网络信息安全是一个博大精深的技术体系,安天将自己的注意力专注于主要矛盾,即计算机网络病毒问题。
    根据有关机构统计,全球超过80%的安全事件均与病毒有关,网络病毒是信息社会面临的主要安全挑战之一,因此,安天人将“天下无毒”作为自己追求的安全境界。
    安天将网络安全工作者的宏观视野与反病毒工程师的成熟细腻有机结合。将反病毒技术与网络监控技术、计算机犯罪取证技术、安全评估技术等进行了有机的结合,形成了自身的产品内涵。
  当前位置:首页 - 安全响应中心 -> 病毒预警

2011年互联网信息安全威胁综合报告
( PDF报告下载 ) {PDF文档阅读软件下载}

报告摘要:

    2011年又是不平静的一年。互联网的各种安全威胁接踵而至,移动威胁、网络钓鱼、数据泄漏导致的隐私威胁等,互联网安全迎来了一次又一次挑战。

    黑色产业链制造恶意代码谋取利益的脚步没有放缓,2011年恶意代码数量继续增长,据安天实验室统计,本年度共捕获新增恶意代码数量1153万余个,木马依然是各类恶意代码中危害最大的。

    国内外多家知名企业接连遭到攻击,发生数据泄漏事件。用户的相关信息直接暴露在攻击者面前,面临较大的信息安全威胁。数据泄漏,也可能因此间接引发其他方面的攻击。

    钓鱼网站的危害越来越大,针对电子商务的钓鱼攻击数量猛增,迷惑性越来越强,传播方式更加多元化,给网民们网上浏览、网上购物带来极大的安全隐患。

    挂马危害日趋下降,挂马网站数量继2010年度又一次大幅度减少。漏洞利用方面,网站挂马主要利用IE漏洞和Flash漏洞;用黑帽搜索引擎毒化技术传播恶意网站,越来越受到攻击者的青睐。

    随着智能手机的广泛普及,引来了攻击者重点关注。Android在全球智能手机操作系统的覆盖面已超过50%,在2011年之前,Android平台的恶意代码家族仅有5个,而在2011年新增了146个。

一、恶意代码统计

1.2007-2011年恶意代码数量增长趋势

    2011年,安天实验室共捕获新增恶意代码11,532,980个,其数量是2007年的9倍;除2009年恶意代码数量有所回落外,整体呈增长趋势。

2.2011年恶意代码数量月度统计

    从2011年每月捕获恶意代码数量统计来看,1月到7月恶意代码增长比较平稳,8月份达到最高值(1,388,173个)。

3.2011年恶意代码传播途径分布

    2011年恶意代码主要的传播途径来自于资源下载,占总传播途径的56%。通过在正常软件中捆绑恶意代码,或是恶意代码伪造的“破解补丁”、“外挂”等,再散播出去导致这一类传播途径迅速提升。

4.2011年恶意代码分类统计

    对2011年恶意代码分类统计可以看出,木马数量最多,占总数的63.1%,病毒工具最少,仅占总数的0.1%。

    在2010年与2011年恶意代码分类对比中,数量增长最多的是感染型病毒,下降的是蠕虫,且下降了29.8%,增幅最大的是广告软件,增幅为244.1%。

5.2011年恶意代码按行为分类统计

    2011年,按恶意代码行为特征统计来看,具有“盗窃”、“下载”类恶意行为的恶意代码占据前两位。

6.2011年加壳恶意代码统计

    软件加壳是对软件自身的压缩或加密,而恶意代码加壳是为了躲避杀毒软件查杀。2011年,加壳恶意代码数为1,651,003,占总数的13%。在各类加壳恶意代码中,UPX壳占据第一位。

7.2011年恶意代码家族统计

    2011年每月新增家族数量整体走势变化不大,在3月份达到峰值,新增恶意代码家族2012个,随即4月份跌到谷底。从全年恶意代码家族的数据统计来看,兼具仿冒微软补丁和下载行为的“Trojan/Win32.Patched”家族占据第一位。

