本周互联网网络安全整体评价为中。恶意代码传播、网页篡改、网页挂马、高危漏洞爆发等事件是互联网用户遭遇的主要威胁。其中境内被木马控制的主机IP地址数目为4307个,与前一周相比增长13%;境内被僵尸网络控制的主机IP地址数目为15923个,与前一周相比下降11%;境内被篡改政府网站数量为124个,与前一周相比增长24%,其占境内被篡改网站总数的比例上升为24.5%。
一、本周活跃恶意域名
|
567890.ss.la |
dsfdfe44.8866.org |
|
njuyy8888.3322.org |
ppa.uub.cc |
|
aa1100.2288.org |
8881.ss.la |
|
w1.591sc.com |
a.ppmmoo.cn |
|
8688.ss.la |
wgwggg.cn |
|
963.ss.la |
mm.aa88567.cn |
注:根据华为、奇虎、知道创宇、启明星辰等企业报送的网页“挂马”信息整理。
可以看到,当前较为活跃的网页“挂马”源大多数是些动态域名,注册这些域名较为廉价,且网站服务器可由虚拟主机托管,查对清理相对比较困难。典型的有:***.8866.org、***.uub.cc、***.ss.la、***.3322.org。
二、本周被“挂马”的重要网站
|
站点名称 |
挂马页面链接 |
|
上海市政府门户某区县网站 |
http://www.f***.sh.gov.cn/listg.aspx?CID=897 |
|
重庆市政府门户某区县网站 |
http://**.cq.gov.cn/sgadweb |
|
上海市某电视传媒网站音乐频道 |
http://music.**g.cn/radio/arts/index.aspx |
|
江西省某重点门户网站房产频道 |
http://**.jxcn.cn/Wqts/Wqts_news_view.asp?id=8606&N=73PIZTP7TSLAKQBPXY0P |
|
中国某学术导航网站金融行业类别 |
http://dir.cn**.net/newdir/web/showWeb_2178.html |
|
中国某国家级人才网站培训频道 |
http://www.***jobs.com.cn/city/peixun/lession.jsp?id=108 |
本周,CNCERT重点关注大型门户网站下属分站以及相关频道的“挂马”情况,包括电子政务类、学术类、人才招聘类和传媒类等网站。一些门户网站整体安全管理较为完善,但出现子站点或下属分类频道被挂马的情况,原因在于子站或分类频道安全管理不规范,有的存在互动交互页面,但对发布权限与内容未作严格审核,易被利用发布嵌入恶意代码的页面内容。
三、本周活跃恶意代码
|
名称 |
特点 |
|
Trojan.DL.Giframe.a |
这是一个下载者病毒,利用浏览器GIF文件解析漏洞进行传播。黑客通过诱导用户浏览含有恶意代码的GIF文件的网页,来控制用户连接到特定的包含恶意程序的网页。Windows图片查看器打开含有恶意代码的GIF文件不受影响。 |
|
Worm.Win32.MS08-067.c |
这是一个以微软系统MS08-067漏洞为主要传播手段的蠕虫病毒。另外该病毒亦可通过U盘以自动加载运行的方式进行传播、并且由于病毒自身带一个弱密码表,会猜解网络中计算机的登录密码,通过局域网传播。 |
|
Worm.Win32.Autorun.eyr |
该病毒是目前传播比较广泛的U盘蠕虫程序,通过伪装文件夹图标欺骗用户点击运行的方式进行传播。 |
|
win32.troj.agent.957977 |
该病毒主要是通过网页“挂马”传播。通过创建一个虚假IE图标,诱使用户点击访问指定的网站,刷流量。 |
注:根据瑞星、金山等企业报送的恶意代码信息整理。
四、本周重要漏洞
本周,国家信息安全漏洞共享平台(CNVD)整理和发布以下重要安全漏洞信息。
(一)惠普公司HP OpenView Network Node Manager存在多个远程代码执行漏洞
惠普公司HP OpenView网络节点管理器(Network Node Manager)是一款网管软件,广泛运用于我国运营商OSS部门。其存在包括远程命令注入漏洞、 基于堆栈的缓冲区溢出漏洞、基于堆的缓冲区溢出漏洞等多个高危安全漏洞,攻击者可以利用这些漏洞执行任意拥有系统级权限的代码。若攻击者发起的攻击成功,就可完全控制被入侵的计算机,即使攻击失败也会导致拒绝服务。
(二)NTP模式7的MODE_PRIVATE包存在远程拒绝服务漏洞
NTP是一种使计算机时间同步化的协议,目前该协议广泛用于我国基础设施网络时间同步。NTP没有正确地处理某些传入的网络数据包,攻击者可以利用此问题导致应用程序消耗过多的CPU资源,并填补日志信息的磁盘空间。目前所有涉及该协议的产品都可能存在安全漏洞,建议广大用户在安全补丁发布之前通过网络区域隔离进行安全防护,并时刻留意NTP补丁发布信息。
(三)Adobe Flash Player和AIR存在多个严重漏洞
Adobe Flash Player是一款Flash文件处理程序。Adobe AIR是Adobe公司出品的跨操作系统的运行时库,通过它开发者可利用现有的Web开发技术。Adobe Flash Player和AIR存在包括"flash10.ocx"处理Getproperty属性存在内存破坏错误、ActionScript异常处理器生成存在安全缺陷、解析包含在SWF文件中的JPEG维度时存在缺陷、数据注入漏洞等多个漏洞。远程攻击者可以利用上述漏洞以应用程序权限执行任意指令。
(四)英特尔Indeo多媒体编解码器的多个缓冲区溢出漏洞
英特尔Indeo多媒体编解码器含有多个缓冲区溢出漏洞,其中,包括基于堆栈的缓冲区溢出漏洞和基于堆的缓冲区溢出漏洞。攻击者可以利用这些漏洞,执行任意代码来影响应用程序,失败的利用企图将导致拒绝服务。
(五)Internet Explorer存在多个安全漏洞
本周微软发布安全更新解决 Internet Explorer 中四个秘密报告的漏洞和一个公开披露的漏洞。如果用户使用 Internet Explorer 查看特制网页,则所有漏洞可能允许远程执行代码。那些拥有较少系统用户权限的用户要比拥有管理用户权限的用户受到的影响小。利用 Microsoft 活动模板库 (ATL) 标头构建的 ActiveX 控件也允许远程代码执行。
小结:本周安全漏洞的最大特征是一款软件存在多个高危漏洞或一个高危漏洞影响多个产品。CNVD所整理的漏洞信息中,第1条、第3条和第5条漏洞信息已有相应的安全补丁,广大用户可以自行到相应网站上下载更新补丁,避免受漏洞的影响;第2条和第4条软件漏洞厂商尚未提供相应的升级程序或补丁,建议用户随时关注厂商的主页以获取软件的最新版本,建议网络运营机构严格划分安全边界和访问策略,避免遭受黑客攻击。
注:CNVD是CNCERT联合国内近20家重要信息系统用户、安全厂商、软件厂商、互联网企业等共同建立的国家信息安全漏洞共享平台,旨在国内建立统一收集、发布、验证、分析等信息安全漏洞应急处置体系。
(来源:国家互联网应急中心)
|