【51CTO.com 獨家譯稿】當伊朗總統(tǒng)馬哈茂德·艾哈邁迪－內(nèi)賈德在去年11月份宣布該國的核計劃遭到軟件攻擊后，他證實了許多安全研究人員的猜測：原因是Stuxnet大爆發(fā)，篡改了控制處理鈾所用的離心機電機的關(guān)鍵系統(tǒng)。

內(nèi)賈德對這起攻擊造成的影響輕描淡寫，但是安全研究人員認為，造成的破壞范圍要比他所說的廣泛得多。Eric Byres是專門保護制造和控制系統(tǒng)安全的Tofino工業(yè)解決方案公司的首席技術(shù)官兼聯(lián)合創(chuàng)始人；他表示，伊朗人訪問與保護工業(yè)控制系統(tǒng)安全有關(guān)的網(wǎng)站的流量穩(wěn)步增長，這表明該國的IT專家在尋求解決持續(xù)性威脅的辦法。

Byres表示，伊朗人沒有辦法清除掉Stuxnet。他稱，從一臺機器上清除Stuxnet很容易，"但是在網(wǎng)絡(luò)上，Stuxnet就如同人間煉獄，因為它極具侵略性，能夠以各種各樣的方式來進行傳播。"

Stuxnet在去年7月份首次被確認，它可以攻擊四個之前未知的安全漏洞，通過USB存儲棒和網(wǎng)絡(luò)共享區(qū)來傳播。它可以感染用來管理工業(yè)控制系統(tǒng)的Windows系統(tǒng)，覆蓋嵌入式控制器，破滅破壞那些系統(tǒng)。

歡迎進入到未來的網(wǎng)絡(luò)安全世界：當今最先進、最成功的攻擊會是將來很平常的安全挑戰(zhàn)。網(wǎng)絡(luò)犯罪分子可能會試圖同樣謀求Stuxnet的這種能力：在網(wǎng)絡(luò)上持續(xù)潛伏，隱藏在嵌入式設(shè)備里面。他們勢必還會企圖仿效其他攻擊采用的手法；比如說，Zeus擅長于操縱瀏覽器會話，而Conficker可以做到不被關(guān)閉。

攻擊者們還在改變運作方式，采用新的方式來開發(fā)和傳播攻擊手法。網(wǎng)絡(luò)間諜行動日益利用社交網(wǎng)絡(luò)來尋找容易下手的目標。就拿網(wǎng)絡(luò)攻擊行動"極光行動"（Operation Aurora）來說，涉嫌來自中國的攻擊者利用社交網(wǎng)絡(luò)，鎖定了谷歌及其他公司的員工，然后向他們發(fā)送針對性的電子郵件，目的是感染那些公司的關(guān)鍵計算機。

此外，軟件開發(fā)人員社區(qū)在支持先進的即插即用惡意軟件，比如針對銀行的Zeus特洛伊木馬。像Conficker那樣動態(tài)生成的域?qū)⑹沟冒踩藛T更難查明僵尸網(wǎng)絡(luò)的指揮和控制網(wǎng)絡(luò)。

Stuxnet的遺產(chǎn)

最后，與我們將來要面對的那種網(wǎng)絡(luò)攻擊造成的長遠影響相比，Stuxnet給伊朗核計劃造成的影響可能要小得多。賽門鐵克公司的全球情報網(wǎng)絡(luò)主管Dean Turner說，就Stuxnet而言，它變得不太像針對金融和電力等行業(yè)的攻擊，而是更像"有的放矢的攻擊"。"Stuxnet針對的是具體目標，即電機的變頻部件。"

安全專家長期以來就警告，嵌入式控制系統(tǒng)很容易受攻擊。2007年，美國能源部的測試表明，針對嵌入式系統(tǒng)的攻擊可以控制電力公司的發(fā)電機，引起發(fā)電機自毀。大多數(shù)工廠也由嵌入式系統(tǒng)和可編程邏輯控制器來控制。

