电话:0755-82914054 官方微博 微信关注
  您所在的位置: 首页 >> 新闻资讯 >> 安全通告
 
公司新闻
行业动态
安全通告
 
 
  电 话:0755-82914054
  传 真:0755-82914115
  E-mail:
support@cybersafe2000.com
support@cybersafe2000.com
 

网盾安全通告20170619

 

1. 病毒预警

1.1. 一站式的勒索软件Spectre

病毒类型:木马病毒

近日,国外安全专家发现当勒索软件感染后,连接C&Ca0142503.xsph.ru/testing.php?mode=a1,传回受害者的ID、比特币地址和加密的公钥。然后删除备份数据,根据以下文件名(.txt.doc.docx.pdf.rtf.xls.xlsx.ppt.pptx.bmp.jpg.jpeg.gif.tiff.png.wav.mpeg .avi.zip.rar.wmv)扫描受害者的机器,并使用AES加密档。例如,test.jpg被加密成类似Baase64编码格式的文件名+1JAZ2Gafj5Y4ZRGJlsyWw==.spectre。和其他的勒索软件一样通过档HowToDecryptIMPORTANT!.txt展示勒索信息。但是在信息中存在Spectre为受害者提供了专门的付款网站URL地址,当用户访问该网站时,需要输入唯一的ID,登录成功后显示FAQ,支持项和解密页面。目前只是测试,该网站的目标可能是转移到暗网中,通过TOR访问。

国家计算机病毒应急处理中心建议广大计算机用户加强安全防范意识,做好日常备份(最好是异地备份),不要访问包含未知风险的网站或打开不明来历的电子邮件附件,保持开启杀毒软件实时监控功能,并持续关注我中心网站上关于勒索软件的有关信息。

1.2. Trojan.Win32.BHO.hdz

病毒类型:木马病毒

病毒运行后查找主流杀毒软件进程,并尝试将其结束。同时病毒还将修改用户的注册表,以便实现开机自启动。除此之外,该病毒还在后台连接黑客指定网址,并为恶意网址刷流量,占用大量网络资源。用户一旦中毒,有可能出现网络拥堵等现象。。

专家提醒:

针对这种情况,国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施:

(一)针对已经感染该恶意木马程序变种的计算机用户,我们建议立即升级系统中的防病毒软件,进行全面杀毒。

(二)针对未感染该恶意木马程序变种的计算机用户,我们建议打开系统中防病毒软件的“系统监控”功能,从注册表、系统进程、存储器、网络等多方面对各种操作进行主动防御,这样可以第一时间监控未知病毒的入侵活动,达到全方位保护计算机系统安全的目的。

1.3. “EternalRocks”的新型网络蠕虫病毒的预警

病毒类型:蠕虫病毒

日前,国外研究人员发现一种名为EternalRocks”的新型网络蠕虫病毒,经分析,其采用了7个“Shadow Broker”(影子经纪人)组织在互联网上发布的“方程式”(Equation Group)组织工具,分别是“ETERNALBLUE”、“ETERNALCHAMPION”,“ETERNALROMANCE”,“ETERNALSYNERGY”、“SMBTOUCH”、“ARCHITOUCH”,“DOUBLEPULSAR”。 针对微软Windows系列操作系统的SMB服务进行攻击,并且与“WannaCry”勒索病毒相似,同样利用Windows操作系统SMB协议漏洞(MS17-010)进行传播,受害主机会被安装后门程序。经监测,目前尚未发现国内用户感染案例,国家计算机病毒应急处理中心将对该病毒进行持续跟踪监测。建议国内用户做好防护工作,尽快安装MS17-010漏洞补丁。

2. 弱点通告

2.1. Adobe Digital Editions堆栈缓冲区溢出漏洞(CNVD-2017-10052

CNVD-ID CNVD-2017-10052

发布时间 2017-06-19

危害级别 (AV:N/AC:L/Au:N/C:P/I:P/A:P)

