当前位置: 安全纵横 > 安全公告

一周安全动态(2012年6月21日-2012年6月28日)

来源:安恒信息 日期:2012-6

2012年6月第四周(6.21-6.28)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1.安全新闻

1.1 黑客新乐园:揭开社交网站背后的暗黑秘密

Facebook、Twitter、LinkedIn等社交网站在这几年迅速窜红,成为人们网路生活中不可或缺的部分。人潮涌到哪、就成为黑客新目标,社交网站正是不法份子窃取个人资料的新乐园。安全公司赛门铁克揭示社交网站上的六大攻击手法,并呼吁使用者在社交网站上妥善管理每一个“按赞”或“分享链接”的动作,以免自己和朋友的个人资料都成为骇客的囊中之物。

人们很容易信任在社交网站上看到和互动的资讯或链接,我们在网路上张贴了太多关于自己的事情,赛门铁克资深总监伊根(Gerry Egan)说,透过社交网站分享的特性,让黑得以将恶意链接散布的更快,并且从中赚到金钱,而这很可能会损害人们在网络上的信誉。

赛门铁克整理了过去一年中最普遍的五大社交网站攻击手法,目前以用户最多的Facebook、Twitter为主流,但如LinkedIn等商业社交网站未来也将陆续出现更多恶意攻击。因为这样的趋势,赛门铁克在诺顿(Norton)网页扫描产品(Safe Web)中新加入了Facebook涂鸦墙的扫描功能,帮助使用者扫描Facebook上所有动态和连结,以防止恶意攻击透过社交网站迅速扩散。

手法一:强迫按赞

黑客会做一个假的网页,诱使网友按下某个区域,例如你是人的话就按下红色,但网友看到的页面是假的,红色的区域实际上是个赞按钮,有时候赞按钮更跟着鼠标跑,除非关掉浏览器,否则你不得不按赞。按赞之后将使更多你的朋友看到这个假的网页。

手法二:强迫分享

同样是透过一个假的网页,你以为你输入的是验证码,但实际上是在分享框里输入了某些文字,不知不觉就替黑客传播资讯。

手法三:分享攻击

以折扣金、优惠活动吸引使用者按赞或分享,但天下没有白吃的午餐,透过社群分享机制,让恶意链接在朋友间迅速传播。

手法四:复制贴上攻击

告诉使用者必须复制一段程式码、让他扫描你的Facebook帐号设定,才能看到某些照片或影片。但那是一段恶意程式码,黑客可藉此操控你的Facebook,轻易取得各种资料。

手法五:Twitter的恶意连结

借由Twitter的讯息张贴及follow机制,将内藏恶意链接的短网址插入在讯息中,诱使更多人点击、转发恶意链接。

 

1.2 12种类型黑客 你遇见过哪种?

文中提及的这些黑客类型都是典型的黑客类型,所有这些类型的黑客都是天才,但它们却有明显不同的风格。一起来看下,您熟悉哪几个?

0. The Unicorn

The Unicorn翻译成“独角兽”,作为以完美开发者而著称的黑客,他们曾一度被人认为有如编码印章似的去编码并且设计时都是带着一种挑剔的眼光去设计。 他们在选择使用PS或者Fireworks时就像选择用文字编辑一样轻松舒适,在他们的作品里面没有一个是与像素格格不入的,况且也不能有任何格格不入的方式。“独角兽”的局限性之一是,被迫使用一个支持Adobe产品的操作系统。

【最喜爱的技术/语言:SASS,Stylus,CoffeeScript,JavaScript】

1.The Metaprogrammer

“宏程序员”,宏程序员是为了其他的开发者而发展起来的。他们是对Ruby的扩展以及富有有自己独特的见解,并且暗地里希望Smalltalk能被全世界所接纳。这个原型的定义不仅限于文字元编程,也包括一些迷恋于定义规范约定的人,从而使其他开发者的工作更为简单方便。

【最喜爱的技术/语言:Lisp,Ruby,Ember任何优于约定的配置】

2.The Brogrammer

The Brogrammer 我们就翻译它为“程序员”,Brogrammer掌握了Balmer Peak艺术并且到达该艺术的顶峰。它与最新的雇佣公约相结合,使Brogrammer能够高效的达到更高水平。Brogrammers喜欢用杯子玩beer pong这种游戏,杯子的安排通常都是用某种数据结构。

【最喜爱的技术/语言:Django,RoR,Express】

3.The Lost Soul

把The Lost Soul翻译成“迷失的灵魂”,它已经被关押在一些特定企业的堆栈里面好多年了。它已发展了一个朝工程方向的癖性,目的是让工程和战栗者在一个定义的框架里面工作,这个框架不支持依赖注入和反转控制。也许,这是在合理范围内的,然而,就像大多数项目一样,他会定期的处理那些复杂的程序和软件。

【最喜爱的技术/语言:Java,Spring,Hibernate,.NET, Eclipse,Visual Studio】

4. The [Mad] Scientist

“疯狂的科学家”,这个科学家在自己的领域里是很聪明的,并且它是致力于解决电脑硬件方面的科学问题。它是迄今为止最新的计算机学习方法并且它能快速的告诉你两位数乘法运算法则。然而在实践中,科学家比较倾向于过度分析和更贴近自然工程的基本问题。

【最喜爱的技术/语言:C/C++,Python,Java,F#】

5.The Architect

对于手边问题,“建筑师”沉溺于用最好的技术去解决,但计划常常高于可实践的规模,作为最固执己见的原型,它更愿意通知你一些关于堆栈方面的问题。

【最喜爱的技术/语言:Redis,MongoDB,CouchDB,Riak,Hadoop,Cassandra,Web Sockets】

6.The Bare-Metal Programmer

“裸机程序员”喜欢生活在软硬件接口的地方,对高级语言和抽象敬而远之。作为一个低级别的优化专家,他可以从Quake III Arena和相似的优化中很快速的解析逆平方根。

【最喜爱的技术/语言:C/C++,Assembly,Shading Languages】

7.The Lambda Programmer

这个黑客知道Y-Combinator并不仅仅是一个有名的孵化器而且它还可以从你选择的语言里面得到它。尽管它拒绝接受基础的技术模式,但它仍然可以获取到核心的功能概念,比如Monads,蓄电池,尾递归。

【最喜爱的技术/语言:Haskell,Lisp,Erlang,Scala,F#】

8.The Neck Beard

在这些列表中,这个黑客是最有可能使用自己鼠标的,包括使用Lynx或者W3M浏览Web网站。用点文件配置系统并与那些复杂的大型软件工程进行斗争。在自由开发的源码运动中,坚定的信徒认为,The Neck Beard将超越它的使用范围,开发和传播开源软件。

【最喜爱的技术/语言:C/C++,Posix,KDE,anything GPL】

9.The Hustler

对没有代码的“骗子”不用感到困惑,“骗子”黑客对用户有敏锐的观察并且有能力来实现客户的要求。它是恶搞应用的先发者并且在应用程序商店推出后还赚了一笔。这些“骗子”黑客被用户所激励而不仅仅是一些技术上的选择,由于这些“骗子”黑客没有哪一个平台是安全的。

【最喜爱的技术/语言:PHP,Perl,Anything that gets the job done】

A. The [Fanatical] Tester

在理想的世界里,测试人员宁愿看到以伪英文方式编写的代码段,他相信最新的BDD测试技术,他也会定期给那些基础设施落后的其他测试写测试。Bug已经成为了过去,测试人员怀疑如果没有类似的测试水平,稳定的软件是不能被写出来的。

【最喜爱的技术/语言:Cucumber, RSpec,RCov,Capybara,anything BDD】

B. The [Re]Inventor

宁愿写十几种不同的微小框架,也不愿因为同一个目的去使用一个单一的框架。为了不被裸程序员给迷惑了,发明者使用一些抽象的东西,他们脱离那些公约规定的条条框框。

【最喜爱的技术/语言:Zepto,Backbone,Sinatra,Node】

 

1.3 一位黑客的告别之作:79家银行信息被“裸奔”

