当前位置: 安全纵横 > 安全公告

一周安全动态(2012年6月7日-2012年6月14日)

来源:安恒信息 日期:2012-6

2012年6月第二周(6.7-6.14)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1.安全新闻

1.1 黑客入侵 境外公司接连受骗汇款

法院调解两起涉外不当得利纠纷 受骗公司收回货款

利用服务器漏洞,黑客侵入客户的邮箱,并冒用客户的名义,发邮件要求公司将货款付至客户的“另一账户”。日前,浦东法院先后受理了两起类似案件,受害者均为境外公司,且境外公司均习惯采用“邮件”方式来洽谈业务,被黑客钻了空子。幸好经过法院调解,受骗公司收回了全部的货款。

黑客冒用邮箱诈骗货款

色彩专家有限公司是一家德国本土公司,从境外采购原材料,而后整合进行绘画和装饰工具的零售业务。台湾的立勇实业股份有限公司是其一家供应商,与色彩公司一直有业务往来。

去年5月3日,色彩公司收到了立勇公司用hotmail的邮箱发来的一封邮件,称色彩公司预定的货物翌日将装船发出且付款方式已经变更,希望色彩公司立即将一笔订单的9万多美元的货款支付至立勇公司的另一家关联公司。对此,色彩公司立即回复表示对付款方式的质疑。

“我们工程师正在维修传真和电话(故障),明后天才能修复,新形式的发票将尽早发送给您,请尽快付款以便我们尽快发货。”在立勇公司的一再坚持下,为了尽早收到货物,色彩公司之后于5月11日按其要求将货款支付至其他账号。

“被黑”公司拒担责任

“非常抱歉,我公司邮箱受到了黑客攻击,与贵公司的4月28日至5月11日的所有沟通邮件并非来自我公司,贵公司之前支付给其他账户的货款系错付。”一个月后,色彩公司收到了一封立勇公司发来的邮件。这时,色彩公司才恍然大悟,原来黑客侵入立勇公司的一名员工邮箱后,窃取了所有的客户资料和邮件信息,并假冒立勇公司的员工进行经济诈骗。

“我公司与客户沟通都是使用公司的邮箱,而非hotmail的邮箱,黑客试图使用与我们类似的电子邮箱地址混淆并欺诈我们的客户;这笔订单我们之前已商定在提单日期后60天由银行保险业付款,黑客一再逼迫贵方多次汇款,这与我们通行的做法完全不同。”立勇公司认为,色彩公司的错付系自身疏忽大意所致,拒绝承担因黑客入侵给色彩公司造成的损失。

达成和解追回全部货款

色彩公司知道后立即采取行动,一边赶紧将立勇公司的货款补齐以免影响货期,一边立即开展追索货款的海外行动。

通过查询,色彩公司得知,错发的货款汇到了上海红辉化工有限公司的账户里。为此,色彩公司立即联系了红辉公司,陈述了整个事件过程,并要求尽快返还货款。

去年6月21日,色彩公司派专人来到上海与红辉公司会面商谈货款返还的事宜,却遭到红辉公司的拒绝。

为此,色彩公司将红辉公司诉至浦东法院,要求返还错付的9万多美元的货款。最终,在浦东法院的调解下,双方达成了和解协议,红辉公司返还了色彩公司的全部货款。

与此同时,浦东法院受理的另一起不当得利纠纷案件也是因黑客入侵引发。一家伊拉克的外贸公司受黑客邮件误导,将11万多美元的货款错付至上海一家外贸公司的账户。经过法院的精心调解,原被告双方也达成了和解,上海外贸公司将全部货款返还给了伊拉克的外贸公司。

境外采购邮箱安全要小心

商报记者了解到,需要大量从境外进行采购的外贸公司为了节约成本,往往使用邮件进行沟通联系,但是,这一方便快捷的虚拟式沟通方式却给黑客入侵和经济诈骗提供了可能。

从黑客与色彩公司的沟通往来中,明显可以看出黑客的邮件中有多处不同常规的做法和要求,但是却没有引起色彩公司足够的注意,色彩公司的相关人员甚至没有与对方的主管及时进行电话确认就轻易将钱款汇了出去。

