当前位置: 安全纵横 > 安全公告

一周安全动态(2011年03月11日-2011年03月18日)

来源:安恒信息 日期:2011-03

2011年3月第二周(03.11-03.18)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象,需对网络和主机进行必要的监控和升级。

 

 

 

1. 安全新闻

1.1 美国黑客组织称将对美国发动网络战

据美国微软全国广播公司报道,美国黑客组织“匿名者”一名领导者日前发出威胁,称将对美国大公司以及政府部门发动更大规模的“网络战”。

“匿名者”组织的领导者巴雷特·布朗现年29岁,是一名大学辍学生,自称是“匿名者”的资深战略家和宣传员。他说:“我们将发动游击网络战,这 是一种非传统的、非对称的战争。事实上战争之火早已点燃。”布朗承认“匿名者”组织的行为违反法律,但辩称他们违法是出于“道德”目的,是为了监督大公司 和政府,曝光他们的错误行为。他们采取的攻击手段将包括:在网络上公布官员的私人信息,破坏大公司的网络和电话通信等。

布朗称,“匿名者”组织有数千名成员,包括一些大公司和政府机构的高级计算机专家以及记者,这些人分成数十人的小组,对各种事件作出反应。他们可以进入大公司和政府部门内部网站,中断他们的服务,删除备份信息,截取电子邮件以及盗取各种文件。

美国许多政府官员和个人都对“匿名者”组织进行了谴责。网络安全技术公司HBGary Federal的CEO格雷格·胡歌伦德称,这些人不是黑客活动家,而是罪犯,他们盗取HBGary Federal员工的个人信息,有些员工甚至收到死亡威胁。

1.2 韩国专家担心朝鲜网络战实力 称朝方正转变战术

韩国《朝鲜日报》网站报道:朝鲜战术大转变加强“网络战”实力。

专家们预测说,朝鲜的挑衅形式有可能完全不同以往。朝鲜有可能发动同时打击电力、交通、通信和军事系统等国家基础设施的“网络战”,避免像“天安舰”和延坪岛事件一样留下把柄。京畿大学教授南柱洪说:“朝鲜企图用核武器在现实空间,用电子战在虚拟空间占据战力优势。”实际上朝鲜自1986年以来,一直在集中培养网络战士。

核电站担负着韩国电力生产的35.37%。如果核电站控制系统被黑,整个韩国将会陷入混乱。

攻击会导致核反应堆超负荷和监视系统失灵。但是朝鲜很难黑掉核电站系统。因为核电站控制系统不与外部网络连接,通过互联网入侵控制系统完全没有可能。但是把U盘、光盘、外接硬盘等连接到内部电脑,病毒就能侵入系统。

高速铁路由韩国铁路公司的中央状况室控制整个运行状况。该运行系统如果突然崩溃,高铁列车的速度控制和线路变更、停止信号等一切均将出问题。最坏的情况下,也可能发生列车相撞的事故。一旦时速300公里的高铁列车相撞,将造成数百人死伤。据披露,朝鲜女特工2007年接近首尔铁路综合指挥部科长,窃取了运行情况报告和非常联络系统等300页的机密文件。一旦问题U盘插入韩国铁道公司内部电脑,就可能造成列车运行系统瘫痪。

一旦机场管制系统崩溃,由于很难向飞机发送起降信号,就可能发生飞机坠落跑道或在空中相撞的事故。但是,韩国航空业内相关人士说,管制系统一出现异常,就中断飞机运行,所以即使受到网络攻击也相对安全。韩国网络安全企业、安哲秀研究所认为:“通过互联网入侵航空管制系统这样的主干网是不可能的。只有在获取相关系统的准确情报,并得到内部人员帮助,才可能入侵。”

一旦金融市场遭到攻击,最可怕的一幕就是股市崩溃。交易量暴增导致交易系统瘫痪,或成交价格离谱。曾在朝鲜军电子战部队工作过的脱北者7日说,曾专门研究过南韩金融机构服务系统,朝鲜黑客有能力入侵或攻击南韩金融系统。

连接千家万户的燃气和供水管网也是网络攻击的对象。有可能出现特定地区气压突然加大,致使管道破裂漏气爆炸的危险。城市燃气供应不归政府机关负责,而是由各地方民间企业负责。由于供气网的安全水平千差万别,所以政府正在制定提供入侵感知软件等对策。由地方自治团体管理的自来水则可能会出现部分地区停水。

1.3 法国财政部就遭到“史无前例的”网络袭击

法新社3月7日援引法国当地一家杂志的消息称,法国财政部网站自2010年12月以来,经常遭到网络袭击。而这些袭击的目的是为了获得法财政部的重要信息和20国集团有关的重要文件。

报道称,自去年12月以来,法国财政部就遭到“史无前例的”网络袭击,财政和经济信息成为了袭击的“受害者”。法国一位匿名的政府官员称,截止目前,还未核实实施这些网络袭击的源头。

