当前位置: 安全纵横 > 安全公告

一周安全动态(2013年10月31日-2013年11月07日)

来源:安恒信息 日期:2013-11

2013年11月第一周(10.31-11.07)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 利用黑客攻击索取保护费 企业恐被拖垮当天给钱

一天之内“黑客”反复攻击一家企业网站,势单力薄的企业无力抵挡恶意攻击,只能迅速奉上“保护费”,防止被拖垮倒闭。7日,南京市玄武区检察院公诉一起“黑客”勒索“保护费”案,虽然先后被勒索的“保护费”仅万余,但对企业造成的严重危害和恐慌,让三名犯罪者被诉以敲诈勒索罪追究其刑事责任。

2013年2月至5月,被告人商某(男,19岁,初中文化,无业,住重庆市开县)、詹某(未成年人,无业)和张某(未成年人,无业)商议通过在国外服务器中加载木马的方式获取大批流量,然后控制服务器对选中的棋牌网站进行“DDOS攻击”(借助服务器将多个计算机联合起来作为攻击平台,对目标发动攻击,从而导致目标拒绝提供网站服务的攻击),在受害网站因大流量访问而瘫痪后向受害网站提出收取“保护费”的要求,以此方式勒索财物。三人先后五次对四家企业网站进行了恶意攻击,后三人将近万元的非法获利瓜分。

在本案中,深受三人敲诈勒索之苦的南京一家网络公司老总告诉记者,这类勒索者往往会选择他们这种小型企业进行攻击,“小企业资金薄弱,没有能力建构强大的防火墙防治‘黑客’攻击,成为最薄弱的被害者。”

“只要一受到攻击,我们立马会在当天付钱解决问题,否则被攻击个两三天,基本上我们公司也要倒闭了。”这位公司老总无奈地告诉记者。

检察机关认为:被告人商某、詹某和张某以非法占有为目的,利用网络攻击对他人实行威胁,多次索取财物,数额较大,其行为已触犯《中华人民共和国刑法》第二百七十四条的规定,应当以敲诈勒索罪追究其刑事责任。

1.2 黑客组织“匿名者”向新加坡宣战

据BBC报道,一个声称是国际黑客组织的成员上载视频,威胁攻击新加坡政府的网络设施。

报道说,在时长3分40秒的视频中,这名自称是黑客组织Anonymous(匿名者)成员的神秘人物身穿一袭黑色连帽袍,脸戴神情狡猾的怪客面具,以机械式的声音警告新加坡政府不可低估该组织的力量。

“匿名者”是个组织严密的国际性黑客组织,他们经常对世界各地的政府和金融机构网站发动网络攻击。神秘黑客要求新加坡政府收回对网络管制的条例,指该法律是“荒谬”的。

“我们曾面对美国联邦调查局和美国国家安全局等更严密的组织,你认为资讯通信发展管理局对我们来说会成问题吗?”
黑客警告说,如果新加坡政府不遵循要求,该组织将被迫与新加坡政府“开战”。

1.3 神秘跨平台病毒badBIOS

三年前,安全顾问、Pwn2Own黑客挑战赛创始人Dragos Ruiu在实验室里注意到一件非同寻常的事情:刚刚全新安装OS X的MacBook Air笔记本自动更新了BIOS固件,之后当他试图从CD ROM启动机器时遭到了拒绝,他还发现机器会不做任何提示删除数据和撤销配置更改。

随后几个月,事情越发离奇,仿佛是出自科幻惊悚片:一台运行Open BSD的计算机也开始不做任何提示删除数据和更改配置。他的网络专门通过IPv6传输数据,即使关闭了IPv6协议也没用。最最难以置信的是,拔掉电源线和网线、移除Wi-Fi和蓝牙网卡的被感染机器也能传输网络数据。神秘的BIOS固件病毒badBIOS也能感染Windows和Linux。深入调查分析发现,只有在移除内部扬声器和麦克风之后,抓包工具才发现不再有数据包传输。Ruiu指出,这个恶意程序能利用扬声器和麦克风在计算机之间进行高频传输。badBIOS并不是利用扬声器麦克风传播病毒,而是通过麦克风在被感染机器之间进行通信,就像是彼此之间联网。

