蠕虫排名第五位的Rontokbro蠕虫便采用印度尼西亚文撰写电子邮件。另外，在欧洲、中东和非洲地区排名前五十位的恶意代码样本之一Sober.AA群发电子邮件蠕虫，采用德文和英文撰写电子邮件进行传播。

传统的攻击活动包含一个单一的被感染目标，用以获得对计算机或存储信息的未授权访问。但是，当前的攻击技术变得更为复杂。赛门铁克发现相当多的攻击活动采用多层攻击的方式。这些攻击通常会首先建立一个据点随后展开相关攻击。

多层攻击的采用某种程度上说明以前的攻击方法已不再像过去一样有效，例如大规模网络蠕虫和拒绝服务攻击等。为了攻克强大的网络防御系统，例如入侵监测系统、入侵防御系统和防火墙，攻击者开始采用隐匿的攻击技术，例如采用木马攻击的多层攻击实现部分率先感染。恶意代码多层攻击的最明显的例子就是分层下载工具。

分层下载工具，又称模块恶意代码，通过下载和安装其他恶意代码到被感染的计算机上造成威胁。这种威胁允许攻击者根据自身需求将下载组件改变成任何类型的威胁。攻击者随着自身需求的改变，可改变任何后层组件，并将其下载来开展所需的任务。

多层攻击的采用是由于攻击终端目标的变革而导致的。过去三期的互联网安全威胁报告都曾提到，经济获利是攻击活动的主要驱使因素。这就是说，大多数攻击是以窃取数据和信息为目的，从而直接用于网络诈欺和盗窃，例如信用卡号或银行帐号信息，或是间接用于为执行诈欺活动创建各种必要的条件。

其中，后者最明显的例子就是身份盗用。赛门铁克发现许多多层攻击用于获取信息从而可以访问未经授权的信息。某些情况下，这种做法需要几个步骤。以前的攻击方法，例如大规模网络蠕虫和拒绝服务攻击已无法满足这一目标的要求。取而代之的是小规模的分层攻击。2007年上半年，根据赛门铁克的监测，排名前十位的分层下载工具中有八个是木马攻击。

威胁环境另一个特征就是近几年攻击者逐渐不再主动寻求攻击目标，而是试图引诱目标自动献身。这就是说攻击者不再试图闯入目标用户的计算机，而是转为感染可信赖的网站和应用，当终端用户被引诱访问这些网站或采用这些应用，攻击者便能够感染用户的计算机。

网络应用和Web2.0技术的采用使得这一趋势成为可能。网络应用是指以浏览器作为用户界面，以HTTP作为传输协议，并寄存于网络服务器中。例如基于网络的应用包括内容管理系统、电子商务套件（例如网上购物车实现）、网络日志、以及基于网络的电子邮件。

过去几年里，网络应用的部署越来越广泛，从而逐渐成为攻击目标，攻击者可通过采用简单的方法便可突破网络安全防护措施，例如入侵监测系统、入侵防御系统和防火墙。社会网络站点对攻击者来说可谓是收获颇丰，因其可以引导攻击者接触到大量的用户，并且其中大部分用户都相信该网站和内容的安全性。随着网络用户对于自动发出的电子邮件附件和其他引诱方式的警觉性逐渐提高，攻击者越来越多的以社会网络站点为攻击目标。

攻击者发现许多用户信任的网站存在大量的漏洞，因此同样的攻击可以从这些不同网站发出，从而轻松实现攻击。在本次报告期间，所有发现的漏洞中有61%是网络应用漏洞。这对于终端用户来说无疑会产生严重的影响，因为即便是著名的网站也无法完全信任。

赛门铁克互联网安全威胁报告一般会将安全活动作为不同的独立活动进行分析和探讨，例如互联网攻击、漏洞、恶意代码、以及钓鱼攻击、垃圾邮件和其他恶意活动。本次报告延续了这一结构。但是，在过去两个报告阶段，我们可以明显地看到，尽管这些威胁过去通常都是独立展开的，而攻击者现在重新定义其攻击方法，将其资产进行重新整合，用于创建起全球网络来支持共同协作的犯罪活动。也就是说，赛门铁克发现不同攻击方法之间开始趋于集中化。

随着攻击者越来越受到经济获利的驱使，攻击活动集中化可使其优化所有攻击方法的功能。例如，MPack整合了恶意代码、垃圾邮件和网页浏览器漏洞应用。多层攻击通常整合了原始木马攻击，通过下载后门程序，从而允许攻击者创建钓鱼攻击网站。这也就说明代码利用开发者、恶意代码撰写者、垃圾邮件发件人和钓鱼攻击者很有可能为了共同的目标一起协作，或是出现新型攻击者精通各种不同类型的攻击，尤其在攻击方法和动机方面具有较强的灵活性。

过去分散独立的攻击事件现在趋于互联。网络应用攻击所导致的结果已不再是简单的破坏，而是更多的融入到攻击活动网络中，包括客户端利用发送、僵尸网络散播、木马攻击、垃圾邮件、以及钓鱼攻击。

随着攻击集中化并且越加复杂，为计算机和企业网络提供全面的防护势在必行。在过去，不同部门通常负责企业网络防护的不同方面，包括桌面防护、服务器和网络运营、防病毒部门、以及反垃圾邮件团队。面对攻击活动的集中化，赛门铁克建议这些部门应当更加紧密的协作并实现信息共享，因为即便是一个单一的威胁便会对所有部门造成影响。

报告要点
攻击趋势
•2007年上半年，美国是拒绝服务攻击的主要目标国家，占全球总量的61%。
•2007年上半年，以色列是按用户计算恶意活动最多的国家，其次是加拿大和美国。
•在本次报告期间，所有导致身份盗用数据破坏中，计算机和其他数据存储介质的盗窃和丢失占46%。
•根据赛门铁克的监测，信用卡是地下交易服务器最长被宣传售卖，占所有商品的22%。
•中国感染僵尸网络的计算机数量子多，占全球总量的29%。
•北京是全球感染僵尸网络计算机数量最多的城市，约占全球总量的7%。

漏洞趋势
•根据赛门铁克的监测，微软IE浏览器共有39个漏洞，Mozilla浏览器有34个，Apple Safari有25个，Opera有7个。2006年下半年，IE浏览器共有54个漏洞，Mozilla浏览器有40个，Apple Safari和Opera各有4个。
•2007年上半年，未打补丁的企业级供应商漏洞共有90个，与2006年下半年的94个相比有所减少。其中，微软在这两个报告阶段具有最多未打补丁的漏洞。
•2007年上半年，赛门铁克共记录了237个网页浏览器插件漏洞，与2006年下半年的74个相比大幅增长，而2006年上半年也仅为34个。
•2007年上半年，插件漏洞中有89%影响到IE浏览器的Active X组件。2006年下半年，Active X组件占所有插件漏洞的58%。
•在本次和上次报告阶段，赛门铁克发现影响网页浏览器或感染其它客户端攻击的中度和高度严重性漏洞中，有一半以上已经打上操作系统供应商的补丁。只有Apple例外。2007年上半年影响浏览器或感染客户端攻击的漏洞中有49%来自Apple。

恶意代码趋势
•2007年上半年，赛门铁克共监测到212,101个新型恶意代码威胁，与2006年下半年相比增长了185%。
•按潜在感染计算，木马攻击在排名前五十位的恶意代码样本中占73%，而上一报告期为60%。
•在本次报告期间，欧洲、中东和非洲地区的蠕虫感染占全球总量的43%。
•在本次报告期间，北美地区的木马攻击占全球总量的44%。
•在本次报告期间，排名前十位的分层下载工具中有九个是木马攻击，一个是蠕虫。
•排名前十位的下载组件中有七个是木马攻击，另外三个是后门程序。
•以在线游戏为目标的恶意代码占排名前五十位的恶意代码样本潜在感染的5%

钓鱼攻击和垃圾邮件趋势
•2007年上半年，赛门铁克监测到有三个钓鱼攻击toolkits操控了42%的钓鱼攻击网站。
•赛门铁克共拦截了23亿条钓鱼信息，较2006年下半年增加了53%，相当于平均每天出现1250万条钓鱼信息。
•位于美国已知钓鱼攻击网站最多，占全球总量的59%。
•在钓鱼攻击网站中，有86%是被寄存在30%的已知钓鱼网站服务器IP地址。
•本次报告期间，所有垃圾邮件中有60%为英文，与上一报告期的65%相比略有减少。
•2007年上半年，全球垃圾邮件中有47%来自美国，上一报告期为44%。
•2007年上半年，位于美国的僵尸电脑最多，占全球总量的10%。