應(yīng)茜羽

你的MSN出現(xiàn)異常登錄提醒嗎?當(dāng)你登入網(wǎng)絡(luò)游戲時(shí),發(fā)現(xiàn)裝備丟失或與上次下線時(shí)的位置不符,甚至用正確的密碼無(wú)法登錄嗎?那么你要注意,你計(jì)算機(jī)中的信息可能已經(jīng)泄露,并成為了黑色產(chǎn)業(yè)鏈中的商品。

新的黑色產(chǎn)業(yè)鏈

“計(jì)算機(jī)病毒”和“黑客”這兩個(gè)詞匯早已是耳熟能詳了,公眾常常在很多場(chǎng)合聽(tīng)到這兩個(gè)詞?，F(xiàn)在互聯(lián)網(wǎng)的發(fā)展日新月異,網(wǎng)上各式各樣的病毒屢禁不止,更為聳人聽(tīng)聞的是,在此基礎(chǔ)上,從制造木馬病毒、傳播木馬,到盜竊賬戶信息、第三方平臺(tái)銷贓、洗錢,一條分工明確的網(wǎng)上黑色產(chǎn)業(yè)鏈已經(jīng)形成。

如今,惡意軟件開(kāi)發(fā)者更是紛紛將他們的“作品”改為開(kāi)放源代碼。計(jì)算機(jī)病毒產(chǎn)業(yè)鏈的擴(kuò)大蔓延,不僅嚴(yán)重威脅到了個(gè)人信息和財(cái)產(chǎn)安全,甚至也使國(guó)家安全受到了挑戰(zhàn)。

賽門鐵克公司研究員Candid West指出,目前約有10%的木馬已是開(kāi)源碼。除了竊取財(cái)務(wù)和個(gè)人資料,惡意軟件作者希望通過(guò)免費(fèi)提供程序代碼,擴(kuò)大木馬程序的使用范圍。而將木馬程序轉(zhuǎn)為開(kāi)源碼模式,能讓罪犯更方便地在惡意軟件加入新的功能。West說(shuō):“開(kāi)源碼的優(yōu)點(diǎn)是會(huì)有更多人投入開(kāi)發(fā),好比某個(gè)精通密碼學(xué)的人便可制作一個(gè)加密附加組件,熟悉影音串流的人也可在桌面加入遠(yuǎn)程串流?！?/p>

RSA安全專家Uri Rivner表示:“開(kāi)源病毒的商業(yè)模式和其他任何開(kāi)源碼計(jì)劃一樣,免費(fèi)提供基礎(chǔ)版,然后出售更高階的版本、專業(yè)服務(wù)或客制化?！崩?2007年問(wèn)世的Limbo木馬,它的基礎(chǔ)版有多種功能,能讓罪犯在假銀行網(wǎng)站中加入額外的PIN碼范圍,并記錄受害計(jì)算機(jī)的鍵盤和檔案。開(kāi)源碼正是給這些黑客提供了一個(gè)制造木馬的基礎(chǔ)平臺(tái)。

2008年,新增計(jì)算機(jī)病毒、木馬數(shù)量呈幾何級(jí)數(shù)增長(zhǎng),與2007年相比增長(zhǎng)了48倍?；ヂ?lián)網(wǎng)新增病毒已過(guò)千萬(wàn),感染的計(jì)算機(jī)臺(tái)數(shù)也比2007年增長(zhǎng)了40%。在互聯(lián)網(wǎng)上,每 3 秒鐘就會(huì)發(fā)生一起身份信息失竊事件。換言之,每年會(huì)發(fā)生約千萬(wàn)起身份信息失竊事件。賽門鐵克個(gè)人用戶產(chǎn)品和市場(chǎng)營(yíng)銷高級(jí)副總裁 Rowan Trollope 說(shuō):“五個(gè)人中就將有一個(gè)人成為網(wǎng)絡(luò)犯罪的受害者。”

波譎云詭的掛馬方式

目前,網(wǎng)頁(yè)取代網(wǎng)絡(luò)成為攻擊活動(dòng)的主要渠道,“掛馬網(wǎng)頁(yè)”已經(jīng)成為黑客傳播病毒的主要手段。目前90%以上的木馬病毒通過(guò)“掛馬”方式傳播,這些幾乎都源于系統(tǒng)漏洞、后臺(tái)服務(wù)器存在不安全設(shè)置、網(wǎng)站實(shí)現(xiàn)代碼缺陷(如SQL注入、論壇代碼缺陷、跨站腳本等),或網(wǎng)站提供Web服務(wù)的程序漏洞、IIS漏洞、Apache漏洞等隱患,給黑客可乘之機(jī)。其中訪問(wèn)量越大的網(wǎng)站越有被掛馬的可能,因?yàn)榇祟惥W(wǎng)站被黑客關(guān)注程度較高。另外就是政府機(jī)關(guān)網(wǎng)站、各大中型企業(yè)網(wǎng)站,由于專業(yè)性技術(shù)人員缺乏,大多由第三方公司外包開(kāi)發(fā),存在缺陷較多,也最容易被掛馬。

