漏洞攻擊也是近期的一個熱點話題,微軟本周將發布本月的例行更新,攻擊者利用ppt的0day漏洞大肆進行攻擊的事件也隨之浮出水面。漸漸升溫的軟件安全市場吸引了越來越多的廠商加入,Fortify無疑將是本周該領域的明星,筆者將和朋友們一起關注其最新發布的政府軟件安全新報告和SaaS形式的軟件安全服務,同時還將關注一下OWASP組織本周推出的代碼安全審計指南。而在本期回顧的最后,筆者為朋友們精心挑選了三個值得一讀的推薦閱讀文章。
近期的安全威脅等級為中,對用戶和系統威脅較大的威脅類型仍為惡意軟件和針對流行軟件的漏洞攻擊,建議用戶注意更新自己的系統和軟件,并使用合適的反病毒和防火墻軟件。
惡意軟件:Conficker蠕蟲通過P2P升級逃避檢測;新的SMS病毒顯示移動威脅繼續上升;關注指數:高
經過安全廠商和ISP的不懈努力,近段時間瘋狂擴散的Conficker在本周已經得到了一定的控制,但用戶也不應放松警惕——根據多個安全廠商的監測結果,為了逃避安全廠商和ISP的圍堵攻擊,網絡犯罪集團用P2P技術對Conficker蠕蟲進行了升級。這次升級后的Conficker蠕蟲不再使用原有的IRC控制模式,而通過P2P網絡對現有的Conficker進行升級和控制,這樣用戶通過網絡流量分析檢測和防御Conficker蠕蟲的手段就顯得不太有效了。新版本Conficker使用P2P網絡進行通信的特征與Waledac及Storm蠕蟲相類似,或許也暗示Conficker蠕蟲的作者與上述兩者可能有所聯系。
目前由安全廠商組成的Conficker Working Group團隊已經在對Conficker的最新樣本進行分析,并提出對應的解決方案。筆者建議,用戶應保持現有反病毒軟件的更新,定期對自己系統上的驅動器進行查殺。對于內部網絡規模較大的企業用戶,可采用嗅探器、網絡分析儀等工具來審計網絡流量,若存在可疑的P2P流量則可能是已經感染新版本的Conficker蠕蟲,另外企業用戶可在結合使用網絡版反病毒軟件的同時,通過防火墻封堵企業網絡對外的P2P流量,也能阻斷Conficker蠕蟲對企業網絡帶來的進一步威脅。
Conficker蠕蟲的“成功”也大大的刺激了其他蠕蟲的控制者,Microsoft在本周早些時候發布警告稱,一個早在2005年就出現的老蠕蟲Neeris重新開始活躍,并通過Conficker蠕蟲的感染技術大肆擴散。Neeris是一個主要通過MSN虛假信息傳播的IRC蠕蟲,最早于2005年出現,之前最后的Neeris版本使用MS06040漏洞進行擴散。這次出現的新版本Neeris蠕蟲顯示,使用新蠕蟲的技術改造老蠕蟲,已經成為網絡犯罪集團對現有攻擊手段進行升級的主要方式,用戶在防御如Conficker這樣的流行蠕蟲的時候,也不應忽視已經休眠或消失的老蠕蟲,說不定什么時候這些老蠕蟲就會換上個新面孔卷土重來。
而在移動計算領域,近段時間惡意軟件的活動也有增多的趨勢。反病毒廠商F-Secure在其本周發布的第一季度惡意軟件報告中稱,2009年第一季度的惡意軟件威脅仍然高企,第一個基于文本短消息服務(SMS)病毒的出現則是最有代表性的事件。這個名為SymbOS/Yxe的病毒主要感染使用Symbian操作系統的手機,它會向用戶發送帶有虛假鏈接的SMS,欺騙用戶運行鏈接所指向的手機程序,如果用戶不慎下載執行了鏈接中的程序,就有可能感染該病毒并成為新的傳染源。
