当前位置: 安全纵横 > 安全公告

一周安全动态(2011年11月24日-2011年12月1日)

来源:安恒信息 日期:2011-11

2011年11月第四周(11.24-12.1)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 中国万网官方网站被黑 黑客留言调侃

11月20日消息,有网友在论坛发帖反映,万网官方网站页面被黑,黑客在被黑页面上写出了 “吃饱没事做 做饱没事吃 中国鹰派有万涛 万涛黑站有绝招 打开机房推开门 拿起锤头往上敲 BY AK "等字样。

万网官方网站被黑页面

经观察发现 ,万网官方网站2个被黑页面悉同一黑客组织所为,黑客留言中的“万涛黑客”在业界鼎鼎大名, 2001年万涛参与组织中美黑客大战并创立中国鹰派联盟网,之后鹰盟已经转型为鹰眼安全文化网,万涛本人是世界顶尖软件公司的安全顾问,不排除有其他黑客假借万涛之名进行黑客行为,可能与万网的某些产品定价过高引起用户不满有关。

据悉,黑客主要利用官方网站系统程序漏洞上传被黑页面,但是对用户的域名注册和解析服务没有受到影响,但是作为中国最大的域名注册服务商,官方网站的安全性还有待提高。据作者了解到,早在今年的7月31日,中国万网遭受黑客攻击,导致部分主机不能正常运行,不少用户无法登陆自己的网站,不能更新信息,甚至一些用户发现租用空间存储的信息丢失。

截止作者发稿时,被黑页面http://zixun.www.net.cn/555.txt 、 http://vip.www.net.cn/555.html已经均被官方清除干净,但是万网被黑的帖子已经在各大站长论坛和qq群进行疯传。

 

1.2 网络维护员为开拓财源 黑科技公司网站敲诈3500元

26岁的浙江龙泉市人邱某原本是名网络维护员,每月能赚四五千元。可他并不满意,为快速赚钱,他远程黑掉了厦门一家科技公司的网站,并敲诈了3500元。

昨日,湖里法院作出一审判决,邱某犯敲诈勒索罪,判处拘役六个月,并处罚金人民币一千元。

遭黑客入侵

网站瘫痪没法上

今年8月20日上午11时许,厦门一家从事智能软件开发和网络信息化服务的科技公司遭黑客入侵,网站数据文件都被打包压缩成加密文件,无法获取。同时,该公司网站也瘫痪,无法正常浏览,主页上则显示了一条“数据恢复,请联系QQ:×××××”的信息。

于是,该公司通过这一QQ号与黑客取得联系。黑客要求该公司支付5000元后,才能为其恢复网站的正常运行。为避免因网站关闭造成业务停滞、给公司带来更大的经济损失,该公司经交涉后向黑客支付了3500元人民币。随后,该公司的工作人员报警。

接警后,厦门市公安局办案民警通过大量的调查分析,最终锁定犯罪嫌疑人的活动区域。9月9日下午3时许,办案民警在浙江丽水市某小区内将犯罪嫌疑人邱某抓获。

为开拓财源

他“兼职”当黑客

邱某,计算机专业出身,在浙江一家科技公司负责网络维护和开发,平时就有搜索网站漏洞的爱好。由于生活压力比较大,他每个月的零花钱屈指可数。为了开拓财源,他想到通过利用这些网站的漏洞来敲诈钱财。

今年8月19日,邱某通过搜索引擎,搜索到位于厦门的这家科技公司的网站页面。然后,他通过软件对该网站网页漏洞进行扫描,并利用网页上的漏洞,向该公司网站注入添加一个具有管理权限的用户。紧接着,邱某就利用此用户权限,远程登录该公司网站服务器,将该服务器内存和属于网站的数据分区全盘压缩成加密的RAR格式数据包,造成网站不能正常运行。邱某随后在网站首页上留下“数据恢复,请联系QQ:×××××”的信息,对该公司实施敲诈勒索。。

 

1.3 美国发生首宗外国黑客破坏基建系统事件

路透社称,近日,美国伊利诺伊州一个供水系统被黑客入侵,消息人士称,这是美国首宗外国黑客破坏美国基建系统事件,国土安全部及联 邦调查局(FBI)已展开调查,怀疑是俄罗斯所为。网络专家警告,美国其他基建也面临黑客入侵的风险。著名网络安全专家韦斯引述伊利诺伊州反恐情报中心的 报告称,指该州首府斯普林菲尔德以西1处乡郊的供水设施,约2个月前开始出现系统问题,但是韦斯没有解释黑客的动机。

 SCADA安全系统

SCADA是控制基建的特殊计算机系统,是控制污水处理设施、化工厂及水坝等的开关。计算机维修人员事后检查该系统的计算机纪录,发现有关系统疑被俄罗斯黑客入侵,怀疑对方透过入侵设计该系统的软件公司,取得登入名称和密码,继而入侵供水系统。

韦斯说﹕“这次是重大事件。他们入侵了控制系统,可任意妄为。”肇事供水系统的发言人称,因供水系统采用多个水泵和水井,全部2200个用户供水未有影响,也没有客户数据外泄,暂未知黑客的动机。

黑客展开攻击

一些媒体报道确定了攻击的目标是斯普林菲尔德。但是该市官员称,“这些报道不属实。”报道称,一名工作人员称,“星期五晚间,的确有小水利系统 出现故障,但是我对情况不是很了解。”“我们当时意识到,有人对水利系统发动攻击,成功的将水泵烧毁了。”但是该工作人员还说,“我相信,顾客的资料没有 受到损害,至于为什么黑客对我们的水利系统展开袭击,我还是很困惑。”

更多攻击?

韦斯不排除涉事黑客曾袭击其他商业设施,或计划利用窃取自同一软件公司的密码发动更多袭击,但国土安全部意图淡化事件,称目前没迹象显示公众安全或重要基建设施受到威胁。

McAfee Labs保安研究主任马库斯称,得州供水系统周五亦盛传可能被黑客入侵,怀疑入侵事故比业界所知更严重,认为应审慎评估计算机系统的风险。罗得岛民主党众议员朗格温说,这次的网络攻击报告,反映有必要立法提高美国基建的计算机网络安全。

 

1.4 美伊利诺斯州供水设施遭黑客袭击

伊利诺斯州的供水设施受黑客袭击

据英国《每日邮报》报道,美国基础设施控制体系专家称,黑客日前通过一台位于俄罗斯的电脑入侵了美国伊利诺伊州斯普林菲尔德市(Springfield)的公共供水网络系统,毁掉了一个向数千户家庭供水的水泵。另有黑客宣称,他们已经控制美国第二处公共设施。此举引发美国安全官员极大担忧。

防黑客袭击顾问乔·维斯(Joe Weiss)证实称,黑客日前利用俄罗斯一台计算机侵入伊利诺伊州供水系统,通过连续开关水泵阀门,导致水泵损坏。

维斯说,美国联邦调查局和国土安全部已经介入调查,成功追踪到位于俄罗斯的计算机。伊利诺伊州恐怖主义与情报中心公布报告称,黑客黑掉了一家美国公司的数据采集与监控系统软件(SCADA),然后偷到供水系统的用户名和密码,进而侵入。这种软件也在核电站以及钻油平台等关键设施中使用。

据悉,伊利诺伊州供水系统只设置了三个字母的密码。而在水泵被毁前,其远程访问系统的故障提示已经显示了数个月。一名自称pr0f的黑客宣称,他控制了得克萨斯州南休斯敦的第二座美国公共设施。为了证明自己的话,他还给出了一座废水处理厂内部控制系统截屏图。

专家们表示这个消息说明很多网络犯罪分子都把一些重要的工业和基建设施作为攻击的目标。这些袭击是很多黑客和组织都把目标放在“数据采集及监控系统”(SCADA)的最新一起事件。

这种网络系统在美国工业体系广泛使用,控制水源过滤、混和化学元素等的计算机系统。

 

1.5 APT攻击者都是隐形专家

高级持续性攻击的“高级”是指,这种攻击形式的攻击者有一个基于特定战略的缜密的计划,即使他们使用的是相对简单的机制来实施。换句话说,APT攻击者不一定是娴熟的黑客,他们可以利用互联网上现成的脚本,和修改别人的恶意软件,或者他们可以创建自定义恶意软件来攻击特定目标。通常,他们使用许多不同攻击类型来攻击同一目标,并且不断来回攻击,也就是所谓的“持续性”。并且,这种攻击通常是以隐形且低调的方式进行的,APT攻击者都是隐形专家,他们采取措施来掩盖他们的踪迹,避免在日志中留下入侵的证据。

APT攻击者也使用社会工程技术和/或招募内部人员来获取有效登录凭证。分支机构通常没有总部那么严格的安全防范措施,因此有时会被利用来通过远程访问向目标系统植入恶意软件。一旦安装了恶意软件,攻击者就能够从任何地方访问和控制你的系统,或者采用自动化程序,这样恶意软件就会将你的重要数据发送给攻击者。

APT攻击者选择使用何种工具主要取决于他们的攻击目标是什么以及其网络配置和安全状况。这里有个简单的比喻:窃贼可能可以使用信用卡打开简单锁的房门,但是如果所有门都是呆锁,他就要找不同的工具来进去了。同样的,APT攻击者通常会尽可能使用最简单的工具来进行攻击。为什么要浪费一个定制的先进工具在不必要的工作上呢?而且这种工具只会给APT攻击者留下马脚。

APT攻击者经常利用僵尸网络,僵尸网络能够给他们提供更多资源来发动攻击,并且很难追踪到攻击的源头。虽然僵尸网络经常与垃圾邮件联系在一起,但它们可以用于多种类型的攻击。一个简单的命令和控制服务器就可以控制位于数百个不同公司的电脑,这些电脑上的恶意软件可以不断更新,一直“领先于”你的检测工具。即使你的公司不是APT攻击的目标,你的网络也可能在你不知情的情况下被用来作为犯罪工具:作为僵尸网络的一部分,用来攻击其他网络。

 

2. 本周关注病毒

2.1 Worm.Win32.Autorun.twg(蠕虫病毒)
警惕程度★★★

该病毒通过U盘等可移动存储设备传播,病毒会双进程守护的功能,下载大量木马病毒,给用户造成很大安全隐患。

 

2.2 Trojan.Win32.KillAV.cxk(木马病毒)
警惕程度★★★

该病毒运行后试图关闭多种杀毒软件,访问黑客指定的网站,下载木马病毒到本地执行。病毒会遍历系统中的可移动存储设备(U盘、MP3、移动硬盘等),并向这些设备中写入自动运行的脚本,用户使用这些带毒设备后就会被感染。

 

2.3 Trojan.Win32.StealIcon.a(隐身侠木马)
警惕程度★★★★★

用户电脑感染后,病毒会疯狂的复制自身到用户的硬盘和可移动设备内进行传播。病毒运行后,创建一个autorun.inf文件,用来实现用户在双击分区盘符时,自动运行病毒文件。并将病毒文件放入到开始菜单的启动文件夹,实现开机启动。该蠕虫病毒最大的特点在于会冒充其他程序骗取用户。病毒会将所有exe程序文件的图标和名称进行替换,随后将正常exe程序进行隐藏,当用户运行看似正常的程序时,病毒也会随之启动。

 

3. 安全漏洞公告

3.1 Linux Kernel远程拒绝服务漏洞

Linux Kernel远程拒绝服务漏洞

发布时间:

2011-11-23

漏洞号:

CVE-2011-4326

漏洞描述:

Linux Kernel是开放源码操作系统Linux所使用的内核。
Linux内核中存在影响headroom校验的远程拒绝服务漏洞。攻击者可利用该漏洞导致内核崩溃,拒绝对合法用户提供服务。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.kernel.org/

 

3.2 Linux Kernel本地权限提升漏洞

Linux Kernel本地权限提升漏洞

发布时间:

2011-11-23

漏洞号:

CVE-2011-4330

漏洞描述:

Linux Kernel是开放源码操作系统Linux所使用的内核。
Linux内核中存在本地权限提升漏洞。本地攻击者可利用该漏洞使用内核级的权限执行任意代码,完全操控受影响的计算机,攻击失败可能导致拒绝服务条件。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.kernel.org/

 

3.3 IBM Lotus Mobile Connect跨站脚本漏洞

IBM Lotus Mobile Connect跨站脚本漏洞

发布时间:

2011-11-23

漏洞号:

CVE-2011-4465

漏洞描述:

IBM Lotus Mobile Connect是一款通信软件平台,可为企业提供一个移动虚拟私人网络。
IBM Lotus Mobile Connect (LMC) 6.1.4版本中存在跨站脚本漏洞。远程攻击者可借助与隐藏的重定向URL有关的向量注入任意web脚本或者HTML。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www-01.ibm.com/support/docview.wss?uid=swg27020327

 

3.4 JBoss Enterprise SOA Platform远程认证绕过漏洞

JBoss Enterprise SOA Platform远程认证绕过漏洞

发布时间:

2011-11-22

漏洞号:

CVE-2011-4085

漏洞描述:

JBOSS是开放源代码的,遵从J2EE规范的,100%纯java的EJB服务程序。
JBoss Enterprise SOA Platform中存在远程认证绕过漏洞。攻击者可利用该漏洞绕过认证机制并且获取受影响应用程序的未授权访问权 。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://rhn.redhat.com/errata/RHSA-2011-1456.html

 

3.5 Juniper Juno安全绕过漏洞

Juniper Juno安全绕过漏洞

发布时间:

2011-11-22

漏洞号:

CVE-2011-4434

漏洞描述:

Juniper JUNOS是网络操作系统,提供卓越的故障恢复能力并确保能够简单地集成IPv6。
Juniper Juno 10.2 R3之前版本中存在安全绕过漏洞。攻击者可利用该漏洞绕过某些未经强制执行的安全策略。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.juniper.net/us/en/