当前位置: 安全纵横 > 安全公告

一周安全动态(2013年5月23日-2013年5月30日)

来源:安恒信息 日期:2013-05

2013年5月第四周(5.23-5.30)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 黑客1小时内破解16位密码 助力密码安全研究

一黑客小组近日尝试破解了14800 多个随机密码。每个黑客的成功率在62%到90%,且通过使用计算机集群在不到一小时内便成功破解了90%的散列密码。据悉,该黑客小组服务于Ars Technica网站,为了更好的研究黑客攻略技术,他们还专门发布了其破解密码的方法。黑客小组除了反复在网站中输入密码口令,还尝试在线获得一系列散列的密码口令。

散列法会让黑客很难从散表中回到口令上,同时也会让网站保存一系列的散列,而不是将它们储存为安全性低的文本口令。这就意味着,即使散列的口令被偷窃,真正的纯文本口令也仍然会安全的保存。

无论如何,该试验证明了这种防攻击方式的可行性。当使用者在在线状态或服务过程中输入口令时,系统就会将被输入的内容弄成散列,并与使用者事先所储存的散列口令进行核实查对。当两个散列口令完全匹配,使用者才会成功进入。

1.2 网络洗钱令人忧

全球知名的在线货币转账公司之一“自由储备银行”居然成为“黑社会定点洗钱银行”!5月28日,美国联邦检察官将总部设在哥斯达黎加的“自由储备银行”告上联邦法院,指控其涉嫌总额高达60亿美元的跨国洗钱大案。

上周,美国、哥斯达黎加、巴拿马、瑞士、瑞典和西班牙等17个国家的执法部门采取联合行动,将7名嫌疑犯中的5人抓捕归案,其中“自由储备银行”两名创始人,39岁的亚瑟·布多夫斯基和41岁的弗拉基米尔·恺茨分别在西班牙和美国被捕。

“‘自由储备银行’给用户提供的唯一‘自由’,就是自由地犯罪。”在宣布对嫌疑人提起诉讼时,美国联邦检察官普里特·巴拉拉表示,与传统银行或合法网上银行不同,“自由储备银行”不要求用户证明自己的身份,甚至允许以“俄罗斯·黑客”、“黑客·账户”这样的假名开立账号,一个名为“乔·博格斯”的开户人,注册地址居然是“纽约州乌有市假冒大街123号”。

起诉书表示,“自由储备银行”设立7年以来,已经在全世界为至少100万用户处理了5500万笔非法转账交易,“已成为全球网上犯罪分子分配、储藏和漂白非法所得的主要手段之一……涉及的犯罪行为包括信用卡欺诈、投资欺骗、电脑黑客、毒品贩运等,范围之广令人惊愕”。针对这次有可能是历史上规模最大的跨国洗钱诉讼案,美国国税局犯罪调查处处长理查德·韦伯说了一句意味深长的话:“我们现在已经进入洗钱的网络时代。”

值得注意的是,尽管美国执法机关已把“自由储备银行”定性为“充斥犯罪分子的公司”,但由于这家“银行”交易简便、服务便宜,再加上交易的不可逆性,也吸引了许多合法客户。美国休斯敦一家网络公司的罗塞蒂说,他选择这家网络银行,是看中他们每笔业务都只能是最终交易的特性,也就是说客户付款后便不能反悔。如今,他的公司尚有2.8万美元在“自由储备银行”中未能及时取出。罗塞蒂甚至觉得这家洗钱平台“有些冤枉”,因为在他看来,虽说一些骗子利用“自由储备银行”做坏事,但电子货币就像所有其他货币一样,可以从事违法交易,也可拿去扶贫济困。

然而,在执法人员获取的一段在线聊天证据中,“自由储备银行”联合创办人恺茨承认,“‘自由储备银行’行为非法”,“美国官方知道它是黑客用来洗钱的地方”。

其实,对于利用电子交易从事洗钱的行为,不仅像罗塞蒂这样的普通人缺乏警惕,有时就连正规的机构也无法做到火眼金睛。起诉书说,执法机构一共冻结或封存了45个银行账号,其中包括在澳大利亚第二大银行西太平洋银行的三个账号,涉及3690万美元。西太平洋银行一名发言人对此表示:“我们拥有严格的程序,足以打击洗钱活动,并且与监管和执法部门一直合作紧密。”

