互聯網應用打開潘多拉的盒子 ?
Web 和基于 Web 的普遍應用也同時為公司接入打開一道新的后門。它的連通性為企業與行業聯盟共享信息奠定了基礎,卻也為惡意或者無意的未經授權的訪問以及向未獲授權的人泄露機密信息提供了契機。
與此同時,員工通過訪問或下載不明來源的文件,也可能會暴露企業聯網的計算機,使之快速傳播病毒或其他惡意或有害代碼。而且,與過去旨在入侵單個計算機的病毒不同,最新一代的病毒充分利用了聯網計算機和 萬維網的快速傳播特點。Melissa、Explore.zip 和 LoveLetter 等病毒已經清楚地向我們證明這些威脅可以在幾分鐘之內傳遍整個網絡。
因此,最新全球安全的威脅也隨之發生著重大的變化。Web以及通過Web相關的插件傳播和注入攻擊,已經成為2009年最為主要的黑客攻擊和入侵手段。首先,看幾組來自賽門鐵克2010年4月發布的2009年全球威脅報告的數據。
圖1統計了2009年全球受到攻擊次數最多的TOP5漏洞,其中針對Web瀏覽器和其插件相關的攻擊就占了4項(BID:35759, 33627, 35558, 34169),而2008年的統計中更多是針對操作系統和軟件的漏洞。
圖1 2009年全球受攻擊次數最多的漏洞TOP5
源自:2009年Symantec全球威脅報告
另據微軟和賽門鐵克發布的報告,被披露的軟件漏洞數量正在逐步減少,這迫使網絡罪犯更多地對第三方瀏覽器組件采取有針對性的攻擊。如下這組數據更清晰地說明了這個問題:2009年Firefox被利用的漏洞數目多達169個,比2008年增長近一倍;Safari則為94個,比2008年增長一倍以上。由于Chrome發布時間為2008年9月,因此2009年的數據與2008年的數據并沒有太大的比較意義,但仍可以看出其增長態勢。(圖2)
圖2 2009年Web瀏覽器漏洞
源自:2009年Symantec全球威脅報告
隨著Web應用的發展,Web的可交互性越來越強,并且可交互性已成為新一代Web應用——Web2.0的一個顯著特點,即廣大網民不再僅僅是信息的接受者,同時還是信息的發布者。社交網絡就是Web2.0中一個非常成功的例子。越來越多的用戶加入了社交網絡當中,并享受著其帶來的巨大的信息便捷,然而非法信息發布者利用社交網絡散布的如釣魚網站、惡意網站等非法信息同樣得到了極快速的擴散。據賽門鐵克2009年全球安全報告顯示,2009年用戶誤入惡意網站超過51M次,利用社會工程學進行攻擊的次數超過30.5M次,零日攻擊攻擊比2008年增長25%,2009年Symantec規則條目數比2008年增加近50%(如圖3所示)。種種跡象表明,隨著Web2.0的發展,網絡攻擊將更容易被擴散。
圖2 2009年Symantec引擎規則個數
源自:2009年Symantec全球威脅報告
Symantec于2008年在互聯網威脅報告中公布了面向Web的七大主流攻擊方式,我們發現這種方式正隨著互聯網的發展而被廣泛傳播。越來越多的企業面臨的主要威脅不是來自病毒,不是來自郵件,不是來自DDoS攻擊,而是互聯網。互聯網威脅的隱蔽性、復雜性讓人防不勝防。
圖3 2008年互聯網面向Web的七大主流攻擊方式
下面就介紹兩種最主流的Web威脅,它們已成為我們桌面系統感染的主要來源。
偷渡式下載暗渡陳倉
“偷渡式下載”是當前最陰險的惡意件感染方式之一。用戶只要瀏覽網站,可執行內容即可在用戶毫不知情或未經用戶許可的情況下,自動下載到用戶的計算機上。該過程無需用戶互動。
下圖展示了成功發生偷渡式下載時的典型事件序列,我們每天都看到很多類似的例子。
圖4 偷渡式下載工作模式
1) 攻擊者入侵合法的“好”網站
攻擊始于發現一些“好”的網站,這些網站往往用戶規模龐大。攻擊者通過一些攻擊手段能夠將隱藏式IFRAmE 插入到合法網站(常見技術,如 SQL 注入攻擊)的一個或多個頁面。該鏈接指向另一個惡意網站,那個網站將會向毫無戒備的用戶提供實際惡意代碼。
2) 用戶訪問“好”網站
雖然用戶通過Windows Update不斷更新計算機(以確保其計算機上的基本操作系統和瀏覽器已安裝所有最新軟件補丁程序),但是當用戶訪問被入侵的“好”網站時,由于其系統中運行的多媒體插件和文檔查看器(用于播放音樂、查看文檔)已過時,且具有可被遠程入侵的漏洞,而用戶并不知情,因此在不知不覺中便中了“好”網站的招。
