Email附件攻击：网络间谍活动的一朵奇葩

　　如果2011年的网络间谍活动仍然与2010年一样的话，那么我们将看到大量针对特定目标的一次性攻击，这些攻击不仅会令研究者感到惊讶，还会继续损害企业。

　　上述这段话来自于Mikko Hypponen，他是来自于赫尔辛基的安全服务公司F-Secure的首席技术官。在上周二举行的2011年度RSA会议上，讨论关于网络间谍时，Hypponen以最近发生的攻击事件为例，展示了网络犯罪分子是如何在受害公司、政府组织或个人毫不知情的情况下窃取数据的。

　　Hypponen注意到，互联网上的间谍活动与以经济为目的的间谍活动截然不同，因为受攻击的目标明确而具体——大多数是国防承包商、公共部门组织、政府及其部门机构和宣传组织——攻击者很少会因为经济目的而攻击这些组织，如亲西藏的组织以及内蒙古少数民族支持者团体。

　　Hypponen说几乎所有的定向攻击都是通过电子邮件、在线聊天或者网页渗透发生的。他说，大部分的攻击都很相似：始于一封从一个看起来受信任的同事、客户、伙伴或者朋友那里发来的电子邮件，聊着日常话题。

　　然而，实际上这些邮件都是攻击者制作和发送过来的;邮件中包含了能够触发并打开受感染系统后门的代码，通过后门犯罪分子可以不受阻碍地盗取数据、监视用户并将用户的电脑并入其不断扩大的僵尸网络中。

　　许多电脑被感染都是因为用户缺乏安全意识或者仅仅是因为运气不好，Hypponen说，以网络间谍为目的的定向攻击成功率很高，因为攻击者专门研究了目标可能会感兴趣的内容，然后以此创建恶意的邮件或其他文档，并以合法的、第三方的身份发送这些邮件。

　　更糟的是，Hypponen说道，这类攻击者越来越多地使用一次性的恶意软件，导致反恶意软件系统难以检测。

　　“通常，如果在实验室里我们有一个恶意软件样本，那也就意味着我们有该软件的成百上千的样本，”Hypponen说，但是在这些事件中恶意软件是唯一的;研究人员以前从没见过它们，以后也不会再次见到。

　　然而，一个保持不变的趋势是，搭载恶意代码的文件始终是那几类。根据F-Secure公司的数据，2010年61%的定向攻击依赖于恶意PDF文件;剩下几乎所有的都是感染微软的Office文档，包括Word、Excel和PowerPoint。

　　具有讽刺意味的是，进行网络间谍活动的攻击者常常在邮件或者文件中包含有关网络攻击的信息。Hypponen展示了一封谈论网络冲突的恶意电子邮件，该邮件被发送至一个关注网络战争的邮件列表，以整个列表内的人为目标。

　　他还提到了一个例子。一位安全分析师发现诺贝尔和平奖主页上已被成功植入恶意软件。他通报了这个问题，不久之后收到一封感谢他的电子邮件，附件中有一份PDF文件，邀请他参加即将到来的诺贝尔和平奖的受奖仪式。但问题是，这份邮件是伪造的，那份PDF文件实际上是一次定向攻击。

　　Hypponen说，目前仍然很难检测网络间谍活动，但他推荐指导用户不要打开意外的电子邮件附件。如果用户收到了此类邮件，他们应该首先向邮件发送者确认。他还指出，大多数PDF漏洞都是针对Adobe Reader的缺陷，因此企业应该鼓励使用另外的PDF阅读器，以降低被成功攻击的可能性。

　　“Adobe reader是我见过的最差的软件，然后就属QuickTime，”Hypponen说道。

　　Marc，一位来自美国政府机构的与会者，希望保持匿名。他说，很明显用户应该避免使用Adobe Reader，但问题是用户并不知道它是多么不安全，也不知道换一个PDF阅读器是多么重要。

　　另一位与会者Harry Bryson，来自英国，目前在惠普公司做软件工程师。他说，恶意的PDF文件与社会工程学相结合，使得网络间谍活动难以被停止。