近期值得關(guān)注的新聞以威脅和攻擊領(lǐng)域內(nèi)的為主。圍繞瘋狂擴(kuò)散的Conficker蠕蟲進(jìn)行的攻防戰(zhàn)本周仍在持續(xù)進(jìn)行，但微軟等廠商的監(jiān)控結(jié)果顯示Conficker仍有較強(qiáng)的存活能力，存在較久的老蠕蟲也開始加入戰(zhàn)團(tuán)，威脅態(tài)勢仍不容樂觀；而無線通信技術(shù)的快速發(fā)展也促使了新概念惡意軟件的產(chǎn)生，本期回顧將關(guān)注一個(gè)基于短信服務(wù)的病毒。

漏洞攻擊也是近期的一個(gè)熱點(diǎn)話題，微軟本周將發(fā)布本月的例行更新，攻擊者利用ppt的0day漏洞大肆進(jìn)行攻擊的事件也隨之浮出水面。漸漸升溫的軟件安全市場吸引了越來越多的廠商加入，F(xiàn)ortify無疑將是本周該領(lǐng)域的明星，筆者將和朋友們一起關(guān)注其最新發(fā)布的政府軟件安全新報(bào)告和SaaS形式的軟件安全服務(wù)，同時(shí)還將關(guān)注一下OWASP組織本周推出的代碼安全審計(jì)指南。而在本期回顧的最后，筆者為朋友們精心挑選了三個(gè)值得一讀的推薦閱讀文章。

近期的安全威脅等級為中，對用戶和系統(tǒng)威脅較大的威脅類型仍為惡意軟件和針對流行軟件的漏洞攻擊，建議用戶注意更新自己的系統(tǒng)和軟件，并使用合適的反病毒和防火墻軟件。

惡意軟件：Conficker蠕蟲通過P2P升級逃避檢測；新的SMS病毒顯示移動(dòng)威脅繼續(xù)上升；關(guān)注指數(shù)：高

經(jīng)過安全廠商和ISP的不懈努力，近段時(shí)間瘋狂擴(kuò)散的Conficker在本周已經(jīng)得到了一定的控制，但用戶也不應(yīng)放松警惕——根據(jù)多個(gè)安全廠商的監(jiān)測結(jié)果，為了逃避安全廠商和ISP的圍堵攻擊，網(wǎng)絡(luò)犯罪集團(tuán)用P2P技術(shù)對Conficker蠕蟲進(jìn)行了升級。這次升級后的Conficker蠕蟲不再使用原有的IRC控制模式，而通過P2P網(wǎng)絡(luò)對現(xiàn)有的Conficker進(jìn)行升級和控制，這樣用戶通過網(wǎng)絡(luò)流量分析檢測和防御Conficker蠕蟲的手段就顯得不太有效了。新版本Conficker使用P2P網(wǎng)絡(luò)進(jìn)行通信的特征與Waledac及Storm蠕蟲相類似，或許也暗示Conficker蠕蟲的作者與上述兩者可能有所聯(lián)系。

目前由安全廠商組成的Conficker Working Group團(tuán)隊(duì)已經(jīng)在對Conficker的最新樣本進(jìn)行分析，并提出對應(yīng)的解決方案。筆者建議，用戶應(yīng)保持現(xiàn)有反病毒軟件的更新，定期對自己系統(tǒng)上的驅(qū)動(dòng)器進(jìn)行查殺。對于內(nèi)部網(wǎng)絡(luò)規(guī)模較大的企業(yè)用戶，可采用嗅探器、網(wǎng)絡(luò)分析儀等工具來審計(jì)網(wǎng)絡(luò)流量，若存在可疑的P2P流量則可能是已經(jīng)感染新版本的Conficker蠕蟲，另外企業(yè)用戶可在結(jié)合使用網(wǎng)絡(luò)版反病毒軟件的同時(shí)，通過防火墻封堵企業(yè)網(wǎng)絡(luò)對外的P2P流量，也能阻斷Conficker蠕蟲對企業(yè)網(wǎng)絡(luò)帶來的進(jìn)一步威脅。

