kl800.com省心范文网

2009上半年信息安全威胁综合报告


2009 上半年信息安全威胁综合报告
摘要 安天实验室对 2005~2009 年上半年同期计算机病毒疫情进行了全方位的分析与统

计,病毒的发展态式呈稳定上升的趋势,在原有病毒种类基础上,不断的出现新的分类。盗 号木马、web 木马、利用漏洞病毒等,给个人用户、大型企业、学校、政府部门等都带来了 不同程度的经济损失。地下经济体系成长已经成熟,向传统的安全防御发出了挑战,由黑客 单独行动提升为黑客团队协同作战。 安天实验室分别对 09 年上半年的挂马形式、挂马疫情进行进一步的统计与分析,其中 以知名高校和 gov.cn 域名的挂马尤为严重,因为该类网站具有很高的访问量,并且存在有 些网站连续多天一直被挂马,使得挂马者的目的能轻而易举的实现。 而且对 09 年上半年出现的病毒破坏手段进行了总结, 以及对黑色产业链中的 QQ 木马箱 子进行了详细的分析和阐述,并总结了近两年以来最受人们关注的 blog 蠕虫的利用手段并 进行了进一步的分析,blog 蠕虫之所以可以迅速的传播,这与网络系统管理、网站站点的 管理疏忽未能及时的发现漏洞、修补漏洞是分不开的, 经过分析发现此类蠕虫是通过网站 本身就存在一定的漏洞,并结合 XSS 技术进行自动判断、自动传播。并对网络钓鱼新的花招 进行了通报。 最后对 2009 年下半年的趋势进行了预测,总体上多项病毒技术将会趋于稳定发展,部 分欺骗手段会随着生活方式的改变不断的出现, 用以迷惑用户骗取用户的信任达到不可告人 的目的;并对 09 年下半年反病毒技术的发展提出一个更严格的要求,查杀技术需要引进更 加行之有效的技术,以配合传统的技术达到更好的效果。 一、 2009 年上半年度计算机病毒疫情统计与分析 1.1. 2005~2009 年上半年同期病毒数量 对比 自 2005 上半年至 2009 上半年病毒数量分别为 12 万个、15 万个、23 万个、132 万个、 265 万个。 从中可以看出自 2005 年上半年到 2009 年上半年, 病毒数量增长趋势呈倍数增长, 由 2005 年上半年 12 万个迅速的增长到了 2009 年上半年的 265 万个,这与我国的计算机事 业发展迅速有一定的关系。

1.2. 2008~2009 年上半年同期新截获的各类病毒对比图 可以看出 09 年上半年的木马、 后门类数量较 08 年上半年有所增长, 病毒类和蠕虫类数 量有所回落, 主要是由于今年网络病毒的传播以网站挂马方式为主, 而挂马后传播的病毒以 木马、 后门类为主。 致使木马类和后门类自 2007 年下半年至 2009 年上半年一直都比上一年 同期增长幅度大。

1.3. 2009 年上半年新截获各类病毒占比 木马类别一直占据着主要的比例; 病毒类、 蠕虫类可以说是平分秋色; 后门类有所减少。 木马类之所以占据的比例较大,是由中国黑客的转型所导致的,据有关消息透漏:一个制作 木马类的技术人员年利润可在千万,这已经不是一个秘密。正因为如此,致使部分传统的黑 客经受不住利益的诱惑,纷纷投入到“造毒”大军。

1.4. 2009 年上半年各月新增病毒统计 09 年新年后迎来了首个病毒低谷时期, 4 月以后病毒数量有所回升, 月呈现持平状 在 6 态。在 1 月、2 月正值各大高校寒假时间,也正是网络游戏最火爆的时间,使木马传播者也 会日夜不停的赶工,来获得一顿丰盛早餐。相信在未来的 7 月、8 月暑期期间病毒将会再度 出现高峰期可与年初匹敌。

1.5. 2009 年上半年每月各类病毒数目统计 木马类的走势高高在上,一直处于领先的地位;其中后门类呈现平稳趋势,病毒类、蠕 虫类并驾齐驱。Xfile 类有下降趋势。总的来说 2009 年上半年各类病毒总体上升趋势可以 用一个词形容——一波三折, 形成该现象主要与微软系统频报漏洞以及第三方软件漏洞不断 被公布有关。

