瑞星2010上半年互联网安全报告
2010-07-30 12:35:32二、挂马网站
1、挂马网站概述
瑞星“云安全”数据中心的统计表明,2010年上半年截获的挂马网站(网页数量)总数目为2666万个,比去年同期下降了90%。这是因为瑞星软件客户端“防挂马”技术的应用,以及把“云安全概念”成功应用到了数百家互联网主要厂商之中,两者相加取得的结果。
2010年上半年,黑客通过挂马网站攻击用户的成功率大幅度下降,挂马网站攻击总次数近1.4亿次,比去年同期下降了85%。同期,尽管微软操作系统及其相关软件被曝了45个漏洞,但并未给总体的挂马网站安全带来负面影响。
从数据来看,0Day漏洞是黑客进行网站挂马的主要方式之一,黑客通常利用0day漏洞补丁发布之前的空窗期(*注),大规模入侵用户的电脑系统,从中获取大量有价值的信息内容。微软3月份发布的漏洞“KB981374”是黑客挂马最常使用的漏洞之一。
注:系统漏洞、软件漏洞在网络上被曝光之后,厂商需要一段时间来开发补丁程序,在对其进行测试后发布,而曝光和发布之间的时期,被称为“空窗期”。
2、挂马网站及相关数据统计
瑞星“云安全”数据中心2010年上半年的监测数据,统计来自“瑞星杀毒软件”、“瑞星全功能安全软件”自动拦截的挂马网站数量,截获到的挂马网站(以网页个数统计)数目总计26658919个,拦截次数总计138479564次。
2010年上半年,瑞星“云安全”数据中心已拦截到138479564人次访问挂马网站,每天平均访问人次达769331次。也就是说,平均每天有近77万人次网民访问过恶意网页。
挂马网站:指的是被黑客植入恶意代码的正规网站,这些被植入的恶意代码,通常会直接指向“木马网站”的网络地址。
木马网站:是一种利用程序漏洞,在后台偷偷下载木马的网页。这些网页通常放在黑客自己管理的服务器上,当用户访问时,会把许多木马下载到用户机器中运行。
3、木马网站域名
瑞星“云安全”数据中心截获的数据表明,2010年上半年被拦截的木马网站域名类型排行如下图,排名第一是【.org】,拦截量达14505013次,有81.5%的木马网站使用,前五名中排名紧随其后的域名依次为【.com】、【.cn】、【.info】、【.com.cn】。
通过数据分析发现,2009年上半年木马网站域名第一位的是【.cn】域名,拦截量达10402029次,【.org】域名排在第三位,拦截量达1418128次。2009年底国家停止个人用户cn域名注册后,黑客开始利用【.org】域名作为木马网站的地址,这就是【.org】域名快速成为黑客最常用的木马网站域名的原因。
4、网页挂马的主要方式
网站挂马,是指黑客利用网站程序或者语言脚本解释的漏洞,上传一些可以直接对站点文件进行修改的脚本木马,然后通过web形式去访问那个脚本木马来实现对当前的网站文件进行修改,通常是frame或者script,也存在一些其它挂马方式比如病毒下载、伪装挂马、CSS挂马等。
通过瑞星云安全监测显示,2010上半年的挂马方式主要以“JS挂马”为主,每个月均占60%左右。同时通过图表数据可以看出,框架挂马方式呈上升趋势,这种挂马方式相对比较隐蔽,不容易被察觉。相反,由于杀毒软件主动防御的强大功能,病毒文件下载到本地后会被监控发现并直接清除,因此通过病毒下载的挂马方式正逐渐减少。主要挂马方式所占比例如下图所示:
