百銳互聯(lián)網(wǎng)用戶賬戶安全報告
【51CTO.com綜合報道】
一、綜述
據(jù)百銳信息安全實驗室(ByteHero Lab)云安全系統(tǒng)數(shù)據(jù)統(tǒng)計,2011年上半年全球互聯(lián)網(wǎng)用戶賬戶信息安全所受到的主要威脅有盜號木馬、欺詐網(wǎng)站、服務器攻擊和手機病毒四種,呈現(xiàn)以下特征:
1、盜號木馬制作更加專業(yè)化,與反病毒軟件技術對抗逐步升級。
2、隨著席卷而來的電子商務發(fā)展浪潮,欺詐站點數(shù)量明顯增加,其在惡意域名中所占的比重呈上升趨勢。
3、Android設備急劇增加,隨之而來的Android病毒木馬的危害開始顯現(xiàn)。
4、儲存了大量用戶資料和行為的服務器(云計算服務商)遭受攻擊,如索尼用戶信息泄漏事件。"Threats to Cloud"成為現(xiàn)實給用戶賬戶信息安全帶來前所未有的挑戰(zhàn),用戶賬戶信息威脅正由個體損失向群體損失轉(zhuǎn)變。
二、核心數(shù)據(jù)簡述
1、報告期內(nèi)(2011年上半年),百銳云安全系統(tǒng)在全球范圍內(nèi)共截獲新增木馬樣本816214種,總體數(shù)量與去年同期相比上升32.4%。中國大陸地區(qū)148467種,占全球18.19%。
2、危害用戶賬戶的前四類木馬依次是Trojan.Win32.OnLineGames,TrojanDownloader.Win32.FakeQQ和TrojanSpy.Win32.Banker 以及Trojan.Win32.AliPay。
3、報告期內(nèi)百銳共截獲了47.2萬個掛馬網(wǎng)址,其中com域名占76.32%。
4、報告期內(nèi)百銳共截獲了43.9萬個欺詐網(wǎng)址。主要的方式有:提示用戶中獎并給出中獎驗證碼,仿冒知名電子商務網(wǎng)站和銀行網(wǎng)站。
5、報告期內(nèi)百銳共截獲手機病毒木馬家族1021種,其中Android病毒木馬第二季度較第一季度增加了29.09%。
三、免責聲明
本報告綜合百銳信息安全實驗室(ByteHero Lab)云安全系統(tǒng)的統(tǒng)計。本報告作為互聯(lián)網(wǎng)用戶賬戶信息安全狀況的介紹和研究資料對外提供,如若與其它機構(gòu)研究結(jié)果有差異,請使用方自行辨別,百銳信息安全實驗室不承擔與此相關的一切法律責任。
四、盜號木馬
1、盜號木馬概述
報告期內(nèi)百銳云安全系統(tǒng)在中國大陸地區(qū)共截獲148467種盜號木馬。按照CNNIC數(shù)據(jù)顯示,截至6月底中國網(wǎng)游用戶達3.11億,國內(nèi)網(wǎng)絡游戲產(chǎn)業(yè)年產(chǎn)值已超百億元,受利益驅(qū)使,針對網(wǎng)游的盜號木馬在所有木馬中的比例超過其他種類。
?? 
2、木馬技術趨勢分析
通過對1至6月新增木馬的惡意行為分析發(fā)現(xiàn),互聯(lián)網(wǎng)新增的木馬對計算機系統(tǒng)的損害越來越小,對用戶操作體驗的影響也越來越小,導致計算機反復重啟、阻斷網(wǎng)絡連接及正常軟件無法使用的惡意行為已十分少見。其目的是在用戶不知情的情況下實現(xiàn)竊取私人信息(包括網(wǎng)絡游戲、IM、網(wǎng)銀等帳號信息)。其中,游戲外掛插件捆綁木馬、玩家間傳輸文件以及私服發(fā)布網(wǎng)站掛馬是網(wǎng)游盜號木馬的三大傳播途徑。
盜號木馬制作更加專業(yè)化,與反病毒軟件技術對抗逐步升級。例如進程隱藏、雙進程守護等內(nèi)核級技術開始大量應用。為了對抗云查殺,免殺方法也在改進。木馬作者通過加大木馬體積,使用組合木馬技術以及對木馬解密器進行非傳統(tǒng)多態(tài)方式的偽裝技術等手段來對抗云鑒定器的偵測。
五、網(wǎng)站掛馬
1、網(wǎng)站掛馬概述
百銳云安全系統(tǒng)在全球范圍內(nèi)共截獲掛馬網(wǎng)站47.2萬個。通過分析來看,利用0day漏洞仍然是黑客進行網(wǎng)站掛馬的主要方式之一。
中國2011年上半年互聯(lián)網(wǎng)整體掛馬情況非常普遍,全國所有省份都存在程度不一的掛馬現(xiàn)象。同時,國家重點部門和單位的網(wǎng)站也被發(fā)現(xiàn)存在較為嚴重的掛馬問題。春節(jié)期間是全年掛馬量最高的時刻,各個長假期間的掛馬量也比平時有顯著提高。受高考影響,6月份在被掛馬的網(wǎng)站中,高校網(wǎng)站開始明顯增多。
網(wǎng)民被掛馬網(wǎng)站攻擊成功時使用的軟件,主要是各種瀏覽器以及內(nèi)嵌了網(wǎng)頁的流行軟件。
2、中國地區(qū)掛馬數(shù)據(jù)分析
報告期內(nèi),中國地區(qū)掛馬域名分布統(tǒng)計如下。
北京是掛馬重災區(qū),居全國首位,其次是廣東和上海。掛馬源主要在國內(nèi)服務器,其中廣東省是傳播重點地區(qū)。
全國主要地區(qū)掛馬餅狀分析圖如下:
?? 
