木马攻击 杀毒软件失灵:企业安全噩梦

51testing

安全专家们在蒙特利尔举行的病毒公告大会上表示，蠕虫，病毒，以及特洛伊木马不再存在于明处，对于企业来说，有针对性的特洛伊木马已经成为一场噩梦。 　　赛门铁克安全响应中心的主任Vincent Weafer说：“有针对性的特洛伊木马在整个安全威胁中仍然只占很少的比例，但它却是企业最担心的威胁。
    木马是让企业官员日夜担心的危险之一。“
　　安全专家们表示，针对企业的秘密攻击通常包括安全键盘记录装置，屏幕信息截取软件等，它们的目的多用于工业间谍活动或者其它有牟利企图的犯罪活动。
　　网络犯罪分子通常会针对企业当中的一些电子邮件地址去信，欺骗这些受害者打开邮件附件。
　　安全技术能够阻止一般的攻击，但有目的性的孤寂一般很难被这些技术发现。安全技术通常对于大规模的安全估计能够做到预警，但如果只是隐藏在一小部分电子邮件当中的木马，安全技术往往就无能为力了。
　　英国Sophos安全公司的技术官Graham Cluley 表示，这是因为，如果是大型攻击，安全公司可以很快的察觉，而一些个体攻击，安全公司的反应速度会略慢。
    安全专家们说，有针对性的攻击好比巨大的安全雷达扫描仪屏幕上的一个小点。MessageLabs 公司的反病毒专家Alex Shipp表示，他的公司每天从电子邮件当中分离出恶意软件达3 百万，其中仅有7 个可以归于有针对性的特洛伊木马攻击。
　　过去两年，MessageLabs 已经发现，这样的有针对性的零星攻击已经危害到了跨国公司，政府机构以及军事单位。另外，律师事务所，人权组织，新闻机构以及教育部分也成为这种攻击的目标。
　　一般来说，大部分的攻击会选择那些存在漏洞的电脑系统，载体为Office文件。微软上周再次公布大量的漏洞补丁。
　　有针对性的攻击者喜欢Office文件的另外一个原因是，企业往往允许其员工用电子邮件接收这些文件，一般的可执行病毒很快会被安全软件发现，隐藏在Office文件当中相对比较“安全”。
　　零日攻击对于传统的基于“指纹”判断的安全产品是一种挑战，这种产品主要依据攻击“指纹”(特征)来判断威胁是否发生，而这至少要此类攻击曾经发生过。
　　德国Magdeburg 大学的病毒软件专家Andreas Marx说：“这是恶意攻击的未来趋势。感染零日攻击型病毒的系统无法获得杀毒软件的保护，因为没有病毒特征去让杀毒软件判断。”
　　病毒特征通常是由安全公司在收到被病毒感染公司提交的报告后创建的，安全公司会在收到报告后，将这些病毒特征与自己蜜罐(honeypots)的病毒样本，或者其它安全公司的病毒特征库中的样本进行比对，然后发布病毒特征。Marx表示：“这种机制对于有针对性的攻击不起效，因为其数量很小，只有一小部分系统感染。”
    Shipp 为此举了一个例子，目前，只有4 种杀毒产品侦测到了一例几个月前发生的有针对性的攻击。
　　这些有针对性的攻击者的身份是一个秘。安全专家们推测说，可能是分布于世界各地的各种有组织犯罪集团制造了这些零星的攻击，但他们缺乏直接的证据。
　　这些人的攻击动机也存在争议。Shipp 认为，这类攻击的目的是为了窃取信息，也就是工业间谍活动。
　　但赛门铁克的Weafer却认为攻击的目的各种各样。
　　安全公司正在开发更为先进的技术，以弥补病毒特征模式的不足。比如，利用启发式机制，安全产品能够依据行为模式去判断攻击的发生。
　　Cluley说：“杀毒软件公司已经在着手解决这一问题。有针对性的攻击并不完全是一场灾难，虽然它们不在雷达上显示，但好的主动式保护机制仍然能够侦察出这样的攻击类型。”