010年的互联网安全并不太平,黑客大量利用社交工程和搜索引擎毒化的方式对脆弱的客户端发动频繁攻击。根据趋势科技TrendLabs数据显示, 搜索引擎毒化(Blackhat SEO)技术在 2010 年第一季度仍旧是亚洲地区最盛行的攻击手法,此种攻击手段大量利用的社会热点新闻关键词,隐藏网页后面的木马病毒使得大量用户“中招”。
从2010年春节晚会报道开始,大到“玉树地震、云南干旱、世博开幕、房价调控”,小到“明星走光、脱衣门、NBA球员打架”,几乎所有能让网民关 注的事件同时也都被“有心”的黑客利用起来。我们发现网络犯罪分子已经利用黑帽搜索引擎毒化(Blackhat SEO)技术,成功地提高含有病毒网页在搜索排名中的名次。
以4月21日国外媒体报道的网络安全公司迈克菲(McAfee)误杀事件为例,由于将Windows XP的系统文件(svchost.exe)列入删除列表,导致Windows XP系统重复启动以及用户无法登录系统。据国外媒体报道,密西根大学医学院的2.5万台电脑中,有8000台当机;肯塔基州莱辛顿市警局必须改用手写报 告,并关闭巡逻车的总机;若干监狱取消探视;罗德岛各医院的急诊室也暂时拒收非创伤病患,并延后部分外科手术;甚至英特尔也无法幸免。尽管这次更新在发布 给企业用户4小时后紧急中止,但问题的严重性迫使全球数百万台的Windows XP用户不得不利用搜索引擎寻找更快的解决方案。
虽然McAfee通过向公众致歉、撤消缺陷更新、并就客户如何手动修复受到影响的计算机提出了相关建议,但此次“误杀”事件还是被部分黑客利用,大 量制造了假冒防病毒软件(FakeAV)、制造嵌入恶
意代码的网页,并针对此次事件发动了新一轮的Blackhat SEO攻击,以期试图窃取用户的信用卡详细信息或者诱骗用户将恶意代码安装在计算机上。以上手段让公众要获得关于误报问题的正确信息变得难上加难。
Blackhat SEO攻击并非全新的技巧,它之前被广泛应用到网络营销障眼法中,但是这种利用热门时事关键词搜索的攻击手法,仍旧是散播恶意程序很有效的一种方式。如果 网络犯罪者利用一些热门的话题,或是穿上安全软件“外衣”的同时,提升搜索引擎排名的结果,单独依赖终端用户防毒软件的能力很难有效防止植入FAKEAV 恶意程序威胁。
另外,由于FAKEAV变种中有许多是专门针对企业的新型病毒,因此已经给企业造成了很高的感染风险。在相对安全的局域网中,由于存在着无处不在的 “共享”环境,这些遭FAKEAV恶意程序感染的系统如果得不到及时地查杀,不但会继续散播,很有可能在较短的时间内让企业网络沦落为“僵尸网络 (Bot)”的成员,成为网络犯罪者窃取信息、散发垃圾信息的平台。由于企业内部网络的速度非常快,终端之间又存在着信任关系,相互随意访问,病毒传播只 需要2~3秒,查杀的困难相当大。
目前,我国很多企业虽然已在终端上加大防御,安装了防毒软件,但这样并不能避免相互感染事件的发生,例如挂马的热点事件网页、FAKEAV变种等, 如果采用传统的反病毒代码升级的方法,客户端将永远处于“被动”的局面。因此,采用云安全解决方案加强客户端的联动性,将是一个非常明智办法。
针对此次“误杀”事件的延续,另一国际安全厂商趋势科技表示,部分趋势科技产品用户已经利用其云安全网络信誉技术成功拦截了对这些指向FakeAV 的URL的相关访问。趋势科技的安全专家也提醒企业中的信息安全管理者,应对热点事件及时跟踪,并在内部沟通平台上发布经过验证的修复地址,或者在厂商的 知识库中访问修复工具的地址,以避免大量可能存在的“李鬼”进行攻击。