也许为了避免造成“一粒老鼠屎毁掉一锅汤”的印象,巴拉拉强调说,这起案件仅涉及“自由储备银行”及其运营者,与其他电子货币系统无关,“对于虚拟货币,我们并不持有某种立场”。分析人士指出,电子货币无疑给人们的经济生活带来极大便利,但如果人们在享受电子交易即时性、廉价性优势的同时,缺乏对这种虚拟交易的有效监管,便可能遭遇巨大的风险。

1.3 “技术男”化身“黑客”网上偷返利

人民网上海5月28日电 去年初,包括CSDN、天涯论坛在内的互联网公司数据库被黑客盗取并公开,多达千万用户资料被泄露,这被称为中国互联网史上规模最大的一次用户资料泄露事件。辽宁沈阳小青年赵某从中发现生财之道,他通过技术手段侵入上海一知名返利网站,盗窃他人的返利现金和积分。近日,上海市浦东新区人民法院一审以盗窃罪判处赵某拘役五个月,罚金2000元,违法所得发还被害人。

返利现金神秘失踪 百余用户受到影响

从2012年3月起,上海一知名返利网站陆续接到会员投诉,称自己账户里的返利现金或积分莫名其妙就不见了。随后,反映此事的人越来越多,到2012年11月,总数已多达110人,涉及金额有1万多块钱。返利网站开始重视这件事情。这时,一位温姓会员账户内10万元资金申请返利,经网站核实,这并非是温姓会员本人提交的申请,所幸发现及时,没有造成损失。

返利网站调查后发现,这是一个姓赵的会员在“兴风作浪”,他通过技术手段暴力破解、频繁登入返利网站,成功进入部分会员的账户,利用网站程序上的漏洞,窃取客户账户内的资金。接到投诉后,返利网站已就被盗的客户资金及积分进行赔偿。

2012年8月,返利网站向警方报案。当年12月,上海警方在北京昌平区回龙观镇赵某的暂住处将他抓获归案。

网络泄密触发“灵感” 技术男为钱当黑客

赵某出生于1984年,他其实是一名典型的IT“技术男”。大学本科毕业后,他先后在3家软件公司担任研发或运行维护工程师。

据赵某自己交待,侵入返利网站盗窃返利现金和积分,源于2012年初那场互联网用户资料泄密事件。“有人在网上发布大量网络客户信息,我就将这些包含有用户名、密码、电子邮箱的信息下载到电脑内,然后编写程序,攻击破解了返利网站的漏洞。”通过将这些信息与返利网站客户账户匹配,赵某最终掌握了1909条“有用”信息,从中,他知道这些账户的用户名、密码、电子邮箱、有无绑定手机、现金积分等详细情况。

由于赵某作案之初,这家返利网站还未对会员账户有手机绑定或修改密码的安全验证,赵某轻轻松松就将他人账户内的资金提现到了自己支付宝账户内。对于已经绑定手机号码的账户,赵某则用技术手段予以解除,并统一修改安全问题答案。检方最后认定,赵某通过种种方式共窃取返利现金和积分1.8万余元。

这些钱,赵某用来购买网络商城礼品卡、现金券,充值到自己的网络账户,并在网上发布打折销售信息,出售给他人牟利。

聪明反被聪明误 被告人一审被判刑

一个“技术男”,有着稳定的工作和不错的薪酬,却因为区区1.8万元身陷囹圄,让人为之惋惜。庭审中,赵某称自己这样做,是因为当时自己母亲生病亟需用钱。

而利欲熏心会使人失去理智,这句话用在赵某身上再恰当不过。赵某用自己的“聪明”轻松攻破了返利网站,可他似乎完全没有想过,无论是自己在返利网站的注册信息,还是转入资金的支付宝账户的注册信息,全是真实的。因此,返利网站很快就锁定了网上盗窃案的幕后黑手。

