当前位置: 安全纵横 > 安全公告

一周安全动态(2010年12月30日-2011年1月6日)

来源:安恒信息 日期:2010-12

2011年1月第一周(12.30-1.6)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 2010年重大信息安全事件:Stuxnet的真相

2010年间最受安全产业关注的议题Stuxnet(编按:2010 年11月Stuxnet蠕虫攻击伊朗核电厂,锁定水库、油井、电厂等重要基础设施。大多数Stuxnet的攻击目标出现在伊朗,引发意图破坏核子设施的阴谋论说。)。毫无疑问的是,Stuxnet是一款高度精良的恶意软件,其开发动用了大量资源,不管是在时间,金钱或人力等方面来看。但就冲击度而言,多数的使用者并未受显明的影响。没错,Stuxnet的确散布到世界上许多的系统中,但对几乎是所有受到感染的系统来说,它并不是个大问题。它既不偷盗数据,不促销假防病毒软件,也不会大量传送垃圾讯息。

说Stuxnet预告了恶意软件威胁影响“真实世界”机构的新世代来临,也不完全正确。早在2003年,Slammer蠕虫就打击了俄亥俄州一个核能机构,并关闭了一个监视系统。而DOWNAD\Conficker蠕虫攻击了多个高知名度机构如医院(甚至影响了MRI磁核共振造影),执法单位,甚至不同的军事机构。

要说Stuxnet,可以说它的独特性在于,第一次有人决定花时间,刻意以特定供货商的SCADA系统监控与数据抓取功能软件(Supervisor Control And Data Acqusition,简称SCADA)平台做为攻击目标。其技术过去就已经存在,欠缺的是进行的动力。

这类的恶意软件攻击数量少也远在今日的威胁情势之外。目前资料窃盗仍是最大的问题。趋势科技每日所发现的恶意软件中,大多数皆属数据偷盗型恶意软件。今日所见的每一件Stuxnet感染,皆相对地会发现上千件牵涉到偷盗数据的恶意软件,如Zeus和SpyEye。

从Stuxnet我们可学到两个教训。对那些和被Stuxnet视为目标类似的企业控制系统来说,这应该是一记警钟。Stuxnet攻击的“软”目标皆未受到良好的防护。这些系统之所以未受到良好防护,是因为他们是位在网络的“内部”,可能被认为其区域防护已足够。网络的安全性其实取决于其最弱的环节。因此,企业控制系统中的计算机和网络皆需要全面强化。

第三者的应用程序最常被做为入侵破坏的目标,例如Adobe Flash和Adobe Reader,因此如果不能将这两者自系统中移除的话,最好是将两者随时更新。对可移除式装置如USB记忆碟的攻击也不能等闲视之,且需加以防范。这将不会是迅速,简单或便宜就可以解决的。

不过对负责重要系统的用户而言,来自Stuxnet的危险必须要被放在适当的内容中。凭证窃盗软件是远比Stuxnet更重大的威胁。除此之外,要记得针对重要系统而来的威胁很可能目标就单只是该系统。一般的使用者更常看到的威胁类型,会是凭证窃盗和假防病毒软件类的恶意软件。

Stuxnet终归是享受了大量的媒体关注。它最主要的是对系统管理者在防护重要系统,甚至那些他们认为不会受恶意软件威胁的系统,产生警告作用而非是实际的威胁。这个问题必须要被囊括在更大的恶意软件威胁内容中,这类的威胁每日皆可见到上万新数量的产生,绝大多数都是在偷盗用户的数据。

1.2 年末黑客扎堆盯网购 木马作者月赚百万

年终岁末,伴随着网购市场的异常火爆,大量病毒木马鱼贯而出,纷纷扎堆年末的网购市场,伺机展开赤裸裸的“抢钱”行为。据安全专家李铁军预测,未来一个月内,新增与网购相关的钓鱼网站将超过5万个,预计波及网民累计将达千万人次。

李铁军指出,年终岁末,圣诞元旦购物季期间,黑客针对网购的安全攻击主要包含三大类:钓鱼网站、新型交易劫持木马、传统盗号木马。其中,钓鱼网站、新型交易劫持木马将成为本次网购高峰的主要威胁。

据《2010年中国网络购物安全报告》显示,2010年网络购物安全形势非常严峻,日新增网购相关的钓鱼网站多达1500多个,而新型交易劫持木马的增长更为迅速,从最初的1个快速发展至千个,日攻击网友数量也已超过2000人次。

报告显示,新型交易劫持木马是一种技术含量非常高的木马,一对一的传播方式,导致了该木马作案成功率非常高。而很多网民因为损失数额不多,在举证以及后期的案件追踪等方面都存在一定难度,因此也助长了此类木马的嚣张气焰。

以数字大盗木马为例,作为新型交易劫持木马的典型代表,数字大盗木马虽然目前仍然没有大面积扩散,而点对点的传播也使木马作者隐藏的更深。金山网络安全中心担心该木马的攻击方式如果公开,将会对在线购物安全构成严重威胁。

据了解,以数字大盗为代表的新型交易劫持木马的作案流程基本一致:在交易过程中,买家执行了对方发过来的文件(木马),在继续交易时,木马会创建一个新的隐藏的交易单,这个交易单会抢在正常交易单之前被提交。在整个过程中,买家完全看不到交易信息被篡改,会直接将货款打到犯罪分子指定的帐号中。据李铁军保守估计,仅数字大盗一个木马,从今年6月份被发现至今,至少敛财上千万元。

圣诞节、元旦、春节接踵而至,网购市场的火爆也给病毒木马作者提供了更多敛财的机会。为了保障广大网民的网络购物安全,安全专家建议广大网民:1、安装专业的安全防护软件,开启实时监控功能,实时防护网络攻击;2、安装安全辅助类工具,及时修复电脑内的安全漏洞,不给病毒木马以可乘之机;3、网络购物过程中,仔细辨别网址、不随便接受陌生人传送的文件,以防遭遇钓鱼、木马攻击。

1.3 微软承认所有版本IE存一严重漏洞

国外媒体报道,微软公司本周三承认所有版本的IE浏览器都存在一个严重漏洞,黑客攻击者可以利用这个漏洞诱导用户访问恶意网站。

虽然微软表示将尽快修补这个漏洞,但并不打算仓促发布一个紧急补丁。

微软安全响应中心(MSRC)发言人Carlene Chmaj表示,我们正在密切监视这个威胁,如果情况有变,我们将即时发布紧急补丁。Chmaj还表示,目前这个漏洞的影响是有限的,并没有任何被攻击的用户。

微软安全软件工程师J. Serna表示,IE浏览器的“mscorie.dll”文件并不是总是自动启用随机地址空间分配技术(ASLR)。该技术能随机分配可执行内存,使黑客很难运行他们的代码。

在微软发布补丁之前,用户可以使用增强减灾体验工具(EMET)加强防御。EMET 2.0目前可以从网上免费下载。用户在Windows Vista和Windows 7环境中使用IE7和IE8浏览器比较不容易受攻击。

由于微软通常两个月出一个浏览器补丁,所以新补丁很有可能要等到二月才会发布。

1.4 黑客入侵他人电脑窃财30万

电脑高手琚某入侵他人电脑,利用木马程序获取网银资料进而转走对方账户的钱款。记者昨天从西城检察院获悉,琚某目前因涉嫌盗窃罪被批捕。

据检方介绍,今年7月15日,北京一女子在淘宝网上购买了一些物品,输入银行卡卡号和银行U盾的密码成功支付,当时未发现任何异常。9月22日晚,这名女子再次在 网上购物时发现卡内余额不足,查询发现,账号除7月15日进行过正常交易外,还向一个陌生账号内转入了万余元。发现情况不对,该女子当即报案。

同类情况也在广东省汕头市发生。10月14日下午,一名中年男子在汕头上网,准备汇一笔钱给客户,突然电脑屏幕白屏,待电脑可操作时,银行卡已被锁住,卡内的近30万元被转走。

陆续接到报案后,民警通过对被害人计算机进行技术分析,很快锁定嫌疑人为琚某,并将其抓获归案。

琚某交代,他选择盗窃目标时,通过专用工具扫描IP网段,发现有漏洞的电脑,便在对方的电脑内植入木马程序,可在对方毫不知情的情况下控制其电脑,并对电脑键盘的工作情况进行记录,从而在对方进行网银交易时获取对方的网银交易密码,并在对方再次进行网银交易时,乘其不备将对方账号内的资金转走。每次取款前,他还进行简单的化妆,佩戴红色镜框的眼镜,头戴棒球帽,并在取款时有意遮挡探头。
《京华时报》

1.5 迈克菲实验室发布《2011年威胁预测报告》

迈克菲今日发布《2011年威胁预测报告》,报告列出了迈克菲实验室研究人员预测2011年将会出现的最严重威胁。作为 2010 年最吸引眼球的平台和服务项目,Google Android、Apple iPhone、foursquare、Google TV 和 Mac OS X平台等都可能成为网络犯罪份子的主要目标。迈克菲实验室还预测,出于政治动机的攻击将呈上升趋势,预计会有更多的组织会走上类似“维基解密”的道路。

迈克菲实验室高级副总裁 Vincent Weafer 表示:“消费类设备和社交网络的普及速度令人震惊,这也使得广受用户青睐的平台和服务项目成为众矢之的。这些平台和服务项目短时间内变得非常流行,但随之而来的漏洞、攻击和数据丢失也显著增多”。
迈克菲实验室 2011年威胁预测:

利用社交媒体发起攻击:URL缩短服务

Twitter、Facebook 等社交媒体网站已开始涉足即时通信领域,这一转变将彻底改变 2011 年的威胁态势。在网络犯罪活动最为猖獗的社交媒体网站中,迈克菲实验室认为,使用URL缩短服务的网站首当其冲。通过在Twitter这类网站上利用缩写 的URL,网络犯罪分子可以轻易伪装起来并诱使用户进入恶意网站。由于每分钟产生的缩短URL数量多达 3000 以上,迈克菲实验室预计,用于垃圾邮件、欺诈和其他恶意企图的这类URL将持续增加。

利用社交媒体发起攻击:地理定位服务

Foursquare、Gowalla 和 Facebook Places 等定位服务可以轻松搜索、跟踪以及标示朋友或陌生人的行踪。只需简单的点击操作,网络犯罪份子就可以实时偷窥到哪些人在通过Twitter 发送信息,并能够确认他们的位置,查看他们的聊天内容,了解他们的兴趣爱好以及使用的操作系统和应用程序等。掌握了如此丰富的个人隐私信息,网络犯罪份子 就可轻松发起针对性攻击。迈克菲实验室预测,2011年网络犯罪份子将越来越多的在最热门的社交网站上使用这些伎俩。

移动设备:在工作场所的使用频率日益提高,但面临的攻击种类也随之增加

迄今为止,移动设备所面临的威胁屈指可数,iPhone的“jailbreaking”和Zeus木马是 2010 年主要的两种移动威胁。但随着移动设备在业务环境中的大规模使用,加上本就易受攻击的移动基础设施和发展缓慢的加密技术,迈克菲实验室预测2011年针对 移动设备的攻击和威胁会呈现快速增加之势,用户和企业数据都将面临极高的风险。

Apple:不再“高枕无忧”

相对来说,Mac OS 平台一直没怎么遭遇过恶意袭击者的攻击,但迈克菲实验室提醒您,2011 年针对Mac的恶意软件将变得更加复杂。iPad和iPhone在业务环境中的普及,以及用户对这些设备缺乏保护意识,都会增加数据和身份暴露的风险,也 会导致 Apple 僵尸网络和木马屡见不鲜。

应用程序:通过您的电视泄漏隐私

互联网电视平台是2010年倍受瞩目的设备之一。由于它的日益普及以及开发商“急于推向市场”的想法,迈克菲实验室估计,针对部署最广泛的媒体 平台(例如Google TV)将会出现越来越多的可疑恶意应用程序。这些应用程序旨在盗取或暴露隐私和身份数据,让网络犯罪份子通过已感染或控制的应用程序操作各种物理设备,最 终提高僵尸网络的有效性。

冒充合法内容的技术之高让人难辨真伪:您随时可能收到朋友传来的病毒

通过冒充为个人或合法电子邮件和文件来诱骗受害者的恶意内容在2011年将变得更加复杂。假冒合法文件“签名”的恶意软件也将更为猖獗,而冒充 受害者好友发送病毒威胁(例如 Koobface 或 VBMania)作为网络犯罪份子热衷的攻击手段,其数量与以往相比会进一步提高。迈克菲实验室预测,这些攻击将随着社交网络的广泛使用而大幅增加,最终 取代电子邮件成为头号攻击媒介。

僵尸网络:通过“合并”改头换面

与以往一样,僵尸网络仍会利用在全球范围内总也“偷不完”的计算容量和带宽。但随着一些僵尸网络被成功攻破(包括Mariposa、 Bredolab 和特定 Zeus 僵尸网络),僵尸网络的控制者们必须做出调整,以缓和网络安全专业人士带来的日益增加的压力。迈克菲实验室预测,最近 Zeus 与 SpyEye 的合并意味着,在更强的安全机制和执法监控下,将会出现更为复杂的僵尸网络。此外,迈克菲实验室还预测在采用数据收集和数据删除功能的过程中会出现大规模 僵尸网络活动,而非一般的垃圾邮件发送行为。

出于政治目的的黑客活动:追随“维基解密”

2011 年将是各种出于政治目的的攻击大范围增加的一年,新型的复杂攻击即将出现。届时将有更多的组织走上类似“维基解密”的道路,这种黑客活动由宣称独立于任何 政府或行动组织的人员发起,社交网络的普及将使他们变得更有组织性和战略性。迈克菲实验室认为,自 2011 年开始,这将成为表达政治主张的新途径。

高级持续性威胁:一种全新的威胁类别

极光行动(Operation Aurora)催生了一种全新的高级持续性威胁 (APT),这种威胁是由国家政府赞助或授意、不单纯以金钱/犯罪或政治抗议为目的的针对性网络间谍或网络破坏攻击。迈克菲实验室提醒参与国防或大型全球 经济活动的公司,无论规模大小,都要提防针对电子邮件存档、文档存储区、知识产权存储库和其他数据库的大规模连续性APT攻击。

2. 本周关注病毒

2.1 病毒名称:Trojan.Win32.Seftad.a(敲诈木马)
警惕程度 ★★★★

电脑感染病毒后,会被强制重启,重启后病毒写到0磁道的代码将被执行。病毒通过在屏幕上显示敲诈信息,当用户输入正确的密码后,便会进入病毒指引的 w*w.safe-data.ru敲诈网站,引导中毒用户去花钱买密码解锁硬盘,这种情况下用户需要支付50欧元或100美元来解锁电脑。

2.2 病毒名称:Trojan.DL.Win32.NoSorFo.kl(木马病毒)
警惕程度 ★★★★

用程序加载输入法文件的特点进行“注入”的攻击方式,让大部分安全软件加载病毒,从而实现“自杀”的效果,最终访问黑客指定地址,下载大量木马病毒到用户电脑中进行盗号和破坏操作。

2.3 病毒名称:Worm.Win32.Autorun.tvk(蠕虫病毒)
警惕程度 ★★★

该病毒通过U盘等可移动存储设备传播,病毒会双进程守护的功能,下载大量木马病毒,给用户造成很大安全隐患。

3. 安全漏洞公告

3.1 Microsoft IIS FTPSVC远程拒绝服务漏洞

Microsoft IIS FTPSVC远程拒绝服务漏洞

发布时间:

2010-12-24

漏洞号:

CVE-2010-3972

漏洞描述:

Microsoft Internet Information Services是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。
基于Microsoft Internet Information Services(IIS)7.5版本的FTP协议句柄(ftpsvc.dll)中的 TELNET_STREAM_CONTEXT::OnSendData函数中存在缓冲区溢出漏洞。远程攻击者可以借助能够触发内存破坏的特制FTP请求导致拒绝服务(崩溃)并可能执行任意代码。

安全建议:

目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.microsoft.com/windowsserver2008/en/us/internet-information-services.aspx

 

3.2 Symantec Antivirus Alert Management System拒绝服务漏洞

Symantec Antivirus Alert Management System拒绝服务漏洞

发布时间:

2010-12-29

漏洞号:

CVE-2010-3268

漏洞描述:

Symantec AntiVirus Corporate Edition是非常流行的企业级杀毒解决方案。
使用在基于Windows 2000 SP4以及Symantec Endpoint Protection before 11.x版本的Symantec Antivirus Corporate Edition 10.1.4.4010版本中的Intel Alert Management System(AMS)中的Intel Alert Handler服务(又名Symantec Intel Handler服务)中的hndlrsvc.exe中的prgxhndl.dll中的GetStringAMSHandler函数,没有正确验证AMS请 求的CommandLine字段。远程攻击者可以借助特制请求导致拒绝服务。

安全建议:

目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.symantec.com/business/theme.jsp?themeid=eol_av_ce&depthpath=0

 

3.3 IBM WebSphere Service Registry和Repository验证绕过漏洞

IBM WebSphere Service Registry和Repository验证绕过漏洞

发布时间:

2010-12-28

漏洞号:

BUGTRAQ ID: 45585
CVE ID: CVE-2010-2644

漏洞描述:

IBM WebSphere Service Registry and Repository是为SOA服务、策略和关联元数据提供服务可视化和管理,支持SOA Governance。
IBM WebSphere Service Registry and Repository在实现上存在漏洞,远程攻击者可利用此漏洞绕过某些安全限制。
此漏洞源于EJB界面未正确验证访问控制,造成绕过验证机制,通过某些到界面的API调用执行管理操作。

安全建议:

厂商补丁:
IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.ers.ibm.com/

 

3.4 IBM Lotus Mobile Connect跨站脚本执行漏洞

IBM Lotus Mobile Connect跨站脚本执行漏洞

发布时间:

2010-12-28

漏洞号:

BUGTRAQ ID: 45361
CVE ID: CVE-2010-4591,CVE-2010-4592,CVE-2010-4593

漏洞描述:

IBM Lotus Mobile Connect软件允许企业提供VPN以有效扩展应用程序到许多无线和有线网络上的移动人员中。
IBM Lotus Mobile Connect软件在实现上存在漏洞,远程攻击者可利用此漏洞绕过某些安全限制造成拒绝服务。
此漏洞源于:
1)用户通过"Logoff"按钮退出后,Connection Manager未正确删除会话的LTPA令牌。攻击者需要有无人值守客户端的访问权。
2)Connection Manager未正确处理到基于HTTP-TCP的MNC的失败连接,可造成内存耗尽和崩溃。
3)处理具有同一VPN ID的重复登录时,Connection Manager的参考计数器中存在错误,可造成与活动会话的参考计数器失去共时性,导致耗尽所有动态IP地址。

安全建议:

厂商补丁:
IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.ers.ibm.com/

 

3.5 AppWeb网络服务器跨站脚本执行漏洞

AppWeb网络服务器跨站脚本执行漏洞

发布时间:

2010-12-29

漏洞号:

BUGTRAQ ID: 45568

漏洞描述:

EMbedthis Software AppWeb是一款HTTP服务程序。
AppWeb在实现上存在输入验证漏洞,远程攻击者可利用此漏洞在受影响站点的用户浏览器中执行任意脚本代码,窃取基于Cookie的凭证。
AppWeb网络服务器传递到Ejscript Web Framework的输入未正确过滤,存在远程反射的跨站脚本攻击漏洞,允许攻击者在用户的浏览器会话中执行任意HTML和脚本代码,有助于网络钓鱼攻击。

安全建议:

厂商补丁:
Embedthis Software
------------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://appwebserver.org/