网络信息安全简报（2012.10）

 

1)   10.10.7.222

 

2)   10.10.2.180

 

3)   10.10.2.181

 

 

 

1、Exim 邮件服务软件堆缓冲区溢出漏洞

Exim 是由英国剑桥大学的研究组织开发的一款开源邮件服务软件,主要用于搭建邮件服务器或用作接收和发送邮件的客户端代理程序。该软件由于配置简单，功能灵活，可运行于大多数类 UNIX 系统上,如：Solaris、AIX、Linux 等,近年来在国内外应用较为广泛。一些厂商发行的Linux操作系统版本中也默认集成了Exim软件或Exim软件源，如：Redhat、Debian、Ubuntu 等。

收录的相关漏洞包括：Exim 堆缓冲区溢出漏洞，漏洞的综合评级均为“高危”。Exim 默认安装下集成启用的用于支持 DKIM（域名密钥识邮件标准）的功能模块中存在漏洞，由于该模块未能正确处理相应参数，导致堆缓冲区溢出。攻击者可以向服务器发起远程攻击，严重的可以获得服务器主机管理权限。目前，厂商已经修复了上述漏洞，趋势提醒相关用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

 

2、  Adobe 产品安全漏洞

Adobe Shockwave Player 是一款播放器插件。本周，该产品被披露存在多个安全漏洞，攻击者利用漏洞可执行任意代码。

收录的相关漏洞包括：Adobe Shockwave Player 索引错误漏洞、Adobe Shockwave Player 缓冲区溢出漏洞（CNVD-2012-15426、CNVD-2012-15428、CNVD-2012-15429、CNVD-2012-15431、CNVD-2012-15433）。上述漏洞的综合评级均为“高危”。目前，厂商已经修复了上述漏洞，趋势提醒相关用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

 

3、WordPress 插件安全漏洞

WordPress 是一款使用 PHP 语言开发的内容管理系统。本周，该产品的多个插件被披露存在多个安全漏洞，攻击者利用漏洞可获得敏感信息，发起跨站脚本攻击和浏览器点击劫持攻击，执行任意代码。

收录的相关漏洞包括：WordPress 插件 White Label CMS 跨站脚本漏洞、WordPress 插件 White Label CMS 跨站请求伪造漏洞、WordPress 插件 Wordfence 'email'跨站脚本漏洞 WordPress 插件 Thank You Counter Button'paged'跨站脚本漏洞、WordPress 插件Zingiri Bookings 'error'跨站脚本漏洞、WordPress 插件 Zingiri Form Builder'error'跨站脚本漏洞、WordPress Spider Calendar 插件'many_sp_calendar'跨站脚本漏洞、WordPress 插件UnGallery 'search'参数远程任意命令执行漏洞等。其中，“WordPress 插件 UnGallery 'search'参数远程任意命令执行漏洞”的综合评级为“高危”。目前，厂商已经修复了上述漏洞，趋势提醒相关用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

 

4、IBM 产品安全漏洞

IBM XIV Storage System 是海量磁盘存储系统；IBM DB2 Universal Database Server 是一款大型的商业关系数据库；IBM AIX 是一款商业性质的操作系统。本周，上述 IBM 产品被披露存在多个安全漏洞，攻击者利用漏洞可访问其他受限文件，触发基于栈的缓冲区溢出，发起拒绝服务攻击。

收录的相关漏洞包括：IBM AIX FTP 客户端安全绕过漏洞、IBM DB2 产品远程栈缓冲区溢出漏洞、多个 IBM XIV Storage System 产品拒绝服务漏洞。其中，“IBM DB2产品远程栈缓冲区溢出漏洞”和“多个 IBM XIV Storage System 产品拒绝服务漏洞”的综合评级均为“高危”。厂商已经修复了上述漏洞，趋势提醒相关用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

 

