WinRT PDF 作為 Windows 10 系統的預設 PDF 閱讀器,能夠像過去幾年爆發的 Flash、Java、Acrobat漏洞相似允許駭客透過 Edge 瀏覽器發起一系列攻擊。Windows Runtime(WinRT)PDF 渲染庫或者簡稱 WinRT PDF,是內嵌至 Windows 10 系統中的重要元件,允許開發者在應用中輕鬆整合PDF閱讀功能。該渲染庫被已經在 Windows Store 上架的應用廣泛使用,包括 Windows 8/8.1 的預設閱讀應用和微軟最新的Edge瀏覽器。
2016年3月3日,來自 IBM X-Force Advanced 研究團隊的安全專家 Mark Vincent Yason 近期發現 WinRT PDF 存在和過去幾年曾用於 Flash 和 Java 上相似的網頁掛馬攻擊(drive-by attacks)漏洞。在WinRT PDF 作為 Edge 瀏覽器的預設 PDF 閱讀器之後,任何嵌入至網頁的 PDF 文件都能夠在這個庫中開啟。聰明的攻擊者能夠透過 PDF 檔案來利用這個 WinRT PDF 漏洞,使用包含 CSS 的 iframe 定位來秘密開啟包含惡意程式的 PDF 檔案並執行惡意程式。
11月16日,中國電信股份有限公司北京研究院與北京神州綠盟資訊保安科技股份有限公司(以下簡稱綠盟科技)等單位共同釋出了調研產出的《2016 年上半年中國網站安全報告》,其中給出了一組資料:
相比 2015 年上半年, 2016 年上半年高危漏洞佔比有所增加。 2015 年上半年監測發現每個網站平均漏洞數達 658 個,其中,高危漏洞數為 7 個。 2016 年上半年監測的網站資料顯示,平均每個網站漏洞數達 773個,其中,高危漏洞數高達 22 個。
七八線地區的童鞋們更要注意的是,對,你們更危險,請看——
從行業分佈情況來看,地方企業佔比最高,運營商、政府教育及醫療行業也存在較多問題。漏洞的行政屬性較為明顯,區縣及以下單位問題最多,合計有 252969 個高危漏洞,其次是各省市級單位,共曝出 108722 個高危漏洞,可以明確看到區縣及以下級別單位的漏洞數量要明顯高於部委、集團、省市級單位。
看上去讀者你是不是沒什麼觸動的意思?沒關係,看一下以下焦點安全事件盤點,你可能會發出:“唉呀媽呀,你們說的就是這個事!”或者可能你就是其中一個受害者。
1.LinkedIn 使用者賬戶資訊洩露
盆友,坦白跟你說,社交平臺現在是駭客的“關注點”哦!越來越多的問題被發現,例如資料洩露、詐騙或者其他攻擊。
如果你曾經換過工作,那麼這類社交求職平臺可能會毫不留情地把你的資訊洩露。如下對話可能會發生:
A:李先生你好,聽說你要跳槽
B:(十分驚喜狀,以為獵頭來了),對對對,是的,你有什麼好職位?
