五年来硬件和软件威胁的演化态势分析
9月9日,Intel Security 发布了《迈克菲实验室威胁报告:2015 年 8 月》,内容包括对图形处理器 (GPU) 恶意软件的评述、针对网络犯罪分子窃取数据惯用技术的调查,以及自英特尔公司宣布收购迈克菲以来威胁态势的五年演化回顾。
将 2010 年初研究人员的观点与自那时起硬件和软件安全领域威胁的实际演化状况进行对比,迈克菲实验室以这种方式来纪念英特尔与迈克菲联姻五周年。主要研究人员和管理者回顾了我们对芯片级安全能力的预测、新出现的难以检测的攻击所带来的挑战以及我们在2010 年对新设备类型的预期与市场真实情况的对比。
五年威胁态势分析表明:
Intel Security 预见到了以硬件和固件组件为目标的威胁及其对运行时完整性的威胁。
逃逸恶意软件和长期攻击的不断涌现丝毫不令我们惊奇,不过,一些特定的策略和技术在五年前是难以想象的。
尽管移动设备数量的增长远远快于我们的预期,但针对此类设备重大普遍性攻击的增长却比我们设想的要缓慢的多。
我们看到以物联网 (IoT) 设备为目标的攻击和威胁方兴未艾。
云技术的采用已经改变了一些攻击的性质,当设备遭受攻击时,不仅关乎其所存储的少量数据,更关乎攻击者会找到通往重要数据驻留位置的途径。
网络犯罪已发展成为一个成熟的行业,涉及供应商、市场、服务提供商、资金筹措、交易系统以及业务模式的扩散等。
企业和消费者仍然没有对更新、补丁、密码安全、安全警告、默认配置和其他确保网络和物理资产安全的简便但重要的方法予以足够的重视。
发现和利用核心互联网漏洞实施攻击,表明了对一些基本安全技术的资金和人员投入的不足。
在打击网络犯罪方面,安全行业、学术界、执法机构以及政府部门之间保持着日益紧密的积极协作。
Intel Security 迈克菲实验室高级副总裁 Vincent Weafer 指出:“三大关键要素让我们印象深刻——不断扩展的攻击面、黑客攻击的行业化以及 IT 安全市场的复杂性和碎片化,这加速了威胁的演化以及攻击规模和频率的变化。为了跟上这种发展态势,网络安全界必须不断改进威胁智能信息共享、招募更多安全专业人员、加快安全技术创新、与政府部门保持合作使他们能够履行保护网络空间公民安全的职责。”
8 月份的报告还探讨了在攻击中利用 GPU 恶意软件的三个概念证明细节。现如今,几乎所有的恶意软件都被设计成从中央处理器 (CPU) 上的主系统内存运行。上述概念证明充分发挥了这些旨在加快图像创建以供输出显示的专用硬件组件的效率优势。黑客将尝试充分利用 GPU 的强大处理能力,通过在传统防御通常不会找寻恶意代码的地方运行代码和存储数据,以逃避传统的恶意软件防御手段。
通过审查这些概念证明,Intel Security 认为,将一部分恶意代码从 CPU 和主机内存移走减少了基于主机的防御检测面。不过,研究人员证明,至少恶意活动的痕迹元素仍然保留在内存或 CPU 中,从而使终端安全产品能够检测威胁并及时加以补救。
在本报告中,迈克菲实验室还详细介绍了网络犯罪分子用来从企业网络窃取各类个人信息(姓名、出生日期、地址、电话号码、社会保障号、信用卡和借记卡号、医疗保健信息、账户凭据甚至性取向)的惯用技术。除了攻击者所使用的策略和技术,分析还涉及攻击者类型、动机以及企业为了更好检测信息窃取行为而应采取的策略。
本报告还公布了 2015 年第二季度其他的一些威胁发展态势,具体如下:
勒索软件。勒索软件继续保持快速增长,第二季度新勒索软件样本数量增加 58%。2014 年第二季度至 2015 年第二季度,勒索软件样本总数增长 127%。我们将这种增长态势归因于诸如 CTB-Locker、CryptoWall 和其他一些新恶意软件的快速增长。
移动恶意软件呈下降态势。二季度,移动恶意软件样本总数增长 17%。而在该季度,除了北美和非洲地区外,其它地区移动恶意软件感染率则下降了约 1%。北美地区几乎下降了 4%,而非洲地区则保持不变。
垃圾邮件僵尸网络。由于 Kelihos 僵尸网络保持不活跃态势,在整个第二季度,由僵尸网络生成的垃圾邮件量延续下降趋势。Slenfbot 再次拔得头筹,紧随其后的是 Gamut,Cutwail 勉强位居前三。
可疑 URL。在第二季度,每小时有超过 670 万次通过电子邮件和浏览器搜索等方式诱骗迈克菲用户连接风险 URL 的企图。
被感染的文件。第二季度,每小时有超过 1920 个被感染的文件在迈克菲用户的网络中传播。
PUP 崛起。在第二季度,每小时另有700 万个潜在有害程序 (PUP) 企图在受迈克菲保护的网络中安装或启动。