下图为去掉木马后的微观走势图:

1.6. 2009 年上半年典型病毒排名 排名 1 2 3 4 5 6 7 8 9 10 病毒名称 Virus/Win32.Sality Trojan/Win32.OnLineGames[GameThief] Net-Worm/Win32.Kido Trojan/Win32.Agent[Downloader] Trojan/Win32.Generic Trojan/Win32.Patched Virus/Win32.Virut Trojan/Win32.Hmir[Downloader] Trojan/VBS.Agent Packed/Win32.Krap 以上十大病毒的特点及传播方式: 1) Virus/Win32.Sality 病毒特点: 一种多形态病毒,感染 Win32 PE 可运行程序。它还包含特洛伊 的成分。 传播方式:通过 pe 文件感染、通过网络共享传播,其中一些变体不感染大小在 4K 以下或者 在 20M 以上的文件。 2) Trojan/Win32.OnLineGames[GameThief] 病毒特点: 专门盗取网络游戏玩家的游戏账号与密码等信息。 通过 WEB、 邮件方式回传信息。 传播方式:通过网站挂马、下载器下载、文件捆绑方式传播。 3) Net-Worm/Win32.Kido 病毒特点:创建特定系统服务,部分变种并伴有下载其他病毒文件能力,文件感染。 传播方式:利用系统漏洞,文件共享,web 挂马。 4) Trojan/Win32.Agent[Downloader] 病毒特点:通过后台连接网络并在指定 URL 下载其它病毒文件。 传播方式:通过网页恶意脚本、即时聊天工具、电子邮件附件方式传播。 5) Trojan/Win32.Generic 病毒特点:pe 文件感染,会破坏系统正常运行。 传播方式:通过网站挂马、下载器下载、文件捆绑方式传播。 6) Trojan/Win32.Patched 病毒特点:盗取用户信息,部分变种带有感染系统 pe 文件能力。

传播方式:通过 pe 文件感染、网站挂马、下载器下载。 7) Virus/Win32.Virut 病毒特点:pe 文件感染、部分变种具有下载能力。 传播方式:通过 pe 文件感染、U 盘传播,网站下载。 8) Trojan/Win32.Hmir[Downloader] 病毒特点:创建系统驱动、部分变种反制杀软,下载病毒文件。 传播方式:通过网站挂马、下载器下载、文件捆绑方式传播。 9) Trojan/VBS.Agent 病毒特点:采用 VBS 脚本语言编写,并经过加密处理,反制杀软,下载其他病毒。 传播方式:通过网站挂马、下载器下载、文件捆绑方式传播。 10) Packed/Win32.Krap 病毒特点:病毒为木马行为、安装键盘/鼠标钩子监视用户操作,为辅助型木马。 传播方式:通过网站挂马、下载器下载、文件捆绑方式传播。 二、 2009 年上半年网站挂马统计与疫情分析 2.1. 2009 年上半年挂马统计

从图中可以看出五月为挂马的一个相对高峰期,从而导致在 09 年上半年的各月病毒排 行榜中表现为相应的增长,致使木马类和后门类病毒的数量会比其他病毒的数量上升的要 快。六月后会有所上升,会达到一年内的最高峰,届时也是新增病毒数增长最快的时期。

该图中罗列了网马经常利用第三方软件漏洞和微软漏洞的占比,其中包括比较新的 ms09-002、暴风影音、RealPlayer、Adobe Reader PDF 漏洞,以及比较早的经典漏洞。

上图为 09 年上半年挂马者利用的域名系统,其中以美国的 3b3.org、3bomb.com 为首, 其次是广东的 ccj7.cn 最为挂马者的青睐。其中 3b3.org、3bomb.com 各占 20%,ccj7.cn 占据了 13%,从而可以看出国外的域名系统是挂马者最常用来挂马的。因此,应该加大对此 类网站的管理和防范工作。 2.2 2009 年上半年挂马疫情分析 1) 判断域名 该类别的挂马是有选择性的, 并不是网站具有挂马漏洞就把这个网站挂上木马, 相反他 们是选择具有高流量、高信誉度的网站进行挂马。挂马者会通过判断域名,避重就轻,从而 选择是否在某网站挂马。 下面是一个判断域名的例子:

黑客通过向该网站注入恶意链接(http://3b3.org/c.js),来判断调用恶意链接的页 面是否包含域名“.gov.cn”与“.edu.cn”。 如果包含两者其中任意一个域名, 便不会跳转 到网马链接。下面是对恶意链接(http://3b3.org/c.js)的分析:

很显然,数组成员“.gov.cn”在字符串“www.lnkd.gov.cn”里,则 tmpdomain = 1, 进而也就不会打开恶意网站链接(http://4y553r7.8866.org/a/a100.htm)。 2) 高校网站挂马 根据安天实验室的一份高校网站黑客入侵统计显示, 在国内 121 个重点大学和 487 个普 通大学中,86%的高校网站曾因为存在漏洞而遭到黑客入侵。他们并不会因为自己是名牌大 学而幸免。下面是 09 年上半年各大高校网站挂马统计:

3) gov.cn 类域名挂马

该类域名为政府类型的域名系统。 挂马者找这种域名进行挂马, 是由于浏览者会相信这 类网站为政府网站会很安全。 从而就会降低浏览者的防御能力, 使得用户单方面认为只要是 这类域名的就一定安全,用以欺骗用户不做防范的浏览访问。下面是近期发现的 gov.cn 域 名挂马列表:

三、2009 年恶意行为盘点 3.1 09 年上半年病毒常用的破坏手段 1) 感染文件 病毒程序通过查找特定文件(例如:PE 文件,HTML 文件等)中的空余空间,将自身代码插 入到该空间; 由于系统在运行程序时首先加载文件首部, 病毒通过修改文件首部使其在加载 过程中执行自身代码, 当病毒代码被完全执行后再去执行正常程序。 由于该类病毒存在于文 件中,可以通过文件共享等传播,同时具有了一个长期稳固的生存环境。 2) 破坏注册表 注册表是为 Windows 中所有 32 位硬件/驱动和 32 位应用程序设计的数据文件。在没有注册 表的情况下, 操作系统不会获得必需的信息来运行和控制附属的设备和应用程序及正确地响 应用户的输入。 病毒通过修改注册表添加恶意启动项、 映像劫持某些反病毒程序和系统监控

