当前位置: 安全纵横 > 安全公告

一周安全动态(2011年03月24日-2011年03月31日)

来源:安恒信息 日期:2011-03

2011年3月第四周(03.24-03.31)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象,需对网络和主机进行必要的监控和升级。

 

 

 

1. 安全新闻

1.1 伊朗首次正式承认拥有网络军团

伊朗官方通讯社14日证实,伊朗已建立一支由志愿者组成的网络部队,用于反击网络攻击并摧毁“敌人网络”。这是伊朗首次正式承认拥有网络军团。

伊朗民兵团体“伊朗动员穷人组织”负责人阿里·法兹利称,这支网络部队由受过专门培训的伊朗军事专家组成,包括“伊朗动员穷人组织”的老师、学生和神职人员等。此前,伊朗一些官方网站遭到黑客的频繁入侵,这支新成立的网络部队将“对敌人网站发起反攻”。

今年1月,《纽约时报》曾报道过一个自称“伊朗网络军团”的黑客对“美国之音”等机构下设的波斯语网站进行攻击的消息,但当时并没有得到伊朗官方的证实。伊朗官方媒体称,由于伊朗政府等机构的网站经常受到黑客的攻击,从今年开始,伊朗开始对黑客采取行动,屏蔽大肆攻击伊朗的美国、以色列和英国媒体的网站,加大对网络的保护。

防御手段还是“软武器”

伊朗缘何此时宣布组建“网络部队”分析称,核设施频遭网络袭击已经让伊朗“忍无可忍”。去年,伊朗纳坦兹核设施曾遭到有组织的网络攻击,导致部分 离心机“停摆”。上月,伊朗突然宣布将暂时卸载布什尔核电站的核燃料。本将于4月9日并网发电的核电站在关键时刻“掉链子”,引得外界猜测声一片。有媒体报道称,这或许是因为布什尔核电站系统遭到了“震网”病毒的攻击。但伊朗称核电站出现了“设备故障”,正在进行检修。

美国福克斯新闻网报道称,伊朗革命卫队的前成员穆赫辛·萨泽加拉表示,伊朗政府每月为电脑专家拨款约1万美元,用于研发计算机病毒这样的“软武器”。尽管这种说法还有待证实,但有专家指出,从长期来看,几乎没有什么办法能阻止伊朗发动网络战争。“网络战争廉价、有效,并且不一定会导致伤亡。对并不那么富足的国家来说,建设网络部队比投资导弹和军舰更有意义。”

“网络战”悄悄打响

其实,一些国家拥有自己的网络部队已不是新鲜事。早在1991年第一次海湾战争中,美军就对伊拉克使用了网络战的手段。如今,随着科技发展,世界各国都开始重视加强网络战的攻防实力,构建各自的“网络威慑”。

作为拥有全球最大的“网络战”力量的国家,美国三军都有网络部队。目前,美国国防部正加大投入对网络专业人员进行培训。预计到今年,五角大楼直属网络技术专家人数将从80人增加到250人。印度在其陆军总部也建立了网络安全部门,并对军校学员进行“黑客技术”培训,课程集中在“获取情报和反网络刺探”上。

可以说,在一定范围内,网络战争已经悄悄打响。然而,就像核武器一样,计算机病毒这样的“软武器”不能轻易使用。因为一旦发动网络战争,对方很有可能还以传统的军事反击,从而招致更大的灾难。

1.2 EMC公司遭黑客攻击

EMC上周四(3月18日)向美国证交会(SEC)提交报告称,公司安全部门RSA遭遇黑客攻击,目前尚不知晓攻击涉及的范围,但可能令公司防黑客入侵技术的安全面临危险。

报告指出,RSA被一种业内称之为高持续性威胁(advanced persistent threat)的复杂网络攻击,这是一种“极其复杂”的攻击,会导致一些秘密信息从RSA的SecurID双因素认证(two-factor authentication)产品中被提取出来。RSA客户包括一些大军事机构、政府、各种银行及医疗和医保设备。

