【51CTO.com獨家特稿】近期值得關注的新聞以威脅和攻擊領域內的為主。圍繞瘋狂擴散的Conficker蠕蟲進行的攻防戰(zhàn)本周仍在持續(xù)進行，但微軟等廠商的監(jiān)控結果顯示Conficker仍有較強的存活能力，存在較久的老蠕蟲也開始加入戰(zhàn)團，威脅態(tài)勢仍不容樂觀；而無線通信技術的快速發(fā)展也促使了新概念惡意軟件的產生，本期回顧將關注一個基于短信服務的病毒。

漏洞攻擊也是近期的一個熱點話題，微軟本周將發(fā)布本月的例行更新，攻擊者利用ppt的0day漏洞大肆進行攻擊的事件也隨之浮出水面。漸漸升溫的軟件安全市場吸引了越來越多的廠商加入，F(xiàn)ortify無疑將是本周該領域的明星，筆者將和朋友們一起關注其最新發(fā)布的政府軟件安全新報告和SaaS形式的軟件安全服務，同時還將關注一下OWASP組織本周推出的代碼安全審計指南。而在本期回顧的最后，筆者為朋友們精心挑選了三個值得一讀的推薦閱讀文章。

近期的安全威脅等級為中，對用戶和系統(tǒng)威脅較大的威脅類型仍為惡意軟件和針對流行軟件的漏洞攻擊，建議用戶注意更新自己的系統(tǒng)和軟件，并使用合適的反病毒和防火墻軟件。

惡意軟件：Conficker蠕蟲通過P2P升級逃避檢測；新的SMS病毒顯示移動威脅繼續(xù)上升；關注指數(shù)：高　　

經(jīng)過安全廠商和ISP的不懈努力，近段時間瘋狂擴散的Conficker在本周已經(jīng)得到了一定的控制，但用戶也不應放松警惕——根據(jù)多個安全廠商的監(jiān)測結果，為了逃避安全廠商和ISP的圍堵攻擊，網(wǎng)絡犯罪集團用P2P技術對Conficker蠕蟲進行了升級。這次升級后的Conficker蠕蟲不再使用原有的IRC控制模式，而通過P2P網(wǎng)絡對現(xiàn)有的Conficker進行升級和控制，這樣用戶通過網(wǎng)絡流量分析檢測和防御Conficker蠕蟲的手段就顯得不太有效了。新版本Conficker使用P2P網(wǎng)絡進行通信的特征與Waledac及Storm蠕蟲相類似，或許也暗示Conficker蠕蟲的作者與上述兩者可能有所聯(lián)系。

目前由安全廠商組成的Conficker Working Group團隊已經(jīng)在對Conficker的最新樣本進行分析，并提出對應的解決方案。筆者建議，用戶應保持現(xiàn)有反病毒軟件的更新，定期對自己系統(tǒng)上的驅動器進行查殺。對于內部網(wǎng)絡規(guī)模較大的企業(yè)用戶，可采用嗅探器、網(wǎng)絡分析儀等工具來審計網(wǎng)絡流量，若存在可疑的P2P流量則可能是已經(jīng)感染新版本的Conficker蠕蟲，另外企業(yè)用戶可在結合使用網(wǎng)絡版反病毒軟件的同時，通過防火墻封堵企業(yè)網(wǎng)絡對外的P2P流量，也能阻斷Conficker蠕蟲對企業(yè)網(wǎng)絡帶來的進一步威脅?！　?/P>

Conficker蠕蟲的“成功”也大大的刺激了其他蠕蟲的控制者，Microsoft在本周早些時候發(fā)布警告稱，一個早在2005年就出現(xiàn)的老蠕蟲Neeris重新開始活躍，并通過Conficker蠕蟲的感染技術大肆擴散。Neeris是一個主要通過MSN虛假信息傳播的IRC蠕蟲，最早于2005年出現(xiàn)，之前最后的Neeris版本使用MS06040漏洞進行擴散。這次出現(xiàn)的新版本Neeris蠕蟲顯示，使用新蠕蟲的技術改造老蠕蟲，已經(jīng)成為網(wǎng)絡犯罪集團對現(xiàn)有攻擊手段進行升級的主要方式，用戶在防御如Conficker這樣的流行蠕蟲的時候，也不應忽視已經(jīng)休眠或消失的老蠕蟲，說不定什么時候這些老蠕蟲就會換上個新面孔卷土重來?！　?/P>

而在移動計算領域，近段時間惡意軟件的活動也有增多的趨勢。反病毒廠商F-Secure在其本周發(fā)布的第一季度惡意軟件報告中稱，2009年第一季度的惡意軟件威脅仍然高企，第一個基于文本短消息服務（SMS）病毒的出現(xiàn)則是最有代表性的事件。這個名為SymbOS/Yxe的病毒主要感染使用Symbian操作系統(tǒng)的手機，它會向用戶發(fā)送帶有虛假鏈接的SMS，欺騙用戶運行鏈接所指向的手機程序，如果用戶不慎下載執(zhí)行了鏈接中的程序，就有可能感染該病毒并成為新的傳染源。

