信息搜索: 高级搜索
当前位置:首页 > 网络安全

网络信息安全简报(2013.9)

编辑:zhangqy 日期:2013-10-12 10:10

 

一、         趋势系统使用情况
1.1三台服务器统计中毒排名在前的用户:
 
1)         10.10.7.222
 
2)         10.10.2.180
 
3)         10.10.2.181
 
1.2受感染用户前10名(总排行)
序号
计算机
IP地址
病毒/恶意软件数
楼宇名
1
TOSHIBA-PC
10.14.26.121
75238
玉泉-教3
2
DELL1950
10.10.14.3
42190
紫金港IDC机房
3
DX-LT
10.10.14.13
23585
紫金港IDC机房
4
IBM1
10.10.14.10
19247
紫金港IDC机房
5
WIN-98N0DLT7JH3
10.15.61.216
17349
玉泉-图书馆
6
WIN-5N55P2RA3CI
10.15.61.218
14306
玉泉-图书馆
7
SVCTAG-GTHDL2X
10.22.23.69
13688
西溪校网中心
8
WIN-4VR05G5VPMD
10.15.61.201
9812
玉泉-图书馆
9
WIN-QFL7POT58QG
10.15.61.219
9505
玉泉-图书馆
10
WIN-M5IP909VK62
10.15.61.220
7799
玉泉-图书馆
注:排行靠前的玉泉-图书馆,紫金港IDC机房设备均为学校的服务器设备,因应用的需要而开启了文件共享。因此,难免病毒(WORM_DOWNAD病毒)利用文件共享频繁攻击这几台主机,导致趋势杀毒系统(Officescan)大量的查杀行为。
 
10.10.14.3主要查杀的是WORMDOWN类似的飞客病毒,服务器补丁都打上了。服务器都开着共享,所以是由网络中其它主机攻击造成,从查杀数来看属正常范围。而病毒也在攻击时被趋势杀毒系统(Officescan)全部查杀清除。服务器本身并未感染到病毒,目前,这几台服务器是安全的。
 
 
1.3受感染用户前10名(本月排行)
计算机
IP地址
病毒/恶意软件数
楼宇名
处理措施
1
DELL1950
10.10.14.3
7918
紫金港IDC机房
清除成功
2
DX-LT
10.10.14.13
3843
紫金港IDC机房
清除成功
3
SVCTAG-GTHDL2X
10.22.23.69
3696
西溪校网中心
清除成功
4
LAB4051
10.71.149.5
619
紫金港-医学院教学中心
清除成功
5
WIN-5N55P2RA3CI
10.15.61.218
144
玉泉-图书馆
清除成功
6
WIN-4VR05G5VPMD
10.15.61.201
144
玉泉-图书馆
清除成功
7
HP530
10.71.92.251
82
图书信息中心C楼14
清除成功
8
PC-201009091712
192.168.1.101
59
DHCP
清除成功
9
64C6244D0
1.1.0.79
37
公网地址
清除成功
10
YE-PC
10.71.90.127
37
紫金港-青溪
清除成功
 
二、         安全简讯
2.1 10大活跃放码网站
网络病毒主要针对一些防护比较薄弱,特别是访问量较大的网站通过网页挂马的方式进行传播。当存在安全漏洞的用户主机访问了这些被黑客挂马的网站后,会经过多级跳转暗中连接黑客最终“放马”的站点下载网络病毒。2013 年 9 月,趋势监测发现排名前十的活跃放马站点域名和活跃放马站点 IP 如下表所示。
 
2.2 飞客蠕虫监测数据
2013 年 9 月,Trendmicro监测到全球互联网 1316 万余个主机IP 地址感染飞客蠕虫,按国家或地区分布感染数量排名前三位的分别是中国大陆、印度、巴西。
境内感染飞客蠕虫的主机 IP 为近 133 万个,按地区分布感染数量排名前三位的分别是广东省、浙江省、江苏省。
2.3本月重要的安全漏洞
1、Microsoft 产品安全漏洞
Microsoft Internet Explorer是一款WEB浏览器。本周,该产品被披露存在多个漏洞,攻击者利用漏洞可执行任意代码。
趋势收录的相关漏洞包括:Microsoft IE MSHTML内存破坏远程代码执行漏洞、Microsoft Internet Explorer内存破坏漏洞。上述漏洞的综合评级均为“高危”。厂商已发布了上述漏洞的修补程序。趋势提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
 
