当前位置: 安全纵横 > 安全公告

一周安全动态(2011年11月3日-2011年11月10日)

来源:安恒信息 日期:2011-11

2011年11月第一周(11.3-11.10)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 赛门铁克:黑客转向化工业窃取知识产权

11月2日消息:赛门铁克在昨日发表的一份报告表示,化学和国防企业约50个机构,都在全球的网络间谍浪潮中,被黑客有针对性的攻击。黑客的目标显然是窃取知识产权,如设计文档,公式和制造工艺。报告指出, “攻击的目的似乎是工业间谍活动,收集知识产权的竞争优势”。 与此同时,法国核电集团Areva9月份也被有针对的攻击过。

赛门铁克报告中表示:“随着时间的推移,攻击者已经改变他们的目标,从4月下旬至5月上旬,攻击者集中在相关的非政府组织的人权。他们在5月下旬转移到汽车业。”6月到7月中旬检测发现黑客攻击暂停。但目前,黑客开始对化学工业进行攻击。

赛门铁克称,目标包括多个“财富”100强企业,化合物的研究和发展、开发制造化学和先进材料产业的基础设施,发展军用车辆的先进材料的公司等等。

在一两个星期的调查,研究人员发现超过100个唯一的IP地址,联络与交通指挥和控制服务器,似乎来自一个受感染的机器。报告称,来自52个不同的ISP,或是分布在20个国家的IP地址的组织。

目前还不清楚谁是背后的攻击 - 该报告说,攻击追溯到一个美国虚拟私人服务器,但是属于中国河北的一个20多岁的居民。研究人员给该名男子命名“隐蔽的树丛”,基于他名字的翻译。同时,其他黑客也锁定了相同的化学公司,向该公司发送恶意的PDF和DOC文件,通过拖放Backdoor.Sogu的一个变种。

谷歌是近年来首个宣布网络被攻击的大公司。事件起源于2010年年初,谷歌认为黑客可能来自中国,对该公司进行一些有针对性的攻击,旨在窃取信息。

 

1.2 RSA首席技术官:黑客攻击新趋势 应对重在检测恢复

11月2日 北京报道(文/孙莹)RSA大会2011信息安全国际论坛今日在京召开,EMC信息安全事业部RSA首席技术官Bret Hartman在接受CNET记者专访时指出,黑客攻击呈现出三大新的趋势和特点,除了传统预防式的安全防御外,RSA还采用检测、探测等技术来应对越来越复杂的网络攻击。

今年以来,黑客攻击事件层出不穷,谈及网络攻击新的发展趋势和特点,Bret Hartman表示,现在的黑客用更加复杂高深的技术来进行攻击,比如我们看到黑客大量的应用社交型的技术来做所谓的社交工程攻击,像Facebook这样的社交网络,黑客可能会利用Facebook上的个人信息,找到这个人,了解到这个人的信息,他们针对这个人会发出专门有针对性的钓鱼式攻击。

另外一个特点就是所谓的零日攻击,对于防病毒软件来说,很难去抗击这些零日攻击,所以在一系列系统上有可能就会受到这些恶意软件的入侵等等。

Bret Hartman指出,还有一些黑客有极大的耐心,比如他可以去开展很多调查和研究,慢慢的对你展开攻击。而对于防守这一方来说,很难去对抗这样一些攻击,这也是为什么要强调可见性和可视性的重要性,也是为什么今天我们非常强调要做分析,包括管理等等这样一些举措,才能更好的帮助我们去抗击攻击。

面对黑客越来越复杂和多样的攻击,作为安全厂商的RSA采取了很多措施来应对。Bret Hartman介绍,其中最主要的一个措施就是我们之前曾经做过的,更进一步的去关注、检测和恢复这方面的工作。

传统上来说,我们的计算机体系都是采用一种预防式的方式,RSA希望建立一个非常强大的系统来预防攻击能够攻入到你的系统中来。但关键的问题是不管这个系统做的有多强大,黑客总还会找到一种方式能够入侵到你的系统中来。

