五年來硬件和軟件威脅的演化態(tài)勢分析
9月9日,Intel Security 發(fā)布了《邁克菲實驗室威脅報告:2015 年 8 月》,內(nèi)容包括對圖形處理器 (GPU) 惡意軟件的評述、針對網(wǎng)絡犯罪分子竊取數(shù)據(jù)慣用技術(shù)的調(diào)查,以及自英特爾公司宣布收購邁克菲以來威脅態(tài)勢的五年演化回顧。
將 2010 年初研究人員的觀點與自那時起硬件和軟件安全領域威脅的實際演化狀況進行對比,邁克菲實驗室以這種方式來紀念英特爾與邁克菲聯(lián)姻五周年。主要研究人員和管理者回顧了我們對芯片級安全能力的預測、新出現(xiàn)的難以檢測的攻擊所帶來的挑戰(zhàn)以及我們在2010 年對新設備類型的預期與市場真實情況的對比。
五年威脅態(tài)勢分析表明:
Intel Security 預見到了以硬件和固件組件為目標的威脅及其對運行時完整性的威脅。
逃逸惡意軟件和長期攻擊的不斷涌現(xiàn)絲毫不令我們驚奇,不過,一些特定的策略和技術(shù)在五年前是難以想象的。
盡管移動設備數(shù)量的增長遠遠快于我們的預期,但針對此類設備重大普遍性攻擊的增長卻比我們設想的要緩慢的多。
我們看到以物聯(lián)網(wǎng) (IoT) 設備為目標的攻擊和威脅方興未艾。
云技術(shù)的采用已經(jīng)改變了一些攻擊的性質(zhì),當設備遭受攻擊時,不僅關乎其所存儲的少量數(shù)據(jù),更關乎攻擊者會找到通往重要數(shù)據(jù)駐留位置的途徑。
網(wǎng)絡犯罪已發(fā)展成為一個成熟的行業(yè),涉及供應商、市場、服務提供商、資金籌措、交易系統(tǒng)以及業(yè)務模式的擴散等。
企業(yè)和消費者仍然沒有對更新、補丁、密碼安全、安全警告、默認配置和其他確保網(wǎng)絡和物理資產(chǎn)安全的簡便但重要的方法予以足夠的重視。
發(fā)現(xiàn)和利用核心互聯(lián)網(wǎng)漏洞實施攻擊,表明了對一些基本安全技術(shù)的資金和人員投入的不足。
在打擊網(wǎng)絡犯罪方面,安全行業(yè)、學術(shù)界、執(zhí)法機構(gòu)以及政府部門之間保持著日益緊密的積極協(xié)作。
Intel Security 邁克菲實驗室高級副總裁 Vincent Weafer 指出:“三大關鍵要素讓我們印象深刻——不斷擴展的攻擊面、黑客攻擊的行業(yè)化以及 IT 安全市場的復雜性和碎片化,這加速了威脅的演化以及攻擊規(guī)模和頻率的變化。為了跟上這種發(fā)展態(tài)勢,網(wǎng)絡安全界必須不斷改進威脅智能信息共享、招募更多安全專業(yè)人員、加快安全技術(shù)創(chuàng)新、與政府部門保持合作使他們能夠履行保護網(wǎng)絡空間公民安全的職責?!?/p>
8 月份的報告還探討了在攻擊中利用 GPU 惡意軟件的三個概念證明細節(jié)?,F(xiàn)如今,幾乎所有的惡意軟件都被設計成從中央處理器 (CPU) 上的主系統(tǒng)內(nèi)存運行。上述概念證明充分發(fā)揮了這些旨在加快圖像創(chuàng)建以供輸出顯示的專用硬件組件的效率優(yōu)勢。黑客將嘗試充分利用 GPU 的強大處理能力,通過在傳統(tǒng)防御通常不會找尋惡意代碼的地方運行代碼和存儲數(shù)據(jù),以逃避傳統(tǒng)的惡意軟件防御手段。
通過審查這些概念證明,Intel Security 認為,將一部分惡意代碼從 CPU 和主機內(nèi)存移走減少了基于主機的防御檢測面。不過,研究人員證明,至少惡意活動的痕跡元素仍然保留在內(nèi)存或 CPU 中,從而使終端安全產(chǎn)品能夠檢測威脅并及時加以補救。
在本報告中,邁克菲實驗室還詳細介紹了網(wǎng)絡犯罪分子用來從企業(yè)網(wǎng)絡竊取各類個人信息(姓名、出生日期、地址、電話號碼、社會保障號、信用卡和借記卡號、醫(yī)療保健信息、賬戶憑據(jù)甚至性取向)的慣用技術(shù)。除了攻擊者所使用的策略和技術(shù),分析還涉及攻擊者類型、動機以及企業(yè)為了更好檢測信息竊取行為而應采取的策略。
本報告還公布了 2015 年第二季度其他的一些威脅發(fā)展態(tài)勢,具體如下:
勒索軟件。勒索軟件繼續(xù)保持快速增長,第二季度新勒索軟件樣本數(shù)量增加 58%。2014 年第二季度至 2015 年第二季度,勒索軟件樣本總數(shù)增長 127%。我們將這種增長態(tài)勢歸因于諸如 CTB-Locker、CryptoWall 和其他一些新惡意軟件的快速增長。
移動惡意軟件呈下降態(tài)勢。二季度,移動惡意軟件樣本總數(shù)增長 17%。而在該季度,除了北美和非洲地區(qū)外,其它地區(qū)移動惡意軟件感染率則下降了約 1%。北美地區(qū)幾乎下降了 4%,而非洲地區(qū)則保持不變。
垃圾郵件僵尸網(wǎng)絡。由于 Kelihos 僵尸網(wǎng)絡保持不活躍態(tài)勢,在整個第二季度,由僵尸網(wǎng)絡生成的垃圾郵件量延續(xù)下降趨勢。Slenfbot 再次拔得頭籌,緊隨其后的是 Gamut,Cutwail 勉強位居前三。
可疑 URL。在第二季度,每小時有超過 670 萬次通過電子郵件和瀏覽器搜索等方式誘騙邁克菲用戶連接風險 URL 的企圖。
被感染的文件。第二季度,每小時有超過 1920 個被感染的文件在邁克菲用戶的網(wǎng)絡中傳播。
PUP 崛起。在第二季度,每小時另有700 萬個潛在有害程序 (PUP) 企圖在受邁克菲保護的網(wǎng)絡中安裝或啟動。