主页  >  举报指南  |  法律法规  |  温馨提示  |  曝光台  |  报警查询  |  我要报警
网络与信息安全情况通报-2017年第2期
2017年8月8日    |   阅读:92   |   录入:btq
 
   
 

一、SQL Slammer 蠕虫卷土重来

中国《安全牛》2月6日报道,Check Point 安全研究人员警告称,在2003年1月25日肆虐整个互联网的蠕虫病毒SQL Slammer,又重新开始活动了。该计算机蠕虫曾通过用大量网络包使服务器和路由器之类网络设备过载,造成全球上万台服务器发生拒绝服务现象。在首次出现的10分钟之内,SQL Slammer 就成功感染了其约7.5万受害者中的大部分。

SQL Slammer 基于大卫里奇菲尔德在黑帽简报上演示的概念验证代码,是关于微软 SQL Server 和桌面引擎数据库旗舰产品中存在的缓冲区溢出漏洞。尽管在蠕虫袭击发生前6个月,微软就已放出该漏洞的补丁,但很多用户安装却并未及时打上补丁,让该恶意代码得以轻易传播。SQL Slammer 也被称为“蓝宝石(Sapphire)蠕虫”或Helkern,仅有376字节大小,完全可以装入1个网络包中,让它可以在发动时达到快速传播的效果。该蠕虫向 UDP 1434 端口发送格式化的请求,造成受感染路由器开始向随机IP地址发送该恶意代码,令目标陷入拒绝服务状态。尽管十几年来处于休眠状态,SQL Slammer 如今似乎重新活跃了起来。Check Point 收集的数据显示,2016年11月28日到12月4日之间,攻击尝试明显增长,SQL Slammer 就是该时间段内检测到的主要恶意软件之一。这些攻击尝试的目标国家数量高达172个,其中26%的攻击针对美国的网络。

该数据显示出,复苏的 SQL Slammer 活动并非针对性攻击,而是范围更广的攻击。最大数量的攻击尝试源自中国、越南、墨西哥和乌克兰的IP地址。

二、新勒索软件即服务实现零编码需求

中国《安全牛》2月1日报道,新发现的勒索软件家族通过勒索软件即服务(RaaS)商业模式提供,让犯罪分子们得以轻松定制自己的恶意软件。

该勒索软件家族由安全研究员Xylitol发现,命名为“撒旦(Satan)”,由于只需创建账号即可使用,所以任何有意的犯罪分子都能用。勒索收益仅需给作者抽成30%,让该RaaS颇具吸引力。

“撒旦”RaaS站点的欢迎页面上写有该服务的说明,注册用户能访问一个控制台,通过多个页面设置他们自己的勒索软件。这些设置页面包括:恶意软件、释放器、翻译、账户、通知和消息。在“恶意软件”页面上,犯罪分子可自定义他们自己的勒索软件:设定赎金数额、赎金保持不变的天数、过期增长率。在“释放器”页面辅助会员打造恶意微软Word宏或CHM安装程序,通过垃圾邮件或其他方式投送恶意软件。在“翻译”页面扩展用于勒索信的语言,在“账户”页面跟踪被感染受害者的数量、已支付数和其他信息。“通知”页面用于显示来自RaaS开发者的消息,而“消息”页面则是为“客户服务”请求所设。“撒旦”运营者还专门要求会员不要与VirusTotal共享下载勒索软件样本,降低安全厂商遇到该变种的可能性。目前,该服务在地下论坛上打广告,恶意载荷和盈利模式都有介绍。

为规避分析,“撒旦”勒索软件内置了很多虚拟化检查,只要觉得自身运行在虚拟机里,立马终止进程。如果检查通过,该恶意软件会将自身注射进TaskHost.exe进程,然后开始加密被感染计算机上的文件。该勒索软件目前针对350多种文件类型,安全研究人员还在分析其加密算法。

