当前位置: 安全纵横 > 安全公告

一周安全动态(2015年2月26日-2015年3月5日)

来源:安恒信息 日期:2015-03

2015年3月第1周(2.26-3.5)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 黑客入侵杭州下沙一公司损失200万元

说起黑客,想必不少人会一笑了之。但下沙某软件公司总监缪某却笑不出来,因为黑客入侵了公司开发的网吧管理系统,一个月内直接损失达20万元,间接损失达到了200万元以上。

黑客利用缪某公司的服务器,不仅大量投放恶意广告,还在服务器还在服务器软件更新通道中设置大量木马程序,盗取使用软件客户的QQ账号。2月10日,这个1988年出生的黑客被开发区警方在河南抓获。


下沙一公司遭高手攻击
束手无策

缪先生从事软件开发多年,对黑客入侵算得上很熟悉了。

“从创业到现在,我开发的网吧管理软件,在行业内小有名气,国内有10多个大中城市80多万台网吧电脑在使用。”缪先生说,从业多年时不时会碰到公 司的网站服务器被黑客入侵、程序被篡改等事件,往往被他顺利化解,但这次遇到了高手,让他束手无策,只能到白杨派出所报警求助。

去年12月开始,公司员工发现同一名黑客连续入侵他们放在萧山的服务器。起初他们没有在意,但随着入侵与反入侵、攻击与防守的不断深入,他们发现,多次攻防都未能阻止这个黑客的入侵。

之后,公司开始陆续收到客户的投诉,说是公司提供服务的网吧管理软件被人恶意投放广告、网吧用户多个QQ账号被盗、QQ账户中Q币及虚拟财产被盗,而且由于黑客在软件中投放了大量恶意广告插件,导致网吧客户机无法正常运行。

“因为这件事,原本一家打算向公司定制软件的企业,也取消了合同。”缪先生说,现在他们只好把软件中的广告投放功能暂停掉,这样1个月造成的损失就有20万元,这还不包括大量流失的网吧客户。


小伙大学辍学后
网上自学黑客技术

2月10日,这个让缪某头痛不已的黑客,在河南落网。

经调查,黑客姓董,河南三门峡人,1988年出生。下沙警方在他作案的老家住处,只搜出一台普通家用电脑和一个装满黑客工具、木马病毒的移动硬盘。

但是就凭着这么简陋的装备,董某从去年12月2日起,通过数次入侵、远程登录网站服务器,破解了缪先生公司的网吧管理软件。

在破解软件过程中,他一方面在软件更新通道中放下了大量木马软件,另一方面撤下软件中预定要投放的少量正常广告,转而放置下大量自己需要投放的广告,并开启多个广告插件。

董某说,从去年12月2日开始入侵服务器、破解软件开始到今年2月10日被抓获为止,他两次恶意投放广告,投放时间约为一个星期左右,获利8.5万元。

至于董某的“技术”是哪里学来的,他告诉民警:大二辍学,全凭自学。

目前,董某因涉嫌非法侵入计算机信息系统被下沙警方依法刑拘。



1.2 油漆工自学成黑客1天入侵3000多家网站

杨某虽然只有小学文化,但他通过自学掌握网络黑客技术。2013年到2014年7月间,杨某先后利用网络病毒攻击 并控制多家网站,仅去年7月份一天内就攻击3000多家网站。后通过对网站服务器的非法控制,将网站链接等资源以0.1元到0.5元每条不等的价格销售给 下家用于不法活动。截至案发,杨某从中非法获利数万元。昨天下午,杨某因犯非法控制计算机信息系统罪被江苏省扬州市邗江区法院判刑4年,并处罚金2万元。

1天入侵3000多家网站

41岁的男子杨某是河南人,目前居住在扬州。据了解,小学毕业的杨某以前是个油漆工,后偶然接触网络,加入黑客QQ群,并从此对计算机网络病毒充满好奇。他慢慢通过自学,最终成为一名利用计算机病毒作案的黑客。

邗江区检察院公诉材料显示,经公安机关侦查,2013年以来,杨某利用从互联网下载的病毒不法入侵一些网站,具体受害网站数量难以统计,仅7月31 日一天就入侵3618家网站。去年7月份的一天,扬州一家知名新闻网站突然瘫痪,技术人员在检查中发现人为攻击网站情况,随后报案。也正因此,才最终将幕 后黑客杨某牵了出来。

