报告迈克菲威胁报告： 2009年第二季度

　　Web 2.0和Twitter

　　在本季度，随着法航空难、伊朗大选、法拉 ·福西特和迈克尔·杰克逊去世等重大事件的相继发生，人们开始了解到Web 2.0所发挥的重大作用。而问题是Web 2.0是否真的已经成熟。在流行天王去世的消息发布后，Facebook和Twitter都出现过流量暴增的情况。这些活动曾一度使与该新闻事件相关的安全风险难以控制。随着这种新的通信形式在全球范围内的进一步推广，恶意软件作者和网络钓鱼者也会紧跟潮流。

　　社交网站上存在一些明显的安全风险。其中许多风险都与人们不经考虑便运行的大量功能和应用程序有关。这种漫不经心的态度使得各种蠕虫、钓鱼攻击和其他恶意活动有机可乘。例如，许多社交网络工具能够为用户执行各种任务(从监控银行帐户到阻止他人以及对他人隐身)。关键在于，许多此类“工具”要求用户输入用户名和密码。但不幸的是，许多人对于Web 2.0提供的交互式体验感到如此轻松惬意，以至于忘记了在线安全的基本常识。一旦攻击者获得了帐户凭据，他们便可完全拥有受害者好友的访问权限，并可发动各种恶意攻击。这种现象为“友善之火(friendly fire)”一词赋予了新的含义。

　　于2006年问世的Twitter现已风靡全球。它是如今Internet上使用最频繁的应用程序之一，居于Internet流量排行榜第27位(由Alexa排名)。因此，恶意软件、网络钓鱼和诈骗活动迟早都会利用和攻击Twitter及其用户。此外，Twitter已成为企业和消费者经常使用的工具;攻击者可以利用其高曝光度将使用者定向至各种URL。由于用来“喋喋不休”的空间十分有限，许多使空间最大化的方法(特别是TinyURL)广为流行。(TinyURL是一种Web服务，能够将较长的URL替换为较短的别名，而浏览器能够通过此别名重定向至完整的地址。)虽然 、TinyURL是一种非常有用的服务，但用户在尝试访问页面前并不清楚将被重定向到何处。因此，经过掩饰的地址使用户丧失了查看搜索结果和新闻链接时的谨慎态度，而他们只能依靠网关和桌面机的安全措施为其提供保护。

　　四月份，该微型博客平台遭遇了各种JavaScript蠕虫的攻击，这些攻击利用跨站点脚本(Cross-site Scripting, XSS)漏洞来感染其他用户的资料。当Twitter用户资料开始发布鼓励人们访问StalkDaily.com(Twitter的竞争对手之一)的消息时，第一个警报出现了。现年 17岁的Mikeyy Mooney创建了该Twitter克隆网站，并声称对此次攻击负责：“我编写了 XSS的代码，当它自动更新用户的资料和状态时，就充当了蠕虫的角色，之后它会感染查看用户资料的其他用户。坦诚的说，我这样做是因为自己无聊。我平常喜欢查找网站的漏洞，但并不想搞破坏。散布一款蠕虫病毒或其他一些病毒，不但能够使其他开发者意识到存在的问题，而且有利于提高我本人及网站的知名度。”

　　在Twitter宣布已解决此问题的几小时后，另一款类似的蠕虫又侵入了该社区。感染过程与前者相同：查看受感染的用户资料后，蠕虫开始执行并在查看者的资料中注入代码，以传播病毒。第二天又发生了两起攻击，迫使Twitter工作人员删除了10000个传播蠕虫的帐户。

　　几天后，exqSoft Solutions(一家自定义Web应用程序开发公司)的创始人兼CEO Travis Rowland证实，他已聘请Mooney到其公司工作，并且Mooney已接受了这份工作。这一消息令人感到震惊和遗憾，因为编写恶意代码的行为不应起到求职信或推荐信的作用。

　　与此同时，还出现了效仿这些“知名”蠕虫的新病毒变种。

　　Twitter遭到黑客攻击

　　一个黑客宣称已获得Twitter员工帐户的管理访问权限，这已是本年度第二次发生此类事件。

　　四月份，一个化名“黑客克罗尔”的匿名法国黑客在一个法国在线论坛上发布了一些屏幕截图。这些图像明显是在黑客登录到Twitter产品经理Jason Goldman的帐户时抓取的。

　　图15:Twitter遭到黑客获取管理员帐户访问权限的攻击。

　　营销工具还是垃圾邮件发送工具?

　　如果对 Twitter提供的服务在现在和将来的影响力表示怀疑，只需搜索Internet上出现的某些服务即可。

　　图16a、16b和16c：Twitter上到处都是销售机会，然而，他们是在推销还是散布垃圾信息?许多服务都要求用户泄露登录信息，这终究不是一个好方法。

　　Twitter垃圾邮件

　　毫无疑问，垃圾邮件将无处不在。它已将黑手伸向了Twitter。

　　图 17a和 17b：Twitter垃圾邮件将传送类似于上面实例中所示的消息。

　　Twitter成为漏洞研究目标

　　“Apple漏洞月”和“PHP漏洞月”结束一段时间后，定于今年7月举办的“Twitter漏洞月” (Month of Twitter Bugs, MoTB)将如期而至。我们等待着不可避免的跨站点脚本(XSS)和跨站点请求签名(Cross-site Request Forgery, CSRF)漏洞的出现，这些漏洞使Twitter用户处于恶意黑客攻击的危险之中。

