不看不知道,一看嚇一跳。你想好好上個網,其實不太容易,一不小心你就可能中招。
不要不相信,11月16日,中國電信股份有限公司北京研究院與北京神州綠盟信息安全科技股份有限公司(以下簡稱綠盟科技)等單位共同發布了調研產出的《2016年上半年中國網站安全報告》,其中給出了一組數據:
相比2015年上半年,2016年上半年高危漏洞占比有所增加。2015年上半年監測發現每個網站平均漏洞數達658個,其中,高危漏洞數為7個。2016年上半年監測的網站數據顯示,平均每個網站漏洞數達773個,其中,高危漏洞數高達22個。
七八線地區的童鞋們更要注意的是,對,你們更危險,請看——
從行業分布情況來看,地方企業占比最高,運營商、政府教育及醫療行業也存在較多問題。漏洞的行政屬性較為明顯,區縣及以下單位問題最多,合計有252969個高危漏洞,其次是各省市級單位,共曝出108722個高危漏洞,可以明確看到區縣及以下級別單位的漏洞數量要明顯高于部委、集團、省市級單位。
看上去讀者你是不是沒什么觸動的意思?沒關系,看一下以下焦點安全事件盤點,你可能會發出:“唉呀媽呀,你們說的就是這個事!”或者可能你就是其中一個受害者。
1.LinkedIn用戶賬戶信息泄露
盆友,坦白跟你說,社交平臺現在是黑客的“關注點”哦!越來越多的問題被發現,例如數據泄露、詐騙或者其他攻擊。
如果你曾經換過工作,那么這類社交求職平臺可能會毫不留情地把你的信息泄露。如下對話可能會發生:
A:李先生你好,聽說你要跳槽
B:(十分驚喜狀,以為獵頭來了),對對對,是的,你有什么好職位?
A:那個,就想問問您,一般跳槽可能會換租房是吧,我是租房中介。
……
這一次,受傷害的是領英(LinkedIn)。它是全球最大職業社交網站,會員遍布200多個國家和地區,總數超過4億人,致力于向全球職場人士提供溝通平臺,并協助他們在職場事半功倍,發揮所長。加
入后,可瀏覽會員資料、在招職位、行業消息、人脈圈動態和對您職業技能有幫助的相關信息。
2012年,一名自稱“和平”的俄羅斯黑客攻擊了領英網站,獲取了超過600萬條用戶登錄信息,并泄露在網上。
比2012年更為嚴重的是2016年,仍是一位自稱“和平”的俄羅斯黑客獲取了1.17億領英電子郵件ID以及用戶的登錄密碼,并在暗網市場上以5個比特幣(約$2200或¥15000)的價格進行出售。
暗網出售截圖
2.百萬郵件賬戶信息被盜
用過雅虎、hotmail、和Gmail 郵箱的朋友肯定還記得這次災難——
2016年5月7日,根據路透社報道,黑客正在黑市上交易高達272300000條被盜的郵件賬戶用戶名和密碼,其中,57000000條俄羅斯Mail.ru郵件賬戶、40000000條雅虎郵件賬戶、33000000條hotmail郵件賬戶以及2400000條Gmail郵件賬戶。
另外,還包含成千上萬的德國和中國的電子郵件戶,以及數以千計的涉及美國銀行業、制造業和零售業公司員工的用戶名和密碼組合如圖:
3.國內部分網站存在Ramnit惡意代碼攻擊
2016年4月,CNCERT監測發現,一個名為“Ramnit”的網頁惡意代碼被掛載在境內近600個黨政機關、企事業單位網站上,一旦用戶訪問網站有可能受到掛馬攻擊,對網站訪問用戶的PC主機構成安全威脅。
專門針對天朝黨政機關、企事業單位網站,膽子不小!
