熊猫实验室季度报告

安全
2011年第一季度已经过去,安全形势正在发生变化。我们已经看到攻击数量主要集中在手机和各种社交网站如:Facebook上,网络犯罪分子正在利用这些途径获利。

介绍

2011年第一季度已经过去,安全形势正在发生变化。我们已经看到攻击数量主要集中在手机和各种社交网站如:Facebook上,网络犯罪分子正在利用这些途径获利。

此外,一些国际事件,如北非的利比里亚、科特迪瓦利用网络组织政治讨论,人民表决。第一季度也出现关注的网络战和网络间谍,大多数情况,疑似与中国有关。

[[30212]]

概要

手机恶意软件

2011年第一季度一直被手机恶意软件占据着头条新闻。这可能有几个原因:首先,在2010年Q4,智能手机有史以来第一次超过PC销售。其次,Android正在成为移动计算的主要平台,并有可能在短期内赢得平板电脑市场。此外,越来越多关注手机安全,关于安全问题的研究和概念性报告在过去数月成倍增加。

网络骗子开始意识到了一个新兴市场到来,他们乐于开发,并尝试新的技术,同时继续使用有预谋的策略,就像使用恶意软件感染手机通过发送短信获取额外费用。

一个俄罗斯网络犯罪集团利用情人节来分发应用程序,理应让用户通过运营商的彩信发送浪漫的照片。该应用程序提供图像,用户可以发送到他们喜欢的每一个人,但是实际上发送短信获取额外费用外,并没有送到接收人。

几乎在同时,一个新的Android恶意软件引起大家的注意。该木马检测为Trj/ADRD.A-窃取个人信息,发送给网络骗子。

[[30213]]

“情人节”手机木马图片

[[30214]]#p#

“情人节”手机木马图片

建议之一,避免从非官方和有问题的地方下载的应用程序。这种情况下,木马主要分布在中国的Android应用市场(而不是来至官方应用商店)连同一系列的游戏和墙纸下载站点。

不同的是iPhone的IOS系统,在Android操作系统上可以安装来自任何地方的应用程序,被网络骗子利用。然而,这不是两个作业系统之间唯一的区别,作为应用程序上传到Android的官方商店(Android市场)没有苹果审核严格。

几天后,另一Android木马开始从中国再次蔓延。这一次,这些应用程序已被重新包装成恶意软件,以此提供一个讨厌的礼物。该木马的目的是要开展一系列行动,发送短信到来访的网页。它还可以阻止入站短信。

三月初,看到了迄今最大的恶意软件攻击Android。在此之际,恶意应用程序是在官方Android市场可用。在短短的四天里,受感染的应用程序已被下载超过50,000次。这是一个非常先进的木马,因为它不仅可以窃取机密信息,还可以在用户不知情的情况下,下载并安装其他应用程序。谷歌在商店撤回所有恶意软件感染的应用程序,并在数天后从用户设备远程删除。

--------------------------------------------------------

在短短的四天里,受感染的应用程序已被下载超过50,000次

--------------------------------------------------------

本季度已经看到另一个主要攻击臭名昭著的宙斯银行木马。这次的目的是要绕过银行为移动设备的双认证机制。如果您的电脑受到感染,你尝试进行网上交易,银行会显示一个页面(由宙斯木马修改的),提示您输入您的电话号码和型号,以便给您发送邮件在你手机上安装“安全证书”。但是,此证书实际上是个木马拦截你收到的所有信息。这实际上是对这种恶意软件的第二个变种,我们已经在去年的报告提到了类似的样本。

Facebook恶意软件

随着Facebook仍然是最流行的社交网站,网络犯罪分子继续尽力在利用每一个可以想到的方式。我们看到了Facebook的诱人应用程序,账户缺少保护,一旦点击后,受害者被诱导安装应用程序,并且进行一些调查,有机会去赢得奖品。这样,网络骗子取得重大的经济利益。

然而,并非Facebook的所有攻击是基于恶意软件的。正如我们多次解释,用户有时会提交太多的个人信息在社交网站上,容易被黑客利用,入侵他们的电子邮件和Facebook账户信息。乔治.布朗克最近已在加利福尼亚州捣毁了这些非法活动。他用在Facebook上找到的信息获取受害者的电子邮件账户控制。有一次,他已经劫持的账户,他看了看他的个人信息可以用来勒索目标用户。

