电话:0755-82914054 官方微博 微信关注
  您所在的位置: 首页 >> 新闻资讯 >> 安全通告
 
公司新闻
行业动态
安全通告
 
 
  电 话:0755-82914054
  传 真:0755-82914115
  E-mail:
support@cybersafe2000.com
support@cybersafe2000.com
 

网盾安全通告(20170502)

 

1. 安全焦点

1.1. 重要App纷纷抛弃苹果手表 包括谷歌地图和亚马逊

重要App纷纷抛弃苹果手表 包括谷歌地图和亚马逊,北京时间5月2日消息,在过去几周里,谷歌地图(Google Maps)iOS版应用程序升级,它不再支持Apple Watch。在资料中谷歌没有提到不再支持的消息,至于未来是否会恢复对watchOS的支持,暂时还不知道。

同样的,亚马逊与eBay也采取了相似的行动,它们的iOS App之前都支持Apple Watch,4月末,两家企业都对程序进行升级,到周一截止没有一家支持Apple Watch。

用手表从亚马逊购物显得有些多余,但是eBay App可以让苹果手表追踪竞价状态。用手表谷歌地图查看方向更是方便,许多人认为谷歌地图比苹果地图好。

还有一些App在升级时不再支持Apple Watch,比如零售商Target的App,不过它的Cartwheel App倒是继续支持watchOS。

事实上,这些引人注目的App从Apple Watch撤离居然没有引起人们的注意,由此可见使用App的人可能很少。如果程序不再支持iPad,消息肯定马上就会变成头条。

更新:谷歌发言人在一份声明中说,“我们在最新的版本中移除了Apple Watch支持,但预计在未来再次支持它。”

1.2. 谷歌浏览器将继续扩大对HTTP网站的不安全标记范围

全球第一大浏览器Chrome正在强推一项改革,扩大对HTTP网站“不安全警告”的标识范围。从Chrome 56开始,谷歌开始对HTTP网站在地址栏标记“不安全”感叹提示,结果是这些网站的账号密码登入量减少了23%。

现在,谷歌宣布从Chrome 62(今年10月)开始,只要是用户在HTTP协议网站下有输入动作,就会在地址栏以动画的形式弹出“Not Secure”。

不过为了让更多的网站尽快部署HTTPS加密连接协议, 谷歌将会在所有要输入内容的 HTTP 网站标记不安全。

HTTP明文传输协议下使用者的访问以及输入的任何内容都可以非常轻易的被第三方攻击者截获和进行解密。

因此为了安全起见使用加密传输协议则是整个互联网的趋势, 同时部署HTTPS加密连接也是非常有必要的事。

这种措施对于中国用户来说可能算是个更好的消息,因为运营商劫持网络也会追踪用户的键入记录进行分析。

这样运营商可以收集用户更加精确的数据以便推送广告,当然这也可能被第三方利用从而造成数据泄露事件。

当然最后还是建议所有提供互联网服务的网站和管理员们,不论是 App 还是网站都应该尽早的部署 HTTPS

1.3. 神秘木马Felismus初现身 幕后黑手谜云重重

网络安全公司Forcepoint经过几周的追踪发现一款远程访问木马(RAT)“Felismus”。这款木马相对复杂,一旦感染系统,这款木马能自我更新功能,以便于攻击者秘密实施活动,例如键盘记录、流量分析、进一步部署恶意软件等间谍活动。

这款木马被命名为“Felismus”,是因为它在唯一可读加密密钥中提到了“Tom & Jerry”。在拉丁语中,Felis指的是猫,Mus指的是老鼠。这款木马似乎主要用于执行间谍活动。虽然受害者和幕后黑手的身份仍是一个谜,鉴于它十分罕见,可以合理推测Felismus仅针对精确的针对性目标。

Felismus木马“身手不凡”

Felismus冒充Adobe 内容管理系统((Content Management System))文件来渗透系统,将恶意文件显示为“AdobeCMS.exe”。与其它形式的恶意软件类似,Felismus的散布方法可能是网络钓鱼电子邮件攻击,以此诱骗受害者误认为自己下载的是Adobe更新。

一旦在目标系统运行,Felismus通过注册WindowProc函数将自己伪装成Windows进程,允许窗口借助恶意软件的C2服务器秘密接受并处理消息,而所有这些活动均伪装成了正常活动。

因具备极其高超的伪装能力,从而能规避反病毒程序的检测,攻击者从而能够秘密执行命令,从这点来看,Felismus相当危险。

Felismus的模块化构造能隐藏自己,甚至拓展能力,因此攻击者能执行监控、破坏或窃取数据之类的活动。

不难看出,Felismus背后藏着“高手”。但这些“高手”具备掩盖活动痕迹的能力,这就意味着暂无人了解他们的身份或目标。从目前来看,暂时还有任何证据可以将这款木马与知名黑客组织关联起来。

研究人员提到一些有关攻击者身份的线索。这款恶意软件中出现的拼写错误表明,英语并不是他们的母语。

Felismus最近才被发现,据研究人员表称,这款木马似乎已活跃半年以上。

1.4. 为何越来越多的黑客偏爱电子邮件网络钓鱼攻击?

