漏洞攻擊也是近期的一個熱點(diǎn)話題,微軟本周將發(fā)布本月的例行更新,攻擊者利用ppt的0day漏洞大肆進(jìn)行攻擊的事件也隨之浮出水面。漸漸升溫的軟件安全市場吸引了越來越多的廠商加入,F(xiàn)ortify無疑將是本周該領(lǐng)域的明星,筆者將和朋友們一起關(guān)注其最新發(fā)布的政府軟件安全新報(bào)告和SaaS形式的軟件安全服務(wù),同時還將關(guān)注一下OWASP組織本周推出的代碼安全審計(jì)指南。而在本期回顧的最后,筆者為朋友們精心挑選了三個值得一讀的推薦閱讀文章。
近期的安全威脅等級為中,對用戶和系統(tǒng)威脅較大的威脅類型仍為惡意軟件和針對流行軟件的漏洞攻擊,建議用戶注意更新自己的系統(tǒng)和軟件,并使用合適的反病毒和防火墻軟件。
惡意軟件:Conficker蠕蟲通過P2P升級逃避檢測;新的SMS病毒顯示移動威脅繼續(xù)上升;關(guān)注指數(shù):高
經(jīng)過安全廠商和ISP的不懈努力,近段時間瘋狂擴(kuò)散的Conficker在本周已經(jīng)得到了一定的控制,但用戶也不應(yīng)放松警惕——根據(jù)多個安全廠商的監(jiān)測結(jié)果,為了逃避安全廠商和ISP的圍堵攻擊,網(wǎng)絡(luò)犯罪集團(tuán)用P2P技術(shù)對Conficker蠕蟲進(jìn)行了升級。這次升級后的Conficker蠕蟲不再使用原有的IRC控制模式,而通過P2P網(wǎng)絡(luò)對現(xiàn)有的Conficker進(jìn)行升級和控制,這樣用戶通過網(wǎng)絡(luò)流量分析檢測和防御Conficker蠕蟲的手段就顯得不太有效了。新版本Conficker使用P2P網(wǎng)絡(luò)進(jìn)行通信的特征與Waledac及Storm蠕蟲相類似,或許也暗示Conficker蠕蟲的作者與上述兩者可能有所聯(lián)系。
目前由安全廠商組成的Conficker Working Group團(tuán)隊(duì)已經(jīng)在對Conficker的最新樣本進(jìn)行分析,并提出對應(yīng)的解決方案。筆者建議,用戶應(yīng)保持現(xiàn)有反病毒軟件的更新,定期對自己系統(tǒng)上的驅(qū)動器進(jìn)行查殺。對于內(nèi)部網(wǎng)絡(luò)規(guī)模較大的企業(yè)用戶,可采用嗅探器、網(wǎng)絡(luò)分析儀等工具來審計(jì)網(wǎng)絡(luò)流量,若存在可疑的P2P流量則可能是已經(jīng)感染新版本的Conficker蠕蟲,另外企業(yè)用戶可在結(jié)合使用網(wǎng)絡(luò)版反病毒軟件的同時,通過防火墻封堵企業(yè)網(wǎng)絡(luò)對外的P2P流量,也能阻斷Conficker蠕蟲對企業(yè)網(wǎng)絡(luò)帶來的進(jìn)一步威脅。
Conficker蠕蟲的“成功”也大大的刺激了其他蠕蟲的控制者,Microsoft在本周早些時候發(fā)布警告稱,一個早在2005年就出現(xiàn)的老蠕蟲Neeris重新開始活躍,并通過Conficker蠕蟲的感染技術(shù)大肆擴(kuò)散。Neeris是一個主要通過MSN虛假信息傳播的IRC蠕蟲,最早于2005年出現(xiàn),之前最后的Neeris版本使用MS06040漏洞進(jìn)行擴(kuò)散。這次出現(xiàn)的新版本Neeris蠕蟲顯示,使用新蠕蟲的技術(shù)改造老蠕蟲,已經(jīng)成為網(wǎng)絡(luò)犯罪集團(tuán)對現(xiàn)有攻擊手段進(jìn)行升級的主要方式,用戶在防御如Conficker這樣的流行蠕蟲的時候,也不應(yīng)忽視已經(jīng)休眠或消失的老蠕蟲,說不定什么時候這些老蠕蟲就會換上個新面孔卷土重來。