它实际上似乎任何人都可以成为这些攻击的受害者,因为Facebook创始人马克-扎克伯格自己已经看到了自己的Facebook帐户被劫,并附一条消息说“让黑客再飞一会儿…”。

银行恶意软件

术语“银行恶意软件/网银木马”通常是指旨在感染窃取网上银行的客户和他们的登录凭据来访问他们的银行账户的许多木马。然而,并非所有的攻击都像这样。今年1月,五角大楼联邦信贷联盟的报告显示网络罪犯使用了被感染的PC访问其包含机密客户信息数据库之一的事实。失窃的资料包括每个人的姓名,地址,社保卡号和银行账户信息或信用卡/借记卡信息。

另一个常见的手段是使用可复制卡的ATM设备。今年一月,两名男子,分别32岁和31岁,因这类骗局分别被判处7年和5年监禁。这两名男子怀疑是一个俄罗斯和美国全球的经营犯罪团伙成员。

但它不仅是银行业存在这样的风险。而后,在捷克和奥地利的盗劫案例,欧盟委员会被迫中止的二氧化碳排放配额交易。跟往常一样,网络犯罪分子正从攻击谋利。在几个月前,有一个类似的攻击,当一个黑客偷了豪瑞公司在罗马尼亚水泥160万的碳信用交易。每个达到15欧元,这意味着2400万的损失。这些类型的攻击,除了经济损失,还破坏整个系统。

这种多样化当前在其他领域也存在。本季度看到了宙斯银行木马变种的数量。

这些攻击之一,击中英国政府,承认自己遭受了与宙斯设计有针对性的攻击的变种,窃取银行账户凭据,还包括各种个人信息。#p#

--------------------------------------------------------------------------------

回顾Stuxnet病毒

如果你认为你已经知道了关于Stuxnet病毒,旨在破坏伊朗核计划的蠕虫,你错了,虽然仍有很多必要对这个案件众所周知,出现了新的启示对臭名昭著的攻击。报告显示指向美国和以色列作为罪魁祸首,虽然没有该确凿的证据。

此外,它终于被发现,Stuxnet击中目标。俄罗斯核科学家曾对造成布舍的核电厂的大面积破坏严重关切,并试图说服伊朗政府推迟到今年年底其核计划。最后,启动反应器为1月底举行,已经推迟。

网络行动

当我们发表预测,2011年恶意软件发展趋势,网络行动成为焦点,今年,我们无法想象,会来得如此快。虽然这一直是在北非的政治反抗的后果,但无可否认,社会媒体和互联网扮演了最近发生的事件的一个重要角色。

在埃及,互联网之间几乎成为埃及政府和示威者的战场,尤其是在像Facebook或网页那些匿名组。

埃及政府是如此绝望,他们史无前例的采取了关闭该国的互联网出口和移动电话网络。

同样,在几个欧洲国家的警方已经逮捕了涉嫌参与去年网络攻击关于维基解密美国国防部。被捕者主要是青少年的使用LOIC工具参与攻击,没有使用匿名代理或虚拟专用网络直接掩盖他们的攻击。一切似乎都表明这是一个由各国政府采取的报复行动(荷兰,英国和美国)想吓退示威者。

另一个“战场”值得一提的是由一家美国保安公司HBGary联邦和匿名集团发动。一切开始亚伦巴尔,美国公司的CEO,声称知道匿名集团领导人的名字,并说他将予以公布。匿名随后威胁并入侵到该公司...并成功地工作不到一个小时左右。他们不仅侵入了该公司的网页和Twitter的账户,但设法从海盗湾网站窃取数千个电子邮箱。

