《瑞星2011年度安全報告》發布

瑞星分析表明，目前威脅國內互聯網安全的因素主要包括三個方面：病毒和木馬等惡意程序、釣魚詐騙、黑客“拖庫”攻擊。與2010年相比，由黑客“拖庫”因素帶來的安全問題顯著上升，包括CSDN、天涯在內的一批互聯網網站用戶數據庫被竊取，導致用戶隱私大規模被泄漏，這給整個互聯網行業帶來巨大安全風險。釣魚詐騙帶來的安全問題進一步顯現。除了簡單的“網頁仿冒”釣魚詐騙之外，2011年出現了多種詐騙方式，例如通過MSN和QQ進行“充值卡詐騙”，利用團購進行“假iPhone詐騙”等，這使得單個受害用戶的受損金額與往年相比有很大增長。蓬勃發展的電子商務成為黑客窺測的主要對象，網購、支付、配送、推廣、售后等多個環節均遭到黑客有針對性的攻擊。例如，有的黑客在購物網站開設網店，以超低價格吸引網民，在砍價、咨詢的過程中把捆綁了病毒的圖片或文件發送給受害者，這樣就可以竊取用戶的支付賬號，進而竊取錢財。瑞星安全專家表示，黑客和病毒攻擊越來越有針對性，網購、游戲等特定人群面臨較大安全風險，在可預見的時間段內，這個發展趨勢仍將保持。2011年，中國互聯網安全領域呈現以下特征：1、報告期內，瑞星共截獲病毒922萬個，比去年上升22.9%，其中木馬病毒708萬個，占據病毒總體數目的76.85%，是第一大種類病毒。2、報告期內，瑞星共截獲掛馬網站347萬個，比去年同期下降89.7%(去年同期為3382萬)。分析認為，包括瑞星在內的主流安全廠商，在今年成功實施了“云安全”技術，打破了黑色掛馬產業鏈的運行，使得網站掛馬無利可圖，迫使黑客逐漸放棄此種攻擊手段。3、釣魚詐騙給網民帶來巨大損失。2011年，瑞星共截獲釣魚網站約480萬個，共有1億9861萬人次網民遭到釣魚網站攻擊，給網民造成的經濟損失至少200億元。每次社會熱點，都成為黑客進行釣魚的推手，例如2011年上半年的團購熱，黑客就推出了大量假團購網站，通過出售假冒iPhone、假充值卡等獲利。4、假QQ、假“非常6+1”、假淘寶，成為排行前三的釣魚網站類型，黑客常用的騙術仍然是傳統的“你的QQ中大獎了，需要交幾萬的稅”、“淘寶十周年，您抽中了iPad2，需要交200元郵費”。與往年不同的是，黑客開始利用新浪微博、QQ空間的漏洞，在上面架設釣魚網站，使得這些網站的欺騙性增加。5、全國各地陸續爆出案值從幾萬到幾十萬、上百萬的黑客釣魚案例，2010年瑞星曾經指出的黑客釣魚潮得到了事實驗證。這些案例通常受害人數不多，但案值很高，根據媒體報道，江蘇省吳江市某90后黑客，通過淘寶網進行釣魚詐騙，作案200余起，獲利12萬元。6、針對大型互聯網企業的“拖庫”攻擊愈演愈烈。包括索尼PSN、韓國《冒險島》、中國CSDN等一批著名公司的用戶資料被竊。黑客可以利用這些數據庫，從中分析出用戶的使用行為、購物習慣，有針對性地發動釣魚攻擊。臨近年底，包括MSN、QQ等聊天軟件均出現“充值卡”詐騙，專家懷疑與此類“拖庫”攻擊有關。7、在黑客所有的主流攻擊手法中，正在從以技術為主的“硬黑客攻擊”發展到以心理學、社會工程學、商業數據分析等多個領域綜合的“軟黑客攻擊”為主，這些攻擊通常不會對用戶形成明顯的損害，但會極大地干擾用戶的正常生活和商業秩序，例如黑客對搜索引擎發動的SEA(SearchEngineAttack)攻擊，通過病毒行為來干擾搜索結果的正常排序，從而把用戶引導到惡意網站。