影响产品 Adobe Digital Editions <=4.5.4

BUGTRAQ ID 99021

CVE ID CVE-2017-3095

漏洞描述 Adobe Digital EditionsDE)是美国奥多比(Adobe)公司的一套电子书阅读管理软件。通过该软件可打开、阅读和管理PDFXMLFlash档。

 

Adobe Digital Editions存在堆栈缓冲区溢出漏洞。由于将其复制到不足的存储器缓冲区之前程序未能充分界定检查用户提供的数据,攻击者可以利用漏洞在受影响的应用程序的上下文中执行任意代码。失败的利用尝试可能导致拒绝服务条件。

漏洞类型 通用软硬件漏洞

URL

参考链接 https://helpx.adobe.com/security/products/Digital-Editions/apsb17-20.html

漏洞解决方案 厂商已发布了漏洞修复程序,请及时关注更新:

https://helpx.adobe.com/security/products/Digital-Editions/apsb17-20.html

漏洞发现者 riusksk of Tencent Security Platform Department

厂商补丁 Adobe Digital Editions堆栈缓冲区溢出漏洞(CNVD-2017-10052)的补丁

验证信息 (暂无验证信息)

报送时间 2017-06-14

收录时间 2017-06-19

更新时间 2017-06-19

漏洞附件 (无附件)

  在发布漏洞公告信息之前,CNVD都力争保证每条公告的准确性和可靠性。然而,采纳和实施公告中的建议则完全由用户自己决定,其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策,您应考虑其内容是否符合您个人或您企业的安全策略和流程。

2.2. igateway网关系统存在s2-045远程代码执行漏洞

CNVD-ID CNVD-2017-06763

发布时间 2017-06-19

危害级别 (AV:N/AC:L/Au:N/C:P/I:P/A:P)

影响产品 广州市毅航互联通信股份有限公司 igateway网关系统

漏洞描述 igateway网关是广州市毅航互联通信股份有限公司生产的一款网关系统。

 

igateway网关系统存在s2-045远程代码执行漏洞,允许远程攻击者利用漏洞执行命令,获取服务器权限。

漏洞类型 通用软硬件漏洞

URL

参考链接

漏洞解决方案 厂商尚未提供漏洞修补方案,请关注厂商主页及时更新:

http://www.ehangcom.com/

漏洞发现者 东方欲晓的晓东

厂商补丁 广州毅航网管系统存在Struts2远程命令执行漏洞

验证信息 已验证

报送时间 2017-05-04

收录时间 2017-05-17

更新时间 2017-05-26

漏洞附件 附件暂不公开

  在发布漏洞公告信息之前,CNVD都力争保证每条公告的准确性和可靠性。然而,采纳和实施公告中的建议则完全由用户自己决定,其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策,您应考虑其内容是否符合您个人或您企业的安全策略和流程。

2.3. ZZCMS V8.0 admin/adclass.php档存在SQL注入漏洞

CNVD-ID CNVD-2017-06123

发布时间 2017-06-19

危害级别 (AV:N/AC:L/Au:N/C:C/I:N/A:N)

影响产品 ZZCMS zzcms 8.0

漏洞描述 ZZCMS是一款企业建站程序

 

ZZCMS V8.0 admin/adclass.php档的modifybigclass函数存在SQL注入漏洞。该漏洞产生的原因是未能对参数进行有效过滤,导致注入漏洞,允许攻击者利用漏洞获取数据库敏感信息。

漏洞类型 通用软硬件漏洞

URL http://www.zzcms.net/

参考链接

漏洞解决方案 厂商尚未提供修复方案,请关注厂商主页及时更新:

http://www.zzcms.net/

漏洞发现者 huim

厂商补丁 (无补丁信息)

验证信息 已验证

报送时间 2017-05-04

收录时间 2017-05-09

更新时间 2017-05-10

漏洞附件 附件暂不公开

  在发布漏洞公告信息之前,CNVD都力争保证每条公告的准确性和可靠性。然而,采纳和实施公告中的建议则完全由用户自己决定,其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策,您应考虑其内容是否符合您个人或您企业的安全策略和流程。

