电话:0755-82914054 官方微博 微信关注
  您所在的位置: 首页 >> 新闻资讯 >> 安全通告
 
公司新闻
行业动态
安全通告
 
 
  电 话:0755-82914054
  传 真:0755-82914115
  E-mail:
support@cybersafe2000.com
support@cybersafe2000.com
 

网盾安全通告(20170410)

 

1. 病毒预警

1.1. Trojan.Win32.CoinMiner.c

病毒类型:木马程序

此病毒运行之后,利用受害者机器挖矿,造成受害者计算机资源占用极高,严重影响正常的工作。此外还有窃取用户信息,远程控制等功能

1.2. Worm.Script.VBS.Agent.co

病毒类型:蠕虫病毒

病毒运行后查找主流杀毒软件进程,并尝试将其结束。同时病毒还将修改用户的注册表,以便实现开机自启动。除此之外,该病毒还在后台连接黑客指定网址,并为恶意网址刷流量,占用大量网络资源。用户一旦中毒,有可能出现网络拥堵等现象。

1.3. Trojan.Win32.BHO.gdz

病毒类型:木马程序

病毒运行后查找主流杀毒软件进程,并尝试将其结束。同时病毒还将修改用户的注册表,以便实现开机自启动。除此之外,该病毒还在后台连接黑客指定网址,并为恶意网址刷流量,占用大量网络资源。用户一旦中毒,有可能出现网络拥堵等现象

2. 弱点通告

2.1. WPS-文字在docx解析时存在XXE漏洞

漏洞类型:通用软硬件漏洞

漏洞编号: CNVD-2017-02267

受影响系统:金山办公软件 WPS 表格 中国版 10.8.0.5562

金山办公软件 WPS 表格 国际版 10.2.0.5820

漏洞描述:WPS-文字是一款办公软件。

WPS文字在docx解析时存在XXE漏洞。允许攻击者利用漏洞造成用户敏感信息泄露以及用户系统DoS(拒绝服务)。

厂商已提供漏洞修补方案,请关注厂商主页及时更新:

http://www.wps.cn

2.2. 多个Cisco产品任意档读取漏洞

漏洞类型:通用软硬件漏洞

漏洞编号:CVE-2017-3846

受影响系统:Cisco Workload Automation 6.3.0.116

Cisco Tidal Enterprise Scheduler 6.2.1.435

漏洞描述:Cisco Tidal Enterprise SchedulerCisco Workload Automation Client Manager Server都是美国思科(Cisco)公司的产品。Cisco Tidal Enterprise Scheduler是一款跨平台的企业工作日程应用软件。

多个Cisco产品存在任意档读取漏洞。远程攻击者可利用此漏洞在受影响程序中运行的用户的上下文中读取任意档,导致进一步攻击。

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170315-tes

2.3. 多个Cisco产品栈缓冲区溢出漏洞

漏洞类型:通用软硬件漏洞

漏洞编号: CVE-2017-3853

受影响系统:Cisco IOx <1.1.0

漏洞描述:Cisco IOSCisco IOx Software都是美国思科(Cisco)公司为其网络设备开发的操作系统。

多个Cisco产品存在栈缓冲区溢出漏洞,该漏洞源于将用户数据复制到大小不足的缓冲区前未能进行充分的边界检查。攻击者可以在受影响的应用环境中执行任意代码,失败的攻击会造成拒绝服务。

厂商已发布了漏洞修复程序,请及时关注更新:

http://seclists.org/bugtraq/2017/Mar/82

2.4. Trend Micro InterScan Messaging Security远程代码执行漏洞

漏洞类型:通用软硬件漏洞

漏洞编号:CVE-2017-6398

受影响系统:Trend Micro InterScan Messaging Security Suite 9.1-1600

漏洞描述:Trend Micro InterScan Messaging Security是美国趋势科技(Trend Micro)公司的一种混合型的SaaS电子邮件安全解决方案。

Trend Micro InterScan Messaging Security存在远程代码执行漏洞。攻击者可利用此漏洞在应用程序的上下文中执行任意代码,失败的攻击会导致拒绝服务。

目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:

http://www.trend.com/

 

1.1. 

1.2. 

