摘要:02月20日,国内专业互联网安全公司金山网络正式发布《2011-2012中国互联网安全研究报告》。报告指出,去年全年新增病毒总数再次下滑,而针对网购的攻击则日益普遍,钓鱼网站取代病毒木马成为互联网第一大安全威胁,每月拦截网民访问次数比去年激增了100倍。
关键词:中国互联网安全研究报告2011-2012
第一章2011年度互联网安全威胁四大特征
1.钓鱼网站取代病毒木马成为首要安全威胁
2.网购木马呈现增长趋势网购攻击日益严重
3.电脑病毒制造者向手机安卓平台转移
4.社会化媒体成为诈骗传播新宠
第二章安全风险统计数据
1.病毒感染统计与分布
2.Android手机病毒感染数据
3.钓鱼网站统计
第三章2011年度重大安全事件
1.个人隐私非法泄露
2.网购木马抢劫案
3.商业银行动态口令升级群发短信诈骗
5.新浪微博遭遇XSS蠕虫攻击
7.Android手机恶意软件迅猛增长
8.两高院通过办理计算机信息安全刑事案件司法解释
9.淘宝客欺骗者病毒干扰淘宝店经营
10.社交网站风生水起,安全威胁与之伴行
第四章年度十大病毒
1.鬼影病毒
3.变形金刚盗号木马
4.输入法盗号木马
6.空格幽灵病毒
7.DNF(地下城与勇士)假面病毒
8.淘宝客劫持木马
10.网购木马
第五章流行病毒的破坏现象
第六章病毒传播渠道分析
第七章新威胁
1.服务器成为重点攻击目标
2.骗术仍将层出不穷
3.病毒灰色化
4.针对移动互联网的攻击会更加剧烈
金山毒霸云安全中心数据显示:2011年钓鱼网站增速明显,下半年进入集中爆发期,2011全年新增钓鱼网站数量达到45万个,2011年12月当月新增钓鱼网站是1月份的两倍以上。2011年11月,金山毒霸拦截钓鱼网站次数达到11亿次,(而2010年最高峰也仅有1000万次),受影响网民约占总数的10%,网民平均每浏览14个网页就有一次遇到钓鱼网站。
2011年金山毒霸拦截新增病毒达到1230万个,较2010年呈现下降趋势,日平均拦截次数约500万次。2011年,钓鱼网站的拦截次数是病毒木马的5倍之多,钓鱼网站已经成为中国互联网安全的首要威胁。
钓鱼网站的制造手法也呈现多样性和技术性,从直接复制伪造知名网站的页面,到利用XSS的漏洞攻击、制造多次跳转来达成钓鱼的目的。
除了进行一对一的诈骗以外,部分网购木马还主要针对浏览器进行重点突破,2011年,金山毒霸经常截获网购木马主动推荐浏览器的情况,用户使用该浏览器进行购物,被害风险极大。金山毒霸提示用户,网购时请谨慎选择浏览器,如果浏览器阻止第三方安全软件在用户网购时进行保护,请及时切换浏览器。
高性能智能手机和平板电脑市场份额的快速增长,以及手机购物、手机游戏等应用的风靡,引发了手机安全威胁的爆发,电脑病毒制造者将主要诈骗阵地从PC转移到手机。
金山手机卫士云安全中心数据显示,2011年安卓平台的恶意软件增长速度迅猛,据样本数统计,年末日均新增病毒数量比年初增长十倍。全年安卓平台新增病毒数量23681个,受害用户1037万人,其中660万手机用户是在手机论坛或手机安卓市场下载软件时中毒。
而智能手机的恶意软件类型也呈现多样化,从最开始的暗扣话费、订购服务、浪费流量、消耗电力,发展到窃取隐私和云端控制手机。2011年底,数以千万计的智能手机被曝植入CIQ手机间谍,一时引发全球瞩目。
软件漏洞也是黑客攻击的另一个重要通道,2011年,数个智能手机管理软件的安全漏洞曝光,安卓平台手机接入无线局域网后,攻击者可以轻易获得手机中存放的个人隐私数据。