2.4. Cisco Elastic Services Controlle默认凭据安全绕过漏洞

CNVD-ID CNVD-2017-09963

发布时间 2017-06-18

危害级别 (AV:N/AC:L/Au:N/C:P/I:P/A:P)

影响产品 Cisco Elastic Services Controllers

BUGTRAQ ID 98973

CVE ID CVE-2017-6688

漏洞描述 Cisco弹性服务控制器(ESC)可在网络功能虚拟化(NFV)环境中提升灵活性,灵活性和可编程性,并提供全面的自动化生命周期管理功能。

 

Cisco Elastic Services Controlle存在默认凭据安全绕过漏洞。攻击者可利用漏洞绕过安全机制并获得未经授权的访问。

漏洞类型 通用软硬件漏洞

URL

参考链接 http://www.securityfocus.com/bid/98973

漏洞解决方案 Cisco已经为此发布了一个安全公告(cisco-sa-20170607-esc4)以及相应补丁:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170607-esc4

漏洞发现者 Cisco

厂商补丁 Cisco Elastic Services Controlle默认凭据安全绕过漏洞的补丁

验证信息 (暂无验证信息)

报送时间 2017-06-12

收录时间 2017-06-18

更新时间 2017-06-18

漏洞附件 (无附件)

  在发布漏洞公告信息之前,CNVD都力争保证每条公告的准确性和可靠性。然而,采纳和实施公告中的建议则完全由用户自己决定,其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策,您应考虑其内容是否符合您个人或您企业的安全策略和流程。

 

1.1. 

1.2. 

 

3. 安全焦点

3.1. Jaff勒索病毒全面破解

Jaff勒索病毒能够通过垃圾邮件来诱导用户跳坑,当用户打开包含恶意WordPDF文档的邮件时,Jaff病毒就会趁虚而入,加密用户计算机中的文档,并索要赎金解锁。目前主要影响区域包括中国、印度、俄罗斯、埃及和德国等。

因此,对于办公人员来说,Jaff病毒已经严重威胁到正常的公司事务运营。

幸运的是,卡巴斯基实验室的技术人员最近找到了Jaff病毒的一个漏洞,进而开发出解锁工具,并将解锁工具嵌入到了免费下载的RakhniDecryptor中。

需要强调的是,卡巴斯基的解锁工具适用于所有变种的Jaff勒索病毒。

此外,卡巴斯基之前还陆续发布了针对CoinVaultTeslaCryptWildfire等勒索病毒的解锁工具。

3.2. 多家银行利用第三方跟踪技术窥探用户个人信息

618日讯 网络信息安全公司eBlocker最新的一项研究表明,大量银行会利用第三方跟踪器,借助信息侵入技术来评估客户的个人信用等级。

在美国和英国访问量最大的十大金融机构网站中,累计有超过110个第三方跟踪器会对登录银行网站的客户进行窥探。PNC银行有大约330个跟踪器,使其成为规模最大的窥探者。相比之下,汇丰银行仅有2个,摩根大通银行也只有9个。

以下是更多银行使用跟踪器的数据:TD Bank20);纽约银行梅隆公司(14);美国众合银行(9);美国银行(6);花旗银行(6);美国第一资本投资国际集团(6);富国银行(5)。

eBlocker报告指出,银行通过第三方跟踪器访问用户的财务数据,在用户申请贷款之前,就可以已经作出了是否放贷的决定。

3.3. 黑客用U盘启动软件让ATM机吐钱,Windows XP再中招

619日讯 随着科技的不断发展与进步,黑客与黑客方法也在“与时俱进”。不久之前,黑客通过窃取用户的信用卡信息或银行卡盗取资金。而如今,黑客借助一款开源软件让印度西孟加拉邦、古吉拉特邦、奥里萨邦和比哈尔省多地ATM机直接“吐钱”,大量资金被盗。

