扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
本报告为奇虎360安全中心发布的研究数据和分析资料.该报告的主要数据来源于奇虎360安全中心、360安全论坛.报告主要针对2007年上半年中国互联网用户面临的安全威胁,尤其是恶意软件泛滥所导致的安全问题进行进行分析、研究和统计的结果.
本报告可供任何个人、政府相关部门及行业机构、企事业单位参考,但对于本报告所阐述之内容、数据及分析结果,奇虎公司不承担与此相关的一切法律责任.
目录
第一章 2007年互联网安全威胁发展趋势
(一) 恶意软件超过病毒成为最主要的安全威胁
(二) 以弹出广告、篡改浏览器为目的的恶意软件得到遏制,持续萎缩
(三) 木马程序成为新的主要安全威胁
第二章 木马盗号对用户造成的损失
(一) 即时通讯领域
(二) 网络游戏
(三) 网上支付和网上炒股
第三章 木马程序盗号技术分析
(一) 木马程序盗号流程
(二) 木马程序是如何侵入用户电脑的
(三) 木马程序盗号的主要技术手段
(四) 仅仅依靠杀毒软件难以有效解决木马盗号问题
第四章 木马盗号防治建议
(一) 及时打补丁,增强系统免疫力
(二) 阻断木马传播途径
(三) 查杀木马
(四) 采用有针对性的木马保护
(五) 群治群防,打一场反盗号的人民战争
名词解释
电脑病毒:所谓电脑病毒是指编制或者在电脑程序中植入的破坏电脑功能或者毁坏数据,影响电脑使用,并能自我复制的一组计算机指令或者程序代码
恶意软件:恶意软件是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵害用户合法权益的软件,但不包含我国法律法规规定的计算机病毒。包括:间谍软件(spyware)、广告软件(adware)、浏览器劫持(hijacker)、木马程序(trojan)
报告正文
第一章 2007年互联网安全威胁发展趋势
(一) 恶意软件超过病毒成为最主要的安全威胁
从2006年12月至2007年7月,奇虎360安全中心截获病毒、恶意软件及木马程序共计168135个,其中病毒35308个,恶意软件及木马类程序132827个,恶意软件及木马类程序的数量之和占据了近80%的比例:
针对网游盗号的问题,部分网游厂商采取了一些针对性的措施,例如:
1) 部分网游会自行研发一些反木马工具,或者采用第三方的反外挂软件来防止外挂程序,兼防止木马盗号。目前国内多数具有一定安全机制的网游采用的是韩国的著名 反外挂软件NP(NProtect),NP具有防止DLL注入、反调试、防止与未授权服务器通信等功能,但是由于NP软件的源码在2007年初被泄露,其 后续版本在功能上也没有太多改变,这就给中国大量制作外挂程序和盗号木马的人提供了便利,使得能够突破NP保护的木马也在不断出现。
2) 使用口令密码保护方法,例如盛大密保,魔兽游戏的矩阵式口令卡等。这种方式比单纯的软件口令保护要更安全一些,提高了木马程序盗号的难度。但是仍然有木马 程序能够破解,例如最近出现的可以破解魔兽矩阵口令卡的木马程序。另外,使用U盘等独立硬件方式的密保,由于成本的问题,也并非所有用户都在使用。所以实 际上大量用户仍然面临盗号的巨大风险。
(三)网上银行和网上炒股
银行排队难成为一个突出的社会问题,为了解决这个问题,众多商业银行一直在推行网上银行业务。但是由于各个银行不具备足够的安全技术方面的基础,使得用户网银帐号被盗,资金被转走,蒙受巨大经济损失的案件不断见于报端。
1) 网上银行和网上支付平台的安全问题
目前各银行的网银业务(包括很多第三方支付平台,例如支付宝),很多只是提供了基于IE浏览 器的操作方式(仅有招商银行提供专业版的网银客户端软件),并要求用户安装一个安全输入控件,以保护在浏览器输入的帐号信息不被窃取。但是这种安全手段是 较为低级的,很容易被木马程序破解。
