共用方式為

  • 發行項

網路功能

Microsoft Security Intelligence Report

Tim Rains

 

摘要:

  • 揭露軟體漏洞、入侵和惡意程式碼的趨勢
  • 不同 Windows 版本的威脅衝擊
  • 全世界感染最嚴重與最輕微的地區

從上億個網際網路連線的系統,加上從一些全世界最繁忙的線上服務所得到的資料,讓 Microsoft 得以獨到的觀點剖析當今網際網路使用者所面臨的安全性威脅。

Microsoft 每年都會透過 Security Intelligence Report (SIR) 分享兩次這項資訊。此報告的貢獻者包括 Microsoft® Malware Protection Center (MMPC)、Microsoft 安全性回應中心 (Microsoft Security Response Center,MSRC)、高可信度電腦運算 (Trustworthy Computing,TwC) 小組,以及許多其他產品小組。SIR 提供揭漏軟體漏洞、惡意軟體和可能不受歡迎的軟體 (例如間諜軟體和廣告軟體) 近來趨勢的深入檢討。此份報告另外還包括不同版本的 Windows 作業系統在遍佈威脅的大環境中的表現,以及世界上哪些地區受到惡意程式碼和其他入侵軟體的影響最深。最新一期的報告把重點放在於 2007 年上半年觀察到的發展趨勢,也另闢一節來探討軟體漏洞入侵。如果電腦安全性是您的責任或是您關心的議題,閱讀 SIR 將大有裨益,因為它是為了幫助您了解網際網路相關威脅而設計的。

最近的 SIR 顯示出安全性研究人員在各家的軟體中發現到越來越多的漏洞。事實上,光是 2007 年上半年就揭發了超過 3,400 個新的軟體漏洞! 這個數字固然驚人,但被揭發的作業系統漏洞的整體百分比卻在下滑當中。

這代表什麼意思呢?其中一個可能性就是安全性研究人員把重點多放在應用程式上,因為作業系統安全性一直在改進中。再者,由於新應用程式的數量遠超過新作業系統的數量,應用程式的激增有可能是這些近來揭露的漏洞趨勢背後的推手。

在 2006 年間,Microsoft 產品中有 29.3% 已知的漏洞有可公開取得的入侵程式碼,而在 2007 年 8 月 1 日,只有 20.9% 已知的漏洞有可公開取得的入侵程式碼。雖然漏洞的數目持續增加,入侵程式碼的比率卻保持相當穩定,甚至還出現微小的降幅。新推出的產品比較難找到入侵程式碼。我們進行了一項產品對產品的比較,當中指出較新版本的產品所面臨的風險比在市場上推出較久的產品版本還低。平均而言,入侵性會隨產品壽命降低,表示對於絕大多數的產品來說,較新版本比較不容易入侵。這在 Windows 和 Microsoft Office System 產品最為明顯。兩者較新的版本 (Windows Server® 2003、Windows Vista®、Office 2003 和 2007 Office System) 都在產品的壽命期間顯示出漏洞數目有明顯的降低。

SIR 提供惡意軟體 (亦稱為惡意程式碼) 發展趨勢的重要洞悉資訊。這些趨勢指出目前攻擊使用者所採納的策略。看看一些主要來源所提供的資料,包括 Microsoft Exchange Hosted Services (EHS)、Windows Live® OneCare 和 Windows Live OneCare 安全掃描器、Windows 惡意軟體移除工具 (Malicious Software Removal Tool,MSRT),以及 Windows Defender,讓我們得以從幾個不同的有利位置一探威脅的全貌。

社交工程在惡意程式碼的散發扮演著日益重要的角色。這類的攻擊經常能成功引誘使用者採取一些可能會減損安全性機制有效性的行動。來自 EHS 的資料指出,在 2006 年上半年,傳統的電子郵件蠕蟲構成了歷史上來自電子郵件最嚴重的威脅,有 95% 的電子郵件偵測到惡意程式碼。自 2006 年的下半年開始,這個數字下降至 49%,並且直到 2007 年的上半年都保持不變 (見 [圖 1])。網路釣魚垃圾郵件和包含惡意 IFrame 攻擊的電子郵件則佔了 2006 年下半年偵測到的電子郵件惡意程式碼的 27%,並且在 2007 年的上半年上升至 37%。電子郵件內夾帶的特洛伊木馬下載程式在 2006 年下半年達到 20% 的高峰,並在 2007 年上半年降至 7%。

