当前位置: 安全纵横 > 安全公告

一周安全动态(2012年8月23日-2012年8月30日)

来源:安恒信息 日期:2012-8

2012年8月第五周(8.23-8.30)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 黑客以恶意Word文件攻击Adobe Flash漏洞

赛门铁克(Symantec)警告,该公司已经拦截上千次锁定Adobe Flash播放程序漏动的攻击,呼吁使用者尽快更新Flash。

黑客利用电子邮件夹带含有恶意Flash内容的Word文件,里面所含的ActionScript会使用Heap Spraying技术嵌入shellcode,藉Flash漏洞进行攻击。

由于电子邮件夹带的Word文件的标题多为iPhone 5、伦敦奥运等热门议题,诱使不少使用者开启该文档。根据赛门铁克的统计,自8/10发现至8/21截止,总共拦截1300次攻击,电子邮件的高峰在8/13日。

根据Adobe的资安通报显示,主要攻击目标是使用微软Internet Explorer浏览器的Windows系统,不过Windows、OS X、Linux及Android各平台的Flash播放程序均含有此漏洞,如果遭受攻击,设备可能当机或黑客控制。

Adobe在上周(8/14)发布定期更新,修补Acrobat/Reader、Flash播放程序与Shockwave播放程序等软件。周二(8/21)又推出Flash播放程序的紧急更新,并呼吁各平台使用者均应更新,尤其是Windows平台的修复优先次序评估为一,代表使用者应在72小时内更新完毕。

1.2 针对能源部门的神秘恶意软件-shamoon

安全专家最近确认了一种与Flame等APT类攻击病毒类似的新型病毒Shamoon,这种病毒的攻击目标是能源企业或能源部门,它能将受感染Windows机器中的数据永久删除。

这种病毒被注名为“W32.Disttrack”以及“W32.EraseMBR”,别称Shamoon。执行文件里包含了“wiper”字段,以及“ArabianGulf”字段。这一字段也曾在Flame病毒中出现过,Flame曾被认为是由美国和以色列政府共同研发用以攻击伊朗核能源部门的恶意攻击软件。

Shamoon病毒与Flame病毒类似,能够直接将感染用户电脑内的数据发送到网络,而且在传完数据之后恶毒的将电脑上的数据永久删除,甚至包括主引导记录,直接就导致系统瘫痪,不能开机。Shamoon病毒本身的文件大小只有900k,但是内部的资源都是经过完整加密的。如下图:

目前Shamoon病毒还没有在全球范围内广泛传播,但是根据Seculert的报告目前已经有至少使用了两级攻击,而且攻击的主要目标都限定在一些大型公司的主要部门。有专家认为病毒Shamoon将会席卷Windows平台PC。

卡巴斯基工作室的研究人员谈论到这两种病毒的联系时,只是简单猜测说:“Shammoon应该只是一款简单的模仿作品,写此病毒的作者可能是受到了某些英雄故事的影响而已。”赛门铁克的一篇博文写道,“Shammon目前已经攻击了至少一家企业的能源部门”,不过没有再提及更多信息。Ars Technica指出,沙特阿拉伯的国际石油公司Saudi Aramco近期曾遭受该病毒的袭击,不过尚不清楚事件间是否存在什么联系。

McAfee公司的报告中指出,这种恶意软件会利用JPEG图片中的数据改写主机上的某些文件,导致这些文件失效。然后还会继续改写硬盘上的启动引导记录(MBR)以及分区表,致使电脑无法启动。Shamoon的这种做法令许多研究者觉得,这不过是小孩把戏而已,尽管网络安全公司Seculert在一篇博文中指出,Shammoon极有可能只是针对能源企业和部门攻击中的其中一部分而已,主要用来销毁过去的攻击记录。

1.3 调查发现:繁荣的云计算加剧网络犯罪率

2012年中小企业会将更多的重点投入到云计算当中,随着中小企业对于云计算关注的升温,对于云计算出现的安全隐患问题也再次引起了人们的重视,2011年9月多伦多的科技新闻网站ITBusiness.ca就300名中小企业调查人群显示,约35%的人表示对于云计算最关注的仍然是安全问题。

今天大多数云提供商都以在自己的服务器上运行云计算所需的软件服务,并且提供了一个完整的应用程序,在这个模式中,供应商来确保客户的云服务是安全的。

各供应商云计算服务对照表

而客户也必须提高安全意识,积极的寻找可能的防御洞,并确保在离开供应商之前来将备份磁盘加密。

云威胁逐年攀升

无论云服务提供商的安全性如何好,异地云计算意味着数据是基于一个公共网络之间的业务和服务,所以如果您传输的是敏感数据,那么在传输的时候应该被加密。而数据备份的另一个好处就是当云提供商终止提供服务的时候,在不安全的情况中,云计算出现的需求可以确保您可以将数据进行备份。

随着网络犯罪的成本越来越高,企业调查网络犯罪的Ponemon研究所在去年夏天在密歇根州特拉弗斯城进行的研究表明,美国企业每年花在防范网络犯罪方面的话费为5.9亿美元。本次调查较2010年7月Ponemon的调查同比增长了56%。

Ponemon研究所已研究了多年网络犯罪,尽管只有两次调查,但是这个特殊的调查依然得到了美国企业的高度重视。其董事长兼创始人拉里Ponemon说:网络犯罪中的犯罪分子将比现实生活中的犯罪更为复杂。

小结:2012年对于云计算的威胁依然存在,黑客的不断攻击也加强了云计算的维护成本,如何才能在节约成本的同时做到安全防护依然是2012年对云计算的一大考验。

1.4 “密码如同利剑” RSA2012大会主题

今年的主题是“The great Cipher, mightier than the sword”。2011年RSA大会的主题是“alice与bob的冒险之旅”,与去年主题传达的安全手段和方法的含义不同,今年的主题更强调了安全的精神,“密码如同利剑”。接来下就为大家揭开今年主题的历史渊源和主题所要表述的隐意。

在17世纪的法国,一场宗教战争正在罗马天主教和被称为“胡格诺派”的法国新教徒间肆虐。1626年,新教徒被罗马天主教的军队围困在一个小镇,但拒绝了天主教的赦免。面对天主教的围困,新教徒向他们的同盟发出了一封加密的信件,但被天主教军队截获了。一位叫做安托万罗西那(Antoine Rossignol)的数学家破译了这封加密信件,揭开了新教徒从同盟获取物资和弹药与天主教军队顽抗到底的意图。天主教军队继续围困新教徒,不久“胡格诺派”新教徒投降。

之后,法国国王路易十三发现了密码安全和代码在外交和情报方面的巨大价值,所以安托万罗西那和他的儿子文德(Bonaventure)先后称为法国国王路易十三的首席密码员。路易十四也同样重视情报,并将“鹅毛笔”(quill)比作利剑,来防御威胁和攻击,而今天它预示着加解密。而这样的寓意一直鼓舞着我们,所以今天我们会每年聚集在RSA大会,分享知识,互相学习,传递最佳实践的信息,并一直延续下去。

1.5 揭秘:中国的网络黑市

一项最近公开的研究第一次向我们展现了中国网上黑市的规模和结构,并指出在2011年中国网上黑市影响了将近四分之一的中国网民并造成了将近50亿元人民币(约合5亿法郎)的损失。

美国加利福利亚大学全球斗争与合作研究所公布的《中国网上地下经济调查》揭秘了中国网络黑市市场的规模和精密组织,并对全球合作打击高科技犯罪提供了帮助。这份报告指出,在2011年(中国)大约有9万人参与网上黑市交易,造成了当地53.6亿元人民币的损失,1.1亿用户成为受害者(占中国网民的22%),影响了110万网站(占中国网站数量的20%)。这些统计数字是研究人员结合中国主要安全厂商提供的数据、中国法庭审判书等文档中的细节、以及从线上黑市本身搜集到的信息——某些公开网络上的线上黑市很容易被追踪。