5、Interspire Email Marketer 安全漏洞

Interspire Email Marketer 是一个基于 Web 的电子邮件营销解决方案。本周，该产品被披露存在多个漏洞，远程攻击者利用漏洞可访问或修改数据，或利用基础数据库中的潜在漏洞，执行恶意 HTML 和脚本代码。

收录的相关漏洞包括：Interspire Email Marketer SQL 注入漏洞、Interspire EmailMarketer 存在多个 HTML 注入漏洞、Interspire Email Marketer 'Action'跨站脚本漏洞。其中，“Interspire Email Marketer SQL 注入漏洞”的综合评级为“高危”。厂商尚未发布上述漏洞的修补程序，趋势提醒广大用户随时关注厂商主页以获取最新版本，避免引发漏洞相关的网络安全事件。

 

6、VAM Shop SQL 注入漏洞

VAM Shop 是一款基于 WEB 的应用程序。本周，VAM Shop 被披露存在一个综合评级为“高危”的 SQL 注入漏洞。攻击者利用漏洞可获得数据库信息或控制应用系统。目前，互联网上已经出现了针对该漏洞的攻击代码，厂商尚未发布该漏洞的修补程序。趋势提醒广大用户随时关注厂商主页以获取最新版本。

已查杀的病毒/恶意软件数：

 

已查杀的全部病毒、恶意软件摘要：

 

传染来源摘要：（N/A表示来自外网或无法识别）

 

被感染的目标（主机）摘要：

 

处理措拖结果摘要：

 

一、恶意代码的特征

 

恶意代码（Malicious code）或者叫恶意软件Malware（Malicious Software）具有如下共同特征：

（1） 恶意的目的

（2） 本身是程序

（3） 通过执行发生作用

 

有些恶作剧程序或者游戏程序不能看作是恶意代码。对滤过性病毒的特征进行讨论的文献很多，尽管它们数量很多，但是机理比较近似，在防病毒程序的防护范围之内，更值得注意的是非滤过性病毒。

 

二、非滤过性病毒

 

非过滤性病毒包括口令破解软件、嗅探器软件、键盘输入记录软件，远程特洛伊和谍件等等，组织内部或者外部的攻击者使用这些软件来获取口令、侦察网络通信、记录私人通信，暗地接收和传递远程主机的非授权命令，而有些私自安装的P2P软件实际上等于在企业的防火墙上开了一个口子。 非滤过性病毒有增长的趋势，对它的防御不是一个简单的任务。与非过滤性病毒病毒有关的概念包括：

 

（1）间谍软件

 

间谍软件（Spyware）与商业产品软件有关，有些商业软件产品在安装到用户机器上的时候，未经用户授权就通过Internet连接，让用户方软件与开发商软件进行通信，这部分通信软件就叫做谍件。用户只有安装了基于主机的防火墙，通过记录网络活动，才可能发现软件产品与其开发商在进行定期通讯。谍件作为商用软件包的一部分，多数是无害的，其目的多在于扫描系统，取得用户的私有数据。

 

（2）远程访问特洛伊

 

远程访问特洛伊RAT 是安装在受害者机器上，实现非授权的网络访问的程序，比如NetBus 和SubSeven 可以伪装成其他程序，迷惑用户安装，比如伪装成可以执行的电子邮件，或者Web下载文件，或者游戏和贺卡等，也可以通过物理接近的方式直接安装。

 

（3）Zombies

 

恶意代码不都是从内部进行控制的，在分布式拒绝服务攻击中，Internet的不少 站点受到其他主机上 zombies程序的攻击。zombies程序可以利用网络上计算机系统的安全漏洞将自动攻击脚本安装到多台主机上，这些主机成为受害者而听从攻击者指挥，在某个时刻，汇集到一起去再去攻击其他的受害者。

 

4）破解和嗅探程序和网络漏洞扫描

 

口令破解、网络嗅探和网络漏洞扫描是公司内部人员侦察同事，取得非法的资源访问权限的主要手段，这些攻击工具不是自动执行，而是被隐蔽地操纵。

 

（5）键盘记录程序

 

某些用户组织使用PC活动监视软件监视使用者的操作情况，通过键盘记录，防止雇员不适当的使用资源，或者收集罪犯的证据。这种软件也可以被攻击者用来进行信息刺探和网络攻击。

 

（6）P2P 系统.

