2016年10月27日，美国普林斯顿大学的研究小组在美国计算机协会(ACM)计算机与通信安全大会上称，他们开发出一种名为“捕食者”的系统，可区分新建网站是合法网站还是恶意网站，从而让这些恶意网站“见光死”。

“捕食者”系统依赖于这样一个判断，即恶意用户在注册网站时的行为与正常用户有所区别。比如，他们通常会一次购买多个域名，注册多个网站；经常会用一个名字的变体，如调整字母顺序、使用复数形式等注册多个网址。普林斯顿大学计算机科学教授尼克·菲姆斯特带领研究人员对恶意用户和正常用户的线上行为进行了大量分析，据以建立识别模式，开发出了“捕食者”系统。

通过该系统，研究小组在一段时间内每天对80000多个新注册域名进行筛查，判断哪些网站最有可能是恶意网站。而其预测结果与后来的实际情况，也就是被网络安全工程师列入黑名单的网站名单对比，70%的恶意网站在注册时即被“捕食者”系统揪了出来。虽然该系统也会有失误，给一些合法网站贴上“恶意”标签，但这一失误率仅有0.35%。

菲姆斯特指出，能在恶意网站注册时就发现它们，这对网络安全的维护具有重要意义。现有的屏蔽工具依靠检测网站的恶意活动来识别并阻止它们。不法分子可以不断购买新的域名，建立新的网站，他们在网站被屏蔽前总有一段时间干各种不法勾当。而“捕食者”系统能够在网站注册时建立一个过滤网，安全运营商可以据此更快速地建立黑名单，屏蔽这些网站，使其无法为恶；域名提供商也可根据“捕食者”系统的筛查结果，确定是否批准注册申请，或进行更深入的调查，从而减少恶意网站的出现。

加载页面：网站如何导致用户感染恶意软件

Google宣布，每天有9，500个感染了恶意软件的网站有可能会损害网站的访问者。了解恶意软件如何感染网站以及如何防止这样的感染有助于保证您的访问者的计算机不受恶意软件侵扰。

多年来，恶意软件这个术语一直用来描述任何类型的恶意程序，包括病毒、木马、蠕虫、间谍软件、流氓软件和广告软件。在计算机发展初期，人们常常将恶意软件看作是通过恶意行为骚扰用户或者炫耀编程技术的恶作剧。基本上，恶意程序感染的人越多，您在某些圈子里的名气就越大。恶意程序往往以电子邮件附件、移动存储介质共享或文件共享服务等手段传递给目标受害者。

尽管这种类型的恶意软件确实给受害者造成了许多问题，但对大部分攻击者来说无利可图，因此也并未吸引过多的人参与。如今，恶意软件背后的动力已经悄然转变为金钱利益。这些攻击由物质利益驱使，因此恶意软件比以往更加猖獗。不但有更多的人参与创建和分发恶意软件，而且攻击也变得越来越复杂。电子犯罪者已经学会了如何通过以下手段利用恶意软件谋取巨额利润：

1.显示和点击广告

2.窃取机密数据

3.劫持用户会话

4.入侵用户登录凭据

5.窃取财务信息

6.进行欺诈性购买

7.制作垃圾邮件

8.发起服务拒绝攻击

为了将其恶意软件递送给尽可能多的受害者，电子犯罪者已经将网站转变为主要分发源之一。

他们为何会选择网站？

人们已经学会了不去下载电子邮件中的附件，也对流行的文件共享服务敬而远之，因为许多此类文件都已经被恶意软件感染。但人们并未停止网上冲浪。据互联网世界统计（参考资料部分提供了一个链接），在2011年，活跃的互联网用户达到了2，279，709，629名，而且这个数字仍然在不断增加。

由于存在如此之大的攻击范围、如此之多的毫无疑心的用户，网站成为致使用户感染恶意软件的最流行介质也毫不意外。事实上，恶意网站已经极为普及，Google每天要将大约6，000个携带某种对访问者存在危险的恶意软件的网站列入黑名单。