安全公司赛门铁克的新研究表明,黑客如今尤其喜欢通过目标的电子邮件账号作为进入组织机构的切入点,而漏洞利用工具的使用率也随之大幅下降。

研究结果强调攻击者最近在感染系统中使用的技俩发生了重大变化,过去12个月,这种变化趋势愈加明显。

0day漏洞利用在减少,恶意电子邮件攻击不断增加

赛门铁克发布的《2017年互联网安全威胁报告》指出,2016年,黑客通过漏洞利用工具展开的恶意活动降低了60%。

研究结果表明,攻击者目前习惯用电子邮件作为主要的感染媒介。2016年,电子邮件中存在恶意软件的比率大幅上升,原来220封电子邮件中存在1个恶意软件(1/220),现在上升到131封电子邮件中就存在1个恶意软件(1/131)。

这种变化导致黑客依赖“靠山吃山靠水吃水”的战术。也就是说,黑客转向操作系统的功能,重用管理工具和云服务来感染网络,而不是通过包含恶意软件和0day漏洞的传统工具包进行感染。

况且现在0day漏洞利用的成本也越来越高。

0Day漏洞利用供需关系变化 未来通过社会工程发起的攻击或增加

攻击者为何偏爱恶意电子邮件攻击方式?

专家指出,去年发生的几起大规模网络攻击事件中,黑客使用鱼叉式网络钓鱼电子邮件,或设下陷阱的Microsoft Word或Excel文件,以此诱骗用户下载可提供远程访问的PowerShell脚本。黑客通常在垃圾邮件攻击中使用JavaScript和Office宏下载器,是由于这些媒介易于使用,且比漏洞利用工具更难以被检测到。

漏洞利用工具通常会利用热门Web浏览软件产品(例如Adobe Flash、Microsoft Silverlight、Java)中的安全漏洞,将有效载荷下载到受害者的电脑上。换句话讲,漏洞利用工具专门针对基于Web的应用程序,企图识别客户端设备中的漏洞,从而上传并执行恶意代码。

专家称,从经济学的角度来看,若不需要这些漏洞利用,那么就不值得浪费时间。而要使用最新的漏洞利用会耗费大量精力、资源和时间。

由于漏洞利用工具通常需要对后端基础设施进行维护,与网络钓鱼活动相比较,漏洞利用工具的可靠性相抵较低,且利用工作较为繁重。网络钓鱼活动通常是发送包含恶意软件附件的电子邮件,对于懒人黑客来说,“恶意种子遍地洒,总有一颗要发芽”的方式,无疑相对轻松许多。

黑客的攻击方式在转变,并不意味着安全形势好转

赛门铁克管理对手和威胁情报小组一名资深网络情报分析师表示,必须考虑维护漏洞利用工具的管理费用。这类工具由网络犯罪服务公司运行,而通常这些犯罪服务是网络安全研究界追踪打击的对象。漏洞利用工具要取得成功,黑客必须做足工作保证流量和感染率相对较高。

然而,漏洞利用工具的使用率下降并不代表互联网上的安全措施得到改善。

2015年至2016年,以网站为中心的攻击同比下降近30%,赛门铁克扫描的所有网站中,约76%仍包含可利用的漏洞,这与2014年一致,仅比2015年下降2%。

赛门铁克公司表示,虽然漏洞利用工具案例大幅减少,但这并不意味着威胁攻击形势有好转,相反,黑客正采用不同的方法扩散威胁。

2. 弱点通告

2.1. Microsoft Office DLL加载远程执行代码漏洞

漏洞类型:通用软硬件漏洞

漏洞编号:CVE-2017-0197

受影响系统:Microsoft OneNote 2007 SP3

Microsoft OneNote 2010 SP2

漏洞描述:Microsoft Office是美国微软(Microsoft)公司开发的一款办公软件套件产品。常用组件有Word、Excel、Access、Powerpoint、FrontPage等。

Microsoft Office OneNote 2007版本中存在DLL加载远程执行代码漏洞。攻击者可利用漏洞在搜索路径中运行恶意的DLL文件,执行任意代码

厂商已发布了漏洞修复程序,请及时关注更新:

https://www.securify.nl/advisory/SFY20150907/microsoft_office_onenote_2007_dll_side_loading_vulnerability.html

