【51CTO.com綜合報道】在2009年進入尾聲時，賽門鐵克對2010年安全趨勢進行了一些預測。而今，我們對這過去的半年進行評估，看看到目前為止實際發(fā)生的事件是否如當初所料。

預測1

[[14195]]

僅防病毒是不夠的 —— 2009年，隨著多種形態(tài)威脅的增加，以及獨特惡意軟件變種的爆發(fā)，業(yè)界迅速意識到，傳統(tǒng)防病毒的方式，如文件簽名、啟發(fā)式殺毒和病毒行為偵測等，已不足以應對今天的威脅。我們已經(jīng)到了這樣一個轉折點：新的惡意程序產(chǎn)生的速度要遠遠快于合法程序得產(chǎn)生速度；同時，把注意力都放在惡意軟件的分析上已然行不通了。相反，將所有軟件文件納入安全監(jiān)控的方法，如基于信譽的安全技術，將成為2010年的重點。

狀況：符合預測

理由：不出所料，單是去年一年，賽門鐵克就創(chuàng)建了2,895,802個新的惡意代碼簽名，比2008年增加了71%，其數(shù)量占賽門鐵克所創(chuàng)建的全部惡意代碼簽名的一半以上。此外，賽門鐵克識別出超過2.4億個新的獨特惡意程序，比2008年翻了一番。2010年這種上升勢頭還會繼續(xù)。僅今年上半年，我們就創(chuàng)建了180萬個新的惡意代碼簽名，并識別出逾1.24億個新的獨特惡意程序。

這意味著傳統(tǒng)安全技術要捕捉到每個新威脅的可能性越來越低；這些威脅的數(shù)量太過于龐大，即使安裝了自動化系統(tǒng)也無濟于事。那些無須捕捉和分析威脅就能夠對其防御的技術，如賽門鐵克基于信譽的安全技術，顯得愈發(fā)必要。在應對當今最流行威脅中發(fā)揮關鍵作用的其他安全方法還包括啟發(fā)式殺毒、病毒行為偵測和入侵防護技術等。 #p#

預測2

社會工程學成為首要攻擊載體——越來越多攻擊者直接追蹤終端用戶，披著“合法”的外衣，引誘用戶下載惡意軟件或透露敏感信息。社會工程學攻擊盛行的一個原因是，這與用戶電腦上的操作系統(tǒng)和網(wǎng)絡瀏覽器無關，因為攻擊的對象是實際用戶本身，而不一定是電腦上的漏洞。社會工程學已經(jīng)成為目前所使用的主要攻擊技術之一，賽門鐵克預計，2010年，使用社會工程手段試圖發(fā)起攻擊的數(shù)量肯定會增加。

狀況：與預測相符

理由：該趨勢并非臆測而是有事實依據(jù)的。社會工程學可能是世界上第二古老的職業(yè)，在數(shù)字時代迅速躥紅也在意料之中。但其效率的提高歸功于Web 2.0。大量計算機用戶沉迷于社交網(wǎng)絡中的網(wǎng)戀，我們常收到期望“交朋友”或“崇拜者”之類的郵件。攻擊者正是利用網(wǎng)民的弱點巧布陷阱，引誘用戶去下載惡意軟件或透露自己的敏感信息。

釣魚攻擊是社會工程類威脅最典型的例子。2010年上半年，平均每476封電子郵件中就有一封包含了某種形式的釣魚攻擊。這些攻擊之所以更為危險，是因為它們與操作系統(tǒng)完全無關。由于對個人電腦的依賴性日益下降，釣魚使網(wǎng)絡罪犯能夠利用計算機用戶，無論這些用戶使用的是什么操作平臺。例如，2010年7月，賽門鐵克觀察到一個假冒是澳大利亞知名互聯(lián)網(wǎng)服務提供商的釣魚網(wǎng)站。用戶收到一封電子郵件，該郵件聲稱最近由于客戶聯(lián)系方式細節(jié)的變動，網(wǎng)絡服務提供商（ISP）無法驗證其賬戶。郵件中包含了假冒網(wǎng)站的鏈接，并要求用戶訪問該網(wǎng)站，以對重要的客戶信息進行確認，其中包括支付詳情，如信用卡號碼。在這種情況下，Windows和Macintosh操作系統(tǒng)用戶、甚至是手機用戶都容易上當受騙。

