Malware威脅概況
本季度Anchiva安全實(shí)驗(yàn)室共截獲各類Malware約200萬,比上季度大幅上升��。木馬所占的比例與上季度相比略為上升��,仍占一半以上��。其余依次為蠕蟲���、后門程序、間諜軟件�、風(fēng)險(xiǎn)軟件和廣告軟件,傳統(tǒng)病毒和其它類別所占比例與上季度沒有變化����。
Web Malware Top20
本季度的Web威脅中,網(wǎng)頁腳本類占絕大多數(shù)�����。相較于第三季度�����,有些Malware依然很活躍�����。顯示出當(dāng)前流行的攻擊方式依然是通過網(wǎng)頁進(jìn)行漏洞利用���。這些Malware多數(shù)被掛馬集團(tuán)所利用���,下載Spyware、Banker等木馬,竊取敏感信息或進(jìn)行系統(tǒng)破壞���。攔截這些惡意腳本����,可以有效的破壞其"掛馬-下載惡意軟件-造成破壞"這一工作鏈�,從而減少損失。
Email Malware Top20
根據(jù)Anchiva Malware監(jiān)測(cè)網(wǎng)的監(jiān)測(cè)結(jié)果��,本季度的郵件威脅中�,出現(xiàn)頻率最高的前20種Malware如下圖所示。一份美國聯(lián)邦調(diào)查局發(fā)出的警告稱���,詐騙分子利用假冒的殺毒軟件在09年獲得了超過1.5億美元的非法收入��。從下圖我們的統(tǒng)計(jì)也可看出��,假冒殺毒軟件的傳播活動(dòng)在第四季度的確非常頻繁����。它們通過垃圾郵件發(fā)送到受害者機(jī)器上���,并誘使受害者打開���、執(zhí)行附件��。隨后彈出一個(gè)假的警告���,報(bào)告電腦中存在著惡意軟件��,并強(qiáng)制要求受害者注冊(cè)�����,才能清除那些所謂的"惡意軟件"����。
惡意網(wǎng)站Top20
根據(jù)Anchiva Malware監(jiān)測(cè)網(wǎng)的監(jiān)測(cè)結(jié)果,發(fā)布惡意軟件數(shù)量最多的前20個(gè)惡意網(wǎng)站如下圖所示�。統(tǒng)計(jì)顯示前20位的惡意網(wǎng)站域名絕大多數(shù)都是".cn"結(jié)尾。由于初期注冊(cè).cn域名在國內(nèi)比較容易�����,審核不嚴(yán)����,后續(xù)監(jiān)管不力��,因而吸引黑客注冊(cè)了大量的.cn域名����,專用于惡意軟件發(fā)布���、升級(jí)�����。隨著09年12月后���,中國互聯(lián)網(wǎng)信息中心(cnnic)開始加強(qiáng)域名注冊(cè)信息審核,個(gè)人注冊(cè).cn域名將越發(fā)困難����。可以預(yù)見該類惡意網(wǎng)站會(huì)逐漸減少�。
大型社交網(wǎng)站Rockyou被入侵,3200萬用戶信息被泄露
09年12月份��,國內(nèi)外媒體爭(zhēng)相報(bào)道了轟動(dòng)一時(shí)的rockyou.com泄密事件����。黑客通過SQL注入漏洞攻擊rockyou.com��,竊取該網(wǎng)站3200多萬用戶的密碼����、個(gè)人資料等敏感信息��,并把部分用戶資料公布在網(wǎng)絡(luò)當(dāng)中��。rockyou.com的用戶在注冊(cè)帳戶時(shí)�����,僅僅要求其密碼多于五位字符�����,并不要求字母��、數(shù)字及符號(hào)混合的強(qiáng)密碼���。它甚至不準(zhǔn)用戶密碼中包含符號(hào)。
rockyou.com會(huì)提示用戶輸入第三方網(wǎng)站的用戶名及密碼���,比如facebook�、myspace等社交網(wǎng)站。而糟糕的是�,用戶們的所有這些密碼、個(gè)人資料等敏感信息在數(shù)據(jù)庫中并沒有被加密���,而是完全可見的�。在這一系列的錯(cuò)誤之下�,最終釀出被黑客入侵,用戶信息被竊取的惡果�。
