1月25日，Web安全網(wǎng)關廠商安啟華公司發(fā)布《2009年第四季度威脅報告》。

Malware威脅概況

本季度Anchiva安全實驗室共截獲各類Malware約200萬，比上季度大幅上升。木馬所占的比例與上季度相比略為上升，仍占一半以上。其余依次為蠕蟲、后門程序、間諜軟件、風險軟件和廣告軟件，傳統(tǒng)病毒和其它類別所占比例與上季度沒有變化。

2009年第四季度Malware類別比例圖

Web Malware Top20

本季度的Web威脅中，網(wǎng)頁腳本類占絕大多數(shù)，其出現(xiàn)頻率最高的前20個Malware如下圖所示。相較于第三季度，有些Malware依然很活躍。顯示出當前流行的攻擊方式依然是通過網(wǎng)頁進行漏洞利用。這些Malware多數(shù)被掛馬集團所利用，下載Spyware、Banker等木馬，竊取敏感信息或進行系統(tǒng)破壞。攔截這些惡意腳本，可以有效的破壞其“掛馬－下載惡意軟件－造成破壞”這一工作鏈，從而減少損失。

Web Malware Top20

Email Malware Top20

根據(jù)Anchiva Malware監(jiān)測網(wǎng)的監(jiān)測結果，本季度的郵件威脅中，出現(xiàn)頻率最高的前20種Malware如下圖所示。一份美國聯(lián)邦調(diào)查局發(fā)出的警告稱，詐騙分子利用假冒的殺毒軟件在09年獲得了超過1.5億美元的非法收入。從下圖我們的統(tǒng)計也可看出，假冒殺毒軟件的傳播活動在第四季度的確非常頻繁。它們通過垃圾郵件發(fā)送到受害者機器上，并誘使受害者打開、執(zhí)行附件。隨后彈出一個假的警告，報告電腦中存在著惡意軟件，并強制要求受害者注冊，才能清除那些所謂的“惡意軟件”。

Email Malware Top20

惡意網(wǎng)站Top20

根據(jù)Anchiva Malware監(jiān)測網(wǎng)的監(jiān)測結果，發(fā)布惡意軟件數(shù)量最多的前20個惡意網(wǎng)站如下圖所示。統(tǒng)計顯示前20位的惡意網(wǎng)站域名絕大多數(shù)都是“.cn”結尾。由于初期注冊.cn域名在國內(nèi)比較容易，審核不嚴，后續(xù)監(jiān)管不力，因而吸引黑客注冊了大量的.cn域名，專用于惡意軟件發(fā)布、升級。隨著09年12月后，中國互聯(lián)網(wǎng)信息中心（cnnic）開始加強域名注冊信息審核，個人注冊.cn域名將越發(fā)困難。可以預見該類惡意網(wǎng)站會逐漸減少。

惡意網(wǎng)站Top20

大型社交網(wǎng)站Rockyou被入侵，3200萬用戶信息被泄露

09年12月份，國內(nèi)外媒體爭相報道了轟動一時的rockyou.com泄密事件。黑客通過SQL注入漏洞攻擊rockyou.com，竊取該網(wǎng)站3200多萬用戶的密碼、個人資料等敏感信息，并把部分用戶資料公布在網(wǎng)絡當中。rockyou.com的用戶在注冊帳戶時，僅僅要求其密碼多于五位字符，并不要求字母、數(shù)字及符號混合的強密碼。它甚至不準用戶密碼中包含符號。rockyou.com會提示用戶輸入第三方網(wǎng)站的用戶名及密碼，比如facebook、myspace等社交網(wǎng)站。而糟糕的是，用戶們的所有這些密碼、個人資料等敏感信息在數(shù)據(jù)庫中并沒有被加密，而是完全可見的。在這一系列的錯誤之下，最終釀出被黑客入侵，用戶信息被竊取的惡果。

被公布的rockyou.com用戶密碼統(tǒng)計Top20

Adobe零日漏洞

第四季度以來，用于零日攻擊的Adobe漏洞如下：

· CVE-2009-3459

· CVE-2009-4324

以上兩個漏洞都被掛馬集團、定向攻擊等所利用，通過郵件附件或者掛馬者感染的網(wǎng)頁來傳播。在對受害者攻擊過程中，它們一般釋放或者下載其它惡意軟件，來達到遠程控制、竊取信息等目的。這類攻擊一般比較隱蔽，受害者可能僅僅不小心點擊了一個鏈接、打開了一個文檔，而攻擊者在釋放、下載惡意軟件的同時，一般會釋放出一個其它安全的文檔，以此麻痹受害者。

通過統(tǒng)計Adobe相關的09年CVE數(shù)目，我們發(fā)現(xiàn)總共有100個abode漏洞被上報。而隨著windows 7的發(fā)布，在其底層安全框架越發(fā)完善的情況下，windows平臺上可利用的漏洞將越來越難以發(fā)掘。不難推測在不久的將來，Adobe Reader等第三方的軟件將越來越受到黑客的青睞，更多的pdf、flash等漏洞將被應用于攻擊中。

下圖是Anchiva某客戶第四季度中截獲的利用PDF漏洞進行攻擊的部分實例。

利用Adobe PDF漏洞的攻擊攔截記錄

微軟IIS畸形文件擴展名繞過安全限制漏洞

微軟IIS服務程序在解析文件擴展名時存在漏洞，對形如“malicious.asp;.jpg”的文件，將會以ASP文件方式在服務器上執(zhí)行。黑客在攻擊web服務器時，就可以利用該漏洞，上傳webshell，從而控制該服務器，造成破壞。微軟認為這只是服務器權限設置缺陷，并不打算釋放相應的補丁。我們建議不僅要按時打系統(tǒng)補丁，同時限制上傳文件目錄的可執(zhí)行權限，以此來避免該類漏洞的利用。

畸形文件擴展名攻擊實例

內(nèi)網(wǎng)肆虐橫行的Conficker

Conficker蠕蟲傳播途徑很多，它可以通過U盤、RPC漏洞、p2p共享等方式在內(nèi)網(wǎng)橫行。一旦某臺機器中毒，它會通過掃描的方式，在內(nèi)網(wǎng)尋找有RPC漏洞、弱口令的windows機器。如果該機器還有外網(wǎng)IP，它同時會掃描設定的外網(wǎng)IP列表，并伺機向外傳播。因此發(fā)現(xiàn)某臺機器中了該毒，必須馬上斷開網(wǎng)絡連接，使用殺毒軟件徹底查殺，再安裝好系統(tǒng)補丁，才能徹底清除干凈該蠕蟲。

某客戶內(nèi)網(wǎng)中Conficker的部分攔截記錄

釣魚網(wǎng)站

Twitter、facebook等社交網(wǎng)絡服務在2009年第四季度取得了更大的發(fā)展，用戶數(shù)節(jié)節(jié)高升。人們通過它們交友、學習、聊天，甚至進行商業(yè)活動。而隨著新浪微博客、twitter、facebook等社交網(wǎng)絡服務的逐漸流行，針對該類網(wǎng)站的釣魚網(wǎng)站日漸增多。延續(xù)上一季度的威脅，淘寶、QQ等國內(nèi)網(wǎng)站依然是釣魚者針對國內(nèi)用戶主要的攻擊對象。

拍拍網(wǎng)釣魚網(wǎng)站

某客戶中攔截的社交釣魚網(wǎng)站部分實例