学校首页  | 加入收藏
网络安全
常用链接
您的当前位置: 首页 > 知识库 > 网络安全 > 正文
2016年12月网络安全月报
作者: 来源: 时间:2016-12-30 点击数:

中国地质大学校园网网络安全情况月报

2016年12月   (第W0012期)  总第12期

中国地质大学(武汉)网络与教育技术中心

  本期目录

1       情况综述... 1

2       安全事件通报... 2

2.1      安全事件总体概述... 2

2.2      入侵事件... 4

2.3      木马僵尸事件... 4

2.4      对外DoS攻击事件... 4

2.5      网站黑链事件... 5

3       安全事件分析... 5

3.1      入侵事件分析... 5

3.2      木马僵尸事件分析... 5

3.3      对外DoS攻击事件分析... 6

3.4      网站黑链事件分析... 6

4       安全事件处置情况... 7

5       安全预警信息... 7

6       业界动态... 12

6.1      WiFi信号干扰可以泄漏你的密码和敏感信息... 12

6.2      健康可穿戴设备及应用存在泄漏消费者隐私的风险... 16

6.3      俄罗斯黑客组织"MethBot"通过广告日赚500万美元... 17

6.4      苹果产品日益成为黑客攻击的目标... 20

6.5      7亿Android手机留后门,收集IMEI、短信和通话记录... 21

6.6      雅虎被泄露10亿数据可能被用来实施网络战... 22

7       联系我们... 24

 


 

1   情况综述

2016年11月26日至2016年12月25日,我校总体网络安全情况良好,未发生重大的网络安全事件。

根据监测分析,我校发生的安全威胁事件共49039起,近期服务器受到攻击的事件共782起;可能感染病毒木马的僵尸主机共300台,其中确定的僵尸主机共295台;对外DoS攻击事件1起。与上个月对比情况如下:


2   安全事件通报

2.1 安全事件总体概述

(一)    终端主机安全事件(共20693起):

主机类型分类统计:

 

主机地址排行统计:

序号

主机地址

受到攻击次数

备注

1

202.114.202.194

4713

 

2

202.114.207.42

4563

 

3

202.114.196.35

2856

 

4

202.114.202.220

1746

 

5

202.114.196.158

1505

 

6

202.114.196.192

1388

 

7

202.114.207.36

860

 

8

172.29.235.245

162

 

9

59.71.152.50

130

 

10

172.29.75.46

110

 

11

其他IP

2660

 

总计

20693

 

(二)    服务器安全事件(共28346起):

 

序号

主机地址

受到攻击次数

备注

1

202.114.196.87

2728

2

202.114.196.199

2495

3

202.114.196.42

1842

4

202.114.196.12

1712

5

202.114.196.245

1094

 

6

202.114.200.90

757

 

7

202.114.200.88

727

 

8

202.114.207.75

689

 

9

202.114.196.189

563

 

10

202.114.201.114

539

 

11

其他

15200

 

总计

28346

 

 


2.2 入侵事件

已被黑客攻陷的服务器:无。

2.3 木马僵尸事件

2.4 对外DoS攻击事件

2.5 网站黑链事件

被植入黑链的网站:无。

3     安全事件分析

3.1 入侵事件分析

根据监测分析,黑客主要利用漏洞进行攻击,本月我们对受到攻击的主要网段扫描结果统计如下:共发现高危漏洞97个,中危漏洞287个,低危漏洞124个。

   

3.2 木马僵尸事件分析

僵尸主机是指用户网络中因感染了蠕虫、木马等病毒而被黑客控制的主机。攻击者可通过控制僵尸主机进行DoS攻击、APT攻击等各种类型的攻击,以达到致使用户网络或重要应用系统瘫痪、窃取用户机密业务数据等目的。

建议受病毒感染的主机安装“反僵尸网络”相关软件进行扫描,清除主机中的僵尸病毒。病毒通常具有强大的复制、感染能力,建议清除病毒后的首周内持续观察,以确认病毒是否被彻底清除,同时更新完善主机的漏洞补丁。