第一節年度安全狀況總結(1)病毒數量高位波動，危害仍然不可小覷報告期內，瑞星公司截獲病毒922萬個，比去年上升22.9%，受害網民11.7億人次。從本年度新增病毒的種類來看，木馬(trojan)共有7，087，420個，占76.85%，當之無愧成為所有惡意程序中最大的類別。與往年不同的是，2011年新增的病毒中包括win32感染型病毒795，893個，占總體數量的8.63%，已經取代后門(backdoor)成為第二大類。后門和黑客程序(hack)兩類的數量幾乎相等，皆以4.33%的比例并列第三。病毒釋放器(Dropper)、蠕蟲病毒(worm)和廣告程序(adware)依次排列，比例分別為2.51%、2.29%和2.25%。(2)十大病毒排行2011年共11.7億人次網民被病毒感染，按感染人數、變種數量和代表性進行綜合評估，瑞星評選出了2011年的十大病毒。(3)病毒技術趨勢：病毒更簡單功能多元化根據瑞星研發團隊對2011年新增感染型病毒樣本的感染行為分析來看，病毒的編譯方式正在發生巨大的變化，從傳統的低級匯編語言撰寫逐漸轉變為類似“匯編+C語言”這樣的混合撰寫模式，病毒用短小精悍的匯編引導部分，去加載C語言(或其他高級語言)編寫的主體，這樣結構簡單、工作量更小，病毒運行也更加穩定而隱秘。5月份，瑞星發布安全警告指出，“未來用高級語言編寫病毒會在未來形成主流”，事實上，截至2011年度末，瑞星共截獲感染型病毒(win32)約80萬個，已經成為木馬之后的第二大類惡意程序。這種病毒包括了下載運行、廣告程序、盜取隱私、遠程控制等多種功能模塊。可以說，這類病毒的結構和編寫越來越簡單，而能實現的功能卻越來越復雜和完善。從瑞星截獲的病毒樣本來看，感染型病毒并不是以傳播作為最終目的，而是作為其他病毒程序的跳板，將它們傳播到計算機的各個角落后，再將其載體激活后完成最終的目的。這類病毒就像空軍的“運輸機”，它的作用就是騙過系統和殺毒軟件，把各種各樣的病毒運到目的地。從感染型病毒的發展趨勢來看，木馬與病毒的界限越來越模糊，功能趨向統一化。傳統意義上木馬和病毒的區分主要在于他們的特征，木馬善于潛伏并完成某種預先設定的功能，而病毒主要擁有感染傳播的能力。就目前的感染型病毒的發展趨勢來看，感染型病毒逐漸采納了木馬程序的編寫手段和功能，而木馬程序的傳播途徑上又存在著與感染型病毒趨近的趨勢，這兩種病毒“長得越來越像”。惡意程序都是出于某種特殊目的而產生的，病毒的制作者也會考慮到各種不同惡意程序的優處和不足，并使之相互彌補和融合。但總體上，不論木馬還是病毒的發展趨勢都是向著簡單高效的開發方式發展的，功能上的相互融合使感染型病毒擁有了前所未有的對被感染機器的控制能力和隱蔽性。(4)掛馬網站保持平穩瑞星“云安全”數據中心的統計表明，2011年截獲的掛馬網站，比去年同期下降了89.74%。分析其中的原因，瑞星安全專家指出，“云安全”的成功應用、瑞星殺毒軟件永久免費后安裝量的增長，促使網民整體的安全防護能力比以前有較大提高，黑客掛馬行為變得困難而高風險，從而打破了“掛馬產業鏈”的黑色鏈條。報告期內，瑞星共截獲掛馬網站3，471，148個，受害網民8065萬。其中下半年截獲110萬，比上半年的236萬有大幅下降。