上半中国大陆地区网络安全报告.ppt

上传人：laozhun

文档编号：2402753

上传时间：2023-02-17

格式：PPT

页数：19

大小：2.13MB

《上半中国大陆地区网络安全报告.ppt》由会员分享，可在线阅读，更多相关《上半中国大陆地区网络安全报告.ppt（19页珍藏版）》请在三一办公上搜索。

1、,2010 年上半年中国大陆地,区网络安全报告,安天实验室,2010 年 7 月 5 日,摘要,据安天实验室网络安全中心数据统计显示，2010 年上半年共拦截恶意网站 4,613,000个，相比 2009 年同期有较大提升；网马服务器主要集中在中国的广东、江苏等地；恶意域名方面，利用最多的当属“.org”；通过访问挂马网站下载的病毒文件，主要以网络游戏盗号类木马为主。,挂马网站是传播木马的主要途径，在黑色产业链经济利益的驱动下，为提高挂马命中率，黑客不断挖掘新的漏洞，例如：2010 年上半年出现的比较流行的网马漏洞有“极光”漏洞（MS10-002）、MS10-018 漏洞（CVE-2010-0

2、806）、FLASH 漏洞（CVE-2010-1297）等，已经广泛应用于挂马中。,每一次热点事件爆发时，黑客便趁机利用，有针对性的进行挂马，以增加网马的受众面，典型的如高考期间，全国各大院校纷纷被黑客挂马。为了加快网马的传播速度，黑客盯住了那些高流量的网站，如猫扑、58 同城等大型网站均有挂马事件的发生。,杀毒软件在与网马不断地斗争中逐渐成熟，黑客也从未停歇前进的脚步，不断采取新的,防检测手段，用来防止杀毒软件对网马的检测。,第 1 章,1.1,1.2,1.3,1.4,1.5,1.6,1.7,1.8,1.9,第 2 章,2.1,2.2,2.3,第 3 章,3.1,3.2,第 4 章,第 5

3、章,目录,2010 年上半年挂马数据统计.2,挂马网站统计.2恶意网站的地域分布.2恶意网站统计.3域名利用情况.4网马漏洞利用情况.4利用网马传播的木马.5挂马网站分类对比.62010 年上半年大站挂马.62010 年上半年高校挂马.7,2010 年上半年出现的网马及事件追踪.8,MS10-002 漏洞.8MS10-018 漏洞.8A DOBE F LASH P LAYER、A DOBE R EADER、A CROBAT 漏洞.9,网马反检测手段.10,反侦察.10网马中含有“木马”解密代码.13,搜索引擎已成为网马传播的主要途径.15,2010 年下半年恶意网站趋势预测.17,2,2,文档

4、名称文档版本-日期,2010 年上半年中国大陆地区网络安全报告2010/07/05,第1章 2010 年上半年挂马数据统计1.1 挂马网站统计2010 年上半年共拦截恶意网站 4,613,000 个，以 4 月拦截最多 784,000 个。因为挂马网站访问量的大小会直接导致中木马机率的高低，所以选择流量大的网站挂马已成为新的趋势。在统计中可以看出，月份挂马数量增长明显，在 4 月高峰期后，渐渐表现出回落趋势。图 1 2010 年上半年共拦截恶意网站1.2 恶意网站的地域分布2010 年上半年，纵观中国大陆地区恶意网站的地域分布，经统计大部分来自于广东省，占总比例的 11%；其次是江苏、湖南等地

5、，也占了不少份额；北京，由于特殊的地位，紧随其后，占了总比例的 6%；其他省、直辖市占了总比例的 21%。电子邮件|安天网站|http:/,1,2,3,4,5,6,8,3,文档名称文档版本-日期,2010 年上半年中国大陆地区网络安全报告2010/07/05,图 2 恶意网站的地域分布1.3 恶意网站统计2010 年上半年，对截获的恶意网站统计来看，顶级域名以“.org”为主。在统计恶意域名 Top10 时，发现 40%的恶意网站集中在我国的广东地区。,排名7910,恶意域名ferrari10.7766.orgada.bij.plaa44.qq66.inrezervzv.ruaan.osa.p