3.3 对外DoS攻击事件分析

对外发起DoS攻击的内网主机很可能感染了病毒,并已被黑客控制。内网外发的DoS攻击将会造成严重的网络拥堵,导致用户业务中断,也会影响被攻击网络的业务的正常运行,甚至因此而受到网络监管部门的通报。

建议使用杀毒软件对主机进行病毒扫描,彻底清除病毒后再将主机接入网络,同时更新完善主机的漏洞补丁。

3.4 网站黑链事件分析

攻击者通过利用网站存在的程序漏洞上传或获取网站的webshell后门,进而篡改网站内容并植入黑链。黑链不会显现中网页上,只有中网页代码中才能看到链接。攻击者可中网站中添加赌博、色情等黑链,用户的对外业务将受到严重影响,还会面临网站被降权或者受到相关部门通报的风险。

建议查找被植入黑链的网页源代码,清除所有被篡改的内容。并且检查修复网站服务器可能存在的漏洞或者后门程序,防止黑客的二次入侵。

4   安全事件处置情况

2016年11月26日至2016年12月25日,中国地质大学(武汉)网络与教育技术中心共协调处理各类网络安全事件296起,其中木马僵尸事件295起,对外DoS攻击事件1起。针对相关事件调整相应安全防护策略以及实时漏洞分析扫描,并通告相关人员。

5     安全预警信息

根据国家信息安全漏洞库( CNNVD)统计,新增安全漏洞 398 个。从厂商分布来看,Apple 公司新增漏洞最多,共有 81 个;从漏洞类型来看,信息泄露类的安全漏洞占比最大,达到9.80%。新增漏洞中,超危漏洞 19 个,高危漏洞 8 个,中危漏洞349 个,低危漏洞 22 个。相应修复率分别为 100.00%、87.50%、68.77%以及 72.73%。根据统计,合计 282 个漏洞已有修复补丁发布,整体修复率为 70.85%。

(一)安全漏洞分布情况

从厂商分布来看,Apple 公司产品的漏洞数量最多,共 81 个,涉及Apple iOS、 watchOS 及 macOS 操作系统上的多个组件。漏洞数量 Top5 厂商分布如下表所示。

序号

厂商名称

漏洞数量

所占比例

1

Apple

81

20.35%

2

Microsoft

39

9.80%

3

Adobe

30

7.54%

4

Mozilla

14

3.52%

5

Cisco

11

2.76%

从漏洞类型来看,信息泄露类的安全漏洞相对占比最大,达到 9.80%。 漏洞类型统计如下表所示。

(二)安全漏洞危害等级与修复情况

共发布危急漏洞 19 个,高危漏洞 8 个,中危漏洞349 个,低危漏洞 22 个。相应修复率分别为 100.00%、87.50%、 68.77%以及 72.73%。合计 282 个漏洞已有修复补丁发布,整体修复率为 70.85%。 详细情况如下表所示。

(三)重要漏洞实例

超危漏洞19个,高危漏洞8个,其中重点漏洞实例如下表所示。

1. Adobe Flash Player 缓冲区错误漏洞(CNNVD-201612-416)

Adobe Flash Player 是美国奥多比( Adobe)公司的一款跨平台、基于浏览器的多媒体播放器产品。该产品支持跨屏幕和浏览器查看应用程序、内容和视频。

Adobe Flash Player 中存在安全漏洞。攻击者可利用该漏洞执
行任意代码。以下版本受到影响:

-Adobe Flash Player for Windows 和 Macintosh 23.0.0.207
及之前的版本

-Adobe Flash Player for Google Chrome 23.0.0.207 及之前
的版本

-Adobe Flash Player for Microsoft Edge 和 Internet Explorer 11 23.0.0.207 及之前的版本

-Adobe Flash Player for Linux 11.2.202.644 及之前的版本

解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

https://helpx.adobe.com/security/products/flash-player/
apsb16-39.html

2. Adobe Flash Player 代码注入漏洞(CNNVD-201612-395)

Adobe Flash Player 是美国奥多比( Adobe)公司的一款跨平台、基于浏览器的多媒体播放器产品。该产品支持跨屏幕和浏览器查看应用程序、内容和视频。