此案的主审法官杨巍提醒,从事境外采购的有关人员,在利用邮箱联系沟通时一定要提高警惕,多留一个心眼,避免产生不必要的损失。

1.2 黑客组织Anonymous揭秘:搞瘫PayPal仅需1人


黑客组织Anonymous

北京时间6月1日消息,据国外媒体报道,近日出版的关于黑客组织Anonymous的书籍《我们是Anonymous》披露,2010年该组织攻击在线支付网站PayPal仅动用了一名黑客,就将PayPal网站攻击至瘫痪。

2010年12月,自发组织的黑客团体Anonymous对在线支付网站PayPal发起了攻击。PayPal此前曾是维基解密接受外界捐款的主要渠道之一,但在维基解密公开大量美国国务院内部信息之后,PayPal切断了维基解密接受外界捐款的渠道。随后PayPal主站被攻击至瘫痪,再一次让全世界看到了Anonymous的影响力。

然而,在《福布斯》杂志伦敦办事处主管巴米·奥尔森(Parmy Olson)的新书《我们是Anonymous》中,这一事件的真相却不是人们想象的那样。关闭PayPal网站事实上只动用一个黑客和他所掌控的僵尸网络。“他然后下令停止攻击,然后就去吃早餐了。”这本书这样写道。

虽然真相如此简单,但Anonymous却向外宣称,关闭PayPal是一群躲在黑暗角落里的黑客集体完成的壮举。“我们向媒体撒谎,以使故事显得栩栩如生。”一个名为Topiary的消息人士称。

《我们是Anonymous》这本书还揭露了众多不为人知的有关这个黑客组织的内幕。这本书披露,Anonymous团体成员大多从备受争议的论坛4chan上征集。Anonymous及其头领LulzSec吸引来的追随者往往有两种,一种是纯粹恶作剧的年轻人,另一种是怀有政治目的的黑客。例如一个自称Sabu的纽约黑客最初是一名激进的革命主义人士,加入Anonymous之后成为煽动该组织入侵突尼斯高级政府官员的网站的主要人物。

 

1.3 初中毕业小伙“蹭网”蹭成黑客“奇才”

江苏邦宁公司是江苏最大的IDC(因特网数据中心)接入服务商,专门出售域名以及提供服务器。去年,这家公司的主页突然遭到黑客攻击,并长时间无法打开。黑客攻击该公司的目的就是索要一个已经成功运营的域名和一台价值不菲的服务器。无奈之下,该公司最终报警。在南京市雨花台区警方侦破之下,发起攻击的黑客落网。但让民警大跌眼镜的是,这名黑客对电脑知识只是一知半解。经民警侦破,他背后有一个专门制售黑客软件的团伙,软件的发明人是另一个初中文化的黑客奇才。
网络公司竟被“黑”

2011年11月上旬,在正常工作的江苏邦宁计算机的多名员工同时发现,该公司的主页无法打开,一登陆主页就会黑屏。同时,公司对公使用的邮箱也无法打开,公司技术人员马上意识到,这是遇到黑客了。不久,公司挂在主页上的QQ联系号码就不断在闪动,原来是黑客来谈条件了。

“赶紧把这个域名给我,否则你们的主页永远都别想打开。”公司技术人员一看,原来黑客是要一个已经成功运行多年的一家公司域名。不久之后,公司技术人员就恢复了主页。就在公司工作人员和黑客继续谈判时,一轮更加猛烈的黑客袭击来了,公司网络处于全面瘫痪的状态中,对方的要价也更高了,还要一台配置优良,价值1万多元的服务器。无奈之下,邦宁公司和警方取得联系,并寻求帮助。

QQ暴露黑客位置,黑客一点不“黑”

南京市公安局网警支队驻软件谷警务室接到报案后,迅速与雨花台公安分局网安大队、软件谷警务服务队组成联合专案组,展开调查。根据和邦宁公司联系的QQ,警方查到,这名黑客藏身在福建安溪。随后,民警在安溪一处民宅中,找到了黑客张某,警方到达现场时,张某还在使用笔记本正在对别的网站发起攻击。据了解,张某89年出生,只有初中文化程度。他通过专门的黑客攻击软件,在网络上筛选一些知名的公司网站作为目标,随后发动黑客攻击,将对方网站攻击至瘫痪后,随后提出要求。据了解,张某索要的域名及服务器价值不菲,一转手就能赚上万。仅凭此招,短短几年间,张某已经在福建安溪买了一处价值60多万元的房子。

真是黑客天才?可是在和民警的交谈过程中,民警发现,张某对计算机知识只是一知半解,根本不知道什么是黑客技术,这种人怎么能成功攻击多家知名网站呢?原来,张某攻击其他网站使用的是一种专用的黑客入侵软件,这种软件使用起来很“傻瓜”,而且还配有详细的视频和图片教程,只要随意点击鼠标就能攻击网站。

根据张某交代,他没有正当工作,平时都靠在网吧上网打发时间。有一次,他在网吧上网时,看到了一个帖子,内容是出售一种黑客软件,可以任意攻击任意网站,直至其瘫痪。张某觉得有这样的软件很厉害,于是花费1000元购买了这种黑客入侵软件,并根据附带的视频图片,学会了操作。

销售软件公司同时还是“网络打手”

根据张某提供的线索,民警发现,在泰州,有一家公司,专门负责对外销售这种黑客入侵软件。随后,民警将这家公司的4名员工全部控制起来。据了解,该公司老总孙某一直在计算机行业工作,开了多家公司,收益一般,还被黑客攻击过,吃了不少苦头。一次偶然的机会,他在网上认识了河南人吴某。

吴某是个“技术控”,专门研究计算机技术,并开发了多款黑客攻击软件。孙某称,网上现在的黑客软件很多,通过比较,发现吴某编写的黑客软件攻击力最强。因此,他与吴某签署了协议,吴某专门负责写软件,他专门负责卖软件。随后,孙某还雇佣了三个员工,充当“网络打手”。一边卖软件,一边用黑客软件攻击网站,借此牟利。

一心免费蹭网,造就一个“黑客奇才”

通过调查,民警在河南抓获了吴某。他只有初中毕业,也在网吧打发时间。但是,吴某一直有个心愿,就是在网吧不花钱不限时上网。为了这个心愿,初中毕业后,他就在网上搜遍教程,发帖子,恳求高手支招。不久,吴某结识了一帮黑客“专家”,经过不懈钻研,2010年,吴某自己开发出了一款黑客入侵软件。吴某在这个软件中设置了14种攻击模式,使这个软件攻击力大大提升,吴某也在黑客圈内名声鹊起。目前,警方已经以涉嫌破坏计算机信息系统罪对他们展开调查。

 

1.4 手机病毒疯长背后:网络黑客大批转型做手机病毒

手机病毒真是越来越猖狂了。”智能机新手小杰这几日手机资费大幅消耗,疑惑之下,5月31日小杰到营业厅一查,却被告知可能中了一款伪装成“二维码”吸取话费的手机病毒。“得,病毒直接把我的手机变成扣款机了。”

目前,像小杰一样中了手机病毒却浑然不知的智能机新手越来越多,在享受Android开放平台丰富应用的同时,也为这个“病毒重灾区”苦恼不已。

而手机病毒大规模爆发的背后,大批网络黑客正转型成为手机病毒制作者。“‘病毒集团’这个名字说的挺准的:分工明确,组织严密。编程、推广、收脏、销赃一条龙作业,大家各司其职,共同赚钱。”某手机论坛一个网络黑客发帖表示,“ 我以前是做网购木马的,将病毒或者其他能赚钱的推广添加到播放器供网民下载,每天能分到十几万人民币。”

