当前位置: 安全纵横 > 安全公告

一周安全动态(2012年7月5日-2012年7月12日)

来源:安恒信息 日期:2012-7

2012年7月第二周(7.5-7.12)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1.安全新闻

1.1 黑客加速0Day攻击速度 重金买广告位挂马

近期,互联网黑客集团加大了网络挂马的攻击节奏,特别是黑客已经开始大范围利用微软上月刚刚公布的0Day漏洞配合挂马,通过重金购买中小网站广告推广位,加大攻击范围,这一现象需要网友与中小站长提高警惕。

据悉,目前黑客在网络中大肆利用的0Day漏洞是6月份微软刚刚公布的暴雷漏洞,该漏洞可以让用户在访问网页时,不知不觉的中招触发黑客挂在网页中的后门木马,导致用户各种隐私信息与虚拟财产的损失。

某安全团队监测发现,在7月3日期间,黑客加大了攻击力度,根据管家团队获取的恶意网站跟踪分析,黑客在新一轮攻击中使用了广告推广的手段,通过多层网址跳转,将涵有0Day攻击代码的网页,伪装成为广告链接地址。然后再通过广告平台购买广告位,将攻击网址潜入到广告发布平台中。

安全专家表示,随着网络信息流转速度加快,黑客已经能够在很短的时间内获取到0Day攻击手段,让用户比以往更容易遭受到0Day攻击。由于0Day攻击讲求时效性,一旦厂商推出修复补丁并大面积升级之后,0Day攻击的效果将会大减,这也是目前黑客花重金购买网站广告位的主要动因。

而从目前的监测分析来看,黑客每次通过正常的网络广告推广渠道挂木马病毒,都会造成一次攻击的高峰,让更多网友成为0Day攻击的受害者。安全专家建议网友,一定不要为图方便而不装防护软件裸奔,在0Day攻击在网络横行的时代,安全防护软件能起到重要保护作用。

 

1.2 陕西汉中中心血站网页被黑 黑客疑为17岁少年

7月3日上午,有网友向记者爆料,汉中市中心血站及汉中某高校网站在6月30日曾遭黑客攻击,主页被完全篡改。经调查了解,黑客很可能是一名17岁少年。

记者打开汉中市中心血站网站首页看到,昔日页面已被修改成很酷的FLASH动画和很激情的背景音乐。

一位网名为“★__小阔”的黑客在网页上留下下面几段话:“咱只是一只默默无名的小菜……低调的混迹在这个不平凡的网络世界……”、“你们技术员应该下岗了……”、“我们的宗旨:学习网络攻防技术,成就时代网络高手!”

通过查看网页源文件,记者还看到黑客留下这样一段话:“……黑客技术给大家带来的更多是新的发现,新的技术。希望大家记着:没有狼,羊是永远不会进步的!”

与其他网络攻击不同的是,这名叫“★__小阔”的黑客还在网页上,嚣张地留下了自己QQ号码和空间地址。

记者试图通过这名黑客留下的 QQ 号码与他联系,然而,对方却始终拒绝添加。通过 QQ 资料记者看到,这名叫“★__小阔”的黑客籍贯陕西,年龄17岁,性别:男。

在“★__小阔” QQ 空间里,记者看到许多诸如《2010最新挂马技术(个人总结)》、《各类原创破解方法(视频教程)》、《黑客技术术语解释》等黑客文章。

在汉中市中心血站,听说自己单位网站受到黑客攻击后,一位单位负责人和网管人员都感到非常吃惊。在确认被黑后,这名网管人员立即打电话向汉中市公安局网监支队报案,同时联系网络公司进行恢复。这名网管人员告诉记者,平时只是在添加内容时才会打开网站看,没想到被攻击了。

汉中市公安局网监支队一位民警告诉记者,所谓“黑客”进行的网络攻击行为是违法的,被攻击单位应在第一时间报案。公安网监部门在接到报案后,将追究相关违法人员法律责任。
昨天14点记者看到,汉中市中心血站网站已经恢复。

 

1.3 内地黑客袭香港金融网站 湖南香港警方联手破案


罪嫌疑人郭俊在湖北荆门落网。图/长沙市公安局

“郭俊被抓了”、“赵贤辉落网了”,攻击敲诈香港金融网站的6名网络黑客均在长沙、上海等地落网。

当这条消息从长沙警方通过电波传到公安部时,恰逢香港回归祖国15周年纪念活动前一周。6月20日,长沙警方与香港警方成功摧毁一个针对香港金银及证券投资网站进行网络黑客攻击并实施敲诈的犯罪团伙,6名犯罪嫌疑人被抓获,这标志着警方及时消除了影响香港金融稳定的重大隐患。

接到通报 公安部部署湖南警方协查

据长沙警方昨日通报:今年2月至6月,香港警方先后接到16家香港金银及证券投资公司报警称,公司网站遭到黑客攻击,还受到不法分子威胁,称务必在其开设于湖南长沙、上海等地的银行账号汇入指定数额的人民币,否则将阻断其业务开展。截至案发时,共有5家公司为保证正常运营向犯罪分子提供的银行账号汇入钱款,其中1家公司先后26次向犯罪分子提供的银行账号支付钱款。如果金融网站受到网络攻击影响业务开展,将对香港金融稳定造成重大损害。

接到香港警方案件通报后,公安部将其列为督办案件,部署湖南警方开展侦办工作,要求尽快破案,确保香港金融稳定。长沙市公安局迅速成立以长沙副市长、市公安局局长李介德为组长,网技支队、芙蓉公安分局为侦办主力的专案组,全力推进专案侦破。

视频监控 在万象新天小区附近锁定嫌疑人

根据香港警方提供的银行卡号,长沙警方发现这个涉案银行卡在芙蓉区万象新天小区附近有过多次ATM机取款记录,遂初步判断该嫌疑人居住在万象新天小区或其附近小区。随后,警方又调取了ATM机上的监控视频,发现使用这张银行卡的和取款人均系同一人,初步确认取款男子叫郭俊(男,23岁,湖南常德人)。

随后长沙警方又发现了一台物理地址[记者注:物理地址是指服务器网卡的MAC(介质访问控制)地址,是固定的,每一块网卡都有全球唯一的一个物理地址,而IP地址是会变化的。]在上海的可疑服务器,通过将该服务器内存储的信息与涉案信息比对,基本认定使用此服务器的人为犯罪嫌疑人郭俊,并据此锁定了一个以黑客攻击为手段进行敲诈勒索的犯罪团伙,成员还包括赵贤辉(男,29岁、湖北枣阳人)、肖彪(男,26岁,湖南邵阳人)等人。

调查发现 6名嫌疑人大部分系大学毕业生

据专案民警介绍,6名嫌疑人大部分为大学毕业生,他们经常活动在长沙市火车站邮电局、芙蓉区万象新天小区、电信花园和月湖公园等地。

团伙成员分工明确。其中嫌疑人赵贤辉负责牵头组织,分析网站抗网络攻击能力情况;肖彪负责提供敲诈勒索用的银行卡和开车带郭俊去取钱,同时一起讨论怎样对香港的一些黄金交易网站进行网络攻击,实施敲诈勒索;黄铖负责提供攻击网站的技术支持;郭俊负责组织网络流量攻击网站,并负责与那些被攻击的网站客服进行谈判和银行取款。

案件挖掘 团伙还涉嫌窃取游戏币

6月20日,按照公安部的统一部署,长沙警方出动百余民警,兵分9路,在上海、湖北荆门和湖南长沙、常德、邵阳等地同时展开联合抓捕,共抓获6名犯罪嫌疑人,扣押车辆3台、电脑8台、服务器源盘1块、银行卡33张,收缴现金1万余元。截至目前,该案主要犯罪嫌疑人赵贤辉、肖彪、郭俊等6人已被刑事拘留。至此,通过3个多月的缜密侦查,这一涉及港、沪、鄂、湘等地的网络黑客攻击敲诈团伙被彻底摧毁。

经查,该犯罪团伙为逃避内地公安机关侦查打击,将香港金银及证券投资公司网站列为攻击目标,组织网络流量对锁定目标网站发动攻击,然后通过网站在线客服的QQ号码与被攻击网站进行联系,实施敲诈勒索。此外,长沙警方还掌握了该犯罪团伙涉嫌攻击国内多个网游服务器、窃取游戏币非法获利的犯罪事实。

