【51CTO.com獨(dú)家特稿】近期值得關(guān)注的新聞以威脅和攻擊領(lǐng)域內(nèi)的為主。圍繞瘋狂擴(kuò)散的Conficker蠕蟲(chóng)進(jìn)行的攻防戰(zhàn)本周仍在持續(xù)進(jìn)行，但微軟等廠商的監(jiān)控結(jié)果顯示Conficker仍有較強(qiáng)的存活能力，存在較久的老蠕蟲(chóng)也開(kāi)始加入戰(zhàn)團(tuán)，威脅態(tài)勢(shì)仍不容樂(lè)觀；而無(wú)線通信技術(shù)的快速發(fā)展也促使了新概念?lèi)阂廛浖漠a(chǎn)生，本期回顧將關(guān)注一個(gè)基于短信服務(wù)的病毒。

漏洞攻擊也是近期的一個(gè)熱點(diǎn)話題，微軟本周將發(fā)布本月的例行更新，攻擊者利用ppt的0day漏洞大肆進(jìn)行攻擊的事件也隨之浮出水面。漸漸升溫的軟件安全市場(chǎng)吸引了越來(lái)越多的廠商加入，F(xiàn)ortify無(wú)疑將是本周該領(lǐng)域的明星，筆者將和朋友們一起關(guān)注其最新發(fā)布的政府軟件安全新報(bào)告和SaaS形式的軟件安全服務(wù)，同時(shí)還將關(guān)注一下OWASP組織本周推出的代碼安全審計(jì)指南。而在本期回顧的最后，筆者為朋友們精心挑選了三個(gè)值得一讀的推薦閱讀文章。

近期的安全威脅等級(jí)為中，對(duì)用戶(hù)和系統(tǒng)威脅較大的威脅類(lèi)型仍為惡意軟件和針對(duì)流行軟件的漏洞攻擊，建議用戶(hù)注意更新自己的系統(tǒng)和軟件，并使用合適的反病毒和防火墻軟件。

惡意軟件：Conficker蠕蟲(chóng)通過(guò)P2P升級(jí)逃避檢測(cè)；新的SMS病毒顯示移動(dòng)威脅繼續(xù)上升；關(guān)注指數(shù)：高　　

經(jīng)過(guò)安全廠商和ISP的不懈努力，近段時(shí)間瘋狂擴(kuò)散的Conficker在本周已經(jīng)得到了一定的控制，但用戶(hù)也不應(yīng)放松警惕——根據(jù)多個(gè)安全廠商的監(jiān)測(cè)結(jié)果，為了逃避安全廠商和ISP的圍堵攻擊，網(wǎng)絡(luò)犯罪集團(tuán)用P2P技術(shù)對(duì)Conficker蠕蟲(chóng)進(jìn)行了升級(jí)。這次升級(jí)后的Conficker蠕蟲(chóng)不再使用原有的IRC控制模式，而通過(guò)P2P網(wǎng)絡(luò)對(duì)現(xiàn)有的Conficker進(jìn)行升級(jí)和控制，這樣用戶(hù)通過(guò)網(wǎng)絡(luò)流量分析檢測(cè)和防御Conficker蠕蟲(chóng)的手段就顯得不太有效了。新版本Conficker使用P2P網(wǎng)絡(luò)進(jìn)行通信的特征與Waledac及Storm蠕蟲(chóng)相類(lèi)似，或許也暗示Conficker蠕蟲(chóng)的作者與上述兩者可能有所聯(lián)系。

