当前位置: 安全纵横 > 安全公告

一周安全动态(2012年4月26日-2012年5月3日)

来源:安恒信息 日期:2012-5

2012年5月第一周(4.26-5.3)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 最危险的黑客:不偷你的钱只偷你赚钱的方法

据国外媒体报道,自从电子交易支付及转账服务供应商Global Payments发生数据失窃,导致大约150万个信用卡号被曝光以来,已过去三个多周了。然而,虽然这种高调的黑客攻击活动引起了媒体的广泛关注,但是世界上最危险的黑客活动不是偷你的钱,而是偷你的赚钱方法。

国家支持的攻击活动

“我们现在已知道,人们试图窃取知识产权。”咨询公司Navigant的主管萨拉-劳埃德(Sarah Lloyd)说,她在攻击和渗透测试、IT纠纷、技术安全架构和信息大战方面具有丰富的经验。“真正的威胁是,人们正试图窃取含有知识产权的东西。他们希望窃取你的企业的赚钱方法。”

“他们并不希望窃取你账户上的资金。”她补充说,“他们希望窃取新药的配方,以及任何能够商业化的东西。有组织的犯罪分子往往对于个人的信用卡信息很感兴趣。但是,国家感兴趣的往往是窃取对其经济发展有利的东西。”

Global Payments公司遭遇的数据失窃事件可能让它损失惨重,然而涉及知识产权的偷盗事件可能会让一家公司彻底破产。但是,劳埃德指出,很多安全专家难以确切地证明哪些国家正在进行这样的攻击。

“这样的攻击持续了10年或15年之久。”劳埃德说,“但是,我们政府的反应十分迟钝。也许正因为如此,来自国外的黑客们才敢肆无忌惮地进行攻击。我们有一个共同的电子世界,但是我们的法律却滞后了30年,因此我们的政府难以作出回应。”

开发框架已改变游戏规则

在过去10到15年中,国家支持的黑客攻击活动一直呈上升趋势。在此期间,随着开发框架的增加,渗透测试和黑客工具的本质也已发生了翻天覆地的变化。开发框架,包括免费版和商业版,创造了一个统一的环境,在这个环境中,恶意攻击者和渗透测试者均能够针对目标对象编写和运行入侵程序。他们能够利用程序重用和模块来简化编写和运行入侵程序的过程。

“15年前,如果你想进行缓冲区溢出攻击,你就需要知道如何针对目标系统编写缓冲区溢出攻击程序。”劳埃德说,“现在的情况已完全不同了。”如今,开发框架让技术含量很高的黑客活动变成了非常小儿科的东西。

劳埃德指出,她能够在半个小时内教会一个初学者使用开发框架来实施攻击活动。“我保证它能够凑效,让你侵入被攻击的企业。”她说,“这简直是小菜一碟。”

国家和组织犯罪分子能够轻易地购买到最先进的开发框架,因为最贵的开发框架也才2万美元左右。

教育是减少数据失窃风险的关键

让你的企业具有抵御这种攻击的能力,没有任何灵丹妙药可用。但是,你能够采取有效的措施来降低数据失窃的风险。

首先,教育是关键。企业员工需要理解风险和攻击活动的各种形式,包括黑客利用电话诱使员工泄漏敏感信息的社交工程攻击和员工被动接收的电子邮件中的恶意链接。

第二,安全专家和系统管理员需要花时间来评估安全性。“你必须确保你的员工——不仅包括安全专家,而且还包括系统管理员——有时间来寻找黑客攻击的迹象。”她说,“你需要拥有足够备用时间的人来寻找黑客攻击的迹象。这不是购买新设备,因为这样解决不了问题。它也不是防火墙,不是入侵预防系统。它关系到配置系统和在网络上寻找攻击迹象的人。它关系到教育员工,因为最便捷的攻击方式是通过人来实现的。”