我們還看到在近期的一些高端攻擊中，社會工程類攻擊扮演了重要角色。例如，今年年初，針對大型企業(yè)組織的臭名昭著的Hydraq攻擊，就部分地使用了社會工程性電子郵件。攻擊者將這些郵件發(fā)送給企業(yè)組織內(nèi)個人或小組，一旦用戶誤點擊惡意鏈接或打開附件，Hydraq 木馬病毒就會植入其電腦。#p#

預測3

[[14196]]

流氓安全軟件商變本加厲 —— 2010年，我們將看到流氓安全軟件的傳播者更進了一步，甚至開始劫持用戶的電腦，使其癱瘓并趁機訛詐。傳播者還會提供一些看起來并非惡意、至多是有些令人懷疑的軟件。例如，賽門鐵克注意到，一些流氓防病毒軟件商將第三方免費防病毒軟件進行重新包裝，作為自己的產(chǎn)品進行銷售。在這種情況下，雖然從技術上來說，用戶是得到了自己所購買的防病毒軟件，但事實上這些軟件能隨處免費下載。

狀況：基本上與預測相符

理由： 流氓安全軟件仍是安全軟件行業(yè)及消費者所面臨的最大問題之一，但是，惡意應用軟件的傳播者們向用戶提出索要贖金，才幫助其解鎖計算機的違法案件并不常見。但是，這并不意味著惡意傳播者無所作為。

例如，賽門鐵克最近對一家名為Online PC Doctors（在線電腦醫(yī)生）的公司進行了調查，發(fā)現(xiàn)該公司通過熱線電話哄騙用戶說其計算機“被感染了”。一旦用戶上當，電話專員就會遠程連接該用戶的計算機進行檢查。接著就謊稱發(fā)現(xiàn)其電腦感染了嚴重的惡意軟件 。然后，電話專員會說Online PC Doctors能夠“解決”這些問題，當然不是免費的。用戶所要做的就是給Online PC Doctors發(fā)一封電子郵件，其中包括所有相關的支付信息以及信用卡詳情。#p#

預測4

[[14197]]

社交網(wǎng)絡第三方應用軟件將成為詐騙的目標 —— 隨著社交網(wǎng)站有望今年再次實現(xiàn)前所未有的增長，針對網(wǎng)站用戶的詐騙活動數(shù)量也將增加。同時，這些網(wǎng)站的所有者會采取更為積極的措施來防范威脅。在這種情況下，隨著這些網(wǎng)站越來越多地為第三方軟件開發(fā)者提供登錄自己API的權限，攻擊者很可能會將目標轉向為社交網(wǎng)絡用戶賬戶提供的第三方應用軟件的漏洞。正如我們所見，隨著網(wǎng)絡瀏覽器變得更加安全，攻擊者會轉而更多地利用瀏覽器插件。

狀況：基本上與預測相符

理由：直接跟蹤很困難，但據(jù)輿論反應和賽門鐵克托管服務的網(wǎng)絡安全服務的URL分析顯示， 2010年社交網(wǎng)站觸發(fā)的惡意內(nèi)容攔截數(shù)量比2009年有所增加。2009年，平均每451次網(wǎng)絡安全服務攔截就有1次是與社交網(wǎng)站有關的，而2010年這一頻率上升為每301次攔截就有1次與社交網(wǎng)站有關。

同時，最近還有不少關于各種目的的流氓應用軟件的報告，一些是用來傳播惡意軟件，另一些用于金融詐騙或利用計算機用戶發(fā)送垃圾郵件。例如，最近我們發(fā)現(xiàn)一個嵌入智商測驗的詐騙應用軟件，其目的是暗中將用戶注冊到某項手機收費服務，服務費每月10美元。