 

基于Internet的点到点 （peer-to-peer）的应用程序比如 Napster、Gotomypc、AIM 和 Groove，以及远程访问工具通道像Gotomypc，这些程序都可以通过HTTP或者其他公共端口穿透防火墙，从而让雇员建立起自己的VPN，这种方式对于组织或者公司有时候是十分危险的。因为这些程序首先要从内部的PC 远程连接到外边的Gotomypc 主机，然后用户通过这个连接就可以访问办公室的PC。这种连接如果被利用，就会给组织或者企业带来很大的危害。

 

（7）逻辑炸弹和时间炸弹

 

逻辑炸弹和时间炸弹是以破坏数据和应用程序为目的的程序。一般是由组织内部有不满情绪的雇员植入，逻辑炸弹和时间炸弹对于网络和系统有很大程度的破坏，Omega 工程公司的一个前网络管理员Timothy Lloyd，1996年引发了一个埋藏在原雇主计算机系统中的软件逻辑炸弹,导致了1千万美元的损失，而他本人最近也被判处41个月的监禁。

 

三、恶意代码的传播手法

 

恶意代码编写者一般利用三类手段来传播恶意代码：软件漏洞、用户本身或者两者的混合。有些恶意代码是自启动的蠕虫和嵌入脚本，本身就是软件，这类恶意代码对人的活动没有要求。一些像特洛伊木马、电子邮件蠕虫等恶意代码，利用受害者的心理操纵他们执行不安全的代码；还有一些是哄骗用户关闭保护措施来安装恶意代码。

 

利用商品软件缺陷的恶意代码有Code Red 、KaK 和BubbleBoy。它们完全依赖商业软件产品的缺陷和弱点，比如溢出漏洞和可以在不适当的环境中执行任意代码。像没有打补丁的IIS软件就有输入缓冲区溢出方面的缺陷。利用Web 服务缺陷的攻击代码有Code Red、Nimda，Linux 和Solaris上的蠕虫也利用了远程计算机的缺陷。　

 

恶意代码编写者的一种典型手法是把恶意代码邮件伪装成其他恶意代码受害者的感染报警邮件，恶意代码受害者往往是Outlook地址簿中的用户或者是缓冲区中WEB页的用户，这样做可以最大可能的吸引受害者的注意力。一些恶意代码的作者还表现了高度的心理操纵能力，LoveLetter 就是一个突出的例子。一般用户对来自陌生人的邮件附件越来越警惕，而恶意代码的作者也设计一些诱饵吸引受害者的兴趣。附件的使用正在和必将受到网关过滤程序的限制和阻断，恶意代码的编写者也会设法绕过网关过滤程序的检查。使用的手法可能包括采用模糊的文件类型，将公共的执行文件类型压缩成zip文件等等。　

 

对聊天室IRC（Internet Relay Chat）和即时消息IM(instant messaging)系统的攻击案例不断增加，其手法多为欺骗用户下载和执行自动的Agent软件，让远程系统用作分布式拒绝服务(DDoS)的攻击平台，或者使用后门程序和特洛伊木马程序控制之。

 

恶意代码在当今的网络环境中是热点话题，黑客们喜欢利用恶意代码加载到你的主机，获取非法的利益，所以用户一定要利用防护工具或是采取防护措施保护自己的电脑。

 

有很多媒体报导一种会攻击 VMware 虚拟机的新病毒或恶意软件：Crisis（也叫做Morcut）。

 