Adobe Flash Player 中存在释放后重用漏洞。攻击者可利用该
漏洞执行任意代码。以下版本受到影响:

-Adobe Flash Player for Windows 和 Macintosh 23.0.0.207及之前的版本

-Adobe Flash Player for Google Chrome 23.0.0.207 及之前的版本

-Adobe Flash Player for Microsoft Edge 和 Internet Explorer 11 23.0.0.207 及之前的版本

-Adobe Flash Player for Linux 11.2.202.644 及之前的版本

解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

https://helpx.adobe.com/security/products/flash-player/
apsb16-39.html

3. Android Mediaserver 权限许可和访问控制漏洞(CNNVD-201612-341)

Android 是美国谷歌( Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以 Linux 为基础的开源操作系统。Mediaserver 是其中的一个多媒体服务组件。

Android 2016-11-01 之前的 7.0 版本中的 Mediaserver 组件存在提权漏洞。攻击者可借助本地恶意的应用程序利用该漏洞在进程的上下文中执行任意代码。

解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

https://source.android.com/security/bulletin/2016-11-01.html

4. JFrog Artifactory 安全漏洞(CNNVD-201612-260)

JFrog Artifactory 是以色列 JFrog 公司的一款开源的通用 Artifact 存储库管理器,它支持集群和高可用性 Docker 注册表并提供端到端的用于跟踪从开发到生产的工件自动化解决方案。

JFrog Artifactory 4.11 之前的版本中存在安全漏洞。远程攻
击者可借助带有特制序列化 Java对象的 LDAP利用该漏洞执行任意代码。

解决措施:目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

https://www.jfrog.com/confluence/display/RTF/Release+No
tes#ReleaseNotes-MainUpdates.7

6     业界动态

6.1 WiFi信号干扰可以泄漏你的密码和敏感信息

研究人员发现,在手机上输入密码时,肢体动作会干扰WiFi信号,黑客可通过分析WiFi信号干扰,窃取敏感信息,比如密码、PINs以及按键信息等。

近日,来自上海交通大学、南佛罗里达大学和波士顿马萨诸塞大学的一组研究人员展示了一种新技术,通过分析无线电信号干扰,只使用一个钓鱼WiFi热点就可以窃取私人信息。这项技术被称为WindTalker,攻击通过读取叫做信道状态信息(CSI)的无线电信号模式,嗅探用户在手机触摸屏或计算机键盘上的手指运动。

CSI是WiFi协议的一部分,其提供关于WiFi信号状态的一般信息。

研究人员在他们的文章中写道:“WindTalker的动机来自一项观察,移动设备上的击键将导致不同的手部覆盖和手指运动,这将对多路径信号引入唯一的干扰,并且可以通过信道状态信息(CSI)反映出来,当CSI遇到公共WiFi:通过WiFi信号来传递手机密码。对手可以利用CSI波动和击键之间的强相关性来推断用户的号码输入。”

这就是一个攻击者如何跟踪用户手指在智能手机屏幕上移动:

  http://www.cnnvd.org.cn/Public/js/kindeditor4/attached/image/20161202/20161202091057_13131.png

  http://www.cnnvd.org.cn/Public/js/kindeditor4/attached/image/20161202/20161202091244_87071.png

当用户在任何应用程序中输入PIN码或密码,或者滑动智能手机锁定屏幕模式时,手指移动会更改手机传输的WiFi信号,并将移动打印到信号中。

现在,黑客控制了该设备所连接的公共Wi-Fi热点,就可以拦截、分析和反向工程处理这些信号,以准确猜测您输入到手机或密码输入框中的敏感数据。

  http://www.cnnvd.org.cn/Public/js/kindeditor4/attached/image/20161202/20161202091319_45205.png

WindTalker攻击特别有效,因为它不需要任何访问受害者的电话,而且对常规手机都起作用。攻击需要黑客控制目标将连接到的钓鱼WiFi接入点,并收集WiFi信号干扰。

WindTalker也不能使用具有一个天线的老式互联网路由器在您的家庭周围广播Wi-Fi信号,因为它依赖于一种称为多输入多输出(MIMO)的技术。

然而,这不是问题,因为最新的无线路由器现在带有多个天线和MIMO技术,这使得路由器能够同时连接和传输来自多个设备的数据。

WindTalker攻击精度超过68%

研究人员在几个手机的真实场景中测试了WindTalker攻击,能够恢复通过中国支付服务支付宝完成移动支付交易所需的6位交易密码。

研究人员说:“评估结果表明,攻击者可以以很高的成功率恢复密钥。在实践中,攻击者有更多的选择来实现用户特定的训练,例如,它可以简单地为用户提供免费的WiFi接入,作为回报,受害者应该通过点击指定的号码完成在线训练。模仿文字验证码,要求受害者输入选择的数字,即使一次击键只有一个训练样本,WindTalker仍然可以实现68.3%的整体恢复率。”

WindTalker攻击的准确性基于手机型号不同,而且如果用户输入次数更多并且攻击者在其上收集更多数据,准确性还可以进一步提升。

WindTalker攻击技术也出现在10月24日至28日在奥地利维也纳举行的第23届计算机和通信安全计算机器会议协会。

6.2 健康可穿戴设备及应用存在泄漏消费者隐私的风险

近几年来健康可穿戴设备及健康类应用已变得越来越受欢迎,因为它们能帮助用户监控心率、卡路里及睡眠模式等。毫无疑问它们会对用户的健康产生一定积极影响,但另一方面它们似乎也有可能会对用户的隐私带来潜在风险。 美国数据民主中心(Center for Digital Democracy)在一份名为“大数据时代中的健康可穿戴设备”报告中提出要解决健康可穿戴设备及大数据系统存在的问题。

智能手表及智能腕带等可穿戴设备均以应用及智能手机连接在一起,作为帮助人们找到管理健康最有效方式的系统的一部分。 然而消费者却面临着个人隐私数据遭泄露的风险。这份报告指出,美国监管体系仍未能采取措施有效保护用户隐私。

这份报告指出“许多可穿戴设备都已被集成到一个正在成长的大数据数字健康和营销生态系统中,其重点是通过收集及监控及货币化个人健康数据来影响消费者行为。”

另外,这份报告中还显示:“可穿戴设备公司要么会成为大数字营销业务的一部分,要么或创建自己的广告网络。并通过从营销云中购买数据来完善客户资料,以便能够参与到营销中。”

6.3 俄罗斯黑客组织"MethBot"通过广告日赚500万美元

俄罗斯黑客组织通过伪造主流媒体公司的网页,使用先进软件工具播放视频广告,并伪装成真正的用户浏览广告,向广告商收费,每日赚取200万~500万美元。

研究人员将此行动称为“Methbot”。Methbot使用虚假注册、并设计成类似媒体(例如ESPN、Vogue和Fortune)的伪造网页,每天在视频广告上生成3亿次虚假广告曝光次数(Impression)。

安全公司White Ops表示,6000多个这样的优质域名被用来行骗,生成超过25万个伪造页面。虚假互联网用户由定制编写的浏览器创建,并通过虚假注册在美国互联网服务提供商的50万个IP地址操作,然后“观看”广告。浏览器甚至被设计模仿鼠标动作、社交媒体登录和其它真实用户的特征,以骗过点点击欺诈安全软件,并哄抬广告曝光的价格。

  http://www.cnnvd.org.cn/Public/js/kindeditor4/attached/image/20161223/20161223093557_82427.png

伪造Methbot用户观看广告带来的每千次曝光成本(Cost Per Mille,或者Cost Per Thousand;Cost Per Impressions;CPM)为3.27美元至36.72美元。Methbot生成的点击平均CPM为13.04美元。每天虚假曝光次数达数亿次,研究人员估算,Methbot黑客每天赚取200-500万美元。

研究人员表示,此骗局之所以奏效,是因为广告生态系统的“复杂性、互联性及匿名性”,其中,不同公司的广告与自动平台(需求方平台,或DSPs)捆绑在一起,并出售给其它自动平台(供应方平台,或SSPs),这些供应方平台将广告分配给出版商。

因此,出版商的广告和点击可能会通过许多系统和公司,从广告商到用户,然后再返回。研究人员表示,“由于‘围墙花园’(Walled Gardens)、转售、利益竞争以及人力资本限制,难以追踪通过各个市场返回的完整路径。”

White Ops的首席执行官迈克尔蒂芙尼在声明中表示,“Methbot将广告欺诈的复杂性和规模提升到全新水平。互联网上最昂贵的广告是知名网站的全尺寸视频广告,向登录至社交媒体和有“参与”标识的用户展示。Methbot背后的俄罗斯操作者以最盈利的广告分类和出版商。”

广告商协会Trustworthy Accountability Group的首席执行官迈克扎内斯表示,“这种欺诈行为对广告生态系统的诚信构成巨大威胁,我们赞赏White Ops带头在数字广告界共享该情报的做法。

安全公司White Ops表示,Methbot生成的虚假点击量比之前的欺诈行动多出许多倍。先前的欺诈行为通过恶意软件劫持真实用户的计算机。

安全公司White Ops将该行动称之为“Methbot”,引用为代码中的Meth, Methbot称自己为“广告欺诈规则的改变者。”

此前,欺诈分子通过恶意软件感染个人电脑,之后在后台瞒着用户生成广告点击。

安全公司WhiteOps研究人员在报告中指出:“然而,这种方法一直是一个限制因素,因为需要持续感染新电脑—尤其现有感染被发现并被反恶意软件厂商清理时。相比之下,Methbot网络犯罪分子投入大量时间、研究、开发和资源构建基础设施,消除这些限制。”

该犯罪团伙使用伪造文件能获取或租赁571904真实的IP地址,将IP地址用来生成看似来自合法美国ISP的欺骗性广告点击。

  http://www.cnnvd.org.cn/Public/js/kindeditor4/attached/image/20161223/20161223093731_38177.png

研究人员指出,“如今,这些IP地址的本身价值就超过400万美元。”

伪造页面托管在800-1200台Methbot的专用服务器上,这些服务器是从美国和荷兰的IDC数据中心租赁来的,真实来源被代理隐藏。

6.4 苹果产品日益成为黑客攻击的目标

微软Windows系统使用更为广泛,因此也成为了黑客重点攻击的对象,由于曝光了系统中的诸多漏洞,给很多消费者留下“不安全”的印象。相对于来说,macOS系统则小众,相对来说也更为的“安全”。趋势科技(Trend Micro)表示零日项目(ZDI)在最近的报告中显示,微软共有76处漏洞,而Adobe公司软件共有135处漏洞,再次表明Adobe公司还需要花费大量精力在产品安全方面。

  http://www.cnnvd.org.cn/Public/js/kindeditor4/attached/image/20161221/20161221091237_11115.png

而更为糟糕的是macOS系统,今年11月漏洞数量从25翻倍至50处。趋势科技在安全预测中写道:“除了微软之外,我们预测Adobe和苹果的产品所发现的软件漏洞将会越来越多。”报告中继续说道:“事实上微软PC出货量在最近几年呈现下滑趋势,而目前使用智能手机和专业级别平板的用户变得越来越多了,另一个因素是微软在安全方面的优化和调整让攻击者更难在系统中找到漏洞。”

趋势科技表示,苹果软件日益成为黑客的攻击目标,这主要是因为越来越多的人切换使用Mac设备。与此同时,iPhone也是最常被攻击的产品,例如iPhone 4s这样已经停止支持的设备在发现漏洞之后不会进行修复。

6.5 7亿Android手机留后门,收集IMEI、短信和通话记录

据外媒报道,11月,研究人员发现一款定制固件被植入后门,近7亿手机被用来收集用户信息。如今,检查感染情况的安全公司Trustlook发现收集的数据包括IMEI、IMSI、MAC地址、版本号和运营商。

具体而言,上个月的一份报告显示,由装有上海某信息技术股份有限公司定制固件的Android手机被后门感染,收集用户收据并提交至中国的服务器。

Trustlook表示,受影响手机制造商有43家,包括联发科技(Mediatek)、BLU、中兴和联想。

此外,Trustlook称,被感染系统还收集短信和通话记录,并在未经用户许可的情况下传输至中国,且在后台运行。

每隔72小时上传一次数据

这个应用程序预装在所有自制固件设备上,专门用来收集设备和用户活动信息,并定期上传至bigdata.adups.com。

Trustlook数据收集始于2016年7月,被发现之前持续超过6个月。

Trustlook解释称,“人们习惯性地认为新手机干净、不包含恶意软件,但事实并非总是如此。一些智能手机厂商选择使用第三方移动终端空中下载软件升级技术(Firmware Over-The-Air,FOTA)服务,而非谷歌,这可能带来严重的安全隐患。

运行上海某公司固件的一些公司已经放弃了广升,包括BLU,他们决定通过谷歌解决方案寻求更好的安全。

虽然大多公司为中国厂商,但其中一些公司也在其它大型市场(包括美国)在销售被此后门感染的Android设备。BLU就在美国销售了约12万部手机。

6.6 雅虎被泄露10亿数据可能被用来实施网络战

2013年雅虎遭遇大规模黑客攻击事件,影响10亿Yahoo用户。这起黑客事件说明,网络攻击收集的数据可能被用于间谍、信息战和盈利活动。

上周三揭露的这起数据泄露事件数有史以来规模最大。Yahoo今年9月公布一起发生在2014年的黑客攻击,导致5亿Yahoo用户受到影响。

安全咨询公司Denim Group的约翰迪克森表示,从表面看,泄露的数据是“一堆垃圾”,毫无价值。但创建可搜索数据库(例如生日和手机号码)的能力对黑客价值连城,以便他们盈利并参与工业或国家间谍活动。

美国空军信息战中心前官员迪克森表示,“如果想研究并获取目标相关信息,黑客会使用能发现的任何内容。”

Yahoo公司表示,黑客没有收集信用卡或社保号。因此,某些分析家猜测黑客的目标与金钱无关。

英特尔安全的首席技术官史蒂夫格罗勃曼表示,“对于将数据当做武器使用的人来说,数据价值连城。”

网络安全智库-关键基础设施技术研究院(Institute for Critical Infrastructure Technology)的高级研究员詹姆斯斯科特表示,虽然细节还不得而知,但攻击可能使政府制造假情报。

斯科特指出,“暗网”市场还未出售这类数据,也就是说,标准搜索引擎搜不到“暗网”黑暗角落的内容。

斯科特表示,“因为没有报道大量受害者身份被盗用的情况,这起数据泄露事件很可能不是为了金钱利益。 这可能表明,这起数据泄露事件被用于信息战的间谍活动。”

安全分析家表示,这类攻击通常是为了信息收集(收集个人信息,例如生日或以前就读的学校或大学)。

Yahoo表示,目前尚不清楚这起数据泄露的幕后黑手,但有证据指向上一起数据泄露(9月披露)的“国家攻击者”。

安全公司InfoArmor 9月表示,前一起数据泄露事件的分析表明,“专业”黑客窃取了Yahoo数据,之后仅向国家实体出售。InfoArmor当时表示,数据泄露“为网络间谍和攻击目标打开了机遇大门。”

安全研究人员格雷厄姆克鲁利表示,某些信息,例如电话号码对罪犯具有价值。克鲁利在YoutTube发帖中表示,如果黑客或诈骗分子持有他人电话号码,他们可以打电话,诱骗受害者相信他们是一个与受害者有联系的组织机构,这就意味着有人会被诱骗提供更多个人信息。

7   联系我们

网络与教育技术中心:

电话:027-67883150

技术支持保障:

孟天:18802711157

邮箱:mengtian@xjgreat.com

联系我们

服务电话:027-67885175

办公地址:湖北省武汉市洪山区中国地质大学(武汉)

多向沟通

信息化地图
网络与教育技术中心,网络维护:02767885175  管理入口
  • 手机版