從數據上來看，單個掛馬網站的侵害人數保持平穩，這說明黑客并未放棄網站掛馬的攻擊方式。瑞星公司統計了黑客用來掛馬的9大漏洞，存在漏洞的軟件集中在瀏覽器和flash插件上，其中5個漏洞與IE有關，3個與AdobeFlashPlayer有關。Flash作為一種純網絡化、跨平臺的應用，其在移動平臺上的安全風險也不可低估，例如在安卓系統上，就有可以被利用來進行掛馬的Flash漏洞，隨著智能手機、平板運算能力的增加，未來可能在移動平臺出現大量的掛馬攻擊。目前，網絡上仍充斥著大量“掛馬網站”，廣大網民應該提高安全意識，可以安裝永久免費的瑞星殺毒軟件和防火墻，其中含有的智能反釣魚技術和防掛馬技術，可以攔截釣魚網站和掛馬網站，幫助用戶抵御安全風險。(注)掛馬網站：指的是被黑客植入惡意代碼的正規網站，這些被植入的惡意代碼，通常會直接指向“木馬網站”的網絡地址。木馬網站：是一種利用程序漏洞，在后臺偷偷下載木馬的網頁。這些網頁通常放在黑客自己管理的服務器上，當用戶訪問時，會把許多木馬下載到用戶機器中運行。第二節席卷互聯網的密碼風暴12月4日，匿名黑客將CSDN網站的密碼庫截圖上傳到專業安全論壇，但當時并未引人注目，21日有人在新浪微博上放出了這個密碼庫的迅雷下載地址。這驗證了長久以來在互聯網上存在的一個傳言：國內多家大型網站曾被“拖庫”，但因為沒有確鑿的證據無法得到驗證(《瑞星2011上半年安全報告》中記錄了相關內容)。隨后，包括天涯、新浪等一批著名網站數據庫連續外泄，形成了2011年末影響整個互聯網的安全大事件，給本已脆弱的互聯網安全造成了巨大沖擊。在本報告后半部分，瑞星專家剖析了黑客推廣釣魚網站的手法、增加用戶信任度的方法等，在這些推廣方式中，外泄的密碼庫起到了關鍵性的作用。1、為什么會出現這樣大規模的密碼泄漏？從已經公開的資料來看，這些網站不同程度地使用明文存儲用戶的數據庫，這是造成如此大規模用戶資料泄漏的根本原因。按照正常的安全流程，所有網站(不分大小，小網站也得加密)的數據庫都必須經過加密后才能存儲在服務器上，加密標準要求為：唯一、不可逆。目前應用較多的不可逆加密算法包括RSA公司發明的MD5算法和由美國國家標準局建議的不可逆加密標準SHS(SecureHashStandard-安全雜亂信息標準)等。但事實上，很多網站、甚至是大型網站不知道什么原因，都采用了明文的方式把用戶數據庫儲存在自己的服務器上。有的是整體庫未加密(如CSDN)，有的是某項業務的用戶數據庫未加密(如新浪愛問)。這就導致當黑客獲取服務器權限之后，可以像看自己電腦上的文本文件一樣瀏覽用戶名和密碼，導致大規模密碼及其他信息外泄。2、密碼外泄是中國網站獨有的嗎，國外網站是什么情況？事實上，互聯網沒有國界之分，即使強大如美、日、韓等國的互聯網，進入2011年以來都面臨著同類問題，在《瑞星2011年上半年安全報告》中指出，單單在上半年，就有日本索尼公司、美國wordpress等網站遭攻擊，損失慘重。4月21日下午，索尼PSN網絡遭黑客攻擊，波及包括美國、日本、歐洲等地幾乎全球各地的所有PSN用戶，PSN幾乎陷入了徹底的癱瘓。黑客入侵者竊取了大約7700萬份PSN個人信息以及2700萬個Qriocity(云音樂服務)賬戶。被竊的7700萬份PSN個人信息當中，包括1000多萬個信用卡賬戶，涉及57個國家和地區。