当前位置: 安全纵横 > 安全公告

一周安全动态(2012年11月01日-2012年11月08日)

来源:安恒信息 日期:2012-11

2012年11月第一周(11.01-11.08)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 90后黑客攻击司法考试远程教育网站并敲诈获刑

90后小伙在受雇攻击他人经营性网站获取报酬的同时,又对受害人进行敲诈勒索。10月24日,江西省宜春市袁州区人民法院公开宣判一起破坏计算机信 息系统案,一审认定被告人顾某构成破坏计算机信息系统罪、敲诈勒索罪,数罪并罚判处有期徒刑一年零一个月,并处罚金1000元

法院审理查明,江西剑邑科技有限公司主营司法考试的网上远程教育,并开设有一网站,名为九天考资网。2011年8月13日,被告人顾某通过QQ群认识网名为“大剑师”的网友(具体情况不详),“大剑师”让顾某运用黑客技术攻击九天考资网、半亩方塘网、新华自考网三个司法考试网站,并答应支付3000元报酬。双方谈好由“大剑师”先行支付被告人顾某1500元,若攻击网站效果好,再支付剩余的1500元。

同年8月底,顾某运用黑客技术对上述三个网站进行攻击,九天考资被攻击致不能正常运转,江西剑邑科技有限公司不得不转移公司服务器。同年9月1日晚,顾某用自己的手机与剑邑公司总经理联系,索要3000元。被害人被迫于9月2日汇款1500元至顾某的支付宝账号。9月4日晚,九天考资网再次受到黑客攻击,剑邑公司再次转移公司服务器,租用茂名群英网络有限公司服务器一个月,花费1万元。

法院认为,被告人顾某违反国家规定,非法攻击网站,致使网站不能正常运转,后果严重,其行为构成破坏计算机信息信息系统罪;顾某在利用黑客技术攻击 网站后,拨打被害人的电话,以非法占有为目的,以不关闭网站便继续攻击为由,索要被害人3000元,被害人迫于无奈支付1500元,被告人的行为还构成敲 诈勒索罪。被告人顾某由于意志以外的原因实际所得1500元,犯罪未得逞,敲诈勒索犯罪属犯罪未遂,依法可从轻处罚。被告人顾某于判决宣告以前犯数罪,依 法应数罪并罚。案发后,顾某如实供述了其犯敲诈勒索罪的犯罪事实,依法可从轻处罚,适当减少刑罚量。根据被告人的犯罪事实、犯罪性质、情节和对社会的危害,法院遂作出上述判决。

1.2 加强地方性商业银行信息安全管理

伴随着我国银行业信息系统建设的持续发展,地方性商业银行迎来了前所未有的发展机遇,信息化基础设施不断完善,网络技术应用全面提 升,核心业务系统功能不断增强。然而对比国内大型商业银行,地方性商业银行存在着信息安全体系不健全、信息安全技术水平落后、信息安全运维能力薄弱等不足,加强信息安全管理已成为地方性商业银行面临的紧要问题。

地方性商业银行信息安全存在问题

(一)信息安全管理体系不健全。信息安全管理工作主要由科技部门负责,未建立全面的信息安全长效管理机制,信息安 全标准、策略领域涵盖不全面,信息安全责任落实不到位。首先,应急管理注重形式缺乏与实际结合,尽管制定了应急预案,但应急实战演练针对性差、涵盖范围不 全,使得应急措施缺乏针对性、操作性和实效性。其次,科技人员配备不足并且素质有待提高,他们往往身兼数岗,耗费大量时间和精力应对设备、网络的日常维护工作,且人员流动性较大使得业务连续性欠缺,信息安全意识薄弱,安全观念仍然停留在保障核心生产系统正常运转上,未能深入理解信息安全的内涵。

(二) 信息安全技术水平落后。首先,机房、供电、安全保护措施等方面很多受到地理环境的影响达不到相关标准,设备、介质等安全防护措施欠缺。其次,网络和主机审 计、接入认证、系统授权管理等手段缺失,缺少边界防护设备或技术手段。再次,系统病毒防护、系统安全、数据库安全、身份鉴别、数据完整性、保密性等方面缺 少必要的措施或功能。最后,灾备机制不健全,系统或数据备份多采用同城备份,异地灾备中心建设滞后,核心网络和主机设备多采用同城冷备方式,并且设备冗余 备份不足,系统重建时间长,影响业务连续性。