6、l,表格 1 恶意网站统计恶意域名有着时效性，挂马者会经常更换恶意域名，为了防止安全厂商将其收录为黑名单后，以减小网马的传播范围；或是有关机关将其封杀，以阻断它的传播。电子邮件|安天网站|http:/,4,“,文档名称文档版本-日期,2010 年上半年中国大陆地区网络安全报告2010/07/05,1.4 域名利用情况根据 2010 年上半年来对挂马网站域名类型统计来看，“.org”域名被黑客利用最多，居其首位，“.cn”其次。恶意网站的存活时间是有限的，黑客为了降低成本，会有选择性的选择价格低廉的域名。图 3 恶意网域名类型对比1.5 网马漏洞利用情况纵观 2010 年上半年网马漏洞利用方面，

7、与 2009 年相比有较大变化，由集成网马转向了利用单一漏洞挂马，为了增加挂马的成功率，老漏洞很少出现在挂马利用上，而且更新迭代较快。极光”漏洞（MS10-002）的出现，受到挂马者的青睐，不过也只是风靡一时，当 MS10-018（CVE-2010-0806）出现时，又使挂马者的目光转向了它，也是当前挂马者主要利用的漏洞。电子邮件|安天网站|http:/,1,2,3,4,5,6,7,8,9,10,5,文档名称文档版本-日期,2010 年上半年中国大陆地区网络安全报告2010/07/05,图 4 网马利用漏洞对比图1.6 利用网马传播的木马木马传播的途径有很多，可以利用 U 盘，电子邮件、通讯软

8、件等途径进行传播，然而利用最多而且最有效的就是利用挂马网站进行传播；经统计，2010 年上半年通过挂马网站传播的木马，主要以网游盗号类木马居多，其次是木马下载器、后门类病毒程序，可见挂马者目的性很强，纯粹为了金钱利益。,排名,病毒名,Trojan/Win32.OnLineGames.uszgGameThiefTrojan/Win32.OnLineGames.bkzlGameThiefTrojan/Win32.OnLineGames.bkxtGameThiefTrojan/Win32.OnLineGames.bnkbGameThiefTrojan/Win32.WOW.ipfGameThiefTr

9、ojan/Win32.OnLineGames.bnjyGameThiefTrojan/Win32.Geral.hwxDownloaderTrojan/Win32.QQPass.ufzStealerTrojan/Win32.VB.efcClickerBackdoor/Win32.Agent.tnr表格 2 木马排名电子邮件|安天网站|http:/,6,文档名称文档版本-日期,2010 年上半年中国大陆地区网络安全报告2010/07/05,1.7 挂马网站分类对比挂马在不同类的网站占比也是不同的，在 2010 年上半年被挂马网站分类对比图中列出了各个不同类别网站的占比。其中以娱乐网站占比最多为 2

10、5%，游戏网站占比 17%排在第二位。这两类网站人们关注范围大，点击次数多，直接促使网马的占比提升。图 5 挂马网站分类对比1.8 2010 年上半年大站挂马下面是 2010 年上半年最具有影响力的挂马网站，知名网站的流量大，正是挂马者最看重的原因。一旦对知名网站挂马成功，那么木马的传播量与传播速度则会相当惊人。以下是上半年大站挂马排名 TOP10。,发现时间2010-01-202010-02-082010-03-222010-03-312010-04-192010-04-212010-05-18,被挂马网站博客大巴北方新闻网互联星空互联网实验室手机中国IT168中国电视体育联,链接http:

11、/,播平台电子邮件|安天网站|http:/,7,文档名称文档版本-日期,2010 年上半年中国大陆地区网络安全报告2010/07/05,发现时间2010-05-202010-05-312010-06-29,被挂马网站58 同城猫扑扬子晚报,链接http:/,表格 3 被挂马网站发现时间1.9 2010 年上半年高校挂马芸芸学子在准备着每年一次高考的同时，也会光顾各大高校网站了解更多的信息从而选择报考，经统计，每年的高考前后也是一年中高校挂马最多的时候，下面是上半年高校挂马排名 TOP10。,发现时间2010-01-292010-02-252010-03-092010-04-292010-04-

12、292010-04-292010-05-282010-06-232010-06-302010-06-30,被挂马网站北京工业大学山西师范大学福州大学北京外国语大学清华大学复旦大学扬州大学武汉大学北京师范大学中国人民大学,链接http:/,表格 4 被挂马网站发现时间电子邮件|安天网站|http:/,8,，,，,文档名称文档版本-日期,2010 年上半年中国大陆地区网络安全报告2010/07/05,第2章 2010 年上半年出现的网马及事件追踪2.1 MS10-002 漏洞2010 年 1 月 14 日，微软官方发布安全通报 979352（CVE-2010-0249），代号为“Aurora”此漏

13、洞涉及到 IE6、IE7、IE8，21 日微软在安全公告上发布 MS10-002，并为此漏洞提供了升级补丁程序；网马溢出代码曝光之后，MS10-002 漏洞被挂马者广泛应用于挂马中。典型案例：2010 年 1 月 20 日，搜捕论坛(http:/)被挂马，黑客利用的便是 MS10-002 漏洞。图 6 搜捕论坛被挂马2.2 MS10-018 漏洞2010 年 3 月 9 日，微软官方发布安全通报 981374（CVE-2010-0806）此漏洞涉及到 IE6、IE7、IE8，30 日微软在安全公告上发布 MS10-002，并为此漏洞提供了升级补丁程序；网马溢出代码曝光之后，MS10-018 漏

14、洞被挂马者广泛应用于挂马中，也基本取代了 MS10-002 的在网马中地位。电子邮件|安天网站|http:/,9,文档名称文档版本-日期,2010 年上半年中国大陆地区网络安全报告2010/07/05,典型案例：2010 年 3 月 24 日，沈阳公安交警信息网(http:/MS10-018 漏洞。图 7 沈阳公安交警信息网被挂马2.3 Adobe Flash Player、Adobe Reader、Acrobat 漏洞2010 年 6 月 4 日，Adobe 公司的 Adobe Flash Player、Adobe Reader、Acrobat 爆出0day 漏洞，CVE 编号为 CVE-2

15、010-1297，Adobe 已经确定 Adobe Flash Player 10.0.45.2或更早的版本存在漏洞，安装 Adobe Reader and Acrobat 9.x 版本的 Windows,Macintosh和 UNIX 操作系统中的 authplay.dll 组件存在问题。此漏洞可能引起崩溃并且允许远攻击攻击者控制受影响的系统。典型案例：2010 年 6 月 10 日，长安大学（http:/Adobe Flash Player 漏洞（CVE-2010-1297）。电子邮件|安天网站|http:/,10,文档名称文档版本-日期,2010 年上半年中国大陆地区网络安全报告2010

16、/07/05,图 8 长安大学被挂马第3章网马反检测手段杀毒软件在与网马不断较量中逐渐成熟，挂马者也从未停歇前进的步伐，他们不断挖掘新的漏洞，使用新的反检测手段，以逃避杀软的查杀。网马反检测除了普遍的加密、变形、混淆技术采用了挂马者认为更有效的手段来实践于挂马。本节从以下 3 个方面介绍下目前网马流行的反检测手段。3.1 反侦察挂马者为了防止杀软对网马检测，在代码中加入了对相关安全产品的检测，如果发现有这些安全产品，便不执行网马代码，以使自身存活的周期更长。案例分析：在 2 月初，捕获的很多挂马网站都会调用这个恶意页面（http:/RES 协议来判断用户的主机是否存在 360 安全卫士、瑞星

