当前位置: 安全纵横 > 安全公告

一周安全动态(2013年5月02日-2013年5月09日)

来源:安恒信息 日期:2013-05

2013年5月第一周(5.02-5.09)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 美国五角大楼将组建13支网络进攻团队

Alexander将军在国会作证时证实五角大楼计划在2015年秋之前组建13支网络攻击团队。他们是保护国家的重要设施免受毁灭性网络攻击组织的一部分。

这支新组建的团队是国防力量的一部分,保护例如华尔街或电力系统不受网络攻击的破坏。但是Alexander将军警告说,军方预算的削减会影响这股力量的建设,尤其是目前美国境外网络威胁日益危险的情况下。因此他敦促美国议会立法共享政府网络攻击信息。

“我想明确一下,这些团队承担进攻任务”,Alexander将军称。

27个其他的团队将会听从例如太平洋指令和中央指令而进行攻击。单独的团队会关注防御部门网络的保护工作。他说,三分之一的部队将会在9月和后半年到位。

1.2 美8名犯罪分子在3个月内从ATM取款机盗取4500万美元现金

近日,8位因攻击ATM取款机并非法盗取4500万美元的犯罪分子在纽约被警方抓获。美国国土安全局移民与海关执法部门透露,这8位犯罪分子对银行机构的计算机系统发起攻击,并成功从中盗取大额现金。纽约警方表示,虽然他们成功抓获了这几位犯罪分子,但是在这些人的背后还隐藏着一个巨大的国际犯罪团伙。

据介绍,由这8位犯罪分子组织的2起攻击分别发生在2012年的12月和2013年的2月。攻击中,总共涉及到了20个国家的ATM取款机。其中,有一台ATM取款机在10个小时进行了36000多次交易。之后,这些犯罪分子将所有非法得到的钱换成了珠宝、跑车等奢侈品。

不过幸运的是,这些犯罪分子只从ATM取款机中盗取了现金,并没有盗取民众的银行账号信息。

纽约东部律师Loretta E.Lynch告诉《华尔街日报》,日前,检察官正在对欧洲、亚洲地区的一些可疑人物进行调查,希望能够将这个犯罪团体连根拔起。

1.3 IE8爆出0day,影响所有版本Windows

日前,安全研究人员发现IE8的0day(CVE-2013-1347)被应用于攻击美国政府的核武器科学家和研究人员中,微软发布警告所有Internet Explorer 8用户升级到更高版本的浏览器。据多个安全研究公司表明,该漏洞已经在美国劳工部和能源部的攻击中被发现。

Invincea上周五报道称,美国劳工部网站遭黑客入侵,攻击者在网站上嵌入代码,用户访问网站之后可能会下载恶意木马到用户的计算机,专家研究称,攻击者可能来自于中国。

据Net Applications最新的IE统计数据表明,IE8浏览器占到网络浏览器市场的23.08%,该漏洞影响Windows XP、2003、2008和R2版本,Winodws XP的IE6、IE7和IE9、IE10不受影响。

1.4 新一轮DNS钓鱼攻击已突破国内安全防线

近日,据国内领先的DNS服务提供商114DNS官网微博消息称:新一轮DNS钓鱼攻击已经突破国内安全防线,可能已经导致数百万用户感染。随后,其他安全软件及服务商也通过官方微博对此消息予以了证实,并向广大用户发出了安全风险警告。而相同的DNS攻击,曾在2009年制造了轰动全球的“银行劫持案”,导致巴西最大银行Bandesco银行近1%客户遭到钓鱼攻击。

据悉,DNS即DomainNameSystem的缩写,域名系统以分布式数据库的形式将域名和IP地址相互映射。简单的说,DNS是用来解析域名的,在正常环境下,用户的每一个上网请求会通过DNS解析指向到与之相匹配的IP地址,从而完成一次上网行为。而DNS劫持攻击,黑客正是利用了DNS协议中存在的漏洞,通过篡改DNS而将用户的正常上网请求指向一个虚假的“钓鱼欺诈网站”。

114DNS平台负责人介绍,此次被发现的DNS钓鱼攻击要远比以往严重,黑客利用宽带路由器的缺陷对用户DNS进行篡改,用户只要浏览一下黑客所掌控的WEB页面,其宽带路由器的DNS就会被黑客篡改,因为该WEB页面没有特别的恶意代码,所以可以成功躲过安全软件检测,导致大量用户被DNS钓鱼诈骗。

据安全检测数据显示:目前至少有4%的全网用户受到感染;以全网2亿用户进行估算,每天至少有800万用户处于DNS钓鱼攻击威胁中。安全专家称,对此类被篡改的DNS追踪发现,部分被篡改的DNS指向IP来自于境外机房。

目前,用户可以通过手动修改DNS服务器设置为114.114.114.114,备用DNS服务器为 8.8.8.8进行预防。

1.5 网银升级披外衣钓鱼 网络安全亟待法制护航

近年来,随着网上支付的快速发展,越来越多的人选择网银这种快捷支付方式,但随之而来的是危机重重,一些不法犯罪分子从中牟利。近日,一种新型银行诈骗方式横空出世,骗子冒充银行,短信通知客户“网银升级”,提示客户登录提供的网站地址进行银行卡在线升级,将客户骗到“克隆”的银行网站后,套取账户密码,盗取资金。

“网银升级”诈骗案频发

前不久,张女士和往常一样坐在办公电脑前处理公事。突然,她收到一条短信,内容为“您的网银需要升级,请按以下网址进行操作……”。张女士确实在该银行办理了网银服务,她当即按照短信里的网址登录网站,按网页上的提示,张女士仅仅用几分钟便完成了“升级”操作,在升级过程中,程序曾短暂提示她输入账号和密码。几分钟后,她账上的10万余元被转入另外一个陌生的账户。

这样的“网银升级”诈骗的案例举不胜举。无论是收到所谓的银行短信或是邮件,其目的只有一个,就是诱骗网银用户登录克隆的银行网站,套取账号、密码。据了解,目前,这类“网银升级”诈骗案频发,各大银行也提出了“预警”:网银用户被犯罪分子诈骗走钱财,主要是防范意识不强和网上操作的不规范。大部分“钓鱼”网站的网址同银行官网的网址极为相似,往往只差一个字母。因此,面对日益严峻的网络安全形势和不法分子花样翻新的诈骗手段,依靠各相关部门加强安全防控措施的同时,网友也要提高安全防范意识,养成良好的网银使用习惯,保护好自己网银账户和密码等个人信息,不要轻易泄露。

网络安全“李鬼”搅局

五一小长假临近,新一轮的钓鱼网站诈骗悄然而生。拦截数据显示,4月第二周国内新增钓鱼网站30378家,较上周增长35%。这些不法分子借网购热潮兴起了无本万利的“生意”。

许多假机票钓鱼网站纷纷打起旅游爱好者的主意。据最近一周的拦截数据,假冒携程网等大型旅游门户网站的钓鱼网站就多达近千家。据了解,这些钓鱼网站的页面做得几乎可以以假乱真,相同的网站主题配色,相同的标志、栏目类别、产品介绍、近似的页面规划等。但仔细对比,还是能发现许多漏洞。因此,用户进入此类网站,一定要仔细研查,最好是通过网络安全软件加以防护更为妥当。

此外,很多网友假期选择宅在家里看电影,许多不法分子抓住这个特点,制造出了大量电影在线观看、下载挂马及钓鱼网站,盗取用户网络账号甚至直接骗钱。许多仍在热映的电影却出现在了一些“××电影”的网站中供给网友在线观看或下载,但不少网友在进入该网站后,电脑就开始变得非常卡,QQ号等也莫名被盗,实际上这些都是暗藏木马病毒的挂马网站。

这两年,钓鱼网站出现了快速增长的势头。根据360安全中心统计数据,2012年新增钓鱼网站87.3万,比2011年增加了74%。而360浏览器在去年共拦截掉钓鱼网站攻击81亿次,比2011年增长了273%。钓鱼网站已成为用户上网浏览安全的首要危害,而以“内容欺诈”为主要特征的钓鱼网站的攻击更是让普通网民防不胜防,包括家电维修、旅游网站以及一些知名网站的官网。不法分子通过设置一个表面看上去很正规的网站,比如假招聘网站、假兼职网站等,暗地里却干骗人的勾当,这种内容欺诈方式很难通过技术手段防范。

亟待补齐相关法律

由于国内的网络经济起步较晚,相关的法律、制度都需要逐步建立和健全。网络经济近几年发展神速,但相关法律却依旧不能出台。网民安全意识薄弱与相关法律法规的缺失不无关系。事实上,相关法律法规的制定及完善,一方面能制约不法分子的违法行为,也能警示网民对这类钓鱼网站进行防范。虽国家在1996年就开始颁布实施一系列有关计算机及国际互联网络的法规、部门规章或条例,时隔多年,其中的不少规定已过时,留下来的大多只是一个可有可无的框架。网络经济如网银得不到法律的保驾护航,其发展难免受到限制。

其次,依照我国现行的法律,银行对此类案件不担责,这无疑滋长了不法分子的犯罪心理。只有有了法律法规的保护,情况才会有很大改变。专业人士指出,与网上银行业务相关的法律法规对于有效打击犯罪分子,构建更安全的社会秩序都大有帮助。

此外,我国针对网络犯罪公安机关的技术侦察机制还不够完善。目前国内公安队伍“专业性”不够,这给技术侦察力度带来很大制约。某“网络警察”表示,因为国内的技术侦察手段、流程等尚需完善,公开案件之后不利于公安机关以后侦破工作的展开,所以公安局纪律规定对于不管侦破与否的相关案件一律不对外公开。但是,大量案件如果不公开,在一定意义上对社会就起不到有效的警示作用,也无法给公民以事实的网络安全教育。

网上“李鬼”层出不穷,亟需政府、银行等各机构出台更多有效的措施净化网络环境。

 

