目 录 1 本 周 漏 洞 通 告... 1 1.1 漏 洞 一 :IBM AppScan Source 拒 绝 服 务 漏 洞... 1 1.2 漏 洞 二 : 多 款 Citrix 产 品 安 全 绕 过 漏 洞... 2 1.3 漏 洞 三 :PostgreSQL 远 程 代 码 执 行 漏

北 京 安 域 领 创 科 技 有 限 公 司 安 全 服 务 通 告 报 告 周 期 :2016 年 8 月 第 三 周 (2016 年 8 月 15 日 -8 月 21)

目 录 1 本 周 漏 洞 通 告... 1 1.1 漏 洞 一 :IBM AppScan Source 拒 绝 服 务 漏 洞... 1 1.2 漏 洞 二 : 多 款 Citrix 产 品 安 全 绕 过 漏 洞... 2 1.3 漏 洞 三 :PostgreSQL 远 程 代 码 执 行 漏 洞 及 本 地 提 权 漏 洞... 3 1.4 漏 洞 四 :Zabbix 存 在 SQL 注 入 漏 洞... 4 1.5 漏 洞 五 : jquery 跨 站 脚 本 漏 洞... 5 2 本 周 病 毒 木 马 通 告... 6 2.1 本 周 流 行 病 毒 木 马 统 计... 6 2.1.1 Trojan.Win32.VBCode.fio( 木 马 病 毒 )... 6 2.1.2 Trojan.Win32.Fednu.rr( 木 马 病 毒 )... 6 2.1.3 Backdoor.Win32.Mydoom.d( 后 门 病 毒 )... 6 2.2 病 毒 木 马 防 范 措 施... 7 3 安 全 事 件 通 告... 8 3.1 本 周 国 内 外 安 全 事 件 通 告... 8 3.1.1 大 众 曝 漏 洞 :1 亿 大 众 汽 车 门 锁 可 被 远 程 打 开... 8 3.1.2 漏 洞 预 警 :zabbix 再 爆 高 危 SQL 注 入 漏 洞, 可 获 操 作 系 统 权 限... 11 3.1.3 火 狐 Chrome 皆 中 招 : 针 对 主 流 浏 览 器 的 网 址 欺 诈 漏 洞... 13 3.1.4 卡 巴 斯 基 表 示 NSA 被 泄 露 的 恶 意 软 件 的 确 真 实 存 在... 15 3.1.5 食 尸 鬼 行 动 攻 击 30 多 个 国 家 超 过 130 家 企 业 包 括 中 国... 17 3.1.6 14 亿 Android 设 备 受 Linux TCP 漏 洞 的 影 响... 21 4 紧 急 预 警 通 知... 23

4.1 zabbix 存 在 SQL 注 入 高 危 漏 洞... 23 4.1.1 漏 洞 情 况 分 析... 23 4.1.2 漏 洞 影 响 范 围... 23 4.1.3 漏 洞 修 复 建 议... 24

1 本 周 漏 洞 通 告 1.1 漏 洞 一 :IBM AppScan Source 拒 绝 服 务 漏 洞 发 布 时 间 2016-08-16 更 新 时 间 2016-08-16 CNVD-ID 漏 洞 危 害 级 别 CNVD-2016-06349 中 危 IBM Security AppScan Source 8.8 影 响 产 品 IBM Security AppScan Source 9.0.0.1 IBM Security AppScan Source 9.0.1 IBM Security AppScan Source 9.0.2 IBM Security AppScan 产 品 系 列 是 IBM 安 全 框 架 解 决 方 案 中 应 用 安 全 的 一 个 重 要 部 分, 可 以 实 现 对 Web 应 用 安 漏 洞 描 述 全 漏 洞 的 动 态 扫 描 代 码 静 态 分 析, 以 及 针 对 已 上 线 的 系 统 做 Web 安 全 攻 击 测 试 IBM AppScan Source 存 在 安 全 漏 洞, 允 许 远 程 攻 击 者 利 用 此 漏 洞 来 获 取 敏 感 信 息 目 前 厂 商 已 经 发 布 了 更 新, 详 情 请 关 注 厂 商 主 页 或 有 关 网 漏 洞 解 决 方 案 址 : http://www.ibm.com/us-en/ 1

1.2 漏 洞 二 : 多 款 Citrix 产 品 安 全 绕 过 漏 洞 发 布 时 间 2016-08-16 更 新 时 间 2016-08-16 CNVD-ID 漏 洞 危 害 级 别 CNVD-2016-06350 中 危 Citrix XenApp 7.*,<=7.8 版 本 影 响 产 品 Citrix XenApp XenApp 6.*,<=6.5 版 本 Citrix XenDesktop <=7.8 Citrix XenDesktop 等 都 是 美 国 思 杰 系 统 ( Citrix Systems) 公 司 的 产 品 Citrix XenDesktop 是 一 套 桌 面 漏 洞 描 述 虚 拟 化 解 决 方 案 ;Citrix XenApp 是 一 套 按 需 应 用 交 付 解 决 方 案 多 款 Citrix 产 品 中 存 在 安 全 绕 过 漏 洞 攻 击 者 可 利 用 该 漏 洞 绕 过 安 全 措 施 漏 洞 解 决 方 案 用 户 可 参 考 如 下 厂 商 提 供 的 安 全 补 丁 以 修 复 该 漏 洞 : http://support.citrix.com/article/ctx215460 2