(三)信息安全运维能力薄弱。首先,科技人员参加信息技术培训较少,缺少完整、系统的信息安全 知识,全体员工的信息安全培训不到位,信息安全意识不强,对信息安全参与度不够,往往认为信息安全是科技部门的事。其次,核心业务系统开发、网络及防火墙 等设备的安全策略配置大多采取外包或合作的模式,外包管理制度和约束不全面,使得系统运行风险及运维难度加大。再次,安全审计水平落后,缺乏必要的安全审 计手段和相关专业技术审计人员,风险评估、安全测评、等级保护等工作未得到重视,目前,大多数地方性商业银行对风险评估、安全测评以及等级保护等工作存在 理解偏差。另外,应急响应处置能力薄弱,由于应急管理体系不完善,大多数地方性商业银行缺少整体的运维监控体系,制约了应急响应处置能力。

加强地方性商业银行信息安全的建议

(一) 加强信息安全管理体系建设。一是加强信息安全管理机构对信息安全管理和监督工作的领导,完善组织保障、协调机制,避免将信息安全管理片面地由科技部门负 责,而是将信息安全管理纳入机构管理范畴。参照相关标准建立全面的信息安全管理体系,明确信息安全方针和策略,做好信息安全发展规划,确定信息安全管理体 系范围、原则、目标等。同时,明确管理职责,落实信息安全责任制和问责制,形成各部门协调统一、齐抓共管的信息安全工作局面。二是借鉴大型国有银行的管理 经验,完善涵盖物理环境、软件系统、应用安全、数据安全、访问安全、安全监控、安全审计、应急管理、风险管理等方面安全管理制度,制定切合实际的操作流程 及规范,同时加强制度的落实。

(二)加强信息安全技术水平建设。一是进一步加强机房等实体安全,机房、配电室等重要基础设施严格管理,配备 防盗、防火、防水、防鼠害、防雷、防磁泄露等装置,安装实时监控系统、入侵报警系统,加强网络、主机以及重要介质的安保措施,加强与电力、电信等部门建立 快速响应技术支持,保证良好的供电、通讯环境。二是进一步加强网络安全技术,加强网络审计功能、网络接入认证控制,增强网络边界防护能力,加强入侵防御能 力,实施内部网络与国际互联网络物理隔离,提高网络整体安全性。三是进一步加强主机安全,开启系统、数据库的安全审计功能或是建立专门安全审计系统,设置 密码更新策略,强制定期更换,安装及时更新病毒防护系统,安装补丁自动更新系统、外联监控系统等,开启或增加主机身份认证功能。比如密码设置要求周期性修 改和一定的复杂度,但在密码设定时往往执行不到位,这就要求通过技术手段予以解决。四是进一步加强应用安全,增加授权管理、身份认证功能,确保应用权限范 围,增加行为记录功能,便于责任认定。五是进一步加强数据安全,对数据进行加密处理或是增加网络加密技术,增强数据安全性,对数据包进行过滤,防止数据被 窃听、篡改,根据实际情况采用多家共建、两家互备、外包托管等方式加快异地灾难备份中心的建设,对数据采取异地实时备份,明确备份方式、备份频度、存储介 质和保存期限等。

(三)加强信息安全运维能力建设。一是进一步加强科技人员以及全体员工的信息安全培训,注重培养信息安全业务骨干,加强科 技人员应急响应、应急处置等应对突发事件能力的培养,建立专门的信息安全监管队伍,加强对监管专业人才的培养,针对员工开展信息安全知识、制度以及操作规 程等全方位培训,将信息安全培训作为机构的常态化基础培训,提高全员的信息安全与风险防范观念和意识。二是建立集中运维监控平台,集中管理信息系统的物理 场所、网络、主机系统、应用系统、安全防护产品的运行状况,实现实时预警监测,及时发现解决问题。同时形成相关信息记录,便于查询和审计。三是开展信息安 全风险评估、实施信息安全等级保护和安全测评、进行全面的信息安全审计管理,形成分工合理、职责明确、相互制衡的信息安全审计机制,发挥安全审计对信息安 全管理的作用。四是进一步加强应急响应机制,加强网络、主机、系统等重要设备、数据的冗余备份。加强外包管理,通过签订协议明确双方的责任和义务,并明确 外包服务的应急计划、应急响应恢复内容,提高业务连续性。