2、Mozilla 产品安全漏洞
Mozilla Firefox/SeaMonkey/Thunderbird是Mozilla所发布的WEB浏览器/新闻组客户端/邮件客户端。本周,上述产品被披露存在多个安全漏洞。攻击者利用漏洞可使应用程序崩溃,执行任意代码。
趋势收录的相关漏洞包括:Mozilla多个产品JS_GetGlobalForScopeChain内存错误引用漏洞、Mozilla多个产品nsGfxScrollFrameInner::IsLTR()函数内存破坏漏洞、Mozilla多个产品mozilla::layout::ScrollbarActivity 函数内存错误引用漏洞、Mozilla多个产品nsFloatManager::GetFlowArea()函数缓冲区溢出漏洞、Mozilla多个产品Select元素处理内存错误引用漏洞、Mozilla多个产品动画管理样式表克隆内存错误引用漏洞、Mozilla多个产品HTML5 Tree Builder template元素处理任意代码执行漏洞、Mozilla多个产品存在多个未明内存破坏漏洞等。上述漏洞的综合评级均为“高危”。
 厂商已经发布了上述漏洞的修补程序。趋势提醒用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
 
3、Apple 产品安全漏洞
Apple Mac OS X是一款苹果公司开发的操作系统。本周,该产品被披露存在多个安全漏洞。攻击者利用漏洞可绕过安全限制,获取敏感信息,使应用程序崩溃,执行任意代码。
趋势收录的相关漏洞包括:Apple Mac OS X撤消SSL证书验证安全绕过漏洞、Apple Mac OS X Server存在多个跨站脚本漏洞、Apple Mac OS X内存破坏漏洞、Apple Mac OS X锁屏安全绕过漏洞、Apple Mac OS X Unicode字符串拒绝服务漏洞、Apple Mac OS X 'IGMP'拒绝服务漏洞、Apple Mac OS X PDF文件缓冲区溢出漏洞、Apple MAC OS X ImageIO缓冲区溢出漏洞等。其中,“Apple Mac OS X撤消SSL证书验证安全绕过漏洞”的综合评级为“高危”。厂商已经发布了上述漏洞的修补程序。趋势提醒用户及时下载补丁更新,避免引发漏洞相关的安全事件。
 
4、Cisco 产品安全漏洞
Cisco Unified Computing System通过将统一计算、网络、存储访问和虚拟化整合到一个系统中,简化IT 管理并提高灵活性;Cisco NX-OS软件是一个数据中心级的操作系统;Cisco Open Network Environment Platform思科开放式网络环境,是全面而广泛的网络可编程性的实现方法。本周,上述产品被披露存在多个安全漏洞。攻击者利用漏洞可查看修改数据,使应用程序崩溃。
趋势收录的相关漏洞包括:Cisco Unified Computing System私钥泄露漏洞、Cisco Unified Computing System畸形联系地址处理本地拒绝服务漏洞、Cisco Unified Computing System证书校验安全绕过漏洞、Cisco Unified Computing System证书校验安全绕过漏洞、Cisco NX-OS software BGP正则表达式拒绝服务漏洞、Cisco Open Network Environment Platform拒绝服务漏洞、多个Cisco Unified MeetingPlace产品跨站请求伪造漏洞。厂商已经发布了除“多个Cisco Unified MeetingPlace产品跨站请求伪造漏洞”外,其余漏洞的修补程序。趋势提醒用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
 
5、Mitsubishi MC-WorX 'IcoLaunch.dll'' ActiveX控件远程代码执行漏洞
Mitsubishi MC-WorkX是工厂自动化应用工具。本周,该产品被披露存在一个综合评级为“高危”的远程代码执行漏洞。Mitsubishi MC-WorkX LaunchCtl ActiveX控件(IcoLaunch.dll)提供不安全的"FileName"属性,远程攻击者利用漏洞可构建恶意WEB页,诱使用户解析,执行任意程序。目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布该漏洞的修补程序。趋势提醒广大用户随时关注厂商主页以获取最新版本。
 2.3 截止至本月的各查杀统计表
已查杀的病毒/恶意软件数:
 
已查杀的全部病毒、恶意软件摘要:
 
传染来源摘要:(N/A表示来自外网或无法识别)
 
被感染的目标(主机)摘要:
 
处理措拖结果摘要:
 