1.3 漏 洞 三 :PostgreSQL 远 程 代 码 执 行 漏 洞 及 本 地 提 权 漏 洞 发 布 时 间 2016-08-16 更 新 时 间 2016-08-16 CNVD-ID 漏 洞 危 害 级 别 影 响 产 品 CNVD-2016-06327( 远 程 代 码 执 行 ) CNVD-2016-06328( 本 地 提 权 漏 洞 ) 高 危 PostgreSQL Postgresql PostgreSQL 是 PostgreSQL 开 发 组 所 研 发 的 一 套 自 由 的 对 象 关 系 型 数 据 库 管 理 系 统 该 系 统 支 持 大 部 分 SQL 标 准 漏 洞 描 述 并 且 提 供 了 许 多 其 他 特 性, 例 如 外 键 触 发 器 视 图 等 PostgreSQL 中 存 在 远 程 代 码 执 行 漏 洞 攻 击 者 可 利 用 该 漏 洞 执 行 任 意 代 码, 或 使 受 影 响 的 应 用 程 序 崩 溃, 造 成 拒 绝 服 务 目 前 厂 商 已 经 发 布 了 升 级 补 丁 以 修 复 此 安 全 问 题, 补 丁 获 漏 洞 解 决 方 案 取 链 接 : https://www.postgresql.org/about/news/1688/ https://www.postgresql.org/about/news/1688/ 3

1.4 漏 洞 四 :Zabbix 存 在 SQL 注 入 漏 洞 发 布 时 间 2016-08-18 更 新 时 间 2016-08-18 CNVD-ID 漏 洞 危 害 级 别 CNVD-2016-06408 高 危 影 响 产 品 Zabbix Zabbix 3.0.x Zabbix Zabbix 2.2.13 zabbix 是 一 个 开 源 的 企 业 级 性 能 监 控 解 决 方 案 zabbix 的 jsrpc 中 profileidx2 参 数 存 在 insert 方 式 的 漏 洞 描 述 SQL 注 入 漏 洞 攻 击 者 无 需 授 权 即 可 登 录 zabbix 管 理 系 统, 也 可 通 过 script 等 功 能 直 接 获 取 zabbix 服 务 器 的 操 作 权 限 漏 洞 解 决 方 案 用 户 可 参 考 如 下 厂 商 提 供 的 安 全 补 丁 以 修 复 该 漏 洞 : http://www.zabbix.com/download.php 4

1.5 漏 洞 五 : jquery 跨 站 脚 本 漏 洞 发 布 时 间 2016-08-19 更 新 时 间 2016-08-19 CNVD-ID 漏 洞 危 害 级 别 CNVD-2016-06416 中 危 影 响 产 品 jquery jquery 1.6.3 jquery 是 美 国 程 序 员 John Resig 所 研 发 的 一 套 开 源 跨 浏 览 器 的 JavaScript 库 该 库 简 化 了 HTML 与 JavaScript 漏 洞 描 述 之 间 的 操 作, 并 具 有 模 块 化 插 件 扩 展 等 特 点 jquery 1.6.3 之 前 版 本 中 存 在 跨 站 脚 本 漏 洞 当 使 用 location.hash 选 择 元 素 时, 通 过 特 制 的 标 签, 远 程 攻 击 者 利 用 该 漏 洞 注 入 任 意 web 脚 本 或 HTML 目 前 厂 商 已 经 发 布 了 升 级 补 丁 以 修 复 此 安 全 问 题, 补 丁 获 漏 洞 解 决 方 案 取 链 接 : http://www.ubuntu.com/usn/usn-1722-1/ 5

2 本 周 病 毒 木 马 通 告 2.1 本 周 流 行 病 毒 木 马 统 计 2.1.1 Trojan.Win32.VBCode.fio( 木 马 病 毒 ) 病 毒 危 险 级 别 : 病 毒 运 行 后 查 找 主 流 杀 毒 软 件 进 程, 并 尝 试 将 其 结 束 同 时 病 毒 还 将 修 改 用 户 的 注 册 表, 以 便 实 现 开 机 自 启 动 除 此 之 外, 该 病 毒 还 在 后 台 连 接 黑 客 指 定 网 址, 并 为 恶 意 网 址 刷 流 量, 占 用 大 量 网 络 资 源 用 户 一 旦 中 毒, 有 可 能 出 现 网 络 拥 堵 等 现 象 2.1.2 Trojan.Win32.Fednu.rr( 木 马 病 毒 ) 病 毒 危 险 级 别 : 病 毒 通 过 系 统 关 键 位 置 释 放 大 量 恶 意 软 件 或 者 劫 持 原 系 统 文 件, 供 恶 意 软 件 加 载 等 形 式, 并 命 名 为 系 统 文 件 名 字, 具 有 迷 惑 性, 然 后 修 改 属 性 为 隐 藏, 设 置 服 务 自 启 动 从 而 借 助 用 户 主 动 下 载 QQ 等 即 时 通 讯 工 具 释 放 大 量 恶 意 软 件 2.1.3 Backdoor.Win32.Mydoom.d( 后 门 病 毒 ) 病 毒 危 险 级 别 : 病 毒 运 行 后 查 找 主 流 杀 毒 软 件 进 程, 并 尝 试 将 其 结 束 同 时 病 毒 还 将 修 改 用 户 的 注 册 表, 以 便 实 现 开 机 自 启 动 除 此 之 外, 该 病 毒 还 在 后 台 连 接 黑 客 指 定 网 址, 并 为 恶 意 网 址 刷 流 量, 占 用 大 量 网 络 资 源 用 户 一 旦 中 毒, 有 可 能 出 现 网 络 拥 堵 等 现 象 6