恶意软件如何通过网站传播

负责使用恶意软件感染网站的攻击者是通过三种方式实现传播的：

1.自行创建恶意网站。

2.利用Web服务器或其配置中的漏洞。

3.利用网站依赖的应用程序中的漏洞。

通过服务器漏洞感染网站

为了解决基于服务器的漏洞问题，我们观察了市面上两种最流行的Web服务器应用程序：Apache和Microsoft® Internet Information Services（IIS）。这两种服务器支撑着所有网站中78.65%的比例。

Apache和IIS（或其他任何Web服务器）都存在着恶意攻击者可以利用的漏洞。如果攻击者能够入侵服务器软件或服务器本身，那么就可以上传恶意代码，甚至上传整个网页，以便将恶意软件传送给网站访问者。举例来说，允许发生此类攻击的漏洞主要来自两种来源。

默认安装中的漏洞

在安装Web服务器软件时，人们通常会采用默认配置，但默认配置仅仅会简化网站的发布，而不能保证安全性。此外，Web服务器的默认安装往往也会包含一些不必要的模块和服务。这些不必要的内容使攻击者有机会无限制地访问您的网站文件。

每一种操作系统、Web服务器软件和版本都有着自己的漏洞，只需通过简单的Web搜索即可发现这些漏洞。在网站上线之前，应该解决所有已知漏洞。

存在问题的身份验证和会话管理

这种来源包含用户身份验证和活动会话管理的所有方面。据Open Web Application Security Project （OWASP）表示：“大量的账户和会话管理缺陷会导致用户或系统管理账户遭到入侵。开发团队往往会低估设计身份验证和会话管理架构的复杂程度，无法在网站的所有方面为提供妥善的保护。”

为了缓解此类漏洞造成的风险，负责管理Web服务器和站点的人员需要遵循对于所有密码的强度、存储和更改控制有所要求的密码策略。除此之外，Web服务器的远程管理功能也应该加密，甚至应该考虑完全关闭，确保用户凭据不会通过传输的方式被窃。

通过网站中的漏洞上传恶意软件

如果网站仍然采用静态文本和图像，那么犯罪者就很难利用合法网站传播恶意软件。然而，如今的网站大多由数据库、复杂的代码和第三方应用程序构成，在进一步丰富用户体验的同时也给网站带来了无数种漏洞。

让我们以WordPress为例。这种博客编辑应用程序改变了网站的创建方式，它使任何略有技术知识的用户都能轻松创建具有丰富的多媒体内容的互动式网站。WordPress极为流行，有超过5000万个网站采用了它。然而，WordPress的易用性也是近来爆发的大规模攻击事件的诱因，在这次实践中，大约有30，000至100，000个运行该应用程序的网站将受害者重定向到恶意网站。

安装了流行插件的网站发现其网页被代码感染，导致访问者重定向到其他网站。随后，该网站会根据受害者计算机运行的操作系统和应用程序，以恶意软件感染受害者的计算机。感染了超过500，000台Mac计算机的闪回式木马（Flashback Trojan）正是通过这种方法传播的恶意程序之一。

然而，这样的例子并非仅限于WordPress。Joomla！、Drupal、MediaWiki、Magento、Zen Cart和其他许多应用程序都有着自身的漏洞，导致恶意黑客能够将恶意软件上传到这些站点并分发给访问者。

防止Web应用程序遭受攻击

对于利用Web应用程序的攻击者来说，必须要做到的就是找到某种类型的漏洞。遗憾的是，对于网站所有者而言，存在大量各种类型的已知漏洞，甚至无法一一列明。但有些漏洞可能是广为人知的：

1.跨站点脚本攻击（XSS）

2.结构化查询语言注入

3.跨站点请求伪造注入

4.URL重定向

5.代码执行

6.Cookie操纵

还有其他许多漏洞。

减少Web应用程序威胁

幸运的是，如果您的站点存在某些可能被利用的已知漏洞，可以利用Web应用程序渗透技术，通过某种方法加以解决。通过全面测试网站的已知漏洞，即可预先解决这些威胁，避免发生利用这些漏洞向网站访问者分发恶意软件的攻击。为此，您可以利用多种开放源码或商业工具，也可以将服务外包给相关领域的专业企业。

尽管渗透测试有助于识别网站代码中需要修复的问题，但Web应用程序防火墙也能帮助您在威胁危及您的网站之前阻止威胁。通过识别已知攻击模式，即可在恶意黑客损害您的网站之前阻止他们。更为先进的Web应用程序防火墙甚至能识别非法流量，针对未知的零日攻击提供保护。

限制Apache中的漏洞

只要配置服务器，那么最佳实践就是仅安装必要的模块和应用程序。迄今为止，这种做法不但属于最佳实践，也是最常用的实践。

为了限制Apache Web服务器内的漏洞，还应采取其他一些基本措施。本文中将使用与Linux®的Ubuntu发布版相关的命令。对于在其他操作系统或发布版上运行的Apache，很容易就能搜索到执行各任务所需的步骤。

禁用横幅

默认情况下，Apache会在发出Web请求时显示其名称和版本号，告诉潜在攻击者网站实际运行的内容。禁用该横幅使潜在攻击者更难查明是否存在其他漏洞。为此，可以导航到/etc/apache2/apache2.conf并禁用ServerSignature和ServerTokens条目。

禁用目录索引

另外一项默认功能就是打印Web站点目录中的文件列表。这项特性使攻击者能够映射您的服务器，并识别可能存在漏洞的文件。为了避免这样的问题发生，您需要禁用自动索引模块。只需打开终端并执行以下命令即可：

•rm -f /etc/apache2/mods-enabled/autoindex.load

•rm -f /etc/apache2/mods-enabled/autoindex.conf

禁用WebDAV

基于Web的分布式创作和版本控制（WebDAV）是HTTP的文件访问协议，允许在网站中上传、下载和更改文件内容。任何生产网站都应禁用WebDAV，确保攻击者无法更改文件以上传恶意代码。

使用终端执行以下命令，通过删除dav、dav_fs和dav_lock文件来禁用这些文件：

•rm -f /etc/apache2/mods-enabled/dav.load

•rm -f /etc/apache2/mods-enabled/dav_fs.conf

•rm -f /etc/apache2/mods-enabled/dav_fs.load

•rm -f /etc/apache2/mods-enabled/dav_lock.load

关闭TRACE HTTP请求

HTTP TRACE请求可用于打印会话cookie，此后利用这些信息劫持用户会话，发起XSS攻击。您可以导航到/etc/apache2/apache2.conf文件，确保TraceEnable设置为TraceEnable off，以禁用此类跟踪。

限制IIS中的漏洞

对于消费者市场来说，Windows Server®产品最吸引人的一项特征就是易于安装。利用IIS，企业只需轻点几下鼠标即可设置好一个Web服务器并将其投入运行。以开箱即用的方式安装服务器软件时，需要执行一些配置任务：但IIS会代替您完成这些任务。

为了解决Web服务器产品的安全性问题，Microsoft对IIS的配置方式以及默认安装的内容作出了一些重大变更。然而，您仍然可以采取一些措施来提供更好的保护，避免威胁。

安装防恶意软件程序

Code Red和Nimda均属于攻击Windows Server操作系统的蠕虫，两者均造成了极大的损害。如果主机操作系统本身不具备重组的防恶意软件保护，那么网站就极易受到攻击。利用按键记录器、木马和其他恶意软件，攻击者不仅能够轻松入侵Web管理员的登录凭据，还能在提供给网站访问者的文件中插入恶意代码。

安装防恶意软件程序之后，应该及时更新程序，随后在上传任何网站文件之前运行。如果发现任何异常之处，则应立即更改所有密码。

更新其他所有内容

在运行IIS的Web服务器上限之前，请务必更新操作系统软件和Web服务器软件，安装Microsoft发布的最新更新。这些更新通常包括解决Microsoft产品特有漏洞的补丁程序。

在发生攻击后进行清理

在网站导致访问者蒙受损失之后，必须立即采取纠正措施。首先应将站点脱机，并将之隔离。如果需要将站点投入运行，以避免业务中断，那么应该使用经过验证、确无恶意软件的备份。

处理在线状态之后，接下来就应该清理受感染的文件。某些感染仅需移除几行代码，而较为复杂的攻击则可能要求您重新编写整个文件。此时，应采取一切必要措施，从站点中移除恶意软件。

挽救您的名誉

Google和其他搜索引擎发现一个网站传播恶意软件之后，就会将该网站从搜索结果中剔除。这会给业务造成灾难性的影响。

移除所有恶意软件、修补所有漏洞之后，应将网站提交给搜索引擎，供其审查。如果搜索引擎确定其中不再存在对任何访问者有害的威胁，该网站即可重新列入搜索结果，搜索引擎带来的访问流量即可恢复如常。

如果恶意软件感染侵害了用户帐户信息，那么应该立即通知所有用户，使之能够处理因之产生的任何后果。除此之外，组织还需要查看此类入侵是否违反了任何法律或法规，并采取必要的措施来应对负面影响，保证符合法律法规。

谷歌改进anti-malvertising 对抗恶意广告

据外媒体报道，Google对其之前推出的用于打击通过广告传播的恶意软件的网站anti-malvertising进行了改进，增强后的功能更有助于其广告网络用户有效阻止通过广告传播的恶意软件侵袭。

Google2016年年初推出了一款初级用户搜索引擎，主要用来允许广告网络对于潜在客户进行快速背景检查，以尽量减小恶意软件的侵害。该网站布告中写到，“通过对诸多独立的第三方网站的检查，我们可以对可能通过广告传播的恶意软件进行追踪。搜索结果对于潜在客户而言可能不需要太注意，只是作为有用信息仅供参考。如果您的目标对象出现在搜索结果中，我们建议您在做出最终决定前对有问题的对象进一步考量。”

现在Anti-Malvertising.com网站增添了一些与“所有网络发行商，广告运营团队和网络用户”相关的教育性材料。针对发行商的建议是他们应保持在创新性方面开展全面的问答，同时避免缺乏强有力的反恶意软件措施的广告网络。

网站上同时还针对不同规模的发行商制定了相应的应急策略，包括面向用户服务的脚本示例，以及当发现恶意软件时通知广告网络和其他第三方的脚本。网站还提供了链接到免费在线安全扫描服务，并推荐了一些论坛和阅读材料。网站上注明，“在线广告世界同现实广告世界一样是动态的环境，其中包含了怀有不同目的的各色人等，有好也有怀。本网站则针对那些通过广告传播的恶意软件，并帮助您有效防止受到其侵害。”

高通推出新平台 对抗恶意软件、保护个人隐私

美国高通公司（Qualcomm）宣布，旗下子公司高通技术公司将推出Qualcomm® Snapdragon™ Smart Protect，而即将上市的Qualcomm® Snapdragon™ 820将会是第一个搭载此系统的平台。Smart Protect提供在设备上即时的机器学习系统，以准确且有效的方式侦测零时差（zero-day）恶意软件威胁，进而保护个人隐私与设备安全。

Snapdragon Smart Protect是第一款利用Qualcomm® Zeroth™技术的应用程序，能利用先进的认知运算行为引擎，通过提供在设备上的即时恶意软件侦测、分类与来源分析，以弥补传统恶意软件解决方案的不足，例如能分析与辨识更新特征前的新威胁。OEM厂商与移动反恶意软件应用程序供应商亦可利用Snapdragon Smart Protect应用程序界面（API），完成有价值的因果分析，为用户及移动业者提供即时的威胁辨识资讯。

高通技术公司产品管理总监Asaf Ashkenazi表示：“随着消费者在设备里储存越来越多的个人资料，资料外泄事件和恶意软件也随之增加。Snapdragon Smart Protect支持详尽的设备上监测，可以有效解决这项问题，以几近同步的方式发出隐私侵犯行为及恶意软件活动通知，且同时保持优良系统表现并延长电池续航力。”

而高通技术公司目前正与OEM厂商以及移动安全供应商如AVG、Avast及Lookout密切合作，期望Snapdragon Smart Protect技术能被应用于商业用恶意软件清除应用程序。透过这项技术，OEM厂商与移动安全软件厂商将能改善现有安全产品，并针对不同潜在攻击进行对应解决方案的强化及差异化。业者则能减少设备遭恶意软件入侵所导致的诈骗诉讼以及网络堵塞等负担，Snapdragon Smart Protect还能将对设备表现和电池续航力的影响降至最低。

高通公司预计Snapdragon Smart Protect将会于2016上半年和搭载Snapdragon 820处理器的消费性设备一同上市。届时，此项技术的推出将可能使许多业者受惠，也能让消费者的个人隐私像有金钟罩铁布衫一般坚而不催。