而在移動計(jì)算領(lǐng)域,近段時間惡意軟件的活動也有增多的趨勢。反病毒廠商F-Secure在其本周發(fā)布的第一季度惡意軟件報(bào)告中稱,2009年第一季度的惡意軟件威脅仍然高企,第一個基于文本短消息服務(wù)(SMS)病毒的出現(xiàn)則是最有代表性的事件。這個名為SymbOS/Yxe的病毒主要感染使用Symbian操作系統(tǒng)的手機(jī),它會向用戶發(fā)送帶有虛假鏈接的SMS,欺騙用戶運(yùn)行鏈接所指向的手機(jī)程序,如果用戶不慎下載執(zhí)行了鏈接中的程序,就有可能感染該病毒并成為新的傳染源。
這個病毒所使用的攻擊手法與PC上常見的即時通訊病毒病并無差異,但因?yàn)樗ㄟ^移動網(wǎng)絡(luò)傳播并以手機(jī)為感染對象,同時用戶手機(jī)列表上的聯(lián)系人都是信任關(guān)系,所以SMS病毒的成功率要遠(yuǎn)高于傳統(tǒng)意義上的即時通訊病毒。根據(jù)F-secure的分析結(jié)果,這個SMS病毒的主要目的可能只是在于竊取被感染用戶的手機(jī)聯(lián)系人,同時發(fā)送大量的垃圾短信。
但筆者認(rèn)為,要把該病毒修改成能夠盜取用戶手機(jī)卡上話費(fèi)資金,或竊取用戶隱私信息的手機(jī)病毒并不存在技術(shù)上的困難,因此該病毒的進(jìn)一步發(fā)展值得關(guān)注,這種使用社會工程學(xué)來欺騙用戶下載執(zhí)行手機(jī)程序的攻擊手法,可能也會成為未來一段時間對用戶聯(lián)網(wǎng)移動設(shè)備攻擊的主流手段。建議用戶在使用手機(jī)或其他能夠連入移動通信網(wǎng)的移動計(jì)算設(shè)備時,還是要提高自己的安全意識,不要輕易去點(diǎn)擊不可信的鏈接和下載執(zhí)行不明軟件,以免感染惡意軟件,造成自己隱私信息或經(jīng)濟(jì)上的損失。
漏洞攻擊:PowerPoint再成黑客目標(biāo);微軟本月發(fā)布8個更新;關(guān)注指數(shù):高
在安全業(yè)界正對Conficker等在互聯(lián)網(wǎng)上大肆擴(kuò)散的惡意軟件焦頭爛額的時候,微軟的Office產(chǎn)品又再次成為黑客攻擊的目標(biāo),這次的受害者是Office中的PowerPoint組件。微軟本周發(fā)布安全公告稱,目前已經(jīng)確認(rèn)黑客利用的是一個未經(jīng)修補(bǔ)的存在于PowerPoint中的軟件漏洞,主要威脅Office 2000和Office 2003,目前在互聯(lián)網(wǎng)上只發(fā)現(xiàn)有少量的此類攻擊存在,利用該漏洞的PPT文件攜帶有一個特洛伊木馬,如果用戶收到此類文件并不慎開啟,就將有可能感染該P(yáng)PT文件中攜帶的惡意軟件。
不過有意思的是,這次PowerPoint攻擊的發(fā)現(xiàn)是因?yàn)槊赓M(fèi)的病毒掃描服務(wù)VirusTotal向各反病毒廠商提交的樣本,相信可能是攻擊者通過該網(wǎng)站進(jìn)行檢測測試時留下的樣本。微軟已經(jīng)開始對這個威脅Office安全的漏洞進(jìn)行調(diào)查,但沒有說明什么時候才會向用戶提供針對該漏洞的更新程序。