法国安全部门官员透露说,与国际经济事务和20国集团有关的信息是“黑客”追逐的对象。另外,有大约150台法国财政部的电脑遭到“黑客”的袭击,大批文件惨遭盗取,个人信息却无一受损。

据报道,对于媒体的报道,法国财政部目前仍未予以作答或发表任何评论。

1.4 中国反色情网遭遇黑客攻击 曾一度瘫痪

中国反色情网因举报色情网站遭遇黑客攻击,日前一度瘫痪。

记者6日得知,由河北省石家庄市十几位女网友发起创立的国内首家民间反色情公益性网站——中国反色情网,自去年创立时以“远离色情,珍爱人生”、“保护孩子,保卫家庭,建立一道绿色的网络长城。”的口号引发成千上万网友共鸣。

3月6日,据该网站负责技术的志愿者段先生介绍:从3月5日下午两点开始,该网站运行变得很不稳定,许多网页打不开。随后,设在北京的中国反色情网服务器托管机房打来电话,称中国反色情网突然遭遇大量网站集中点击,来势汹汹,不可阻挡,流量远超带宽,出现“丢包”(许多网页无法访问)现象。

段先生说,虽然几名技术志愿者紧张工作,但无法抵挡这一强大的黑客攻击波。据技术人员分析:如果黑客利用病毒库攻击某家网站,将造成所有被其病毒控制的电脑群起攻击该网站。至今日凌晨,中国反色情网已无法访问,只好暂行关闭维护。

网站管理员“清心”向记者介绍说,中国反色情网上线运营后,得到了社会各界的强烈关注和支持,大量主流媒体给予了关注和推广,有媒体还开辟专版,刊登中国反色情网的文章精选。截至目前,已有近千人加入到中国反色情网的志愿者队伍中,他们义务上传反色情、宣传伦理道德的稿件,将这个网站的文章在网上大量转帖,使网站的影响越来越大,目前,网站的日访问量最高达3000IP,网友遍及全世界近百个国家和地区。

“尽管我们创办这家网站的主旨是宣扬传统道德教育,让人明白正邪,远离色情,但举报黄色网站是网友的呼声,也是我们义不容辞的义务。许多网友通过我们的链接直接举报,还有大量的网友留言或发电子邮件,请我们代为举报”。管理员“清心”说,中国反色情网还在显著位置开通了与中国互联网违法和不良信息举报中心的链接。

据不完全统计,中国反色情网自去年10月开通以来,先后向中国互联网违法和不良信息举报中心举报黄色网站信息300余家(次)。许多网友说,关闭一个黄色网站,就能挽救许多人。

“黑客越猖獗,越说明中国反色情网的存在越有必要,我们相信邪不压正,我们的技术志愿者正想办法,尽快恢复运营。”“清心”说。

1.5 韩国青瓦台等40个国家机构网站遭黑客攻击

韩国青瓦台、外交通商部、国家情报院等国家机构,国民银行等金融机构和Naver等门户网站等40个机构4日遭到了分布式拒绝服务(DDos)的攻击。安哲秀(病毒)研究所4日表示,DDos当天上午10时开始对国内40个网站进行了攻击。

该研究所说,今天的攻击有些类似于2009年7月7日发生的DDos攻击。

据悉,40个机构分别为青瓦台、外交通商部、国家情报院、统一部、国会、国家代表门户网、防卫产业厅、警察厅、国税厅、关税厅、国防部、联合参谋本部、陆军本部、空军本部、海军本部、驻韩美军、国防宏报院、第8战斗飞行团、放送通信委员会、行政安全部、韩国网络振兴院、Naver门户网、Daum门户网、Auction网购站、HanGame、DCInside、G玛特、安哲秀研究所、金融委员会、国民银行、友立银行、韩亚银行、外换银行、新韩银行、第一银行、农协、Kium证券、大信证券、韩国铁道公社、韩国水利原子力。

当天上午10时开始受到攻击的上述网站,在10时50分左右已恢复正常运作,不过有专家预计表示可能会有更多袭击。

导致这次DDos攻击的恶意代码是 ntcm63.dll、SBUpdate.exe、ntds50.dll、watcsvc.dll、soetsvc.dll、mopxsvc.dll、SBUpdate.exe。