这是一款在7月下旬就开始传播的新恶意软件家族成员，曾被很多防毒软件厂商报导过。该病毒主要感染运行Mac OSX的机器，而安全研究人员最近发现，有些新的Crisis变种也会感染VMware虚拟机和Windows Mobile系统。

 

下面是个实用指南，主要为您提供在面对这类不明疑惧事件时需要知道的信息，以及在短期与长期阶段该做的事情。

 

先来复习一下，目前的虚拟化主要是通过两种类型的虚拟主机管理程序部署的：

 

第一类虚拟主机管理程序部署：最主要的例子是 VMware ESX、Citrix XenSource 等。可以将这类产品想成是替代一般主机操作系统(例如 Windows 或 Linux)的系统，需要直接在物理机器的硬件上运行。这种软件本身就像是操作系统，可以直接控制硬件。随后通过管理程序同时运行多个虚拟机。几乎所有数据中心都部署了这类虚拟化产品。这类软件并不会被这个恶意程序所攻击。我也不知道实际上有哪种在外流传的恶意软件可以感染第一类虚拟主机管理程序。

 

第二类虚拟主机管理程序部署：例如VMware Workstation、VMware Player 等，这类虚拟主机管理程序需要安装在标准操作系统(例如 Windows 或 Linux)之上，再运行多个虚拟机。而这第二种类型是恶意软件能够感染的。首先，主机操作系统先受到感染。可能是一次已知的 Windows 或 Mac OS 攻击(所以要先检测操作系统，然后安装对应的可执行文件)。接着会寻找 VMDK 文件，并利用虚拟主机工具(VMplayer)感染虚拟机。而这类型感染是可以利用更新防病毒软件的方法加以预防的。

 

即使这个受感染的虚拟机被移动，并转为在第一类虚拟主机管理程序中运行(这只是一个假设性的讨论)，它也会被限制在虚拟机里，因为端点安全程序会防止虚拟机间的网络通讯以及 I/O 通讯。

 

那么，这有什么大不了的？

 

虚拟机就和物理机器一样，如果不修补漏洞，一样会让恶意软件感染操作系统或应用程序，或是会被针对用户的社会工程学攻击所入侵。而针对这次的问题，有两个因素让 Crisis 显得既新颖又独特：

 

首先，该恶意软件会明确地找到存在的虚拟机，并试图加以感染。

 

其次，它会通过底层基础架构感染虚拟机，也就是通过修改 VMDK 文件的方式，而不是通过传统手段，例如远程网络、网页访问，或文件分享等方式进入虚拟机。

 

除了这些有趣的特性外，我们不认为这个恶意软件有什么明显的威胁。在真实世界里的感染率非常低(小于 100 个案例)，所以它看来不会出现大规模扩散，也不可能有迅速传播的能力。话虽如此，如果担心的话，您还是应该采取一些预防措施：

 

◆保护您的虚拟机

 

您珍贵的应用程序和数据是所有攻击的最终目标，Crisis 只是让目标更加明确。要确认在物理机器和虚拟主机上有防病毒软件或其他层次的保护，这样才能保障安全，例如您可以使用趋势科技 Deep Security或趋势科技 OfficeScan。

 

◆限制对 VMDK 文件的访问

 

虽然 Crisis 只针对一般主机上的虚拟主机管理程序，而非数据中心。但这里的根本问题是，任何可访问 VMDK 文件的人都可以对您的虚拟桌面或虚拟机(包括 vSphere 或 View)做出不好的事情。

 

Morcut/Crisis(危机)病毒小档案

 

Morcut/Crisis(危机)病毒会感染 VMWare 虚拟机，并且可以在多个系统平台上运行传播。Morcut/Crisis(危机)有以下两点与普通病毒不同：

 

1、目标明确，它会搜索是否有虚拟机存在并尝试感染。

 

2、通过基础架构对虚拟机进行感染。例如通过修改 .vmdk 文件，而不是通过传统手段，例如远程控制或文件分享等方式入侵虚拟机。

 

