当前位置: 安全纵横 > 安全公告

一周安全动态(2013年10月03日-2013年10月10日)

来源:安恒信息 日期:2013-10

2013年10月第二周(10.03-10.10)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 震惊业界 黑客一夜间攻陷多个防毒官网

据说是隶属于匿名者组织的巴勒斯坦团体,在10月9日一夜之间连续将Whatsapp、Alexa、AVG、Avira(小红伞)等官网全部攻陷,换上了黑客组织宣称要收复巴勒斯坦的讯息,由于其中还包含了重要的防毒厂商官网,也震惊了整个业界。

黑客在所有网站散布的讯息都一样,开头都表示MISSION COMPLETED任务完成。

黑客组织在官网上主要传播了两个讯息,第一点是:

我们要告诉世人这世界上有一个地方叫做巴勒斯坦,这片土地被犹太人所窃取。巴勒斯坦人民有权和平地居住在这片土地上,巴勒斯坦人应取回他们的国土,并且所有在以色列监狱的巴勒斯坦人都应该获得释放。我们只想要和平。


第二点则是带有威胁的意味,表示:世界上没有绝对安全的地方,我们可以逮到你!

下方的标志则是著名的黑客组织匿名者,因此目前大家怀疑这个黑客或是这群黑客,是隶属于匿名者组织的成员。

这些防毒软件不安全吗?

看到这些防毒大厂接连被放上黑客的讯息,不免让大家感到担心这些公司的软件是否也无法保障我们的安全?难道真的是这些网站的安全问题出了漏洞吗?其实不然。

黑客用的手法主要是透过DNS Hijack的技术,通过假的DNS讯息,将使用者的DNS连结导引到显示该黑客组织诉求的页面上。

DNS的作用就是帮助我们将网域名称与实际的网址进行翻译,比方说我们在浏览器输入www.avira.com,就会连上一个DNS伺服器,他会将www.avira.com翻译成XXX.XXX.XX的网址。但是如果DNS伺服器上面记录的网址遭到窜改成YYY.YYY的时候,那么我们就会连结到黑客所要我们连去的网址,看到目前我们看到的这个网页。

一般来说,这种攻击的同时,黑客还会制作一个跟原网站一模一样的假网站,来窃取受害者的资料。不过这次黑客的目的是宣传理念,因此看起来并不会有资料外泄或是对浏览者产生任何危害的疑虑。

不过,由于黑客一次性的接连导引了这么多网站到他们的宣传网页上,而这些公司的网域都是在Network Solutions下注册的,安全专家认为显然黑客是从Network Solutions这头来下手,而非去攻击个别的公司网站。

虽然这些公司都只是不幸的受害者,并不代表他们的产品、服务有问题,但这整个事件让我们感到惊悚的是,黑客如此轻易地绑架了这么多DNS,表示他们如果真的想的话,同样有能力去假造众多的钓鱼网站,骗取我们的资料。这才是他们在第二点宣示中,“世界上没有绝对安全的地方,我们可以逮到你!”真正表达的意思。

后续发展

虽然有一家媒体报导称Avast也遭到入侵,但是根据网友甄别,似乎这篇报导标题提及的Avast可能是Avira的笔误。因此我们将Avast排除在被攻击的名单之外。

至于各家不幸遭到攻击的网站,AVG是立即先将网站下线,等待解决的办法。Avira与WhatsApp之后也是利用同样的模式先下线再上线,但是依然有人发现连到Avira的官网,似乎还是会被导向黑客的连结。

这个事件另外衍生出一个讨论,就是AVG是首先被拿下的资安公司,而AVG虽然是荷兰的厂商,但是他们在2010年才以940万美元买下以色列的行动装置安全厂商DroidSecurity,而黑客又自称是巴勒斯坦组织,两者很容易让人有所联想。

这起事件对于如你我的一般人,影响其实不大。唯一可能的状况就是这段期间内,如果你想要下载防毒软件的更新,而又正好遇到这些网站因为避风头而下线的话,可能会暂时无法更新。