2011年恶意代码家族Top10

序号

家族名称

行为描述

1

Trojan/Win32.Patched

伪补丁木马,假冒微软补丁,感染指定范围的系统文件,部分变种具有下载其他病毒的行为

2

Trojan/Win32.Kykymber

盗取网络游戏帐号与密码等信息的木马

3

Virus/Win32.Parite

感染式病毒,感染本地及共享网络上的exe及scr为后缀名的可执行文件,部分变种具有反制杀软的行为

4

Virus/Win32.Virut

感染式病毒,加密变形病毒,每次的感染代码都可以变形

5

Packed/Win32.Krap

利用修改后的WinRAR中的RarExt.dll执行的恶意代码

6

Trojan/Win32.Vilsel

盗取网络游戏账号与密码等信息的木马

7

Trojan/Win32.VBKrypt

Visual Basic编写的木马家族

8

Trojan/Win32.CodecPack

从自身内部提取URL,连接网络下载其他病毒

9

Rootkit/Win32.TDSS

可以隐藏自身,还可以隐藏被感染系统中的其他病毒

10

Trojan/Win32.Buzus

窃取计算机信息的木马

二、网络安全概况

1.数据泄漏导致的安全威胁

    2011年12月,国内多家大型网站都发生了数据泄漏事件。其中已经证实的包括天涯、CSDN和多玩三家,其数据库被攻击者放到互联网并提供下载。据CNCERT/CC报道,截止到29日,通过公开渠道获得疑似泄露的数据库有26个,涉及账号、密码2.78亿条。网上泄露的CSDN用户数据库为2009年4月前的用户数据库,包含642万多个用户的账号和明文密码信息,用户账户密码均采用明文存储。

    而在上半年,国外多家知名公司也曾因遭遇过入侵攻击导致关键数据被窃或者被泄露的公司包括索尼、世嘉、花旗银行和RSA等,RSA被入侵后,导致多家工业巨头遭遇连锁攻击。而比RSA弱小很多的荷兰电子认证公司DigiNotar已经在被入侵后,宣告破产。

    据推断,国内这些数据库早就在地下市场流传。由于一些用户缺乏安全意识,为了方便记忆,在很多时候都用同一个账户、密码去注册,一旦一个网站账号、密码信息被泄漏,该用户在其它网站注册的账号和密码同样有被泄漏的风险。不法分子得到数据库,也就间接得到了用户注册时的信息,从而可能引发各种攻击,包括隐私窃取、实施网络诈骗、发起钓鱼攻击等。

    此次数据泄漏事件,究其原因,主要有两点:

  1. 网站存在安全漏洞,给攻击者可乘之机,攻击者利用漏洞入侵后,顺利窃取数据库;
  2. 用户的密码采用明文存储,一旦数据库被攻击者窃取,用户的账户、密码直接暴露在攻击者面前。

    攻击者的目的无非是炫耀技术或以此谋取利益,无论出于那一点都带来了不良的影响,在攻击者的行为遭人唾弃的同时,同样也给网站建设者们敲响警钟,在建设网站的时候不考虑安全因素,这样的事情还会复现。

    用户方面,在不同的网站注册时,建议使用不同的账户名和密码,同时应加强密码的强度,尽可能采用多位数字、字母、符号的组合,虽然可能会带来不便,但从安全考虑,还是有必要的。

    无论采用多复杂的加密算法,依然有被破解的可能。网站的建设者们,应加强网站的安全建设,采用高强度的数据加密算法。攻击者在行动之前,通常会平衡利弊得失,如果破解密码付出的代价高于得到的,可能会因此望而却步。否则一旦被攻击者“拖库”,算法被轻易破解,即使用户设定的密码再强壮,也是徒劳的。

    此次事件发生后,安天工程师用Python/PHP/Ruby编写了一份名为Antiy Password Mixer(安天密码混合器)的开源代码,其中封装了HASH+SALT使用,并给出了具体的在初始化、注册和认证时如何使用的范例代码。这些资料可能会存在一些不足或缺陷,但希望可以起到抛砖引玉的作用,能让更多的人参与加强加密算法的实践中来。

