四月第一週安全要聞回顧：惡意軟件和針對流行軟件的漏洞***

本文同時發佈在： [url]http://netsecurity.51cto.com/art/200904/120233.htm[/url]

 

近期值得關注的新聞以威脅和***領域內的爲主。圍繞瘋狂擴散的Conficker蠕蟲進行的***戰本週仍在持續進行，但微軟等廠商的監控結果顯示Conficker仍有較強的存活能力，存在較久的老蠕蟲也開始加入戰團，威脅態勢仍不容樂觀；而無線通訊技術的快速發展也促使了新概念惡意軟件的產生，本期回顧將關注一個基於短信服務的病毒。

漏洞***也是近期的一個熱點話題，微軟本週將發佈本月的例行更新，***者利用ppt的0day漏洞大肆進行***的事件也隨之浮出水面。漸漸升溫的軟件安全市場吸引了愈來愈多的廠商加入，Fortify無疑將是本週該領域的明星，筆者將和朋友們一塊兒關注其最新發布的政府軟件安全新報告和SaaS形式的軟件安全服務，同時還將關注一下OWASP組織本週推出的代碼安全審計指南。而在本期回顧的最後，筆者爲朋友們精心挑選了三個值得一讀的推薦閱讀文章。

近期的安全威脅等級爲中，對用戶和系統威脅較大的威脅類型仍爲惡意軟件和針對流行軟件的漏洞***，建議用戶注意更新本身的系統和軟件，並使用合適的反病毒和防火牆軟件。

惡意軟件：Conficker蠕蟲經過P2P升級逃避檢測；新的SMS病毒顯示移動威脅繼續上升；關注指數：高

通過安全廠商和ISP的不懈努力，近段時間瘋狂擴散的Conficker在本週已經獲得了必定的控制，但用戶也不該放鬆警戒——根據多個安全廠商的監測結果，爲了逃避安全廠商和ISP的圍堵***，網絡犯罪集團用P2P技術對Conficker蠕蟲進行了升級。此次升級後的Conficker蠕蟲再也不使用原有的IRC控制模式，而經過P2P網絡對現有的Conficker進行升級和控制，這樣用戶經過網絡流量分析檢測和防護Conficker蠕蟲的手段就顯得不太有效了。新版本Conficker使用P2P網絡進行通訊的特徵與Waledac及Storm蠕蟲相相似，或許也暗示Conficker蠕蟲的做者與上述二者可能有所聯繫。

目前由安全廠商組成的Conficker Working Group團隊已經在對Conficker的最新樣本進行分析，並提出對應的解決方案。筆者建議，用戶應保持現有反病毒軟件的更新，按期對本身系統上的驅動器進行查殺。對於內部網絡規模較大的企業用戶，可採用嗅探器、網絡分析儀等工具來審計網絡流量，若存在可疑的P2P流量則多是已經感染新版本的Conficker蠕蟲，另外企業用戶可在結合使用網絡版反病毒軟件的同時，經過防火牆封堵企業網絡對外的P2P流量，也能阻斷Conficker蠕蟲對企業網絡帶來的進一步威脅。

Conficker蠕蟲的「成功」也大大的刺激了其餘蠕蟲的控制者，Microsoft在本週早些時候發佈警告稱，一個早在2005年就出現的老蠕蟲Neeris從新開始活躍，並經過Conficker蠕蟲的感染技術大肆擴散。Neeris是一個主要經過MSN虛假信息傳播的IRC蠕蟲，最先於2005年出現，以前最後的Neeris版本使用MS06040漏洞進行擴散。此次出現的新版本Neeris蠕蟲顯示，使用新蠕蟲的技術改造老蠕蟲，已經成爲網絡犯罪集團對現有***手段進行升級的主要方式，用戶在防護如Conficker這樣的流行蠕蟲的時候，也不該忽視已經休眠或消失的老蠕蟲，說不定何時這些老蠕蟲就會換上個新面孔捲土重來。

