当前位置: 安全纵横 > 安全公告

一周安全动态(2012年2月9日-2012年2月16日)

来源:安恒信息 日期:2012-2

2012年2月第二周(2.9-2.16)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 企业信息面临APT黑客攻击 机密情报遭窃取威胁

安全专家提醒广大企业用户,近期针对频发的黑客利用复杂精准的方式对特定对象发动高级持续性威胁(Advanced Persistent Threat,APT)攻击,企业应采取长期而有效的威胁管理以应对从而避免成为APT攻击的受害者。

众所周知,黑客发动APT的目的是为了窃取机密情报,虽然此种威胁形式已谈不上是一种创新之举,但在APT威胁悄然来袭的今天,一些企业数据泄露的信息开始频频涌现,安全隐患堪忧。那么,企业如何才能清楚的认识到这些长期的、有计划、有组织的“网络间谍”行为,同时动用自己的安全防御手段,做到有的放矢呢?

在信息安全领域,APT已成为人尽皆知的“时髦术语”,越来越多的企业开始对其高度关注,甚至一些大型企业已经成为APT攻击的“俘虏”。现在,几乎所有的“定点”攻击行为都与商业利益有着联系。安全专家近期也发现了一个正在进行中的APT攻击,并将其称之为“LURID”。该攻击已经成功入侵了位于61个不同国家和地区的1465台电脑。安全专家已经从中确定了47个受害者,包括外交单位、政府部门,甚至与太空工程有关的政府机构和公司,以及研究机构。

某安全团队集合全球几百名工程师一起,通过跟踪不同种类APT攻击行为的过程,得出了一个“令人担忧”的结论。首先,众多企业机构惨遭“不测”的一个主要原因在于它们没有发现真正的漏洞所在并加以修复。其次,由于APT攻击具有持续性,甚至长达数年的特征,这让企业的管理人员无从察觉。在此期间,这种“持续性”体现在攻击者不断尝试的各种攻击手段,以及在渗透到网络内部后长期蛰伏,他们不断收集各种信息,直到收集到重要情报。更加危险的是,这些新型的攻击和威胁主要就针对国家重要的基础设施和企业进行,包括能源、电力、金融、国防等关系到国计民生,或者是国家核心利益的网络基础设施。

面对黑客使用APT网络间谍的攻击手法,安全专家认为,这并没有单一的解决之道,因为黑客为达目的、不择手段的攻击方式,企业的威胁防护也必须从造成企业威胁的每一个防护弱点下手。首先,防病毒软件还是基本防御之道。 第二,除了防病毒软件的防御层面外,进行企业环境的威胁发现,则是预防APT的有效之道。第三,就是针对APT攻击的“持续性”建立长期的分析能力。第四,由于APT攻击类型很多,也很难检测。因此,抵御APT攻击者的理想防御方法是结合最新的云安全技术,对网络和系统达到实时监测和统一管理。

第五就是信息安全教育,因为这将是严防APT攻击最后的防线。最后,如果已经清除了内部的恶意代码,员工和管理层还应该预料到APT攻击者们迟早还会卷土重来,然后重新建立他们的据点,这也就让企业所面临的威胁环境变得越来越具有挑战性。

1.2 广东一教育局网站被黑 黑客自称初中生怨作业多

“一到假期,××中学就布置足以窒息的作业给学生去做!做你妹!”疑为寒假作业太多,一自称初中生的黑客前晚“黑”进禅城教育局网站,篡改其页面泄愤。

据了解,目前教育局技术部门已追查出该名黑客踪迹,初步估计身份为禅城某中学学生,并已向公安网监报案。

“黑客”泄愤:称作业太多

前晚,网友“永安路96”发帖称发现禅城区教育局网站被“黑”,并附有网站截图。记者搜索区教育局网站页面,发现首页已无法打开,显示出来的则是一段文字。

一名自称初中生的黑客抱怨:“一到假期,××中学就布置足以窒息的作业给学生去做”,“领导们,你们不是n多年前就提倡给学生减负的吗,究竟是你们说一套做一套呢,还是学校‘滥用私刑’啊?”“啥?你说每天做一点(作业)就可以了?做你妹!这么大口气有本事你做给我看啊!”

