【51CTO.com独家特稿】近期值得关注的新闻以威胁和攻击领域内的为主。围绕疯狂扩散的Conficker蠕虫进行的攻防战本周仍在持续进行,但微软等厂商的监控结果显示Conficker仍有较强的存活能力,存在较久的老蠕虫也开始加入战团,威胁态势仍不容乐观;而无线通信技术的快速发展也促使了新概念恶意软件的产生,本期回顾将关注一个基于短信服务的病毒。
漏洞攻击也是近期的一个热点话题,微软本周将发布本月的例行更新,攻击者利用ppt的0day漏洞大肆进行攻击的事件也随之浮出水面。渐渐升温的软件安全市场吸引了越来越多的厂商加入,Fortify无疑将是本周该领域的明星,笔者将和朋友们一起关注其最新发布的政府软件安全新报告和SaaS形式的软件安全服务,同时还将关注一下OWASP组织本周推出的代码安全审计指南。而在本期回顾的最后,笔者为朋友们精心挑选了三个值得一读的推荐阅读文章。
近期的安全威胁等级为中,对用户和系统威胁较大的威胁类型仍为恶意软件和针对流行软件的漏洞攻击,建议用户注意更新自己的系统和软件,并使用合适的反病毒和防火墙软件。
恶意软件:Conficker蠕虫通过P2P升级逃避检测;新的SMS病毒显示移动威胁继续上升;关注指数:高
经过安全厂商和ISP的不懈努力,近段时间疯狂扩散的Conficker在本周已经得到了一定的控制,但用户也不应放松警惕——根据多个安全厂商的监测结果,为了逃避安全厂商和ISP的围堵攻击,网络犯罪集团用P2P技术对Conficker蠕虫进行了升级。这次升级后的Conficker蠕虫不再使用原有的IRC控制模式,而通过P2P网络对现有的Conficker进行升级和控制,这样用户通过网络流量分析检测和防御Conficker蠕虫的手段就显得不太有效了。新版本Conficker使用P2P网络进行通信的特征与Waledac及Storm蠕虫相类似,或许也暗示Conficker蠕虫的作者与上述两者可能有所联系。
目前由安全厂商组成的Conficker Working Group团队已经在对Conficker的最新样本进行分析,并提出对应的解决方案。笔者建议,用户应保持现有反病毒软件的更新,定期对自己系统上的驱动器进行查杀。对于内部网络规模较大的企业用户,可采用嗅探器、网络分析仪等工具来审计网络流量,若存在可疑的P2P流量则可能是已经感染新版本的Conficker蠕虫,另外企业用户可在结合使用网络版反病毒软件的同时,通过防火墙封堵企业网络对外的P2P流量,也能阻断Conficker蠕虫对企业网络带来的进一步威胁。
Conficker蠕虫的“成功”也大大的刺激了其他蠕虫的控制者,Microsoft在本周早些时候发布警告称,一个早在2005年就出现的老蠕虫Neeris重新开始活跃,并通过Conficker蠕虫的感染技术大肆扩散。Neeris是一个主要通过MSN虚假信息传播的IRC蠕虫,最早于2005年出现,之前最后的Neeris版本使用MS06040漏洞进行扩散。这次出现的新版本Neeris蠕虫显示,使用新蠕虫的技术改造老蠕虫,已经成为网络犯罪集团对现有攻击手段进行升级的主要方式,用户在防御如Conficker这样的流行蠕虫的时候,也不应忽视已经休眠或消失的老蠕虫,说不定什么时候这些老蠕虫就会换上个新面孔卷土重来。
而在移动计算领域,近段时间恶意软件的活动也有增多的趋势。反病毒厂商F-Secure在其本周发布的第一季度恶意软件报告中称,2009年第一季度的恶意软件威胁仍然高企,第一个基于文本短消息服务(SMS)病毒的出现则是最有代表性的事件。这个名为SymbOS/Yxe的病毒主要感染使用Symbian操作系统的手机,它会向用户发送带有虚假链接的SMS,欺骗用户运行链接所指向的手机程序,如果用户不慎下载执行了链接中的程序,就有可能感染该病毒并成为新的传染源。
