【51CTO.com綜合報(bào)道】

一、綜述

據(jù)百銳信息安全實(shí)驗(yàn)室（ByteHero Lab）云安全系統(tǒng)數(shù)據(jù)統(tǒng)計(jì)，2011年上半年全球互聯(lián)網(wǎng)用戶賬戶信息安全所受到的主要威脅有盜號(hào)木馬、欺詐網(wǎng)站、服務(wù)器攻擊和手機(jī)病毒四種，呈現(xiàn)以下特征：

1、盜號(hào)木馬制作更加專業(yè)化，與反病毒軟件技術(shù)對(duì)抗逐步升級(jí)。

2、隨著席卷而來的電子商務(wù)發(fā)展浪潮，欺詐站點(diǎn)數(shù)量明顯增加，其在惡意域名中所占的比重呈上升趨勢(shì)。

3、Android設(shè)備急劇增加，隨之而來的Android病毒木馬的危害開始顯現(xiàn)。

4、儲(chǔ)存了大量用戶資料和行為的服務(wù)器（云計(jì)算服務(wù)商）遭受攻擊，如索尼用戶信息泄漏事件。"Threats to Cloud"成為現(xiàn)實(shí)給用戶賬戶信息安全帶來前所未有的挑戰(zhàn)，用戶賬戶信息威脅正由個(gè)體損失向群體損失轉(zhuǎn)變。

二、核心數(shù)據(jù)簡(jiǎn)述

1、報(bào)告期內(nèi)(2011年上半年)，百銳云安全系統(tǒng)在全球范圍內(nèi)共截獲新增木馬樣本816214種，總體數(shù)量與去年同期相比上升32.4%。中國(guó)大陸地區(qū)148467種，占全球18.19%。

2、危害用戶賬戶的前四類木馬依次是Trojan.Win32.OnLineGames，TrojanDownloader.Win32.FakeQQ和TrojanSpy.Win32.Banker 以及Trojan.Win32.AliPay。

3、報(bào)告期內(nèi)百銳共截獲了47.2萬個(gè)掛馬網(wǎng)址，其中com域名占76.32%。

4、報(bào)告期內(nèi)百銳共截獲了43.9萬個(gè)欺詐網(wǎng)址。主要的方式有：提示用戶中獎(jiǎng)并給出中獎(jiǎng)驗(yàn)證碼，仿冒知名電子商務(wù)網(wǎng)站和銀行網(wǎng)站。

5、報(bào)告期內(nèi)百銳共截獲手機(jī)病毒木馬家族1021種，其中Android病毒木馬第二季度較第一季度增加了29.09%。

三、免責(zé)聲明

本報(bào)告綜合百銳信息安全實(shí)驗(yàn)室（ByteHero Lab）云安全系統(tǒng)的統(tǒng)計(jì)。本報(bào)告作為互聯(lián)網(wǎng)用戶賬戶信息安全狀況的介紹和研究資料對(duì)外提供，如若與其它機(jī)構(gòu)研究結(jié)果有差異，請(qǐng)使用方自行辨別，百銳信息安全實(shí)驗(yàn)室不承擔(dān)與此相關(guān)的一切法律責(zé)任。

四、盜號(hào)木馬

1、盜號(hào)木馬概述

報(bào)告期內(nèi)百銳云安全系統(tǒng)在中國(guó)大陸地區(qū)共截獲148467種盜號(hào)木馬。按照CNNIC數(shù)據(jù)顯示，截至6月底中國(guó)網(wǎng)游用戶達(dá)3.11億，國(guó)內(nèi)網(wǎng)絡(luò)游戲產(chǎn)業(yè)年產(chǎn)值已超百億元，受利益驅(qū)使，針對(duì)網(wǎng)游的盜號(hào)木馬在所有木馬中的比例超過其他種類。

??

2、木馬技術(shù)趨勢(shì)分析

通過對(duì)1至6月新增木馬的惡意行為分析發(fā)現(xiàn)，互聯(lián)網(wǎng)新增的木馬對(duì)計(jì)算機(jī)系統(tǒng)的損害越來越小，對(duì)用戶操作體驗(yàn)的影響也越來越小，導(dǎo)致計(jì)算機(jī)反復(fù)重啟、阻斷網(wǎng)絡(luò)連接及正常軟件無法使用的惡意行為已十分少見。其目的是在用戶不知情的情況下實(shí)現(xiàn)竊取私人信息（包括網(wǎng)絡(luò)游戲、IM、網(wǎng)銀等帳號(hào)信息）。其中，游戲外掛插件捆綁木馬、玩家間傳輸文件以及私服發(fā)布網(wǎng)站掛馬是網(wǎng)游盜號(hào)木馬的三大傳播途徑。

