根据谷歌安全浏览API服务收集的数据显示,路过式感染是最常见的攻击方式,而IP伪装攻击则不断增加。
根据谷歌安全团队的最新报告显示,攻击者越来越多地开始使用IP伪装来感染网站的访问者,他们通过向恶意软件检测系统提供干净的页面来绕过检测系统,同时让网站访客感染恶意软件。
“在过去几年,我们发现越来越多的恶意网站开始采用IP伪装的方式。为了绕过隐藏防御,我们以不同的方式来运行我们的扫描仪以模仿正常用户流量,”谷歌安全团队Lucas Ballard和Niels Provos表示。
谷歌的研究是基于其安全浏览API服务四年多以来收集的数据。谷歌安全浏览API是一个在线数据库,包含很多已知的恶意操纵网页和钓鱼网站。Chrome以及Mozilla的Firefox和苹果公司的Safari浏览器都在使用这个数据库。
该搜索引擎巨头对攻击者使用的恶意软件规避方法的分析主要基于约800万各网站的1.6亿各网页。
根据谷歌的报告(包括五年的数据)显示,截至2010年夏天,约16万各网站采用了隐藏域名。这项技术在两年前达到顶峰,当时游20万个网站使用了IP伪装,比上一年增加了5万个网站。“这个高峰期恰逢大规模攻击,上千个网站被感染并重定向到gumblar.cn,这有效地隐藏了我们的扫描仪,”谷歌在其报告中。“虽然隐藏页的增加部分是因为我们系统中对隐藏域的检测有所改进,但我们相信这只是一般隐藏状态的代表。”
攻击者也有使用社会工程学和路过式下载攻击的方法,根据谷歌表示,社会工程网络攻击试图诱使用户点击链接或者下载软件。来自网站的恶意软件式浏览器的三大主要威胁介质之一;钓鱼攻击和漏洞利用是另外两个。NSS实验室最新调查显示,IE9在捕捉社会工程恶意软件攻击方面表现最好。
但是谷歌表示,虽然社会工程学攻击正在不断被作为网络恶意软件的载体,但是在传播恶意软件的所有网站中只有百分之二真正使用了这个载体。恶意软件通常是以假冒防毒软件或者浏览器插件的形式。
“社会工程学的使用频率显著增加,并仍在上升,但是重要的是这种增长是否会保持,”谷歌报告显示。
路过式下载仍然是最流行的恶意软件载体:在这种感染中,攻击者利用浏览器或者浏览器插件中的一个漏洞来感染受害者。“我们对攻击者利用的漏洞的分析表明攻击者很快转移到新的和更可靠的漏洞,并且支持续很短一段时间,直到新的漏洞出现。而其中一个例外就是MDAC漏洞,该漏洞在大多数利用包中仍然存在。”
并且JavaScript混淆也被用来绕过浏览器模拟器和AV引擎。
谷歌发现攻击者在不断调整他们的方法来绕过更常见的虚拟机蜜罐、浏览器仿真蜜罐、域名声誉和防病毒引擎的检测方法。“我们的试验证实了我们的假设,即恶意软件编写者会继续追寻可以混淆不同恶意软件检测系统的机制,”报告显示。
报告全文下载(PDF格式):http://static.googleusercontent.com/external_content/untrusted_dlcp/research.google.com/en/us/archive/papers/rajab-2011a.pdf
【编辑推荐】