編者:Cho-Han Wu

 

01

圖一、 微軟資訊安全情報報告第 16 卷  (圖片來源)

 

Microsoft 資訊安全情報報告第 16 卷 (SIRv16) 提供了有關 Microsoft 和協力廠商軟體中的軟體漏洞、攻擊和惡意程式碼威脅的深入研究。這些研究基於 Microsoft 過去多年的詳細趨勢分析,本期分析重點在於 2013 年下半年(7 月到 12 月) 的資料。針對資安漏洞、惡意軟體分佈以及軟體弱點攻擊程式碼趨勢提供深入的分析觀點。本次資安小常識擷自該報告的主要結論,提供您對資訊安全的趨勢的深入瞭解。

 

本報告主要以幾個主要分類進行探討:

1. 資訊安全漏洞 (Vunerabilities)

2. 攻擊 (Exploit)

3. 惡意軟體 (Malware)

4. 電子郵件威脅 (Email threats)

5. 惡意網站 (Malicious websites)

 

資訊安全漏洞 (Vunerabilities)

資訊安全漏洞是軟體的缺陷,攻擊者可以利用這些缺陷威脅軟體或軟體所處理的資料的完整性、可用性或機密性。某些最嚴重的漏洞使攻擊者可以讓受損的系統在使用者不知情的情況下運行惡意程式碼,進而攻擊該系統。

02

2013 年下半年,整個產業的資訊安全性漏洞披露比 2013 年上半年增加 6.5%,比 2012 年下半年增加 12.6%。應用程式漏洞披露的增加是這種增長的主要來源。但總體來說,漏洞披露仍然低於 2012 年上半年的高峰水準,遠遠低於 2009 之前的水準,當時,每半年的披露總數往往達到 3,500 或更多。

 

攻擊 (Exploits)

攻擊是指在未徵得用戶同意且通常在使用者不知情的情況下利用軟體漏洞來感染、中斷或控制電腦的惡意程式碼。攻擊以安裝在電腦上的作業系統、Web 瀏覽器、應用程式或軟體元件中漏洞為目標。

03

上圖顯示 Microsoft 反惡意軟體產品在 2013 年每個季度檢測到的不同攻擊類型的流行程度(按遭遇率)。遭遇率是指運行 Microsoft 即時安全產品的電腦當中,報告遭遇惡意軟體的電腦的百分比。整體而言,2013 年下半年,整個產業的漏洞披露有所增加,但是高嚴重級別的漏洞有所下降。

攻擊系列 (Exploits Families)

04

  • 總體來說,2013 年下半年攻擊遭遇率明顯下降。

  • CVE-2012-1723,Java 運行時環境 (JRE) 中的一個漏洞,儘管與 2013 年第一季度的高峰值相比已經明顯降低,但仍是 2013 年下半年最常見的目標漏洞

  • CVE-2010-2568,2013 年下半年第二常見的目標漏洞,是 Windows Shell 中的漏洞。儘管一些其他惡意軟體系列也會嘗試利用該漏洞,但通常將檢測到的攻擊識別為 Win32/CplLnk 系列中的變體。Microsoft 於 2010 年 8 月發佈了安全公告 MS10-046以解決該問題。

  • Blacole是所稱的“黑洞”式攻擊套件的元件的 Microsoft 檢測名稱,該套件通過受感染的網頁傳播惡意軟體。潛在攻擊者在駭客論壇上和通過其他非法途徑購買或租用 Blacole 套件。當攻擊者將 Blacole 套件載入到惡意或遭到入侵的 Web 伺服器上時,沒有安裝相應安全更新的訪問者將面臨偷渡式下載攻擊感染的風險。2013 年第一季度的所有報告電腦中,遭遇 Blacole 的比率為 0.88%,但此後急劇下降,2013 年第三季度和 2013 年第四季度的遭遇率僅為 0.17%。

 

惡意軟體 (Malware)

惡意軟體感染電腦的大多數嘗試不會成功。全球四分之三連接網路的個人電腦受即時安全軟體保護,這些軟體隨時監控電腦和網路流量中的威脅,並在這些威脅感染電腦之前阻止它們(如果可能)。因此,要全面瞭解惡意軟體情況,必須考慮被阻止的感染嘗試以及被刪除的感染。

05

如上圖所示,與預期的一樣,惡意軟體遭遇遠比惡意軟體感染更常見。在 2013 年每個季度中,全球平均約有 21.2% 的報告電腦遭遇惡意軟體。同時,MSRT 從每 1,000 台中的約 11.7 台,或 1.17% 的電腦中刪除了惡意軟體。通過從不同觀點提供對惡意軟體如何傳播和電腦如何被感染的認識,遭遇率和感染率資訊可共同説明人們更全面地瞭解惡意軟體情況。

 

全球惡意軟體流行程度 (Malware Prevalence Worldwide)

為提供對全球威脅模式的認識,下圖顯示了 2013 年第四季度全球各地的感 染率和遭遇率。

06

 

安全軟體使用 (Security Software Use)

如果電腦的管理員已選擇向 Microsoft 提供資料,MSRT 的新版本將收集並報告有關電腦上的即時反惡意軟體的詳細狀態資訊。這種遙測可用於分析全球的安全軟體使用模式,並將其與感染率關聯。下圖顯示 2013 年每個季度 MSRT 發現的受或不受即時安全軟體保護的全球電腦百分比。根據其結果可得知全球四分之三的電腦持續運行即時安全軟體。

07

 

各作業系統的感染率 (Infection Rates by Operating System)

隨不同的 Windows 作業系統版本提供的功能和更新以及人們和組織使用每個版本的不同方式會影響不同版本和服務包的感染率。下圖顯示每個當前受支援的 Windows 作業系統/服務包組合的感染率 (CCM)。

08

由於 Win32/Rotbrow 的影響,2013 年第四季度所有受支持的 Windows 用戶端平臺的感染率均比 2013 年第三季度高出許多倍。此現象源自於去年忽然轉變成惡意程式的Rotbrow,但隨著各個安全軟體開始阻擋該惡意程式,預期2014 年的 CCM 數字將回歸正常的水準。

 

威脅系列 (Treat Families)

下圖顯示過去四個季度明顯提高或降低的一些系列的檢測趨勢。

09

  • 2013 年下半年最常遭遇的四個系列 — Win32/Rotbrow、Win32/Brantall、Win32/Wysotot 和 Win32/Sefnit — 為新系列或長期休眠後重新出現的系列。

  • Wysotot 是特洛伊木馬的一個系列,它會更改使用者的 Web 流覽器的起始頁。它通常由打著免費軟體或遊戲的旗號的軟體捆綁程式進行安裝。

 

家庭和企業威脅 (Home and Enterprise Threats)

家庭使用者和企業使用者的使用模式往往差異很大。分析這些差異可深入洞察攻擊者針對企業和家庭用戶進行攻擊的各種不同方式,以及哪些威脅更可能在每種環境中成功。

10

企業環境通常會採取縱深防禦措施,如企業防火牆,可防止一定數量的惡意軟體入侵使用者的電腦。因而,企業電腦的惡意軟體遭遇率往往較消費者電腦低。如上圖所示,2013 年第三季度和第四季度消費者電腦的遭遇率約為企業電腦遭遇率的 2.2 倍。

 

電子郵件威脅 (Email threats)

在通過 Internet 發送的電子郵件中,有超過 75% 的垃圾郵件。這種垃圾郵件不僅佔用收件人的收件箱和電子郵件提供商的資源,還會形成擴散通過電子郵件發送的惡意軟體攻擊和釣魚嘗試的環境。

垃圾郵件攔截數量 (Spam messages blocked)

