当前位置: 安全纵横 > 安全公告

一周安全动态(2013年8月01日-2013年8月08日)

来源:安恒信息 日期:2013-08

2013年8月第二周(8.01-8.08)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 网络犯罪工具攻克汇丰银行的反木马技术

来自某地下技术论坛的犯罪分子们已经开发出一种新技术,能够避开Trusteer反木马机制的层层堵截,从而令全球各大金融机构——包括汇丰银行与Paypal——的储户保护方案形同虚设。

Trusteer方面对这一安全漏洞进行冷处理,并轻描淡写地表示已经在推出针对性强化方案。然而,率先发现该漏洞的独立安全研究人员仍然警告称,目前银行客户仍然处于危险当中。

Trusteer的Rapport浏览器锁定技术目前已经成为全球五十家银行客户的可选下载方案,其中包括英国的国民西敏寺银行以及汇丰银行。在美国方面,ING Direct USA、eBay以及PayPal的客户也在企业方面的引导下利用这项技术实现反木马保护。
根据数字取证企业Group-IB的调查,某个私人网络犯罪论坛开发出一套机制,能够成功绕过浏览器锁定技术。更确切地说,Trusteer Rapport的1208.41及更早版本会遭受内存修改漏洞的侵害,从而关闭“Rapport的自检脱钩与拦截系统”。

“在新漏洞的帮助下,恶意人士将有可能在Trusteer Rapport运行的同时拦截用户的验证资料,”Group-IB公司国际项目负责人Andrey Komarov解释道。

根据Komarov的说明,网络犯罪论坛的成员已经开始使用这招绕过Papport检查,通过拦截,防止用户的登入信息被窃取,包括网上银行服务的登录细节。

在一份声明中,Trusteer公司CTO Amit Klein刻意淡化了该漏洞的严重性。Klein表示该漏洞只会影响到Trusteer软件提供给客户的保护层之一。

针对该漏洞的补丁已经公布,而且将自动普及到全部Trusteer Rapport客户群体当中。Rapport的用户无需采取任何额外措施。这项安全漏洞对Rapport阻断金融恶意软件,例如Zeus、KINS、Carbero、Gozi、Tilon以及Citadel等,的效能不会造成任何影响。这是因为Rapport还采用了其它与该漏洞无关的保护机制,从而继续保持拦截恶意软件的能力。此外,目前也还没有任何金融恶意软件在利用该安全漏洞。

不过El Reb网站还收到另一份声明,据说这份声明已经在本周一被发布到Trusteer各大银行业客户手中。这份声明补充了一项重点警告,称“该漏洞与新型恶意软件(所谓‘新型’是指处于未知状态、尚未实际出现)的结合给Rapport未采用多层次保护的产品带来严重威胁,并很可能成功绕过Rapport的保护机制。”

根据Komarov的说法,上述安全规避方案目前仍然有效。

“问题仍未得到解决,我们可以通过视频向大家演示如何成功绕过当前Rapport版本,”他向El Reg网站解释称。“由于SpyEye与Carberp的源代码已经泄露,目前已经出现一些利用该漏洞绕过安全机制的编译副本。”

Komarov补充称,Group-IB公司正在深入分析黑客团队利用该漏洞的具体方式。其中某些黑客此前还参与过SpyEye与Zeus中的反Rapport模块开发,过去几年中这两款恶意软件已经成为银行木马工具中的主要领导者。

众多网络犯罪论坛自2010年以来一直在积极讨论规避Trusteer的可能性与具体机制,Komarov总结称。

1.2 [BlackHat 2013]研究人员使用iPhone充电器作为黑客工具

8月1日,在美国拉斯维加斯的Black Hat 2013安全大会上,来自乔治亚理工学院的三名研究人员展示了一款“概念验证”型充电器,可以在苹果公司的iOS设备上秘密安装恶意软件。

这款充电器被称为“Mactans”(似乎参考了‘黑寡妇蛛’的学名),基于开源单片计算机“BeagleBoard”而开发。BeagleBoard由德州仪器出售,零售价为45美元。三位研发人员表示:“选择这种单片机是为了证明,要在平淡无奇的USB充电器中嵌入恶意软件其实并不难。