而2700萬個Qriocity賬戶中，也同時包含了用戶的姓名、地址和密碼等敏感信息。索尼數據遭竊案受影響的用戶可能超過1億人，堪稱史上規模最大的用戶數據失竊案。4月，W遭到攻擊，其服務器被黑客入侵，并盜走了部分源代碼和資料，導致VIP客戶的隱私信息外泄。在此次事件中可能泄露的眾多網站源代碼中，可能包括API密鑰和Twitter、Facebook密碼等敏感信息。WordP服務于1800萬博客和網站，其中包括TED、CBS和TechCrunch博客等，其服務網站占全球網站數量的10%。3、針對這些密碼外泄，普通網民可以采取的六種防范措施目前我們看到的問題在于：大型互聯網公司在服務器端出現了安全問題，用戶即使在自己電腦上做再多的防護措施，也無濟于事，用戶面對這些密碼泄露問題幾乎毫無辦法。在這種情況下，普通用戶只能通過采取下列措施來緩和密碼外泄的風險，但不能從根本上解決密碼泄漏問題：(1)不要信任任何網站的安全防護措施，不要覺得他們是大網站就一定能保護好自己的密碼。連CSDN這樣的專業網站、天涯、新浪這樣的領頭羊企業都會出現密碼外泄問題，我們只能假定一切密碼都時刻面臨外泄風險，在此基礎上確定自己的安全策略。(2)不要隨意注冊無關網站賬號，不要透露太多的個人信息，用戶名、賬號和密碼盡量用隨機數字，這樣可以把網絡和現實生活的影響降到最低。例如，注冊論壇的時候，IDwangxiaoming的安全性就比wag@！Jdm這樣的賬號低。因為黑客在獲取用戶的賬號和密碼后，需要對其中的賬號進行分類整理，一旦能把這些賬號和身份證、銀行卡等對應起來，就會展開詐騙或者釣魚。我們需要做的就是打破這個循環，盡量不要讓黑客了解到自己的信息。(3)不要輕易在安全性低的網站購物，尤其是電商網站。一般的電子商務網站都會記錄用戶的銀行卡信息(如果你使用銀行卡支付)，記錄用戶的電話號碼(用來送貨)，有的會記錄你的身份證號(比如你需要實名購買手機號碼的時候)，在這樣情況下，黑客一旦攻擊成功，會獲取所有有價值的信息。如果有必要購物，可以采用”貨到付款”的方式，送貨地址可以填寫公司地址(不要填寫家庭地址)。(4)注冊網站賬號之后，應定時更換密碼。比如每個月把自己所有的賬號密碼都改為全新的密碼。這樣即使黑客竊取了你的密碼，除非在一個月內進行登錄、詐騙等，否則你就會改為新密碼，從而使他竊取的密碼失效。(5)如果注冊多個密碼，用戶的記憶力將會面臨挑戰，普通網民可以把賬號密碼寫在隨身的本子上，或者記錄在手機上，瑞星手機安全軟件就提供了密碼記錄功能。(6)如果有必要，可以采取“密碼和手機綁定”的方式，比如支付寶、銀行都提供了這種方式來加強密碼的安全性。這樣綁定之后，一旦有賬號變動異常，用戶會及時收到消息，及時申訴降低損失。本節小結盡管“拖庫”攻擊是個存在很久的攻擊手法，但直到2011年年底，這個概念才被普通網民所知。由于這種攻擊針對的是互聯網網站的服務器端，如果各大網站在服務器端仍然堅持目前這種安全水準的話，同樣的泄密事件會一直存在下去，用戶幾乎毫無辦法。本節主要討論了普通網民應該進行的預防性措施，對于互聯網網站應該如何預防此類攻擊，瑞星公司將在隨后發布的企業級安全報告中詳細闡述。第三節釣魚網站和社會工程學攻擊隨著對2011年網絡釣魚案例、黑客攻擊案例的統計分析，瑞星安全專家認為單純地把那些利用社會工程學原理發動的網絡攻擊命名為“釣魚網站”，已經不能準確描述這種攻擊手法的本質，社會工程學攻擊(利用人與人之間的信任、踐踏社會基本的商業準則，夾雜在利益當中)使得國內網民面臨比以往更大的安全風險。(*社會工程學攻擊是一種利用人的弱點獲取系統口令、關鍵安全信息、金錢利益的攻擊方法，這些弱點包括人的本能反應、好奇心、信任、貪便宜等，在此類攻擊中通常包括了諸如欺騙、傷害等危害手段，采用傳統安全方法無法杜絕社會工程學攻擊。)盡管目前的“釣魚網站”最終的表現形式仍然是“建立假網站→吸引用戶花錢”，但建立假網站之后如何吸引用戶，怎么讓用戶知道這個假網站，訪問假網站之后如何增加用戶的信任感，如何欺騙搜索引擎從而獲取更好的搜索排名，如何把用戶被騙的錢取走(銀行都是實名制，如有大量的異常資金往來，很難瞞過監管部門)，這些環節在以前都讓黑客撓頭，現在他們想出了種種方法來規避。下面，瑞星安全專家將對2011年的黑客釣魚活動進行深入分析。從黑客建立網站開始，有四個主要環節，建立網站→推廣→瀏覽(建立信任)→支付。在這四個環節當中，黑客尤其對后三個環節不斷進行創新，加強推廣效果，降低提現難度。第一、黑客推廣釣魚網站的四大常用手法根據瑞星研究團隊的分析，2011年黑客主要通過搜索引擎攻擊(SEA)、IM軟件、電子郵件群發、手機短信等四種方式推廣釣魚網站：(1)搜索引擎攻擊SEA(SearchEngineAttack)。作為網民獲取信息的主要途徑，搜索引擎在黑客推廣釣魚網站上起到了不可替代的作用。黑客們會追蹤搜索引擎上的熱門詞匯，針對這些熱門詞匯做出調整和優化，使得網民在搜索的時候，假網站排在前列。有的甚至花費重金，購買搜索引擎廣告。在搜索引擎攻擊中，常見的攻擊手法包括：A、病毒點擊。黑客利用自己掌握的“僵尸網絡(*注)”搜索熱門詞，點擊其中的釣魚網站(假網站)，讓搜索引擎以為“這個網站具有高質量內容，所以很多用戶喜歡”，提高釣魚網站的權值。這樣當網民搜索熱門詞的時候，這些釣魚網站就會排在正常網站的前面，誤導網民。(注)“僵尸網絡”：通過各種手段在大量計算機中植入特定的惡意程序，使控制者能夠通過相對集中的若干計算機直接向大量計算機發送指令的攻擊網絡。攻擊者通常利用這樣大規模的僵尸網絡實施各種其他攻擊活動。B、讓釣魚網站出現在搜索引擎的特定區域。這些特定區域包括：熱門詞的前三頁搜索結果、搜索排行榜、搜索問答的熱門話題等。在這些特定區域中，普通用戶可以插入內容，比如在百度知道的熱門問題中，有關減肥、美容、癌癥等內容的答案里。就有若干詐騙類網站的鏈接；而在排行榜類區域中，除非進行人工干預，否則黑客可以利用病毒、木馬來模擬網民搜索行為，從而使得顯示的結果失真，這也就是所謂的“惡性SEO(SearchEngineOptimization)”C、熱點詞優化。這類行為通常發生在某個“門事件”之后，例如“艷照門”、“X臥底”等媒體爆炒的事件之后，主流搜索引擎的結果中會出現大量的惡意網站結果，包括帶毒網站、詐騙網站、出售假冒偽劣商品的釣魚網站等等。D、購買搜索引擎廣告。據媒體報道，湖北一網民在搜索“中國移動湖北網上營業廳”時，搜索引擎提供的廣告是釣魚網站，被騙話費100元。2011年12月，公安部經濟犯罪偵查局發布警告，列舉了多起用戶在搜索引擎上遭遇釣魚詐騙的案例。