趨勢公布2006年安全威脅預測—密碼賊與BOT蟲等灰色軟件將取代文件型病毒

　　趨勢科技全球防毒研發暨技術支持中心--TrendLabs公布2006年安全威脅預測：密碼竊賊與 BOT 傀儡蟲等灰色軟件將取代文件感染型病毒，並以各種隱匿行蹤技巧，避免被偵測，從而拉長監聽竊取機密資料的時間。這種竊取資料的攻擊趨勢也向手機發展了，2005 年11月第一個嘗試竊取手機信息的安全威脅SYMBOS_PBSTEAL.A，會將所有竊取的聯絡人信息傳送到距離范圍內的其它所有移動裝置。另外，TrendLabs統計發現2005年藏身在網頁的間諜程序/廣告程序與後門、Rootkit 或具BOT 功能等灰色程序，以更隱密的方式安裝在不知情的計算機裡。2005年此類灰色程序占前15大安全威脅中的65％ 。而在所有的入侵方式中，以掃描網絡共享資料夾占37％，得逞機率最高。其次為安全弱點攻擊（19％），而IM 、IRC 和 P2P 通訊有關的安全威脅居第三（16%）。 　　2005 年病毒的創新伎倆，包含： 　　1. 木馬生命周期延長，以充裕時間竊取信息 　　2. 新一代“間諜式網絡釣魚”，監控網絡傳輸，開啟真網頁，登錄數據傳輸第三者 　　3. 黑客滲透計算機，安裝行銷程序，換取傭金 　　4. 惡意程序隱身策略：封裝程序、Rootkit、雙組件攻擊 　　5. BOT 開放原始碼，模塊化使其加速進行安全弱點攻擊 　　趨勢科技預測2006 年的安全威脅包含： 　　1. 整合後的BOT 殭屍軍團火力將更強大 　　2. <掩護行蹤更難偵測> 以封裝程序 、Rootkit隱匿行蹤的方法將會增加 　　3. <間諜式網絡釣魚更易上鉤>不引誘造訪假網站，傳輸機密資料不留痕跡 　　4. <惡意程序廣告化>廣告程序、間諜軟件以量計價，黑客向“錢”看 　　IM 、IRC 和 P2P 通訊有關安全威脅持續成長 　　2005年前15大安全威脅，65％為灰色程序（間諜程序、後門程序、Rootkit 或 BOT ） 　　2005年新的灰色程序增加了一倍，安裝更為隱密。 　　灰色程序包括廣告程序、後門程序、下載程序、以及植入程序。2005 年灰色程序出現極大的轉變，新的廣告程序變種變種改為采用更隱匿的方式將灰色程序安裝在受害者的計算機上。整體上而言，2005 年新型態的廣告程序依然維持穩定成長的趨勢，但是新的後門程序、下載程序、植入程序、以及其它特洛依木馬間諜程序數量都增加了一倍。 　　2005 年可說是「灰色程序充斥的一年」，通報次數將近 1100萬次，在前十五大安全威脅排行榜中就占了 65% 的比例 –– 其中包括某些類型的間諜程序、廣告程序、後門程序、Rootkit 或 BOT 程序。　　安全威脅型態的分布比例： 　　1. 27% 為特洛依木馬程序 　　2. 25% 為病毒或蠕蟲 　　3. 18% 為廣告程序 　　4. 11% 為間諜程序 　　5. 10% 為 BOT 傀儡程序 　　6. 3% 為Script指令文件病毒 　　7. 0.60% 為 Rootkit惡意程式工具包 　　8. 0.60% 為 Office 宏病毒