Adobe零日漏洞
第四季度以來,用于零日攻擊的Adobe漏洞如下:
CVE-2009-3459
CVE-2009-4324
以上兩個(gè)漏洞都被掛馬集團(tuán)���、定向攻擊等所利用���,通過郵件附件或者掛馬者感染的網(wǎng)頁來傳播。在對(duì)受害者攻擊過程中�,它們一般釋放或者下載其它惡意軟件,來達(dá)到遠(yuǎn)程控制���、竊取信息等目的���。這類攻擊一般比較隱蔽,受害者可能僅僅不小心點(diǎn)擊了一個(gè)鏈接���、打開了一個(gè)文檔����,而攻擊者在釋放、下載惡意軟件的同時(shí)�����,一般會(huì)釋放出一個(gè)其它安全的文檔��,以此麻痹受害者�。
通過統(tǒng)計(jì)Adobe相關(guān)的09年CVE數(shù)目,我們發(fā)現(xiàn)總共有100個(gè)abode漏洞被上報(bào)��。而隨著windows 7的發(fā)布���,在其底層安全框架越發(fā)完善的情況下,windows平臺(tái)上可利用的漏洞將越來越難以發(fā)掘���。不難推測(cè)在不久的將來��,Adobe Reader等第三方的軟件將越來越受到黑客的青睞�����,更多的pdf���、flash等漏洞將被應(yīng)用于攻擊中����。
微軟IIS畸形文件擴(kuò)展名繞過安全限制漏洞
微軟IIS服務(wù)程序在解析文件擴(kuò)展名時(shí)存在漏洞��,對(duì)形如"malicious.asp;.jpg"的文件����,將會(huì)以ASP文件方式在服務(wù)器上執(zhí)行。黑客在攻擊web服務(wù)器時(shí)��,就可以利用該漏洞�����,上傳webshell�,從而控制該服務(wù)器,造成破壞�。微軟認(rèn)為這只是服務(wù)器權(quán)限設(shè)置缺陷,并不打算釋放相應(yīng)的補(bǔ)丁���。我們建議不僅要按時(shí)打系統(tǒng)補(bǔ)丁����,同時(shí)限制上傳文件目錄的可執(zhí)行權(quán)限,以此來避免該類漏洞的利用�����。
內(nèi)網(wǎng)肆虐橫行的Conficker
Conficker蠕蟲傳播途徑很多����,它可以通過U盤、RPC漏洞���、p2p共享等方式在內(nèi)網(wǎng)橫行����。一旦某臺(tái)機(jī)器中毒�����,它會(huì)通過掃描的方式���,在內(nèi)網(wǎng)尋找有RPC漏洞、弱口令的windows機(jī)器。如果該機(jī)器還有外網(wǎng)IP���,它同時(shí)會(huì)掃描設(shè)定的外網(wǎng)IP列表�,并伺機(jī)向外傳播�。因此發(fā)現(xiàn)某臺(tái)機(jī)器中了該毒,必須馬上斷開網(wǎng)絡(luò)連接��,使用殺毒軟件徹底查殺���,再安裝好系統(tǒng)補(bǔ)丁����,才能徹底清除干凈該蠕蟲��。
釣魚網(wǎng)站
Twitter���、facebook等社交網(wǎng)絡(luò)服務(wù)在2009年第四季度取得了更大的發(fā)展�����,用戶數(shù)節(jié)節(jié)高升�。人們通過它們交友�����、學(xué)習(xí)、聊天���,甚至進(jìn)行商業(yè)活動(dòng)�。而隨著新浪微博客�、twitter、facebook等社交網(wǎng)絡(luò)服務(wù)的逐漸流行�����,針對(duì)該類網(wǎng)站的釣魚網(wǎng)站日漸增多��。延續(xù)上一季度的威脅�����,淘寶��、QQ等國內(nèi)網(wǎng)站依然是釣魚者針對(duì)國內(nèi)用戶主要的攻擊對(duì)象�����。