由于此次的攻击规模非常大,影响的网站数量也不少,因此后续的发展也相当引人注目,未来很可能还会有其他的网站也沦陷。至于如何防止类似的事件,恐怕还要等待更多的安全专家投入研究这次的事件,才能真正理清到底发生了什么问题。

1.2 花旗因泄露鸿海精密机密信息被罚4000万美元

花旗集团在周四被马萨诸塞州罚款3000万美元,原因是该集团的一名研究分析师曾从事不法活动,这名分析师在去年12月份泄露了有关苹果公司主要供应商之一鸿海精密的机密信息。这项罚款的决定是由马萨诸塞州州务卿威廉·盖文(William F. Galvin)作出的。据盖文办公室称,花旗集团的这名分析师向SAC Capital、T. Rowe Price、城堡基金(Citadel)和GLG Partners 等机构客户泄露了鸿海精密的机密信息。

花旗集团和SAC的发言人均尚未就此置评。

除了接受罚款以外,花旗集团旗下投行部门花旗全球市场公司(Citigroup Global Markets )还需对其机密信息披露相关政策进行为期三年的审查。

“在研究分析师的研究成果这一领域中,投资者应被提供一个公平的竞技场这一概念似乎是门必须不断学习的课程。”盖文说道。“但这门课程应尽可能频繁的被教授,这一点十分重要。”

据盖文办公室称,花旗集团旗下中国台湾子公司的研究分析师凯文·张(Kevin Chang)向一家对冲基金及多名机构客户泄露了未经发布的研究信息,而这些机密信息在一天以后才面向公众发布。

盖文办公室指出,在去年12月13日,在花旗集团的澳大利亚竞争对手麦格理集团发布一份研究报告,下调了鸿海精密的产量估测以后,大型对冲基金和机构客户向凯文·张施压,要求其提供有关鸿海精密的研究报告。

作为回应,凯文·张向SAC旗下的至少三个部门以及其他对冲基金和机构客户披露了这一机密信息。随后,凯文·张在去年12月14日公开发布了有关鸿海精密的这份研究报告,其内容包括他在此前一天向SAC及其他机构客户所提供的完全相同的信息。

马萨诸塞州证券部门指控称,这份有关鸿海精密的研究报告“包含苹果iPhone智能手机产量大幅下降的数据,而这一数据在后来对苹果股票造成了不利影响”。指控还称,在收到这一机密信息到凯文·张公开发布报告之间的时间段里,有三名花旗集团客户出售了其所持有的苹果公司股票。

这并非花旗集团由于泄露机密信息而首次遭到罚款。去年,由于未能管理好互联网分析师马克·马哈尼(Mark Mahaney)及其下属一名初级分析师的缘故,花旗集团也曾被罚款200万美元,原因是这两人被控向媒体透露了有关社交网络巨头Facebook和搜索巨头谷歌的机密信息。

1.3 黑客专家因发现Windows和IE漏洞获微软巨额奖励

10月9日消息,据路透社报道,周二微软宣布,奖励一位发现了其软件中的安全漏洞的著名黑客专家10万多美元。这是迄今为止科技公司奖励黑客的最高数额。同时该公司也发布了备受瞩目的IE更新,修复了可用于发动远程攻击的一个漏洞。

微软称,伦敦安全咨询公司Context Information Security的漏洞研究主管詹姆斯·福肖(James Forshaw)因发现Windows中的新漏洞,赢得了微软颁发的第一个10万美元赏金,发现这个漏洞将允许微软开发出应对一整个攻击类别的防御技术。

微软安全应急响应中心高级安全战略官凯迪·莫索利斯(Katie Moussouris)称,福肖还因在预览版IE11浏览器中发现安全漏洞而赢得另外9400美元。

四个月前微软推出了这项奖励计划,旨在防止技术高超的攻击者破坏其软件的新安全技术。此前福肖已发现了数十个软件安全漏洞。他在影响很大的Pwn2Own竞赛中,因发现了PWN(取得所有权)甲骨文Java软件的方式,而获得惠普颁发的巨额奖金。

周二下午微软还发布了IE更新,修复了上月首次披露的一个安全漏洞。研究人员称,在被网络安全公司FireEye称之为DeputyDog的行动中,黑客利用该漏洞对亚洲的很多公司发动了攻击。

