《网络安全研究报告》由会员分享,可在线阅读,更多相关《网络安全研究报告(40页珍藏版)》请在金锄头文库上搜索。
1、2012中国互联网 安全研究报告翟光群 总体情况v 由于免费安全软件的快速推广,截至2012年上 半年,国内电脑安全软件的普及率已经达到96.5%, 绝大多数的个人电脑都能得到可靠的安全保障。个 人电脑的病毒感染率大幅下降,单个病毒的大规模 感染事件已经绝迹,黑客针对个人电脑发动攻击变 得越来越困难。 v 一些新型的互联网安全问题开始逐渐凸显:钓 鱼欺诈取代网页挂马攻击,成为个人电脑安全的首 要威胁;超过7成的国内网站存在高危漏洞,政府、 高校等正规网站安全性尤其薄弱;另外,针对高科 技企业的APT攻击(高级持续性威胁)显著增多,更 具商业价值的企业机密数据成为黑客攻击目标。新增木马逐月减少v
2、 根据360云安全数据中心统计,去年1至6 月,国内日均约2835.3万台电脑遭到木马病 毒等恶意程序攻击。与此同时,木马病毒攻 击的成功率有着显著降低,一般在千分之五 以内。 v 根据360用户调查显示,电脑中毒的主要 原因是用户在木马病毒诱导性提示下关闭了 安全软件的防护功能,集中在游戏外挂和诱 惑视频播放器使用人群上,中国互联网用户 因此被分为两大群体:大部分网民几乎与木 马病毒隔离,很少遇到木马病毒攻击;另外 一部分人群则频繁冒险中毒、杀毒。钓鱼网站威胁加剧v2012年上半年,360 安全卫士共截获新 增钓鱼网站350149 家(以host计算) ,已经达到去年全 年截获新增钓鱼网 站
3、总量的75%,拦截 钓鱼网站访问量更 是高达21.7亿次, 比去年全年拦截量 还高2000万。钓鱼网站v从钓鱼网站的类型分布上来看,虚假购物仍然 以41.53%的比例蝉联钓鱼网站排名的榜首,紧 随其后的是虚假中奖和模仿登录类钓鱼网站。 排名前三的钓鱼网站占到钓鱼网站总量的 74.09%。值得一提的是,去年排名靠前的各种 博彩类钓鱼网站的排名明显下降,而模仿登录 类钓鱼网站比例却大幅上升,排名也大幅提前 。信息安全变化趋势v一、从经常杀毒到很少中毒6年前正是恶意软件、木马病毒集中爆发 的时期。不仅规规矩矩上网的电脑会频繁中毒 ,例如动辄出现倒数60秒关机的蠕虫感染,不 上网的电脑也时常被U盘病毒
4、骚扰。时至今日,免费安全软件已经能够实现对 各种盗号和入侵攻击的有效防护,除了经常使 用不良外挂、诱惑视频播放器的高危人群,普 通用户如果没有在恶意诱导下关闭安全软件, 基本不会担心电脑被木马病毒入侵。与此同时 ,经常给电脑体检、打补丁,以及对系统进行 清理优化成为网民普遍接受的电脑使用习惯。信息安全变化趋势 v二、超级病毒已经绝迹2006年之前,冲击波、熊猫烧香等蠕虫 病毒席卷全国。这种在今天看来只要打好补 丁就能轻易防范的病毒,却在当时造成了极 大的影响和危害,其主要原因就在于安全软 件的普及程度很低,大量电脑处于状态 。而随着云查杀技术的出现,使得木马病 毒的平均传播范围已经从动辄成千上
5、万,缩 小到20台左右。如熊猫烧香、机器狗、犇牛 等感染量过百万的超级木马病毒已几乎绝迹 。信息安全变化趋势v 三、重装电脑频率降低360推出之前,木马病毒、流氓插件等恶意程 序争相霸占用户电脑,劫持系统和浏览器,不仅 严重拖慢电脑速度,更是对用户帐号和隐私数据 造成极大风险,普通网民对此却束手无策,只能 每隔几个月就重装一次电脑。在免费安全高度普及的今天,安全软件不仅 可以拦截木马病毒,还提供如清理垃圾、优化加 速和修复注册表等电脑“保健”功能,电脑的健 康运行周期大大延长,根据360的用户调查统计, 用户重装系统的平均周期已经从六年前的2-3个月 ,大幅延长到如今的22个月以上现阶段网络安