三、         计算机病毒常用防范知识
3.1 一个CIO对于终端安全的五点建议
作为CIO,我最恨讨论安全的话题。我认为唯一能做的事情就是不要被人注意到。还有,比别人做得好一些,这样就可以降低被恶意攻击的可能性。在我考虑到终端的安全性之前,上述想法似乎都是合理且可行的。由于技术日益渗透到我们的日常生活中,边界的安全性变得越发重要了。从技术角度看,工作和日常生活的区隔正逐渐消亡。
为什么管理终端的安全性如此重要呢?因为,用户在事实上成为了所使用设备的管理员。他们毫无限制地访问不受监控的网络,随意下载安装各种应用,让家人和朋友使用自己的设备而这些人基本上不可能签署相关的使用许可协议或接受安全培训。他们使用云服务传输和管理数据。总之,一旦他们离开了公司防火墙的保护,即刻进入到一个完全不受控制的世界。在设备重新进入公司防护范围之后,我们只好去挨个排查病毒或恶意软件。
这一切听起来让人泄气。但是,除非我们决定对设备的使用加以严格控制(从而使IT部门整日纠缠在可用性、可访问性和自由度这些问题上),否则就不得不接受风险存在的事实,然后采取措施来降低风险。那么,可以从哪些方面入手呢?
从政策的角度看,要确保敏感数据不在有风险的设备上出现,或者至少也应该加过密。这里就涉及到如何定义敏感数据了也许客户名单的泄露还不是很严重,但是如果是信用卡号、社会安全号或者其他数据就麻烦了。
由于安全威胁和技术变化如此之大,对员工的沟通与培训就显得尤为重要。终端安全的管理目标并非是静止的,一年前还无需禁止的行为和习惯放到现在可能就是重大的隐患。
从技术的角度看,一定要跟上敌人的脚步。选择并部署高水平的防病毒系统,重视日常维护并进行自动升级。几年前在一次出差时,当地的一个经理对我说他的笔记本太慢了。我发现其病毒库已经18个月没更新了。检查之后才知道,原来他禁止了自动更新的功能。在他看来,每天升级太麻烦。对此我很无奈,升级一般就是一分钟的事情而已。出差回来后,我在全球所有的分支机构推行了新政策将禁止自动更新的功能取消掉。
终端在整个安全链条中属于比较弱的一环,因此要使用任何可能的工具来进行强化。类似工具包括基于主机控制的防入侵系统,以此保护设备操作系统在网络中的独立性并在设备上设立防火墙。
对于设备管理,可以使用远程镜像和诊断、以目录策略阻止特定站点的访问以及监控和识别未授权的软件。而且,桌面虚拟化可以使终端数据在安全和数据中心专家的掌控之下。
可喜的是,随着移动性的提升,以及设备在日常生活和工作之间链条的重塑,已经有人认识到新出现的威胁,相应地开发产品或策略来降低这种威胁。
3.2 常见病毒处理方法-Android黑客工具
 
日前,国外安全研究者在中国的某论坛上下载了一个Android应用程序,发现该应用能够从链接的Windows机器上窃取信息。该研究者进一步分析样本(MD5:283d16309a5a35a13f8fa4c5e1ae01b1) ,当执行该样本的时候,会在移动设备上安装一个名为USBCleaver的应用程序:
 
当应用程序启动时,它会引导用户从远程服务器下载一个ZIP文件:
 
然后解压缩下载的文件到以下位置:
/mnt/sdcard/usbcleaver/system folder
当设备通过USB链接到Windows机器的时候,该文件会搜索特定的信息,如下:
浏览器(firefox、chrome、ie存储的密码)
WIFI密码
PC的网络信息
该工具能够让用户选择他们想获取的信息:
 
 
同时在运行该脚本的时候,会创建一个autorun.inf和go.bat文件在/mnt/sdcard目录,当设备连接到电脑的时候就会自动触发该脚本。所有收集的资料存储在/mnt/sdcard/usbcleaver/logs文件夹。可以通过“Log Files”查看从PC获取到的信息。
 
USBCleaver没有远程控制功能,但似乎它更顷向于渗透测试前期的获取信息,方便后期有针对性的攻击,同学们在了解了这款恶意软件之后,是否还会让别人通过手机连接你的电脑呢?
 
四、         技术交流
欢迎老师和同学们前来交流问题,多提建议,希望下期简报内容更加接近大家的需求。
 
咨询服务电话:87951669
 
工程师联系方式:
13588277982 章荣伟
 


访问次数:4249

2009 浙江大学 版权所有 电话:0571-87951669  E-mail:xwmaster@zju.edu.cn
地址:中国·杭州 邮编:310027

访问人次:8212123