出售网站链接非法获利

尽管杨某在庭审现场口口声声说是因为好奇和不懂法才最终走上计算机网络犯罪道路,而实际上,真正驱动杨某犯罪的是金钱利益。据了解,杨某利用计算机 病毒入侵并对网站服务器权限非法控制后,就以0.1元到0.5元每条不等的价格出售网站链接等资源,供下线从事非法活动。公安机关在侦查中发现,从杨某实 施犯罪到案发被抓,其支付宝账户有大量不明收入入账,总数约18万元。不过,因缺乏有效证据,这笔不明来历的收入中,很大一笔无法作为公诉内容。

3月2日下午,在庭审现场,被告杨某对检察院提出的公诉内容未提出异议。


1.3 又一重大漏洞现身 "疯怪"危及世界互联网安全

安全专家警告,一个潜伏多年的安全漏洞将危及计算机与网页间的加密连接,导致苹果和谷歌产品的用户在访问数十万网站时遭到攻击,包括白宫、国家安全局和联邦调查局的网站,并危及世界互联网安全。

该漏洞被称为“疯怪”(Freak),是一个针对安全套接层协议(SSL)以及传输层安全协议(TSL)的漏洞。通过它,攻击者将得以实施中间人窃听攻击。 该漏洞危及到大量网站、苹果的Safari浏览器、谷歌的Android操作系统,以及使用早于1.0.1k版本的OpenSSL的用户。
问题起源于美国在上世纪90年代早期施行的出口限制政策,它禁止了美国的软件制造商向海外出口带有高级加密功能的产品。当出口限制政策放宽后,由于有些软件 仍旧依赖于旧版加密协议,出口版产品的加密功能依然没有得到升级。疯怪使得攻击者能够将安全性很强的加密连接降级成“出口级”,从而使其易于攻破。

很多谷歌和苹果的产品,以及嵌入式系统都使用OpenSSL协议,这些服务器和设备都将受到威胁。使用RSA_EXPORT加密套件的设备均有风险,疯怪 (FREAK)漏洞的名称正取自于“RSA_EXPORT素数攻击”的英文首字母(Factoring attack on RSA-EXPORT Keys)。

攻击者在加密连接的建立过程中进行中间人攻击,可以绕过SSL/TLS协议的保护,完成密钥降级。降级后的512位密钥可以被性能强大的电脑破解。 

A当今的协议使用更长的加密密钥,比如作为加密标准的2048位RSA。512位密钥在20年前属于安全的加密方法,但今天的攻击者利用公有云服务将很容易破解这些短密钥。

上世纪90年代,破解512位密钥需要大量计算;如今利用亚马逊弹性计算云,则只需要大约7小时,花费100美元。

企 业在修补漏洞方面动作迅速。苹果和谷歌均表示,已经开发了补丁,并将很快向用户推送。CDN服务商Akamai公司的负责人表示,已经对其网络进行修补, 但是很多客户端仍暴露在风险中。“我们没办法修补客户端,但是我们可以通过禁用‘出口级’密码来解决该问题。这个漏洞的起源在客户端,我们已经在和客户联 系,让他们进行变更了”。

该漏洞由微软研究院和法国国家信息与自动化研究所共同发现。关于疯怪漏洞的学术论文将在今年五月份举行的IEEE安全与隐私会议上发表。


1.4 奥巴马内阁要求中国取消银行业信息安全新规

中美网络及信息安全的较量,逐渐从暗战变成明战。“从很多方 面来看,中国似乎依然掌握着主动。” 《纽约时报》在今天刊发的报道中发出感慨。新华社主办的《参考消息》同一天转引《华尔街日报》透露的消息,包括国务卿克里在内的美国内阁四名成员,曾联名 致信中国官员,抗议中国银行业加强信息安全的新规,并且,竟要求中国政府取消限制,以便外资科技公司进入中国敏感行业。昨天,中国最大的安防监控企业被曝 存在隐患,部分设备已经被境外IP地址控制,这一消息必定会让中方更加坚定地巩固网络安全防线。

据《参考消息》转引《华尔街日报》网站报道,美国贸易代表迈克尔弗罗曼对中国最高银行业监管机构拟议的新规定提出批评,称这些规定违反了中国的贸易承诺。中国银监会的新规定要求各大银行大幅增加它所谓的安全和可控技术的使用。

弗罗曼在声明中说:“中国对银行业信息和通信技术使用的新规定直接违反了中国的一系列双边和多边贸易协定。比如,规定要求把技术转让和使用中国国内的知识产 权作为市场准入的先决条件。”他说:“这些新规定不是关于安全的,这是在实施保护主义,支持中国公司。美国政府正积极努力让中国取消这些令人困扰的规 定。”