盜號(hào)木馬制作更加專業(yè)化，與反病毒軟件技術(shù)對(duì)抗逐步升級(jí)。例如進(jìn)程隱藏、雙進(jìn)程守護(hù)等內(nèi)核級(jí)技術(shù)開始大量應(yīng)用。為了對(duì)抗云查殺，免殺方法也在改進(jìn)。木馬作者通過加大木馬體積，使用組合木馬技術(shù)以及對(duì)木馬解密器進(jìn)行非傳統(tǒng)多態(tài)方式的偽裝技術(shù)等手段來對(duì)抗云鑒定器的偵測(cè)。

五、網(wǎng)站掛馬

1、網(wǎng)站掛馬概述

百銳云安全系統(tǒng)在全球范圍內(nèi)共截獲掛馬網(wǎng)站47.2萬個(gè)。通過分析來看，利用0day漏洞仍然是黑客進(jìn)行網(wǎng)站掛馬的主要方式之一。

中國(guó)2011年上半年互聯(lián)網(wǎng)整體掛馬情況非常普遍，全國(guó)所有省份都存在程度不一的掛馬現(xiàn)象。同時(shí)，國(guó)家重點(diǎn)部門和單位的網(wǎng)站也被發(fā)現(xiàn)存在較為嚴(yán)重的掛馬問題。春節(jié)期間是全年掛馬量最高的時(shí)刻，各個(gè)長(zhǎng)假期間的掛馬量也比平時(shí)有顯著提高。受高考影響，6月份在被掛馬的網(wǎng)站中，高校網(wǎng)站開始明顯增多。

網(wǎng)民被掛馬網(wǎng)站攻擊成功時(shí)使用的軟件，主要是各種瀏覽器以及內(nèi)嵌了網(wǎng)頁的流行軟件。

2、中國(guó)地區(qū)掛馬數(shù)據(jù)分析

報(bào)告期內(nèi)，中國(guó)地區(qū)掛馬域名分布統(tǒng)計(jì)如下。

北京是掛馬重災(zāi)區(qū)，居全國(guó)首位，其次是廣東和上海。掛馬源主要在國(guó)內(nèi)服務(wù)器，其中廣東省是傳播重點(diǎn)地區(qū)。

全國(guó)主要地區(qū)掛馬餅狀分析圖如下：

??

3、全球掛馬域名數(shù)據(jù)分析

全球區(qū)域掛馬程度統(tǒng)計(jì)如下

掛馬域名分布較多的國(guó)家和地區(qū)依次是美國(guó)、中國(guó)、俄羅斯、越南、德國(guó)、韓國(guó)、法國(guó)等，如下圖所示。

??

六、網(wǎng)絡(luò)釣魚

1、網(wǎng)絡(luò)釣魚概述

網(wǎng)絡(luò)釣魚（Phishing）是近年來興起的一種新型網(wǎng)絡(luò)攻擊方式，黑客建立一個(gè)網(wǎng)站，通過模仿網(wǎng)銀官網(wǎng)、網(wǎng)購站點(diǎn)、游戲網(wǎng)站、彩票網(wǎng)站等，誘騙用戶上當(dāng)。由于在整個(gè)環(huán)節(jié)中沒有任何的病毒、木馬和惡意程序參與，傳統(tǒng)殺毒軟件根本無法阻擋釣魚網(wǎng)站的攻擊。

2、數(shù)據(jù)分析

??

報(bào)告期內(nèi)百銳共截獲了43.9萬個(gè)欺詐網(wǎng)址。較去年同期上漲37.54%。網(wǎng)絡(luò)釣魚主要的方式有：提示用戶中獎(jiǎng)并給出中獎(jiǎng)驗(yàn)證碼，仿冒知名電子商務(wù)網(wǎng)站和銀行網(wǎng)站。

一個(gè)典型的網(wǎng)絡(luò)釣魚事件的流程是：提示用戶中獎(jiǎng),并給出獲獎(jiǎng)驗(yàn)證碼'用戶輸入獲取到的驗(yàn)證碼后，進(jìn)入下一頁面，提示用戶所中獎(jiǎng)項(xiàng)'要求用戶匯款來辦理手續(xù)等內(nèi)容。

如下圖所示

七、手機(jī)病毒

6月，中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)反網(wǎng)絡(luò)病毒聯(lián)盟發(fā)布了我國(guó)首個(gè)關(guān)于手機(jī)病毒命名及描述的技術(shù)規(guī)范《移動(dòng)互聯(lián)網(wǎng)惡意代碼描述規(guī)范》，描述了惡意代碼主要屬性分類：

??

