如果2011年的網(wǎng)絡間諜活動仍然與2010年一樣的話，那么我們將看到大量針對特定目標的一次性攻擊，這些攻擊不僅會令研究者感到驚訝，還會繼續(xù)損害企業(yè)。

上述這段話來自于Mikko Hypponen，他是來自于赫爾辛基的安全服務公司F-Secure的首席技術官。在上周二舉行的2011年度RSA會議上，討論關于網(wǎng)絡間諜時，Hypponen以最近發(fā)生的攻擊事件為例，展示了網(wǎng)絡犯罪分子是如何在受害公司、政府組織或個人毫不知情的情況下竊取數(shù)據(jù)的。

Hypponen注意到，互聯(lián)網(wǎng)上的間諜活動與以經(jīng)濟為目的的間諜活動截然不同，因為受攻擊的目標明確而具體——大多數(shù)是國防承包商、公共部門組織、政府及其部門機構和宣傳組織——攻擊者很少會因為經(jīng)濟目的而攻擊這些組織，如親西藏的組織以及內(nèi)蒙古少數(shù)民族支持者團體。

Hypponen說幾乎所有的定向攻擊都是通過電子郵件、在線聊天或者網(wǎng)頁滲透發(fā)生的。他說，大部分的攻擊都很相似：始于一封從一個看起來受信任的同事、客戶、伙伴或者朋友那里發(fā)來的電子郵件，聊著日常話題。

然而，實際上這些郵件都是攻擊者制作和發(fā)送過來的;郵件中包含了能夠觸發(fā)并打開受感染系統(tǒng)后門的代碼，通過后門犯罪分子可以不受阻礙地盜取數(shù)據(jù)、監(jiān)視用戶并將用戶的電腦并入其不斷擴大的僵尸網(wǎng)絡中。

許多電腦被感染都是因為用戶缺乏安全意識或者僅僅是因為運氣不好，Hypponen說，以網(wǎng)絡間諜為目的的定向攻擊成功率很高，因為攻擊者專門研究了目標可能會感興趣的內(nèi)容，然后以此創(chuàng)建惡意的郵件或其他文檔，并以合法的、第三方的身份發(fā)送這些郵件。

更糟的是，Hypponen說道，這類攻擊者越來越多地使用一次性的惡意軟件，導致反惡意軟件系統(tǒng)難以檢測。

“通常，如果在實驗室里我們有一個惡意軟件樣本，那也就意味著我們有該軟件的成百上千的樣本，”Hypponen說，但是在這些事件中惡意軟件是唯一的;研究人員以前從沒見過它們，以后也不會再次見到。

然而，一個保持不變的趨勢是，搭載惡意代碼的文件始終是那幾類。根據(jù)F-Secure公司的數(shù)據(jù)，2010年61%的定向攻擊依賴于惡意PDF文件;剩下幾乎所有的都是感染微軟的Office文檔，包括Word、Excel和PowerPoint。

具有諷刺意味的是，進行網(wǎng)絡間諜活動的攻擊者常常在郵件或者文件中包含有關網(wǎng)絡攻擊的信息。Hypponen展示了一封談論網(wǎng)絡沖突的惡意電子郵件，該郵件被發(fā)送至一個關注網(wǎng)絡戰(zhàn)爭的郵件列表，以整個列表內(nèi)的人為目標。

他還提到了一個例子。一位安全分析師發(fā)現(xiàn)諾貝爾和平獎主頁上已被成功植入惡意軟件。他通報了這個問題，不久之后收到一封感謝他的電子郵件，附件中有一份PDF文件，邀請他參加即將到來的諾貝爾和平獎的受獎儀式。但問題是，這份郵件是偽造的，那份PDF文件實際上是一次定向攻擊。

Hypponen說，目前仍然很難檢測網(wǎng)絡間諜活動，但他推薦指導用戶不要打開意外的電子郵件附件。如果用戶收到了此類郵件，他們應該首先向郵件發(fā)送者確認。他還指出，大多數(shù)PDF漏洞都是針對Adobe Reader的缺陷，因此企業(yè)應該鼓勵使用另外的PDF閱讀器，以降低被成功攻擊的可能性。

“Adobe reader是我見過的最差的軟件，然后就屬Q(mào)uickTime，”Hypponen說道。

Marc，一位來自美國政府機構的與會者，希望保持匿名。他說，很明顯用戶應該避免使用Adobe Reader，但問題是用戶并不知道它是多么不安全，也不知道換一個PDF閱讀器是多么重要。

另一位與會者Harry Bryson，來自英國，目前在惠普公司做軟件工程師。他說，惡意的PDF文件與社會工程學相結合，使得網(wǎng)絡間諜活動難以被停止。

【編輯推薦】

1. 梭子魚“應用安全·游刃有『魚』”發(fā)布會在杭州舉行
2. 趨勢科技中小企業(yè)安全軟件包構建“高性價比”防御平臺
3. 內(nèi)網(wǎng)安全威脅重重 到底該如何檢測防范
4. 千招百式 讓無線局域網(wǎng)安全到底
5. 360安全專家提醒：關注帶毒強制視頻軟件