2009年第四季度网络威胁报告

安全
本季度Anchiva安全实验室共截获各类Malware约200万,比上季度大幅上升。木马所占的比例与上季度相比略为上升,仍占一半以上。其余依次为蠕虫、后门程序、间谍软件、风险软件和广告软件,传统病毒和其它类别所占比例与上季度没有变化。

1月25日,Web安全网关厂商安启华公司发布《2009年第四季度威胁报告》。

Malware威胁概况

本季度Anchiva安全实验室共截获各类Malware约200万,比上季度大幅上升。木马所占的比例与上季度相比略为上升,仍占一半以上。其余依次为蠕虫、后门程序、间谍软件、风险软件和广告软件,传统病毒和其它类别所占比例与上季度没有变化。

2009年第四季度Malware类别比例图

Web Malware Top20

本季度的Web威胁中,网页脚本类占绝大多数,其出现频率最高的前20个Malware如下图所示。相较于第三季度,有些Malware依然很活跃。显示出当前流行的攻击方式依然是通过网页进行漏洞利用。这些Malware多数被挂马集团所利用,下载Spyware、Banker等木马,窃取敏感信息或进行系统破坏。拦截这些恶意脚本,可以有效的破坏其“挂马-下载恶意软件-造成破坏”这一工作链,从而减少损失。

Web Malware Top20

Email Malware Top20

根据Anchiva Malware监测网的监测结果,本季度的邮件威胁中,出现频率最高的前20种Malware如下图所示。一份美国联邦调查局发出的警告称,诈骗分子利用假冒的杀毒软件在09年获得了超过1.5亿美元的非法收入。从下图我们的统计也可看出,假冒杀毒软件的传播活动在第四季度的确非常频繁。它们通过垃圾邮件发送到受害者机器上,并诱使受害者打开、执行附件。随后弹出一个假的警告,报告电脑中存在着恶意软件,并强制要求受害者注册,才能清除那些所谓的“恶意软件”。

Email Malware Top20

恶意网站Top20

根据Anchiva Malware监测网的监测结果,发布恶意软件数量最多的前20个恶意网站如下图所示。统计显示前20位的恶意网站域名绝大多数都是“.cn”结尾。由于初期注册.cn域名在国内比较容易,审核不严,后续监管不力,因而吸引黑客注册了大量的.cn域名,专用于恶意软件发布、升级。随着09年12月后,中国互联网信息中心(cnnic)开始加强域名注册信息审核,个人注册.cn域名将越发困难。可以预见该类恶意网站会逐渐减少。

恶意网站Top20

大型社交网站Rockyou被入侵,3200万用户信息被泄露

09年12月份,国内外媒体争相报道了轰动一时的rockyou.com泄密事件。黑客通过SQL注入漏洞攻击rockyou.com,窃取该网站3200多万用户的密码、个人资料等敏感信息,并把部分用户资料公布在网络当中。rockyou.com的用户在注册帐户时,仅仅要求其密码多于五位字符,并不要求字母、数字及符号混合的强密码。它甚至不准用户密码中包含符号。rockyou.com会提示用户输入第三方网站的用户名及密码,比如facebook、myspace等社交网站。而糟糕的是,用户们的所有这些密码、个人资料等敏感信息在数据库中并没有被加密,而是完全可见的。在这一系列的错误之下,最终酿出被黑客入侵,用户信息被窃取的恶果。

被公布的rockyou.com用户密码统计Top20

Adobe零日漏洞

第四季度以来,用于零日攻击的Adobe漏洞如下:

· CVE-2009-3459

· CVE-2009-4324

以上两个漏洞都被挂马集团、定向攻击等所利用,通过邮件附件或者挂马者感染的网页来传播。在对受害者攻击过程中,它们一般释放或者下载其它恶意软件,来达到远程控制、窃取信息等目的。这类攻击一般比较隐蔽,受害者可能仅仅不小心点击了一个链接、打开了一个文档,而攻击者在释放、下载恶意软件的同时,一般会释放出一个其它安全的文档,以此麻痹受害者。

通过统计Adobe相关的09年CVE数目,我们发现总共有100个abode漏洞被上报。而随着windows 7的发布,在其底层安全框架越发完善的情况下,windows平台上可利用的漏洞将越来越难以发掘。不难推测在不久的将来,Adobe Reader等第三方的软件将越来越受到黑客的青睐,更多的pdf、flash等漏洞将被应用于攻击中。

下图是Anchiva某客户第四季度中截获的利用PDF漏洞进行攻击的部分实例。

利用Adobe PDF漏洞的攻击拦截记录

微软IIS畸形文件扩展名绕过安全限制漏洞

微软IIS服务程序在解析文件扩展名时存在漏洞,对形如“malicious.asp;.jpg”的文件,将会以ASP文件方式在服务器上执行。黑客在攻击web服务器时,就可以利用该漏洞,上传webshell,从而控制该服务器,造成破坏。微软认为这只是服务器权限设置缺陷,并不打算释放相应的补丁。我们建议不仅要按时打系统补丁,同时限制上传文件目录的可执行权限,以此来避免该类漏洞的利用。

畸形文件扩展名攻击实例

内网肆虐横行的Conficker

Conficker蠕虫传播途径很多,它可以通过U盘、RPC漏洞、p2p共享等方式在内网横行。一旦某台机器中毒,它会通过扫描的方式,在内网寻找有RPC漏洞、弱口令的windows机器。如果该机器还有外网IP,它同时会扫描设定的外网IP列表,并伺机向外传播。因此发现某台机器中了该毒,必须马上断开网络连接,使用杀毒软件彻底查杀,再安装好系统补丁,才能彻底清除干净该蠕虫。

某客户内网中Conficker的部分拦截记录

钓鱼网站

Twitter、facebook等社交网络服务在2009年第四季度取得了更大的发展,用户数节节高升。人们通过它们交友、学习、聊天,甚至进行商业活动。而随着新浪微博客、twitter、facebook等社交网络服务的逐渐流行,针对该类网站的钓鱼网站日渐增多。延续上一季度的威胁,淘宝、QQ等国内网站依然是钓鱼者针对国内用户主要的攻击对象。

拍拍网钓鱼网站

某客户中拦截的社交钓鱼网站部分实例

 

责任编辑:王文文 来源: 51CTO.com
相关推荐

2009-08-06 16:03:01

2022-01-16 06:42:23

网络攻击黑客网络安全

2010-06-02 13:49:05

苹果

2017-03-13 11:56:34

2020-08-14 11:28:18

思科财报2020

2010-08-12 10:26:01

2009-02-03 09:06:00

服务器虚拟化VMware

2010-02-25 14:29:42

informatica

2010-02-24 09:59:39

CiscoJuniperHP

2024-05-08 17:50:20

2011-02-28 16:59:28

Informatica

2022-01-27 10:44:32

比特币特斯拉数字资产

2022-08-18 17:05:20

思科

2014-02-09 10:55:09

Fortinet财报

2014-02-13 17:54:35

2021-02-26 13:16:29

VMware

2012-03-08 10:43:19

2013-05-02 16:51:00

Akamai
点赞
收藏

51CTO技术栈公众号