1.利用各種漏洞掛馬

2009年上半年,黑客對(duì)于漏洞的利用趨勢(shì)沒(méi)有明顯轉(zhuǎn)變,其主要用途仍然在網(wǎng)頁(yè)掛馬上,同時(shí),針對(duì)漏洞出現(xiàn)的攻擊程序、代碼也呈現(xiàn)出目的性強(qiáng)、時(shí)效性高的趨勢(shì)。

由于目前流行的各種熱門網(wǎng)站、客戶端軟件和瀏覽器,都存在著眾多漏洞和安全薄弱點(diǎn),使得用戶遭到攻擊的渠道暴增。而且,隨著黑色產(chǎn)業(yè)鏈臻于完善,支撐互聯(lián)網(wǎng)發(fā)展的多種商業(yè)模式都遭到了盜號(hào)木馬、木馬點(diǎn)擊器的侵襲,使得用戶對(duì)于網(wǎng)絡(luò)購(gòu)物、網(wǎng)絡(luò)支付、網(wǎng)游產(chǎn)業(yè)的安全信心遭到打擊。

2.利用CSS掛馬

如今交互式的Web2.0網(wǎng)站越來(lái)越多,允許用戶設(shè)置與修改的博客、SNS社區(qū)等紛紛出現(xiàn)。這些互動(dòng)性非常強(qiáng)的社區(qū)和博客中,往往會(huì)提供豐富的功能,并且會(huì)允許用戶使用CSS層疊樣式表來(lái)對(duì)網(wǎng)站的網(wǎng)頁(yè)進(jìn)行自由的修改,這促使了CSS掛馬流行。CSS掛馬方式,可以說(shuō)是Web2.0時(shí)代黑客攻擊使用最多的途徑。

黑客在利用CSS掛馬時(shí),往往是借著網(wǎng)民對(duì)某些大網(wǎng)站的信任,將CSS惡意代碼掛到博客或者其他支持CSS的網(wǎng)頁(yè)中。當(dāng)網(wǎng)民訪問(wèn)該網(wǎng)頁(yè)時(shí),惡意代碼就會(huì)執(zhí)行。這就如同你去一家知名且證照齊全的大醫(yī)院看病,你非常信任醫(yī)院,但是你所看的門診卻已經(jīng)被庸醫(yī)外包了下來(lái),并且打著醫(yī)院的名義利用你的信任成功欺騙了你。但是當(dāng)你事后去找人算賬時(shí),醫(yī)院此時(shí)也往往一臉無(wú)辜。

3.利用“熱點(diǎn)信息”傳播牟利

另一項(xiàng)逐漸成長(zhǎng)的網(wǎng)絡(luò)犯罪趨勢(shì)是所謂的搜尋引擎優(yōu)化 (SEO) 技巧,黑客專門利用這項(xiàng)技巧在熱門新聞搜尋結(jié)果當(dāng)中插入一些惡意鏈接,并且讓這些鏈接在搜尋結(jié)果中名列前茅。但這些鏈接其實(shí)是指向惡意網(wǎng)站。

用戶如何防范

據(jù)瑞星云安全監(jiān)測(cè)系統(tǒng)顯示,每天約有30%的網(wǎng)民上網(wǎng)時(shí)會(huì)遇到掛馬網(wǎng)站。這些掛馬網(wǎng)站中80%以上屬于管理不嚴(yán)的正規(guī)網(wǎng)站。用戶訪問(wèn)這些網(wǎng)站就會(huì)中毒。顯而易見(jiàn),越來(lái)越多的惡意攻擊源自利用CSS掛馬的合法網(wǎng)站。

傳統(tǒng)上,網(wǎng)民們有如下錯(cuò)誤觀念:只有不良網(wǎng)站才會(huì)帶毒,才會(huì)被掛馬,只要堅(jiān)持良好的瀏覽習(xí)慣,就可以躲避盜號(hào)木馬的侵襲。統(tǒng)計(jì)數(shù)據(jù)表明,這樣的觀念已經(jīng)過(guò)時(shí),黑客也已轉(zhuǎn)移目標(biāo),改變策略,不僅僅瞄準(zhǔn)一些不知名網(wǎng)站,那些所謂的正常網(wǎng)站、大中型網(wǎng)站正在整個(gè)木馬鏈條中發(fā)揮著越來(lái)越重要的作用。

