新聞中心

作者：安啟華安全實驗室

 

本季度安啟華安全實驗室共截獲各類Malware約140萬，其中木馬占了一半以上，其餘比重較大的依次為間諜軟體，蠕蟲，後門程式，風險軟體和廣告軟體，傳統病毒和其他類別所占比重較小。

 

 

當前的Malware基本都是以賺取經濟利益為目的，竊取用戶資訊和發佈廣告成為其最主要的賺錢方式。其他行為基本都是為這兩種行為服務的。下面是當前Malware的主要行為：

 

 

導致當前Malware數量巨大的一個主要原因是：Malware的生產已經自動化，使用特定的製作工具可以為一個原始Malware創建上千個不同的多態版本，這給防毒產品的檢測帶來困難，使得防毒產品不得不通過特殊的方法來檢測它們。在我們的檢測中，Trojan/Xpack， Worm/Waledac和Virus/Win32.Virut病毒家族就是這其中的典型代表。

 

要把網站上的Malware安裝到用戶系統中，除使用社會工程學的手段外，更主要的是通過網站上的JavaScript/VBScript程式自動將相關Malware下載安裝到用戶系統中。為了達到這個目的，這些腳本程式通常會利用相關的溢出漏洞來繞過流覽器的安全設置，自動執行這種不安全的操作。

 

下面是近期仍然被Malware發佈者廣泛使用的漏洞：

1．Windows系統相關的漏洞，常見於網頁木馬

    MS06014（CVE-2006-0003）

    Microsoft Access Snapshot Viewer ActiveX漏洞:MS08041（CVE-2008-2463）

    MS09002（CVE-2009-0075）

 

2．常用的第三方軟體漏洞，常見於網頁木馬

    Real Player播放器漏洞（CVE-2007-5601）

    Adobe Flash流覽插件（CVE-2009-0520）

    PDF ActiveX（CVE-2009-0658）

 

3．中國地區某些第三方軟體漏洞，常見於中國的網頁木馬

    聯眾遊戲大廳漏洞（CVE-2007-5722）

    暴風影音播放器漏洞（CVE-2007-4816）

    超星流覽器漏洞（CVE-2007-5892）

 

4．微軟Office軟體漏洞，常通過郵件附件傳播，多見於臺灣地區

    Excel漏洞（CVE-2009-0238）

    PowerPoint漏洞（CVE-2009-0556）

 

下面是一個典型的網頁木馬的部分內容，包含的有害鏈結涉及到8個常用漏洞。

 

 

 

 

我們知道，僵屍網路是指那些被安裝了帶有後門功能的Malware機器，這些機器在某些情況下會被駭客控制。控制者可以利用這些機器收集用戶資訊、發送垃圾郵件、增加網站點擊率、攻擊伺服器等，並以此獲得經濟利益。那麼僵屍網路離我們有多遠呢？儘管我們的電腦似乎仍然在我們自己的掌控之下，但我們可能不知道是否有他人也在悄然控制著我們的電腦。

 

一個用戶在流覽著某著名大型網站的論壇，突然發現一個誘人的內容鏈結，跟進去後發現需要下載檔，下載之後得到一個自解壓包，雙擊打開後，終於看到了裏面的內容，卻又發現並沒有什麼特別之處，然後隨手刪除它。可之後該用戶卻發現系統經常會自動打開一些網站，原來用戶剛才已經不知不覺的被誘騙安裝了木馬。這是社會工程學在Malware傳播中的一個範例，這個用戶決不是僅有的一個上當者，通過對該木馬的分析研究，我們發現了它會向遠端伺服器提交用戶機器的資訊，我們有幸發現了在該伺服器上的安裝統計平臺，更幸運地是我們成功登錄上了該統計平臺。該統計平臺顯示，已經有23208台電腦安裝了該木馬，每天都有1500多人上當。僅僅10多天，一個包含23000多台電腦的僵屍網路就形成了。

 

 

由於當前的網站主要是採用Web程式+資料庫的架構，那些未遵守安全編程規範的網站普遍存在著SQL注入漏洞，SQL注入攻擊成了當前Web伺服器面臨的主要威脅。下面是對某單位網站自6月21日起的10天之內所受的SQL攻擊次數統計。從圖中可以看出，該網站平均每天受攻擊次數在500次以上。

 

 

 

 

下面是安啟華Web安全閘道6月28日攔截到的針對該單位網站的一次典型的SQL注入攻擊。

 

 

 

該SQL注入攻擊成功後，會在網站的資料庫內大量的插入該木馬鏈結，網頁在顯示資料庫內容的同時，也會顯示資料庫內的木馬鏈結，訪問該網頁的用戶就有可能感染相關的木馬。通過Google搜索該木馬鏈結，可以發現大量的網站被成功注入了該木馬鏈結。而上面的用戶由於啟用了安啟華的Web伺服器保護功能，成功的阻止了SQL注入攻擊。

 

 

由於動態功能變數名稱可以即時註冊，即時生效，從功能變數名稱註冊到被用來發佈Malware幾乎是同時的，這些新註冊的二級功能變數名稱對依賴於站點過濾的安全廠商來說完全是未知的，使用這些新註冊的二級動態功能變數名稱來發佈Malware容易突破某些完全依賴於站點過濾的安全設備的攔截。一些功能變數名稱服務商提供了免費的二級動態功能變數名稱服務，Malware發佈者便乘機免費註冊了大量的二級動態功能變數名稱，並隨時用來發佈最新的Malware。

 

3322.org就是一家提供免費註冊二級動態功能變數名稱的服務商， Malware發佈者註冊了大量的3322.org的二級功能變數名稱用來發佈大量的Malware. 據不完全統計，僅6月份，該功能變數名稱下被用來大量發佈Malware的二級功能變數名稱就達200多個。這些惡意網站的大量傳播嚴重的影響了3322.org的聲譽，以至於在百度中搜索3322.org時，百度會將木馬和病毒作為它的最經常使用的關聯搜索組合詞。

 

 

 

 

 

對於Web2.0技術的成功應用者，微博客服務商Twitter來說，今年四月是個不尋常的月份。4月11日，一位特殊的客人光顧了它：一隻蠕蟲爬上了Twitter，它躲在Twitter用戶的附屬資訊裏。一旦有人查看了該用戶的資訊，這只蠕蟲就會感染訪問者的用戶資訊，訪問者就會成為該蠕蟲的新的傳播者。就這樣，它迅速感染了上千個Twitter用戶。所有被感染用戶的狀態資訊都被更改為有關StalkDaily網站的廣告。

 

這只蠕蟲的主人是個年僅17歲的男孩Mikeyy Mooney。 他發現了Twitter的用戶配置存在XSS（Cross Site Scripting）漏洞，便利用XSS漏洞釋放了這個蠕蟲。該蠕蟲先是竊取了用戶的Cookie資訊，然後又利用CSRF（Cross Site Request Forgeries）技術修改了用戶的狀態資訊和URL。

 

 

 

儘管Twitter隨後清除了該蠕蟲，並修復了該蠕蟲所利用的XSS漏洞，但幾天之內，蠕蟲作者又在Twitter的其他地方發現了XSS漏洞，並發佈了新的蠕蟲。這使得Twitter不得不忙於清除新蠕蟲，修復新的XSS漏洞。發生在Twitter上的這一連串安全事件，讓我們意識到了Web2.0在安全上的脆弱性。