3)用戶在無提示的情況下被重定向至“壞”網站
來自“好”站點頁面的隱藏式 IFRAmE 導致用戶的瀏覽器在無提示的情況下,會從“壞”網站提取內容。由于它執行了該操作,“壞”站點就能確定用戶的計算機上在運行什么樣的操作系統、網絡瀏覽器和易受攻擊的插件。壞站點則根據該信息確定用戶在運行的附加于瀏覽器的易受攻擊的多媒體插件。
4)向用戶的計算機下載惡意代碼
壞網站向受害者的計算機發送包含攻擊的特制多媒體數據;一旦多媒體播放器播放了該內容,攻擊者就會控制該計算機。
5)在用戶的計算機上安裝惡意代碼
利用用戶的多媒體播放器中的漏洞,在用戶的計算機上安裝一個或多個惡意件文件。
6)惡意軟件利用用戶的系統
現在惡意代碼會盜竊個人信息(如網上銀行信息、電子郵件、游戲密碼),并將它發送給攻擊者。
社會工程學攻擊李代桃僵
目前惡意軟件創作者為了在無需用戶操作的情況下闖入用戶計算機而使用一些技術,正如偷渡式下載。這些技術利用了用戶未打補丁的計算機上的漏洞。惡意件創作者的工具箱里還有甚至可以攻擊謹慎型用戶及其計算機的其他工具。此類攻擊側重于社會工程技術,下面就介紹一下社會工程學攻擊。
“社會工程”其實是“騙局”的現代叫法。它描述了這樣一種狀況:受害者被騙去做他們本不會做的事情。在本部分我們將介紹一些較常見的社會工程技術,它們會讓被騙用戶會在自己計算機上下載和安裝惡意件。
圖5社會工程學攻擊工作模式
1)假冒編碼解碼器
網絡上存在數十種不同的多媒體文件格式,很多格式需要使用特殊軟件方可查看或聆聽。同樣,網絡用戶知道,有時他們需要下載和安裝新的媒體播放器或瀏覽器插件模塊,方可查看自己所訪問站點上的內容。現在,如果您在訪問新站點時被提示,您需要下載最新版本的新播放器或插件,您并不會感到有什么不同尋常。常用術語“編碼解碼器”指的是一種軟件,它能解碼二進制文件,然后重建原始版本的音頻或視頻。
惡意件創作者正是利用了人們這種熟視無睹的心理。他們建立起承載著富有誘惑力的內容(如成人內容或音頻、視頻文件存儲庫)的網站,用戶一旦訪問該內容,就會收到這樣的提示:需要安裝新的編碼解碼器,方可訪問本站點的內容。可執行內容其實不是編碼解碼器,而是惡意件,用戶只要授權,就會在其計算機上下載和安裝該惡意件。
圖6 假冒的編解碼插件
該屏幕截圖展示了一種假冒編碼解碼器,它表面上說是安裝“視頻”編碼解碼器,其實是安裝惡意件。這樣的例子還有很多:惡意件創作者通過使用來自可信視頻和多媒體播放器的徽標和圖標,獲得了更高程度的合法性。
被安裝的“視頻編碼解碼器”其實是感染用戶計算機的特洛伊木馬。Trojan.zlob 和 Trojan.Vundo 是我們在 2008 年發現的極為常見的特洛伊木馬。受感染的博客評語、垃圾即時消息和惡意文字廣告是將用戶送至此類假冒編碼解碼器網站的主要推動力量。
2)假冒的P2P文件下載
P2P文件共享系統已成為合法和非法數字內容的常見共享方式。它們為惡意件提供了另一個通過網絡進入用戶計算機的途徑。惡意件創作者將其惡意內容綁定到流行應用程序中。為了讓用戶感興趣,他們會以極富創意的方式為文件命名,例如使用名人的名字或流行品牌的名稱。
然后他們將文件上載到流行的文件共享站點上,在那里等待毫無戒備的用戶。當用戶搜索自己選擇的應用程序或電影時,網站會向他們提供已被惡意件入侵的版本。
圖7 P2P網站的假冒下載列表
研究中還發現了以開放形式提供的、介紹此類偽裝惡意件應用程序創建過程的在線教程資料,其中包括如何向 P2P 站點發布此類應用程序的操作指南,應使用哪些站點,如何使用代理服務器來提供文件和如何防止因誤用而被關閉的建議等等。
面向Web應用及瀏覽器的攻擊,已經成為最普遍和常見的入侵行為。企業員工在享受互聯網及Web應用帶來的便捷的同時,Web也已成為企業的安全風險的入口。如何有效解決面向客戶端的入侵和攻擊,將是企業IT管理員和CIO在未來2-3年持續關注的新趨勢和焦點問題。華為賽門鐵克在WEB安全領域有著持續不斷的跟蹤分析,華賽的全系列UTM+產品具有深度的安全防護能力,能有效的抵御最新的面向Web和瀏覽器的攻擊,有效的保護企業辦公安全。華為賽門鐵克時刻關注內容安全領域的最新威脅,通過全球的網絡威脅監控系統獲取最新的威脅發展趨勢,通過安全易用的UTM+系列產品,為客戶打造最安全的網絡環境。