美方炮轰的是中国银监会去年9月发布的《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》。文件要求,从2015年起,各银行业金融机构对“安全可控”信息技术的应用以不低于15%的比例逐年增加,直至2019年达到不低于75%的总体占比。

《华尔街日报》报道称,美国官员曾致信中国相关官员,对中国拟议的新规定表示关切。这位官员说,贸易代表弗罗曼(内阁级别官员,不属于内阁正式成员——观察者网注)、美国国务卿约翰克里、美国商业部长彭妮普里茨克和美国财政部长雅各布卢都在这封信上签了字。

美政要

《纽约时报》报道,在华盛顿,数十名美国科技业高管和行会官员聚集在内战前修建的贸易代表办公室大楼,召开了一次紧急会议。他们告诉副贸易代表,美国现在应该对北京采取强硬态度了。

“如今已经形成两大阵营的对峙,一方是充满自信的中国领导人,美国网络间谍活动的证据已经让他们警惕起来。”《纽约时报》称,另一方是由奥巴马政府和硅谷组成的一个尴尬的联盟。硅谷本身对华盛顿保持着警惕,但又垂涎于中国庞大的市场。

《纽约时报》承认:“从很多方面来看,中国似乎依然掌握着主动。中国的互联网用户是美国的两倍,中国市场在2015年全球信息科技支出中所占比例预计将达到一半。中国的产业政策让政府对经济拥有强有力的控制。中国本土的科技公司在规模和能力方面均在增长。”

不过,这并非赞美之辞,更像是“捧杀”。江苏省公安厅27日中午发布的特急通知称,海康威视生产的监控设备存在严重安全隐患,部分设备已经被境外IP地址控制,要求各地立即进行全面清查,并开展安全加固,消除安全漏洞。

海康威视是国内最大的综合安防监控企业,其市值逾1200亿人民币,为当之无愧的安防产业龙头。公安系统是海康威视的重要客户,其自称“公安视频建设和应用的先进者和探索者”。海康威视具有“平安城市”、“平安乡镇”等多套解决方案。

美国对国家安全问题谨小慎微。据《参考消息》转引路透社26日报道,中国已经连续第二年成为受美国审查交易最多的国家。

外国在美投资委员会(CFIUS)的数据显示,这个秘密机构2013年共审查了21个由中国公司或个人提出的投资项目。这占到受到审查的97项交易的约五分之一。当一家外国公司试图拥有某个可能对美国国家安全敏感的行业的所有者权益时,就会受到审查。

尽管如此,欧美企业仍试图将中国维护安全之举扭曲为“保护主义”。此前,2月14日,针对中国银监会的银行业信息安全新规,包括代表美国在华企业的“中国美 国商会”在内的17个美国行业组织,致函美国政府抗议;而最近,2月25日,代表欧洲在华企业的“欧洲商业联合会”和“城市英国”等组织,也向欧盟委员会 抗议,声称这些“令人担忧的”中国监管规定“可能会关上许多外国IT企业进入中国银行业IT市场的大门”。

从最近公布的另一消息来看,中国政府并未理睬外部喧嚣。路透社注意到,2012年,中国中央政府采购中心的名单上共有60款思科产品,而这一数字在2014年采购名单中骤降为零。


《齐鲁晚报》报道称,在两年的时间内,中央政府采购中心名单上的商品数量增加了2000多个,目前总数量将近5000个,但增加的这些商品几乎全部为本土品牌。而被批准的国外科技产品的数量下滑了1/3,不到1/2的安全相关产品得以幸存。

金融领域的信息安全可控,首要面对的是“IOE”三大巨头,即IBM(服务器)、甲骨文(数据库)、EMC(高端存储)的拳头产品,《中国证券报》1月30日报道介绍。

“在信息安全可控方面我们早已布局。”一家银行科技部老总向该报记者透露。他表示,目前正在使用的一些国际厂商产品出现较大问题时,往往需要从国外邀请专家解决,效率很低,自主可控是银行业必须走的一条路。