这个病毒所使用的攻击手法与PC上常见的即时通讯病毒病并无差异,但因为它通过移动网络传播并以手机为感染对象,同时用户手机列表上的联系人都是信任关系,所以SMS病毒的成功率要远高于传统意义上的即时通讯病毒。根据F-secure的分析结果,这个SMS病毒的主要目的可能只是在于窃取被感染用户的手机联系人,同时发送大量的垃圾短信。
但笔者认为,要把该病毒修改成能够盗取用户手机卡上话费资金,或窃取用户隐私信息的手机病毒并不存在技术上的困难,因此该病毒的进一步发展值得关注,这种使用社会工程学来欺骗用户下载执行手机程序的攻击手法,可能也会成为未来一段时间对用户联网移动设备攻击的主流手段。建议用户在使用手机或其他能够连入移动通信网的移动计算设备时,还是要提高自己的安全意识,不要轻易去点击不可信的链接和下载执行不明软件,以免感染恶意软件,造成自己隐私信息或经济上的损失。
漏洞攻击:PowerPoint再成黑客目标;微软本月发布8个更新;关注指数:高
在安全业界正对Conficker等在互联网上大肆扩散的恶意软件焦头烂额的时候,微软的Office产品又再次成为黑客攻击的目标,这次的受害者是Office中的PowerPoint组件。微软本周发布安全公告称,目前已经确认黑客利用的是一个未经修补的存在于PowerPoint中的软件漏洞,主要威胁Office 2000和Office 2003,目前在互联网上只发现有少量的此类攻击存在,利用该漏洞的PPT文件携带有一个特洛伊木马,如果用户收到此类文件并不慎开启,就将有可能感染该PPT文件中携带的恶意软件。
不过有意思的是,这次PowerPoint攻击的发现是因为免费的病毒扫描服务VirusTotal向各反病毒厂商提交的样本,相信可能是攻击者通过该网站进行检测测试时留下的样本。微软已经开始对这个威胁Office安全的漏洞进行调查,但没有说明什么时候才会向用户提供针对该漏洞的更新程序。
本周又是微软定期发布补丁更新的时间,微软将提供包括5个安全等级为关键的8个补丁程序,分别修补Windows、Office和Internet Explorer中存在的严重安全漏洞,另外的补丁程序则是为ISA和SearchPath提供的。由于5个关键更新所针对的漏洞都是对用户威胁最大的远程代码执行漏洞,可以预见在不久的将来利用这些Windows漏洞进行扩散的蠕虫,以及攻击上述IE漏洞的恶意网站将大量增加,笔者建议朋友们尽快通过微软的官方站点或Windows Update下载并应用本月的更新程序,同时将现有的反病毒和防火墙软件更新到最新版本。
软件安全:Fortify新报告指出政府软件安全;OWASP推出代码安全审计指南;关注指数:高
软件安全作为安全市场上的一个新兴领域,正吸引着越来越多的安全厂商的注意,Fortify无疑是这个市场内具有代表性的厂商。针对政府用户当前所面临的软件安全威胁,本周Fortify推出了一个名为《如何在政府软件中构建安全》的新报告,该报告指出,政府用户当前所使用的软件正面临着众多不同来源的安全威胁,同时缺乏一个行之有效的软件保障程序,因此政府用户的网络和系统往往会因为存在大量的软件漏洞,而暴露于各种外界攻击的威胁之下。
为了帮助政府用户了解如何建立一套有效的软件保障体系,Fortify还在报告中提供了几个美国政府机构实施软件保障的案例研究。本月早些时候Fortify和咨询机构Cigital曾合作推出了旨在帮助企业实施软件安全的标准指南,这次推出的政府软件安全指南,则可以认为是Fortify对软件安全的市场细分行为。由于政府用户不同于一般企业用户的敏感性,笔者认为安全行业还是应该针对当前国内政府用户的软件安全情况,同时参考国外该领域的最新发展成果,制定出适合我国现状的软件安全保障体系。
