[資安小常識] Microsoft 資訊安全情報報告第 15 卷內容摘要

  • Article

作者:Cho-Han Wu

 

 

微軟資訊安全情報報告書 (Microsoft® Security Intelligence Report)呈現的是每半年一次的產業資安觀察,提供企業資安負責人更深入的見解。本期的資訊安全情報報告書主要觀察的時間是在2013年上半年(一月至六月),並歸納了全球Windows 使用者以及網際網路上所提供的一些熱門線上服務所收集到的資料。針對軟體公開弱點、惡意程式分佈以及軟體弱點攻擊程式碼趨勢提供深入的分析觀點。本期資安小常識將針對第十五期的資訊安全情報報告書的內容做一個重點整理及報導。

 

本報告主要以幾個主要分類進行探討:

1. 資訊安全漏洞 (Vunerabilities)
2. 入侵程式 (Exploit)
3. 惡意程式 (Malware)
4. 電子郵件威脅 (Email threats)
5. 惡意網站 (Malicious websites)

 

資訊安全漏洞 (Vunerabilities)

 

資訊安全漏洞是指某些軟體內的弱點,讓攻擊者有機可趁並在使用者不知情的情況下,藉由在軟體內放置惡意的程式碼,得以竊取資料庫內機密資料或是讓軟體崩壞。

 

 

上圖為2013年上半年度的資安漏洞外洩程度,根據共通弱點評估系統 (Common Vulnerability Scoring System, CVSS) 把嚴重的等級分為0~10 分作為評估的依據。可以看到有超過一半以上的比例(52.9%) 是屬於中等程度的外洩,並有 36.7% 的程度是屬於高嚴重程度的外洩。

 

 

以上系列圖為2010年下半年度到2013年上半年度的,依順時鐘順序為資安外洩嚴重程度、資安外洩複雜程度、外洩的類別以及微軟產品及非微軟產品的比較。從上圖中可以看到的在複雜度部分,高複雜度的外洩在這段期間內維持約 5%以下的比率,低複雜度的外洩從2011年上半年度以來就是維持著最高的比率,大約維持在50%左右。而在外洩類型的部份,則是以應用程式的外洩為大宗,其次為作業系統以及瀏覽器的外洩。另外,對於微軟產品和非微軟產品的比較部分,可以看到非微軟的產品所受到的外洩比率較高,而微軟產品所佔的比率大約為10%以下。

 

 

上圖為近兩年來全球受到資安攻擊的數目和感染率之比較,可以看到的是雖然每一季每一千台電腦大約有180台左右會受到資安攻擊事件,但是實際上真的受到感染的比例仍不高,大約為0.6%左右,顯示大部分的系統都有受到良好的保護。

 

入侵程式 (Exploit)

 

入侵程式是指一段惡意程式碼,在未經過使用者的同意下,擅自在軟體間尋找漏洞來感染、干擾和控制電腦。入侵的對象包含了作業系統、網頁瀏覽器、應用程式以及軟體套件等等。

 

 

上圖中顯示了在2012年第三季到2013年第二季之間,微軟防毒軟體所偵測到的各種入侵,並以單一電腦計次計算。可以看到以網頁為基礎的 (HTML/JavaScript) 威脅從2013年開始就是最高的比率,隨後是Java以及作業系統。另外,在下圖中可看到 HTML/IframeRef 是2013年最高比例的惡意入侵來源,其主要原因是在HTML中的Iframe 標籤容易讓使用者被誤導入惡意的網站中,下載到入侵程式,而造成系統危害。

 

 

惡意程式 (Malware)

 

這部份的資料收集自許多不同來源的遙測資料,包含了十幾億台電腦以及許多繁忙的伺服器資料。本部分的內容以遭遇率來計算惡意程式的普及率,下面兩圖呈現2013年第二季全世界的感染率和遭遇率。

 

 

上圖用每一千台被掃描的機器所發現的感染數來代表感染率,可以看到的是全世界感染最嚴重的地區包含了北非,中東以及南亞。而在下圖的遭遇率可以看到在整個亞洲遭遇到惡意程式的普遍程度是比北美洲和歐洲來得高。