1.4 印尼黑客袭击澳大利亚200多家网站

据俄罗斯RT电视台网站11月3日报道,国际黑客组织“匿名者”印尼分支袭击了澳大利亚200多家网站,称此举是为报复澳大利亚利用其大使馆协助美国情报机构监听印尼。这些黑客替换了200多家以“.au”为域名的网站首页,留言警告“停止监听印尼”。现在还不清楚袭击者是随机挑选攻击对象,还是基于技术敏感性而选择的攻击目标。

此前德国《明镜周刊》曝光了美国国安局“监听门”泄密者爱德华·斯诺登(Edward Snowden)提供的秘密文件,称美国借助澳大利亚等亲密盟友的外交机构放置美国监听设备,澳大利亚驻雅加达、曼谷、河内、北京以及吉隆坡的外交机构中都有美国监听设备,但其中多数工作人员不知道这些设备的真正用途。

此外,英国《卫报》也曝光称,澳大利亚国防信号局曾与美国国安局密切合作,在2007年巴厘岛联合国气候峰会上监听印尼高级官员。

尽管这些有关澳大利亚参与监听的报道令相关国家十分愤怒,澳大利亚政府拒绝澄清此问题,称对国家安全长期策略问题不加以评论。

1.5 FBI十大网络犯罪通缉犯

美国联邦调查局(Federal Bureau of Investigation ,以下简称FBI)日前对自己的网络通缉犯名单进行了一次更新,在本次更新过后,FBI已经将自己的网络犯罪通缉犯名单列表人数扩大到了10人。对于普通人来说,FBI的“全球通缉犯名单”或许并不陌生,因为恐怖大亨本-拉登此前就长年占据了这一榜单的榜首位置,而FBI对于抓捕本-拉登提供的赏金也高达2500万美元。

然而,FBI“网络犯罪通缉犯名单”同“全球通缉犯名单”不同的地方在于,前者主要针对的是那些在美国或者国际范围内实施黑客攻击、网络犯罪和导致数百上千人遭受经济损失的欺诈类犯罪行为。

联邦调查局助理执行主管理查德-麦克菲利(Richard McFeely)在接受采访时表示:“我们正在追捕的网络罪犯均对他人或者我们的经济体系造成了巨大损失,网络犯罪正日益成为一个威胁我们国家安全的严重威胁。”

据悉,为抓捕以上网络通缉犯提供有效线索的民众最多可以获得高达10万美元的赏金。

“在历史中,FBI一直依靠公众的帮助和支持将这些罪犯绳之于法,无论是在此前的黑帮猖獗年代还是如今的网络犯罪年代都是如此。我们需要得到来自公众的帮助,并令这些试图盗取我们国家和公民机密的罪犯受到法律的制裁。”麦克菲利补充道。
以下是FBI此次更新之后的“十大网络通缉犯”名单,具体内容如下:

1. 阿历克斯-比兰(Alexsey Belan)

赏金:FBI 将为提供抓捕阿历克斯-比兰有效线索的民众最高10万美元的赏金。

最后已知地点:希腊雅典

在2012年1月至2013年4月期间,拥有俄罗斯国籍的阿历克斯-比兰被指控入侵了位于美国内华达州、加州境内的三家电子商务公司的网络系统。在盗取了这些公司的数据资料后,他将这些数据存放在了自己的服务器上,并试图对外出售这些信息。
目前,美国已经对阿历克斯-比兰发布了两道联邦通缉令。有情报显示,阿历克斯-比兰一般会携带自己的俄罗斯护照,有可能前往俄罗斯、希腊和马尔代夫这些地方。此外,他可能会佩戴眼镜,并已经将自己棕色的头发染成了红色或者古铜色。

