网络安全信息与动态周报

1一、本周网络安全基本态势（2009年12月28日-2010年1月3日）本周互联网网络安全整体评价为中。依据CNCERT监测结果，境内被木马控制的主机IP地址数目为11274个，与前一周相比大幅增长262%；境内被僵尸网络控制的主机IP地址数目为16534个，与前一周相比增长20%；境内被篡改政府网站数量为35个，与前一周相比下降19%，其占境内被篡改网站总数的比例则增长为7.4%。本周活跃恶意域名hhhh258.8866.org:2388ersyrt5h.7766.orgxaa(或xab、xac).ss.laa.ppmmoo.cn8884.ss.laa.ll8cc.cn注：根据华为、奇虎、知道创宇、启明星辰、安天等企业报送的网页挂马信息整理。在上述监测发现的恶意域名中，8884.ss.la、a.ll8cc.cn、wgwggg.cn、a.ppmmoo.cn已经连续数周处于活跃状态，构成较严重的安全威胁。本周新增的hhhh258.8866.org、ersyrt5h.7766.org等属于动态域名，其网站服务器托管于虚拟主机上，近期被黑客利用作为网页木马集成页面1，侵害了成百上千的网站。此外，CNCERT发现黑客注册用于挂马的恶意域名往往采取批量命名注册方式，如：xaa（xab、xac）.ss.la，类似地还有8884（8883\8882\8881）.ss.la。本周被挂马的重要网站网页挂马作为病毒、木马、僵尸等恶意代码的主要传播途径，一直是CNCERT研究和跟踪的重点。黑客挂马的常见步骤是：黑客利用网站所存在的SQL注入、跨站脚本等安全漏洞，在网站页面中嵌入恶意跳转链接。黑客通过精心构造恶意跳转链接，再嵌入多个网页木马集成页面，触发用户主机存在的系统和软件漏洞，从而使得恶意代码程序可以自动下载至用户主机上运行。对应不同的系统和软件漏洞，黑客使用不同的恶意代码程序，主要类型包括：流行病毒、盗号木马、木马下载器等。一旦中了网页木马，用户主机可被黑客远程控制，用户敏感信息将被盗取，有时也会导致主机崩溃。1网页木马集成页面是指集成利用多个系统和软件漏洞进行入侵的网页木马页面，一般通过各种网马生成器自动生成。2010年第1期2010年1月5日网络安全信息与动态周报国家互联网应急中心2本周，CNCERT通过一个案例还原黑客进行网页挂马的步骤。2009年12月29日上午10时，CNCERT监测发现北京大学某研究所网站(*.pku.edu.cn/)被黑客植入恶意代码。经分析，该研究所网站为主页挂马，用户访问网站后台将自动链接访问恶意域名a.ll8cc.cn，之后跳转至恶意域名8884.ss.la下挂的多个网页木马集成页面。通过集成页面，设置多个触发系统和软件漏洞的条件，触发成功后通过读取下载恶意代码文件列表，下载位于fuck.ss.la、c.mmzfc.cn、1.wgwggg.cn上的多种恶意代码程序。被挂马的页面恶意跳转链接网页木马集成页面漏洞触发页面*.pku.edu.cn(主页挂马)a.ll8cc.cn8884.ss.la/445/ad.htm8884.ss.la/4/google.htm8884.ss.la/445/gvff.htm、8884.ss.la/445/gv14.htm、8884.ss.la/445/gvgg.htm、8884.ss.la/445/gvbf.htm、8884.ss.la/445/gvxxz.htm、8884.ss.la/445/gvcx.htm等数十个页面。