但不仅如此,这些信息的一些内容迫使美国公司妥协,因他们揭示了道德上可疑的做法(如rootkit的发展计划)。因此,该公司处于这种微妙的局势中,亚伦巴尔被迫辞职。

网络战

除了Stuxnet病毒,网络战(网络间谍活动)的例子越来越多。

在一月,我们了解到,加拿大的经济部已被攻击。虽然调查似乎表明,攻击源来至中国,其实是很难找到罪魁祸首。此外,没有公布盗取的信息。

早在二月,美国安全公司McAfee报告“Operation Night Dragon”,在其中一些能源公司遭受了至少两年的网络间谍攻击。后来的调查显示,受影响的公司包括埃克森美孚,皇家荷兰壳牌,英国石油公司,马拉松石油公司,康菲石油公司和贝克休斯。这些攻击再次从中国来,没有中国当局参与的直接证据。

在三月初,公布的是法国的经济部遭遇网络攻击,仍与中国有关。这一行动的目的是窃取有关的在巴黎举行G20峰会的会议信息。超过150台计算机受到影响,法国其他部委也遭受入侵。

就在3月,40个韩国政府网站遭遇拒绝服务攻击。这种攻击是非常类似2009年那一次,苗头直指朝鲜,尽管后来调查其链接到...中国。

[[30215]]#p#

数字图表

今天,我们的2011年第一季度报告已确认传播中的大量恶意软件。而且即使这听起来有些啰嗦,但这就是现实。

熊猫安全实验室每天采集到的新威胁大大增加:从几个月前55,000上升到去年末的63,000,在今年平均水平上升到73,190,这太快了。较去年Q4上升了16%。

所有这些数字都是针对恶意软件,通过我们云安全系统CI,自动化收集样本,分类和修复专有的系统,或通过我们的实验室技术人员。换句话说,在今年Q1我们每天平均采集到195,463文件来分析,37.4%是新的威胁。

总体而言,木马仍然是最热门的,威胁我们的电脑。在所有新的恶意软件中占70%。

下载恶意软件的变化

然而,并非所有类型的木马也以同样的速度增长。在调查恶意软件的类型中,熊猫安全实验室发现,银行类木马仍然稳定,而BOT类蠕虫和欺骗类病毒或流氓软件有所下降。

与此相反,在下载类的数量大幅增加,这无疑说明了今年增加的恶意软件。

活跃恶意软件类型

下载者是特别讨厌的木马,一旦感染用户的计算机,连接到互联网下载额外的恶意软件。黑客经常使用这种方法,因为下载是轻量级的,只包含几行代码,并可以完全不同于其他木马被忽视。

至于最频繁的恶意软件的种类,有趣的是,网络罪犯大多仍为发展中国家创造(技术上讲),用户仅通过使用MODEM连接到Internet。

其他的恶意软件类型#p#

感染最多的国家

在今年第一季度的排名很惊奇。值得一提的是,在名单中的国家仍然显示在百分之五十左右或更高的感染级别,其中将近70%来至中国、泰国和日本。

这些数据来至熊猫ActiveScan2.0(免费在线扫描)的用户。这个工具采集到全球许多受感染地电脑威胁类型统计。

本季度我们看到了美国不在前20名内,而像法国或西班牙等国家再次入围。也可以这样说,像爱尔兰,前几次都没有入围,这次也占据一席。

列表中的秘鲁和厄瓜多尔保持在的30%和40%的感染率,但相比以前的排名有所增加。

最后,木马类型的恶意软件造成的大多数国家的电脑受感染,紧跟其后是传统的病毒和蠕虫。

TOP20国家感染率

各国恶意软件类型分布

安全漏洞

本季度的漏洞概要安排“PWN2OWN”比赛,进行“TippingPoint”研究。

名词“WN2OWN”是指黑客利用特定的程序攻击目标。换言之,选手挑战开发特定的软件去攻击目标。优胜者成功开发不仅能获得设备/电脑和1.5万美元的奖金,除此,并很可能获得报酬,好的工作机会。

---------------------------------------------------------------------------

在比赛中,所有使用的操作系统和应用程序被全部打上补丁

--------------------------------------------------------

2011年3月9日-11日,在温哥华举行了2011年的比赛,期间,还举行了一年一度的CanSecWest 安全会议。

比赛始于2007年,汇集了最好的漏洞研究人员,谁试图攻破重重保护的最重要的操作系统和移动设备。在此,所有在比赛的操作系统和应用程序全部打上补丁。这是一个很平常的,在比赛前几天,供应商发布其最新的补丁程序和安全补丁,以防止被黑客攻击他们的产品。

