当前位置: 安全纵横 > 安全公告

一周安全动态(2012年5月17日-2012年5月24日)

来源:安恒信息 日期:2012-5

2012年5月第四周(5.17-5.24)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 首届WEB应用防护与数据安全高峰论坛举办

5月18日,2012(首届)中国WEB应用防护与数据安全高峰论坛举办。本次论坛由《中国信息安全》杂志主办,由杭州安恒信息技术有限公司协办。

今天,Internet(互联网)已经成为各大机构发展的一个重要基础平台,尽管目前在企业 Web 应用的各个层面,都已经使用不同的技术来确保安全性,但是,由于WEB应用的天然开放性,以及各种WEB软硬件漏洞的不可避免性,加上网络攻击技术日趋成熟,黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。根据Gartner的最新调查,信息安全攻击有75%都是发生在Web应用而非网络层面上。同时,数据也显示,三分之二的Web站点都相当脆弱。但目前,绝大多数企业将大量的投资花费在网络和服务器的安全上,没有从真正意义上保证Web应用本身的安全。2011年底,国内互联网业界爆发的CSDN等众多网站“泄密门”系列事件,其实只是掀开WEB应用威胁的冰山之一角。今天,WEB应用防护和数据安全已经成为企事业机构信息安全综合体系中的核心与重点。

 

1.2 全球黑客攻击来源报告:中国占13.7%,和美国仍是全球两大黑客事件发源地

NCC Group 今天公布了 2012 年第一季度《Origins of Global Hacks》排行榜,其中美国和中国仍占据全球十大黑客事件发源地排行榜前两位,黑客攻击事件数量分别占 17.355% 和 13.703%。

NCC Group 的黑客事件发源地排行榜是各个国家黑客组织或个人对计算机攻击事件宣称负责的数量统计,每三个月更新一次,数据来自合作网络安全社区 DSHield 的入侵检测监控日志。本次的全球十大黑客事件发源地分别是美国、中国、俄罗斯、荷兰、乌克兰、德国、英国、韩国、丹麦、巴西。

其中美国和中国一直处在前两位,俄罗斯本次排名较高,黑客攻击比例从之前的3.5% 上升到 12.407%,排名第三。荷兰和英国也呈现较快增长,英国本次进入全球十大黑客发源地排行榜第七名(之前在十名以外)。之前进入前十的意大利、法国和印 度则跌出排行榜,取而代之的是乌克兰和韩国。

当然,在一般情况下,黑客通常会伪装成外国的 IP 地址,所有其统计数据并非十分准确,但具有参考意义。。

 

1.3 中国和美国将化解网络冷战

中国国务委员兼国防部长梁光烈与美国国防部长帕内塔7日下午在五角大楼举行会谈。梁光烈表示,所谓美国遭受的网络攻击来源于中国的说法是没有事实根据的。

梁光烈当天在与美国国防部长帕内塔举行大小范围会谈之后举行了联合记者会,有美国记者就所谓美国面临来自中国的网络威胁的问题向梁光烈提问。

梁光烈首先纠正该记者的观点,表示不同意美国遭受的网络攻击直接来源于中国的说法,并称这是没有事实根据的。他还透露,在当天的会谈中,帕内塔也表示“不同意美国的网络攻击是中国人干”的某些说法。

梁光烈认为,现在世界各国都非常重视网络安全问题,它关系到一个国家的政治安全、经济安全、军事安全甚至每个人的生活安全,所以重视网络完全是完全正确的。

他表示,中美双方在网络安全上,可以采取一些共同行动,在能够合作的领域进行合作,来加强网络的安全管理。

帕内塔也表示,他认同梁光烈所说的,的确有很多其他国家的黑客参与美中两国都各自遭受的那些黑客袭击。

帕内塔指出,美中在网络领域都已经研发出了先进的技术,也正因此,两国之间通过共同合作,找到一些方式来避免那些可能带来危机的误解和误判的工作就显得尤其重要。

对于美国加快亚太地区战略调整和在西太平地区的军事部署,并与中国的邻国开展联合军事演习,是否是在围堵中国,以及近期中国与菲律宾之间发生的黄岩岛对峙事件,菲律宾的挑衅是否因为有美国背后的撑腰等问题,帕内塔没有正面回应。

但他表示,美中都是太平洋地区的大国,美国的目标是要为未来建设一种有建设性的关系。美国的战略的目标是要和这个地区的国家共同合作,使他们能够应对那些美中之间共同面临的挑战。