    Antiy Password Mixer开源项目地址:http://code.google.com/p/password-mixer/

2.钓鱼网站威胁

    钓鱼网站,是指不法分子仿冒正常网站域名以及内容,让网民信以为真,进而窃取网民的个人财产和个人账号等相关信息。

    据统计,2011年的钓鱼网站数量较2010年有大幅度提升。由于电子商务以网上购物、交易支付为主,比其他类钓鱼网站与金钱接触更为接近,受到不法分子的青睐。在各类钓鱼网站统计中,仿冒电子商务类的钓鱼网站排名第一,占72.7%。

    网络钓鱼与网购木马互相勾结。不法分子利用社会工程学欺骗网民,通过即时通讯软件向网民传送文件图标伪装成图片格式的双扩展名可执行文件(即网购木马),同时宣称是购买物品的照片,由于Windows系统默认是“隐藏已知文件类型的扩展名”,所以迷惑性很强,一旦网民的系统被植入网购木马进行支付后,支付的金额都会被转到不法分子的个人账户上。

    不法分子在钓鱼网站的传播方式上更加多元化,除了利用传统的电子邮件、聊天工具传播外,新兴媒介“微博”也成为了不法分子传播钓鱼网站的渠道。微博营销是一种新型的营销方式,每一位粉丝(关注对象)都是潜在营销对象,此方法被不法分子用来传播钓鱼网站,大大提高了钓鱼网站的传播速度。

    案例回顾:2011年11月2日,分析人员发布了一条信息:“新浪微博,我来了!”,1分钟后便收到5条转发信息与1条评论信息,6条信息的内容都是传播钓鱼网站。

案例的详细分析请见:http://www.antiy.com/cn/security/2011/s111103_001.htm

3.挂马网站威胁

    挂马页面数量继2010年后又一次大幅度减少,同去年相比降低了47%。0day挂马漏洞在减少,网页木马主要还是利用老漏洞,这只能对初装还未修复补丁的系统起作用,在网民修复补丁或是已安装安全软件前提下,网页木马已不能构成威胁,这也是2011年挂马减少的主要原因。

    网页木马传播方式分为两种:主动传播、被动传播。被动传播方式,是指攻击者成功入侵网站后,批量上传挂马页面或在正常页面植入恶意代码,等待网民主动去访问挂马页面。主动传播方式,是指攻击者主动把挂马页面通过某种媒介传播出去。

    2011年,攻击者的主动传播方式更倾向于黑帽搜索引擎毒化技术,通过使用热点新闻事件的关键词堆砌等技术手段,全面提高挂马页面在搜索结果中的名次,主动传播挂马页面。

    在中国大陆地区,网页木马主要利用四个漏洞,包括两个IE漏洞:CVE-2010-0806、CVE-2010-3962和两个FLASH漏洞CVE-2011-0611、CVE-2011-2110,其中以CVE-2010-0806漏洞被挂马利用次数最多。在恶意网站顶级域名利用上,org、com域名排在前两位,其中org域名占总数的1/3。

    攻击者为了增加网马页面的隐蔽性,网马页面通常不会与挂马页面放置在同一个网站上。攻击者通常会租用空间或入侵到另一个网站放置网页木马,下面是2011年对恶意网站域名按截获数量进行统计的Top10排名。

2011年恶意域名TOP10

序号

恶意域名

1

ns01.us

2

ns02.us

3

cgwx.info

4

suburbs510.com

5

jt7i.in

6

chickenkiller.com

7

nshl.in

8

blackmg.com

9

wojucn.com

10

cncshj.com

三、移动安全威胁

1.移动平台恶意代码家族分布

    2011年,共发现移动恶意代码家族190个。其中,Android平台146个,占76.8%,而在2011年前,Android平台的恶意代码家族仅有5个。Symbian平台42个,屈居第二,占22.1%。

2.移动恶意代码按行为分类统计

    《移动互联网恶意程序描述格式》将移动恶意代码行为分为八类:恶意扣费、信息窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗欺诈、流氓行为。

    2011年,移动恶意代码按行为分类统计排在前两位的是:恶意扣费、信息窃取类,分别占总数的34%和27%,这两类的恶意代码的增加,给网民的个人财产以及个人隐私带来较大的安全威胁。