A:那個,就想問問您,一般跳槽可能會換租房是吧,我是租房中介。
……
這一次,受傷害的是領英( LinkedIn)。它是全球最大職業社交網站,會員遍佈 200 多個國家和地區,總數超過4 億人,致力於向全球職場人士提供溝通平臺,並協助他們在職場事半功倍,發揮所長。加入後,可瀏覽會員資料、在招職位、行業訊息、人脈圈動態和對您職業技能有幫助的相關資訊。
2012 年,一名自稱“和平”的俄羅斯駭客攻擊了領英網站,獲取了超過 600 萬條使用者登入資訊,並洩露在網上。
比 2012 年更為嚴重的是 2016 年,仍是一位自稱“和平”的俄羅斯駭客獲取了 1.17 億領英電子郵件 ID 以及使用者的登入密碼,並在暗網市場上以 5 個比特幣(約 $2200 或¥15000)的價格進行出售。
暗網出售截圖
2.百萬郵件賬戶資訊被盜
用過雅虎、hotmail、和Gmail 郵箱的朋友肯定還記得這次災難——
2016 年 5 月 7 日,根據路透社報道,駭客正在黑市上交易高達 272300000 條被盜的郵件賬戶使用者名稱和密碼,其中, 57000000 條俄羅斯 Mail.ru 郵件賬戶、 40000000 條雅虎郵件賬戶、 33000000 條 hotmail 郵件賬戶以及 2400000 條 Gmail 郵件賬戶。
另外,還包含成千上萬的德國和中國的電子郵件戶,以及數以千計的涉及美國銀行業、製造業和零售業公司員工的使用者名稱和密碼組合如圖:
3.國內部分網站存在 Ramnit 惡意程式碼攻擊
2016年4月,CNCERT 監測發現,一個名為“ Ramnit ”的網頁惡意程式碼被掛載在境內近600個黨政機關、企事業單位網站上,一旦使用者訪問網站有可能受到掛馬攻擊,對網站訪問使用者的 PC 主機構成安全威脅。
專門針對天朝黨政機關、企事業單位網站,膽子不小!
Ramnit 惡意程式碼是一個典型的 VBScript 蠕蟲病毒,可透過網頁掛馬的方式進行傳播,當用戶瀏覽含有 Ramnit 惡意程式碼的 HTML 頁面時,點選載入 ActiveX 控制元件,使用者主機就很有可能受到惡意程式碼的感染。如下圖所示為 Ramnit 程式碼在頁面中駐留的程式碼片斷。
Ramnit程式碼在頁面中駐留的程式碼片斷
Ramnit 主要在使用者% TEMP %資料夾中植入了一個名為“svchost.exe”的二進位制檔案並執行關聯的 ActiveX 控制元件,受感染的使用者主機會試圖連線到與 Ramnit 相關的一個木馬控制伺服器——fget-career.com。
根據 CNCERT 監測情況分析,Chrome 和 Firefox 瀏覽器使用者不會受到惡意程式碼的影響,而較高版本的 IE 瀏覽器也會對此類 ActiveX 控制元件進行告警提示而不是自動執行。所以,受影響的主要是較低版本的 IE 瀏覽器。建議IE瀏覽器使用者在訪問網際網路站時做好 IE 安全設定(建議設定為中-高安全級別),禁止執行不明來源的ActiveX控制元件。
2015年11月至2016年3月間的巡檢結果顯示境內共計有約 1250 臺境內WEB伺服器被掛載過 Ramnit 惡意程式碼,被入侵的伺服器主要型別為 Microsoft IIS(佔比69.3%),其次是 Apache 系列伺服器(佔比19.2%)。
4.全網伺服器安全恐遭“菜刀-Cknife”威脅
2016年7月20日,據國外媒體 softpedia 報道,中國 MS509Team 的兩大安全研究人員 Chora 和 MelodyZX 開發了新型Webshell管理工具“Cknife”,在 GitHub 開放原始碼供所有人使用,當然駭客也不例外。
2015年12月,跨平臺版中國菜刀—Cknife釋出,它是由Java語言編寫的,包括伺服器端元件,可以管理連結至 Java、PHP、ASP 和 ASP.NET 伺服器。
工具執行原理
創業公司 Recorded Future 的一份調查研究指出,Chopper 是 2013 年釋出的一款非常有效但卻過時(程式碼級別)的 Webshell 管理工具,深受中國各種顏色帽、犯罪組織以及高階持續性威脅者追捧。Cknife 是 Chopper 的“升級版”。
Cknife 與 Chopper 有一些共同之處,像圖示以及處理HTTP請求中的一些怪異模式。但這兩種工具卻也截然不同,Cknife 用 Java 編寫,而 Chopper 則用 C++ 編寫而成。
此外,Cknife 透過 HTTP 開啟 Webshell GUI 與被感染伺服器之間的連線,而 Chopper 使用 HTTPS。Recorded Future 表示,Cknife 開發人員許諾在今後幾個月會支援 HTTPS.