目前由安全廠商組成的Conficker Working Group團(tuán)隊(duì)已經(jīng)在對(duì)Conficker的最新樣本進(jìn)行分析，并提出對(duì)應(yīng)的解決方案。筆者建議，用戶(hù)應(yīng)保持現(xiàn)有反病毒軟件的更新，定期對(duì)自己系統(tǒng)上的驅(qū)動(dòng)器進(jìn)行查殺。對(duì)于內(nèi)部網(wǎng)絡(luò)規(guī)模較大的企業(yè)用戶(hù)，可采用嗅探器、網(wǎng)絡(luò)分析儀等工具來(lái)審計(jì)網(wǎng)絡(luò)流量，若存在可疑的P2P流量則可能是已經(jīng)感染新版本的Conficker蠕蟲(chóng)，另外企業(yè)用戶(hù)可在結(jié)合使用網(wǎng)絡(luò)版反病毒軟件的同時(shí)，通過(guò)防火墻封堵企業(yè)網(wǎng)絡(luò)對(duì)外的P2P流量，也能阻斷Conficker蠕蟲(chóng)對(duì)企業(yè)網(wǎng)絡(luò)帶來(lái)的進(jìn)一步威脅。　　

Conficker蠕蟲(chóng)的“成功”也大大的刺激了其他蠕蟲(chóng)的控制者，Microsoft在本周早些時(shí)候發(fā)布警告稱(chēng)，一個(gè)早在2005年就出現(xiàn)的老蠕蟲(chóng)Neeris重新開(kāi)始活躍，并通過(guò)Conficker蠕蟲(chóng)的感染技術(shù)大肆擴(kuò)散。Neeris是一個(gè)主要通過(guò)MSN虛假信息傳播的IRC蠕蟲(chóng)，最早于2005年出現(xiàn)，之前最后的Neeris版本使用MS06040漏洞進(jìn)行擴(kuò)散。這次出現(xiàn)的新版本Neeris蠕蟲(chóng)顯示，使用新蠕蟲(chóng)的技術(shù)改造老蠕蟲(chóng)，已經(jīng)成為網(wǎng)絡(luò)犯罪集團(tuán)對(duì)現(xiàn)有攻擊手段進(jìn)行升級(jí)的主要方式，用戶(hù)在防御如Conficker這樣的流行蠕蟲(chóng)的時(shí)候，也不應(yīng)忽視已經(jīng)休眠或消失的老蠕蟲(chóng)，說(shuō)不定什么時(shí)候這些老蠕蟲(chóng)就會(huì)換上個(gè)新面孔卷土重來(lái)。　　

而在移動(dòng)計(jì)算領(lǐng)域，近段時(shí)間惡意軟件的活動(dòng)也有增多的趨勢(shì)。反病毒廠商F-Secure在其本周發(fā)布的第一季度惡意軟件報(bào)告中稱(chēng)，2009年第一季度的惡意軟件威脅仍然高企，第一個(gè)基于文本短消息服務(wù)（SMS）病毒的出現(xiàn)則是最有代表性的事件。這個(gè)名為SymbOS/Yxe的病毒主要感染使用Symbian操作系統(tǒng)的手機(jī)，它會(huì)向用戶(hù)發(fā)送帶有虛假鏈接的SMS，欺騙用戶(hù)運(yùn)行鏈接所指向的手機(jī)程序，如果用戶(hù)不慎下載執(zhí)行了鏈接中的程序，就有可能感染該病毒并成為新的傳染源。

這個(gè)病毒所使用的攻擊手法與PC上常見(jiàn)的即時(shí)通訊病毒病并無(wú)差異，但因?yàn)樗ㄟ^(guò)移動(dòng)網(wǎng)絡(luò)傳播并以手機(jī)為感染對(duì)象，同時(shí)用戶(hù)手機(jī)列表上的聯(lián)系人都是信任關(guān)系，所以SMS病毒的成功率要遠(yuǎn)高于傳統(tǒng)意義上的即時(shí)通訊病毒。根據(jù)F-secure的分析結(jié)果，這個(gè)SMS病毒的主要目的可能只是在于竊取被感染用戶(hù)的手機(jī)聯(lián)系人，同時(shí)發(fā)送大量的垃圾短信。