为了进一步增强网银安全性,不少银行开始推行基于移动介质的数字证书(一个特殊的存储用户帐 号认证信息的加密文件),例如工行U盾、招行优Key等。这种方式要求用户平时不能把数字证书存储在电脑本机中,而是存储在移动介质(例如U盘)中,同时 在登录网银时,网银服务器和用户电脑之间会传送数字证书,利用基于PKI的密钥机制来验证数字证书文件的有效性,只有通过验证才允许用户登录。有了数字证 书,即使用户的用户名和口令被盗,但是如果盗窃者没有用户的数字证书的话,也是无法登录网银的。另外,即使盗窃者连数字证书文件也拿到了,由于在另一台电 脑上导入数字证书时,网银服务器也会问用户事先设定的一系列验证问题,只有回答正确才能导入成功,这也加大了盗窃的难度。
但是数字证书的方法也并非完美。一方面移动数字证书有成本,不少用户不愿意去买。另外,如果 用户的电脑上有黑客或后门类的木马程序,并且已经窃取了用户的网银帐号用户名和口令,盗窃者就可以远程操纵用户电脑,运行用户的网银客户端,输入窃取来的 用户名和口令,就能登录用户的网银了,这和用户本人操作完全无法分别,而且这些远程操纵可以做到非常隐蔽,难以被用户发觉。
2) 网上炒股的安全问题
据统计中国目前有超过1亿的股民,其中多数为新入市的股民,其中有不少于20%的股民在网上炒股。这些新股民缺乏必要的安全意识和技术手段,也成为盗号木马攻击的目标。
一旦被木马程序侵入电脑,股民们将会面临巨大的财产损失风险:
a) 不少股民在网上炒股时,其证券帐号与银行资金帐号往往使用相同的用户名和口令,所以一旦木马程序从炒股软件中窃取了用户帐号,就能通过网上银行去窃取用户银行帐号中的资金。
b) 在券商提供的炒股下单软件中,也会包含一定的安全保护模块。但同样由于技术的专业性不够,无法提供持续有效的安全保护。
c) 虽然炒股下单软件中,用户的证券帐号与银行资金帐号是绑定的(资金只能在用户自己的证券账户与银行账户间互转),但是盗窃者一旦窃取了用户炒股软件的账 户,就可以通过股票的买卖操作使自己获利,同时使用户蒙受损失。例如盗窃者可以用一个明显超出市场价位的价格(例如涨停价)卖出某只股票,然后通过木马程 序操纵某些股民的炒股软件去买入这只股票,这样盗窃者就可以获取巨额收益,而股民们则蒙受重大损失。
第三章木马程序盗号技术分析
(一) 木马盗号流程
木马程序盗号示意图
由上图可见,木马盗号的过程基本上可以分为四个环节:
ü 通过特定的传播途径侵入用户电脑系统;
ü 注入特定的目标应用程序;
ü 窃取目标应用程序中的用户帐号信息;
ü 发送给盗窃者邮箱或远端服务器;
一般来说,木马程序一旦窃取了用户帐号信息之后,会采用电子邮件的方式发送给某个邮件地址, 或者访问某个远端服务器将窃取信息传送过去。而且这些操作都可以以隐蔽的方式执行,例如将窃取信息的发送混杂在用户自己发送电子邮件或使用浏览器的操作 中,这样一般的防火墙是难以甄别的,即使提示用户也无法判断。因此,防范木马盗号绝不能仅靠最后环节的防火墙监控,在前面几个环节就必须施加安全保护措 施。
木马程序常用技术手段分析
1) 木马程序是如何侵入用户电脑的
木马程序虽不像病毒一样复制自身并感染其他文件,但是在互联网时代,木马程序通过多种方式具有更强的传播性:
a) 恶意网页 :用户在浏览网站时,某些恶意网站通过恶意脚本代码,即可利用系统漏洞在浏览者电脑中植入木马,令人防不胜防。
b) 移动存介质(例如U盘):Windows系统默认开启了移动介质的自动运行功能,只要系统中一插入U盘,U盘中的木马程序就会被自动运行从而侵入电脑中,这就使得木马程序极易通过移动介质在不同电脑中传播。
c) 软件下载安装:现在用户可以在很多下载站点,或者使用BT、迅雷、快车等软件下载工具非常便捷地下载安装共享软件。但是很多共享软件中往往捆绑插件或木马程序,并且在用户不知情的情况下同时安装到电脑中。由于恶意软件的泛滥,很多软件作者通过软件捆绑来赚钱,他们往往并不会分辨所捆绑软件的好坏。甚至有些软件本身只是一个下载器(也可能会装扮成某个实用功能),它的真正目的就是在后台不断地下载安装其他软件,许多木马程序就是通过这种方式进入用户电脑的。
d) IM消息:利用QQ或MSN发送欺骗性的消息,诱使用户点击传送的文件,或点击消息中的网页链接,从而将木马程序植入用户电脑。
e) 垃圾邮件:发送垃圾邮件,当用户打开邮件中的附件时将木马程序植入系统,或者诱使用户访问特定的网页,以植入木马程序,或者通过钓鱼网页直接骗取用户帐号。
值得注意的是,很多情况下,木马程序是利用Windows系统的漏洞(众所周知,微软的操作系统及应用软件存在众多的安全漏洞)而侵入用户电脑系统的。
一旦被木马程序侵入系统,如果木马程序的编制者技术高超,可以说用户的电脑就是任人摆布了。所以防止木马盗号的首要环节,就是必须堵住系统的漏洞,并且尽可能堵住木马的传播途径。
(二) 木马程序盗号的主要技术手段
当木马程序侵入系统后,它们窃取用户帐号所采用的技术手段通常有以下几种:
1) 键盘记录
常见的方法有利用系统提供的消息钩子注入到目标进程中,过滤并截获键盘输入消息。也有木马采用更底层的技术,例如采用键盘过滤驱动来截获键盘输入。
2) 屏幕监视
在后台开启一个程序,进行小范围和低速屏幕录制或截图。
3) 读取目标程序内存数据
寻找目标程序的内存中的敏感数据,读取并进行解密。
4) 钓鱼和域名劫持
木马程序可以修改系统的host文件,当用户登录银行等官方网站时,将被引导至一个伪造的钓鱼网站,如果用户在这里进行登录操作,个人帐号信息就会丢失。
5) 伪造登录窗口
木马程序如果发现用户执行某些特定程序的登录操作,立即屏蔽掉原始窗口,在其上构造一个伪造的登录窗口(通常会与真正窗口的样子完全一致),截获用户的输入操作。
6) 盗取数字证书:
在用户电脑中寻找数字证书文件,将其发生给盗窃者。
7) 解密网络传输数据包
分析目标程序客户端和服务器端通信的传输数据,尝试解密数据包。
8) 利用社会工程学进行破解
在用户电脑中寻找特殊文件,比如“pwd.txt”、“密码.rar”等等,将其发生给盗窃者。
360安全中心分析所截获的木马程序样本,发现绝大多数木马程序都必须经过两个环节来实施盗号行为:1)注入特定的目标应用程序;2)通过截获键盘输入或截取屏幕来窃取用户输入的帐号信息。所以防治木马盗号,必须有针对性地卡死这两个环节。
(三) 仅仅依靠杀毒软件难以有效解决木马盗号问题
虽然绝大多数盗号行为是通过木马程序实施的,而且杀毒软件也都包含了木马查杀功能,但是仅仅依靠杀毒软件是难以有效解决木马盗号问题的。这是因为:
1) 目前杀毒软件查杀病毒最有效的手段还是基于病毒特征库扫描的方式,对未知木马难以有效识别和清除。而基于行为判断的主动防御技术目前还不成熟,非常容易误报,或者用户难以理解报警的原因,这给用户带来非常大的骚扰。
2) 现在有很多专门制作木马的工具,以及专门给木马加壳的工具,使得木马的制作变得非常容易,而且大部分木马制作出来后都会采用加壳技术变形以躲过杀毒软件的查杀。
3) 杀毒软件依赖特征库进行扫描和识别,本质上是一种事后的处理技术。这意味着只有采集到木马程序样本,才能将其纳入病毒特征库。但由于制作和传播技术的简单,已经出现大量“小众化”的木马,传播面不大,难以被杀毒软件采集到样本,因而杀毒软件也就难以清除。
由此亦可见,仅仅查杀木马是难以有效保护网上帐号的安全的。因为木马查杀也是基于特征库的扫描技术,只能查杀安全厂商已知的木马程序。这也是为什么众多用户已经安装了杀毒软件或者个人防火墙,仍然频频发生盗号的原因。