3. 安全焦点

3.1. 面向企业的Windows预览体验计划正式上线

面向企业的Windows预览体验计划正式上线,数周前在澳大利亚召开的 Ignite 大会上,微软宣布启动 Windows Insider Program for BusinessWIP4Biz),这是面向企业用户和 IT 专业人士的 Windows Insider 项目的延伸。Windows Insider 项目负责人 Dona Sarkar 今天表示该项目已经正式开放上线。

根据官方网站上显示的信息,Windows Insider Program for Business 主要是在 Insider 社区内为 IT 专业人士和企业用户提供更好的支持。在加入该项目之后,IT 管理员能够在部署计划中整合 Windows 10 预览版,从而为下个 Windows 10 更新做好更充足的准备。

在介绍页面写道:

面向企业的 Windows 预览体验计划旨在更好地支持我们的预览体验成员社区中的 IT 专业人员和企业用户。

你现在可以选择使用你的公司凭据下载 Windows 10 Insider Preview 版本。 该选项还将提高你和你组织中的其他人提交的反馈的可见性,尤其是涉及到帮助提高工作效率和满足业务需求的功能时。 我们还将帮助你增进你与 IT 专业人员社区之间的联系,收集你组织中的反馈,解决妨碍性或关键问题,从而更快、更好地满足你的组织的需求。

在你的部署计划中加入 Insider Preview 版本能让你的组织做好使用 Windows 10 下一次更新的准备,更加迅速地部署新服务和工具,保证你的应用程序的安全,提高工作效率,对你的环境的稳定性充满信心。面向企业的 Windows 预览体验计划参与者与 Windows 团队协作构建功能、制作功能文档、注入创新和制定下一步计划。 我们已经收到大量精彩反馈,共同构建了一些出色的功能,但我们还没有完成。

3.2. 英文知名搜索引擎Ask.com泄漏237.9GB搜索记录

据外媒报导,近日知名英文搜索引擎 Ask 因未知原因导致其 Apache 服务器状态面向公众公开,几乎所有人都能看到 Ask.com 上的实时搜索记录 。

这一问题由研究员 Paul Shapiro 在本月 7 号发现,目前尚不清楚这些数据对外公开了多久,而分析显示 Ask 服务器曾在三天前重新启动,或许就是在重启之后服务器页面才被意外地暴露。

据统计,被公开的页面显示了服务器重置以来人们搜索的所有细节 —— 440 万条大约 237.9GB 的搜索记录等等。

所幸,这并非安全威胁。虽然通过日志能够清楚看到人们在搜索着什么,但这一页面并未暴露用户 IP 等进一步隐私信息 。事实上,日志中记录的均是内部 IP 地址,亦有可能是内部防火墙地址。

目前,被暴露的搜索记录页面已无法访问

3.3. 进行数据挖掘的8个最佳开源工具

进行数据挖掘的8个最佳开源工具,数据挖掘,又称为资料探勘、数据采矿。它是数据库知识发现(英语:Knowledge-Discovery in Databases,简称:KDD)中的一个步骤,是一个挖掘和分析大量数据并从中提取信息的过程。其中一些应用包括市场细分 - 如识别客户??从特定品牌购买特定产品的特征,欺诈检测 - 识别可能导致在线欺诈的交易模式等。在本文中,我们整理了进行数据挖掘的 8 个最佳开源工具。

1Weka

WEKA 作为一个公开的数据挖掘工作平台,集合了大量能承担数据挖掘任务的机器学习算法,包括对数据进行预处理,分类,回归、聚类、关联规则以及在新的交互式界面上的可视化。

2Rapid Miner

RapidMiner 是世界领先的数据挖掘解决方案,在一个非常大的程度上有着先进技术。它数据挖掘任务涉及范围广泛,包括各种数据艺术,能简化数据挖掘过程的设计和评价。

3Orange

Orange 是一个基于组件的数据挖掘和机器学习软件套装,它的功能即友好,又很强大,快速而又多功能的可视化编程前端,以便浏览数据分析和可视化,基绑定了 Python 以进行脚本开发。它包含了完整的一系列的组件以进行数据预处理,并提供了数据帐目,过渡,建模,模式评估和勘探的功能。其由C++ Python 开发,它的图形库是由跨平台的 Qt 框架开发。

4Knime

KNIME (Konstanz Information Miner) 是一个用户友好,智能的,并有丰演的开源的数据集成,数据处理,数据分析和数据勘探平台。

5jHepWork

jHepWork 是一套功能完整的面向对象科学数据分析框架。 Jython 宏是用来展示一维和二维直方图的数据。该程序包括许多工具,可以用来和二维三维的科学图形进行互动。

6Apache Mahout

Apache Mahout Apache Software Foundation (ASF) 开发的一个全新的开源项目,其主要目标是创建一些可伸缩的机器学习算法,供开发人员在 Apache 在许可下免费使用。该项目已经发展到了它的最二个年头,目前只有一个公共发行版。Mahout 包含许多实现,包括集群、分类、CP 和进化程序。此外,通过使用 Apache Hadoop 库,Mahout 可以有效地扩展到云中。

