卡巴斯基實驗室2007年上半年的追蹤惡意網站及惡意軟件(通過網站傳播)報告中顯示,近幾年,惡意軟件傳播方法已經發生了變化,從固定的介質(硬盤)轉向郵件傳播(如聲名狼藉的愛蟲郵件)以及直接的網絡攻擊(如紅色代碼)。如今惡意軟件最新的發展是通過萬維網傳播。
基于網頁的惡意軟件快速增長有很多因素,其中一個原因是由于在2003到2006年發現了微軟IE存在大量漏洞。另外一個原因是由于大多數反病毒引擎和訪問網頁的方式在理念和設計上不兼容,因為大多數反病毒引擎需要拷貝整個文件來檢測是否感染病毒,這就會在掃描類似網頁流文件時發生問題。當然,此問題可通過代理層方案解決,先高速下載流量,下載完畢后便會將其傳至反病毒引擎,然而,這種方式也不是很普及。
基于網頁的惡意軟件快速增長的另外一個因素或許是因為企圖阻止電子郵件中的可執行格式附件。早在2003年和2004年,大多數惡意軟件通過電子郵件傳播(如.EXE/.SCR/.PIF文件等),許多系統管理員決定完全禁止電子郵件中的可執行格式文件,這樣做的直接結果就是惡意軟件作者開始使用壓縮文件傳播-如ZIP文件。早在2006年,包含漏洞的微軟Office文件也是惡意軟件傳播的載體。
惡意軟件作者想到了一個簡單的方法來解決這個問題:他們放棄電子郵件來發送惡意軟件主程序,而開始發送包含惡意程序的網站鏈接地址。因為郵件網關僅過濾郵件正文,不可能檢測在郵件中是否鏈接惡意網站,利用這種手段可以達到目的。
上面列舉的因素是惡意軟件傳播的方式,誘惑用戶打開包含惡意軟件的web服務器,或者手動執行惡意軟件(社會工程學),或者利用用戶網頁瀏覽器漏洞達到攻擊目的。
傳播方法
包含在網站中的惡意軟件感染用戶計算機主要有兩種方法:
第一種方法利用社會工程學攻擊,例如,攻擊者發送一封包含網頁鏈接的郵件,聲稱該鏈接網站很有趣,以下為此類電子郵件實例:
圖1. 內含有惡意軟件鏈接的電子郵件
在上面的郵件中,YouTube鏈接是一個假冒網站,當打開該網頁時將顯示“無法找到該視頻”,影片的HREF鏈接卻指向另一個IP地址的網站,當用戶訪問時顯示以下內容:
圖2. 包含惡意軟件的假冒網站
“點擊這里”鏈接將指向名為“video.exe”的可執行文件,其為Zhelatin的一個變種,也稱為風暴蠕蟲。
惡意軟件傳播的第二種方法是通過網頁瀏覽器漏洞感染系統,以下是這種方式的例子:
圖3. 包含漏洞的網頁源代碼,目的攻擊Mozilla Firefox
上面的圖片顯示了網頁中的一部分,該網頁包含已加密網頁瀏覽器漏洞。大多數包含網頁瀏覽器漏洞的站點會使用一些模糊化技術,其目的是避免基本的可以通過掃描TCP/IP流的 IDS檢測,這些掃描的類型是已知的,也相當于簡單基于代碼的反病毒系統,該漏洞代碼一旦被解密,將進行分析:
圖4. 解密攻擊程序部分畫面(Trojan-Downloader.JS.Agent.ep)
既然如此,惡意代碼試圖加載具有很長名稱的“.WMV”文件,這是Windows Media Player插件 EMBED溢出漏洞(在微軟Windows 安全公告MS06-006-說明“Windows Media Player 插件由于其處理格式錯誤的 EMBED 元素而存在一個遠程執行代碼漏洞(911564))。現今瀏覽器回將此類要求傳送到Windows Media Player,一旦檢測到漏洞,將導致系統崩潰。有趣的是,即使系統已經更新到網頁瀏覽器的最新版本,如果Windows Media Player有漏洞,系統仍然可以被感染。
如以上所述,惡意程序有兩種主要的方法通過網絡入侵受害者計算機:通過利用社會工程學或者網頁瀏覽器漏洞。不過您也無需感到驚訝,因為在大多數情況下,惡意程序作者依靠這兩種方法結合來提高入侵成功率。