在Stuxnet出現(xiàn)之前，這種危險還僅限于理論上的。而現(xiàn)在，凡是能接觸到代碼的人都有辦法來攻擊嵌入式系統(tǒng)。而且Stuxnet代碼廣泛傳播，感染了全球各地的計算機。Tofino公司的Byres說，Stuxnet為編寫可編程邏輯控制器的代碼提供了一堂"速成課"。我們遲早會開始看到各種各樣的"專門蠕蟲"伺機攻擊控制系統(tǒng)。

嵌入式系統(tǒng)通常把物理系統(tǒng)和數(shù)字系統(tǒng)連接起來，所以一旦攻擊者控制住了它們，也就控制住了關(guān)鍵系統(tǒng)。此外，代碼可以隱藏在嵌入式系統(tǒng)里面，讓攻擊得以持續(xù)存在，因而很難清理干凈。

托管安全提供商SecureWorks的首席技術(shù)官Jon Ramsey表示，私營公司不大可能長期不受到Stuxnet帶來的破壞，他提到"極光行動"就是襲擊私營公司的最先進攻擊的第一起事件。攻擊者通過"極光行動"表明："干嘛不攻擊行業(yè)企業(yè)……干嘛不攻擊擁有許多知識產(chǎn)權(quán)、在全球市場具有高度競爭力的大公司？"Ramsey如是說。#p#

攻擊者專業(yè)化

關(guān)于這些先進攻擊和所采用技術(shù)的知識在迅速傳播開來。一個主要原因是，攻擊者創(chuàng)建了自成體系的一整套聊天室、論壇、投件箱和技術(shù)刊物，以支持和擴大他們的攻擊行動。攻擊者在那里交流思想，培養(yǎng)特定的專長。某個小組幫助成員磨練攻擊流行軟件方面的技能；另一個小組編寫惡意腳本，植入到流行的惡意軟件里面。還有些小組致力于發(fā)展和維護僵尸網(wǎng)絡(luò)，企圖竊取數(shù)據(jù)。

Zeus就是證明這種專業(yè)化的一個典例。這個針對銀行的特洛伊木馬通過網(wǎng)絡(luò)釣魚和路過式下載攻擊，從合法網(wǎng)站傳播開來，它有一個龐大的生態(tài)系統(tǒng)，旗下的地下程序員編寫可植入Zeus的垃圾郵件傳播活動模板和可以利用特定漏洞的腳本工具包。犯罪分子可以購買一個腳本工具包來攻擊運行Mozilla Firefox瀏覽器的計算機，購買另一個腳本工具包來攻擊Adobe Acrobat的漏洞。Zeus的開放性更是推動了其普及程度，還大大增強了破壞能力。據(jù)賽門鐵克聲稱，現(xiàn)在Zeus的變種超過了9000個。

賽門鐵克的Turner表示，Zeus的一整套開發(fā)機制讓用戶可以花更少的錢搞更大的破壞。這是下面這個趨勢的一方面：網(wǎng)絡(luò)犯罪分子正變得更高效，對攻擊行動進行了優(yōu)化，企圖從每次破壞事件中撈到最大的好處。邁克菲公司的全球安全戰(zhàn)略和風險管理主管Brian Contos表示，一些先進的惡意軟件會將與之競爭的、缺乏效率的程序從它們感染的系統(tǒng)上刪除，甚至還會給那些系統(tǒng)打補丁，目的是為了從被感染的機器撈到最大的好處。惡意軟件使用一臺計算機來從事多種不法勾當，比如竊取數(shù)據(jù)和獲取登錄資料。Contos表示，毫無防備的受害者看起來也從中受益，因為他們的機器運行更順暢了，但其實已經(jīng)受到了感染。

