今年上半年,由于俄罗斯当局的干预,网络犯罪工具的开发工具包大幅下滑逮捕据称是流行的黑洞工具包的发明者,但用户不一定更安全。
据思科2014年中安全报告(Cisco 2014 Midyear Security Report)显示,黑洞在漏洞工具包(即利用已知软件漏洞的代码包)的影子市场占据了主导地位,以至于今年上半年与漏洞工具包相关的URL请求数量下降了87%。该报告于周二在拉斯维加斯的黑帽安全会议上发布。
+也在网络世界足球竞猜app软件追随黑帽的一切+
这份报告综合了思科系统(Cisco Systems)各安全部门在1月1日至6月30日期间的调查结果,描绘了一幅相当严峻的整体图景:该公司表示,根据对16家企业网络的观察,有一项统计数据显示,近94%的企业网络流量流向了恶意软件网站。该公司去年12月的年度安全报告发现,所有被观察的企业——即30家企业——都有恶意软件流量。报告还发现显著增加针对媒体公司的攻击。
《黑洞》的作者去年10月被逮捕之前,人们一直认为他与许多网络攻击有关。有很多基于黑洞的开发工具,但自从庞奇被捕后,这些工具的开发活动就逐渐消失了。与此同时,思科(Cisco)技术团队负责人李维·冈特(Levi Gundert)说,很多不同的工具包都在争夺黑客的注意力。他说,开发工具包的开发者与任何产品的制造商一样,在特性(比如包含多少漏洞)和客户服务方面进行竞争。
冈特说:“地下石油市场将出现新的领军者。”“我认为另一个黑洞出现只是时间问题……出现并宣称统治。”
在年中报告中,思科的SourceFire漏洞研究小组(VRT)分析了互联网上的URL请求,以确定生成这些请求的代码是否来自已知的攻击工具包。Gundert警告说,攻击工具包识别的急剧下降可能并不意味着恶意软件的数量减少。首先,有些工具包比其他工具包更难识别。例如,Sweet Orange工具包每天使用一个新模式为它发送受害者的流氓页面创建url。“很难从我们过去使用的典型指标中追踪,”他表示。
Gundert说,网络用户经常被嵌入在线显示广告的代码重定向到恶意网站,即使用户从未点击恶意广告,这种代码也可能劫持浏览器。通常,坏网站会以空白页面的形式出现。但他说,与此同时,如果电脑没有安装最新的保护措施,它将在用户的系统上加载恶意软件,而恶意软件可以做任何事情。
从思科云网络安全(CWS)服务的结果来看,5%到10%的企业网络流量涉及所谓的恶意广告。CWS分析来自世界各地客户的所有Web请求,这些客户出于安全原因希望监控其流量。Gundert说,CWS调查了20亿到30亿的网络请求。
“这种东西太猖獗了,”他说。Gundert说,恶意广告的提供者通过和普通广告一样的交易方式进入合法网站,付费让他们的广告出现在每几次页面显示给用户的时候。交易所试图阻止这一点,但这很难,因为广告本身并没有恶意,只是它们向访问者发送的url。
“迄今为止的证据表明,他们在这方面并不是很成功,”他说。
当黑客寻找攻击方法时,他们通常会攻击Java,特别是该体系结构的旧版本。思科发现,在所有显示今年上半年电脑遭到攻击的指标中,有93%指向Java漏洞。这一比例高于此前6个月的91%。
Gundert说,Java是首选的目标,因为很多消费者和企业都在使用它,尤其是在浏览器中,而且大多数人在需要时都不更新它。那些这样做的人会像其他人一样被重定向到恶意网站,但他们的系统不会被破坏。
Gundert说,对消费者来说,只要他们注意到新版本的警报,更新Java就很容易,但对企业来说可能就比较复杂了。他们可能已经基于Java构建了复杂和关键的应用程序,不能快速修改代码以在新版本上运行。他说,仅仅起草一份迁移计划就可能需要6个月的时间,与此同时,可能还会出现更多针对新威胁的Java更新。为了帮助降低危险,冈德特建议企业密切关注离开其网络的Web流量,以寻找被利用的证据。