1.5 卡巴斯基率先发现首个阿拉伯网络间谍组织

卡巴斯基实 验室全球研究和分析团队最近发现了一个以中东国家多家重要机构和个人为目标的网络间谍攻击组织——沙漠猎鹰(Desert Falcons)。卡巴斯基实验室安全专家有多个理由相信,该组织幕后的攻击者来自阿拉伯语地区。截止目前,沙漠猎鹰已针对全球超过50个国家的3000 多个受害者展开攻击,并盗取了超过100万个文件。虽然沙漠猎鹰的主要攻击目标似乎位于埃及、巴基斯坦、以色列和约旦这些国家,但是安全专家们在卡塔尔、 沙特阿拉伯、阿联酋、阿尔及利亚、黎巴嫩、挪威、土耳其、瑞典、法国、美国、俄罗斯和其他国家同样发现了多个受害者。卡巴斯基实验室安全专家认为这是首个 被发现的阿拉伯网络雇佣军组织,该组织能够开发和执行大规模的网络间谍攻击行动。

卡巴斯基实验室的调查显示,沙漠猎鹰攻击行动已持续至少两年时间:它从2011年开始开发和筹划,但攻击和感染始于2013年,并在2015年初达到巅 峰。遭遇攻击的受害者包括军事和政府机构,尤其是反洗钱机构、医疗和经济组织的员工、知名媒体、研究和教育机构、能源和公共事业设备提供商、激进主义者和 政治领导人、物理安全企业以及其他掌握重要地缘政治信息的机构。沙漠猎鹰行动的幕后攻击者可以利用特有的恶意工具攻击上述机构的Windows计算机和安卓设备。卡巴斯基实验室研究专家估计来自三个团伙的至少30名人员在不同国家操纵着沙漠猎鹰攻击行动。

据了解,沙漠猎鹰攻击组织主要通过电子邮件、社交网络内容或聊天信息进行钓鱼式攻击,以此传播恶意代码。钓鱼信息中所包含的恶意文件(或指向恶意文件的链 接)会伪装成合法文档或应用程序。沙漠猎鹰使用多种手段诱使受害者运行恶意文件。其中最常用的是一种被称为文件扩展名从右至左覆盖技巧。

这一手段利用Unicode中的特殊字符,反向显示文件名字符,在文件名中隐藏危险的文件名扩展名,并且将一个看似无害的虚假文件扩展名置于文件名称的末尾。通过使用这一手段,恶意文件(.exe和.scr)看似为无害的文档或PDF文件。甚至具有较高计算机知识的细心用户也可能上当受骗,运行其中的恶意文件。例如,以.fdp、.scr结尾的文件看上去会显示为.rcs和.pdf文件。

成功感染受害者后,沙漠猎鹰会使用两种后门程序中的一种,分别为沙漠猎鹰木马或DHS后门程序。这两种恶意程序均由攻击者自主开发,并且现在还处于不断开 发之中。卡巴斯基实验室专家发现该组织在攻击中使用了超过100种恶意软件样本。这些恶意工具具有全面的后门功能,包括截取屏幕、记录键盘击键、上传/下 载文件、在受害者磁盘或连接的USB设备上收集所有Word和Excel文件信息、窃取存储在系统注册表(Internet Explorer和live Messenger)中的密码以及录音功能。卡巴斯基实验室专家还在安卓设备上发现了恶意软件的活动痕迹,攻击者使用了具有手机来电和短信日志窃取功能的安卓木马程序。通过使用这些工具,沙漠猎鹰攻击组织发动和实施了至少三次不同的恶意攻击行动,不同国家的大量用户和组织沦为其受害者。

在谈及沙漠猎鹰行动的幕后攻击者时,卡巴斯基实验室全球研究和分析团队安全专家Dmitry Bestuzhev表示:“该组织成员具有良好的技术背景和政治文化眼光,其攻击目标非常坚定,攻击行动也异常活跃。仅使用钓鱼邮件、社交工程技术、自制 的工具和后门程序,沙漠猎鹰就成功感染了成百上千个中东地区的重要敏感组织,利用其计算机系统或移动设备窃取敏感数据。如果有足够的经费支持,他们还可能会获得或开发出漏洞利用程序,提升他们的攻击效率。”

 

 


2 本周关注病毒

2.1 Trojan.Win32.Fednu.uqf(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.2 Worm.Mail.Brontok.pc(蠕虫病毒)

警惕程度 ★★

该病毒利用电子邮件的附件进行传播。病毒运行后将修host文件,阻止用户访问杀毒软件网站,后台下载黑客指定文件,将其他病毒植入电脑。除此之外,读取用户的联系人列表,进而利用用户的邮箱向联系人发送病毒邮件。电脑一旦中毒将面临隐私信息泄露、网银账密被窃等风险。

