电话:0755-82914054 官方微博 微信关注
  您所在的位置: 首页 >> 新闻资讯 >> 安全通告
 
公司新闻
行业动态
安全通告
 
 
  电 话:0755-82914054
  传 真:0755-82914115
  E-mail:
support@cybersafe2000.com
support@cybersafe2000.com
 

网盾安全通告(20170424)

 

1. 病毒预警

1.1. 安卓手机的恶意敲诈类木马程序

病毒类型:木马程序

近期针对安卓手机的恶意敲诈类木马程序出现,对受感染的手机用户进行敲诈勒索,加密手机中的档,破坏存储数据,清除手机系统中应用程序,最终导致系统无法正常使用。

我们分析发现,这类恶意木马程序的表现形式很多,一是通过将手机触摸屏部分或者虚拟按键的触摸反馈设置为无效,使触摸区域不回应触摸事件;二是频繁的强制置顶页面,造成手机无法正常切换应用程序;三是设置手机锁定PIN码,无法解锁进入手机系统。

另外,这类恶意木马程序通过对手机系统进行荧幕密码加锁,设置按键输入密码操作失效等进行敲诈勒索。

1.2. Trojan.Win32.Autoit.aa

病毒类型:蠕虫病毒

运行后衍生病毒档到系统目录下,添加注册表自动运行项以随机引导病毒体。该病毒主要行为为删除用户扩展分区的所有档,并向用户进行勒索。表现形式为用户登陆前弹出文本勒索用户,进入系统后弹出对话框,恐吓用户,如果用户点击确定,则重启计算机。

1.3. Worm.Win32.Gamarue.w

病毒类型:蠕虫病毒

病毒运行后查找主流杀毒软件进程,并尝试将其结束。同时病毒还将修改用户的注册表,以便实现开机自启动。除此之外,该病毒还在后台连接黑客指定网址,并为恶意网址刷流量,占用大量网络资源。用户一旦中毒,有可能出现网络拥堵等现象

2. 弱点通告

2.1.  Internet Explorer拒绝服务漏洞

漏洞类型:通用软硬件漏洞

漏洞编号:CVE-2009-3270

受影响系统:Microsoft Internet Explorer 7.0

Microsoft Internet Explorer 7.0.5730

Microsoft Internet Explorer 7.0.5730.11

Microsoft Internet Explorer 7.00.5730.1100

Microsoft Internet Explorer 7.00.6000.16386

Microsoft Internet Explorer 7.00.6000.16441

漏洞描述:Internet Explorer是微软公司推出的一款网页浏览器。

Microsoft Internet Explorer 77.0.6000.16711版本存在拒绝服务漏洞,攻击者可通过在处理循环调用window.print函数发起拒绝服务攻击

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.microsoft.com/windows/ie/default.asp

2.2. Tenable Nessus Agent模式本地权限提升漏洞

漏洞类型:通用软硬件漏洞

漏洞编号:CVE-2017-7199

受影响系统:Tenable Network Security Nessus 6.6.2

Tenable Network Security Nessus 6.7

Tenable Network Security Nessus 6.8.0

Tenable Network Security Nessus 6.8.1

Tenable Network Security Nessus 6.9.0

Tenable Network Security Nessus 6.9.1

Tenable Network Security Nessus 6.9.2

Tenable Network Security Nessus 6.9.3

Tenable Network Security Nessus 6.10.0

Tenable Network Security Nessus 6.10.1

Tenable Network Security Nessus 6.10.2

Tenable Network Security Nessus 6.10.3

漏洞描述:Tenable Network Security Tenable Nessus是美国Tenable Network Security公司开发的一款开源的漏洞扫描器。

Tenable Nessus Agent模式存在本地权限提升漏洞,本地已授权用户可通过该漏洞提升至管理员权限。

厂商已发布了漏洞修复程序,请及时关注更新:

https://www.tenable.com/security/tns-2017-08

2.3. 多款华为Quidway交换机拒绝服务漏洞

漏洞类型:通用软硬件漏洞

漏洞编号:CVE-2014-3224

受影响系统:Huawei Quidway S9700 V200R003C00SPC500

Huawei Quidway S9300 V200R003C00SPC500

Huawei Quidway S7700 V200R003C00SPC500

Huawei Quidway S5700 V200R003C00SPC300

Huawei Quidway S5300 V200R003C00SPC300

Huawei Quidway S6700 V200R003C00SPC300

Huawei Quidway S6300 V200R003C00SPC300

漏洞描述:Quidway S9700Quidway S9300Quidway S7700Quidway S6700Quidway S6300Quidway S5700Quidway S5300是华为推出的各种类型的交换机。