2. 皮特尔斯-萨弗罗斯(Peteris Sahurovs)

赏金:FBI 将为提供抓捕皮特尔斯-萨弗罗斯有效线索的民众最高5万美元的赏金。

最后已知地点:未知

皮特尔斯-萨弗罗斯因为涉嫌参与自2010年2月至2010年9月之间发生的国际网络犯罪而被FBI通缉,这系列网络犯罪主要通过电脑病毒入侵在线销售网络系统而使萨弗罗斯获利超过200万美元。

2011年5月17日,萨弗罗斯被美国明尼苏达地方法院以电汇欺诈、网络诈骗和未经许可入侵受保护电脑罪名正式起诉,拘捕令也于当天由美国联邦法院签发。目前,萨弗罗斯有可能已经前往拉脱维亚的Rezekne地区,并有可能前往乌克兰等地区。

3. 阿特姆-萨姆诺夫(Artem Semenov)

赏金:FBI 将为提供抓捕阿特姆-萨姆诺夫有效线索的民众最高5万美元的赏金。

最后已知地点:未知

阿特姆-萨姆诺夫因为涉嫌参与在纽约组织的针对东欧地区的网络犯罪活动而被FBI通缉,纽约地区法院已经在2010年9月29日基于伪造护照、伪造身份证明文件和意图实施银行欺诈的罪名对其发布了通缉令。

萨姆诺夫可以说俄语和英语,但英语水平或许并不出色,因此他更喜欢同俄罗斯社区保持亲密关系。与此同时,他经常光顾赌场,并喜欢玩扑克,所以他有可能会前往内华达州的拉斯维加斯地区。

4. 沙尔库马尔-吉恩(Shaileshkumar P. Jain)

赏金:FBI 将为提供抓捕沙尔库马尔-吉恩有效线索的民众最高2万美元的赏金。

最后已知地点:未知

沙尔库马尔-吉恩和自己的同伙碧琼-丹尼尔-桑迪(Bjorn Daniel Sundin)因为涉嫌一宗国际互联网消费者欺诈案而被FBI通缉,而他们的这一犯罪使分布在超过30个国家的互联网用户在线购买了超过100万份虚假软件产品,总计损失高达1亿美元。

有情报显示,在2006年12月至2008年10月这段时间内,吉恩和桑迪通过在合法公司网站上发布虚假广告使许多互联网用户认为自己的电脑感染了病毒软件,从而成功鼓励他们购买了自己的软件产品。

2010年5月26日,美国伊利诺伊州芝加哥联邦法院正式对其提起诉讼,并在当天发布了逮捕令。FBI表示,吉恩是一名美国公民,并在巴西、加拿大、印度和乌克兰地区拥有一定的人脉资源。

5. 碧琼-丹尼尔-桑迪(Bjorn Daniel Sundin)

赏金:FBI 将为提供抓捕碧琼-丹尼尔-桑迪有效线索的民众最高2万美元的赏金。

最后已知地点:未知

桑迪和自己的同伙沙尔库马尔-吉恩都因为涉嫌国际互联网消费者欺诈案而被FBI通缉。根据FBI的情报显示,桑迪在瑞典和乌克兰地区拥有一定的人脉资源。

6. 亚历克山大-塞吉维齐-鲍勃维(Alexandr Sergeyevich Bobnev)

赏金:FBI 将为提供抓捕亚历克山大-塞吉维齐-鲍勃维有效线索的民众最高5万美元的赏金。

最后已知地点:未知

亚 历克山大-塞吉维齐-鲍勃维在2008年11月26日因为涉嫌电汇诈骗、非法入侵投资服务提供商账户和洗钱等罪名而被纽约南方地区法庭正式起诉。据悉,鲍 勃维主要通过入侵用户账户,并将这些账户的钱通过中间人电汇到外部,然后再电汇到自己账户的方式实现盈利。在2007年6月和8月期间,鲍勃维大约从这些 账户中电汇了总计3.5亿美元的资金。

