根據(jù)谷歌安全瀏覽API服務(wù)收集的數(shù)據(jù)顯示，路過式感染是最常見的攻擊方式，而IP偽裝攻擊則不斷增加。

根據(jù)谷歌安全團隊的最新報告顯示，攻擊者越來越多地開始使用IP偽裝來感染網(wǎng)站的訪問者，他們通過向惡意軟件檢測系統(tǒng)提供干凈的頁面來繞過檢測系統(tǒng)，同時讓網(wǎng)站訪客感染惡意軟件。

“在過去幾年，我們發(fā)現(xiàn)越來越多的惡意網(wǎng)站開始采用IP偽裝的方式。為了繞過隱藏防御，我們以不同的方式來運行我們的掃描儀以模仿正常用戶流量，”谷歌安全團隊Lucas Ballard和Niels Provos表示。

谷歌的研究是基于其安全瀏覽API服務(wù)四年多以來收集的數(shù)據(jù)。谷歌安全瀏覽API是一個在線數(shù)據(jù)庫，包含很多已知的惡意操縱網(wǎng)頁和釣魚網(wǎng)站。Chrome以及Mozilla的Firefox和蘋果公司的Safari瀏覽器都在使用這個數(shù)據(jù)庫。

該搜索引擎巨頭對攻擊者使用的惡意軟件規(guī)避方法的分析主要基于約800萬各網(wǎng)站的1.6億各網(wǎng)頁。

根據(jù)谷歌的報告(包括五年的數(shù)據(jù))顯示，截至2010年夏天，約16萬各網(wǎng)站采用了隱藏域名。這項技術(shù)在兩年前達(dá)到頂峰，當(dāng)時游20萬個網(wǎng)站使用了IP偽裝，比上一年增加了5萬個網(wǎng)站。“這個高峰期恰逢大規(guī)模攻擊，上千個網(wǎng)站被感染并重定向到gumblar.cn，這有效地隱藏了我們的掃描儀，”谷歌在其報告中。“雖然隱藏頁的增加部分是因為我們系統(tǒng)中對隱藏域的檢測有所改進(jìn)，但我們相信這只是一般隱藏狀態(tài)的代表。”

攻擊者也有使用社會工程學(xué)和路過式下載攻擊的方法，根據(jù)谷歌表示，社會工程網(wǎng)絡(luò)攻擊試圖誘使用戶點擊鏈接或者下載軟件。來自網(wǎng)站的惡意軟件式瀏覽器的三大主要威脅介質(zhì)之一;釣魚攻擊和漏洞利用是另外兩個。NSS實驗室最新調(diào)查顯示，IE9在捕捉社會工程惡意軟件攻擊方面表現(xiàn)最好。

但是谷歌表示，雖然社會工程學(xué)攻擊正在不斷被作為網(wǎng)絡(luò)惡意軟件的載體，但是在傳播惡意軟件的所有網(wǎng)站中只有百分之二真正使用了這個載體。惡意軟件通常是以假冒防毒軟件或者瀏覽器插件的形式。

“社會工程學(xué)的使用頻率顯著增加，并仍在上升，但是重要的是這種增長是否會保持，”谷歌報告顯示。

路過式下載仍然是最流行的惡意軟件載體：在這種感染中，攻擊者利用瀏覽器或者瀏覽器插件中的一個漏洞來感染受害者。“我們對攻擊者利用的漏洞的分析表明攻擊者很快轉(zhuǎn)移到新的和更可靠的漏洞，并且支持續(xù)很短一段時間，直到新的漏洞出現(xiàn)。而其中一個例外就是MDAC漏洞，該漏洞在大多數(shù)利用包中仍然存在。”

并且JavaScript混淆也被用來繞過瀏覽器模擬器和AV引擎。

谷歌發(fā)現(xiàn)攻擊者在不斷調(diào)整他們的方法來繞過更常見的虛擬機蜜罐、瀏覽器仿真蜜罐、域名聲譽和防病毒引擎的檢測方法。“我們的試驗證實了我們的假設(shè)，即惡意軟件編寫者會繼續(xù)追尋可以混淆不同惡意軟件檢測系統(tǒng)的機制，”報告顯示。

報告全文下載(PDF格式)：http://static.googleusercontent.com/external_content/untrusted_dlcp/research.google.com/en/us/archive/papers/rajab-2011a.pdf

原文地址：http://www.darkreading.com/security/application-security/231500264/google-report-how-web-attackers-evade-malware-detection.html

【編輯推薦】

1. 以牙還牙是對付網(wǎng)絡(luò)攻擊的解決之道嗎？
2. 新一波DDoS僵尸網(wǎng)絡(luò)攻擊來勢洶洶
3. 秘籍：DDOS網(wǎng)絡(luò)攻擊的7種武器
4. 知己知彼 解析網(wǎng)絡(luò)攻擊五大步驟