目录
一.报告关键字
二.报告概要
三.免责声明
四.2011年上半年病毒木马趋势分析
4.1 查杀分类统计
4.2 2011年上半年TOP10恶意代码排名
4.3 重点关注
4.4 病毒木马趋势总结
五.2011年上半年网马/钓鱼网站趋势分析
5.1挂马网站
5.1.1 被挂马网站统计
5.1.2 挂马网站重点关注
5.1.3 挂马域名类型
5.2 钓鱼网站
5.2.1钓鱼网站概述及拦截情况
5.2.2 当前钓鱼网站识别难点
5.2.3 重点钓鱼网站分析
5.3 挂马/钓鱼站的趋势分析和总结
六.2011年上半年恶意代码常用漏洞跟踪
七.2011年上半年网络安全统计与分析
八.2011年下半年木马发展趋势分析
九.反病毒趋势发展
十.安全建议
结束语
一.报告关键字
网马
攻击者通过构造一个恶意页面,利用系统软件或者第三方软件的漏洞实现加载执行攻击指定的恶意软件,这个网页就称作“网马”。
0day漏洞
漏洞指系统软件或者第三方软件因为设计缺陷使得在传入特定参数时可执行参数指定的代码,0day则是从发现漏洞到软件的的厂商发布相应的补丁这段时期。
二.报告概要
根据超级巡警云安全中心数据综合分析,2011年上半年大陆地区互联网安全呈三个特
征:
1. 统计分析发现病毒木马的发展趋势受以利益为主导。
2. 钓鱼网站更加专业化。
3. 破坏性病毒木马减少,木马感染后更加顽固,不易删除。
报告主要内容概要:
1. 通过2011年上半年病毒木马的拦截情况,各类统计分析2011年上半年病毒木马情况及未来木马技术发展趋势,感染方向趋势。
2. 网马/钓鱼2011年上半年拦截统计分析,2011年上半年拦截统计分析挂马利用技术方向,钓鱼站欺骗方式分析,分析未来这些攻击的趋势方向。
3. 综合分析网络安全现状,未来反病毒趋势难点以及对策。
三.免责声明
该报告中提及的数据以千云旗下的超级巡警团队、数据安全实验室(DSWLAB)等相关部门汇总数据为依据。该报告仅针对中国大陆地区2011年上半年病毒木马的相关信息、技术细节、发展趋势进行统计、研究和分析。所有结论和所持观点均由本公司独家发布,与其它公司、部门无关。如若本报告阐述之状况、数据与其他机构研究结果有差异,请使用方自行判别,本公司不承担与此相关的一切法律责任。
四.2011年上半年病毒木马趋势分析
4.1 查杀分类统计
2011年上半年超级巡警安全中心共截获样本家族77017个,累积查杀检测5亿次,帮助用户清除300W木马。
每月拦截样本查杀统计(图4.1)。1月和2月数值明显低于3月以后的查杀,主要是受春节影响。3月份之后的数据受到了0day的大量应用与网页挂马而增多,并且以躲避杀毒软件的查杀为趋势。
图4.1 上半年各月查杀统计
2011年上半年活跃木马类型,从图表(图4.2)看出窃取信息,恶意下载为主,说明国内现在的恶意代码依然以利益驱动为主。
图4.2 活跃木马类型统计
2011年上半年大陆地区木马感染地域统计前十如图(4.3),从统计图表显示,广东、浙江、江苏三省总量占据了总感染数的一半,其中广东为高发地区。
图4.3 受感染地域前十统计
4.2 2011年上半年Top10恶意代码排名
|
排名 |
病毒名称 |
病毒类型 |
危险程度 |
比例 |
|
1 |
Trojan.Win32.Patched.ja |
木马 |
4 |
41.9% |
|
2 |
Trojan-PSW.Win32.Kykymber.AA |
木马 |
3 |
14.8% |
| 3 |
木马 |
4 |
11.3% |
|
|
4 |
木马 |
4 |
6.1% |
|
|
5 |
木马 |
4 |
4.9% |
|
|
6 |
木马 |
3 |
4.8% |
|
|
7 |
蠕虫 |
4 |
4.6% |
|
|
8 |
木马 |
3 |
4.2% |
|
|
9 |
木马 |
3 |
3.8% |
|
|
10 |
Trojan-PSW.Win32.OnlineGames.PIA |
木马 |
3 |
3.6% |
1)Trojan.Win32.Patched.ja