2 本周关注病毒

2.1 Trojan.Win32.Fednu.unm(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.2 Trojan.Win32.VBCode.fvn(木马病毒)

警惕程度 ★★

病毒获得运行后,首先会关闭网络共享和Windows防火墙,导致电脑变得十分脆弱,很容易被黑客和木马入侵。随后病毒访问黑客指定网址下载大量流氓软件。病毒完成这些操作,用户看不到任何通知,随后,病毒进行自删除,整个过程十分隐蔽。除此以外,病毒具有很强的修改空间,病毒作者只要稍作修改,病毒的危害性便大大增加,比如更改网址指向其他的病毒木马。

2.3 AdWare.Win32.QQWalker.a(‘黑山小广告’病毒)

警惕程度 ★★★

该病毒运行后,判断当前模块是否为 C盘的explorer.dll,如果不是则会复制自己到系统根目录,并创建新进程运行explorer.dll。然后病毒将后台连接黑客指定网址,下载并安全装黑客指定程序。同时,该病毒还将尝试读取用户QQ帐号中的联系人,并利用用户的QQ邮箱及群共享功能传播恶意程序。中毒电脑将面临电脑被捆绑恶意软件的威胁,同时被感染的系统还将成为黑客传播病毒的工具。

 

3 安全漏洞公告

3.1 紧急:nginx 'ngx_http_parse.c'远程栈缓冲区溢出漏洞

nginx 'ngx_http_parse.c'远程栈缓冲区溢出漏洞

发布时间:

2013-05-08

信息来源:

BUGTRAQ ID: 59699
CVE(CAN) ID: CVE-2013-2028

漏洞描述:

nginx是一款流行的HTTP及反向代理服务器,同时也用作邮件代理服务器。
nginx 在处理某些畸形的HTTP请求长度值时存在问题,攻击者利用此漏洞可能造成栈溢出从而执行任意代码,最低限度可造成拒绝服务攻击。

安全建议:

Nginx已经为此发布了一个安全公告(security_advisories)以及相应补丁:
厂商安全公告:nginx security advisories
链接:http://nginx.org/en/security_advisories.html
源码补丁下载:
http://nginx.org/download/patch.2013.chunked.txt

3.2 Microsoft IE 8远程代码执行漏洞

Microsoft IE 8远程代码执行漏洞

发布时间:

2013-05-04

漏洞号:

BUGTRAQ ID: 59641
CVE(CAN) ID: CVE-2013-1347

漏洞描述:

Microsoft Internet Explorer是微软公司推出的一款网页浏览器。
Microsoft Internet Explorer 8在处理特定的畸形DOM操作时存在漏洞,远程攻击者利用该漏洞通过可以在当前用户的上下文中执行任意代码,控制用户系统。

安全建议:

目前厂商已经针对此漏洞发布了一个安全公告,但还没有提供补丁或者升级程序,我们建议使用此软件的用户换用其他浏览器并随时关注厂商的主页以获取最新版本:http://technet.microsoft.com/en-us/security/advisory/2847140

3.3 IBM Lotus Notes 整数溢出漏洞

IBM Lotus Notes 整数溢出漏洞

发布时间:

2013-05-07

漏洞号:

BUGTRAQ ID: 59693
CVE(CAN) ID: CVE-2013-2977

漏洞描述:

IBM Lotus Notes是桌面客户端,为用户提供了单点访问功能,有助于他们创建、查询和共享知识,与团队协作,以及采取相应措施。
IBM Lotus Notes 8.5.x、9.0在查看PNG图形时存在整数溢出漏洞,通过给攻击目标发送包含特制PNG图形的电子邮件,受害者只需在预览窗口查看电子邮件,攻击者就可利用此漏洞执行任意代码。

安全建议:

IBM已经为此发布了一个安全公告(21635878)以及相应补丁:
21635878:IBM Notes PNG integer overflow (CVE-2013-2977)
链接:
http://www-01.ibm.com/support/docview.wss?uid=swg21635878
补丁下载:
http://www.ibm.com/support/docview.wss?uid=swg21636024
http://www.ibm.com/support/docview.wss?uid=swg21636023

3.4 IBM WebSphere Application Server 安全漏洞

IBM WebSphere Application Server 安全漏洞

发布时间:

2013-05-07

漏洞号:

BUGTRAQ ID: 59650
CVE(CAN) ID: CVE-2013-0482

漏洞描述:

WebSphere是IBM的集成软件平台。它包含了编写、运行和监视全天候的工业强度的随需应变Web应用程序和跨平台、跨产品解决方案所需要的整个中间件基础设施,如服务器、服务和工具。
IBM WebSphere Application Server WS-Security可允许网络攻击者假冒消息签名,通过发送特制的SOAP消息,网络攻击者可利用此漏洞执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.ibm.com/support/fixcentral/

3.5 Linux Kernel 'host.c'多个拒绝服务漏洞

Linux Kernel 'host.c'多个拒绝服务漏洞

发布时间:

2013-05-06

漏洞号:

BUGTRAQ ID: 59638

漏洞描述:

Linux Kernel是Linux操作系统的内核。
Linux Kernel在'host.c'的实现上存在多个拒绝服务漏洞,攻击者可利用这些漏洞造成内核崩溃。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.kernel.org/