 

 

而在下圖也可以看到各個國家惡意程式的盛行率,就2013年第二季來看,前三名的國家分別是俄羅斯、印度以及墨西哥。

 

 

如果根據作業系統來看,下圖顯示了2013年第二季 Windows 作業系統在不同版本或是 SP 下的感染率。此資料是經過正規化的,也就是雖然各版本的使用人數不同,但此圖表呈現的方式是以同樣的人數為基準 (皆以每一千人呈現的感染資料為主)。可以看到在各版本中,又以 Windows XP SP3的感染率最高,Windows Server 2012 RTM的感染率最低。

 

 

 

再把遭遇率拿出來比較的話,可以看到的反而是Windows 7 所遭遇到的攻擊比率較高,Windows XP SP3只落到第三名,但它卻是感染率最高的作業系統,這種情形可能會在延伸支援到期時更加嚴重。

 

 

若是分析了惡意程式的類別,可以看到前三名的惡意程式是 Win32/Obfuscator、 INF/Autorun、.JS/IframeRef,Autorun是最近一年來遭遇次數最多的惡意程式類別,雖然在Windows XP 和Windows Vista的改版已經使此項技術變得較無效率,但是攻擊者仍藉此當作攻擊的目標,並試圖逃避微軟防毒軟體的偵測和封鎖。第二項最常遭遇攻擊的類別是Obfuscator,Obfuscator 藉由一些加密、壓縮以及anti-debugging 和anti-emulation的技術,讓原始的程式的功能維持正常,但實際上卻是不同的編碼,實作惡意的行為。

 

電子郵件威脅 (Email threats)

 

本部分內容的資料來源是來自於微軟的Exchange Online Protection (EOP) 統計資料,EOP是一個雲端式的電子郵件篩選服務,它能協助組織抵禦垃圾郵件和惡意軟體,同時也包括預防組織發生訊息原則違規的功能。下圖一為2009年下半年到2013年上半年被EOP所阻擋的惡意訊息數目;下圖二則為阻擋訊息的類別,可以看到這些垃圾訊息又以藥物訊息為大宗,其次是圖片訊息,詐騙訊息為第三。

 

 

 

下圖看到的是傳送垃圾郵件的IP位置來源國家統計,可以看到寄送最多垃圾郵件的IP是來自美國,其次是中國以及英國。

 

 

針對如何防範email威脅的部分,本期的SIR也提出了相關的建議:例如除了使用郵件過濾服務如EOP等以外,自己也可以藉由實行email認證技術和觀察最好收發email的方式,想要更深入的了解如何防衛email威脅,可以詳閱本期SIR的Guarding Against Email Threat 章節。

 

惡意網站 (Malicious websites)

 

1. 釣魚網站
釣魚網站是指內容常會誤導使用者進入非網頁主旨的網站,這些網站通常會放在免費的網頁伺服器空間,或是不安全的網域名稱下。下圖是2013年第二季全世界釣魚網站的分布圖,可以看到印尼、南非、及東歐部分地區為主要的釣魚網站來源地。

 

2. 惡意主機服務提供者
惡意主機服務時常藉由提供免費的空間,藉以詐取使用者放在上面的資訊或資料等等。在2013年第二季當中,最多的惡意主機服務提供者是來自於中國、俄羅斯、以及巴西。

 

3. 偷渡式下載
所謂的偷渡式下載主要是針對使用者的電腦未完整更新(包含作業系統或是電腦中的第三方軟體),來進行攻擊行為;通常攻擊者會先將惡意程式碼隱藏於網頁中,當使用者存取到該網頁時便會遭受惡意影響並轉址到真正含有惡意程式的網站,進行下一步的感染/植入或是相關的竊取個資等行為。在2013年第二季的分布圖中,可以看到外蒙古、加拿大、印度及歐洲等地是偷渡式下載的主要來源

 

 

參考資料