多款华为Quidway交换机存在拒绝服务漏洞,攻击者可通过向漏洞产品发送专门设计的畸形数据包发起拒绝服务攻击。

厂商已发布漏洞修复程序,请及时关注更新:

http://www.huawei.com/en/psirt/security-advisories/hw-333184

2.4. 华为交换机Y.1731拒绝服务漏洞

漏洞类型:通用软硬件漏洞

漏洞编号:CVE-2014-3223

受影响系统:Huawei S2300 V100R006C00SPC800

Huawei S2300 V100R006C01SPC100

Huawei S2300 V100R006C03

Huawei S9300 V100R006C00SPC500

Huawei S9300 V100R006C00SPC800

Huawei S5300 V100R006C00SPC800

Huawei S5300 V100R006C01SPC100

Huawei S5300 V100R006C03

Huawei S3300 V100R006C00SPC800

Huawei S3300 V100R006C01SPC100

Huawei S3300 V100R006C03

Huawei S6300 V100R006C00SPC800

Huawei S6300 V100R006C01SPC100

Huawei S6300 V100R006C03

漏洞描述:S9300S2300S3300S5300S6300是华为推出的各种类型的交换机。

华为交换机存在Y.1731拒绝服务漏洞,该漏洞可导致交换机重新启动。

厂商已发布漏洞修复程序,请及时关注更新:

http://www.huawei.com/en/psirt/security-advisories/hw-329625

 

1.1. 

1.2. 

3. 安全焦点

3.1. 苹果现离奇故障:通知iCloud付费用户服务已取消

据外媒报导,日前,有大量的Apple MusiciCloud用户收到一份离奇的邮件,邮件中称,他们的会员和包月服务已被取消。

苹果技术与支持部门在推特上回应称,用户收到的云存储会员服务被取消的邮件,一部分可能是不法之徒发送的钓鱼邮件,不过有些人的云服务确实受到了影响,一位网友表示,他收到一封通知云存储服务已中断的邮件,现在已经无法访问iCloud上的档。

对于Apple Music,苹果官方已经证实是出现了技术问题。

据用户反馈,这次故障覆盖美国、日本、巴西等国家,而具体有多少用户受到影响,苹果尚未宣布。

3.2. 手机银行木马BankBot再战江湖 可绕过谷歌安全审查机制

BankBot首次发现于今年一月份。当时一款未命名银行木马的源代码出现在地下黑市,随后被整合成BankBot。截至目前,它的攻击目标是位于俄罗斯、英国、奥地利、德国和土耳其的银行。如今这款恶意软件进行伪装后可绕过谷歌安全扫描器。

BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,对全球多家金融类app劫持,钓鱼登录界面,进而截获、捕捉用户输入数据,最终非法入侵用户互联网账户系统。

截止4月份,研究人员已发现了三起不同的BankBot攻击活动,且谷歌已拿下受感染的app

但现在多家安全公司又发现了BankBot的踪迹。一家荷兰安全公司Securify指出,两起新的BankBot攻击活动设法绕过了谷歌应用商店的安全检查。

当受害人打开合法银行app时,该木马监控到此行为,加载伪装的银行页面 ,并覆盖真实银行app界面。对于界面劫持攻击,最重要的一步就是诱骗受害者进入他们伪造的登录界面,因此,假冒的银行登录窗口得与原生窗口非常相似,让用户很难区分真伪。

