学校首页  | 加入收藏
网络安全
常用链接
您的当前位置: 首页 > 知识库 > 网络安全 > 正文
2016年9月网络安全月报
作者: 来源: 时间:2016-09-27 点击数:

中国地质大学校园网网络安全情况月报

2016年9月   (第W0009期)  总第9期

                                          中国地质大学(武汉)网络与教育技术中心

  本期目录

1       情况综述... 1

2       安全事件通报... 2

2.1      安全事件总体概述... 2

2.2      入侵事件... 3

2.3      木马僵尸事件... 4

2.4      对外DoS攻击事件... 4

2.5      网站黑链事件... 5

3       安全事件分析... 5

3.1      入侵事件分析... 5

3.2      木马僵尸事件分析... 6

3.3      对外DoS攻击事件分析... 6

3.4      网站黑链事件分析... 7

4       安全事件处置情况... 7

5       安全预警信息... 7

6       业界动态... 10

6.1      安全调查显示40%的管理员使用Word存储密码... 10

6.2      iOS 10备份加密破解速度提升2500倍,Keychain将不再安全... 11

6.3      韩国出现新型安卓手机银行木马,窃取银行验证短信和证书... 14

6.4      接近80万台FTP服务器可在没有密码情况下访问... 15

6.5      看看影音被曝造毒牟利,预计超过百万台电脑中毒... 15

6.6      雅虎证实发生大规模数据泄露: 5亿账号相关信息被盗... 17

7       联系我们... 18

 


 

1   情况综述

2016年8月26日至2016年9月25日,我校总体网络安全情况良好,未发生重大的网络安全事件。

根据监测分析,我校发生的安全威胁事件共188749起,近期服务器受到攻击的事件共727起,受到攻击威胁比较严重的服务器共1台,主要涉及纪委监察处、教务处、正方系统等。

可能感染病毒木马的僵尸主机共5811台,其中确定的僵尸主机共497台,主要涉及生物地质与环境地质国家重点实验室等;对外发生的DoS攻击事件共1218起,主要涉及图书馆等;被植入黑链的网站共1个,为rsc.cug.edu.cn。与上个月对比情况如下:


2   安全事件通报

2.1 安全事件总体概述

(一)    终端主机安全事件(共110036起):

主机类型分类统计:

 

主机地址排行统计:

序号

主机地址

受到攻击次数

备注

1

202.114.196.11

15612

 

2

172.28.11.209

10444

 

3

202.114.202.194

7779

生物地质与环境地质国家重点实验室

4

172.29.162.26

5803

 

5

59.71.229.37

5371

 

6

59.71.228.72

4164

 

7

202.114.196.35

3418

三峡灾害地震监测网站

8

59.71.226.74

3160

 

9

59.71.244.185

3129

 

10

59.71.237.147

3059

 

11

其他IP

48097

 

总计

110036

 

(二)    服务器安全事件(共78713起):

 

序号

主机地址

受到攻击次数

备注

1

202.114.196.199

13282

纪委监察处

2

202.114.196.9

12172

正方系统

3

202.114.196.12

11190

教务处

4

202.114.196.4

7993

正方系统

5

202.114.196.87

6058

 

6

202.114.196.42

4923

 

7

202.114.196.245

915

 

8

202.114.196.189

736

 

9

202.114.192.188

589

 

10

202.114.200.90

583

 

11

其他

20272

 

总计

78713

 

2.2 入侵事件

已被黑客攻陷的服务器:

序号

服务器

攻陷原因

备注

1

rsc.cug.edu.cn(202.114.196.87)

黑链:被挂载2个黑链,涉及到游戏等

2.3 木马僵尸事件

备注:

202.114.202.194为生物地质与环境地质国家重点实验室IP。

2.4 对外DoS攻击事件

备注:

202.114.202.208为图书馆IP;

2.5 网站黑链事件

被植入黑链的网站:

序号

IP地址

黑链类型

黑链数量

备注

1

202.114.196.87

游戏

2

 

(1)黑链网站(202.114.196.87):

被植入黑链的页面:

 rsc.cug.edu.cn/default.asp

 rsc.cug.edu.cn/

3     安全事件分析

3.1 入侵事件分析

根据监测分析,黑客主要利用漏洞进行攻击,本月我们对受到攻击的主要网段扫描结果统计如下:共发现高危漏洞119个,中危漏洞454个,低危漏洞178个。

   

3.2 木马僵尸事件分析

僵尸主机是指用户网络中因感染了蠕虫、木马等病毒而被黑客控制的主机。攻击者可通过控制僵尸主机进行DoS攻击、APT攻击等各种类型的攻击,以达到致使用户网络或重要应用系统瘫痪、窃取用户机密业务数据等目的。

建议受病毒感染的主机安装“反僵尸网络”相关软件进行扫描,清除主机中的僵尸病毒。病毒通常具有强大的复制、感染能力,建议清除病毒后的首周内持续观察,以确认病毒是否被彻底清除,同时更新完善主机的漏洞补丁。

3.3 对外DoS攻击事件分析

对外发起DoS攻击的内网主机很可能感染了病毒,并已被黑客控制。内网外发的DoS攻击将会造成严重的网络拥堵,导致用户业务中断,也会影响被攻击网络的业务的正常运行,甚至因此而受到网络监管部门的通报。

建议使用杀毒软件对主机进行病毒扫描,彻底清除病毒后再将主机接入网络,同时更新完善主机的漏洞补丁。

3.4 网站黑链事件分析

攻击者通过利用网站存在的程序漏洞上传或获取网站的webshell后门,进而篡改网站内容并植入黑链。黑链不会显现中网页上,只有中网页代码中才能看到链接。攻击者可中网站中添加赌博、色情等黑链,用户的对外业务将受到严重影响,还会面临网站被降权或者受到相关部门通报的风险。

建议查找被植入黑链的网页源代码,清除所有被篡改的内容。并且检查修复网站服务器可能存在的漏洞或者后门程序,防止黑客的二次入侵。

4   安全事件处置情况

2016年8月26日至2016年9月25日,中国地质大学(武汉)网络与教育技术中心共协调处理各类网络安全事件501起,其中入侵事件1起,木马僵尸事件497起,对外DoS攻击事件2起,网站黑链事件1起。针对相关事件调整相应安全防护策略以及实时漏洞分析扫描,并通告相关人员。

5     安全预警信息

根据国家信息安全漏洞库( CNNVD)统计,新增安全漏洞 189 个,相比有所增加,从近五周新增数量来看整体呈现上升趋势。从厂商分布来看, IBM公司新增漏洞最多,共有29个;从漏洞类型来看,资料不足类的安全漏洞占比最大,达到25.93%。新增漏洞中,危急漏洞1个,高危漏洞19个,中危漏洞146个,低危漏洞23 个。相应修复率分别为100.00%、94.74%、92.47%以及91.30%。根据统计,合计174个漏洞已有修复补丁发布,整体修复率为92.06%。

(一)安全漏洞分布情况

从厂商分布来看,IBM公司产品的漏洞数量最多,共发布 29 个。 各厂商漏洞数量分布如下表所示。

序号

厂商名称

漏洞数量

所占比例

1

IBM

29

15.34%

2

Mozilla

18

9.52%

3

Cisco

18

9.52%

4

EMC

13

6.88%

5

Apple

12

6.35%

从漏洞类型来看,跨站脚本类的安全漏洞相对占比最大,达到 6.88%。 漏洞类型统计如下表所示。

(二)安全漏洞危害等级与修复情况

共发布危急漏洞1个,高危漏洞19个,中危漏洞146个,低危漏洞23个。相应修复率分别为100.00%、94.74%、92.47%以及 91.30%。合计174个漏洞已有修复补丁发布,整体修复率为 92.06%。 详细情况如表 3 所示。

(三)重要漏洞实例

1、危急漏洞实例

危急漏洞1个,其中重点漏洞实例如下表所示。

2、高危漏洞实例

高危漏洞19个,其中重点漏洞实例如下表所示。

6     业界动态

6.1 安全调查显示40%的管理员使用Word存储密码

据最近的一项安全调查研究显示,40%的管理员使用Word文档存储密码。这项调查研究对象是大约750名 IT管理员和决策者。受访者中,79%的人确信他们已经吸取了重大网络攻击的教训,但是,只有67%的受访者认为公司有强有力的安全反应机制和领导,57%的受访者表示,他们觉得公司在安全方面有点令人担心。

根据这项研究显示,40%的受访者表示,他们会使用微软的Word文档或电子表格存储各种访问级别的密码和管理密码。另有28%的受访者使用共享或U盘。此外,近一半的受访者承认,他们允许第三方供应商访问他们的内部网络。

调查结果表明,网络安全意识并不总是等同于被安全。公司没有强制执行各种安全措施,消除第三方供应商访问相关的安全漏洞,那么网络安全意识并不能让公司获得安全。

6.2 iOS 10备份加密破解速度提升2500倍,Keychain将不再安全

根据国外媒体的最新报道,安全研究专家在iOS10的备份保护机制中发现了一个严重的安全漏洞。这个安全漏洞将允许攻击者通过一种新型的攻击方法来绕过iOS10设备本地(iTunes)备份的密码保护机制。由于苹果公司在针对iOS10的iTunes备份过程中添加了一个密码验证机制,导致其相较于iOS9的备份加密而言,加密强度竟然降低了将近2500倍。