(網絡圖片：搜索引擎廣告中的釣魚網站)黑客攻擊大型網站，在其中放入釣魚網站的鏈接，欺騙搜索引擎，提升釣魚網站的權值，這樣可以使網民誤以為所進入的釣魚網站是大網站的子站或者分站，從而提升釣魚網站的可信度，使網民更容易受騙。(2)利用QQ、MSN等IM軟件推廣釣魚網站，或直接詐騙從瑞星的監測結果來看，2011年下半年，通過QQ、MSN等聊天軟件推廣釣魚網站，或直接進行詐騙的案例有大幅上升。具體表現形式為，黑客登錄竊取的QQ號、MSN賬號等，給其好友發送釣魚網站，或者直接要求好友幫其購買手機充值卡、網游點卡等容易銷臟的數字卡產品。中招者無法統計，數量級可能在數萬到數十萬之間。2011年12月，MSN中國發表聲明，稱已經注意到部分MSN用戶遇到賬號密碼被盜的問題，MSN中國非常關注，已經向美國總部匯報，并立即展開了調查，但是被盜賬戶數量和事件原委截至發稿時還沒有最終結果。(騙子利用MSN盜號詐騙圖例)瑞星安全專家介紹說，這是黑客對國內一些大型互聯網站進行了“拖庫攻擊”，直接竊取大批用戶密碼，或者通過已泄露的密碼去猜測其他網站的密碼，在這波攻擊中，IM軟件未曾幸免。(3)利用郵件推廣釣魚網址黑客在網上購買外泄的用戶資料，針對性地向某些用戶發送釣魚郵件，這樣可以極大地提高詐騙成功率。比如網上可以買到“淘寶每個月的活躍賬戶”、“當當高級買家賬戶”等，黑客會向這些已經習慣網購的買家發送釣魚網址，詐騙錢財。(4)利用手機短信推廣釣魚網址黑客在網上購買大批用戶資料，利用某些地區對于垃圾短信監管不嚴的漏洞，使用手機短信群發技術，給特定人群定向發動釣魚短信，詐騙錢財，出售假冒偽劣商品等，這種方式相對隱蔽，詐騙成功率很高。第二、黑客加強釣魚網站信任度的三種常用方法推廣只是讓用戶“瀏覽釣魚網站”，但因為媒體的宣傳、有關部門的警告和瑞星這樣的專業安全公司持之以恒的努力，現在的網民一般都具有很高的警覺性，在這種情況下，黑客們常用以下三種方法來提升假網站的信任度。(1)在新浪博客、QQ空間等著名站點建立假網站來加強信任度傳統上，釣魚網站都會在自己頁面上仿制大量偽造的證書、榮譽、PS過的名人照片等，加強自己的信任度。2011年里，黑客們在技術上進行了更高級別的偽裝，比如，利用新浪博客、QQ空間等著名網站的子服務來構建假網站，這樣空間和域名都是真的，再配上與這些名牌網站相關的“新浪10周年大抽獎”、“騰訊公司傾情回饋用戶”，這樣對于普通網民來講，可信程度就會大大增加。(騙子利用網易博客構建的假網站)(2)利用相關站點推廣來增強信任度比如，黑客在新浪微博大量發送“您已經中獎了”的消息，再鏈接到新浪博客上建立的“釣魚網站”，這樣的騙術可信度就會變得很高，足以騙過大多數普通網民。(3)攻擊正常網站，在上面放推廣鏈接現在很多教育網站、新聞類、科研機構網站的安全防護程度很低，但他們本身的品牌、網站權值、知名度都相當高，甚至被選入百度新聞新聞源、搜搜新聞源，當他們被黑客攻陷后，黑客在其服務器上建立釣魚網站，當用戶在搜索引擎中搜索時，就可能被引導到這些網站上，進而受騙。(黑客攻擊中南大學網站圖例)第三、黑客在支付環節的“創新”除了“推廣”和“加強信任”兩個環節之外，黑客在支付環節上的“創新”也不可低估。隨著淘寶、支付寶等在人們生活中的廣泛應用，網絡支付越來越便捷，一些過去很難”銷臟”的貨物也變得好出手，比如手機充值卡、各種商場超市的預付卡，甚至國外的第三方支付工具等