二�����、 惡意網(wǎng)站威脅
1. 概述
去年兩大IE漏洞以及Windows Shell漏洞為病毒的傳播起到了不同程度的助推作用�,對互聯(lián)網(wǎng)的信息安全造成了切實的威脅。今年上半年操作系統(tǒng)以及IE方面表現(xiàn)得較為平靜�����,尚未出現(xiàn)被大規(guī)模利用的漏洞��,但是例如Flash Player等常見第三方軟件卻接連陷入0day漏洞的漩渦之中����。
據(jù)江民科技的監(jiān)測數(shù)據(jù)顯示,上半年網(wǎng)頁木馬所利用的漏洞主要包括老舊的IE瀏覽器漏洞(CVE-2010-0806�、CVE-2009-0075)、操作系統(tǒng)漏洞(Windows DirectShow組件漏洞)以及新近出現(xiàn)的Flash Player漏洞(CVE-2011-0611���、CVE-2011-2110)�。對于那些較早曝出的漏洞�,只要用戶及時安裝相應補丁即可完全防御。尤其對于那些新安裝的系統(tǒng)而言���,在完成漏洞修復之前�����,盡量不要訪問各類網(wǎng)頁和站點���,即使是一些相對可靠的網(wǎng)站����。因為跨站腳本攻擊的存在�,任何網(wǎng)頁都可能變得不再安全。
受制于覆蓋面�、應用難度等客觀原因的制約,雖然上半年一些知名的第三方應用程序被曝存在0day漏洞且出現(xiàn)了實際的攻擊案例�����,但并未對病毒的傳播起到太大的幫助��。以Flash Player漏洞為例�,成功利用不僅僅需要編寫相應的網(wǎng)頁腳本,還需要構造特殊的SWF文件����。而特殊SWF文件的構造以及變形都存在一定的技術難度,因此雖然Flash Player具有龐大的用戶群體�����,但其漏洞利用的難度也只能讓一些不法分子望其興嘆����。
整體上而言,上半年可被用于掛馬的漏洞其影響要遠遠低于去年���,同時隨著舊有漏洞被越來越多地修復����,這些都給病毒的傳播造成了較大程度的抑制���。但正因如此�,病毒的傳播也會由網(wǎng)頁木馬逐漸向更為廣泛的途徑擴展���。
2. 病毒網(wǎng)站威脅
2011年上半年�,江民科技共捕獲新增病毒傳播站點735個(注:以主域名計算)���,平均每月新增123個�����。月均攔截用戶對惡意站點的訪問120萬余次�����。病毒網(wǎng)站的傳播高峰分別出現(xiàn)在1月份和3月份�,這一傳播趨勢與上半年被感染計算機數(shù)量的發(fā)展趨勢相同����?梢姡《菊军c在病毒傳播的過程之中仍舊發(fā)揮著關鍵的作用����。
3. 釣魚網(wǎng)站威脅
2011年上半年,江民科技共捕獲新增釣魚站點2245個(注:以主域名計算)����,平均每月新增375個。這些釣魚網(wǎng)站大多仍舊延續(xù)過去的模式�����,以某些著名綜藝節(jié)目或互聯(lián)網(wǎng)服務提供商抽獎的名義進行詐騙�。還有便是利用高度相似的域名和網(wǎng)頁偽裝成銀行的官方站點進行賬號的竊取。對此�,各大安全廠商也紛紛拿出了自己的解決方案,例如江民殺毒軟件�����,除了每天常規(guī)升級釣魚網(wǎng)站特征庫之外,還在程序中集成了“江民安全網(wǎng)址”功能���。該功能內(nèi)置了諸多常用網(wǎng)站的鏈接����,用戶可從其中直接點擊訪問目標站點��,從而避免了在使用搜索引擎定位站點的過程中遭遇釣魚網(wǎng)站欺騙的情況�����。
在各類Web應用不斷興起以及功能越發(fā)強大的同時����,不法分子也從中嗅出了更多可以利用的機會�����。例如江民科技近期便捕獲了一個利用QQ 空間自定義Flash控件功能進行釣魚的網(wǎng)頁����。該網(wǎng)頁被訪問時,會彈出一個偽造的Flash登陸界面提示訪客輸入QQ賬號信息。由于用戶訪問的是QQ空間頁面����,因此十分容易降低警惕性。如果用戶提交了賬號信息����,則該仿冒的登陸界面會在后臺將這些信息發(fā)送到不法分子指定的站點上,從而實現(xiàn)賬號的竊取�。
仿冒的登陸界面
偽造登陸界面的代碼
除了網(wǎng)絡釣魚之外, Web應用的另一大安全威脅“跨站腳本攻擊”也一直未曾停止過攻擊��,并開始盯上了越發(fā)火熱的微博��。例如近期爆發(fā)的新浪微博XSS蠕蟲事件����,便是此種攻擊利用微博網(wǎng)站相關漏洞以及社會熱點事件進行的一次成功的腳本蠕蟲傳播。
從技術層面上看�����,本次事件所利用的漏洞還是由于網(wǎng)站對提交參數(shù)過濾不嚴格導致���,這已經(jīng)是Web安全中一個老生常談的問題了��。此種攻擊的可怕之處在于�����,進行攻擊的惡意代碼僅是整個URL中的一部分�,而URL整體中還包含Web應用站點的正常域名,因此即使用戶具有一定的安全意識�,但還是會被這種相對隱晦的方式所蒙蔽、欺騙�,進而放心地點擊看似正常的網(wǎng)頁鏈接�。對于此種安全威脅,除了需要官方及時獲知并修復漏洞之外���,一般用戶還是要依靠專業(yè)的信息安全軟件以及不斷的升級更新來進行防護�。
