Fortinet发布2013上半年最新网络威胁研究报告

Fortinet公司的FortiGuard威胁研究与响应实验室(FortiGuard Labs)发布了最新的安全威胁报告包括2013年上半年的安全威胁趋势并建议对已发现的漏洞，及时的补丁是避免攻击的必需。

移动设备的灰色软件在急增

FortiGuard Labs观察到过去超过6个月的时间手机灰色软件增加了30%。现在，每天看到超过1300个新的样本，且当前正在跟踪超过300个Android灰色软件家族以及250000多个Android恶意软件采样。以下图1所示是2013年1月到7月之间的手机灰色软件增加趋势。

图1

自携带设备与自找麻烦

“自携带设备(BYOD)“对于公司来讲好处多多，其中最主要的是对雇员效率与生产率的提高。然而，宽松的BYOD策略的缺点是移动设备恶意软件感染用户设备，紧接着是整个业务网络的威胁。

“三年前，移动设备的恶意软件还没有受到用户或企业的太多关注。当时针对智能手机和平板电脑的大部分恶意软件只不过是annoyware (一般性困扰软件)，例如用于SMS诈骗或替换用户图标的Cabir病毒或诈骗软件。”Axelle Apvrille，FortiGuard Labs资深移动设备反病毒研究员谈到。 “随着由于移动设备激增，网络罪犯也希望利用着逐渐庞大的用户基数。移动设备的恶意软件的泛滥不会很快减弱。”

从Symbian系统开始

2009年，所存在的大多数移动设备灰色软件的目标是Symbian OS;iOS与Android在市场上相对较新。此外，大量的恶意软件编码程序员在东欧和中国，Symbian在这些地方有大量的用户基数群。图2显示了2009年移动设备灰色软件传播作为活跃的国家。

图2

图3显示了2009年灰色软件攻击最频繁的目标操作系统信息

图 3

2013年 移动设备威胁格局的改变

在2013年，移动设备威胁格局发生了巨大的变化。全球大规模移动制造商采用谷歌的Android操作系统带来了市场中智能手机的普及。 Android设备遍地开花，价格上从便宜到昂贵均有，加上各种应用极大的扩展了移动设备的功能，网络罪犯与其他不法的网络黑手都伺机而动利用这个平台。

勒索软件出现在移动设备

2012年FortiGuard Labs预测勒索钱财的软件将会在走向移动终端设备。现在它们来了。“勒索软件可谓在金钱财物方面网络犯罪非常昭著，他们已经把注意力转向了移动设备这并不奇怪。”FortiGuard Labs安全战略专家 Richard Henderson说道。 “这些软件披着防护软件的外衣进入Android系统，如同假冒防病毒软件浸入PC的手法一般-打着利他主义的大旗下是其真实目的待爆发。这种恶意软件会锁定受害人的手机直至所要求的付款执行后才会解锁设备。一旦手机被锁定的，受害人可以支付赎金或如果手机中的照片等资料均有完整备份，那么可以弃手机于不顾，重新刷机。”

对旧有漏洞的新攻击

虽然最近对Ruby on Rails，Adobe Acrobat与Apache的补丁已经出了，FortiGuard Labs发现仍然有一些攻击者利用这些旧有未打补丁的漏洞。

Ruby on Rails

今年一月份的时候，发布了Ruby on Rails架构中的重要漏洞，远程攻击者可以利用这个漏洞对web服务器执行代码。

Ruby on Rails(ROR)是一个Web应用框架的Ruby编程语言。简单地说，可以快速简单美观的编辑制作 Web2.0网站。相当多的网站在使用 RoR框架。Metasploit的设计可用于漏洞的扫描，查找web服务器并破解就成了小事一桩了。

“破解需要XML处理器还原序列号程序中的缺陷，由此才能在运行中创建一个Ruby对象”，“RoR的补丁就是修复这个缺陷的，但是从补丁发布后已经四个月了，攻击者还在搜索未打补丁的Web 服务器从而实现嵌入的代码感染”，Henderson说道。

Java远程代码执行

今年一月份，发现一个零日攻击可以绕过Java的沙盒并运行任意的Java代码。Java是网络无所不在的一种技术应用，大多数计算机设备都安全并启动了一些形式的Java。漏洞允许一个恶意小程序运行于任何的Java程序，绕过了Java的沙盒并可允许多受感染计算机的完全访问。

这样的攻击被大范围的发现，且破解方式被很快集成到许多流行的犯罪让软件的攻击包中，例如BlackHole, Redkit与Nuclear Pack，通过购买这样的攻击包就成在计算机上安装灰色软件。Metasploit也可以用于漏洞创建，更容易通过一个简单的点击而发现被感染者。

“该漏洞涉及一个JMX(Java Management Extensions)组件中的缺陷，通过它可以允许恶意的Applet提升其权限并允许任何Java代码。”Oracle快速的发布了补丁，但是这样的漏洞已经被列入到网络犯罪软件包中。新的受害者还是源源不断被发现，因运行了未打补丁的Java。”Herderson说到。

Acrobat/Acrobat Reader零日攻击正在泛滥

二月份的时候，一个伪装为来自土耳其的旅行签证的PDF文件被发现到处流行，利用了Adobe Reader未被发现的漏洞。该漏洞存在于所有最近的Adobe Reader (9.5.X, 10.1.X, 与11.0.X) 版本，以及大多数的Microsoft Windows，包括64位Windows7和Mac OS X系统版本。该PDF漏洞被网络犯罪所利用以在其锁定的目标计算机系统中安装灰色软件。Adobe在2月20日发布了补丁，但是网络罪犯仍然利用未打补丁的版本而发动鱼叉式钓鱼攻击。

CDorked 攻击了Apache

四月末的时候，对Apache Web服务器的一个新的攻击被发现。Dubbed CDorked，一种灰色软件可以兼容Web服务器并将访问服务器的用户重新定向访问到其他服务器，从而使用BlackHole漏洞工具实现灰色软件的链入。该攻击可能将Lighttpd 与 Nginx Web 服务器平台作为目标。

CDorked显示出了与2012年的 DarkLeech 对Apache服务器攻击的诸多相似，但是它比显DarkLeech更隐蔽与狡猾的地方在于：CDorked没有加载额外的恶意模块到被感染的服务器，而是恶意修改现有的httpd。

CDorked很有意思，它没有Web服务器的硬盘驱动器写入任何的信息：所有的信息都被保存在内存中且通过攻击者对所攻击的服务器发送模糊GET请求来访问。这些GET请求都不会日志记录。CDorked在其操作方式上显示出了一些手法。

Herderson说到“它有一个内置的限额系统，换句话说，CDorked并没有试图将每个服务器访问者重新定向到BlackHole网站。它还对试图访问受感染web服务器的管理页面的用户进行了隐藏，防止该用户可能注意到被重新定向到了一个恶意网站。CDorked这样的做法并不是独一无二的。其他恶意的灰色软件也具有嵌入的防止灰色软件分析师或其他白帽黑客查看的做法”。