您当前的位置:首页 > 网络安全知识 > 正文

金山毒霸:2017网络安全大事回顾

2017年12月27日 00:47:29??? 甘肃省委网信办

1.永恒之蓝漏洞与勒索病毒制造全球蠕虫灾难

5 月 12 日晚8 时左右,WannaCry(想哭)勒索软件全球爆发,存在漏洞的电脑开机上网就可被攻击。数小时之内,病毒席卷英国、俄罗斯、整个欧洲,迅速蔓延至国内高校校内网、大型企业内网和政府机构专网,桌面弹出支付比特币才能解密恢复文件,攻击造成教学系统、校园一卡通系统、加油站系统及众多政府机关网络瘫痪。

11.jpg

该病毒之所以快速蔓延,其根源在黑客组织“影子经纪人(Shadow Brokers)”将NSA(美国国家安全局)使用的武器级安全漏洞公开。尽管微软早在病毒事件爆发前发布了安全补丁,但众多内网用户并未及时修补,从而导致一场遍布全球的安全灾难。

继WannaCry(想哭)勒索蠕虫之后,又有NotPetya、Bad Rabbit等多款蠕虫病毒利用类似的攻击手机(漏洞+勒索)在欧洲多国传播,这些病毒的影响力都远逊于WannaCry勒索蠕虫。

该病毒给所有网民的教训就是必须高度重视安全漏洞的影响,特别是安全专家们提及的网络战武器级高危漏洞。这类安全漏洞单点使用可以无形中渗透到保密级别很高的网络系统,大规模使用可以导致极为严重的后果。影子经纪人一直宣称要公开所有NSA的网络战兵器谱,但仅仅只放了几个出来。

及时修补安全漏洞才能在突然到来的蠕虫病毒攻击中成为幸存者。重要数据如果没有备份,在遭遇超强加密的勒索病毒时,将造成无法挽回的损失。

2.国产流氓软件Fireball(火球)全球做恶

据国外安全公司报告,由中国商业公司卿烨科技(rafotech)控制的Fireball(火球)病毒,感染全球约2.5亿部计算机。

火球病毒感染后会劫持用户浏览器,中毒电脑成为僵尸网络的一部分。Fireball病毒也是一个功能完善的病毒下载器,可以在中毒电脑执行任何代码。其核心功能是控制用户浏览器点击谷歌、雅虎网站的广告牟利。

该病毒事件被公布后,相关公司迅速被公安机关查处。目前,火球病毒已停止活动。

3.暗云木马大肆传播,格式化硬盘也无法清除

暗云木马是迄今为止最复杂的木马之一,曾经感染过数百万电脑,它用了很多复杂的新技术来长期潜伏在系统中,尤其是借助BootKit直接感染硬盘引导分区。

暗云木马变种会将攻击母体捆绑在游戏外挂或私服工具中,或者干脆假冒游戏外挂和私服工具,欺骗游戏玩家下载安装,并通过联网获得攻击指令。病毒作者可以非常灵活地控制中毒电脑,执行任意操作。

暗云病毒通过联网下载攻击指令,再将攻击代码在内存中运行,并不在本地硬盘上生成文件完成破坏或攻击目的。这是一种高超的攻击技巧,本地找不到完成攻击的文件,指令只在内存中,随时可以通过网络更换攻击方式。

金山毒霸监测到的攻击代码是刷流量牟利,以及发起DDoS攻击。

22.jpg

4.惠普隐藏键盘记录器,窃取信息

今年5月,惠普笔记本被曝出在音频驱动中存在一个内置键盘记录器监控用户的所有按键输入,这个按键记录器会通过监控用户所按下的键来记录所有的按键。

近期某部委下属网络安全和信息化领导小组办公室已经发布公告通报了惠普电脑存在隐藏键盘记录器问题。

33.png

研究人员指出,惠普的音频驱动文件中隐藏缺陷代码 (CVE-2017-8360) 的漏洞,它不但会抓取特殊键,而且还会记录每次按键并将其存储在人类可读取的文件中。

惠普公司是这样说的:“声卡驱动程序中部分调试代码被错误地保留下来,这是一个意外。这些代码的目的是帮助我们调试、解决驱动程序出现的问题”。并表示,“我们希望未来不会再出现类似问题。”

5.全国爆发软件升级劫持攻击,升级时被调包

国内多款软件在升级更新时,遭遇网络流量劫持攻击,用户以为在升级,实际却把病毒安装到电脑上。

被伪装的软件没有数字签名,如下图:

44.png

此次流量劫持攻击影响多个省,攻击者利用此次攻击大量推广安装流氓软件并从中获益。

6.xshell?、CCleaner等工具被植入门后程序

今年8月,非常流行的服务器管理工具Xshell被发现安装包植入病毒。据分析,该次病毒传播高度怀疑是黑客入侵了Xshell相关开发人员的系统,在源码中植入后门,致使该公司发布的官方程序不幸带毒。继而威胁所有使用Xshell管理的服务器安全。

随后不久,安全专家发现,着名的系统清理软件CCleaner官方开发环境疑似被黑客入侵,在官方发行的软件中植入后门,下载该软件的用户安装后,电脑就会中毒。预计受影响的用户高达220万,病毒会收集中毒电脑的隐私信息。