这份报告将研究重点放在四类产业链(value chains)上:以银行账户等真实财产为目标的产业链;以虚拟货币(如Q币)等虚拟资产为目标的产业链;以肉鸡组成僵尸网络赚钱的产业链;制作、贩卖黑客工具及相关培训的产业链。针对真实财产的窃取产业跟别的地方一样,主要是通过钓鱼和木马。成功窃取的银行账户密码等信息要么在黑市上卖掉要么直接通过制作伪造(银行)卡的形式获利。近年来针对网上虚拟资产的犯罪活动有所增加,报告解释说这是中国的法律对于虚拟资产的界定和保护还不完善造成的。僵尸网络以出租的方式提供给其他人使用,用途包括发送垃圾邮件,拒绝服务攻击,广告点击欺诈等。针对智能手机的攻击正在增加。骇客主要通过发现系统漏洞并编写相应的黑客工具并卖给市场上其他犯罪分子牟利。有时他们也提供培训服务或亲自操刀上阵发起攻击。

以上这些为我们勾画出了一个高度发达、完全在网上进行的黑市系统,跟其它地方的黑市没有太多不同。

中国式网络犯罪

然而中国的网络黑市交易还是有自身的特点——黑市上的个体户更倾向于用公开的网络平台来进行买卖:

在西方国家,网络黑市交易一般是通过IRC建立地下频道来进行市场营销和交流。然而中国网民有自己的习惯,他们一般是通过网络论坛和QQ群进行交流。每个不同的产业链中都需要有上下游的人参与,所以他们希望自己发布的信息能够被其他黑市交易的人看到,这样就能获得更多的优惠,以及更大的回报。所以这些人往往会选择简单方便的方式来构建地下黑市,通过行话来进行隐藏。

报告中提到许多从事这类犯罪活动的人使用百度贴吧和腾讯QQ群进行交流,通过各种这样的黑话来避免被人发现。研究人员说他们不辞辛劳的找到了84个相关的黑话,包括“马”、“包销商”、“洗料”等,同时还找到了129个用于地下黑市交流的贴吧。

百度贴吧是中国最大的网络论坛。它基于关键字进行组织,并且有着宽松的登录和发帖机制。这吸引了大量的黑市交易人员。特定的黑话被作为关键字来构建黑市。例如“料”吧。一般的网民不知道这些黑话,也就不会访问到这些信息。

百度公司回应给本网站(The Reg)一封冗长的声明,表示在这样流行的一个论坛上有效的监控和跟踪用于计算机犯罪的黑话等是非常困难的。

百度贴吧拥有将近五百万个活跃的贴吧,监控和控制这类活动是非常困难的,尤其是像研究者指出的,犯罪分子使用的行话或隐语是难以被解析的。作为一个负责任的BBS服务商,百度已经明确的告知了用户在发帖时遵守国家有关法律规定。同时我们也提供了多种渠道接受用户的举报并移除我们发现的非法内容。

我们感激研究者指出了几种新的犯罪分子利用百度贴吧进行非法行为的途径。百度致力于位置一个干净健康的互联网环境,并欢迎政府、执法部门、用户、媒体和独立的研究员提供帮助。

更多的地下黑市建立在腾讯QQ群的基础上,犯罪分子可以通过搜索并加入QQ群进行交易。报告说通过对这84个行话的搜索,他们找到了惊人的2738个地下黑市相关的QQ群。

截至发稿时为止腾讯还没有对之前的问询给出回应,虽然这家公司显然不缺钱来解决报告中提到的问题。这家公司2012年上半年的收入达到了105.3亿元人民币,相比去年的39亿元人民币利润增长了56个百分点。

