Fortinet公司的FortiGuard威脅研究與響應(yīng)實(shí)驗(yàn)室(FortiGuard Labs)發(fā)布了最新的安全威脅報(bào)告包括2013年上半年的安全威脅趨勢(shì)并建議對(duì)已發(fā)現(xiàn)的漏洞，及時(shí)的補(bǔ)丁是避免攻擊的必需。

移動(dòng)設(shè)備的灰色軟件在急增

FortiGuard Labs觀察到過去超過6個(gè)月的時(shí)間手機(jī)灰色軟件增加了30%?，F(xiàn)在，每天看到超過1300個(gè)新的樣本，且當(dāng)前正在跟蹤超過300個(gè)Android灰色軟件家族以及250000多個(gè)Android惡意軟件采樣。以下圖1所示是2013年1月到7月之間的手機(jī)灰色軟件增加趨勢(shì)。

圖1

自攜帶設(shè)備與自找麻煩

“自攜帶設(shè)備(BYOD)“對(duì)于公司來講好處多多，其中最主要的是對(duì)雇員效率與生產(chǎn)率的提高。然而，寬松的BYOD策略的缺點(diǎn)是移動(dòng)設(shè)備惡意軟件感染用戶設(shè)備，緊接著是整個(gè)業(yè)務(wù)網(wǎng)絡(luò)的威脅。

“三年前，移動(dòng)設(shè)備的惡意軟件還沒有受到用戶或企業(yè)的太多關(guān)注。當(dāng)時(shí)針對(duì)智能手機(jī)和平板電腦的大部分惡意軟件只不過是annoyware (一般性困擾軟件)，例如用于SMS詐騙或替換用戶圖標(biāo)的Cabir病毒或詐騙軟件。”Axelle Apvrille，F(xiàn)ortiGuard Labs資深移動(dòng)設(shè)備反病毒研究員談到。 “隨著由于移動(dòng)設(shè)備激增，網(wǎng)絡(luò)罪犯也希望利用著逐漸龐大的用戶基數(shù)。移動(dòng)設(shè)備的惡意軟件的泛濫不會(huì)很快減弱。”

從Symbian系統(tǒng)開始

2009年，所存在的大多數(shù)移動(dòng)設(shè)備灰色軟件的目標(biāo)是Symbian OS;iOS與Android在市場(chǎng)上相對(duì)較新。此外，大量的惡意軟件編碼程序員在東歐和中國(guó)，Symbian在這些地方有大量的用戶基數(shù)群。圖2顯示了2009年移動(dòng)設(shè)備灰色軟件傳播作為活躍的國(guó)家。

圖2

圖3顯示了2009年灰色軟件攻擊最頻繁的目標(biāo)操作系統(tǒng)信息

圖 3

2013年 移動(dòng)設(shè)備威脅格局的改變

在2013年，移動(dòng)設(shè)備威脅格局發(fā)生了巨大的變化。全球大規(guī)模移動(dòng)制造商采用谷歌的Android操作系統(tǒng)帶來了市場(chǎng)中智能手機(jī)的普及。 Android設(shè)備遍地開花，價(jià)格上從便宜到昂貴均有，加上各種應(yīng)用極大的擴(kuò)展了移動(dòng)設(shè)備的功能，網(wǎng)絡(luò)罪犯與其他不法的網(wǎng)絡(luò)黑手都伺機(jī)而動(dòng)利用這個(gè)平臺(tái)。

勒索軟件出現(xiàn)在移動(dòng)設(shè)備

2012年FortiGuard Labs預(yù)測(cè)勒索錢財(cái)?shù)能浖?huì)在走向移動(dòng)終端設(shè)備。現(xiàn)在它們來了。“勒索軟件可謂在金錢財(cái)物方面網(wǎng)絡(luò)犯罪非常昭著，他們已經(jīng)把注意力轉(zhuǎn)向了移動(dòng)設(shè)備這并不奇怪。”FortiGuard Labs安全戰(zhàn)略專家 Richard Henderson說道。 “這些軟件披著防護(hù)軟件的外衣進(jìn)入Android系統(tǒng)，如同假冒防病毒軟件浸入PC的手法一般-打著利他主義的大旗下是其真實(shí)目的待爆發(fā)。這種惡意軟件會(huì)鎖定受害人的手機(jī)直至所要求的付款執(zhí)行后才會(huì)解鎖設(shè)備。一旦手機(jī)被鎖定的，受害人可以支付贖金或如果手機(jī)中的照片等資料均有完整備份，那么可以棄手機(jī)于不顧，重新刷機(jī)。”

對(duì)舊有漏洞的新攻擊

雖然最近對(duì)Ruby on Rails，Adobe Acrobat與Apache的補(bǔ)丁已經(jīng)出了，F(xiàn)ortiGuard Labs發(fā)現(xiàn)仍然有一些攻擊者利用這些舊有未打補(bǔ)丁的漏洞。

Ruby on Rails

今年一月份的時(shí)候，發(fā)布了Ruby on Rails架構(gòu)中的重要漏洞，遠(yuǎn)程攻擊者可以利用這個(gè)漏洞對(duì)web服務(wù)器執(zhí)行代碼。

