《瑞星2011年度安全报告》发布

《瑞星2011年度安全报告》发布

瑞星分析表明，目前威胁国内互联网安全的因素主要包括三个方面：病毒和木马等恶意程序、钓鱼诈骗、黑客“拖库”攻击。与2010年相比，由黑客“拖库”因素带来的安全问题显著上升，包括CSDN、天涯在内的一批互联网网站用户数据库被窃取，导致用户隐私大规模被泄漏，这给整个互联网行业带来巨大安全风险。钓鱼诈骗带来的安全问题进一步显现。除了简单的“网页仿冒”钓鱼诈骗之外，2011年出现了多种诈骗方式，例如通过MSN和QQ进行“充值卡诈骗”，利用团购进行“假iPhone诈骗”等，这使得单个受害用户的受损金额与往年相比有很大增长。蓬勃发展的电子商务成为黑客窥测的主要对象，网购、支付、配送、推广、售后等多个环节均遭到黑客有针对性的攻击。例如，有的黑客在购物网站开设网店，以超低价格吸引网民，在砍价、咨询的过程中把捆绑了病毒的图片或文件发送给受害者，这样就可以窃取用户的支付账号，进而窃取钱财。瑞星安全专家表示，黑客和病毒攻击越来越有针对性，网购、游戏等特定人群面临较大安全风险，在可预见的时间段内，这个发展趋势仍将保持。2011年，中国互联网安全领域呈现以下特征：1、报告期内，瑞星共截获病毒922万个，比去年上升22.9%，其中木马病毒708万个，占据病毒总体数目的76.85%，是第一大种类病毒。2、报告期内，瑞星共截获挂马网站347万个，比去年同期下降89.7%(去年同期为3382万)。分析认为，包括瑞星在内的主流安全厂商，在今年成功实施了“云安全”技术，打破了黑色挂马产业链的运行，使得网站挂马无利可图，迫使黑客逐渐放弃此种攻击手段。3、钓鱼诈骗给网民带来巨大损失。2011年，瑞星共截获钓鱼网站约480万个，共有1亿9861万人次网民遭到钓鱼网站攻击，给网民造成的经济损失至少200亿元。每次社会热点，都成为黑客进行钓鱼的推手，例如2011年上半年的团购热，黑客就推出了大量假团购网站，通过出售假冒iPhone、假充值卡等获利。4、假QQ、假“非常6+1”、假淘宝，成为排行前三的钓鱼网站类型，黑客常用的骗术仍然是传统的“你的QQ中大奖了，需要交几万的税”、“淘宝十周年，您抽中了iPad2，需要交200元邮费”。与往年不同的是，黑客开始利用新浪微博、QQ空间的漏洞，在上面架设钓鱼网站，使得这些网站的欺骗性增加。5、全国各地陆续爆出案值从几万到几十万、上百万的黑客钓鱼案例，2010年瑞星曾经指出的黑客钓鱼潮得到了事实验证。这些案例通常受害人数不多，但案值很高，根据媒体报道，江苏省吴江市某90后黑客，通过淘宝网进行钓鱼诈骗，作案200余起，获利12万元。6、针对大型互联网企业的“拖库”攻击愈演愈烈。包括索尼PSN、韩国《冒险岛》、中国CSDN等一批著名公司的用户资料被窃。黑客可以利用这些数据库，从中分析出用户的使用行为、购物习惯，有针对性地发动钓鱼攻击。临近年底，包括MSN、QQ等聊天软件均出现“充值卡”诈骗，专家怀疑与此类“拖库”攻击有关。7、在黑客所有的主流攻击手法中，正在从以技术为主的“硬黑客攻击”发展到以心理学、社会工程学、商业数据分析等多个领域综合的“软黑客攻击”为主，这些攻击通常不会对用户形成明显的损害，但会极大地干扰用户的正常生活和商业秩序，例如黑客对搜索引擎发动的SEA(SearchEngineAttack)攻击，通过病毒行为来干扰搜索结果的正常排序，从而把用户引导到恶意网站。第一节年度安全状况总结(1)病毒数量高位波动，危害仍然不可小觑报告期内，瑞星公司截获病毒922万个，比去年上升22.9%，受害网民11.7亿人次。从本年度新增病毒的种类来看，木马(trojan)共有7，087，420个，占76.85%，当之无愧成为所有恶意程序中最大的类别。与往年不同的是，2011年新增的病毒中包括win32感染型病毒795，893个，占总体数量的8.63%，已经取代后门(backdoor)成为第二大类。后门和黑客程序(hack)两类的数量几乎相等，皆以4.33%的比例并列第三。