3.2011年典型移动恶意代码回顾

3.1 Geinimi

    Geinimi是2010年12月31日出现的一个Android平台木马程序。它开启后门,窃取用户隐私。它首次采用了重新打包(repackage,又称植入)、代码混淆、代码加密等攻击技术和对抗分析技术。在2011年上半年非常流行,有较大的感染量,并有较多的变种。

3.2 Adrd

    Adrd又名HongToutou,首次发现于2011年2月15日。它被植入十余款合法软件中,通过多家论坛、下载站点分发下载实现大范围传播。主要行为包括:每6小时向控制服务器发送被感染手机的IMEI、IMSI、版本等信息;接收控制服务器传回的指令;从数据服务器取回30个URL;依次访问这些URL,得到30个搜索引擎结果链接;在后台逐一访问这些链接;下载一个.apk安装文件到SD卡指定目录。具体的分析可以参考:
http://www.antiy.com/cn/security/2011/android_adrd_analysis.htm


图1 Adrd攻击流程

3.3 DroidDream

    DroidDream最早出现于2011年2月15日,并在3月2日被发现。它被植入谷歌官方Android市场的五十余款软件中,通过多个账号发布,是第一个通过官方市场大范围传播的Android恶意代码。


图 2被植入DroidDream的官方软件

    DroidDream利用了一个名为rageagainstthecage的提权工具,利用Android系统漏洞使自己获得root权限。

    Google随后删除了这些软件,并对受影响手机推送了专杀工具。专杀工具后来又被植入新的恶意代码BgServ,并通过第三方市场传播。

    对DroidDream和BgServ的进一步分析可以参考:
    http://www.antiy.com/cn/security/2011/warning_android_rootcager.htm
    http://www.antiy.com/cn/security/2011/android_bgserv_analysis.htm

3.4   Zitmo和Spitmo

    Zitmo和Spitmo的全称分别是Zeus in the Mobile和Spyeye in the Mobile,是PC平台最大的网银盗号木马Zeus和Spyeye的移动版本。到目前为止,Zitmo已经出现在Android、Symbian、Windows Mobile、BlackBerry RIM OS系统中。

    Zitmo和Spitmo均拦截并回传用户用于网银登陆的手机一次性随机验证码(mTAN,用于与账号、密码一起,登陆网银)。通过社会工程学,攻击者成功地将用户的网银账户与其手机关联,从而对支付安全中所谓双因素认证进行了有效地攻击。

    Zitmo和Spitmo是第一次出现PC与手机平台恶意代码结合进行的攻击。


图 3Zitmo攻击示意图

3.5   FaceNiff

    FaceNiff是一款Android平台黑客工具,它可以用于在未加密的无线局域网中,嗅探Facebook、Twitter、Youtube、Amazon等网站的登陆会话,并对这些会话进行劫持。使用者进而可以基于此实现进一步的SNS攻击,包括盗用身份、信任链攻击、木马传播、伪造谣言等等。

    FaceNiff是我们发现的首款在互联网上公开销售的Android黑客工具,直到现在它还存在。


图 4FaceNiff依然在线出售

3.6   Nickispy

    Nickispy是Android平台的木马程序,它监听用户的通话内容,将通话全程的语音录音,并在特定条件触发下将录音回传。

    在今年Google推出Google+社交服务时,它第一时间伪装成Google+的Android程序在第三方市场传播。


图 5Nickispy记录的通话语音

3.7   Anserverb

    Anserverb是Android平台的bot程序。它使用DEX类动态加载和执行技术、代码混淆、代码加密、自验证代码签名等对抗分析。它使用公开的博客网站充当C&C服务器(指令与控制服务器),通过博客文章作为指令或更新数据,具有鲜明的特点。


图 6Anserverb使用公开博客作为C&C服务器

3.8 Droiddg

    Droiddg预装入多款Android手机和平板电脑中,通常伪装成名为“Google搜索(已增强)”的软件,隐蔽地收发短信,消耗用户手机费用,并大量下载和安装其他应用软件。由于其预装入手机ROM,具有系统权限,因此将一部分下载回来的应用软件以系统权限安装,用户无法删除,达到强制性软件推广的目的,给用户带来极大的不便。它在2011年下半年持续保持活跃,并出现在平板电脑上。