苹果公司是第一个在比赛的第一天沦陷的。 VUPEN研究了一个安全漏洞在Safari的WebKit3引擎绕过一个完全修补MacOSX 64位的ASLR技术和DEP最新的保护。因此,获胜者获得$15,000现金和苹果电子书,在两个星期发现漏洞,并开发特定的程序攻击。在此之后,许多苹果用户在论坛抱怨和担忧操作系统和应用程序缺乏安全,担心被黑客利用。我们可以想象,苹果用户像狮子一样每天头大头晕。看看在明年的比赛中,新的苹果操作系统会不会受到伤害吧。

第二个系统沦陷的系统是在安装了SP1的Windows 7运行32位的IE8。Stenhen,一个安全研究员,花了1.5个月发现三个深层次漏洞并开发特定程序,准备攻击。Stenhen利用两个漏洞来运行代码,接着一个绕过IE的保护模式。

一天,两个黑客攻击移动设备。苹果通过著名的安全专家和前国家安全局雇员Charlie Miller迅速击垮了攻击iPhone4的攻击者。Miller还开发了一个功能用于MacOS X,但VUPEN研究人员比他还快。Miller在比赛中已经证明他也可以攻破苹果操作系统和移动设备。不过,研究者也承认,准备使用IOS V4.3,对于新的iPhone 4和iPad,使用ASLR技术执行将更加困难。 带有DEP的ASLR已被捆绑开发,以防止攻击和任意代码执行漏洞,如以前在我们过去的一季度报告中提到。有趣的是Miller注意到对移动版Safari浏览器发现漏洞,成功地访问存储在手机上的机密信息。#p#

[[30217]]

RIM的黑莓系统 V6也被入侵。再次,在WebKit引擎的漏洞(通过在谷歌的Android,以及苹果IOS、cOSX中使用)被利用。不同的是iPhone,黑莓设备带在ASLR带有DEP的保护,但研究院认为可操作他们并访问他们的机密信息,这种保护不是足够好。

我们可以得出结论,安全和软件厂商正在极力提高他们操作系统和应用程序的安全性,更好地保护客户。

DEP和ASLR技术的实施可以有效防止漏洞的被利用和注入攻击,并已取得较大的进展。一直是在脆弱性和代码注入攻击预防重大进步。尽管如此,仍然有很长的路要走,由于PWN2OWN比赛所知。这是显而易见的,对于软件厂商获得安全漏洞并修复需要投入。

---------------------------------------------

熊猫安全为你提供产品和技术保护你的系统

--------------------------------------------------------

在任何情况下,重要的是要记住,安全最薄弱的环节是人。仅在几个月前,当从可疑网站下载恶意软件时,许多Android用户被恶意软件感染,这不是利用漏洞来完成攻击的,因为有时利用用户的好奇访问,感染系统。也就是说,它不仅是企业必须加强安全保护措施,用户在下载的过程中,也要小心。

正如我们在其他场合已经说过,在操作系统打完所有的补丁是不够的。其他技术和应用程序必须开始发挥作用,以打击入侵和系统感染。不管你是微软Windows或苹果MacOSX的用户,熊猫安全提供了必要的产品和技术保护你的系统。

安全博客峰会

网络行动和网络战

今年2月,第三届安全博客首脑峰会在马德里举行,网络行动、网络战,以及在互联网对用户造成的危害成为会议的重点。圆桌会议围绕这些新兴现象,国际合作和限制Web上的活动进行讨论。讨论还有2011年的新趋势,针对网络活动与法律体制的关系。

今年,由熊猫安全组织的会议,已成为全球博客主要活动之一,全球超过300多名技术人员、计算机安全专家和博客列席了本次会议。

首脑峰会还邀请了著名的演讲家和新闻工作者如:恩里克.丹斯、切玛.阿隆索 、鲁本.桑塔玛塔和来至美国资深IT安全新闻记者米勒和鲍勃.麦克米伦。他们都一致强调了采用国际惯例解决全球攻击的重要性。

