学校首页  | 加入收藏
网络安全
常用链接
您的当前位置: 首页 > 知识库 > 网络安全 > 正文
2016年10月网络安全月报
作者: 来源: 时间:2016-10-28 点击数:

中国地质大学校园网网络安全情况月报

2016年10月   (第W0010期)  总第10期

                                          中国地质大学(武汉)网络与教育技术中心

  本期目录

1       情况综述... 1

2       安全事件通报... 2

2.1      安全事件总体概述... 2

2.2      入侵事件... 4

2.3      木马僵尸事件... 4

2.4      对外DoS攻击事件... 4

2.5      网站黑链事件... 4

3       安全事件分析... 5

3.1      入侵事件分析... 5

3.2      木马僵尸事件分析... 5

3.3      对外DoS攻击事件分析... 6

3.4      网站黑链事件分析... 6

4       安全事件处置情况... 6

5       安全预警信息... 7

6       业界动态... 9

6.1      所有Android设备都受影响:Dirty COW漏洞可获root权限... 9

6.2      Windows 0day漏洞,黑客通过字体文件控制用户电脑... 10

6.3      美国互联网瘫痪,约10万物联网设备被指“元凶”... 11

6.4      利用LDAP服务器的新型DDoS攻击可将攻击放大46-55... 13

6.5      代码注入新技术“AtomBombing”影响所有Windows版本... 15

6.6      苹果修复恶意JPEG利用漏洞及大量安全漏洞... 16

7       联系我们... 17

 


 

1   情况综述

2016年9月26日至2016年10月25日,我校总体网络安全情况良好,未发生重大的网络安全事件。

根据监测分析,我校发生的安全威胁事件共147866起,近期服务器受到攻击的事件共662起,受到攻击威胁比较严重的服务器共1台,为rsc.cug.edu.cn(202.114.196.87);可能感染病毒木马的僵尸主机共4118台,其中确定的僵尸主机共361台;被植入黑链的网站共1个,为rsc.cug.edu.cn。与上个月对比情况如下:


2   安全事件通报

2.1 安全事件总体概述

(一)    终端主机安全事件(共113430起):

主机类型分类统计:

 

主机地址排行统计:

序号

主机地址

受到攻击次数

备注

1

202.114.196.11

18971

 

2

202.114.202.194

9190

 

3

59.71.237.147

5201

 

4

172.29.182.228

3557

 

5

172.29.147.158

3453

 

6

172.29.241.249

3174

 

7

59.71.228.72

3161

 

8

59.71.244.185

3153

 

9

172.29.21.168

2940

 

10

172.28.11.209

2782

 

11

其他IP

57848

 

总计

113430

 

(二)    服务器安全事件(共34436起):

 

序号

主机地址

受到攻击次数

备注

1

202.114.196.42

4834

2

202.114.196.87

3790

3

202.114.192.188

2011

4

202.114.196.199

1872

5

202.114.196.245

764

 

6

202.114.196.228

732

 

7

202.114.196.12

686

 

8

202.114.196.4

610

 

9

202.114.196.9

533

 

10

202.114.196.169

518

 

11

其他

18086

 

总计

34436

 

 


2.2 入侵事件

已被黑客攻陷的服务器:

序号

服务器

攻陷原因

备注

1

rsc.cug.edu.cn(202.114.196.87)

黑链:被挂载2个黑链,涉及到游戏等

2.3 木马僵尸事件

2.4 对外DoS攻击事件

无。

2.5 网站黑链事件

被植入黑链的网站:

序号

IP地址

黑链类型

黑链数量

备注

1

202.114.196.87

游戏

2

 

(1)黑链网站(202.114.196.87):

被植入黑链的页面:

 rsc.cug.edu.cn/default.asp

 rsc.cug.edu.cn/

3     安全事件分析

3.1 入侵事件分析

根据监测分析,黑客主要利用漏洞进行攻击,本月我们对受到攻击的主要网段扫描结果统计如下:共发现高危漏洞97个,中危漏洞376个,低危漏洞184个。

   

3.2 木马僵尸事件分析

僵尸主机是指用户网络中因感染了蠕虫、木马等病毒而被黑客控制的主机。攻击者可通过控制僵尸主机进行DoS攻击、APT攻击等各种类型的攻击,以达到致使用户网络或重要应用系统瘫痪、窃取用户机密业务数据等目的。

建议受病毒感染的主机安装“反僵尸网络”相关软件进行扫描,清除主机中的僵尸病毒。病毒通常具有强大的复制、感染能力,建议清除病毒后的首周内持续观察,以确认病毒是否被彻底清除,同时更新完善主机的漏洞补丁。

3.3 对外DoS攻击事件分析

对外发起DoS攻击的内网主机很可能感染了病毒,并已被黑客控制。内网外发的DoS攻击将会造成严重的网络拥堵,导致用户业务中断,也会影响被攻击网络的业务的正常运行,甚至因此而受到网络监管部门的通报。

建议使用杀毒软件对主机进行病毒扫描,彻底清除病毒后再将主机接入网络,同时更新完善主机的漏洞补丁。

3.4 网站黑链事件分析

攻击者通过利用网站存在的程序漏洞上传或获取网站的webshell后门,进而篡改网站内容并植入黑链。黑链不会显现中网页上,只有中网页代码中才能看到链接。攻击者可中网站中添加赌博、色情等黑链,用户的对外业务将受到严重影响,还会面临网站被降权或者受到相关部门通报的风险。

建议查找被植入黑链的网页源代码,清除所有被篡改的内容。并且检查修复网站服务器可能存在的漏洞或者后门程序,防止黑客的二次入侵。

4   安全事件处置情况

2016年9月26日至2016年10月25日,中国地质大学(武汉)网络与教育技术中心共协调处理各类网络安全事件363起,其中入侵事件1起,木马僵尸事件361起,网站黑链事件1起。针对相关事件调整相应安全防护策略以及实时漏洞分析扫描,并通告相关人员。

5     安全预警信息

根据国家信息安全漏洞库( CNNVD)统计,新增安全漏洞 217 个。从厂商分布来看,Oracle 公司新增漏洞最多,共有 122 个;从漏洞类型来看,缓冲区溢出类的安全漏洞占比最大,达到 7.37%。新增漏洞中,危急漏洞 1 个,高危漏洞 13 个,中危漏洞 68个,低危漏洞 135 个。相应修复率分别为 100.00%、00.00%、94.12%以及 94.81%。根据统计,合计 206 个漏洞已有修复补丁发布,整体修复率为 94.93%。

(一)安全漏洞分布情况

从厂商分布来看, Oracle 公司产品的漏洞数量最多,共发布 122 个。各厂商漏洞数量分布如下表所示。

序号

厂商名称

漏洞数量

所占比例

1

Oracle

122

56.22%

2

Microsoft

17

7.83%

3

Linux

8

3.69%

4

IBM

6

2.76%

5

Juniper Networks

6

2.76%

从漏洞类型来看,缓冲区溢出类的安全漏洞相对占比最大,达到 7.37%。 漏洞类型统计如下表所示。

(二)安全漏洞危害等级与修复情况

共发布危急漏洞 1 个,高危漏洞 13 个,中危漏洞68 个,低危漏洞 135 个。相应修复率分别为 100.00%、100.00%、 94.12%以及 94.81%。合计 206 个漏洞已有修复补丁发布,整体修复率为 94.93%。 详细情况如下表所示。

(三)重要漏洞实例

1、危急漏洞实例

危急漏洞1个,其中重点漏洞实例如下表所示。

2、高危漏洞实例

高危漏洞13个,其中重点漏洞实例如下表所示。

6     业界动态

6.1 所有Android设备都受影响:Dirty COW漏洞可获root权限

近日安全专家David Manouchehri公布了脏牛(Dirty COW)Linux漏洞的源代码,能够利用该漏洞来获取Android智能手机的root权限。在Linux项目团队已经修复了自Linux Kernel 3.6版本(2007年发布)以来的安全漏洞之后,脏牛漏洞才在网络上公开。

该漏洞编号为CVE-2016-5195(CNNVD-201610-665),允许攻击者在内核操作中不断提升自己的权限并作为合法用户来执行远程代码,换而言之就是该漏洞能够让攻击者在Linux设备上获得root权限。发现该漏洞的专家Phil Oester并未在针对现有Android设备上进行测试,不过Manouchehri上周末通过存放在GitHub上的源代码已经证明能够利用该漏洞入侵Android设备。

在推文中,Manouchehri表示使用脏牛漏洞的衍生版本已经在运行Android 6.0.1的设备上获得root权限。在接受ArsTechnica采访中,他表示自1.0版本以来的所有Android版本都存在脏牛漏洞。

6.2 Windows 0day漏洞,黑客通过字体文件控制用户电脑

网络间谍团伙FruityArmor正使用最新的Windows 0day漏洞通过畸形字体文件攻击目标用户电脑。

该漏洞为CVE-2016-3393(CNNVD-201610-299),是微软GDI(Graphics Device Interface,图形设备接口)组件中的漏洞,攻击者能够利用该漏洞在受影响的设备上运行代码,控制用户的操作系统。