這個病毒所使用的攻擊手法與PC上常見的即時通訊病毒病并無差異,但因為它通過移動網絡傳播并以手機為感染對象,同時用戶手機列表上的聯系人都是信任關系,所以SMS病毒的成功率要遠高于傳統意義上的即時通訊病毒。根據F-secure的分析結果,這個SMS病毒的主要目的可能只是在于竊取被感染用戶的手機聯系人,同時發送大量的垃圾短信。
但筆者認為,要把該病毒修改成能夠盜取用戶手機卡上話費資金,或竊取用戶隱私信息的手機病毒并不存在技術上的困難,因此該病毒的進一步發展值得關注,這種使用社會工程學來欺騙用戶下載執行手機程序的攻擊手法,可能也會成為未來一段時間對用戶聯網移動設備攻擊的主流手段。建議用戶在使用手機或其他能夠連入移動通信網的移動計算設備時,還是要提高自己的安全意識,不要輕易去點擊不可信的鏈接和下載執行不明軟件,以免感染惡意軟件,造成自己隱私信息或經濟上的損失。
漏洞攻擊:PowerPoint再成黑客目標;微軟本月發布8個更新;關注指數:高
在安全業界正對Conficker等在互聯網上大肆擴散的惡意軟件焦頭爛額的時候,微軟的Office產品又再次成為黑客攻擊的目標,這次的受害者是Office中的PowerPoint組件。微軟本周發布安全公告稱,目前已經確認黑客利用的是一個未經修補的存在于PowerPoint中的軟件漏洞,主要威脅Office 2000和Office 2003,目前在互聯網上只發現有少量的此類攻擊存在,利用該漏洞的PPT文件攜帶有一個特洛伊木馬,如果用戶收到此類文件并不慎開啟,就將有可能感染該PPT文件中攜帶的惡意軟件。
不過有意思的是,這次PowerPoint攻擊的發現是因為免費的病毒掃描服務VirusTotal向各反病毒廠商提交的樣本,相信可能是攻擊者通過該網站進行檢測測試時留下的樣本。微軟已經開始對這個威脅Office安全的漏洞進行調查,但沒有說明什么時候才會向用戶提供針對該漏洞的更新程序。
本周又是微軟定期發布補丁更新的時間,微軟將提供包括5個安全等級為關鍵的8個補丁程序,分別修補Windows、Office和Internet Explorer中存在的嚴重安全漏洞,另外的補丁程序則是為ISA和SearchPath提供的。由于5個關鍵更新所針對的漏洞都是對用戶威脅最大的遠程代碼執行漏洞,可以預見在不久的將來利用這些Windows漏洞進行擴散的蠕蟲,以及攻擊上述IE漏洞的惡意網站將大量增加,筆者建議朋友們盡快通過微軟的官方站點或Windows Update下載并應用本月的更新程序,同時將現有的反病毒和防火墻軟件更新到最新版本。
軟件安全:Fortify新報告指出政府軟件安全;OWASP推出代碼安全審計指南;關注指數:高
軟件安全作為安全市場上的一個新興領域,正吸引著越來越多的安全廠商的注意,Fortify無疑是這個市場內具有代表性的廠商。針對政府用戶當前所面臨的軟件安全威脅,本周Fortify推出了一個名為《如何在政府軟件中構建安全》的新報告,該報告指出,政府用戶當前所使用的軟件正面臨著眾多不同來源的安全威脅,同時缺乏一個行之有效的軟件保障程序,因此政府用戶的網絡和系統往往會因為存在大量的軟件漏洞,而暴露于各種外界攻擊的威脅之下。#p#分頁標題#e#
為了幫助政府用戶了解如何建立一套有效的軟件保障體系,Fortify還在報告中提供了幾個美國政府機構實施軟件保障的案例研究。本月早些時候Fortify和咨詢機構Cigital曾合作推出了旨在幫助企業實施軟件安全的標準指南,這次推出的政府軟件安全指南,則可以認為是Fortify對軟件安全的市場細分行為。由于政府用戶不同于一般企業用戶的敏感性,筆者認為安全行業還是應該針對當前國內政府用戶的軟件安全情況,同時參考國外該領域的最新發展成果,制定出適合我國現狀的軟件安全保障體系。
