电话:0755-82914054 官方微博 微信关注
  您所在的位置: 首页 >> 新闻资讯 >> 安全通告
 
公司新闻
行业动态
安全通告
 
 
  电 话:0755-82914054
  传 真:0755-82914115
  E-mail:
support@cybersafe2000.com
support@cybersafe2000.com
 

网盾安全通告(20170508)

 

1. 病毒预警

1.1. Trojan_Agent.RYU

病毒类型:木马程序

该变种运行后,首先判断自身是否在受感染操作系统目录中,如不在则将自身拷贝到系统目录,然后连接系统中的服务控制管理器,创建自启动类型的服务,并设置服务描述信息。与此同时,恶意程序服务启动之后,将其档注入到该进程地址空间并执行。

另外,该变种会迫使受感染操作系统主动连接远程服务器,最终变种可以获取受感染操作系统的本机信息(诸如:计算机名、操作系统版本、系统驱动程序等),随即发送到恶意攻击者指定的Web服务器上,致使受感染操作系统接受远程恶意代码指令。

1.2. CradleCore

病毒类型:勒索软件

近日,国外安全专家发现CradleCore勒索软件作者在地下论坛出售勒索软件的源代码。这种方式是RaaS(勒索即服务)的一种新变化。研究人员分析后发现该勒索软件功能相对完整,包括:使用Blowfish算法加密档,支持反沙箱、和离线加密,通过Tor2Web连接命令控制服务器。由于源代码外泄,研究人员预测近期该勒索软件可能会出现很多新的变种

1.3. Karmen

病毒类型:勒索软件

研究人员近期发现一种名为Karmen的新型勒索软件服务,该服务可为客户设置自定义的勒索软件活动类型。定制Karmen只需要175美金的费用,即可由买家设定赎金价格、支付时限、沟通模式等服务类型。

2. 弱点通告

2.1. Huawei Tecal E9000 Chassis Hyper Module Management权限提升漏洞

漏洞类型:通用软硬件漏洞

漏洞编号:CVE-2014-9696

受影响系统:Huawei Tecal E9000 Chassis <=V100R001C00SPC160

漏洞描述:Tecal E9000 Chassis是中国华为(Huawei)公司的一款刀片服务器。Hyper Module ManagementHMM)是其中的一个冗余管理模块软件。

Huawei Tecal E9000 Chassis V100R001C00SPC160及之前的版本中的HMM软件存在安全漏洞。攻击者可利用该漏洞越权修改iMana的用户配置

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

http://www.huawei.com/cn/psirt/security-advisories/hw-408107

2.2. Cisco Unified Communications Manager UDP处理拒绝服务漏洞

漏洞类型:通用软硬件漏洞

漏洞编号:CVE-2017-3808

受影响系统:Microsoft Outlook for Mac 2011

漏洞描述:Cisco Unified Communications Manager是企业级IP电话呼叫处理系统。

Cisco Unified Communications ManagerSession Initiation Protocol (SIP) UDP节流进程存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,使应用程序崩溃。

用户可参考如下厂商提供的安全补丁以修复该漏洞:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170419-ucm

2.3. Cisco Prime Network Registrar拒绝服务漏洞

漏洞类型:通用软硬件漏洞

漏洞编号:CVE-2017-6613

受影响系统:Cisco Prime Network Registrar 8.3.4

Cisco Prime Network Registrar 8.3.2

Cisco Prime Network Registrar 8.3.1

Cisco Prime Network Registrar 8.3

漏洞描述:Cisco Prime Network RegistrarCPNR)是美国思科(Cisco)公司的一款网络注册器产品。该产品提供了动态主机配置协议(DHCP)、功能变量名称系统(DNS)和IP地址管理(IPAM)等服务。

Cisco Prime Network Registrar存在远程拒绝服务漏洞。攻击者可以利用此问题导致拒绝服务条件。

用户可参考如下厂商提供的安全补丁以修复该漏洞:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160928-dns

2.4. Cisco ASA SoftwareFTD Software拒绝服务漏洞

漏洞类型:通用软硬件漏洞

漏洞编号:CVE-2017-3793

受影响系统:Cisco Firepower Threat Defense Software 0

Cisco ASA 5500-X Series Firewalls 9.1(7)