昨日,长沙市副市长、市公安局局长李介德表示,“该案属于典型的高科技犯罪,嫌疑人利用了网络黑客技术等新型犯罪手段,涉案地覆盖香港特别行政区和内地多个省、市,给警方的侦查取证工作带来了很大的难度,但长沙警方在公安部、省公安厅的领导下,进一步加强与香港等地警方的警务合作,灵活运用多种现代化侦查手段,确保了案件的成功侦破”。

 

1.4 黑客集团入侵全球60多家银行

据中国日报报道,美国软件安全公司迈克菲(McAfee)和防止在线欺诈的公司GuardianAnalytics共同发布的一份报告显示,在最新一轮的全球网络攻击中,黑客们将目标对准全球各地的企业和个人存款数额高的银行账户,从欧洲、美国和世界其他地区的共60多家银行中卷走6000万欧元(约为人民币4.77亿元)。

报告指出,这次名为“挥金如土者行动”的大规模网络攻击利用自动化等“成熟”技术,攻击银行的基于云计算服务器。在得手之后,被盗走的存款会以每笔数百至10万欧元的数额转移到派生账户上。

据悉,最先遭到攻击的是欧洲银行,之后拉丁美洲和美国也相继出现账户被黑的情况,信贷协会、大型跨国银行和地方银行均未能幸免。

对此,GuardianAnalytics公司发表声明称:“这是个频繁针对美国金融机构的新威胁……就我们目前掌握的情况来看,这项行动已经从全球卷走了6000万欧元、甚至更多。”

这份报告对黑客入侵银行系统进行了较为详尽的说明,其中指出,“一直以来,金融诈骗团伙的主要目标都是欧洲银行,但我们的研究发现,这种盗窃行为已经扩展到了包括美国和哥伦比亚等欧洲之外的地方”。

 

1.5 韩国培养“白色黑客” 奖学金额度达2000万韩元

为应对国外黑客的网络攻击,韩国政府开始启动“白色黑客”(具有善意目的的黑客)培养计划,计划投入19亿韩元(约合167万美元),培养大约6名“白色黑客”,以加强韩国信息安全部门的力量。

据韩国《东亚日报》3日报道,韩国知识经济部和韩国技术研究院2日确认,从本月开始,双方将共同投资,在明年3月份前选拔6名“白色黑客”。这6人将分别从云计算安全、应对智能手机攻击、应对网站攻击和政府设施攻击、网络攻击证据收集等6个领域各选拔1名。

报道称,韩国政府从上个月开始接受黑客高手的简历,目前已收到237份简历。经过档案审核和面试,初步选拔了60多人。这些人还将经过多轮淘汰,最终只剩下6名“白色黑客”。被选中者将获得韩国政府提供的2000万韩元奖学金,并有机会到海外接受进一步深造。

《东亚日报》称,这些“白色黑客”会被优先推荐到韩国国家情报院、警察厅、网络司令部等负责网络安全的国家机关。另外,“白色黑客”接受的教育也将与众不同,各领域的网络专家将分别对他们进行教育,并设立外语课程,以应对国外黑客的攻击。
韩国近年来接连遭受网络黑客袭击,给社会经济发展造成巨大损失。2009年7月,韩国总统府青瓦台、国防部、外交通商部和国会等主要国家机构网站同时遭受网络攻击,并连续两天陷入瘫痪。2010年9月,韩国农协银行网络系统遭袭击,导致金融交易被迫中断,给该银行造成了巨大损失。这两起严重的黑客攻击事件后,韩国政府开始大力培养应对网络黑客的专职人员,“白色黑客”计划正是在这一背景下产生的。

 

2.本周关注病毒

2.1 环球时报 Worm.Win32.Autorun.tww(蠕虫病毒)
警惕程度★★★

病毒运行后会把原病毒体复制到用户数据目录中,随后通过篡改注册表的方式实现开机自动运行。病毒会结束9种国际知名杀毒软件,避免遭受查杀。最后通过在文件夹内创建autorun文件的方式,实现不断运行和扩散,开启后门功能,让黑客可以远程控制用户电脑,不断在用户电脑中植入盗号木马,窃取隐私。

 

2.2 Trojan.Win32.KillAV.cxu(“AV终结者”木马病毒)
警惕程度★★★★

该病毒运行后试图关闭多种杀毒软件,访问黑客指定的网站,下载木马病毒到本地执行。病毒会遍历系统中的可移动存储设备(U盘、MP3、移动硬盘等),并向这些设备中写入自动运行的脚本,用户使用这些带毒设备后就会被感染。