還有一個例子能夠說明這種趨勢發(fā)展迅猛。Facebook最近對自己的應用授權系統(tǒng)進行了升級，以降低此類詐騙及通過其網(wǎng)絡傳播惡意應用軟件的數(shù)量?，F(xiàn)在，當一種應用程序要求獲得用戶基本信息或在用戶的個人頁面上發(fā)布信息時，用戶都會被告知。#p#

預測5

[[14198]]

Windows 7 將成為攻擊者的目標——微軟已發(fā)布了新操作系統(tǒng)的首個安全補丁。不管發(fā)布前的測試工作做得多么徹底，只要是由人來編寫計算機程序，那么缺陷就是無法避免的。而且，程序越復雜，存在未被發(fā)現(xiàn)漏洞的可能性就越大。微軟的新操作系統(tǒng)也不例外。2010年，隨著Windows 7的上市，攻擊者毫無疑問會找到針對其用戶的新攻擊方法。

狀況：仍有可能

理由：到目前為止，只出現(xiàn)了一次針對Windows 7漏洞的大規(guī)模攻擊，這讓我們感到非常驚訝。值得注意的是，這種漏洞也存在于微軟支持的所有操作系統(tǒng)中。此次攻擊涉及一個名為Stuxnet的惡意軟件。該軟件利用的是Windows在處理超鏈接時存在的漏洞。雖然Stuxnet的傳播范圍有限，但由于它是第一個已知的針對SCADA系統(tǒng)的惡意軟件，所以引起了人們的廣泛注意。

Windows 7是微軟迄今為止銷量最好的操作系統(tǒng)。我們之所以還沒有看到針對該系統(tǒng)攻擊數(shù)量大幅增加的原因是，攻擊者永遠在尋找最簡單的方式。由于網(wǎng)絡瀏覽器及針對網(wǎng)絡的第三方應用及插件中存在很多缺陷，而這些缺陷更容易被利用，因此，攻擊新操作系統(tǒng)并不是侵入這些系統(tǒng)的首選方法。當然也有上述的個別例外情況。#p#

預測6

[[14199]]

通過Fast Flux技術傳播的僵尸網(wǎng)絡數(shù)量增長——Fast Flux技術是一些僵尸網(wǎng)絡（如Storm僵尸網(wǎng)絡）使用的手段，目的是將釣魚和惡意網(wǎng)站隱藏在不斷變化的目標主機網(wǎng)絡之后，而這些目標主機往往是作為代理在發(fā)揮作用。。它綜合使用了對等網(wǎng)絡、分布式指揮控制、基于網(wǎng)絡的負載平衡與代理重定向等技術，這樣一來，對僵尸網(wǎng)絡原始地理位置的跟蹤就變得非常困難了。雖然行業(yè)的應對手段使傳統(tǒng)僵尸網(wǎng)絡的效率不斷降低，但是我們?nèi)灶A計未來會看到更多應用此方法發(fā)起的攻擊。

狀況：仍有可能

理由： 到目前為止，我們尚未看到使用Fast Flux技術發(fā)起的新的大規(guī)模攻擊。雖然希望這種趨勢能夠保持下去，但是今年才剛剛過去一半。我們已經(jīng)觀察到一個利用此技術卷土重來的攻擊，那就是Storm僵尸網(wǎng)絡，它已經(jīng)成為排名首位的僵尸網(wǎng)絡。Storm僵尸網(wǎng)絡將繼續(xù)使用Fast Flux技術，將網(wǎng)站域名隱藏在發(fā)送的垃圾郵件里的超鏈接中。

我們還看到了Spakrab等威脅的增加。這是一種通常用來發(fā)送垃圾郵件的后門木馬病毒，這種病毒使用與Fast Flux類似的偽裝手段，譬如，它利用動態(tài) DNS供應商來掩蓋指揮控制服務器的地理位置。動態(tài)DNS是免費的，并易于安裝，攻擊者可以利用沒有靜態(tài)IP地址的目標主機，這樣一來，其物理位置就更難被發(fā)現(xiàn)了。

不管攻擊使用的是Fast Flux還是其他類似技術，如果無法確認攻擊源的位置，那么，攻擊就很難被阻止。因此，網(wǎng)絡罪犯為何大肆利用這些手段發(fā)起攻擊的原因也就不言自明了。#p#

預測7

[[14200]]

URL縮短服務成為釣魚者最好的朋友——由于用戶通常無法知道一個縮短的URL到底會將自己引導到什么地方，有安全意識的用戶會在點擊時再三考慮，所以釣魚者將對鏈接進行偽裝。賽門鐵克已經(jīng)發(fā)現(xiàn)了應用這種策略來發(fā)布具有誤導性應用的趨勢，并且這種趨勢還會愈演愈烈。同時，賽門鐵克預測，為了躲避反垃圾郵件過濾軟件，垃圾郵件發(fā)送者會利用縮短的URL來發(fā)動攻擊。

狀況：與預測相符

理由：如預測所示，垃圾郵件發(fā)送者越來越喜歡利用URL縮短服務。在2009年7月的高峰階段，有9.3%的垃圾郵件中含有由免費在線URL縮短服務提供的縮短式超鏈接，這相當于全球每天發(fā)送100億封垃圾郵件。然而，到了2010年4月，這一峰值幾乎翻了一番，達到所有垃圾郵件的18%，這也締造了迄今為止的歷史最高值。

不止是釣魚者和惡意軟件制造者會利用縮短的URL，來給那些無防范意識的電腦用戶下圈套，同時，我們還發(fā)現(xiàn)縮短的URL被用作讓原來的威脅起死回生的手段。之前提到過，2010年4月末和5月初，賽門鐵克發(fā)現(xiàn)Storm僵尸網(wǎng)絡死灰復燃。從新的Storm僵尸網(wǎng)絡發(fā)出的大部分垃圾郵件信息都包含了在線購藥網(wǎng)站的鏈接，這種垃圾郵件的數(shù)量在2010年5月8日達到了峰值，約占垃圾郵件總數(shù)的1.4%。這些鏈接大部分是以縮短的URL形式出現(xiàn)的。#p#

預測8

針對蘋果的應用程序、設備及其它移動設備的惡意軟件數(shù)量將增加——針對某一操作系統(tǒng)或平臺的攻擊數(shù)量與該操作系統(tǒng)或平臺所占的市場份額有著直接關系，因為惡意軟件制造者的目的是為了賺錢，他們始終想獲得最大的利益。2009年，我們看到蘋果的應用程序、設備和智能手機已經(jīng)成為惡意軟件制造者的目標。例如，Sexy Space僵尸網(wǎng)絡針對的是Symbian移動設備操作系統(tǒng)，而OSX.Iservice Trojan針對的則是蘋果用戶。2010年，隨著蘋果的產(chǎn)品以及智能手機日益受到歡迎，更多的攻擊者會潛心制造能夠利用這些設備的惡意軟件。

狀況：仍有可能

理由：我們發(fā)現(xiàn)了一些針對Mac OS X操作系統(tǒng)的新的惡意軟件，但到目前為止還沒有一個是“驚天動地”的；我們也許永遠也不會看到“驚天動地”的惡意軟件，尤其是進入后PC時代之后。

在移動設備方面，目前為止已發(fā)現(xiàn)了300多個iPhone的漏洞，Android平臺上也存在十幾個漏洞，但除此之外，我們沒有發(fā)現(xiàn)大規(guī)模的移動安全威脅。盡管如此，隨著更多的應用程序涌入市場，而其中的一些程序是由新手程序員使用，如Google新的App Inventor for Android開發(fā)的，因此我們認為移動設備的安全完整性會受到影響。事實上，大眾化的移動平臺應用市場的迅速發(fā)展將成為未來移動安全威脅背后的主要驅動力。雖然我們不希望這樣，但今年的下半年這一趨勢將進入它的繁盛時期。#p#

預測9

[[14201]]

垃圾郵件發(fā)送者破壞規(guī)則——隨著經(jīng)濟的持續(xù)低迷，越來越多的人試圖利用《反垃圾郵件法案》的寬松限制做文章。我們將看到更多的企業(yè)出售未經(jīng)授權的電子郵件地址名單，更多不正當?shù)氖袌鰻I銷者利用這些名單發(fā)送垃圾郵件。

狀況：基本上與預測相符

理由：雖然到目前為止尚未大規(guī)模爆發(fā)，但今年我們會看到更多的“灰色”郵件。舉例來說，此類灰色郵件可能是貌似合法并主動提供的新聞郵件。這些電子郵件通常為迎合《反垃圾郵件法案》而包含一個“選擇退訂”的信息，但事實上用戶很可能從未訂閱過相關的新聞，這說明郵件發(fā)送者是從不正當渠道得到這些郵件名單的。關于此類不請自來的灰色郵件，最常見的例子便是免費訂閱在線新聞的郵件。賽門鐵克最近進行了取樣分析，此類郵件中確實包含了“選擇退訂”條款，因此也就遵守了《反垃圾郵件法案》，但發(fā)送郵件的公司是否能馬上履行“選擇退訂”請求則是另外一回事了。#p#

預測10

[[14202]]

隨著垃圾郵件發(fā)送者不斷應變，垃圾郵件數(shù)量將繼續(xù)波動——自2007年以來，垃圾郵件的數(shù)量平均增長了15%。雖然垃圾郵件的這種大幅度增長或許從長期看來不會持久，但顯而易見的是，只要經(jīng)濟驅動仍然存在，垃圾郵件發(fā)送者們便不會善罷甘休。2010年，隨著垃圾郵件發(fā)送者們不斷變化，以應對日趨成熟的安全軟件以及有責任心的ISP和政府機構的干預，垃圾郵件數(shù)量將繼續(xù)波動。

狀況：與預測相符

理由：事實上，我們看到垃圾郵件發(fā)送者與反垃圾郵件發(fā)送者之間的“軍備競賽”一直在繼續(xù)。隨著諸如關閉Mariposa僵尸網(wǎng)絡等反垃圾郵件的勝利，垃圾郵件發(fā)送者們采取了諸如大量使用一次性及被劫持的URL等方式來予以還擊。雖然被識別出的垃圾郵件僅占全部郵件的一小部分，但是垃圾郵件的數(shù)量卻很龐大。#p#

預測11

[[14203]]

專業(yè)化的惡意軟件——2009年，我們發(fā)現(xiàn)了極具專業(yè)性的惡意軟件，這些惡意軟件的目標是某些特定的ATM，這表明軟件的制造者具備了一定的專業(yè)知識，并了解如何利用這些專業(yè)知識。賽門鐵克預計2010年這一趨勢將持續(xù)，并有可能出現(xiàn)針對電子投票系統(tǒng)的惡意軟件，包括在政治選舉和公眾電話投票中使用的系統(tǒng)，如與真人秀電視節(jié)目和競賽相關的系統(tǒng)。

狀況： 仍有可能

理由：我們尚未看到專業(yè)化的惡意軟件大規(guī)模爆發(fā)，但是，有一些現(xiàn)象使我們有理由相信，這一趨勢仍將發(fā)展下去。例如，2009年末，在我們發(fā)布了自己的原始預測后，紐約的The Gouverneur Times報道了紐約漢彌爾頓縣“眾多投票者”所使用的電子投票機被發(fā)現(xiàn)感染了旨在破壞投票結果的計算機病毒。此外，之前提到的于2010年7月發(fā)現(xiàn)的Stuxnet病毒，其目的主要是為了盜竊SCADA相關文件，包括工業(yè)自動化布局設計和控制文件。

與最初預測有關的另一個需要注意的是，2010年4月，Rodney Reed Caverly因制造針對銀行計算機和ATM機的惡意軟件而被指控犯有計算機詐騙罪。他根據(jù)自己所掌握的有關計算機系統(tǒng)和自動提款機的專業(yè)知識，實施了此次犯罪活動，估計在被捕之前盜取了20萬美元甚至更多。#p#

預測12

CAPTCHA 技術將得到改進——隨著技術的進步，垃圾郵件發(fā)送者們通過自動流程破譯CAPTCHA代碼的難度越來越大。這樣一來，新興經(jīng)濟體國家的垃圾郵件發(fā)送者們將發(fā)明新的方式，通過人工生成發(fā)送垃圾郵件的新賬戶，從而試圖繞過經(jīng)改進的技術。賽門鐵克估計，被雇來人工建立這些賬戶的人，其報酬比垃圾郵件發(fā)送者成本的10%還要低，而“賬戶農(nóng)夫”（account farmer）的收費為每1000個賬戶30-40美元。

狀況：與預測相符

理由： 2010年4月末，《紐約時報》報道，垃圾郵件發(fā)送者雇傭發(fā)展中國家的工人輸入CAPTCHA碼，人工生成用于發(fā)送垃圾郵件的新賬戶。這份報道顯示，每1000個解碼的CAPTCHAS付費從80美分到1.20美元不等。因此，我們承認，在人工費用方面，我們的預測不夠準確，情況比預想的還要糟糕。但是非常遺憾的是，在整體趨勢方面，我們的預測非常準確。#p#

預測13

[[14204]]

即時信息垃圾郵件——隨著網(wǎng)絡罪犯開始尋求新的方式來繞過CAPTCHA技術，即時信息（IM）攻擊的受歡迎程度也與日俱增。即時信息威脅主要來自包含惡意鏈接的垃圾郵件，尤其是那些針對合法即時信息賬戶的攻擊。賽門鐵克預測，到2010年底，每300個即時信息中就有一個會包含URL。從整體來看，每12個超鏈接中就有一個會連接到已知的惡意軟件域名上。因此，即時信息中出現(xiàn)的每12個超鏈接中就有一個會包含被認為是可疑或是惡意的域名。而在2009年中期，每78個超鏈接中才有一個與惡意軟件域名相關。

狀況：與預測相符

理由：截止到2010年6月，賽門鐵克的數(shù)據(jù)顯示，每387個即時信息中就有一個包含了某種形式的超鏈接，而每8個超鏈接中就有一個是指向惡意網(wǎng)站的，例如包含某種形式、旨在對某一有漏洞的網(wǎng)絡瀏覽器或瀏覽器插件實施“過路式”攻擊的惡意軟件網(wǎng)站。#p#

預測14

[[14205]]

非英語類垃圾郵件數(shù)量將增加——隨著全球范圍，尤其是發(fā)展中國家寬帶普及率的不斷提高，非英語國家的垃圾郵件數(shù)量也將增加。在歐洲的某些地方，賽門鐵克估計，本土化垃圾郵件占垃圾郵件發(fā)送總數(shù)的比例將超過50%。

狀況：明年更有可能

理由：進一步的分析顯示，一些域名收到的本國語言垃圾郵件的比例超過了50%，雖然平均水平還不得而知。某些域名（如.com）吸引的英語類垃圾郵件數(shù)量仍然多于頂級國家代碼類域名。雖然我們預測這一數(shù)字將增加，但許多非英語國家中的情形恰恰相反。例如，在巴西，本國語言垃圾郵件的比例一直是最高的，但這個比例卻未能像我們2009年末所看到的那樣繼續(xù)增長（2009年末約為41%）。事實上，在巴西本國的葡萄牙語類垃圾郵件比例已經(jīng)下降為約29%。

【編輯推薦】

1. 邁克菲發(fā)布第2季度威脅報告 倡導主動安全策略
2. 2010年度數(shù)據(jù)泄露調查報告概述
3. 2010年CSO狀態(tài)報告出爐：在充滿艱難的道路上前行
4. 2010年7月份垃圾郵件及釣魚攻擊現(xiàn)狀報告
5. 2010年2季度惡意軟件報告