2009年上半年中国大陆地区互联网安全报告
2009-08-27 07:52:00五、2009年上半年度恶意网站挂马分析
1、利用各种漏洞挂马
2009年上半年,黑客对于漏洞的利用趋势没有明显转变,其主要用途仍然在网页挂马上,如:Realplay 播放器漏洞、联众世界漏洞、暴风影音漏洞等。同时,针对漏洞出现的攻击程序、代码也呈现出目的性强、时效性高的趋势。由于目前流行的各种热门网站、客户端软件和浏览器,都存在着众多漏洞和安全薄弱点,使得用户遭到攻击的渠道暴增;而且,随着黑客-病毒产业链臻于完善,支撑互联网发展的多种商业模式都遭到了盗号木马、木马点击器的侵袭,使得用户对于网络购物、网络支付、网游产业的安全信心遭到打击。
瑞星“云安全”系统监测发现,一旦出现微软漏洞,很快会被恶意攻击者广泛采用来进行网页挂马活动:
2009年2月,瑞星公司发出第一个红色(一级)安全警报,因为针对IE7新漏洞(MS09--002)的病毒攻击代码在网上公布,导致利用该漏洞的新木马病毒大量出现。从瑞星“云安全”数据中心统计看,该漏洞补丁发布日期前后的一段时间,恶意挂马网站的数目以及拦截次数均有不同程度的涨幅。仅在2月19日就截获了高达866万人次的挂马网站攻击,比前一天增加了一倍之多。
2009年6月,微软DirectShow爆严重漏洞,黑客利用热门视频传播木马已成为惯用伎俩,而对“DirectShow视频开发包”漏洞的利用则是在视频播放时下载木马,而视频文件本身并不需要捆绑木马,因此可以避开杀毒软件和防火墙的防护,黑客可以通过在线播放“网页挂马”、 网友间视频共享等多种途径传播木马。该漏洞在播放某些经过特殊构造的QuickTime媒体文件时,可能导致远程任意代码执行。攻击者可随意查看、更改或删除数据或者创建拥有完全用户权限的新帐户。
2、利用CSS挂马
随着Web2.0技术以及Blog、Wiki等广泛的应用,各种网页特效用得越来越多,这也给黑客一个可乘之机。他们发现,用来制作网页特效的CSS代码,可以用来挂马。而比较讽刺的是,CSS挂马方式其实是从防范IFRAME挂马的CSS代码演变而来。CSS挂马方式,可以说是Web2.0时代黑客的最爱。
在Web1.0时代,使用IFRAME挂马对于黑客而言,与其说是为了更好地实现木马的隐藏,倒不如说是无可奈何的一个选择。在简单的HTML网页和缺乏交互性的网站中,黑客可以利用的手段也非常有限,即使采取了复杂的伪装,也很容易被识破,还不如IFRAME来得直接和有效。
但如今交互式的Web2.0网站越来越多,允许用户设置与修改的博客、SNS社区等纷纷出现。这些互动性非常强的社区和博客中,往往会提供丰富的功能,并且会允许用户使用CSS层叠样式表来对网站的网页进行自由的修改,这促使了CSS挂马流行。
注意:CSS是层叠样式表(Cascading Style Sheets)的英文缩写。CSS最主要的目的是将文件的结构(用HTML或其他相关语言写的)与文件的显示分隔开来。这个分隔可以让文件的可读性得到加强、文件的结构更加灵活。
黑客在利用CSS挂马时,往往是借着网民对某些大网站的信任,将CSS恶意代码挂到博客或者其他支持CSS的网页中,当网民在访问该网页时恶意代码就会执行。这就如同你去一家知名且证照齐全的大医院看病,你非常信任医院,但是你所看的门诊却已经被庸医外包了下来,并且打着医院的名义利用你的信任成功欺骗了你。但是当你事后去找人算账时,医院此时也往往一脸无辜。
