2012十大安全事件回顾 Flame成“毒”王

ZDNet至顶网软件频道消息   2012很快就要过去了，除了12月21日是世界末日的谎言即将被证明外，我们也会迎来2013年人生的新篇章，在这破旧迎新之际，就让我们一起回顾下2012年业界发生的十大安全事件。

1.Mac OS X史上最严重的病毒——Flashback

虽然Mac OS X上的病毒Flashback出现在2011年底，但直到2012年4月它才大规模爆发。在鼎盛时期，Flashback感染了超过70万台Mac电脑，是目前为止已知感染Mac OS X最多的病毒。

怎么可能会感染这么多Mac OS X呢？有两个主要因素，一方面是Java的CVE-2012-0507漏洞，另一方面是当涉及到安全问题那些Mac“死忠”用户的冷漠。

Flashback的出现在Mac OS X历史上有重大意义，因为它的出现打破了Mac系统刀枪不入的神话，同时也证实了病毒大规模的爆发，的确可以影响到非Windows平台。

2.史无前例的高危害性病毒Flame和Gauss恶意软件

最复杂的病毒Flame：Flame可以说是最具颠覆性、最复杂的病毒，该病毒能够运用包括键盘、屏幕、麦克风、移动存储设备、网络、WiFi、蓝牙、USB和系统进程在内的所有可能条件去收集信息。另外它用上了5种不同的加密算法、3种不同的压缩技术，和至少5种不同的文件格式，包括一些其专有格式。此外感染的系统信息以高度结构化的格式存储在SQLite等数据库中，病毒文件达到20MB之巨（代码打印出来的纸张长度达到2400米）。有专家称，全面了解Flame病毒至少有10年时间。

最令人印象深刻的是，Flame可以使用一个假的微软证书去执行针对Windows Updates的一个中间人攻击，这使得它能在一眨眼功夫感染全补丁的Windows 7电脑，这些操作毫无疑问很复杂，但Flame做到了。

Flame的存在有着重大意义，因为它表明高度复杂的病毒可以存在多年而不被发现。据估计，Flame病毒至少存在有5年时间了，此外，Flame病毒还重新定义了零日漏洞（zero-days）的概念——通过“上帝模式”这个中间人的方法进行传播。

Flame的兄弟Gauss病毒：当Flame病毒被人们发现后，研究员们又继续研究有多少这样的病毒被安置，随后人们发现了Gauss病毒。Gauss同样是一个很厉害的病毒，有些东西至今为止仍然是一个谜，它安装了一个叫Palida Narrow的特殊字体，有效负载部分则用特殊方式加密，为此俄罗斯卡巴斯基实验室研究人员还向民众求助，请求帮忙破解Gauss恶意软件一个加密部分。

3.Android系统威胁呈爆炸性增长

2011年针对Android的恶意病毒呈现了高速度的增长，到了2012年针对Android的恶意软件继续以爆炸般惊人速度的增长，而下面的图表则更清楚地显示和证实了这一点。

总体而言，2012年一共发现了超过35000个Android恶意软件，这一数字是2011年的六倍，同时这也是自2005年收到所有恶意软件样本数量的五倍。

造成这一形象可以归纳为两个原因：经济与平台。首先，得承认Android已经成为非常受欢迎的平台，有超过70％的市场份额，成为了最广泛的移动操作系统。其次开放的操作系统，能够轻松地创建应用和各种各样的应用市场相结合，这不可避免地位Android平台带来了安全问题。

展望未来，这一增长趋势将毫无疑问地持续下去，就像多年前的Windows饱受恶意软件困扰一样。

4.大规模密码泄露事件：LinkedIn等网站密码遭泄露

2012年6月，世界最大的商业客户社交网站LinkedIn遭到黑客攻击，使得超过650万的LinkedIn网站用户密码遭到泄露。虽然使用SHA1加密，但安全研究人员使用快速地GPU卡惊人地恢复了85％的原始密码，SHA1正是以前密码保护的标准方式，而现在已经没什么作用。通过这个事件明白，一些Web开发人员必须加强密码加密存储方面的课程学习。

除此之外，包括Dropbox、Last.fm和Gamigo都遭遇黑客入侵和用户账户信息泄露事件，其中Gamigo更是有超过800万个密码被泄露。

这些密码泄露事件显示，在这个云时代，数以百万计的账户信息放在互联网高速连接的服务器上，数据泄露正呈现新的维度，大家应特别加强信息安全意识。

5.Adobe的证书盗窃和无处不在的APT

2012年9月27日，Adobe宣布发现两种恶意程序，它们使用了有效地Adobe代码签名证书。据悉Adobe的数字证书被安全地存放HSM中，HSM是一个特殊的加密装置，这使得黑客的攻击行为会变得更加复杂。尽管如此，攻击者仍然搞定服务器并执行了签发数字证书的请求。