而在移動計算領域，近段時間惡意軟件的活動也有增多的趨勢。反病毒廠商F-Secure在其本週發佈的第一季度惡意軟件報告中稱，2009年第一季度的惡意軟件威脅仍然高企，第一個基於文本短消息服務（SMS）病毒的出現則是最有表明性的事件。這個名爲SymbOS/Yxe的病毒主要感染使用Symbian操做系統的手機，它會向用戶發送帶有虛假連接的SMS，欺騙用戶運行連接所指向的手機程序，若是用戶不慎下載執行了連接中的程序，就有可能感染該病毒併成爲新的傳染源。

這個病毒所使用的***手法與PC上常見的即時通信病毒病並沒有差別，但由於它經過移動網絡傳播並以手機爲感染對象，同時用戶手機列表上的聯繫人都是信任關係，因此SMS病毒的成功率要遠高於傳統意義上的即時通信病毒。根據F-secure的分析結果，這個SMS病毒的主要目的可能只是在於竊取被感染用戶的手機聯繫人，同時發送大量的垃圾短信。

但筆者認爲，要把該病毒修改爲可以盜取用戶手機卡上話費資金，或竊取用戶隱私信息的手機病毒並不存在技術上的困難，所以該病毒的進一步發展值得關注，這種使用社會工程學來欺騙用戶下載執行手機程序的***手法，可能也會成爲將來一段時間對用戶聯網移動設備***的主流手段。建議用戶在使用手機或其餘可以連入移動通訊網的移動計算設備時，仍是要提升本身的安全意識，不要輕易去點擊不可信的連接和下載執行不明軟件，以避免感染惡意軟件，形成本身隱私信息或經濟上的損失。

漏洞***：PowerPoint再成***目標；微軟本月發佈8個更新；關注指數：高

在安全業界正對Conficker等在互聯網上大肆擴散的惡意軟件焦頭爛額的時候，微軟的Office產品又再次成爲******的目標，此次的受害者是Office中的PowerPoint組件。微軟本週發佈安全公告稱，目前已經確認***利用的是一個未經修補的存在於PowerPoint中的軟件漏洞，主要威脅Office 2000和Office 2003，目前在互聯網上只發現有少許的此類***存在，利用該漏洞的PPT文件攜帶有一個特洛伊***，若是用戶收到此類文件並不慎開啓，就將有可能感染該PPT文件中攜帶的惡意軟件。

不過有意思的是，此次PowerPoint***的發現是由於免費的病毒掃描服務VirusTotal向各反病毒廠商提交的樣本，相信多是***者經過該網站進行檢測測試時留下的樣本。微軟已經開始對這個威脅Office安全的漏洞進行調查，但沒有說明何時纔會向用戶提供針對該漏洞的更新程序。

本週又是微軟按期發佈補丁更新的時間，微軟將提供包括5個安全等級爲關鍵的8個補丁程序，分別修補Windows、Office和Internet Explorer中存在的嚴重安全漏洞，另外的補丁程序則是爲ISA和SearchPath提供的。因爲5個關鍵更新所針對的漏洞都是對用戶威脅最大的遠程代碼執行漏洞，能夠預見在不久的未來利用這些Windows漏洞進行擴散的蠕蟲，以及***上述IE漏洞的惡意網站將大量增長，筆者建議朋友們儘快經過微軟的官方站點或Windows Update下載並應用本月的更新程序，同時將現有的反病毒和防火牆軟件更新到最新版本。

軟件安全：Fortify新報告指出政府軟件安全；OWASP推出代碼安全審計指南；關注指數：高

軟件安全做爲安全市場上的一個新興領域，正吸引着愈來愈多的安全廠商的注意，Fortify無疑是這個市場內具備表明性的廠商。針對政府用戶當前所面臨的軟件安全威脅，本週Fortify推出了一個名爲《如何在政府軟件中構建安全》的新報告，該報告指出，政府用戶當前所使用的軟件正面臨着衆多不一樣來源的安全威脅，同時缺少一個行之有效的軟件保障程序，所以政府用戶的網絡和系統每每會由於存在大量的軟件漏洞，而暴露於各類外界***的威脅之下。

爲了幫助政府用戶瞭解如何創建一套有效的軟件保障體系，Fortify還在報告中提供了幾個美國政府機構實施軟件保障的案例研究。本月早些時候Fortify和諮詢機構Cigital曾合做推出了旨在幫助企業實施軟件安全的標準指南，此次推出的政府軟件安全指南，則能夠認爲是Fortify對軟件安全的市場細分行爲。因爲政府用戶不一樣於通常企業用戶的敏感性，筆者認爲安全行業仍是應該針對當前國內政府用戶的軟件安全狀況，同時參考國外該領域的最新發展成果，制定出適合我國現狀的軟件安全保障體系。

另外，本週還有一個關於Fortify值得關注的安全新聞，即Fortify將其現有的軟件安全產品轉化成雲計算平臺的方式，經過服務的方式交付給最終用戶。Fortify的SaaS（軟件即服務）版本的軟件安全解決方案，主要關注企業中第三方應用程序的安全審計，尤爲是沒法從軟件廠商處獲得源代碼的應用程序的安全保障，而採起SaaS的形式進行交付，也能夠幫助許多預算不足的中小企業進行安全要求不高的軟件保障項目。Fortify經過SaaS方式來交付相對使用成本較高的軟件安全解決方案，這個理念至關值得國內的安全廠商借鑑，再加上適合國內現狀的特定應用程序審計策略，以及友好的用戶操做，應該會成爲國內逐漸升溫的軟件安全市場中的一個亮點。

開源Web應用程序安全機構OWASP本週發佈了其最新的代碼安全審計指南 1.1版本，旨在幫助用戶對現有的Web應用程序進行代碼安全審計，防止出現各類最爲常見的安全漏洞，結合以前推出的Web應用開發安全指南和Web應用安全測試指南，OWASP已經爲用戶提供了一整套Web應用程序的安全保障體系。

隨着Web應用程序在企業領域中所佔的比重愈來愈大，Web應用程序的安全問題也逐漸成爲威脅企業內部網絡及系統安全的主要因素之一，不過由於Web應用程序的安全開發、測試和代碼審計還是一個很是耗費時間和人力的工做，從長遠來看企業在內部培養一個專業的Web應用安全團隊仍是要比外包這項工做要更爲有效，筆者也計劃整理一下OWASP已經推出的幾份Web應用安全指南，爲朋友們提供對這幾份文檔的翻譯和更進一步的相關知識整理。

推薦閱讀：

1） 惡意的JavaScript如何躲避檢測，推薦指數：高

許多朋友認爲，只要安裝了最新的反病毒軟件，即便不按時應用系統更新就瀏覽網站也是沒什麼問題的，實際上這種見解是錯誤的，經過JavaScript加密技術，惡意的JavaScript程序可以躲過反病毒軟件的檢測。互聯網安全組織SANS本週經過一個實例分析了JavaScript加密分析，有意思的是，做爲分析對象的JavaScript加密方式很快就被***應用到對Twitter的***中。有興趣的朋友能夠在下面的連接中找到這個分析文章：

[url]http://isc.sans.org/diary.html?storyid=6142&rss[/url]

2） IC3的2008年度網絡犯罪報告；推薦指數：中

網絡犯罪已經成爲互聯網應用的最嚴重威脅，並呈現每一年快速上升的趨勢。由美國FBI和NW3C兩個政府部門共同組建的互聯網犯罪防止中心IC3，於本週早些時候發佈了2008年度網絡犯罪報告，全面詳細的介紹了2008年網絡犯罪的狀況。法律和安全行業的朋友能夠將這個報告做爲全面瞭解網絡地下經濟的材料。資料的地址以下：

[url]http://www.nw3c.org/downloads/2008_IC3_Annual%20Report_3_27_09_small.pdf[/url]

3） 如何創建企業***分析體系?推薦指數：高

咱們在實踐中常常能遇到這樣的狀況，企業在購置IDS以後每每疏於管理和維護，IDS也變成企業內網中無關緊要的擺設。構建一個有效的企業***分析體系，看來是將這些設備充分的使用起來的好辦法，推薦對***分析感興趣的朋友閱讀一下SecurityFocus專欄文章《如何創建企業***體系》，文章連接以下：

[url]http://www.securityfocus.com/infocus/1904?ref=rss[/url]