(趋势)Web威胁.ppt

2007全球威胁形势分析 2007全球威胁形势总览 趋势科技07年09月份的统计数据显示: 目前,Web威胁已位居安全威胁榜首, 占据全球10大恶意程序前4甲. 蠕虫病毒仅次于web 威胁. 间谍软件(主要为盗号软件)位居第3 Web 威胁分布情况 必威体育精装版数据显示 HTML,JavaScript和漏洞利用为3种主要的Web感染途径 Web漏洞利用:具有传播迅速,感染面广以及防不胜防的特点. 中国为Web威胁主要发源地 安全研究机构数据显示,53.9%的恶意网站位于中国 趋势科技监测到: 企业/政府网站 被挂马事件层出不穷 恶意网站成批的出现, 主要为.cn域名 可能的原因分析: 1.免费域名 2.廉价(或免费的)的网站空间 3.托管网站无安全防护设备 4.无安全人员管理 2007中国典型web攻击模型 下载型驱动模式 (Drive by Download) 漏洞利用代码 (Venerability Exploit Code) Web 威胁传播媒介 2007年, Firefox 浏览器成为黑客攻击的主要目标,大量高危漏洞被发现和利用 研究表明,Web威胁无法通过选用哪款浏览器来避免,相对来讲都不安全. 2007国内热点Web 0-day漏洞 Web威胁主要通过浏览器或其插件实现传播: IE浏览器漏洞 (高度危险) iFrame 漏洞 ANI 光标漏洞 VML漏洞 IE浏览器插件(BHO) 漏洞 (高度危险) Web 迅雷漏洞 百度搜霸.ActiveX控件.远程代码执行漏洞 P2P流媒体播放器. PPStream.堆栈溢出 暴风影音2.mps.dll组件.多个缓冲区溢出漏洞 典型案例举例:光标漏洞 如TROJ_ANICMOO.AX 试图引诱亚洲的动态光标爱好者上当（如图）。 盗号木马猖獗,形成黑色产业链 在经济利益驱动下,国内病毒主要以盗号木马为主,其目标分别为 在线银行帐号 (网银大盗) 金融证券交易帐号 (证券大盗) 网游帐号 (征途木马,传奇木马,魔兽木马,天堂木马) 聊天工具帐号 (QQ木马) 典型案例: 熊猫烧香-黑色产业链 混合攻击 趋势科技10月份监测到的一次由web threat导致的混合攻击分析: Web威胁的到达: (恶意网地hxxp://xx.9{block}.org/ip/1.htm) 1.被客户网络中的ARP病毒,将该链接插入到流经http代理服务器的所有http网页中. 2. 感染internet上的web服务器上的网页文件,被插入如上链接. 混合攻击 Web威胁的入侵:多层次+多种漏洞混合攻击 用户一旦上网浏览了该网页,该病毒网页就会被ie自动执行.由于该网页包含利用IE iframe 的代码,导致IE被先后重定向10个网站的近30个恶意网页. 利用了国内广泛使用的浏览器插件(BHO)的近期很热门的漏洞: 1.百度搜霸ActiveX控件远程代码执行漏洞2. PPStream P2P流媒体播放器 堆栈溢出：3.暴风影音2 mps.dll组件多个缓冲区溢出漏洞： 一连串的恶意网页利用IE和BHO漏洞会直接下载至少4个下载者病毒. 混合攻击 下载者病毒:病毒绿色通道 下载者登陆到用户机器就会根据自身携带的配置参数,自动从 down.85{ block }.cn pu.pum{ block }.com down.dj7{ block }.cn 批量(平均每个下载器20多只病毒)下载其他病毒.下载上百只不同种类的病毒. 混合攻击 浩浩荡荡的盗号军团和病毒登陆: 根据统计,本次恶意网页感染总共会有近150只病毒感染客户端, 具体分布如下: 其中木马90%以上为盗号木马, 主要为征途, 魔兽, 传奇等热门 网络游戏的木马,还有QQ木马. 同时还包括文件感染型病毒 PE_LOOKED,其行为和破坏 力于熊猫烧香相当. 熊猫烧香病毒:多种传播途径 熊猫烧香病毒 感谢 Thanks! * * Case Study to Web Threat 趋势科技.中国防病毒实验室 2007.11.06 Nick 4% 欧洲 13% 北美洲 83% 亚洲 各区域感染 TROJ_ANICMOO.AX 的情况 (2006.12-2007.5) * *