该病毒通过直接修改在宿主机物理服务器上的 VMDK 文件对虚拟机进行感染。也就是说，如果某台宿主机物理服务器(Windows/MAC OS)感染了该病毒，并且机器上安装了 VMWARE 的工具(例如 WORKSTATION、vSphere、View)，则该机器有权限访问的虚拟机都有被感染的可能。感染病毒后，该虚拟机会有信息泄漏的风险，同时可能会被植入后门程序。

 

该病毒对虚拟机的传播依赖 VMWARE 提供的正常功能，不存在对漏洞的利用，所以被感染的虚拟机并不会将病毒传播给其他虚拟机(但可能由于宿主机物理服务器感染，所以其他虚拟机也会被感染)。

 

该病毒的主要恶意行为是窃取信息和后门植入，不管是在虚拟机还是在宿主机物理服务器中，病毒的行为都是一样的。

 

 

首先，该病毒会利用一个恶意的 Java applet(被命名为 JAVA_MORCUT.A*)抵达计算机。这个 Java applet 中包含的代码会检测目标计算机运行的是什么操作系统。

 

在Mac系统上，Java applet 会释放并运行 OSX_MORCUT.A，该病毒的恶意行为与大多数 Windows 平台上的后门程序类似。OSX_MORUCT.A 具有的最不寻常的行为是能够打开系统麦克风，可能是为了进行信息盗窃。

 

在 Windows 系统上，这个 Java applet 会释放 WORM_MORCUT.A，接着释放其它若干文件，其中之一被命名为 WORM_MORCUT.A;另一些组件文件被命名为 RTKT_MORCUT.A**。它的主要功能是通过 USB 和虚拟机进行传播。它可以搜索系统上的 VMware 虚拟磁盘，并将自身的病毒副本释放到虚拟机中。Windows 版本的 MORCUT 和 Mac 版本一样，也能够录制音频。

 

 

被命名为 JAVA_MORCUT.A 的 JAVA applet 会下载一个压缩包，其中包含两个文件：运行在 MAC 系统上的后门程序 OSX_MORCUT.A 和运行在 Windows 系统上的蠕虫病毒(命名为 WORM_MORCUT.A)。接着该文件会释放以下组件文件：

 

IZsROY7X.-MP (32位DLL)定义为WORM_MORCUT.A

 

t2HBeaM5.OUk (64位DLL)定义为WORM_MORCUT.A

 

eiYNz1gd.Cfp

 

WeP1xpBU.wA (32位驱动程序)检测为RTKT_MORCUT.A

 

6EaqyFfo.zIK (64位驱动程序)检测为RTKT_MORCUT.A

 

lUnsA3Ci.Bz7 (32位DLL)非恶意文件

 

根据趋势科技的初步分析，WORM_MORCUT.A 具有通过 USB 设备和 VMware 虚拟磁盘传播的能力。它会使用驱动程序组件 RTKT_MORCUT.A 挂载到虚拟磁盘上。虽然该病毒具有较强的传播能力，但我们没有发现大量感染 WORM_MORCUT.A 和 TROJ_MORCUT.A 的情况。

 

 

该病毒在感染过程中并不会利用漏洞。此外，只有 VMWare 的虚拟机会受到该病毒的威胁，其他虚拟机平台不受影响。而且几乎所有部署了虚拟机的数据中心都不会受到影响。

 

 

请限制 VMDK 的访问。“危机”这种病毒只针对宿主机的虚拟机管理程序，而不针对数据中心，它会使任何可以访问 .vmdk 文件的程序在您的虚拟磁盘或虚拟机上执行恶意行为，其中包括 vSphere 或 View。

 

保护您的虚拟机。任何攻击的最终目标是您有价值的应用程序和数据，“危机”的目标更为明确。请务必安装反病毒软件和其他安全产品，借此保护您服务器和桌面的安全，例如您可以使用趋势科技 Deep Security或趋势科技 OfficeScan我。