好好上个网不容易:2016上半年网络安全事件盘点

2016 年 11 月 20 日2430

不看不知道,一看吓一跳。你想好好上个网,其实不太容易,一不小心你就可能中招。

不要不相信,11月16日,中国电信股份有限公司北京研究院与北京神州绿盟信息安全科技股份有限公司(以下简称绿盟科技)等单位共同发布了调研产出的《2016年上半年中国网站安全报告》,其中给出了一组数据:

相比2015年上半年,2016年上半年高危漏洞占比有所增加。2015年上半年监测发现每个网站平均漏洞数达658个,其中,高危漏洞数为7个。2016年上半年监测的网站数据显示,平均每个网站漏洞数达773个,其中,高危漏洞数高达22个。

好好上个网不容易:2016上半年网络安全事件盘点

七八线地区的童鞋们更要注意的是,对,你们更危险,请看——

从行业分布情况来看,地方企业占比最高,运营商、政府教育及医疗行业也存在较多问题。漏洞的行政属性较为明显,区县及以下单位问题最多,合计有252969个高危漏洞,其次是各省市级单位,共曝出108722个高危漏洞,可以明确看到区县及以下级别单位的漏洞数量要明显高于部委、集团、省市级单位。

看上去读者你是不是没什么触动的意思?没关系,看一下以下焦点安全事件盘点,你可能会发出:“唉呀妈呀,你们说的就是这个事!”或者可能你就是其中一个受害者。

1.LinkedIn用户账户信息泄露

盆友,坦白跟你说,社交平台现在是黑客的“关注点”哦!越来越多的问题被发现,例如数据泄露、诈骗或者其他攻击。

如果你曾经换过工作,那么这类社交求职平台可能会毫不留情地把你的信息泄露。如下对话可能会发生:

A:李先生你好,听说你要跳槽

B:(十分惊喜状,以为猎头来了),对对对,是的,你有什么好职位?

A:那个,就想问问您,一般跳槽可能会换租房是吧,我是租房中介。

……

这一次,受伤害的是领英(LinkedIn)。它是全球最大职业社交网站,会员遍布200多个国家和地区,总数超过4亿人,致力于向全球职场人士提供沟通平台,并协助他们在职场事半功倍,发挥所长。加

入后,可浏览会员资料、在招职位、行业消息、人脉圈动态和对您职业技能有帮助的相关信息。

2012年,一名自称“和平”的俄罗斯黑客攻击了领英网站,获取了超过600万条用户登录信息,并泄露在网上。

比2012年更为严重的是2016年,仍是一位自称“和平”的俄罗斯黑客获取了1.17亿领英电子邮件ID以及用户的登录密码,并在暗网市场上以5个比特币(约$2200或¥15000)的价格进行出售。

好好上个网不容易:2016上半年网络安全事件盘点

暗网出售截图

2.百万邮件账户信息被盗

用过雅虎、hotmail、和Gmail邮箱的朋友肯定还记得这次灾难——

2016年5月7日,根据路透社报道,黑客正在黑市上交易高达272300000条被盗的邮件账户用户名和密码,其中,57000000条俄罗斯Mail.ru邮件账户、40000000条雅虎邮件账户、33000000条hotmail邮件账户以及2400000条Gmail邮件账户。

另外,还包含成千上万的德国和中国的电子邮件户,以及数以千计的涉及美国银行业、制造业和零售业公司员工的用户名和密码组合如图:

好好上个网不容易:2016上半年网络安全事件盘点

3.国内部分网站存在Ramnit恶意代码攻击

2016年4月,CNCERT监测发现,一个名为“Ramnit”的网页恶意代码被挂载在境内近600个党政机关、企事业单位网站上,一旦用户访问网站有可能受到挂马攻击,对网站访问用户的PC主机构成安全威胁。

专门针对天朝党政机关、企事业单位网站,胆子不小!

Ramnit恶意代码是一个典型的VBScript蠕虫病毒,可通过网页挂马的方式进行传播,当用户浏览含有Ramnit恶意代码的HTML页面时,点击加载ActiveX控件,用户主机就很有可能受到恶意代码的感染。如下图所示为Ramnit代码在页面中驻留的代码片断。

好好上个网不容易:2016上半年网络安全事件盘点

Ramnit代码在页面中驻留的代码片断

Ramnit主要在用户% TEMP %文件夹中植入了一个名为“svchost.exe”的二进制文件并执行关联的ActiveX控件,受感染的用户主机会试图连接到与Ramnit相关的一个木马控制服务器——fget-career.com。

