安博士Asec 2010年2月安全报告
Click here to load reader
-
Upload
ahnlabchina -
Category
Documents
-
view
216 -
download
0
Transcript of 安博士Asec 2010年2月安全报告
I. 本月安全趋势
1. 恶性代码趋势......................................................................................................................... 2
2. 安全趋势 ................................................................................................................................ 6
安博士公司的安全响应中心(ASEC, AhnLab Security Emergency Response
Center)是以病毒分析师及安全专家组成的全球性安全响应组织。此报告书是
由安博士公司的 ASEC 制作,且包含每月发生的主要安全威胁与响应这些威胁的
最新安全技术的简要信息。
详细内容可以在[www.ahn.com.cn]里确认。
I. 本月安全趋势
1. 恶性代码趋势
2 月份出现了各种类型的恶性代码。伪装正常系统驱动文件的垃圾邮件 mailer 和通过这种邮件
传播变种的蠕虫;像增加网络流量导致发生 BSOD(Blue Screen of Death)的恶性代码一样带来
危害性的恶性代码;像迎冬奥会伪装为特殊运动员的视频,安装假冒杀毒软件的恶性代码一样根
据时代制作的恶性代码;利用假冒杀毒软件和以捆绑形式安装的间谍软件来获取金钱上利益的恶
性代码。总体来讲恶性代码的活动比往常更活跃了。
伪装为系统文件的垃圾邮件 mailer
最近发现了伪装为正常系统驱动文件的Win-Trojan/Spamer.791552恶性代码。被认为是内核垃圾
邮件 mailer。有一段时间沉默着的内核垃圾邮件mailer重新登场,并具有自我保护功能给诊断
治疗带来了不少的麻烦。查看详细功能的话,目前被报告的内核垃圾邮件mailer(Win-Trojan/Sp
amer.7915)是把自身伪装为系统驱动文件名后装载到内存中。
[图 1-1] 内核垃圾邮件 mailer 执行顺序
之后在 Service.exe 生成线程连接特定 Host 并发送垃圾邮件。该恶性代码以驱动形式存在,禁止
其他进程读取它。登录到系统重启关联内核 call back routine 并删除自身,很难找到恶性代码本
身。像这次被自我保护的恶性代码和内核垃圾邮件 mailer 不是第一次出现。恶性代码的自我保
护功能越来越增强,比单纯把自身隐藏的隐蔽法更具有难度,给诊断/治疗带来了难题。
关于伪装冬奥会YouTube视频的恶性代码
最近发现了伪装特定运动员的比赛视频来安装假冒杀毒软件的网站。顾客通过以特定条件搜索时
会出现在前排,诱导该网站。大部分都是诱导感染恶性代码或者诱导虚伪网站。日后像这种形式
来盗取顾客信息的恶性代码会逐渐增多。
[图 1-2] 伪装特定运动员 YouTube 视频的网站
通过E-mail传播变种的Prolaco蠕虫
通过E-mail传播恶性代码已经成为了恶性代码的普遍方法。通过邮件传播的恶性代码伪装为从朋
友收到贺卡确认附件或者收件人收到了邮递物品确认附加信息等极为普遍的事情来骗顾客。但是
2月初在韩国收到了伪装为google邮件的Prolaco蠕虫的通报。这种变种使用“Thank you from G
oogle!”题目,内容中可以看到感谢应聘google和google商标等信息。伪装成特定供应商发送的电
子邮件的一种很特殊例子。把附加文件解压的话,会执行伪装成pdf文件的可执行文件。是普遍
的点击pdf文件来执行的恶性代码手法。“document.pdf .exe”(顾客
在Windows观察时不会显示中间的空白,只会看到“document.pdf”)
为了预防通过电子邮件受恶性代码感染,守护以下事项是非常重要。
1) 发件人不明确的邮件尽可能不打开并删除。
2) 电子邮件里有附加文件的时候,不可以直接运行。把文件保存到特定目录后用最新版本
的杀毒软件扫描后再执行。
3) 尽可能不点击电子邮件里的可疑链接。
4) 为了预防恶性代码,把杀毒软件升级为最新版本并开启实时监控功能。
5) 为了预防恶性代码,不仅要做到保持杀毒软件最新版本和安装操作系统最新补丁,还要
安装应用供应商提供的所有漏洞补丁。
增加网络流量的Win32/Bredolab
在 2 月份成为又一个话题的是 Win32/Bredolab 类的增加网络流量并发生 BSOD 的恶性代码。从
2 月初开始到目前一直收到企业顾客和个人顾客的请求。这种恶性代码的特征是特定 sys 文件下
载相当多的恶性代码并感染系统,增加网络流量造成网络障碍及枯竭系统资源。并且被安装的特
定 sys 文件发生 BSOD。目前 Security 对应中心发布了补丁和对应指南。在 ASEC 对应部门 blog
(http://core.ahnlab. com/120)可以了解更详细的信息和对应指南。
假冒杀毒软件危害增加
假冒杀毒软件引起的危害没有中断过。这些没有得到用户许可安装并操作,还会把使用window
或web browser时自动生成的临时文件诊断为恶性代码疑似项目,并且持续诱导以付费的方式来
治疗。间隔一段时间,继续执行治疗操作,仅仅通过web surfing而生成的临时文件也诊断为恶性
代码并进行治疗。这样不仅存在金钱问题,还会导致通过反复不必要的扫描与治疗使系统功能下
降的主要原因。他们不是通过分析恶性代码来更新引擎,而是随意盗用其他计算机安全企业所提
供的病毒/间谍软件信息来制作产品。还有通过把系统日期使用为引擎版本,来欺骗用户。为了
获取更多利益,一般会同时运营3个以上不同名称的假冒杀毒软件。安全企业主要是保护用户计
算机的安全为目的, 但这些企业仅仅是为了挣钱而制作假冒的骗子。
[图 1-3] 把系统日期使用为引擎时期
收藏夹, 生成快捷方式广告软件的增加
关于生成很多网络收藏夹和快捷方式的广告软件增加了。以前多数是使用ActiveX进行安装,但
最近主要安装为广告软件。广告软件欺骗用户所产生的收入是会通过一定的回扣方式收取。预测
通过用户便捷而使用的收藏夹和快捷方式来谋取钱财的示例会继续增加。
[图 1-4] 生成广告软件的收藏夹
2. 安全趋势
Internet Explorer Information Disclosure 弱点
在Black Hat DC 2010进行了关于Microsoft Internet Explorer绕过Security Zone的弱点的发表。
相关弱点是从以前就开始存在的,是针对除了设定为Internet Explorer7,8的Protected Mode以外
的所有版本。攻击者使用相关弱点通过连接网页,来获取用户本地计算机上的文件信息或者使用
脚本来执行任意命令。MS Internet Explorer为了系统安全采用以下Security Zone模块。
- 网络(Internet)
- 本地内部网(Local Intranet)
- 可信赖的网站(Trusted Sites)
- 限制的网站(Restricted Sites)
其中重要文件或持有恶意的文件划分为以起码的权限来呼叫的限制网站(Restricted Sites)领域。
一般网站会赋予网络领域(Internet Zone)权限,而用户计算机内部的call包含本地领域(Local Mac
hine Zone)。下面脚本文件如果在系统中用户cookie保存的位置(Document and Settings\userid\Co
okies)打开,会被认为是限制的网站(Restricted Sites)领域,而不会正常执行。
[图 2-1] 脚本内容
[图 2-2] 执行结果 : 限制网站领域
但是在URL路径下输入'\\127.0.0.1\c$'连接时,Internet Explorer会认为是网络领域(Internet Zone)
而正常执行脚本。
- file://127.0.0.1/C$/example.dat
[图 2-3] 执行结果 : 网络领域
为了成功进行攻击,首先把文件放在本地系统里,找到使文件可以解释为HTML文件的方法。在
用户本地系统里放一些进行恶意操作的脚本文件,可以参照利用网络服务器上的set-cookie头方
法,利用url history方法等以公开的各种弱点或绕过的方法。如果,攻击者成功的把恶意代码生
成在用户系统时,会使用以下代码进行操作。
[图 2-4]利用动态生成tag的方法
由于使用这些方法,攻击者会在用户系统中直接执行脚本,而获得接近用户系统中任意文件的权
利。不同于一般的恶意代码进入网络,也可以通过连接cookie,url、history文件及各种路径来执
行,所以如果发生实际相关弱点的攻击会导致很难检测。
Twitter Direct Message Phishing Spam
发生了Twitter的Direct Message功能用于攻击的垃圾。相关垃圾会给用户发送“haha. This yo
u???? http://tr.im/PyJH”,用户点击该网站会连接到假冒Twitter登录页面。
[图 2-5] 用户收到的 Direct Message (图片来源 - http://techie-buzz.com/)
假冒Twitter登录页面地址以twitter.login开始,不可用肉眼识别与实际页面,所以用户不会怀疑而
试图登录。详细内容会在网络安全事件中讨论。