攻擊者還在利用自動化技術(shù)來提高攻擊效率。他們不是攻擊世界上的每個互聯(lián)網(wǎng)地址，而是側(cè)重攻擊已知屬于運行容易受到攻擊的特定軟件（如WordPress）的計算機及其他流行博客平臺的地址。垃圾郵件發(fā)送者購買即開即用的垃圾郵件活動模板。而僵尸網(wǎng)絡(luò)經(jīng)營者利用Web界面來監(jiān)視和控制由受危及系統(tǒng)組成的網(wǎng)絡(luò)。

網(wǎng)絡(luò)攻擊軟件開發(fā)、支持和整個配套機制方面會出現(xiàn)所有這些創(chuàng)新，源動力是錢。許多網(wǎng)絡(luò)犯罪分子現(xiàn)在不是共享攻擊手法，而是變得更加隱秘，將自己的代碼和方法當成知識產(chǎn)權(quán)那樣來保護。

Contos表示，以前你要是參加DEF CON黑客大會這樣的會議，大家會共享工具?，F(xiàn)在不再是這樣了。而現(xiàn)在他們忙于開發(fā)零日威脅，"因為他們想賺錢。"

明天的攻擊正在形成

適逢其時的攻擊

網(wǎng)絡(luò)犯罪分子攻擊手法的改變使得另一種攻擊：網(wǎng)絡(luò)抗議更容易組織和執(zhí)行。我們也可以從最近針對萬事達、維薩和亞馬遜等網(wǎng)站的拒絕服務(wù)攻擊中一窺網(wǎng)絡(luò)犯罪的未來，這些攻擊是為了報復(fù)這些網(wǎng)絡(luò)拒絕與維基解密網(wǎng)站有業(yè)務(wù)往來。

雖然網(wǎng)絡(luò)抗議和拒絕服務(wù)攻擊不是什么新攻擊，但支持它們的技術(shù)變得越來越好，也工具變得越來越先進--這個趨勢會繼續(xù)下去。比如說，一個名為Anonymous的組織實施的維基解密攻擊采用了一種名為低軌道離子加農(nóng)炮（LOIC）的程序。該程序讓任何抗議者只要輸入IP地址，都能加入針對目標網(wǎng)絡(luò)或系統(tǒng)的攻擊大軍。

[[18694]]

互聯(lián)網(wǎng)安全公司Renesys的副總裁兼總經(jīng)理Earl Zmijewski表示，三個因素導(dǎo)致了分布式拒絕服務(wù)攻擊屢屢得逞。首先，受到攻擊的系統(tǒng)擁有比以往任何時候都要多的帶寬，所以攻擊者只要危及比較少的系統(tǒng)，就能對目標造成相當大的影響。其次，許多用戶繼續(xù)在運行舊軟件，因而攻擊者更容易接管他們的計算機，讓它們成為僵尸網(wǎng)絡(luò)的一員。第三，目前還是沒有輕松的辦法來對付拒絕服務(wù)攻擊。雖然內(nèi)容分發(fā)網(wǎng)絡(luò)能起到幫助，但最有效的防御還是使用一個專門的網(wǎng)絡(luò)，在惡意流量進入到目標服務(wù)器之前先將它們過濾掉。

由于這三個因素，僵尸網(wǎng)絡(luò)經(jīng)營者擁有了巨大威力。邁克菲的Contos表示，比如說，Conficker危及了640萬個系統(tǒng)，為它提供了每秒28 TB（注：1TB＝1012字節(jié)）的聚合帶寬。他說："這超過了亞馬遜和谷歌的帶寬總和--這實在太大了。"

安全威脅正將自己安插到用戶與互聯(lián)網(wǎng)之間。這種"瀏覽器中間人"（man-in-the-browser）攻擊--針對銀行的Zeus特洛伊木馬廣泛使用這種攻擊--讓攻擊者可以控制用戶能看到的一切。如果用戶依賴被Zeus感染的計算機，他會誤以為自己將100美元的電費劃到電力公司賬戶，實際上7000美元被劃到了另一個地方屬于網(wǎng)絡(luò)犯罪團隊某個成員的賬戶。用戶確認交易后，他看到的只是付款100美元，而實際上銀行接到的是轉(zhuǎn)賬7000美元的請求。