可触发的漏洞MS08-041漏洞、MS06-014漏洞、MS09-032漏洞、MS09-043漏洞、联众ConnectAndEnterRoomActiveX控件栈溢出漏洞、联众世界GLWorldHanGamePluginCn18类ActiveX控件栈溢出漏洞、暴风影音2009(mps.dll)ActiveX远程栈溢出漏洞、RealNetworksRealPlayer'ActiveX控件内存破坏漏洞、MS09-002漏洞、AdobeFlashPlayerSWF漏洞、AdobeReaderPDF漏洞、超星阅读器4.0漏洞、QvodPlayer漏洞、中国游戏中心游戏大厅(CGAgent.dll)ActiveX远程栈溢出漏洞、RealPlayer播放器IERPCtl.IERPCtl.1漏洞、MozillaFirefox3.5字体标签远程缓存溢出漏洞下载的恶意代码程序fuck.ss.la/4.exe、c.mmzfc.cn/a.jpg、1.wgwggg.cn/1.bmp、ersyrt5h.7766.org/web/40/a.jpg等由此可见，防范网页挂马，用户需加强以下几个方面的工作：1）及时对操作系统、应用软件进行更新升级，做好系统加固修补工作；2）安装安全防护软件并及时更新升级软件库，以免受到恶意代码的侵害；3）注意上网安全，不要打开来源不明的网址链接，不要随意下载来源不明的邮件附件。本周活跃恶意代码名称特点Trojan.DL.Giframe.a这是一个下载者病毒，利用浏览器GIF文件解析漏洞进行传播。黑客通过诱导用户浏览含有恶意代码的GIF文件的网页，来控制用户连接到特定的包含恶意程序的网页。Windows图片查看器打开含有恶意代码的GIF文件不受影响。Worm.Win32.MS08-067.c这是一个以微软系统MS08-067漏洞为主要传播手段的蠕虫病毒。另外该病毒亦可通过U盘以自动加载运行的方式进行传播、并且由于病毒自身带一个弱密码表，会猜解网络中计算机的登录密码，通过局域网传播。3注：根据瑞星、金山等企业报送的恶意代码信息整理。可以看到，当前较为流行的恶意代码的主要特征有：1）利用木马下载器进行传播；2）利用操作系统及应用软件漏洞广泛传播，如：MS08-067；3）加强通过介质和局域网内的传播。CNCERT提醒互联网用户一方面要加强系统漏洞修补加固，另一方面要加装安全防护软件。本周重要漏洞本周，国家信息安全漏洞共享平台（CNVD）整理和发布以下重要安全漏洞信息。1、SunJava系统目录服务器远程拒绝服务和非授权访问漏洞SunJava系统目录服务器是Java企业系统的一个组件，为企业管理大量用户信息提供用户管理基础架构。目前SunJava目录服务器企业版6.x所捆绑的目录代理服务器中存在多个安全漏洞，可能允许远程非特权用户在某些环境下以其他客户端的权限执行客户端操作或使用特制的伪造报文导致服务器停止响应新的客户端连接。2、MITKerberosKDC跨域Referral空指针引用拒绝服务漏洞Kerberos是一种网络认证协议，其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。krb5的KDC跨域referral处理代码中存在空指针引用漏洞，未经认证的远程攻击者可以通过发送特制请求导致KDC崩溃。3、RubyonRails消息Digest验证非固定时间算法漏洞RubyonRails是一个构建在Ruby语言之上，可以使开发、部署和维护web应用程序变得简单的框架。RubyonRails用于验证cookiestore中消息digest的代码中存在漏洞。由于使用了非固定的时间算法来验证时间签名，攻击者可以判断伪造的签名在何时为部分正确，反复执行这个过程就可以成功的伪造出digest。4、PostgreSQL存在多个安全漏洞PostgreSQL是一款对象关系型数据库系统，支持相关SQL标准及子集。目前PostgreSQL存在索引功能权限提升漏洞和CASSL证书验证漏洞。允许通过认证的远程攻击者通过带有特制索引功能的表格获得权限提升，或伪造成为任意基于SSL的PostgreSQL服务器执行中间人攻击，或绕过预期的客户端-主机名限制。5、BigAntIMServer'USV'请求缓冲区溢出漏洞BigAntIMServer是BigAntMessenger企业即时通讯平台所使用的消息服务器。