据瑞星“云安全”监测系统显示,每天约有30%的网民上网时会遇到挂马网站。这些挂马网站中80%以上属于管理不严的正规网站,其中包括门户网站、娱乐网站、市场经济形势网站、网络论坛、游戏网站等(如下图),用户访问这些网站就会中毒。显而易见,越来越多的恶意攻击源自利用CSS挂马的合法网站。
3、利用“热点信息”传播牟利
瑞星“云安全”系统监测发现,只要公众关注某一话题,黑客就会“如影随行”, 目的就是通过挂马实现病毒感染、控制肉鸡、盗号、提高网站点击率等等以达到其最终的经济利益。
(1)、杰克逊病逝新闻引网民关注 娱乐网站大量被“黑”
随着《变形金刚2》的热映与迈克尔·杰克逊病逝等事件成为广大网民关注的热点,大量网民访问视频网站收看预告片或追忆明星生前的经典影音。这些视频网站很快就被黑客瞄上了。更有甚者,一些木马病毒还伪装成杀毒软件,欺骗用户付费。“杀软伪造者木马”Trojan.Win32.FakeAV.ri)就是其中之一。该病毒是一个假冒杀毒软件的欺骗程序,病毒会把自身伪造成一个正常的杀毒软件,在桌面和开始菜单生成快捷方式。无论用户电脑是否有病毒,伪造的杀毒软件都会提示扫描到病毒,骗用户杀毒,使用户更容易上当注册。当用户使用伪装的“清除病毒功能”时,会连接指定网站进行注册并对指定网站进行流量点击。
(2)、黑客瞄准购物网站,传播盗号病毒
“网购“已成为时值人们最流行的购物方式,黑客也虎视眈眈的瞄准了购物网站,瑞星“云安全”系统就从截获的挂马网站中发现,多家礼品购物网站被骇客恶意挂马,E搜礼品网站几乎每个网页都被挂上了木马病毒,用户一旦点击被挂马的网页就有可能被木马入侵,而这些木马病毒有90%以上都是盗号病毒,黑客通过获取到的账号,转移用户资金,严重威胁用户网上银行资金安全
4、网页挂马更具隐蔽性和智能化
通过对瑞星云安全拦截的恶意网址进一步分析,发现恶意网址更加具有隐蔽性,一般恶意网址链接,最少通过3次跳转 ,最多也就7—8次跳转,分析出最终网马地址。而在近期网马解密分析中,有出现恶意地址经过多次跳转,要经过层层分析,最终才能解密出最终网马地址。而这些都是源于系统漏洞、后台服务器存在不安全设置、网站实现代码缺陷(如SQL注入、论坛代码缺陷、跨站脚本等)、或网站提供Web服务的程序漏洞、IIS漏洞、Apache漏洞等隐患,给黑客可乘之机;其中访问量越大的网站越有被挂马的可能,因为此类网站被黑客关注程度较高;另外政府机关网站、各大中型企业网站,由于专业性技术人员缺乏,网站大多由第三方公司外包开发,存在缺陷较多,也最容易被挂马。
近期,对瑞星“云安全”截获的恶意网址进行分析,发现恶意链接为:“http://3b3.org/c.js”极为猖獗,分析其js脚本程序,其中有针对gov.cn、edu.cn这两个域名判断,如果是gov.cn和edu.cn就不嵌入挂马网址,即对政府和教育类域名屏蔽挂马网址,可见黑客团伙的网页挂马技术已日趋智能化和产业化。
5、瑞星挂马网站拦截功能
以“海运女艳照”被黑客恶意挂马为例,黑客利用此焦点事件传毒的事件有增多的趋势,如果安装了“瑞星杀毒软件2009”或“瑞星全功能安全软件”,当网民浏览带毒论坛、网站时,瑞星2009会立即提示网页存在恶意代码,并显示病毒名称,如下图。
再以09年6月28日“中国票务网(htxxp://www.piao.com/)被植入恶意代码为例。用户访问该页面将被安装木马病毒等恶意程序,可以导致电脑被黑客控制并且被窃取敏感信息。 【MalUrl:htxxp://www.piao.com/c_lvyou/index.asp】,安装了“瑞星杀毒软件2009”或“瑞星全功能安全软件”会立即提示网页存在恶意代码,并进行拦截,如下图。