(四)加强监管部门规划指导作用。出台涵盖全面的金融信息安全的法律 、法规,制定针对性强的规范指引、行业标准,加大对金融机构信息安全的管理和指导力度,督促金融机构提升信息安全保障水平。根据当前的形势,积极探索实践 新的监管机制,建立前面协调的金融信息安全协调机制,引导金融机构信息安全工作的标准化、规范化进程。针对地方性商业银行引导其建立多家机构合作模式,解 决其科技人员短缺、技术力量薄弱、管理经验缺乏等问题,提升整体信息安全管理、风险防控、技术和运维水平,有效防止和化解区域信息安全风险。

1.3 新疆36家政府网站有安全漏洞

截至目前,新疆乡以上政府网站有2177家,其中36家政府网站被不同程度地篡改或者存在严重的安全漏洞,36家政府网站涵盖各地政府部门、医疗卫生、油田信息等行业部门。

10月22日,新疆都市报记者从新疆信息系统安全等级保护高峰论坛上了解到,截至目前,我区已建立自治区级政府网站1家,自治区政府部门网站41家,自治区直辖地州市政府网站19家,地市所辖部门网站657家,县市级政府网站96家,乡镇级网站177家,县市政府所辖部门网站1186家,全区共有乡以上政府网站2177家。

今年,据有关部门对各级政府网站的安全检测,全区已有36家政府系统公众网站被不同程度的篡改或者存在严重的安全漏洞,涵盖各地政府部门、医疗卫生、油田信息等行业部门网站。政府网站所面临的Web应用安全问题越来越复杂,各类安全风险,如网页篡改、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、Web应用安全漏洞等被不法分子利用,极大地困扰着政府和公众用户,给政府的公众形象、信息网络和核心业务造成严重的破坏。

当日,在乌鲁木齐举行的新疆信息系统安全等级保护高峰论坛以“安全与发展”为主题,由国家信息技术安全研究中心、新疆志冠信息技术有限公司主办,自治区人民政府电子政务办公室和自治区公安厅网络安全保卫总队协办,国家信息化专家咨询委员会委员宁家骏、自治区政府电子政务办公室主任刘稚等专家和领导做了相关主题演讲,吸引了新疆政府系统、兵团、能源等各行业200多人参加。安恒信息作为业界领先的应用安全及数据库安全整体解决方案提供商应邀参加了本次论坛。

据了解,此次论坛的举办,是为了进一步提升包括政府网站、能源与金融、教育与医疗等重要信息系统安全等级保护工作水平,加强各行业之间信息系统安全建设经验的交流,为各地各单位在新形势、新环境下开展信息系统安全等级保护工作中存在的问题、先进技术的运用等方面提出解决思路。

自治区政府电子政务办公室主任刘稚在介绍了我区政府信息系统现状,以及面临的安全风险后表示,新疆大发展,信息化发展首当其冲,政务公开是电子政务的灵魂,没有安全就没有发展,安全与发展必须兼顾。

刘稚说,“以前更多是采用技术手段进行安全管理,现在政府开通的微博,主要是人在管理,管理人员就不能用政府微博发表自己的意见,否则就容易出现安全问题,从这个层面说,现在在制度、措施以及对人员的管理上还存在问题。信息系统安全不应该是发展的刹车,应该是保障稳定、健康,继续发展的推进器。”

“虽然说现在的‘微博热’不好管,但必须管,不能说不好管就关掉它,微博不微,我们要看到它带来了两种能量,一种是正能量,一种是负能量,力量非常大。”国家信息化专家咨询委员会委员宁家骏说,“信息化发展不能有危险就不发展,目前总的来说还是应对不足,在管理体制问题上还存在各自为战,风险管理滞后,非常态化等问题,随着云计算等新技术的应用,新的安全问题也将产生,应该不断调整信息安全手段等级保护方案,开展风险评估,深入细致的长期工作。”

1.4 遭受APT攻击的五个信号

你的网络上是否有重要的数据?察觉到有奇怪的网络状况?那么你可能已经沦为APT攻击的受害者了……

与传统网络攻击相比,黑客所发动的APT(高级持续性威胁)是一个新兴的攻击类型。APT会给企业和网络带来持续不断的威胁,能够发动APT攻击的黑客,往往是一个有着良好纪律性的组织,作为一个专业团队集中进行网络活动。通常情况下,他们将宝贵的知识产权、机密的项目说明、合同与专利信息作为窃取目标。

发动APT的黑客在一般情况下所使用的方法便是用网络钓鱼邮件或其他的技巧来欺骗用户下载恶意软件。但其最终目的往往是极其核心的信息。若是发现一个非法入侵,但它唯一明显的意图就是去偷你企业的钱,那么这很可能不是一个APT攻击。那么真正的APT攻击应该是什么样子呢?

