2010年的互聯網安全並不太平,黑客大量利用社交工程和搜索引擎毒化的方式對脆弱的客戶端發動頻繁攻擊。根據趨勢科技TrendLabs數據顯示,搜索引擎毒化(Blackhat SEO)技術在 2010 年第壹季度仍舊是亞洲地區最盛行的攻擊手法,此種攻擊手段大量利用的社會熱點新聞關鍵詞,隱藏網頁後面的木馬病毒使得大量用戶“中招”。 從2010年春節晚會報道開始,大到“玉樹地震、雲南幹旱、世博開幕、房價調控”,小到“明星走光、脫衣門、NBA球員打架”,幾乎所有能讓網民關註的事件同時也都被“有心”的黑客利用起來。我們發現網絡犯罪分子已經利用黑帽搜索引擎毒化(Blackhat SEO)技術,成功地提高含有病毒網頁在搜索排名中的名次。 以4月21日國外媒體報道的網絡安全公司邁克菲(McAfee)誤殺事件為例,由於將Windows XP的系統文件(svchost.exe)列入刪除列表,導致Windows XP系統重復啟動以及用戶無法登錄系統。據國外媒體報道,密西根大學醫學院的2.5萬臺電腦中,有8000臺當機;肯塔基州萊辛頓市警局必須改用手寫報告,並關閉巡邏車的總機;若幹監獄取消探視;羅德島各醫院的急診室也暫時拒收非創傷病患,並延後部分外科手術;甚至英特爾也無法幸免。盡管這次更新在發布給企業用戶4小時後緊急中止,但問題的嚴重性迫使全球數百萬臺的Windows XP用戶不得不利用搜索引擎尋找更快的解決方案。 雖然McAfee通過向公眾致歉、撤消缺陷更新、並就客戶如何手動修復受到影響的計算機提出了相關建議,但此次“誤殺”事件還是被部分黑客利用,大量制造了假冒防病毒軟件(FakeAV)、制造嵌入惡意代碼的網頁,並針對此次事件發動了新壹輪的Blackhat SEO攻擊,以期試圖竊取用戶的信用卡詳細信息或者誘騙用戶將惡意代碼安裝在計算機上。以上手段讓公眾要獲得關於誤報問題的正確信息變得難上加難。 Blackhat SEO攻擊並非全新的技巧,它之前被廣泛應用到網絡營銷障眼法中,但是這種利用熱門時事關鍵詞搜索的攻擊手法,仍舊是散播惡意程序很有效的壹種方式。如果網絡犯罪者利用壹些熱門的話題,或是穿上安全軟件“外衣”的同時,提升搜索引擎排名的結果,單獨依賴終端用戶防毒軟件的能力很難有效防止植入FAKEAV惡意程序威脅。另外,由於FAKEAV變種中有許多是專門針對企業的新型病毒,因此已經給企業造成了很高的感染風險。在相對安全的局域網中,由於存在著無處不在的“***享”環境,這些遭FAKEAV惡意程序感染的系統如果得不到及時地查殺,不但會繼續散播,很有可能在較短的時間內讓企業網絡淪落為“僵屍網絡(Bot)”的成員,成為網絡犯罪者竊取信息、散發垃圾信息的平臺。由於企業內部網絡的速度非常快,終端之間又存在著信任關系,相互隨意訪問,病毒傳播只需要2~3秒,查殺的困難相當大。 目前,我國很多企業雖然已在終端上加大防禦,安裝了防毒軟件,但這樣並不能避免相互感染事件的發生,例如掛馬的熱點事件網頁、FAKEAV變種等,如果采用傳統的反病毒代碼升級的方法,客戶端將永遠處於“被動”的局面。因此,采用雲安全解決方案加強客戶端的聯動性,將是壹個非常明智辦法。針對此次“誤殺”事件的延續,另壹國際安全廠商趨勢科技表示,部分趨勢科技產品用戶已經利用其雲安全網絡信譽技術成功攔截了對這些指向FakeAV的URL的相關訪問。趨勢科技的安全專家也提醒企業中的信息安全管理者,應對熱點事件及時跟蹤,並在內部溝通平臺上發布經過驗證的修復地址,或者在廠商的知識庫中訪問修復工具的地址,以避免大量可能存在的“李鬼”進行攻擊。