三位研究人员在不到一分钟的时间内,利用该充电器侵入了搭载最新版iOS系统的设备中。他们还表示,这种恶意软件感染持续时间长,用户很难发觉。

这并不是研究人员首次利用USB连接线入侵iOS设备。例如,有黑客组织今年2月发布了完美越狱工具evasi0n,利用了包括iOS移动备份系统在内的5处漏洞破坏了苹果公司的安全机制。

苹果发言人指出,多谢黑客们提供的资料,有关问题已在iOS 7 beta 4中修正。虽然用户目前只能使用iOS 6,暂未能升级至iOS 7,但预计今年內就可以升级。

1.3 [BlackHat 2013]黑客通过Verizon毫微微蜂窝劫持手机通话、短信记录

两名研究人员在BlackHat 2013 上演示了如何入侵美国运营商Verizon Wireless出售的毫微微蜂窝,可随意监听连接至小蜂窝终端的手机所发送的通信内容。

这两名研究人员分别是安全公司iSECPartners的高级顾问汤姆?里特尔(TomRitter)及其同事道格?德佩里(DougDePerry)。

Verizon表示,公司已经修补了这一安全漏洞,虽然之前被侵入的毫微微蜂窝基站显然无法借助软件升级修复。

里特尔与德佩里展示了如何窃听/窃取连接到受影响的毫微微蜂窝基站的手机(包括采用安卓操作系统的智能手机和苹果iPhone)发送的短信、照片和电话。

黑客侵入毫微微蜂窝软件从而能够让他们假冒传统基站并引诱不知情的手机用户登录的可能性一直备受关注,但业内普遍认为这只是个“概念”,不太可能真地发生,原因在于重新为毫微微蜂窝编码的工作量巨大、进展速度缓慢,很容易就被运营商的软件升级所覆盖。

1.4 黑客推出可将金属硬币兑换成比特币的手提箱

近段时间,比特币虽然受到了广泛的关注,但其持有者仍在少数。在这届的黑帽大会上,一位名为Garbage的黑客设计出了一种可将金属硬币兑换成比特币的手提箱。据悉,Garbage跟他的团队TwoSixNine使用一台价值250美元的Raspberry Pi微型电脑和一个便携式4G解调器打造了这个手提箱。






在放入一定的硬币之后,手提箱会根据现在的汇率打印出一张带有二维码的纸质发票。不同于比特币ATM机,Garbage设计的这种手提箱则比较适合一些从未接触比特币的人所使用。它可以起到一个很好的引导作用。

为了能够收回成本,Garbage和他的团队表示会收取交易中货款的15%作为提成。Garbage表示,目前他们已经获得了17美元的收入。虽然比特币遭受了各种各样的挫折,但不可否认的是,它的的确确正在平稳地发展中。现在,越来越多的网页服务以及实体商店开始接受比特币,将它作为他们的流通货币。

1.5 工信部治理黑客地下产业链

工信部发动一轮防范治理黑客地下产业链专项行动。在昨日公开的《工业和信息化部关于印发防范治理黑客地下产业链专项行动方案的通知》中,工信部称,为遏制黑客地下产业链蔓延,净化网络环境,保护用户和企业切身利益与财产安全,将于2013年8月至12月开展防范治理黑客地下产业链专项行动。

在公布的行动方案中,工信部指出,随着信息网络的快速发展和日益普及,人民群众日常工作、生活对网络的依赖程度越来越高。受经济利益驱动,以信息窃取、流量攻击、网络钓鱼为代表的黑客活动呈快速增长趋势,并形成地下产业链,严重危害互联网用户和企业的切身利益。近年来通信和互联网行业采取了一系列措施,防范和治理黑客活动,取得一定成效,但有关问题依然十分突出。

据了解,此次整治行动的主要任务包括:落实《木马和僵尸网络监测与处置机制》,加强木马和僵尸网络监测和研判,着重清理控制规模较大的木马和僵尸网络控制端主机和控制域名,加强处置效果验证,探索被控端处置方式;加强仿冒政府、金融、传媒、电子商务类网站的监测和研判,在以行业自律方式对钓鱼网站域名进行处置的同时,加大对钓鱼网站托管主机的协调处置力度;落实《移动互联网恶意程序监测与处置机制》,加强移动互联网恶意程序网络监测,开展移动互联网应用程序安全检测,着重清理受控用户较多和下载次数排行较高的移动互联网恶意程序。