因为APT黑客与普通黑客所用的技术不同,所以他们会留下不同的痕迹。在过去的十年里,我发现了若是出现下列5种信号的话,你的企业很有可能已经遭到了APT攻击。在一个企业中,每个业务都有一个固定的、合法的活动频率,若其活动频率突然发生异变,说不定这部分业务正在被APT所利用。

APT信号 NO.1:在晚上,日志登录信息的暴增

APTs首先会攻陷一台电脑,然后会迅速接管整个网络大环境。通过读取数据库的身份认证,窃取证书并反复利用这些权限,从而达到接管整个网络的目的。他们了解哪些用户(或者服务)账户拥有更高的权限,有了这些特权,他们就可以游走于网络各方,危及企业的资产。因为攻击者的生活时差与我们相反,所以通常情况下,日志中大量的登录与注销记录的爆发都会发生在夜里。如果你突然发现日志的登录注销记录突然大量出现,而该时间段里,这些员工应该是在家休息的,那么你就需要警惕了!

APT信号 NO.2:广泛的后门木马

APT黑客经常在开发环境中在被感染的电脑里面装上后门木马。他们这样做是为了能够确保随时可以回来,即便是捕获的日志认证发生了改变,他们也能够通过此后门得到线索与信息。另一个相关的特征:一旦行踪暴露,APT黑客不会像普通攻击者那样马上逃走擦净痕迹,为什么会如此呢?他们在企业中操控了计算机等相关设备,而且只要他们本人不坦白,即使是走了法律流程,这些潜在的威胁也很难被发现。

这段时间以来,大多数被部署了木马的企业,均是被社会工程学的攻击手段钻了空子。这种攻击手段相当普遍,它们使APT攻击的成功率提高了不少。

APT信号 NO.3:意想不到的信息流动

我能想到的,检测APT活动的最好方法是:看到大量意想不到的数据流从内部计算机向外部流动。有可能是从服务器流向服务器,也有可能是从服务器流向客户端或是从网络移动到网络。

这些数据流可能是有限的,但是却具备非常强的针对性。比如会有些人专门收取一些国外发来的邮件。我希望每个邮件客户端都能够显示最新的用户登录地点以及最后访问的登录地点。Gmail和其他一些云电子邮件系统已经能够实现这一点。

当然,为了更准确地判断APT攻击,你必须能够从数据流中判断是否存有异常,那么现在就开始了解你的数据流基准信息吧。

APT信号 NO.4:发现意外的大数据包

APT攻击通常将窃取的信息在内部进行整合,然后再传输到外部。如果发现大块数据(这里指的是千兆字节的数据)出现在不该出现的地方,特别是那种在企业内部不常出现的压缩格式,或是不需要压缩的文件。发现这些数据后,你千万需要小心了。

APT信号 NO.5:检测哈希传递(pass-the-hash)黑客工具

虽然APT攻击中不是总是使用哈希值传递工具,这个工具却会经常弹出。奇怪的是,黑客使用这个工具后,往往会忘记将其删除。如果你发现了一个孤零零的哈希工具挂在那里,那他们肯定是有一点慌张了,或许至少可以证明他们确实是有所动作,你应该进一步深入调查。

如果非要让我总结出APT攻击的第6个信号的话,那么我将会强烈反对企业使用变态的Adobe Acrobat PDF文件,因为它是引起鱼叉式网络钓鱼活动的重点。它是诱发APT攻击的根源,我并没有将其写进上面5个信号中,因为Adobe Acrobat在任何地方都会被利用上。但是,如果你发现了一个鱼叉式网络钓鱼攻击,尤其是在一些高管不慎点击了附加PDF文件后,你一定要开始着手寻找其他的攻击特征。这很可能是APT攻击的前奏。

话虽如此,但我希望你永远不需要面对APT攻击,它是你和你的企业最难以做到的事情之一。预防和早期检测将会减轻你的痛苦与压力。

1.5 俄罗斯一黑客向美国宣战 攻击美国银行体系

据俄罗斯新闻网29日报道,俄罗斯一名自称“犯罪君主”的网络罪犯发表了一份前所未有的大胆声明,他宣布将开始攻击美国银行体系。

除了书面声明外,这个黑客还发布了一个视频,其中,一个剃着光头的男子展示了他的豪车以及建在金钱上的一座新屋。他声称自己已经从美国银行的客户账户中提取了500万美元,并且逃脱惩罚。