上面提到的例子Zhelatin就是利用了這兩種技術的結合,傳播該蠕蟲的后臺程序似乎使用PHP語言編寫,惡意網頁在給用戶前要做很多事情。最重要的是,它要檢查瀏覽器User-Agent標識符,假如該標識符不常見,如蘋果操作系統中的Safari或Linux中的Lynx,將使用社會工程學技術發布網頁。假如瀏覽器標識符看起來屬于Internet Explorer,如“Mozilla/4.0”(和MSIE 6.0; Windows NT 5.1相兼容),它將發布包含特殊IE攻擊程序的網頁,在Firefox中也是如此。
前20位惡意軟件來源國家
惡意軟件來自哪里呢?要回答這個問題,很有必要來回顧一下黑客操縱惡意軟件的解決方案。
今天已經發現了大量猖獗的惡意軟件,他們的傳播方式很多。可以在入侵的家庭計算機上發現其蹤影,他們通過運行少量http服務的計算機的僵尸入侵計算機并將其變為傳播點。也可以在一些被黑客攻擊的ISPS網站上發現。這對于提供給用戶免費網頁空間來建立自己的網站是常見的選擇,如www.pochta.ru、www.googlepages.com、www.100freemb.com、www.dump.ru 或者 www.home.ro等。
也有一些情況是使用偷竊來的信用卡去合法網絡提供商那里購買域名和主機資源,目的是傳播惡意軟件。
今年早些時候,一個中等規模的托管公司遭受了黑客的攻擊,黑客利用控制面板版本的漏洞獲得了托管在該公司服務器上所有賬號權限,該攻擊者檢查了入侵計算機上的所有網站的主頁,利用IE漏洞加入了一小段腳本語言,黑客還安裝了惡意軟件,包含隱藏程序。在類似攻擊事件中,二月份超級杯海豚體育場網站被黑客攻擊,在網頁源代碼中注入了漏洞。或許近期出現的是印度銀行網站被攻擊事件,該事件發生在2007年8月底,在這次攻擊中,主頁代碼被修改,在其中加入了一個IE IFRAME漏洞,這樣可以進一步有利于惡意軟件傳播。
以下為使用Akross系統檢測到的傳播惡意軟件IP地址地理分布圖:
前20位惡意軟件來源國家及地區
中國以31.44%的惡意網站數量居排行榜首位,美國以25.90%緊鄰其后,這些國家在近幾年相關的惡意軟件統計中幾乎一直占主導地位,要改變排名先后取決于惡意軟件編寫的趨勢和操作系統的發展,十分有趣的是,在中國最流行的惡意軟件載體是被黑網站和所謂的“防彈主機”,在美國,主要是被黑客攻擊“.com”網站和一些利用竊取的信用卡購買到的合法主機資源。 俄羅斯和巴西占據第三和第四位。這些國家情況類似,因為大多數惡意程序托管在“免費主機資源”中,網絡服務提供商為用戶提供機會可以向計算機上傳自己的網站。
隨著惡意程序傳播方法的不斷變化,可以預料惡意程序的作者將繼續構思感染計算機的新方式。現有的傾向包括通過P2P網絡傳播或通過自由軟件傳播。
毫無疑問,在這種情況下,網絡成為惡意程序作者首選的傳播媒介,并且這種傳播方法在2007年五月似乎達到了高峰。不過從那以后,新的惡意網站的數量在某種程度上有所下降。盡管這是個好消息,但每天仍然有很多新的惡意網站出現,誘惑用戶的社會工程學技術或攻擊程序變得越來越復雜。
中國和美國是惡意網站數量的兩大巨頭,盡管上述兩國的政府做了最大的努力。惡意網站仍然盛行。雖然美國有能力在48小時內關閉包含惡意網站,但中國卻并非如此。我們都知道,惡意網站在中國已經肆虐一年之余,所有關閉包含的惡意網站的努力都以失敗而告終。在這種情況下,越來越多的惡意網站將會在中國落戶,所以中國正在成為惡意程序滋生的溫床。
卡巴斯基實驗室將一如既往的監視這種狀況,我們在以后的文章中提供相關資料,讓用戶了解反病毒公司和互聯網的執法單位的共同努力是否會降低傳播惡意軟件的網站數量。
同時,用戶應當及時更新他們的操作系統,使用Internet Explorer 6的應該換為Firefox、IE7和Opera等更佳安全的瀏覽器。最后,如本文以上所述,網站是當今惡意軟件傳播的主要媒介,因此擁有一款能夠監控網絡流量的反病毒軟件絕對是必要的。