网络安全公司BeyondTrust首席技术官马克·迈弗雷特(Marc Maiffret)称,在微软披露了这个问题后,引起了网络犯罪份子的关注,随后这个漏洞被广泛利用。他建议电脑用户立即安装IE更新。

1.4 安卓系统手机易中招 绑定银行卡成黑客“提款卡”

近日成都市民冯小姐手机收到验证码短信后,瞬间被转走987元。银行卡在身上,绑定的手机收到的动态验证码也未曾透露,为何钱还是不翼而飞?记者发现,手机上保留的银行账号信息可能泄露,加上短信拦截手机验证码,网银就可能被攻陷。

手机,如果不善加利用,就不再是手机,而是手雷——这是2003年电影《手机》的经典台词,当年是因担心小三短信泄露,10年后,手机再成手雷。

节前多家媒体报道,因手机卡被人异地补办,通过手机银行转账,最高损失26万。近日华西都市报记者也接到热线报料,成都市民冯小姐手机收到验证码短信后,瞬间被转走987元。

让冯小姐不解的是,银行卡仍在身上,和银行卡绑定的联通手机收到的动态验证码也未曾透露,为何钱还是不翼而飞?问题到底出在哪?

A 讲述 “什么都没做,钱没了”

8月12日早上7点,成都市民冯小姐仍在睡梦中,手机短信响起。银行消费987元的“验证码”短信,让她彻底没了睡意。谨慎的她意识到银行卡可能出了问题,连忙打电话到银行挂失,但仅一分钟时间,这987元被蹊跷转走。挂失之后,她又收到几笔“验证码”短信……

近日,记者见到冯小姐,她正在去往银行的路上,脸上写满了焦虑和疑惑。

“我啥子都没做,还在睡觉呢,钱就没了。”冯小姐连忙掏出手机,给记者看手机收到的一系列短信。

在事发当天早上7点多,冯小姐连续收到好几条验证码短信,一条“末位3014的订单,需要支付987元”的验证码短信,还有三条“购买北京乐和彩每笔500元”的验证码短信。

“收到第一条短信,我就觉得不对,卡在身上,也没有用网上银行,连忙打电话给银行客服挂失。”冯小姐说,一分钟的时间里,987元已被刷走。

而后面几笔500元,因为挂失及时,并没有造成损失。这一分钟,让冯小姐心跳个不停。“挂失慢点的话,不晓得有好惨!”

987元被离奇转走,让冯小姐觉得银行卡不再安全,当天她就来到银行解挂,并把卡里的7万多元都取了出来。

查询这笔钱的走向,发现987元被打入一家“浙江贝付科技”的第三方支付公司。

事后,冯小姐第一时间前往成都春熙路派出所报警。据冯小姐介绍,派出所告诉她,像这样报案已经接到好几起,涉案的不少是贝付科技。

浙江贝付科技到底是家什么公司?记者百度查询发现,该公司是一个支付服务提供商,总部在杭州,可以提供在线支付、移动电话支付和货币兑换。

华西都市报记者拨通了浙江贝付科技的客服电话,对方告诉记者,七八月确实接到不少来自成都地区的投诉,但贝付科技也只是一个中转渠道,不排除犯罪分子在贝付科技上开账,取到钱后再提现到自己银行卡上的可能。“我们要取得全部订单号,才能查到资金的流向。”

B 疑惑 动态验证码不安全?

那么,冯小姐及其他受害者的钱到底是怎么被转走的呢?

据冯小姐回忆,她没有办理网银、网银盾和电子口令卡,只办理了短信通知服务。但8月13日中午,冯小姐再次前往银行。经过查询发现,签约银行卡时,网银功能已被开启。也就是说,冯小姐的银行卡安全保障只能是“登录密码+手机动态验证码”这种方式。

事后冯小姐登录网银后发现,上面已经有了5次登录记录。冯小姐的账号和密码已经被攻陷。但是犯罪分子又是如何获得冯小姐的手机动态验证码的呢?

C 分析 安卓系统更容易中招

面对这样一种网银蹊跷消费的情况,四川省公安厅刑侦局相关负责人接受华西都市报记者采访时分析,犯罪分子要转走冯小姐的钱,一是要获得冯小姐的 卡号和网银登录密码,二是手机被黑客攻克,收到的手机动态验证码被拦截。犯罪分子获得卡号与网银登录密码,有两种渠道,一是在受害者电脑上植入木马,盗取 这些信息。二是受害者在线下POS机上刷卡消费,也有可能泄露卡号与取款密码。

“鉴于冯小姐没有使用过网银,我认为是冯小姐在刷POS机时不小心信息泄露。”该负责人表示。

而犯罪分子又是如何看到冯小姐的手机验证码呢?

冯小姐使用的是安卓系统,金山安全专家李铁军告诉记者,在安卓开放系统下,黑客是有可能拦截到短信的。“有一种恶意软件,只要手机安装了,收到 的短信就能自动转发到指定手机,或上传到服务器,黑客就能实时看到短信内容”。还有一种黑客软件,受害者收不到短信,而黑客能收到,这样受害者不会产生警 惕挂失,只有查账时才知道钱被转走。

李铁军表示,安卓手机容易中招,因为它能从各种渠道下载应用,给黑客可乘之机,“比如刷了恶意二维码”。

而苹果iPhone只能通过AppStore下载应用,一般情况下有一定的安全保障。

1.5 黑客锁定中小企业,入侵电子邮件诈骗

近期发现黑客开始锁定安全防备较薄弱的中小企业进行诈骗,手法是入侵企业电子邮件,以一人分饰两个角色的方式和买卖双方对话,诱骗买方将钱汇到黑客指定帐户,并要卖方将货寄至黑客指定地址。目前以此手法累积的诈骗金额已超过六千万元。

遭黑客锁定的中小企业主要为进出口贸易、电子商务、海外双边贸易等业务,且甚至有十人以下规模的小公司。过去黑客的目标性攻击(APT)都锁定政府或大型企业,但近期该公司发现锁定中小企业的攻击模式开始蔓延,主要是因为这些规模较小的企业安全防护较薄弱,多数仍使用免费邮箱(Hinet/Gmail/Yahoo!等),甚至全公司共用一个电子邮件位置,黑客要入侵诈骗更为容易。

黑客会先假冒邮箱系统管理员,发送邮件到企业信箱,企业人员点开邮件后便遭植入恶意程式,让黑客取得此邮件的账号密码权限,便可监控企业的邮件内容。接下来,当企业和客户的买卖邮件进入付款细节时,黑客便见缝插针伪装成买家和卖家,分饰两个角色诱骗买家将款项汇到黑客指定帐户,确认钱到手之后就消失无踪,买家和卖家都会因此受害。

大型企业的资安防护较为严密,因此黑客才开始针对防护较低的中小企业攻击,我们建议企业中会经手特定机密信息的人员要加强警惕,不要点选来路不明的邮件,另外最好使用可过滤邮件中恶意代码的安全软件,并定期更新。

 

2 本周关注病毒

2.1 Trojan.Win32.Fednu.upq(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.2 Trojan.Win32.Sexxy.a(木马病毒)

警惕程度 ★★

该病毒运行后将在桌面释放一个exe的文件,将其属性设置为只读文件、存档文件、系统文件、隐藏文件。同时病毒将查找并结束安全软件进程,利用注册表做镜像劫持,使电脑的所有程序都不能正常使用。同时病毒还会反向连接黑客指定网址,向黑客开启后门。用户电脑一旦中毒,将遭到严重破坏,并成为黑客的肉鸡。

2.3 Worm.Win32.Autorun.txs(‘Autorun’蠕虫病毒)

警惕程度 ★★★★

病毒运行后将自我复制,设置自身属性为隐藏,并将实现开机自启动。同时病毒还将删除安全模式选项,使中毒电脑无法进入安全模式。病毒还将反向连接黑客指定地址,下载其他恶意程序,并上传用户的隐私文件。届时,电脑将沦为黑客的肉鸡,同时用户也面临隐私信息泄露等风险。