·QQ2006 界面編程之雞蛋裡挑骨頭·官方下載：XP 2006新春桌面主題·張揚聊天個性:群英會2006正式版評測·AMD董事長魯毅智2006年薪酬1610萬美元·JPA重整ORM山河·教你玩轉PP2006·2006:浏覽器進入多元化發展·盤點：2006歲末IT業界大事狂PK·總結2006：十大Windows恢復技巧·[攢機]只需5000元 打造2006年最強悍游 　　入侵網絡共享資料夾，得逞機率最高 (圖片較大，請拉動滾動條觀看)　　上圖提供了 2005 年惡意程序最常使用的散播技巧的綜覽，這些資料是以趨勢科技全年所收集到的9,000 種較值得注意的新型惡意程序為依據。根據趨勢科技的分析，反復搜尋網絡共享資料夾以植入惡意程序依然是最成功的方法，在所有案例中占了將近 37% 的比例。針對安全弱點進行攻擊是成功率第二高的手法，在所有案例中占了 19% 的比例。在其它的散播媒介中，利用大量發信程序代碼，網絡聊天室 (IRC)、以及預設共享資料夾進行散播的方式分別都占了大約 10% 的比例。利用實時傳訊程序 (IM) 作為感染媒介只占了 4% 的比例，而其它所有方法，像是典型的文件感染及利用 P2P 網絡資源共享等等，在所有攻擊媒介中分別都只占了大約 2% 的比例，但若將IM 、IRC 和 P2P 等通訊有關的安全威脅歸為同類，則居第三（16%）。 　　IM 蠕蟲成長幅度達100％ 　　過去三年來，趨勢科技 TrendLabs研究人員不斷警告使用者應注意偶發性、但日益頻繁的另類感染媒介的運用。2005 年趨勢科技 TrendLabs目睹了 KELVIR、FATSO 與 BROPIA 等蠕蟲在這年的第一季發動另一波攻勢，每一只蠕蟲都能有效地散播給中毒計算機所有的 MSN Messenger 聯絡人。利用冒充他人傳送信息的手法，以及 IM 使用者年齡層普遍較低的情形，警覺性不高的 IM 使用者往往會很驚訝地發現他們信任的聯絡人竟然會傳送病毒給他們。這些轉變迫使 Microsoft 推出更新版本的程序，強化文件傳輸過濾功能以防止客戶端機器發生嚴重的病毒爆發情況。 (圖片較大，請拉動滾動條觀看)　　上圖顯示的是實時傳訊程序被用於散播病毒的發展情形，資料是以使用這種技巧的新型惡意程序數量為依據*。十二月的成長幅度超過一百倍。 　　手機威脅，開始竊取聯絡人信息 　　2005 年11月，趨勢科技收到了一個手機惡意程序的樣本，這個惡意程序會收集所有聯絡人信息，並且將它們傳送到距離范圍內的其它所有移動裝置。趨勢科技將這個惡意程序命名為 SYMBOS_PBSTEAL.A。事實上，這個惡意程序是第一個嘗試竊取手機信息的安全威脅。 　　竊取手機通訊簿的惡意程序及惡意程序植入程序是否會受到惡意程序作者的青睐，目前尚無法得知。然而，這決不會是最後一次。因此，趨勢科技 TrendLabs務必要提高警覺，保障新興科技的安全 – 尤其是具備高帶寬聯機功能的移動裝置，像是 WiFi、EDGE/GPRS、3G/UMTS，甚至是未來更高級的 WiMax。
　　2005 年病毒新伎倆 　　1. 木馬生命周期延長，以充裕時間竊取信息 　　動機的轉變使得安全威脅活動產生結構性變化。新的惡意程序大多都是以金錢利益為誘因。趨勢科技 TrendLabs發現針對特定目標的攻擊愈來愈多，這些攻擊會鎖定特定企業與他們的使用者，或是彼此具有共通之處的某個特定族群。精心設計的特洛依木馬程序會透過郵件散播給這些目標，希望警覺性不高的使用者會落入圈套中。采用這種有別於大規模蠕蟲感染的慢速散播方法，即可大幅增加了惡意程序維持長時間不被偵測到的機會。這種策略能讓特洛依木馬在被偵測並移除之前，收集到更多機密信息。 　　2. 新一代“間諜式網絡釣魚”，監控網絡傳輸，開啟真網頁，登錄數據傳輸第三者 　　2005年趨勢科技目睹了一種全新的攻擊手法稱之為「間諜式網絡釣魚」。