当前位置: 安全纵横 > 安全公告

一周安全动态(2013年9月26日-2013年10月03日)

来源:安恒信息 日期:2013-10

2013年10月第一周(9.26-10.03)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 NSA借收集到的数据绘制美国社会关系图

据《纽约时报》最新披露,自2010年起,NSA就开始利用其收集到的大量用户数据制作美国国内的社会关系图。报道指出,NSA收集的数据来自多个渠道,内容则囊括了银行代码、保险信息、Facebook资料、旅客名单、选民登记卷、GPS定位信息以及财产记录和未指明的税收数据等。

根据《纽约时报》的报道获悉,NSA主要利用Mainway收集目标的联系信息。2011年,Mainway曾每天截获7亿条电话的相关记录。今年8月,它又开始每天从美国一家匿名服务供应商那里获取11亿条电话记录。在由斯诺登曝光的NSA 2013年国会预算提案中,该机构希望能够实现每天收集200亿条电话记录并在1小时内破解的目标。

另外,报道还透露,即便NSA并没有将目标人群的通信记录拷贝下来,但他们仍然可以获取到目标人员详细的社会关系。

1.2 网络犯罪现新动向:“黑客”学历并不高、年龄不超30岁

据中国之声《新闻纵横》报道,十一长假,有人可能会选择宅在家里边休息,看看书、看看电影、上上网,但看似普通的休闲生活却可能危机四伏。随着互联网技术深入我们的生活,我们可以享受它所带来的快捷与便利。可是在同样的时空,与咱们一起来敲击键盘的人或许正在通过互联网威胁着你的安全。

据不完全统计,我国的网民总数已经突破了5亿,仅在2011年,全国有6000万网民因网络欺诈而受到损失,30%的网购者曾遭遇钓鱼网站攻击。网络犯罪每年给中国网民造成的经济损失高达2890亿元。

其实像这样的案例,在生活当中并不少见。我们今天要说到一个案件,主犯年仅17岁,却已经有着多年的"黑客"生涯。这些犯罪分子是怎么样操作并且得逞的呢?举个例子,比如说有人在网站上挂出二三百元乃至一千元左右的国内航线机票打折信息。消费者可能会觉得这个价格比较实惠,快速下单,通过网银将金额尽数打进事先准备好的账户。这个时候,犯罪分子会告诉付款人说系统出了故障,让他们去银行ATM机上退款,再以"保障客户银行卡内资金不受损失"这样的说法为理由诱骗他们说出卡上余额,再以输入"激活码"或者"验证码"等来将受害人卡里的钱全部划走。

现在网络犯罪可以说是花样翻新,无孔不入,比如说今年年初,浙江嘉善警方就成功侦破了一起特大网络机票诈骗案,涉案价值近100万元。犯罪分子不是简单的通过网上木马实施犯罪,而是通过低价打折信息来吸引消费者通过网银下单。然后告诉付款人系统出现故障,就是刚才我们所介绍的,然后就把你的这些钱通过什么ATM机退款这样的方式,去把你的钱划走了。在这要重点提醒一下,就是ATM机不可能退款,这个是不可能出现的情况,所以大家千万不要信。

记者从公安部门网络安全保卫一线的民警处了解到,目前我国互联网犯罪和安全都出现了一些新形势,而问题和困难也随之出现,今年6月份深圳市公安局网监支队专门设立了一个劝阻咨询专线,来劝解人们不要相信诈骗信息并对一些诈骗手段进行分析,可是让深圳市公安局网监支队支队长薛克勋感到无奈的是,他们的咨询人员经常会被弄得哭笑不得。

薛克勋:我们有些咨询员直接跟人吵起来了,有些人打电话说你为什么不让我转款,明明他说我已经中奖了,为什么说我没中奖,为什么说是骗子?对我们不信任,后来我们把诈骗的流程告诉她,第一步、第二步、第三步,你现在是处于哪一步,这时候才相信。

自6月开通这个专线以来,薛克勋所在的支队已经使4107人避免被骗,涉及金额将近3000万元,短短三个月就有如此的犯罪规模,但是,这在上海市公安局网安总队总工程师瞿伟放看来,这就是目前我国网络犯罪的新趋势,他认为,网络犯罪的群体越来越具有不特定性,过去网络犯罪的主体主要在掌握网络专业技术的特定人群当中,现在逐渐由特定人群向非特定人群转移,而且这个门槛是越来越低。

瞿伟放:我们发现这个犯罪嫌疑人当中高学历、高技术的人不是很多,大专以下犯罪嫌疑人占了91.2%,有些所谓网络黑客高手等等甚至只是中专、技校的毕业生,最近在公安部11局5处领导下,到泰国抓获的一个巨人网络盗窃案主要犯罪嫌疑人,跟同伙聊天作案过程中,同伙想知道他是谁,他就跟下家说我是神,他自认为作案手法非常高超。作案人员继续向低龄化发展,近年抓获的网络违法犯罪嫌疑人大多数都在30岁以下,尤其是以85后、90后居多。

上海市公安局网安总队总工程师瞿伟放还告诉记者,今年仅上海,到8月底,侦破网络犯罪案件3000余起,而今年到8月份抓获的犯罪嫌疑人已经接近去年全年的数量,达到5400多人,上升态势明显。但是在打击和防范网络违法犯罪方面,执法部门也碰到了一些问题,其中就包括取证难。

瞿伟放:但是在实际的操作过程中,由于取证认定技术限制、电子数据易被修改、销毁等原因,某些关键的电子证据很难获取,影响到了案件的质量和进度。比方说在办理利用互联网传播淫秽物品案件过程中,司法解释规定,不以牟利为目的的复制、出版、贩卖、传播的淫秽电子信息,实际被点击数达到2万次以上的,可以以传播淫秽物品罪来定罪处罚。但是在实际的操作过程中,如何准确认定这些点击数,对于目前我们的技术而言,有一定难度。再比如,公安机关经常接到虚拟财产被盗的案件,这个虚拟财产价值的认定,现在法律上还是有一定的争议。

对于网络安全一些国家在上世纪就提出,网络空间将是国家发展的必争资源,俄罗斯认为国家安全从根本上来讲取决于信息安全的保障,因此俄罗斯也在积极呼吁建立国际上的合作机制,但是就全球信息产业来讲,思科、IBM、谷歌、高通、英特尔、苹果、甲骨文和微软这八家美国公司占据了绝大部分市场份额,业内对这八家公司称为美国八大金刚,而棱镜门的爆发更是让人们看到,这八大金刚和情报部门的合作关系,公安部网络安全保卫局张俊兵处长认为,在网络安全方面,我国必须加强技术攻关。

张俊兵:毕竟网络安全是一个技术的对抗,应该加大资金和研究力量投入,加快核心技术研究和产品研发。通过棱镜门事件大家也看到了,我们国家重要信息系统里有60%以上的关键信息化设备比如说数据库、操作系统、高端服务器等等,还是严重依赖于美国的八大金刚,比如说现在的安卓系统,虽然说它是个开元系统,但是很多专利技术还是把持在国外手里,我们如果一味地去盲目发展,到了最后,将来这些公司会都拿着专利朝你每一个人来收钱。

1.3 Adobe软件源代码和数百万用户信息被盗

北京时间10月4日晚间消息,Adobe周四宣布,黑客已经窃取了旗下包括Adobe Acrobat在内的流行软件的源代码,以及数百万用户的信息。

安全专家对此表示担忧,称软件源代码被窃取后,黑客可以彻底地挖掘软件的漏洞,从而对软件用户发动攻击。Adobe表示,除了Acrobat,ColdFusion和ColdFusion Builder的源代码也被黑客窃取。

Adobe首席安全官布拉德?阿金(Brad Arkin)称,自两周前遭到黑客攻击后,Adobe一直在调查此事,目前没有任何迹象表明黑客已经利用所窃取的源代码发动了攻击。

阿金还称,除了软件源代码,黑客还窃取了290万Adobe用户的信息,包括姓名、用户识别码、已加密的密码和支付卡号码。

Adobe表示,正在为受影响的全球用户重置密码,并提醒用户更改在其他网站重复使用的密码。美国国土安全部计算机突发事件响应小组周四也提醒Adobe用户,要警惕欺诈行为。

Adobe还表示,正与银行和联邦执法部分合作,以抵御对用户账户的入侵,并追究这些行为的责任。

Adobe周四在提交给美国证券交易委员会的10-Q文件中称:“我们认为,这些攻击事件可能会给我们带来各种不利影响,但不会对我们的业务或财务结果造成重大不利影响。”

1.4 非法入侵网站后台,出售信息获利被捕

入侵网站获取10余万条个人信息,非法出售给他人从中获利。近日,江西省南昌县检察院以涉嫌非法获取公民个人信息罪对熊自强批准逮捕。

2012年暑假,就读于南昌某技工学校的熊自强放假回家,精通电脑的他多次通过技术手段非法闯入网站后台。一天,他通过某个在线交流QQ群,得知有人在花钱收买商业网站客户资料。熊自强决定试一试,他非法进入一家化妆品购物网站,将3000余条客户个人信息复制下来,存入自己电脑。很快,他通过QQ与买家联系上,对方先验证几十条信息后,发现信息属实便同意购买,熊自强以每条0.4元的价格出售,获利千余元。尝到甜头的熊自强先后非法侵入保健、减肥、丰胸等商业网站,获取客户个人信息10余万条,卖给收购者。

熊自强并不满足于此,准备“攻入”一些新闻类网站。今年7月,他破译了某网站后台管理授权,按买家要求在该网站挂出特定标识,以让对方确信自己进入了网站后台。买家支付800元后,熊自强将该网站后台管理授权给了购买者。
今年8月,熊自强被公安机关抓获。经查,熊自强用此方法共非法获利数万元。

1.5 “黑客”盗信息牟利 东窗事发锒铛入狱

陈某本具有计算机方面的专业技能,却不用在正道,为牟利而“黑”了某网站,事发之后,锒铛入狱。日前,江苏省江阴市人民法院审结首例“黑客”利用计算机系统安全漏洞入侵网站非法获取计算机信息系统数据案,被告人陈某一审被判处有期徒刑三年,缓刑三年六个月,并处罚金人民币五千元。

2013年1月下旬,被告人陈某QQ聊天时获悉,网名为“洛辰”的黄某欲花费人民币5000元请人“拿下”江阴某网站,遂与黄某取得联系。2013年1月底,陈某下载软件对该网站后台地址进行扫描,发现该网站根目录下某文件存有漏洞,即通过该漏洞获得网站后台管理员的账户和密码进入网站后台,在该网计算机系统中植入木马、后门程序,侵入该网站和该网站论坛服务器,获取系统中存储的数据,其中包含身份认证信息35000余组。陈某将上述数据通过离线下载方式下载至QQ和迅雷的离线空间里,并生成对应的下载链接提供给黄某,后黄某并未按约定付其“酬劳”。

法院审理后认为,被告人陈某违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统,获取该计算机信息系统存储数据,其行为已构成非法获取计算机信息系统数据罪。根据“两高”《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》的规定,获取除支付结算、证券交易、期货交易等网络金融服务以外的身份认证信息2500组以上的,应认定为情节特别严重。鉴于被告人陈某归案后如实供述,当庭自愿认罪,依法予以从轻处罚,法院遂作出上述判决。

 

2 本周关注病毒

2.1 Dropper.Win32.Farfli.a(后门病毒)

警惕程度 ★★

该病毒运行后将释放的文件注册为服务,伴随开机启动,并破坏电脑内系统文件。同时连接黑客指定地址,下载更多病毒文件,将中毒电脑的信息上传至黑客指定服务器, 并对指定地址发动DDoS攻击及监控等。

2.2 Backdoor.Agent.ezc(后门病毒)

警惕程度 ★★

该病毒运行后获取系统最高权限,发送邮件,并发动大规模网络攻击,同时,链接黑客指定服务器,收集中毒电脑全部信息。

2.3 Backdoor.Win32.Multelons.a(‘Multelons’后门病毒)

警惕程度 ★★★★

病毒运行后创建C:\Microsoft__SDK\lib\include目录,并释放三个文件:cc1xm.js、cc1xm.cmd、iexploror.exe。同时病毒主程序会反向连接黑客指定地址,上传电脑配置信息,破坏杀毒软件及防火墙。黑客能够通过该后门病毒遥控用户电脑,访问恶意网站,下载其他病毒并运行。同时,该病毒还能帮助黑客读取、拷贝或删除用户的机密文件,用户电脑一旦中毒,将成为黑客肉鸡,同时还将面临隐私信息泄露及虚拟财产被窃等风险。

 

3 安全漏洞公告

3.1 Emerson ROC800 远程终端远程代码执行漏洞

Emerson ROC800 远程终端远程代码执行漏洞

发布时间:

2013-09-26

漏洞编号:

BUGTRAQ ID: 62664
CVE ID: CVE-2013-0692

漏洞描述:

Emerson ROC800是远程终端设备。
ROC800 3.50、DL8000 2.30、ROC800L 1.20存在远程代码执行漏洞,ROC800 RTU内核有个端口可添加调试工具。运行调试服务的设备允许调试者附加并远程调试只在开发系统上启用的代码,远程攻击者可利用此漏洞远程更改内存、注册表及内存状态,在受影响设备中执行任意代码等。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www2.emersonprocess.com/en-US/brands/DeltaV/Pages/index.aspx

3.2 Emerson Process Management RTU任意文件上传漏洞

Emerson Process Management RTU任意文件上传漏洞

发布时间:

2013-09-26

漏洞编号:

BUGTRAQ ID: 62666
CVE ID: CVE-2013-0689

漏洞描述:

Emerson ROC800是远程终端设备。
ROC800 3.50、DL8000 2.30、ROC800L 1.20中,用于转移文件到网络附加设备的RTU TFTP服务存在任意文件上传漏洞,可导致远程上传任意文件。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www2.emersonprocess.com/en-US/brands/DeltaV/Pages/index.aspx

3.3 IBM DB2未授权访问表漏洞

IBM DB2未授权访问表漏洞

发布时间:

2013-08-22

漏洞编号:

CVE ID: CVE-2013-4033

漏洞描述:

IBM DB2是一个大型的商业关系数据库系统。DB2 Connect可将PC和移动设备连接到组织的大型机。
IBM DB2及DB2 Connect 9.7-FP8, 9.8-FP5, 10.1-FP2, 10.5-FP1存在安全漏洞,这可使经过身份验证的用户用EXPLAIN权限临时获取表格上的SELECT、INSERT、UPDATE或DELETE权限。要利用此漏洞,用户需要具有有效的凭证,以连接到数据库并且具有EXPLAIN、SQLADM或DBADM权限。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.ibm.com/support/fixcentral/
http://www-01.ibm.com/support/docview.wss?uid=swg27007053

3.4 IBM DB2及DB2 Connect "Audit"功能本地权限提升漏洞

IBM DB2及DB2 Connect "Audit"功能本地权限提升漏洞

发布时间:

2013-05-31

漏洞编号:

BUGTRAQ ID: 60255
CVE ID: CVE-2013-3475

漏洞描述:

IBM DB2是一个大型的商业关系数据库系统。DB2 Connect可将PC和移动设备连接到组织的大型机。
IBM DB2及DB2 Connect 9.1, 9.5, 9.7, 9.8, 10.1版本的Audit功能中,db2aud存在栈缓冲区溢出漏洞,这可使本地用户获取提升的权限。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.ibm.com/support/fixcentral/
http://www-01.ibm.com/support/docview.wss?uid=swg21639194
http://www-01.ibm.com/support/docview.wss?uid=swg21639355

3.5 XAMPP 任意文件写入漏洞

XAMPP 任意文件写入漏洞

发布时间:

2013-09-26

漏洞编号:

BUGTRAQ ID: 62665
CVE ID: CVE-2013-2586

漏洞描述:

XAMPP是跨平台开源Web服务器解决方案软件包,主要包括Apache HTTP Server, MySQL数据库, 以及用PHP及Perl编程语言编写的脚本的解释程序。
XAMPP 1.8.1的"/xampp/lang.php"页面存在注入漏洞,未授权用户可在本地磁盘内写入,本地文件 "lang.tmp"可以从远程机器上进行修改,可在目标用户浏览器中执行任意HTML或脚本代码,窃取用户凭证之类的敏感信息。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.apachefriends.org/zh_cn/xampp.html

3.6 Apache 'mod_accounting'模块SQL注入漏洞

Apache 'mod_accounting'模块SQL注入漏洞

发布时间:

2013-09-26

漏洞编号:

BUGTRAQ ID: 62677
CVE ID: CVE-2013-5697

漏洞描述:

mod_accounting是Apache 1.3.x上的流量计费模块,该模块使用数据记录流量,支持的数据库类型包括MySQL及PostgreSQL。
mod_accounting 0.5模块在Host报文头中存在SQL注入漏洞,攻击者可利用此漏洞破坏应用,执行未授权数据库操作。该漏洞源于用户提供的HTTP报文头未经过滤即用在查询内。该模块使用了简单的字符串串联来修改已定义查询内的占位符,然后再发送到数据库内。该代码位于mod_accounting.c内。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://sourceforge.net/projects/mod-acct/files/