它还能窃取其他app的登录详情,包括FacebookYouTubeWhatsAppSnapchatInstagramTwitter、甚至是谷歌应用商店。

BankBot具有很多功能,如像勒索软件那样锁定用户设备或者拦截用户文本以绕过双因素验证。

研究人员已发布了遭受BankBot攻击的424款合法银行app,包括汇丰银行、法国巴黎银行等。

1. E安全建议用户下载应用请到官方网站或安全应用市场,切勿点击任何色情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。

2. 如果不确定手机是否毒,可以安装手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装

3.3. 1200块就能买到的变种勒索软件RaaS服务,让菜鸟也能发起恶意活动

近日,一款名叫Karmen”的勒索软件在暗网出售,售价仅需175美元(1204RMB)。它是根据被抛弃的开源勒索软件构建工具包“Hidden Tear”构建的一款RaaS勒索软件的变体。网络安全研究人员发现“Karmen”,只需成功感染一次,就能获利。

如今,令人焦头烂额的不只是复杂的银行木马,还有勒索软件,而几乎成了“过街老鼠”的勒索软件已衍生出一种新的模式,即勒索软件即服务(Ransomware as a ServiceRaas),这种模式令人细思极恐。

RaaS就是勒索软件的变体,设计得非常人性化,就连技术“菜鸟”也能借助RaaS服务轻松部署勒索软件,达到“赚钱”的目的。

勒索软件已存在多年,给许多受害者造成挥之不去的阴影。全球的企业、医院、金融机构和个人都曾遭遇勒索软件攻击。面对勒索,受害者甚至不得不奉上数百万美元力保数据安全。

20158月,GitHub上出现了全球首款开源勒索软件“Hidden Tear”,其功能包括:

通过AES算法加密档。

把加密密钥发送到某个服务器。

被加密档可以通过密钥和解密软件解密

软件会在用户桌面创建一个文本档,包含勒索信息(如:让受害者如何汇款等说明)。

根据2015815日的扫描结果,这款仅有12KB的软件,竟然躲过了35款杀毒软件的检测。

与其它典型的勒索软件感染一样,Karmen使用AES-256加密协议加密被感染PC上的档,导致受害者无法访问这些档,除非向攻击者支付赎金获取解密密钥。

这个新型RaaS变种为买家提供了人性化图形仪表板,以便让买家访问托管在暗网上基于Web的控制面板,从而允许买家配置个性化版本的Karmen勒索软件。这个仪表板让买家实时了解感染设备数量及其盈利状况。

黑客扬言:勿干扰我的恶意软件,否者你的档不保!

一旦被感染,Karmen勒索软件会对受害者的档加密,并弹出提示窗口,威胁用户不要干扰恶意软件,否者档将不保。

更有意思的是,若被沙盒环境或分析环境软件检测,Karmen会自动删除其解密程序,使得安全调查人员无从下手。

201612月,德国和美国的受害者报告了初始的Karmen感染案例,而地下论坛出售该勒索软件始于20173月。截至目前,已有20名用户从DevBitox处购买了Karmen恶意软件的副本,其中三位买家还给予了一致“好评”。

自身如何避免遭到勒索软件威胁?

下几个步骤有助于防止勒索软件感染:

定期备份重要数据。

确保在系统上运行最新的反病毒安全工具套件

切勿打开未知源的电子邮件、附件、链接等。

切勿从来源不明的地方下载软件。

特别注意,切勿贪图便宜,廉价或免费下载本身售价昂贵的客户端。

使用知名的网络安全工具。

及时对操作系统、设备、以及软件打补丁,并更新。

将隔离网络安全区,确保某个区域的感染不会轻易扩散到其他区域;

断开网络。如果你怀疑某个档带有勒索软件,可以快速断开网络,在恶意软件加密档之前阻止其与控制与命令服务器通信。如果是公司网络遭遇感染,管理员可以立即断开网络,防止感染扩散。

使用系统还原功能返回“干净”状态。如果你在Windows上启用了系统还原(System Restore)功能,也许能将系统还原到“干净”状态。

若被已知变体感染,找找反病毒公司是否可以解锁档,切勿急着支付赎金。

最后,最重要的是,培养良好互联网安全浏览习惯。

3.4. 中国互联网络信息中心呼吁:加强功能变量名称服务安全管理和保障工作

中国互联网络信息中心(CNNIC)与互联网功能变量名称管理技术国家工程实验室(以下简称实验室)联合发布了2016年《中国功能变量名称服务安全状况与态势分析报告》,这是CNNIC连续第五次发布《中国功能变量名称服务安全状况与态势分析报告》(以下简称《报告》)。

