当前位置: 安全纵横 > 安全公告

一周安全动态(2014年12月04日-2014年12月11日)

来源:安恒信息 日期:2014-12

2014年12月第二周(12.04-12.11)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 Linux间谍木马(Turla)潜伏多年,监控45国政府

卡巴斯基实验室的安全专家们首次发现了恶意程序Turla的新变种,它的主要攻击目标是Linux系统,因此又被叫做企鹅Turla(Penquin Turla)。当该恶意程序已经上传并出现在在线安全检测平台上之后,研究人员才注意到它并开始调查。

史上最复杂的APT(高级持续性威胁)间谍软件

间谍软件是恶意程序的一种,能够在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软件。它能够削弱用户对其使用历史、隐私和系统安全的物质控制能 力;使用用户的系统资源,包括安装在他们电脑上的程序;或者搜集、使用、并散播用户的个人信息或敏感信息。鉴于间谍软件的巨大危害,一旦它入侵政府或军方 的计算机,其后果将不堪设想。

Turla被认为是历史上最复杂的APT(高级持续性威胁)间谍软件。

Turla由BAE的研究员首次发现,研究人员认为它由俄罗斯网络专家开发,并且很可能是莫斯科政府网络武器(cyber weapon)计划的一部分。安全研究人员还发现该恶意程序与之前的Uroburos病毒(一个用于网络间谍活动的恶意程序)存在关联。

走近企鹅Turla

企鹅Turla程序由C语言和C++语言编写,由于连接了多个库,所以它的文件体积明显增大。攻击者除去了带有符号信息的代码,这大大增加了安全专家分析该程序的难度。和其他Turla变种一样,企鹅Turla也可以隐藏网络通信,任意执行远程命令和远程控制受害者机器。

企鹅Turla大量使用了开源的静态链接库,包括glibc2.3.2、openssl v0.9.6 和libpcap。企鹅Turla并不需要使用root权限即可以执行攻击命令,同时难以被发现,不会被Linux上管理工具(命令)netstat探测 到。也就是说,即使用户在启动该程序时限制了系统权限,企鹅Turla仍然可以继续截断数据包和执行恶意操作。

除此之外,研究人员还在Penquin Turla中发现了硬编码的控制与命令(C&C)服务器地址——news-bbc.podzone[.]org。

不断增强的新变种

企鹅Turla这种Turla新变种集成了当前各种资源,攻击者们对其添加了新的功能,除去了旧版本中的老代码。因此其攻击能力也有所增强。

安全研究人员们指出,当前肯定还有很多的Turla地下工具还没有被发现。这些恶意程序正被政府资助的攻击者们用于窃取世界各国政府机构、大使馆、军方、研究机构和制药公司的机密信息。

安全专家在此建议重要部门和企业的Linux系统管理员尽快自查是否感染了Linux版图兰木马,方法很简单:

1.检查出站流量中是否包含以下链接或地址:news-bbc.podzone[.]org or 80.248.65.183,这是目前已经发现的Linux版图兰木马硬编码的命令控制服务器地址。

2.系统管理员还可以使用开源恶意软件研究工具YARA生成证书,并检测其中是否包含”TREX_PID=%u” 和 “Remote VS is empty !”两个字符串。

1.2 升级版Red October恶意软件被发现,专门攻击外交官

安全研究人员再次发现由国家支持的全球间谍活动。

Blue Coat实验室将这一恶意软件命名为Inception(盗梦空间),专门针对Windows、安卓、黑莓及iOS设备,并使用瑞典云服务Cloudme中的免费账户盗取数据。恶意软件潜伏在来电及去电的MP4声音文档中,之后定期窃取信息上传给攻击者。安全研究人员还发现一个使用彩信的钓鱼活动,它针对多个国家至少60个移动网络,试图感染多个个体目标。

安全研究人员指出,攻击者具有丰富的恶意软件编程经验,他们开发出的自动化攻击框架具有先进的技术保护攻击载荷(payload)不被发现,同时很好的隐藏自己的身份。

卡巴斯基将其命名为Cloud Atlas(云图),并指出几乎可以肯定的是这是对Red October(红色十月)恶意软件平台的升级,后者曾感染了全球上千名外交官、政府及科研机构的设备,但一旦在卡巴斯基发现他们的行为时,Red October便会消失。
这款恶意软件的攻击目标包括金融、工程及汽油行业的执行官及高层人员。卡巴斯基指出,五大目标国家包括俄罗斯、哈萨克斯坦、白俄罗斯、印度和捷克共和国。但Blue Coat指出在其他国家也很活跃,包括罗马尼亚、委内瑞拉、莫桑比克、巴拉圭和土耳其。

这款恶意软件通过钓鱼电子邮件引诱受害者打开含有恶意代码的微软Word文件来实施攻击。

1.3 美国天气系统被入侵,可影响卫星

黑客今年十月份攻击了美国的天气系统,造成几个关键的网站崩溃,和卫星的通讯中断。

美国国家海洋和大气管理局(NOAA)发表声明称他们下属的四个网站被攻击,为了阻止攻击者进一步入侵,当局被迫关闭了几个服务。

这就解释了为什么卫星数据在10月神秘地切断,国家冰雪中心和几个网站莫名的崩溃。当时联邦官员当时的解释是:“非预期的错误”

不过美国国家海洋和大气局的发言人斯科特坚称黑客没有利用系统向公众发布任何天气预报和其他信息。

华盛顿邮报报道了更多的细节,目前尚不清楚黑客到底造成了多大的影响。但是黑客设法渗透入侵美国各政府网站目前被高度重视。同时美国的军事、企业和地方政府都依赖美国国家海洋和大气局的服务。

这仅仅是最近的一次网络攻击,在那不久之前美国白宫也曾遭到攻击。

1.4 揭秘朝鲜“网军”:编制1800人 最小17岁

朝鲜国防委员会政策局发言人7日否认朝鲜“黑客”攻击索尼影像娱乐公司,称这一说法是韩国当局散布“荒诞不经的谎言”,而对索尼娱乐的网络攻击可能是由朝鲜在海外的“支持者和同情者”实施。

就索尼娱乐所遭网络攻击来自朝鲜还是独立黑客团体,互联网专家意见不一。不过,这一事件令国际媒体再次把眼光投向朝鲜“网军”。

精挑细选隶属精锐情报机构

路透社以一些逃亡海外的朝鲜人、即所谓“脱北者”为消息源报道,朝鲜网络部队由一群活跃于隐秘战线和虚拟空间的电脑精英组成,他们毕业于高等学府,精通计算机和互联网技术,身份保密,待遇优渥。

报道说,朝鲜网络部队编制大约1800人,编号“121局”,隶属于军方精锐情报机构“侦察总局”。

韩国《东亚日报》援引一些“脱北者”的话说,朝鲜从上世纪90年代中期开始培养网络战能力。韩国军方高级官员曾说,韩方认为朝鲜有大约3000名“黑客”。

6年前逃到韩国的张世律(音译)自称熟悉朝鲜网军情况,说他曾就读朝鲜“自动化大学”与网军成员一起学习。这所学校是朝鲜计算机科学军事学院,是军方招募和 培训网军的主要基地,在首都平壤有校区,围墙上有铁丝网。学校学制5年,每年报考人数超过2500人,但只有100人能毕业,其中一些人进入121局。

张世律说,朝鲜军方对“网络战士”的挑选与培训年龄最小为17岁。精挑细选出的人才个个都是互联网专家,堪称军中精英。
“对他们而言,最强大的武器是网络。在朝鲜,这被称作‘秘密战争’,”他说。

待遇优厚“白领”身份象征

张世律回忆,他的一名朋友在121局一个国外分部工作,公开身份是一家朝鲜贸易公司的员工,每天正常上班,没人知晓其真实身份是网络情报人员。

一旦成为“网络战士”,就意味着进入朝鲜较高的社会阶层,从此衣食无忧。张世律说,他的那名朋友出身农村,成为“网络战士”后把全家人接到平壤定居,分配到一套位于高档社区的大户型公寓。这些面向网络专家的激励措施相当奏效。