3、全球掛馬域名數(shù)據(jù)分析
全球區(qū)域掛馬程度統(tǒng)計如下
掛馬域名分布較多的國家和地區(qū)依次是美國、中國、俄羅斯、越南、德國、韓國、法國等,如下圖所示。
?? 
六、網(wǎng)絡釣魚
1、網(wǎng)絡釣魚概述
網(wǎng)絡釣魚(Phishing)是近年來興起的一種新型網(wǎng)絡攻擊方式,黑客建立一個網(wǎng)站,通過模仿網(wǎng)銀官網(wǎng)、網(wǎng)購站點、游戲網(wǎng)站、彩票網(wǎng)站等,誘騙用戶上當。由于在整個環(huán)節(jié)中沒有任何的病毒、木馬和惡意程序參與,傳統(tǒng)殺毒軟件根本無法阻擋釣魚網(wǎng)站的攻擊。
2、數(shù)據(jù)分析
?? 
報告期內(nèi)百銳共截獲了43.9萬個欺詐網(wǎng)址。較去年同期上漲37.54%。網(wǎng)絡釣魚主要的方式有:提示用戶中獎并給出中獎驗證碼,仿冒知名電子商務網(wǎng)站和銀行網(wǎng)站。
一個典型的網(wǎng)絡釣魚事件的流程是:提示用戶中獎,并給出獲獎驗證碼'用戶輸入獲取到的驗證碼后,進入下一頁面,提示用戶所中獎項'要求用戶匯款來辦理手續(xù)等內(nèi)容。
如下圖所示
七、手機病毒
6月,中國互聯(lián)網(wǎng)協(xié)會反網(wǎng)絡病毒聯(lián)盟發(fā)布了我國首個關于手機病毒命名及描述的技術規(guī)范《移動互聯(lián)網(wǎng)惡意代碼描述規(guī)范》,描述了惡意代碼主要屬性分類:
?? 
報告期內(nèi)百銳共截獲手機病毒木馬家族共1021種,攻擊的智能移動終端系統(tǒng)依次是Symbian、Android、WindowsPhone、iOS。
雖然Symbian的發(fā)展的步伐放緩,但是由于基數(shù)大,Symbian仍是手機木馬的重災區(qū)。
?? 
據(jù)分析,Android病毒木馬增勢明顯,數(shù)據(jù)和信息表明,Android惡意軟件對用戶的威脅正在持續(xù)上升。
?? 
八、用戶帳號信息安全趨勢發(fā)展
1、在對PC平臺盜號木馬的防御中,傳統(tǒng)的特征碼匹配技術已經(jīng)越來越吃力了。原因是隨著病毒木馬的海量增長,殺毒軟件公司已經(jīng)很難及時收集這些新增的病毒木馬樣本。即使殺毒軟件公司能收集所有樣本,隨著病毒庫的海量擴展,其體積也會日益增加,相應的殺毒軟件在計算機系統(tǒng)上將占用更多的內(nèi)存等資源,最終導致系統(tǒng)資源難以滿足。加之傳統(tǒng)的特征碼病毒檢測技術具有先天缺陷:先有病毒,然后才能收集樣本提取病毒特征。這種被動響應模式永遠滯后于病毒發(fā)作。反病毒木馬新技術發(fā)展趨勢:
1.1反病毒虛擬機技術
通過構(gòu)造一個虛擬機,將病毒木馬加載到虛擬機中運行,通過在反病毒虛擬機中監(jiān)測被檢測程序的行為來判斷是否是病毒木馬。百銳實驗室經(jīng)過多年研究,掌握了一流的反病毒虛擬機技術,自主研發(fā)了國內(nèi)第一款基于代碼動態(tài)、靜態(tài)啟發(fā)分析等技術的啟發(fā)式檢測引擎,為廣大用戶提供未知病毒防御保護。
1.2云查殺技術
云查殺是基于在"云安全"的理念中實施的。云查殺是將過去單機版的數(shù)據(jù)庫安裝在云端(即服務器端)。由個體被動態(tài)向立體的主動發(fā)現(xiàn)查殺發(fā)展,使新病毒的查殺進入以秒為單位計時的時代。未來將是反病毒主流解決方案。
2、網(wǎng)絡釣魚的危害日益凸顯
目前的釣魚網(wǎng)站的識別和攔截主要基于黑白名單查殺方式,為了更好的攔截釣魚網(wǎng)站,僅使用黑白名單是不夠的。百銳反釣魚引擎在黑白名單技術基礎上,增加對網(wǎng)站的掃描和分析的過程,分析網(wǎng)頁特征及網(wǎng)頁的行為,通過精確匹配和概率匹配的方式對網(wǎng)頁特征進行處理,能夠第一時間識別釣魚網(wǎng)站。
3、云端結(jié)合查殺Android木馬
近期在多家Android軟件商店中,頻繁出現(xiàn)偽裝成正常手機軟件,以外發(fā)短信等形式實施惡意扣費、隱私竊取行為的Android手機病毒及惡意軟件。
"云+端"結(jié)合的"云安全"技術模式當前正在被快速應用到專業(yè)的手機安全軟件之中,并已成為當前和未來在移動安全領域的技術發(fā)展趨勢。其中,"云端"將重點解決惡意軟件的發(fā)現(xiàn)問題,從各種渠道收集軟件信息,并按照某種算法評估軟件的風險,而"終端"重點解決惡意軟件的查殺與防護問題,通過安裝部署在智能終端上的客戶端對惡意軟件進行查殺。
九、用戶賬戶安全防護建議
從數(shù)據(jù)和走勢分析可以看出,面對不斷涌現(xiàn)的新興威脅,亟待安全廠商進行通過技術創(chuàng)新來遏制其衍生。同時,企業(yè)及個人也應增強信息安全意識主動保護用戶賬戶和資產(chǎn)安全。
對于企業(yè)而言,計算機網(wǎng)絡的安全穩(wěn)定至關重要,影響著企業(yè)的生存和發(fā)展。應充分重視數(shù)據(jù)信息的防護工作,增加人力、物力(高質(zhì)量的軟硬件安全產(chǎn)品)投入。要建立企業(yè)計算機安全網(wǎng)絡防御體系,必須將原有的平面結(jié)構(gòu)的計算機網(wǎng)絡調(diào)整為層次保護結(jié)構(gòu)的網(wǎng)絡,形成外部網(wǎng)、辦公網(wǎng)和生產(chǎn)網(wǎng)等的多層結(jié)構(gòu)。
任何企業(yè)、任何人都不能單純依賴一種方法來保護其數(shù)據(jù)及私密文件。除了安裝部署包括百銳引擎家族在內(nèi)的正規(guī)安全產(chǎn)品,還應在平時注意更多細節(jié),例如碎紙方法不當導致的數(shù)據(jù)損害,由公共數(shù)據(jù)庫導致的身份竊取,保護或監(jiān)視不當造成金融欺詐。
對普通網(wǎng)民而言,可以采取多種措施來提高個人賬戶安全系數(shù)。例如,使用專業(yè)的安全軟件;培養(yǎng)良好的上網(wǎng)習慣;及時進行系統(tǒng)升級,修復漏洞;使用高強度口令;使用數(shù)字證書或令牌等安全產(chǎn)品。
十、關于百銳云安全系統(tǒng)
百銳信息安全實驗室自成立以來一直孜孜不倦地追求技術創(chuàng)新,致力于信息安全技術的研究。百銳是中國優(yōu)秀的技術團隊,這支隊伍掌握著一流的病毒檢測技術。經(jīng)過長期設計、研發(fā)、測試及改進,百銳于2009年8月正式發(fā)布國內(nèi)第一款基于代碼動態(tài)、代碼靜態(tài)啟發(fā)分析的未知病毒檢測引擎。此后又陸續(xù)發(fā)布了啟發(fā)式反釣魚引擎、啟發(fā)式手機病毒檢測引擎等。百銳合作伙伴累計近七百萬客戶端使用百銳引擎提高其安全產(chǎn)品的惡意代碼檢測能力。
百銳對網(wǎng)絡有著深刻的理解和豐富的研發(fā)經(jīng)驗,目前已經(jīng)建成一個能夠涵蓋多種互聯(lián)網(wǎng)應用的先進的云安全系統(tǒng)。該系統(tǒng)能夠及時捕獲、分析、處理及統(tǒng)計來自互聯(lián)網(wǎng)的用戶帳號威脅事件,主要包括病毒木馬、掛馬網(wǎng)站、釣魚網(wǎng)站及手機病毒等。
1、目前,百銳的樣本捕獲主要來自以下幾個渠道:
1.1、蜜罐采集
1.2、誘餌信箱
1.3、廠商交換
1.4、監(jiān)控探頭
1.5、用戶主動上報
1.6、樣本志愿者上報
通過多種渠道的配合,既保證了對流行樣本采集的高效性,同時又保證了樣本的覆蓋率,能夠在第一時間內(nèi)捕獲病毒樣本,形成了一個龐大的監(jiān)控預警體系。
2、樣本分揀平臺
百銳擁有一套強大樣本處理平臺,每日處理數(shù)萬次不重復的病毒上報事件,通過黑白名單、智能識別和人工分揀三重體制對所有捕獲到的文件進行分揀統(tǒng)計。