另外,本周還有一個關于Fortify值得關注的安全新聞,即Fortify將其現有的軟件安全產品轉化成云計算平臺的方式,通過服務的方式交付給最終用戶。Fortify的SaaS(軟件即服務)版本的軟件安全解決方案,主要關注企業中第三方應用程序的安全審計,尤其是無法從軟件廠商處得到源代碼的應用程序的安全保障,而采取SaaS的形式進行交付,也可以幫助許多預算不足的中小企業進行安全要求不高的軟件保障項目。Fortify通過SaaS方式來交付相對使用成本較高的軟件安全解決方案,這個理念相當值得國內的安全廠商借鑒,再加上適合國內現狀的特定應用程序審計策略,以及友好的用戶操作,應該會成為國內逐漸升溫的軟件安全市場中的一個亮點。
開源Web應用程序安全機構OWASP本周發布了其最新的代碼安全審計指南 1.1版本,旨在幫助用戶對現有的Web應用程序進行代碼安全審計,防止出現各種最為常見的安全漏洞,結合之前推出的Web應用開發安全指南和Web應用安全測試指南,OWASP已經為用戶提供了一整套Web應用程序的安全保障體系。
隨著Web應用程序在企業領域中所占的比重越來越大,Web應用程序的安全問題也逐漸成為威脅企業內部網絡及系統安全的主要因素之一,不過因為Web應用程序的安全開發、測試和代碼審計仍是一個非常耗費時間和人力的工作,從長遠來看企業在內部培養一個專業的Web應用安全團隊還是要比外包這項工作要更為有效,筆者也計劃整理一下OWASP已經推出的幾份Web應用安全指南,為朋友們提供對這幾份文檔的翻譯和更進一步的相關知識整理。
推薦閱讀:
1) 惡意的JavaScript如何躲避檢測,推薦指數:高
許多朋友認為,只要安裝了最新的反病毒軟件,即使不按時應用系統更新就瀏覽網站也是沒什么問題的,實際上這種看法是錯誤的,通過JavaScript加密技術,惡意的JavaScript程序能夠躲過反病毒軟件的檢測。互聯網安全組織SANS本周通過一個實例分析了JavaScript加密分析,有意思的是,作為分析對象的JavaScript加密方式很快就被黑客應用到對Twitter的攻擊中。有興趣的朋友可以在下面的鏈接中找到這個分析文章:
http://isc.sans.org/diary.html?storyid=6142&rss
2) IC3的2008年度網絡犯罪報告;推薦指數:中
網絡犯罪已經成為互聯網應用的最嚴重威脅,并呈現每年快速上升的趨勢。由美國FBI和NW3C兩個政府部門共同組建的互聯網犯罪防止中心IC3,于本周早些時候發布了2008年度網絡犯罪報告,全面詳細的介紹了2008年網絡犯罪的情況。法律和安全行業的朋友可以將這個報告作為全面了解網絡地下經濟的材料。資料的地址如下:
http://www.nw3c.org/downloads/2008_IC3_Annual%20Report_3_27_09_small.pdf
3) 如何建立企業入侵分析體系?推薦指數:高
我們在實踐中經常能遇到這樣的情況,企業在購置IDS之后往往疏于管理和維護,IDS也變成企業內網中可有可無的擺設。構建一個有效的企業入侵分析體系,看來是將這些設備充分的使用起來的好辦法,推薦對入侵分析感興趣的朋友閱讀一下SecurityFocus專欄文章《如何建立企業入侵體系》,文章鏈接如下:
