当前位置: 安全纵横 > 安全公告

一周安全动态(2011年04月21日-2011年04月28日)

来源:安恒信息 日期:2011-04

2011年4月第四周(04.21-04.28)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象,需对网络和主机进行必要的监控和升级。

 

 

 

1. 安全新闻

1.1 研究:超过半数应用程序未通过安全测试

来自应用安全公司Veracode的最新研究表明,软件漏洞的定时炸弹效应变得越来越糟,有超过半数的软件没有达到可接受的安全标准。

该公司在第三期软件安全状况报告中揭露了将近5000个应用的安全情况。其中三分之一为内容管理程序,而操作,安全,财务和其他用户相关软件也在分析之列。

这些软件根据其漏洞的严重程度和涉及业务的重要性来获得一定的分数,有58%的软件没有达到合格线。在漏洞类型方面,跨站脚本攻击漏洞的数量维持不变,SQL注入攻击漏洞略有下降。

该公司总裁称,Veracode还需要进一步对整个软件环境进行观察,对软件安全需求变得更有前瞻性。在评测指标中,还加入了软件的更新频率。

另外,Veracode发现,有超过80%的应用程序在发现包含漏洞之后,被开发者在一个月内修复,并重新提交样本进行测试。

1.2 韩最大银行遭遇黑客 农协银行5千分行电脑瘫痪

中新网4月19日电 据新加坡联合早报报道,紧接在韩国现代资本公司之后,韩国农协银行也疑遭电脑黑客袭击,其电脑网络瘫痪了三天,数以万计的客户受影响。韩国农协银行有约5000家分行,是韩国境内最大的银行网络。本月12日,该银行电脑网络开始出现故障,客户无法提款、转账、使用信用卡和或取得贷款。三天后,农协银行才恢复部分服务;但截至昨天,一些服务包括预借现金服务仍尚未恢复。

到目前为止,农协银行接获大约31万名客户的投诉,另外还有将近1000人要求银行赔偿。农协已承诺将对客户所蒙受的损失作出全额赔偿,同时也强调客户的个人资料并没有因为这起事件而泄露出去。

农协银行领导层怀疑,其网络瘫痪是黑客造成的。当局怀疑黑客输入指令,将银行的电脑伺服器破坏,并消除部分的交易纪录。据了解,大约540万名信用卡客户的交易纪录已暂时被删除。

韩国检察官正在调查这起事件是否是黑客所为。韩国金融监督院以及中央银行的官员则前往农协位于首尔的总部调,查该银行是否有遵守电脑安全规则。

农协银行职员金友庆表示,这事件可能是一名“有经验”的专家所干,使得银行的整个网络陷入瘫痪。他指出,这名黑客利用分包商的膝上电脑输入指令,破坏了整个伺服器系统。

无独有偶,这本月内第二家疑遭黑客袭击的韩国金融公司。本月7日,现代资本公司(Hyundai Capital)也遭黑客袭击,至少42万名客户信息被盗,引起全社会震惊。负责调查此案的首尔地方警察厅网络犯罪调查组18日表示,已逮捕在指挥此次事件的主谋之一许某(40岁)。

据警方透露,去年12月底许某在菲律宾从有七八年交情的郑某(36岁)处听说,有一个很有名的黑客,给他2000万韩元(约2万3000新元),就能盗取大企业个人信息,用这些个人信息敲诈勒索可赚取大笔钱。于是许某与郑某合伙,策划了此次黑客事件。

郑某提及的黑客姓申(37岁),过去也曾袭击过门户网站Daum和大型通信公司网页,后于2007年逃到菲律宾。
韩国警方已对目前在国外的申某、郑某等3名嫌疑犯下达通缉令,并向国际刑警发出协助要求。(中新网金融频道)

1.3 木马“踏破”网银U盾 30秒窃30万

通过远程操控,琚文辉寻找有漏洞的计算机,植入木马程序,在对方使用U盾进行网上银行交易时,截取其网银账户和密码,30秒内转走账户中的资金,两次作案,窃得30余万元。昨日(4月14日),因被控盗窃罪,他在西城法院受审。
电脑突白屏 30万“蒸发”

受害人李女士是网购用户,经常使用工行网银,为安全起见,她特意购买了U盾,“本以为有盾无忧”。

2010年9月2日晚,李女士上网购物时发现网银被窃,1个月前已被转出10800元。“我的电脑从没给其他人用过,从没送修过,使用时也没有发现任何异常,钱莫名其妙就被转走了。”李女士说。

服装厂老板肖先生则称,事发当天,他正要汇款,电脑突然白屏。过了一会儿,电脑才恢复正常,但一查账户余额,发现银行卡内的29万余元不见了。

肖先生随即报案。警方调查发现,肖先生的钱被转入一个名为“刘洪军”的账户,而此后又很快分散打入“杨熙”等三个工行账户上,之后在北京通过ATM机取出。

疑犯后怕 赃款九成未动

ATM机取钱者正是琚文辉,据检方指控,2010年7月5日18时许,琚文辉利用木马程序软件通过互联网非法控制他人计算机,在李女士使用银行U盾时,利用获取到的李女士在中国工商银行网络银行的账户及密码,侵入银行网络交易系统盗取其账户内10800元。

2010年10月14日16时许,他如法炮制,盗取肖先生银行账户内的297600元。

琚文辉说,一开始只是出于好奇心理,但见来钱如此之快,他于三个月后再次用同样手法,盗取事主肖先生29万余元。得来的钱,他存在自己银行账户,花了2万多元,包括买了一台电脑。由于害怕,剩余的钱他没有动用。据了解,案发后,他退还了27万余元。

乔装取钱被控

ATM机取钱时,琚文辉戴红色眼镜,棒球帽遮脸。他本来不戴眼镜,但为掩人耳目,特地乔装打扮,但仍未逃脱民警的视线。

2010年11月13日下午,民警将犯罪嫌疑人琚文辉控制,在其出租屋内,警方查出三台电脑、作案时使用的5张工行卡。其中2张银行卡背面写着“杨熙”,另一张写着“刘洪军”。初步审讯得知,警方先前猜测的网银犯罪团伙,其实只有琚一人。

■ 木马盗网银资金流程图

一,抓中“肉鸡”

寻找有漏洞的电脑,植入木马程序。大约5%的电脑能植入木马。

二,重点监控

通过木马程序寻找安装网银驱动的电脑,“重点监控”。

三,蒙对密码

记录下用户的邮箱、QQ、论坛等密码,多次测试,“蒙对”用户的网银密码。

四,趁机转账

趁用户插入U盾交易后还未拔下之机,迅速登录对方网银并转走钱。

■ 现场

“我的手法没技术含量”

琚文辉,1986年出生,安徽人,初中文化程度。他只是会使用木马,还算不上什么网络黑客。

瘦弱的他在法庭上显得很沉默,他表示认罪,但对于作案细节,他吞吞吐吐,“2010年4月,我找了个木马程序,侵入别人的计算机,盗窃账户密码……我用电脑可以监视别人计算机使用过程。当时事主正在转账,他转账完成后,我趁他还没拔出U盾,就截取账号和密码把钱转走。”

对指控事实及证据,琚文辉均无异议。在最后陈述阶段,他低着头说,“我现在心里有种负罪感。”

检方表示,琚文辉盗窃数额特别巨大,建议法庭在有期徒刑12年至13年之间进行量刑。法庭未当庭宣判。

琚文辉的父母专程从安徽老家来京旁听,受审后,他请求见见自己的亲属,得到法官允许。父子俩一见面,相拥而泣,琚文辉的父亲紧紧握住儿子的手,用家乡话说,“你好好改造就行。”并多次向法官和法警求情,“他是个听话的孩子……再给他一次机会。”

听了父亲的话,琚文辉难以抑制,掩面痛哭。

“我的手法没什么技术含量,银行也应该承担责任。”琚文辉对记者说,当被问到防范之策时,他说,“银行有办法,黑客也总是有办法。”

■ 工行回应

U盾是安全的 问题是客户的

昨日,工商银行网上银行客服人员表示,U盾是安全的,目前出现问题一般是用户个人的问题。工作人员说,根据他们的了解,网银被盗的情况一般有:个人用户未妥善保管密码,被熟人窃取后作案;个人用户在网上随意点击网页链接,电脑中毒,导致信息泄露。

为了防止网银出现问题,工作人员建议,首先,不要在网吧使用U盾,因为网吧用户很多,信息被窃取的机会较大。此外,如果在家或者办公室使用个人电脑进行网银交易,一定要在交易后迅速拔下U盾,防止他人趁机作案。并应该经常对电脑进行杀毒,不要点击不明网站的链接,以防电脑中毒。随后记者咨询U盾在近期是否会进行升级,工作人员表示,暂时没有升级。

■ 提醒

网银密码设置不要“随大流”

承办检察官提醒,网银用户在设定网上银行密码时,不要使用身份证号码、自己或家人的生日等,也不要使用和QQ、BBS等程序相同的密码。

对于使用U盾的网上银行用户,在完成网上银行操作后应当立即拔下U盾。检察官建议,金融机构也应该加强科技防范水平,比如设定交易时间间隔,让用户能有足够的时间拔下U盾,防止犯罪分子钻空子。

■ 作案过程

抓“肉鸡” 蒙密码 趁机偷袭

利用网银用户交易结束、U盾未拔下的时间差把钱转走

琚文辉平时喜欢上网,渐渐学会了如何使用木马程序。据交代,第一次下载木马程序是在2004年4月,当时他从网上搜索到一种木马,能够远程对他人的电脑获取系统操作权限,还能记录对方的键盘操作。

用电脑试验破“盾”之术

因为自己也是U盾的使用者,他渐渐萌生了一个想法,如果能将木马程序植入他人电脑,当对方使用网银时,自己便可获得相关信息,进而盗窃钱财。于是,他开始自己在家里通过几台电脑试验,最终摸索出了使用木马“破解”U盾的办法。

他所使用的,是一种“抓鸡”工具(被植入木马的电脑用户被称为“肉鸡”),即通过扫描IP号段,发现系统存在漏洞的电脑,自动将木马植入用户的电脑,使之成为自己的“肉鸡”,成功植入病毒后,如果用户电脑系统内有网银驱动,他则重点“照顾”。

一旦网银驱动,木马就能同时记录下网银用户的账户号和U盾密码。为了再获取用户的账户密码,他又通过木马记录下对方登录邮箱、QQ、论坛的密码,然后趁用户不使用网银时,使用这些密码进行试验。一些习惯把银行密码与网络上使用的密码设为一致的用户就成为他下手的对象。

数月内攻破20余U盾防线

此后,一旦用户再次使用网银时,U盾一插入电脑,琚文辉便在自己的电脑上远程监控。等对方网银交易刚一结束,他便利用U盾还未拔下来的时间差,迅速登录对方的网银,把钱转走。转账的过程非常快,大约不到30秒就能完成,一般来说,事主根本来不及察觉。

琚文辉称,他选择U盾用户,是因为工行的网银用户最多,作案更容易得手。他交代,在短短的几个月内,自己破解了20多位U盾用户的账号、密码和U盾密码,并4次盗窃得手。但其中两起涉案金额很小,目前尚未查实。

■ 简介

U盾即工行2003年推出并获得国家专利的客户证书usbkey,是工行提供的办理网上银行业务的高级别安全工具。它外形酷似U盘,像一面盾牌,据介绍,U盾是用于网上银行电子签名和数字认证的工具,它内置微型智能卡处理器,采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名,确保网上交易的保密性、真实性、完整性和不可否认性。

■ 追访

网上叫卖“破盾”软件

昨日,记者在网上搜索U盾信息,发现有人公开叫卖“破解U盾软件”,开价数百元,号称对U盾的破解成功率有80%以上,不少网友认为是虚假的。有网友称,从技术上讲,数字证书是目前最安全的网银认证工具,存放在U盘内的数字证书从外部无法窃取,更不必担心被黑客控制,因此,可破解U盾的说法不可信。不过,网银用户自身交易习惯也很重要,用后要及时拔出,不可转借他人,更不能从陌生网站下载软件或链接。

工商银行网银用户李女士说,使用U盾后,只是在点击“安全退出”一栏时,才会弹出一个“来自网页的消息”:为了您的资金安全,请拔出并妥善保管。”

记者又尝试使用另一个银行的USB数字证书,交易后点击退出,页面自动弹出提醒“您的移动证书usbkey还插在电脑上,在退出前强烈建议先拔掉usbkey”,立即拔下USB后,网页即无法进行转账交易。

这些USB证书的共同点都是,如果不及时点击关闭页面,用户常会忽略拔出U盾。

1.4 WordPress服务器遭入侵 VIP客户源代码外泄

博客服务平台WordPress表示,有黑客于周三早上入侵了WordPress部分服务器,导致VIP客户源代码泄露。因此,WordPress警告所有VIP客户更改一切密码和源代码中的API密钥。

提供WordPress博客服务的公司Automattic在一份声明中表示:“我们已经详尽地评估了此次黑客入侵的日志和记录,以确定信息泄露范围,并封堵黑客的入侵渠道。我们认为,源代码已经遭到泄露和复制。尽管我们的很多代码都是开放代码,但我们以及合作伙伴也有不少敏感的代码。不过除此之外,信息泄露的范围是有限的。”

尽管Automattic公司低调处理此次信息泄露的严重性,但该网站泄露的代码可能包括API密钥、Twitter和Facebook密码等信息,可以使他人获取敏感内容,并导致用户的Twitter和Facebook账户无法登录。

Automattic表示,此次调查仍在继续。WordPress.com目前拥有1800万博客和网站,其中的VIP客户包括TED、CBS和Techcrunch等。WordPress.com服务的网站占全球网站数量的10%,每月独立访问用户约为3亿。

1.5 深圳警方破获特大非法侵入QQ服务器系统案

近日,深圳市警方千里赶赴浙江、安徽等地,在当地公安机关大力协助下,捣毁一宗特大跨省非法侵入计算机信息系统案,抓获犯罪嫌疑人5名(均已刑事拘留),缴获笔记本电脑、上网器等一批作案工具。

今年1月10日,深圳市腾讯计算机系统有限公司法人委托黄某到深圳市南山区公安局报案称:其公司发现网络上有人在销售一款软件,该软件能够非法进入腾讯公司服务器查询、转移、消费公司用户账户中的Q币等虚拟财产,并将获得的虚拟财产低价倾销,严重干扰了公司的正常生产经营活动。

南山区公安局立案后进行调查,民警初步掌握该团伙主要有七名骨干成员,散布在浙江、安徽、甘肃、河南等地,通过在网上“结伙抱团”作案,使用木马软件盗取腾讯用户账号非法获利。

3月27日,在基本掌握了该团伙大致情况后,南山区公安局派遣精干民警兵分多路赶赴浙江金华、安徽蚌埠等地组织抓捕。鉴于这个团伙都是通过网络碰头联系,并且他们活动有个规律,为了确保没有漏网之鱼,必须得同时将嫌疑人抓捕(须精确到分秒),因此抓捕难度非常大。经过连续多天伏击摸查,3月29日15 时许,经侦查发现,这个团伙4名成员终于一起在网上“出现”了,这正是抓捕的大好时机!随后,民警在浙江省金华市一小区某单元抓获嫌疑人胡某龙、单某杰、朱某钦三人,另一组民警在安徽省蚌埠市蚌山区东海大道某房将嫌疑人胡某抓获。

民警迅速将嫌疑人押回当地派出所审讯,审讯过程中得知, 该团伙还有一名成员厉某在浙江省东阳市活动。掌握此线索,民警马不停蹄赶到浙江省东阳市江北街道,于3月30日上午8时许,将嫌疑人厉某抓获,经过连续一 天一夜的突击审讯,嫌疑人胡某龙供述利用研发的软件在网络上盗窃腾讯公司用户的账户密码及“虚拟财产”,然后低价出售的犯罪事实。

4月2日,5名嫌疑人被押回深圳。

 

2. 本周关注病毒

2.1 Trojan.Win32.Nodef.dri(木马病毒)
警惕程度 ★★★★

病毒运行后,将自身拷贝到系统的Windows目录下,感染移动存储设备中的可执行文件,和系统盘下的Program Files和Windows目录中的EXE文件。然后病毒会搜集用户当前运行的进程名、网络适配器、本机IP等信息,并将这些信息进行打包,通过邮件的方式发送黑客指定邮箱中,导致用户个人信息泄露。

2.2 Trojan.DL.Win32.Undef.taa(木马病毒)
警惕程度 ★★★

这是一个病毒下载器,病毒运行后链接黑客指定的病毒下载列表,随后根据这个下载地址列表下载很多流氓软件和病毒。

2.3 Trojan.PSW.Win32.QQ.rti(木马病毒)
警惕程度 ★★★

该病毒运行后会在后台监视用户的输入,伺机窃取用户的QQ号码及密码,并发送给黑客。

 

3. 安全漏洞公告

3.1 Oracle Solaris 10信息泄露漏洞

Oracle Solaris 10信息泄露漏洞

发布时间:

2011-04-20

漏洞号:

CVE-2011-0412

漏洞描述:

Solaris是SUN公司(现已被Oracle收购)研制的类Unix操作系统。
Oracle Solaris 10回滚补丁文件(undo.Z)包含未授权用户可读的哈希密码,而某些软件包的/var/sadm/pkg//save//以不安全方式存储了该文件。本地用户可借助此漏洞提取包含root和其他用户的哈希密码文件,并进行暴力密码猜测攻击。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.oracle.com/index.html

 

3.2 KDE KGet目录遍历漏洞

KDE KGet目录遍历漏洞

发布时间:

2011-04-20

漏洞号:

CVE-2011-1586

漏洞描述:

KDE是Linux和Unix工作站的一款免费开放源代码X桌面管理程序,KDE提供通过KIO子系统支持各种网络协议。
KDE中存在目录遍历漏洞。恶意攻击者可利用此漏洞攻击用户系统。
KGet在被用于下载文件之前没有正确过滤name属性(该属性位于metalink文件的file元素中),可欺骗用户从特制的metalink文件下载内容。远程攻击者可以借助目录遍历攻击,下载文件到预设下载目录的外部。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://websvn.kde.org/branches/KDE/4.4/kdenetwork/kget/ui/metalinkcreator

/metalinker.cpp?r1=1227468&r2=1227467&pathrev=1227468
http://websvn.kde.org/branches/KDE/4.5/kdenetwork/kget/ui/metalinkcreator

/metalinker.cpp?r1=1227469&r2=1227468&pathrev=1227469
http://websvn.kde.org/branches/KDE/4.6/kdenetwork/kget/ui/metalinkcreator

/metalinker.cpp?r1=1227471&r2=1227470&pathrev=1227471

 

3.3 Xymon Web UI多个跨站脚本攻击漏洞

Xymon Web UI多个跨站脚本攻击漏洞

发布时间:

2011-04-20

漏洞号:

CVE-2011-1716

漏洞描述:

Xymon 是一款开源的可跨平台的系统状态监控软件,支持Windows系列,各种发行版的Linux,AIX及Solaris等多种平台的服务器。
Xymon 4.3.1之前版本中的Web UI中存在多个跨站脚本攻击漏洞。某些未明输入还未经过正确过滤就返回给了用户,远程攻击者可以借助此漏洞注入任意web脚本或者HTML。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://sourceforge.net/projects/xymon/

 

3.4 HP Photosmart Printers跨站脚本攻击漏洞

HP Photosmart Printers跨站脚本攻击漏洞

发布时间:

2011-04-20

漏洞号:

CVE-2011-1533

漏洞描述:

HP Photosmart D110和B110;Photosmart Plus B210;Photosmart Premium C310,Fax All-in-One,C510;及ENVY 100 D410打印机中存在跨站脚本攻击漏洞。由于某些未明输入还未经过正确过滤就返回给了用户,远程攻击者可以借助此漏洞注入任意web脚本或者HTML。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://marc.info/?l=bugtraq&m=130262523515904&w=2

 

3.5 Perl Jifty::DBI多个SQL注入漏洞

Perl Jifty::DBI多个SQL注入漏洞

发布时间:

2011-04-20

漏洞号:

BUGTRAQ ID: 47396

漏洞描述:

Perl Jifty::DBI是执行对象相关的永久框架的Perl模块。
Perl Jifty::DBI在实现上存在多个SQL注入漏洞,远程攻击者可利用此漏洞控制受影响应用程序,访问或修改数据,利用基础数据库中的漏洞。
某些输入在SQL查询中使用前没有正确过滤,可通过注入SQL代码操作SQL查询。

安全建议:

厂商补丁:
CPAN
----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.cpan.org