执行摘要 2012 年是信息安全多样化的一年。网络攻防战场的从通用网络向专用网络延伸，甚至提 前开始了“主场”的争夺；除了黑客个人和犯罪团伙，宗教团体和政治势力也开始使用网络 武器；攻击目标不再限于主机和服务器，虚拟机、移动终端、平板电脑都被卷入，而原本用 于提供保障的安全机制，有时也会成为攻击者的猎物。 通用网络环境中漏洞的逐年增长已经成为常态，并不令人意外。毕竟软硬件种类的极大 丰富提供了广阔的温床。在这样的环境下，跨平台漏洞尤其引人注目，8 月份被披露的 Oracle Java 0 Day 漏洞（CVE-2012-4681）同时会影响 Windows、OS X 及 Linux 平台的多种浏览器。 而一些专用网络环境也渐渐被挖掘者视为“潜力股”，尤其在 IPv6 和 SCADA 网络中，近来漏 洞数量呈爆发性增长。每个人都知道竞争中的主场优势，政治势力也不例外。美国众议院报 告称华为、中兴对美国国家安全构成威胁，正是在争夺未来战争中的网络“主场”。 对大部分企业用户来说， Web 应用依然最易受到攻击。分析显示，页面中出现 Web 漏洞 的比率接近一半，其中“安全配置错误”和“跨站脚本”占较大比重，而“注入”类漏洞数 量低于预期。与此同时，攻击目标也展现了多样性，虚拟机病毒和 MacOS 病毒接连出现；更 高明的黑客甚至瞄准了“安全供应链”，入侵 Adobe 公司并用其数字证书签署恶意工具是其 中的典型案例。 大部分攻击者的目是窃取和破坏。前者在 2012 年可谓沸沸扬扬，最具代表的有 LinkedIn 网站 650 万用户数据泄露事件和 VMware ESX 源码泄露事件，而后者在 2012 年正在默默的改 变。首先，HTTP FLOOD 成为了最主要的 DDoS 攻击方式；其次，短期多次的攻击方式开始出现； 最后，广东成为了中国的重灾区，国内近半数攻击针对该地。 不同类型的攻击者各具特色。有组织的势力以此来实现政治目的，DuQu, Wiper, Flame, Gauss 接连出现，中东地区已经成为网络武器的演练场。宗教团体的冲突敏感而激烈，一段 Youtube 视频引发了“燕子行动”，美国多家银行遭受连续的攻击。黑客行动主义不甘寂寞， Anonymous 甚至发布“年终总结”来彰显其“成果”。最常被作为攻击发起点的是僵尸网络和 恶意网页， 前者在国内异常活跃，每类僵尸网络平均每天发起攻击 12.2 次；而后者看似沉 默却危害巨大，其中包括的木马下载器最多。 总之，2012 年是信息安全多样化的一年。我们处于更复杂的战场中，需要保护的对象越 来越多。而敌人，正变得更加狡猾，更加强大。 1 / 33 – NSFOCUS Security Report 正文目录 方法和对象 .................................................................................................................................................. 4 背景：漏洞的变化趋势 .............................................................................................................................. 5 观点 1：漏洞数量逐年上升，其中拒绝服务居第二位，占五分之一，信息泄露、未授权数据库操 作类漏洞数增长显著 .............................................................................................................................. 5 观点 2：云及虚拟化系统漏洞多与市场主流系统相关；新增漏洞数在 2012 年翻倍，且拒绝服务 类漏洞接近五分之二 .............................................................................................................................. 7 观点 3：工业控制系统相关漏洞近两年急剧增加，越权执行漏洞占六成 ........................................ 9 目标：众矢之的-Web 应用 ....................................................................................................................... 12 观点 4：Web 站点中，每个页面的 Web 漏洞出现率接近一半，“安全配置错误”，“跨站脚本” 等数量较多，“注入”类漏洞不再居主要地位 ................................................................................ 12 观点 5：Web 应用中同样存在主机漏洞，其中“远程信息泄露”数量最多，而“远程拒绝服务” 增幅最大 ................................................................................................................................................ 13 手段：危险的 DDoS 攻击 .......................................................................................................................... 14 观点 6：HTTP FLOOD 成为最主要的 DDoS 攻击方式，占总数的四成 .............................................. 14 观点 7：DDoS 攻击开始出现短期多次的特点，九成以上攻击发生在半小时内，同时半数目标被 攻击多次。攻击的平均峰值达到 166.6 Mbps ................................................................................... 15 观点 8：广东省成为重灾区，近半 DDoS 攻击指向该地，电信网络占四分之三 ............................ 17 来源：活跃的僵尸网络和沉默的恶意网页 ............................................................................................ 19 观点 9：国内活跃的僵尸网络，平均每天发起攻击 12.2 次，每天更新僵尸程序 1 次，每周跳转 地址 0.25 次。此外，僵尸服务器使用的控制端口中 25 %是借用系统端口.................................. 19 观点 10：国内主要僵尸网络的控制服务器近半数位于国外，境内的则集中在浙江、江苏和河北 等省市，其中四分之一以上在浙江省台州。运营商网络中，电信占七成以上 ............................. 21 观点 11：国内的恶意网页中，近半数活跃度较低。从所处地域来看，北京、浙江和广东共占一 半............................................................................................................................................................ 23 观点 12：恶意代码中八成以上是动态库形式，而木马下载器占一半以上 .................................... 25 热点：主要安全事件 ................................................................................................................................ 26 事件 1：DuQu, Wiper, Flame, Gauss 接连出现，中东地区成为网络武器的演练场 ................... 26 事件 2：Oracle Java 惊现 0 Day 漏洞(CVE-2012-4681)，影响巨大........................................... 27 事件 3：LinkedIn 网站 650+万用户数据泄露事件 ........................................................................... 28 事件 4：黑客入侵 Adobe 公司并用 Adobe 数字证书签署恶意工具 ................................................. 28 事件 5：黑客行动主义盛行，依然活跃的 Anonymous ...................................................................... 29 事件 6：Mac OS X 史上最严重的病毒 Flashback ............................................................................. 29 事件 7：美国众议院报告称华为中兴对美国国家安全构成威胁 ..................................................... 30 事件 8：Bank of America 等多家金融机构接连遭遇 DDoS 攻击 .................................................... 30 事件 9：VMware ESX 源码泄露事件 .....................................................................................