一直以來,業界均會紛紛建立起針對不同範疇的黑名單,例如早前我們介紹過的電郵黑名單又或者一些惡意網址黑名單,而這些黑名單往往會通過很多合法的途徑去收集回來, 例如通過 honeypots 又或者一些入侵檢測系統,通過分析入侵來源,經過一段長時間後,便漸漸建立出一個龐大的黑名單,而這些黑名單更會與多家廠商分享,從而建立更安全的互聯網;雖然通過傳統的方式的確可以找出很多帶有惡意程式的網站,但假如你能針對每個網站進行分析的話,便會發現原來很多網站都被植入了惡意程式而不自知。
早前有一家專門針對互聯網網站進行分析的機構 Recorded Future 便成功針對全球 700,000 個網站進行分析,結果發現至於有近 7 萬個網站本身至少被植入一種或以上的惡意程式,當中 1521 個是屬於具有兩種或以上惡意程式的高危網站;而被發現出來帶有惡意程式的網站之中,便有高達 98% 並未紀錄在傳統的黑名單之中;同時 Recorded Future 的報告亦顯示,被發現附有惡意程式的網站之中有高達 99% 都是因為黑客成功入侵而導致的。
為甚麼傳統的系統並未能收集到這些惡意程式紀錄?其中一個最大的原因是黑客在進行各種「活動」時,均會進行十分完美的隱藏,務求避開傳統的系統檢測;例如惡意檔案能偵測到是否誤中了 honeypot 的陷阱,萬一中了陷阱的話,便會即時斷線;因此採用傳統的方法並未能有效針對每個網站進行檢測。當然我們相信並沒有一間公司敢於為用户提供 100% 防禦的保證,所以即使是公佈調查結果的 Recorded Future 亦只是列舉出他們團隊的發現。
上述都有提過,黑名單是經由業界分享出來的,然而 Recorded Future 並未提及何時才會將她們發現的「漏網之魚」公開,如此看來恐怕她們所發現的,最終只會加入到旗下的防禦方案之中。
很多惡意網站仍未列入互聯網黑名單
https://www.facebook.com/hkitblog