网络行动:网上游行和示威

第三届博客首脑峰会,著名的博客,IE商学院教授,恩里克.丹斯在主题演讲说:“在最近的伊朗、突尼斯、埃及的国内政治事件中,网络行动成为事件的重要组成部分,他还坚持认为社会传媒已记录了激进分子,同样,你转发一条信息,已成为参与了网络行动的一部分”。

关于最近发生的维基解密和网络攻击,朱利安.阿桑格、恩里克.丹斯谈到,“有没有办法阻止像维基解密类似事件的发生。在未来,任何人从网站上将能披露有关信息,只要这可能受到污染。”。

旧金山的电脑安全记者,鲍勃.麦克米伦说,“在他看来,维基解密对纽约时报是重要的。维基解密帮助了那些想要暴露敏感信息的人,像在“阿桑格伸冤行动”行动中采用DDOS攻击,试图改变法律是很困难的,即使这些激进分子看似有理。”。

熊猫安全企业战略总监 Josu Franco,CNET安全问题高级作家Elinor Mills,在辩论中表示: “人们用网络工具代替了以前的座谈会议”。

---------------------------------------------------------------------------

维基解密帮助了那些想要暴露敏感信息的人,并试图改变法律

---------------------------------------------------------------------------

URJC大学工程师,信息系统的研究生和“Un Informático en el Lado del Mal”的博客作者,切玛.阿隆索说,“技术的发展改变了人们表达自己的方式,现在是不再需要召集300万人来吸引一些注意力”。鲁本.桑塔玛塔表示:“网络行动是全球化的”。#p#

网络战: 骇人听闻

首脑峰会与会者讨论了一些如针对伊朗的使用Stuxnet木马攻击核电厂的网络攻击战就是做好的例子,谷歌在中国被攻击以窃取企业机密。

埃莉诺.米尔斯和鲍勃.麦克米伦一致指出,““网络战”这个词太“太夸张”,对于实际发生的事情”。 “我们仍然不知道网络战如何定义,很容易被混淆,甚至间谍行为或网络犯罪” 埃莉诺.米尔斯说。鲍勃.麦克米伦补充说,“尽管Stuxnet已被当做网上武器使用,这并不意味着我们已经深陷网络战。如果真有一个网络战,那将是一个全球范围,自20世纪以来最伟大的战争。”。

然而,鲁本.桑塔玛塔坚持网络战的现象是在早期阶段,它在10年内有可能成为现实。 “我们谈论一个没有军队的战争,它是第四代战争在没有士兵参与的情况下去破坏一个国家。在相互宣告战争前,一个国家通过Internet已经控制了另一个国家。”。

桑塔玛塔还表达了他的希望,“并不是每个人都愿意开展这类攻击”。最后,阿隆索说,“幸运的是,目前,做这样的事情是很少的,必须非常熟悉技术。”。

网络犯罪黑市

在这个季度,已发布了对当前网络犯罪黑市调查报告。熊猫安全实验室发现了一个庞大的,在网络论坛和超过50多个专门的在线商店销售盗取的银行资料。这是一个迅速发展的行业,网络犯罪分子以经济利益为目的,相互协助、配合窃取个人信息。

网络犯罪黑市,主要分销从全球用户那儿盗取的银行和信用卡资料,2010年其业务交易模式呈现多样化,现在销售的范围非常广泛,涉及的机密信息包括:银行资料、记录、密码、伪造信用卡等其它信息。但这些信息可以被公开提供,熊猫病毒实验室发现,它只能在论坛和聊天室通过个人接触贩卖资料的黑客。

进行销售

通过获得的银行资格授权,犯罪分子可以很容易地骗取任何银行或信用卡的账号。令人担心的是,这些数据就可以买到每张卡低至2美元,但这个级别不提供额外的信息或可用账户余额。如果买家需要银行提供信贷额度或余额,价格增至小型银行余额是80美元,700美元以上可以获得了82000美元账户余额保证。