2011年,恶意传播者利用人们社会心理而非技术手段实施欺诈的案例增长十分明显,这种趋势未来会愈演愈烈。防范这种社会工程欺诈和假冒社交熟人欺诈,仅靠安全软件不行,最关键的还在于网民要提高自己的安全意识。
1)新增病毒总数再次下滑
2011年金山毒霸捕获新增病毒1230万个,从新增病毒总量来看,这是自2010年来的再次下滑。
图1每年新增病毒数量统计(2003年以来)
2)沿海省份是病毒感染或网络攻击高发地区
按病毒感染次数统计,广东、江苏、浙江位列前三,这与相应地区互联网应用普及程度吻合。
图2分省(地区)统计病毒拦截次数
仔细分析攻击源IP,发现有相当一部分位于IDC机房。表明,这些省份的服务器托管资源中有较多已被黑客控制,黑客使用这些系统对其他电脑发起攻击。
3)金山毒霸保护用户免于病毒攻击的次数约500万次/天。
图4金山毒霸云安全系统日拦截次数
4)每天检测到病毒的电脑占总数的4~8%,每天检测的文件中,有2~7‰带毒。
图5金山毒霸云安全系统日拦截黑文件的比例
每检测1000个文件有2~7‰的概率发现病毒,若按电脑台数统计,则大大高于这个数字。下图显示,每天有4%-8%的电脑上会发现病毒。
图6云安全系统统计数据(按感染病毒的电脑数量计)
金山手机卫士云安全中心监控到2011全年安卓平台新增病毒数量23681个,受害用户1037万人。从每天的样本数统计来看,1月份日均新增病毒20个,到12月份时,日均新增病毒数已突破200个,年末日均新增病毒数量比年初增长十倍。
图72011年新增手机病毒分类统计
Trojan泛指扣费木马、不包括带后门功能的一般病毒;
Hack指后门病毒,包含一部分捆绑型黑客工具;
Other指捆绑木马程序及吸费后门的恶意软件。
按手机病毒的地区分布看,广东、北京、江苏、上海这四个省市感染量就占了总感染量的80%。
图8手机病毒感染情况地区分布
1)2011年新增钓鱼网站在45万个左右,年底相比年初约增长了一倍。
图92011年新增钓鱼网站数量
2)每月钓鱼网站的拦截次数在4亿~11亿之间,覆盖网民4000万至7000万人。这些网民访问到钓鱼网站的概率为5~7%之间,差不多每浏览14个网页就有一次碰到钓鱼网站。
图102011年5-12月拦截到钓鱼网站的次数和人数统计
图112011年5-12月拦截的钓鱼网址占正常网址的比例
而在2010年,金山毒霸每个月拦截到的钓鱼网站数量,在最高峰的11月份,也只有1000万次。
图102010年金山毒霸拦截钓鱼网站的次数
3)淘宝网最受钓鱼网站制作者垂青
在2011年新增的钓鱼网站中,假淘宝独占鳌头,占总量的28.21%,其次是各类中奖。
图13钓鱼网站类型统计
4)81.82%的钓鱼网站服务器托管于国外,位于国内的不到20%。
图14钓鱼网站托管服务器分布
据金山毒霸安全中心2011年中对1000余名网购被骗受害者专题调查,全国各地均有网民受害,近7成受害者被骗金额在500元以下。
图16网购被骗、被盗的金额分布
在2011年上半年的网购安全专题调查中,统计受害者的被骗或被盗的入口,有60%通过聊天工具发生。
图17网购诈骗方式统计
2011年末,中国公众经历了一次大规模个人信息泄露事件的洗礼,几乎人人自危。CSDN、天涯等众多互联网公司信息被公开下载,截至12月29日,CNCERT通过公开渠道获得疑似泄露的数据库有26个,涉及帐号、密码2.78亿条。这些信息均为黑客攻击商业网站后窃取并泄露到公众面前,而黑客手中掌握的公众信息到底有多少,对公众还是个未知数。
2011年3月,知名互联网交互设计专家“一叶千鸟”网购被骗5万余元。互联网行业老兵网上购物尚且被骗,普通网民在线购物面对猖獗的网购木马、钓鱼网站,已成待宰羔羊。
