意大利诸多Web域存严重威胁 专家揭密Web攻击原理

2007年6月21日，51CTO获悉，趋势科技6月20日宣布，上周末在意大利，利用装载了恶意代码的合法网页来植入按键记录器从而窃取用户密码，或者将计算机引向代理服务器进行其他攻击的恶意感染事件有扩大趋势。趋势科技数据表明全球有数万名用户访问了受害URL，且忽略了正常网上冲浪时应注意的安全措施。最初的HTML恶件利用一个名为"iFrames"的漏洞。"iFrames"常用于网站且经常被利用。趋势科技研究者认为这最初可能是一个自发攻击，是由一个计算机特洛伊制造工具包引发的。
在受影响的浏览器上，IP网页会被重新定向，这时，恶件工具包统计页面就会显示出有多少用户在访问合法意大利语网站时，被重新定向至能够启动下载链的主机。目前，趋势科技尚未接到来自中国国内的病毒报告。趋势科技MOC中心（Monitoring Operation Center，反病毒监测响应服务中心）正对该恶意攻击进行严密监控，一旦发现问题将及时交与中国区病毒实验室（China Trendlab）进行分析。
趋势科技中国区病毒工程师张志徐说，在最近的一两年之内在中国国内就有恶意攻击者利用BBS或者网站的漏洞，手动植入网页的重定向代码。而导致用户访问此合法站点时被从定向到恶意攻击者自行架设的站点，下载恶意执行程序，而导致用户的信息被窃取或网络瘫痪等损失。趋势科技专家提醒广大中国区用户，从这次意大利爆发的恶意感染事件发现，如今的恶意代码植入手法已经从手动发展到了自动，以致顷刻间导致数千个网站被攻击。在Web威胁越来越猖獗的今天，用户应该加强对网页的安全访问意识。
因为这种恶意攻击是透过HTTP入侵，因此建议企业用户建置HTTP网关防毒系统(IWSA/IGSA)，可以启动拦截可执行文件的功能以及URL过滤功能。非趋势科技产品的用户，亦可下载趋势科技PC-cillin2007对此病毒进行查杀，PC-cillin特有的URL过滤技术可彻底清除此病毒：http://www.trendmicro.com/download/zh-cn/product.asp?productid=32
本次感染的传播机制是一个复杂过程，但是需要褥安装更新补丁。
一定要使用防病毒实时扫描软件。定期检查防病毒软件是否更新，服务是否运行。
对于公司用户：
部署HTTP扫描方法。由于Web危险的蔓延，我们强烈建议在大中型网络中执行基于Web的扫描系统。此外，不仅要部署，而且还需要确认用户无法屏蔽系统。执行这个系统的最安全方法莫过于强制用户将所有Web请求都转发到扫描设备，否则就予以拒绝。在与恶件和间谍软件的斗争中，这一点至关重要，因为Web已经成为它们进入公司网络的首选突破口。
不允许不需要的协议进入公司网络。最危险的协议就是P2P通讯协议和IRC (聊天)协议了。这两个协议正是Bot进入公司网络和对外通讯的利器，因此一定要使用公司防火墙将其禁用。
在网络中部署漏洞扫描软件。保持操作系统随时更新可以最大程度的降低网络漏洞的影响，以及消除被蠕虫感染的危险。强烈建议给各种应用都打上最新补丁，包括办公室生产力软件以及用户使用的所有其他软件。
严格限制网络用户的权限。核心级rootkit可以作为设备驱动程序执行，因此禁止用户装载和卸载设备驱动程序可以最大程度的阻止它们。Windows Vista已经提供了一项保护，可默认实现这一功能。其他恶件也需要使用管理员权限才能执行恶意代码。因此，对付流氓软件的一个好方法就是限制用户权限。通过剥夺普通用户的管理员权限即可实现这一点。
部署公司防间谍软件扫描。随着间谍软件在公司中的日益流行，管理员需要部署特定软件才能够检测和组织它们。
支持提高用户安全意识的活动。如今恶件使用的大多数攻击都试图去愚弄用户。这就是所谓的社会工程，需要特别注意使用，因为它是绝大多数感染所采用的方法。如果用户不去点击它的话，那么2006年发现的大多数恶件都无法对用户造成损害。通过教育用户，让他们了解恶件是如何通过愚弄他们而进入网络的，可以极大降低恶件的威胁。我们必须教会用户基本的安全手段以及了解如何应对典型攻击。这对于预防公司内部爆发还有很长一段路要走。向用户通告最新的威胁，让新用户了解公司的安全策略和建议都是非常关键的。

标签： 安全 代理服务器 代码 防火墙 服务器 漏洞 企业 权限 网络 网站 问题 用户

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。