亚洲和大洋洲的网络安全势态– 第 4 部分:澳大利亚和新西兰
在本系列文章前三个部分介绍亚洲和大洋洲地区面临的网络安全势态时,我探讨了越南和印度(这两个地区的恶意软件感染率是该区域最高的)、日本和韩国(真是有趣的一对儿)以及马来西亚和新加坡(恶意软件感染率呈下降趋势)的网络安全威胁。本系列文章这最后一部分将讨论澳大利亚和新西兰面临的网络安全威胁。
澳大利亚
澳大利亚的恶意软件感染率通常低于世界平均水平,2011 年四个季度就是如此。但值得注意的是,澳大利亚的特洛伊木马、漏洞和密码窃取程序以及监视工具相对于全球平均水平而言较高。另外值得注意的是,Autorun 蠕虫在本系列文章中提到的亚洲和大洋洲大部分地区都在网络安全威胁列表上排在第一位,但在澳大利亚,这种蠕虫处于前十位列表之末。
图 1(上):澳大利亚和全球 CCM 感染趋势;图 2(下):2011 年第四季度澳大利亚的恶意软件及可能不需要的软件类别(按所清理受感染计算机的百分比),总和可能超过 100%,因为有些计算机受多种威胁的影响
Win32/Zbot 和 Java/CVE-2010-0840 处于澳大利亚十大网络安全威胁之列。这两种威胁在本系列文章中探讨的其他任何地区都未进入网络安全威胁列表前十位。Zbot 是一系列特洛伊木马,通过称为“Zeus”的工具包创建/生成;这些工具包在网上黑市进行买卖。Zbot 是一系列密码窃取特洛伊木马,这些木马包含后门功能,攻击者可通过名为僵尸网络的非法网络利用这些后门远程控制受感染的计算机。我们发布了专版 Zbot 安全报告,其中包含有关此威胁的详细信息以及可帮助防范此威胁的指南。该报告指出,澳大利亚在 Microsoft Security Essentials 检出 Win32/Zbot 百分比前十名地区列表中排在第九位(与美国并列)。
图 3(上):2011 年第四季度澳大利亚十大恶意软件和可能不需要的软件系列;图 4(下):2010 年 9 月 Microsoft Security Essentials 检出 Win32/Zbot 最为集中的 10 个地区,这是 MSRT 发布前具有最高检出率的一个月
Java/CVE-2010-0840 攻击也处于澳大利亚前十大网络安全威胁之列,该威胁与澳大利亚恶名昭著的“黑洞”攻击包有关联。我最近写过有关此威胁的文章,请参阅该文了解更多详细信息:“黑洞”攻击包的泛滥:使所有软件保持最新状态的重要性。
我问过微软在澳大利亚的首席安全顾问 James Kavanagh 那里发生的情况。James 告诉我:
近年来,由于出现了大量针对政府和关键基础设施提供商的高调入侵,网络安全已成为澳大利亚的一项优先事务。我们在SIR 第 12 期白皮书《Determined Adversaries and Targeted Attacks》(顽固的攻击者和有针对性的攻击)中介绍过有关此类入侵的信息。
有趣的是,美国国防通讯处 (DSD) 采用了一种方法来分析这些入侵,并确定了哪些安全缓解手段可能对防御攻击最为有效。之后,他们的分析结果以 35 种主要缓解策略列表的形式发布。他们发现,2010 年 DSD 所应对的至少 85% 有目标的网络入侵实际上可以通过我们的 35 种主要缓解手段中的前四种有效防止:
- 应用补丁,如 PDF 查看程序、Flash Player、Microsoft Office 和 Java。在具有高风险漏洞的两天之内安装补丁或实施缓解措施。使用最新版本的应用程序。
- 针对操作系统漏洞安装补丁。在具有高风险漏洞的两天之内安装补丁或实施缓解措施。使用最新版本的操作系统。
- 将具有域或本地管理权限的用户数减到最少。此类用户应使用其他无特权帐户来收发电子邮件和浏览网页。
- 通过编制应用程序白名单,帮助防止恶意软件和其他未获批准的程序运行。例如使用微软 软件限制策略或 AppLocker。
DSD 网站 <https://dsd.gov.au/infosec/top35mitigationstrategies.htm> 上提供了 35 种缓解措施的完整列表以及在微软平台上实施这些措施的指南。
新西兰
2011 年新西兰的恶意软件感染率一直低于全球平均水平并有下降趋势。2011 年第四季度新西兰的最大威胁类别是广告程序,大大高于同期全球平均水平。我认为这是非常好的消息,因为这通常意味着我们遇到的更严重的威胁(如特洛伊木马、密码窃取程序和监控工具等)相对减少了。
图 5(上):新西兰和全球 CCM 感染趋势;图 6(下):2011 年第四季度新西兰的恶意软件及可能不需要的软件类别(按所清理受感染计算机的百分比),总和可能超过 100%,因为有些计算机受多种威胁的影响
图 7:2011 年第四季度新西兰十大恶意软件和可能不需要的软件系列
- 2011 年第四季度新西兰的前十种网络安全威胁中五种威胁都是广告程序。
- 2011 年第四季度新西兰的最常见网络安全威胁系列为 JS/Pornpop,影响到新西兰所清理计算机中的 12.4%。JS/Pornpop 是一种针对特制的、支持 JavaScript 的对象的通用检测工具,这种对象会尝试显示弹出式广告,通常包含成人内容。
- 2011 年第四季度在新西兰发现的第二大网络安全威胁系列为 Win32/Hotbar,影响到新西兰所清理计算机中的 8.3% 。Win32/Hotbar 是一种广告程序,基于它对网页浏览活动的监视显示动态工具栏和有目标的弹出式广告。
- 2011 年第四季度在新西兰发现的第三大网络安全威胁系列为 Win32/Autorun,影响到新西兰所清理计算机中的 7.5%。Win32/Autorun 是一系列蠕虫病毒,通过自我复制传播到受感染计算机的映射驱动器。映射驱动器包括网络驱动器和移动硬盘。以下文章中提供了可帮助你防御这些攻击的指南:https://blogs.technet.com/b/security/archive/2011/06/27/defending-against-autorun-attacks.aspx
- 2011 年第四季度在新西兰发现的第四大网络安全威胁系列为 Win32/Keygen,影响到新西兰所清理计算机中的 7.3%。Win32/Keygen 是一种可为各种非法所得软件产品版本生成产品密钥的通用检测工具。
有关亚洲和大洋洲网络安全势态的这一系列文章到此结束。我希望这些分析对你有用。你可以在本系列文章中发现有关我所探讨的地区的最新数据,在 https://microsoft.com/sir 可以发现有关上百个其他地区的更多数据。
Tim Rains
部门总监
可信赖计算