網絡攻擊如何逃避惡意軟件檢查?
根據谷歌安全瀏覽API服務收集的數據顯示,路過式感染是最常見的攻擊方式,而IP偽裝攻擊則不斷增加。
根據谷歌安全團隊的最新報告顯示,攻擊者越來越多地開始使用IP偽裝來感染網站的訪問者,他們通過向惡意軟件檢測系統提供干凈的頁面來繞過檢測系統,同時讓網站訪客感染惡意軟件。
“在過去幾年,我們發現越來越多的惡意網站開始采用IP偽裝的方式。為了繞過隱藏防御,我們以不同的方式來運行我們的掃描儀以模仿正常用戶流量,”谷歌安全團隊Lucas Ballard和Niels Provos表示。
谷歌的研究是基于其安全瀏覽API服務四年多以來收集的數據。谷歌安全瀏覽API是一個在線數據庫,包含很多已知的惡意操縱網頁和釣魚網站。Chrome以及Mozilla的Firefox和蘋果公司的Safari瀏覽器都在使用這個數據庫。
該搜索引擎巨頭對攻擊者使用的惡意軟件規避方法的分析主要基于約800萬各網站的1.6億各網頁。
根據谷歌的報告(包括五年的數據)顯示,截至2010年夏天,約16萬各網站采用了隱藏域名。這項技術在兩年前達到頂峰,當時游20萬個網站使用了IP偽裝,比上一年增加了5萬個網站。“這個高峰期恰逢大規模攻擊,上千個網站被感染并重定向到gumblar.cn,這有效地隱藏了我們的掃描儀,”谷歌在其報告中。“雖然隱藏頁的增加部分是因為我們系統中對隱藏域的檢測有所改進,但我們相信這只是一般隱藏狀態的代表。”
攻擊者也有使用社會工程學和路過式下載攻擊的方法,根據谷歌表示,社會工程網絡攻擊試圖誘使用戶點擊鏈接或者下載軟件。來自網站的惡意軟件式瀏覽器的三大主要威脅介質之一;釣魚攻擊和漏洞利用是另外兩個。NSS實驗室最新調查顯示,IE9在捕捉社會工程惡意軟件攻擊方面表現最好。
但是谷歌表示,雖然社會工程學攻擊正在不斷被作為網絡惡意軟件的載體,但是在傳播惡意軟件的所有網站中只有百分之二真正使用了這個載體。惡意軟件通常是以假冒防毒軟件或者瀏覽器插件的形式。
“社會工程學的使用頻率顯著增加,并仍在上升,但是重要的是這種增長是否會保持,”谷歌報告顯示。
路過式下載仍然是最流行的惡意軟件載體:在這種感染中,攻擊者利用瀏覽器或者瀏覽器插件中的一個漏洞來感染受害者。“我們對攻擊者利用的漏洞的分析表明攻擊者很快轉移到新的和更可靠的漏洞,并且支持續很短一段時間,直到新的漏洞出現。而其中一個例外就是MDAC漏洞,該漏洞在大多數利用包中仍然存在。”
并且JavaScript混淆也被用來繞過瀏覽器模擬器和AV引擎。
谷歌發現攻擊者在不斷調整他們的方法來繞過更常見的虛擬機蜜罐、瀏覽器仿真蜜罐、域名聲譽和防病毒引擎的檢測方法。“我們的試驗證實了我們的假設,即惡意軟件編寫者會繼續追尋可以混淆不同惡意軟件檢測系統的機制,”報告顯示。
報告全文下載(PDF格式):http://static.googleusercontent.com/external_content/untrusted_dlcp/research.google.com/en/us/archive/papers/rajab-2011a.pdf
【編輯推薦】