劳埃德称,能够评估活动记录,并对疑似攻击活动发出警告的软件也是必须的。她指出,免费的开源软件比比皆是。在很多情况下,服务器和网络应用程序的记录功能往往会被关闭,或者被疏忽,从而导致存储空间被写满。“甚至连防火墙的记录信息也往往会被忽视。”她说,“你需要有人来分析这些信息,并给出安全性方面的评估。”

 

1.2 伊朗网络遭黑客袭击 300万张银行卡密码泄露

伊朗石油部日前遭到网络黑客的袭击,导致伊朗最重要的原油出口基地哈尔克岛网络系统一度被切断。不过,幸福伊朗专家行动迅速,有效地抵御了病毒攻击,原油出口没有受到影响。本网连线环球资讯驻伊朗记者罗来安,介绍一下伊朗石油部遭网路攻击的具体情况。

记者:伊朗石油部24号称,其IT系统疑遭网络黑客袭击,由于专家迅速行动,病毒攻击被抵御,但专家需要两三天进行调查,分析该病毒的影响。

据介绍,电脑病毒是21号晚入侵伊朗石油部及国家石油公司网络通讯系统的,伊朗石油部为此设立了应急部门,切断了总部、国家石油公司和石油终端IT系统的连接。负责伊朗绝大多数原油出口的哈尔克岛的控制系统对外连接也一度被切断。

伊朗石油部发言人23号说,病毒烧毁了一些电脑的主板,并清除了电脑上的数据信息,由于公共服务器与中央服务器是分开的,而且所有数据作了备份,因此石油部的数据库在这次网络攻击中没有什么损失,只有少部分办公软件损坏了。

石油行业业内人士说,伊朗原油出口并未受到网络袭击的影响,哈尔克岛上24号继续在装载石油。但该事件表明,石油部的安全系统存在不足。在石油部被爆遭网络攻击后,又有传言说伊朗人日常加油用的燃料卡也因病毒袭击无法使用,引起民众恐慌,但后来官方澄清这是个谣言。

另外,大概10天前,一位伊朗黑客为发泄对银行系统的不满,在私人博客上公布了300万张银行卡的卡号和密码,引起当地民众对网络安全的极大担忧。伊朗央行为此发出紧急通知,要求所有伊朗人尽快修改自己的银行卡密码。

主持人:去年曾经有报道说伊朗核设施遭到电脑病毒袭击,病毒是美国和以色列联合研制的。这次伊朗石油部遭网络袭击,知道是什么人所为吗?

记者:目前只知道伊朗石油部遭到的网络攻击来自一种电脑病毒,具体什么病毒、什么人干的都还没有对外公布,伊朗网络警察正在调查。

据一位没有透露姓名的伊朗网络专家称,石油部可能是遭到一种名叫“毒蛇”的病毒的袭击,该病毒可以永久性删除电脑上的数据,导致服务器瘫痪,不光石油部,此前伊朗其它政府部门网站也发现该病毒。这种病毒有一定潜伏期,当受感染的电脑和服务器达到一定数量后突然同时发动攻击。他认为从这一点上看应该是有组织的网络攻击行为。但他也表示,到底是不是“毒蛇”病毒、什么人制造了该病毒都还有待确定。

过去20多年来互联网的飞速发展,对伊朗传统社会文化秩序造成了强大冲击,网络犯罪日益猖獗。另外,伊朗与西方国家关系持续紧张,也导致黑客对伊朗政府部门的攻击行为增加。为应对网上威胁,去年1月份,伊朗新成立了网络警察部门,负责打击网上犯罪。据介绍,网络警察对网上的各类聊天室全面监控,从中寻找犯罪线索,以维护互联网上的安全。

 

1.3 据调查全球61%安全专家 怕黑客组织攻击

自打前一阵黑客组织匿名的攻击话题起,黑客们的出镜率似乎又高了起来。据MSNBC(微软全国有线广播电视公司)网站报道,Bit9的一份调查显示,全球近2/3的IT安全专家认为,其所在的公司将会在未来6个月内成为网络攻击的目标,并且61%的受访者表示,Anonymous和其他黑客组织最有可能对他们发起攻击。