這個病毒所使用的攻擊手法與PC上常見的即時通訊病毒病并無差異，但因為它通過移動網(wǎng)絡傳播并以手機為感染對象，同時用戶手機列表上的聯(lián)系人都是信任關系，所以SMS病毒的成功率要遠高于傳統(tǒng)意義上的即時通訊病毒。根據(jù)F-secure的分析結果，這個SMS病毒的主要目的可能只是在于竊取被感染用戶的手機聯(lián)系人，同時發(fā)送大量的垃圾短信。

但筆者認為，要把該病毒修改成能夠盜取用戶手機卡上話費資金，或竊取用戶隱私信息的手機病毒并不存在技術上的困難，因此該病毒的進一步發(fā)展值得關注，這種使用社會工程學來欺騙用戶下載執(zhí)行手機程序的攻擊手法，可能也會成為未來一段時間對用戶聯(lián)網(wǎng)移動設備攻擊的主流手段。建議用戶在使用手機或其他能夠連入移動通信網(wǎng)的移動計算設備時，還是要提高自己的安全意識，不要輕易去點擊不可信的鏈接和下載執(zhí)行不明軟件，以免感染惡意軟件，造成自己隱私信息或經(jīng)濟上的損失?！　?/P>

漏洞攻擊：PowerPoint再成黑客目標；微軟本月發(fā)布8個更新；關注指數(shù)：高　　

在安全業(yè)界正對Conficker等在互聯(lián)網(wǎng)上大肆擴散的惡意軟件焦頭爛額的時候，微軟的Office產品又再次成為黑客攻擊的目標，這次的受害者是Office中的PowerPoint組件。微軟本周發(fā)布安全公告稱，目前已經(jīng)確認黑客利用的是一個未經(jīng)修補的存在于PowerPoint中的軟件漏洞，主要威脅Office 2000和Office 2003，目前在互聯(lián)網(wǎng)上只發(fā)現(xiàn)有少量的此類攻擊存在，利用該漏洞的PPT文件攜帶有一個特洛伊木馬，如果用戶收到此類文件并不慎開啟，就將有可能感染該PPT文件中攜帶的惡意軟件。

不過有意思的是，這次PowerPoint攻擊的發(fā)現(xiàn)是因為免費的病毒掃描服務VirusTotal向各反病毒廠商提交的樣本，相信可能是攻擊者通過該網(wǎng)站進行檢測測試時留下的樣本。微軟已經(jīng)開始對這個威脅Office安全的漏洞進行調查，但沒有說明什么時候才會向用戶提供針對該漏洞的更新程序?！　?/P>

本周又是微軟定期發(fā)布補丁更新的時間，微軟將提供包括5個安全等級為關鍵的8個補丁程序，分別修補Windows、Office和Internet Explorer中存在的嚴重安全漏洞，另外的補丁程序則是為ISA和SearchPath提供的。由于5個關鍵更新所針對的漏洞都是對用戶威脅最大的遠程代碼執(zhí)行漏洞，可以預見在不久的將來利用這些Windows漏洞進行擴散的蠕蟲，以及攻擊上述IE漏洞的惡意網(wǎng)站將大量增加，筆者建議朋友們盡快通過微軟的官方站點或Windows Update下載并應用本月的更新程序，同時將現(xiàn)有的反病毒和防火墻軟件更新到最新版本。　　

軟件安全：Fortify新報告指出政府軟件安全；OWASP推出代碼安全審計指南；關注指數(shù)：高　　

軟件安全作為安全市場上的一個新興領域，正吸引著越來越多的安全廠商的注意，F(xiàn)ortify無疑是這個市場內具有代表性的廠商。針對政府用戶當前所面臨的軟件安全威脅，本周Fortify推出了一個名為《如何在政府軟件中構建安全》的新報告，該報告指出，政府用戶當前所使用的軟件正面臨著眾多不同來源的安全威脅，同時缺乏一個行之有效的軟件保障程序，因此政府用戶的網(wǎng)絡和系統(tǒng)往往會因為存在大量的軟件漏洞，而暴露于各種外界攻擊的威脅之下。