“我跟梁部长也说了,我们的目标就是跟中国之间也要建立起同样的有建设性的合作关系,使美中之间能够共同应对那些共同的挑战,实现这个地区的稳定和安全。”帕内塔说。

美国BIT在内的多家公司表示,多数高级APT攻击来源于中国。

 

1.4 医科毕业生利用黑客程序窃取医药信息高价转卖

携带电脑进入温州、绍兴、义乌等地多家医院,利用黑客程序侵入医院的计算机信息系统,窃取医药信息,得手后高价出卖。陈绍标因涉嫌非法获取计算机信息系统数据罪近日被浙江省温州市鹿城区检察院批捕。

窃取医院医药信息高价出卖

31岁的陈绍标是宁波人,浙江省某医药大学毕业后与上海一家医药公司签约,主要负责药品的宣传销售工作,收入还不错。

今年1月的一天,陈绍标通过QQ聊天认识了一个网名叫“一一”(在逃)的男子。“一一”说需要医药信息,陈绍标也想赚些外快,两人在网上聊了一段时间,最后通过电话达成了协议:“一一”为陈绍标提供侵入医院计算机信息系统的黑客程序,陈绍标每月给“一一”提供一次医院的医药数据,每次2万元。

1月31日,“一一”带着陈绍标先后“光顾”了温州的18家医院,成功窃取了多家医院的医药信息。当天,“一一”给了陈绍标一张存有2万元的农行卡,陈绍标淘到了第一桶金,也尝到了轻松赚钱的甜头。2月29日,陈绍标又“光顾”了这18家医院,再次窃取了这些医院2月的医药信息,并及时将这些信息传给了“一一”,当天他就收到“一一”2.5万元汇款。

频频“光顾”医院被抓现行

3月31日,陈绍标开车先后来到浙江乐清医院、温州市中西医结合医院、温州市第三人民医院等四家医院,顺利获得了这四家医院3月的医药信息。

之后,他来到温州市第二人民医院,这是陈绍标第三次“光顾”这家医院。他走到一楼化验室旁,那里有一台供大家打印化验单的电脑,他熟练地拔下这台电脑的网络插头,通过无线路由器将其电脑和这台电脑连接起来,顺利窃取了医院3月的药品数据。但就在他关上电脑准备开溜时,医院的保安挡住了他的去路。

原来,该医院信息科早就发现有人分别在1月和2月非法侵入了医院内部的计算机系统,窃取了医院的医药信息,向院领导作了汇报。院领导组织保卫科人员详细查看了监控录像,发现了陈绍标和“一一”带着电脑进入医院的行踪,保卫科人员记住了二人的面孔。那天,陈绍标第三次出现在这家医院时,医院保卫科人员马上盯上了他。经统计,至案发该医院3个月共被盗取医药信息约60万条。

医院涉密管理系统应隔离

陈绍标交代,窃取医院医药信息的方法很简单。医院一般都有公用电脑,公用电脑通常和医院的医药管理系统网络连着,只要将公用电脑的网络拔下,通过无线路由器将这台电脑连接到自己的笔记本上,再运行安装在自己电脑上的黑客程序,轻点鼠标就能破解登录账户和密码,轻松连接上医药管理系统网络,黑客程序就会自动将医药管理系统内的医药数据下载到他的电脑里。整个过程只需要两三分钟。

除了在温州作案,今年1月至3月,陈绍标还到绍兴、义乌等地的医院窃取过医药信息。办案检察官问他窃取医药信息的用途,陈某回答:“将这些信息卖给‘一一’,‘一一’可以破解这些数据,并分析出医院每个科室每个医生的用药情况,然后整理出新的数据信息卖给各个医药公司或者医药代表。医药代表就可以根据这些数据,到各个医院有针对性地进行药品推销工作。”

“陈绍标以牟利为目的,非法侵入计算机通信系统,获取医院医疗药品使用信息,非法获利4.5万元,情节特别严重,其行为已涉嫌非法获取计算机信息系统数据罪。”办案检察官说,“陈绍标的行为一方面泄露了医院的医药机密信息,损害了医院的利益;另一方面也造成医药行业的不正当竞争,破坏了公平、合理的医药市场秩序。因此建议医院把医药管理系统等涉及医院或病人机密的系统与其他公用系统等隔离开,以防信息泄露或被盗取。”。

 

1.5 黑客等级划分 如何保护企业信息安全

在全球经济仍不够景气的背景下,信息安全问题尤显重要。虽然信息安全技术仍在不断发展,但网络安全意识在普通民众(包括许多公司雇员)中仍很薄弱,而且黑客技术仍在不断地推陈出新,各种新伎俩你方唱罢我登场,从而使当前的安全状况雪上加霜。