感染上述代码的个人电脑会在指定的时间里成为傀儡电脑,会同时对特定网站进行攻击。目前已查到的恶性代码来自P2P网站ShareBox和SuperDown。

发起攻击的黑客可能进入上述网站,在可供下载的文件或程序里加入恶性代码之后,进行扩散。据预测,该恶性代码被扩散的时间大约为3日上午7~9时左右。

韩国政府4日事发后表示,将会发布“互联网危机注意警报”。

2. 本周关注病毒

2.1 病毒名称:Trojan.DL.Win32.Undef.swg(木马病毒)
警惕程度 ★★★

这是一个病毒下载器,病毒运行后链接黑客指定的病毒下载列表,随后根据这个下载地址列表下载很多流氓软件和病毒。

2.2 病毒名称:Win32.KUKU.kv(木马病毒)
警惕程度 ★★★

该病毒是一个感染型病毒,病毒代码具有自动变形能力,可以逃脱多种杀毒软件的查杀。病毒运行后,会将用户电脑中的杀毒软件关闭,从而不断从黑客服务器中下载木马病毒,盗取网游、网银账号密码信息。

2.3 病毒名称:Dropper.Win32.StartPage.aa(恶意网址释放木马)
警惕程度 ★★★★

这是一个在桌面释放恶意网站图标的木马病毒。该病毒运行后会在系统临时目录中释放病毒文件,该文件包含病毒需要的网址,病毒文件和木马病毒地址。然后,病毒将恶意网址放到用户桌面和IE收藏夹中。使得用户打开IE浏览器后直接访问黑客指定的恶意电影网站和导航网站。最后,病毒还会从黑客指定的地址下载大量木马病毒,盗取用户网游、网银账号密码信息。

3. 安全漏洞公告

3.1 Microsoft .NET Runtime Optimization Service本地权限提升漏洞

Microsoft .NET Runtime Optimization Service本地权限提升漏洞

发布时间:

2011-03-08

漏洞号:

BUGTRAQ ID: 46773

漏洞描述:

Microsoft .NET Runtime Optimization Service是.NET运行时优化服务。
Microsoft .NET Runtime Optimization Service在实现上存在本地权限提升漏洞,攻击者可利用此漏洞以系统级别的权限执行任意代码,完全控制受影响系统。

安全建议:

Microsoft
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.microsoft.com/technet/security/

 

3.2 IBM Tivoli Netcool/OMNIbus Web GUI SQL注入漏洞

IBM Tivoli Netcool/OMNIbus Web GUI SQL注入漏洞

发布时间:

2011-03-10

漏洞号:

CVE-2011-1343

漏洞描述:

IBM Tivoli Netcool/OMNIbus 7.3.0.4之前版本中的Web GUI中存在SQL注入漏洞。远程攻击者可以借助“动态的SQL参数”执行任意SQL命令。

安全建议:

IBM
-----
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www-01.ibm.com/support/docview.wss?uid=swg24029093

 

3.3 Microsoft远程桌面客户端不安全库加载漏洞

Microsoft远程桌面客户端不安全库加载漏洞

发布时间:

2011-03-10

漏洞号:

CVE-2011-0029

漏洞描述:

Microsoft Remote Desktop Connection 5.2, 6.0, 6.1, 及7.0版本的客户端中存在不可信搜索路径漏洞。本地用户可以借助当前工作的目录下的Trojan木马DLL获取特权。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

安全建议:

厂商补丁:
Microsoft
-----
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.microsoft.com/technet/security/Bulletin/MS11-017.mspx

 

3.4 IBM WebSphere Application Server JSP组件内存泄露漏洞

IBM WebSphere Application Server JSP组件内存泄露漏洞

发布时间:

2011-03-09

漏洞号:

CVE-2011-1317

漏洞描述:

IBM WebSphere Application Server(WAS)是Java EE和Web服务应用程序平台,是IBM WebSphere 软件平台的基础,是一个完善的、开放的Web应用服务器,是IBM电子商务应用架构的核心。
IBM WebSphere Application Server (WAS) 7.0.0.15之前版本的JavaServer Pages(JSP)组件中的com.ibm.ws.jsp.runtime.WASJSPStrBufferImpl中存在内存泄露漏洞。远程攻击者可以通过发送许多触发大量响应的JSP请求导致拒绝服务(内存消耗)。

安全建议:

厂商补丁:
IBM
------
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www-01.ibm.com/support/docview.wss?uid=swg27014463

 

3.5 IBM WebSphere Application Server HTTP Transport组件SIP Proxy拒绝服务漏洞

IBM WebSphere Application Server HTTP Transport组件SIP Proxy拒绝服务漏洞

发布时间:

2011-03-09

漏洞号:

CVE-2011-1316

漏洞描述:

IBM WebSphere Application Server(WAS)是Java EE和Web服务应用程序平台,是IBM WebSphere 软件平台的基础,是一个完善的、开放的Web应用服务器,是IBM电子商务应用架构的核心。
IBM WebSphere Application Server (WAS) 7.0.0.15之前版本中HTTP Transport组件中的Session Initiation Protocol(SIP)Proxy中存在漏洞。远程攻击者可以通过发送大量UDP消息导致拒绝服务(工作线程消耗和UDP通信中断)。

安全建议:

厂商补丁:
IBM
--
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www-01.ibm.com/support/docview.wss?uid=swg27014463