Microsoft 安全情報報告此部分中的資訊源自 Exchange Online Protection 提 供的遙測資料,Exchange Online Protection 提供垃圾郵件、釣魚和惡意軟體 過濾服務。每月都有成千上萬的 Microsoft 企業客戶使用 Exchange Online Protection 來處理上百億郵件。

11

12

如上圖所示,2013 年下半年阻止的郵件量與 2013 年上半年持平,且保持遠遠低於 2010 年年底前出現的水準 。隨著一些發送垃圾郵件的大型僵屍網路被成功摧毀(比較出名的有 2010 年 8 摧毀的 Cutwail 和 2011 年 3 月摧毀的 Rustock),2010 年以來,垃圾郵件顯著減少。2013 年下半年,Exchange Online Protection 確定,大約 1/4 的電子郵件不需要阻止或過濾,而 2010 年為 1/33。

下圖為 2013 年 7 月至 10 月 Exchange Online Protection 篩選器阻止的各類別的入站郵件。

13

 

惡意網站 (Malicious Websites)

攻擊者通常利用網站來執行網路釣魚攻擊或傳播惡意軟體。惡意網站通常看似完全合法,即使經驗豐富的電腦使用者也無法從外表看出其惡意性質。

 

網路釣魚網站的全球分佈 (Global Distribution of Phishing Sites)

網路釣魚網站託管於全球各地的免費主機網站、遭到入侵的 Web 伺服器,以及其他許多環境中。通過對報告的釣魚網站的資料庫中的 IP 位址執行地理查詢,可以創建顯示這些網站的地理分佈的地圖並分析其模式。

14

  • 2013 年第四季度,SmartScreen 篩選器檢測到全球每 1,000 個網路主機上有 5.5 個網路釣魚網站。

  • 網路釣魚網站密度高於平均水準的位置包括烏克蘭(2013 年第四季度每 1,000 個 Internet 主機中有 14.2 個)、印尼(12.8 個)和南非(12.5 個)。網路釣魚網站密度較低的位置包括臺灣(1.4 個)、日本(1.4 個)和韓國(1.6 個)。

 

惡意軟體主機網站 (Malware Hosting Sites)

除網路釣魚網站以外,Internet Explorer 中的 SmartScreen 篩選器還可説明保護已知託管惡意軟體的網站。SmartScreen 篩選器使用檔和 URL 信譽資料以及 Microsoft 反惡意軟體技術來確定網站是否會散佈不安全的內容。

 

惡意軟體主機網站的全球分佈 (Global Distribution of Malware Hosting Sites)

15

  • 2013 年下半年,託管惡意軟體的網站比網路釣魚網站常見得多。2013 年第四季度,SmartScreen 篩選器在全球託管的每 1,000 個網路上檢測到 18.4 個惡意軟體主機網站。

  • 中國的網路釣魚網站的密度低於平均水準(2013 年第四季度每 1,000 個 Internet 主機中有 2.3 個網路釣魚網站),但惡意主機網站的密度很高(2013 年第四季度每 1,000 個主機上有 35.8 個惡意軟體主機網站)。惡意軟體主機網站密度較高的其他位置包括烏克蘭(59.2 個)、羅馬尼亞(57.8 個)和俄羅斯(41.0 個)。惡意軟體主機網站密度較低的地區包括日本(6.7 個)、紐西蘭(7.6 個)和芬蘭(8.8 個)。

 

偷渡式下載網站 (Drive-by download sites )

偷渡式下載網站是託管針對 Web 流覽器和流覽器附加元件中的漏洞的一種或多種攻擊的網站。如果使用易受攻擊的電腦,使用者只要訪問此類網站(即便沒有嘗試下載任何內容)就可能感染惡意軟體

16

本文件摘要介紹了報告的主要結論。SIR 網站還包括了對全球 100 多個國家/ 地區的趨勢的深入分析,並且提供了一些建議,説明管理您的組織、軟體和 人員面臨的風險。 您可以從此網址下載 SIRv16。

 

參考資料