Ramnit惡意代碼是一個典型的VBScript蠕蟲病毒,可通過網頁掛馬的方式進行傳播,當用戶瀏覽含有Ramnit惡意代碼的HTML頁面時,點擊加載ActiveX控件,用戶主機就很有可能受到惡意代碼的感染。如下圖所示為Ramnit代碼在頁面中駐留的代碼片斷。
Ramnit代碼在頁面中駐留的代碼片斷
Ramnit主要在用戶% TEMP %文件夾中植入了一個名為“svchost.exe”的二進制文件并執行關聯的ActiveX控件,受感染的用戶主機會試圖連接到與Ramnit相關的一個木馬控制服務器——fget-career.com。
根據CNCERT監測情況分析,Chrome和Firefox瀏覽器用戶不會受到惡意代碼的影響,而較高版本的IE瀏覽器也會對此類ActiveX控件進行告警提示而不是自動執行。所以,受影響的主要是較低版本的IE瀏覽器。建議IE瀏覽器用戶在訪問互聯網站時做好IE安全設置(建議設置為中-高安全級別),禁止執行不明來源的ActiveX控件。
2015年11月至2016年3月間的巡檢結果顯示境內共計有約1250臺境內WEB服務器被掛載過Ramnit惡意代碼,被入侵的服務器主要類型為Microsoft IIS(占比69.3%),其次是Apache系列服務器(占比19.2%)。
4.全網服務器安全恐遭“菜刀-Cknife”威脅
2016年7月20日,據國外媒體softpedia報道,中國MS509Team的兩大安全研究人員Chora和MelodyZX開發了新型Webshell管理工具“Cknife”,在GitHub開放源代碼供所有人使用,當然黑客也不例外。
2015年12月,跨平臺版中國菜刀—Cknife發布,它是由Java語言編寫的,包括服務器端組件,可以管理鏈接至Java、PHP、ASP和ASP.NET服務器。
工具運行原理
創業公司Recorded Future的一份調查研究指出,Chopper是2013年發布的一款非常有效但卻過時(代碼級別)的Webshell管理工具,深受中國各種顏色帽、犯罪組織以及高級持續性威脅者追捧。Cknife是Chopper的“升級版”。
Cknife與Chopper有一些共同之處,像圖標以及處理HTTP請求中的一些怪異模式。但這兩種工具卻也截然不同,Cknife用Java編寫,而Chopper則用C++編寫而成。
此外,Cknife通過HTTP打開Webshell GUI與被感染服務器之間的連接,而Chopper使用HTTPS。Recorded Future表示,Cknife開發人員許諾在今后幾個月會支持HTTPS.
Cknife是網絡服務器的RAT。Cknife允許用戶一次連接多個服務器,同時連接網絡服務器與數據庫并運行命令行訪問的遠程shell。
Recorded Future警告稱,“Cknife是中國攻擊者過去半年以來一直在討論(可能在使用)的可置信威脅。考慮到圍繞網絡服務器的大范圍攻擊面、Chopper和Cknife各自的應用程序與架構以及Chopper的成功先例,不久的將來,Cknife應該應認真解決的合法威脅。”
5.只針對中國用戶的勒索軟件CuteRansomware
上次雷鋒網邀請360的專家給大家科普過勒索軟件——在黑客的眾多牟利手段當中,勒索軟件可能是最普遍的一種。這種惡意軟件通常會通過受感染的郵件附件、被篡改的網站或網頁廣告散布。勒索軟件會對用戶電腦上的文件進行加密,除非受害者交付特定數額的贖金,否則受影響的文件將會一直處于不可用的狀態。
那么,在實際案例中,有沒有真的只針對中國用戶的的勒索軟件呢?歷史告訴大家,真的有!
2016年7月15日,有安全研究人員發現了一個名為cuteRansomware的新惡意勒索軟件。該惡意軟件代碼的注釋及勒索內容全部使用的中文,這就意味著,該勒索軟件目前只將中國用戶作為攻擊目標。再仔細查看代碼并比對AVG研究人員發現的版本之后,研究人員還發現該版本還采用谷歌文檔表格作為其C&C服務器。
cuteRansomware會感染計算機,生成RSA加密密鑰,然后通過HTTPS將密鑰傳送到谷歌文檔表格中。
6.WinRT PDF存在網頁掛馬攻擊漏洞WinRT PDF
作為Windows 10系統的默認PDF閱讀器,能夠像過去幾年爆發的Flash、Java、Acrobat漏洞相似允許黑客通過Edge瀏覽器發起一系列攻擊。Windows Runtime(WinRT)PDF渲染庫或者簡稱WinRT PDF,是內嵌至Windows 10系統中的重要組件,允許開發者在應用中輕松整合PDF閱讀功能。該渲染庫被已經在Windows Store上架的應用廣泛使用,包括Windows 8/8.1的默認閱讀應用和微軟最新的Edge瀏覽器。
2016年3月3日,來自IBM X-Force Advanced研究團隊的安全專家Mark Vincent Yason近期發現WinRT PDF存在和過去幾年曾用于Flash和Java上相似的網頁掛馬攻擊(drive-by attacks)漏洞。在WinRT PDF作為Edge瀏覽器的默認PDF閱讀器之后,任何嵌入至網頁的PDF文檔都能夠在這個庫中打開。聰明的攻擊者能夠通過PDF文件來利用這個WinRT PDF漏洞,使用包含CSS的iframe定位來秘密打開包含惡意程序的PDF文件并執行惡意程序。
攻略:為何你中招,如何不再中招?
如果你曾經不小心遇到上述問題,可能不是你運氣差。綠盟科技告訴雷鋒網,通過對200余個單位的網站安全管理情況進行了調研分析,他們發現了這些問題:
在基礎管理方面,雖然目前有95%的單位有專人負責安全運維工作,但是超過5人的安全團隊不足20%,同時有將近一半的單位缺失安全制度及應急響應流程。意思是,大事不好了,然而網站運維也蒙圈了。
在資產管理方面,有將近50%的單位沒有進行網站資產的定期梳理,導致很多新建站點數據庫等端口在公網暴露,往往這些單位也不清楚下轄單位的網站資產全集。同時,有70%以上網站都是外包建站,40%以上是外包運營,如果對于外包過程掌控不足,很容易留下大量安全隱患。意思是,我把內衣、底褲都掛到攝像頭下了,還特別喜歡找別人幫我晾衣服,被拿走了都不知道。
在建站開發方面,使用第三方軟件框架種類繁多,有各類開源服務器(如apache、
Lighttpd等)、開源數據庫(如mysql、PostgreSQL等)、開源論壇框架(如phpwind、phpcms等)等,這些開源產品如果不能很好地管理,會導致大量配置相關的風險隱患。
在漏洞管理方面,有將近40%的單位認為高危漏洞處于個位數,但事實比這糟糕得多,
有61%的單位低估了漏洞的數量以及危害,另外96%的單位在徹底修復漏洞前沒有
做任何漏洞防御措施。意思是,狼來了,但是以為羊來了。
在威脅管理方面,僅有6%的單位能對掃描行為和模擬的攻擊行為進行攔截。在事件管理方面,僅有20%的單位明確進行了網站各類事故的監測,其余各單位有將近一半反饋沒有做網站事故災害監測,而另一半則不確認本單位是否做了安全事故災害監測。
為此,除了建立健全安全管理組織形式,明確清晰安全管理工作職責,構建落實安全管理體系框架,綠盟科技著重建議建立完善安全管理運營流程。
以監測、發現、與處理一項網站漏洞為例,以下為高能實操攻略:
1.如何發現漏洞這個小妖精?辦法一,日常漏洞監測與掃描。這其中包含Web漏洞和系統漏洞的監測與發現,由于網站安全漏洞會不斷被發現和公開,所以使用掃描設備對網站漏洞進行監測是個持續的過程,并且需要納入到日常管理工作范疇。
辦法二,緊急漏洞通告的輿情監測。緊急漏洞通告一般是指業內將漏洞及漏洞驗證代碼同時公開的漏洞,這些漏洞往往有高風險、波及范圍廣、對應的攻擊代碼傳播快的特點。通常在緊急漏洞公開之前或公開的同一天會出現利用該漏洞的攻擊工具。所以,對一些第三方的漏洞通報平臺、各安全廠商發布緊急漏洞信息的平臺、各類黑客論壇進行情報監測。
2.發現漏洞以后怎么辦?發現漏洞以后,需要對漏洞進行驗證和分析,驗證過程通常是根據漏洞詳情驗證漏洞的真偽,掃描設備、各類漏洞通告有較高的頻率出現誤報,所以在發現漏洞后首先要對漏洞進行驗證,確認網站系統是否存在漏洞或受到漏洞的影響。
在確認漏洞的真偽后,通常對中高危漏洞需要優先分析,分析的目的在于確認漏洞被利用后會對資產或企業造成何種影響,相同的漏洞給不同的網站帶來的風險是完全不同的,應該由網站維護人員和安全管理員共同判斷。在對網站進行驗證分析后,需要網站管理人員作出決策,凡有可能對網站造成機密性、完整性、可用性破壞的漏洞都應該考慮及時采取措施預防和修復。有部分不會對網站造成任何影響的漏洞可采取接受風險的策略。
3.漏洞未能修復之前怎么辦?在漏洞未能修復之前采取的臨時措施,通常是在漏洞修復之前采用技術手段將來自外部的風險(漏洞利用)屏蔽。這個過程可以通過修改Web程序來實現,也可以依賴于網站的防護設備,通過追加臨時安全防護策略可以攔截外部攻擊者利用漏洞的行為。
在漏洞預防策略實施后,需要再次通過人工方式或設備驗證漏洞預防策略是否已生效。當然,漏洞預防措施的實施不代表漏洞不需要修復,因為來自內部的威脅照樣存在,徹底解決的辦法還是修復漏洞。如果發現漏洞后可以快速修復漏洞,甚至可以不采取漏洞預防的措施。
4.如何修復?針對網站已有的漏洞在技術上進行修復,根據不同種類的漏洞采取的手段各不相同,同一類型的漏洞也可以采用不同的手段修復和規避,降低風險。按照漏洞的幾種常見類型,漏洞的修復方法可以按照如表所示:
京公網安備 11010502049343號