另外,本周还有一个关于Fortify值得关注的安全新闻,即Fortify将其现有的软件安全产品转化成云计算平台的方式,通过服务的方式交付给最终用户。Fortify的SaaS(软件即服务)版本的软件安全解决方案,主要关注企业中第三方应用程序的安全审计,尤其是无法从软件厂商处得到源代码的应用程序的安全保障,而采取SaaS的形式进行交付,也可以帮助许多预算不足的中小企业进行安全要求不高的软件保障项目。Fortify通过SaaS方式来交付相对使用成本较高的软件安全解决方案,这个理念相当值得国内的安全厂商借鉴,再加上适合国内现状的特定应用程序审计策略,以及友好的用户操作,应该会成为国内逐渐升温的软件安全市场中的一个亮点。
开源Web应用程序安全机构OWASP本周发布了其最新的代码安全审计指南 1.1版本,旨在帮助用户对现有的Web应用程序进行代码安全审计,防止出现各种最为常见的安全漏洞,结合之前推出的Web应用开发安全指南和Web应用安全测试指南,OWASP已经为用户提供了一整套Web应用程序的安全保障体系。
随着Web应用程序在企业领域中所占的比重越来越大,Web应用程序的安全问题也逐渐成为威胁企业内部网络及系统安全的主要因素之一,不过因为Web应用程序的安全开发、测试和代码审计仍是一个非常耗费时间和人力的工作,从长远来看企业在内部培养一个专业的Web应用安全团队还是要比外包这项工作要更为有效,笔者也计划整理一下OWASP已经推出的几份Web应用安全指南,为朋友们提供对这几份文档的翻译和更进一步的相关知识整理。
推荐阅读:
1) 恶意的JavaScript如何躲避检测,推荐指数:高
许多朋友认为,只要安装了最新的反病毒软件,即使不按时应用系统更新就浏览网站也是没什么问题的,实际上这种看法是错误的,通过JavaScript加密技术,恶意的JavaScript程序能够躲过反病毒软件的检测。互联网安全组织SANS本周通过一个实例分析了JavaScript加密分析,有意思的是,作为分析对象的JavaScript加密方式很快就被黑客应用到对Twitter的攻击中。有兴趣的朋友可以在下面的链接中找到这个分析文章:
http://isc.sans.org/diary.html?storyid=6142&rss
2) IC3的2008年度网络犯罪报告;推荐指数:中
网络犯罪已经成为互联网应用的最严重威胁,并呈现每年快速上升的趋势。由美国FBI和NW3C两个政府部门共同组建的互联网犯罪防止中心IC3,于本周早些时候发布了2008年度网络犯罪报告,全面详细的介绍了2008年网络犯罪的情况。法律和安全行业的朋友可以将这个报告作为全面了解网络地下经济的材料。资料的地址如下:
http://www.nw3c.org/downloads/2008_IC3_Annual%20Report_3_27_09_small.pdf
3) 如何建立企业入侵分析体系?推荐指数:高
我们在实践中经常能遇到这样的情况,企业在购置IDS之后往往疏于管理和维护,IDS也变成企业内网中可有可无的摆设。构建一个有效的企业入侵分析体系,看来是将这些设备充分的使用起来的好办法,推荐对入侵分析感兴趣的朋友阅读一下SecurityFocus专栏文章《如何建立企业入侵体系》,文章链接如下:
http://www.securityfocus.com/infocus/1904?ref=rss
【51CTO.COM 独家特稿,转载请注明出处及作者!】
【编辑推荐】