但目前杀毒软件大多免费,大家中毒的概率也越来越少,收入自然开始变得捉襟见肘。”但他表示,随着智能机强劲增长,他开始重见曙光。“老大一拍脑袋,决定进军移动互联网。”该黑客说,“除我们之外,大批黑客都已转向移动互联网,工作内容就是在热门软件或者游戏内植入扣费病毒后,在论坛等渠道传播并扣费。此外,通过恶意软件收集上来的隐私,进行整理和贩卖,又能再捞一笔。”

“太可恨了,非法扣取我们的资费,窃取我们的隐私,还在这炫耀。”某论坛网友“小鱼爱安卓”看了帖子后愤慨的表示。“很多人上了论坛后,手机莫名奇妙的中了木马。”某知名手机论坛版主说,“很多网友通过站内信向我反映,老是下载到Go_Mark市场、root文件管理器等软件。”该编辑表示,现在手机论坛各种植入恶意代码的软件资源呈现疯狂上涨趋势,根本无法及时监测。

该论坛版主告诉记者,目前手机病毒增势强劲跟网络黑客的转型也不无关联。他们也不断通过各种论坛专题,告诉用户各种规避方法,比如,不要下载带诱惑性标题的链接,使用腾讯手机管家等手机安全软件进行定期查杀病毒等。据介绍,目前腾讯手机管家与卡巴斯基等众多杀毒软件合作,建立了手机病毒样本交换机制,具备双引擎查杀能力与云查杀功能,在手机安全领域,在用户端的影响力正在进一步扩大。

基于黑客通过恶意软件收集贩卖隐私的行为,记者试用了腾讯手机管家软件,发现该软件的隐私保护功能,可以对安装的软件进行权限监控,一旦发现恶意软件非法调用录音、短信、位置、系统信息等隐私权限,用户可以拒绝其获取权限的申请,避免隐私泄露。

记者也因此采访了腾讯移动安全实验室技术专家,他们表示,2012年第一季度手机病毒软件包数几乎接近2011年全年的一半,而Android病毒软件包超过了2011年全年的3/4。基于手机病毒疯长的趋势,用户应谨慎选择去手机论坛以及不知名的应用市场下载手机软件,目前制毒机构与制毒者通过网盘提供下载链接的病毒传播方式正在进一步蔓延。手机用户应安装手机安全软件并经常常更新病毒库,定期监控手机流量与包月套餐费用,谨慎选择刷机ROM,实时监控隐藏新病毒的软件。

 

1.5 黑客产业链到底有多“黑” 网络安全任重道远

近日,苏州蜗牛数字科技股份有限公司联手苏州警方成功破获了一起入侵、获取计算机信息系统数据非法牟利的案件。
该案也成为国内首例因某一网站用户数据库被盗,致使用户在其他网站设定相同账号密码情况下虚拟资产受损成功破获的案件。针对本案,因用户在其他站点账号信息被窃取后,导致其在蜗牛游戏中使用相同账号密码时亦被盗取,进而导致用户虚拟资产遭受损失。

(蜗牛亮剑黑客产业链)


“泄密门”背后是中国网络信息安全脆弱的现状

事实上,关于网站服务器被黑客攻击导致用户信息被泄漏的情况早已屡见不鲜。2011年最后几天,中国互联网上演了一出史上规模最大的泄密事件。从最先被曝光的国内最大的开发者社区CSDN到国内知名的社区网站天涯论坛,众多国内知名网站被传暴库,此后暴库消息甚至波及到新浪微博、支付宝、工商银行、民生银行及交通银行等网站。有网友戏称当前为一个安全崩盘的时代。


(用户信息“泄密门”)

“泄密门”背后是中国网络信息安全脆弱的现状,据业内人士透露,此次被曝光的用户信息只是暴库数据中的冰山一角,而且大部分是在黑客产业圈中被卖了多年的数据。此次事件证实了网络安全行业历年来的安全警告并非空穴来风,各种偷盗工具可以用钱买到,要成为一个普通黑客的门槛已经大大降低。黑客通过盗取部分网站服务器用户信息,并将之与其他网站进行匹配,进行盗窃虚拟财产非法牟利或实施诈骗的违法行为屡禁不止。这意味着采取补救措施已经到了刻不容缓的境地。