 

3 安全漏洞公告

3.1 EMC Atmos默认账户身份验证绕过漏洞

EMC Atmos默认账户身份验证绕过漏洞

发布时间:

2013-10-03

漏洞编号:

BUGTRAQ ID: 62816
CVE(CAN) ID: CVE-2013-3279

漏洞描述:

EMC Atmos是用于存储、归档和访问大规模非结构化数据的平台。
EMC Atmos 2.1.4之前版本允许在不提供密码的情况下用默认用户账户连接到远程PostgreSQL数据库服务器,访问用于管理Atmos节点的系统信息。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://china.emc.com/storage/atmos/atmos.htm

3.2 Apache Camel简单语言表达式任意代码执行漏洞

Apache Camel简单语言表达式任意代码执行漏洞

发布时间:

2013-10-09

漏洞编号:

CVE ID: CVE-2013-4330

漏洞描述:

Apache Camel是Apache基金会下的一个开源项目,它是一个基于规则路由和中介引擎,提供企业集成模式的Java对象的实现,通过应用程序接口(或称为陈述式的Java领域特定语言(DSL))来配置路由和中介的规则。
Apache Camel在"GenericFileProducer<T>"类(java/org/apache/camel/component/file/GenericFileProducer.java)中处理简单语言表达式($simple)存在一个错误,允许攻击者通过特制的简单语言表达式来执行任意代码,如通过FILE或者FTP producer的"in"目录中的文件名。

安全建议:

Apache Camel 2.9.8, 2.10.7, 2.11.2或2.12.1已经修改该漏洞,建议用户下载更新:
http://camel.apache.org

3.3 IBM InfoSphere Information Server Web控制台界面点击劫持漏洞

IBM InfoSphere Information Server Web控制台界面点击劫持漏洞

发布时间:

2013-10-09

漏洞编号:

CVE ID: CVE-2013-4066

漏洞描述:

IBM InfoSphere Information Server是一款数据集成软件平台,可以帮助企业从分散在系统中的复杂的异类信息中获得更多价值。
IBM InfoSphere Information Server存在劫持漏洞。允许攻击者获取或操作会话cookie,或获取用户验证凭据。

安全建议:

用户可参考如下厂商提供的安全公告获得补丁信息:
http://www.ibm.com/support/docview.wss?uid=swg21651343

3.4 IBM SPSS Collaboration和Deployment Services存在未明任意代码执行漏洞

IBM SPSS Collaboration和Deployment Services存在未明任意代码执行漏洞

发布时间:

2013-10-09

漏洞编号:

CVE ID: CVE-2013-4042

漏洞描述:

IBM SPSS Collaboration and Deployment Service是一款实时预测分析应用程序,包括模型部署,模型配置,数据采集,实时预测,模型性能监控,日志信息等。
IBM SPSS Collaboration and Deployment Service存在未明安全漏洞,允许远程攻击者利用漏洞执行任意代码。

安全建议:

用户可参考如下厂商提供的安全公告获得补丁信息:
https://www.ibm.com/support/docview.wss?uid=swg21651299

3.5 IBM DB2 / DB2 Connect Fast Communications Manager拒绝服务漏洞

IBM DB2 / DB2 Connect Fast Communications Manager拒绝服务漏洞

发布时间:

2013-10-06

漏洞编号:

CVE ID: CVE-2013-4032

漏洞描述:

IBM DB2 Universal Database Server是一款大型的商业关系数据库。
IBM DB2和DB2 Connect中的Fast Communications Manager (FCM)存在未明错误,允许远程攻击者利用漏洞使应用程序崩溃,造成拒绝服务攻击。
AIX, Linux HP, Solaris和windows上的IBM DB2和DB2 Connect 10.1和10.5受此漏洞影响。

安全建议:

用户可参考如下厂商提供的安全公告获得补丁信息:
http://www.ibm.com/support/docview.wss?uid=swg21650231
http://www.ibm.com/support/docview.wss?uid=swg24035759
http://www.ibm.com/support/docview.wss?uid=swg21610582
http://www.ibm.com/support/docview.wss?uid=swg21610653