7ELKI

ELKI (Environment for Developing KDD-Applications Supported by Index-Structures)主要用来聚类和找离群点。ELKI 是类似于 weka 的数据挖掘平台,用 java 编写,有 GUI 图形界面。可以用来寻找离群点。

8Rattle

Rattle(易于学习的 R 分析工具)提供数据的统计和可视化摘要,将数据转换成容易建模的形式,从数据中构建无监督和监督模型,以图形方式呈现模型的性能,并得出新的数据集。

3.4. Pegasus:史上最危险的手机间谍软件 具备自毁功能

Pegasus是一款智能手机间谍软件,由以色列监控公司NSO Group开发。Pegasus被认为是目前为止最危险的间谍软件之一。20168月,Pegasus软件对iPhone设备实施攻击。Pegasus利用3个当时未被发现的iOS系统“0day”漏洞实施间谍活动。

现在,谷歌和网络安全公司Lookout发现安卓版的Pegasus间谍软件,旨在利用运行安卓系统的安卓设备。谷歌最初于2016年底发现安卓版Pegasus的蛛丝马迹,当时整个14亿台安卓设备中只有少量被Pegasus感染。

iPhone版本一样,安卓版Pegasus包含高度复杂和先进的功能,其可以通过短信息控制,并具有自毁功能。此外,它还能抓取大量通信数据、WhatsApp通话和消息记录、以及来自GmailFacebookSkypeTwitter等有价值的数据。除此之外,它还能控制设备的摄像头和麦克风,并记录键盘,捕获截图。谷歌认为,尽管Pegasus具备先进的功能,但安卓版的Pegasus从未进入官方Google Play Store

Pegasus的完整功能如下:

记录键盘

捕获截图

捕获实时音频

通过短信远程控制这款恶意软件

传送来自常用应用程序(包括WhatsAppSkypeFacebookTwitterViberKakao)的数据渗漏

渗漏浏览器历史

渗漏来自安卓Native Email客户端的电子邮件

联系人和短信

因具备自毁功能,Pegasus隐藏身份长达三年之久,而不被发现。Lookout的移动安全研究员Michael Flossman表示,这款恶意软件感觉自己快被发现时会立即自行删除,这也是为什么研究人员花了如此长的时间才发现该软件样本的原因。然而,谷歌和Lookout指出,虽然样本是2014年的,但仍能有力证明这款间谍软件在安卓手机上运行。

iPhonePegasus检测到越狱后会自行删除,但安卓版的Pegasus在发现自己在特定时间内无法连接到命令与控制(C2)服务器时,或感觉自己会被检测到时,就会自行删除。

Pegasus通过短信传播

Flossman认为,安卓版与iPhone版的Pegasus传播方式相同,都是通过短信传播。

Flossman解释称,这款监控软件中包含的各种漏洞利用会尝试在安装后运行。即使这些漏洞利用在目标设备做了修补,Pegasus仍能运行,只是功能会减少。

目前,调查人员尚不确定,安卓版Pegasus是否使用了0day漏洞利用设备。据称,Framaroot技术被用来获取设备权限(Root)。这种技术使用以《魔戒》角色命令的漏洞利用,并允许攻击者完全控制操作系统。

谷歌研究人员分析指出,大多数目标位于以色列。然而也有报告指出,格鲁吉亚、阿联酋、土耳其和墨西哥的用户也是Pegasus的目标。

值得注意的是,对于这款间谍软件还能够监听WhatsApp通话和消息记录。近期,在英国发生的恐怖袭击事件一时间让WhatsApp颇受争议,而被英国“封杀”,英国内政大臣甚至与Facebook、谷歌、微软和Twitter会面就加密问题在这方面都没有任何进展。这也证明,未来技术终将制约技术。

4. 服务与支持

网盾公司全天接受用户就安全技术、安全产品方面的技术和商务咨询,且力求获得用户对我们服务的认可,我们努力为您提供最全面有效的服务与支持。如果您需要,请通过如下多种方式与我们联络:

电子邮件支持

任何时候我们都欢迎您用电子邮件(support@cybersafe2000.com)告知我们您想要咨询关于信息安全方面的问题,我们将在收到邮件后的第一时间给您回复。

电话支持

每天上午9点至下午6欢迎您致电86-755-82914054咨询技术细节,我们的专业技术人员24小时都在期待您的来电,并期望能为您解决问题。

深圳网盾金钟罩APP加固已改版上线,欢迎访问。

金钟罩APP加固:http://www.netonsafe.com/

开发者生态圈论坛:http://bbs.netonsafe.com/forum.php

 
关于我们  |  在线留言  |  联系我们  |  返回顶部

版权所有 深圳市网盾信息安全有限公司 
地 址:深圳市福田区深南大道嘉麟豪庭C栋2004 粤ICP备14041758号