舉例來說，有一種攻擊手法結合了網絡釣魚圈套與網站嫁接攻擊，並且鎖定線上銀行、金融機構、以及其它必須使用密碼的網站作為對象。進行間諜程序網絡釣魚攻擊時，作者會利用電子郵件中夾帶一個特洛依木馬程序，或是一個可下載特洛依木馬程序的連結。一旦惡意程序下載並執行之後，無論是通過手動的方式或是利用安全弱點，惡意程序就會監控網絡傳輸的信息，偵測使用者是否通過網絡存取特定網頁。一旦偵測到這種情況時，它就會將所有登入信息或機密資料傳回給黑客。目前已有不同的變種鎖定特定組織或相關的網絡公司，但它們的目的都一樣。大量散發的電子郵件內容可能與目標公司有關，或者它也可能會運用其它型態的社交工程圈套，類似傳統病毒所使用的技巧。 　　3. 黑客滲透計算機，安裝行銷程序，換取傭金 　　2005 年有一個相當突出的趨勢就是混合型安全威脅的實際運用。攻擊者以金錢利益為出發點，他們的活動並未局限於竊取銀行與電子商務網站的登入信息而已。許多黑客還會在中毒計算機中植入間諜程序、廣告程序、以及其它灰色程序。如果黑客再加入來自第三方的間諜程序與廣告程序，他們就能從事行銷活動，每安裝一個單位就能獲得一筆傭金。因此只要遭到黑客滲透的使用者愈多，他們賺的錢就愈多。多重特洛依木馬程序攻擊是通過一個下載程序/植入程序來展開它的行動，這個程序存在的目的只是為了將更多文件植入系統中，最後再安裝其它多種不同的特洛依木馬程序、廣告程序或間諜程序。這種方式在今天並非十分罕見，而且與之前討論過的趨勢轉變有直接的關聯。 　　4. 惡意程序隱身策略：封裝程序、Rootkit、雙組件攻擊 　　上述每一種技巧都具有一個共通點 – 只要維持不被偵測到的時間愈長，成功的可能性就愈高。竊取信息這種活動如果只能進行一天，它的有效性就會受到限制。它們進行監聽的時間愈長，取得寶貴信息的可能性就愈高。這種躲避偵測的需求，使得駭客分別以封裝程序、Rootkit、雙組件攻擊等策略，為惡意行徑穿上隱身斗蓬。 　　封裝程序 　　惡意程序作者仿效早在 2003 年就曾出現過的作法，使用不同的封裝程序來掩飾二進制程序的內部結構。封裝程序能將執行文件壓縮成較小的文件，此外它們還能讓不是使用程序代碼仿真或行為模式分析的傳統掃瞄程序對執行文件產生不同的偵測結果。運用這種功能作為掩護技巧就能延長程序的存活時間，因為防毒廠商必須取得許多樣本才能正確偵測出惡意程序的變種。黑客現在會分數次以電子郵件散播同一個惡意的特洛依木馬程序，但每一次都使用不同的封裝程序，或者同時使用多種不同封裝程序來壓縮。蠕蟲作者利用這種策略來散播不斷變化的蠕蟲文件，並且使用數十種不同的封裝程序來作掩護。在惡意程序作者與安全產品廠商的貓捉老鼠游戲中，這種復雜性能拖延偵測時間，也因此讓四個 WORM_MYTOB 變種能夠在五月引發黃色警報。另一個值得注意的案例則是與2005年最後一季發現的 SOBER 變種有關。根據趨勢科技的偵測結果，光是在十月造成了病毒爆發的 SOBER.AC 這個變種，就出現多達 64 種不同的封裝樣本。十一月 SOBER.AG 也利用這種技巧達到近似的成功效果。 　　Rootkit 　　黑客紛紛開始尋找其它方法以隱匿他們的行蹤，而且已經找到其中最有效的一種方法：Rootkit。接近 2005 年底時，Rootkit 被當成協助掩飾惡意程序與灰色程序活動的終極武器。Rootkit 會修改操作系統行為模式，以隱藏某些處理程序、文件、資料夾、以及登錄機碼。這種做