五年來硬件和軟件威脅的演化態(tài)勢分析

　　9月9日，Intel Security 發(fā)布了《邁克菲實(shí)驗(yàn)室威脅報(bào)告：2015 年 8 月》，內(nèi)容包括對圖形處理器 (GPU) 惡意軟件的評述、針對網(wǎng)絡(luò)犯罪分子竊取數(shù)據(jù)慣用技術(shù)的調(diào)查，以及自英特爾公司宣布收購邁克菲以來威脅態(tài)勢的五年演化回顧。

　　將 2010 年初研究人員的觀點(diǎn)與自那時(shí)起硬件和軟件安全領(lǐng)域威脅的實(shí)際演化狀況進(jìn)行對比，邁克菲實(shí)驗(yàn)室以這種方式來紀(jì)念英特爾與邁克菲聯(lián)姻五周年。主要研究人員和管理者回顧了我們對芯片級安全能力的預(yù)測、新出現(xiàn)的難以檢測的攻擊所帶來的挑戰(zhàn)以及我們在2010 年對新設(shè)備類型的預(yù)期與市場真實(shí)情況的對比。

　　五年威脅態(tài)勢分析表明：

　　Intel Security 預(yù)見到了以硬件和固件組件為目標(biāo)的威脅及其對運(yùn)行時(shí)完整性的威脅。

　　逃逸惡意軟件和長期攻擊的不斷涌現(xiàn)絲毫不令我們驚奇，不過，一些特定的策略和技術(shù)在五年前是難以想象的。

　　盡管移動(dòng)設(shè)備數(shù)量的增長遠(yuǎn)遠(yuǎn)快于我們的預(yù)期，但針對此類設(shè)備重大普遍性攻擊的增長卻比我們設(shè)想的要緩慢的多。

　　我們看到以物聯(lián)網(wǎng) (IoT) 設(shè)備為目標(biāo)的攻擊和威脅方興未艾。

　　云技術(shù)的采用已經(jīng)改變了一些攻擊的性質(zhì)，當(dāng)設(shè)備遭受攻擊時(shí)，不僅關(guān)乎其所存儲的少量數(shù)據(jù)，更關(guān)乎攻擊者會找到通往重要數(shù)據(jù)駐留位置的途徑。

　　網(wǎng)絡(luò)犯罪已發(fā)展成為一個(gè)成熟的行業(yè)，涉及供應(yīng)商、市場、服務(wù)提供商、資金籌措、交易系統(tǒng)以及業(yè)務(wù)模式的擴(kuò)散等。

　　企業(yè)和消費(fèi)者仍然沒有對更新、補(bǔ)丁、密碼安全、安全警告、默認(rèn)配置和其他確保網(wǎng)絡(luò)和物理資產(chǎn)安全的簡便但重要的方法予以足夠的重視。

　　發(fā)現(xiàn)和利用核心互聯(lián)網(wǎng)漏洞實(shí)施攻擊，表明了對一些基本安全技術(shù)的資金和人員投入的不足。

　　在打擊網(wǎng)絡(luò)犯罪方面，安全行業(yè)、學(xué)術(shù)界、執(zhí)法機(jī)構(gòu)以及政府部門之間保持著日益緊密的積極協(xié)作。

　　Intel Security 邁克菲實(shí)驗(yàn)室高級副總裁 Vincent Weafer 指出：“三大關(guān)鍵要素讓我們印象深刻——不斷擴(kuò)展的攻擊面、黑客攻擊的行業(yè)化以及 IT 安全市場的復(fù)雜性和碎片化，這加速了威脅的演化以及攻擊規(guī)模和頻率的變化。為了跟上這種發(fā)展態(tài)勢，網(wǎng)絡(luò)安全界必須不斷改進(jìn)威脅智能信息共享、招募更多安全專業(yè)人員、加快安全技術(shù)創(chuàng)新、與政府部門保持合作使他們能夠履行保護(hù)網(wǎng)絡(luò)空間公民安全的職責(zé)。”