報(bào)告期內(nèi)百銳共截獲手機(jī)病毒木馬家族共1021種，攻擊的智能移動(dòng)終端系統(tǒng)依次是Symbian、Android、WindowsPhone、iOS。

雖然Symbian的發(fā)展的步伐放緩，但是由于基數(shù)大，Symbian仍是手機(jī)木馬的重災(zāi)區(qū)。

??

據(jù)分析，Android病毒木馬增勢(shì)明顯，數(shù)據(jù)和信息表明，Android惡意軟件對(duì)用戶的威脅正在持續(xù)上升。

??

八、用戶帳號(hào)信息安全趨勢(shì)發(fā)展

1、在對(duì)PC平臺(tái)盜號(hào)木馬的防御中，傳統(tǒng)的特征碼匹配技術(shù)已經(jīng)越來越吃力了。原因是隨著病毒木馬的海量增長(zhǎng)，殺毒軟件公司已經(jīng)很難及時(shí)收集這些新增的病毒木馬樣本。即使殺毒軟件公司能收集所有樣本，隨著病毒庫的海量擴(kuò)展，其體積也會(huì)日益增加，相應(yīng)的殺毒軟件在計(jì)算機(jī)系統(tǒng)上將占用更多的內(nèi)存等資源，最終導(dǎo)致系統(tǒng)資源難以滿足。加之傳統(tǒng)的特征碼病毒檢測(cè)技術(shù)具有先天缺陷：先有病毒，然后才能收集樣本提取病毒特征。這種被動(dòng)響應(yīng)模式永遠(yuǎn)滯后于病毒發(fā)作。反病毒木馬新技術(shù)發(fā)展趨勢(shì)：

1.1反病毒虛擬機(jī)技術(shù)

通過構(gòu)造一個(gè)虛擬機(jī)，將病毒木馬加載到虛擬機(jī)中運(yùn)行，通過在反病毒虛擬機(jī)中監(jiān)測(cè)被檢測(cè)程序的行為來判斷是否是病毒木馬。百銳實(shí)驗(yàn)室經(jīng)過多年研究，掌握了一流的反病毒虛擬機(jī)技術(shù)，自主研發(fā)了國(guó)內(nèi)第一款基于代碼動(dòng)態(tài)、靜態(tài)啟發(fā)分析等技術(shù)的啟發(fā)式檢測(cè)引擎，為廣大用戶提供未知病毒防御保護(hù)。

1.2云查殺技術(shù)

云查殺是基于在"云安全"的理念中實(shí)施的。云查殺是將過去單機(jī)版的數(shù)據(jù)庫安裝在云端（即服務(wù)器端）。由個(gè)體被動(dòng)態(tài)向立體的主動(dòng)發(fā)現(xiàn)查殺發(fā)展，使新病毒的查殺進(jìn)入以秒為單位計(jì)時(shí)的時(shí)代。未來將是反病毒主流解決方案。

2、網(wǎng)絡(luò)釣魚的危害日益凸顯

目前的釣魚網(wǎng)站的識(shí)別和攔截主要基于黑白名單查殺方式，為了更好的攔截釣魚網(wǎng)站，僅使用黑白名單是不夠的。百銳反釣魚引擎在黑白名單技術(shù)基礎(chǔ)上，增加對(duì)網(wǎng)站的掃描和分析的過程，分析網(wǎng)頁特征及網(wǎng)頁的行為，通過精確匹配和概率匹配的方式對(duì)網(wǎng)頁特征進(jìn)行處理，能夠第一時(shí)間識(shí)別釣魚網(wǎng)站。

3、云端結(jié)合查殺Android木馬

近期在多家Android軟件商店中，頻繁出現(xiàn)偽裝成正常手機(jī)軟件，以外發(fā)短信等形式實(shí)施惡意扣費(fèi)、隱私竊取行為的Android手機(jī)病毒及惡意軟件。

"云+端"結(jié)合的"云安全"技術(shù)模式當(dāng)前正在被快速應(yīng)用到專業(yè)的手機(jī)安全軟件之中，并已成為當(dāng)前和未來在移動(dòng)安全領(lǐng)域的技術(shù)發(fā)展趨勢(shì)。其中，"云端"將重點(diǎn)解決惡意軟件的發(fā)現(xiàn)問題，從各種渠道收集軟件信息，并按照某種算法評(píng)估軟件的風(fēng)險(xiǎn)，而"終端"重點(diǎn)解決惡意軟件的查殺與防護(hù)問題，通過安裝部署在智能終端上的客戶端對(duì)惡意軟件進(jìn)行查殺。

