近日,百锐信息安全实验室发布《百锐互联网用户账户安全报告简版》(以下简称报告)。该报告指出,报告期内(2011年上半年),互联网用户账户信息安全所受到的主要威胁有盗号木马、欺诈网站、服务器攻击和手机病毒四种,且呈现出比以往更为错综复杂的特征。
报告指出,百锐云安全系统在全球范围内共截获新增木马样本816214种,总体数量与去年同期相比上升32.4%。中国大陆地区148467种,占全球18.19%。2011年上半年,百锐云安全系统共截获47.2万个挂马网址和43.9万个欺诈网址。手机病毒新增病毒木马家族1021种,其中Android病毒木马第二季度较第一季度增加了29.09%。
木马病毒愈加猖獗
报告显示,木马病毒呈现出了新的特征,并且在技术发展上也有了新的趋势。木马呈现出了更加专业化的特征,并且其反病毒软件技术的对抗能力也逐步升级。由于国内网络游戏产业年产值已超百亿元,受利益的驱使,针对网游的盗号木马在所有木马中的比例也高于了其他种类。报告中指出,危害用户账户的前四类木马依次是Trojan.Win32.OnLineGames,TrojanDownloader.Win32.FakeQQ和TrojanSpy.Win32.Banker 以及Trojan.Win32.AliPay。
通过对2011上半年新增木马的恶意行为分析发现,互联网新增的木马对计算机系统的损害越来越小,对用户操作体验的影响也越来越小,导致计算机反复重启、阻断网络连接及正常软件无法使用的恶意行为已十分少见。其目的是在用户不知情的情况下实现窃取私人信息(包括网络游戏、IM、网银等帐号信息)。其中,游戏外挂插件捆绑木马、玩家间传输文件以及私服发布网站挂马是网游盗号木马的三大传播途径。
报告指出,中国2011年上半年互联网整体挂马情况非常普遍,全国所有省份都存在程度不一的挂马现象。同时,国家重点部门和单位的网站也被发现存在较为严重的挂马问题。春节期间是全年挂马量最高的时刻,各个长假期间的挂马量也比平时有显著提高。受高考影响,6月份在被挂马的网站中,高校网站开始明显增多。北京是挂马重灾区,居全国首位,其次是广东和上海。挂马源主要在国内服务器,其中广东省是传播重点地区。以下数据显示了木马病毒肆虐的区域性分布:
数据来源:百锐互联网用户账户安全报告简版
钓鱼网站数量激增
此次报告的另外一大发现是,2011年上半年,百锐云安全系统总共截获了43.9万个钓鱼网址,较去年同期上涨37.54%。网络钓鱼的主要方式有:提示用户中奖并给出中奖验证码,仿冒知名电子商务网站和银行网站。钓鱼网站也延续了以往的特征,恶意认识将目标锁定了需要网上支付的网站。
而一个典型的网络钓鱼事件的流程是:提示用户中奖,并给出获奖验证码,用户输入获取到的验证码后,进入下一页面,提示用户所中奖项并要求用户汇款来办理手续等内容。以下数据显示了钓鱼网站的区域性分布:
数据来源:百锐互联网用户账户安全报告简版
手机病毒危害凸显
随着3G网络及智能移动终端的蓬勃发展,用户用手机上网的时间也大幅增加,随之而来的手机病毒危害也日益凸显。2011年上半年,百锐截获的手机病毒共有1021种,受攻击最多的手机操作系统种类依次是:Symbian、Android、WindowsPhone、iOS。
报告指出,虽然Symbian的发展的步伐放缓,但是由于其用户数量基数大,Symbian病毒占所有手机病毒总量的83.15%,仍是手机木马的重灾区。值得注意的是,Android病毒木马增势明显,数据和信息表明,Android恶意软件对用户的威胁正在持续上升。以下数据显示了手机病毒木马统计情况:
数据来源:百锐互联网用户账户安全报告简版
杀毒软件亟须更新换代
百锐信息安全实验室认为,杀毒软件传统的特征码匹配技术已无法满足现今的安全需求。原因是随着病毒木马的海量增长,杀毒软件公司已经很难及时收集这些新增的病毒木马样本。即使杀毒软件公司能收集所有样本,随着病毒库的海量扩展,其体积也会日益增加,相应的杀毒软件在计算机系统上将占用更多的内存等资源,最终导致杀毒软件日益臃肿,使得系统资源难以满足。加之传统的特征码病毒检测技术具有先天缺陷:先有病毒,然后才能收集样本提取病毒特征。这种被动响应模式永远滞后于病毒发作。
面对复杂多变的恶意威胁,安全软件需要向“全面防御”方向快速转型。在PC木马的防御方面,基于反病毒虚拟机的启发式检测技术,以及云查杀技术将逐渐取代传统特征码匹配技术发挥它们的重要作用。
反病毒虚拟机技术:通过构造一个虚拟机,将病毒木马加载到虚拟机中运行,通过在反病毒虚拟机中监测被检测程序的行为来判断是否是病毒木马。百锐实验室经过多年研究,掌握了一流的反病毒虚拟机技术,自主研发了国内第一款基于代码动态、静态启发分析等技术的启发式检测引擎,为广大用户提供未知病毒防御保护。
云查杀技术:云查杀是将过去单机版的数据库安装在云端(即服务器端)。由个体被动态向立体的主动发现查杀发展,使新病毒的查杀进入以秒为单位计时的时代。
在网络钓鱼防御方面,应该在黑白名单技术基础上,增加对网站的扫描和分析的过程,分析网页特征及网页的行为,才能在第一时间识别钓鱼网站。当前,包括百锐、卡巴斯基等安全厂商已支持网页行为分析技术。而在手机病毒防御方面,“云+端”结合的“云安全”技术模式将成为未来在移动安全领域的技术发展趋势。
百锐建议
报告最后称,面对不断涌现的新兴威胁,亟待安全厂商进行通过技术创新来遏制其衍生。同时,企业及个人也应增强信息安全意识主动保护用户账户和资产安全。
对于企业而言,计算机网络的安全稳定至关重要,影响着企业的生存和发展。应充分重视数据信息的防护工作,增加人力、物力(高质量的软硬件安全产品)投入。要建立企业计算机安全网络防御体系,必须将原有的平面结构的计算机网络调整为层次保护结构的网络,形成外部网、办公网和生产网等的多层结构。
任何企业、任何人都不能单纯依赖一种方法来保护其数据及私密文件。除了安装部署包括百锐引擎家族在内的正规安全产品,还应在平时注意更多细节,例如碎纸方法不当导致的数据损害,由公共数据库导致的身份窃取,保护或监视不当造成金融欺诈。
对普通网民而言,可以采取多种措施来提高个人账户安全系数。例如,使用专业的安全软件;培养良好的上网习惯;及时进行系统升级,修复漏洞;使用高强度口令;使用数字证书或令牌等安全产品。