曾经在朝鲜一所大学任教的计算机科学教授金兴光(音)说,对朝鲜人而言,成为网军是一种荣誉,更是“白领”身份的象征,这正是不少人热衷于此的原因。

回顾

韩美多次被“黑”

攻击代码相似

韩国多次指认朝鲜发起网络攻击,包括去年3月韩国多家电视台和金融机构的网络系统。朝鲜则予以否认。

11月下旬,日本电子巨头索尼公司位于美国加利福尼亚的子公司索尼娱乐遭遇黑客袭击,公司电脑被植入流氓软件,软件随后对电脑中的数据进行破坏,公司系统崩溃。

一些网络安全专家说,黑客攻击索尼娱乐使用的代码与黑客去年攻击韩国政府和一些企业时使用的代码极其类似,而且部分代码包含朝鲜语。美国联邦调查局针对这次攻击启动了调查。

索尼拍《刺杀金正恩》

熟悉调查内情的消息人士说,调查人员将朝鲜列为主要嫌疑对象。

索尼娱乐今年早些时候曾拍摄一部名为《采访》(又名《刺杀金正恩》)的影片,由曾为电影《功夫熊猫》配音的男演员塞斯·罗根和曾参演过电影《蜘蛛侠》的男演 员詹姆斯·弗兰科主演。电影中,两名主演分别饰演制片人和主持人,面对面独家采访朝鲜最高领导人金正恩。美国中央情报局则雇用他们趁机实施刺杀行动。

索尼娱乐发布上映预告后,朝鲜方面当时就予以强烈谴责,称其涉嫌“教唆恐怖主义行为”。

朝鲜中央通讯社7日发表朝鲜国防委员会政策局发言人的讲话,否认朝鲜“黑客”攻击索尼娱乐。

这位发言人在声明中说,朝方“不知道索尼娱乐在美国什么地方,也不知道它为何成为被攻击目标”,但朝方清楚知道,索尼娱乐“利用美国对朝敌对政策,制作一部教唆恐怖主义行为的电影,诋毁朝鲜最高领导人的尊严”。

这位发言人指责美国和韩国“毫无根据”地将朝鲜与黑客行为联系起来,但强调对索尼娱乐的攻击行为“或许是朝鲜的支持者和同情者发起的正义行为”。

1.5 黑客钻漏洞将预付卡变"印钞机" 可随意充值消费

35岁的沈某,瞄准某支付公司存有漏洞的早期付费卡,利用黑客技术将其破解。从此,他随身带着读卡器,用完的空卡只要“嘟”一下,就又被充满。“有钱”的他,和妻子先后“刷卡”消费6万多元,预付卡简直成了“印钞机”。结果,这对夫妻双双落网。这是近日上海警方破获的首例用技术手段破解预付卡加密芯片而进行非法充值的盗窃案,也揭示了目前第三方预付卡存在的安全漏洞。


预付卡存漏洞遭黑客破解

今年10月,上海警方接到某第三方支付公司报案称,公司发行的一张面额1000元的预付费卡被连续不断地在巴黎春天、太平洋百货等30多家特约商户处刷卡消费,短短一周已消费达数万元,且损失金额还在持续增加中。

犯罪嫌疑人沈某本身是一个技术迷,经常在国外黑客论坛泡着,算是资深黑客迷。2012年,沈某所在的单位发了一张预付卡作为员工福利。就是这张预付卡,让沈某突然想起看到过关于类似预付卡芯片存在漏洞的文章,里面很详细地写出了漏洞原因和如何破解。

出于好奇,沈某买了一个NFC阅读器,并根据网上的黑客程序自己改写了数据,过程非常简单,把消费卡放到读卡器上,“嘀”一声,软件自动改写芯片内的数据,钱就“充”进去了。

