SANS預測2008十大網路安全威脅

千年虫

SANS預測2008十大網路安全威脅
安全訓練、認證與研究機構SANS公佈了
「top 10 cybersecurity threats for 2008」報告，
在這份列表中預測了不斷增加的瀏覽器攻擊、
Botnet(僵屍網路)的氾濫以及詭譎多變的網路間諜技術。

這份清單由Stephen Northcutt、Ed Skoudis、
Marc Sachs、Johannes Ullrich、Tom Liston、
Eric Cole、Eugene Schultz、Rohit Dhamankar、
Amit Yoran、Howard Schmidt、Will Pelgrin及Alan Paller
等十二位網路安全專家共同完成，
同時發佈於SANS Security 2008研討會中，
這份報告中反應了今年影響最劇的線上攻擊媒介。

1. 利用瀏覽器漏洞的網站攻擊逐漸增加 –
特別是針對合法網站
針對瀏覽器的攻擊將成為最大威脅，
特別是針對Flash和QuickTime這類外掛程式，
由於這些瀏覽器外掛使用非常普及，
而且不會隨著瀏覽器自動更新，使他們成為主要攻擊目標。
此外網路罪犯份子也已經採用自動化工具搜尋網路上
可利用漏洞的目標。一套盛行在攻擊者間的駭客工具MPack宣稱，
經由其模組感染的網站，瀏覽者遭入侵的成功率達10%~25%。
從現有趨勢可以看出，
攻擊者越來越傾向透過入侵那些使用者信賴的網站來發動攻擊。

2. 製作精良而有效率的Botnets不斷增加
2007年初透過Email傳播的Storm Worm在發佈一週後
就感染了大量電腦，Storm利用P2P和加密等技術運作，
這也意味著無法透過關閉單一中控伺服器來阻擋，
除此之外，它的發送內容及隱蔽技術都在不斷提昇，
這也使得Strom、rival和Nugache等詭譎多變的蠕蟲
成為2008重點威脅之一。

3. 有組織支持的網路間諜活動將鎖定大量資料–
特別是利用魚叉式釣魚攻擊
2007年最大的安全新聞之一就是美國議會和國防部揭露，
來自中國和其他一些國家透過間諜軟體竊取美國大量資料。
在2008年，儘管整體安全防禦將提昇，
但是間諜活動仍然會持續成長，有價值的目標增加以及
間諜技術的強化也意味著更多的成功案例。
針對經濟與國家安全資料的間諜活動會持續增加，
透過魚叉式釣魚手法，攻擊者會利用郵件中的附件等方式，
在目標開啟時利用系統漏洞取得電腦的控制權。

4. 行動電話威脅，特別反應在iPhone、Android-Based
電話及VOIP技術上行動電話越來越像電腦，
各種惡意程式也因此逐漸鎖定在這些設備身上。
像Google Android這類完全開放的行動平台會帶來
無法預期的安全威脅，也為駭客提供了廣闊的空間。
各種行動套件逐漸成熟也使得攻擊者能更方面的發動攻擊，
像Metasploit的作者H.D. Moore就預定
在本月份進行一場針對行動內容的網路簡報。

2008年VoIP的攻擊將會從地平線竄升，VoIP電話及
IP PBX已經被研究出許多的漏洞，網路上隨處可見
利用這些漏洞開發的攻擊工具。

5. 內部攻擊
內部攻擊來自惡意員工、顧問及其他合約商，2008年
此一威脅將會上升。由於組織內部的人無法避免一定會
具有某權限，來自內部的威脅一直都存在，由於企業內部
系統的聯繫越來越緊密，而且資料的價值也越來越高，
這種攻擊行為將會不斷增加，一個最基本的防禦方式就是，
加強限制使用者只能存取他們業務上有必要知道的資訊。

6. 進化的身份資料竊取 – 來自持續運作Bots
目前有些木馬病毒可以潛伏在電腦中三到五個月，
並將這段時間蒐集到的密碼、銀行賬號、瀏覽歷史紀錄和
常用的Email等資訊不斷回傳，在取得足夠的資料之後，
這些身份竊賊就開始進行敲詐勒索，或嘗試利用這些資訊
通過基本安全驗證，以進行進一步的資訊竊取。
Symantec最近公佈的木馬程式Trojan.Silentbanker
就是類似這種病毒，它可以在使用者進行轉賬時改變其輸入
的轉入賬號，並將錢轉入竊賊自己的賬戶。

7. 惡意間諜程式不斷增加
國際犯罪份子不斷強化他們的惡意程式碼能力，
注入像是Flux這類技術以避免遭追蹤。不僅如此，
像是Storm的最新變種甚至會對調查來源發動DDoS攻擊，
這類保護機制也使得調查的工作越來越困難。這些惡意工具
也逐漸針對各類防毒、反間諜及反rootkit工具進行躲避，
以便盡可能延長惡意程式的生命週期。整體而言，
惡意程式對受害者的黏著力將會越來越強，也更難清除。

8. Web應用程式及安全漏洞利用
由於程式設計上得疏忽，為數可觀的網站存在XSS、
SQL injection等漏洞問題。在2007年之前，
很少有駭客會利用Web應用程式的漏洞進行攻擊，
因為別的管道效益更大，但隨者Web攻擊手法不斷被揭露，
越來越多攻擊者嘗試藉此取得經濟利益。
Web 2.0的問題也不斷浮現，這是因為本質上Web 2.0網站
上使用者提供的資料並非全然可靠的。

9. 混合釣魚、VOIP及事件釣魚的社交工程攻擊將會增加
混合各種基本手法的社交工程攻擊將會增加，
整個釣魚攻擊行動將會先竊取一些基本的個人資訊，
在利用這些資訊搭配如SalesForce、Monster等特別服務網站為
目標予以個別攻擊。稅金問題及美國總統大選將成為今年廣泛
被使用的釣魚議題之一，駭客可能會利用注有煽動性標題
的資訊來誘騙使用者打開惡意郵件。例如去年10月份，Salesforce.com的使用者收到了假冒聯邦貿易委員會(FTC)
的郵件，開啟後使用者電腦就被安裝了惡意程式。

另外一種混和釣魚的方式就是結合email及VoIP，
攻擊者發送偽裝成信用卡公司的郵件，要求收件者透過免費
專線對他們的帳戶重新認證，而撥打信中的號碼會轉接到
其他國家的VoIP語音系統，並利用語音引導客戶輸入他們的
卡號等資料。

10. 供應鏈攻擊感染消費電子設備(USB裝置、GPS、數位相機等)
並經由知名公司散佈
零售商店逐漸成為惡意程式散佈的管道。
越來越多人採用USB裝置進行連接，也使得消費電子設備
成為駭客攻擊的目標。甚至有人會經由網路購買這些設備，
有意或無意感染病毒之再退貨，更糟的是，很多商家在
測試退回的儲存設備後，發現沒有問題而再次上架。
儘管此類攻擊目前並不像Strom等木馬如此普遍，
但它卻更適合作為目標攻擊手段，例如在一場研討會中假借
分享簡報的方式就可以感染特定對象，也因此其損害能力
甚至可能超越木馬攻擊。