UTM領導廠商Fortinet發佈網路威脅趨勢報告
根據Fortinet五月的偵統測計,Bots變種不斷增加,佔新發現病毒的41%,
再次創下新高,不過實際影響最廣泛的則是大量郵寄蠕蟲。
以獨家ASIC晶片加速技術引領整合式威脅管理 (UTM; Unified Threat
Management) 市場的Fortinet,發佈五月份網路威脅趨勢報告。統計5月1日至26日的偵測資料顯示,大量郵寄與木馬程式的數量減少,但新偵測到的自動程式(Bots)比例再次增加。此外,MyTob再次現身出現超過30種不同的變種,同時在五月首次出現與政治相關的大量郵寄程式-Sober.Q。
相較於四月,五月Fortinet的偵測結果顯示病毒的散佈減少20%。新偵測到的惡意程式中,有33%是木馬程式(Trojans;包括後門程式),另有33%為網路蠕蟲(即藉由入侵、網路分享及即時傳訊程式在網路上繁衍的蠕蟲),大量郵寄蠕蟲則有2%。Bots則是再次創下新發現病毒比例的新高,約41%。
四月以來新網路威脅的演變趨勢
五月的統計顯示所偵測到的Trojans數量再次減少3% (三至四月的觀察為減少20%),使得五月偵測到的Trojans總比例回到二月前的程度。新的大量郵寄蠕蟲則僅下降2%,來到年初以來的新底。不過已知Bots的新變種(例如RBot、SdBot、AgoBot等)則在過去兩個月持續不斷的出現,佔了五月新發現的網路威脅比例達41%,相較於四月再次增加了6%。
值得注意的是,這些網路威脅的散佈程式卻與其數量成反比。也就是說,儘管大量郵寄蠕蟲僅佔新發現網路威脅的2%(相較於Bots,它們很少有變種),但它們的散佈程度卻是最嚴重的,約佔全球惡意程式實際影響回報的90%。這主要是由於木馬程式和Bots通常只會濫發訊息出去,但本身不會擴散,不像蠕蟲很快就擴散出去,爆發讓網路管理者頭痛的問題。
五月主要的網路威脅
MyTob再現
除了Sober.P引發的嚴重威脅之外,五月明顯的是MyTob再次出現。超過30種不同的變種在本月擴散,包括五月26日現身的MyTob.DV。與之前種類同樣的是,它們都有自感染主機取得郵寄名單,藉由SMTP大量郵寄擴散的能力,而且毫無意外的是它們都具有高階的Bot功能,能輕易地將感染主機變成一部寄生主機
(Zombie),然後連接至主控的IRC伺服器並接受命令。IRC伺服器則和數月前是相同的。
Fortinet大中華區技術總監黃志輔指出,「這凸顯了為何只靠防火牆無法封鎖這個主控伺服器,並加以徹底根絕此威脅的問題。答案很簡單:因為它不斷在移動。這是一個惡意程式設計者利用網路基本功能-DNS服務的實例,因為儘管伺服器的名稱永遠一樣,但對應這個名稱的實際IP位址卻經常變換。不管是新的還是舊的寄生主機只需透過DNS服務來查詢,就能找到主控者目前的位址。大量變種的出現很可能是設計者的策略,目前在於降低防毒軟體對它繁衍產生的衝擊。因為當一個新的變種出現,防毒業者便需要建立一個新的偵測病毒碼,這便讓惡意程式有了一個無限擴散的可能。」
MyTob本身擁有許多抑制防毒軟體的方法,包括阻絕存取更新網站,停止潛在的防毒程序,中斷程式與行為分析程序(例如網路分析程式Sniffer、偵錯程式等)。不幸的是,看來這些方法都是有效的,而且似乎有獲利的動機驅使,這些惡意程式的作者甚至可能是受僱設計這些程式。
Sober.Q-第一個牽扯政治的大量郵寄程式
Sober.Q在5月14-15日的周末出現,它可能是近來最奇特的大量郵寄程式。它不會試著去感染系統,反而寄發大量的政治宣傳郵件,某些則內含或指向納粹有關的內容。它顯著散佈的原因是經由Sober.P被下載和安裝,換言之就是由Sober.P所傳播。這顯示了大量郵寄程式有一個非常有效的潛在應用,它們不僅僅可以建立許多有利可圖的Bots網路
(Botnets),同時成為大量文宣的傳播媒介。Sober.Q在5月26日時似乎已停止它的活動,再次進入它的休眠期。
對電腦使用者的建議還是一樣的。Fortinet大中國華技術總監黃志輔說,「永遠確保擁有最新的病毒防護,更新作業系統而且不要隨便點擊附件。本月的威脅報告展現了整合安全解決方案的優勢,例如Fortinet
FortiGate?等防毒防火牆產品。因為防毒軟體也許能保護網路避免大量郵寄程式Sober.P的威脅,但除非同時擁有防濫發郵件(anti-spam)的解決方案,否則還是無法扺擋來自Sober.Q的spam郵件;或是遭受新型態的網路蠕蟲藉由已知的弱點來擴散,除非擁有額外的入侵預防系統
(IPS; Intrusion Prevention System)。」
更多最新的網路威脅訊息,請瀏覽Fortinet FortiGuard中心:http://www.fortinet.com/FortiGuardCenter/av.html
關於 Fortinet (www.fortinet.com.tw)
Fortinet 是整合式威脅管理 (UTM;Unified Threat Management) 安全設備市場的領導廠商。履履獲獎的 FortiGate™ 系列產品,為 ASIC 硬體加速式多重威脅防護安全設備,曾獲 Network Computing Magazine 2004 年度資安產品獎,以及 2003 年網路產業年度防火牆產品獎等,為新世代的即時網路防護系統。FortiGate™ 可偵測透過網路傳輸,來自電子郵件或是網站的危險資料威脅,像是病毒、蠕蟲、網路入侵及不適當的網站內容等,而且不會影響網路效能。FortiGate™ 系列產品是業界唯一通過六種 ICSA 認證 (伺服器防毒、客戶端防毒、防火牆、IPSec、SSL、NIDS) 的資訊安全設備,以整合式且易於管控的平台,提供全方位的網路層與應用層服務。Fortinet 名列 Light Reading 雜誌前 10 大私有公司,以及 Silicon Valley / San Jose Business Journal 前 50 大快速成長公司第 4 名,企業總部位於加州 Sunnyvale。
有關產品與服務諮詢,請洽台灣 Fortinet,電話:(02) 2796 - 1666。
媒體垂詢
Fortinet, Inc.
Yvonne Cheong Tel: (+65) 9479.0269
ycheong@fortinet.com
致捷公關
吳至中 Tel: (02) 2501-1715 ext.10
didi_wu@prassion.com
李冠青 Tel:(02) 2501-1715 ext.11
connie_lee@prassion.com
|
