“三反”新安全—钓鱼、欺诈、垃圾邮件之攻防演义

近两年来，伴随着全球范围内愈演愈烈的垃圾邮件泛滥，各种网络钓鱼、用户欺诈等安全威胁接踵而来。无论对企业还是对个人，此类威胁手段的变化之快令人防不胜防。毫无疑问的是，随着渗透其中的非法牟利情节的日趋严重，这类安全威胁的破坏力越发凸显。

对用户而言，如何最大限度地确保自身互联网应用的安全，避免被垃圾邮件、网络钓鱼、恶意欺诈所伤害，已经成为了当前基于网络开展业务的最大挑战。

● 尴尬的现实
如果将刚刚过去的2007年称为安全转折年，则其预示着一个时代的终结：即以往安全危机的非专业时代已经过去，进入2008年后安全威胁的专业化生产与传播将成为主流。

此前美国《Network World》的安全专家Tim Green曾在网站上公开表示，在很多恶意软件设计看起来似乎停滞不前之时，新的攻击技术却大量涌现，其中一些技术经过复杂的研发，很明显不是业余人士所为。事实上，这些“进步”并不是偶然事件，它们实际上是安全行业自身成功的产物。

用于管理垃圾邮件、防御网络钓鱼、恶意软件欺诈的安全设备一度能够有效工作，使大规模、高冲击力的攻击有所减少。但是成功的背后导致了一个不利后果：越来越多的安全威胁被迫改头换面。许多垃圾邮件、钓鱼网站和恶意欺诈软件都进行了重大的修改。新的威胁开始暗中行动，其复杂度也大大提高。

事实上，RSA的安全专家万军在接受本报独家专访时坦言，随着大量的自我防御型僵尸网络、钓鱼网络的出现，以及一些充当可重用攻击平台的恶意欺诈软件的出现，已经将专业化安全袭击带到了用户的面前。

稍稍回顾2007年的重大事件就可以发现，以Flux（钓鱼、恶意软件隐藏技术）、分布式命令和控制（DC）、循环利用包（REP）为代表的攻击技术不断出现。此前趋势科技的安全专家表示，当前很多专业攻击者甚至开始创建后端恶意软件管理系统，以维持感染机器的数量并及时监控插件的利用效果。从某种意义上说，安全厂商强调的统一威胁管理已经成为了一把技术上的“双刃剑”。

事实上，如果将这些威胁继续向前追溯，人们会发现其发展的速度远远超过安全技术的发展。ICSA实验室内容安全计划经理Larry Briswell在其博客中透露，十年来积累的令人信服的数据清楚地表明，病毒问题没有衰退的迹象，而新的垃圾邮件、网络钓鱼、恶意软件欺诈则利用很多先进的病毒技术不断自我进化。对企业而言，只有当公司对防御技术的依赖减轻，而更多地依靠前瞻性的安全政策和实践时，才有可能取得真正的进步。不过遗憾的是，在此之前，大量的企业和个人仍将提前领略上述进化后的威胁“饱和攻击”。

● 进化后的威力
从去年开始，具有“链接型”特征的混合威胁攻击不断出现，通过利用垃圾邮件，其内建的链接指向攻击者网站或者钓鱼站点，意在感染用户的电脑或者直接进行欺诈。

IronPort中国区总经理吴若松指出，新型的混合威胁利用垃圾邮件作为传播的源头，整合了钓鱼和恶意欺诈的攻击形势，在攻击的同时还在被攻击的计算机中种植僵尸程序，并借助邮件和僵尸网络一起扩大影响。

据悉，利用垃圾邮件作为攻击源头，同时整合僵尸网络技术进行多渠道扩散，已经成为当前混合威胁的新形势。由于此类攻击的整合性可以将钓鱼、恶意插件等多种供给手段组合其中，因此威胁相当可观。目前来看，在此领域以Feebs和Clagger攻击最有代表性。

以Feebs病毒为例，美国《Network World》的许多研究者认为它构建了一个规模和威力均异常发达的网络。有意思的是，为了不引起安全厂商对其增长的注意，其构建进程非常隐秘。

事实上，根据IronPort威胁运营中心公布的检测报告，从2007年1月到2008年1月，平均每周都会出现不同的Feebs攻击变种，最多的时候达到每周6次，而且每一次都是发生在相关安全厂商的特征码发布之前的数小时。甚至有一天两种完全不同的Feebs攻击变种在同一时间发布，世界各国的安全专家花了将近一天的时间才找到对付其中一种的方法，而对付另外一种也花费了半天时间。显然，这种专业的攻击方式并非普通黑客所为。

此外，为了便于进行网络钓鱼，通过URL而不是传统的邮件扩散的Feebs攻击的爆发次数也大大增多。根据IDC的统计，利用URL开展网络钓鱼的恶意攻击平均每年增加253%，并表现出了多阶段攻击发展中的分布趋势，这些攻击尝试以多种方式发送看起来无害（比如纯链接的电子邮件）的信息，但是当其中的URL指向一个被恶意软件感染的Web 服务器时，会导致严重的安全风险。