Figure 1 Composition of infected e-mail in the first half of 2007

Figure 1** Composition of infected e-mail in the first half of 2007 **(按影像可放大)

自 Windows Live OneCare 和 Windows Live OneCare 安全掃描器 (safety.live.com) 的測距儀收集到的資料指出,病毒、後門程式、密碼偷竊程式和資料竊取特洛伊木馬程式的感染率在 2007 年上半年攀升。

MSRT 的設計是為了幫助從客戶電腦識別和移除常見的惡意程式碼。它主要是透過 Windows Update (WU)、Microsoft Update (MU) 和自動更新作為重大更新發行。在過去兩年以來,MSRT 在全世界 2050 萬台電腦上移除了 5030 萬的感染原。MSRT 到目前處決的總數已超過 7 億 4 千萬,這包括了 2007 年上半年的 1 億 9 千萬次處決。

MSRT 是 Microsoft 及其客戶絕佳的資料來源。MSRT 在 Windows Vista 和 Windows XP SP2 系統上所觀察到的感染率與舊版 Windows 作業系統相比起來低很多,如 [圖 2] 所示。MSRT 從執行 Windows Vista 的電腦清除的惡意程式碼比執行 Windows XP SP2 的電腦還少 60%,而比執行 Windows XP 但未安裝任何 Service Pack 的電腦還少 91.5%。有趣的是,每部電腦的消毒數目經過一段時間以來都保持穩定狀態,每部受感染的電腦平均約有 2.2 的消毒率。

Figure 2 OS versions cleaned by the MSRT in the first half of 2007

Figure 2** OS versions cleaned by the MSRT in the first half of 2007 **(按影像可放大)

一般來說,MSRT 在開發中國家發現到的惡意程式碼比例比在已開發國家發現的高。例如,歐洲感染最嚴重的國家是阿爾巴尼亞和土耳其,而感染最不嚴重的是義大利和芬蘭。而在亞太地區,感染最嚴重的是蒙古和泰國,而感染最不嚴重的是紐西蘭和日本。美國受感染的比例比大部分的美洲國家和地區都低,而它的感染率跟全球的平均值大約相同。MSRT 在 2007 年上半年平均是每 216 部電腦清理 1 部。

Windows Defender 是在 Windows Vista、Windows XP 和 Windows Server 2003 上執行。整體來說,在 2007 年上半年偵測到了 5070 萬個可能不受歡迎的軟體,在執行 Windows Vista 的電腦上偵測到的比在執行 Windows XP SP2 的電腦上偵測到的少 2.8 倍。同樣地,在執行 Windows Vista 的電腦上偵測到的可能不受歡迎的軟體數量是在執行 Windows Server 2003 的電腦上發現到的一半。

您到現在可能會好奇,這些統計數字是很有趣,但它們要如何幫助您更妥善地保護您自己和您的環境呢?在最近的 SIR 中,每個主要分節的前面都會有該章節重點的摘要,以及一組「策略、緩和之道和因應對策 (Strategy, Mitigations, and Countermeasures)」。您可以使用這些清單快速了解這份報告中每個章節的重大發現。

另外,您還可以使用 SIR 中提供的資料、洞悉資訊和指引,針對威脅善變的環境評估及改善您目前的安全性狀況。完整的報告還會根據重大的發現提供策略、緩和之道與因應對策,您可從 microsoft.com/sir 下載。

Tim Rains 在 Microsoft Malware Protection Center (MMPC) 擔任產品經理。他負責管理 Microsoft Security Intelligence Report (SIR) 的製作。SIR 的作者包括 Jeff Jones (Microsoft 高可信度電腦運算小組主任)、Jeff Williams (MMPC 的主任)、Mike Reavey (Microsoft 安全性回應中心的小組經理),以及 Ziv Mador (MMPC 的資深專案經理兼回應協調員)。

© 2008 Microsoft Corporation and CMP Media, LLC. 保留所有權利;未經允許,嚴禁部分或全部複製.