黑客组织

美国安全软件公司Bit9的2012网络安全调查(2012 Cyber Security Survey)对1861名网络安全专家进行了调查,此项调查的目的是“对企业安全和现状进行估量,明确那些让IT企业高管夜不能寐的网络攻击方法和网络犯罪集团。”

Bit9的调查显示,约有28%的安全专家认为“不满的员工”会对公司发起攻击。74%认为笔记本电脑及台式电脑的终端安全解决方案未能有效地对公司及其知识产权进行保护。95%的人认为,“应向客户及公众披露”网络安全漏洞,因为网络安全漏洞对许多企业而言是敏感问题。美国白宫正在对数个网络安全措施进行考量,其中包括一个可以让美国情报机构与企业分享黑客及所用技术相关信息的系统。

另外有48%的人认为,那些存在网络安全漏洞的企业不能只对相关信息进行披露,还应该提供被盗信息的具体描述。还有29%的人认为,网络攻击具体的发起方式也应公开。仅有6%的受访者认为,没有进行披露的必要。

有62%的人对恶意软件和网络钓鱼等针对性攻击方法表示担忧。仅有11%的人对黑客普遍使用的攻击方法表现出了担忧。黑客常使用的攻击方式包括分散式阻断服务攻击和资料隐码攻击(SQL injection)等。

Bit9的首席技术官(chief technology officer,CTO)哈里·斯维尔德洛娃(Harry Sverdlove)表示,“调查结果凸显出了一个有趣的矛盾,表面上,人们最害怕的事遭到Anonymous这样的黑客组织攻击,但他们发现更加严重的问题是来自犯罪组织和个别国家的网络威胁。”

调查显示,有58%的受访者认为,拥有最佳安全方案和更好安全政策的企业可以最有效地提高公司网路安全性。还有19%认为,在改善公司网络安全状态方面,员工是不可或缺的角色。

1.4 公安部部署打击侵害公民信息犯罪抓1700余疑犯

我国首次大规模集中打击侵害公民个人信息犯罪 抓获犯罪嫌疑人1700余名

新华网北京4月24日电(记者邹伟、史竞男)记者从公安部获悉,近日,在公安部统一部署指挥下,北京、河北、山西等20个省区市公安机关开展集中行动,严厉打击侵害公民个人信息违法犯罪活动并取得重大战果。

截至目前,各地公安机关共抓获犯罪嫌疑人1700余名,挖出非法出售公民个人信息的“源头”38个,摧毁侵害公民个人信息的数据平台和“资源大户”161个,打掉从事非法讨债、非法调查等的“非法调查公司”611个,有力打击了此类违法犯罪活动的嚣张气焰。

公安部有关负责人介绍。近年来,随着我国经济快速发展和信息网络的普及,侵害公民个人信息类违法犯罪日益突出,互联网上非法买卖公民个人信息泛滥,由此滋生的电信诈骗、敲诈勒索、绑架和非法讨债等下游犯罪屡打不绝,社会危害严重,群众反响强烈。对此,中央领导同志高度重视,要求坚决依法予以打击,积极回应百姓关切。

去年10月,公安部组织广东、北京等地公安机关开展深入调查,掌握了此类违法犯罪活动的特点:一是形成犯罪网络和利益链条。一些犯罪分子大肆向掌握信息的部门内部人员购买信息,并通过网络相互买卖,形成了公民个人信息的网络交易平台。有的犯罪分子掌握银行、民航、通信等涉及公民个人生活各方面的信息多达40余项、上亿条;二是内外勾结,许多信息源头都来自掌握公民个人信息的单位和部门,个别“内鬼”为了经济利益非法出售大量公民个人资料。三是与各类下游犯罪相互交织,危害巨大。一些犯罪团伙和非法调查公司利用非法获取的公民个人信息进行电信诈骗、敲诈勒索和绑架、暴力讨债等违法犯罪活动。四是作案具有很强隐蔽性。犯罪分子主要是利用网络进行倒卖信息活动,用的都是虚拟身份,为了逃避打击,经常变换身份,交易成功后立即销毁作案证据。