该公司称,不过即使密码被盗,使用这些产品的电脑也不易被入侵。目前RSA正在与后端软件协作生成仅供设备用户知道的密码。

RSA拒绝就被盗信息类型及数量多少置评。

RSA在报告中称,“那些被提取出来的信息不会对任何RSA的SecurID用户造成直接攻击,但这些信息可能作为更广泛攻击的一部分、被用来减少当前双因素认证实施的有效性。”

该公司执行董事阿特·卡威罗(Art Coviello)称,“目前尚无证据显示与其它RSA产品相关的用户安全受到该攻击的影响。另需指出的是,我们认为这次事件不会对客户及雇员个人确认信息构成威胁。”

1.3 Radware 精确锁定韩国DDoS猛烈攻击

近日,韩国40多家政府及交易网站纷纷遭到大量拒绝式服务攻击,其中涉及韩国总统府、外交部、国家情报局、驻韩美国大使馆等机构和一些重要的金融网站。韩国通讯委员会(KCC)表示,在监测到40多家重要机构遭受DDoS攻击之后,韩国政府已经随即发布了“网络攻击危险警报”。

这次攻击是包含15,000至21,000台受远程控制的傀儡计算机组成的僵尸网络所发起,从多个层面发起攻击,包括网络淹没攻击、应用滥用攻击(高速SYN淹没攻击、TCP连接淹没攻击以及HTTP-GET淹没攻击),目的在于消耗web 服务器及TCP资源,从而无法为合法用户服务。

攻击者散布了一个名为NetBot的恶意代码,该代码在过去几天里被用于产生各种攻击。Radware ERT通过扫描一些被感染的傀儡机已经详细分析了该攻击工具。NetBot最初源于商业上的一种压力测试工具,但自从公开发布以来,就以一种强有力的DDoS攻击工具的形式出现。近来,NetBot版本已经能够远程控制被感染的傀儡机。

攻击分析显示:NetBot的攻击特点被称作Circle-CC。Circle-CC是一种针对应用层的DoS攻击,通过系统化地跨页面扫描站点淹没受感染的网站。这种针对应用层的DoS攻击能够阻止目标服务器正常使用缓存机制,从而进一步扩大不良影响。最重要的是,利用多页面进行的攻击是很难被标准的网络安全方案所检测的,这是因为网络安全方案通常是基于静态的URL请求淹没检测机制。

为了完全防止此类多层次攻击,包括如网络层DDoS攻击、应用层淹没攻击及直接利用服务器应用中的特定漏洞发起的先进DoS攻击,用户们需要部署多种防御技术,包括入侵防御系统(IPS)、DoS保护以及网络行为分析工具。这些安全技术与应急响应团队协同工作是抵御这些新兴的多层次攻击的唯一有效方式。为了防御这类DoS攻击,应急响应团队是在实际环境中经受过攻击缓解考验的,而且还能够分析各种攻击工具,找到阻止这些攻击工具的方法(即借助一种复杂的过滤措施使攻击工具无效)。

Radware的韩国用户,例如一些领先的电子商务网站,利用Radware的安全技术及其 ERT的独特能力为阻止攻击工具形成“counterattack(反攻)”,已有效抵御了近期攻击。

1.4 日本地震 三大黑帽SEO网页诈骗防范

近期安恒安全研究部门发现针对3月11日发生的日本大地震而来网页恶意攻击开始增多,不少无良人士借着全球焦点进行着黑心行为。以下整理出3则目前已经浮现台面的手法,通过黑帽SEO,借大家都在关心日本灾区状况以及福田核辐射动态,展开各种攻击行为。而首例以捐助为名的垃圾邮件,也假冒联合国儿童基金会出炉了,别让你的爱心遭恶意利用。

日本大地震黑心诈骗手法3则:别让你的关心和爱心被恶意利用

1:搜索日本地震相关新闻,恶意网页守株待兔

2:这个FACEBOOK 的Youtube 影片分享不能点

“Japanese Tsunami RAW Tidal Wave Footage!”