所以,Bret Hartman强调,一方面还是需要有这样一些防卫性的工作,建立起一个强大的系统来预防攻击;另一方面要进一步去关注检测、探测的技术,能够实时的检测出存在的攻击。所以重点是要在检测和恢复上面,如果系统有出现任何的攻击,能够非常有效的检测出来,同时能够把黑客逐出系统,同时能够很快的恢复系统。

 

1.3 荷泽300余家物流网站遭遇黑客攻击

中国菏泽网消息(记者 晁会芹)“8月份以来,全市300余家物流网站遭遇黑客攻击,导致服务器不能正常运行,货物不能及时发送……”近日,市民刘先生向本报反映此事,在此提醒 广大物流业主提高安全防范意识,管理好自己的电脑,防止黑客利用你的电脑搞破坏活动,同时积极提供线索,配合公安机关尽快破案。  

据悉,山东省各地物流网站屡遭网络黑客攻击,给物流行业造成了很大的经济损失,同样我市一点通物流信息网也遭到了重创。据我市一家物流网 站负责人刘先生介绍,目前网络黑客攻击非常猖獗,自今年8月下旬以来,全省乃至全国其它省份都不同程度受到黑客攻击,我市也是重灾区,两个月来,全市 300余家物流行业遭受不程度的影响,货物不能及时发送,有的车找不到货源,物流老板非常气愤,强烈要求严惩网络黑客不法分子,尽快减少经济损失,由于网 络黑客的恶意攻击,也给我市物流业发展带来很大影响。  

目前菏泽市公安机关已经介入侦查,同时提醒广大物流业主提高安全防范意识,管理好自己的电脑,防止黑客利用你的电脑搞破坏活动,同时积极提供线索,配合公安机关尽快破案。

 

1.4 黑客瞄准社交工程技术:巨额投入难保系统安全

导语:国外媒体今天撰文称,随着社交网站的日益受宠,利用“社交工程”(Social Engineering)技术攻击企业网站的行为日益增多,这也使得各大企业难以凭借单纯的技术投入确保系统安全。
以下为文章全文:

危险信号

克里斯·派滕(Chris Patten)向一家大型投资管理公司报告称,他即将离婚,并且担心他的妻子已经用假名开设了账户。
这种情况完全可能,但在这个案例中,派滕却撒了谎。不过这一事件的关键在于,这家投资公司的客服代表很快就将用户账号和其他详细信息交给了派滕,这令银行和其他企业感到后怕。

派滕是一名35岁的网络安全专家,曾经就职于美国空军,后来在堪萨斯城创办了一家咨询公司。但他欺骗投资公司的目的并非使用或销售这些数据,而是为了对这些企业的安全情况进行调查。安全专家和执法人员表示,投资公司员工轻易泄露用户信息的行为是一种危险的信号。

随着银行和其他大型企业开始投入大量资金建设防火墙,并使用复杂的技术来加强系统安全,黑客们逐渐将目光转向了这些企业的员工。

Gartner分析师艾维瓦·里坦(Avivah Litan)表示,由于需要遵守全新的用户认证流程,并加强对其他犯罪活动的抵御能力,大型企业今年的网络安全总投资额有望达到数百亿美元,较2010年最高增长15%。但类似于派滕所使用的这种低科技方法却仍然可以获得成功,这表明单纯加大投资无法使各大银行确保用户信息的万无一失。

社交工程

“黑客突破防火墙和其他技术障碍的困难越来越大,所以他们开始回归低科技的攻击方法。”自动取款机制造商Diebold的安全主管大卫·肯尼(David Kennedy)说。他还表示,派滕所使用的方法在安全领域被称作“假托技术”(pretexting)或“社交工程”,这已经成为他的企业目前面临的最大威胁之一。

银行也意识到了这种威胁,并且开始考虑部署更为严格的用户身份认证标准等流程。当用户要取回用户名和密码时,美国银行已经不再简单地要求其向客服代表提交家庭住址,还必须要知道交叉路口。他们还有可能要求用户回忆其他信息,例如该账号最近的三笔交易情况。

但能够避免引起用户不快的安全措施却并不多见。“我们不想给用户造成太大负担。”美国银行反欺诈主管罗伯特·史福莱特(Robert Shiflet)说。

根据美国1999年颁布的一部法律,使用虚假借口从金融机构获取他人信息的行为属于犯罪,而美国《联邦贸易委员会法》也禁止了这种欺诈行为。随着Facebook和LinkedIn等社交网站逐渐受到追捧,黑客发现,要通过互联网获取有用的个人信息越来越容易。

“你披露的信息越多,别人能窃取的信息也就越多。”美国联邦调查局(FBI)特工查尔斯·培弗莱茨(Charles Pavelites)说。

具体实例

加大投资未必能增强企业的安全性。在最近举行的一次黑客竞赛中,塔吉特百货是最难以被攻破的企业之一。虽然塔吉特百货每年用于安全的开支约为甲骨文(微博)的一半,但由于竞赛中的很多目标企业并没有进行社交工程方面的培训,因此根据竞赛组织方Social-Engineer.org发布的报告,甲骨文是最不安全的网站。“企业放在互联网上的机密信息之多令人震惊。”Social-Engineer.org创始人克里斯·海德纳吉(Chris Hadnagy)说。

塔吉特百货表示,该公司仍将认真保护信息,并继续投资安全技术。甲骨文则拒绝对此置评。

通常而言,客服代表是大企业的第一道安全屏障。但黑客表示,由于流动性较大,且薪水和意识较低,这些员工很容易被骗。“只要你表现得足够镇定,他们通常都会为你提供任何信息。”著名黑客组织Anonymous的一名成员说。

在上文那场名为Schmooze Strikes Back的黑客竞赛中,参赛者谢恩·麦克道格尔(Shane MacDougall)只在网上浏览了几个小时就找到了足以突破甲骨文防御系统的信息。他在甲骨文网站上找到了一段甲骨文Redwoods Shores安全设施的视频。除此之外,他还找到了一张照片,其中的一名员工的工卡信息清晰可见。

借助这些信息,麦克道格尔伪装成了一名为政府合同搜集信息的甲骨文员工。他致电分公司办事处,并花了25分钟的时间说服一名并不知情的员工向他泄露了甲骨文运营系统和反病毒系统的细节信息。他随后利用这些信息成功窃取了敏感的用户数据。

“如果通过聊天就能进入系统,搞这些安全措施还有什么用?”麦克道格尔说。

 

1.5 中国反对包括“黑客攻击”在内的网络违法犯罪行为

外交部发言人洪磊10月31日在例行记者会上表示,中国反对包括“黑客攻击”在内的计算机网络违法犯罪行为。
有记者问:据报道,美国国会“美中经济与安全评估委员会”发表报告称有中国军方黑客曾干扰美国卫星系统,中方对此有何评论?

洪磊说,美国国会这个委员会一直戴着有色眼镜观察中国,该报告无中生有,别有用心,不值一驳。中国也是“黑客攻击”的受害者,反对包括“黑客攻击”在内的计算机网络违法犯罪行为。


2. 本周关注病毒

2.1 Trojan.Win32.Fednu.tqo(木马病毒)
警惕程度★★★

病毒运行后,会释放病毒驱动程序,替换系统服务并结束杀毒软件。为进一步扩大传播范围,病毒会通过局域网和U盘进行传播。最终,病毒将访问黑客指定服务器不断下载盗号木马,窃取用户电脑隐私账号密码等信息。

2.2 Backdoor.Win32.Undef.tgv(后门病毒)
警惕程度★★★

病毒运行后,将获得用户电脑的计算机名、IP地址、安装的杀毒软件、防火墙等信息发送到黑客指定的服务器上。根据黑客的反馈,控制用户电脑实现黑客后门功能,例如,打开IE访问黑客指定网站、下载木马病毒、监视屏幕摄像头、查看电脑中的文件等,使用户电脑变成黑客肉鸡。

2.3 Trojan.PSW.Win32.AliPay.pc(网银超级木马)
警惕程度★★★★★

该变种木马将自身伪装成商品图片,骗取用户点击。点击运行后,会关闭Windows自带的系统防火墙,便于其实施木马行为。接下来通过修改注册表键值,实现开机自动启动。当用户访问某些第三方支付平台进行支付时,病毒会自动保存cookie,并在注册表中更改支付软件相关注册表信息。这样在用户使用第三方支付平台的时候,病毒伺机窃取用户账户以及密码,发送到黑客指定的服务器。

 

3. 安全漏洞公告

3.1 Linux Kernel 拒绝服务漏洞

Linux Kernel 拒绝服务漏洞

发布时间:

2011-11-01

漏洞号:

 

漏洞描述:

Linux Kernel是开放源码操作系统Linux所使用的内核。
Linux kernel中存在拒绝服务漏洞。攻击者可利用该漏洞导致内核恐慌,并拒绝服务合法用户。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://comments.gmane.org/gmane.comp.security.oss.general/6120

 

3.2 D-Link DIR-300 远程代码执行漏洞和远程文件泄露漏洞

D-Link DIR-300 远程代码执行漏洞和远程文件泄露漏洞

发布时间:

2011-11-01

漏洞号:

 

漏洞描述:

D-Link是国际著名网络设备和解决方案提供商,产品包括多种路由器设备。
D-Link DIR-300路由器中存在远程代码执行漏洞和远程文件泄露漏洞。攻击者可利用该漏洞在受影响设备的上下文中执行任意代码并访问文件。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://downloads.phpnuke.org/en/download-item-view-y-y-a-v-y-l/D-LINK%2BDIR-300.htm
http://www.ptsecurity.com/freeware.asp

 

3.3 D-Link多个产品不明细节远程缓冲区溢出漏洞

D-Link多个产品不明细节远程缓冲区溢出漏洞

发布时间:

2011-11-01

漏洞号:

CVE-2011-3992

漏洞描述:

D-Link是国际著名网络设备和解决方案提供商,产品包括多种路由器设备。
D-Link多个产品在实现上存在不明细节远程缓冲区溢出漏洞。远程攻击者可利用这些漏洞在受影响应用程序中执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.dlink-jp.com/page/sc/F/security_info20111028.html
http://jvn.jp/en/jp/JVN72640744/index.htmlhttp://jvndb.jvn.jp/ja/contents/2011/JVNDB-2011-000092.html

 

3.4 IBM Lotus Sametime 配置设置读取漏洞

IBM Lotus Sametime 配置设置读取漏洞

发布时间:

2011-11-01

漏洞号:

CVE-2011-1370

漏洞描述:

IBM Lotus Sametime是一款实时在线会议解决方案。
IBM Lotus Sametime 7.0到8.5.2版本中存在漏洞。由于服务器的Sametime configuration servlet (SCS)的默认配置不能够认证需求,远程攻击者可通过检查响应消息读取配置设置。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www-01.ibm.com/support/docview.wss?uid=swg21569452
http://www-947.ibm.com/support/entry/portal/Overview/Software/Lotus/IBM_Sametime
http://www.ibm.com/developerworks/lotus/documentation/sametime/70.html

http://www-03.ibm.com/systems/i/software/sametime/st70.html

 

3.5 IBM WebSphere Application Server 敏感信息泄露漏洞

IBM WebSphere Application Server 敏感信息泄露漏洞

发布时间:

2011-11-01

漏洞号:

CVE-2009-2747

漏洞描述:

IBM WebSphere Application Server(WAS)是Java EE和Web服务应用程序平台,是IBM WebSphere 软件平台的基础,是一个完善的、开放的Web应用服务器,是IBM电子商务应用架构的核心。
IBM WebSphere Application Server (WAS) 6.0.2.39之前的6.0版本,6.1.0.29之前的6.1版本和7.0.0.7之前的7.0版本存在漏洞。由于Java Naming and Directory Interface (JNDI)的实现不能正确限制访问UserRegistry对象类函数,远程攻击者可借助特制的类函数调用获得敏感信息。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www-01.ibm.com/support/docview.wss?uid=swg1PK99480
http://www-01.ibm.com/support/docview.wss?uid=swg27006970