今年2月,公安部成立专案指挥部,对犯罪线索进行梳理和初查。3月13日,公安部部署北京、河北、湖南、四川等20个重点省份全力开展专案侦查,明确打击重点是深挖源头和“内鬼”、摧毁非法数据平台和打掉依赖公民个人信息的下游犯罪活动;明确专案目标是坚持深度打击,摧毁犯罪网络,重创此类犯罪,为全面治理创造良好条件。

经过艰苦细致的工作,掌握了大量确凿证据后,4月20日,公安部部署20个省区市公安机关开展集中收网行动,多警种协同作战,一举摧毁了这个覆盖全国、涉案人员众多的犯罪网络。

公安部有关负责人表示,公安部高度重视打击侵害公民个人信息违法犯罪活动,此次集中行动是公安部直接部署指挥的第一仗,今后将始终保持严打高压态势,坚决维护公民个人信息安全和人民群众合法权益。同时,公安机关将积极配合有关部门开展源头治理,堵塞监管漏洞,完善内部管理,采取切实有效措施保护公民个人信息安全。公安机关也提醒广大群众,要增强个人信息保护意识,不要轻信或轻易将个人信息提供无关人员;发现个人信息被泄露并造成严重后果的,要及时向公安机关报案。

1.5 苹果用户警告称恶意软件已经开始侵扰 遭黑客攻击


据国外媒体报道,日前,有研究发现,针对苹果移动设备和Mac操作系统的黑客攻击和恶意软件攻击呈现显著的增加趋势。有专家称,这种趋势会继续发展下去,且会更多的出现在利润较高的Mac和移动市场中。苹果用户不受恶意软件侵扰的日子已经不复存在了。

上述结论是基于一万八千名安全专家提供的信息而得出的。专家Constantine称,这种局面是由于苹果用户对于安全问题的态度松懈而造成的。他认为,苹果用户应该开始重视平台的安全问题,同时也要适应由这些安全问题所引发的后果。例如Flashback僵尸网络对于苹果来说是一个警示,用户们必须认识到他们有责任将第三方软件与其操作系统同步更新。

移动市场中恶意软件的数量,特别是Android系统,正在面临着大规模的增长。在专家看来,这些结果部门归咎于设备厂商和应用开发人员的责任感差。常见的攻击形式包括包含恶意链接的电子邮件,社会工程学攻击等等。

 

2. 本周关注病毒

2.1 病毒名称:Worm.Win32.Autorun.twm(蠕虫病毒)
警惕程度★★★

该病毒通过U盘等可移动存储设备传播,病毒会双进程守护,下载大量木马病毒,给用户造成很大安全隐患。

 

2.2 病毒名称:Win32.Ramnit.g(莱米感染型病毒)
警惕程度★★★

这是一个强感染型病毒,通过十分隐蔽的方式借助用户电脑浏览器运行和传播,感染用户系统内的exe、dll以及脚本文件,当用户运行这些被感染的文件时,病毒会自动下载大量木马到电脑中进行盗号和破坏,并给电脑开后门,成为黑客手中的肉鸡。

 

2.3 病毒名称:Trojan.Win32.Fednu.uem(Fednu木马)
警惕程度★★★★

病毒运行后复制自己到c:\Program Files\Microsoft\WaterMark.exe并运行。创建两个svchost.exe傀儡进程,把感染代码注入到傀儡进程中,相互保护双方进程,防止该病毒文件被复制,删除。随后,病毒会非系统目录的全部可执行文件,当用户运行被感染的程序文件后,Fednu木马就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