九、用戶賬戶安全防護(hù)建議

從數(shù)據(jù)和走勢(shì)分析可以看出，面對(duì)不斷涌現(xiàn)的新興威脅，亟待安全廠商進(jìn)行通過技術(shù)創(chuàng)新來遏制其衍生。同時(shí)，企業(yè)及個(gè)人也應(yīng)增強(qiáng)信息安全意識(shí)主動(dòng)保護(hù)用戶賬戶和資產(chǎn)安全。

對(duì)于企業(yè)而言，計(jì)算機(jī)網(wǎng)絡(luò)的安全穩(wěn)定至關(guān)重要，影響著企業(yè)的生存和發(fā)展。應(yīng)充分重視數(shù)據(jù)信息的防護(hù)工作，增加人力、物力（高質(zhì)量的軟硬件安全產(chǎn)品）投入。要建立企業(yè)計(jì)算機(jī)安全網(wǎng)絡(luò)防御體系，必須將原有的平面結(jié)構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò)調(diào)整為層次保護(hù)結(jié)構(gòu)的網(wǎng)絡(luò)，形成外部網(wǎng)、辦公網(wǎng)和生產(chǎn)網(wǎng)等的多層結(jié)構(gòu)。

任何企業(yè)、任何人都不能單純依賴一種方法來保護(hù)其數(shù)據(jù)及私密文件。除了安裝部署包括百銳引擎家族在內(nèi)的正規(guī)安全產(chǎn)品，還應(yīng)在平時(shí)注意更多細(xì)節(jié)，例如碎紙方法不當(dāng)導(dǎo)致的數(shù)據(jù)損害，由公共數(shù)據(jù)庫導(dǎo)致的身份竊取，保護(hù)或監(jiān)視不當(dāng)造成金融欺詐。

對(duì)普通網(wǎng)民而言，可以采取多種措施來提高個(gè)人賬戶安全系數(shù)。例如，使用專業(yè)的安全軟件；培養(yǎng)良好的上網(wǎng)習(xí)慣；及時(shí)進(jìn)行系統(tǒng)升級(jí)，修復(fù)漏洞；使用高強(qiáng)度口令；使用數(shù)字證書或令牌等安全產(chǎn)品。

十、關(guān)于百銳云安全系統(tǒng)

百銳信息安全實(shí)驗(yàn)室自成立以來一直孜孜不倦地追求技術(shù)創(chuàng)新，致力于信息安全技術(shù)的研究。百銳是中國(guó)優(yōu)秀的技術(shù)團(tuán)隊(duì)，這支隊(duì)伍掌握著一流的病毒檢測(cè)技術(shù)。經(jīng)過長(zhǎng)期設(shè)計(jì)、研發(fā)、測(cè)試及改進(jìn)，百銳于2009年8月正式發(fā)布國(guó)內(nèi)第一款基于代碼動(dòng)態(tài)、代碼靜態(tài)啟發(fā)分析的未知病毒檢測(cè)引擎。此后又陸續(xù)發(fā)布了啟發(fā)式反釣魚引擎、啟發(fā)式手機(jī)病毒檢測(cè)引擎等。百銳合作伙伴累計(jì)近七百萬客戶端使用百銳引擎提高其安全產(chǎn)品的惡意代碼檢測(cè)能力。

百銳對(duì)網(wǎng)絡(luò)有著深刻的理解和豐富的研發(fā)經(jīng)驗(yàn)，目前已經(jīng)建成一個(gè)能夠涵蓋多種互聯(lián)網(wǎng)應(yīng)用的先進(jìn)的云安全系統(tǒng)。該系統(tǒng)能夠及時(shí)捕獲、分析、處理及統(tǒng)計(jì)來自互聯(lián)網(wǎng)的用戶帳號(hào)威脅事件，主要包括病毒木馬、掛馬網(wǎng)站、釣魚網(wǎng)站及手機(jī)病毒等。

1、目前，百銳的樣本捕獲主要來自以下幾個(gè)渠道：

1.1、蜜罐采集

1.2、誘餌信箱

1.3、廠商交換

1.4、監(jiān)控探頭

1.5、用戶主動(dòng)上報(bào)

1.6、樣本志愿者上報(bào)

通過多種渠道的配合，既保證了對(duì)流行樣本采集的高效性，同時(shí)又保證了樣本的覆蓋率，能夠在第一時(shí)間內(nèi)捕獲病毒樣本，形成了一個(gè)龐大的監(jiān)控預(yù)警體系。

2、樣本分揀平臺(tái)

百銳擁有一套強(qiáng)大樣本處理平臺(tái)，每日處理數(shù)萬次不重復(fù)的病毒上報(bào)事件，通過黑白名單、智能識(shí)別和人工分揀三重體制對(duì)所有捕獲到的文件進(jìn)行分揀統(tǒng)計(jì)。