【51CTO.com综合报道】
一、综述
据百锐信息安全实验室(ByteHero Lab)云安全系统数据统计,2011年上半年全球互联网用户账户信息安全所受到的主要威胁有盗号木马、欺诈网站、服务器攻击和手机病毒四种,呈现以下特征:
1、盗号木马制作更加专业化,与反病毒软件技术对抗逐步升级。
2、随着席卷而来的电子商务发展浪潮,欺诈站点数量明显增加,其在恶意域名中所占的比重呈上升趋势。
3、Android设备急剧增加,随之而来的Android病毒木马的危害开始显现。
4、储存了大量用户资料和行为的服务器(云计算服务商)遭受攻击,如索尼用户信息泄漏事件。"Threats to Cloud"成为现实给用户账户信息安全带来前所未有的挑战,用户账户信息威胁正由个体损失向群体损失转变。
二、核心数据简述
1、报告期内(2011年上半年),百锐云安全系统在全球范围内共截获新增木马样本816214种,总体数量与去年同期相比上升32.4%。中国大陆地区148467种,占全球18.19%。
2、危害用户账户的前四类木马依次是Trojan.Win32.OnLineGames,TrojanDownloader.Win32.FakeQQ和TrojanSpy.Win32.Banker 以及Trojan.Win32.AliPay。
3、报告期内百锐共截获了47.2万个挂马网址,其中com域名占76.32%。
4、报告期内百锐共截获了43.9万个欺诈网址。主要的方式有:提示用户中奖并给出中奖验证码,仿冒知名电子商务网站和银行网站。
5、报告期内百锐共截获手机病毒木马家族1021种,其中Android病毒木马第二季度较第一季度增加了29.09%。
三、免责声明
本报告综合百锐信息安全实验室(ByteHero Lab)云安全系统的统计。本报告作为互联网用户账户信息安全状况的介绍和研究资料对外提供,如若与其它机构研究结果有差异,请使用方自行辨别,百锐信息安全实验室不承担与此相关的一切法律责任。
四、盗号木马
1、盗号木马概述
报告期内百锐云安全系统在中国大陆地区共截获148467种盗号木马。按照CNNIC数据显示,截至6月底中国网游用户达3.11亿,国内网络游戏产业年产值已超百亿元,受利益驱使,针对网游的盗号木马在所有木马中的比例超过其他种类。
2、木马技术趋势分析
通过对1至6月新增木马的恶意行为分析发现,互联网新增的木马对计算机系统的损害越来越小,对用户操作体验的影响也越来越小,导致计算机反复重启、阻断网络连接及正常软件无法使用的恶意行为已十分少见。其目的是在用户不知情的情况下实现窃取私人信息(包括网络游戏、IM、网银等帐号信息)。其中,游戏外挂插件捆绑木马、玩家间传输文件以及私服发布网站挂马是网游盗号木马的三大传播途径。
盗号木马制作更加专业化,与反病毒软件技术对抗逐步升级。例如进程隐藏、双进程守护等内核级技术开始大量应用。为了对抗云查杀,免杀方法也在改进。木马作者通过加大木马体积,使用组合木马技术以及对木马解密器进行非传统多态方式的伪装技术等手段来对抗云鉴定器的侦测。
五、网站挂马
1、网站挂马概述
百锐云安全系统在全球范围内共截获挂马网站47.2万个。通过分析来看,利用0day漏洞仍然是黑客进行网站挂马的主要方式之一。
中国2011年上半年互联网整体挂马情况非常普遍,全国所有省份都存在程度不一的挂马现象。同时,国家重点部门和单位的网站也被发现存在较为严重的挂马问题。春节期间是全年挂马量最高的时刻,各个长假期间的挂马量也比平时有显著提高。受高考影响,6月份在被挂马的网站中,高校网站开始明显增多。
网民被挂马网站攻击成功时使用的软件,主要是各种浏览器以及内嵌了网页的流行软件。
2、中国地区挂马数据分析
报告期内,中国地区挂马域名分布统计如下。
北京是挂马重灾区,居全国首位,其次是广东和上海。挂马源主要在国内服务器,其中广东省是传播重点地区。
全国主要地区挂马饼状分析图如下:
3、全球挂马域名数据分析
全球区域挂马程度统计如下
挂马域名分布较多的国家和地区依次是美国、中国、俄罗斯、越南、德国、韩国、法国等,如下图所示。
六、网络钓鱼
1、网络钓鱼概述
网络钓鱼(Phishing)是近年来兴起的一种新型网络攻击方式,黑客建立一个网站,通过模仿网银官网、网购站点、游戏网站、彩票网站等,诱骗用户上当。由于在整个环节中没有任何的病毒、木马和恶意程序参与,传统杀毒软件根本无法阻挡钓鱼网站的攻击。
2、数据分析
报告期内百锐共截获了43.9万个欺诈网址。较去年同期上涨37.54%。网络钓鱼主要的方式有:提示用户中奖并给出中奖验证码,仿冒知名电子商务网站和银行网站。
一个典型的网络钓鱼事件的流程是:提示用户中奖,并给出获奖验证码'用户输入获取到的验证码后,进入下一页面,提示用户所中奖项'要求用户汇款来办理手续等内容。
如下图所示
七、手机病毒
6月,中国互联网协会反网络病毒联盟发布了我国首个关于手机病毒命名及描述的技术规范《移动互联网恶意代码描述规范》,描述了恶意代码主要属性分类:
报告期内百锐共截获手机病毒木马家族共1021种,攻击的智能移动终端系统依次是Symbian、Android、WindowsPhone、iOS。
虽然Symbian的发展的步伐放缓,但是由于基数大,Symbian仍是手机木马的重灾区。
据分析,Android病毒木马增势明显,数据和信息表明,Android恶意软件对用户的威胁正在持续上升。
八、用户帐号信息安全趋势发展
1、在对PC平台盗号木马的防御中,传统的特征码匹配技术已经越来越吃力了。原因是随着病毒木马的海量增长,杀毒软件公司已经很难及时收集这些新增的病毒木马样本。即使杀毒软件公司能收集所有样本,随着病毒库的海量扩展,其体积也会日益增加,相应的杀毒软件在计算机系统上将占用更多的内存等资源,最终导致系统资源难以满足。加之传统的特征码病毒检测技术具有先天缺陷:先有病毒,然后才能收集样本提取病毒特征。这种被动响应模式永远滞后于病毒发作。反病毒木马新技术发展趋势:
1.1反病毒虚拟机技术
通过构造一个虚拟机,将病毒木马加载到虚拟机中运行,通过在反病毒虚拟机中监测被检测程序的行为来判断是否是病毒木马。百锐实验室经过多年研究,掌握了一流的反病毒虚拟机技术,自主研发了国内第一款基于代码动态、静态启发分析等技术的启发式检测引擎,为广大用户提供未知病毒防御保护。
1.2云查杀技术
云查杀是基于在"云安全"的理念中实施的。云查杀是将过去单机版的数据库安装在云端(即服务器端)。由个体被动态向立体的主动发现查杀发展,使新病毒的查杀进入以秒为单位计时的时代。未来将是反病毒主流解决方案。
2、网络钓鱼的危害日益凸显
目前的钓鱼网站的识别和拦截主要基于黑白名单查杀方式,为了更好的拦截钓鱼网站,仅使用黑白名单是不够的。百锐反钓鱼引擎在黑白名单技术基础上,增加对网站的扫描和分析的过程,分析网页特征及网页的行为,通过精确匹配和概率匹配的方式对网页特征进行处理,能够第一时间识别钓鱼网站。
3、云端结合查杀Android木马
近期在多家Android软件商店中,频繁出现伪装成正常手机软件,以外发短信等形式实施恶意扣费、隐私窃取行为的Android手机病毒及恶意软件。
"云+端"结合的"云安全"技术模式当前正在被快速应用到专业的手机安全软件之中,并已成为当前和未来在移动安全领域的技术发展趋势。其中,"云端"将重点解决恶意软件的发现问题,从各种渠道收集软件信息,并按照某种算法评估软件的风险,而"终端"重点解决恶意软件的查杀与防护问题,通过安装部署在智能终端上的客户端对恶意软件进行查杀。
九、用户账户安全防护建议
从数据和走势分析可以看出,面对不断涌现的新兴威胁,亟待安全厂商进行通过技术创新来遏制其衍生。同时,企业及个人也应增强信息安全意识主动保护用户账户和资产安全。
对于企业而言,计算机网络的安全稳定至关重要,影响着企业的生存和发展。应充分重视数据信息的防护工作,增加人力、物力(高质量的软硬件安全产品)投入。要建立企业计算机安全网络防御体系,必须将原有的平面结构的计算机网络调整为层次保护结构的网络,形成外部网、办公网和生产网等的多层结构。
任何企业、任何人都不能单纯依赖一种方法来保护其数据及私密文件。除了安装部署包括百锐引擎家族在内的正规安全产品,还应在平时注意更多细节,例如碎纸方法不当导致的数据损害,由公共数据库导致的身份窃取,保护或监视不当造成金融欺诈。
对普通网民而言,可以采取多种措施来提高个人账户安全系数。例如,使用专业的安全软件;培养良好的上网习惯;及时进行系统升级,修复漏洞;使用高强度口令;使用数字证书或令牌等安全产品。
十、关于百锐云安全系统
百锐信息安全实验室自成立以来一直孜孜不倦地追求技术创新,致力于信息安全技术的研究。百锐是中国优秀的技术团队,这支队伍掌握着一流的病毒检测技术。经过长期设计、研发、测试及改进,百锐于2009年8月正式发布国内第一款基于代码动态、代码静态启发分析的未知病毒检测引擎。此后又陆续发布了启发式反钓鱼引擎、启发式手机病毒检测引擎等。百锐合作伙伴累计近七百万客户端使用百锐引擎提高其安全产品的恶意代码检测能力。
百锐对网络有着深刻的理解和丰富的研发经验,目前已经建成一个能够涵盖多种互联网应用的先进的云安全系统。该系统能够及时捕获、分析、处理及统计来自互联网的用户帐号威胁事件,主要包括病毒木马、挂马网站、钓鱼网站及手机病毒等。
1、目前,百锐的样本捕获主要来自以下几个渠道:
1.1、蜜罐采集
1.2、诱饵信箱
1.3、厂商交换
1.4、监控探头
1.5、用户主动上报
1.6、样本志愿者上报
通过多种渠道的配合,既保证了对流行样本采集的高效性,同时又保证了样本的覆盖率,能够在第一时间内捕获病毒样本,形成了一个庞大的监控预警体系。
2、样本分拣平台
百锐拥有一套强大样本处理平台,每日处理数万次不重复的病毒上报事件,通过黑白名单、智能识别和人工分拣三重体制对所有捕获到的文件进行分拣统计。