　　8 月份的報(bào)告還探討了在攻擊中利用 GPU 惡意軟件的三個(gè)概念證明細(xì)節(jié)?，F(xiàn)如今，幾乎所有的惡意軟件都被設(shè)計(jì)成從中央處理器 (CPU) 上的主系統(tǒng)內(nèi)存運(yùn)行。上述概念證明充分發(fā)揮了這些旨在加快圖像創(chuàng)建以供輸出顯示的專用硬件組件的效率優(yōu)勢。黑客將嘗試充分利用 GPU 的強(qiáng)大處理能力，通過在傳統(tǒng)防御通常不會找尋惡意代碼的地方運(yùn)行代碼和存儲數(shù)據(jù)，以逃避傳統(tǒng)的惡意軟件防御手段。

　　通過審查這些概念證明，Intel Security 認(rèn)為，將一部分惡意代碼從 CPU 和主機(jī)內(nèi)存移走減少了基于主機(jī)的防御檢測面。不過，研究人員證明，至少惡意活動(dòng)的痕跡元素仍然保留在內(nèi)存或 CPU 中，從而使終端安全產(chǎn)品能夠檢測威脅并及時(shí)加以補(bǔ)救。

　　在本報(bào)告中，邁克菲實(shí)驗(yàn)室還詳細(xì)介紹了網(wǎng)絡(luò)犯罪分子用來從企業(yè)網(wǎng)絡(luò)竊取各類個(gè)人信息(姓名、出生日期、地址、電話號碼、社會保障號、信用卡和借記卡號、醫(yī)療保健信息、賬戶憑據(jù)甚至性取向)的慣用技術(shù)。除了攻擊者所使用的策略和技術(shù)，分析還涉及攻擊者類型、動(dòng)機(jī)以及企業(yè)為了更好檢測信息竊取行為而應(yīng)采取的策略。

　　本報(bào)告還公布了 2015 年第二季度其他的一些威脅發(fā)展態(tài)勢，具體如下：

　　勒索軟件。勒索軟件繼續(xù)保持快速增長，第二季度新勒索軟件樣本數(shù)量增加 58%。2014 年第二季度至 2015 年第二季度，勒索軟件樣本總數(shù)增長 127%。我們將這種增長態(tài)勢歸因于諸如 CTB-Locker、CryptoWall 和其他一些新惡意軟件的快速增長。

　　移動(dòng)惡意軟件呈下降態(tài)勢。二季度，移動(dòng)惡意軟件樣本總數(shù)增長 17%。而在該季度，除了北美和非洲地區(qū)外，其它地區(qū)移動(dòng)惡意軟件感染率則下降了約 1%。北美地區(qū)幾乎下降了 4%，而非洲地區(qū)則保持不變。

　　垃圾郵件僵尸網(wǎng)絡(luò)。由于 Kelihos 僵尸網(wǎng)絡(luò)保持不活躍態(tài)勢，在整個(gè)第二季度，由僵尸網(wǎng)絡(luò)生成的垃圾郵件量延續(xù)下降趨勢。Slenfbot 再次拔得頭籌，緊隨其后的是 Gamut，Cutwail 勉強(qiáng)位居前三。

　　可疑 URL。在第二季度，每小時(shí)有超過 670 萬次通過電子郵件和瀏覽器搜索等方式誘騙邁克菲用戶連接風(fēng)險(xiǎn) URL 的企圖。

　　被感染的文件。第二季度，每小時(shí)有超過 1920 個(gè)被感染的文件在邁克菲用戶的網(wǎng)絡(luò)中傳播。

　　PUP 崛起。在第二季度，每小時(shí)另有700 萬個(gè)潛在有害程序 (PUP) 企圖在受邁克菲保護(hù)的網(wǎng)絡(luò)中安裝或啟動(dòng)。