二、 惡意網(wǎng)站威脅
1. 概述
去年兩大IE漏洞以及Windows Shell漏洞為病毒的傳播起到了不同程度的助推作用��,對(duì)互聯(lián)網(wǎng)的信息安全造成了切實(shí)的威脅����。今年上半年操作系統(tǒng)以及IE方面表現(xiàn)得較為平靜,尚未出現(xiàn)被大規(guī)模利用的漏洞����,但是例如Flash Player等常見(jiàn)第三方軟件卻接連陷入0day漏洞的漩渦之中����。
據(jù)江民科技的監(jiān)測(cè)數(shù)據(jù)顯示,上半年網(wǎng)頁(yè)木馬所利用的漏洞主要包括老舊的IE瀏覽器漏洞(CVE-2010-0806��、CVE-2009-0075)����、操作系統(tǒng)漏洞(Windows DirectShow組件漏洞)以及新近出現(xiàn)的Flash Player漏洞(CVE-2011-0611、CVE-2011-2110)�。對(duì)于那些較早曝出的漏洞,只要用戶及時(shí)安裝相應(yīng)補(bǔ)丁即可完全防御��。尤其對(duì)于那些新安裝的系統(tǒng)而言�,在完成漏洞修復(fù)之前,盡量不要訪問(wèn)各類網(wǎng)頁(yè)和站點(diǎn)�����,即使是一些相對(duì)可靠的網(wǎng)站。因?yàn)榭缯灸_本攻擊的存在�,任何網(wǎng)頁(yè)都可能變得不再安全。
受制于覆蓋面�����、應(yīng)用難度等客觀原因的制約�,雖然上半年一些知名的第三方應(yīng)用程序被曝存在0day漏洞且出現(xiàn)了實(shí)際的攻擊案例,但并未對(duì)病毒的傳播起到太大的幫助��。以Flash Player漏洞為例��,成功利用不僅僅需要編寫(xiě)相應(yīng)的網(wǎng)頁(yè)腳本�����,還需要構(gòu)造特殊的SWF文件�����。而特殊SWF文件的構(gòu)造以及變形都存在一定的技術(shù)難度�,因此雖然Flash Player具有龐大的用戶群體,但其漏洞利用的難度也只能讓一些不法分子望其興嘆����。
整體上而言���,上半年可被用于掛馬的漏洞其影響要遠(yuǎn)遠(yuǎn)低于去年,同時(shí)隨著舊有漏洞被越來(lái)越多地修復(fù)�����,這些都給病毒的傳播造成了較大程度的抑制���。但正因如此,病毒的傳播也會(huì)由網(wǎng)頁(yè)木馬逐漸向更為廣泛的途徑擴(kuò)展�����。
2. 病毒網(wǎng)站威脅
2011年上半年�,江民科技共捕獲新增病毒傳播站點(diǎn)735個(gè)(注:以主域名計(jì)算),平均每月新增123個(gè)�����。月均攔截用戶對(duì)惡意站點(diǎn)的訪問(wèn)120萬(wàn)余次�。病毒網(wǎng)站的傳播高峰分別出現(xiàn)在1月份和3月份,這一傳播趨勢(shì)與上半年被感染計(jì)算機(jī)數(shù)量的發(fā)展趨勢(shì)相同����?梢(jiàn),病毒站點(diǎn)在病毒傳播的過(guò)程之中仍舊發(fā)揮著關(guān)鍵的作用����。
3. 釣魚(yú)網(wǎng)站威脅
2011年上半年,江民科技共捕獲新增釣魚(yú)站點(diǎn)2245個(gè)(注:以主域名計(jì)算)�,平均每月新增375個(gè)。這些釣魚(yú)網(wǎng)站大多仍舊延續(xù)過(guò)去的模式�,以某些著名綜藝節(jié)目或互聯(lián)網(wǎng)服務(wù)提供商抽獎(jiǎng)的名義進(jìn)行詐騙。還有便是利用高度相似的域名和網(wǎng)頁(yè)偽裝成銀行的官方站點(diǎn)進(jìn)行賬號(hào)的竊取�����。對(duì)此����,各大安全廠商也紛紛拿出了自己的解決方案,例如江民殺毒軟件����,除了每天常規(guī)升級(jí)釣魚(yú)網(wǎng)站特征庫(kù)之外,還在程序中集成了“江民安全網(wǎng)址”功能���。該功能內(nèi)置了諸多常用網(wǎng)站的鏈接�����,用戶可從其中直接點(diǎn)擊訪問(wèn)目標(biāo)站點(diǎn)�����,從而避免了在使用搜索引擎定位站點(diǎn)的過(guò)程中遭遇釣魚(yú)網(wǎng)站欺騙的情況�����。
在各類Web應(yīng)用不斷興起以及功能越發(fā)強(qiáng)大的同時(shí)�����,不法分子也從中嗅出了更多可以利用的機(jī)會(huì)�����。例如江民科技近期便捕獲了一個(gè)利用QQ 空間自定義Flash控件功能進(jìn)行釣魚(yú)的網(wǎng)頁(yè)�����。該網(wǎng)頁(yè)被訪問(wèn)時(shí)��,會(huì)彈出一個(gè)偽造的Flash登陸界面提示訪客輸入QQ賬號(hào)信息����。由于用戶訪問(wèn)的是QQ空間頁(yè)面,因此十分容易降低警惕性���。如果用戶提交了賬號(hào)信息�����,則該仿冒的登陸界面會(huì)在后臺(tái)將這些信息發(fā)送到不法分子指定的站點(diǎn)上��,從而實(shí)現(xiàn)賬號(hào)的竊取����。
仿冒的登陸界面
偽造登陸界面的代碼
除了網(wǎng)絡(luò)釣魚(yú)之外��, Web應(yīng)用的另一大安全威脅“跨站腳本攻擊”也一直未曾停止過(guò)攻擊�,并開(kāi)始盯上了越發(fā)火熱的微博。例如近期爆發(fā)的新浪微博XSS蠕蟲(chóng)事件����,便是此種攻擊利用微博網(wǎng)站相關(guān)漏洞以及社會(huì)熱點(diǎn)事件進(jìn)行的一次成功的腳本蠕蟲(chóng)傳播。
從技術(shù)層面上看���,本次事件所利用的漏洞還是由于網(wǎng)站對(duì)提交參數(shù)過(guò)濾不嚴(yán)格導(dǎo)致����,這已經(jīng)是Web安全中一個(gè)老生常談的問(wèn)題了。此種攻擊的可怕之處在于�,進(jìn)行攻擊的惡意代碼僅是整個(gè)URL中的一部分,而URL整體中還包含Web應(yīng)用站點(diǎn)的正常域名�����,因此即使用戶具有一定的安全意識(shí)����,但還是會(huì)被這種相對(duì)隱晦的方式所蒙蔽、欺騙�,進(jìn)而放心地點(diǎn)擊看似正常的網(wǎng)頁(yè)鏈接。對(duì)于此種安全威脅�����,除了需要官方及時(shí)獲知并修復(fù)漏洞之外�,一般用戶還是要依靠專業(yè)的信息安全軟件以及不斷的升級(jí)更新來(lái)進(jìn)行防護(hù)���。