网站被“黑”后直到昨日下午记者发稿时都无法打开,但之前黑客留下的抱怨不再显示。

据了解,此次区教育局网站被入侵并非首次,在今年年初四早上也发生过此类事件。

教育部门:或为初中生作案

据了解,得知网站被“黑”,区教育局立刻展开研究和追查,初步估计为禅城某中学初中学生,并已向公安网监报案。教育技术装备中心相关负责人表示,还没有最终确定是否该学生所为,目前公安机关正在进行调查。
该负责人表示,学校要进一步加强网络监管以及对学生的网络安全教育。

律师说法:

黑客行为严重可判刑

若嫌疑人未满14岁只能督促家长严加管教

通法正承律师事务所欧志强律师表示,黑客行为会触犯治安管理处罚条例,一般处五日以下拘留;情节较重的,处五日以上十日以下拘留。对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,将触犯刑法,处五年以下有期徒刑或者拘役。若嫌疑人未满十四周岁,不能进行行政处罚及追究刑事责任,只能督促其家长严加管教。

学生网友戏称

全级作业连在一起 超过广佛距离

教育网站被黑昨日引起网友热议。有网友称,“黑”网站这样的做法尽管不对,但间接说明学生寒假作业太多,需要宣泄。

初三学生小张称,寒假作业确实不少,除每天要完成三四张卷子外,还要做相当多的练习。“我每天都写一两个小时作业,春节时放松一下,到假期结束时还要突击才能完成。”有学生说。

有佛山学生在微博上抱怨假期结束前要通宵做作业,有学生晒出自己的作业清单:“寒假作业:每人96张大试卷,中考宝典做120页,全级有624人……试卷连在一起共23.36256公里, 从广州到佛山才22公里!”

专家建议

给学生更灵活的选择

“学校安排寒假作业可以给学生更多的选择,既要有一定的作业量,也可以安排一些综合性实践性强的作业。”南海区教育研究发展中心主任禹飚表示,寒假学生毕竟处于假期状态,如果安排作业太多,和自己身边已经放假、彻底放松的成年亲人相比,学生对过多的寒假作业难免会产生反感。

禹飚称,寒假作业在形式上应该更创新、灵活。

1.3 电商成黑客敛财新手段 90%电商用户数据外泄

网络黑客离你很近

名为钟道(化名)25岁,生活工作范围在北京近郊莘庄,也许他现在正在进行的交易与你有关,你在电子商务网站注册的手机号、邮箱等个人信息在他的手里几经交易就可以转化为钞票,他就是电商企业用户数据泄漏的幕后黑手,他就是令电商企业愤怒无奈的元凶之一, 他就是网络黑客产业链中的“二道贩子”。

随着电子商务企业被业界公认为最近几年的“吸金王”,在获得眼球和关注的同时,也被一群叫“网络黑客”的“新生组织”盯上,并不定期“骚扰”索要“保护费”,每次索要金额百元到上千元不等。

受制于电商环境的大背景,一些电商企业由去年大手笔狠砸硬广(媒体上刊登的纯广告),转而寻求搜索引擎竞价排名的推广,却没想到这一举动竟惹上了黑客的关注。

电商成网络黑客攻击新目标

久久健康商城产品运营总监林大木向凤凰网科技透露,2012年与2011年电商大环境发生了很大改变,所以2011年底公司减少了硬广投放,加大了搜索引擎的竞价投放,比如百度、搜狗等,其金额相当于2011年的硬广投放金额,正是因为此举招来了黑客。

这是产业链的“黑幕”,他有些无奈的说,把这些都说出来,就意味着鱼死网破,但是我们实在忍无可忍了,不惜一战。

他透露,网站自去年9月份直到2011年底,一共被攻击三次,每次攻击时间从一周到十几天不等,最后一次攻击持续了7天,直接导致机房瘫痪三天,网站无法访问,直接经济损失达50万人民币,公司高层不得已决定连夜换机房。而其中值得一提的是,对方(网络黑客)开出的条件仅是索要1000块保护费。

谈及此次被攻击,林大木表示,每次攻击,DDOS流量都很大,公司的带宽完全无法承受,只能租用网宿科技的抗攻击的CDN服务,仅这一项花费每月要多十几万的支出。

“租用高额的机房毕竟不是我们这类中小电商可以长期负担的,我们一直在考虑用一种更好的方法解决,比如报案、寻求法律手段;委托中间人联系对方,但是均不奏效,对方就是吃定了我们没有办法对付他们。”他称。

90%电商中招大部分电商企业选择花钱保平安

业内人士认为,按照以往的惯例,具有一定规模和知名度的企业才是“网络黑客”的重点,一则是这些企业资金充沛,二则“保护费”金额不高,他们更愿意花钱了事,所以一些中小电商企业并无太大危险。

可是,现在这些黑客尝到了甜头,其触角所布之处有增无减,一些小电商也未能幸免,而久久健康商城就是其中的一家。

图为一位资深电商从业者从黑客交易渠道获悉,部分电商企业被攻击的情况,因涉及电商企业的数据保密,一些具体数据并未标出。

据了解,林大木所在的久久健康商城并不属于大型电商,是中视在线控股集团旗下一家专营进口保健品的电子商务网站,09年成立至今,已发展至60名员工的规模。

当问及并非电商一二线品牌仍遭到攻击的原因时,他透露,因为其网站是做进口保健品的电商,其单品价格比国内保健品价格高出两三倍,平均单品都在600元以上,而网站现有注册用户数10万左右,实际购买的用户数也相当可观,因为其用户相较于其他电商网站的用户更有购买能力,这也许就是“黑客”盯上的原因。