程序,使得无法对已中毒系统进行检测。修改隐藏文件显示,使得该项无法启动,以达到隐 藏病毒自身的目的;恶意篡改 IE 首页。 3) 破坏系统安全性 关闭系统防火墙、 关闭系统自动更新、 恶意修改系统时间以及劫持任务管理器等进程类工具, 屏蔽注册表运行,屏蔽系统 cmd 命令,破坏系统安全模式、磁盘格式化等一系列降低系统安 全性和损坏系统的操作,从而使得病毒或者入侵者能够顺利的达到不可告人的目的。 4) 劫持第三方安全软件 凡中毒的用户都会碰到这样的一个问题, 自己所使用的安全软件已经无法运行, 系统即使重 新启动也不 (能) 自动运行了, 手动启动也没有反应, 甚至情况好点的只是一闪即逝的状况, 那么出现这种情况就是病毒所为了。他们会通过查找窗口标题、系统进程、修改注册表创建 错误的文件关联等使得本应运行的安全软件无法运行。 5) 窃取信息得到控制权 如果病毒一旦入侵成功就会执行由病毒作者事先预设的指令, 可以获取账号密码信息, 例如 QQ、网络银行、系统管理员、网络游戏等;也会自动连接恶意网址、后台打开 IE 程序下载 恶意程序, 该类的典型病毒为疯狂下载者病毒; 破坏文件、 感染文件达到长留系统目的。 3.2 QQ 信封经济体系 如果我们经常浏览一些有关黑客的 bbs 或者 blog 的话就会看到一些术语,其中就包括 QQ 类别的,例如洗信、死保号、散币等; QQ 信封就是黑客通过非法手段(例如放木马、入 侵别人电脑、窃取局域网信息)非法获取的 QQ 号码和密码,以万为单位保存的信息文本。 信封又分为一手信封、二手信封以及 N 手信封。一手信封就是原始的,黑客将盗来的 QQ 号 码和密码不经过任何工具, 随机储存的。 二手信封就是已经被黑客工具将里面有价值的号码 取出,所剩下的号码。洗信就是通过一些黑客工具,将一手信里面有价值的号码筛选出来的 过程。例如号码里面有 QB 的(QB 是腾讯公司所发行的用来购买公司旗下产品的虚拟货币, 这些可以用来支付 QQ 增值服务,例如会员,三种钻等,代买虚拟网络物品,例如 QQ 秀,QQ 棋牌游戏里面的物品,所以 QB 也是黑市上最受欢迎的物品,一般黑市上以 2-5 折的价格出 售。 也就是正规渠道需要 10 元 RMB 的 QB, 在黑市上 2-5 元钱就能购得) 无保护的靓号 , (靓 号就是 5,6,7 位都属于靓号之列,因为位数越少,所发行量也就越少,市场上除去腾讯公 司内部人员所拥有的就更少了,这类号码也就格外有价值,一个 5 位的死保号码,就可以卖 到 400 多元 RMB,如果是没有密码保护的价值应该就在千元左右。6 位号码价值大概在 30 元以上,也是看有没有密码保护来定。7 位号码价值大概是在 30 以下。还有一些靓号就是 AB 号、ABA 号或者 ABC 号码,也就是号码里面只有 2 个或者 3 个数字的,这类号码价值也不 菲),5,6 位的靓号等。死保号从字面也可以理解就是有密码保护,但是因为时间过长而 忘记密码保护答案的号码。散币是指不成整数的 QB 数量,例如 0.5 这种,不过也有将 10QB 以下的称为散币。 下面是 QQ 信封体系流程图:

3.3 网页挂马 挂马在黑客地下经济产业链中起着传播木马与其它恶意程序的作用。 在黑客地下经济产 业中擅长网络攻击的黑客传播木马的主要手段之一就是挂马。 通过挂马广泛传播木马后, 专 职盗号者就可以获得用户的敏感信息,之后将这些信息出售。根据 2009 年上半年的所有挂 马网站数量的总体分析,每当有大规模的漏洞爆发前就有新的挂马技术出现,预计在 2009 年下半年网站挂马在中国会更加疯狂。挂马技术的普及使得木马的传播更加的广泛。 3.4 网络钓鱼

网络钓鱼是一个很早的欺骗技术, 每年都会发生这种使用虚假的信息欺骗用户得到用户 的信任以达到他们不可告人的目的。而如今网络钓鱼又出新招,那就是利用微软 Outlook 进行欺骗:在 Microsoft Outlook 中提示用户有新邮件,人们(用户)表面看上去像是一封 来自微软的邮件。 但是只有在重新配置 Outlook 后用户才能查看新邮件, 这看上去是很合情 合理并没有什么可疑, 其实可疑邮件只是使用了简单的网络链接, 不明真相的用户就会点击 该链接进行设置。 而该链接指向一个窃取账户名称和密码以及邮件服务器信息的网站。 该方 法并未使用什么复杂的技术手段, 只是利用用户自认为安全而疏于防范的心理。 此种钓鱼方 式发现于国外。

3.5 blog 蠕虫 据 Forrester 在去年公布的数据, 2010 年将有 64% 的美国广告商利用博客刊登广 到 告;57% 将会刊登 RSS 广告;在线营销将占有整体营销支出 8% 的比例。此外,Google 也 已经推出 RSS 专用的 AdSense,这个程序能在它的网站信息汇集服务中插入针对特定对象 的广告。相较于具备 RSS 功能的蠕虫,由于受到利益的驱使,RSS 广告程序与间谍程序将 构成更大的威胁。 你的博客会随着人气攀升,而成为网络垃圾场、广告免费空间或蠕虫快 递。 如今已经出现利用 blog 蠕虫进行人气提升的事件。下面是传播的流程图:

下面为 blog 蠕虫的部分代码,创建新的 ActiveXObject:

感染 blog 用户:

四、 2009 年下半年病毒技术趋势预测 1. 网络钓鱼将会使用人们信任的品牌、 名人或者熟悉 的操作等方式进行新一轮的钓鱼欺骗攻击。 2. 黑色产业经济将会继续进行病毒传播、盗取(对象不明)、破坏反病毒软件行为,届时 木马、后门类数量将再现高峰。 3. 利用社会工程学通过 IM(即时聊天工具)进行攻击或者欺骗的行为将会出现新的景象。 4. 由于各大杀软已经具备一定的查杀具有 Rootkit 技术的病毒的能力,使得其发展受到一 定的冲击。该类(病毒)将会保持现状趋于平稳发展。 5. 网站挂马将会在 09 年下半年再掀高峰,继续作为病毒的主要传播途径。 6. 由于网站漏洞不断出现及 blog 蠕虫传播技术的普及,blog 蠕虫行为将会持续上升。 五、 2009 年下半年反病毒技术应用与发展趋势 1. 知名厂商将继续完善智能客户端、 集群式 服务器、开放安全服务平台等技术,逐步实现真正的云安全。 2. 反病毒软件将会继续使用沙盘技术,并改进其应用范围使其成为一个真正的沙盘。 3. 网游、即时聊天工具、影音播放、下载工具等各大厂商已经开始逐步引入病毒查杀技术 进入到产品功能环节内, 使得账号被盗或者丢失的可能性降到最低; (并) 会逐步完善功能。


赞助商链接

2009年全国大学生信息安全竞赛作品集_

2009年全国大学生信息安全竞赛作品集__学科竞赛_小学...? ? 继续对应用程序所存在的安全威胁和漏洞进行分析...CC.《CNCERT/CC2008 年上半年网络安全工作报告》. ...

GB_T 24363-2009_信息安全技术 信息安全应急响应计划规范

GB/T 24363-2009 信息安全技术基本信息 信息安全应急响应计划规范 【英文名称】 Information security technology―Specifications of emergency response plan for ...

信息安全综合实践报告_图文

信息安全综合实践报告 - 09信息安全专业综合实践 信息安全专业综合实践 设计报告 专班业: 级: 信息安全 信息安全 09-3 班卢亚 小组成员: 符德儿 王朝辉 ...

北京科技大学2009年信息安全数学基础A卷

北京科技大学 2009 -- 2010 学年 第一 学期 信息安全的数学基础院(系) 班级试卷卷面成绩 题号 得分 一二三四五六七八九十 试卷(A)姓名占课程 平时 成绩 ...

2009年12月计算机网络信息安全技术水平证书实践考试试卷

2009 年(下)全国信息技术水平考试 计算机网络信息安全技术水平证书实践考试试卷 一、单项选择题(共 40 分,本大题共 20 小题,每小题 2 分) 1.一般来说,DDoS...

09.健全的网络与信息安全保障措施

09.健全的网络与信息安全保障措施_法律资料_人文社科_专业资料。申报互联网药品...不得越权管理网站信息; 5、 一旦发生网站信息安全事故,应立即报告相关方并及时...

《生产安全事故信息报告和处置办法》2009-7-1

《生产安全事故信息报告和处置办法》2009-7-1 - 国家安全生产监督管理总局令 第 21 号 《生产安全事故信息报告和处置办法》已经 2009 年 5 月 27 日国家安全 ...

ISO IEC 27004-2009信息安全测量中文版_图文

ISO IEC 27004-2009信息安全测量中文版_IT/计算机_...管理层的报告需求;以及 d) 被用作信息安全管理体系...但不能应对所预 计的威胁; 2) 控制措施或信息...

2009年度政府信息安全检查指南

是否对重要服务器上的应用、服务、端口和链接 进行...《2009 年阳信县政府信息系统安全检查 情况报告表》...会同有关部门进行综合分析和情况会商, 及时通报情况...

浙江省2009年1月自考信息与网络安全管理试题

浙江省2009年1月自考信息与网络安全管理试题_管理学_高等教育_教育专区。www.4...(本大题共 4 小题,每小题 5 分,共 20 分) 1.简述网络安全威胁存在的...