17、两个安全软件的相关资源文件，电子邮件|安天网站|http:/,11,文档名称文档版本-日期,2010 年上半年中国大陆地区网络安全报告2010/07/05,以此判断用户主机是否已经安装 360 安全卫士和瑞星，如果存在，那么将不执行最终的网马页面。“http:/9 页面截图“http:/panduan()jc_list=res:/C:Program%20Files360360Safe360hotfix.exe/GIF/172,res:/D:program%20files360safe360hotfix.exe/GIF/172,res:/C:program%20files360safe360ho

18、tfix.exe/GIF/172,res:/D:Program%20Files360360Safe360hotfix.exe/GIF/172,res:/e:Program%20Files360360Safe360hotfix.exe/GIF/172,res:/f:Program%20Files360360Safe360hotfix.exe/GIF/172,res:/C:Program%20FilesRisingRavrssafety.exe/PNG/123,res:/D:Program%20FilesRisingRavrssafety.exe/PNG/123,res:/e:Program%20

19、FilesRisingRavrssafety.exe/PNG/123,res:/f:Program%20FilesRisingRavrssafety.exe/PNG/123,res:/C:program%20files360safe360Safe.exe/GIF/172,res:/D:program%20files360safe360Safe.exe/GIF/172,res:/E:program%20files360safe360Safe.exe/GIF/172,res:/F:program%20files360safe360Safe.exe/GIF/172,res:/C:program%20

20、files360360safe360Safe.exe/GIF/172,res:/D:program%20files360360safe360Safe.exe/GIF/172,res:/E:program%20files360360safe360Safe.exe/GIF/172,res:/F:program%20files360360safe360Safe.exe/GIF/172;电子邮件|安天网站|http:/,12,文档名称文档版本-日期,2010 年上半年中国大陆地区网络安全报告2010/07/05,for(i=0;i);var a3742tf=51la;var a3742pu=;var

21、a3742pf=51la;var a3742su=window.location;vara3742sf=document.referrer;var a3742of=;var a3742op=;var a3742ops=1;var a3742ot=1;var a3742d=newDate();var a3742color=;if(navigator.appName=Netscape)a3742color=screen.pixelDepth;elsea3742color=screen.colorDepth;trya3742tf=top.document.referrer;catch(e)trya3

22、742pu=window.parent.location;catch(e)trya3742pf=window.parent.document.referrer;catch(e)trya3742ops=document.cookie.match(newRegExp(|)AJSTAT_ok_pages=(;*)(;|$);a3742ops=(a3742ops=null)?1:(parseInt(unescape(a3742ops)2)+1);var a3742oe=newDate();a3742oe.setTime(a3742oe.getTime()+60*60*1000);document.co

23、okie=AJSTAT_ok_pages=+a3742ops+;path=/;expires=+a3742oe.toGMTString();a3742ot=document.cookie.match(newRegExp(|)AJSTAT_ok_times=(;*)(;|$);if(a3742ot=null)a3742ot=1;elsea3742ot=parseInt(unescape(a3742ot)2);a3742ot=(a3742ops=1)?(a3742ot+1):(a3742ot);a3742oe.setTime(a3742oe.getTime()+365*24*60*60*1000)

24、;document.cookie=AJSTAT_ok_times=+a3742ot+;path=/;expires=+a3742oe.toGMTString();catch(e)a3742of=a3742sf;if(a3742pf!=51la)a3742of=a3742pf;if(a3742tf!=51la)a3742of=a3742tf;a3742op=a3742pu;trylainframecatch(e)a3742op=a3742su;document.write(img style=width:0px;height:0pxsrc=http:/web2.51.la:82/go.asp?s