 

3. 安全漏洞公告

3.1 Microsoft Visual Studio Linker整数溢出漏洞

Microsoft Visual Studio Linker整数溢出漏洞

发布时间:

2012-04-25

漏洞号:

BUGTRAQ ID: 53243

漏洞描述:

Microsoft Visual Studio(简称VS)是美国微软公司的开发工具包系列产品。
Microsoft Visual Studio 2008根据COFF符合分配内存时,链接器程序(link.exe)中存在整数溢出漏洞,通过特制的PE文件可造成堆缓冲区溢出,攻击者可利用此漏洞执行任意代码。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.microsoft.com/technet/security/

 

3.2 IBM Rational产品多个安全漏洞

IBM Rational产品多个安全漏洞

发布时间:

2012-04-25

漏洞号:

BUGTRAQ ID: 53247

漏洞描述:

IBM Rational是一个软件开发管理平台。
多个IBM Rational产品在实现上存在多个漏洞,可被恶意用户利用泄露敏感信息、执行会话定位、脚本插入、覆盖任意文件、执行跨站请求伪造和欺骗攻击并控制受影响系统。
1)某些配置中的错误可被利用下载本地资源的任意文件;
2)启用了Windows身份验证时的错误可被利用劫持服务账户会话;
3)导入作业时的错误可被利用泄露敏感信息;
4)扫描FILE URL时的错误可被利用泄露敏感信息;
5)创建扫描作业时的错误可被利用执行任意代码;
6)应用没有正确验证已经上传的文件类型,可被利用执行任意ASP.NET代码;
7)应用的Web界面允许用户通过未验证的HTTP请求执行某些操作。
8)使用了没有正确过滤的输入,导致插入任意HTML和脚本代码。
9)Enterprise Console没有验证SSL证书,导致欺骗和中间人攻击。
10)应用捆绑了ChilkatZip2 ActiveX控件的有漏洞版本。

安全建议:

IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.ers.ibm.com/

 

3.3 Debian openssh-server强迫命令处理信息泄露漏洞

Debian openssh-server强迫命令处理信息泄露漏洞

发布时间:

2012-04-25

漏洞号:

BUGTRAQ ID: 53247
CVE ID: CVE-2012-0726,CVE-2012-0743

漏洞描述:

openssh-server软件包提供 sshd 服务器。

在OpenSSH 5.7之前版本中,其sshd内auth-options.c中的auth_parse_options函数提供了包含authorized_keys命令选项的调试信息,在实现上存在信息泄露漏洞,成功利用后可允许攻击者获取敏感信息。

安全建议:

Debian
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.debian.org/security/

 

3.4 Rugged Operating System后门非法访问漏洞

Rugged Operating System后门非法访问漏洞

发布时间:

2012-04-25

漏洞号:

BUGTRAQ ID: 53215

漏洞描述:

RuggedCom是通讯网络解决方案提供商。
Rugged Operating System在设计上存在后门账号,该账号用户名"factory"无法禁用,密码是根据设备的MAC地址动态产生的,攻击者可利用此漏洞非法访问受影响应用。

安全建议:

厂商补丁:
RuggedCom
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.ruggedcom.com/

 

3.5 多个vBulletin产品不明细节安全漏洞

多个vBulletin产品不明细节安全漏洞

发布时间:

2012-04-24

漏洞号:

BUGTRAQ ID: 53226

漏洞描述:

vBulletin是一个强大灵活并可完全根据自己的需要定制的论坛程序套件。
vBulletin在实现上存在不明细节安全漏洞,现在细节未知。受影响产品:vBulletin Suite v4.1.2 - 4.1.12、vBulletin Forum v4.1.2 - 4.1.12、vBulletin 3.x MAPI plugin 1.4.3之前版本。

安全建议:

厂商补丁:
VBulletin
---------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.vbulletin.org/forum/portal.php