Fortinet公司的FortiGuard威脅研究與響應實驗室(FortiGuard Labs)發布了最新的安全威脅報告包括2013年上半年的安全威脅趨勢并建議對已發現的漏洞，及時的補丁是避免攻擊的必需。

移動設備的灰色軟件在急增

FortiGuard Labs觀察到過去超過6個月的時間手機灰色軟件增加了30%。現在，每天看到超過1300個新的樣本，且當前正在跟蹤超過300個Android灰色軟件家族以及250000多個Android惡意軟件采樣。以下圖1所示是2013年1月到7月之間的手機灰色軟件增加趨勢。

圖1

自攜帶設備與自找麻煩

“自攜帶設備(BYOD)“對于公司來講好處多多，其中最主要的是對雇員效率與生產率的提高。然而，寬松的BYOD策略的缺點是移動設備惡意軟件感染用戶設備，緊接著是整個業務網絡的威脅。

“三年前，移動設備的惡意軟件還沒有受到用戶或企業的太多關注。當時針對智能手機和平板電腦的大部分惡意軟件只不過是annoyware (一般性困擾軟件)，例如用于SMS詐騙或替換用戶圖標的Cabir病毒或詐騙軟件。”Axelle Apvrille，FortiGuard Labs資深移動設備反病毒研究員談到。 “隨著由于移動設備激增，網絡罪犯也希望利用著逐漸龐大的用戶基數。移動設備的惡意軟件的泛濫不會很快減弱。”

從Symbian系統開始

2009年，所存在的大多數移動設備灰色軟件的目標是Symbian OS;iOS與Android在市場上相對較新。此外，大量的惡意軟件編碼程序員在東歐和中國，Symbian在這些地方有大量的用戶基數群。圖2顯示了2009年移動設備灰色軟件傳播作為活躍的國家。

圖2

圖3顯示了2009年灰色軟件攻擊最頻繁的目標操作系統信息

圖 3

2013年 移動設備威脅格局的改變

在2013年，移動設備威脅格局發生了巨大的變化。全球大規模移動制造商采用谷歌的Android操作系統帶來了市場中智能手機的普及。 Android設備遍地開花，價格上從便宜到昂貴均有，加上各種應用極大的擴展了移動設備的功能，網絡罪犯與其他不法的網絡黑手都伺機而動利用這個平臺。

勒索軟件出現在移動設備

2012年FortiGuard Labs預測勒索錢財的軟件將會在走向移動終端設備。現在它們來了。“勒索軟件可謂在金錢財物方面網絡犯罪非常昭著，他們已經把注意力轉向了移動設備這并不奇怪。”FortiGuard Labs安全戰略專家 Richard Henderson說道。 “這些軟件披著防護軟件的外衣進入Android系統，如同假冒防病毒軟件浸入PC的手法一般-打著利他主義的大旗下是其真實目的待爆發。這種惡意軟件會鎖定受害人的手機直至所要求的付款執行后才會解鎖設備。一旦手機被鎖定的，受害人可以支付贖金或如果手機中的照片等資料均有完整備份，那么可以棄手機于不顧，重新刷機。”

對舊有漏洞的新攻擊

雖然最近對Ruby on Rails，Adobe Acrobat與Apache的補丁已經出了，FortiGuard Labs發現仍然有一些攻擊者利用這些舊有未打補丁的漏洞。

Ruby on Rails

今年一月份的時候，發布了Ruby on Rails架構中的重要漏洞，遠程攻擊者可以利用這個漏洞對web服務器執行代碼。

Ruby on Rails(ROR)是一個Web應用框架的Ruby編程語言。簡單地說，可以快速簡單美觀的編輯制作 Web2.0網站。相當多的網站在使用 RoR框架。Metasploit的設計可用于漏洞的掃描，查找web服務器并破解就成了小事一樁了。

“破解需要XML處理器還原序列號程序中的缺陷，由此才能在運行中創建一個Ruby對象”，“RoR的補丁就是修復這個缺陷的，但是從補丁發布后已經四個月了，攻擊者還在搜索未打補丁的Web 服務器從而實現嵌入的代碼感染”，Henderson說道。

Java遠程代碼執行

今年一月份，發現一個零日攻擊可以繞過Java的沙盒并運行任意的Java代碼。Java是網絡無所不在的一種技術應用，大多數計算機設備都安全并啟動了一些形式的Java。漏洞允許一個惡意小程序運行于任何的Java程序，繞過了Java的沙盒并可允許多受感染計算機的完全訪問。

這樣的攻擊被大范圍的發現，且破解方式被很快集成到許多流行的犯罪讓軟件的攻擊包中，例如BlackHole, Redkit與Nuclear Pack，通過購買這樣的攻擊包就成在計算機上安裝灰色軟件。Metasploit也可以用于漏洞創建，更容易通過一個簡單的點擊而發現被感染者。

“該漏洞涉及一個JMX(Java Management Extensions)組件中的缺陷，通過它可以允許惡意的Applet提升其權限并允許任何Java代碼。”Oracle快速的發布了補丁，但是這樣的漏洞已經被列入到網絡犯罪軟件包中。新的受害者還是源源不斷被發現，因運行了未打補丁的Java。”Herderson說到。

Acrobat/Acrobat Reader零日攻擊正在泛濫

二月份的時候，一個偽裝為來自土耳其的旅行簽證的PDF文件被發現到處流行，利用了Adobe Reader未被發現的漏洞。該漏洞存在于所有最近的Adobe Reader (9.5.X, 10.1.X, 與11.0.X) 版本，以及大多數的Microsoft Windows，包括64位Windows7和Mac OS X系統版本。該PDF漏洞被網絡犯罪所利用以在其鎖定的目標計算機系統中安裝灰色軟件。Adobe在2月20日發布了補丁，但是網絡罪犯仍然利用未打補丁的版本而發動魚叉式釣魚攻擊。

CDorked 攻擊了Apache

四月末的時候，對Apache Web服務器的一個新的攻擊被發現。Dubbed CDorked，一種灰色軟件可以兼容Web服務器并將訪問服務器的用戶重新定向訪問到其他服務器，從而使用BlackHole漏洞工具實現灰色軟件的鏈入。該攻擊可能將Lighttpd 與 Nginx Web 服務器平臺作為目標。

CDorked顯示出了與2012年的 DarkLeech 對Apache服務器攻擊的諸多相似，但是它比顯DarkLeech更隱蔽與狡猾的地方在于：CDorked沒有加載額外的惡意模塊到被感染的服務器，而是惡意修改現有的httpd。

CDorked很有意思，它沒有Web服務器的硬盤驅動器寫入任何的信息：所有的信息都被保存在內存中且通過攻擊者對所攻擊的服務器發送模糊GET請求來訪問。這些GET請求都不會日志記錄。CDorked在其操作方式上顯示出了一些手法。

Herderson說到“它有一個內置的限額系統，換句話說，CDorked并沒有試圖將每個服務器訪問者重新定向到BlackHole網站。它還對試圖訪問受感染web服務器的管理頁面的用戶進行了隱藏，防止該用戶可能注意到被重新定向到了一個惡意網站。CDorked這樣的做法并不是獨一無二的。其他惡意的灰色軟件也具有嵌入的防止灰色軟件分析師或其他白帽黑客查看的做法”。