另外,工信部还要求针对网上贩卖“肉鸡”、虚拟财产、用户个人信息以及提供攻击服务的信息进行监测,对黑客活动受益主体进行关联分析,建立相关举报机制。对在恶意吸费、广告黑链等行为中获益的SP、网站等进行依法处置、暂停业务合作或予以曝光。

1.6 72个利用“伪基站”犯罪团伙被摧毁

在银行或者商场时手机经常没信号,殊不知,此时有人正在凭借“伪基站”冒用你的手机号广发诈骗短信。近日,公安部部署指挥北京、辽宁、湖南、广东等12省 区市公安机关集中行动,捣毁4处“伪基站”设备生产窝点,摧毁违法犯罪团伙72个,抓获犯罪嫌疑人217名,破获各类刑事案件429起,缴获“伪基站”设 备96套。

冒用他人手机号强行发短信

据新华社北京8月5日电(记者 刘奕湛)“你好,我是房东,我现在在外地,租金打到我爱人账号上……(汇好回个信息)。”今年3月以来,一些群众收到了类似这样的虚假诈骗信息,受害人分布于上海、广东、湖北、重庆等多个地方。

这些受害人在收到短信之前遇到了同样的情况:手机没有信号,网络无法连接,收到短信之后又恢复到正常。据办案民警介绍,这些短信都是来自一种被称为“伪基站”的设备。

“尽管群众上当受骗的几率较低,但是由于发送数量巨大,该团伙每天可以到手几千元到几万元。”娄底市公安局刑侦支队重案大队大队长李雄说,以贺某为首的团伙骗的就是一个概率,尽管概率很低,但是从开始利用“伪基站”发送诈骗短信截至案发3个月的时间里,该团伙共骗取现金100余万元。

李雄介绍说,该诈骗团伙一共购置了4台“伪基站”设备,在湖南与广东的一些城市挑选人群密集的地方,以车载方式在移动中发送诈骗短信,每台设备大概每天能发送诈骗短信10余万条。

“伪基站”设备是一种高科技仪器,主要由主机和笔记本电脑组成,能够搜取以其为中心、一定半径范围内的手机卡信息,并任意冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。根据功率大小不同,“伪基站”搜索范围的远近也不同,但都有一个强大的功能—强迫用户手机脱离通信网络,接入“伪基站”发送的信号,导致无法接打电话、收取短信等,部分用户甚至必须开关机才能重新入网,严重扰乱了社会通信秩序。

发送无成本且不会漏发重发

“一般来说,正常使用的手机会每5秒搜索一次周围的信号基站,而这种设备的信号要比目前通讯商提供的信号更强,手机就会优先选择设备发送的信号。”“伪基站”研发人员曹某说,对这一过程,可以用“强制介入”来描述。而在接收短信前后,手机会经历两次被隔离的过程,一次是被强制拉入“伪基站”的信号范围,一次则是发完短信后将这一号码删除。

“以前用手机sim卡发送短信的成本太高,而且运营商也会审查,经常发不出去。这种设备不仅不用通过运营商,而且发送数量与速度都大大提升了。”犯罪嫌疑人谭某说。

湖南省公安厅刑侦总队副总队长蒋有为说,“伪基站”功能很强大,但是制作方法却很简单,造价也很低廉。“伪基站”每台成本不到两万元,向外出售给中间人每台四五万元不等,而到谭某等买家处时价钱则变为九万元上下。

监管有一定难度

“从无线电管理方面来说,目前对这种行为只能进行事后监管,只能在非法信号出现时,才能定位测向锁定信号源。”深圳市无线电管理局工作人员游柳锋说。

“这种犯罪设备和手段是通过互联网传播的,犯罪嫌疑人之间互相学习、互相借鉴,设备不断升级,手段也更加隐蔽。”深圳市公安局刑侦局一大队大队长钟勇辉说,如果有人冒用银行发送诈骗短信,一般人基本没有能力去辨别信息的真伪,将会给人民群众的财产安全带来巨大威胁。

公安部有关负责人表示将始终保持严打高压态势,什么犯罪突出、群众反映强烈,就打击什么犯罪,坚决维护人民群众的切身利益。

1.7 斯诺登爆料美国1969年登月是造假!

8月1日,斯诺登在俄罗斯获得避难“自由”后第一时间通过推特发布信息:“我相信是俄罗斯首先探索的月球”。

此前有英国媒体透露,斯诺登手中掌握有揭露美国1969年的登月是造假的机密文件。这条推特恭维了俄罗斯,献了一份大礼,又貌似仍然遵守了普京关于斯诺登不得直接损害美国重大利益才允许避难的要求。

8月1日,为美国“棱镜”项目揭秘者爱德华·斯诺登提供法律援助的俄罗斯律师库切列纳表示,斯诺登已获得俄罗斯联邦移民局提供的为期1年的临时避难证件,目前他已离开机场前往安全的地方。

他同时表示,现在全球媒体没有一家不想知道斯诺登身在何处,但出于对其安全的考虑,任何相关信息都无法透露,“因为我们知道他的人身安全明显受到了威胁”。根据俄罗斯的法律,斯诺登获得难民身份后,可以在俄罗斯境内自行选择居住地。
美国人宣称四十年前登上了月球,一直引来众多质疑。各国媒体和好事者纷纷要求美国出示登月证据。

1、美国人此后再也没有登月计划;

2、登月火箭返回舱据称找不到了,连图纸都找不到了;

3、登月当事人多年一直被禁口,不接受采访;

现在各国掀起探月高潮,眼看就可以印证美国人登月的真相。这个时候,美国宇航局宣布当初插在月球上的第一面美国星条旗已经不见了(被外星人掠去了?)。

美国称登月人在月球插上的第一面美国国旗已失踪

科研人员马克·罗宾逊说,从照相机发回的照片来看,“‘阿波罗’11号那次任务插上的旗帜已经不见了,其余5次任务留下的美国国旗都还在原地,能看到国旗投射在月球上的阴影。 ”

斯诺登再证阴谋论:认为美国从未登月 

随“阿波罗”11号登月的宇航员奥尔德林称,他们在插国旗时一直担心它插不牢,会在电视直播中歪倒在月球表面上。最后,这面国旗的确是倒下了,当宇航员驾驶“鹰号”登月舱飞离月球时,就眼睁睁看到引擎强大的冲击波将这面美国国旗“刮”倒在地。
此前宇航局有科学家认为,由于可怕的太阳紫外线,再加上这些美国国旗使用的是尼龙材料,所以随着时间流逝,月球上的美国国旗可能早就粉身碎骨,化为灰烬了。

但当时这面看起来像在微风吹拂下飘扬的旗子,却成了人类是否真的登上月球的最大疑点。据美国航天局当年负责登月项目的工程师汤姆·莫泽介绍说,宇航员们原本打算用机械臂把绑在梯子上的国旗展开,但在实施过程中出现意外,国旗并没有按计划展开;宇航员不得不用手头的工具设法把国旗展开,却不小心把国旗上的纤维绞缠在了一起,这样就给正在观看电视的人们造成了美国国旗在月球上轻微飘动的错觉。

 

2 本周关注病毒

2.1 Trojan.Win32.FakeSoft.a(木马病毒)

警惕程度 ★★

病毒运行后,将通过使用正常软件的数字签名,规避杀毒软件的查杀。同时修改注册表,实现开机自启动,并连接黑客指定服务器,上传用户系统信息,同时等待黑客的进一步指令。

2.2 Backdoor.Win32.Yjdg.a(后门病毒)

警惕程度 ★★

病毒躲避杀毒软件的查杀,通过创建虚拟桌面,多次切换桌面,阻碍反病毒调试。中毒电脑将后台连接黑客指定服务器,并上传本机信息到控制端。用户将面临隐私信息泄露、网银账密被盗等危险,同时电脑还极有可能沦为黑客袭击他人的工具。

2.3 Trojan.Win32.Generic.157BDEB7(‘病毒下载器’木马病毒)

警惕程度 ★★★★

病毒运行后,将自我复制到%SYSTEM%目录下,并后台连接黑客指定服务器,下载大量其他病毒至用户电脑。除此之外,病毒还将获取电脑权限,接受黑客指令,利用用户电脑对黑客指定地址进行洪水攻击。中毒电脑将成为黑客的“肉鸡”,并面临隐私信息泄露、网络账密被窃等风险。

 

3 安全漏洞公告

3.1 Cacti SQL及命令注入漏洞

Cacti SQL及命令注入漏洞

发布时间:

2013-08-06

漏洞编号:

 

漏洞描述:

Cacti是一款轮循数据库(RRD)工具,可帮助从数据库信息创建图形,有多个Linux版本。
Cacti 0.8.8b对某些输入没有正确过滤即用在SQL查询和执行命令,可导致注入和执行任意SQL代码和shell命令。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.cacti.net/download_cacti.php

3.2 OpenX 'flowplayer-3.1.1.min.js'后门漏洞

OpenX 'flowplayer-3.1.1.min.js'后门漏洞

发布时间:

2013-08-06

漏洞编号:

BUGTRAQ ID: 61650
CVE(CAN) ID: CVE-2013-4211

漏洞描述:

OpenX是用PHP编写的开源广告服务器。
OpenX 2.8.10的downloadable zip文件存在后门漏洞,此漏洞源于已损坏的 OpenX Source 源代码包内存在后门,被利用后可导致执行任意PHP代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://blog.openx.org/08/important-update-for-openx-source-2-8-10-users/
http://forum.openx.org/index.php?showtopic=503521628

3.3 Apache CloudStack多个跨站脚本漏洞

Apache CloudStack多个跨站脚本漏洞

发布时间:

2013-08-06

漏洞编号:

BUGTRAQ ID: 61638
CVE(CAN) ID: CVE-2013-2136

漏洞描述:

Apache CloudStack是部署和管理大型虚拟机网络的开源软件。
Apache CloudStack 4.0.0-incubating, 4.0.1-incubating 4.0.2, 4.1.0的用户界面允许经过身份验证的用户对系统内的其他用户执行跨站脚本攻击。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://cloudstack.apache.org/docs/en-US/Apache_CloudStack/4.1.1/html/Release_Notes/index.html

3.4 多个思科产品远程安全限制绕过漏洞

多个思科产品远程安全限制绕过漏洞

发布时间:

2013-08-01

漏洞编号:

BUGTRAQ ID: 61566
CVE(CAN) ID: CVE-2013-0149

漏洞描述:

思科(CiscoSystems,Inc.),是互联网解决方案的领先提供者,其设备和软件产品主要用于连接计算机网络系统。
多个思科产品存在安全漏洞,该漏洞相关OSPF LSA数据库。此漏洞可使未经身份验证的攻击者完全控制OSPF AS域路由表、黑洞流量、中间流量等。

安全建议:

Cisco已经为此发布了一个安全公告(cisco-sa-20130801-lsaospf)以及相应补丁:
cisco-sa-20130801-lsaospf:OSPF LSA Manipulation Vulnerability in Multiple Cisco Products
链接:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130801-lsaospf

3.5 多个思科产品命令注入漏洞

多个思科产品命令注入漏洞

发布时间:

2013-07-31

漏洞编号:

CVE(CAN) ID: CVE-2013-3444

漏洞描述:

思科(CiscoSystems,Inc.),是互联网解决方案的领先提供者,其设备和软件产品主要用于连接计算机网络系统。
多个思科内容网络和视频传递产品漏洞在配置为中心管理模式中运行时,Web框架内存在安全漏洞。经过身份验证的远程攻击者虽然没有权限,但可以在受影响系统上、受影响系统管理的设备上执行任意代码。此漏洞源于没有正确过滤用户输入,然后就用设备的下层命令行接口执行操作。

安全建议:

Cisco已经为此发布了一个安全公告(cisco-sa-20130731-cm)以及相应补丁:
cisco-sa-20130731-cm:Authenticated Command Injection Vulnerability in Multiple Cisco Content Network and Video Delivery Products
链接:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130731-cm