Cisco Adaptive Security Appliance (ASA) Software 0

漏洞描述:Cisco Adaptive Security AppliancesASA,自适应安全设备)SoftwareCisco Firepower Threat DefenseFTDSoftware都是由美国思科(Cisco)公司开发的程序。前者是一套运行于防火墙中的操作系统。后者是一套提供下一代防火墙服务的统一软件。

Cisco ASA SoftwareFTD Software存在拒绝服务漏洞。远程攻击者可利用该漏洞造成拒绝服务。

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvb46321

 

1.1. 

1.2. 

3. 安全焦点

3.1. IBM警告部分Storwize初始化USB工具盘被恶意软件感染

据外媒报导,IBM 已经向客户发出了一份警告,原因是其出货的 USB 闪存盘中包含了恶意代码。IBM 声称,在其为 IBM Storwize 准备的初始化工具中,有部分编号为“01AC585”的 USB 闪存盘被感染。该问题影响到了部分 IBM 面向数据中心的 Storwize 大数据存储系统,涉及型号 V3500 - 207102A 10A 机型)、V3700 - 207212C / 24C / 2DC 机型)、V5000 - 207712C 24C 机型)、以及V5000 - 207812C 24C 机型)。

IBM 公告中称:

我司已在为 IBM Storwize V3500V3700V5000 Gen 1 系统提供的初始化工具中,鉴定出了一个存在于 USB 闪存盘上的恶意档。

当初始化工具从 USB 闪存盘启动的时候,该工具会在正常操作期间,将自己拷贝到台式机/笔记本硬盘的一处临时目录。

如用户对当前所使用的 IBM Storwize 产品感到不放心,可检查如下路径:

Windows 临时目录:%TMP%\initTool    

Linux 临时目录:/tmp/initTool    

IBM 强烈建议用户部署杀毒软件,以移除感染的恶意软件(或删除被感染的整个档夹),且 Windows 用户不可将之移动到回收站了事(而是彻底删除)。

对于需要保留该 USB 初始化工具盘的用户,也请务必永久清理并去 FixCentral 重新下载一份初始化工具。

3.2. 卡巴斯基:2017第一季度APT趋势报告

卡巴斯基目前正在监测100多名威胁行动者的活动,从Lazarus(APT-C-26)StoneDrill。卡巴斯基2017年第一季度研究报告显示,臭名昭著的Lazarus(APT-C-26)aka BlueNoroff是目前全球金融机构最具威胁性的恶意软件。

一、起底神秘组织Lazarus

早在2014年,Lazarus Group的活动频率开始大幅提升,其成员在攻击中使用的大多是定制化的恶意软件,而对Lazarus Group进行调查的专家认为,这款软件极度复杂。Lazarus Group至少从2009年就开始活跃了,可能早在2007年,它就参与了网络间谍及破坏系统的犯罪活动。

Symantec专家收集的证据显示,Lazarus APT集团是利用“装载机”软件进行活动的幕后黑手,该软件曾通过安装其他恶意程序来发动攻击。美国和韩国政府都曾指责平壤,应该对攻击负责,但朝鲜政府否认其是幕后黑手。

Lazarus APT被指涉嫌攻击多个知名网站,2013年针对韩国金融机构和媒体公司的DarkSeoul攻击行动、2014年针对索尼影视娱乐公司(Sony Pictures EntertainmentSPE)攻击的幕后组织都是Lazarus组织。

卡巴斯基实验室称,针对全球银行的黑客活动仍在进行中,专家最近发现了新的恶意软件样本。

二、卡巴斯基最新ATP趋势报告

研究人员认为,BlueNoroff是针对金融机构的最活跃的攻击团体之一,并正试图在多个地区影响不同的受害者。他们的操作仍在进行,事实上,最近的恶意软件样本在20173月被发现。

目前研究人员认为,BlueNoroff可能是银行最严重的威胁。卡巴斯基目前正在监测100多个威胁行动者、APT团体对金融上有动机的网络犯罪团伙的活动,这些犯罪团伙几乎瞄准了80多个国家的行业。

