|
|
解析惡意網站
簡介:網絡犯罪的趨勢和演化最 近幾年,互聯網逐漸成為一個危險的領域。最初,互聯網的設計初衷只是為了滿足一小部分用戶的需求。但互聯網的增長速度大大超過其創建者的預料。目前,世界 上有大約超過15億互聯網用戶(http://www.internetworldstats.com/stats.htm)。而且由於互聯網技術越來越 成熟,用戶數量還在持續增長。 一些犯罪份子也同樣注意到了這一趨勢,並且逐漸意識到通過互聯網從事犯罪活動的這種「網絡犯罪」行為有不少優點。 首 先,網絡犯罪承擔的風險低。網絡犯罪可以超越地理以及政治疆界,而執法機關很難抓到這種從境外實施犯罪的人員。此外,進行跨國界的刑事調查和訴訟成本太 高,所以只適用於重大案件。其次,網絡犯罪實施容易,互聯網上有大量免費的關於網絡攻擊和病毒撰寫方面的文檔,所以從事網絡犯罪並不複雜,也不需要特殊的 技能。正是由於以上主要原因,導致網絡犯罪成為了一個利潤達幾十億美元的產業,並且具有自身的自給自足經濟生態系統。 信息安全企業和軟件開發商一直堅持不懈地同網絡罪犯進行鬥爭。其目標是為互聯網用戶和合法軟件提供安全保護。當然,網絡罪犯為了對抗這些措施,也會經常轉換策略,從而造成了目前的兩個顯著趨勢。 首 先,網絡罪犯會利用惡意程序針對零日漏洞進行攻擊。零日漏洞指的是還未來得及發佈修復補丁的漏洞。如果未運行專門的安全保護軟件,即使計算機系統已更新, 仍有可能通過零日漏洞被感染。由於零日漏洞具有強大的潛在威脅,所以經常被當作是一種有價值的商品在黑市上進行買賣,其價格可高達數萬美元。 其次,我們可以看到,專門用於竊取機密信息的惡意程序數量大增,並且能夠在黑市買賣。這些惡意程序竊取的信息包括信用卡卡號、銀行帳戶信息、網站密碼(例如eBay或PayPal),甚至包括《魔獸世界》這種在線遊戲的帳號密碼信息。 導致網絡犯罪猖獗的一個明顯原因是網絡罪犯通過犯罪可以獲取可觀的利潤。利潤的驅使一直會促生新的網絡犯罪技術。 除 了上述發展趨勢外,網絡犯罪還有一個明顯的趨勢,那就是利用萬維網網頁傳播惡意程序。進入2000年後的最初幾年,曾經發生過幾次由電子郵件蠕蟲如 Melissa引發的疫情,所以很多安全企業開始關注此類威脅並提供瞭解決方案,確保能夠消除電子郵件所攜帶的惡意附件產生的危害。但有時候防護有些過 當,甚至將郵件中附帶的所有可執行文件都清除了。 最近幾年,網頁卻成為了傳播惡意程序的主要基地。惡意程序被放置在這些網站上,網絡罪犯會誘騙互聯網用戶手動運行這些惡意程序,或者使用漏洞在瀏覽網頁的用戶計算機上自動運行惡意程序。 卡巴斯基實驗室一直在對這一趨勢進行監控,並且認為事態比較嚴重。 數據在過去的三年裡,卡巴斯基實驗室一直對100,000-300,000個「乾淨」網站進行監控,試圖追蹤這些網站何時被感染並成為傳播惡意程序的基地。由於越來越多的新網站註冊,我們所監控的網站數量也隨之增加。
上 表顯示了近幾年受監控網站的最高感染率。2006年時,大約每20,000個網站中會有一個被感染的惡意網站,但到2009年初,大約每150個網站中就 有一個被感染,可見其增長幅度非常大。網站的感染率總在目前這個數值波動,這有可能是已經達到飽和點,因為有可能被感染的網站都已經被感染了。但是,隨著 新漏洞的爆出或者網站攻擊新工具的出現,感染率數值還是會上下波動。 下面兩個表格給出了2008年和2009年最常見的感染網站的惡意程序。
2008年,Trojan-Clicker.JS.Agent.h木馬感染網站的數量最多,其次是Trojan-Downloader.JS.Iframe.oj木馬。
Trojan- Clicker.JS.Agent.h木馬所使用的網站注入感染技術非常典型,是2008年最常見的感染手段,在2009年的使用也非常普遍。首先,它會 在網站中加入一小段JavaScript干擾代碼,避免被檢測到。從上圖的代碼中可以看到,干擾代碼由簡單的ASCII字符組成,是轉換成hex代碼的惡 意代碼。其解密後的內容通常是一個iframe,並且指向一個含有漏洞利用程序的網站。所使用網站的IP地址經常變化,使得網絡罪犯可以經常變更惡意程序 安置點。惡意網站的首頁一般都包含針對IE、Firefox或Opera的漏洞利用程序。感染率僅次於Trojan- Clicker.JS.Agent.h的Trojan-Downloader.JS.Iframe.oj木馬的工作方式與此類似。 2009 年有兩個比較有趣的案例。其中一個為Net-Worm.JS.Aspxor.a蠕蟲。雖然這種蠕蟲早在2008年7月就被發現了,但在2009年,才開始 更為廣泛的傳播。這種蠕蟲的工作原理是通過工具查找網站的SQL注入漏洞,然後通過漏洞插入惡意iframe。 另 外一個案例是Gumblar漏洞程序。Gumblar的命名是基於一個被用來傳播此惡意程序的中國域名。感染網站後,惡意程序會在被感染的網頁中加入包含 「gumblar」字符的JavaScript代碼。所以如果網頁代碼中包含此字符,就表明網站已經被感染。
如果對幹擾代碼解密,會發現Gumblar的代碼如下:
「gumblar.cn」這個域名已經被取締,但不幸的是,幕後的網絡罪犯已經轉投其他新的域名繼續進行類似的網絡攻擊。 感染和惡意程序傳播手段目前,惡意程序感染網站主要有三種主要途徑和手段: 首 先,最普遍的是利用網站本身漏洞,例如SQL注入漏洞。該漏洞允許在網站上附加惡意代碼。一些攻擊工具,例如ASPXor就能夠很好的針對這種漏洞進行攻 擊。這些攻擊工具能夠一次掃瞄上千個IP地址,並進行惡意程序注入。網頁服務器的日誌文件中經常能看到這種攻擊留下的痕跡。 第二種常用方式是利用惡意程序感染網頁開發者的計算機,從而對創建和上載的HTML文件進行監控,並且將惡意代碼注入到這些生成的文件中。 此 外,還可以通過使用盜號木馬(例如Trojan-Ransom.Win32.Agent.ey)感染網頁開發者或其他具有網站賬戶訪問權限用戶的計算機。 通常,盜號木馬會通過HTTP協議聯繫遠程服務器,將從常見FTP工具如FileZilla或CuteFTP中盜取到的網站FTP帳號和密碼發送出去。服 務器端組件會將這些帳號密碼信息記錄於SQL數據庫中。然後,基於服務器的工具會搜尋數據庫中的數據,登錄所有竊取到的FTP帳號,獲取網站的檢測頁面文 件,並將木馬代碼加入這些文件中,重新上傳到網站。 最後一種感染方式中,網站服務的帳號木馬等信息已經被竊取。即使網站開發者或瀏覽者覺察到網站被感染,並且清楚了惡意程序,很有可能第二天又會被重新感染。
還有一種情況經常發生,即不同的網絡罪犯集團同時使用相同的漏洞或獲取到了同一個網站帳號。他們之間會為了獲取網站控制權互相鬥爭,將網站植入自己的惡意程序。下面為示例:
首 先,根據監測,該網站在2009年6月11日時沒有被感染。而到2009年7月5日,發現被Trojan-Clicker.JS.Agent.gk感染。 接下來,到2009年7月15日,一種名為Trojan-Downloader.JS.Iframe.bin的惡意程序被注入到網站。十天後,感染網站的 惡意程序又發生了變化。這種現象相對來說很普遍,很多網站都包含不止一種惡意程序,而且很多都是被不同的網絡罪犯集團放置。 一旦發現網站被感染,請採取下列措施:
按照以往經驗,即使將感染網站中的惡意程序清除,也很容易再次被感染。但是,很多情況下,這種重複感染只會遭遇一次。雖然第一次被感染後改採取的應對措施看似效果不大,但發現第二次感染後,網站管理員就應該仔細調查感染原因。 演化:轉向合法網站幾 年前,當網絡罪犯剛開始通過網站進行惡意程序傳播時,主要依賴的是所謂的不限上傳內容的網站主機服務或利用竊取到的信用卡購買的網站主機服務。很多信息安 全企業意識到這個趨勢,開始共同努力儘可能關閉了幾個主要惡意程序主機服務商(例如美國的McColohttp://www.viruslist.com /en/analysispubid=204792048和愛沙尼亞的EstDomains http://news.softpedia.com/news/ICANN-Terminates-Accreditation-of- Notorious-Malware-Hosting-Domains-Registrar-EstDomains-96713.shtml)。