為了幫助政府用戶了解如何建立一套有效的軟件保障體系，F(xiàn)ortify還在報告中提供了幾個美國政府機構實施軟件保障的案例研究。本月早些時候Fortify和咨詢機構Cigital曾合作推出了旨在幫助企業(yè)實施軟件安全的標準指南，這次推出的政府軟件安全指南，則可以認為是Fortify對軟件安全的市場細分行為。由于政府用戶不同于一般企業(yè)用戶的敏感性，筆者認為安全行業(yè)還是應該針對當前國內政府用戶的軟件安全情況，同時參考國外該領域的最新發(fā)展成果，制定出適合我國現(xiàn)狀的軟件安全保障體系。

另外，本周還有一個關于Fortify值得關注的安全新聞，即Fortify將其現(xiàn)有的軟件安全產品轉化成云計算平臺的方式，通過服務的方式交付給最終用戶。Fortify的SaaS（軟件即服務）版本的軟件安全解決方案，主要關注企業(yè)中第三方應用程序的安全審計，尤其是無法從軟件廠商處得到源代碼的應用程序的安全保障，而采取SaaS的形式進行交付，也可以幫助許多預算不足的中小企業(yè)進行安全要求不高的軟件保障項目。Fortify通過SaaS方式來交付相對使用成本較高的軟件安全解決方案，這個理念相當值得國內的安全廠商借鑒，再加上適合國內現(xiàn)狀的特定應用程序審計策略，以及友好的用戶操作，應該會成為國內逐漸升溫的軟件安全市場中的一個亮點?！　?/P>

開源Web應用程序安全機構OWASP本周發(fā)布了其最新的代碼安全審計指南 1.1版本，旨在幫助用戶對現(xiàn)有的Web應用程序進行代碼安全審計，防止出現(xiàn)各種最為常見的安全漏洞，結合之前推出的Web應用開發(fā)安全指南和Web應用安全測試指南，OWASP已經(jīng)為用戶提供了一整套Web應用程序的安全保障體系。

隨著Web應用程序在企業(yè)領域中所占的比重越來越大，Web應用程序的安全問題也逐漸成為威脅企業(yè)內部網(wǎng)絡及系統(tǒng)安全的主要因素之一，不過因為Web應用程序的安全開發(fā)、測試和代碼審計仍是一個非常耗費時間和人力的工作，從長遠來看企業(yè)在內部培養(yǎng)一個專業(yè)的Web應用安全團隊還是要比外包這項工作要更為有效，筆者也計劃整理一下OWASP已經(jīng)推出的幾份Web應用安全指南，為朋友們提供對這幾份文檔的翻譯和更進一步的相關知識整理?！　?/P>

推薦閱讀：

1） 惡意的JavaScript如何躲避檢測，推薦指數(shù)：高

許多朋友認為，只要安裝了最新的反病毒軟件，即使不按時應用系統(tǒng)更新就瀏覽網(wǎng)站也是沒什么問題的，實際上這種看法是錯誤的，通過JavaScript加密技術，惡意的JavaScript程序能夠躲過反病毒軟件的檢測?；ヂ?lián)網(wǎng)安全組織SANS本周通過一個實例分析了JavaScript加密分析，有意思的是，作為分析對象的JavaScript加密方式很快就被黑客應用到對Twitter的攻擊中。有興趣的朋友可以在下面的鏈接中找到這個分析文章：

http://isc.sans.org/diary.html?storyid=6142&rss

2） IC3的2008年度網(wǎng)絡犯罪報告；推薦指數(shù)：中

網(wǎng)絡犯罪已經(jīng)成為互聯(lián)網(wǎng)應用的最嚴重威脅，并呈現(xiàn)每年快速上升的趨勢。由美國FBI和NW3C兩個政府部門共同組建的互聯(lián)網(wǎng)犯罪防止中心IC3，于本周早些時候發(fā)布了2008年度網(wǎng)絡犯罪報告，全面詳細的介紹了2008年網(wǎng)絡犯罪的情況。法律和安全行業(yè)的朋友可以將這個報告作為全面了解網(wǎng)絡地下經(jīng)濟的材料。資料的地址如下：

http://www.nw3c.org/downloads/2008_IC3_Annual%20Report_3_27_09_small.pdf

3） 如何建立企業(yè)入侵分析體系?推薦指數(shù)：高

我們在實踐中經(jīng)常能遇到這樣的情況，企業(yè)在購置IDS之后往往疏于管理和維護，IDS也變成企業(yè)內網(wǎng)中可有可無的擺設。構建一個有效的企業(yè)入侵分析體系，看來是將這些設備充分的使用起來的好辦法，推薦對入侵分析感興趣的朋友閱讀一下SecurityFocus專欄文章《如何建立企業(yè)入侵體系》，文章鏈接如下：

http://www.securityfocus.com/infocus/1904?ref=rss

【51CTO.COM 獨家特稿，轉載請注明出處及作者！】

【編輯推薦】

1. 微軟警告黑客利用PowerPoint漏洞攻擊
2. 斬斷注入黑手防范IE漏洞攻擊