报告关键字:
ActiveX控件
ActiveX是Microsoft提出的一组使用COM(Component Object Model,部件对象模型)使得软件部件在网络环境中进行交互的技术。它与具体的编程语言无关。作为针对Internet应用开发的技术,ActiveX 被广泛应用于WEB服务器以及客户端的各个方面。同时,ActiveX技术也被用于方便地创建普通的桌面应用程序。
第三方应用程序
第三方应用程序主要是指运行在操作系统上,方便用户进行文档处理、浏览下载、影音播放等日常操作的非操作系统运行必需软件。
网马及其利用的第三方应用程序漏洞
攻击者构造一个恶意网页,在这个网页中加载带有漏洞的ActiveX控件。通过向这个ActiveX控件提供的函数提交恶意构造的参数,致使ActiveX控件溢出,从而下载并执行恶意参数中指向的恶意程序。这个网页就称做“网马”。
网页加密
通过对网页源代码进行某种变换(将字符转换为相对应的ASCII码、将字符以某种函数映射为其他字符等),使其不能被直接识别为逻辑语句的方法,叫做网页加密。对整个网页或部份网页代码进行加密,主要是为了防止作者的代码被盗用。然而现今各种网页加密技术则主要是用来对“网马”代码进行“保护”。因为经过加密的“网马”代码已经“面目全非”,这样就可以使“网马”不被一些通过特征码进行匹配的杀毒软件或安全工具所查杀。
网马生成器
网马生成器是一种生成网页木马的程序。它会针对相应的漏洞自动生成相应的网页木马,使用者不须要知道漏洞形成的原理、漏洞利用的代码、网页加密技术等相关知识。只要运行网马生成器,选择其需要的功能前的复选框并输入要执行的恶意程序的链接,然后点击“生成”按钮,若干网页木马就会生成在指定的目录中。
畅游巡警
“畅游巡警”是数据安全实验室(DSWLab)2008年出品一款优秀的免费产品,其设计融入了国际一流的网页病毒查杀技术,拥有功能强大、高效准确的恶意网站识别与报警能力。其具备成熟的未知智能防御系统,对于未收录进数据库的网页病毒进行动态分析、实时阻止及清除。有效避免网页病毒、恶意网页、恶意下载、钓鱼网站等威胁,帮助用户安全、高效使用互联网资源。
一、2008年上半年网页木马整体分析
2008年网页木马急骤增长,专业化、团队式的木马制造者,在攫取巨额非法利益的同时,给广大网友的正常工作学习带来了很大的不便、使网友们的利益受到了极大的损失。巨额利润、第三方应用程序漏洞、社会工程学成为2008年上半年的网马增长的主要条件。很多流行病毒(如:机器狗、磁碟机、游戏盗号病毒)除了利用程序自身的传播机制进行传播外,也都会利用各种网马来扩大其破坏范围。
图1 网马增长曲线图
(上图为超级巡警连续九周的抽样调查统计图,其中:蓝线为网马的实际增长曲线、黑线为网马的增长趋势曲线)
从图中可以看出,短短十周的时间内国内网络上的网页木马竟达到了10多倍的增长。由于一个网页木马对应着成百上千的,甚至是数以万计的计算机网络用户,所以通过网页木马被感染的计算机是放射性增长的。超级巡警团队监控数据显示,在抽样调查所统计的时间内,被感染的网页数量达到1449034,几乎是平均每个网民每天至少会浏览到一个恶意链接。被感染的网页增长走势如下图:
图2 被感染网页增长曲线图
网页木马作为打开网络上计算机的“弹头”,它会通过各种系统漏洞或应用程序漏洞,率先获取网络终端计算机的某种权限。通过已经获得的权限,去指定的服务器下载回来“有效载荷”。而这些“有效载荷”就是数十个盗取各种游戏软件、即时通讯软件、邮箱等密码或敏感信息的木马。
2008年上半年中国各个地区的网马都呈增加态势,一个原因是由于网络接入发展非常快。另一个原因是,同一年前相比,国内外的搜索引擎越来越多地把重点放在国内的服务器上。网马分布的主要地区如下图所示:
图3 网马分布图
(“其他”中包括除图中所列主要地区外的其他地区,主要指除中国以外的亚太地址和欧美地区)
如上图所示,在超级巡警团队统计的2008上半年十大恶意域名列表中,就有80%的恶意域名的IP地址是指向浙江省的。列表如下:
表1 十大恶意域名列表
二、2008年上半年网页木马利用的十大漏洞分析
网页木马所利用的漏洞程序涵盖计算机软件的各个方面,包括系统程序、下载软件、播放软件、阅读软件、网络电视软件、游戏平台软件等。
图4 网马利用应用程序漏洞分布图
从上图中可以看出,利用最多的漏洞是播放软件RealPlay的漏洞,该程序众多的使用者使利用Realplay的网马成为“网马排行榜”的第一名。
Flash紧随其后,由于利用flash漏洞的网马出现的时间晚于realplay,所以在总的数量上少于它。但是网络上flash使用的相当广泛、widows系统内部自带的flash插件版本就存在漏洞,而flash插件升级到无漏洞版本的步骤相对繁琐。一段时间后,利用flash漏洞的网马数量一定会赶超利用realplay漏洞的网马。在超级巡警团队发出预警资讯后的20多天后, 国内利用flash漏洞的网马才渐渐增多,如下图:
图5 Flash漏洞上报图
网络电视软件UUSee在刚出现短短几周的时间已经超过了MS06014。以此可见,网马的时效性也很强,尤其是一些0day网马,会在漏洞修补前被广泛利用。超级巡警团队在6月18日捕获利用UUSee 0day漏洞的网马,在通知了软件厂商后,立即发布了预警资讯。6月19日,该类网马的上报量在一天时间内竟达到近5万条,如下图:
图6 UUsee漏洞上报曲线图
超级巡警捕获的另一个0day--联众0day在巡警发布预警资讯的若干天后,其每日上报数逐渐达到了数万之多。0day的“杀伤力”可见一斑。
图7 联众漏洞上报曲线图
MS06014虽然是相对古老的一个漏洞,但是由于现在很多网马传播者,是利用“网马生成器”生成一系列经过处理的网马,它作为一个附带品,可能被成功利用的概率相对小了一些,它使用的仍然很广泛。
还有一些应用程序漏洞由于程序的升级已经修补了漏洞或其他原因导致使用者减少(如:暴风影音,PPStream,百度搜霸,超星阅览器),利用它们的网马也随之减少,逐渐淡出被网马利用的行列。
小提示:
及时更新安装Windows系统补丁,并尽可能使用应用程序的最新版本。不仅可以相对的提升系统的整体性能,更是保障系统安全的重要环节。
| 共2页: 1 [2] 下一页 |