Fortinet釋出2013上半年網路威脅報告

本文講的是 :  Fortinet釋出2013上半年網路威脅報告  ,  【IT168 資訊】8月7日訊息，近日，Fortinet公司的FortiGuard威脅研究與響應實驗室(FortiGuard Labs)釋出了最新的安全威脅報告包括2013年上半年的安全威脅趨勢並建議對已發現的漏洞，及時的補丁是避免攻擊的必需。

　　移動裝置的灰色軟體在急增

　　FortiGuard Labs觀察到過去超過6個月的時間手機灰色軟體增加了30%。現在，每天看到超過1300個新的樣本，且當前正在跟蹤超過300個Android灰色軟體家族以及250000多個Android惡意軟體取樣。以下圖1所示是2013年1月到7月之間的手機灰色軟體增加趨勢。

圖1

　　自攜帶裝置與自找麻煩

　　“自攜帶裝置(BYOD)“對於公司來講好處多多，其中最主要的是對僱員效率與生產率的提高。然而，寬鬆的BYOD策略的缺點是移動裝置惡意軟體感染使用者裝置，緊接著是整個業務網路的威脅。

　　“三年前，移動裝置的惡意軟體還沒有受到使用者或企業的太多關注。當時針對智慧手機和平板電腦的大部分惡意軟體只不過是annoyware (一般性困擾軟體)，例如用於SMS詐騙或替換使用者圖示的Cabir病毒或詐騙軟體。”Axelle Apvrille，FortiGuard Labs資深移動裝置反病毒研究員談到。 “隨著由於移動裝置激增，網路罪犯也希望利用著逐漸龐大的使用者基數。移動裝置的惡意軟體的泛濫不會很快減弱。”

　　從Symbian系統開始

　　2009年，所存在的大多數移動裝置灰色軟體的目標是Symbian OS;iOS與Android在市場上相對較新。此外，大量的惡意軟體編碼程式設計師在東歐和中國，Symbian在這些地方有大量的使用者基數群。圖2顯示了2009年移動裝置灰色軟體傳播作為活躍的國家。

圖2

　　圖3顯示了2009年灰色軟體攻擊最頻繁的目標作業系統資訊

圖 3

　　2013年 移動裝置威脅格局的改變

　　在2013年，移動裝置威脅格局發生了巨大的變化。全球大規模移動製造商採用谷歌的Android作業系統帶來了市場中智慧手機的普及。 Android裝置遍地開花，價格上從便宜到昂貴均有，加上各種應用極大的擴充套件了移動裝置的功能，網路罪犯與其他不法的網路黑手都伺機而動利用這個平臺。

　　勒索軟體出現在移動裝置

　　2012年FortiGuard Labs預測勒索錢財的軟體將會在走向移動終端裝置。現在它們來了。“勒索軟體可謂在金錢財物方面網路犯罪非常昭著，他們已經把注意力轉向了移動裝置這並不奇怪。”FortiGuard Labs安全戰略專家 Richard Henderson說道。 “這些軟體披著防護軟體的外衣進入Android系統，如同假冒防病毒軟體浸入PC的手法一般-打著利他主義的大旗下是其真實目的待爆發。這種惡意軟體會鎖定受害人的手機直至所要求的付款執行後才會解鎖裝置。一旦手機被鎖定的，受害人可以支付贖金或如果手機中的照片等資料均有完整備份，那麼可以棄手機於不顧，重新刷機。”

　　對舊有漏洞的新攻擊

　　雖然最近對Ruby on Rails，Adobe Acrobat與Apache的補丁已經出了，FortiGuard Labs發現仍然有一些攻擊者利用這些舊有未打補丁的漏洞。

　　Ruby on Rails

　　今年一月份的時候，釋出了Ruby on Rails架構中的重要漏洞，遠端攻擊者可以利用這個漏洞對web伺服器執行程式碼。

　　Ruby on Rails(ROR)是一個Web應用框架的Ruby程式語言。簡單地說，可以快速簡單美觀的編輯製作 Web2.0網站。相當多的網站在使用 RoR框架。Metasploit的設計可用於漏洞的掃描，查詢web伺服器並破解就成了小事一樁了。