三、NSA黑客部队超过75%的黑客工具被承包商雇员窃取

中国《E安全》2月8日报道,一名前NSA承包商雇员窃取超过50 TB的高度敏感数据。有消息称,这些数据包含“获取特定情报行动办公室”(Tailored Access Operations, TAO)超过75%的黑客工具。TAO负责开发并部署软件,用来渗透外国目标的计算机网络,从而实现间谍目标。TAO是NSA的精英黑客部门,每周7天、全天24小时轮班工作,大约19年前,该部门就已经成功渗透进中国的电脑和电信系统,获取了一些有关中国内部动向的最佳、最可靠的情报。

这名前NSA承包商名为哈罗德托马斯马丁三世(Harold T. Martin III),现年52岁,于2016年8月29日在美国马里兰州格伦伯尼的家中被捕。马丁先前在美国海军服役,1992年离开,之后从事政府承包商的各种技术工作。2012年至2015年,马丁作为情报承包商博思艾伦汉密尔顿咨询公司(Booz Allen Hamilton)的雇员为NSA工作。其中有一段时间,马丁曾在TAO工作。

马丁拥有高等教育背景,并参加了大量的政府计算机安全培训课程,课程涉及加密、安全通信等领域。据称,马丁用了一个高级软件,该软件不用在电脑系统上安装便可运行,可提供匿名的互联网接入,在电脑上未留下数字足迹。检方认为,马丁曾使用TAILS操作系统(“遗忘式匿名Live系统”)或者USB设备驱动的操作系统,同时采用了Tor(洋葱路由器)或者VPN,令他的计算机活动无迹可寻。

2016年10月的报道,马丁被指控盗窃政府财产、未经授权擅自删除并保留机密资料的重罪。前NSA员工大卫艾特尔(Dave Aitel)表示,此泄露案对美国的网络国防能力造成了极其重大的伤害。这些破解软件的功能之一就是识别敌国的网络攻击能力,从而让NSA能够找出最有效的防御方式,其他功能还包括通过利用防火墙中隐秘的漏洞让NSA控制一个网络的能力等等。

四、工控安全预警:霍尼韦尔XL Web Ii控制器曝出多个漏洞

中国《FreeBuf》2月7日报道,基于Web的SCADA系统霍尼韦尔Honeywell XL Web Ii控制器受到多项安全漏洞之影响,这些漏洞可被远程利用以显示明文密码,攻击者只需要访问一条特定URL即可触发其中一项可以用明文形式访问这些密码漏洞。这些安全漏洞影响到Honeywell XL Web II控制器的多个版本包括XL1000C500 XLWebExe-2-01-00 及之前版本、XLWeb 500 XLWebExe-1-02-08 及之前版本。此系统被广泛应用于各个行业的关键性基础设施当中,具体包括能源、污水处理以及制造行业等。攻击者亦能够利用Honeywell XL Web II控制器中的其它漏洞,具体包括访问特定URL以执行路径遍历攻击、访问特定URL以开启及修改某些参数或者建立新的用户会话等。

(一)安全漏洞简介

1.路径遍历漏洞:

漏洞编号:(CVE-2017-5143)(CNNVD-201702-123)。

这一路径遍历漏洞源自缺乏对用户所提交之输入内容进行适当清理。该路径遍历技术允许恶意用户访问驻留在主机系统之上的Web文件根目录之外的文件。这项安全漏洞允许恶意用户窃取来自目标主机的敏感信息,并利用这些信息进一步对该主机进行攻击,包括获取配置文件等。用户无需获取授权即可对受影响文件进行访问。

2.不当权限管理漏洞:

漏洞编号:(CVE-2017-5142)(CNNVD-201702-124)。

归属于“访客”组或者未经授权的低权限用户应被设备上的安全机制拒绝访问多种重要功能。研究发现虽然该应用程序确实能够适当限制低访问权限用户对资源的访问活动,但这类用户仍可通过访问特定URL以接入此类功能。通过这种方式,恶意用户将能够有效使用这些功能。

以下条目之功能会受到此控制安全漏洞的影响:

General trend changes Trend Records Filter Plants Control Loops Tend records

对此项漏洞的成功利用可能允许恶意用户获取服务器端之敏感内部信息。

3.不当凭证保护漏洞与密码明文存储漏洞:

漏洞编号:(CVE-2017-5140)、(CNNVD-201702-126)

(CVE-2017-5139)、(CNNVD-201702-127)

研究发现该应用程序将多条用于访问部分系统功能的密码存储在JavaScript文件当中,以便在客户端进行早期验证。在这种情况下,应用程序亦会以明文形式存储这些凭证。这一密码存储技术可能允许恶意用户提取密码内容。用户能够访问这些负责检查密码的特定JS文件,而无需建立有效的应用会话。

(二)应对与解决方案

Honeywell公司已经发布了3.04.05.05版本以修复存在于XL Web II控制器内的安全漏洞。用户可与所在地的Honeywell公司分支部门取得联系以更新至最新版本(目前固件版本为XLWeb2_vUBC_4-00-00-14)。

控制器固件:

https://www.centraline.com/partnerweb/index.php?id=847&route=article/index&directory_id=190&direct_link=1

CARE 编程工具:

https://www.centraline.com/partnerweb/index.php?id=847&route=article/index&directory_id=138&direct_link=1

五、黑客通过政府金融监管机构入侵多家波兰银行

中国《E安全》2月5日报道,上周多家波兰银行着手调查黑客入侵活动,而这批黑客在过去三个月中已经入侵了波兰多家金融机构。值得注意的是,恶意软件的感染途径似乎经由波兰金融监管局(简称KNF)的内部服务器——而该机构本身恰好负责对银行业内的安全标准实施工作进行监督。

根据波兰媒体所报道,黑客们并未窃取任何资金,相反,他们泄露了大量尚未识别的加密数据。伦敦大学研究员兼安全与隐私顾问卢卡斯在采访当中表示,“目前可以确定的是,这是波兰银行业历史上遭遇到的最为严重的黑客入侵。”

目前尚不清楚这批黑客的真实身份。根据分析,此次黑客活动已经成为波兰历史上最为严重的攻击行为,且这一复杂入侵所使用的恶意软件无疑是由某个资源丰富的团队所设计并部署。波兰媒体报道称,由于不涉及任何资金盗窃,因此波兰官员怀疑此次攻击属于国外情报收集行动。据《E安全》了解,黑客篡改了KNF Web服务器上的一个本地JavaScript文件,加载了一个外部JavaScript文件下载恶意软件。

在恶意软件被成功下载至该工作站并开始执行后,将接入多台国外服务器,并可进一步用于执行网络侦察、横向传播以及数据泄露。至少在某些情况下,攻击者能够成功对银行基础设施之内的关键性服务器加以控制。

尽管各系统可能自2016年10月以来就已经受到入侵,但各家银行在大约一个星期之前才发现入侵活动,并意识到已经有来自多台工作站的大量加密数据及未知加密可执行文件流出。KNF发言人告知波兰媒体称,各家波兰银行的正常运营完全没有受到威胁。然而很明显,这样强硬而确定的断言背后存在着不争的反面事实——从银行系统中流出的数据性质尚不清楚,更不用说各大主要金融机构正在对此进行调查,而相关受害者的数量也预计将进一步增加。该恶意软件的行为方式属于RAT,这类远程访问工具允许攻击者完全控制目标设备及其数据。

伦敦大学研究员兼安全与隐私顾问卢卡斯解释称,“监管部门负责制定银行业安全标准。但如今的事实证明,其内部并未能有效执行相关标准。”

 

 




 
主页    |    举报指南   |   法律法规    |    温馨提示    |     曝光台    |    报警查询    |   联系我们
CopyRight © 2013 云南省公安厅网络安全保卫总队 版权所有
昆明固得派信息技术有限公司   技术支持
(建议使用IE8.0以上版本浏览器)
其它浏览器请设置在兼容模式使用