病毒释放器(Dropper)、蠕虫病毒(worm)和广告程序(adware)依次排列，比例分别为2.51%、2.29%和2.25%。(2)十大病毒排行2011年共11.7亿人次网民被病毒感染，按感染人数、变种数量和代表性进行综合评估，瑞星评选出了2011年的十大病毒。(3)病毒技术趋势：病毒更简单功能多元化根据瑞星研发团队对2011年新增感染型病毒样本的感染行为分析来看，病毒的编译方式正在发生巨大的变化，从传统的低级汇编语言撰写逐渐转变为类似“汇编+C语言”这样的混合撰写模式，病毒用短小精悍的汇编引导部分，去加载C语言(或其他高级语言)编写的主体，这样结构简单、工作量更小，病毒运行也更加稳定而隐秘。5月份，瑞星发布安全警告指出，“未来用高级语言编写病毒会在未来形成主流”，事实上，截至2011年度末，瑞星共截获感染型病毒(win32)约80万个，已经成为木马之后的第二大类恶意程序。这种病毒包括了下载运行、广告程序、盗取隐私、远程控制等多种功能模块。可以说，这类病毒的结构和编写越来越简单，而能实现的功能却越来越复杂和完善。从瑞星截获的病毒样本来看，感染型病毒并不是以传播作为最终目的，而是作为其他病毒程序的跳板，将它们传播到计算机的各个角落后，再将其载体激活后完成最终的目的。这类病毒就像空军的“运输机”，它的作用就是骗过系统和杀毒软件，把各种各样的病毒运到目的地。从感染型病毒的发展趋势来看，木马与病毒的界限越来越模糊，功能趋向统一化。传统意义上木马和病毒的区分主要在于他们的特征，木马善于潜伏并完成某种预先设定的功能，而病毒主要拥有感染传播的能力。就目前的感染型病毒的发展趋势来看，感染型病毒逐渐采纳了木马程序的编写手段和功能，而木马程序的传播途径上又存在着与感染型病毒趋近的趋势，这两种病毒“长得越来越像”。恶意程序都是出于某种特殊目的而产生的，病毒的制作者也会考虑到各种不同恶意程序的优处和不足，并使之相互弥补和融合。但总体上，不论木马还是病毒的发展趋势都是向着简单高效的开发方式发展的，功能上的相互融合使感染型病毒拥有了前所未有的对被感染机器的控制能力和隐蔽性。(4)挂马网站保持平稳瑞星“云安全”数据中心的统计表明，2011年截获的挂马网站，比去年同期下降了89.74%。分析其中的原因，瑞星安全专家指出，“云安全”的成功应用、瑞星杀毒软件永久免费后安装量的增长，促使网民整体的安全防护能力比以前有较大提高，黑客挂马行为变得困难而高风险，从而打破了“挂马产业链”的黑色链条。报告期内，瑞星共截获挂马网站3，471，148个，受害网民8065万。其中下半年截获110万，比上半年的236万有大幅下降。从数据上来看，单个挂马网站的侵害人数保持平稳，这说明黑客并未放弃网站挂马的攻击方式。瑞星公司统计了黑客用来挂马的9大漏洞，存在漏洞的软件集中在浏览器和flash插件上，其中5个漏洞与IE有关，3个与AdobeFlashPlayer有关。Flash作为一种纯网络化、跨平台的应用，其在移动平台上的安全风险也不可低估，例如在安卓系统上，就有可以被利用来进行挂马的Flash漏洞，随着智能手机、平板运算能力的增加，未来可能在移动平台出现大量的挂马攻击。目前，网络上仍充斥着大量“挂马网站”，广大网民应该提高安全意识，可以安装永久免费的瑞星杀毒软件和防火墙，其中含有的智能反钓鱼技术和防挂马技术，可以拦截钓鱼网站和挂马网站，帮助用户抵御安全风险。(注)挂马网站：指的是被黑客植入恶意代码的正规网站，这些被植入的恶意代码，通常会直接指向“木马网站”的网络地址。木马网站：是一种利用程序漏洞，在后台偷偷下载木马的网页。这些网页通常放在黑客自己管理的服务器上，当用户访问时，会把许多木马下载到用户机器中运行。第二节席卷互联网的密码风暴12月4日，匿名黑客将CSDN网站的密码库截图上传到专业安全论坛，但当时并未引人注目，21日有人在新浪微博上放出了这个密码库的迅雷下载地址。