　　“破解需要XML處理器還原序列號程式中的缺陷，由此才能在執行中建立一個Ruby物件”，“RoR的補丁就是修復這個缺陷的，但是從補丁釋出後已經四個月了，攻擊者還在搜尋未打補丁的Web 伺服器從而實現嵌入的程式碼感染”，Henderson說道。

　　Java遠端程式碼執行

　　今年一月份，發現一個零日攻擊可以繞過Java的沙盒並執行任意的Java程式碼。Java是網路無所不在的一種技術應用，大多數計算機裝置都安全並啟動了一些形式的Java。漏洞允許一個惡意小程式執行於任何的Java程式，繞過了Java的沙盒並可允許多受感染計算機的完全訪問。

　　這樣的攻擊被大範圍的發現，且破解方式被很快整合到許多流行的犯罪讓軟體的攻擊包中，例如BlackHole, Redkit與Nuclear Pack，通過購買這樣的攻擊包就成在計算機上安裝灰色軟體。Metasploit也可以用於漏洞建立，更容易通過一個簡單的點選而發現被感染者。

　　“該漏洞涉及一個JMX(Java Management Extensions)元件中的缺陷，通過它可以允許惡意的Applet提升其許可權並允許任何Java程式碼。”Oracle快速的釋出了補丁，但是這樣的漏洞已經被列入到網路犯罪軟體包中。新的受害者還是源源不斷被發現，因執行了未打補丁的Java。”Herderson說到。

　　Acrobat/Acrobat Reader零日攻擊正在泛濫

　　二月份的時候，一個偽裝為來自土耳其的旅行簽證的PDF檔案被發現到處流行，利用了Adobe Reader未被發現的漏洞。該漏洞存在於所有最近的Adobe Reader (9.5.X, 10.1.X, 與11.0.X) 版本，以及大多數的Microsoft Windows，包括64位Windows7和Mac OS X系統版本。該PDF漏洞被網路犯罪所利用以在其鎖定的目標計算機系統中安裝灰色軟體。Adobe在2月20日釋出了補丁，但是網路罪犯仍然利用未打補丁的版本而發動魚叉式釣魚攻擊。

　　CDorked 攻擊了Apache

　　四月末的時候，對Apache Web伺服器的一個新的攻擊被發現。Dubbed CDorked，一種灰色軟體可以相容Web伺服器並將訪問伺服器的使用者重新定向訪問到其他伺服器，從而使用BlackHole漏洞工具實現灰色軟體的鏈入。該攻擊可能將Lighttpd 與 Nginx Web 伺服器平臺作為目標。

　　CDorked顯示出了與2012年的 DarkLeech 對Apache伺服器攻擊的諸多相似，但是它比顯DarkLeech更隱蔽與狡猾的地方在於：CDorked沒有載入額外的惡意模組到被感染的伺服器，而是惡意修改現有的httpd。

　　CDorked很有意思，它沒有Web伺服器的硬碟驅動器寫入任何的資訊：所有的資訊都被儲存在記憶體中且通過攻擊者對所攻擊的伺服器傳送模糊GET請求來訪問。這些GET請求都不會日誌記錄。CDorked在其操作方式上顯示出了一些手法。

　　Herderson說到“它有一個內建的限額系統，換句話說，CDorked並沒有試圖將每個伺服器訪問者重新定向到BlackHole網站。它還對試圖訪問受感染web伺服器的管理頁面的使用者進行了隱藏，防止該使用者可能注意到被重新定向到了一個惡意網站。CDorked這樣的做法並不是獨一無二的。其他惡意的灰色軟體也具有嵌入的防止灰色軟體分析師或其他白帽黑客檢視的做法”。

原文釋出時間為：2015年7月6日

本文作者：董建偉

本文來自雲棲社群合作伙伴IT168，瞭解相關資訊可以關注IT1684

原文標題 :Fortinet釋出2013上半年網路威脅報告