警方需要发挥更大作用

另一方面,报告的作者希望证明如果中国警方有能力对这类(腾讯和百度贴吧平台上的)犯罪活动给予有效的打击,只要使用了正确的方法。

例如,与往年快速增长的趋势不同,(今年)网络地下黑市的发帖数量、参与人数、话题数量都跟2008至2009年持平。报告认为,这是由于警方在08年针对地下黑市进行的打击和新的刑法修正案的通过造成的。

通过法庭文件中的数据,研究人员发现在犯罪分子被抓住之前已经在QQ和百度贴吧上活跃了数年之久,并在网上留下了“重要的追踪线索”,包括银行帐号等警方可以及时追查的信息。

我们有理由相信对地下黑市进行监控有助于鉴别、跟踪和阻止一部分正在发生的犯罪活动,同时可以为犯罪调查搜集重要的证据。因此,计算机犯罪应急响应小组和执法部门应该持续的监视地下黑市。

这份报告没有深入调查地下经济中“高级层面”上的犯罪活动例如零日漏洞、APT(高级持续攻击)工具的交易,因为这类活动“似乎更加隐蔽,只在相互信任的小圈子中通过加密信道进行通信。”

报告还警告说网络地下黑市交易的增长很快,警方尽快进行监控和调查,即使保护公民个人信息(隐私)的法律额越来越严格。

The Regisiter联系了报告涉及地区的安全专家,他们似乎也认为当地警方是了解报告中提到的这类犯罪活动的。

然而,尽管(中国警方)发起了很多次针对非法网上行为的整治运动,但是很难分析出这些整治运动要打击什么,取得了什么效果。(官方)公布的统计数字一般会把传统形式的犯罪也包含进来,包括网上色情、网上赌博、以及当局最不喜欢的破坏社会和政治稳定行为。

Verizon Business亚太区相应调研小组首席研究员Kenny Lee同意该报告中关于中国警方和国际同行合作打击计算机犯罪的建议,但是他认为报告中建议的增加立法和监管不是正确的做法。

“每个国家都需要适应网上经济(快速发展)的现实,技术发展太快了,等到走完立法程序,可能这个法律本身就过时了。”Kenny Lee告诉The Register,“执法部门已经知道了网上地下黑市的存在,就像他们知道传统的地下黑市存在一样,执法部门需要决定的是用何种方式对计算机犯罪的打击最有效。”

香港CERT中心主任Roy Ko说利用技术手段监控像QQ群或百度贴吧这样的信息服务在技术上是能做到的,困难是如何定位找到具体发帖的人。 虽然中国政府要求新浪微博——中国的推特——对用户进行了实名制,QQ等其它服务还无法做到这一点。 (中国)政府清楚的意识到这个问题的存在,并在最近发布了一个冗长的“信息安全行动计划”[2],虽然还不知道如何实施。可以预见,线上经济将会对中国的GDP产生越来越大的拉动作用,而当局一定会投入足够的资源去真正解决这个问题。

2 本周关注病毒

2.1 Trojan.Win32.Downloader.au(木马病毒) 警惕程度 ★★★

该病毒运行后会关闭大量杀毒软件进程并创建注册表劫持项以躲避对其查杀。病毒会创建IE浏览器进程,从黑客指定的服务器上下载病毒种子文件和木马病毒。

2.2 Trojan.Win32.VBCode.fuu(木马病毒) 警惕程度 ★★★

病毒获得运行后,首先会关闭网络共享和Windows防火墙,导致电脑变得十分脆弱,很容易被黑客和木马入侵。随后病毒访问黑客指定网址下载大量流氓软件。病毒完成这些操作,用户看不到任何通知,随后,病毒进行自删除,整个过程十分隐蔽。除此以外,病毒具有很强的修改空间,病毒作者只要稍作修改,病毒的危害性便大大增加,比如更改网址指向其他的病毒木马。

