|
|
犯罪軟件:新一輪較量的開始……前言本文詳細分析了近期惡意程序針對金融機構客戶所發動攻擊的最新情況。文章著重介紹了金融 惡意軟件(即犯罪軟件)和反病毒產業之間的對抗和競爭,並且就因此產生的犯罪軟件和金融領域整體之間的衝突進行了分析。 本文不會著重介紹網絡罪犯是如何使用惡意程序感染用戶計算機的,也不會詳細分析網絡罪犯 針對金融組織使用的一些惡意策略如網絡釣魚或社交工程等。雖然這些話題一直都是人們所關注的熱點,但針對此類情況的詳情,我們已經在早先的文章中詳細介紹 過了,例如: http://www.securelist.com/en/analysis/204792037/Attacks_on_banks. 本文的核心圍繞著一個問題,即以目前的形勢,是否可以有效地從根本上杜絕惡意軟件對金融 產業造成危害。 本文針對的主要對象是從事金融工作的專家和相關專業人員,以及對此領域有興趣的IT專業 人員。 在開始正文前,我們首先需要強調文章中所有金融組織的安全評級並不能反映其真實可靠性 (或缺乏可靠性),同該組織的漏洞也無關,不能用於同其他同類競爭組織進行比較。該評級主要取決於其所用系統的普遍性以及用戶在操作時遇到的情況。僅從此 文章內容得出某個銀行安全系統的可靠性的結論是不恰當的。 網絡罪犯 正在頻繁攻擊目前,我們經常能夠聽到越來越多的關於網絡罪犯成功攻擊金融組織客戶的案例。通常,針對 此類金融機構客戶進行的攻擊方式並不新穎,已經早被濫用。這些手段無非是:尋找合適的攻擊目標,對其計算機進行感染,竊取客戶的在線登錄信息,最終竊取受 害用戶的錢財。 近期最具典型性的此類惡意程序來自Zbot-toolkit家族,即ZeuS木馬。 ZeuS木馬是一種專門設計用來盜取上述數據——即用戶登錄網上銀行賬號登陸認證信息的 惡意工具。在過去的2009年,ZeuS一直非常活躍,而且目前仍然構成了可觀的威脅,彷彿在嘲笑IT安全專業人員。他們曾經曾多次試圖關閉ZeuS殭屍 網絡,但收效甚微。目前,仍然有超過700多個ZeuS控制命令中心在運行,每個控制中心控制的受感染計算機大約平均有兩萬至五萬。僅從這個數據,我們就 可以推測出潛在的受害用戶的數量是何等龐大。不僅如此,此類控制中心在全球均有分佈,見圖1。
廣泛的地理分佈保證了殭屍網絡的壽命。近期的舉措也表明,僅僅關閉一些託管服務網站是無 法摧毀殭屍網絡的。3月9日,通過ZeuS Tracker監測殭屍網絡的Roman Husse發現殭屍網絡的控制中心數量急劇減少,並且發現造成此現象同一個名為Troyak的互聯網服務提供商的關閉有關。到3月11日,控制中心數量已 經減少到104個。但是,兩天後,Troyak找到了一個新的電信服務商。到3月13號,控制中心的數量又增長到超過700個。所以,當時由於控制中心數 量減少帶來的欣喜並沒有持續多久。 ZeuS家族惡意軟件絕對不是唯一一個設計用來竊取用戶登錄信息,最終為了染指用戶的在 線錢財的惡意工具。例如,Spy Eye 工具包不僅能夠竊取相應數據,還具有摧毀其競爭對手Zbot/ZeuS工具的能力。這表明,就在我們的眼皮底下,惡意軟件之間正在進行著一場虛擬大戰。例 如還有惡名遠播的Mariposa殭屍網絡,控制了全球超過1300萬台受感染計算機。該殭屍網絡被西班牙警方於2009年12月摧毀。 在Spy Eye殭屍網絡的控制面板終端上,網絡罪犯使用一個個小錢袋代表殭屍網絡上每個被感染的計算機。 反病毒行 業是否遭遇技術壁壘?殭屍網絡充當著金融惡意軟件繁衍的溫床。正是通過這些惡意軟件,網絡罪犯可以輕易地竊取 到用戶的錢財,並且不斷尋找新的受害者。下圖數據清晰表明針對銀行以及其他金融組織的客戶採取攻擊的惡意程序數量在過去幾年內明顯增加(見圖2):
上述數據表明,金融惡意軟件從誕生到現在,其數量一直呈季度性增長。更為不妙的是,事實 上很大比例的金融惡意軟件在最初出現時,並不能被大多數反病毒軟件檢測到。例如,根據ZeuS Tracker Center提供的數據,截止到3月中旬,超過一半多的通過ZBot/ZueS殭屍網絡傳播的惡意軟件是無法被反病毒軟件查殺的。這意味著網絡罪犯採用惡 意軟件發起的攻擊非常成功。當反病毒廠商經能夠為用戶提供足夠的防護時,已經為時過晚,因為網絡罪犯已經得到了他們想要的數據。 那麼,造成這一狀況的原因是什麼呢?為了弄清真相,我們仔細分析一下採用典型的反病毒數 據庫防護方案的反病毒廠商處理此類威脅的具體步驟。雖然每個反病毒廠商改採用的具體步驟可能會稍有不同,但整體上都包括以下關鍵步驟(見圖3):
現在,讓我們仔細看一下每個步驟:
一個惡意軟件的出現到用戶受到針對此惡意軟件的反病毒更新,可能需要幾個小時。造成這一 延遲的原因是上述所有步驟都需要相應時間去完成。當然,延遲時間過去後,用戶會得到可靠的安全保護。但是因此也產生了一個悖論,即最後提供的保護措施通常 都是亡羊補牢。因為如果一個用戶的計算機已經被感染,其上面的個人數據就已經被網絡罪犯所竊取。最終,反病毒軟件只能幫助用戶瞭解自己的計算機已經被感染 過,但是丟失數據這種損失是無法挽回的。 網絡罪犯對反病毒軟件的整個更新過程同樣瞭如指掌。他們知道反病毒軟件更新數據庫的時 間,並且非常清楚他們所使用的惡意軟件遲早會被檢測到並清除。所以,他們經常採取下列攻擊方案:首先,發佈一個惡意文件。幾個小時後,當反病毒軟件已經能 夠檢測該惡意軟件時,他們會利用另一種新的惡意軟件發動一輪新的攻擊。每次都利用這短短幾個小時的時間作案,並且週而復始不斷循環。結果,雖然反病毒廠商 能夠提供可靠的威脅檢測和防護,但是這種落後的反病毒技術有些力不從心,提供的保護往往不夠及時。 總結:
金融組織 和客戶的自我保護考慮到上述情況,當反病毒數據庫的更新明顯落後於當前威脅水平是,金融組織只能想辦法建 立和推廣自己的客戶認證機制,從而減少風險,最大程度地對抗網絡犯罪的攻擊。 近來,不可否認很多主要的金融組織開始引入額外的解決方案,為自己的客戶提供電子認證手 段。其中一些認證方式如下:
在此,我們不會專門討論網絡罪犯繞過此類保護措施的方法,因為我們已經在上述的關於「銀 行攻擊「的文章中詳細介紹過。但是,我們必須指出,網絡罪犯確實知道怎樣」騙過這些「保護系統」,而且他們改採用的手段還非常成功。 當然,金融機構改採取的防護措施確實使網絡罪犯展開攻擊變得相對困難了一些。但同時,此 類措施也並非萬無一失。我們仍然不斷受到各種關於網絡銀行失竊的報導,同之前相比並沒有太大改善。
根據卡巴斯基實驗室2010年第一季度的數據,我們整理出了網絡罪犯最常攻擊的金融機構 的名單,如下:
表1. 網絡罪犯最常攻擊的排名前10位的金融機構(卡巴斯基實驗室數據) 事實上,上述表格排名在過去的幾年中,幾乎沒有什麼變化。 最容易遭受攻擊的是巴西的銀行。關於此趨勢,卡巴斯基實驗室的Dmitri Bestuzhev在其「巴西:銀行木馬氾濫的國家」一文中有詳細介紹。 根據卡巴斯基實驗室提供的數據,2010年第一季度遭受類似攻擊的銀行數量已經接近 1000個。 這也表明,儘管銀行組織開始引入額外的安全保護措施,但網絡罪犯也在不斷探索和尋找新的 並且更為複雜的感染手段,企圖獲取用戶的信息。 總體來說:
是否有可 行的解決方案?現在,我們將試圖回答這個關鍵問題:即以當今現有的技術手段,是否可能有效對抗犯罪軟 件? 讓我們仔細考慮一下上述影響銀行以及這些金融機構安全的主要問題,總結出來哪些是亟需解 決的問題。
雖然目前來看,我們所面臨的前景不不是很樂觀。反病毒廠商的反應時間還不夠快,網絡罪犯 仍然逍遙法外,而銀行客戶也沒有得到足夠的保護。但是,我們仍然還有希望。相關技術仍然在繼續開發,今天一些頂級的反病毒廠商已經具備抵禦此類惡意攻擊的 解決方案。 目前,市場上的一些反病毒廠商已經開始利用雲計算技術。這種技術能夠有效提高對惡意內容 的檢測和攔截,並且限制其傳播源。我們這裡指的是基於客戶-服務器技術的雲安全技術,這項技術能夠分析用戶計算機上關於惡意軟件活動的元信息。不過,這些 信息只有經過用戶的許可才會上傳,並且上傳信息中不會包含任何用戶的個人信息。 此技術不同於反病毒數據庫檢測技術,在分析樣本方面採用的方式不同。反病毒引擎只能夠根 據固定的規則去分析樣本,例如識別非正常的行為模型。而通過在線分析從很多用戶計算機上同步收集到的元數據,則可以很快的檢測出「可疑行為」,並且技術對 此類行為進行攔截,從而避免威脅的進一步傳播。在實際應用上,使用此類雲安全技術的計算機用戶在新威脅出現幾分鐘之後,就可以收到安全保護措施。 採用雲安全技術具有以下優勢:
那麼,這種新型技術能為金融機構帶來什麼呢?首先,此解決方案能夠像金融機構發出預警, 一旦有新興威脅對其客戶進行功能,金融機構可以在第一時間內知悉。這些預警信息包括威脅的具體情況以及如何對抗這些威脅的防護指導。 同時,還有一種被稱為「形勢觀察室」的服務需求量很大。這種服務可以允許金融機構進行訪 問。此類網絡資源需要一個登錄名和密碼。通過登錄此服務,用戶可以獲取到遠遠超過郵件提醒所能包容的更多信息。例如,某個「形勢觀察室」可以提供同某個金 融機構相關的報告和分析,包括針對該機構客戶的網絡攻擊所處區域以及來源等數據。 但是,此類提醒服務以及報告系統也許並非最佳的解決方案,具體原因如下:
上述因素都使得確定攻擊詳情變得更加複雜。 為了更為清晰的瞭解網絡罪犯對於銀行世界的攻擊行為,最高的方式是反病毒廠商和金融機構 之間開展直接合作。
反病毒廠商和金融機構之間的緊密合作可以一石二鳥,有效地打擊犯罪軟件。金融機構通過這 種合作,也可以減少他們所面臨的風險,縮減他們由於此類事件造成的費用支出。而對於反病毒廠商來說,則可以有機會更為有效地打擊此類具有針對性的網絡攻 擊。 政府支持截止到目前,我們一直在關注兩個對抗網絡犯罪的團體是反病毒廠商和金融機構。但是,事實 上還必須有一個團體應該積極加入到此類行動中去,雖然現其現在扮演的角色還不積極,我們所說的是政府。 如果沒有政府的支持,擊敗網絡犯罪的可能性大大減小。國家具有邊界,但是互聯網卻沒有, 這使得網絡罪犯在互聯網上可以安全按照自己的意願行事,自由度極大。例如,嚴格按照相應國家的訴訟流程以及國際法,某個韓國銀行是否可以快速關閉一個位於 巴西的惡意軟件服務器呢?或者某個巴西銀行是否可以關閉某個中國服務器呢?答案很顯然,這兩種情況下都不可以。如果不同國家的相關權力部門之間沒有有效的 合作機制的話,對抗網絡犯罪至少困難重重。這之間的鬥爭就好像是拔河比賽。一旦任何新技術被用於對抗網絡犯罪行為,網絡罪犯就會迅速開發出繞過保護技術的 手段。整個過程又從新開始,不停循環。 下表列出了2010年第一季度用於傳播犯罪軟件的惡意託管服務的地理分佈:
結論我們已經介紹了反病毒廠商和金融機構在對抗網絡犯罪和在線銀行客戶錢財失竊問題時所面臨 的一系列困難。並且詳細分析了一種可行的解決方案。 除了在線銀行系統外,此解決方案還適用於其他系統。例如,可以用來有效監控針對在線遊戲 系統、電子支付系統以及交易平台的攻擊。值得注意的是,事實上針對此類系統的攻擊數量遠遠高於針對在線銀行系統攻擊的數量。 毫無疑問,我們認為有必要再次重申一下政府在此領域應該扮演的重要角色。如果沒有政府支 持,我們很難在對抗網絡犯罪的事業中取得成果。在相關權力機構達成有效的合作、溝通和互動之前,網絡犯罪的問題不可能得到完全解決。
詞彙表犯罪軟件 是一種專門開發的用於自動從事金融犯罪的惡意軟件。此類惡意軟件還包括其他一些具有類似惡意行為的惡意軟件,例如銀行木馬和密碼盜竊木馬等。更多關於犯罪 軟件和惡意軟件分類的信息,請參考:http://www.securelist.com/en/threats/detectchapter=138. ITW(自然)樣本 指的是在用戶計算機系統上發現的「自然」惡意程序樣本,能夠證明用戶計算機確實已經遭受感染。 卡巴斯基安全網絡(KSN) 是一套分佈系統,用於實時收集用戶計算機上存在的威脅。此外,它還能夠有效識別未知惡意威脅,並且確定其源頭,便於我們迅速做出反應,為用戶提供相應保 護。關於KSN更多詳情,請瀏覽:http://www.kaspersky.ru/product_technologiesid=19. 工具集 是一套用來完成某個功能或目標的工具。在本文中,工具集用來創建和管理殭屍網絡,並且利用殭屍網絡竊取用戶的在線銀行登錄信息。 殭屍網絡 是一群被感染的計算機在控制命令中心的控制下組成的網絡,殭屍網絡統一受控於網絡罪犯,網絡罪犯可以利用受感染計算機從事任何行為
2010年05月17日
|
|
All rights reserved. Industry-leading Antivirus Software