　　推出此项目的Raff Aviv在其网站上写道：“每天我都将在twitpwn.com网站上公布一个第三方Twitter服务中的新漏洞。由于这些漏洞可能被攻击者利用来制造针对 Twitter的蠕虫病毒，在公布漏洞之前，我将给第三方服务供应商和Twitter至少24小时的时间来解决漏洞问题。”

　　我们很高兴看到，Twitter能够在外力的推动下去解决潜在的漏洞并降低其广大用户的风险，尽管我们并不认为这种提前24小时的通知是一种负责任的披露。以往的经验告诉我们，如果不安装修补程序，大量使用Web 2.0技术的高流量网站将会被网络黑客所利用。

　　黑客行动主义归来

　　本季度中，Twitter在伊朗大选后的风波中发挥了作用。Twitter用户传播了有关抗议政府的信息。Twitter也成为分发拒绝服务攻击工具和联合攻击一些伊朗新闻站点的渠道。

　　图18：伊朗人利用Twitter向当权者发起抗议。

　　无论政治倾向如何，使用Twitter传播信息和协调行动都显示了社交网络工具(Twitter及一般社交网络工具)的巨大能量。

　　图19：Twitter和其他社交网络工具已形成一股强大的力量。

　　Twitter可能是目前社交网络工具中的宠儿，但它并不是唯一的选择。Facebook仍然是一项受用户和恶意软件编写者欢迎的服务。Avert Labs注意到，以Facebook用户为攻击目标的主要恶意软件Koobface的数量有所增加。(请参见下面的图20。)该恶意软件仍然是我们所追踪的最流行的威胁之一。

　　图20：每月发现的独特Koobface二进制文件。五月的威胁数量大幅上升。

　　网络钓鱼

　　本季度，我们发现采用外语针对外国银行进行网络钓鱼的URL数量有所增加。我们还注意到一些使用不同套件和方法的网站一同建立起来;这些套件是多语言的。例如，我们发现了一个用来生成1784个网络钓鱼网站的套件。该套件的法语版共生成了 214个网络钓鱼网站。在5月28日，我们发现新网络钓鱼URL的数量急剧上升。其中许多URL都分布在各个地区，并且使用不同的套件。

　　图21：每天新发现的网络钓鱼站点。5月28日，网络钓鱼者发起了最猛烈的攻击。

　　美国仍是拥有网络钓鱼站点最多的国家。而某些国家拥有更多“危险”的站点。这和我们每次检测的情况大致相同。

　　图22：网络钓鱼网站的分布。

　　恶意软件：网络犯罪的真实面目

　　在许多方面，网络犯罪已经随计算机以及人们使用计算机的方式一同演变。在计算机和Internet发展的最初阶段，我们就发现了恶意软件和网络犯罪，只是当时我们没有使用这些术语进行定义。病毒攻击了引导扇区，它们是寄生性的，并且主要通过软盘进行传播。诈骗活动和垃圾邮件也是很早以前就已出现，其目的和今天一样，即出售东西。当互联网的使用呈爆炸性增长时，恶意软件和网络犯罪也随着用户行为的变化而不断演变。现在，许多人的生活已经和计算机的使用密切相关。无论是在线支付帐单、撰写博客或与他人在Facebook和Twitter进行交流，人们及其身份数据都是数字的。恶意软件作者和网络犯罪分子完全了解这一发展趋势，并且始终与其同步发展(或者说一切都在其意料之中)。他们目前使用的工具和服务反映了他们对发展趋势的理解，同时，网络犯罪已经逐渐演变成一个服务行业。

　　窃取密码的特洛伊木马程序增长迅速窃取密码的特洛伊木马程序一直是网络罪犯分子青睐的工具之一。在Internet上，用来编写特洛伊木马程序的工具比比皆是，并且有许多网站专门将此类工具作为服务进行出售。它们的功能很简单：窃取密码。正是特洛伊木马程序本身的复杂性使其如此成功。

　　图23：密码窃取恶意软件的增长

　　窃取密码的特洛伊木马程序最常用的感染途径如下：用户打开电子邮件附件，而该附件从恶意网站下载恶意软件。一旦安装了恶意软件后，特洛伊木马程序就会从大量程序中收集用户名和密码，如Internet Explorer、FTP会话和许多在线游戏(包括魔兽世界)。所窃取的身份数据会发送到一台由网络犯罪分子运行的服务器上，然后这些网络犯罪分子以各种方式(包括在网上进行拍卖或批量销售)将其出售给买家。

　　Avert Labs已经注意到这些恶意程序的日益复杂性。它们比以往更加隐秘，并且常常有自我保护机制以确保能够在受侵扰的PC上生存下来。在本质上，这些恶意程序的攻击范围也越来越广泛。在前些年，特洛伊木马程序专门攻击一些组织机构。然而，最近它们已经从许多不同的目标中收集到越来越多的数据，从而大大提高了其有效性。既然能够从各种目标收集数据，何必要将目标局限于银行或游戏呢?

　　图24：窃取密码的主要病毒变种(按名称和季度划分)