但筆者認(rèn)為，要把該病毒修改成能夠盜取用戶(hù)手機(jī)卡上話費(fèi)資金，或竊取用戶(hù)隱私信息的手機(jī)病毒并不存在技術(shù)上的困難，因此該病毒的進(jìn)一步發(fā)展值得關(guān)注，這種使用社會(huì)工程學(xué)來(lái)欺騙用戶(hù)下載執(zhí)行手機(jī)程序的攻擊手法，可能也會(huì)成為未來(lái)一段時(shí)間對(duì)用戶(hù)聯(lián)網(wǎng)移動(dòng)設(shè)備攻擊的主流手段。建議用戶(hù)在使用手機(jī)或其他能夠連入移動(dòng)通信網(wǎng)的移動(dòng)計(jì)算設(shè)備時(shí)，還是要提高自己的安全意識(shí)，不要輕易去點(diǎn)擊不可信的鏈接和下載執(zhí)行不明軟件，以免感染惡意軟件，造成自己隱私信息或經(jīng)濟(jì)上的損失。　　

漏洞攻擊：PowerPoint再成黑客目標(biāo)；微軟本月發(fā)布8個(gè)更新；關(guān)注指數(shù)：高　　

在安全業(yè)界正對(duì)Conficker等在互聯(lián)網(wǎng)上大肆擴(kuò)散的惡意軟件焦頭爛額的時(shí)候，微軟的Office產(chǎn)品又再次成為黑客攻擊的目標(biāo)，這次的受害者是Office中的PowerPoint組件。微軟本周發(fā)布安全公告稱(chēng)，目前已經(jīng)確認(rèn)黑客利用的是一個(gè)未經(jīng)修補(bǔ)的存在于PowerPoint中的軟件漏洞，主要威脅Office 2000和Office 2003，目前在互聯(lián)網(wǎng)上只發(fā)現(xiàn)有少量的此類(lèi)攻擊存在，利用該漏洞的PPT文件攜帶有一個(gè)特洛伊木馬，如果用戶(hù)收到此類(lèi)文件并不慎開(kāi)啟，就將有可能感染該P(yáng)PT文件中攜帶的惡意軟件。

不過(guò)有意思的是，這次PowerPoint攻擊的發(fā)現(xiàn)是因?yàn)槊赓M(fèi)的病毒掃描服務(wù)VirusTotal向各反病毒廠商提交的樣本，相信可能是攻擊者通過(guò)該網(wǎng)站進(jìn)行檢測(cè)測(cè)試時(shí)留下的樣本。微軟已經(jīng)開(kāi)始對(duì)這個(gè)威脅Office安全的漏洞進(jìn)行調(diào)查，但沒(méi)有說(shuō)明什么時(shí)候才會(huì)向用戶(hù)提供針對(duì)該漏洞的更新程序。　　

本周又是微軟定期發(fā)布補(bǔ)丁更新的時(shí)間，微軟將提供包括5個(gè)安全等級(jí)為關(guān)鍵的8個(gè)補(bǔ)丁程序，分別修補(bǔ)Windows、Office和Internet Explorer中存在的嚴(yán)重安全漏洞，另外的補(bǔ)丁程序則是為ISA和SearchPath提供的。由于5個(gè)關(guān)鍵更新所針對(duì)的漏洞都是對(duì)用戶(hù)威脅最大的遠(yuǎn)程代碼執(zhí)行漏洞，可以預(yù)見(jiàn)在不久的將來(lái)利用這些Windows漏洞進(jìn)行擴(kuò)散的蠕蟲(chóng)，以及攻擊上述IE漏洞的惡意網(wǎng)站將大量增加，筆者建議朋友們盡快通過(guò)微軟的官方站點(diǎn)或Windows Update下載并應(yīng)用本月的更新程序，同時(shí)將現(xiàn)有的反病毒和防火墻軟件更新到最新版本。　　