微软10月11号修复了该漏洞,安全补丁为MS16-120。该漏洞由卡巴斯基研究人员在发现攻击活动中发现。

卡巴斯基新技术率先发现0day漏洞

通过卡巴斯基研究人员Anton Ivanov了解到,此次漏洞的发现要归功于部署于他们软件中的一组新技术。

利用同样的技术,卡巴斯基还发现了另外三个0day漏洞,都是关于Adobe的Flash播放器的:CVE-2016-0165(CNNVD-201604-242)、CVE-2016-1010(CNNVD-201603-178)、CVE-2016-4171(CNNVD-201606-343)。

通过浏览器提供0day漏洞链

卡巴基斯专家表示FruityArmor团伙通过诱骗用户访问一个恶意网站攻击目标,该恶意网站包含有基于浏览器的漏洞。如果初始的浏览器漏洞利用成功,攻击将继续利用CVE-2016-3393漏洞。

随后以模块的形式直接运行在内存中。模块的主要目的是打包一个含有CVE-2016-3393(CNNVD-201610-299)漏洞的特制TTF字体。打包后,在AddFontMemResourceEx的帮助下,该模块从内存中直接加载代码。成功利用CVE-2016-3393(CNNVD-201610-299)后,第二阶段以更高权限运行一个PowerShell脚本,与C&C服务器进行联系。

至于FruityArmor APT,卡巴基斯表示该团伙因迷恋使用PowerShell区别于其他网络间谍组织。

FruityArmor仅使用基于PowerShell的恶意软件,甚至恶意软件收到的命令也是PowerShell脚本的形式。

6.3 美国互联网瘫痪,约10万物联网设备被指“元凶”

Dyn的产品执行副总裁Scott Hilton昨日发表声明披露,被Mirai感染的约10万设备就是这起DDoS攻击的祸根。

Dyn上周六就该事件发表声明,但当时仅仅证实了,被“Mirai”感染的设备沦为僵尸网络,被用来实施这起导致美国大面积网络瘫痪的攻击。

昨日,Dyn发表第二份声明透露,通过对DDoS流量的初步分析,Dyn识别出约10万恶意垃圾流量来源,所有流量来源均来自被Mirai恶意软件劫持并控制的设备。

Dyn遭受DNS DDoS攻击

Hilton还提供了攻击的技术细节,称攻击者使用DNS TCP和UDP数据包发起DDoS攻击,一开始设法压垮Dyn的保护,并对Dun内部系统造成严重破坏。

因为该攻击针对的是托管DNS服务,Dyn很难区分合法DNS请求和通过DNS洪水涌入的垃圾DNS数据。

Dyn难以区分合法与虚假DNS流量

Dyn表示,这也是托管DNS服务遭如此重创的原因所在,最终导致使用Dyn DNS服务器的许多公司网站无法正常访问,例如Reddit、Imgur、Twitter、GitHub、Soundcloud、Spotify和PayPal。

Hilton解释道,“攻击的影响是,当递归服务器设法刷新缓存时生成大量合法重试活动,并通过大量IP地址生成高出正常流量10倍至20倍的流量。当发生DNS流量拥堵,合法重试会进一步增加流量。”

“似乎该恶意攻击的来源不止一个僵尸网络,重试风暴提供的虚假端点指标远比我们知道的多。”

Dyn未透露攻击力度,但据推测,攻击力度也许甚至远远超过OVH遭受DDoS攻击。OVH DDos攻击的流量峰值高达1.1 Tbps,是迄今为止史上最大的DDoS攻击。

Hilton还表示,Dyn目前正配合此次攻击的执法犯罪调查。

6.4 利用LDAP服务器的新型DDoS攻击可将攻击放大46-55倍

网络安全公司披露,上周发现一种新型DDoS攻击媒介针对其客户发起攻击。这种攻击技术是一种利用轻量目录访问协议(Lightweight Directory Access Protocol,LDAP)的放大攻击。LDAP是访问类似Active Directory数据库用户名和密码使用最广泛的协议。这种DDoS攻击利用LDAP服务器将攻击平均放大46倍,最高可放大55倍。

安全公司表示,通过进一步调查发现,黑客利用LDAP协议向目标发送垃圾流量,之前其它攻击中从未利用过该技术。

研究攻击者如何利用LDAP服务器之后,Corero透露称,在无连接轻量目录访问协议(Connection-less Lightweight Directory Access Protocol,CLDAP)中发现“0day漏洞”。CLDAP是通过Active Directory(活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务)实现LDAP协议的协议。

LDAP允许实施反射型和放大型DDoS攻击

这种情况下,攻击者使用支持CLDAP的漏洞服务器将垃圾流量反弹至目标,这种技术就是所谓的反射型(reflection)DDoS攻击。

攻击者向LDAP服务端口发送请求,但会修改发送人的IP地址,添加受害者的IP地址。当服务器处理请求后,便会准备向发送人的IP(这里指的是受害者的计算机)发送回复。

