当前位置: 安全纵横 > 安全公告

一周安全动态(2015年4月2日-2015年4月9日)

来源:安恒信息 日期:2015-04

2015年4月2日-4月9日安全周报

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 IBM警告Dyre Wolf恶意软件 有专人接线员配合欺骗

IBM最近发现了一种DYRE网络银行恶意软件新变种,名为“Dyre Wolf”的银行恶意软件以大型企业和金融业公司为目标,盗取公司账户信息骗取资金,甚至有专门的“活人”接线员来配合欺骗。IBM安全副总裁Caleb Barlow称,这种骗局最大的特色是使用“活人”接线员这一颇具社交性质的元素,相当罕见且具欺骗性。

 

据报道称,这是由东欧网络犯罪分子操纵的新型网络骗局,以美国大企业的员工为突破口,通过钓鱼,发送恶意软件等手段植入其公司电脑,在用户登录网银时发 作,Dyre Wolf会弹出窗口骗取用户拨打某个号码,拨通号码后,甚至有专人接线员配合进行骗局。接线员会根据从恶意软件获得的资料了解用户试图联系的银行,并非常 专业地套取用户的账户细节信息,之后即会开始汇款,而犯罪分子会迅速进行转移避免被追踪。甚至对公司发动DDoS攻击,延迟该企业发现自己被骗的时间。

IBM建议,企业应该对自己员工进行更强化的信息安全培训,避免“钓鱼”攻击以及恶意软件套取账户信息。


1.2 TrueCrypt审计结果公布 未发现后门

审计开源加密软件TrueCrypt的Open Crypto Audit项目公布了完整的审计结果(PDF)。TrueCrypt是流行的加密软件,但从未进行过安全审计,在NSA大规模监控活动曝光之后安全研究人员发起了对TrueCrypt的完整安全审计。然而就在安全审计过程中,TrueCrypt背后的匿名开发者突然宣布终止项目,警告说使用TrueCrypt不安全。但发起者决定继续审计工作。

根据完整的审计结果,TrueCrypt是一款相对而言精心设计的加密软件,没 有发现故意植入后门的证据,也没有发现导致软件出现漏洞的严重设计缺陷。TrueCrypt终止开发之后有开发者发起了Fork,如CipherShed。


1.3 白宫电脑遭俄罗斯黑客入侵:奥巴马日程或泄露

北京时间4月8日早间消息,据CNN报道,俄罗斯黑客入侵了白宫的电脑系统,并获取了一些敏感信息,包括美国总统奥巴马的日程安排。CNN 援引匿名调查人员的话称,这批位于俄罗斯的黑客首先入侵了美国国务院的网络,借此进入白宫系统。但白宫对CNN表示,黑客并未获得机密信息。美国国家安全 委员会发言人马克·斯特罗(Mark Stroh)淡化了此事产生的影响,但他也表示,白宫方面非常重视此类事件,并且立刻采取了相关措施,减少由此产生的影响。

白宫副国家安全顾问本·罗兹(BEn Rhodes)说:“我们认为机密系统没有被攻破。”

一些政府官员证实,白宫非机密电脑系统去年的确遭遇网络攻击,但并没有机密文件被盗。虽然这些官员并未认定俄罗斯为幕后黑手,但也表示,俄罗斯的确是可能的嫌疑人之一。

事实上,白宫在此次事件发生时曾经发表声明称:“我们的电脑和系统遭到破坏,但只有一些非机密网络受到影响。暂时的宕机和断网只是我们为了保护网络而采取的措施。”

罗兹拒绝对任何新闻报道发表评论,他说:“我们不证实任何网络攻击。”但他强调称:“我们的机密系统是安全的。”尽管遭到持续攻击,但罗兹称,白宫一直在不断加固系统。

 

1.4 芝麻金融现数据库泄露门 黑客盯上P2P技术漏洞

对于一家P2P机构,发生此类大规模的信息泄漏不免让人质疑其后台的安全保障系统。根据芝麻金融官网的介绍:该机构采用国际领先的系统加密及保护技术、支付安全套接层协议和128位加密技术,数据的发送采用数字签名技术来保证信息以及来源的不可否认性。

4 月9日,一则名为“芝麻金融P2P网站数据库泄露可导致用户千万级资金受影响”的漏洞,通过了国内互联网安全漏洞平台——乌云网——的后台审核,其中指出 “造成逾8000名用户资料泄露,包括用户姓名、身份证号、手机号、邮箱、银行卡信息等”,涉及金额高达3000万有余。

对此,芝麻金融的客服人员则向21世纪经济报道记者坦承:“今早业内数家P2P机构后台均遭到攻击,很不幸芝麻金融成为了其中的一员。”