这验证了长久以来在互联网上存在的一个传言：国内多家大型网站曾被“拖库”，但因为没有确凿的证据无法得到验证(《瑞星2011上半年安全报告》中记录了相关内容)。随后，包括天涯、新浪等一批著名网站数据库连续外泄，形成了2011年末影响整个互联网的安全大事件，给本已脆弱的互联网安全造成了巨大冲击。在本报告后半部分，瑞星专家剖析了黑客推广钓鱼网站的手法、增加用户信任度的方法等，在这些推广方式中，外泄的密码库起到了关键性的作用。1、为什么会出现这样大规模的密码泄漏？从已经公开的资料来看，这些网站不同程度地使用明文存储用户的数据库，这是造成如此大规模用户资料泄漏的根本原因。按照正常的安全流程，所有网站(不分大小，小网站也得加密)的数据库都必须经过加密后才能存储在服务器上，加密标准要求为：唯一、不可逆。目前应用较多的不可逆加密算法包括RSA公司发明的MD5算法和由美国国家标准局建议的不可逆加密标准SHS(SecureHashStandard-安全杂乱信息标准)等。但事实上，很多网站、甚至是大型网站不知道什么原因，都采用了明文的方式把用户数据库储存在自己的服务器上。有的是整体库未加密(如CSDN)，有的是某项业务的用户数据库未加密(如新浪爱问)。这就导致当黑客获取服务器权限之后，可以像看自己电脑上的文本文件一样浏览用户名和密码，导致大规模密码及其他信息外泄。2、密码外泄是中国网站独有的吗，国外网站是什么情况？事实上，互联网没有国界之分，即使强大如美、日、韩等国的互联网，进入2011年以来都面临着同类问题，在《瑞星2011年上半年安全报告》中指出，单单在上半年，就有日本索尼公司、美国wordpress等网站遭攻击，损失惨重。4月21日下午，索尼PSN网络遭黑客攻击，波及包括美国、日本、欧洲等地几乎全球各地的所有PSN用户，PSN几乎陷入了彻底的瘫痪。黑客入侵者窃取了大约7700万份PSN个人信息以及2700万个Qriocity(云音乐服务)账户。被窃的7700万份PSN个人信息当中，包括1000多万个信用卡账户，涉及57个国家和地区。而2700万个Qriocity账户中，也同时包含了用户的姓名、地址和密码等敏感信息。索尼数据遭窃案受影响的用户可能超过1亿人，堪称史上规模最大的用户数据失窃案。4月，W遭到攻击，其服务器被黑客入侵，并盗走了部分源代码和资料，导致VIP客户的隐私信息外泄。在此次事件中可能泄露的众多网站源代码中，可能包括API密钥和Twitter、Facebook密码等敏感信息。WordP服务于1800万博客和网站，其中包括TED、CBS和TechCrunch博客等，其服务网站占全球网站数量的10%。3、针对这些密码外泄，普通网民可以采取的六种防范措施目前我们看到的问题在于：大型互联网公司在服务器端出现了安全问题，用户即使在自己电脑上做再多的防护措施，也无济于事，用户面对这些密码泄露问题几乎毫无办法。在这种情况下，普通用户只能通过采取下列措施来缓和密码外泄的风险，但不能从根本上解决密码泄漏问题：(1)不要信任任何网站的安全防护措施，不要觉得他们是大网站就一定能保护好自己的密码。连CSDN这样的专业网站、天涯、新浪这样的领头羊企业都会出现密码外泄问题，我们只能假定一切密码都时刻面临外泄风险，在此基础上确定自己的安全策略。(2)不要随意注册无关网站账号，不要透露太多的个人信息，用户名、账号和密码尽量用随机数字，这样可以把网络和现实生活的影响降到最低。例如，注册论坛的时候，IDwangxiaoming的安全性就比wag@！Jdm这样的账号低。因为黑客在获取用户的账号和密码后，需要对其中的账号进行分类整理，一旦能把这些账号和身份证、银行卡等对应起来，就会展开诈骗或者钓鱼。我们需要做的就是打破这个循环，尽量不要让黑客了解到自己的信息。(3)不要轻易在安全性低的网站购物，尤其是电商网站。一般的电子商务网站都会记录用户的银行卡信息(如果你使用银行卡支付)，记录用户的电话号码(用来送货)，有的会记录你的身份证号(比如你需要实名购买手机号码的时候)，在这样情况下，黑客一旦攻击成功，会获取所有有价值的信息。