軟件安全：Fortify新報(bào)告指出政府軟件安全；OWASP推出代碼安全審計(jì)指南；關(guān)注指數(shù)：高　　

軟件安全作為安全市場(chǎng)上的一個(gè)新興領(lǐng)域，正吸引著越來(lái)越多的安全廠商的注意，F(xiàn)ortify無(wú)疑是這個(gè)市場(chǎng)內(nèi)具有代表性的廠商。針對(duì)政府用戶(hù)當(dāng)前所面臨的軟件安全威脅，本周Fortify推出了一個(gè)名為《如何在政府軟件中構(gòu)建安全》的新報(bào)告，該報(bào)告指出，政府用戶(hù)當(dāng)前所使用的軟件正面臨著眾多不同來(lái)源的安全威脅，同時(shí)缺乏一個(gè)行之有效的軟件保障程序，因此政府用戶(hù)的網(wǎng)絡(luò)和系統(tǒng)往往會(huì)因?yàn)榇嬖诖罅康能浖┒矗┞队诟鞣N外界攻擊的威脅之下。

為了幫助政府用戶(hù)了解如何建立一套有效的軟件保障體系，F(xiàn)ortify還在報(bào)告中提供了幾個(gè)美國(guó)政府機(jī)構(gòu)實(shí)施軟件保障的案例研究。本月早些時(shí)候Fortify和咨詢(xún)機(jī)構(gòu)Cigital曾合作推出了旨在幫助企業(yè)實(shí)施軟件安全的標(biāo)準(zhǔn)指南，這次推出的政府軟件安全指南，則可以認(rèn)為是Fortify對(duì)軟件安全的市場(chǎng)細(xì)分行為。由于政府用戶(hù)不同于一般企業(yè)用戶(hù)的敏感性，筆者認(rèn)為安全行業(yè)還是應(yīng)該針對(duì)當(dāng)前國(guó)內(nèi)政府用戶(hù)的軟件安全情況，同時(shí)參考國(guó)外該領(lǐng)域的最新發(fā)展成果，制定出適合我國(guó)現(xiàn)狀的軟件安全保障體系。

另外，本周還有一個(gè)關(guān)于Fortify值得關(guān)注的安全新聞，即Fortify將其現(xiàn)有的軟件安全產(chǎn)品轉(zhuǎn)化成云計(jì)算平臺(tái)的方式，通過(guò)服務(wù)的方式交付給最終用戶(hù)。Fortify的SaaS（軟件即服務(wù)）版本的軟件安全解決方案，主要關(guān)注企業(yè)中第三方應(yīng)用程序的安全審計(jì)，尤其是無(wú)法從軟件廠商處得到源代碼的應(yīng)用程序的安全保障，而采取SaaS的形式進(jìn)行交付，也可以幫助許多預(yù)算不足的中小企業(yè)進(jìn)行安全要求不高的軟件保障項(xiàng)目。Fortify通過(guò)SaaS方式來(lái)交付相對(duì)使用成本較高的軟件安全解決方案，這個(gè)理念相當(dāng)值得國(guó)內(nèi)的安全廠商借鑒，再加上適合國(guó)內(nèi)現(xiàn)狀的特定應(yīng)用程序?qū)徲?jì)策略，以及友好的用戶(hù)操作，應(yīng)該會(huì)成為國(guó)內(nèi)逐漸升溫的軟件安全市場(chǎng)中的一個(gè)亮點(diǎn)。　　

開(kāi)源Web應(yīng)用程序安全機(jī)構(gòu)OWASP本周發(fā)布了其最新的代碼安全審計(jì)指南 1.1版本，旨在幫助用戶(hù)對(duì)現(xiàn)有的Web應(yīng)用程序進(jìn)行代碼安全審計(jì)，防止出現(xiàn)各種最為常見(jiàn)的安全漏洞，結(jié)合之前推出的Web應(yīng)用開(kāi)發(fā)安全指南和Web應(yīng)用安全測(cè)試指南，OWASP已經(jīng)為用戶(hù)提供了一整套Web應(yīng)用程序的安全保障體系。