25、vid=4&id=3483742&tpages=+a3742ops+&ttimes=+a3742ot+&tzone=+(0-a37电子邮件|安天网站|http:/,13,文档名称文档版本-日期,2010 年上半年中国大陆地区网络安全报告2010/07/05,42d.getTimezoneOffset()/60)+图 10 页面完整代码3.2 网马中含有“木马”解密代码网马分析人员大多都有一个习惯，就是在剥茧抽丝中，把藏匿于网马中的木马链接找到，下载木马后对其进行分析，然而挂马者为了防止这一点，首先加密了木马，这样即使下载了木马，没有密钥同样无法运行木马，却在网马 shellcode 中包含解密

26、代码，只有在执行网马时才能触发木马。案例分析：2010 年 5 月 31 日，安天实验室发现，猫扑游戏频道综合社区（http:/MS10-018 漏洞，木马链接为（http:/PE 文件头 16 进制表示为 4D 5A，我们用 UE 以 16 进制打开“system.exe”可以看出此文件的前两位 D8 CF，用 D8 异或 4D、CF 异或 5A 就得到了密钥 95，由此我们得知此病毒文件是通过异或 95 进行加密的；然而加密手段有很多，异或只是其中的一种，具体情况要具体分析。电子邮件|安天网站|http:/,14,文档名称文档版本-日期,2010 年上半年中国

27、大陆地区网络安全报告2010/07/05,图 11 具体分析图电子邮件|安天网站|http:/,15,文档名称文档版本-日期,2010 年上半年中国大陆地区网络安全报告2010/07/05,第4章搜索引擎已成为网马传播的主要途径网马的传播途径有很多，如电子邮件、即时通讯工具、社会工程学等，然而在网络发展的今天，人们在遇到问题时，往往是更依赖于网络通过搜索引擎去寻求答案，黑客便利用这点，首先入侵到一些知名网站，拿到权限后，把一些人群感兴趣的文章（隐藏着恶意代码）上传到该网站上，这样搜索引擎会优先录入这些页面，当这一些人通过关键字搜索时，当点击含有这些关键字的恶意页面，当含有漏洞的系统触发这些恶

28、意代码时，就成为了任人摆布的“肉鸡”。因此，搜索引擎已成为网马传播的主要途径。案例分析：2010 年 6 月 29 日，安天实验室发现，扬子晚报网被黑客入侵，并上传大量与网络游戏相关并含有恶意代码的页面，我们拿其中一挂马页面进行分析，（http:/12 截图通过 Google 搜索引擎搜索关键字“wowdz 手法”（该挂马页面的标题），搜索到的结果有 86,800 条，对第一页给出每个链接逐个进行分析，含有恶意代码的链接已经用红色方框注明，可以看出除了“百度知道”，其余全是挂马页面。电子邮件|安天网站|http:/,16,文档名称文档版本-日期,

29、2010 年上半年中国大陆地区网络安全报告2010/07/05,图 13 挂马页面总结：这只是众多利用搜索引擎传播网马的案例之一，如果用户通过搜索引擎搜索关键字时，多去一些与之相关并且可信任的网站，例如你搜索游戏的关键字，却搜索出一个政府域名（.gov）的链接，这时候你就要考虑一下了。电子邮件|安天网站|http:/,17,文档名称文档版本-日期,2010 年上半年中国大陆地区网络安全报告2010/07/05,第5章 2010 年下半年恶意网站趋势预测“挂马网站”为黑色产业链带来巨大的利润，面对这个网络公敌，虽然不乏有好的安全产品出现，但仍旧不能有效阻止它们的传播。在 2010 年下半年，预计在挂马数量上只增不减。挂马团伙依旧会不断挖掘新的漏洞，利用新的防检测手段逃避杀软的查杀；每一次热点事件出现时，也是网马趁机传播的时候，黑客会继续跟踪新的热点事件，并选择流量大的网站进行挂马，以促使网马广泛的传播。全世界为之关注的“2010 年南非足球世界杯”已经开始了，在网上查找相关信息的时候，请不要去那些不可信任的小网站，多去一些可信任的大网站；请及时为系统打补丁，当发现有最新版本的第三方应用软件时，请升级到最新版本，这样会给自身系统多一份安全保障。电子邮件|安天网站|http:/,