如果有必要购物，可以采用”货到付款”的方式，送货地址可以填写公司地址(不要填写家庭地址)。(4)注册网站账号之后，应定时更换密码。比如每个月把自己所有的账号密码都改为全新的密码。这样即使黑客窃取了你的密码，除非在一个月内进行登录、诈骗等，否则你就会改为新密码，从而使他窃取的密码失效。(5)如果注册多个密码，用户的记忆力将会面临挑战，普通网民可以把账号密码写在随身的本子上，或者记录在手机上，瑞星手机安全软件就提供了密码记录功能。(6)如果有必要，可以采取“密码和手机绑定”的方式，比如支付宝、银行都提供了这种方式来加强密码的安全性。这样绑定之后，一旦有账号变动异常，用户会及时收到消息，及时申诉降低损失。本节小结尽管“拖库”攻击是个存在很久的攻击手法，但直到2011年年底，这个概念才被普通网民所知。由于这种攻击针对的是互联网网站的服务器端，如果各大网站在服务器端仍然坚持目前这种安全水准的话，同样的泄密事件会一直存在下去，用户几乎毫无办法。本节主要讨论了普通网民应该进行的预防性措施，对于互联网网站应该如何预防此类攻击，瑞星公司将在随后发布的企业级安全报告中详细阐述。第三节钓鱼网站和社会工程学攻击随着对2011年网络钓鱼案例、黑客攻击案例的统计分析，瑞星安全专家认为单纯地把那些利用社会工程学原理发动的网络攻击命名为“钓鱼网站”，已经不能准确描述这种攻击手法的本质，社会工程学攻击(利用人与人之间的信任、践踏社会基本的商业准则，夹杂在利益当中)使得国内网民面临比以往更大的安全风险。(*社会工程学攻击是一种利用人的弱点获取系统口令、关键安全信息、金钱利益的攻击方法，这些弱点包括人的本能反应、好奇心、信任、贪便宜等，在此类攻击中通常包括了诸如欺骗、伤害等危害手段，采用传统安全方法无法杜绝社会工程学攻击。)尽管目前的“钓鱼网站”最终的表现形式仍然是“建立假网站→吸引用户花钱”，但建立假网站之后如何吸引用户，怎么让用户知道这个假网站，访问假网站之后如何增加用户的信任感，如何欺骗搜索引擎从而获取更好的搜索排名，如何把用户被骗的钱取走(银行都是实名制，如有大量的异常资金往来，很难瞒过监管部门)，这些环节在以前都让黑客挠头，现在他们想出了种种方法来规避。下面，瑞星安全专家将对2011年的黑客钓鱼活动进行深入分析。从黑客建立网站开始，有四个主要环节，建立网站→推广→浏览(建立信任)→支付。在这四个环节当中，黑客尤其对后三个环节不断进行创新，加强推广效果，降低提现难度。第一、黑客推广钓鱼网站的四大常用手法根据瑞星研究团队的分析，2011年黑客主要通过搜索引擎攻击(SEA)、IM软件、电子邮件群发、手机短信等四种方式推广钓鱼网站：(1)搜索引擎攻击SEA(SearchEngineAttack)。作为网民获取信息的主要途径，搜索引擎在黑客推广钓鱼网站上起到了不可替代的作用。黑客们会追踪搜索引擎上的热门词汇，针对这些热门词汇做出调整和优化，使得网民在搜索的时候，假网站排在前列。有的甚至花费重金，购买搜索引擎广告。在搜索引擎攻击中，常见的攻击手法包括：A、病毒点击。黑客利用自己掌握的“僵尸网络(*注)”搜索热门词，点击其中的钓鱼网站(假网站)，让搜索引擎以为“这个网站具有高质量内容，所以很多用户喜欢”，提高钓鱼网站的权值。这样当网民搜索热门词的时候，这些钓鱼网站就会排在正常网站的前面，误导网民。(注)“僵尸网络”：通过各种手段在大量计算机中植入特定的恶意程序，使控制者能够通过相对集中的若干计算机直接向大量计算机发送指令的攻击网络。攻击者通常利用这样大规模的僵尸网络实施各种其他攻击活动。B、让钓鱼网站出现在搜索引擎的特定区域。这些特定区域包括：热门词的前三页搜索结果、搜索排行榜、搜索问答的热门话题等。在这些特定区域中，普通用户可以插入内容，比如在百度知道的热门问题中，有关减肥、美容、癌症等内容的答案里。就有若干诈骗类网站的链接；而在排行榜类区域中，除非进行人工干预，否则黑客可以利用病毒、木马来模拟网民搜索行为，从而使得显示的结果失真，这也就是所谓的“恶性SEO(SearchEngineOptimization)”C、热点词优化。这类行为通常发生在某个“门事件”之后，例如“艳照门”、“X卧底”等媒体爆炒的事件之后，主流搜索引擎的结果中会出现大量的恶意网站结果，包括带毒网站、诈骗网站、出售假冒伪劣商品的钓鱼网站等等。D、购买搜索引擎广告。据媒体报道，湖北一网民在搜索“中国移动湖北网上营业厅”时，搜索引擎提供的广告是钓鱼网站，被骗话费100元。2011年12月，公安部经济犯罪侦查局发布警告，列举了多起用户在搜索引擎上遭遇钓鱼诈骗的案例。(网络图片：搜索引擎广告中的钓鱼网站)黑客攻击大型网站，在其中放入钓鱼网站的链接，欺骗搜索引擎，提升钓鱼网站的权值，这样可以使网民误以为所进入的钓鱼网站是大网站的子站或者分站，从而提升钓鱼网站的可信度，使网民更容易受骗。(2)利用QQ、MSN等IM软件推广钓鱼网站，或直接诈骗从瑞星的监测结果来看，2011年下半年，通过QQ、MSN等聊天软件推广钓鱼网站，或直接进行诈骗的案例有大幅上升。具体表现形式为，黑客登录窃取的QQ号、MSN账号等，给其好友发送钓鱼网站，或者直接要求好友帮其购买手机充值卡、网游点卡等容易销脏的数字卡产品。中招者无法统计，数量级可能在数万到数十万之间。2011年12月，MSN中国发表声明，称已经注意到部分MSN用户遇到账号密码被盗的问题，MSN中国非常关注，已经向美国总部汇报，并立即展开了调查，但是被盗账户数量和事件原委截至发稿时还没有最终结果。(骗子利用MSN盗号诈骗图例)瑞星安全专家介绍说，这是黑客对国内一些大型互联网站进行了“拖库攻击”，直接窃取大批用户密码，或者通过已泄露的密码去猜测其他网站的密码，在这波攻击中，IM软件未曾幸免。(3)利用邮件推广钓鱼网址黑客在网上购买外泄的用户资料，针对性地向某些用户发送钓鱼邮件，这样可以极大地提高诈骗成功率。比如网上可以买到“淘宝每个月的活跃账户”、“当当高级买家账户”等，黑客会向这些已经习惯网购的买家发送钓鱼网址，诈骗钱财。(4)利用手机短信推广钓鱼网址黑客在网上购买大批用户资料，利用某些地区对于垃圾短信监管不严的漏洞，使用手机短信群发技术，给特定人群定向发动钓鱼短信，诈骗钱财，出售假冒伪劣商品等，这种方式相对隐蔽，诈骗成功率很高。第二、黑客加强钓鱼网站信任度的三种常用方法推广只是让用户“浏览钓鱼网站”，但因为媒体的宣传、有关部门的警告和瑞星这样的专业安全公司持之以恒的努力，现在的网民一般都具有很高的警觉性，在这种情况下，黑客们常用以下三种方法来提升假网站的信任度。(1)在新浪博客、QQ空间等著名站点建立假网站来加强信任度传统上，钓鱼网站都会在自己页面上仿制大量伪造的证书、荣誉、PS过的名人照片等，加强自己的信任度。2011年里，黑客们在技术上进行了更高级别的伪装，比如，利用新浪博客、QQ空间等著名网站的子服务来构建假网站，这样空间和域名都是真的，再配上与这些名牌网站相关的“新浪10周年大抽奖”、“腾讯公司倾情回馈用户”，这样对于普通网民来讲，可信程度就会大大增加。(骗子利用网易博客构建的假网站)(2)利用相关站点推广来增强信任度比如，黑客在新浪微博大量发送“您已经中奖了”的消息，再链接到新浪博客上建立的“钓鱼网站”，这样的骗术可信度就会变得很高，足以骗过大多数普通网民。(3)攻击正常网站，在上面放推广链接现在很多教育网站、新闻类、科研机构网站的安全防护程度很低，但他们本身的品牌、网站权值、知名度都相当高，甚至被选入百度新闻新闻源、搜搜新闻源，当他们被黑客攻陷后，黑客在其服务器上建立钓鱼网站，当用户在搜索引擎中搜索时，就可能被引导到这些网站上，进而受骗。(黑客攻击中南大学网站图例)第三、黑客在支付环节的“创新”除了“推广”和“加强信任”两个环节之外，黑客在支付环节上的“创新”也不可低估。随着淘宝、支付宝等在人们生活中的广泛应用，网络支付越来越便捷，一些过去很难”销脏”的货物也变得好出手，比如手机充值卡、各种商场超市的预付卡，甚至国外的第三方支付工具等