本周又是微軟定期發(fā)布補(bǔ)丁更新的時間,微軟將提供包括5個安全等級為關(guān)鍵的8個補(bǔ)丁程序,分別修補(bǔ)Windows、Office和Internet Explorer中存在的嚴(yán)重安全漏洞,另外的補(bǔ)丁程序則是為ISA和SearchPath提供的。由于5個關(guān)鍵更新所針對的漏洞都是對用戶威脅最大的遠(yuǎn)程代碼執(zhí)行漏洞,可以預(yù)見在不久的將來利用這些Windows漏洞進(jìn)行擴(kuò)散的蠕蟲,以及攻擊上述IE漏洞的惡意網(wǎng)站將大量增加,筆者建議朋友們盡快通過微軟的官方站點(diǎn)或Windows Update下載并應(yīng)用本月的更新程序,同時將現(xiàn)有的反病毒和防火墻軟件更新到最新版本。
軟件安全:Fortify新報(bào)告指出政府軟件安全;OWASP推出代碼安全審計(jì)指南;關(guān)注指數(shù):高
軟件安全作為安全市場上的一個新興領(lǐng)域,正吸引著越來越多的安全廠商的注意,F(xiàn)ortify無疑是這個市場內(nèi)具有代表性的廠商。針對政府用戶當(dāng)前所面臨的軟件安全威脅,本周Fortify推出了一個名為《如何在政府軟件中構(gòu)建安全》的新報(bào)告,該報(bào)告指出,政府用戶當(dāng)前所使用的軟件正面臨著眾多不同來源的安全威脅,同時缺乏一個行之有效的軟件保障程序,因此政府用戶的網(wǎng)絡(luò)和系統(tǒng)往往會因?yàn)榇嬖诖罅康能浖┒矗┞队诟鞣N外界攻擊的威脅之下。#p#分頁標(biāo)題#e#
為了幫助政府用戶了解如何建立一套有效的軟件保障體系,F(xiàn)ortify還在報(bào)告中提供了幾個美國政府機(jī)構(gòu)實(shí)施軟件保障的案例研究。本月早些時候Fortify和咨詢機(jī)構(gòu)Cigital曾合作推出了旨在幫助企業(yè)實(shí)施軟件安全的標(biāo)準(zhǔn)指南,這次推出的政府軟件安全指南,則可以認(rèn)為是Fortify對軟件安全的市場細(xì)分行為。由于政府用戶不同于一般企業(yè)用戶的敏感性,筆者認(rèn)為安全行業(yè)還是應(yīng)該針對當(dāng)前國內(nèi)政府用戶的軟件安全情況,同時參考國外該領(lǐng)域的最新發(fā)展成果,制定出適合我國現(xiàn)狀的軟件安全保障體系。
另外,本周還有一個關(guān)于Fortify值得關(guān)注的安全新聞,即Fortify將其現(xiàn)有的軟件安全產(chǎn)品轉(zhuǎn)化成云計(jì)算平臺的方式,通過服務(wù)的方式交付給最終用戶。Fortify的SaaS(軟件即服務(wù))版本的軟件安全解決方案,主要關(guān)注企業(yè)中第三方應(yīng)用程序的安全審計(jì),尤其是無法從軟件廠商處得到源代碼的應(yīng)用程序的安全保障,而采取SaaS的形式進(jìn)行交付,也可以幫助許多預(yù)算不足的中小企業(yè)進(jìn)行安全要求不高的軟件保障項(xiàng)目。Fortify通過SaaS方式來交付相對使用成本較高的軟件安全解決方案,這個理念相當(dāng)值得國內(nèi)的安全廠商借鑒,再加上適合國內(nèi)現(xiàn)狀的特定應(yīng)用程序?qū)徲?jì)策略,以及友好的用戶操作,應(yīng)該會成為國內(nèi)逐漸升溫的軟件安全市場中的一個亮點(diǎn)。