安全研究专家发现,新版iTunes备份加密验证系统并没有完全代替之前的验证系统,苹果公司目前正在iOS备份系统中同时使用这两套加密保护系统。而需要注意的是,旧的加密保护系统所使用的加密算法要比新的系统还要健壮。

安全专家表示:“相比iOS9(及以下版本)设备的备份加密系统而言,新的备份加密系统将允许密码破解程序每秒钟尝试更多的密码。”

新的密码验证系统中存在严重的安全漏洞

由于新的密码验证系统中存在严重的安全漏洞,这也就意味着攻击者如果获取到了iOS10的iTunes加密备份文件,那么他就可以利用新系统中的漏洞来对加密备份进行暴力破解攻击,而且爆破的速度比之前还要快。

安全专家表示:“我们对新的备份系统进行了详细的分析,并且发现新的备份加密机制跳过了系统所必须的一些安全检测步骤。这也就意味着,相对于iOS9的备份加密机制而言,我们破解备份密码的速度将提升2500倍。”

安全公司表示,他们在破解一份iOS10备份文件时,仅通过CPU的处理能力就可以每秒钟尝试六百万个密码。而在此之前,安全研究专家在破解iOS9备份密码的时候,每秒钟只能够测试2400个密码。这也就意味着,爆破速度直接提升了将近2500倍。

实际上,攻击者如果能够使用多个GPU来进行暴力破解攻击的话,破解速度将远不止这样。安全研究专家表示,目前他们正在想办法使用GPU来破解iOS备份文件的加密密码。但是由于这是一个新的密码验证系统,所以目前研究人员仍在尝试使用GPU加速来进行密码爆破。对于iOS9设备来说,GPU的超强运算能力意味着研究专家可以每秒钟尝试十五万个密码。

如果相同的放大系数对于iOS10备份文件也同样适用的话(虽然不太现实),攻击者在爆破iOS10备份文件时,每秒钟就可以尝试3亿7千5百万个密码了。除此之外,攻击者也可以创建一个常用的密码字典,如果在暴力破解攻击的过程中先尝试该字典里的密码,则有可能进一步提升攻击速度。

iOS设备文件的备份既可以存储在苹果笔记本电脑中,也可以存储在WindowsPC中。苹果手机是安全的,iOS系统也是安全的,而且随着时间的推移,新款的iPhone手机也会变得越来越安全。

当前还没有团队正式对外宣布iOS10已经成功越狱了,那么在这种情况下,想通过采集设备数据来解密keychain是不太可能的,即便是对于那些老款iPhone也是一样。除此之外,即便是你知道用户的AppleID和密码,即便是你可以访问用户的iCloud控制面板并从中提取出身份验证令牌,你也仍然无法解密keychain数据。

这也就意味着,我们只能迫使iPhone或者iPad生成一份离线备份,并且通过分析这份备份文档来获取我们需要的keychain数据。而对于iOS10设备而言,这也许是目前唯一一个可行的方法了。在iPhone处于解锁状态下,我们可以轻易地生成一份本地备份文件。但是,我们也可以从一台受信任的计算机中提取出设备配对记录,并且在iPhone处于锁屏状态下时进行本地备份。

如果攻击者成功解密了iTunes备份文件,那么攻击者就可以获取到用户的全部备份数据了,其中就有可能包括Keychain(钥匙串)信息、信用卡数据、以及Wi-Fi网络信息等等。而且安全研究人员也已经确认了,如果攻击者能够成功破解备份文件的密码,那么他就可以提取出Keychain数据了。

苹果公司在其官方公告中是这样描述Keychain的:“Keychain中不仅包含有用户保存在设备中的密码以及应用程序相关的身份验证数据,而且还存储了Safari中的登录账号和密码、信用卡数据、WiFi网络信息、以及其他任何值得进行加密保护的第三方App数据。”

6.3 韩国出现新型安卓手机银行木马,窃取银行验证短信和证书

美国网络安全公司检测到一种新的安卓网银木马,目前仅在韩国活跃,它通过冒充常用的杀毒APP感染用户,偷取用于银行验证的短信和证书。

根据安全团队的技术分析,这款未命名的网银木马还在开发中,似乎是一款桌面网银木马的组件,不过未来可能会独立发展。

木马代码中仅有三种主要功能:

第一项功能是和C&C服务器进行通讯,接收服务器的指令和发送所窃取的数据。

第二项功能是截获和偷取短信,需要注意的是被偷取的短信不会显示到用户的屏幕上。

这项功能在有银行交易发生时非常有用。如果用户没有看到短信,就不会意识到一个移动或桌面木马侵入了他的银行账户。

第三项功能是偷取与韩国国家公钥基础设施(NPKI)相关的文件,NPKI被app开发者和银行用于保护金融交易。如果攻击者成功获取到NPKI文件,他们就可以冒充受害者进行金融交易。不过幸运的是,只有获取到证书相应app的登录凭证时,这些文件才有用。

这款木马功能目前还比较简单,不过攻击者有可能在很短的时间内升级出新的版本。

安全公司警告称,这款木马通过伪装成假的V3Mobile Plus应用程序进行传播,V3Mobile Plus是一款由韩国公司开发的Android杀毒引擎,在韩国国内很受欢迎。

6.4 接近80万台FTP服务器可在没有密码情况下访问

网络安全公司近日执行的强力扫描中发现有796578处FTP服务器能够在没有任何凭证的情况下访问。在官方博文中,公司详细解释了整个扫描过程,通过撰写的简单脚本搜索了所有的IPv4地址,在没有密码的情况下尝试通过“anonymous”账号连接网址的21号端口。

安全公司解释了执行这项扫描的目的,“我想要证明每个人哪怕是低功耗的KVM实例都能如何执行有意义的数据分析。这意味着用户不需要使用现成的扫描工具,通过最简单的bash脚本就能实现。当我们看到结果的时候还是感到非常惊讶,这也是为何我们要分享发现和扫描过程的原因。”

该公司于今天在GitHub上公布了完整的IP地址清单,不过团队也表示这造成的影响并不是很大。Minxomat说道:“FTP服务器很少会给anonymous用户开放写入权限,但也不排除极端情况下。”

6.5 看看影音被曝造毒牟利,预计超过百万台电脑中毒

安全中心监测发现,看看影音涉嫌利用病毒控制用户电脑,通过以太币挖矿(一种类似比特币的数字币)牟利。病毒查杀软件已对该病毒进行查杀,检测到的日感染量约4万台,预计累计中毒电脑超过100万台。

根据安全团队的技术分析,从看看官网下载的看看影音,在安装时会注册组件到注册表,开机后自动连接看看官网,下载挖矿模块到本地。

该病毒会检测用户环境,若系统资源有较多闲置,就会利用电脑的GPU资源(显卡芯片)计算以太币。以太币是一种类似比特币的虚拟货币,利用显卡GPU计算虚拟币的行为被圈内人士俗称为挖矿。

当病毒开始挖矿时,挖矿开始后,病毒会在用户目录下生成Ethash目录,单个文件数据大小超过1.5GB。同时造成用户电脑GPU占用率飙升,电脑发热增大等现象。由于看看影音本身属于正常软件,通常被各安全软件直接信任,从而导致这种恶意行为难以被发现。

“这个病毒组件相关的文件,均有看看影音官方公司的数字签名。文件的数字签名表示该文件为某公司开发,在分发过程中,没有被人为篡改。”猎豹移动安全专家说:“而且病毒会连接看看官网,接受其官网服务器的远程控制,这说明该病毒与响巢看看公司相关。”

安全中心的监测数据表明,每天大约从4万台电脑上检测到这个挖矿病毒,推测累计感染量在100万台以上,建议安装看看影音的网友进行杀毒。

6.6 雅虎证实发生大规模数据泄露: 5亿账号相关信息被盗

雅虎发表声明称,其调查确认这一在2014年底发生的黑客案所披露的信息可能包括用户名、电子邮件地址、家庭住址、电话号码、出生日期、某些密码、以及安全问题和答案等。该公司表示,被盗信息可能已落入政府赞助的一名行动者手中,但黑客案发生后其已不再露面。雅虎同时表示,支付卡数据、银行账户信息以及特定密码并未被盗。

雅虎建议,可能受此事件影响的用户应更改密码,同时取消其安全问题及答案。

今年8月,雅虎称其正在调查一桩可能已经发生的黑客案,此前一名黑客声称其已盗取2亿个雅虎用户账号,相当于雅虎周四宣布的数字的不到一半。

雅虎一直都在日益加大针对政府赞助黑客攻击活动的打击力度,此前其已发布一个程序,这个程序2015年12月以来已向1万名用户发出有关此类攻击的通知。

今年早些时候同意收购雅虎的Verizon确认,该公司前两天已收到雅虎证实黑客案的通知,但有关这一事件的“信息有限”。Verizon称,在雅虎继续进行调查期间,该公司将对此作出评估。

网络安全专家称,反应速度对减轻黑客攻击活动的影响来说是很重要的。信息、分析和营销服务提供商益博睿(Experian)欺诈及身份鉴别产品策略副总裁马特欧利希(Matt Ehrlich)表示:“(黑客攻击活动)一天没被探测和检查到,其所造成的损害就会上升一级。”

7   联系我们

网络与教育技术中心:

电话:027-67883150

技术支持保障:

孟天:18802711157

邮箱:mengtian@xjgreat.com

联系我们

服务电话:027-67885175

办公地址:湖北省武汉市洪山区中国地质大学(武汉)

多向沟通

信息化地图
网络与教育技术中心,网络维护:02767885175  管理入口
  • 手机版