截至发稿前,芝麻金融在官网上发表声明,声称“机构所有用户账户均已绑定第三方资金托管平台,未出现任何用户资金损失的情况”。

事实上,自2013年P2P行业日益火爆以来,其遭遇黑客攻击的频次亦呈量级增加。21世纪经济报道记者不完全统计,自2014年起全国已有逾150家P2P平台由于黑客攻击造成系统瘫痪、数据恶意篡改等。

据一不愿具名的知情人士透露,今年前三个月,仅广州地区便有逾20家P2P平台遭遇不同程度的黑客攻击,“且逾半数平台在上线一年后需要推倒、重新建设其后台系统。”

芝麻“被黑”

作为安徽钰诚控股集团旗下的P2P平台,芝麻金融成立于2014年7月16日,2015年正式开展业务以及推出拳头产品——芝麻宝。孰料,运营不过数月,便已被黑客“盯上”。

在芝麻金融CEO靳伟看来,其平台的基本定位是以“MBA校友圈子”为纽带,以链接两端的资金方与项目方。为此,芝麻金融引入了社交圈子担保人模式,一旦圈子中的推荐人所推荐的项目通过审核,推荐人需担任项目的担保人,同时支付10%的担保金。

然而,别出心裁的撮合模式、高净值的目标人群,亦难掩部分P2P机构后台技术的羸弱。

据了解,芝麻金融并非首次被黑客“攻破”,发现该漏洞的“白帽子”早前已监测到有社工论坛上流传着关于芝麻金融数据库的交流和互动,但直至4月9日,“白帽子”正式在乌云上对此予以披露,才得以引起市场的广泛关注。

21世纪经济报道记者获悉,只需用人民币充值兑换积分,即可在论坛上将该数据库悉数下载,而这种发生在论坛上的“交流”表明,这份包括逾8000名用户个人信息的数据库,已在互联网中流传多时。

乌云网联合创始人邬迪告诉21世纪经济报道,该漏洞信息已通知厂商。目前,芝麻金融已经对报告进行确认,并回复称“(漏洞)正在积极处理中”。

“这并不是第一次P2P领域的数据泄露,但绝对是规模较大的一次。”邬迪如是称。漏洞信息显示,“随便登录几个账户,后台显示都是10万量级以上的资金。”

据分析,从此次泄露数据库内容来看,并不像是人工整理,因此拖库的可能性较大,即黑客通过技术直接下载某平台的全部数据库。

乌云网联合创始人FengGou对记者表示,相关泄露原因与最初发生时间尚处于未知状态,但从去年开始,“黑产”(网络数据买卖黑色产业链)便已开始关注P2P建站系统的安全等问。

“本次事件牵涉到的用户规模、用户数据规模尚不算太大,但目前数据库或已被其他机构或个人利用,则不再是简单的漏洞报告。”FengGou如是称。

对于一家P2P机构,发生此类大规模的信息泄漏不免让人质疑其后台的安全保障系统。根据芝麻金融官网的介绍:该机构采用国际领先的系统加密及保护技术、支付安全套接层协议和128位加密技术,数据的发送采用数字签名技术来保证信息以及来源的不可否认性。

据FengGou分析,以上加密技术就是众所周知的网站https技术,数据备份也只是备份而言,属于最基础的安全保证技术,对于一家金融P2P机构,如果以此作为“顶级”的安全保障是不够的。

“SSL加密与数字签名都是标配,128位加密的使用甚为普遍,但无法解决程序本身的漏洞。”深圳一P2P后台技术人士如是称。但据记者了解,目前部分小型P2P平台仍在使用32位和64位的加密技术。

P2P后台重构

“人在江湖漂,怎能不挨刀。”深圳一P2P机构后台人员对记者笑称,“行业都知道,黑客攻击无处不在,以此为由勒索网贷平台的事情常常有之。”

“不少网贷平台在创业阶段极度不重视IT后台系统的建设,待运行一段时间后,后台团队才发现薄弱的网站基础根本难以承载用户、数据的量级增长。”广东南方金融创新研究院副会长许世明表示。

据一不愿具名的知情人士透露,今年前三个月,仅广州地区便有逾20家P2P平台遭遇不同程度的黑客攻击,“且逾半数平台在上线一年后需要推倒、重新建设其后台系统。”

21世纪经济报道记者不完全统计,自2014年起,全国已有逾150家P2P平台由于黑客攻击造成系统不同程度的瘫痪、数据恶意篡改等。

据介绍,黑客攻击P2P平台的方式主要有三种:最常见的是DDOS攻击,即利用合理的服务请求来占用过多的服务资源,从而使用户无法得到系统的响应。黑客会通过DDOS攻击向服务器提交大量请求,使得服务器运作超负荷。

其二是CC流量攻击,即同一时间频繁访问接口,导致服务器间歇性地出现中断;而第三种方式则是直接对系统的漏洞予以攻击。

“不少P2P机构在初创时期出于成本压缩的考虑,直接购买第三方的IT系统,俗称‘买模板’,只需要数人的团队即可维持运作,但安全隐患非常大,且官方修补周期慢,极容易成为黑客攻击的目标。”广州一P2P风控总监如是称。

据介绍,从第三方IT系统处购买“模板”的P2P机构,最容易成为被攻击的标的。“因为黑客只需攻破一个‘模板’,即可对数个乃至十数个的P2P系统平台发起攻击。”

多位业内人士对记者表示,目前中小型的P2P机构中,花20万-50万“买模板”搭平台的不在少数,部分机构的后台则是外包给第三方机构运营,成本投入约70万-100万。

 

1.5 仅读高中的黑客两月“盗得”43万

31岁的张磊是名黑客,人在陕西省西安,此前,他就曾利用黑客技术盗窃游戏币获刑。去年,他在监外执行期间,又破解了广东一家制卡商的邮箱密码,获 取了包括安徽易众网络科技有限公司等多家公司的“一卡通”等充值卡的卡号和密码。 2个月内,他和同伙疯狂变现,获利43万余元,最终被安徽警方抓获。日前,张磊因犯非法获取计算机信息系统数据罪等多项罪名,被包河区法院判处有期徒刑十四年。

[歧途] 肄业生成电脑高手

张磊在别人眼里是个聪明人。1984年出生的他是江苏太仓人。高中肄业后他便对电脑技术情有独钟。据检察官介绍,张磊还曾专门给他人上过电脑课,水平得到很多人的认可。

不过,他的聪明没用在正途。 2005年,他因盗窃罪被劳动教养一年零二个月;2011年4月18日,因盗窃罪被南京市玄武区人民法院判处有期徒刑7年,并处罚金一万元。他这两次犯 罪,都是利用黑客技术在网络上大肆盗取游戏币。据悉,因张磊患有严重疾病,在南京市玄武区法院的判决生效后,他因病暂予监外执行一年。不过他2011年 11月变更了通讯地址和方式后,藏匿在陕西西安。

在那里,他做起了销售游戏币、游戏装备等生意,并结识了同行李林。去年6月10日,张磊成 功破解广州捷众智能卡有限公司的邮箱密码,并发现其中存有大量充值卡的信息。他获取了去年5月以来的所有数据。其中就包括安徽易众公司发售的“32一卡 通”、九江风向标数码科技有限公司发售的“一卡通”、东莞市南软计算机信息系统有限公司发售的“网游一卡通”卡号和密码。此后,张磊和李林合作,以多种方 式将充值卡变现牟利。

[获罪] 数罪并罚获刑14年

包河区法院认为,张磊违反国家规定,采用技术手段非法侵入他人计算机信息系统,获取系统数据,造成多家被害单位损失达430981元,犯罪情节特别严重。此外,2010年5月,张磊在西安一家银行办理银行卡,拖欠8万多元未还。

日前,包河区法院以非法获取计算机信息系统数据罪、信用卡诈骗罪和盗窃罪,数罪并罚判处张磊有期徒刑十四年,并处罚金36万元。同时,李林因犯非法获取计算机信息系统数据罪获刑三年,并处罚金8万元。

[打折销售]

李林购买大量不带Q币的QQ号发给张磊;

待经销商激活“一卡通”,张磊便通过无线上网卡或登录VPN代理,登录安徽易众公司、九江风向标等公司的销售平台,将非法获取的卡号和密码,用手工软件或以Q币方式充值到QQ号内,再发给李林;

当充值软件无法使用时,张磊通过批量注册“32一卡通”会员账号,向账号内充值,再以购买Q币的方式充入李林事先购买的QQ号内;或由李林联系提供游戏玩家的账号,由张磊直接将所盗“一卡通”充值账号;

事后,李林向玩家收取8~8.9折的费用,Q币则以8.5~8.9折不等的价格出售。

[迂回提现]

张磊利用黑客技术,登录南京、梧州、兰州、合肥、芜湖、马鞍山等全国多地的IP作案。

卡出售后,张磊先将所得款项汇至李林注册的支付宝账户或户名为“马志强”的银行卡,再由李林转至“芜娱平台”下“xingkong9158”账户,李林通过该平台购买大量联通、电信等充值卡交给张磊,张磊再将充值卡充入支付宝,从支付宝转入户名为“梁聪”的银行卡提现。

