Microsoft安全报告第11期

Microsoft安全情报报告目录\hMicrosoft安全情报报告第11期 3\h专注于恶意软件传播方法 4\h世界范围内的威胁情报 7\h漏洞披露 7\h漏洞攻击 8\h文档攻击 9\h恶意软件和可能不需要的软件 10\h操作系统感染率 10\h威胁系列和类别 11\h企业威胁 12\h电子邮件威胁 12\h恶意网站 13Microsoft安全情报报告第11期Microsoft®安全情报报告第11期(SIRv11)提供了有关Microsoft和第三方软件中的软件漏洞、恶意代码威胁和可能不需要的软件的深入分析。这些分析是Microsoft在过去多年详细的趋势分析的基础之上做出的，并且分析的重点是2011年上半年的数据。本文档对这份报告的主要发现进行了汇总。完整的报告还包括对在全世界100多个国家/地区发现的趋势的深入分析，并提供了用于管理组织、软件和人员的相关风险的方法。可以从\h\h/sir\h下载完整的报告以及前几期的报告和相关视频。专注于恶意软件传播方法Microsoft进行了分析以更好地了解零日(Zero-day)攻击以及客户由此面临的风险。执行此分析的目的是向安全专家提供一些信息，以便其用来设置其关注内容的优先级并有效管理风险。与所有其他部门一样，IT部门在规划和执行其工作时也会受到时间、预算、人员和资源方面的限制。通过掌握有关威胁概况的最新准确信息，安全专家可以有效设置其防御的优先级并保护其网络、软件和人员。为了便于分析，我们按照所记录的每种威胁系列用来感染受害者的传播方式，对恶意软件删除工具(MSRT)在2011年上半年(1H11)检测到的威胁进行了分类。如果发现威胁通过多个载体来感染用户，则MSRT报告的该系列威胁的感染数目将平摊到每个载体上。图1显示了该分析的结果。图1.MSRT在2011年上半年检测到的恶意软件（借助记录的传播方法）下面介绍了图1中引用的各种恶意软件威胁传播方法：需要用户交互。用户必须执行某个操作才会使计算机受到威胁。在此用法中，“操作”意指在某种程度上与计算机的典型用法不同的有意操作。自动运行：USB。此威胁利用Windows中的“自动运行”功能来感染USB存储设备和其他可移动卷。自动运行：网络。此威胁利用“自动运行”功能来感染映射到驱动器号的网络卷。文件传播者。此威胁通过修改文件（这些文件的扩展名通常为.exe或.scr）、重新编写或覆盖某些代码段来传播。漏洞攻击：很早之前就有可用的更新。在攻击之前，供应商发布用于修复漏洞的安全更新的时间已超过一年。漏洞攻击：有可用的更新。在攻击之前，供应商发布用于修复漏洞的安全更新的时间不到一年。漏洞攻击：零日。在攻击时，供应商尚未发布用于修复漏洞的安全更新。密码暴力攻击。此威胁通过尝试对可用卷发起密码暴力攻击，就像使用netuse命令一样。Office宏。此威胁通过使用恶意VisualBasic®forApplications(VBA)宏感染MicrosoftOffice文档来传播。零日攻击。在攻击时，供应商尚未发布用于修复漏洞的安全更新。已分析的恶意软件检测中超过三分之一属于滥用Windows®中的“自动运行”功能的恶意软件。滥用“自动运行”的威胁分为两类：通过可移动卷传播的威胁（占总数的26%）和通过网络卷传播的威胁（占总数的17%）。为了抵御这些威胁，Microsoft已采取多项措施来帮助保护客户，包括在2011年2月发布针对WindowsXP和WindowsVista®平台的自动更新以确保“自动运行”功能更为安全（默认情况下已在Windows7中实现这一点）。已分析的MSRT检测中有百分之六属于漏洞攻击（尝试攻击应用程序或操作系统中的漏洞的恶意代码）。MSRT在2011年上半年中记录到的主要威胁系列均没有使用零日漏洞攻击。在MMPC检测到的所有漏洞攻击中，零日漏洞攻击活动所占的比率不到1%。

世界范围内的威胁情报漏洞披露图2.漏洞严重性(CVE)和漏洞复杂性的趋势（按供应商和按类型披露）漏洞严重性总体趋势（由通用漏洞披露或CVE确定的数字）是一个正数。2011年上半年披露的中等严重性漏洞和高严重性漏洞的数目有所下降，分别比2010年下半年下降了6.8%和4.4%。低复杂性漏洞（最易被攻击的漏洞）的数目有大幅下降，比前12个月下降了41.2%。这几年披露的操作系统漏洞数和浏览器漏洞数基本趋于稳定，各自占2011年上半年披露的漏洞总数的12.7%和15.7%。Microsoft产品中的漏洞数占2011年上半年披露的漏洞总数的6.9%，比2010年下半年下降了8.2%。漏洞攻击图3显示了2010年第三季度到2011年第二季度之间的每个季度发现的各类漏洞攻击的流行度。图3.Microsoft反恶意软件产品在2010年第三季度到2011年第二季度之间检测到并阻止的漏洞攻击（按目标平台或技术列出）2011年上半年最常发现的漏洞攻击类型是针对Oracle（原来的Sun）的JavaRuntimeEnvironment(JRE)、Java虚拟机(JVM)以及Java开发工具包(JDK)中的JavaSE所存在的漏洞的攻击。Java漏洞攻击占到了最近四个季度的每个季度发现的所有攻击的1/3到1/2之间。2011年第二季度检测到的针对操作系统攻击的次数大大增长，这是因为针对漏洞\h\hCVE\h-\h2010\h-\h2568\h的攻击数增加了。2011年第二季度检测到的针对AdobeFlash的漏洞攻击次数（尽管此攻击并不像其他类型的攻击那样常见）相对于2011年第一季度增加了40倍，这是因为有两个新发现的漏洞遭到了攻击。2011年第二季度对\h\hCVE\h-\h2010\h-\h2568\h（WindowsShell中的漏洞）的攻击数大大地增加了，它是造成2011年整个第二季度的操作系统攻击数增加的原因。2010年中首次发现\hWin32/Stuxnet\h系列威胁利用了此漏洞。文档攻击图4.Microsoft反恶意软件产品在2010年第三季度到2011年第二季度之间检测到并阻止的文档分析器攻击的类型。2011年上半年检测到的大部分文档格式攻击属于影响AdobeAcrobat和AdobeReader的攻击。几乎所有这些攻击都与\h\hWin32/Pdfjsc\h系列的一般攻击有关。半数以上的MicrosoftOffice漏洞攻击都与\h\hCVE\h-\h2010\h-\h3333\h（MicrosoftWord版本的RTF分析器中的漏洞）相关。恶意软件和可能不需要的软件除了另外指明的地方之外，本节中的信息是基于遥测数据编译的，这些数据是通过世界范围内的6亿多台计算机和Internet上最繁忙的一些联机服务生成的。此处提供的感染率数据以每千次运行清理的计算机数(CCM)作为度量标准，它表示单个季度每执行1000次恶意软件删除工具所清理的已报告计算机数。有关CCM度量的更多信息，请参阅Microsoft安全情报报告网站的\h“\h恶意软件\h”部分。操作系统感染率图5.2011年第二季度的感染率(CCM)（按操作系统和ServicePack列出）“32”=32位版本；“64”=64位版本。SP=ServicePack。受支持的操作系统（显示的执行次数至少为2011年第二季度总执行次数的0.1%）...与前几个阶段一样，针对客户端和服务器平台使用上的最新发布的Microsoft操作系统和ServicePack的感染率始终低于旧版本的感染率。Windows7和WindowsServer®2008R2分别是最新发布的Windows客户端和服务器版本，它们具有最低的感染率，如图4所示。WindowsXPSP3和WindowsVista的感染率随着2011年2月版的自动更新的发布而有所下降，此版本的自动更新更改了“自动运行”功能在各自平台上的工作方式，从而与“自动运行”在Windows7中的功能保持一致。这一更改所产生的影响可以通过有关Win32/Rimecud（它在2011年上半年世界各地最常检测到的系列威胁中排名第九，也是“自动运行”功能的主要滥用者之一）的感染统计数据看出来。威胁系列和类别图6.2010年第三季度到2011年第二季度检测到的威胁类别（按所有报告检测的计算机的百分比列出）圆形标记指示恶意软件类别；正方形标记指示可能不需要的软件类别。\hWin32/OpenCandy\h是2011年整个上半年最常检测到的威胁系列。OpenCandy是一类可能与某些第三方软件安装程序绑定的恶意广告软件程序。\hJS/Pornpop\h是2011年整个上半年检测到的第二常见的威胁系列，据检测，这是一类特别构造的、试图在用户的Web浏览器中显示弹出式广告的启用JavaScript的对象\hWin32/Hotbar\h是2011年第二季度最常检测到的威胁系列和2011年上半年检测到的第三常见的威胁系列，这是一类将根据对Web浏览器活动的监视情况来安装浏览器工具栏（将显示定向弹出式广告）的恶意广告软件。检测到\h\hWin32/FakeRean\h的次数在2011年第一季度到2011年第二季度期间增加了300%以上，并成为第二季度最常检测到的流氓安全软件系列。企业威胁蠕虫系列是在加入域的计算机上最常检测到的第三大恶意软件系列，并且它在企业环境中比在家庭环境中更常见。加入域的计算机上的更为流行的恶意软件系统包括\h\hWin32/Conficker\h和可能不需要的软件程序\h\hWin32/RealVNC\h。RealVNC是一类可用于远程控制计算机的程序，它与远程桌面服务类似。该程序有多种合法用途，但攻击者也会利用它来控制用户计算机以达到不良目的。病毒系列Win32/Sality在2010年还不属于在加入域的计算机上最常检测到的前十个系列，但在2011年上半年其排名已跃居第十位。电子邮件威胁MicrosoftForefront®OnlineProtectionforExchange(FOPE)所阻止的垃圾邮件数在过去12个月大大下降（从2010年7月的892亿封邮件下降到2011年6月的250亿封邮件），此情况主要是因以下两个大型僵尸网络被关闭所致：Cutwail已于2010年8月关闭，而Rustock在经过自2011年1月开始的一段停歇期也于2011年3月关闭。与前几个时期一样，FOPE内容筛选器在2011年上半年所阻止的垃圾邮件中，大多数都是非性药广告（占总数的28.0%）和非药品广告（占总数的17.2%）。2011年上半年的仅包含图像的垃圾邮件数占垃圾邮件总数的百分比下降为3.1%，比2010年下降8.7%。图7.2011年上半年由FOPE筛选器阻止的入站邮件（按类别列出）恶意网站传统上，网络钓客的攻击目标更加倾向于金融网站而不是其他类型的网站，但2011年上半年，以社交网络站点为目标的网络钓鱼迹象数占据了网络钓鱼迹象总数的最大百分比，并于4月达到83.8%这一高点。（网络钓鱼迹象是指用户尝试使用WindowsInternetExplorer®访问已知网络钓鱼网站并被SmartScreen®筛选器阻止的情况。有关更多信息，请参阅Microsoft安全情报报告网站的\h“\h恶意网站\h”部分。）总的来说，以社交网络为攻击目标的迹象数占2011年上半年所有迹象数的47.8%，而以金融机构网站为攻击目标的迹象数占2011年上半年所有迹象数的35.0%，低于前者。比较而言，以金融机构网站为攻击目标的网络钓鱼网站数占2011年上半年每月跟踪的活动网络钓鱼网站数的78.3%，而以社交网络站点为攻击目标的网络钓鱼网站数仅占5.4%。作为网络钓客的攻击目标的金融机构网站数以百计，需要对此类每个金融机构网站定制专门的网络钓鱼方法。由于流行的社交网络站点的数目相当少，因此以社交网络站点为攻击目标的网络钓客可以有效地攻击这些站点上的更多人员。可以直接对受害者的银行帐户进行非法访问意味着金融机构网站仍将长期成为网络钓客的攻击目标，并且这些网站仍将每月收到最大数量或第二大数量的迹象。此情况也会在小规模的联机服务和游戏网站上发生。少量联机服务占据了