M86 Security由一群專門從事Web和電子郵件威脅研究的安全研究人員組成,他們追蹤互聯網安全趨勢,監測和分析惡意活動、垃圾郵件和釣魚攻擊,包括新發現的漏洞和已被廣泛使用的漏洞。
這份關于2011年下半年互聯網安全領域的最新報告突顯了一些有趣的新趨勢:
● 有針對性的攻擊變得越來越復雜,有證據顯示,犯罪分子的目標不僅包括商業機構,還包括政府和基礎設施目標。此外,通過使用欺詐性的和被盜數字證書,這些攻擊的成功率越來越高。
● 漏洞利用工具包市場已經大范圍地轉向了Blackhole exploit kit(黑洞漏洞利用工具),這個工具能夠經常更新,并能迅速利用應用程序漏洞。
● 雖然垃圾郵件的數量急劇下降,但越來越多的垃圾郵件可能包含惡意鏈接或者附件。
● 使用社交網絡作為渠道的欺詐和惡意軟件傳播顯著增加。
有針對性的攻擊正變得越來越復雜
雖然有針對性的攻擊并不是新鮮事,但在2011年下半年有針對性攻擊的顯著增加必須引起重視,他們的目標不僅僅是企業,而且包括整個國家。根據這份報告,有針對性的攻擊變得越來越復雜,并且目標很廣泛,包括商業機構、國家關鍵基礎設施機構和軍事機構等。
經過研究人員確定的新的攻擊向量之一是使用欺詐性數據證書。該報告指出黑客攻擊DigiNotar公司后,導致出現“數百份欺詐性數字證書,這些證書可以用于很多域名,包括谷歌、雅虎、Facebook,甚至還有一些情報機構,例如美國中央情報局、英國軍情六處和以色列摩薩德等。”
M86 Security強調,企業和組織必須計劃和部署一個多層安全政策來最大限度地減小有針對性攻擊帶來的風險。
Blackhole攻擊工具包
2011年下半年監測到的漏洞利用針對的目標很多,包括微軟IE瀏覽器、Oracle的Java、微軟Office產品以及Adobe Reader和Adobe Flash。最讓人驚訝的是,犯罪分子最常利用的漏洞不僅出現多年,而且漏洞的修復程序也在多年前就發布了。
例如,M86發現最常被利用的基于web的漏洞是微軟IE RDS ActiveX,這個漏洞的發現和補丁發布都是在2006年。而現在,六年過去了,這個漏洞仍然能夠幫助攻擊者成功發動攻擊。這份報告指出:“很多用戶和企業并沒有及時地對他們所有安裝的軟件進行修復,而攻擊者就恰恰利用了這個來發動攻擊。”
該報告還指出漏洞利用開始從惡意附件轉移到惡意鏈接,這些惡意鏈接將鏈接到漏洞利用工具包,特別是Blackhole黑洞攻擊工具包。在2011年下半年,Blackhole工具包占所有惡意鏈接的95%,這表明Blackhole現在是最熱門的漏洞利用工具包,該工具包利用了目前最常被利用的漏洞的一半以上漏洞。Webopedia將Blackhole工具包描述為“在俄羅斯開發的幫助黑客利用未修復漏洞以通過植入在被感染網站的惡意腳本攻擊計算機一種犯罪軟件。不知情的用戶訪問這些被感染網站將會被重定向到瀏覽器漏洞利用惡意軟件門戶網站,隨后用戶電腦將會被植入在線銀行木馬或者類似惡意軟件。”