浦东法院审理后认为,赵某以非法占有为目的,采用秘密手段,利用计算机窃取他人财物,数额较大,已构成盗窃罪。赵某到案后能如实供述罪行,依法从轻处罚;他在庭审中能自愿认罪,退赔赃款,酌情从轻处罚。据此,法院作出上述判决。

1.4 全国最大网游盗号案:36名黑客盗上亿帐号

他们遍布国内各地,通过网络组成了一个庞大的盗号团伙

36名“黑客”盗取数以亿计的网游账号

临海法院宣判全国最大网游盗号案,牵出一条盗号洗号的黑色利益链

5月24日,随着临海市人民法院对24名被告人进行了一审宣判,加上5月14日至15日宣判的12名同案犯,这起迄今为止全国最大网游盗号案告一段落。36名被告人来自全国23个省市,在2010年至2012年间,利用非法技术手段,盗取他人网络游戏账号并出售,分别获利几千元至十几万元不等。

临海法院对此案进行了公开宣判,裘某、王某等36名被告,分别因非法获取计算机信息系统数据罪和掩饰、隐瞒犯罪所得罪,被一审判处有期徒刑六个月、缓刑一年至有期徒刑三年两个月不等的刑罚,并处罚金总计人民币167.03万元。

盗号分销洗号“一条龙”

他们盗取了数以亿计的网游账号,而让人惊讶的是,部分人走上这条路,竟源于曾被“盗号”的经历。网名为“老黑”的王某,便是其中一个。

26岁的王某斯文帅气,大学毕业后曾在一家学校当过老师,辞职后迷上网游。有一次,他的游戏账号被盗。为找回账号密码,他下了一番苦功,终于学会了“木马盗号原理”。他发现这条路“有利可图”,竟也摇身一变,成了专盗别人账号的“黑客”。

“老黑”在这个网络游戏盗窃帝国里,扮演着“包工头”角色,即付钱给技术人员,将买来的各类木马程序上传至各类网页。玩家不幸中招后,就盗取他们的账号、密码等信息,打包出售给专门负责“洗号”的中间商。

中间商们几人一伙,利用专门的软件,筛选出可用的网游号、游戏币等,分销给在“淘宝网”等网络交易平台上卖虚拟物品的商家。部分不法商家,明知这些游戏账号是非法途径获取的,为了高额利润,仍大批收购,然后转售给他人。

就这样,他们虽分布在天南海北,可能从未谋面,但通过网络,却组成了一个分工明确、机构庞大的网游账号盗窃帝国,盗号、洗号、销售井然有序,已形成一条成熟的产业链。

“网游上瘾就像吸毒”

“因年少无知,不懂法律,希望从轻处罚”、“我对做的事非常后悔,对法律不是很清楚,望从轻处罚”……

站在审判席上的36名被告人,基本上是80后、90后。涉世未深的他们,大多是网游爱好者,既有曾当过白领、教师的大学高材生,也有仅为小学学历的待业人员。

“后悔”——法庭上,他们说得最多的,就是这个词。

裘某,27岁,江苏人,他是第一批接触网游的“资深玩家”,因沉溺网游世界,毕业后没去工作,通过盗号等非法手段“谋生”。2010年9月,他因非法获取计算机信息系统罪获刑九个月,但出狱后,并没吸取教训。

“我不知还能做什么。”他说,所熟知的一切是网游世界的,来钱快、省力,让他赚钱之余可继续玩网游。因此,他没停手,反而扩大了“业务量”,与八九个人合伙盗号,一年不到获利16万余元。

案发后,他家父一气之下意外死亡。“我对不起他们!”提及此事,裘某红了眼眶,这是他最追悔莫及的事,“希望年轻人以我为诫,尤其青少年千万不要接触网游,网游上瘾,就像吸毒一样……”