銀行安全公司Trusteer的首席技術(shù)官Amit Klein說："你從來不知道自己受騙上當，等到上銀行分行查賬后才恍然大悟。這種伎倆最先由其他惡意軟件采用；但是拜Zeus所賜，這種伎倆現(xiàn)在變得極其普遍。"

Zeus及其他威脅在避開旨在消除銀行詐騙的保護措施，比如雙因子驗證。由于攻擊是實時進行的，而且從受害者的計算機上發(fā)動，所以常規(guī)保護措施不管用。

更好的防御

許多公司想當然地以為，僅僅遵守法律要求的安全控制措施就夠了。但是單單遵守還不行。SecureWorks的Ramsey表示，先進的威脅會避開眾所周知的安全要求。要是每個人都使用同樣的技術(shù)和控制措施，"那么犯罪分子就會改動攻擊手法，破壞那些類型的防御機制，"他說。

美國聯(lián)邦存款保險公司要求銀行應(yīng)使用雙因子驗證和加密技術(shù)，正是這一要求促使犯罪分子開發(fā)出了Zeus，以避開那些保護措施。惡意廣告是表明攻擊者在避開防御機制的另一個例子，這種網(wǎng)上廣告把點擊廣告的用戶引到惡意網(wǎng)站。這些攻擊避開防火墻的手段是，通過互聯(lián)網(wǎng)進入。據(jù)SecureWorks聲稱，許多公司發(fā)現(xiàn)互聯(lián)網(wǎng)是第一大攻擊途徑。

Trusteer的Klein表示，像反病毒軟件這些常規(guī)防御機制對付先進的攻擊效果并不好。Stuxnet在傳播了一年多后才被發(fā)現(xiàn)；Zeus經(jīng)常避開基于特征的防御機制。

賽門鐵克的Turner表示，公司需要全面的防御，而不是僅僅需要技術(shù)。他說："我們必須開始討論我們該如何在網(wǎng)上共享信息、如何使用安全系統(tǒng)。政策及實施與技術(shù)本身來得一樣重要。"

保護網(wǎng)絡(luò)邊界是關(guān)鍵，但由于像iPad和iPhone這些消費級移動設(shè)備進入到公司企業(yè)，連保護邊界這項工作都變得更為復(fù)雜。Turner表示，隨著個人設(shè)備與企業(yè)之間的界線日益模糊，"我們已增加了我們的機密數(shù)據(jù)或企業(yè)數(shù)據(jù)擁有的接觸點的數(shù)量。"

公司不但要找出潛在威脅，還要找出最寶貴的資產(chǎn)。SecureWorks的Ramsey表示，公司需要了解威脅、這些威脅要攻擊的目標，以及威脅如何攻擊目標。

公司還必須確定有多少用戶和系統(tǒng)可以訪問重要信息、哪些對象值得保護。Turner表示，它們必須實施一套數(shù)據(jù)分類系統(tǒng)，確定最寶貴的知識產(chǎn)權(quán)，然后將安全經(jīng)費和人員重點投入到這部分數(shù)據(jù)上。與試圖一視同仁地保護所有數(shù)據(jù)相比，企業(yè)成功保護一小部分數(shù)據(jù)的可能性要大得多。

IT經(jīng)理也不能再忽視網(wǎng)絡(luò)上計算機和路由器之外的其他部件。安全研究人員已證明，越來越像小型服務(wù)器的打印機可以作為進入企業(yè)網(wǎng)絡(luò)的跳板，而Stuxnet正是通過嵌入式控制器一路傳播的。