 

2.3 病毒名称:Worm.Win32.FakeFolder.bm(蠕虫病毒)
警惕程度★★★★

该病毒运行后为躲避杀毒软件查杀,会试图结束当前运行的安全软件进程,通过创建注册表劫持项阻止杀毒软件再次启动,甚至还会删除安全软件图标并使其隐藏。病毒作者为避免病毒被手工删除,会破坏操作系统的安全模式,并让用户无法打开注册表编辑器。最终,病毒会在桌面上创建多个钓鱼网站的快捷方式,使用户进入黑客指定网站,为其带来巨大经济利益。

 

3.安全漏洞公告

3.1 IBM WebSphere Portal 目录遍历漏洞

IBM WebSphere Portal 目录遍历漏洞

发布时间:

2012-07-04

漏洞号:

CVE-2012-2181

漏洞描述:

IBM WebSphere Portal 由用于构建和管理安全的企业对企业(B2B)、企业对客户(B2C)和企业对雇员(B2E)门户网站的中间件、应用程序(称为 portlet)和开发工具组成。
IBM WebSphere Portal CF14之前的7.0.0.1版本和7.0.0.2版本、8.0版本中的Dojo模块中存在目录遍历漏洞。远程攻击者可利用该漏洞通过特制的URL读取任意文件。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www-01.ibm.com/support/docview.wss?uid=swg21598363

 

3.2 Apache Struts2框架命令执行漏洞

Apache Struts2框架命令执行漏洞

发布时间:

2012-06-28

漏洞号:

CVE-2010-1870

漏洞描述:

Struts 框架是 Apache 基金会 Jakarta 项目组的一个 Open Source 项目,它采用MVC 模式,帮助java开发者利用 J2EE 开发 Web 应用。Struts 框架广泛应用于运营商、政府、金融行业的门户网站建设,作为网站开发的底层模板使用,目前大量开发者利用 j2ee 开发 web 应用的时候都会用这个框架。
Apache Struts2 框架在 2010 年被发现存在一个严重命令执行漏洞(CVE-2010-1870)。近期,一系列针对此漏洞的自动化检测、利用工具在网络上公开,大大降低了利用难度。目前大量使用Struts2 框架编写的网站被发现受此漏洞影响,并已在互联网上公开,这可能造成这些网站被控制、敏感数据被泄漏。

安全建议:

厂商已经在Struts 2.2.0版本中修复了这个安全问题。由于struts 2.2.0仍然存
在其他安全问题,建议用户请尽快升级到当前最新版本2.3.4。
http://svn.apache.org/viewvc?view=revision&revision=956389

 

3.3 Microsoft IIS文件枚举漏洞

Microsoft IIS文件枚举漏洞

发布时间:

2012-07-03

漏洞号:

BUGTRAQ ID: 54251

漏洞描述:

Internet Information Services(IIS,互联网信息服务)是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。
Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.microsoft.com/technet/security/

 

3.4 Apache HTTP Server 'ap_pregsub()'函数本地拒绝服务漏洞

Apache HTTP Server 'ap_pregsub()'函数本地拒绝服务漏洞

发布时间:

2012-06-29

漏洞号:

CVE-2011-4415

漏洞描述:

Apache HTTP Server是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行。
Apache HTTP Server 2.0.x至2.0.64及2.2.x至2.2.21内server/util.c中的ap_pregsub函数,在启用了mod_setenvif模块后,没有限制环境变量的值大小,通过带有特制SetEnvIf指令的.htaccess文件和HTTP请求标头,导致拒绝服务(内存破坏或空指针引用)。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.apache.org

 

3.5 SAP Netweaver ABAP 'msg_server.exe'参数名称远程代码执行漏洞

SAP Netweaver ABAP 'msg_server.exe'参数名称远程代码执行漏洞

发布时间:

2012-06-29

漏洞号:

BUGTRAQ ID: 54229

漏洞描述:

SAP NetWeaver是SAP的集成技术平台和自从SAP Business Suite以来的所有SAP应用的技术基础。
SAP Netweaver ABAP的msg_server.exe在实现上存在缓冲区溢出漏洞,攻击者可利用此漏洞在受影响应用中执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.onapsis.com/