2.2. Microsoft Outlook for Mac欺骗漏洞

漏洞类型:通用软硬件漏洞

漏洞编号:CVE-2017-0207

受影响系统:Microsoft Outlook for Mac 2011

漏洞描述:Microsoft Outlook是美国微软(Microsoft)公司的一款Office套件中所捆绑的电子邮件客户端软件。该软件可管理电子邮件、联系人和日历等。

Microsoft Outlook for Mac未正确验证HTML标签输入在实现上存在欺骗漏洞,可使攻击者获取用户身份验证信息或登录凭证。

Microsoft已经为此发布了一个安全公告(CVE-2017-0207)以及相应补丁:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0207

2.3. Cisco Integrated Management Controller远程命令执行漏洞

漏洞类型:通用软硬件漏洞

漏洞编号:CVE-2017-6619

受影响系统:Cisco Integrated Management Controller 3.0(1c)

漏洞描述:Cisco Integrated Management Controller即(IMC),是美国思科(Cisco)公司一套用于对UCS(统一计算系统)进行管理的工具,它支持HTTP、SSH访问等,并可对服务器进行开机、关机和重启等操作。

思科集成管理控制器存在远程命令执行漏洞,无法正确过滤用户提供的输入,攻击者利用该漏洞可使用root权限执行任意命令。

目前没有详细的解决方案,建议关注厂商主页,及时升级至最新版本:

https://www.cisco.com/

2.4. Trend Micro InterScan Messaging Security Virtual Appliance跨站脚本漏洞

漏洞类型:通用软硬件漏洞

漏洞编号:CVE-2017-7896

受影响系统:Trend Micro InterScan Messaging Security Virtual Appliance(IMSVA) 9.1

漏洞描述:Trend Micro InterScan Messaging Security Virtual Appliance(IMSVA)是美国趋势科技(Trend Micro)公司的一款邮件网关安全设备,它集成了防病毒、防间谍软件和防网络钓鱼等技术,为邮件应用提供综合防护。

Trend Micro IMSVA 9.1 CP 1644之前的9.1版本中存在跨站脚本漏洞。远程攻击者可利用该漏洞注入任意的Web脚本或HTML。

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

https://success.trendmicro.com/solution/1116821-security-bulletin-trend-micro-interscan-messaging-security-virtual-appliance-imsva-9-1-multiple-v

 

1.1. 

1.2. 

3. 病毒预警

3.1. 安卓手机的恶意敲诈类木马程序

病毒类型:木马程序

近期针对安卓手机的恶意敲诈类木马程序出现,对受感染的手机用户进行敲诈勒索,加密手机中的文件,破坏存储数据,清除手机系统中应用程序,最终导致系统无法正常使用。

我们分析发现,这类恶意木马程序的表现形式很多,一是通过将手机触摸屏部分或者虚拟按键的触摸反馈设置为无效,使触摸区域不响应触摸事件;二是频繁的强制置顶页面,造成手机无法正常切换应用程序;三是设置手机锁定PIN码,无法解锁进入手机系统。

另外,这类恶意木马程序通过对手机系统进行屏幕密码加锁,设置按键输入密码操作失效等进行敲诈勒索。

3.2. CradleCore

病毒类型:勒索软件

近日,国外安全专家发现CradleCore勒索软件作者在地下论坛出售勒索软件的源代码。这种方式是RaaS(勒索即服务)的一种新变化。研究人员分析后发现该勒索软件功能相对完整,包括:使用Blowfish算法加密文件,支持反沙箱、和离线加密,通过Tor2Web连接命令控制服务器。由于源代码外泄,研究人员预测近期该勒索软件可能会出现很多新的变种

3.3. Karmen

病毒类型:勒索软件

研究人员近期发现一种名为Karmen的新型勒索软件服务,该服务可为客户设置自定义的勒索软件活动类型。定制Karmen只需要175美金的费用,即可由买家设定赎金价格、支付时限、沟通模式等服务类型。

4. 服务与支持

网盾公司全天接受用户就安全技术、安全产品方面的技术和商务咨询,且力求获得用户对我们服务的认可,我们努力为您提供最全面有效的服务与支持。如果您需要,请通过如下多种方式与我们联络:

电子邮件支持

任何时候我们都欢迎您用电子邮件(support@cybersafe2000.com)告知我们您想要咨询关于信息安全方面的问题,我们将在收到邮件后的第一时间给您回复。

电话支持

每天上午9点至下午6点欢迎您致电86-755-82914054咨询技术细节,我们的专业技术人员24小时都在期待您的来电,并期望能为您解决问题。

深圳网盾金钟罩APP加固已改版上线,欢迎访问。

金钟罩APP加固:http://www.netonsafe.com/

开发者生态圈论坛:http://bbs.netonsafe.com/forum.php

 
关于我们  |  在线留言  |  联系我们  |  返回顶部

版权所有 深圳市网盾信息安全有限公司 
地 址:深圳市福田区深南大道嘉麟豪庭C栋2004 粤ICP备14041758号