6、全的主要威胁v(1)钓鱼欺诈成为网络安全首害挂马和钓鱼是恶意网站攻击用户的两大手段 。由于以往用户电脑很少打补丁,也很少有网民 购买收费杀毒产品防范0day漏洞,木马能轻易通 过浏览器自动下载到用户电脑中实施攻击,挂马 网页因此一度疯狂泛滥,人们耳熟能详的AV终结 者、熊猫烧香、机器狗、磁碟机、犇牛等顽固病 毒主要是通过挂马网页传播。不过,随着免费安全的不断普及,挂马攻击 变得越来越困难。而钓鱼网站,只要不携带恶意 代码,而只是模仿套用正规网站的模板,一般难 以被传统杀毒引擎识别。从最近两年的统计来看 ,钓鱼欺诈已经从网络犯罪的配角变成主角,成 为恶意网站攻击个人用户的主要手段。现阶段网络安全
7、的主要威胁v(2)网站拖库成为黑客主流盗号手段由于个人电脑的防护越来越严密,很多黑客 转向攻击网站,直接窃取网站数据库获取用户密 码(拖库)。与个人电脑相比,网站系统要庞大 得多,存在安全漏洞的可能性也更大。加之很多 网站程序员缺少安全编程的经验,致使高危的安 全漏洞在网站系统中普遍存在。根据360网站安 全测试平台(http:/)的统计, 超过75%的国内网站带有高危漏洞。去年下半年 多起大网站泄密事件的集中爆发,使网站安全问 题进入公众视野。2012年上半年,网站拖库问题 还在持续发酵。超七成网站存在高危漏洞vWebScan对现有用户的安全评级的分析结果 统计。从图中可以看出,能够达到安全
8、和警 告这两个相对比较可靠级别的网站,占比仅 为7%左右,而达到高危或超高危程度的网站 却超过了75%。也就是说,中国的网站环境 正处于极度不安全的发展状态。现阶段网络安全的主要威胁v (3)APT攻击日渐增多,并呈现诸多新特点APT是指高级持续性攻击,是针对特 定组织的多方位的攻击。由于针对普通 用户和操作系统的一般性攻击成本越来 越高,相应产出的黑客利益也比较低, 因此,有针对性的攻击某些价值较高的 企业甚至基础工业设施,成为黑客新的 主攻目标。火焰病毒、暴雷漏洞以及之 前的震网病毒,都是APT攻击的典型案例 。移动互联网恶意程序v2011 年移动互联网迅速发展,手机网民数量不 断增长,移
9、动互联网恶意程序数量和感染规模 也在不断提高。恶意程序已经严重威胁到用户 的切身利益和移动互联网的健康发展。工业和 信息化部于 2011年11月出台移动互联网恶意 程序监测与处置机制,进一步加强移动互联 网安全监管工作。CNCERT持续对移动互联网进 行安全监测,根据监测结果,2011 年国内移动 互联网安全事件数量呈现增长趋势。 移动互联网恶意程序v移动互联网恶意程序是指运行在包括智 能手机在内的具有移动通信功能的移动 终端上,存在窃听用户电话、窃取用户 信息、破坏用户数据、擅自使用付费业 务、发送垃圾信息、推送广告或欺诈信 息、影响移动终端运行、危害互联网网 络安全等恶意行为的计算机程序。
10、移动 互联网恶意程序的内涵比手机病毒广的 多,如手机吸费软件不属于手机病毒, 但属于移动互联网恶意程序。 APT攻击及其防御高级持续性威胁v高级持续性威胁(Advanced Persistent Threat)是指组织(特别是政府)或者小团 体使用先进的攻击手段对特定目标进行长期 持续性网络攻击的攻击形式。 vAPT全称:Advanced Persistent Threat vAPT简述: APT是指高级的持续性的渗透攻 击,是针对特定组织的多方位的攻击; APT不是一种新的攻击手法,因此也无法通 过阻止一次攻击就让问题消失。案例一、 vGoogle极光攻击:2010年的Google Auro
11、ra(极光)攻击是一个十分著名 的APT攻击。Google内部终端被未知恶 意程序渗入数月,攻击者持续监听并 最终获成功渗透进入Google的邮件服 务器,进而不断的获取特定Gmail账户 的邮件内容信息,并且造成各种系统 的数据被窃取。Google极光攻击过程v1.搜集Google员工在Facebook、Twitter等社交网 站上发布的信息; v2.利用动态DNS供应商建立托管伪造照片网站的Web 服务器,Google员工收到来自信任的人发来的网络 链接并且点击,含有shellcode的JavaScript造成 IE浏览器溢出,远程下载并运行程序; v3.通过SSL安全隧道与受害人机器建立