这就是反射型DDoS攻击的基本原理。但不幸的是,LDAP攻击媒介还会放大攻击。

LDAP服务器准备发送的回复内容是原请求的数倍。安全公司表示,攻击期间,回复的大小,即DDoS放大系数,为平均46倍,但在攻击高峰期,还会高达55倍。

TFTP胜过LDAP

DDoS攻击的反射与放大是常用做法,其最常用的反射与放大方法为DNS、NTP或SMTP之类的协议。

去年,安全研究人员发现其它协议容易用来实施反射与放大攻击,例如NetBIOS、RPC、Sentinel、DNSSEC和TFTP。大多数这些协议中具有较低的放大系数,除了TFPT,其放大系数高达60。

近期,针对OVH、Dyn和KrebsOnSecurity博客的DDoS攻击登上各大头条,但这类DDoS攻击都是简单的DDoS攻击类型—直接将垃圾流量涌入目标,未使用反射或放大技术。尽管其复杂程度较低,但流量峰值介于620 Gbps和1.1Tbps之间。

如果攻击者利用LDAP用于实施反射和放大技术,发起如此强势的攻击,流量很容易超过几十个Tbps。Corero认为,不久的将来可能会发生这样的情形。

6.5 代码注入新技术“AtomBombing”影响所有Windows版本

安全研究人员发现一种新技术—将恶意软件代码注入合法进程,从而帮助恶意软件绕过安全解决方案。

这种技术被称为“AtomBombing”,围绕Windows的原子表(atom table)下手的恶意代码注入技术。Atom Table是Windows的操作系统,Microsoft对Atom Table的描述如下:“Atom table是存储字符串和对应标识符的系统定义表。应用程序将atom table中放进字符串,并接收16位整数(被称之为“原子”atom),其可以用来访问字符串。对应的字符串被称之为“原子名”(atom name)。”

基本上,这些都是共享表,在这里,应用程序将信息储存在需定期访问的字符串、对象和其它类型的数据上。因为它们是共享表,因此,各种应用均能访问或修改这些表内的数据。

AtomBombing技术帮助恶意软件绕过安全解决方案

发现该技术的研究人员表示,该恶意软件能修改atom table,欺骗合法应用程序执行恶意活动。

enSilo的Tal Liberman解释道,“许多安全产品使用可信进程的白名单。如果攻击者能将恶意代码注入其中一些可信进程,就能轻松绕过安全产品。”

此外,Liberman表示,AtomBombing还帮助恶意软件执行Man-in-the-Browser(MitB)攻击,这是银行木马常用的攻击媒介。

通过利用AtomBombing,Liberman表示,恶意软件还对对用户屏幕进行截屏,访问加密密码或采取白名单应用程序能执行的其它活动。

无法打补丁,修复AtomBombing

研究人员表示,AtomBombing影响了所有Windows版本。这是一个设计缺陷,而非漏洞,也就是说,Microsoft无法在不改变整个OS运作模式的情况下打补丁修复。

除了AtomBombinb,过去发现的其它代码注入技术还包括SQL注入、XSS攻击、hotpatching、code hooking等。

本月初,研究人员发现了名为“FastPOS”的PoS恶意软件变种。该恶意软件滥用Windows邮件槽(Windows Mailslots)机制在从受感染系统漏出之前存储数据。

6.6 苹果修复恶意JPEG利用漏洞及大量安全漏洞

根据国外媒体的最新报道,苹果公司在美国当地时间星期一正式修复了iOS系统中的一个代码执行漏洞。据了解,攻击者或可利用一个精心制作的JPEG文件来利用这个漏洞进行攻击。

除此之外,苹果公司在周一还发布了针对macOS Sierra的第一轮更新。根据苹果公司的安全公告,此次更新修复了Safari、Apple Watch以及Apple TV中存在的多处漏洞,并且提高了macOS的稳定性。

就苹果公司此轮发布的更新补丁来看,有关Sierra和iOS 10.1的更新补丁数量占比是最高的。根据苹果公司以往的风格,苹果对于那些任意代码执行漏洞或者是某些可能会泄漏用户个人信息的漏洞一直都会守口如瓶。

7   联系我们

网络与教育技术中心:

电话:027-67883150

技术支持保障:

孟天:18802711157

邮箱:mengtian@xjgreat.com

联系我们

服务电话:027-67885175

办公地址:湖北省武汉市洪山区中国地质大学(武汉)

多向沟通

信息化地图
网络与教育技术中心,网络维护:02767885175  管理入口
  • 手机版