2.3 Backdoor.Win32.Toy.a(后门病毒)

警惕程度 ★★★★

该病毒运行后,将自动连接黑客指定服务器,将自身更新至最新版本,同时将用户电脑的信息发送给黑客,并监控电脑操作,电脑一旦中毒用户将面临隐私信息泄露、网银账密被窃等风险。


3 安全漏洞公告

3.1 PHPMoAdmin未授权远程代码执行漏洞

PHPMoAdmin未授权远程代码执行漏洞

发布时间:

2015-03-04

漏洞编号:

CVE ID:CVE-2014-9283

漏洞描述:

phpMoAdmin是一个用PHP开发的在 MongoDB管理工具,可用于创建、删除和修改数据库和索引,提供视图和数据搜索工具,提供数据库启动时间和内存的统计,支持JSON。

phpMoAdmin saveObject函数不正确处理用户提交的输入,允许远程攻击者利用漏洞提交特殊请求以WEB权限执行代码。

测试方法

$ curl "http://localhost/moadmin.php?collection=1" -d "object=1;phpinfo();exit"

安全建议:

目前没有详细解决方案提供:

http://www.phpmoadmin.com/


3.2 ElasticSearch Groovy远程代码执行漏洞

ElasticSearch Groovy远程代码执行漏洞

发布时间:

2015-03-04

漏洞编号:

CVE ID: CVE-2015-1427

漏洞描述:

ElasticSearch是一个JAVA开发的搜索分析引擎。2014年,曾经被曝出过一个远程代码执行漏洞(CVE-2014-3120),漏洞出现在脚本查询模块,由于搜索引擎支持使用脚本代码(MVEL),作为表达式进行数据操作,攻击者可以通过MVEL构造执行任意java代码,后来脚本语言引擎换成了Groovy,并且加入了沙盒进行控制,危险的代码会被拦截,结果这次由于沙盒限制的不严格,导致远程代码执行

 

安全建议:

Elasticsearch官方已经在最新的版本中修复了该漏洞,安恒信息建议广大用户尽快给升级到1.4.3或者1.3.8修复该漏洞

升级地址:

http://www.elasticsearch.org/downloads/1-4-3

http://www.elasticsearch.org/downloads/1-3-8


3.3 Apache Standard Taglibs XML外部实体注入漏洞

Apache Standard Taglibs XML外部实体注入漏洞

发布时间:

2015-03-03

漏洞编号:

CVE ID:  CVE-2015-0254

漏洞描述:

Apache Standard Taglibs是为JSP定制标签库和相关的项目提供的一个开源仓库,如TagLibraryValidator类,和对页面生成工具的扩展来支持标签库。

Apache Standard Taglibs使用<x:parse>或<x:transform>标签处理不可信XML文档时,允许攻击者利用漏洞通过外部实体引用访问系统主机资源,或使用XSLT扩展执行任意代码。

安全建议:

Apache Standard Taglibs 1.2.3已经修复该漏洞,建议用户下载更新:

http://docs.oracle.com/javase/tutorial/jaxp/properties/properties.html


3.4 PuTTY DHE Sanity Checks本地安全绕过漏洞

PuTTY DHE Sanity Checks本地安全绕过漏洞

发布时间:

2015-03-03

漏洞编号:

 

漏洞描述:

PuTTY是一款免费的Telnet、Rlogin和SSH客户端软件。

PuTTY中存在本地安全绕过漏洞,本地攻击者可利用该漏洞绕过安全限制,执行未授权操作。

 

 

安全建议:

目前没有详细解决方案提供:


http://www.putty.org/

 


3.5 HP XP P9000 Command View Advanced Edition Software Online Help跨站脚本漏洞

HP XP P9000 Command View Advanced Edition Software Online Help跨站脚本漏洞

发布时间:

2015-03-03

漏洞编号:

CVE ID: CVE-2014-7896

漏洞描述:

HP XP P9000 Command View Advanced Edition Suite Software是美国惠普(HP)公司的一款可对HP XP P9500、XP Disk Array磁盘阵列产品进行存储管理的设备管理软件。

多款HP产品中使用的HP XP P9000 Command View Advanced Edition Software Online Help中存在跨站脚本漏洞,允许远程攻击者利用漏洞注入恶意脚本或HTML代码,当恶意数据被查看时,可获取敏感信息或劫持用户会话。

 

 

安全建议:

用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:
https://h20564.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c04582371