開源Web應(yīng)用程序安全機(jī)構(gòu)OWASP本周發(fā)布了其最新的代碼安全審計(jì)指南 1.1版本,旨在幫助用戶對現(xiàn)有的Web應(yīng)用程序進(jìn)行代碼安全審計(jì),防止出現(xiàn)各種最為常見的安全漏洞,結(jié)合之前推出的Web應(yīng)用開發(fā)安全指南和Web應(yīng)用安全測試指南,OWASP已經(jīng)為用戶提供了一整套Web應(yīng)用程序的安全保障體系。
隨著Web應(yīng)用程序在企業(yè)領(lǐng)域中所占的比重越來越大,Web應(yīng)用程序的安全問題也逐漸成為威脅企業(yè)內(nèi)部網(wǎng)絡(luò)及系統(tǒng)安全的主要因素之一,不過因?yàn)閃eb應(yīng)用程序的安全開發(fā)、測試和代碼審計(jì)仍是一個非常耗費(fèi)時間和人力的工作,從長遠(yuǎn)來看企業(yè)在內(nèi)部培養(yǎng)一個專業(yè)的Web應(yīng)用安全團(tuán)隊(duì)還是要比外包這項(xiàng)工作要更為有效,筆者也計(jì)劃整理一下OWASP已經(jīng)推出的幾份Web應(yīng)用安全指南,為朋友們提供對這幾份文檔的翻譯和更進(jìn)一步的相關(guān)知識整理。
推薦閱讀:
1) 惡意的JavaScript如何躲避檢測,推薦指數(shù):高
許多朋友認(rèn)為,只要安裝了最新的反病毒軟件,即使不按時應(yīng)用系統(tǒng)更新就瀏覽網(wǎng)站也是沒什么問題的,實(shí)際上這種看法是錯誤的,通過JavaScript加密技術(shù),惡意的JavaScript程序能夠躲過反病毒軟件的檢測。互聯(lián)網(wǎng)安全組織SANS本周通過一個實(shí)例分析了JavaScript加密分析,有意思的是,作為分析對象的JavaScript加密方式很快就被黑客應(yīng)用到對Twitter的攻擊中。有興趣的朋友可以在下面的鏈接中找到這個分析文章:
http://isc.sans.org/diary.html?storyid=6142&rss
2) IC3的2008年度網(wǎng)絡(luò)犯罪報(bào)告;推薦指數(shù):中
網(wǎng)絡(luò)犯罪已經(jīng)成為互聯(lián)網(wǎng)應(yīng)用的最嚴(yán)重威脅,并呈現(xiàn)每年快速上升的趨勢。由美國FBI和NW3C兩個政府部門共同組建的互聯(lián)網(wǎng)犯罪防止中心IC3,于本周早些時候發(fā)布了2008年度網(wǎng)絡(luò)犯罪報(bào)告,全面詳細(xì)的介紹了2008年網(wǎng)絡(luò)犯罪的情況。法律和安全行業(yè)的朋友可以將這個報(bào)告作為全面了解網(wǎng)絡(luò)地下經(jīng)濟(jì)的材料。資料的地址如下:
http://www.nw3c.org/downloads/2008_IC3_Annual%20Report_3_27_09_small.pdf
3) 如何建立企業(yè)入侵分析體系?推薦指數(shù):高
我們在實(shí)踐中經(jīng)常能遇到這樣的情況,企業(yè)在購置IDS之后往往疏于管理和維護(hù),IDS也變成企業(yè)內(nèi)網(wǎng)中可有可無的擺設(shè)。構(gòu)建一個有效的企業(yè)入侵分析體系,看來是將這些設(shè)備充分的使用起來的好辦法,推薦對入侵分析感興趣的朋友閱讀一下SecurityFocus專欄文章《如何建立企業(yè)入侵體系》,文章鏈接如下:
