如果2011年的網(wǎng)絡(luò)間諜活動(dòng)仍然與2010年一樣的話，那么我們將看到大量針對(duì)特定目標(biāo)的一次性攻擊，這些攻擊不僅會(huì)令研究者感到驚訝，還會(huì)繼續(xù)損害企業(yè)。

上述這段話來(lái)自于Mikko Hypponen，他是來(lái)自于赫爾辛基的安全服務(wù)公司F-Secure的首席技術(shù)官。在上周二舉行的2011年度RSA會(huì)議上，討論關(guān)于網(wǎng)絡(luò)間諜時(shí)，Hypponen以最近發(fā)生的攻擊事件為例，展示了網(wǎng)絡(luò)犯罪分子是如何在受害公司、政府組織或個(gè)人毫不知情的情況下竊取數(shù)據(jù)的。

Hypponen注意到，互聯(lián)網(wǎng)上的間諜活動(dòng)與以經(jīng)濟(jì)為目的的間諜活動(dòng)截然不同，因?yàn)槭芄舻哪繕?biāo)明確而具體——大多數(shù)是國(guó)防承包商、公共部門(mén)組織、政府及其部門(mén)機(jī)構(gòu)和宣傳組織——攻擊者很少會(huì)因?yàn)榻?jīng)濟(jì)目的而攻擊這些組織，如親西藏的組織以及內(nèi)蒙古少數(shù)民族支持者團(tuán)體。

Hypponen說(shuō)幾乎所有的定向攻擊都是通過(guò)電子郵件、在線聊天或者網(wǎng)頁(yè)滲透發(fā)生的。他說(shuō)，大部分的攻擊都很相似：始于一封從一個(gè)看起來(lái)受信任的同事、客戶(hù)、伙伴或者朋友那里發(fā)來(lái)的電子郵件，聊著日常話題。

然而，實(shí)際上這些郵件都是攻擊者制作和發(fā)送過(guò)來(lái)的;郵件中包含了能夠觸發(fā)并打開(kāi)受感染系統(tǒng)后門(mén)的代碼，通過(guò)后門(mén)犯罪分子可以不受阻礙地盜取數(shù)據(jù)、監(jiān)視用戶(hù)并將用戶(hù)的電腦并入其不斷擴(kuò)大的僵尸網(wǎng)絡(luò)中。

許多電腦被感染都是因?yàn)橛脩?hù)缺乏安全意識(shí)或者僅僅是因?yàn)檫\(yùn)氣不好，Hypponen說(shuō)，以網(wǎng)絡(luò)間諜為目的的定向攻擊成功率很高，因?yàn)楣粽邔?zhuān)門(mén)研究了目標(biāo)可能會(huì)感興趣的內(nèi)容，然后以此創(chuàng)建惡意的郵件或其他文檔，并以合法的、第三方的身份發(fā)送這些郵件。

更糟的是，Hypponen說(shuō)道，這類(lèi)攻擊者越來(lái)越多地使用一次性的惡意軟件，導(dǎo)致反惡意軟件系統(tǒng)難以檢測(cè)。

“通常，如果在實(shí)驗(yàn)室里我們有一個(gè)惡意軟件樣本，那也就意味著我們有該軟件的成百上千的樣本，”Hypponen說(shuō)，但是在這些事件中惡意軟件是唯一的;研究人員以前從沒(méi)見(jiàn)過(guò)它們，以后也不會(huì)再次見(jiàn)到。

然而，一個(gè)保持不變的趨勢(shì)是，搭載惡意代碼的文件始終是那幾類(lèi)。根據(jù)F-Secure公司的數(shù)據(jù)，2010年61%的定向攻擊依賴(lài)于惡意PDF文件;剩下幾乎所有的都是感染微軟的Office文檔，包括Word、Excel和PowerPoint。

具有諷刺意味的是，進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)的攻擊者常常在郵件或者文件中包含有關(guān)網(wǎng)絡(luò)攻擊的信息。Hypponen展示了一封談?wù)摼W(wǎng)絡(luò)沖突的惡意電子郵件，該郵件被發(fā)送至一個(gè)關(guān)注網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的郵件列表，以整個(gè)列表內(nèi)的人為目標(biāo)。

他還提到了一個(gè)例子。一位安全分析師發(fā)現(xiàn)諾貝爾和平獎(jiǎng)主頁(yè)上已被成功植入惡意軟件。他通報(bào)了這個(gè)問(wèn)題，不久之后收到一封感謝他的電子郵件，附件中有一份PDF文件，邀請(qǐng)他參加即將到來(lái)的諾貝爾和平獎(jiǎng)的受獎(jiǎng)儀式。但問(wèn)題是，這份郵件是偽造的，那份PDF文件實(shí)際上是一次定向攻擊。

Hypponen說(shuō)，目前仍然很難檢測(cè)網(wǎng)絡(luò)間諜活動(dòng)，但他推薦指導(dǎo)用戶(hù)不要打開(kāi)意外的電子郵件附件。如果用戶(hù)收到了此類(lèi)郵件，他們應(yīng)該首先向郵件發(fā)送者確認(rèn)。他還指出，大多數(shù)PDF漏洞都是針對(duì)Adobe Reader的缺陷，因此企業(yè)應(yīng)該鼓勵(lì)使用另外的PDF閱讀器，以降低被成功攻擊的可能性。

“Adobe reader是我見(jiàn)過(guò)的最差的軟件，然后就屬Q(mào)uickTime，”Hypponen說(shuō)道。

Marc，一位來(lái)自美國(guó)政府機(jī)構(gòu)的與會(huì)者，希望保持匿名。他說(shuō)，很明顯用戶(hù)應(yīng)該避免使用Adobe Reader，但問(wèn)題是用戶(hù)并不知道它是多么不安全，也不知道換一個(gè)PDF閱讀器是多么重要。

另一位與會(huì)者Harry Bryson，來(lái)自英國(guó)，目前在惠普公司做軟件工程師。他說(shuō)，惡意的PDF文件與社會(huì)工程學(xué)相結(jié)合，使得網(wǎng)絡(luò)間諜活動(dòng)難以被停止。

【編輯推薦】

1. 梭子魚(yú)“應(yīng)用安全·游刃有『魚(yú)』”發(fā)布會(huì)在杭州舉行
2. 趨勢(shì)科技中小企業(yè)安全軟件包構(gòu)建“高性?xún)r(jià)比”防御平臺(tái)
3. 內(nèi)網(wǎng)安全威脅重重 到底該如何檢測(cè)防范
4. 千招百式 讓無(wú)線局域網(wǎng)安全到底
5. 360安全專(zhuān)家提醒：關(guān)注帶毒強(qiáng)制視頻軟件