这是全国最大一起网游盗号案

办案法官介绍,非法获取计算机信息系统数据罪,是2009年《刑法修正案(七)》新增的一项罪名,对此类网络盗窃行为进行了明确的立法规制。该罪名情节特别严重的,可处三年以上七年以下有期徒刑,并处罚金。

最高院、最高检,还在去年九月份下发了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,首次确定了危害计算机信息系统安全犯罪的定罪量刑标准。此案中,有超过10人达到了情节特别严重的标准。

此案是临海法院自该《解释》实施以来,首例涉及多省、市被告人相互配合、分工明确,从传播木马病毒,到盗号、销号形成完整产业链的网络犯罪。这36人仅仅只是这个团伙案中的一部分。公安机关称,涉案人员有数百人之众,查获涉案电脑100余台,银行卡百余张,已查明涉案金额达500多万元,其涉案人员之多、影响范围之大、涉案金额之巨,无疑创下了同类案件的全国之最。

法院认为,裘某、苏某等19人违反国家规定,使用木马、扫号器等技术手段,获取计算机信息系统数据,其行为已构成非法获取计算机信息系统数据罪;钱某、陈某等17人明知是非法获取计算机信息系统数据犯罪所获取的数据而予以收购并转卖,其行为已构成掩饰、隐瞒犯罪所得罪。经审理,法院作出如上判决。

1.5 超级网银成黑客利用工具 10万存款半分钟内被搬走

网上购物要注意资金安全。CFP图

截图1:案例1中骗子发给王先生的“支付链接”

截图2:案例2中骗子诱骗陈女士进行网银授权

超级网银成黑客利用工具 银行提醒客户看到输入卡号、交易密码等信息要谨慎

“超级网银”跨行账户管理功能已经成为黑客恶意利用的目标,近期全国连续出现多起银行客户被骗案例。

记者就此事咨询了银行的专业人士,其表示,超级网银的跨行转账原则上是必须支付、收款双方都允许的,且授权过程还需要付款方输入卡号、交易金额等资料,因此不法分子想要获得授权并非易事。  

专家提醒,网银用户一定要树立安全意识,在网购过程中最好不要轻信陌生人通过聊天软件发来的链接,就算是不小心点进去了,也要看清楚页面的信息,如果出现了需要输入卡号、交易额等敏感字眼,需要谨慎处理。

案例一: 网购166元

裤子被骗20166元

王先生通过即时聊天工具与某购物网站卖家商谈购买一条裤子。店家发给王先生一个报价166元的裤子的商品链接。王先生通过网银支付后,却看不到交易记录。店家就给了王先生一个客服QQ号,让王先生与客服联系。

王先生与该客服QQ沟通后,客服QQ给王先生提供了一个“退款链接”,表示王先生按照提示操作就可以内部退款。王先生按照客服提示,进入了一个“授权建行账户支付协议签约”的界面。(截图1)

王先生对这个授权页面上的信息也有所怀疑,但该网店的客服表示:这是内部核对信息,只要按照提示完成操作,收款人就会将货款退还给王先生。王先生犹豫之后,还是按照客服提示完成了授权操作。

几分钟后,王先生收到银行短信,提示自己的账户中有1万元被转走;过了一会儿,他又收到一条新的银行短信,提示自己又有1万元被转走。

案例二: 代付链接

骗走10万存款

安徽的陈女士在某购物网站上一家名为“超人气潮流2013”的店中选中了一款标价为279元的韩版服装。对方客服表示,该商品需要首先向厂家订货,之后 再由陈女士来进行支付,并向陈女士提供了一个“代付链接”。而据业内人士介绍,代付操作是一种网购服务,即甲购买商品,但由乙来付款。进行代付操作,付款 人只能查到资金支出记录,但账户中不会生成交易记录。
陈女士在代付链接上进行了支付,却无法像往常一样查到交易记录,店家表示要联系异 常订单处理中心客服才能解决,并发给陈女士一个QQ号。焦急的陈女士便与店家提供的客服QQ进行了联系。名为“异常订单处理中心”的客服QQ表示:要解冻 之前的订单,需要进行“签约授权”操作,并在询问了陈女士使用的是哪家银行后,提供了一个链接。(截图2)

陈女士在上述链接,按照客服 QQ的提示进行了逐步操作,在之后约5分钟时间内,骗子先后分6次,从陈女士账户中转走了十万八千八百元,加上先前通过代付链接支付的二百元,总共被骗十 万九千元,账户中的资金余额仅剩40.38元。账单显示,所有资金都被转移到一个陌生人的银行账户中。从银行账单记录来看,前两笔金额各为5万元的转账, 时间间隔仅为24秒。

业内解析:

不法分子诱骗用户进行“网银授权支付”

昨日,360发布重大安全警报称,骗子通过钓鱼链接、交易失败提示、客服聊天等组合,诱骗受害者进行“网银授权支付”,短短几分钟内就能将受害者账户中的资金大量转出。

专家认为,目前“超级网银”的授权操作存在一定安全风险,“比如‘超级网银’授权并不会对双方身份和关系进行验证,也就是说,网银用户可以授权任何人对自己的账户进行查询和转账操作。”此外,有些银行的授权页面提示信息过于晦涩,客户有可能忽视其中的安全隐患。

专家认为,部分银行没有在授权界面中提醒用户设置额度,在此过程中,也并不需要授权账户进行二次确认,因此无法阻止账户余额被转走。

银行回应:

获得授权需付款方输入多项信息

记者了解到,“超级网银”是2009年央行研发的标准化跨银行网上金融服务产品,可以用一个网银账户,实现多张银行卡的跨行查询和转账。而将不同银行的账户关联到某个指定银行账户的过程,就是“授权”操作。

“但有的银行就没有参与其中,而参与的银行也有各自不同的处理办法。”某股份制银行技术部门相关工作人员贾先生(化名)告诉记者,人民银行在系统里设了单笔五万元的交易限额,但银行可以自行处理,如有的银行可直接在网银上改,但有的银行必须要到柜台去修改限额。

在跨行转账授权方面,贾先生表示,“如果要进行指定账户关联,必须收款方在自己的网银页面上发起交易,付款人也要允许,双方都同意,这是前提。”

贾先生认为,“收款人发起交易一定要从银行正规网站进去,不可能由自己编的网站发起。此外,对方的确认并不是简单点击‘ok’,有的银行还会要求输入卡 号尾数、交易限额等信息。就算是紧急授权,也要输入交易限额等信息,且每家银行都需要相关付款人的身份验证,比如说,要通过付款人的U盾、密码等信息进行 验证。”

用户被骗过程

不法分子开通了超级网银功能,然后在网络交易过程中,发给被骗者一个银行支付界面,这个界面确实是银行的,但它是不法分子的超级网银管理界面;

当受骗者被诱骗把自己的银行账号、密码输入到该界面后,其实就是把自己的银行卡权限归入了不法分子的这个超级网银里面;

不法分子获得授权后,可以随意对被骗者的银行卡进行转账,导致被骗者财产损失。

专家建议:

1.在网购过程中,对于对方需要远程协助的说法,网购用户一定要谨慎,这种情况多半是骗子;

2.对于对方发来的任何支付界面一定要看清楚,而且不要轻易在对方发来的支付界面输入自己的账号和密码;

3.一旦网络交易出现异常,应当首先通过官方渠道联系自己开卡银行的客服,不要轻信网络店家发来的客服聊天号码;

4.不要相信网络上陌生人所谓的卡单、掉单、解冻资金等说法;

5.对自己的网银账户设置单日最高转账限额,以控制风险。

 

2 本周关注病毒

2.1 Trojan.Win32.Fednu.uoi(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.2 Trojan.Win32.Fednu.uoc(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.3 Backdoor.Win32.Yjdg.a(‘桌面后门’后门病毒)

警惕程度 ★★★★

病毒通过shellcode代码进行多层次注入和代码变换,躲避杀毒软件的查杀。通过创建虚拟桌面,并多次切换桌面,阻碍反病毒调试。中毒电脑将后台连接黑客指定服务器,并上传本机信息到控制端。用户将面临隐私信息泄露、网银账密被盗等危险,同时电脑还极有可能沦为黑客袭击他人的工具。

 

3 安全漏洞公告

3.1 Apache Tomcat 不安全临时文件处理漏洞

Apache Tomcat 不安全临时文件处理漏洞

发布时间:

2013-05-28

信息来源:

BUGTRAQ ID: 60186
CVE(CAN) ID: CVE-2013-1976

漏洞描述:

Apache Tomcat是一个流行的开源JSP应用服务器程序。
Apache Tomcat服务中init脚本在管理Tomcat日志文件时存在漏洞,本地攻击者可利用此漏洞造成拒绝服务,或者通过对Tomcat日志文件的符号链接攻击,以特权系统用户权限执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://jakarta.apache.org/tomcat/index.html

3.2 Apache Tomcat 不安全临时文件处理漏洞

Apache Tomcat 不安全临时文件处理漏洞

发布时间:

2013-05-28

漏洞号:

BUGTRAQ ID: 60186
CVE(CAN) ID: CVE-2013-1976

漏洞描述:

Apache Tomcat是一个流行的开源JSP应用服务器程序。
Apache Tomcat服务中init脚本在管理Tomcat日志文件时存在漏洞,本地攻击者可利用此漏洞造成拒绝服务,或者通过对Tomcat日志文件的符号链接攻击,以特权系统用户权限执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://jakarta.apache.org/tomcat/index.html

3.3 Apache Struts 'includeParams' 不完整修复安全绕过漏洞

Apache Struts 'includeParams' 不完整修复安全绕过漏洞

发布时间:

2013-05-27

漏洞号:

BUGTRAQ ID: 60167
CVE(CAN) ID: CVE-2013-2115

漏洞描述:

Struts2 是第二代基于Model-View-Controller (MVC)模型的java企业级web应用框架。它是WebWork和Struts社区合并后的产物。
Apache Struts 2.0.0-2.3.14.1存在未彻底修复的安全措施绕过漏洞(CVE-2013-1966),攻击者可利用此漏洞以当前用户权限执行任意代码。此漏洞已经在Struts 2.3.14.2中修复。

安全建议:

Apache已经为此发布了一个安全公告(S2-014)以及相应补丁:
S2-014:A vulnerability introduced by forcing parameter inclusion in the URL and Anchor Tag allows remote command execution, session access and manipulation and XSS attacks
链接:https://cwiki.apache.org/confluence/display/WW/S2-014

3.4 Microsoft Windows Kernel 'Win32k.sys'本地拒绝服务漏洞

Microsoft Windows Kernel 'Win32k.sys'本地拒绝服务漏洞

发布时间:

2013-05-17

漏洞号:

BUGTRAQ ID: 60159
CVE(CAN) ID: CVE-2013-3661

漏洞描述:

Microsoft Windows是微软公司推出的一系列操作系统。
Microsoft Windows XP SP2/SP3、Windows Server 2003 SP2、Windows Vista SP2、Windows Server 2008 SP2/R2 SP1、Windows 7 SP1、Windows 8、Windows Server 2012、Windows RT版本中,win32k.sys的函数EPATHOBJ::bFlatten没有检查链表遍历是否持续访问同一个列表成员,本地用户通过特制的PATHRECORD链可触发漏洞,造成拒绝服务。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://technet.microsoft.com/security/bulletin/

3.5 Cisco WebEx for iOS 证书验证安全绕过漏洞

Cisco WebEx for iOS 证书验证安全绕过漏洞

发布时间:

2013-05-24

漏洞号:

BUGTRAQ ID: 60155
CVE(CAN) ID: CVE-2012-6399

漏洞描述:

Cisco WebEx Social是企业协作平台。
Cisco WebEx for iOS 4.1没有正确验证服务器SSL证书,远程攻击者可利用此漏洞通过中间人攻击欺骗服务器并获取敏感信息。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.cisco.com/go/psirt