Conficker蠕蟲的“成功”也大大的刺激了其他蠕蟲的控制者，Microsoft在本周早些時(shí)候發(fā)布警告稱，一個(gè)早在2005年就出現(xiàn)的老蠕蟲Neeris重新開始活躍，并通過Conficker蠕蟲的感染技術(shù)大肆擴(kuò)散。Neeris是一個(gè)主要通過MSN虛假信息傳播的IRC蠕蟲，最早于2005年出現(xiàn)，之前最后的Neeris版本使用MS06040漏洞進(jìn)行擴(kuò)散。這次出現(xiàn)的新版本Neeris蠕蟲顯示，使用新蠕蟲的技術(shù)改造老蠕蟲，已經(jīng)成為網(wǎng)絡(luò)犯罪集團(tuán)對現(xiàn)有攻擊手段進(jìn)行升級的主要方式，用戶在防御如Conficker這樣的流行蠕蟲的時(shí)候，也不應(yīng)忽視已經(jīng)休眠或消失的老蠕蟲，說不定什么時(shí)候這些老蠕蟲就會(huì)換上個(gè)新面孔卷土重來。

而在移動(dòng)計(jì)算領(lǐng)域，近段時(shí)間惡意軟件的活動(dòng)也有增多的趨勢。反病毒廠商F-Secure在其本周發(fā)布的第一季度惡意軟件報(bào)告中稱，2009年第一季度的惡意軟件威脅仍然高企，第一個(gè)基于文本短消息服務(wù)（SMS）病毒的出現(xiàn)則是最有代表性的事件。這個(gè)名為SymbOS/Yxe的病毒主要感染使用Symbian操作系統(tǒng)的手機(jī)，它會(huì)向用戶發(fā)送帶有虛假鏈接的SMS，欺騙用戶運(yùn)行鏈接所指向的手機(jī)程序，如果用戶不慎下載執(zhí)行了鏈接中的程序，就有可能感染該病毒并成為新的傳染源。

這個(gè)病毒所使用的攻擊手法與PC上常見的即時(shí)通訊病毒病并無差異，但因?yàn)樗ㄟ^移動(dòng)網(wǎng)絡(luò)傳播并以手機(jī)為感染對象，同時(shí)用戶手機(jī)列表上的聯(lián)系人都是信任關(guān)系，所以SMS病毒的成功率要遠(yuǎn)高于傳統(tǒng)意義上的即時(shí)通訊病毒。根據(jù)F-secure的分析結(jié)果，這個(gè)SMS病毒的主要目的可能只是在于竊取被感染用戶的手機(jī)聯(lián)系人，同時(shí)發(fā)送大量的垃圾短信。

但筆者認(rèn)為，要把該病毒修改成能夠盜取用戶手機(jī)卡上話費(fèi)資金，或竊取用戶隱私信息的手機(jī)病毒并不存在技術(shù)上的困難，因此該病毒的進(jìn)一步發(fā)展值得關(guān)注，這種使用社會(huì)工程學(xué)來欺騙用戶下載執(zhí)行手機(jī)程序的攻擊手法，可能也會(huì)成為未來一段時(shí)間對用戶聯(lián)網(wǎng)移動(dòng)設(shè)備攻擊的主流手段。建議用戶在使用手機(jī)或其他能夠連入移動(dòng)通信網(wǎng)的移動(dòng)計(jì)算設(shè)備時(shí)，還是要提高自己的安全意識，不要輕易去點(diǎn)擊不可信的鏈接和下載執(zhí)行不明軟件，以免感染惡意軟件，造成自己隱私信息或經(jīng)濟(jì)上的損失。

漏洞攻擊：PowerPoint再成黑客目標(biāo)；微軟本月發(fā)布8個(gè)更新；關(guān)注指數(shù)：高

在安全業(yè)界正對Conficker等在互聯(lián)網(wǎng)上大肆擴(kuò)散的惡意軟件焦頭爛額的時(shí)候，微軟的Office產(chǎn)品又再次成為黑客攻擊的目標(biāo)，這次的受害者是Office中的PowerPoint組件。微軟本周發(fā)布安全公告稱，目前已經(jīng)確認(rèn)黑客利用的是一個(gè)未經(jīng)修補(bǔ)的存在于PowerPoint中的軟件漏洞，主要威脅Office 2000和Office 2003，目前在互聯(lián)網(wǎng)上只發(fā)現(xiàn)有少量的此類攻擊存在，利用該漏洞的PPT文件攜帶有一個(gè)特洛伊木馬，如果用戶收到此類文件并不慎開啟，就將有可能感染該P(yáng)PT文件中攜帶的惡意軟件。

不過有意思的是，這次PowerPoint攻擊的發(fā)現(xiàn)是因?yàn)槊赓M(fèi)的病毒掃描服務(wù)VirusTotal向各反病毒廠商提交的樣本，相信可能是攻擊者通過該網(wǎng)站進(jìn)行檢測測試時(shí)留下的樣本。微軟已經(jīng)開始對這個(gè)威脅Office安全的漏洞進(jìn)行調(diào)查，但沒有說明什么時(shí)候才會(huì)向用戶提供針對該漏洞的更新程序。

本周又是微軟定期發(fā)布補(bǔ)丁更新的時(shí)間，微軟將提供包括5個(gè)安全等級為關(guān)鍵的8個(gè)補(bǔ)丁程序，分別修補(bǔ)Windows、Office和Internet Explorer中存在的嚴(yán)重安全漏洞，另外的補(bǔ)丁程序則是為ISA和SearchPath提供的。由于5個(gè)關(guān)鍵更新所針對的漏洞都是對用戶威脅最大的遠(yuǎn)程代碼執(zhí)行漏洞，可以預(yù)見在不久的將來利用這些Windows漏洞進(jìn)行擴(kuò)散的蠕蟲，以及攻擊上述IE漏洞的惡意網(wǎng)站將大量增加，筆者建議朋友們盡快通過微軟的官方站點(diǎn)或Windows Update下載并應(yīng)用本月的更新程序，同時(shí)將現(xiàn)有的反病毒和防火墻軟件更新到最新版本。

軟件安全：Fortify新報(bào)告指出政府軟件安全；OWASP推出代碼安全審計(jì)指南；關(guān)注指數(shù)：高

軟件安全作為安全市場上的一個(gè)新興領(lǐng)域，正吸引著越來越多的安全廠商的注意，F(xiàn)ortify無疑是這個(gè)市場內(nèi)具有代表性的廠商。針對政府用戶當(dāng)前所面臨的軟件安全威脅，本周Fortify推出了一個(gè)名為《如何在政府軟件中構(gòu)建安全》的新報(bào)告，該報(bào)告指出，政府用戶當(dāng)前所使用的軟件正面臨著眾多不同來源的安全威脅，同時(shí)缺乏一個(gè)行之有效的軟件保障程序，因此政府用戶的網(wǎng)絡(luò)和系統(tǒng)往往會(huì)因?yàn)榇嬖诖罅康能浖┒?，而暴露于各種外界攻擊的威脅之下。#p#分頁標(biāo)題#e#

為了幫助政府用戶了解如何建立一套有效的軟件保障體系，F(xiàn)ortify還在報(bào)告中提供了幾個(gè)美國政府機(jī)構(gòu)實(shí)施軟件保障的案例研究。本月早些時(shí)候Fortify和咨詢機(jī)構(gòu)Cigital曾合作推出了旨在幫助企業(yè)實(shí)施軟件安全的標(biāo)準(zhǔn)指南，這次推出的政府軟件安全指南，則可以認(rèn)為是Fortify對軟件安全的市場細(xì)分行為。由于政府用戶不同于一般企業(yè)用戶的敏感性，筆者認(rèn)為安全行業(yè)還是應(yīng)該針對當(dāng)前國內(nèi)政府用戶的軟件安全情況，同時(shí)參考國外該領(lǐng)域的最新發(fā)展成果，制定出適合我國現(xiàn)狀的軟件安全保障體系。

另外，本周還有一個(gè)關(guān)于Fortify值得關(guān)注的安全新聞，即Fortify將其現(xiàn)有的軟件安全產(chǎn)品轉(zhuǎn)化成云計(jì)算平臺的方式，通過服務(wù)的方式交付給最終用戶。Fortify的SaaS（軟件即服務(wù)）版本的軟件安全解決方案，主要關(guān)注企業(yè)中第三方應(yīng)用程序的安全審計(jì)，尤其是無法從軟件廠商處得到源代碼的應(yīng)用程序的安全保障，而采取SaaS的形式進(jìn)行交付，也可以幫助許多預(yù)算不足的中小企業(yè)進(jìn)行安全要求不高的軟件保障項(xiàng)目。Fortify通過SaaS方式來交付相對使用成本較高的軟件安全解決方案，這個(gè)理念相當(dāng)值得國內(nèi)的安全廠商借鑒，再加上適合國內(nèi)現(xiàn)狀的特定應(yīng)用程序?qū)徲?jì)策略，以及友好的用戶操作，應(yīng)該會(huì)成為國內(nèi)逐漸升溫的軟件安全市場中的一個(gè)亮點(diǎn)。