病毒特点:“假补丁”变种ja是一个利用微软MS04-011漏洞进行传播的木马。“假补丁”变种ja运行后,自我复制到系统目录下,文件名随机生成,后缀是.exe。修改注册表,实现开机自启。在临时文件夹下释放.dll文件(“假补丁”变种ja),文件名随机生成,扩展名是.tmp。将.dll文件注入到Explorer.exe的进程中,终止系统目录下.exe病毒文件的进程。侦听黑客指令,连接指定站点,下载并运行特定文件,盗取用户计算机上的机密信息。搜索有漏洞的Windows XP的用户计算机,一经发现便在被感染的计算机上下载并执行蠕虫副本,利用微软MS04-011漏洞进行传播,同时具有利用被感染计算机转发垃圾邮件的能力。另外,“假补丁”变种ja还可以利用被感染计算机转发垃圾邮件。
2)Trojan-PSW.Win32.Kykymber.AA
病毒特点:“密室大盗”变种AA,一个专门盗取网络游戏帐号的盗号木马。
3)Trojan.Win32.MicroFake.bh
病毒特点: 释放文件,感染lpk.dll,在桌面右下角弹广告。
4)Trojan-Dropper.Win32.Vedio.dgs
病毒特点:替换dsound.dll,记录键盘消息。
5)Trojan-PSW.Win32.OnLineGames.PFZ.Gen
病毒特点: 盗取网游帐号。
6)Trojan-PSW.Win32.OnLineGames.POT
病毒特点:专门窃取在线游戏的帐号。
7) Net-Worm.Win32.Allaple.b
病毒特点:自变形蠕虫病毒,在被感染系统中生成若干病毒副本,可通过系统弱口令系统漏洞等途径传播,发送DoS攻击。
8) Trojan-GameThief.Win32.OnLineGames.xtdg
病毒特点:网游盗号类木马。
9)Trojan.Win32.Agent2.dery
病毒特点:窃取魔兽争霸帐号。
10)Trojan-PSW.Win32.OnlineGames.PIA
病毒特点:网游盗号类木马。
4.3 重点关注
1. 反云查杀木马:今年3月份超级巡警安全中心检测到一个反云查杀木马下载器(Trojan-Downloader.Win32.AntiAV.cs)正在传播。病毒运行后,复制自身到系统目录下并通过修改注册表项来达到病毒随机启动的,同时劫持包括超级巡警云查杀在内多款杀毒软件,并试图关闭多种反病毒工具。详细分析报告:http://www.sucop.com/news/keepsafe-AntiAV.html
2. 警惕Android 木马:今年android系统的热销,android木马也越来越多,在目前国内对手机安全的技术尚不成熟,需要引起高度注意.Trojan.Android.Zsone.a 分析报告:http://www.sucop.com/news/2011051202.html
3. 官网挂马,盗号:近来由于官网的特殊性,可以为挂马者不易被拦截,越来越多的官网被挂马,如5月份惠州官网西游的广告页被挂盗号网马。详细分析报告:http://www.sucop.com/news/2011052501.html
4.4 病毒木马趋势总结
通过分析发现,现在病毒木马的的特性不再以破坏系统为主,在盗取私人信息(包括:游戏、网银等帐号密码及密保。),传播恶意程序为主,即利益因素为现在病毒木马的主要目的。
从技术特点分析:现在的病毒木马在程序上有了很大的优化,用户中毒后不再像多年前那样会影响系统性能,对于系统性能的影响很小。现在用户的安全软件以纷纷增加了云检测技术,所以在免杀上病毒木马主要已过云检测为主,比如为对抗云查杀加大自身体积,每次下载的样本大小随机产生数字节的变化。
从编写目的来看:盗号木马病毒在盗取帐号密码后会将这些信息发送到指定的地址,然后会由专门的工作室去洗这些帐号(将游戏里的虚拟财产转为现实中的货币);而现在手机产品中最火的android平台中恶意程序则以在后台定制扣费服务为主。
五.2011年上半年网马/钓鱼网站趋势分析
5.1挂马网站
根据超级巡警安全中心的统计,2011年上半年挂马站大量利用0day漏洞并攻击流量大的网站以实现躲避安全软件的拦截,并实现高触发率。在被挂马站中出现了以学校网站,政府网站被挂马数量明显上升。因为学校网站的安全措施,校内学生的防范意识不足,而一直存在大量网马情况,而攻击政府的网站则利用了杀毒软件不会拦截政府网站页面,民众一般也相信政府网站的安全性而有很高的实现触发几率。
5.1.1 被挂马网站统计
超级巡警安全中心统计2011年上半年网页挂马拦截情况(图5.1)。整体上看,今年挂马网站数量和范围相比去年要降低,但在部分类型的网站和出现增高趋势。从图表看出2011年2月份偏低,主要受春节影响较大,而之后开始迅速攀升主要原因是IE,Adobe Flash Player等常用软件0day漏洞大量爆发。0day漏洞的利用,对网马成功感染系统有很大的影响。
图5.1 被挂马网站统计
5.1.2 挂马网站重点关注
以下两图,图5.2是.edu教育网站被挂马页面量。图5.3是.gov政府网站被挂马量。从两图可以发现挂马者开始对教育和政府网站大量攻击。分析主要原因是:教育网站和政府网站安全防护措施要比其他类网站低很多,其次在校学生,对校内的网站频繁访问量大并且安全意识低。而政府网站,杀毒软件采取的一般措施是联系相关人员去除,而不会拦截政府网站,这无疑是给挂马者开通了一条绿色通道。
图5.2 教育网站被挂马统计 图5.3 政府网站被挂马统计
5.1.3 挂马域名类型
超级巡警安全中心拦截数据表明,2011年上半年拦截木马网站域名类型前五如图5.4。
排名第一的.org中又以3322.org,8866.org等免费域名为主。
图5.4 挂马站域名前五统计
5.2 钓鱼网站
5.2.1钓鱼网站概述及拦截情况
网络钓鱼(英文为Phishing,与钓鱼的英语fishing发音相近,又名钓鱼法或钓鱼式攻击),传统意义上指的是利用伪造邮件的方式发送邮件诱导用户点击,窃取用户银行帐号的行为。现在的钓鱼网站广泛意义上讲,以牟利为目的的欺骗。比如QQ中奖。钓鱼网站主要分为:虚假中奖,虚假购物,模仿官网,金融类等(虚假中奖包括:QQ中奖,cctv中奖等;虚假购物包括:网络卖药,淘宝购物等;模仿官网:特指模仿银行网站;金融类指假冒金融证券公司行骗,彩票中奖率80%以上等等)。
报告期内,巡警云安全中心共截获钓鱼网站670万次。各类拦截统计如图5.5,从图表统计可以看出中间类网站占78%左右,其中以QQ中奖最多。模仿官网类的数量虽然最少但确是最严重的,一旦上当银行里的钱将会立刻被转移。
图5.5 钓鱼类型拦截统计
5.2.2 当前钓鱼网站识别难点
目前钓鱼网站的后台引擎识别多以域名及host比对来做基本判断,然后对页面内容的JS特征,关键字,网页框架结构等等做进一步的识别,然后再是人工判断。但是这个流程对于时效性只有几天的钓鱼网站来说太慢了,大部分将不能及时拦截。并且现在钓鱼站开始对安全厂商做出IP屏蔽等反识别措施更是加大了识别难度。
因此,对钓鱼站的新技术识别研发将是一个重点内容。
5.2.3 重点钓鱼网站分析
从去年开始出现少量的模仿银行页面的钓鱼,到今年上半年开始出现大量的模仿银行网站,诱骗用户点击,这些网站有如下特点:
1.域名与真正的银行网站的域名只差一个或两个字母,并且不易察觉。
2.页面与银行网站的页面完全一样,除了登录网银的链接不同外,其他链接均是指向正常的银行页面链接。
3.因为与正常的银行网站的页面相似度极高,所以在识别上难度很大。
案例:今年上半年中国银行网站被大量模仿做钓鱼站,影响及大。比如:www.bociec.tk 这个钓鱼站的页面与中国银行的几乎页面完全一样, 正常的中国银行页面如图5.6,虚假的如图5.7。几乎仅仅在红框圈出来的地方不同。更详细的分析过程:http://www.sucop.com/news/boc-phishing-report.html
图5.6 中国银行网站
图5.7 仿中国银行网站
目前,超级巡警安全中心已经全线产品对各类钓鱼网站提升检测审核级别,增大探测力度和深度,更好的保护网民安全上网。
5.3 挂马/钓鱼站的趋势分析和总结
挂马和钓鱼站变成利益引导,从上半年的发展趋势看:挂马开始深入政府网站,教育网站,甚至对银行网站的合作伙伴攻击造成浏览银行网站也会中马,钓鱼站不再仅仅申请免费域名进行中奖钓鱼,开始攻击正常网站修改页面,为高利益假冒银行的网站,这些都在利益的引导下有了越来越专业的一条龙流水线。从最近的“中越黑客大战”看,官方网站的代码,服务器的安全维护都需要引起重视并加强。
从利益发展趋势上分析,高考临近近来攻击者将盯上高校网站,而从前几天的统计看确实大量高校甚至是重点高校被挂马,而过几天的查分网站,旅游网站也很有可能成为攻击的目标,挂马总是与社会热点事件作为攻击目标。未来政府网站和教育网站都将是挂马的重点。而金融证券网站,银行网站,交易类将是钓鱼站的重点。
六.2011年上半年恶意代码常用漏洞跟踪
通过跟踪上半年恶意代码利用的漏洞,我们总结如下常用漏洞:
1月份恶意软件常用漏洞:
Microsoft IE 远程代码执行漏洞(CVE-2010-3329):IE7/8中的mshtml.dll允许攻击者远程执行代码,攻击者通过诱导受害者在不知情的情况下执行有恶意代码的网页来实现执行指定的恶意代码。
2月份恶意软件常用漏洞:
Adobe Flash Player 多个远程内存破坏漏洞(包括:CVE-2011-0559,CVE-2011-0560,CVE-2
011-0561,CVE-2011-0571,CVE-2011-0572,CVE-2011-0573,CVE-2011-0574,CVE-2011-0558,CVE-2011-0577,CVE-2011-0607,CVE-2011-0608):Adobe Flash Player在解析恶意格式的Flash文件中的ActionScript代码序列时存在漏洞,用特定的参数调用该方法时,ActionScript引擎出错,导致可利用条件。攻击者主要通过诱惑受害者打开恶意构造的swf文件来执行此漏洞,从而在受害者系统执行指定恶意代码。
Microsoft IE 内存远程代码执行漏洞(MS11-003):IE在处理畸形的CSS文件引用及对象事件时存在漏洞。,攻击者主要通过构造恶意页面来执行此漏洞。
远程代码执行漏洞(CVE-2010-4465):: Oracle Java在处理剪贴板中的数据写入和读取的控制上存在远程代码执行漏洞。
(CVE-2010-4452):Oracle Java的"Applet2ClassLoader"类在Java运行时环境中存在远程代码执行漏洞, Applet2ClassLoader类的findClass方法中没有正确验证程序提供的URL,可能会导致执行任意代码。
3月份恶意软件常用漏洞
Adobe Flash PlayerSWF文件的实现上存在远程内存破坏漏洞(CVE-2011-0609),攻击者可利用这些漏洞在受影响应用程序中执行任意代码,造成拒绝服务。
Microsoft IE8 多个远程代码执行漏洞(包括:CVE-2011-1345,CVE-2011-1346
,CVE-2011-1347)
4月份恶意软件常用漏洞
Microsoft IE JavaScript跨域信息泄露漏洞(MS11-018):Microsoft Internet Explorer JavaScript在实现上存在跨域信息泄露漏洞,远程攻击者可利用此漏洞访问其他域或安全区域内的内容,获取敏感信息。
Microsoft IE布局处理释放后重用远程内存破坏漏洞(MS11-018):Microsoft Internet Explorer在实现上存在布局处理释放后重用远程内存破坏漏洞,远程攻击者可利用此漏洞在应用程序中执行任意代码,造成拒绝服务。
Microsoft IE9 CSS处理状态栏欺骗漏洞:Microsoft Internet Explorer JavaScript在CSS处理时存在状态栏欺骗漏洞,远程攻击者可利用此漏洞在状态栏中显示欺骗内容。
5月份恶意软件常用漏洞
Adobe Flash Player远程内存破坏漏洞(CVE-2011-0627):Adobe Flash Player9.x/10.x在实现上存在远程内存破坏漏洞,攻击者可利用此漏洞在受影响系统上执行任意代码或造成拒绝服务。
Adobe Flash Player远程缓冲区溢出漏洞(CVE-2011-0625,CVE-2011-0626,
CVE-2011-0624,CVE-20111-0623):Adobe Flash Player在实现上存在远程缓冲区溢出漏洞,攻击者可利用此漏洞在受影响系统上执行任意代码或造成拒绝服务。
Adobe Flash Player远程整数溢出漏洞(CVE-2011-1092):Adobe Flash Player在实现上存在远程整数溢出漏洞,远程攻击者可利用此漏洞通过受影响应用程序执行任意代码或造成拒绝服务。
七.2011年上半年网络安全统计与分析
木马为黑色产业链带来巨大的利润,从今年上半年的情况可以看出木马的主要目的为获取利益(盗取游戏帐号密码,网银帐号密码等等)。
1. 采用大量0day来提高木马感染率。
2. 利用时事热点新闻,比如:3D肉蒲团专用播放器,某某艳照,最近张柏芝离婚门等等这些都会诱惑大量受害者。
3. 利用受害者对政府网站,流量大的网站的信任心理,攻击这些网站(多为ARP攻击和这些网站的合作网站被攻击挂马)。
4. 随着android系统手机的畅销,android恶意软件越来越多,暗地扣费将是个趋势。
5. 对付云查杀的方式开始出现。如自身解压缩后大小达到上百M,躲避云上传。
6. 今年索尼37000多用户数据在LulzSec攻击中被泄露事件及5月份花旗银行被攻击,客户资料可能被泄露事件说明只要有利益,安全就会收到威胁,为对抗攻击谋取更大的安全性需重视企业与安全厂商的联合。
八.2011年下半年木马发展趋势分析
1. 大量利用0day,Adobe Flash Player ,IE这些最常用的软件,将爆发更多的0day并被用于挂马
2. 第三方软件漏洞将成为黑客利用的主要途径,近年来频频发生的第三方软件安全漏洞多为黑客所利用,也造成了具大的影响。
3. 网银木马(如:支付宝),网游木马依然是重点盗取方向,尤其是网银盗号利益高
4. 手机android 木马,将会越来越多,暗地定制服务,扣费于无形。
5. 为躲避云查杀,将会出现跟多的反云方法(如:扩大自身体积到上百M躲避云查杀的上传)
6. 越来越顽固,生成桌面图表指向某个站点,篡改首页并禁止修复
7. 鬼影2的爆发可能预示这将来更多的在磁盘上做文章的木马,这样更顽固难以检测到和清除
九.反病毒趋势发展
首先传统防病毒只能针对本地系统进行防御,并且依赖于特征匹配,这样在病毒库升级查杀上就有很大的滞后性。因此传统的反病毒已经远远不能满足反病毒的需要。
新一代反病毒技术的研发趋势应满足一下几点:
1. 未知病毒查杀技术:
未知病毒查杀技术是对未知病毒进行有效识别与清除的技术。该技术的核心是基于智能算法实现对病毒的分析、判定。目前业内厂商均在该方向上进行相关探索,我们预测基于各类技术手段的未知检测技术将会有突破性的发展。目前超级巡警研发测试中的木马探针技术,云端分层匹配识别算法即为该类技术典范。
2. 恶意脚本检测技术:
从前面网马情况可以看出,恶意脚本依然广泛存在互联网,对于恶意脚本的检测和有效拦截将直接关系到系统的安全性。超级巡警作为国内最早检测网页挂马的产品,基于数据流技术进行恶意脚本提前防护。团队在恶意脚本检测方向上有深厚积累,并在最新的超级巡警V5中大力提升了针对未知恶意脚本的检测能力。
3. 0day检测技术:
在统计中各类黑客攻击技术方向上,使用新漏洞(未公开漏洞:0day)具备更大的危害,目前各厂商只立足于对已知漏洞检测。对未知漏洞的检测方向上投入较少,而0day攻击已经成为严重的安全问题。在这一方向,超级巡警团队针对广泛应用的OFFICE 、PDF、SWF等文件型0day,将发布通用0day检测引擎。
4. 防病毒的云检测体系:
从传统的单机版杀毒,到网络化至全网的“云“化,反病毒技术已经由个体被动
态向立体的主动发现查杀发展,云查杀已是大势所趋。超级巡警团队运营4年的恶意网站数据中心,已全面扩展为支持各类恶意代码检测分析的云查杀的体系,并且已经发布业内最快的云检测引擎。
十.安全建议
在浏览网页时,打开邮箱查看邮件时,在双击朋友发来的文件时……系统突然变卡或者任务管理器中有可以进程时,很可能就已经中病毒了,也许是感染式的可能系统上的重要文件已被感染而不能应用,也许是现在流行的盗号木马,对各类帐号信息窥觑已久,等等等等会造成无可挽回的损失。
超级巡警安全中心建议企业用户安装防火墙、IDS及企业级反病毒软件以有效抵御攻击,保护隐私数据。
建议互联网用户安装包括超级巡警在内的任何商用或免费安全产品,及时避免病毒、木马,或者利用的0day的挂马。及时更新系统及各种软件补丁,预防利用漏洞感染的木马。
结束语:
互联网上有调查称40%到50%恶意网站由中国ISP托管。而计算机恶意程序每年造成的全球经济损失都高达数百亿美元。如何有效的解决互联网安全相关问题,是我们需要面对的严峻的考验。虽然网络安全产品层出不穷,其中也有很多优秀的产品。然而,中国互联网安全产业相关的部门、企业依旧任重而道远。
注:部分漏洞描述来自启明星辰/www.venustech.com.Cn,绿盟科技/nsfocus.net,特别致谢。