FBI透露,鲍勃维拥有一本俄罗斯护照,并在俄罗斯地区拥有大量的人脉资源。

7. 卡洛斯-佩雷兹-梅拉拉(Carlos Enrique Perez-Melara),

赏金:FBI 将为提供抓捕亚卡洛斯-佩雷兹-梅拉拉有效线索的民众最高5万美元的赏金。

最后已知地点:萨尔瓦多San Salvador地区

梅拉拉曾发布了一款名为“爱侣间谍”(Lover Spy)的软件,该软件可以通过植入间谍软件的方法来拦截信息,以实现用户监视男友或女友网上活动的目 的。具体来说,梅拉拉所编写的“爱侣间谍”(LoverSpy)程序外观上是一个电子贺卡,贺卡上有可爱的小狗和花朵,并主要通过电子邮件进行发送。一旦 这个贺卡程序被某位用户点击执行,它将自动搜集对方的所有电子邮件以及网页浏览历史,这些信息将会被传输到梅拉拉的电脑上,并会在随后转发到相应客户手 中。

2005年6月21人,加州南部地区法庭正式对梅拉拉提出指控,但持有美国学生签证的他目前仍然在逃。

8. 安德烈-纳比维奇-塔米(Andrey Nabilevich Taame)

赏金:FBI 将为提供抓捕安德烈-纳比维奇-塔米有效线索的民众最高5万美元的赏金。

最后已知地点:未知

安德烈-纳比维奇-塔米因涉嫌同2007年10月至2011年期间一宗有关非法植入恶意软件有关的案件而被FBI通缉,这一案件当时总计影响了分布在超过100个国家的400万台电脑。其中,大约有50万部受影响的电脑位于美国境内。

2011年10月13日,纽约南方地区法庭正式就电汇欺诈、电脑黑客、非法入侵等罪名对塔米提起诉讼。据FBI透露,目前是俄国公民的塔米可以讲英语和俄语,并持有一本俄罗斯护照,现在有可能在俄国或者塞浦路斯等地区。

9. 诺尔-奥兹-尤德林(Noor Aziz Uddin)

赏金:FBI 将为提供抓捕诺尔-奥兹-尤德林有效线索的民众最高5万美元的赏金。

最后已知地点:沙特阿拉伯沙特地区

尤 德林因为涉嫌一宗同国际电信公司、政府单位以及个人在内的电信欺诈案而被FBI通缉。据悉,尤德林在2008年11月和2012年4月期间通过入侵电脑系 统而成功非法获利超过5000万美元。而且,尤德林所进行的犯罪还获得了包括来自巴基斯坦、菲利宾、瑞士、西班牙、新加坡、意大利和马来西亚等国犯罪组织 的帮助

2012年6月29日,美国新泽西地方法院基于电汇欺诈、非法入侵电脑和身份盗窃等罪名对尤德林正式提起诉讼。FBI透露,可以说英语和乌尔都语尤德林的目前有可能已经前往了阿拉伯联合酋长国、意大利、马来西亚或者巴基斯坦地区。

10. 法哈-阿沙德(Farhan Arshad)

赏金:FBI 将为提供抓捕法哈-阿沙德有效线索的民众最高5万美元的赏金。

最后已知地点:马来西亚

和诺尔-奥兹-尤德林一样,阿沙德同样是因为涉嫌一宗同美国和国外电信公司、政府单位以及个人在内的电信欺诈案而被FBI通缉。据FBI透露,最后曾在马来 西亚地区出现过的阿沙德可以同时讲英语和乌尔都语,现在有可能已经前往了德国、巴基斯坦、加拿大、阿拉伯联合酋长国或者英国这些地区。

 