图 7感染了Droiddg的HTC平板电脑

3.9   Carrier IQ

    2011年11月,国外Carrier IQ公司手机产品被发现存在过度搜集用户隐私信息的行为,引起行业震荡。该事件涉及Android、iPhone、黑莓等多个操作系统;涉及AT&T、Sprint、T-Mobile等多个移动运营商;涉及三星、摩托罗拉、HTC、苹果、华为、中兴等手机厂商;受影响用户累计超过1亿。目前在美国已经引起用户的集体诉讼和参议院的调查。

    安天实验室对预装入相关手机的Carrier IQ产品进行了分析,发现其具有以下行为或特征:

  • 不通知用户的情况下,截获并读取用户短信内容
  • 不通知用户的情况下,截获并读取用户WAP推送信息内容
  • 不通知用户的情况下,记录用户使用应用软件的情况,包括拨打电话等
  • 不通知用户的情况下,记录用户使用应用软件的相关数据,包括访问网址、搜索关键词、GPS位置信息等
  • 存在根据短信内容将搜集到的用户隐私数据回传至指定服务器的代码

    此外,根据Carrier IQ公司公开的资料,其还将这些搜集到的数据提供给运营商或其他大客户查询。

    2011年12月,安天实验室还发现在国内某移动运营商定制的手机中存在Carrier IQ产品的残余文件。该手机系国内某手机厂商生产,目前正在全国范围内销售。

    关于Carrier IQ软件的综合性详细分析,可以参考:
    http://www.antiy.com/cn/security/2011/analysis_of_carrieriq.htm

四、2012年安全趋势预测

  1. 黑色产业链制造恶意代码的脚步不会停止,恶意代码数量将继续增长。盗窃类木马对网民们网上购物和个人隐私安全的威胁会越来越大,此类木马可能与Rootkit技术相结合,加大杀毒软件检测难度,以延长存活周期。
  2. 攻击者将利用引起社会广泛关注的热点新闻事件传播挂马页面,0day漏洞依然会成为攻击者重点挖掘对象,然后不断被攻击者放出,届时将引起木马病毒大范围传播。
  3. 如果说2011年不法分子通过制造大量的钓鱼页面,来增加网民上当受骗的概率,那么2012年,会更加注重钓鱼的质量。网购平台依然会成为不法分子钓鱼攻击的重点关注对象。为了增加覆盖面,不法分子采用多渠道传播,微博可能成为网络钓鱼主要传播平台。
  4. 根据今年移动平台恶意代码发展的情况,对2012年该领域发展趋势做出的预测包括以下九个方面:
    • 移动恶意代码数量和感染范围将迎来下一轮爆发
    • 移动恶意代码地下产业链将进一步成熟,并与PC平台产业链产生关联
    • 随着官方市场监管机制的逐渐完善,恶意代码的主要传播渠道将侧重于第三方市场
    • 预装入手机系统的恶意代码将逐渐增加,并通过其系统权限展开更为有力的攻击
    • Windows Phone 7和Windows 8平台恶意代码有可能出现
    • 针对SIM卡、无线接入网的攻击将从2011年的概念验证型转为实际攻击型
    • 类似于Zitmo的将PC与手机关联的攻击将出现新的变化
    • 随着手机与个人身份的深度关联,针对个人身份尤其是金融凭证、社交关系的攻击将成为新的恶意攻击方向之一
    • 对个人隐私的侵犯将进一步加重
  5. 工业和国家基础设施的安全问题日益严峻。从2010年Stuxnet蠕虫的爆发到今年出现的duqu蠕虫,种种迹象表明,攻击者对这一领域越来越感兴趣,攻击技术逐渐走向成熟,工业控制系统的安全建设将面临新的考验。
  6. 据CNNIC统计,截至2011年底,我国社交网站用户数量为2.44亿,社交网站用户占网民比例为47.6%。利用信任链的新型恶意攻击事件开始出现,预计2012年,社交网络将成为攻击者们重点攻击目标。