Turner說："我們不得不開始考慮技術(shù)的不同部分。閥門歸工程師管理，而網(wǎng)絡(luò)歸IT人員管理，"我們必須讓它們可以說相同的語言。

公司還必須關(guān)注更好的檢測和響應(yīng)機制。Ramsey表示，網(wǎng)絡(luò)異常檢測和情報服務(wù)可以識別在企業(yè)網(wǎng)絡(luò)已成功找到立足點的攻擊。但檢測并不能有效地防御這些攻擊。他說："阻止攻擊所需的成本低于清理攻擊所需的成本；攻擊潛伏時間越長，重新控制自己的IT系統(tǒng)所需的成本就越高。"

如果關(guān)注一下將來司空見慣的先進攻擊，防范工作顯得尤為重要。正如Stuxnet告訴我們的那樣，這類程序持續(xù)時間越長，造成的破壞就越大。最終，防御人員必須完善防御機制，以便時時比壞人搶先一步。#p#

嚴加防范，應(yīng)對將至的威脅

不要單單遵守。法律要求的安全控制措施很少足夠安全。

擴大關(guān)注范圍。技術(shù)不是安全工作的全部；還要關(guān)注政策及實施。

保護移動用戶。所有那些新設(shè)備都讓你的數(shù)據(jù)面臨風險。

分析你的數(shù)據(jù)。確定自己的最寶貴信息，然后重點保護這部分信息。

仔細觀察一切。數(shù)字系統(tǒng)和物理系統(tǒng)的所有部分現(xiàn)在都面臨風險。

[[18695]]

2011年會是Mac攻擊盛行的一年？

今年，網(wǎng)絡(luò)犯罪分子可能會將注意力轉(zhuǎn)向Mac，這是他們之前基本上沒去碰的一種平臺。Steve Santorelli以前是倫敦警察廳的一名偵探，現(xiàn)在是安全研究組織Team Cymru Research負責全球?qū)ν饴?lián)系的主管，他表示，俄羅斯黑客雜志《Xakep》里面的幾篇文章著重介紹了如何攻擊Mac OS X操作系統(tǒng)，表示東歐的黑客們可能已經(jīng)在開發(fā)攻擊技術(shù)。

由于很少面臨威脅，大多數(shù)Mac用戶并沒有運行反惡意軟件程序。Santorelli說："要是有人在明年推出了瀏覽器漏洞包，我們會看到許多人會被感染。所以，你最后會遇到針對OS X的Zeus。"

蘋果公司嚴格控制Mac、比較簡單的代碼以及比較出色的安全模型，這讓OS X比Windows來得安全。據(jù)Santorelli聲稱，但OS X并不是從根本上比Windows 7更安全的一款操作系統(tǒng)。針對OS X的惡意軟件之所以數(shù)量比較少，原因在于面向OS X的應(yīng)用程序數(shù)量少得多。

2008年，計算機科學(xué)家Adam O'Donnell利用博弈論推算出：一旦Mac機占到計算機安裝總量的大約17%，惡意軟件對OS X來說就會開始成問題。據(jù)NetMarketshare.com網(wǎng)站聲稱，如今，Mac機約占美國計算機安裝總量的11.5%，約占全球安裝總量的5%。

有跡象表明地下犯罪分子對Mac產(chǎn)生了興趣，這表明蘋果用戶要小心了。去年10月，Koobface病毒的一個版本攻擊了OS X用戶，該病毒在Facebook用戶中廣泛傳播。攻擊者利用了Mac機上Java軟件存在的漏洞，將Mac機變成了僵尸網(wǎng)絡(luò)的指揮和控制服務(wù)器。

原文鏈接：http://www.darkreading.com/insider-threat/167801100/security/vulnerabilities/229100054/next-generation-threats-the-inside-story.html

【51CTO.com獨家譯稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請注明原文出處及出處！】

【編輯推薦】

1. 內(nèi)網(wǎng)網(wǎng)絡(luò)安全的解決之道
2. 2011年網(wǎng)絡(luò)安全預(yù)測 精確打擊與“社攻”當?shù)?/a>
3. Stuxnet蠕蟲攻擊方法簡介
4. 微軟修復(fù)嚴重的瀏覽器漏洞和Stuxnet惡意軟件漏洞