開源Web應(yīng)用程序安全機(jī)構(gòu)OWASP本周發(fā)布了其最新的代碼安全審計(jì)指南 1.1版本，旨在幫助用戶對現(xiàn)有的Web應(yīng)用程序進(jìn)行代碼安全審計(jì)，防止出現(xiàn)各種最為常見的安全漏洞，結(jié)合之前推出的Web應(yīng)用開發(fā)安全指南和Web應(yīng)用安全測試指南，OWASP已經(jīng)為用戶提供了一整套Web應(yīng)用程序的安全保障體系。

隨著Web應(yīng)用程序在企業(yè)領(lǐng)域中所占的比重越來越大，Web應(yīng)用程序的安全問題也逐漸成為威脅企業(yè)內(nèi)部網(wǎng)絡(luò)及系統(tǒng)安全的主要因素之一，不過因?yàn)閃eb應(yīng)用程序的安全開發(fā)、測試和代碼審計(jì)仍是一個(gè)非常耗費(fèi)時(shí)間和人力的工作，從長遠(yuǎn)來看企業(yè)在內(nèi)部培養(yǎng)一個(gè)專業(yè)的Web應(yīng)用安全團(tuán)隊(duì)還是要比外包這項(xiàng)工作要更為有效，筆者也計(jì)劃整理一下OWASP已經(jīng)推出的幾份Web應(yīng)用安全指南，為朋友們提供對這幾份文檔的翻譯和更進(jìn)一步的相關(guān)知識整理。

推薦閱讀：

1） 惡意的JavaScript如何躲避檢測，推薦指數(shù)：高

許多朋友認(rèn)為，只要安裝了最新的反病毒軟件，即使不按時(shí)應(yīng)用系統(tǒng)更新就瀏覽網(wǎng)站也是沒什么問題的，實(shí)際上這種看法是錯(cuò)誤的，通過JavaScript加密技術(shù)，惡意的JavaScript程序能夠躲過反病毒軟件的檢測?；ヂ?lián)網(wǎng)安全組織SANS本周通過一個(gè)實(shí)例分析了JavaScript加密分析，有意思的是，作為分析對象的JavaScript加密方式很快就被黑客應(yīng)用到對Twitter的攻擊中。有興趣的朋友可以在下面的鏈接中找到這個(gè)分析文章：

http://isc.sans.org/diary.html?storyid=6142&rss

2） IC3的2008年度網(wǎng)絡(luò)犯罪報(bào)告；推薦指數(shù)：中

網(wǎng)絡(luò)犯罪已經(jīng)成為互聯(lián)網(wǎng)應(yīng)用的最嚴(yán)重威脅，并呈現(xiàn)每年快速上升的趨勢。由美國FBI和NW3C兩個(gè)政府部門共同組建的互聯(lián)網(wǎng)犯罪防止中心IC3，于本周早些時(shí)候發(fā)布了2008年度網(wǎng)絡(luò)犯罪報(bào)告，全面詳細(xì)的介紹了2008年網(wǎng)絡(luò)犯罪的情況。法律和安全行業(yè)的朋友可以將這個(gè)報(bào)告作為全面了解網(wǎng)絡(luò)地下經(jīng)濟(jì)的材料。資料的地址如下：

http://www.nw3c.org/downloads/2008_IC3_Annual%20Report_3_27_09_small.pdf

3） 如何建立企業(yè)入侵分析體系?推薦指數(shù)：高

我們在實(shí)踐中經(jīng)常能遇到這樣的情況，企業(yè)在購置IDS之后往往疏于管理和維護(hù)，IDS也變成企業(yè)內(nèi)網(wǎng)中可有可無的擺設(shè)。構(gòu)建一個(gè)有效的企業(yè)入侵分析體系，看來是將這些設(shè)備充分的使用起來的好辦法，推薦對入侵分析感興趣的朋友閱讀一下SecurityFocus專欄文章《如何建立企業(yè)入侵體系》，文章鏈接如下：

http://www.securityfocus.com/infocus/1904?ref=rss