當前最流行的惡意軟件傳播策略是什么?
依據微軟最近發布的安全研究報告顯示,這里的答案就應該是社會化工程類惡意軟件(恐嚇型軟件彈出窗口;惡意搜索引擎優化攻擊),或者說通常都需要誘使用戶下載并執行惡意文件才能完成攻擊的惡意軟件。
各種傳播策略的具體排名狀況如下所示:
·誘使用戶執行——44.8%
·通過USB設備自動運行——26%
·通過網絡自動運行——17.2%
·通過感染文件運行——4.4%
·利用出現時間超過一年的漏洞進行更新時——3.2%
·利用出現時間不到一年的漏洞進行更新時——2.4%
·暴力破解密碼——1.4%
·利用Office提供的宏功能——0.3%
·利用零日類型漏洞——0%
基于軟件巨人提供的數據,在對全球范圍內超過六億臺系統的樣本進行分析后,研究人員確認出基于USB設備的自動運行模式屬于惡意軟件傳播的第二大途徑。因此,為了防止WindowsXP/Vista被惡意軟件輕易感染,在二月份微軟決定關閉了系統默認設置下的自動運行模式。至少從微軟自身的角度來看,產生的結果就是利用自動運行作為傳播機制的惡意軟件在數量上出現明顯下降的趨勢。
該報告還指出,零日漏洞并沒有象公眾所想象的那樣成為普通惡意攻擊或者網絡犯罪行為的催化劑。對于包括其它幾方面內容在內的這一觀點,我已經在文章《揭穿零日漏洞的七大神話》一文中予以了詳細說明。
現在,我們就來看一下微軟是如何利用報告所提供的結果在競爭中獲取優勢的。首先,在NSS實驗室舉行的防社會化工程模式惡意軟件攻擊的對比評測中,微軟InternetExplorer瀏覽器已經連續兩年占據榜首了。關于這方面的具體說明,可以參見《在惡意軟件防護領域,IE8再次戰勝其它瀏覽器》以及《IE8中的SmartScreen引領惡意軟件保護新潮流研究》等文章。
這樣看來,微軟應該早就注意到社會化工程類惡意軟件的迅速蔓延。所以說,究竟是什么原因導致這一問題被忽略了呢?真正的答案就是,這些惡意軟件在進行傳播時用到的并不是用戶交互操作,而是來自第三方軟件和瀏覽器插件中的客戶端漏洞。實際上,盡管網頁型惡意軟件傳播工具套裝已經充斥了攻擊市場,但在報告中這一來自NSS實驗室的研究結果卻被省略掉了。
現在,問題就變成了什么是惡意攻擊者最經常利用工具包來獲得的客戶端漏洞?按照微軟的說法,它們是:
在2011年上半年,關注漏洞類型攻擊最經常針對的是甲骨文(以前太陽公司)的Java運行環境(JRE)、Java虛擬機(JVM)以及在Java開發工具包(JDK)中的Java平臺標準版存在的漏洞。在最近四個季度觀察到的所有漏洞中,與Java相關的數量在三分之一到二分之一之間。
【編輯推薦】