BigAntTrojan.Win32.BHO.fwb该病毒通过下载器通过互联网下载或捆绑到其他软件中的方法进行传播。病毒运行后，会将病毒体以文件形式释放动态库文件到系统目录下，并将该动态库文件注册为IE的BHO组件；当用户打开IE时候，病毒就会被激活，并且会打开病毒指定的页面，进行流量点击或者下载病毒作者的软件。win32.troj.fakefoldert该病毒通过介质进行传播，可创建当前目录下文件夹名的EXE文件，运行后则主动感染其他PE文件。4IM服务器所使用的AntServer模块在处理TCP请求时存在栈溢出漏洞，远程攻击者可以通过向TCP6660端口发送超长的USV请求触发这个溢出，最终导致在受影响的主机上执行任意代码。目前厂商没有提供相应解决方案，同时在互联网上已经存在零日代码，请广大用户注意安全防护。6、MicrosoftIIS畸形文件扩展名绕过安全限制漏洞微软Internet信息服务(IIS)存在严重的安全漏洞，即IIS服务器会错误的执行带有多个扩展名的文件中所包含的ASP代码。例如，“malicious.asp;.jpg”被错误执行成ASP文件。由于很多文件上传程序仅检查文件扩展名的最后部分，这可能导致攻击者绕过安全保护机制向服务器上传恶意可执行文件。目前微软尚未提供解决方案，建议广大用户可通过移除上传文件目录中的可执行权限来避免系统受到漏洞影响。小结：本周CNVD所整理的漏洞信息中，第5条和第6条漏洞厂商尚未提供相应的解决方案，目前针对这两个漏洞的攻击行为已出现，提醒使用这两款产品的用户注意采取安全防护措施。其它漏洞信息已有相应的安全补丁，用户可自行到相应网站上下载更新补丁，避免受漏洞的影响。注：CNVD是CNCERT联合国内多家重要信息系统用户、安全厂商、软件厂商、互联网企业等共同建立的国家信息安全漏洞共享平台，旨在国内建立统一收集、发布、验证、分析等信息安全漏洞应急处置体系。二、业界新闻速递政府监管和政策法规动态1、日本防卫省2011年建“网军”2009年12月28日，据日本广播协会电视台报道，日本防卫省决定于2011年组建专门应对电脑攻击的“电脑空间防卫队”。电脑防卫队主要负责搜集最新的电脑病毒信息，研究避免病毒感染对策，并加强对防卫省和自卫队情报系统的监管。2、韩国政府投资36亿元发展云计算2009年12月30日，韩国广播通信委员会、知识经济部、行政安全部公布《搞活云计算综合计划》。决定于2014年之前向云计算(CloudComputing)领域投资6146亿韩元（36亿人民币），争取使韩国云计算市场的规模扩大为目前的四倍，达到2.5万亿韩元。网络安全事件与威胁3、网络扫黄严审.CN域名海外域名代理商坐收渔利2009年12月下旬，在申请.CN域名需进行书面审核和工信部五项举措治理域名注册的重拳打击下，众多色情网站经营者转向通过海外域名代理机构注册域名的方式来逃避监管。来自中国境内的.COM域名注册申请急速上升，海外.COM域名注册机构成为此轮打击网络色情行动的最大受益方。4、公安部物证鉴定中心网站被黑客篡改52010年1月2日，公安部物证鉴定中心的中英文网站遭黑客入侵，网站页面不断被篡改。根据黑客在篡改页面中留存的信息和署名，公安部物证鉴定中心网站正被至少两名以上的黑客控制和修改。5、2010年四大安全趋势：黑客瞄上ChromeOS2010年1月2日，据国外媒体报道，2010年网络安全市场将呈现以下趋势：1）Facebook和Twitter等社交网络将成为主要攻击目标；2）URL缩写服务和银行网站将成为“钓鱼”攻击的主要对象；3）谷歌ChromeOS系统将面临严峻的安全挑战；4）Adobe将成为第一大攻击目标。6、全国首例侵犯公民信息安全案珠海宣判2010年1月3日，全国首例侵犯公民信息安全案在珠海宣判。被告人周建平因非法出售公民个人信息资料被珠海市香洲区人民法院以非法获取公民个人信息罪判处有期徒刑1