2.2 病 毒 木 马 防 范 措 施 针 对 出 现 的 计 算 机 病 毒, 我 们 可 以 采 用 以 下 的 措 施 进 行 防 护 : 安 装 正 版 防 病 毒 软 件, 并 及 时 进 行 升 级, 不 使 用 盗 版 或 者 来 历 不 明 的 软 件, 特 别 不 能 使 用 盗 版 的 杀 毒 软 件, 对 未 知 程 序 要 使 用 查 毒 软 件 进 行 检 查, 未 经 检 查 的 可 执 行 文 件 不 能 拷 入 硬 盘, 更 不 能 使 用, 将 硬 盘 引 导 区 和 主 引 导 扇 区 备 份 下 来, 并 经 常 对 重 要 数 据 进 行 备 份 当 计 算 机 屏 幕 出 现 一 些 无 意 义 的 显 示 画 面 或 异 常 的 提 示 信 息 屏 幕 出 现 异 常 滚 动 而 与 行 同 步 无 关 系 统 出 现 异 常 死 机 和 重 启 动 现 象 系 统 不 承 认 硬 盘 或 硬 盘 不 能 引 导 系 统 计 算 机 自 动 产 生 鸣 叫 系 统 引 导 或 程 序 装 入 时 速 度 明 显 减 慢, 或 异 常 要 求 用 户 输 入 口 令 文 件 或 数 据 无 故 地 丢 失, 或 文 件 长 度 自 动 发 生 了 变 化 磁 盘 出 现 坏 簇 或 可 用 空 间 变 小, 或 不 识 别 磁 盘 设 备 编 辑 文 本 文 件 时, 频 繁 地 自 动 存 盘 等 现 象 时, 使 用 反 病 毒 软 件 进 行 检 测 发 现 病 毒 立 即 清 除, 将 病 毒 危 害 减 小 到 最 小 限 度 备 份 硬 盘 引 导 区 和 主 引 导 扇 区 的 数 据, 经 常 对 重 要 的 数 据 进 行 备 份 定 期 给 系 统 打 补 丁, 将 系 统 补 丁 升 级 至 最 新 对 插 入 电 脑 的 光 盘,u 盘 进 行 杀 毒 后 再 运 行 禁 止 访 问 不 良 网 页, 或 打 开 非 法 链 接 的 邮 件 关 闭 系 统 不 使 用 的 端 口 服 务, 如 3389,23 135 445 139 等 7

3 安 全 事 件 通 告 3.1 本 周 国 内 外 安 全 事 件 通 告 3.1.1 大 众 曝 漏 洞 :1 亿 大 众 汽 车 门 锁 可 被 远 程 打 开 据 最 新 的 研 究, 利 用 大 约 1 亿 辆 大 众 汽 车 共 同 存 在 的 漏 洞 可 以 让 小 偷 远 程 通 过 无 线 信 号 打 开 大 众 汽 车 的 车 门 当 你 下 次 把 车 停 放 在 停 车 场 的 时 候, 请 确 保 你 的 贵 重 物 品 没 有 放 在 车 厢 内, 尤 其 你 的 车 是 辆 大 众 汽 车 很 让 人 担 忧 对 吧? 这 种 新 的 攻 击 手 法 几 乎 适 用 于 所 有 1995 年 之 后 生 产 的 大 众 汽 车 目 前, 在 每 一 辆 大 众 集 团 销 售 的 汽 车 都 存 在 两 个 不 同 的 漏 洞, 包 括 奥 迪 斯 柯 达 菲 亚 特 雪 铁 龙 福 特 和 标 致 第 一 次 攻 击 : 使 用 基 于 射 频 通 信 的 Arduino( 成 本 约 40 美 元 ) 你 的 第 一 次 攻 击 可 以 使 用 廉 价 的 无 线 设 备, 虽 然 是 一 个 造 价 约 40 美 元 的 小 小 控 制 板 和 无 线 接 收 机, 但 是 它 们 搭 配 在 一 起 能 够 用 滚 动 码 监 听 和 记 录 无 钥 匙 进 入 系 统 8

代 码 的 值 包 括 汽 车 车 主 每 次 按 下 钥 匙 所 发 送 的 信 号, 然 后 模 仿 这 串 信 号, 每 辆 汽 车 都 拥 有 独 一 无 二 的 代 码 值 接 下 来, 研 究 人 员 设 法 逆 向 在 大 众 网 络 里 的 一 个 组 成 部 分, 提 取 出 了 一 个 密 钥, 这 是 大 众 数 百 万 辆 汽 车 共 享 的 密 钥 现 在, 结 合 这 两 个 密 钥, 研 究 人 员 能 够 复 制 钥 匙 并 且 进 入 汽 车 内 获 得 这 钥 匙 的 关 键, 只 在 于 攻 击 者 窃 听 目 标 车 主 远 程 控 制 的 一 次 信 号 研 究 人 员 在 他 们 的 论 文 中 写 道 然 后, 他 可 以 解 密 这 个 信 号, 获 取 当 前 的 UID 和 计 数 器 的 值, 并 且 创 建 一 个 可 以 任 意 遥 控 锁 定 或 解 锁 目 标 车 门 的 克 隆 钥 匙 虽 然 这 支 团 队 没 有 公 布 他 们 用 来 预 防 这 个 漏 洞 的 关 键 要 素, 但 是 他 们 告 诫 道, 如 果 经 验 老 道 的 黑 客 发 现 和 散 布 了 这 些 共 享 密 钥, 每 个 人 都 可 以 偷 走 数 千 万 辆 汽 车 在 过 去 的 20 年 里, 在 大 众 售 出 的 1 亿 辆 汽 车 中 只 有 四 个 常 见 的 密 钥, 只 有 最 新 的 大 众 GOLF 7 和 其 他 品 牌 不 受 这 个 漏 洞 的 影 响 第 二 次 攻 击 : 使 用 HiTag2 和 无 线 电 装 置 在 60 秒 内 成 功 劫 持 第 二 次 攻 击, 这 支 团 队 设 法 破 解 HiTag2 加 密 方 案 应 用 在 数 百 万 辆 大 众 车 的 有 几 十 年 历 史 的 滚 动 码 老 方 案, 其 中 包 括 Alfa Romeo 雪 佛 兰 标 致 欧 宝 雷 诺 蓝 旗 亚 和 福 特 所 有 的 攻 击 者 进 行 这 种 攻 击, 需 要 的 只 是 一 个 类 似 用 于 上 面 第 一 次 攻 击 的 无 线 电 装 置 利 用 无 线 电 装 置, 研 究 人 员 能 够 拦 截 和 读 取 从 司 机 钥 匙 发 出 的 一 个 字 符 串 的 编 码 信 号 ( 每 次 按 键 时 滚 动 码 都 会 不 可 预 测 地 变 化 ) 随 着 滚 动 码 的 持 续 采 集, 研 究 人 员 发 现 一 个 存 在 于 HiTag2 方 案 的 缺 陷 能 帮 助 他 们 在 一 分 钟 内 成 功 破 解 出 加 密 密 钥 9

总 结 由 于 上 述 两 次 攻 击 都 是 专 注 在 解 锁 车 门 而 不 是 偷 走 汽 车, 首 席 研 究 员 Flavio Garcia 告 诉 我, 这 些 攻 击 手 法 可 能 会 被 黑 客 结 合 HiTag2Megamos 防 盗 系 统 已 经 暴 露 的 漏 洞, 偷 走 数 百 万 的 大 众 汽 车 这 已 经 不 是 这 支 团 队 第 一 次 针 对 大 众 的 漏 洞 了, 他 们 在 2013 年 发 现 了 一 种 未 授 权 启 动 汽 车 的 方 法, 但 是 他 们 后 来 不 得 不 搁 置 他 们 的 发 现, 因 为 大 众 集 团 威 胁 说 要 起 诉 他 们 拓 展 汽 车 黑 客 也 是 最 近 的 一 个 热 门 话 题, 最 近, 安 全 研 究 员 Benjamin Kunz Mejri 披 露 了 存 在 于 宝 马 官 网 域 名 的 零 日 漏 洞 以 及 宝 马 ConnectedDrive 门 户 允 许 攻 击 者 远 程 篡 改 的 设 计 缺 陷 先 前 的 研 究 也 表 明 黑 客 有 能 力 黑 掉 汽 车 并 且 远 程 控 制 它 的 转 向 和 刹 车, 或 者 是 使 汽 车 的 某 些 关 键 功 能 失 效, 就 例 如 汽 车 的 安 全 气 囊 10

3.1.2 漏 洞 预 警 :zabbix 再 爆 高 危 SQL 注 入 漏 洞, 可 获 操 作 系 统 权 限 漏 洞 概 述 zabbix 是 一 个 开 源 的 企 业 级 性 能 监 控 解 决 方 案 近 日,zabbix 的 jsrpc 的 profileidx2 参 数 存 在 insert 方 式 的 SQL 注 入 漏 洞, 攻 击 者 无 需 授 权 登 陆 即 可 登 陆 zabbix 管 理 系 统, 也 可 通 过 script 等 功 能 轻 易 直 接 获 取 zabbix 服 务 器 的 操 作 系 统 权 限 但 是 无 需 登 录 注 入 这 里 有 个 前 提, 就 是 zabbix 开 启 了 guest 权 限 而 在 zabbix 中, guest 的 默 认 密 码 为 空 需 要 有 这 个 条 件 的 支 持 才 可 以 进 行 无 权 限 注 入 官 方 网 站 : http://www.zabbix.com 影 响 程 度 攻 击 成 本 : 低 危 害 程 度 : 高 是 否 登 陆 : 不 需 要 11

影 响 范 围 :2.2.x, 3.0.0-3.0.3 ( 其 他 版 本 未 经 测 试 ) 漏 洞 测 试 在 您 的 zabbix 的 地 址 后 面 加 上 如 下 url: jsrpc.php?type=9&method=screen.get&timestamp=1471403798083&pag efile=history.php&profileidx=web.item.graph&profileidx2=1+or+u pdatexml(1,md5(0x11),1)+or+1=1)%23&updateprofile=true&period=3 600&stime=20160817050632&resourcetype=17 输 出 结 果, 如 下 表 示 漏 洞 存 在 : 补 充 以 上 为 仅 为 漏 洞 验 证 测 试 方 式 攻 击 者 可 以 通 过 进 一 步 构 造 语 句 进 行 错 误 型 sql 注 射, 无 需 获 取 和 破 解 加 密 的 管 理 员 密 码 有 经 验 的 攻 击 者 可 以 直 接 通 过 获 取 admin 的 sessionid 来 根 据 结 构 算 法 构 造 sid, 替 换 cookie 直 接 以 管 理 员 身 份 登 陆 修 复 方 案 尽 快 升 级 到 最 新 版, 据 说 3.0.4 版 本 已 经 修 补 安 全 提 示 监 控 系 统 监 控 着 每 个 企 业 的 核 心 资 产, 一 旦 被 黑 客 入 侵 控 制, 等 同 帮 助 黑 客 进 一 步 12

渗 透 企 业 敞 开 了 大 门 请 大 家 务 必 重 视, 并 尽 快 修 补 此 漏 洞 漏 洞 报 告 详 情 :http://seclists.org/fulldisclosure/2016/aug/82 3.1.3 火 狐 Chrome 皆 中 招 : 针 对 主 流 浏 览 器 的 网 址 欺 诈 漏 洞 研 究 员 Rafay Baloch 昨 天 披 露 了 漏 洞 的 细 节, 他 曾 在 今 年 3 月 新 加 坡 举 行 的 Black Hat Asia 做 过 关 于 地 址 栏 欺 骗 的 演 讲 漏 洞 原 理 Baloch 在 个 人 网 站 中 说, 出 现 漏 洞 的 主 要 原 因 是 Chrome 和 Android 版 本 的 Firefox 浏 览 器 对 某 些 Unicode 字 符 的 渲 染 不 得 当 阿 拉 伯 语 和 希 伯 来 语 中 会 有 一 些 字 符 是 会 从 右 到 左 显 示 的, 比 如 当 包 含 这 种 Unicode 字 符 的 URL 和 IP 地 址 合 在 一 起 时, 浏 览 器 就 会 把 URL 从 右 到 左 显 示 13

举 个 例 子, 某 个 网 址 逻 辑 上 的 顺 序 是 127.0.0.1/ /http://example.com/, 但 是 浏 览 器 会 在 地 址 栏 中 把 网 址 显 示 成 http://example.com/ /127.0.0.1 经 过 翻 转 的 网 址 IP 地 址 部 分 其 实 是 很 容 易 隐 藏 的, 尤 其 是 在 移 动 设 备 上, 只 要 用 一 个 比 较 长 的 URL(google.com/fakepath/fakepath/fakepath/ /127.0.0.1) 就 行 了 如 果 要 想 网 址 看 起 来 更 真 实 一 点, 还 可 以 弄 个 SSL 证 书 漏 洞 重 现 Chrome ( 小 编 使 用 了 PC 端 的 Chrome 访 问 PoC 网 站, 没 有 成 功, 在 手 机 端 成 功 ) 1) 访 问 链 接 http://182.176.65.7/%ef%b9%b0/http://google.com/test 2) 应 该 能 注 意 到, 浏 览 器 显 示 的 不 是 google 的 内 容, 但 是 网 址 却 是 http://google.com/test/182.176.65.7 Android 版 Firefox(CVE-2016-5267) 14

Firefox 的 漏 洞 与 Chrome 相 似, 不 过 它 不 需 要 IP 地 址 触 发 漏 洞, 只 需 要 阿 拉 伯 RTL 字 符 : ي//: http google.com/test/test/test /امارات.عرب 当 你 点 击 链 接 时, 访 问 的 是 ي,امارات.عرب 但 地 址 栏 却 指 向 google.com 厂 商 修 复 Mozilla 称, 漏 洞 只 存 在 于 Android 版 本 的 Firefox 浏 览 器, 桌 面 版 本 不 受 影 响, 并 且 在 8 月 2 日 的 更 新 中 已 经 修 复 了 漏 洞 基 金 会 也 为 此 向 Baloch 奖 励 了 1000 美 元 而 Google 表 示 会 在 9 月 的 Chrome 更 新 中 修 复 漏 洞 其 他 几 款 浏 览 器 也 存 在 漏 洞, 但 由 于 厂 商 尚 未 修 复 漏 洞, 因 此 作 者 还 不 能 透 露 相 关 细 节 3.1.4 卡 巴 斯 基 表 示 NSA 被 泄 露 的 恶 意 软 件 的 确 真 实 存 在 15

知 名 安 全 厂 商 对 Equation Group 恶 意 软 件 进 行 了 检 测 与 分 析, 并 表 示 其 确 实 为 The Shadow Brokers 的 根 源 所 在 卡 巴 斯 基 方 面 于 日 前 确 认 称, 由 The Shadow Brokers 于 上 周 末 在 GitHub 上 泄 露 出 的 恶 意 软 件 样 本 真 实 存 在, 且 与 其 2015 年 2 月 分 析 过 的 Equation Group 恶 意 软 件 样 本 颇 为 相 似 在 此 次 案 例 当 中, 卡 巴 斯 基 实 验 室 全 球 研 究 与 分 析 团 队 ( 简 称 GReAT) 指 出, 他 们 之 所 以 能 够 得 出 二 者 相 关 的 结 论, 是 因 为 The Shadow Brokers 给 出 的 恶 意 软 件 中 存 在 着 RC5 与 RC6 加 密 算 法 卡 巴 斯 基 方 面 指 出, 在 过 去 一 年 当 中, 只 有 Equation Group 曾 经 在 其 恶 意 软 件 中 使 用 过 这 两 种 算 法 线 索 :RC5 RC6 以 及 编 码 模 式 在 当 初 对 Equation Group 恶 意 软 件 进 行 初 步 分 析 时, 卡 巴 斯 基 方 面 表 示 其 共 发 现 了 20 种 采 用 RC5 与 RC6 代 码 的 不 同 恶 意 软 件 样 本 而 转 回 目 前, 此 次 The Shadow Brokers 恶 意 软 件 的 泄 露 数 据 内 则 存 在 347 项 不 同 恶 意 软 件 样 本 另 外, 卡 巴 斯 基 团 队 还 发 现 流 出 恶 意 软 件 中 的 编 码 模 式 与 且 仅 与 Equation Group 16

的 黑 客 工 具 存 在 相 似 之 处 其 技 术 细 节 解 释 如 下 : 在 Equation Group 恶 意 软 件 当 中, 加 密 库 利 用 常 量 0x61C88647 进 行 减 法 运 算 在 大 多 数 已 经 公 布 的 RC5/6 代 码 当 中, 这 一 常 量 通 常 被 存 储 为 0x9E3779B9, 即 相 当 于 -0x61C88647 由 于 在 特 定 硬 件 之 上 加 法 的 运 算 速 度 高 于 减 法, 因 此 将 此 常 量 以 负 值 形 式 保 存 从 而 将 减 法 转 换 为 加 法 具 有 实 际 意 义 卡 巴 斯 基 公 司 的 GReAT 团 队 还 指 出, 他 们 拥 有 相 当 的 信 心 认 定 目 前 由 The Shadow Brokers 散 布 至 网 络 的 恶 意 软 件 样 本 与 此 前 Equation Group 所 使 用 过 的 恶 意 软 件 有 关 目 前 正 在 对 Equation Group 恶 意 软 件 的 其 余 部 分 进 行 拍 卖 该 组 织 共 发 布 了 347 项 恶 意 软 件 样 本 进 行 免 费 预 览, 并 表 示 将 为 赢 得 拍 卖 者 提 供 另 外 一 组 多 款 黑 客 工 具 3.1.5 食 尸 鬼 行 动 攻 击 30 多 个 国 家 超 过 130 家 企 业 包 括 中 国 自 2015 年 3 月 以 来, 一 个 组 织 严 密 的 网 络 犯 罪 团 伙 对 超 过 30 个 国 家 逾 130 家 企 业 开 展 工 业 间 谍 活 动 绝 大 多 数 受 害 者 为 工 业 领 域 的 中 小 型 企 业 (30-300 员 工 ) 网 络 安 全 厂 商 卡 巴 斯 基 实 验 室 表 示, 他 们 将 该 行 动 称 之 为 食 尸 鬼 行 动 (Operation Ghoul), 行 动 集 中 在 2016 年 6 月,6 月 8 日 6 月 27 最 为 活 跃 攻 击 者 以 工 业 领 域 的 企 业 为 目 标 大 多 数 目 标 企 业 活 跃 在 工 业 领 域, 比 如 石 油 化 工 海 军 军 事 航 空 航 天 重 型 机 械 太 阳 能 刚 铁 泵 塑 料 等 行 业 该 间 谍 组 织 还 针 对 其 它 领 域, 包 括 工 程 航 运 医 药 制 造 贸 易 教 育 旅 游 IT 等 17

该 组 织 主 要 将 目 标 局 限 在 活 跃 于 工 业 领 域 的 企 业, 但 不 具 体 针 对 一 个 国 家 攻 击 范 围 遍 布 全 球 : 西 班 牙 (25 起 ) 巴 基 斯 坦 (22 起 ) 阿 联 酋 (19) 印 度 (17) 埃 及 (16) 等 其 它 被 攻 击 国 家 包 括 英 国 德 国 南 非 葡 萄 牙 卡 塔 尔 瑞 士 直 布 罗 陀 美 国 瑞 典 中 国 法 哥 阿 塞 拜 疆 伊 拉 克 土 耳 其 罗 马 尼 亚 伊 朗 伊 拉 克 和 意 大 利 18

攻 击 者 使 用 鹰 眼 (HawkEye)RAT 感 染 高 管 食 尸 鬼 黑 客 使 用 HawkEye RAT( 远 程 访 问 木 马 ), 也 被 称 为 KeyBase 实 施 攻 击 在 2016 年 6 月, 研 究 人 员 发 现 了 大 量 鱼 叉 式 网 络 钓 鱼 电 子 邮 件 中 包 含 恶 意 附 件 附 件 中 的 恶 意 软 件 基 于 在 暗 网 公 开 售 卖 的 鹰 眼 商 业 间 谍 软 件, 为 攻 击 者 提 供 大 量 黑 客 工 具 一 旦 安 装, 它 会 收 集 受 害 者 PC 的 数 据, 包 括 : 击 键 剪 贴 板 数 据 FTP 服 务 器 凭 证 浏 览 器 的 账 户 数 据 消 息 客 户 端 的 账 户 数 据 (Paltalk Google talk AIM) 电 子 邮 件 客 户 端 的 账 户 数 据 (Outlook Windows Live 邮 件 ) 已 安 装 应 用 程 序 信 息 (Microsoft Office) 攻 击 者 在 EXE 文 件 中 打 包 他 们 的 RAT, 放 在 ZIP 文 件 内 通 过 鱼 叉 式 钓 鱼 邮 件 发 送 给 目 标 企 业 的 高 管 卡 巴 斯 基 表 示, 这 些 邮 件 发 送 给 了 首 席 执 行 官 首 席 运 营 官 经 理 19

工 程 师 主 管 销 售 等 卡 巴 斯 基 高 级 安 全 研 究 员 Mohamad Amin Hasbini 表 示, 鱼 叉 式 钓 鱼 邮 件 大 多 发 送 目 标 机 构 的 高 管, 很 大 程 度 上 是 因 为 攻 击 者 希 望 获 取 核 心 情 报 其 它 有 趣 的 信 息 以 及 控 制 账 号 对 于 这 类 攻 击, 鹰 眼 收 集 目 标 数 据 并 通 过 HTTP 以 非 加 密 的 方 式 发 送 至 两 个 服 务 器 中 的 一 个 卡 巴 斯 基 表 示, 这 两 个 服 务 器 属 于 过 去 被 劫 持 的 合 法 企 业 所 有 Mohamad Amin Hasbini 称, 在 古 代 民 间 传 说 中, 食 尸 鬼 是 吃 人 肉 和 抓 孩 子 的 邪 恶 灵 魂, 原 本 是 美 索 不 达 米 亚 的 恶 魔, 而 如 今, 这 个 词 有 时 用 来 形 容 贪 婪 或 金 钱 至 上 的 人 这 是 对 Operation Ghoul 的 最 精 切 描 述 他 们 的 主 要 动 机 是 通 过 售 卖 窃 取 得 来 的 知 识 产 权 商 业 情 报 或 受 害 者 的 银 行 账 户 赚 取 经 济 利 益 这 类 组 织 可 能 会 对 任 何 企 业 实 施 攻 击 虽 然 他 们 使 用 较 简 单 的 恶 意 工 具, 但 攻 击 十 分 有 效 因 此, 如 果 企 业 不 做 好 准 备 很 容 易 遭 受 攻 击 工 业 领 域 的 企 业 如 何 免 受 食 尸 鬼 行 动 攻 击? 为 了 保 护 免 受 Operation Ghoul 攻 击 以 及 其 它 类 似 的 威 胁, 研 究 人 员 建 议 企 业 采 取 以 20

下 措 施 : 教 育 员 工, 使 他 们 能 分 辨 鱼 叉 式 钓 鱼 邮 件 或 钓 鱼 链 接 使 用 经 验 证 的 企 业 级 安 全 解 决 方 案, 结 合 对 抗 目 标 攻 击 的 解 决 方 案, 通 过 分 析 网 络 异 常 发 现 攻 击 行 为 为 安 全 员 工 提 供 最 新 威 胁 情 报 数 据, 用 有 帮 助 性 的 工 具 预 防 和 发 现 以 此 进 行 武 装, 比 如 攻 击 和 YARA 规 则 指 标 3.1.6 14 亿 Android 设 备 受 Linux TCP 漏 洞 的 影 响 绝 大 部 分 的 安 卓 用 户 要 注 意 了 移 动 安 全 厂 商 Lookout 的 研 究 人 员 们 发 现,Linux TCP 连 接 漏 洞 存 在 于 世 界 上 80% 的 安 卓 设 备, 约 14 亿 台 安 卓 智 能 手 机 平 板 电 脑 受 此 漏 洞 影 响 前 不 久 Freebuf 就 报 道 过 Linux TCP 连 接 高 危 漏 洞 ( 文 章 回 顾 传 送 门 ), 该 安 全 漏 洞 首 次 出 现 在 2012 年 以 来 (3.6 及 以 上 版 本 Linux 操 作 系 统 内 核 ) 的 所 有 Linux 系 统 中 Linux 基 金 会 已 于 2016 年 7 月 11 日 给 Linux 内 核 打 上 补 丁 影 响 大 部 分 安 卓 系 统 21

据 移 动 安 全 公 司 Lookout 发 表 的 一 篇 博 客 文 章,Linux 的 TCP 连 接 漏 洞 存 在 于 所 有 使 用 安 卓 4.4 及 以 上 版 本 的 安 卓 系 统 中, 包 括 最 新 的 安 卓 7.0 牛 轧 糖 虽 然 利 用 该 漏 洞 发 动 攻 击 非 常 困 难, 但 一 旦 成 功 发 动 攻 击, 黑 客 便 可 以 在 未 经 加 密 的 互 联 网 流 量 中 注 入 恶 意 代 码 如 果 连 接 经 过 加 密, 即 使 不 能 读 取 流 量, 黑 客 也 能 切 断 连 接 好 在 是,7 月 11 日 发 布 的 Linux 补 丁 软 件 已 经 修 正 了 该 缺 陷, 虽 然 最 新 的 安 卓 月 度 安 全 补 丁 并 未 修 正 该 缺 陷, 但 相 信 会 在 9 月 份 的 补 丁 中 解 决 安 全 建 议 1 确 保 你 的 网 络 流 量 是 加 密 的 : 你 用 你 访 问 应 该 使 用 HTTPS 应 用 程 序 和 网 站 2 使 用 虚 拟 专 用 网 (VPN) 22

4 紧 急 预 警 通 知 4.1 zabbix 存 在 SQL 注 入 高 危 漏 洞 安 全 公 告 编 号 :CNTA-2016-0036 近 日, 国 家 信 息 安 全 漏 洞 共 享 平 台 (CNVD) 收 录 了 zabbix 存 在 的 SQL 注 入 漏 洞 (CNVD-2016-06408) 攻 击 者 利 用 漏 洞 无 需 授 权 登 录 即 可 控 制 zabbix 管 理 系 统, 或 通 过 script 等 功 能 直 接 获 取 zabbix 服 务 器 的 操 作 权 限, 进 而 有 可 能 危 害 到 用 户 单 位 整 个 网 络 系 统 的 运 行 安 全 由 于 zabbix 服 务 器 在 境 内 应 用 较 为 广 泛, 有 可 能 诱 发 较 高 的 大 规 模 攻 击 风 险 4.1.1 漏 洞 情 况 分 析 zabbix 是 一 个 基 于 WEB 界 面 的 提 供 分 布 式 系 统 监 视 以 及 网 络 监 视 功 能 的 企 业 级 开 源 解 决 方 案 由 于 zabbix 默 认 开 启 了 guest 权 限, 且 默 认 密 码 为 空, 导 致 zabbix 的 jsrpc 中 profileidx2 参 数 存 在 insert 方 式 的 SQL 注 入 漏 洞 攻 击 者 利 用 漏 洞 无 需 登 录 即 可 获 取 网 站 数 据 库 管 理 员 权 限, 或 通 过 script 等 功 能 直 接 获 取 zabbix 服 务 器 的 操 作 系 权 限 CNVD 对 该 漏 洞 的 综 合 评 级 为 高 危 4.1.2 漏 洞 影 响 范 围 漏 洞 影 响 较 低 版 本 zabbix 系 统, 如 已 经 确 认 的 2.2.x, 3.0.0-3.0.3 版 本 根 据 CNVD 初 步 普 查 情 况, 约 有 3.5 万 台 zabbix 服 务 器 暴 露 在 互 联 网 上, 其 中 排 名 TOP 5 的 国 家 和 地 区 如 下 : 中 国 (24.9%) 美 国 (18.8%) 俄 罗 斯 (9.0%) 巴 西 (8.0%) 德 国 (5.4%), 在 中 国 境 内 排 名 TOP5 的 省 份 为 : 北 京 (32.6%) 浙 江 (23.2%) 广 东 (11.4%) 上 海 23

(7.8%) 江 苏 (4.3%) 同 时, 根 据 CNVD 抽 样 测 试 结 果 ( 样 本 数 量 >500), zabbix 服 务 器 受 漏 洞 直 接 影 响 ( 验 证 可 攻 击 成 功 ) 的 比 例 为 34.8%, 影 响 比 例 较 高 通 过 对 比 发 现, 在 不 受 漏 洞 影 响 的 服 务 器 样 本 中, 有 一 部 分 服 务 器 Header 字 段 中 不 存 在 zbx_sessionid 信 息, 对 于 防 范 攻 击 有 一 定 的 帮 助 4.1.3 漏 洞 修 复 建 议 用 户 可 通 过 禁 用 guest 账 户 缓 解 该 漏 洞 造 成 的 威 胁 目 前, 厂 商 已 发 布 新 版 本 修 复 此 漏 洞,CNVD 建 议 用 户 关 注 厂 商 主 页, 升 级 到 最 新 版 本 附 : 参 考 链 接 : https://support.zabbix.com/browse/zbx-11023 http://www.zabbix.com/download.php( 官 方 下 载 页 面 ) http://www.cnvd.org.cn/flaw/show/cnvd-2016-06408 24