2.3 Trojan.Win32.Buzus.fyu(“Windows内鬼”木马病毒) 警惕程度 ★★★★

病毒运行后会替换正常的Windows系统文件为病毒主程序,释放由随机数字命名的一个驱动到%WINDOWS%\system32\drivers目录下,通过劫持注册表,达到破坏杀毒软件的目的。同时,病毒会遍历用户磁盘,感染本地磁盘中exe、html、asp、aspx、rar等文件,向其注入病毒代码。除此之外,该病毒会在全局域网内共享,并感染局域网内的所有可感染共享文件,而被感染的电脑将从黑客指定网址下载大量木马。

3 安全漏洞公告

3.1 IBM WebSphere Application Server远程拒绝服务漏洞

IBM WebSphere Application Server远程拒绝服务漏洞

发布时间:

2012-08-24

漏洞号:

CVE ID: CVE-2012-2190

漏洞描述:

IBM WebSphere Application Server (WAS)是由IBM遵照开放标准开发并发行的一种应用服务器。
IBM WebSphere Application Server (WAS) 6.1.0.45之前的6.1.x、7.0.0.25之前的7.0.x、8.0.0.4之前的8.0.x、8.5.0.1之前的8.5.x中,IBM HTTP Server内使用的IBM Global Security Kit (GSKit)在实现上存在远程拒绝服务漏洞,可通过TLS握手协议中的特制ClientHello消息造成拒绝服务。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.ers.ibm.com/

3.2 IBM DB2 XML文件泄露漏洞

IBM DB2 XML文件泄露漏洞

发布时间:

2012-08-23

漏洞号:

CVE ID: CVE-2012-0713

漏洞描述:

IBM DB2是一个大型的商业关系数据库系统,面向电子商务、商业资讯、内容管理、客户关系管理等应用,可运行于AIX、HP-UX、Linux、Solaris、Windows等系统。
IBM DB2 9.5 Fix Pack 10之前版本在实现上存在安全漏洞,可被恶意用户利用泄露敏感信息。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.ers.ibm.com/

3.3 Apache HTTP Server HTML注入和信息泄露漏洞

Apache HTTP Server HTML注入和信息泄露漏洞

发布时间:

2012-08-22

漏洞号:

CVE ID: CVE-2012-2687,CVE-2012-3502

漏洞描述:

Apache HTTP Server(简称Apache)是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的Web服务器端软件之一。
Apache HTTP Server在实现上存在HTML注入漏洞和信息泄露漏洞,攻击者可利用这些漏洞获取敏感信息,在受影响站点浏览器中执行任意脚本代码,窃取cookie身份验证凭证或控制站点外观。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.apache.org

3.4 Oracle MySQL拒绝服务漏洞

Oracle MySQL拒绝服务漏洞

发布时间:

2012-08-22

漏洞号:

CVE ID: CVE-2012-2749

漏洞描述:

MySQL是一个小型关系型数据库管理系统,开发者为瑞典MySQLAB公司,在2008年1月16号被Sun公司收购。
MySQL 5.1.63之前的5.1.x版本和5.5.24之前的5.5.x版本在实现上存在安全漏洞,可允许已验证用户通过错误计算和排序索引造成拒绝服务,mysqld崩溃。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.mysql.com/

3.5 IBM Lotus Domino HTTP响应分离和跨站脚本执行漏洞

IBM Lotus Domino HTTP响应分离和跨站脚本执行漏洞

发布时间:

2012-08-21

漏洞号:

CVE ID: CVE-2012-3301,CVE-2012-3302

漏洞描述:

IBM Lotus Domino 是一款服务器产品,可提供企业级电子邮件、协作功能和自定义应用程序平台。 IBM Lotus Domino 8.5.4之前版本在实现上存在多个漏洞,可被恶意用户利用执行HTTP响应分离和XSS攻击。
1)某些不明输入没有正确过滤即返回给用户,可被利用插入HTTP标头,用响应返回给用户。允许在受影响站点的用户浏览器中执行任意HTML和脚本代码。
2)与帮助和Web邮件相关的输入没有正确过滤即返回给用户,可被利用导致在受影响站点的用户浏览器中执行任意HTML和脚本代码。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://www.ers.ibm.com/