根据CNCERT监测情况分析,Chrome和Firefox浏览器用户不会受到恶意代码的影响,而较高版本的IE浏览器也会对此类ActiveX控件进行告警提示而不是自动执行。所以,受影响的主要是较低版本的IE浏览器。建议IE浏览器用户在访问互联网站时做好IE安全设置(建议设置为中-高安全级别),禁止执行不明来源的ActiveX控件。

2015年11月至2016年3月间的巡检结果显示境内共计有约1250台境内WEB服务器被挂载过Ramnit恶意代码,被入侵的服务器主要类型为Microsoft IIS(占比69.3%),其次是Apache系列服务器(占比19.2%)。

4.全网服务器安全恐遭“菜刀-Cknife”威胁

2016年7月20日,据国外媒体softpedia报道,中国MS509Team的两大安全研究人员Chora和MelodyZX开发了新型Webshell管理工具“Cknife”,在GitHub开放源代码供所有人使用,当然黑客也不例外。

2015年12月,跨平台版中国菜刀—Cknife发布,它是由Java语言编写的,包括服务器端组件,可以管理链接至Java、PHP、ASP和ASP.NET服务器。

好好上个网不容易:2016上半年网络安全事件盘点

工具运行原理

创业公司Recorded Future的一份调查研究指出,Chopper是2013年发布的一款非常有效但却过时(代码级别)的Webshell管理工具,深受中国各种颜色帽、犯罪组织以及高级持续性威胁者追捧。Cknife是Chopper的“升级版”。

Cknife与Chopper有一些共同之处,像图标以及处理HTTP请求中的一些怪异模式。但这两种工具却也截然不同,Cknife用Java编写,而Chopper则用C++编写而成。

此外,Cknife通过HTTP打开Webshell GUI与被感染服务器之间的连接,而Chopper使用HTTPS。Recorded Future表示,Cknife开发人员许诺在今后几个月会支持HTTPS.

Cknife是网络服务器的RAT。Cknife允许用户一次连接多个服务器,同时连接网络服务器与数据库并运行命令行访问的远程shell。

Recorded Future警告称,“Cknife是中国攻击者过去半年以来一直在讨论(可能在使用)的可置信威胁。考虑到围绕网络服务器的大范围攻击面、Chopper和Cknife各自的应用程序与架构以及Chopper的成功先例,不久的将来,Cknife应该应认真解决的合法威胁。”

5.只针对中国用户的勒索软件CuteRansomware

上次雷锋网邀请360的专家给大家科普过勒索软件——在黑客的众多牟利手段当中,勒索软件可能是最普遍的一种。这种恶意软件通常会通过受感染的邮件附件、被篡改的网站或网页广告散布。勒索软件会对用户电脑上的文件进行加密,除非受害者交付特定数额的赎金,否则受影响的文件将会一直处于不可用的状态。

那么,在实际案例中,有没有真的只针对中国用户的的勒索软件呢?历史告诉大家,真的有!

2016年7月15日,有安全研究人员发现了一个名为cuteRansomware的新恶意勒索软件。该恶意软件代码的注释及勒索内容全部使用的中文,这就意味着,该勒索软件目前只将中国用户作为攻击目标。再仔细查看代码并比对AVG研究人员发现的版本之后,研究人员还发现该版本还采用谷歌文档表格作为其C&C服务器。

cuteRansomware会感染计算机,生成RSA加密密钥,然后通过HTTPS将密钥传送到谷歌文档表格中。

6.WinRT PDF存在网页挂马攻击漏洞WinRT PDF

作为Windows 10系统的默认PDF阅读器,能够像过去几年爆发的Flash、Java、Acrobat漏洞相似允许黑客通过Edge浏览器发起一系列攻击。Windows Runtime(WinRT)PDF渲染库或者简称WinRT PDF,是内嵌至Windows 10系统中的重要组件,允许开发者在应用中轻松整合PDF阅读功能。该渲染库被已经在Windows Store上架的应用广泛使用,包括Windows 8/8.1的默认阅读应用和微软最新的Edge浏览器。

2016年3月3日,来自IBMX-Force Advanced研究团队的安全专家Mark Vincent Yason近期发现WinRT PDF存在和过去几年曾用于Flash和Java上相似的网页挂马攻击(drive-by attacks)漏洞。在WinRT PDF作为Edge浏览器的默认PDF阅读器之后,任何嵌入至网页的PDF文档都能够在这个库中打开。聪明的攻击者能够通过PDF文件来利用这个WinRT PDF漏洞,使用包含CSS的iframe定位来秘密打开包含恶意程序的PDF文件并执行恶意程序。

攻略:为何你中招,如何不再中招?