3:捐款诈骗,假冒联合国儿童基金会 UNICEF:

'HOPE FOR JAPAN NOW, DONATE TO THE EARTHQUAKE & TSUNAMI VICTIMS’

日本大地震黑心诈骗1:搜索日本地震相关新闻,恶意网页守株待兔

关心日本地震最新报导的网友,当心点击相关新闻时,却被事前埋伏的恶意网页攻击。目前已经发现了数个网址被植入假杀毒软件,一旦点选其中的页面,会出现警告感染了恶意软件的警告。如果你同意下载任何一种他们促销的杀毒软件,最后很有可能感染上的就是你试着要避开的恶意软件。这就是所谓的Black_Hat SEO 搜索引擎毒化,简单讲就是采用搜索引擎禁止的暗黑作弊手法优化网站,一般我们叫 SEO作弊。一般作弊的目的是透过这个方式影响搜索引擎影响网站排名。

目前这个手法被假杀毒软件广为采用,用当时网友关心的议题,使用Black_Hat SEO 搜索引擎毒化手法,将含有假杀毒软件的恶意页面利用暗黑手法排到搜索结果页面的前几条。

以下就是以“most recent earthquake in Japan”搜索后出现TROJ_FAKEAV.PB这个假杀毒软件 的搜索结果页面。

日本大地震黑心诈骗2:这个FACEBOOK 的Youtube 影片分享不能点

“Japanese Tsunami RAW Tidal Wave Footage!”

如果你看见Facebook上有人分享日本大地震影片,像是“Japanese Tsunami RAW Tidal Wave Footage!”千万不要轻易点击,这个看似影片的链接只是张含有链接的图片,该假页面含有病毒HTML_FBJACK.A,会引导受害者到恶意网页:
hxxp//www.{BLOCKED}u.fr/view.php?vid=Le-plus-gros-Tsunami-du-Japon-depuis-20-ans.

接着会要求使用者输入手机号码,还会自动帮受害者按下Facebook的”赞(LIKE)”按钮,然后自动帮你贴分享网址到你的涂鸦墙,企图让你的亲友团受骇。

目前 YOUTUBE 已经将有问题的影片下架,但还是要防止类似利用相关关键字为名的诈骗影片或是放到其他影片网站的链接

原文来源:“Most Recent Earthquake in Japan” Searches Lead to FAKEAV

日本大地震黑心诈骗3:捐款诈骗,假冒联合国儿童基金会 UNICEF

看到如下信件标题,请不要让你的爱心被利用:

'HOPE FOR JAPAN NOW, DONATE TO THE EARTHQUAKE & TSUNAMI VICTIMS’

信件鼓励收件者即使只有一分钱或一块钱,对日本孩子而言都不嫌少

还在信中要求输入收件者的电子邮件帐号和住址等私密资料。 这里呼吁大家提高警觉,根据以往的经验四川大地震,南亚海啸时也曾出现过冒用公益机构,如红十字会名义的诈欺案例,大家的爱心千万不要被利用。

1.5 入侵他人账户盗窃60余万元 大冶一“黑客”落网

【长江网讯】(湖北日报 记者 毛光勇 通讯员 万新强)昨从大冶警方获悉,一名通过网络盗窃60余万元犯罪嫌疑人被东岳路派出所捕获。这也是大冶破获的首例网络盗窃案。

本月初,大冶警方接到南昌市警方协办寻求后,连续几天外围秘密调查,将家住大冶城关伍家垅的网上逃犯杨某抓获,并移交给南昌警方。

杨某现年21岁,高中毕业后待业在家,后在其大哥开办的一家电脑门店内打工。杨某热衷于研究黑客技术,今年2月2日晚,他利用在网上发现的一种可侵入他人账号的黑客软件,入侵江西精彩生活投资发展有限公司的官方网站,盗得该公司账户上60余万元预存款。为了将该款项变现,他又通过网络支付手段购买大量游戏装备和虚拟货币,然后转手以七至八折低价兜售,从中获利近40万元。

2. 本周关注病毒

2.1 Trojan.PSW.Win32.Game.wph(网游盗号木马)
警惕程度 ★★★

这是一个偷游戏密码的病毒。病毒采用Delphi语言编写,Upack加壳。病毒运行后会释放多个病毒文件,设置自身属性为系统,隐藏,改写注册表项实现自启动。病毒会把动态库注入到Explorer.exe进程中并查找进程中是否存在游戏进程,当找到游戏进程时,把自己注到游戏进程中,获取用户输入的账号密码并发送到指定的网址。运行完毕之后,该病毒还会删除自身,逃避杀毒软件的查杀。

