綜觀2011年的安全趨勢,Fortinet認為全球共同打擊網路犯罪活動的合作將會愈來愈緊密。殭屍網路病毒彼此則會競爭地盤,搶奪遭感染電腦的控制權;同時惡意軟體的製造,也可能進入協同開發的年代。
至於在開發技術方面,因應新的防護技術將是未來惡意軟體開發的首要目標。此外,整體網路犯罪市場的人力需求也會增加。
全球合作打擊網路不法
今年以來,我們已經看到許多國家合作打擊網路不法的案例,例如由FBI所發動,名為Bot Roast的行動、安全軟體廠商組成的Conficker工作小組,以及最近成功破獲的Mariposa、Pushdo、Zeus和Bredolab等殭屍網路。
這些行動雖然促使殭屍網路同步關閉,但僅鎖定在可見的入侵者,而且效果也很短暫。像是11月有關當局所破獲的Koobface殭屍網路,其伺服器群在一個月後即重新組態,完全地恢復正常運作。
2011年預計管理當局將會強化全球性合作,並協同安全專責小組,打擊數量愈來愈多的網路犯罪活動。2009年歐洲電子犯罪專責小組(European Electronic Crime Task Force)是個很好的起步,儘管它所及範圍仍有不足。但在2010年,由美、英兩國所領導破獲的Zeus,則是個很好的典範,我們相信這項預測的事情將會來到。
競奪遭感染的電腦
目前,網路罪犯在建立其惡意軟體帝國時,也會彼此競奪領地--已遭感染的電腦。新的殭屍網路bot病毒甚至標榜具備bot killer的功能,能殺掉潛伏在同一個系統的其他bot病毒。像是Skynet和MyDoom/Bagle,以及Storm和Varezov/Stration,它們都可能潛藏在同一部已遭感染的電腦中。
例如,我們已發現一個bot病毒,能藉由查詢記憶體的處理程序,尋找其他常駐IRC bots所使用的命令,一旦發現使用這些命令的程序,便會殺掉這些程序,確保自己是此部遭感染電腦唯一的bot病毒。
當駭客持續在2011年不斷讓電腦遭受感染之時,這些遭受感染的電腦,它們未來對犯罪所需的價值也會不斷提升。因此,預期提供病毒服務(Crime Services)的價格可能會上漲,例如殭屍網路、bot病毒或惡意軟體出租的服務--協助植入惡意軟體於電腦中,或是提供維護服務提升已遭感染電腦的上線時間。
躲過防護系統的攻擊增加
預防或限制軟體漏洞執行的安全技術,諸如ASLR(位址空間編排隨機化)、DEP(資料執行防止)和sandboxing(沙盒),將會愈來愈普遍,採用的電腦系統也會愈來愈多。此項進展的確限制了惡意軟體的擴張,然而在2011年惡意軟體將會有所突破。去年已經看到例如Alureon的rootkit套件,成功地躲過一些防護系統,特別是在這些系統建置初期。
預期將會有更多的rootkit木馬程式套件,尋求在新電腦系統上的立足點,更進一步發展出創新的攻擊方式,應付像是ASLR/DEP等防護系統,或是諸如去年Google Chrome與Adobe所推出的sandboxing技術。
網路罪犯高掛徵人告示
網路犯罪職缺激增,預計職缺項目包括:客製設計與平台開發人員、資料與盜獲資訊儲藏(Drop Zone)代管服務、驗證碼(CAPTCHA)破解人員、反偵測品管人員,以及散佈惡意程式碼的通路夥伴。
新的通路夥伴計畫藉由聘用登記的人員散佈惡意程式碼,可能會創造最多人力。雖然殭屍網路的營運者,一般而言會自行擴大他們殭屍網路的規模,但我們相信有愈來愈多的營運者會在2011年透過夥伴計畫來進行這項工作。
Alureon和Hiloti殭屍網路便是兩個例子,它們已採用這樣的概念為自己的殭屍網路建立了夥伴計畫,付費給任何能協助營運者感染電腦系統的人。透過通路夥伴大軍,殭屍網路將會開始蔓延擴張。
惡意軟體的資源愈來愈多
惡意軟體現在常以不同的名字和化名出現,各家安全廠商不同的偵測方式也更增混亂。由於目前有許多現成的原始碼與函式庫,逐漸成長的惡意軟體開發社群時常借用來建立和銷售新的惡意軟體。通常我們評定兩個惡意軟體在本質上幾乎是相同的,除非它一小部份的內在元件已經改變。但這些簡單複製而類同的惡意軟體,意味著許多開發人員其實都採用相同的原始碼來製造惡意軟體。
在2011年,預測會有更多的網路罪犯會採用既有的原始碼來試圖獲利。當公開的原始碼(每個人都能取得)持續對網路安全造成問題之際,私有原始碼的價值則將提升,程式開發老手的工作機會同樣也會增加。我們同樣預期惡意軟體的開發,會開始彼此協同合作,並採行程式碼控管,就如同合法的軟體開發公司,或是開放原始碼各項專案計畫(如SourceForge)所做的一樣。