如果你曾经不小心遇到上述问题,可能不是你运气差。绿盟科技告诉雷锋网,通过对200余个单位的网站安全管理情况进行了调研分析,他们发现了这些问题:

在基础管理方面,虽然目前有95%的单位有专人负责安全运维工作,但是超过5人的安全团队不足20%,同时有将近一半的单位缺失安全制度及应急响应流程。意思是,大事不好了,然而网站运维也蒙圈了。

在资产管理方面,有将近50%的单位没有进行网站资产的定期梳理,导致很多新建站点数据库等端口在公网暴露,往往这些单位也不清楚下辖单位的网站资产全集。同时,有70%以上网站都是外包建站,40%以上是外包运营,如果对于外包过程掌控不足,很容易留下大量安全隐患。意思是,我把内衣、底裤都挂到摄像头下了,还特别喜欢找别人帮我晾衣服,被拿走了都不知道。

在建站开发方面,使用第三方软件框架种类繁多,有各类开源服务器(如apache、

Lighttpd等)、开源数据库(如mysql、PostgreSQL等)、开源论坛框架(如phpwind、phpcms等)等,这些开源产品如果不能很好地管理,会导致大量配置相关的风险隐患。

在漏洞管理方面,有将近40%的单位认为高危漏洞处于个位数,但事实比这糟糕得多,

有61%的单位低估了漏洞的数量以及危害,另外96%的单位在彻底修复漏洞前没有

做任何漏洞防御措施。意思是,狼来了,但是以为羊来了。

在威胁管理方面,仅有6%的单位能对扫描行为和模拟的攻击行为进行拦截。在事件管理方面,仅有20%的单位明确进行了网站各类事故的监测,其余各单位有将近一半反馈没有做网站事故灾害监测,而另一半则不确认本单位是否做了安全事故灾害监测。

为此,除了建立健全安全管理组织形式,明确清晰安全管理工作职责,构建落实安全管理体系框架,绿盟科技着重建议建立完善安全管理运营流程。

以监测、发现、与处理一项网站漏洞为例,以下为高能实操攻略:

好好上个网不容易:2016上半年网络安全事件盘点

1.如何发现漏洞这个小妖精?办法一,日常漏洞监测与扫描。这其中包含Web漏洞和系统漏洞的监测与发现,由于网站安全漏洞会不断被发现和公开,所以使用扫描设备对网站漏洞进行监测是个持续的过程,并且需要纳入到日常管理工作范畴。

办法二,紧急漏洞通告的舆情监测。紧急漏洞通告一般是指业内将漏洞及漏洞验证代码同时公开的漏洞,这些漏洞往往有高风险、波及范围广、对应的攻击代码传播快的特点。通常在紧急漏洞公开之前或公开的同一天会出现利用该漏洞的攻击工具。所以,对一些第三方的漏洞通报平台、各安全厂商发布紧急漏洞信息的平台、各类黑客论坛进行情报监测。

2.发现漏洞以后怎么办?发现漏洞以后,需要对漏洞进行验证和分析,验证过程通常是根据漏洞详情验证漏洞的真伪,扫描设备、各类漏洞通告有较高的频率出现误报,所以在发现漏洞后首先要对漏洞进行验证,确认网站系统是否存在漏洞或受到漏洞的影响。

在确认漏洞的真伪后,通常对中高危漏洞需要优先分析,分析的目的在于确认漏洞被利用后会对资产或企业造成何种影响,相同的漏洞给不同的网站带来的风险是完全不同的,应该由网站维护人员和安全管理员共同判断。在对网站进行验证分析后,需要网站管理人员作出决策,凡有可能对网站造成机密性、完整性、可用性破坏的漏洞都应该考虑及时采取措施预防和修复。有部分不会对网站造成任何影响的漏洞可采取接受风险的策略。

3.漏洞未能修复之前怎么办?在漏洞未能修复之前采取的临时措施,通常是在漏洞修复之前采用技术手段将来自外部的风险(漏洞利用)屏蔽。这个过程可以通过修改Web程序来实现,也可以依赖于网站的防护设备,通过追加临时安全防护策略可以拦截外部攻击者利用漏洞的行为。

在漏洞预防策略实施后,需要再次通过人工方式或设备验证漏洞预防策略是否已生效。当然,漏洞预防措施的实施不代表漏洞不需要修复,因为来自内部的威胁照样存在,彻底解决的办法还是修复漏洞。如果发现漏洞后可以快速修复漏洞,甚至可以不采取漏洞预防的措施。

4.如何修复?针对网站已有的漏洞在技术上进行修复,根据不同种类的漏洞采取的手段各不相同,同一类型的漏洞也可以采用不同的手段修复和规避,降低风险。按照漏洞的几种常见类型,漏洞的修复方法可以按照如表所示:

好好上个网不容易:2016上半年网络安全事件盘点

0 0