尝到了甜头,沈某的胆子逐渐大了起来,从一开始刷十几元、几十元到后来一刷就是几千元,终于落入法网。

记者辗转联系到了报案的这家第三方支付公司,该公司负责人告诉《IT时报》记者,就像沈某在被抓获后所说的一样,只要报案,一定就能抓到。“尽管是非法充 值,但我们后台对卡的每一笔交易都有记录,包括时间、地点、交易额。实际上,在他进行第一笔非正当交易的时候,后台就发现问题了,只不过因为数额较小,并 没有引起重视。”该负责人告诉记者。

沈某是利用了预付卡所存在的漏洞。对于该问题,上述第三方支付公司负责人承认,预付卡的确是存在漏洞 的,并且也是可以被攻破的。“说实话,攻破的技术并不难,就像沈某一样,正规渠道买个读卡器,再改一下程序,对于搞程序的人来说,一般都能做到。”该负责 人如是说,实际上,他们在此之前就发现了类似的问题。

提升预付卡安全性不容易

预防类似问题再发生的关键在于提升预付卡的安全等级。

“现在市面上常用的预付卡,一般分为3种,安全性最差的是扫条形码的预付卡,接下去是磁条卡,目前市面上安全性最高的是芯片卡。但芯片卡也分两种,一种是像交 通卡一样非接触式的芯片卡,是存储式的,另一种被称之为CPU型的芯片卡,相当于银行卡的等级,也是目前最高加密等级的卡。案子中的那种预付卡是存储芯片 卡,加密等级并非最高,所以遭到破解。”一位业内人士解释说。

据沈某称,发现破解之道后,他又去黄牛那里买过20多张这种预付卡,其中10张是可以破解的,另外10多张因为是CPU芯片卡无法入侵。

记者了解到,目前市面上还在通用的预付卡既包含条形码式的预付卡,也有磁条卡和芯片卡,但具有CPU芯片卡规模较小。

“关键是卡片升级的成本很高,每次大规模升级都要花重金,一张条形码的卡或者磁条卡要升级成芯片卡,成本至少翻10倍。一家中等规模以上的预付卡公司,发卡量一般在千万张左右,换卡的成本可不是小数目。此外,还会带来刷卡终端的匹配问题。”一业内人士表示。

难道预付卡公司为了省成本,就会让“刷不完”卡大行其道吗?上述报案的第三方支付公司负责人告诉记者,现在正逐渐让安全等级低的卡慢慢退出市场。“以后这些 安全等级低的预付卡用完了,可能在公司后台会主动注销,不能再充值,总之,这些卡在市场上的量越小越好。”该负责人说。


2 本周关注病毒

2.1 Worm.Win32.Gamarue.e(蠕虫病毒)

警惕程度 ★★

该病毒运行后修改注册表,实现开机自启动。同时,自我复制至%AllUsersProfile%\Local Settings\目录。病毒还将感染U盘、移动硬盘等移动存储设备,后台连接大量黑客指定网址,向黑客上传电脑硬盘中的敏感信息,并下载更多病毒。用户电脑一旦中毒,将面临隐私信息泄露的风险。

2.2 Backdoor.Win32.Farfli.af(后门病毒)

警惕程度 ★★

该病毒运行后将将自我复制到%AllUsersProfile%目录下,并把自身重命名为svchost.exe。同时病毒会修改注册表,实现开机自启动。电脑一旦中毒,黑客即可对用户实行远程控制,包括监控用户显示屏、键盘、鼠标及摄像头,并向用户发送音频信息,控制电脑后台访问黑客指定地址并下载其他恶意程序。届时,用户将面临隐私信息泄露,网银账密被窃等风险。

2.3 Trojan.Win32.Mnless.suk(木马病毒)

警惕程度 ★★★★

病毒运行后修改注册表,实现开机自启动,在系统目录下释放驱动文件,在局域网中传播。此外病毒还将后台连接黑客指定地址,下载其他恶意程序至电脑,并收集电脑中的网络游戏账号信息。电脑一旦中毒,用户将面临网游账号被盗等风险。


3 安全漏洞公告

3.1 VMware vCloud Automation Center远程权限提升漏洞

VMware vCloud Automation Center远程权限提升漏洞

发布时间:

2014-12-09

漏洞编号:

BUGTRAQ ID: 71587
CVE ID: CVE-2014-8373

漏洞描述:

VMware vCloud Automation Center是VMware的统一云管理软件产品。
vCloud Automation Center 6.1.1, 6.1, 6.0.1.2, 6.0.1.1, 6.0.1版本在实现上存在远程权限提升漏洞,此漏洞可使经过身份验证的vCAC用户获取vCenter Server的管理员访问权限。此漏洞源于使用vCAC的"Connect (by) Using VMRC"功能直接连接vCenter Server。

安全建议:

VMWare已经为此发布了一个安全公告(VMSA-2014-0013)以及相应补丁:
VMSA-2014-0013:VMware vCloud Automation Center product updates address a critical remote privilege escalation vulnerability - See more at: http://www.vmware.com/security/advisories/VMSA-2014-0013.html#sthash.AcIO4KGl.dpuf
链接:http://www.vmware.com/security/advisories/VMSA-2014-0013.html
补丁下载:http://kb.vmware.com/kb/2097932

3.2 ISC BIND远程拒绝服务漏洞

ISC BIND远程拒绝服务漏洞

发布时间:

2014-12-11

漏洞编号:

BUGTRAQ ID: 71590
CVE ID: CVE-2014-8500

漏洞描述:

BIND是一个应用非常广泛的DNS协议的实现。
ISC BIND 9.0.x -> 9.8.x, 9.9.0 -> 9.9.6, 9.10.0 -> 9.10.1版本,没有正确限制授权代理链接,这可使攻击者通过恶意构造的区域或服务器,利用此漏洞耗尽CPU资源及网络资源,造成拒绝服务。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.isc.org/downloads

3.3 RPM远程代码执行漏洞

RPM远程代码执行漏洞

发布时间:

2014-12-10

漏洞编号:

BUGTRAQ ID: 71558
CVE ID: CVE-2013-6435

漏洞描述:

RPM软件包管理器(RPM)是一个命令行驱动的软件包管理系统,用于安装、卸载、验证、查询和升级计算机软件包。
RPM在安装进程中存在竞争条件漏洞,攻击者可利用此漏洞在受影响应用上下文中执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://rpm.org/wiki/Releases/

3.4 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6435

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6435

发布时间:

2014-12-10

漏洞编号:

BUGTRAQ ID: 71474
CVE ID: CVE-2014-6364

漏洞描述:

Microsoft Office是微软公司开发的一套基于Windows操作系统的办公软件套装。Microsoft Office 2013、2010、2007解析精心构造的Office文件时没有正确处理内存对象,存在远程代码执行漏洞,成功利用后可使攻击者破坏内存,执行任意代码。

安全建议:

Microsoft已经为此发布了一个安全公告(MS14-082)以及相应补丁:
MS14-082:Vulnerability in Microsoft Office Could Allow Remote Code Execution (3017349)
链接:
http://technet.microsoft.com/security/bulletin/MS14-082

3.5 RSA Adaptive Authentication (On-Premise)身份验证绕过漏洞

RSA Adaptive Authentication (On-Premise)身份验证绕过漏洞

发布时间:

2014-12-09

漏洞编号:

BUGTRAQ ID: 71423
CVE ID: CVE-2014-4631

漏洞描述:

RSA Adaptive Authentication 是一种全面的、基于风险的身份认证和欺诈检测平台,可实现安全性、可用性和成本之间的平衡。
RSA Adaptive Authentication (On-Premise) 6.0.2.1 - 7.1 P3、RSA Adaptive Authentication Integration Adapters 1.x及2.x,在实现上存在身份验证绕过漏洞,通过在Challenge SOAP调用内发送设备绑定请求,攻击者可利用此漏洞绕过身份验证进程,并未授权访问应用。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://archives.neohapsis.com/archives/bugtraq/2014-12/att-0009/ESA-2014-160.txt