近日,一个名为Reckz0r的黑客在其Twitter上发了这么一条推特:“在过去的3个月里,我一直潜伏在79家银行的网络里。也许人们都以为我黑的是VISA & Mastercard,但事实上,我黑的是银行里的客户数据。”目前,Reckz0r已经获取了这些银行客户的大量数据,其中包括他们的名字、邮件地址、家庭住址和电话号码。而就在今天,好多人可以在AnonFiles.com的网站上下到这些数据。Reckz0r表示目前只有部分的信用卡信息被泄露出去,因为数量数量实在太庞大。据荷兰媒体报道,这次被泄露出去的文件有113页,500亿字节。


作为Anonymous和“UGNazi”的前成员,Reckz0r在Pastebin网站上发表了一篇文章,在文中他表示此次的攻击完全不是为了获取信息,他只是想在结束自己的黑客生涯之前再玩上一把。

与此同时,他还对被其黑过的受害者表示道歉;“在过去,我已经进行了50多次的大型黑客活动,泄露了大量的重要信息,如果您是其中的一个受害者,我在这里表示道歉。而此次的黑客是我的告别之作。以后,我不再是个黑客了,而是一个良民了。”

1.4 黑客攻击预示雷霆将赢NBA总冠军

NBA总决赛激战正酣,热火对雷霆两支热血青年军之争让“奥布莱恩”杯的归属充满悬念,各种预测满天飞。网友“hnlouis610”不久前发布了一条微博称,“黑客已经预言了NBA决赛结果”,暗示雷霆将赢得总冠军,这是怎么一回事呢?

图:网友戏称黑客攻击是NBA总决赛“雷火大战”的预演

“黑客已经预言了NBA总决赛结果,前不久有个"火焰"病毒,这几天又来个"暴雷"漏洞,一火一雷,一攻一受,一切尽在不言中”,hnlouis610写到。

原来,最近互联网上出现的“火焰”超级病毒和“暴雷”漏洞恰好与“热火、雷霆”两支球队的名字暗合,而且其关注度丝毫不亚于NBA总决赛。“火焰”超级病毒被称为“网络核武器”,造成伊朗等众多国家机密被窃;而“暴雷”漏洞则影响数十亿Windows用户。

据了解,目前微软和Google都针对“暴雷”漏洞发布了特别安全公告,首家发现“暴雷”漏洞的安全厂商360也已经第一时间完成布防,用户只需升级360安全卫士,或使用360浏览器即可抑制“暴雷”攻势。

有安全专家认为,从威胁程度上分析,“暴雷”漏洞已经超过“火焰”病毒,这是否也预示着雷霆将赢得NBA总冠军呢?我们拭目以待,看黑客预言是否能够成真吧。

 

1.5 多家电商账户再爆遭盗卖 黑客地下产业链过百亿

涉及京东、当当、1号店等电商网站,病毒专家透露,黑客地下产业链已上百亿元,如今电商客户信息最受青睐,打包“产品”甚至叫价上百万元

去年沸沸扬扬的CSDN600万用户资料和天涯4000万个人信息泄露还让人心有余悸,近日京东商城、当当网、1号店等多家电商网站再被爆账户信息泄露。互联网上密码泄露事件一波未平一波又起,有安全专家透露,这里面隐藏着一条产值高达上百亿元的黑色产业链。

多家电商账户遭泄露

近日有多名网友反映京东商城账户信息遭泄露,账户余额被他人盗用。此前,1号店的用户也曾爆料称,自己在该网站的账户被盗,货物退款转移到其他人的账户上。

京东掌门人刘强东日前在微博上对密码泄露一事作出回应:“京东商城密码从没被盗过,这还是csdn密码泄密余毒。”刘强东同时表示,京东已锁定了所有有余额的账户使用余额,但是最终解决办法还是用户修改自己的密码。

金山毒霸数据显示,5月新增钓鱼网站为16.3万个左右,环比增长67%,每日新增拦截钓鱼网站数约为5254个。其中,假冒淘宝、机票、加油卡成为重灾区。

据统计,去年全国平均每天4%-8%的电脑上会发现病毒,其中广东、江苏和浙江去年病毒感染次数位列前三,广东全年遭受到了1.3亿次电脑病毒感染。业内人士透露:“钓鱼网站成本低到可以忽略不计,虽然一般生命周期只有2天,但可诈取大量钱财。”

黑客产业高达上百亿

羊城晚报记者通过采访发现,黑客通过技术谋取利益已经形成了一条“黑色地下产业链”。“这个产业链一年收入可以高达上百亿元”。瑞星安全专家唐威告诉羊城晚报记者,如今最受青睐的是电商的用户信息,“因为这里包括了用户的地址、电话、银行账号、消费信息等等最能变现的资料。”据记者了解,这个产业链分成了几个群体,共同支撑起这个黑客帝国。

首先是卖方,这里有些是技术人员和销售人员,有些是工具制造者,他们比较容易近距离接触到用户的信息,但不会直接兜售。唐威介绍说,卖方拿到数据之后并不会细分挖掘,而是直接抛给下游。

接手的就是中间商,他们的工作是倒买倒卖。“他们会将信息归类筛选,QQ号的会归为一类,电商信息的会归为一类,银行账号的是更高级别的,有些派发给房地产中介,有些给广告公司。”有业内人士透露,一级中间商的“产品”也并非直接卖给买方,一般是经过至少三个中间商再倒手,以逃避法律风险。

最后接盘的是买方,有些买方还会专门定制用户信息,比如说哪个区域的白领,哪个区域的某电商用户。“甚至有电商雇佣了黑客直接攻击竞争对手的网站,窃取信息。”唐威透露。

有安全领域人士透露,一旦网站被攻击,许多企业信息用户资料就会流入黑客手中,这些数据在黑客圈中所谓的“黑市”里销售,“一般按照文件大小来销售,打包的文件大部分是上百兆有上千条信息,一般是几万元。但若是电商用户的信息,甚至会按条数来卖,这个最值钱。”据悉,一个打包“产品”甚至可以叫价上百万元,有人会利用信息诈骗,有人会买断竞争对手的用户资源,有人会给用户发广告或垃圾信息牟利。

专家称网站有违约责任

用户账户密码频遭泄露,责任究竟该由谁来承担?中国互联网协会信用评价中心法律顾问赵占领对羊城晚报记者表示,作为电商,通过跟用户签订使用安全协议的方式,形成了合同关系。因此,电商有义务保护用户信息安全。“一旦用户信息泄露了,网站就负有违约责任。” 而黑客的入侵行为已经构成犯罪,属非法入侵计算机信息系统罪。

艾媒咨询集团CEO张毅在接受羊城晚报记者专访时表示,任何互联网服务都潜在信息泄露危险,除了国家明确立法和严格的保护措施以外,斩断利益链,厂商的自律非常重要;对于用户而言,不定期修改密码,恐怕是最保险也是最妥善的保护。

 

2.本周关注病毒

2.1 病毒名称:Trojan.PSW.Win32.QQPass.flr(木马病毒)
警惕程度★★★

木马运行后,首先检测电脑是否正在运行QQ,如果存在,木马会关闭QQ,并将病毒文件替换成QQ程序,当用户再次打开QQ时,就会自动运行木马病毒。被替换的“QQ”从图标上和登录界面上都与正常程序极为相似,用户很难分辨真伪。只是一些功能并未完善,如“登陆状态更改按钮”、“设置按钮”点击无效果等细节差别。如果用户在木马界面输入了账号和密码并登录后,QQ账号密码就会被盗。

 

2.2 病毒名称:Trojan.Win32.Fednu.uem(木马病毒)
警惕程度★★★

病毒运行后复制自己到c:\Program Files\Microsoft\WaterMark.exe并运行。创建两个svchost.exe傀儡进程,把感染代码注入到傀儡进程中,相互保护双方进程,防止该病毒文件被复制,删除。随后,病毒会非系统目录的全部可执行文件,当用户运行被感染的程序文件后,Fednu木马就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

 

2.3 病毒名称:Trojan.Win32.KillAV.cxt(“AV终结者”木马病毒)
警惕程度★★★

该病毒运行后试图关闭多种杀毒软件,访问黑客指定的网站,下载木马病毒到本地执行。病毒会遍历系统中的可移动存储设备(U盘、MP3、移动硬盘等),并向这些设备中写入自动运行的脚本,用户使用这些带毒设备后就会被感染。

 

3.安全漏洞公告

3.1 PHPAccounts SQL注入和任意文件上传漏洞

PHPAccounts SQL注入和任意文件上传漏洞

发布时间:

2012-06-21

漏洞号:

BUGTRAQ ID: 53920

漏洞描述:

PHPAccounts是针对小型企业、自由职业者、咨询公司的简单的基于Web的账号应用。
PHPAccounts中存在SQL注入漏洞和任意文件上传漏洞,这些漏洞源于未验证用户提供的数据。攻击者可利用该漏洞操控应用程序,执行任意代码,访问或修改数据,或在底层数据库中利用这些漏洞。

安全建议:

厂商补丁:
phpaccounts
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://phpaccounts.com/

 

3.2 IBM Lotus Notes "notes" URI处理器漏洞

IBM Lotus Notes "notes" URI处理器漏洞

发布时间:

2012-06-19

漏洞号:

BUGTRAQ ID: 54070
CVE ID: CVE-2012-2174

漏洞描述:

IBM Lotus Notes是桌面客户端,为用户提供了单点访问功能,有助于他们创建、查询和共享知识,与团队协作,以及采取相应措施。
IBM Lotus Notes 8.0.2、8.5、8.5.1、8.5.2、8.5.3在"notes" URI处理程序中存在错误,可被利用执行任意命令。

安全建议:

厂商补丁:
IBM
IBM已经为此发布了一个安全公告(1598348)以及相应补丁:
1598348:Security Bulletin: IBM Lotus Notes URL Command Injection Remote Code Execution Vulnerability (CVE-2012-2174)
链接:http://www-304.ibm.com/support/docview.wss?uid=swg21598348

 

3.3 Symantec LiveUpdate Administrator不安全文件权限漏洞

Symantec LiveUpdate Administrator不安全文件权限漏洞

发布时间:

2012-06-18

漏洞号:

CVE ID: CVE-2012-0304

漏洞描述:

Symantecs LiveUpdate Administrator可对内容提供基础架构支持。
Symantec LiveUpdate Administrator 2.3.1之前版本在某些文件上设置了不安全的默认权限("Everyone"组赋予了"Full Control"),可被本地恶意用户利用以提升的权限执行某些操作,删除、操作和替换应用文件。

安全建议:

厂商补丁:
Symantec
Symantec已经为此发布了一个安全公告(SYM12-009)以及相应补丁:
SYM12-009:Security Advisories Relating to Symantec Products - Symantec LiveUpdate Administrator 2.3 Insecure File Permissions

 

3.4 WordPress Sitemile Auctions插件任意文件上传漏洞

WordPress Sitemile Auctions插件任意文件上传漏洞

发布时间:

2012-06-19

漏洞号:

 

漏洞描述:

WordPress是一种使用PHP语言和MySQL数据库开发的Blog(博客、网志)引擎,用户可以在支持PHP和MySQL数据库的服务器上建立自己的Blog。
Sitemile Auctions Plugin for WordPress 2.0.1.3之前版本的wp-content/plugins/auctionPlugin/upload.php脚本允许上传任意扩展名的文件到webroot文件夹中,可通过上传恶意PHP脚本执行任意PHP代码。

安全建议:

厂商补丁:
WordPress
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://wordpress.org/

 

3.5 Simple Forum PHP "orderType"和"orderBy"远程SQL注入漏洞

Simple Forum PHP "orderType"和"orderBy"远程SQL注入漏洞

发布时间:

2012-06-18

漏洞号:

 

漏洞描述:

Simple Forum PHP是制作网站论坛和讨论版的脚本,易于安装和管理。
Simple Forum PHP在实现上存在两个漏洞,可被恶意用户利用执行SQL注入攻击,通过 "orderType"和"orderBy"参数传递到forum.php的输入没有正确过滤即用在SQL查询中,攻击者可利用此漏洞通过注入任意SQL代码,操作SQL查询。

安全建议:

厂商补丁:
simpleforumphp
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.simpleforumphp.com