上半年,卡巴斯基实验室监测到的最活跃的就是Shamoon以及StoneDrill APTS。据调查,该两款恶意软件是截然不同的,StoneDrill可以用于网络间谍和破坏,Shamoon擦拭感染过的计算机。这两款恶意软件被攻击者用来对抗沙乌地阿拉伯实体组织和欧洲组织。

卡巴斯基实验室研究人员发现,ShamoonStoneDrillNewsBeef等恶意软件在组件上都是极其相似的。

研究人员强调,APT团队在攻击时都使用通用工具;报告指出,与其开发他们自己的工具进行攻击,选择已经存在的恶意软件,会明显简单得多,并且将使事故分析及事故归因更复杂,一定程度使其攻击行动更隐蔽

3.3. CNVD漏洞库开放批量数据获取:加强共建共享,共同提升漏洞威胁防御能力

为进一步加强漏洞威胁信息共享,提升全社会全行业的漏洞威胁预警和安全防范能力,促进CNVD中文漏洞信息的规范使用,CNVD秘书处近期向全社会全行业开放CNVD网站(http://www.cnvd.org.cn)公开发布的漏洞信息的批量获取方式,相关情况公告如下:

一、CNVD漏洞批量获取方式

CNVD前台注册用户(包括企业账号、个人账号)登陆后,进入CNVD网站“统计查询”—“共享数据”页面即可看到共享数据。CNVD秘书处每周一按既定格式(xml标准格式)将上周收录并发布的漏洞信息进行批量共享。相关数据字段包括:CNVD编号、引用编号(CVEBID或其他)、漏洞名称、漏洞危害等级、影响产品、漏洞类型(是否为事件型漏洞)、漏洞报送时间、漏洞公开时间、漏洞发现者、漏洞描述、解决办法、补丁名称、补丁描述等。

CNVD技术组成员单位及其他在CNVD兼容性方面有需求的厂商可以通过向CNVD秘书处(vsupport@cert.org.cn)申请使用CNVD公开漏洞信息全量共享界面(API)的方式获取201111日以后的CNVD网站发布的漏洞信息,并按天同步获取最新信息。界面获得的相关数据字段较上述网站共享数据要更为丰富。

二、漏洞信息库共建共享倡仪

CNVD建立和运行的主要目标即与国家政府部门、重要信息系统用户、运营商、主要安全厂商、软件厂商、科研机构、公共互联网用户等共同建立软件安全漏洞统一收集验证、预警发布及应急处置体系,切实提升我国在安全漏洞方面的整体研究水平和及时预防能力。

CNVD的发展离不开国家有关主管部门的关心和指导,离不开CNVD成员单位以及安全研究机构、安全研究者(白帽子)、行业厂商的参与和贡献。2016年,CNVD收录并公开发布的漏洞数量首次破万,达到10822个。2016年,“北京启明星辰信息安全技术有限公司”等13家单位获得“漏洞信息报送突出贡献单位”表彰、“腾讯玄武实验室”以及“HXY”等7家单位和6位白帽子个人获得“原创漏洞报送突出贡献”表彰,还有“中国电信集团公司网络运行维护部”等12家单位在漏洞应急处置协作及技术协作方面表现突出。

CNVD继续向全社会发出漏洞信息库共建共享倡议,通过开展漏洞信息中文化整理、漏洞威胁信息分析和预警、漏洞风险发现与报告等方面工作,营造良性的漏洞发现与报告环境,加强漏洞收集、整理、分析和处置等环节管理。同时,CNVD后续将在软硬件产品应用识别、验证信息无害化研究、漏洞攻击防护等核心能力方面与网络安全业界加强互动协作,切实提升全行业、全社会的威胁感知和安全防护能力。

3.4. 解析网络威胁“狩猎”新范式

专家谈及网络威胁的细分时,通常会提及二八定律(又名80/20定律、帕累托法则(定律)也叫巴莱特定律、最省力的法则、不平衡原则等,被广泛应用于社会学及企业管理学等。)。二八定律的概念为:80%的网络威胁攻击者通常比较“低能”,而剩下20%则非常先进,如果给定的时间和资源充足,这20%的攻击者可以入侵任何网络。