在大量同类案例中,许多受害者向警方报案时,却无法清晰描述受骗经过。大多数案件只骗几百元,甚至几十元。受害者投诉维权的成本太高,最后往往自认倒霉。到目前为止,众多网购木马制造者仍未落网,网购木马变种仍然层出不穷。
2011年6月28日晚8点,新浪微博突然遭遇蠕虫式的“病毒”攻击,众多加V认证的名人微博自动发布带攻击链接的私信或微博。后查明,这是攻击者利用新浪微博的XSS(跨站)漏洞攻击,点击某个微博短址链接后,会自动加好友,自动发微博并同时传播攻击链接。结果在短短半小时左右,数万人受波及。幸运的是,攻击者事实上并无恶意,只是一次恶作剧,但XSS蠕虫攻击的威力已被公众领教。
“淘宝客欺骗者”病毒专门劫持淘宝网搜索结果。当用户在淘宝网搜索商品时,会自动跳转到淘宝客搜索推广站点。此后,任意交易卖家就要付出佣金,增加了网店经营成本,淘宝也会因此多支付佣金,而淘宝买家也因浏览器被强行劫持,只搜索到病毒想推广的商品而丧失了自由选择的权利。
在追逐经济利益的时代,能给公众留下深刻印象的病毒木马已非常罕见。2011年,病毒木马变得更隐蔽,病毒行为正在灰色化。恶性病毒在减少,惹人烦的骚扰型病毒却在增加。以下是2011年度十大病毒。
鬼影是2010年出现的可以感染硬盘主引导记录的病毒,该病毒甫一出现,就因成功直接在Windows下改写硬盘分区表而闻名。2011年鬼影病毒升级了数个版本,其特点基本为改写硬盘主引导记录(MBR)释放驱动程序替换系统文件,干扰或阻止杀毒软件运行,恶意修改主页,下载多种盗号木马。
在最新出现的版本中,还会释放自己的驱动程序和杀毒软件对抗,阻止杀毒软件修复被改写的硬盘主引导记录(MBR)。2011年9月,鬼影4代病毒(其他杀毒厂商称为BMW病毒),除了上述特征还可感染电脑特定型号的主板BIOS芯片,使病毒的清除更加困难。
2011年输入法盗号木马病毒释放的mgtxxx.ocx文件拦截量曾经居高不下,病毒还推广较多的互联网软件赚取推广费,病毒的主要目的是盗取游戏账号。该病毒最大的特点是注入注入输入法程序,当用户按ctrl+shift切换输入法时,会激活病毒程序。
该病毒是一个仿图片的病毒,实质是一个远程控制程序。用户一旦打开查看此“图片”,远控程序就会在计算机后台悄然运行,为黑客打开便利之门。黑客可以像控制自己电脑一样控制中毒电脑,这可能会导致用户隐私信息泄漏和虚拟财产被盗,甚至黑客可以利用其组建僵尸网络,对目标计算机进行攻击。这个病毒的特点是使用空格键为启动快捷键,每按一次空格,就激活病毒程序运行,空格幽灵由此得名。
淘宝客劫持木马是指劫持浏览器访问淘宝网、淘宝商城到淘宝客页面的一类木马病毒。这类病毒是通过推广淘宝客导致商家成本上升佣金被吸走。淘宝客病毒在2011年严重感染,对淘宝的正常经营构成较严重影响,许多店主表示佣金花冤枉了,不得已只能放弃淘宝客这种推广方式。
网购木马在2011年全年都很活跃,从发现它的第一天到现在,版本一直在更新,手法一直在变换。有多个网购木马成功突破安全软件的防御,甚至有网购木马还会直接推荐安装某安全浏览器,因为只有在网民使用这种浏览器购物时,病毒才会偷窃成功。
网购木马伴随2010年网购爆发增长而激增,2011年前2个月,平均每月增加新变种近3000个。
在恶意软件的构成中,木马(troj)类(含木马下载器)占据绝对主流,蠕虫病毒、宏病毒、感染型病毒的数量在恶意软件总数中的占比持续减少。
2011年,病毒感染之后破坏系统的情况进一步减少,病毒导致系统崩溃或者变卡、变慢的情况也在减少,部分原因是计算机硬件性能提升,多核CPU正在普及,病毒木马即使耗光一个核心的资源,剩余的系统资源也基本不影响正常功能的运行。