这两起案例值得软件开发者高度关注,如果开发者系统被入侵,会造成极为严重的后果:因官方发行的软件带有发行商的数字签名,这些有签名的软件极易被系统和安全厂商判定为“可信”,大量用户从官方网站下载软件或更新软件就会中毒。

7.疯涨的比特币带来挖矿病毒灾难

2017年几乎成为病毒挖矿年,这源于比特币一年疯涨了20倍,一枚比特币与北京二环一平米的房子价值相当。这极大地刺激了病毒木马黑色产业,除了给手机、电脑安装可以挖矿的病毒,网络摄像头、家用路由器、一些大流量的网站也纷纷中招,象着名的海盗湾网站、中国电信天翼校园客户端等都曾被植入挖矿病毒。

55.png

挖矿病毒感染电脑后会产生刷广告流量和挖矿两种危害。

首先,病毒会创建一个隐藏的IE浏览器窗口,模拟用户操作鼠标、键盘点击广告,由于病毒屏蔽了广告页面的声音,用户难以发现自己已被挟持。其次,病毒会利用受害者电脑挖“门罗币”,病毒挖矿时将大量占用CPU资源,电脑由此会变慢、发热,用户能听到电脑风扇高速运行产生的噪音。

当网站被植入挖矿病毒,用户只要使用浏览器访问到这个页面,电脑就开始挖矿。金山毒霸安全实验室还捕获了劫持他人加密币钱包的病毒,病毒之间为了钱包相互黑吃黑。

66.png

8.Windows激活工具被植入病毒“薅羊毛”

金山毒霸安全实验室监测发现,国内最流行的若干款Windows激活工具都被蓄意植入了“薅羊毛”病毒,“薅羊毛”病毒每天感染上万台电脑。

病毒会将多个浏览器主页锁定为2345,在用户网购时强行劫持浏览器,伪造推广业绩赚取佣金。

77.jpg

当用户浏览到京东、淘宝、蘑菇街、唯品会、苏宁、国美等电商网站时,并就会自动在浏览器地址栏插入自己的推广ID。这样,只要用这台电脑购物,病毒作者就能从中赚取佣金。

病毒会用一个不可见的浏览器窗口模拟点击视频网站广告链接,达到刷广告流量的目的。受影响的视频网站包括优酷、爱奇艺、搜狐、PPTV等等。按单个广告视频点击0.5元计算,该病毒每天仅靠虚假点击可以骗取收入上万元。

在金山毒霸公布该病毒的技术报告及作者信息之后,病毒作者迅速关闭了控制服务器,清空了Github空间,销声匿迹了。

在金山毒霸公布小马Windows激活工具带毒之后 ,又有其他安全厂商爆出其他盗版激活工具同样被植入病毒。网友在使用Windows、Office、Adobe全家桶等破解工具时,务必开启杀毒软件保护。避免自己的电脑成为别人薅羊毛或挖矿的工具。

9.利用Office漏洞刻意构造攻击文档进行精准攻击

今年,一系列利用Office高危漏洞攻击的案例不断涌现,主要利用点:

2? CVE-2017-0199 :word在处理OLE2LINK对象时,对Content-Type处理不当,造成远程执行hta文件;

2? CVE-2017-8570 :ppt在处理Moniker对象时,会自动激活该对象,导致sct脚本执行;

2? CVE-2017-11826 :docx文档中,在处理font标签不当,造成的内存破坏进而结合堆喷射造成代码执行;

2? CVE-2017-8759 :在处理soap的location标签中,未考虑换行符,造成.net代码注入,通过引入新的SOAP XML指定SOAP WSDL模块解析完成代码执行;

2? CVE-2017-11882 :旧版的公式编辑器,存在栈溢出,由于没有任何漏洞缓解策略,可通过改返回地址为程序内WinExec函数进而执行代码,常见利用方式有

a. 通过WebDAV

b.使用mshta

c.结合office的自动释放机制执行

Office及Adobe Flash、PDF的高危安全漏洞,经常被用来刻意构造攻击文件,对特定目标进行精准攻击。大部分网民对文档攻击缺乏认知,安全软件的防御往往不如针对EXE的拦截响应快,攻击者容易得手。

10.个人信息保护任重道远

2017年,仍然观察到大量个人信息泄露事件。新华社的一篇报道曝光了多地反诈骗中心的调查结果:目前电信网络诈骗案件 90% 以上是违法分子靠掌握公民详细信息进行的精准诈骗,从已破获案件看,“内鬼”监守自盗和黑客攻击仍是公民个人信息泄露的主要渠道。

2017年,许多年轻人为几千元的数码产品、几百块钱的化妆品卷入现金贷。参与借贷的人已不存在任何隐私,包括身份证、手机号、银行卡号、学生证、学信网帐号、支付宝帐号等等绝不可以泄露给他人的信息,均拱手交给高利贷组织。随之不断出现“女大学生裸贷”、“某某学生借贷数十万被逼跳楼”之类的悲剧事件。

现金贷公司还会出于风控目的近乎公开的非法买卖个人信息,使用网络爬虫抓取个人信息。随着国家对现金贷的管制升级,大量现金贷公司业务停滞,破产倒闭者不在少数,这些组织和个人手里掌握的大量个人信息,随时会威胁贷款人的信息安全。

个人信息保护需要安全厂商、国家机关、存储数据的企业和组织,以及网民携手联防,仅靠任何单一的环节,并不能消除风险。