一、 趋势系统使用情况
1.1三台服务器统计中毒排名在前的用户:
1) 10.10.7.222
2) 10.10.2.180
3) 10.10.2.181
1.2受感染用户前10名(总排行)
| 序号 | 计算机 | IP地址 | 病毒/恶意软件数 | 楼宇名 |
| 1 | TOSHIBA-PC | 10.14.26.121 | 75242 | 玉泉-教3 |
| 2 | DELL1950 | 10.10.14.3 | 49367 | 紫金港IDC机房 |
| 3 | DX-LT | 10.10.14.13 | 27223 | 紫金港IDC机房 |
| 4 | IBM1 | 10.10.14.10 | 19247 | 紫金港IDC机房 |
| 5 | WIN-98N0DLT7JH3 | 10.15.61.216 | 17349 | 玉泉-图书馆 |
| 6 | SVCTAG-GTHDL2X | 10.22.23.69 | 17327 | 西溪校网中心 |
| 7 | WIN-5N55P2RA3CI | 10.15.61.218 | 14306 | 玉泉-图书馆 |
| 8 | WIN-4VR05G5VPMD | 10.15.61.201 | 9812 | 玉泉-图书馆 |
| 9 | WIN-QFL7POT58QG | 10.15.61.219 | 9505 | 玉泉-图书馆 |
| 10 | WIN-M5IP909VK62 | 10.15.61.220 | 7799 | 玉泉-图书馆 |
注:排行靠前的玉泉-图书馆,紫金港IDC机房设备均为学校的服务器设备,因应用的需要而开启了文件共享。因此,难免病毒(WORM_DOWNAD病毒)利用文件共享频繁攻击这几台主机,导致趋势杀毒系统(Officescan)大量的查杀行为。
10.10.14.3主要查杀的是WORMDOWN类似的飞客病毒,服务器补丁都打上了。服务器都开着共享,所以是由网络中其它主机攻击造成,从查杀数来看属正常范围。而病毒也在攻击时被趋势杀毒系统(Officescan)全部查杀清除。服务器本身并未感染到病毒,目前,这几台服务器是安全的。
1.3受感染用户前10名(本月排行)
| 计算机 | IP地址 | 病毒/恶意软件数 | 楼宇名 | 处理措施 | |
| 1 | DELL1950 | 10.10.14.3 | 7278 | 紫金港IDC机房 | 清除成功 |
| 2 | DX-LT | 10.10.14.13 | 3972 | 紫金港IDC机房 | 清除成功 |
| 3 | SVCTAG-GTHDL2X | 10.22.23.69 | 3875 | 西溪校网中心 | 清除成功 |
| 4 | R510-15 | 10.78.18.208 | 2160 | | 清除成功 |
| 5 | LAB4051 | 10.71.149.5 | 619 | 紫金港-医学院教学中心 | 清除成功 |
| 6 | N/A | - | 120 | 无法识别的用户 | 清除成功 |
| 7 | ZJU | 10.12.11.184 | 73 | 玉泉-教3 | 清除成功 |
| 8 | 5DC196571FC5433 | 10.71.35.75 | 67 | 紫金港-生物实验楼 | 清除成功 |
| | HP530 | 10.71.92.251 | 51 | 图书信息中心C楼14层 | 清除成功 |
| | CHR01 | 192.168.1.100 | 48 | 推测为无线用户 | 清除成功 |
二、 安全简讯
2.1 10大活跃放码网站
网络病毒主要针对一些防护比较薄弱,特别是访问量较大的网站通过网页挂马的方式进行传播。当存在安全漏洞的用户主机访问了这些被黑客挂马的网站后,会经过多级跳转暗中连接黑客最终“放马”的站点下载网络病毒。2013 年 11 月,趋势监测发现排名前十的活跃放马站点域名和活跃放马站点 IP 如下表所示。
2.2 飞客蠕虫监测数据
2013 年 10 月,Trendmicro监测到全球互联网 1480 万余个主机IP 地址感染飞客蠕虫,按国家或地区分布感染数量排名前三位的分别是中国大陆、印度、巴西。
境内感染飞客蠕虫的主机 IP 为近 144 万个,按地区分布感染数量排名前三位的分别是广东省、浙江省、江苏省。
2.3本月重要的安全漏洞
1、Apache 产品安全漏洞
Apache Roller 是一款多用户的群组 Blog 服务器;Apache Solr 是一个开源的搜索服务器;Apache Subversion 是一款开源控制系统。本周,上述产品被披露存在多个安全漏洞,攻击者利用漏洞可使进程崩溃,执行任意代码。
趋势 收录的相关漏洞包括:Apache Roller OGNL 表达式注入远程代码执行漏洞、Apache Solr 'SolrResourceLoader'目录遍历漏洞、Apache Subversion mod_dontdothat 路径匹配安全绕过漏洞、Apache Subversion 'mod_dav_svn'特制请求处理 httpd 进程拒绝服务漏洞。其中,“Apache Roller OGNL 表达式注入远程代码执行漏洞”的综合评级为“高危”。厂商已经发布了上述漏洞的修补程序。趋势 提醒用户及时下载补丁更新,避免引发漏洞相关的安全事件。。
2、ABB 产品安全漏洞
ABB MicroSCADA 是用于变电站控制的自动化软件;RobotWare DieCast 是一款专为简化编程而开发的软件产品,用于配套 ABB 上下料与后处理机器人的操作;ABB Test Signal Viewer 是软件通知器。本周,上述产品被披露存在多个安全漏洞,攻击者利用漏洞可使应用程序崩溃,执行任意代码。
趋势 收录的相关漏洞包括:ABB Test Signal Viewer CWGraph3D ActiveX 控件远ABB MicroSCADA 是用于变电站控制的自动化软件;RobotWare DieCast 是一款专为简化编程而开发的软件产品,用于配套 ABB 上下料与后处理机器人的操作;ABB Test Signal Viewer 是软件通知器。本周,上述产品被披露存在多个安全漏洞,攻击者利用漏洞可使应用程序崩溃,执行任意代码。
3、IBM 产品安全漏洞
IBM QRadar 通过监控及关联日志和流量来识别异常行为,可把散布于整个网路上、数以千计的装置端点与应用程式中的日志来源事件资料加以合并;IBM InfoSphereTM Master Data Management Server 是 IBM 提供的一种操作 MDM 解决方案;IBM Sterling Order Management 支持用户与供应商协作并优化复杂的订单执行流程;IBM Rational Performance Tester 是一种用来验证 Web 和服务器应用程序可扩展性的性能测试解决方案。本周,上述产品被披露存在多个安全漏洞,攻击者利用漏洞可获得敏感信息,劫持用户会话。
趋势 收录的相关漏洞包括:IBM QRadar Security Information and Event Manager远程安全绕过漏洞、IBM QRadar Security Information and Event Manager 存在未明跨站脚本漏洞、IBM QRadar Security Information and Event Manager IP 信息跨站脚本漏洞、IBM InfoSphere Master Data Management Collaboration Server 跨站脚本漏洞、IBM Sterling Order Management 跨站脚本漏洞、IBM Rational Performance Tester 文件访问信息泄露漏洞。其中,“IBM QRadar Security Information and Event Manager 远程安全绕过漏洞”的综合评级为“高危”。厂商已经发布了上述漏洞的修补程序。趋势 提醒用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
5、Cisco产品漏洞
Cisco IOS 是多数思科系统路由器和网络交换机上使用的互联网络操作系统;Cisco Wireless LAN Controller 负责全系统的无线 LAN 功能;Cisco Prime Network Registrar 是一款集成、可扩展的可靠域名系统(DNS)、动态主机配置协议(DHCP)和适用于 IPv4 和IPv6 的 IP 地址管理(IPAM)服务的解决方案。本周,上述产品被披露存在多个漏洞,攻击者利用漏洞可绕过获得敏感信息,使设备重载,导致拒绝服务攻击。
趋势 收录的相关漏洞包括:Cisco IOS MLDP 远程拒绝服务漏洞、Cisco IOS XE AAA DHCP 远程拒绝服务漏洞、Cisco IOS IPSec MTU 远程拒绝服务漏洞、Cisco Wireless LAN Controller(WLC)点击劫持漏洞、Cisco Wireless LAN Controller (WLC) CAPWAP 消息处理拒绝服务漏洞、Cisco Prime Network Registrar Web 接口跨站脚本漏洞。厂商已发布了上述漏洞的修补程序。趋势 提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。。
2.3 截止至本月的各查杀统计表
已查杀的病毒/恶意软件数:
已查杀的全部病毒、恶意软件摘要:
传染来源摘要:(N/A表示来自外网或无法识别)
被感染的目标(主机)摘要:
处理措拖结果摘要:
三、 计算机病毒常用防范知识
3.1 如何应对PDF漏洞
2010年早期,PDF漏洞利用还是最常见的恶意软件伎俩之一。年中时,漏洞利用的头把交椅被Java漏洞占据。尽管这样,PDF仍是极受“欢迎”的攻击目标。对于运行PDF软件(Adobe Reader及其商业版本Acrobat)的企业来说,这些攻击导致了几乎无止境的软件更新。为什么恶意软件的作者喜欢利用PDF漏洞?如何使自己避免成为其受害者?
原因分析
1、低垂的果实:PDF的漏洞利用如此猖狂的一个原因在于Adobe Reader的应用非常普遍。由于数据执行预防(DEP)和地址空间布局随机化(ASLR)等强化技术已经进入了Windows领域,这使得操作系统的漏洞利用不再那么有吸引力。恶意软件的编写者需要更肥沃的土壤,而PDF由于应用广泛而受到关注。几乎每台电脑都要安装PDF阅读器,这成为恶意软件作者最喜爱的乐土之一。
2、“简捷的”漏洞利用:事实上,可以利用PDF漏洞的恶意软件工具是很容易得到的,几乎不需要什么努力或费用就可以得到这种工具。如LuckySploit、 CrimePack、 Fragus等恶意工具,在国内外不少网站上可以买到或下载。如今,多数新的恶意软件工具套件包括Adobe Flash、 Java、基于PDF的漏洞利用等。这些套件可以轻松地利用Adobe Reader的一些著名漏洞,实施自动化攻击。
3、巨大的攻击面:PDF是一种工业标准的便携式文档格式,许多免费和商业软件都支持此格式。而Adobe Reader和Acrobat产品是其中的宠儿。这使得PDF成为文档交换的一种“统一语言”,但同时也意味着一种巨大的攻击面,Adobe和反恶意软件厂商在防御过程中困难重重。例如,Adobe Reader支持嵌入式Javascript对象,因而恶意软件作者又可以展开新的攻击。
有些用户仍然运行着Adobe Reader 8.0或更低的版本,认为自己的软件支持自动更新并安装了所有的可用补丁。但用户应当迁移到Reader X,这样就可以成功避免针对老版本的漏洞利用。
4、斗争远没有结束:去年,Adobe采取了许多措施来减少PDF漏洞利用。除了自动更新,Adobe还开发了一种Adobe Reader受保护模式。这是一种沙箱技术,可以在其中打开并显示PDF文档,限制恶意软件对其它应用程序的调用,并运用策略来决定自动准许或阻止行动。不幸的是,用户往往会单击“确定”,从而使这些保护失效。虽然用户现在也许认识到,PDF可用于实现钓鱼,许多人仍然不认为PDF会成为恶意软件的温床。攻击者们继续搜索新的漏洞,或新的方法来逃避检测。例如,ROP和窃取数字证书在PDF漏洞利用中就扮演过角色。
管理员们可能知道如何通过扫描和过滤来监视其它的攻击形式,但减少PDF的漏洞利用却有不少困难。几乎没有哪家企业愿意简单地阻止PDF附件及其下载,合法的PDF极其普遍,并在商业惯例中根深蒂固。然而,雇员们仍可以采取措施防御已知的漏洞利用。
应对刻不容缓
你首先需要将每个桌面的Adobe Reader或Acrobat升级到最新的版本,并启用自动更新,还要进行安全配置,例如,禁用Javascript,如下图所示:
禁用Javascript
企业还可以考虑使用其它的PDF阅读器,这样做也许可以减少攻击面,要考虑自由软件阅读器的合法性、安全性、互用性。企业必须监视PDF阅读器的漏洞,要确保根据优先级别及时应用补丁,例如,一个月检查一次,从时间上讲就显得太长。
最后,要教育经理主管人员和其它员工,并告知他们常常是钓鱼攻击的目标,以及PDF可能导致的风险。
3.2 常见病毒处理方法-ARP欺骗和WPA2最新漏洞利用分析指南
最近一篇《WPA2无线安全协议发现惊天漏洞!》文章被疯狂转载,其原因都来自于AirTight的言论:由于一个被忽视的漏洞,WPA2“外强中干”,攻击者可以破解用WPA2加密的数据通信。果真如此令人恐慌吗?
我们的回答是:也许还不到紧张的时候,其依据便是我们不能仅根据AirTight的试验所获得的有限信息就下结论。如今Wi-Fi联盟还没有对此作出响应。Wi-Fi联盟的一位发言人指出,他们正在等待来自在拉斯维加斯举行的黑帽大会的有关细节。
802.11的安全专家Gast认为,在这一点上,AirTight的漏洞利用应该是一个地址解析协议欺骗,即ARP欺骗,是一种“中间人攻击”。根据维基百科的解释可以作如下理解:一般说来,ARP欺骗的目标是将攻击者的MAC地址与另外一个节点的IP地址(如默认网关)关联起来。任何发往这个IP地址的通信都会被发往攻击者的计算机。
根据Gast的描述,这看起来就是在AirTight的漏洞利用中所发生的问题。他说, ARP欺骗发生于攻击者重写路由器的MAC地址时,为此,ARP欺骗者就得假冒为AP接入点。你可以认为攻击者有两个要件,因为你同时在第二层(Wi-Fi)和第三层(IP/ARP)操作。第三层的要件容易理解,第2层要件正是你在Wi-Fi上传输第三层攻击的方式。
ARP欺骗并非WPA2独有。Gast说,“如果你用一台交换机来替换无线接入点,并用以太网电缆替换所有的无线连接,AirTight还会发生。”
其次,在这种漏洞利用中,攻击者必须是无线网络上的一个授权用户,而不是某个过路人,而且攻击者和受害者必须连接到相同的WLAN,相同接入点上的同样的SSID。
第三,根据Gast的解释,攻击者并不会真正恢复、破解任何WPA2密钥。用户应当确保在接入点AP中打开“客户端隔离(client isolation)”选项。如果打开了,就能够挫败攻击。
什么是客户端隔离(client isolation)呢?此功能会阻止连接到相同接入点AP的两个无线客户端彼此通信,因为这种通信对于这种攻击的成功是至关重要的。根据Gast的说法,几乎所有的WLAN厂商都实现了此功能。
这种攻击是如何进行的?
对于这个问题,我们只能进行有充分的猜测。你可以设想一个WLAN接入点,它连接到一个公司网络。一个经授权的无线客户端,比方说一台类似于受害者的笔记本电脑,它像平常一样连接到接入点。再假定有另外一个客户端,即攻击者,他也作为一个完全合法的用户(例如,一位雇员)连接到了同样的接入点AP。
如同受害者一样,攻击者也通过正常的授权过程,并拥有两套加密密钥。其中一套密钥称为成对临时密钥(PTK),它仅用于一个客户端和接入点AP之间,以验证传输。另外一个密钥是组临时密钥(GTK),在接入点AP和与之相关联的所有客户端之间就共享此密钥,用于验证广播消息。
下一步会发生什么?
Gast认为,基本的攻击仍是ARP欺骗所导致的数据通信的重定向。攻击者能够重定向通信的唯一理由是因为他真正利用了的ARP的这种基本的信任属性。也就是说,攻击者装扮成AP,而受害者也将其看作AP。
下一步,攻击者说,我有一个新的默认路由器供你使用,这实际上就是攻击者的设备。
受害者设备接受了这种改变。它发出去的下一帧如同平常一样都发往了真正的接入点,在这里对数据进行了加密,在受害者和接入点AP之间也有密钥对共享。然后,接入点AP说,我有一个帧以及此帧的目的地,我要将此帧发往目的地。但是,这次目的地成为了攻击者,即受害者的“新的默认路由器”。
WPA2仍是安全的,到现在为止,攻击者仍没有办法阅读在受害者与AP之间的加密信息。
攻击者如何利用
接入点使用与攻击者(攻击者的设备在网络上是一个被认可的设备)相关联的合法密钥对,用以对受害者所接收的帧进行加密,并将其发送给被认为是合法的目的地(实际上当然是非法的)。
攻击者接收了这个帧,就可以对其中的信息进行解密,因为在它最初获得授权时,就已经拥有了合法的密钥,即从接入点AP那里获得的密钥。
如果攻击者足够聪明,就会真正地模仿路由器,用来延误检测。例如,受害者请求www.ctocio.com,攻击者就可以找到这一页,并将其交给受害者。如果攻击者不这样做,从受害者的角度看,就是自己的无线网停止工作了。
如何减轻危害?
这种攻击的性质是在一个MAC地址那里就关联着多个IP地址。 Gast相信在许多入侵检测系统(IDS)中将发出警告。与MAC地址相联系的是一个用户ID。
对抗这种攻击的直接技术措施就是使用接入点的客户端隔离属性:即接入点AP不让受害者与攻击者通信。Gast认为,从受害者的方面看,网络连接发生了故障,攻击者的“特征”仍将保留。
Gast认为,这种攻击的范围有限。攻击者要求共享加密密钥,在虚拟接入点之间(也称为BSSID),密钥是不共享的,所以这种攻击仅发生在与同一个AP上相同SSID相连接的客户端上。
与此类似,将不同的用户组进行分段,将其划分到不同的虚拟WLAN中,这会阻止某个组中的任何人使用这种攻击对付其它组的成员。假设大学教授和员工在一个BSSID组上,而学生们在第二个组上,访问者在第三个组上。如此,学生们将无法利用AirTight漏洞来攻击教授组。
最后一点,我们期望在这个漏洞利用的细节被公布之后,WLAN的厂商能够快速做出响应,以解决这个问题。
四、 技术交流
欢迎老师和同学们前来交流问题,多提建议,希望下期简报内容更加接近大家的需求。
咨询服务电话:87951669
工程师联系方式:
13588277982 章荣伟
评分:
©2004-2020 浙江大学 浙ICP备05074421号-1 浙公网安备33010602010295
联系:0571-87951669 / E-mail:xwmaster@zju.edu.cn / 地址:中国 杭州 / 邮编:310027