在这种情况下,木马得以有更多机会在中毒电脑隐藏而不被发现。2011年病毒比较典型的现象有:
2)莫名其妙被安装了较多软件。
3)在线购物时被骗钱,网银明明显示扣款成功,交易系统却显示未付款。
5)游戏帐号或装备被盗。
6)其他不易被网民主观察觉且更为严重的影响:电脑被远程控制、个人资料被泄露。
杀毒软件还普遍加强了对U盘病毒的防护和查杀,使得U盘传播病毒的情况也有所下降,病毒木马更多的使用了网络下载和即时通信工具传播。
图12病毒传播渠道的变化
鉴于下载是病毒传播的主渠道,金山毒霸2012中特别强化了边界防御功能。在使用浏览器下载或聊天时接收文件带毒的比例在6%-10%之间,这是一个相当庞大且危险的数据:意味着,每下载10个软件,就可能遇到一个文件带毒。
在杀毒软件不断针对下载渠道改进防御系统的情况下,下载传毒也变得不那么容易了。观察发现从年初到目前,下载保护拦截到病毒的概率正在缓慢下降。
图19下载保护拦截到病毒的概率约占下载总量的8%左右
盗版视频、成人视频网站在病毒传播中起着举足轻重的作用。杀毒软件一般作法是拦截带毒播放器的运行,结果有大约20%的网民选择关闭杀毒软件后,继续下载带毒播放器。金山毒霸2012采用安全看片功能,来隔离病毒运行,该功能推出后大大降低了看片中毒的概率。
统计结果:访问视频网站安装带毒播放器的平均超过2万次每天,按提示进入安全看片的超过1.5万次,有4000余次会选择关闭网页拒绝带毒播放器,坚持下载带毒播放器的下降到数百次。
2011年底自CSDN被暴库以后各大网站纷纷被“脱裤”,用户的账号密码瞬间暴露出来,相对单个的计算机来说,服务器就是一个宝库。在客户端防御越来越严密时,服务器可能会被列入重点攻击目标。
2011年底有关隐私泄露的话题引发长达一个月的讨论,之前只在小圈子流传的公众数据一夜之间暴露在公众面前,网民安全感顿失。互联网还值得信任吗?
金山毒霸官方微博对此做了简单调查,调查网民对最常使用的20种互联网服务做信任投票,选择心目中最信任的五个互联网服务。这个小调查用来观察网民对常见的互联网服务的信心指数,截止2月9日,该活动共吸引了8370名网民参与。
图13网民对互联网服务的信心指数
金山毒霸安全中心在分析病毒传播规律时发现,一些早已可以查杀的病毒总在不断造成较多的感染。在联系过用户之后得知,很多情况下用户明明知道程序有风险(杀毒软件已经报告了),但为了使用这些软件,用户会按那些网站的提示关闭杀毒软件,再运行危险程序。杀毒厂商需要克服这些利用社会工程学欺骗来传播病毒的问题。
2012年,病毒产业追逐经济利益的趋势不会改变,但随着监管部门打击力度的加大,以及杀毒软件云安全体系的防护,我们看到大量病毒正在趋于灰色化:即破坏性越来越不明显,比如锁定主页,添加浏览器书签和推广互联网软件。中毒用户在清除失败时,会觉得破坏并不严重,而对病毒采取姑息态度。有些商业公司为了更快速的推广自己的软件,默许这种恶意推广行为的存在。
病毒和钓鱼网站勾结的情况将会增加,我们已经观察到某些病毒感染后,会篡改DNS解析,当用户访问正常网站时,会由于域名解析错误,用户会访问到一个钓鱼网站。
采用塞班操作系统的手机正在迅速被Android系统取代,国内Android市场管理又相对宽松混乱。高性能智能手机在移动互联网的使用体验和PC没有本质差异。攻击手机系统可以获得非常直接的经济收益,预计原来基于PC互联网的攻击者会逐步向手机平台转移,首当其冲的就是迅速普及的Android操作系统。