隨著Web應(yīng)用程序在企業(yè)領(lǐng)域中所占的比重越來(lái)越大，Web應(yīng)用程序的安全問(wèn)題也逐漸成為威脅企業(yè)內(nèi)部網(wǎng)絡(luò)及系統(tǒng)安全的主要因素之一，不過(guò)因?yàn)閃eb應(yīng)用程序的安全開(kāi)發(fā)、測(cè)試和代碼審計(jì)仍是一個(gè)非常耗費(fèi)時(shí)間和人力的工作，從長(zhǎng)遠(yuǎn)來(lái)看企業(yè)在內(nèi)部培養(yǎng)一個(gè)專(zhuān)業(yè)的Web應(yīng)用安全團(tuán)隊(duì)還是要比外包這項(xiàng)工作要更為有效，筆者也計(jì)劃整理一下OWASP已經(jīng)推出的幾份Web應(yīng)用安全指南，為朋友們提供對(duì)這幾份文檔的翻譯和更進(jìn)一步的相關(guān)知識(shí)整理。　　

推薦閱讀：

1） 惡意的JavaScript如何躲避檢測(cè)，推薦指數(shù)：高

許多朋友認(rèn)為，只要安裝了最新的反病毒軟件，即使不按時(shí)應(yīng)用系統(tǒng)更新就瀏覽網(wǎng)站也是沒(méi)什么問(wèn)題的，實(shí)際上這種看法是錯(cuò)誤的，通過(guò)JavaScript加密技術(shù)，惡意的JavaScript程序能夠躲過(guò)反病毒軟件的檢測(cè)。互聯(lián)網(wǎng)安全組織SANS本周通過(guò)一個(gè)實(shí)例分析了JavaScript加密分析，有意思的是，作為分析對(duì)象的JavaScript加密方式很快就被黑客應(yīng)用到對(duì)Twitter的攻擊中。有興趣的朋友可以在下面的鏈接中找到這個(gè)分析文章：

http://isc.sans.org/diary.html?storyid=6142&rss

2） IC3的2008年度網(wǎng)絡(luò)犯罪報(bào)告；推薦指數(shù)：中

網(wǎng)絡(luò)犯罪已經(jīng)成為互聯(lián)網(wǎng)應(yīng)用的最嚴(yán)重威脅，并呈現(xiàn)每年快速上升的趨勢(shì)。由美國(guó)FBI和NW3C兩個(gè)政府部門(mén)共同組建的互聯(lián)網(wǎng)犯罪防止中心IC3，于本周早些時(shí)候發(fā)布了2008年度網(wǎng)絡(luò)犯罪報(bào)告，全面詳細(xì)的介紹了2008年網(wǎng)絡(luò)犯罪的情況。法律和安全行業(yè)的朋友可以將這個(gè)報(bào)告作為全面了解網(wǎng)絡(luò)地下經(jīng)濟(jì)的材料。資料的地址如下：

http://www.nw3c.org/downloads/2008_IC3_Annual%20Report_3_27_09_small.pdf

3） 如何建立企業(yè)入侵分析體系?推薦指數(shù)：高

我們?cè)趯?shí)踐中經(jīng)常能遇到這樣的情況，企業(yè)在購(gòu)置IDS之后往往疏于管理和維護(hù)，IDS也變成企業(yè)內(nèi)網(wǎng)中可有可無(wú)的擺設(shè)。構(gòu)建一個(gè)有效的企業(yè)入侵分析體系，看來(lái)是將這些設(shè)備充分的使用起來(lái)的好辦法，推薦對(duì)入侵分析感興趣的朋友閱讀一下SecurityFocus專(zhuān)欄文章《如何建立企業(yè)入侵體系》，文章鏈接如下：

http://www.securityfocus.com/infocus/1904?ref=rss

【51CTO.COM 獨(dú)家特稿，轉(zhuǎn)載請(qǐng)注明出處及作者！】

【編輯推薦】

1. 微軟警告黑客利用PowerPoint漏洞攻擊
2. 斬?cái)嘧⑷牒谑址婪禝E漏洞攻擊