|
|
|
 |
|
木馬攻擊 殺毒軟件失靈:企業安全噩夢
|
|
來源:中關村在線 2007-11-10 11:59:44
|
|
安全專家們在蒙特利爾舉行的病毒公告大會上表示,蠕蟲,病毒,以及特洛伊木馬不再存在于明處,對于企業來說,有針對性的特洛伊木馬已經成為一場噩夢。 賽門鐵克安全響應中心的主任Vincent Weafer說:“有針對性的特洛伊木馬在整個安全威脅中仍然只占很少的比例,但它卻是企業最擔心的威脅。 木馬是讓企業官員日夜擔心的危險之一。“ 安全專家們表示,針對企業的秘密攻擊通常包括安全鍵盤記錄裝置,屏幕信息截取軟件等,它們的目的多用于工業間諜活動或者其它有牟利企圖的犯罪活動。 網絡犯罪分子通常會針對企業當中的一些電子郵件地址去信,欺騙這些受害者打開郵件附件。 安全技術能夠阻止一般的攻擊,但有目的性的孤寂一般很難被這些技術發現。安全技術通常對于大規模的安全估計能夠做到預警,但如果只是隱藏在一小部分電子郵件當中的木馬,安全技術往往就無能為力了。 英國Sophos安全公司的技術官Graham Cluley 表示,這是因為,如果是大型攻擊,安全公司可以很快的察覺,而一些個體攻擊,安全公司的反應速度會略慢。 安全專家們說,有針對性的攻擊好比巨大的安全雷達掃描儀屏幕上的一個小點。MessageLabs 公司的反病毒專家Alex Shipp表示,他的公司每天從電子郵件當中分離出惡意軟件達3 百萬,其中僅有7 個可以歸于有針對性的特洛伊木馬攻擊。 過去兩年,MessageLabs 已經發現,這樣的有針對性的零星攻擊已經危害到了跨國公司,政府機構以及軍事單位。另外,律師事務所,人權組織,新聞機構以及教育部分也成為這種攻擊的目標。 一般來說,大部分的攻擊會選擇那些存在漏洞的電腦系統,載體為Office文件。微軟上周再次公布大量的漏洞補丁。 有針對性的攻擊者喜歡Office文件的另外一個原因是,企業往往允許其員工用電子郵件接收這些文件,一般的可執行病毒很快會被安全軟件發現,隱藏在Office文件當中相對比較“安全”。 零日攻擊對于傳統的基于“指紋”判斷的安全產品是一種挑戰,這種產品主要依據攻擊“指紋”(特征)來判斷威脅是否發生,而這至少要此類攻擊曾經發生過。 德國Magdeburg 大學的病毒軟件專家Andreas Marx說:“這是惡意攻擊的未來趨勢。感染零日攻擊型病毒的系統無法獲得殺毒軟件的保護,因為沒有病毒特征去讓殺毒軟件判斷。” 病毒特征通常是由安全公司在收到被病毒感染公司提交的報告后創建的,安全公司會在收到報告后,將這些病毒特征與自己蜜罐(honeypots)的病毒樣本,或者其它安全公司的病毒特征庫中的樣本進行比對,然后發布病毒特征。Marx表示:“這種機制對于有針對性的攻擊不起效,因為其數量很小,只有一小部分系統感染。” Shipp 為此舉了一個例子,目前,只有4 種殺毒產品偵測到了一例幾個月前發生的有針對性的攻擊。 這些有針對性的攻擊者的身份是一個秘。安全專家們推測說,可能是分布于世界各地的各種有組織犯罪集團制造了這些零星的攻擊,但他們缺乏直接的證據。 這些人的攻擊動機也存在爭議。Shipp 認為,這類攻擊的目的是為了竊取信息,也就是工業間諜活動。 但賽門鐵克的Weafer卻認為攻擊的目的各種各樣。 安全公司正在開發更為先進的技術,以彌補病毒特征模式的不足。比如,利用啟發式機制,安全產品能夠依據行為模式去判斷攻擊的發生。 Cluley說:“殺毒軟件公司已經在著手解決這一問題。有針對性的攻擊并不完全是一場災難,雖然它們不在雷達上顯示,但好的主動式保護機制仍然能夠偵察出這樣的攻擊類型。” |