但是,仍 然有一些的惡意網站存在,例如中國就有一些網站明顯是惡意網站,但很難將其關閉。也許,目前惡意程序傳播技術最重要的發展趨勢是開始使用一些名聲良好的合 法域名進行傳播。 行動如上所述,在網絡罪犯和信息安全企業進行的持續鬥爭中,適應性是一個很關鍵的要素。雙方都在不斷改變各自的策略,採取新興技術,試圖遏制對方。 當 今的瀏覽器,比如Firefox 3.5、Chrome 2.0以及Internet Explorer 8.0本身都具備基於URL地址過濾的反惡意程序功能。這種設計可以保護用戶免遭包含漏洞程序(包括已知或未知漏洞)的惡意網站的危害,或者保護用戶身份 不會被使用社交工程的網絡罪犯竊取。 例 如,Firefox和Chrome瀏覽器都會使用谷歌提供的免費URL過濾服務——谷歌安全瀏覽應用程序接口 (http://code.google.com/apis/safebrowsing/)。截至到本文發稿時,谷歌安全瀏覽應用程序接口已經包含大約 300,000個已知惡意網站記錄以及超過20,000個釣魚網站記錄。 谷 歌安全瀏覽應用程序接口在進行URL地址過濾時,並不採用入侵式方式,而是將每個URL地址發送到第三方進行驗證。其工作原理同IE8的釣魚網站過濾功能 類似,都是將URL地址同已有的MD5值列表進行比對。為了增強這種驗證方式的有效性,惡意網站列表需要經常定時更新,一般推薦更新間隔為30分鐘。當 然,這種驗證方法也有一個不足,那就是惡意程序網站數量會超過MD5值列表中的條目。但是,為了保證惡意網站列表體積不至於過大(目前大小為12MB), 列表只能收錄那些用戶最常遇到的惡意網站。這意味著即使在上網時使用了採用網址過濾技術的應用程序,仍然不能避免計算機在訪問未收錄到惡意網站列表中的惡 意網站時被惡意程序感染。 無論如何,安全瀏覽技術的推廣證明瀏覽器開發商已經意識到網站正在傳播惡意程序這一趨勢,並且已經開始採取對策。事實上,內置的安全保護功能已逐漸成為瀏覽器的標準配置。 結論過 去的三年裡,大量原本乾淨的良性網站被惡意程序感染,其增長速度驚人。目前,互聯網上惡意網站的數量是三年前的一百五十多倍。知名並且訪問量大的網站是更 多潛在受感染用戶的資源儲備,對網絡罪犯來說,是一種非常有價值的利用渠道。通過這些知名網站進行惡意程序傳播的效果比使用普通渠道效果要好得多。 以下是一些針對網站管理員的安全小建議:
互聯網用戶如果不注意以下幾點安全隱患,被惡意網站攜帶的惡意代碼所感染的風險將大大增高。這些安全隱患包括使用盜版軟件、不安裝安全補丁、不運行安全解決方案以及對互聯網威脅整體缺乏認知,同時缺乏防範威脅的基本知識。 盜版軟件經常造成計算機被惡意程序感染。盜版的微軟Windows系統通常不會自動更新最新的安全補丁,這就使得系統的漏洞完全暴露,便於網絡罪犯利用漏洞進行攻擊。 此外,舊版本的Internet Explorer(仍然被廣泛使用)有很多漏洞。例如,任何惡意網站都可以利用未打補丁的Internet Explorer 6.0漏洞進行攻擊。正由於此,所以一定要避免使用盜版軟件,尤其盜版的Windows。 另外一種風險是不安裝安全解決方案。即使系統本身已經是最新的,但惡意程序仍有可能利用第三方軟件的零日漏洞感染系統。通常,安全解決方案的更新要比軟件自身更新更為迅速和及時,而且即使處於漏洞爆發期,安全解決方案也能夠提供多層次的安全防護。 雖 然為計算機系統及時更新補丁對保護計算機安全很重要,但人為因素對於保護計算機安全所發揮的效果也不容忽視。例如,用戶可能試圖從網上下載和觀看一段「搞 笑視頻」,但下載的卻是惡意程序。一些網站如果未能通過漏洞感染用戶計算機,甚至會故意使用這種伎倆誘騙用戶進行下載,從而感染其計算機系統。所以,互聯 網用戶應該對網上存在的安全隱患加強認識,並且要特別警惕Web2.0 社交網絡相關的威脅,因為目前網絡罪犯針對此類網站的攻擊數量一直呈上升趨勢。 下面是一些如何保護自己免遭網絡攻擊的建議:
最後要指出的是,預防遠比治療更為有效,所以建議採取適當的措施保護自己的系統更為科學。
2009年11月20日
|
|
All rights reserved. Industry-leading Antivirus Software