美国情报机构对此一直很平静,如同俄罗斯执法机构一样,但其他国家媒体表达了担忧。主要的美国媒体已经报道了由俄罗斯黑客构思的这一计划,并且谈到 犯罪分子令人难以置信的嚣张气焰。与此同时,俄罗斯方面并不感到忧虑,这不仅是因为攻击者已经选择了一个遥远的国家作为他的目标,还由于视频信息和声明看上去很幼稚。

2 本周关注病毒

2.1 Trojan.Win32.VBCode.fvh(木马病毒) 警惕程度 ★★★

病毒获得运行后,首先会关闭网络共享和Windows防火墙,导致电脑变得十分脆弱,很容易被黑客和木马入侵。随后病毒访问黑客指定网址下载大量流氓软件。病毒完成这些操作,用户看不到任何通知,随后,病毒进行自删除,整个过程十分隐蔽。除此以外,病毒具有很强的修改空间,病毒作者只要稍作修改,病毒的危害性便大大增加,比如更改网址指向其他的病毒木马。

2.2 Worm.Win32.FakeFolder.by(蠕虫病毒) 警惕程度 ★★★

该病毒运行后为躲避杀毒软件查杀,会试图结束当前运行的安全软件进程,通过创建注册表劫持项阻止杀毒软件再次启动,甚至还会删除安全软件图标并使其隐藏。病毒作者为避免病毒被手工删除,会破坏操作系统的安全模式,并让用户无法打开注册表编辑器。最终,病毒会在桌面上创建多个钓鱼网站的快捷方式,使用户进入黑客指定网站,为其带来巨大经济利益。

2.3 Backdoor.Win32.Farfli.ae(后门病毒) 警惕程度 ★★★★

该病毒运行后可以后台监控用户电脑的一举一动,盗取各类账号密码,对用户的信息隐私安全造成了威胁。由于该病毒对注册表操作比较繁杂,释放的文件名随机性很复杂,导致手工查杀难道极高,建议用户使用杀毒软件进行全盘扫描。

3 安全漏洞公告

3.1 phpMyAdmin会话信息泄露漏洞

phpMyAdmin会话信息泄露漏洞

发布时间:

2012-10-30

漏洞号:

CVE ID: CVE-2012-5368

漏洞描述:

phpmyadmin是MySQL数据库的在线管理工具,主要功能包括在线创建数据表、运行SQL语句、搜索查询数据以及导入导出数据等。
phpMyAdmin 3.5.x版本存在安全漏洞,使用了没有经过SSL的通过HTTP会话到phpmyadmin.net的JS代码,可允许中间人攻击者通过修改此代码执行XSS攻击。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://www.phpmyadmin.net/home_page/security/

3.2 phpMyAdmin多个HTML注入漏洞

phpMyAdmin多个HTML注入漏洞

发布时间:

2012-10-30

漏洞号:

CVE ID: CVE-2012-5339

漏洞描述:

phpMyAdmin是一个用PHP编写的,可以通过web方式控制和操作MySQL数据库。 phpMyAdmin 3.5.x版本存在XSS漏洞,通过事件、流程、触发器的特制名称,可允许已经通过身份验证的用户注入任意Web脚本或HTML。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.phpmyadmin.net/

3.3 Apache ‘mod_pagespeed’模块跨站脚本漏洞和安全绕过漏洞

Apache ‘mod_pagespeed’模块跨站脚本漏洞和安全绕过漏洞

发布时间:

2012-10-30

漏洞号:

 

漏洞描述:

Apache是一款流行免费的开放源代码WEB服务器,运行在多种Unix和Linux系统平台下,也可运行于Windows平台下。 Apache ‘mod_pagespeed’模块早期版本至0.10.22.6版本中存在跨站脚本漏洞和安全绕过漏洞。攻击者利用这些漏洞绕过一定的安全限制,在不知情用户浏览器中执行任意脚本代码,窃取基于cookie认证证书,进而在受影响应用程序执行某些管理员操作。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: http://www.apache.org/

3.4 Linux Kernel Unix 套接字net/core/sock.c本地拒绝服务漏洞

Linux Kernel Unix 套接字net/core/sock.c本地拒绝服务漏洞

发布时间:

2012-10-30

漏洞号:

CVE ID: CVE-2010-4805

漏洞描述:

Linux Kernel是Linux操作系统的内核。 Linux Kernel 2.6.35之前版本的net/core/sock.c在套接字实现中没有正确管理接收到报文的backlog,通过发送大量的网络流量,可造成拒绝服务。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.kernel.org/