Ruby on Rails(ROR)是一個(gè)Web應(yīng)用框架的Ruby編程語言。簡(jiǎn)單地說，可以快速簡(jiǎn)單美觀的編輯制作 Web2.0網(wǎng)站。相當(dāng)多的網(wǎng)站在使用 RoR框架。Metasploit的設(shè)計(jì)可用于漏洞的掃描，查找web服務(wù)器并破解就成了小事一樁了。

“破解需要XML處理器還原序列號(hào)程序中的缺陷，由此才能在運(yùn)行中創(chuàng)建一個(gè)Ruby對(duì)象”，“RoR的補(bǔ)丁就是修復(fù)這個(gè)缺陷的，但是從補(bǔ)丁發(fā)布后已經(jīng)四個(gè)月了，攻擊者還在搜索未打補(bǔ)丁的Web 服務(wù)器從而實(shí)現(xiàn)嵌入的代碼感染”，Henderson說道。

Java遠(yuǎn)程代碼執(zhí)行

今年一月份，發(fā)現(xiàn)一個(gè)零日攻擊可以繞過Java的沙盒并運(yùn)行任意的Java代碼。Java是網(wǎng)絡(luò)無所不在的一種技術(shù)應(yīng)用，大多數(shù)計(jì)算機(jī)設(shè)備都安全并啟動(dòng)了一些形式的Java。漏洞允許一個(gè)惡意小程序運(yùn)行于任何的Java程序，繞過了Java的沙盒并可允許多受感染計(jì)算機(jī)的完全訪問。

這樣的攻擊被大范圍的發(fā)現(xiàn)，且破解方式被很快集成到許多流行的犯罪讓軟件的攻擊包中，例如BlackHole, Redkit與Nuclear Pack，通過購買這樣的攻擊包就成在計(jì)算機(jī)上安裝灰色軟件。Metasploit也可以用于漏洞創(chuàng)建，更容易通過一個(gè)簡(jiǎn)單的點(diǎn)擊而發(fā)現(xiàn)被感染者。

“該漏洞涉及一個(gè)JMX(Java Management Extensions)組件中的缺陷，通過它可以允許惡意的Applet提升其權(quán)限并允許任何Java代碼。”Oracle快速的發(fā)布了補(bǔ)丁，但是這樣的漏洞已經(jīng)被列入到網(wǎng)絡(luò)犯罪軟件包中。新的受害者還是源源不斷被發(fā)現(xiàn)，因運(yùn)行了未打補(bǔ)丁的Java。”Herderson說到。

Acrobat/Acrobat Reader零日攻擊正在泛濫

二月份的時(shí)候，一個(gè)偽裝為來自土耳其的旅行簽證的PDF文件被發(fā)現(xiàn)到處流行，利用了Adobe Reader未被發(fā)現(xiàn)的漏洞。該漏洞存在于所有最近的Adobe Reader (9.5.X, 10.1.X, 與11.0.X) 版本，以及大多數(shù)的Microsoft Windows，包括64位Windows7和Mac OS X系統(tǒng)版本。該P(yáng)DF漏洞被網(wǎng)絡(luò)犯罪所利用以在其鎖定的目標(biāo)計(jì)算機(jī)系統(tǒng)中安裝灰色軟件。Adobe在2月20日發(fā)布了補(bǔ)丁，但是網(wǎng)絡(luò)罪犯仍然利用未打補(bǔ)丁的版本而發(fā)動(dòng)魚叉式釣魚攻擊。

CDorked 攻擊了Apache

四月末的時(shí)候，對(duì)Apache Web服務(wù)器的一個(gè)新的攻擊被發(fā)現(xiàn)。Dubbed CDorked，一種灰色軟件可以兼容Web服務(wù)器并將訪問服務(wù)器的用戶重新定向訪問到其他服務(wù)器，從而使用BlackHole漏洞工具實(shí)現(xiàn)灰色軟件的鏈入。該攻擊可能將Lighttpd 與 Nginx Web 服務(wù)器平臺(tái)作為目標(biāo)。

CDorked顯示出了與2012年的 DarkLeech 對(duì)Apache服務(wù)器攻擊的諸多相似，但是它比顯DarkLeech更隱蔽與狡猾的地方在于：CDorked沒有加載額外的惡意模塊到被感染的服務(wù)器，而是惡意修改現(xiàn)有的httpd。

CDorked很有意思，它沒有Web服務(wù)器的硬盤驅(qū)動(dòng)器寫入任何的信息：所有的信息都被保存在內(nèi)存中且通過攻擊者對(duì)所攻擊的服務(wù)器發(fā)送模糊GET請(qǐng)求來訪問。這些GET請(qǐng)求都不會(huì)日志記錄。CDorked在其操作方式上顯示出了一些手法。

Herderson說到“它有一個(gè)內(nèi)置的限額系統(tǒng)，換句話說，CDorked并沒有試圖將每個(gè)服務(wù)器訪問者重新定向到BlackHole網(wǎng)站。它還對(duì)試圖訪問受感染web服務(wù)器的管理頁面的用戶進(jìn)行了隱藏，防止該用戶可能注意到被重新定向到了一個(gè)惡意網(wǎng)站。CDorked這樣的做法并不是獨(dú)一無二的。其他惡意的灰色軟件也具有嵌入的防止灰色軟件分析師或其他白帽黑客查看的做法”。