12、连接,持续 监听并最终获得该雇员访问Google服务器的帐号密 码等信息; v4.使用该雇员的凭证成功渗透进入Google邮件服务 器,进而不断获取特定Gmail账户的邮件内容信息 。案例二、vRSA SecurID窃取攻击:2011年3月,EMC公司下属的RSA公 司遭受入侵,公司关键技术及客户 资料被窃取。而此次APT攻击就是利 用了Adobe 的0day漏洞植入臭名昭 著的Poison Ivy远端控制工具控制 感染客户端,并利用僵尸网络的命 令控制服务器在感染客户端下载指 令进行攻击任务。 RSA SecurID窃取攻击过程v 1.攻击者给RSA的母公司EMC的4名员工发送了两组恶意邮件
13、, 附件名为“2011 Recruitment plan.xls”; v 2.在拿到SecurID信息后,攻击者开始对使用SecurID的公司 展开进一步攻击。 v 3.其中一位员工将其从垃圾邮件中取出来阅读,被当时最新 的 Adobe Flash的0day漏洞(CVE-2011-0609)命中; v 4.该员工电脑被植入木马,开始从BotNet的C v2) 攻击者也经常采用恶意邮件的方式攻击受害者, 并且这些邮件都被包装成合法的发件人。而企业和组 织现有的邮件过滤系统大部分就是基于垃圾邮件地址 库的,显然,这些合法邮件不在其列。再者,邮件附 件中隐含的恶意代码往往都是0day漏洞,邮件内容分
14、 析也难以奏效; v3) 还有一些攻击是直接通过对目标公网网站的SQL注 入方式实现的。很多企业和组织的网站在防范SQL注 入攻击方面缺乏防范;APT攻击特征 v4) 初始的网络渗透往往使用利用0day漏洞的恶意 代码。而企业和组织目前的安全防御/检测设备无 法识别这些0day漏洞攻击; v5) 在攻击者控制受害机器的过程中,往往使用 SSL链接,导致现有的大部分内容检测系统无法分 析传输的内容,同时也缺乏对于可疑连接的分析 能力; v6) 攻击者在持续不断获取受害企业和组织网络中 的重要数据的时候,一定会向外部传输数据,这 些数据往往都是压缩、加密的,没有明显的指纹 特征。这导致现有绝大部分
15、基于特征库匹配的检 测系统都失效了;APT攻击特征v7) 还有的企业部署了内网审计系统,日志分析系 统,甚至是SOC安管平台。但是这些更高级的系统 主要是从内控与合规的角度来分析事件,而没有 真正形成对外部入侵的综合分析。由于知识库的 缺乏,客户无法从多个角度综合分析安全事件, 无法从攻击行为的角度进行整合,发现攻击路径 。 v8)受害人的防范意识还需要进一步提高。攻击者 往往不是直接攻击最终目标人,而是透过攻击外 围人员层层渗透。例如先攻击HR的人,或者首轮 受害人的网络好友,再以HR受害人的身份去欺骗( 攻击)某个接近最终目标人的过渡目标,再透过过 渡目标人去攻击最终目标人(例如掌握了某些
16、机密 材料的管理员、公司高管、财务负责人等)。APT攻击特征vAPT攻击往往是通过多个步骤,多个间接目标和 多种辅助手段最终实现对特定目标的攻击,经常 结合各种社会工程学手段 vAPT攻击是一种比较专业的互联网间谍行为,攻 击者往往带有商业、军事或政治目的,而被攻击 的目标,也大多为商业企业,军事机构或各国政 府。某些APT攻击会持续数年,直到被发现时才 终止。 v综合分析以上典型的APT攻击,可以发现对内网 终端进行隐蔽性的未知恶意程序和僵尸网络感染 ,后门木马植入和0 day 漏洞利用是APT获得成 功的关键APT攻击的普遍性v任何规模的公司,只要员工可以访问网站 、使用电子邮件(尤其是HTML邮件)、传 输文件等,就有可能受到APT威胁,这些活 动可以被利用来传输APT组件,例如恶意软 件可以通过路过式下载、感染附件或文件 进行传输。即使是部署了强大的边缘保护 的企业仍然无法逃过APT攻击,例如通过内 部接入被感染的可移动驱动器(U盘、闪存 卡)、