2 本周关注病毒

2.1 Trojan.Win32.Fednu.upq(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.2 Trojan.Win32.Fednu.upr(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.3 Trojan.DL.Win32.Mass.a(‘Mass’木马病毒)

警惕程度 ★★★★

病毒伪装成知名网游DNF的外挂程序引诱用户下载并安装,病毒运行后,将连接www.sohoousb.com/game/**.txt获得配置信息,锁定中毒电脑的IE主页为http://www.ttx123.cn/***gema,或http://click.t3nlink.com/link/***137,并向黑客指定网址刷取流量。除此之外,该病毒还会向用户电脑不断安装海量软件,5分钟之内可达20个之多,届时用户将面临隐私信息泄露、电脑宕机等风险。

 

3 安全漏洞公告

3.1 McAfee Email Gateway存在未明任意命令执行漏洞

McAfee Email Gateway存在未明任意命令执行漏洞

发布时间:

2013-11-07

漏洞编号:

CVE(CAN) ID: CVE-2013-6349

漏洞描述:

McAfee Email Gateway是一款全面的电子邮件安全解决方案。
McAfee Email Gateway存在未明任意命令执行漏洞,允许远程攻击者利用漏洞完全控制系统。

安全建议:

McAfee Email Gateway 7.5.1, 7.0.4已经修复该漏洞,建议用户下载更新:
http://www.mcafee.com/

3.2 Zend Framework代理请求处理IP地址伪造漏洞

Zend Framework代理请求处理IP地址伪造漏洞

发布时间:

2013-11-05

漏洞编号:

BUGTRAQ ID: 63486

漏洞描述:

Zend Framework是一款开放源代码的PHP5开发框架实现。
Zend Framework没有正确校验$_SERVER['REMOTE_ADDR']是否与Zend\Http\PhpEnvironment\RemoteAddress类中的可信代理服务器列表中项匹配,允许远程攻击者利用漏洞伪造IP地址,绕过安全限制。

安全建议:

Zend Framework 2.2.5已经修复该漏洞,建议用户下载更新:
http://framework.zend.com

3.3 Cisco ASA CX安全搜索策略绕过漏洞

Cisco ASA CX安全搜索策略绕过漏洞

发布时间:

2013-11-05

漏洞编号:

CNVD ID: CVE-2013-5561

漏洞描述:

Cisco Adaptive Security Appliance是一款自适应安全设备,可提供安全和VPN服务的模块。
Cisco ASA CX Context-Aware Security中的安全搜索组件存在一个安全漏洞,允许远程未验证攻击者绕过安全策略限制。漏洞是由于执行过滤动作时未能实现正确的逻辑,允许攻击者提交特殊的HTTP请求,绕过安全策略,进行未授权操作。

安全建议:

用户可参考如下厂商提供的安全公告获得补丁信息:
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-5561

3.4 Zabbix任意命令执行漏洞

Zabbix任意命令执行漏洞

发布时间:

2013-11-04

漏洞编号:

CVE ID: CVE-2013-3628

漏洞描述:

ZABBIX是一个CS结构的分布式网络监控系统。
Zabbix存在任意命令执行漏洞。攻击者可以利用漏洞在应用程序上下文中执行任意命令。

安全建议:

目前没有详细解决方案提供:
http://www.zabbix.com/

3.5 Apache Struts config-browser/actionNames.action namespace参数反射型跨站脚本漏洞

Apache Struts config-browser/actionNames.action namespace参数反射型跨站脚本漏洞

发布时间:

2013-11-01

漏洞编号:

 

漏洞描述:

Apache Struts框架是一个基于Java Servlets,JavaBeans, 和 JavaServer Pages (JSP)的Web应用框架的开源项目。
Apache Struts config-browser/actionNames.action脚本不正确校验'namespace'参数,可导致一个反射型跨站脚本攻击,允许攻击者构建恶意URI,诱使用户解析,可获取敏感信息或劫持用户会话。

安全建议:

目前没有详细解决方案提供:
http://struts.apache.org/