黑客利用一款制作 USB 启动盘软件——“Rufus”,无需破坏硬件,也不必窃取信用卡,就能让ATM机轻松“吐钱”,印度遭到攻击的地区因此蒙受损失。

Rufus是一个开源免费的快速制作 U 盘系统启动盘和格式化 USB 的实用小工具,它可以快速把 ISO 格式的系统镜像档快速制作成可引导的 USB 启动安装盘,支持 Windows Linux 启动。Rufus小巧玲珑,软件体积仅 7 百多 KB,然而麻雀虽小,它却五脏俱全……

Rufus除了体积小之外,它的一大特点就是「速度快」!根据官方宣称,Rufus 在制作 USB 启动盘时速度相比同类软件 Windows 7 USB Download toolUNetbootinUniversal USB Installer 等大约能快2倍,灰常给力。

而且,Rufus完全免费开源,支持中文,官方还提供了经过微软数字签名的「绿色版」,可以不需要安装直接点开即用,非常方便。

   

当你需要重装系统制作启动盘时,你可以毫不犹豫的打开 Rufus,或者你需要制作 DOS 启动盘去刷 BIOS 时都可以找它!另外 Rufus 支持 UEFI 以及 GPT 格式的安装,你完全可以在 EFI 模式安装 Windows 10Windows 8 / 7 或者 Linux

到目前为止,只有使用Windows XPATM受到影响,但并不能保证,使用其他系统的ATM就绝对安全。虽然经历过WannaCry之痛,让许多组织机构引起高度重视,但仍有大量设备在使用XP系统。Windows XP系统常被沦为攻击目标,其原因在于该系统极易遭受入侵。

此次攻击案例中,第一起事件发生在奥里萨邦,不久之后,其他地区也陆续发现了该事件。

据比哈尔警方和西孟加拉邦网络犯罪科证实,这几起攻击是网络犯罪分子所为。比哈尔警方正在咨询网络专家,希望得到相关帮助破解此案。

据报导,印度上一起ATM入侵事件发生在去年,当时采用的策略与此次类似。当时,攻击者针对的目标是贝古萨赖、吉哈纳巴德和比哈尔的巴特那。

本次盗取ATM的这群黑客选择在夜间瞄准无人值守的ATM机。他们将被感染的随身存储器插入USB端口,以此通过恶意软件感染ATM机。此后,恶意软件会重启系统,切断与服务提供商服务器的连接。被用在ATM上之后,恶意软件还会生成代码,其可以被译为密码,当输入密码时,ATM就会吐钱,但不会立即拉响警报,黑客可以在行窃之后逃之夭夭。

安全机构指出,这类攻击之所以能够得逞,ATM厂商有一定的责任。孟买的网络律师普拉桑特马里表示,印度政府应当确保ATM制造商,印度政府增设大量ATM的同时应改善安全性。但ATM制造商否认其设备存在任何安全漏洞。

不过,这些制造商承认有几个故障案例,但这种现象并不普遍。印度储备银行目前也意识到此类情形,他们正与印度国家支付公司紧密合作,计划指导银行如何提升安全性。

3.4. 预防数据泄露,警惕遭遇数据泄露时黑客加以利用

617日讯 数据泄露事件几乎每天都在上演。虽然一打开微信、微博、新闻APP等就能看到铺天盖地的黑客事件和数据泄露新闻,但当听到海量数据被泄时,大多数都在心里默默祈祷自己不中招,然而我们根本不知道当数据被泄之后,网络犯罪份子到底做了什么?