所以用戶除了養(yǎng)成良好上網(wǎng)習(xí)慣,高度警惕網(wǎng)絡(luò)詐騙,不觀看各類不良視頻,不訪問(wèn)不健康網(wǎng)站以外,在客戶端部署相應(yīng)的安全軟件是非常必要的。

面對(duì)網(wǎng)站因?yàn)閽祚R面臨流量和可信度雙重危機(jī)的問(wèn)題,360安全中心向全社會(huì)推出了免費(fèi)的掛馬監(jiān)測(cè)服務(wù)。360安全工程師提醒廣大網(wǎng)民,事后查殺不如做好防御:按照360安全衛(wèi)士的提示為系統(tǒng)和各類應(yīng)用軟件升級(jí)、打補(bǔ)丁,就能對(duì)國(guó)內(nèi)絕大多數(shù)木馬免疫;瀏覽網(wǎng)頁(yè)時(shí)開(kāi)啟360網(wǎng)頁(yè)防火墻,可以有效攔截掛馬攻擊;對(duì)于那些非瀏覽不可的惡意網(wǎng)頁(yè),用戶可以使用360安全瀏覽器3.0版的“隔離模式”來(lái)預(yù)防掛馬攻擊。

針對(duì)波譎云詭的掛馬方式,瑞星專家建議網(wǎng)民安裝具有“木馬入侵?jǐn)r截”功能的安全軟件,這樣能夠通過(guò)對(duì)掛馬網(wǎng)頁(yè)行為的監(jiān)控,阻止木馬入侵用戶電腦,將木馬病毒攔截在電腦之外,例如瑞星全功能安全軟件2009就有這一功能。瑞星卡卡的“漏洞掃描與修復(fù)”功能,還可以幫網(wǎng)民修復(fù)系統(tǒng)漏洞,阻止掛馬網(wǎng)站利用各種漏洞進(jìn)行侵襲。

企業(yè)戰(zhàn)略集團(tuán)高級(jí)分析師 Jon Oltsik 說(shuō):“僅僅通過(guò)特征文件和行為啟發(fā)式檢測(cè),已經(jīng)不再能夠遏制數(shù)量急劇增加且日益復(fù)雜的安全威脅?！庇捎谀壳暗木W(wǎng)絡(luò)威脅不僅數(shù)量龐大而且比較復(fù)雜,因此唯有多層次的實(shí)時(shí)防護(hù)才能確保在線安全。

賽門鐵克新款 2010 產(chǎn)品中的諾頓智能分析系列技術(shù)使用了大量在線智能系統(tǒng),可主動(dòng)保護(hù)電腦,對(duì)用戶在上網(wǎng)時(shí)所遇到的文件和應(yīng)用程序的安全性,會(huì)做出及時(shí)通知。其中諾頓智能分析網(wǎng)絡(luò)利用賽門鐵克獨(dú)有的基于云的方法。它以 Quorum 技術(shù)為基礎(chǔ),采用優(yōu)于傳統(tǒng)黑名單和白名單的云安全技術(shù)。它根據(jù)對(duì)數(shù)百萬(wàn)臺(tái)計(jì)算機(jī)進(jìn)行的數(shù)十億次掃描,采用文件屬性的統(tǒng)計(jì)分析來(lái)識(shí)別文件的信任級(jí)別。通過(guò)這種方式,諾頓可以識(shí)別文件是可信任還是不可信任的,而僅采用傳統(tǒng)的安全方法,則無(wú)法識(shí)別這些文件的可靠性。

面對(duì)日益猖獗的木馬病毒和它背后龐大的灰色利益空間,前不久剛剛通過(guò)的刑法修正案將對(duì)這條黑色產(chǎn)業(yè)鏈進(jìn)行有力的打擊。這條法律的修訂說(shuō)明,從今以后,盜取網(wǎng)絡(luò)賬號(hào)等現(xiàn)象將成為刑法關(guān)注內(nèi)容,圍繞木馬病毒“制造-販賣-牟利”的黑色產(chǎn)業(yè)鏈條今后也將受到法律嚴(yán)懲。

為了吸引更多網(wǎng)絡(luò)罪犯使用,惡意軟件開(kāi)發(fā)者紛紛將他們的“作品”改為開(kāi)放源代碼。轉(zhuǎn)為開(kāi)源碼模式,能讓罪犯更方便地在惡意軟件中加入新的功能。