2009年第四季度网络威胁报告

1月25日，Web安全网关厂商安启华公司发布《2009年第四季度威胁报告》。

Malware威胁概况

本季度Anchiva安全实验室共截获各类Malware约200万，比上季度大幅上升。木马所占的比例与上季度相比略为上升，仍占一半以上。其余依次为蠕虫、后门程序、间谍软件、风险软件和广告软件，传统病毒和其它类别所占比例与上季度没有变化。

2009年第四季度Malware类别比例图

Web Malware Top20

本季度的Web威胁中，网页脚本类占绝大多数，其出现频率最高的前20个Malware如下图所示。相较于第三季度，有些Malware依然很活跃。显示出当前流行的攻击方式依然是通过网页进行漏洞利用。这些Malware多数被挂马集团所利用，下载Spyware、Banker等木马，窃取敏感信息或进行系统破坏。拦截这些恶意脚本，可以有效的破坏其“挂马－下载恶意软件－造成破坏”这一工作链，从而减少损失。

Web Malware Top20

Email Malware Top20

根据Anchiva Malware监测网的监测结果，本季度的邮件威胁中，出现频率最高的前20种Malware如下图所示。一份美国联邦调查局发出的警告称，诈骗分子利用假冒的杀毒软件在09年获得了超过1.5亿美元的非法收入。从下图我们的统计也可看出，假冒杀毒软件的传播活动在第四季度的确非常频繁。它们通过垃圾邮件发送到受害者机器上，并诱使受害者打开、执行附件。随后弹出一个假的警告，报告电脑中存在着恶意软件，并强制要求受害者注册，才能清除那些所谓的“恶意软件”。

Email Malware Top20

恶意网站Top20

根据Anchiva Malware监测网的监测结果，发布恶意软件数量最多的前20个恶意网站如下图所示。统计显示前20位的恶意网站域名绝大多数都是“.cn”结尾。由于初期注册.cn域名在国内比较容易，审核不严，后续监管不力，因而吸引黑客注册了大量的.cn域名，专用于恶意软件发布、升级。随着09年12月后，中国互联网信息中心（cnnic）开始加强域名注册信息审核，个人注册.cn域名将越发困难。可以预见该类恶意网站会逐渐减少。

恶意网站Top20

大型社交网站Rockyou被入侵，3200万用户信息被泄露

09年12月份，国内外媒体争相报道了轰动一时的rockyou.com泄密事件。黑客通过SQL注入漏洞攻击rockyou.com，窃取该网站3200多万用户的密码、个人资料等敏感信息，并把部分用户资料公布在网络当中。rockyou.com的用户在注册帐户时，仅仅要求其密码多于五位字符，并不要求字母、数字及符号混合的强密码。它甚至不准用户密码中包含符号。rockyou.com会提示用户输入第三方网站的用户名及密码，比如facebook、myspace等社交网站。而糟糕的是，用户们的所有这些密码、个人资料等敏感信息在数据库中并没有被加密，而是完全可见的。在这一系列的错误之下，最终酿出被黑客入侵，用户信息被窃取的恶果。

被公布的rockyou.com用户密码统计Top20

Adobe零日漏洞

第四季度以来，用于零日攻击的Adobe漏洞如下：

· CVE-2009-3459

· CVE-2009-4324

以上两个漏洞都被挂马集团、定向攻击等所利用，通过邮件附件或者挂马者感染的网页来传播。在对受害者攻击过程中，它们一般释放或者下载其它恶意软件，来达到远程控制、窃取信息等目的。这类攻击一般比较隐蔽，受害者可能仅仅不小心点击了一个链接、打开了一个文档，而攻击者在释放、下载恶意软件的同时，一般会释放出一个其它安全的文档，以此麻痹受害者。

通过统计Adobe相关的09年CVE数目，我们发现总共有100个abode漏洞被上报。而随着windows 7的发布，在其底层安全框架越发完善的情况下，windows平台上可利用的漏洞将越来越难以发掘。不难推测在不久的将来，Adobe Reader等第三方的软件将越来越受到黑客的青睐，更多的pdf、flash等漏洞将被应用于攻击中。

下图是Anchiva某客户第四季度中截获的利用PDF漏洞进行攻击的部分实例。

利用Adobe PDF漏洞的攻击拦截记录

微软IIS畸形文件扩展名绕过安全限制漏洞

微软IIS服务程序在解析文件扩展名时存在漏洞，对形如“malicious.asp;.jpg”的文件，将会以ASP文件方式在服务器上执行。黑客在攻击web服务器时，就可以利用该漏洞，上传webshell，从而控制该服务器，造成破坏。微软认为这只是服务器权限设置缺陷，并不打算释放相应的补丁。我们建议不仅要按时打系统补丁，同时限制上传文件目录的可执行权限，以此来避免该类漏洞的利用。

畸形文件扩展名攻击实例

内网肆虐横行的Conficker

Conficker蠕虫传播途径很多，它可以通过U盘、RPC漏洞、p2p共享等方式在内网横行。一旦某台机器中毒，它会通过扫描的方式，在内网寻找有RPC漏洞、弱口令的windows机器。如果该机器还有外网IP，它同时会扫描设定的外网IP列表，并伺机向外传播。因此发现某台机器中了该毒，必须马上断开网络连接，使用杀毒软件彻底查杀，再安装好系统补丁，才能彻底清除干净该蠕虫。

某客户内网中Conficker的部分拦截记录

钓鱼网站

Twitter、facebook等社交网络服务在2009年第四季度取得了更大的发展，用户数节节高升。人们通过它们交友、学习、聊天，甚至进行商业活动。而随着新浪微博客、twitter、facebook等社交网络服务的逐渐流行，针对该类网站的钓鱼网站日渐增多。延续上一季度的威胁，淘宝、QQ等国内网站依然是钓鱼者针对国内用户主要的攻击对象。

拍拍网钓鱼网站

某客户中拦截的社交钓鱼网站部分实例