针对性的帐号保护工具
(一) 及时打补丁,增强系统免疫力
多数木马侵入用户电脑系统都是利用了Windows系统的安全漏洞。众所周知, Windows系统以及应用程序(例如Office)的安全漏洞是非常多的,微软也不断在发布漏洞补丁程序。如果能够及时为系统打上相应的漏洞补丁,就能 够有效阻断木马侵入系统,无论是已知的木马还是未知的木马。所以最根本的还是应该尽量增强系统本身的免疫能力。
但是实际情况却是很少用户会意识到这个问题并及时打补丁。原因有几个方面:1)打补丁的过程比较复杂;2)从微软服务器下载补丁程序很慢;3)由于微软的WGA正版验证,很多盗版Windows无法打补丁。
另外,在网吧和校园等公共上网场所,由于电脑大多安装有还原类软件,网管通常会认为有还原功 能,即使被病毒或木马侵入,系统重启后也会自动清除,因此对系统打补丁就更加不重视。这是一个错误的观念,因为木马盗号是即时性的,如果一个用户在某次上 网期间,由于某种原因电脑中侵入了一个木马程序,那么在他玩游戏或者聊天的过程中,木马程序可能已经将其帐号盗走并发送给盗号者了,即使机器重启之后还原 了,但是对这个用户的损失已经造成了。
因此,360安全中心强烈建议用户,应该及时为自己的电脑系统手动打补丁,或者使用智能化的漏洞补丁自动修复工具,以便及时修复系统的安全漏洞,提升系统的免疫能力。
(二) 阻断木马传播途径
360安全中心建议用户选择具有以下功能的一种或多种安全软件的组合,来阻止木马的传播:
1) 网页防漏功能:可以智能拦截网页中恶意代码下载和执行可疑木马程序的行为,截断木马通过网页挂马的传播途径;
2) U盘免疫功能:禁止U盘等移动介质的自动运行,切断木马通过移动介质的传播;
3) 恶意软件拦截功能:自动拦截捆绑恶意插件、木马的软件安装,阻断木马通过软件捆绑传播;
4) 邮件监控功能:多数杀毒软件具有邮件监控功能,建议用户开启此功能,以放置木马程序通过邮件的入侵。
(三)查杀木马
如果没有及时打补丁,导致木马程序进入系统,这时就需要有能够及时查杀木马的工具。360安全中心建议用户养成定期查杀木马的习惯,例如在运行游戏或聊天软件之前,先使用杀毒软件或者专业木马查杀软件,将其特征库升级到最新版本,扫描并清除电脑中的木马软件。
(四)采用有针对性的网上帐号保护工具
前面说过,杀毒软件或者木马查杀软件只能查杀已知的木马程序,对于未知木马程序就无能为力了。因此用户需要对未知木马具有主动防范能力的特定工具,才能有效保证用户网上帐号的安全。
分析木马程序盗号采用的技术手段,基本上都必须经过两个环节:
1) 利用钩子技术(Hook)或底层驱动技术注入特定的目标程序(例如QQ、网游程序、网银客户端、浏览器等)
2) 截获特定程序中的键盘输入消息
因此如果能够卡死上述两个环节,让木马程序(无论已知还是未知)无法侵入特定的被保护目标程序,就能有效保护目标程序的用户帐号安全。建议用户选择具有上述功能的帐号保护软件。
(五)群治群防,打一场反盗号的人民战争
除了技术手段以外,反木马盗号还需要充分发动广大用户自己的力量,建立大家帮助大家的互动平 台,形成一场反盗号的人民战争。同时,360安全中心呼吁安全厂商联合起来,建立用户举报木马、恶意网页等的网上平台,并且在相互之间共享用户举报的木马 样本及恶意网页信息,这样才能形成遏制木马盗号的长效机制。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
去集群 更超群——大容量网络演进之路
2019 IBM 中国论坛
H3C 2019 Navigate 领航者峰会
助推数据中心网络现代化转型 打造灵活可靠基础架构平台