这一具有针对性且一系列具有连锁性地复杂威胁行为通常被描述为APT（即高级持续性威胁，具体解释请见：维基百科），事实上，包括Adobe这样的著名公司正成为这些高级持续攻击者潜在的目标。

6.DNSChanger服务器被关闭

DNSChanger是活跃在2007年至2011年的DNS劫持软件。它会通过修改计算机的DNS设置，指向他们自己的服务器来感染电脑。通过这种方法，用户在浏览网页的时候就会被插入广告，在该软件鼎盛时期，大约感染了超过四百万台计算机。

随后美国联邦调查局（FBI）宣布将关闭与DNSChanger恶意软件相关的服务器，这将使得被感染的电脑无法访问互联网。不过FBI后来同意保持在线服务器到2012年7月9日，让那些感染用户有时间去杀毒。

7.Madi不间断地间谍行动

在2011年末和2012年上半年，一个不断持续活动的病毒渗透到整个中东，并针对性地扩散到伊朗、以色列和阿富汗等国家的个人计算机系统，随后卡巴斯基实验室和高级威胁检测公司Seculer合作发现了这个病毒，根据攻击者使用的某些特定的字符串，并把这个病毒命名为“Madi”。

尽管Madi病毒相对简单，但它通过社会工程学等战术成功地让世界各地的受害者妥协。

8.Java的零日漏洞

首先要提的是，Java曾造成Mac电脑受到广泛攻击，在Mac OS X遭到Flashback攻击后，苹果公司采取了大胆的措施，禁用了数百万用户Mac OS X中的Java。另外需要指出的是，自二月份以来尽管有一个补丁能够有效修复漏洞，但苹果的用户仍然在该漏洞下暴露了几个月，这些得归结于苹果行动缓慢。要知道Mac OS X中的补丁机制和Windows不一样，对于Windows，Java漏洞补丁是直接由甲骨文发布，而对Mac电脑用户，这一补丁得交给苹果。

如果这还不够，那还有另外一个事例：2012年8月一个Java零日漏洞（CVE-2012-4681）刚发现后，就被用于疯狂的攻击，后来该漏洞还被黑客制作成行之有效地攻击工具包，这导致世界各地数以百万计的电脑感染病毒。

另外，在对部分用户计算机进行分析后发现，超过30％的用户仍然安装有老旧和易受攻击的Java版本。

9.“恶毒”软件Shamoon出现

今年8月中旬，一种具有高度破坏性的恶意软件被用于针对沙特阿拉伯国家石油公司的攻击中，虽然只有30000台电脑感染这个恶意软件，但这些电脑都被完全摧毁。

这个叫Shamoon的恶意软件很恶毒，不仅盗窃用户电脑中的数据，它还会将盗窃后的电脑数据永久删除，甚至包括主引导记录，从而导致系统完全瘫痪，不能开机。

发现Shamoon具有重大意义，因为它提出了使用Wiper恶意软件的想法，Wiper是一个极具破坏性的有效负载，目前它的细节很多都还未知，只知道它的存在就是为了大规模破坏数据。

10.针对网络设备的大规模攻击

2012年10月，研究员Fabio Assolini在网上发表了一篇使用单一漏洞攻击的文章，文章详细介绍了2011年在巴西，攻击者使用两个恶意脚本和40个恶意DNS服务器进行攻击的详细过程。这使得受影响的硬件制造商达到六家，同时这也导致大规模的DSL调制解调器攻击和数百万的巴西互联网用户成为受害者。

2012年3月，巴西CERT小组证实，超过450万的调制解调器在攻击中被攻破，同时各种欺诈活动也被这些网络罪犯滥用。

另外Recurity实验室安全研究员Felix ‘FX’ Lindner发现了华为家庭路由器存在安全漏洞，随后美国政府决定调查华为间谍活动的风险。

华为和DSL路由器在巴西的漏洞攻击不是随机事件，这些迹象表明，硬件路由器同样也可以造成和软件漏洞一样的安全风险，同时也说明，计算机安全防卫工作将比以往任何时候都要困难和复杂，因为有的时候真的防不胜防。