人们不禁要问,黑客技术背后的真正动机是什么?它从何而来,要走向何方?只有知道了黑客们的真正意图,安全阵营才能更好地实施保护和防御,也才能改善安全状况。本文将分析黑客技术的发展路线,看其未来的走势,并提出应对措施。

从发展的眼光看,黑客行为遵循从低级向高级发展的规律。

第一级:自得其乐

其实,许多所谓的黑客还只是有点儿编程技术的"毛头小子",他们常常使用高手编制的黑客程序来损害自己发现的任何系统,其目的纯粹是为了"找乐子",所以其行为没有明确的目标。

不过,不要低估这种低级黑客,他们有可能"瞎猫碰上死耗子",说不定搞垮哪个大型系统。

第二级:搭帮结伙

其实,对这种黑客可描述为低级黑客的松散组织,当然,由于成了一个团伙,其力量要强大得多。此时,这种黑客组织往往有所谓的头领,在其领导下,这群人往往能够给企业的网络带来重大损害。如大名鼎鼎的黑客组织LulzSec就曾给索尼等公司带来重大损失。

第三级:黑客主义者

这种黑客有了所谓的信仰,他们往往有着明确的政治或社会目的。如Anonymous就是业界所熟知的一个黑客组织,该组织曾对北约、美国银行和不同国家的政府网站发动过攻击。显然,如果这种黑客被政府部门利用,往往会给其它国家的企事业单位和国家安全带来不可估量的破坏。

第四级:黑帽专家

这类黑客有着熟练的编程技术和坚定的信仰,因而他们往往能够在短时间内攻克目标。他们的目标往往并不是为了破坏或宣扬自己,而是研究攻克最强大目标的新方法。

第五级:有组织的犯罪团伙

这是更高级的黑客组织。它由专业的犯罪分子领导,并有着严格的规则,确保其活动不会受到政府和法律的追捕。应当用一个更准确的词来形容它:"团队",它广泛招集能够编制复杂的高级代码的黑客,目的在于窃取有价值的数据,散布垃圾信息等。

第六级:国家黑客

敌对国家之间的利益冲突也往往反映到网络上。例如,现在有些发达国家已经开始组建自己的信息安全部队。而其中的精英,就是那些经过专门高级训练的黑客高手。由于有国家的支持,这些黑客往往能够挖掘敌对国家军事、金融等要害部门基础架构的漏洞,窃取情报,击毁其网络安全系统等。特别是近几年来,云技术的发展给企业和国家的发展带来机遇的同时,也产生了云环境下的新安全问题。这更为国家黑客组织提供了新的犯罪平台。

第七级:自动工具

自动化的黑客工具能够以极低的成本损害企业和个人。这种威胁有可能在未来的日子里给企业带来新的危害。其原因在于,可以访问企业资源的各种网络技术和网络应用程序的种类日益增多和普遍,任何应用程序(特别是移动设备中的应用程序)中的一个小漏洞都足以给整个架构中的系统带来灾难性的影响。

例如,Abotnet就是一种能够利用僵尸计算机形成强大僵尸网络的自动工具,因而可以发动更大规模的攻击。此时,受到感染的用户很有可能并不知道自己已经成为了僵尸网络的一部分,造成其攻击力不断发展强大。

僵尸网络攻击往往能够在短时间内向互联网发送大量的带有恶意链接或附件的垃圾邮件,其目标往往是根据它所发现的漏洞获得经济上的利益。当然,僵尸网络还可被用于发动DDoS攻击,用大量的垃圾通信造成公司服务器的瘫痪。

自动工具的本质是一种如蠕虫病毒一样的程序,它一般兼容多种软硬件框架,因而能够感染尽可能多的计算机,便于构建自己的僵尸王国。它是黑客技术发展的一种极致,并可被上述不同等级的黑客用来实施攻击。

面对恶意黑客,公司需要认识到其严重威胁,并与可信的安全公司合作,尽可能多的查找自身的软硬件漏洞,采取适当的防护措施:

1、确保计算机系统运行可更新的软件,经常为网络应用程序打补丁,保持其最新。

2、用最佳的安全实践教育员工,经常运用案例给不同层次的员工阐明实现安全过程的方法、对策和技术,如不要随意打开来历不明的邮件及附件等。

3、采取措施防止社交工程的渗透,谨防内部人员泄密。

4、经常进行渗透测试,查找修复系统漏洞,然后再测试,再修补。

5、部署分层的安全机制,如反病毒工具、Web应用防火墙和垃圾邮件过滤器等。

6、雇佣外部专家,帮助企业查找安全缺陷和部署安全措施。

 

2. 本周关注病毒

2.1 病毒名称:Worm.Win32.Autorun.twm(蠕虫病毒)
警惕程度★★★

该病毒通过U盘等可移动存储设备传播,病毒会双进程守护,下载大量木马病毒,给用户造成很大安全隐患。

 

2.2 病毒名称:Dropper.Win32.FakePic.o(图片后门)
警惕程度★★★★

该病毒属于黑客后门病毒,由于病毒释放的dll文件含有“gh0st”字符串,因此,该后门属于远程控制gh0st下的服务端。用户点击伪装成图片的文件后,病毒会随图片一起打开。病毒主体通过篡改注册表、添加系统服务的方法实现自动运行。最终实现多项黑客后门功能,如:盗取并上传用户数据到黑客服务器、接受黑客发送的攻击命令,实现ddos攻击其他服务器、下载其他木马病毒、在用户电脑开启http代理和socket5代理,方便黑客做不法之事。

 

2.3 病毒名称:Trojan.Win32.FakePic.mb(图片伪装者木马)
警惕程度★★★★

木马运行之后释放C:\Program Files\Viewer3\Gxtmp.tmp。Gxtmp.tmp实际为一动态链接库文件,通过系统文件Rundll.exe加载并执行。通过修改注册表启动项,实现开机自动运行。随后,该木马会删除自身源文件,销毁痕迹。其唯一的目的就是盗号,当用户按下任意键时,木马将用户键盘输入记录在C:\WINDOWS\system32\ourlog.dat下并在特定时刻将其发送给黑客。

 

3. 安全漏洞公告

3.1 Linux Kernel ‘hfsplus filesystem’ 缓冲区溢出漏洞

Linux Kernel ‘hfsplus filesystem’ 缓冲区溢出漏洞

发布时间:

2012-05-18

漏洞号:

CVE-2012-2319

漏洞描述:

Linux Kernel是开放源码操作系统Linux所使用的内核。
Linux kernel 3.3.5之前版本中的hfsplus文件系统实现中存在多个缓冲区溢出漏洞。本地用户可利用该漏洞借助特制HFS plus文件系统获取权限。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.kernel.org/

 

3.2 Sudo本地权限提升漏洞

Sudo本地权限提升漏洞

发布时间:

2012-05-18

漏洞号:

CVE-2012-2337

漏洞描述:

Sudo是一款允许用户以其他用户权限安全的执行命令的程序,广泛使用在Linux和Unix操作系统下。
sudo中存在本地权限提升漏洞。本地攻击者可利用该漏洞以root用户权限运行任意代码,成功利用该漏洞可完全操控受影响的计算机。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.sudo.ws/

 

3.3 JW Player‘debug’参数跨站脚本漏洞

JW Player ‘debug’ 参数跨站脚本漏洞

发布时间:

2012-05-18

漏洞号:

 

漏洞描述:

JW Player是一种基于flash的交互式网页媒体播放器。
JW Player中存在跨站脚本漏洞,该漏洞源于对用户提供的输入未经过滤。攻击者可利用该漏洞在受影响站点上下文的不知情用户浏览器上执行任意脚本代码,盗取基于cookie的认证证书进而发起其他攻击。

安全建议:

目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.longtailvideo.com/players/

 

3.4 HP Business Service Management远程代码执行漏洞

HP Business Service Management远程代码执行漏洞

发布时间:

2012-05-18

漏洞号:

CVE-2012-2561

漏洞描述:

HP Business Service Management(业务服务管理):是以业务为核心将IT服务与底层IT基础设施动态连接起来的软件。
HP Business Service Management中存在远程代码执行漏洞。远程攻击者可利用该漏洞以系统级权限执行任意代码,导致完全操控受影响计算机。HP Business Service Management 9.12版本中存在该漏洞,其他版本也可能受到影响。

安全建议:

目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.hp.com/

 

3.5 IBM AIX 'socketpair()'本地拒绝服务漏洞

WampServer "lang"参数跨站脚本执行漏洞

发布时间:

2012-5-17

漏洞号:

BUGTRAQ ID: 53567

漏洞描述:

AIX是一个基于开放标准的UNIX操作系统,为用户提供企业信息技术基础架构。
IBM AIX 5.3在使用SOCKETPAIR()调用后释放的套接字可导致系统崩溃,攻击者可利用此漏洞造成拒绝服务。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.ers.ibm.com/