“别小看这几万用户,都是很有价值并最具购买力的用户,而这些用户的个人数据也是我们竞争对手最看重的”。

另据团购行业的中层透露,诸如此类情况,京东、当当、凡客、支付宝包括一些团购企业也都不同程度的遇到过,造成的损失和数据泄漏也都引起的高层的关注,但是处于某种原因,他们并未采取法律手段或者是积极寻求解决途径,而是保持沉默或者积极撇清。

“黑客”嚣张扬言拿钱才能免灾

据凤凰网科技线下调查,来自上海杨浦区的杨女士、北京的万先生、上海南汇区的郭女士都称自己的京东账号被盗,并且账号里面京东券和一些现金不翼而飞。


图为:林大木提供的他与黑客交涉的聊天记录,网名为“小帅哥”的即为黑客

林大木公布了他与某“黑客”的聊天记录和百度竞价投放页面上的订单留言截图:图中赫然标明,某黑客称电商网站称不拿钱就攻击其服务器


图为:百度竞价投放页面上的订单留言截图。


图为:“网络黑客”聚集的QQ群,相当一部分用户数据交易就是通过Q群交易完成

据熟悉此类交易的中间人士透露,他亲历的电商用户数据交易中所涉及的电商企业几乎涵盖国内绝大多数知名电商企业,其中一线、二线电商企业居多,交易资料显示,约九成企业都曾遭遇黑客攻击,其用户数据均遭受不同程度的泄露。

电商企业不愿公开的秘密

一位电商从业人士向媒体技透露,出于金融目的,互联网企业被黑客攻击,通常都不会被公布出来,不管是是受害者还是攻击者,因为一旦公开,事件会发生裂变反应,一些公司内部用户数据真相会浮出水面。

他强调,一些电商企业因为投资方或者华尔街资本市场的影响,所以不会轻易让他们真实的用户数据情况被公开,因为真实的用户量和用户购买情况往往与他们此前公布出来数据呈现一定的差距。

特别是对于生存在敏感期与风口浪尖上的知名电商企业来说,这并不是明智之举,“对于被攻击的事,大家都心照不宣,花点小钱而已,所以破财消灾也就不奇怪了。”他称。

互联网评论人士赵占领表示,如果电商企业承认被黑攻击,那么它的信息安全保障水平容易受消费者质疑,甚至引起恐慌,导致用户流失。

赵占领称,有些消费者因黑客攻击丢失用户资料,其中最重要的影响就是账户资金被盗,在一般情况下,消费者是很难维权的,没有办法证明账户的资金余额多少,也不好证明账户资金被盗是与网站的信息安全保障措施不够有关。电商网站如果承认被黑客攻击,对于受损的消费者来讲维权比较有利。

1.4 黑客入侵杀毒软件商赛门铁克 勒索5万美元

据路透财经周二报道,杀毒软件生产商赛门铁克旗下pcAnywhere产品源代码遭黑客攻击,并试图通过该产品安全漏洞侵入用户电脑。

这位自称YamaTough的黑客事前曾与赛门铁克一位员工通过邮件进行谈判,索要5万美元以销毁代码,但是赛门铁克并未同意。

赛门铁克员工山姆·托马斯(Sam Thomas)在邮件中称:“我们会总共付给你5万美元,但你需要保证不会在拿到钱后发布软件代码。前三个月我们每个月会付给你2500美元,付款从下周开始。三个月后,在我们支付剩余余额前,你要让我们相信你已经销毁了源代码。我们相信你不会没完没了的讨价还价。”

赛门铁克发言人Cris Paden表示,“公司为代码公布进行准备,1月23日以来已经开发并公布了一系列补丁。”公司已经与客户进行了沟通,并未出现客户流失。如果客户使用升级後的版本,他们的风险应该没有增加。赛门铁克预计黑客还可能公布2006版诺顿杀毒企业版和诺顿网络安全特警的源代码。“我们已经公开声明,这些是旧代码,赛门铁克和诺顿用户不会因为这些代码被公布而面临更多风险。”

1.5 巴西多家银行网站遭攻击 黑客称为抗议社会不公

自2月3日清晨起,包括中央银行在内的巴西4家银行的网站出现访问量同时剧增的异常现象,致使网站不能正常运行甚至瘫痪。当地黑客组织“匿名巴西”声称实施了攻击行为。

除巴西中央银行外,其他受到攻击的三家银行是花旗银行巴西分行、泛美银行和米纳斯吉拉斯银行。直至当地时间3日中午,中央银行的网站还处于关闭状态。

黑客组织“匿名巴西”在互联网上宣布,上述事件是它组织的协同攻击行动,声称此举是“为了抗议社会不公”。此外,自1月30日起,另外一些银行网站相继出现的运行异常或短时间瘫痪也是该组织所为。