2.2 Trojan.Spy.Win32.Mnless.iu(木马病毒)
警惕程度 ★★★

这是一个Rootkit病毒驱动,该驱动通过挂接键盘设备驱动获取用户键盘输入的信息,通常用来窃取用户输入的账号、密码,使网民蒙受损失。

2.3 Trojan.Win32.StartPage.qeu(木马病毒)
警惕程度 ★★★★

该病毒会在桌面上生成一个和原来的IE图标完全相同的图标,用户打开这个假的IE图标就会访问黑客指定的网站。病毒还会劫持浏览器的搜索引擎和多种第三方浏览器软件,到达提高网站点击率的目的,并且还会在后台下载安装流氓软件。

3. 安全漏洞公告

3.1 IBM Lotus Quickr未明漏洞

IBM Lotus Quickr未明漏洞

发布时间:

2011-03-23

漏洞号:

CVE-2011-1505

漏洞描述:

IBM Lotus Quickr是一款团队协作软件,能够帮助访问人员、信息和完成任务所需的项目材料。
IBM Lotus Quickr services for Lotus Domino 8.1.0.27之前的8.1版本中存在未明漏洞。该漏洞存在未知影响和攻击向量。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://www-304.ibm.com/support/docview.wss?uid=swg27013341

 

3.2 PHP Streams组件拒绝服务漏洞

PHP Streams组件拒绝服务漏洞

发布时间:

2011-03-23

漏洞号:

CVE-2011-1469

漏洞描述:

PHP是一款免费开放源代码的WEB脚本语言包,可使用在Microsoft Windows、Linux和Unix操作系统下。
PHP 5.3.6之前版本的Streams组件中存在未明漏洞。在使用带有FTP包装的HTTP代理的过程中,上下文攻击者可以访问ftp://URL,导致拒绝服务。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.php.net/downloads.php

 

3.3 PHP OpenSSL扩展多个内存泄露漏洞

Linux Kernel "ldm_frag_add()"缓冲区溢出漏洞

发布时间:

2011-03-23

漏洞号:

CVE-2011-1468

漏洞描述:

PHP是一款免费开放源代码的WEB脚本语言包,可使用在Microsoft Windows、Linux和Unix操作系统下。
PHP 5.3.6之前版本中的OpenSSL扩展中存在多个内存泄露漏洞。远程攻击者可以借助(1)向openssl_encrypt函数传输的明文数据,或者(2)向openssl_decrypt函数传输的密文数据,导致拒绝服务(内存消耗)。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.php.net/downloads.php

 

3.4 PHP Exif扩展exif.c拒绝服务漏洞

PHP Exif扩展exif.c拒绝服务漏洞

发布时间:

2011-03-23

漏洞号:

CVE-2011-0708

漏洞描述:

PHP是一款免费开放源代码的WEB脚本语言包,可使用在Microsoft Windows、Linux和Unix操作系统下。
基于64位平台的PHP 5.3.6之前版本的Exif扩展中的exif.c执行了不正确的转换。远程攻击者可以借助带有能够触发缓冲区重读的特制图像文件目录(IFD)的图像,导致拒绝服务(应用程序崩溃)。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.php.net/downloads.php

 

3.5 TIBCO tibbr web服务器跨站脚本攻击漏洞

TIBCO tibbr web服务器跨站脚本攻击漏洞

发布时间:

2011-03-23

漏洞号:

CVE-2011-1414

漏洞描述:

在TIBCO tibbr 1.0.0至1.5.0版本,以及tibbr Service 1.0.0至1.5.0版本中使用的tibbr web服务器中存在跨站脚本攻击漏洞。某些未明输入还没有被正确过滤就返回给用户。远程攻击者可利用此漏洞在受影响站点内容的用户浏览器会话中,执行任意web脚本或HTML。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.tibco.com/multimedia/tibbr_advisory_20110315_tcm8-13474.txt