网络“狩猎”新范式

从历史上来看,国防和情报界主要关注那20%的网络攻击者。然而,如今商业化恶意软件的兴起让传统 “菜鸟级”攻击者也能使用先进技术。

例如,2006年,WebAttacker漏洞利用工具提供了一套任何威胁攻击者都能操作的工具套件。在这种新范式下,我们要认清三大真相:

1. 不可能防止所有的攻击。

2. 企业网络难免会遭遇攻击。

3. 不存在100%的安全

大多数安全从业人员都明白,良好的网络习惯和边界网络安全将缓解底层80%的攻击者。在安全运维中心(SOC),阻止和处理技术可以应对超过90%的攻击者。而那剩下的10%,就属于威胁狩猎的领域。

人工分析师可以调查数据源找到单靠机器无法检测到的威胁证据。例如,寻找异常的分析师可以发现对手的指示器(Indicator),以及执行攻击者的部分杀伤链,并在对方采取行动前加以阻止。

威胁狩猎新手需了解的注意事项

当创建威胁狩猎计划时,组织机构应牢记三件事:

1. 需求是什么?

威胁狩猎的基础是安全信息和事件管理(SIEM)解决方案,该解决方案在网络内适当聚合内部结构化数据。威胁情报信息允许组织机构对比外部威胁指示器(Indicator),并理解威胁格局。

此外,还要增加统计分析引擎和情报分析工具。分析师可通过统计分析根据数学模型发现异常,而不是规则引擎。情报分析工具可以使相关数据可视化,以便分析师围绕实体、联系和财产进行关联。

2. 需要哪些人才?

威胁分析师是威胁狩猎从业人员。威胁分析师通常被称为“三级分析师”,他们具有信息安全、取证科学和情报分析相关的技能。因为具备这些技能,三级分析师能主动根据情报需求积极发现威胁,并直接展开调查。

3.怎么做?

执行威胁狩猎最重要的起点是建立优先情报需求(PIR)。PIR需求基本上都是领导层寻求的高层次问题。

你可能想知道,自己是否遗漏了隐藏的威胁。若是如此,具体信息需求(SIR)可以帮助回答以下问题:

众多低级警报何时连接到同一指示器(Indicator)?

30天至90天之前,新威胁情报指示器(Indicator)在哪里与日志匹配?

通过以前从未见过的命令执行的远程访问会话在哪里?

威胁狩猎者通过这些问题可以了解重要情报,以解决高层次的问题,并破坏先前未知的复杂威胁。

奠定基础

刚开始涉足威胁狩猎的公司应了解上述基本概念,并在成熟时增加更多功能。使用正确的工具和配备有技能的员工至关重要。通过适当的技术、人员和可操作的威胁情报,组织机构可以填补安全空缺,并保护网络免于遭受“藏在暗处”的恶意攻击。

4. 服务与支持

网盾公司全天接受用户就安全技术、安全产品方面的技术和商务咨询,且力求获得用户对我们服务的认可,我们努力为您提供最全面有效的服务与支持。如果您需要,请通过如下多种方式与我们联络:

电子邮件支持

任何时候我们都欢迎您用电子邮件(support@cybersafe2000.com)告知我们您想要咨询关于信息安全方面的问题,我们将在收到邮件后的第一时间给您回复。

电话支持

每天上午9点至下午6欢迎您致电86-755-82914054咨询技术细节,我们的专业技术人员24小时都在期待您的来电,并期望能为您解决问题。

深圳网盾金钟罩APP加固已改版上线,欢迎访问。

金钟罩APP加固:http://www.netonsafe.com/

开发者生态圈论坛:http://bbs.netonsafe.com/forum.php

 
关于我们  |  在线留言  |  联系我们  |  返回顶部

版权所有 深圳市网盾信息安全有限公司 
地 址:深圳市福田区深南大道嘉麟豪庭C栋2004 粤ICP备14041758号