《报告》显示,2016年我国功能变量名称服务总体安全状况继续保持平稳上升态势,但部分环节的安全问题依然突出,主要表现在系统软件、协议支持和服务性能等方面。

《报告》依托CNNIC自主规划建设的国家功能变量名称安全监测平台相关数据,针对我国功能变量名称服务体系的各个环节的运行状态和安全状况进行了全面、客观的分析与评价,全面反映了各环节功能变量名称服务系统的安全配置情况和运行状态。

2016年内根功能变量名称方面新增117个根镜像,全球根服务器及服务器镜像总数达到633个,根功能变量名称服务对IPv6DNSSECTCP等网络协议的支持率首次达到100%,对外服务性能持续提升;2016全球顶级功能变量名称数量规模增长29.4%,达到1560个,对IPv6DNSSECTCP等网络协议的支持程度进一步提升,对外服务性能继续提升。

与此同时,我国引入并提供对外服务的根镜像数量依然偏少,新增的顶级功能变量名称存在一定的安全配置风险,我国二级及以下权威功能变量名称服务在IPv6DNSSECTCP等网络协议支持方面进展缓慢且相对滞后,整体对外服务能力参差不齐,同时在运维管理水平、安全保障能力等方面存在较大差异。

DNSSECTCP等网络协议支持程度方面同样严重滞后,对外服务性能呈逐年上升趋势,然而我国相关网络监管技术手段尚未覆盖到递归功能变量名称服务,针对递归功能变量名称服务的安全监测手段和应急协调机制尚不够健全,导致递归层面的功能变量名称服务安全和信息安全防护能力存在一定的缺失。

《报告》指出,功能变量名称服务安全关乎整个互联网的安全。伴随着功能变量名称产业及功能变量名称服务行业的持续快速发展,《报告》呼吁有关各方高度重视功能变量名称服务安全管理和保障工作,同时加强对功能变量名称服务安全监测、安全事件防治等相关规范、标准建设,不断提升自身功能变量名称服务安全防护水平。作为国家顶级功能变量名称的管理者和运行者,CNNIC也将在功能变量名称服务安全管理领域继续与业界保持密切交流沟通、扩大信息共享,进一步优化合作关系,共同推动和维护国家功能变量名称服务安全,努力营造健康、安全的互联网空间环境。

关于《中国功能变量名称服务安全状况与态势分析报告》:

CNNIC2009年起即开始对整个功能变量名称服务系统进行全方位、多维度的监测分析,依托国家功能变量名称安全监测平台相关数据,自2012年起开始对外发布《报告》。《报告》针对功能变量名称服务系统各个环节的系统软件、协议支持、服务性能等涉及功能变量名称服务安全状况的关键要素分别进行了客观描述和历史趋势分析,在此基础上针对上述两大类别功能变量名称服务系统分别作了总体的安全量化评价,为我国功能变量名称基础设施的安全态势进行了分析与总结。

4. 服务与支持

网盾公司全天接受用户就安全技术、安全产品方面的技术和商务咨询,且力求获得用户对我们服务的认可,我们努力为您提供最全面有效的服务与支持。如果您需要,请通过如下多种方式与我们联络:

电子邮件支持

任何时候我们都欢迎您用电子邮件(support@cybersafe2000.com)告知我们您想要咨询关于信息安全方面的问题,我们将在收到邮件后的第一时间给您回复。

电话支持

每天上午9点至下午6欢迎您致电86-755-82914054咨询技术细节,我们的专业技术人员24小时都在期待您的来电,并期望能为您解决问题。

深圳网盾金钟罩APP加固已改版上线,欢迎访问。

金钟罩APP加固:http://www.netonsafe.com/

开发者生态圈论坛:http://bbs.netonsafe.com/forum.php

 
关于我们  |  在线留言  |  联系我们  |  返回顶部

版权所有 深圳市网盾信息安全有限公司 
地 址:深圳市福田区深南大道嘉麟豪庭C栋2004 粤ICP备14041758号