受到攻击的银行表示,访问量过大不会危及银行的安全与系统的运转,也不会导致客户信息的泄露。

 

2. 本周关注病毒

2.1 病毒名称:Trojan.Win32.FakePic.mc(木马病毒)
警惕程度★★★

该病毒借助图片图标和某正常软件数字签名进行伪装,运行后会添加开机启动,保证每次开机获得运行。该病毒实际上是一个后门+盗号木马的综合体。后门功能可以实现访问某恶意网站、下载木马病毒并运行、恶意关机、关闭系统关键服务等严重侵犯用户隐私的行为。盗号行为则通过记录用户按键、屏幕截图等手段,盗取常见游戏账号密码,侵犯用户虚拟财产。

2.2 病毒名称:Rootkit.Win32.Undef.cvu(安德夫Rootkit)
警惕程度★★★★

该病毒运行后会隐藏自身,会在电脑中开放端口并进行远程控制,下载大量木马到用户电脑中执行,盗取用户个人信息。

2.3 病毒名称:Trojan.Win32.FakePic.mb(图片伪装者木马)
警惕程度★★★★

木马运行之后释放C:\Program Files\Viewer3\Gxtmp.tmp。Gxtmp.tmp实际为一动态链接库文件,通过系统文件Rundll.exe加载并执行。通过修改注册表启动项,实现开机自动运行。随后,该木马会删除自身源文件,销毁痕迹。其唯一的目的就是盗号,当用户按下任意键时,木马将用户键盘输入记录在C:\WINDOWS\system32\ourlog.dat下并在特定时刻将其发送给黑客。

 

3. 安全漏洞公告

3.1 Apache CXF安全绕过漏洞

Apache CXF安全绕过漏洞

发布时间:

2012-02-09

漏洞号:

CVE-2012-0803

漏洞描述:

Apache是一款流行免费的开放源代码WEB服务器,运行在多种Unix和Linux系统平台下,也可运行于Windows平台下。
Apache CXF 2.4.5版本和2.5.1版本中存在安全绕过漏洞。攻击者可利用此漏洞绕过UsernameToken政策并获取对受限服务的访问权。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://cxf.apache.org/

 

3.2 D-Link ShareCenter产品多个远程代码执行漏洞

D-Link ShareCenter产品多个远程代码执行漏洞

发布时间:

2012-02-09

漏洞号:

BUGTRAQ ID: 51918

漏洞描述:

D-Link是小中大型企业网络连接的厂商。D-Link DNS-320 ShareCenter是千兆网络存储器。
D-Link ShareCenter几乎不对CGI脚本中的HTTP请求做任何身份验证,在实现上存在多个远程代码执行漏洞,成功利用后可造成拒绝服务、信息泄露、执行任意代码。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.dlink.com/

 

3.3 Symantec pcAnywhere不安全文件权限漏洞

Symantec pcAnywhere不安全文件权限漏洞

发布时间:

2012-02-09

漏洞号:

CVE ID: CVE-2011-3479

漏洞描述:

Symantec PCAnywhere是全球最畅销的用于管理服务器和提供管理人员支持的远程控制解决方案。

pcAnywhere对产品安装文件采用全局可写权限,可使本地用户通过修改文件获取权限。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.symantec.com/business/security_response/

 

3.4 Linux Kernel XFS Filesystem "fs/xfs/xfs_acl.c"整数溢出漏洞

Linux Kernel XFS Filesystem "fs/xfs/xfs_acl.c"整数溢出漏洞

发布时间:

2012-02-08

漏洞号:

CVE ID: CVE-2012-0038

漏洞描述:

Linux是自由电脑操作系统内核。
Linux Kernel在XFS文件系统fs/xfs/xfs_acl.c的实现上存在整数溢出漏洞,本地攻击者可通过破坏了的XFS利用此漏洞以内核级别执行任意代码,使受影响内核崩溃。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.kernel.org/

 

3.5 PHP libxslt安全限制绕过漏洞

PHP libxslt安全限制绕过漏洞

发布时间:

2012-2-8

漏洞号:

CVE ID: CVE-2012-0057

漏洞描述:

PHP是一种在电脑上运行的脚本语言,主要用途是在于处理动态网页,包含了命令行运行接口或者产生图形用户界面程序。
PHP在libxslt安全设置上存在漏洞,可使远程攻击者通过使用了libxslt输出扩展的特制XSLT样式表创建任意文件。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.php.net