2012年8月10日 星期五

Android 惡意程式於 2012年上半年大幅增長


Android 惡意程式於 2012年上半年大幅增長

資訊保安技術專家Symantec在5月初發表的互聯網安全威脅報告(Internet Security Threat Report, Volume 17)中指出,在2011年所有惡意網絡威脅之中,近三分二由網絡攻擊工具套件造成。其間Symantec藉網絡感應器在2011年最後6個月內偵察這類工具套件平均每日的攻擊次數,並與2012年上半年的數字作比較。


圖1 – 攻擊工具套件在2012年的活躍程度比2011年增加

在該段期間內的每一日,成功發動攻擊的平均次數均有出入,但嘗試發動攻擊的次數卻呈現明顯的上升趨勢。根據2012年7月份蒐集的數據,現時每日錄得的攻擊次數是2011年下半年的三倍。

此外,地下市場攻擊工具套件的銷售情況亦出現了急劇轉變。以往攻擊工具套件均連同入侵漏洞的程式碼一起出售,但現時它們的架構已逐漸演變成插件形式。攻擊者只須繳付象徵式費用,便可以在地下論壇購買攻擊工具套件框架,然後再購置其他獨立出售的漏洞程式碼(exploit scripts)加以組合。許多漏洞程式碼都可以配合不同的攻擊工具套件。


圖2 – 其中一個出售網絡攻擊工具套件的地下市場

現時活躍的攻擊工具套件五花八門,其中以Blackhole、Phoenix、Nuclear Pack、Bleeding Life及 Eleonore較為流行。雖然每種攻擊工具套件均略有分別,但它們的運作方式其實大同小異。這些攻擊工具套件主要針對Adobe Reader、Adobe Flash Player及 Java等第三方瀏覽器插件的漏洞。很多時,雖然有關廠商已經提供修正程式來修補被針對的漏洞,但用戶往往因為沒有及時安裝這些修正程式,而令這些攻擊工具套件有機會乘虛而入。換句話說,這些入侵漏洞的工具套件通常是針對尚未更新的過時軟件,只有在可能的情況下,才會入侵較新的漏洞。優點是這些漏洞往往只在個別操作平台上出現,而許多攻擊工具套件均會嘗試入侵Windows 及Mac電腦上的漏洞。

一般來說,攻擊者會透過垃圾電郵或社交網絡攻擊,誘騙沒有防範的用戶墮入陷阱。攻擊者往往會預先入侵正當網站並安裝網絡攻擊工具套件,然後利用上述技倆誘使用戶登入這些網站的連結。另一方面,這些網絡攻擊工具套件所利用的伺服器大多並非由攻擊者擁有或管理,而是來自採用過時軟件而被入侵的個人或小型企業網站。從多宗個案發現,攻擊者在入侵任何互聯網伺服器後,便會在這個網站內安裝攻擊工具套件。在大多數情況下,攻擊者不會在網站的主要網頁上留下這些惡意攻擊頁面的直接連結,令該網站或互聯網伺服器的擁有者難以覺察自己的系統已經被攻擊者入侵和利用,而很多時他們需要借助網絡安全解決方案供應商的服務,才可找出和清除這些惡意程式碼,徹底解決問題。

網絡攻擊工具套件的數量在2012年上半年大幅上升,原因很可能是它們為攻擊者提供多元化、靈活的入侵方式。這些套件能夠自動攻擊漏洞,不必人手操作。隨著攻擊工具套件演變為插件,甚至採用軟件即服務(SaaS)模式發放,令攻擊者更輕易利用最新的漏洞來作惡。我們估計這類攻擊所帶來的威脅將會日益惡化。



攻擊者藉Google Play網上軟件商店發放惡意程式

攻擊者繼續針對Android 操作系統,他們似乎不斷找尋新方式來滲透Google Play應用程式商店,以發放其惡意流動程式。舉例說,有一隻惡意軟件會偽裝成正當的熱門遊戲,但流動程式中只有小部分是真正的遊戲,其餘流動程式都是稱為Android.Fakeapp的木馬程式。任何表面上無害的程式,背後若暗藏了可對用戶構成風險或秘密竊取個人資訊的惡意程式碼,均可被視為木馬程式。



這些惡意流動程式一經安裝後,便會要求用戶開放各種權限以啟用其他功能,包括擷取裝置的定位訊息,例如GPS資訊,讀取及寫入用戶的網站瀏覽紀錄及書籤。這些惡意程式更會下載額外的配置檔案,用以向用戶顯示廣告或誘使他們下載其他程式。此外,它們亦會收集個人資訊,例如裝置的國際流動設備識別碼(IMEI)和用戶的電話號碼,然後發送到特定的網站。凡此種種,可以看到惡意程式開發人員一直窺間伺隙,尋找可沿過Google Play自動篩選程序的編碼。

轉載自《Braagraa》

沒有留言:

張貼留言