2014年6月12日至8月28日,“xingkong9158”账户资金流水共515587元,“梁聪”银行卡共转入433901.95元。

8月27日,张磊、李林在西安被抓获,并被移送合肥包河警方。
  


2 本周关注病毒

2.1 Trojan.Win32.Downloader.bf(木马病毒)

警惕程度 ★★

该病毒运行后会关闭大量杀毒软件进程并创建注册表劫持项以躲避对其查杀。病毒会创建IE浏览器进程,从黑客指定的服务器上下载病毒种子文件和木马病毒。

2.2 Trojan.PSW.Win32.QQPass.fnt(木马病毒)

警惕程度 ★★

该病毒运行后会在后台监视用户的输入,伺机窃取用户的QQ号码及密码,并发送给黑客。

2.3 Worm.Win32.Gamarue.l(蠕虫病毒)

警惕程度 ★

该病毒运行后修改注册表,实现开机自启动,并将感染U盘、移动硬盘等移动存储设备,后台连接大量黑客指定网址,向黑客上传电脑硬盘中的敏感信息,并下载更多病毒。用户电脑一旦中毒,将面临隐私信息泄露的风险。


3 安全漏洞公告

3.1 IBM Java SDK远程权限提升漏洞

IBM Java SDK远程权限提升漏洞

发布时间:

2015-04-08

漏洞编号:

BUGTRAQ ID: 73258

CVE(CAN) ID:CVE-2014-8891

漏洞描述:

BM Java SDK是适用于IBM AIX平台及Linux平台的Java实现。

IBM SDK, Java Technology Edition在JVM的实现中存在安全漏洞,
远程攻击者利用此漏洞可逃出Java沙盒,执行任意代码。


安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

https://www-304.ibm.com/support/docview.
wss?uid=swg21695474

http://www.ibm.com/developerworks/java/jdk/aler
ts/#IBM_Security_Update_February_2015



3.2 Dell System Detect恶意代码执行漏洞

Dell System Detect恶意代码执行漏洞

发布时间:

2015-04-08

漏洞编号:


漏洞描述:


Dell System Detect是预装在Dell电脑上的诊断程序。

Dell System Detect 6.0.14之前版本没有正确验证即将下载的代码,在实现上存在安全漏洞,Dell System Detect是自动启动的,攻击者通过诱使用户访问恶意网站,只要恶意网站的域名中含有dell字符串,即可感染有漏洞的系统,远程执行恶意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.dell.com/support/article/us/en
/19/SLN117738/EN

 


3.3 PHP move_uploaded_file安全限制绕过漏洞

PHP move_uploaded_file安全限制绕过漏洞

发布时间:

2015-04-03

漏洞编号:

CVE(CAN) ID:CVE-2015-2348

漏洞描述:

PHP是一种通用开源脚本语言。

PHP 5.4.39、5.5.x、5.6.x版本的ext/standard/basic_functions.c中,move_uploaded_file遇到\x00字符后会截断路径名,在实现上存在安全漏洞,通过构造的参数,远程攻击者可绕过目标扩展限制,以非法名字创建文件。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://php.net/ChangeLog-5.php

http://git.php.net/?p=php-src.git;a=commit;h=1291d6bbee93b6109eb07e8f7916ff1b7fcc13e1

https://bugs.php.net/bug.php?id=69207


3.4 Linux kernel IPv4拒绝服务漏洞

Linux kernel IPv4拒绝服务漏洞

发布时间:

2015-04-07

漏洞编号:

CVE(CAN) ID: CVE-2015-1465

漏洞描述:

Linux Kernel是Linux操作系统的内核。

Linux kernel 3.18.8之前版本的IPv4实现中,没有正确计算RCU宽
限期的长度,这可使远程攻击者通过大量的数据包,利用此漏洞造成
拒绝服务(内存耗尽或系统崩溃)。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.kernel.org/pub/linux/kernel
/v3.x/ChangeLog-3.18.8

https://github.com/torvalds/linux/commit/d
f4d92549f23e1c037e83323aff58a21b3de7fe0

http://git.kernel.org/?p=linux/kernel/git/to
rvalds/linux2.6.git;a=commit;h=df4d92549f23e
1c037e83323aff58a21b3de7fe0

https://bugzilla.redhat.com/show_bug.cgi?id=1183744

 


3.5Ecava IntegraXor DLL漏洞

Ecava IntegraXor DLL漏洞

发布时间:

2015-04-01

漏洞编号:

CVE(CAN) ID: CVE-2015-0990

漏洞描述:

IntegraXor是用于创建及运行基于Web的SCADA系统人机接口。

IntegraXor SCADA Server 4.2.4488之前版本,在处理重命名的恶意DLL时存在安全漏洞,如果攻击者在默认安装位置移植了不安全的DLL后,则可在受影响应用中执行恶意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

https://h20564.www2.hp.com/portal/site/hpsc/public/kb/docDisplay
?docId=emr_na-c04626732