如果账户具有网上购物或者使用过如PayPal支付平台的历史记录,目前价格较高。对于一个没有保障的余额的简单账号,熊猫安全实验室发现起价在10美元,根据平台和可用资金可高到1500美元。同样,这些网络犯罪分子还提供克隆信用卡/借记卡(价格从180美元起),出售卡克隆机(价格从200美元-1000美元),甚至伪造ATM机(价格从3500美元起,具体根据机型而定)。如洗钱服务(银行转账或支票兑现)其他产品,佣金为操作金额的10%-40%。如果买家想使用盗取的银行资料在线购买产品,但正通过送货地址跟踪时,网络犯罪分子可提供购买和发送物品记录,需收取30美元-300美元的费用。

对于更“精明”的网络犯罪分子建立自己的伪造的网上商店,并使用流氓技术来获取用户详细信息和那些不知情的受害者为假冒的防病毒产品买单。也有团队提供可立即投入使用的项目,设计、开发和发布完整的商铺,甚至搜索引擎的布局,在这种情况下,价格根据项目而定。

为发送垃圾邮件僵尸网络租金的价格(例如,使用僵尸感染的僵尸电脑)取决于所使用的电脑数量、垃圾邮件发送频率、租用期。一个SMTP服务器或VPN匿名保障的租金起价为15美元-20美元。

#p#

巨大的市场

这个网络犯罪黑市迎合买家的需要,同其他行业差不多,以类似的方式进行运作。由于这个行业竞争很大,供应和需求的规则保证,价格竞争力,和运营商提供更大折扣给买家。他们将提供免费“试用”去盗窃银行或信用卡被资料,以及退款保证和自由交流。

---------------------------------------------

许多卖家使用地下论坛遮挡视线

--------------------------------------------------------

然而,由于它是一个黑市,与传统商业的许多领域有明显不同。由于匿名性,最重要的是,许多卖家使用地下论坛以避开视线。他们的办公室实际上就是Internet,但他们在办公时间尽可能快的推广。有些人的行为更加肆无忌惮,并已在Facebook和Twitter账户,他们使用的商店。为了保证匿名性,联系只能通过免费的IM或通用的电子邮件。

一旦联系到了,交易可以直接执行,或由卖方通过建立一个网站,使用用户名和密码,如同网上商店,可以让买家浏览,并填写他们的“购物车”。“付款使用如:西联、自由储备和WebMoney进行。

[[30218]]

结束语

安全的世界比以往更加精彩。由于新的保护技术的出现,网络犯罪分子设法逃避。许多西方国家发现有关网络攻击的受害者,变得非常困难,并已开始执行严格的保护措施。在过去数天,利比亚的内战已经恶化,网络犯罪暂时淡出了我们的视线。尽管这样,紧张是由于该地区建立的独裁政权,我们将密切关注该地区的活动。

在接下来的季度,我们将有像摩托罗拉基于Android的XOOM和三星 Galaxy tab II 的数据公布,一个方面,可以有一个对未来的恶意对Android设备的影响。如果平板电脑最终取代PC,Android将成为新的操作系统。

[[30219]]

 

【编辑推荐】

  1. 如何防御网络威胁 制止恶意软件越过界
  2. 恶意软件出奇招 利用搜索引擎攻击
  3. Windows 7恶意软件感染率增长30%
  4. 被黑之后如何检测和清除网站的恶意软件
  5. Google Market:恶意软件再次来袭
责任编辑:佚名 来源: 51CTO.COM
相关推荐

2010-07-28 20:47:31

2012-07-31 09:35:02

2021-08-04 09:48:05

数字化

2015-02-06 09:23:52

赛可达实验室网络安全

2012-11-08 20:22:18

2009-09-21 11:45:36

CCIE实验室考试

2014-11-27 10:52:17

vlan路由

2010-08-23 14:01:25

互联网

2013-04-07 09:38:00

HPC硬件HPC高性能计算

2023-08-09 15:11:26

FedoraLinux实验室

2014-04-08 20:40:01

华为OpenDayligh

2009-09-01 16:41:00

思科认证CCIEEdify

2018-02-01 17:03:50

2017-03-22 09:21:13

2010-01-20 13:20:26

嵌入式设备实验室

2009-03-20 19:43:33

Nehalem服务器英特尔

2011-07-15 10:10:16

思科虚拟实验室

2010-02-25 14:07:48

惠普云计算

2009-05-04 13:53:41

2015-03-30 16:30:50

浪潮
点赞
收藏

51CTO技术栈公众号