用户无奈一些企业的漠视 网络盗窃屡禁不止

事实上,游戏账号被盗的现象由来已久,甚至已形成“灰色产业链”。黑客利用网站服务器的安全漏洞,侵入相关网站,盗取用户数据库等信息,然后私下进行传播、倒卖。玩家在遭遇盗号之后,通常投诉无门,最终不了了之。网游厂商或者因为取证难,或者因为成本高,通常选择性忽视这一方面的问题。这种不作为一定程度上也助涨了盗号者的嚣张气焰。近些年,网络信息犯罪逐渐从传统的网络游戏块面蔓延至支付平台块面。支付平台、网银等安全漏洞给了更多犯罪分子更多可趁之机。

打击网络犯罪 终有企业亮剑黑客产业链

此次,蜗牛公司接到部分用户反应账号被盗,在通过技术手段确认用户反映情况属实后立即报警。并积极配合苏州警方展开实地调查取证,排查案件,通过追踪来源不断获取线索,经过一个多月的侦查布控,足迹踏遍大江南北,分别在哈尔滨和深圳将两位犯罪嫌疑人抓捕归案。蜗牛此举传达出的不仅是对自身用户信息安全的全力保护,也是对目前整个行业下滋长的黑客产业链的强势亮剑,对维护其他非蜗牛用户的信息安全也提供了一种最直接、最有效的帮助。此次案件也成为互联网企业通过法律手段维护用户合法权益的典型案例。

CSDN等一系列的数据库泄密事件证明,互联网存在很大的关联性,特别是拥有众多用户的网站,更不是一个独立的存在,很多用户的邮箱、账号都与别的网站账号相关联,一旦部分网站出现问题,就会造成跨网站的连锁反应。另外,由于安全问题出在了服务器端,普通用户基本没有办法防范,数据库被刷后曝光出来,用户只能被动的修改密码。尤其在近阶段,在网络安全方面,对黑客盗取网站数据的行为目前在法律上取证较难,犯罪成本相对较低,因此迫切需要加快信息安全立法。同时,互联网企业自身更应加大打击网络犯罪的力度,倡导行业各界联手维权的新思维,维护网民绿色纯净的网络环境,改善行业安全和维权现状。

 

2. 本周关注病毒

2.1 病毒名称:Backdoor.Win32.Morix.i(后门病毒)
警惕程度★★★

该病毒通过网络传播,病毒会偷窃用户隐私信息,还可能远程控制用户计算机,给用户计算机安全带来极大危害。

 

2.2 病毒名称:Trojan.Win32.OnlineGame.asm(木马病毒)
警惕程度★★★

这是一个网游盗号木马,病毒运行后会通过键盘记录、读取游戏窗口信息和内存信息等方式盗取多种流行网络游戏的账户密码,对网游玩家威胁极大。

 

2.3 病毒名称:Backdoor.Win32.Undef.thy(后门病毒)
警惕程度★★★

病毒运行后,将获得用户电脑的计算机名、IP地址、安装的杀毒软件、防火墙等信息发送到黑客指定的服务器上。根据黑客的反馈,控制用户电脑实现黑客后门功能,例如,打开IE访问黑客指定网站、下载木马病毒、监视屏幕摄像头、查看电脑中的文件等,使用户电脑变成黑客肉鸡。

 

3.安全漏洞公告

3.1 Microsoft Windows数字证书欺骗漏洞

Microsoft Windows数字证书欺骗漏洞

发布时间:

2012-06-05

漏洞号:

BUGTRAQ ID: 53760

漏洞描述:

Microsoft Windows是流行的计算机操作系统。
Microsoft Windows在使用来自微软证书机构的非法数字证书时存在安全漏洞,未授权证书可用于欺骗内容、执行钓鱼攻击或执行中间人攻击。

安全建议:

厂商补丁:
Microsoft已经为此发布了一个安全公告(2718704)以及相应补丁:
2718704:Unauthorized Digital Certificates Could Allow Spoofing
链接:http://technet.microsoft.com/en-us/security/advisory/2718704

 

3.2 Mozilla Firefox SeaMonkey和Thunderbird释放后重用漏洞

Mozilla Firefox SeaMonkey和Thunderbird释放后重用漏洞

发布时间:

2012-06-06

漏洞号:

CVE-2012-1940

漏洞描述:

Firefox是一款非常流行的开源WEB浏览器。Thunderbird是一个邮件客户端,支持IMAP、POP邮件协议以及HTML邮件格式。SeaMonkey是开源的Web浏览器、邮件和新闻组客户端、IRC会话客户端和HTML编辑器。
Firefox 13.0、Thunderbird 13.0、SeaMonkey 2.10在nsFrameList::FirstChild的实现上存在堆释放后重用漏洞,攻击者可利用此漏洞执行任意代码。

安全建议:

厂商补丁:
Mozilla已经为此发布了一个安全公告(mfsa2012-40)以及相应补丁:
mfsa2012-40:Buffer overflow and use-after-free issues found using Address Sanitizer
链接:http://www.mozilla.org/security/announce/2012/mfsa2012-40.html

 

3.3 ISC BIND 9 DNS资源记录处理远程拒绝服务漏洞

ISC BIND 9 DNS资源记录处理远程拒绝服务漏洞

发布时间:

2012-06-05

漏洞号:

CVE ID: CVE-2012-1667

漏洞描述:

BIND是一个应用非常广泛的DNS协议的实现,由ISC负责维护,具体的开发由Nominum公司完成。
ISC BIND的下列版本9.0.x -> 9.6.x, 9.4-ESV->9.4-ESV-R5-P1, 9.6-ESV->9.6-ESV-R7, 9.7.0->9.7.6, 9.8.0->9.8.3, 9.9.0->9.9.1在处理DNS资源记录时存在错误,可被利用通过包含零长度rdata的记录造成递归服务器崩溃或泄漏某些内存到客户端,导致敏感信息泄漏或拒绝服务。

安全建议:

厂商补丁:
ISC已经为此发布了一个安全公告(cve-2012-1667)以及相应补丁:
cve-2012-1667:Handling of zero length rdata can cause named to terminate unexpectedly

 

3.4 PHP 5.3.10多个拒绝服务漏洞

PHP 5.3.10多个拒绝服务漏洞

发布时间:

2012-06-05

漏洞号:

BUGTRAQ ID: 53763

漏洞描述:

PHP是一种HTML内嵌式的语言,PHP与微软的ASP颇有几分相似,都是一种在服务器端执行的嵌入HTML文档的脚本语言,语言的风格有类似于C语言,现在被很多的网站编程人员广泛的运用。
PHP 5.3.10在实现上存在多个远程拒绝服务漏洞,成功利用后可造成应用崩溃。

安全建议:

PHP是一种HTML内嵌式的语言,PHP与微软的ASP颇有几分相似,都是一种在服务器端执行的嵌入HTML文档的脚本语言,语言的风格有类似于C语言,现在被很多的网站编程人员广泛的运用。

PHP 5.3.10在实现上存在多个远程拒绝服务漏洞,成功利用后可造成应用崩溃。

 

3.5 IrfanView Formats PlugIn TTF文件缓冲区溢出漏洞

IrfanView Formats PlugIn TTF文件缓冲区溢出漏洞

发布时间:

2012-06-04

漏洞号:

BUGTRAQ ID: 53756

漏洞描述:

IrfanView是一款快速、免费的图像查看器、浏览器、转换器。FORMATS插件可允许IrfanView读取不常见图形格式。
IrfanView 4.33在IrfanView Formats PlugIn处理TTF字体名称时在实现上存在边界错误,可通过特制的字体文件利用此漏洞造成栈缓冲区溢出,导致执行任意代码。

安全建议:

厂商补丁:
IrfanView
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.irfanview.net/