Cknife 是網路伺服器的 RAT 。Cknife 允許使用者一次連線多個伺服器,同時連線網路伺服器與資料庫並執行命令列訪問的遠端shell。
Recorded Future 警告稱,“Cknife 是中國攻擊者過去半年以來一直在討論(可能在使用)的可置信威脅。考慮到圍繞網路伺服器的大範圍攻擊面、Chopper 和 Cknife 各自的應用程式與架構以及 Chopper的成功先例,不久的將來,Cknife 應該應認真解決的合法威脅。”
5.只針對中國使用者的勒索軟體CuteRansomware
上次雷鋒網邀請 360 的專家給大家科普過勒索軟體——在駭客的眾多牟利手段當中,勒索軟體可能是最普遍的一種。這種惡意軟體通常會透過受感染的郵件附件、被篡改的網站或網頁廣告散佈。勒索軟體會對使用者電腦上的檔案進行加密,除非受害者交付特定數額的贖金,否則受影響的檔案將會一直處於不可用的狀態。
那麼,在實際案例中,有沒有真的只針對中國使用者的的勒索軟體呢?歷史告訴大家,真的有!
2016年7月15日,有安全研究人員發現了一個名為 cuteRansomware 的新惡意勒索軟體。該惡意軟體程式碼的註釋及勒索內容全部使用的中文,這就意味著,該勒索軟體目前只將中國使用者作為攻擊目標。再仔細檢視程式碼並比對 AVG 研究人員發現的版本之後,研究人員還發現該版本還採用谷歌文件表格作為其 C&C伺服器。
cuteRansomware 會感染計算機,生成 RSA 加密金鑰,然後透過 HTTPS 將金鑰傳送到谷歌文件表格中。
6.WinRT PDF 存在網頁掛馬攻擊漏洞
WinRT PDF 作為 Windows 10 系統的預設 PDF 閱讀器,能夠像過去幾年爆發的 Flash、Java、Acrobat漏洞相似允許駭客透過 Edge 瀏覽器發起一系列攻擊。Windows Runtime(WinRT)PDF 渲染庫或者簡稱 WinRT PDF,是內嵌至 Windows 10 系統中的重要元件,允許開發者在應用中輕鬆整合PDF閱讀功能。該渲染庫被已經在 Windows Store 上架的應用廣泛使用,包括 Windows 8/8.1 的預設閱讀應用和微軟最新的Edge瀏覽器。
2016年3月3日,來自 IBM X-Force Advanced 研究團隊的安全專家 Mark Vincent Yason 近期發現 WinRT PDF 存在和過去幾年曾用於 Flash 和 Java 上相似的網頁掛馬攻擊(drive-by attacks)漏洞。在WinRT PDF 作為 Edge 瀏覽器的預設 PDF 閱讀器之後,任何嵌入至網頁的 PDF 文件都能夠在這個庫中開啟。聰明的攻擊者能夠透過 PDF 檔案來利用這個 WinRT PDF 漏洞,使用包含 CSS 的 iframe 定位來秘密開啟包含惡意程式的 PDF 檔案並執行惡意程式。
攻略:為何你中招,如何不再中招?
