网络信息安全简报（2013.7-8）

 

1)         10.10.7.222

 

2)         10.10.2.180

 

3)         10.10.2.181

 

 

10.10.14.3和10.10.14.13主要查杀的是WORMDOWN类似的飞客病毒，服务器补丁都打上了。两台服务器都开着共享，所以是由网络中其它主机攻击造成，从查杀数来看属正常范围。而病毒也在攻击时被趋势杀毒系统（Officescan）全部查杀清除。服务器本身并未感染到病毒，目前，这几台服务器是安全的。

 

 

网络病毒主要针对一些防护比较薄弱，特别是访问量较大的网站通过网页挂马的方式进行传播。当存在安全漏洞的用户主机访问了这些被黑客挂马的网站后，会经过多级跳转暗中连接黑客最终“放马”的站点下载网络病毒。2013 年 8 月，趋势监测发现排名前十的活跃放马站点域名和活跃放马站点 IP 如下表所示。

 

2013 年 6 月，Trendmicro监测到全球互联网 1316 万余个主机IP 地址感染飞客蠕虫，按国家或地区分布感染数量排名前三位的分别是中国大陆、印度、巴西。

境内感染飞客蠕虫的主机 IP 为近 133 万个，按地区分布感染数量排名前三位的分别是广东省、浙江省、江苏省。

1、Google Chrome 安全漏洞

Google Chrome 是一款 WEB 浏览器。本周，该产品被披露存在多个安全漏洞，远程攻击者利用漏洞可获得敏感信息，发起拒绝服务攻击。

TRENDMICRO收录的相关漏洞包括：Google Chrome 存在多个整数溢出漏洞、Google Chrome 'files/file_path.cc'存在未能漏洞、Google Chrome 'files/file_path.cc'存在未能漏洞、Google Chrome 'XSLT ProcessingInstruction implementation'内存错误引用漏洞、Google Chrome 'core/html/HTMLMediaElement.cpp'内存错误引用漏洞、Google Chrome 存在多个未明漏洞、Google Chrome 信息泄露漏洞、Google Chrome SliderThumbElement::setPositionFromPoint 函数存在未明漏洞等。上述漏洞 中除“ Google Chrome 信 息 泄 露 漏 洞、 Google Chrome SliderThumbElement::setPositionFromPoint 函数存在未明漏洞”外，其余漏洞的综合评级均为“高危”。TRENDMICRO 提醒用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

 

2、IBM 产品安全漏洞

IBM 1754 GCM 系列在单一设备中提供了经由 IP 的 KVM 和串行控制台管理技术；IBM InfoSphere Information Server 是一款数据集成软件平台；WebSphere 是 IBM 的集成软件平台；IBM WebSphere Portal 提供了一个组合应用程序或业务 mashup 框架，并且提供了一种基于 SOA 的解决方案。IBM BladeCenter 是一款高性能企业级服务器。本周，上述产品被披露存在多个安全漏洞，远程攻击者利用漏洞可获得敏感信息，执行未授权的访问或执行任意命令。

TRENDMICRO 收录的相关漏洞包括：IBM 1754 GCM16 及 GCM32 Global Console Managers存在多个命令执行漏洞、IBM InfoSphere Information Server 用户枚举漏洞、IBM WebSphere Application Server 跨站请求伪造漏洞、IBM WebSphere Portal 未授权访问漏洞、IBM BladeCenter 高级管理模块 adv_sw.php 跨站脚本漏洞、IBM BladeCenter 高级管理模块 adv_sw.php 跨站脚本漏洞等。其中，“IBM 1754 GCM16 及 GCM32 Global Console Managers 存在多个命令执行漏洞”的综合评级为“高危”。厂商已发布了上述漏洞的修补程序。TRENDMICRO 提醒相关用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

 

3、Puppet 安全漏洞

Puppet 是帮助系统管理员管理基础架构的 IT 自动化软件。本周，该产品被披露存

在多个安全漏洞。远程攻击者利用漏洞可绕过安全限制，获取敏感信息。TRENDMICRO收录的相关漏洞包括：Puppet Enterprise会话劫持漏洞、Puppet Enterprise 会话处理本地安全绕过漏洞、Puppet Enterprise 存在多个信息泄露漏洞、Puppet Enterprise 信息泄露漏洞、Puppet Enterprise 安全绕过漏洞、Puppet Enterprise 会话拦截漏洞、Puppet Enterprise 密码泄露漏洞、Puppet Enterprise 输入验证漏洞等。厂商已发布上述漏洞的修补程序。TRENDMICRO 提醒相关用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

 

4、Drupal 模块安全漏洞

Drupal 是一款使用 PHP 语言开发的内容管理系统。本周，该产品的多个模块被披露存在多个漏洞，攻击者利用漏洞可绕过安全限制，获得敏感信息或执行未授权的操作。TRENDMICRO收录的相关漏洞包括：Drupal RESTful Web Services模块存在多个访问安全绕过漏洞、Drupal Entity API模块存在多个访问绕过漏洞、Drupal BOTCHA模块信息泄露漏洞、Drupal Password Policy模块存在多个跨站脚本漏洞。厂商已发布上述漏洞的修补程序。TRENDMICRO提醒相关用户尽快下载补丁更新，避免引发漏洞相关的网络安全事件。

 

5、phpVID 存在多个 SQL 注入漏洞

phpVID 是一款视频分享应用。本周，该产品被披露存在一个综合评级为“高危”的 SQL 注入漏洞。phpVID 包含的 browse_videos.php，groups.php 和 members.php 脚本未能正确过滤用户提交给'n', 'cat', 'n'参数的数据，攻击者利用漏洞可进行 SQL 注入攻击，获取数据库信息或控制应用系统。目前，互联网上已经出现了针对该漏洞的攻击代码，

厂商尚未发布该漏洞的修补程序。TRENDMICRO 提醒广大用户随时关注厂商主页以获取最新版本。

已查杀的病毒/恶意软件数：

 

已查杀的全部病毒、恶意软件摘要：

 

传染来源摘要：（N/A表示来自外网或无法识别）

 

被感染的目标（主机）摘要：

 

处理措拖结果摘要：

搜索引擎投毒这种攻击，能够利用搜索引擎来显示搜索结果，该结果包含着对交付恶意软件的网站的一个或多个引用。有多种方法可以执行搜索引擎投毒，其中包括控制流行网站、使用搜索引擎的“赞助”链接，其目的都是为了链接到恶意网站，进而注入恶意代码。

此外，攻击者通过操纵搜索引擎来返回搜索结果（该结果包含着对感染了跨站脚本的网站的引用），也可以实施搜索引擎投毒。受感染的网页将轻信的用户重新定向到恶意网站。在该用户点击这些链接时，其计算机就有可能感染恶意软件。这种伎俩很不一般，因为它并不要求攻击者控制或攻入任何服务器。

首先，攻击者搭建一台在收到请求后就交付恶意软件的服务器。可通过不同的方法来交付恶意软件，如通过一个能够利用浏览器漏洞的HTML页面或其它方法。

然后，攻击者获得一系列易于遭受跨站脚本攻击的URL。为了产生攻击效果，这些URL必须从搜索引擎给出的搜索结果中排名靠前的域名中取得。攻击者通常会通过搜索引擎查找一些专门伪造的搜索词，这些搜索词往往能够泄露特定漏洞的存在。

下一步，攻击者使用这些URL，根据有漏洞的URL创建大量的专门伪造的URL，其中包括目标关键词和一段能够与恶意软件交付服务器进行交互的脚本。

然后，攻击者获得一个支持简单用户内容生成的应用程序清单，如一些论坛程序。攻击者会用各种专门仿造的URL，使网页的内容泛滥，并有可能包含多个链接，并使其接受不同的应用程序。

此后，流行的搜索引擎在扫描整个web，就会选取专门伪造的URL，并跟踪这些URL，进而对这些网页进行索引。其结果是，目标关键词与专门伪造的URL发生了关联。由于攻击者选取了高优先级的域名作为开始，而且由于对这些URL的大量引用，受到“投毒”的搜索结果的排名当然就靠前了。

最后，搜索这些关键词且容易轻信的用户单击这些URL中的一个链接，其计算机便容易被感染恶意软件。

总之，搜索引擎投毒易于实施，却难被搜索引擎检测到。这种伎俩的目标是诱导无辜的搜索者到达恶意网站或欺诈网站。例如，攻击者利用机器人程序生成大量的用户名，在论坛上彼此发布拥有许多链接的帖子进行讨论，显得不亦乐乎。对搜索引擎来说，这倒是一个好事儿，既然有这么多用户牵涉进来，因而搜索引擎便把这种网页放在显赫的位置。在某个用户单击了其中的某个链接后，就会打开一个链接到色情或购物网站的网页。在用户再次单击后，该链接就会将恶意软件安装到用户的计算机上，进而对用户实施欺诈或其它犯罪活动。

攻击者以这种方式滥用网站可以导致企业的商誉和品牌受到破坏，丢失客户和潜在的访客。而且，这种攻击对网站的可访问性造成明显的负面影响，这会导致搜索引擎将URL引用标记为“有害”或“危险”，甚至被完全地从搜索索引中删除，从而使企业遭受严重的经济损失。

从管理层面来说，系统管理员可以使用一个具备“黑名单”功能的安全网关，截获被列入“黑名单”的网站上的所有通信，从而阻止一些不确定的或具有潜在威胁的URL分类，从而阻止搜索引擎投毒的危害。此外，保护好公司自己的网站（博客和用户论坛）也很重要，因为这样做就不会使其成为搜索引擎投毒的帮凶。保护Web应用程序免受XSS攻击可以防止这些网站被攻击者用作发动搜索引擎投毒的媒介。

从用户层面来说，防止搜索引擎投毒攻击要从提升搜索用户的认识水平开始。研究发现，虽然许多人已经理解在邮件中可能包含恶意软件，却并未认识到在上网搜索时，其搜索结果也有可能是不安全的。企业必须教育雇员不能访问色情、赌博等网站，在搜索信息时，要尽量使用知名网站上的URL。

仅有防火墙或反病毒软件对于防护动态变化的恶意软件及其灵活多变的交付方式是不够的。相反，企业需要实时的保护情报，基于云的Web防御可以快速地适应新的威胁，应当作为企业的首选方案。

说起Windows的日志,大家最熟悉的就是系统日志了,网上也有很多现成的工具来清除Windows的系统事件.而对于Windows系统防火墙的日志,可能都没怎么重视.也没有发现有专门清除防火墙日志的工具,虽然它只是一个txt文件。

 

本文将简单介绍一下windows自带防火墙的日志格式,通过实际案例(3389远程桌面和lcx转发内网端口),来说明通过防火墙日志分析入侵痕迹的方式.

 

防火墙的配置跟大多数防火墙类似,就不赘述了.默认情况下,防火墙的日志文件位于:

 

C:windowspfirewall.log

 

每个字段的含义如下,在pfirewall.log最开始有注释.

 

一次3389远程桌面的连接日志：

 

 

Ip地址都有。

 

 

lcx转发内网端口:192.168.31.205上执行 lcx.exe -slave 192.168.31.201 2222 192.168.31.110 3389

 

日志处理过,把中间一些其他无关的给过滤掉了.可以看到特征还是很明显的.会有两个连接到201的2222端口.有一个连接到110的3389端口,刚好夹在两个到2222端口的连接之间.从205的本地端口号可以很清晰的判断(2328,2329,2330).后面几行到201的2222端口,不断打开关闭是由于先结束掉了201上监听的lcx进程.这个特征也很明显.可以基于这些来判断端口被转发到的目的地址.

 

lcx转发本地端口:192.168.31.205上执行 lcx.exe -slave 192.168.31.201 2222 127.0.0.1 3389

 

同样,根据第一个案例,可以推断出.205上应该open3个连接.2个到201的2222端口.一个到127.0.0.1的3389端口.从日志中我们只看到了到201的2222端口,不过从端口号上可以看出,从2342到2344,中间的2343应该是被占用了.只是到127.0.0.1的3389端口,流量没有通过防火墙,没有被记录下来.从上面的分析可以看出.windows的自带的防火墙IP追踪方面还是有一些作用的.