美国联邦贸易委员会(FTC)做了一项新研究,其结果表明:网络犯罪份子会试图在数据公开后9分钟之内加以利用。大多数信用卡测试金额低于10美元。

当受害者得知遭遇数据泄露时,要部署措施阻止网络犯罪份子利用这类数据为时已晚。

FTC表示,数据一旦公开,网络犯罪份子便会利用。当诸如信用卡号或电子邮件登录信息被公之于众时,不出几分钟(最多几小时)就有网络犯罪份子尝试非授权访问。

FTC技术研究与调查办公室首席顾问兼代理负责人丹·萨尔斯堡表示,客户数据被公开后之后的情况确实难以掌控。

为了弄清楚真相,研究人员精心制作了100份虚假的客户资料,包括名称、地址、电话号码、电子邮箱和支付机制(在线支付账号、比特币钱包或信用卡),此外还包含未指明用途的密码。萨尔斯堡表示,这样做的目标是,使客户数据库看起来更加真实可信,看似是从小企业窃取得来。

研究人员将这个虚假的数据库发布在网络犯罪份子经常访问的网站。

第一次,当数据发布后90分钟内,网络犯罪份子便尝试访问其中的电子邮箱和支付账号。

一周之后,研究人员再次发布数据库,而网络犯罪份子在9分钟之内就开始尝试使用该数据购买并访问账号。

FTC的研究结果强调网络犯罪份子如何使用泄露的数据,并提出几点保护措施。

一、养成监控账号的习惯

网络网络犯罪份子对信用卡最感兴趣:FTC的研究人员发现,网络犯罪份子一般会在数据泄露后几周内测试信用卡是否有效,可能是因为这种方法收效最快。

研究人员建议用户为可疑交易(例如大笔交易、国外交易等)设置提醒。定期查看账户的交易记录有助于帮助用户捕获预警信号:小笔测试扣费。

萨尔斯堡表示,绝大多数测试金额不会超过10美元(约人民币70元),因为网络犯罪份子在尝试大笔购买或窃取数据之前会设法确认账号是否可用。

这就是为什么有些网络犯罪份子尝试在慈善网站进行测试,因为非盈利网站可能会允许金额较小的捐款,并快速向捐款者反馈是否接受此卡。

二、开启双因素认证

FTC的研究表明,网络犯罪份子尝试入侵客户电子邮箱的行为均为失败告终。

萨尔斯堡指出,每个虚构账号的密码错误或启动了双因素认证。因此将双因素认证运用到电子邮箱、银行账户、社交媒体账号等地方是一项明智的举措。将双因素认证技术部署到位时,登录不止要求输入密码,同时还需通过辅助验证,通常以短信发送验证码的方式验证,除非黑客还能访问手机。增加双因素认证相当为安全加了一道防护门槛。

三、尽快将预防措施部署到位

这项研究表明,用户最好主动采取预防措施,而非被动保护账号和身份。

在用户觉察之前,信息已经暴露在外。除非事先部署了措施,否则难以修复问题或者弥补损失。

建议用户为每个账号分别创建唯一的复杂强密码,这样一来,网络犯罪份子无法通过一个被泄露的密码破解电子邮件、银行账户或其他账号。

一旦听说遭遇数据泄露事件,最佳的做法是尽量降低损害,例如修改密码、注册免费信用监控服务、设置提醒或冻结银行账号等。

4. 服务与支持

网盾公司全天接受用户就安全技术、安全产品方面的技术和商务咨询,且力求获得用户对我们服务的认可,我们努力为您提供最全面有效的服务与支持。如果您需要,请通过如下多种方式与我们联络:

电子邮件支持

任何时候我们都欢迎您用电子邮件(support@cybersafe2000.com)告知我们您想要咨询关于信息安全方面的问题,我们将在收到邮件后的第一时间给您回复。

电话支持

每天上午9点至下午6欢迎您致电86-755-82914054咨询技术细节,我们的专业技术人员24小时都在期待您的来电,并期望能为您解决问题。

深圳网盾金钟罩APP加固已改版上线,欢迎访问。

金钟罩APP加固:http://www.netonsafe.com/

开发者生态圈论坛:http://bbs.netonsafe.com/forum.php

 
关于我们  |  在线留言  |  联系我们  |  返回顶部

版权所有 深圳市网盾信息安全有限公司 
地 址:深圳市福田区深南大道嘉麟豪庭C栋2004 粤ICP备14041758号