•在基礎管理方面,雖然目前有 95% 的單位有專人負責安全運維工作,但是超過 5 人的安全團隊不足 20%,同時有將近一半的單位缺失安全制度及應急響應流程。意思是,大事不好了,然而網站運維也蒙圈了。
•在資產管理方面,有將近 50% 的單位沒有進行網站資產的定期梳理,導致很多新建站點資料庫等埠在公網暴露,往往這些單位也不清楚下轄單位的網站資產全集。同時,有 70% 以上網站都是外包建站, 40% 以上是外包運營,如果對於外包過程掌控不足,很容易留下大量安全隱患。意思是,我把內衣、底褲都掛到攝像頭下了,還特別喜歡找別人幫我晾衣服,被拿走了都不知道。
•在建站開發方面,使用第三方軟體框架種類繁多,有各類開源伺服器(如 apache、Lighttpd 等 )、開源資料庫 ( 如 mysql、 PostgreSQL 等 )、開源論壇框架(如 phpwind、phpcms 等)等,這些開源產品如果不能很好地管理,會導致大量配置相關的風險隱患。
•在漏洞管理方面,有將近 40% 的單位認為高危漏洞處於個位數,但事實比這糟糕得多,有 61% 的單位低估了漏洞的數量以及危害,另外 96% 的單位在徹底修復漏洞前沒有做任何漏洞防禦措施。意思是,狼來了,但是以為羊來了。
•在威脅管理方面,僅有 6% 的單位能對掃描行為和模擬的攻擊行為進行攔截。在事件管理方面,僅有 20% 的單位明確進行了網站各類事故的監測,其餘各單位有將近一半反饋沒有做網站事故災害監測,而另一半則不確認本單位是否做了安全事故災害監測。
為此,除了建立健全安全管理組織形式,明確清晰安全管理工作職責,構建落實安全管理體系框架,綠盟科技著重建議建立完善安全管理運營流程。
以監測、發現、與處理一項網站漏洞為例,以下為高能實操攻略:
1.如何發現漏洞這個小妖精?
辦法一,日常漏洞監測與掃描。這其中包含Web 漏洞和系統漏洞的監測與發現,由於網站安全漏洞會不斷被發現和公開,所以使用掃描裝置對網站漏洞進行監測是個持續的過程,並且需要納入到日常管理工作範疇。辦法二,緊急漏洞通告的輿情監測。緊急漏洞通告一般是指業內將漏洞及漏洞驗證程式碼同時公開的漏洞,這些漏洞往往有高風險、波及範圍廣、對應的攻擊程式碼傳播快的特點。通常在緊急漏洞公開之前或公開的同一天會出現利用該漏洞的攻擊工具。所以,對一些第三方的漏洞通報平臺、各安全廠商釋出緊急漏洞資訊的平臺、各類駭客論壇進行情報監測。
2.發現漏洞以後怎麼辦?
發現漏洞以後,需要對漏洞進行驗證和分析,驗證過程通常是根據漏洞詳情驗證漏洞的真偽,掃描裝置、各類漏洞通告有較高的頻率出現誤報,所以在發現漏洞後首先要對漏洞進行驗證,確認網站系統是否存在漏洞或受到漏洞的影響。
在確認漏洞的真偽後,通常對中高危漏洞需要優先分析,分析的目的在於確認漏洞被利用後會對資產或企業造成何種影響,相同的漏洞給不同的網站帶來的風險是完全不同的,應該由網站維護人員和安全管理員共同判斷。在對網站進行驗證分析後,需要網站管理人員作出決策,凡有可能對網站造成機密性、完整性、可用性破壞的漏洞都應該考慮及時採取措施預防和修復。有部分不會對網站造成任何影響的漏洞可採取接受風險的策略。
3.漏洞未能修復之前怎麼辦?
在漏洞未能修復之前採取的臨時措施,通常是在漏洞修復之前採用技術手段將來自外部的風險(漏洞利用)遮蔽。這個過程可以透過修改 Web 程式來實現,也可以依賴於網站的防護裝置,透過追加臨時安全防護策略可以攔截外部攻擊者利用漏洞的行為。
在漏洞預防策略實施後,需要再次透過人工方式或裝置驗證漏洞預防策略是否已生效。當然,漏洞預防措施的實施不代表漏洞不需要修復,因為來自內部的威脅照樣存在,徹底解決的辦法還是修復漏洞。如果發現漏洞後可以快速修復漏洞,甚至可以不採取漏洞預防的措施。
4.如何修復?
針對網站已有的漏洞在技術上進行修復,根據不同種類的漏洞採取的手段各不相同,同一型別的漏洞也可以採用不同的手段修復和規避,降低風險。按照漏洞的幾種常見型別,漏洞的修復方法可以按照如表所示: