《安全周报》35期：聚焦企业互联网安全

信息安全新闻行业（如果有这么一个行业的话）尽管与假新闻遍地的类似《名利场》杂志这样的媒体不同，但也同样总是急不可耐地想着挖到独家新闻。比如，看似平淡无奇的PNG图片漏洞就荣膺去年Threatpost最受欢迎的新闻之一。这甚至都算不上什么安全漏洞，充其量只是在图片元数据内隐藏恶意代码的一种方法。那这为什么能成为热门新闻呢？有些人（绝对不是我们！）故意想在人群中制造”恐慌”：就算是你在线看图片可能让PC电脑感染病毒！！111′。

当然，一旦发现能让网络犯罪分子感染数百万台计算机的特大安全漏洞，我绝对会大肆报道一番，但问题是这样的特大安全事件似乎已变得”可遇不可求”了。从Slammer蠕虫病毒“横空出世”到现在已经过去好多年了：当年，这一狡猾且极小的恶意软件能在短短30分钟内让安装了Windows XP系统的PC电脑感染病毒，唯一条件是电脑联网。

就目前的软件而言，不太会轻易感染病毒。那如果真的又出现如此危害巨大的病毒又该怎么办呢？比如让每个人都心存恐惧、胆战心惊并转而寄希望于新一代PC电脑/手机/冰箱安全技术的病毒，或者如一些充满邪恶想法的疯子所愿，其巨大破坏力让所有电子设备或家用电器变成毫无用处的塑料/金属/废铜烂铁。到时整个世界将陷入瘫痪之中！妈妈咪呀！圣母玛利亚！我们不得不重新回到石器时代，只能用纸和笔来存储和分享信息！

人们更愿意相信信息安全疏漏将导致世界末日—比如整个物联网陷入崩溃—但事实上这不太可能真的发生。尽管人们似乎都在等待”末日大爆炸”的发生，但我们可能忽略了一些严重但又实际存在的互联网缺陷，一些不法分子很可能会利用这些缺陷”大干一场”，而善良的用户也将不得不蒙受损失。这些都是目前问题显著的安全漏洞—一如往常。

#Security Week 35: vulns in @Wordpress, @GitHub #DDoS, @Wyndham responsible for #breach, while @Target is not

Tweet

在今天的信息安全新闻摘要中，我们将一如既往地带来有关常规漏洞的是三个新闻案例，其共同的特点是都遭到大规模的严重漏洞利用。这里我再次重申《安全周报》的编辑原则：每周Threatpost的团队都会精心摘选三条当周要闻，并加上我自己独到的见解。往期的内容可以在这里找到。

遭黑客入侵的WordPress网站成为Neutrino漏洞利用工具包的传播来源

新闻。ZScaler研究。

这条新闻应分成两个部分。第一部分是数千基于WordPress引擎的博客和网站存在高危漏洞。第二部分内容则包括：黑客实施漏洞利用的方法、黑客用来感染用户PC电脑的恶意软件以及他们黑客入侵方案中的敛财手段。

首先简要介绍一下WordPress。该平台类似于一种基于网络的Windows系统。这也是一种相当流行的带各种插件系统的网络引擎，从设计伊始就受到了网络犯罪分子的高度关注。你只需浏览一下今年报道的相关新闻（并非全部）：

• 在插件内发现零日漏洞。
• 在随机（并不完全是）数字发生器内发现缺陷，理论上能计算出密码更改过程中用到的令牌。
• 在插件内发现SQL inject安全漏洞。
• 在插件内再次发现SQL inject安全漏洞。
• 在插件内发现XSS漏洞。
• WordPress本身存在零日漏洞，通过评论栏实施JavaScript注入攻击。4.2.1版本提供相关修复补丁。
• 在两个插件内发现漏洞。
• 在WordPress本身发现XSS漏洞，2.3版本提供相关修复补丁。
• 在三个插件内发现漏洞。

大致情况就是这样。Zscaler研究人员发现了针对缺乏安全保护措施的WordPress网站（4.2及以下版本）的大规模攻击。顺便提一下，4.2版本刚刚在今年4月才发布不久，这让人们不禁对那些至少一年以上未能升级网站的用户产生担忧。在成功黑客入侵网站后，这些不法分子会注入iframe木马，随后设置微分子漏洞利用工具包并利用恶意软件感染PC电脑。到目前为止，已有超过2500个网站受到影响，尽管与整个互联网的网站数量相比微不足道，但足以让数万用户苦不堪言。

What are exploits and why they are so scary? https://t.co/tulx05JN0q pic.twitter.com/Z5A4itfh7E

— Kaspersky (@kaspersky) July 31, 2015

再进一步说，漏洞利用工具包利用了存在于Adobe Flash内的bug，该bug同样是由Hacking Team在那次臭名昭著的网络攻击事件中泄露的。在受害人机器上得到执行代码的能力后，网络攻击者随即部署了Cryptowall锁–一种已在互联网上出售长达一年之久的勒索软件，受害人需要支付超过500美元的赎金才能得到解密密钥。

你的所有文件现在都归我们了。如需了解更多有关勒索软件的信息，请查看这里。

想象一下你拥有一家小型企业，大概在几年前你从一家第三方提供商够购买了一个”交钥匙”网站，至于网站运行所用的引擎类型你完全一无所知。相比在雅虎横幅广告内偷偷植入恶意代码这类的大规模攻击，此次攻击规模相对较小，但仅有的数百个受病毒感染的网站依然为不法分子创收了数百万美元（或者说损失，这取决于你站在哪一方）。

从安全角度看，此次网络攻击并无特别之处。这看起来就好像一系列小事件的串联：在一个网站引擎（或内部插件）发现许多漏洞；一些人负责不断黑客入侵这些网站并部署漏洞利用工具包；一些人则使用从运行存在问题的业务交易漏洞的公司获得的数据编写这些漏洞利用工具包，而公司最终将无法保护自己的’商业秘密’。

一些人负责制作过时的Flash动画，而另一些人则负责收取那些因无法打开自己文件而绝望的人支付的赎金。分开来看，每一个步骤都没什么太大难度，但将所有这些步骤整合一起的话可以说是’异常恐怖’。

让人好奇的是，安全研究人员很早以前就注意到了Neutrino流量的飙升，甚至赶上其竞争对手—Angler，但当时并未就这一原因给出特别解释。除了分赃外，这些网络犯罪活动背后的不法分子似乎也对谁才是老板产生了不小的争论。

GitHub再遭DDoS攻击

新闻。又一条新闻。

在实际情况中，许多软件的漏洞都能轻松解决。你只需禁止编码器编码即可。尽管采用的方法存在争议，但有人似乎想通过在软件行业内最有声誉的开源代码库实施DDoS攻击，从而让GitHub日常运行陷入瘫痪。

无论如何，这条新闻并未在当时引起轰动：该网络攻击在上午早些时候开始，但仅仅过了三个小时即被成功发现并得以解决，但此次攻击背后的犯罪分子的身份依然未知。真是有些索然无味。那么这一新闻为什么能引起那么多人的关注呢？原因在于GitHub在三月份时曾在长达一周之久的时间里持续遭受严重的DDoSed攻击，因此也难怪人们反应过度了。

三月发生的此次攻击着手让人好奇。当时，给专家们留下深刻印象的是，恶意软件流量不知为何与中国的百度搜索引擎相连。这就好比iframe出现在Google的主页上并将流量重新定向至受害人网站。

这有可能将任何网站关停，但听上去又不太可能发生。有可能吗？几乎不可能，似乎三月份发生的这一网络攻击与百度并无关联，攻击的目标应该是其他某个地方的中国用户但绝不是百度。

到底攻击了哪些用户，目前依然还是个谜。很可能这只是一种常规的让用户感染病毒的方式，并在受害人访问流行网站时引诱他们下载流氓脚本。或者也有可能发生在互联网其他某个地方。

Google have provided detailed analysis of the recent Github attack – http://t.co/F75hTyzp2s pic.twitter.com/HJPMMg0InZ

— Kaspersky (@kaspersky) April 27, 2015

比如，这有可能发生在外部世界互联网和中国互联网之间的某个地方，但中国的””防火长城”依然能起到作用。在该事件中，那些访问服务器架设在中国以外的中文网站的用户可能无意中成为了网络攻击者的猎物：来自服务器的回应将携带恶意脚本，将被用来威胁受害人PC电脑中的GitHub项目。

顺便提一下，受影响的GitHub项目似乎都是被精心挑选的：受害目标均为允许绕过”防火长城”并访问在中国遭禁内容的两个项目。此类攻击甚至还有自己的名字–’Man-on-the-Side’。该攻击事件的后果是：HTTPS掌管一切。

美国连锁酒店为数据泄露事件负责

新闻。

尽管这条新闻完全与政府法令相关，但于我们而言却依然十分重要。大约在几年前，温德姆连锁酒店的IT基础设施遭到黑客入侵，超过60万客户的资料被盗。泄露的信用卡数据使得不法分子非法获利高达1000万美元。整个过程相当简单：在酒店内找到一台毫无安全保护措施的计算机，获得管理员密码然后轻松访问…所有客户资料。

从技术的角度来看，该次黑客入侵事件实在是酒店安全团队的耻辱：撇开客户数据不谈，到底为什么要以非加密的方式保存信用卡卡号？美国联邦贸易委员会（FTC）被温德姆的此次安全事件高的痛苦不堪，并表示该公司违反了自己制定的隐私政策。

酒店并未做到提供’标准保护措施’（比如：部署防火墙或对数据加密）的承诺。且事实证明，酒店既没有安装任何防火墙，也没有采取任何加密措施。PC电脑上使用的是默认密码，同时缺乏安全监察和备用计划。FTC试图对该公司进行处罚，但由于之前从未有过类似的法律案例，因此也无从参考，辩论的焦点始终围绕着FTC是否有权行使处罚决定。在经过一系列的辩论后，各方最终达成一致意见：FTC有权对温德姆进行处罚。

Court Rules FTC Has Authority to Punish Wyndham Over Breaches – http://t.co/pmgYUjbGEe

— Threatpost (@threatpost) August 24, 2015

整个事件的确相当有趣。打个比方，有一家公司遭受了APT攻击，假定黑客使用了高级黑客入侵技术并借此长期保持未经请求的访问。整个过程显然再清楚不过：公司采取了各种必要的安全保护措施，但黑客却一一绕过，公司最终对此无能为力。

但如果不法分子在网络攻击中根本就未采用任何高级技术，但却能持续攻击很长一段时间，原因只是IT基础设施极度不安全，因此无法防范任何网络威胁。最终的判决着实让法院伤了一番脑筋，因为无法判定美国公司在这方面的合法性。通常这样的法律只适用于信用卡处理系统，但现在似乎将不得不用于各种保护个人数据的领域。

这可能是最好的结果了。然而，法院的工作并不是设计什么安全保护技术和方法。法院只负责对法律定义进行微调。还有重要的一点–必须对数据进行加密。这一点非常实际，就像”必须备份文件”一样。再重申一遍，数据必须加密。

顺便提一下，据FTC的裁决，Target并未因其客户遭受更严重的黑客攻击而遭到罚款。

Target Says SEC Won’t Pursue Enforcement Action as a Result of Data Breach – http://t.co/OwsXc1ZBHK

— Threatpost (@threatpost) August 27, 2015

其它新闻：

美国安全研究人员对Google Play上的40多万款应用进行了检查，发现其中7.6%很可能存在危险。这与Google自己的评估相去甚远：据Google自己宣称，从Google Play下载应用时感染病毒的可能性仅为0.15%。而与此同时，这些研究人员所使用的方法并不太明确：他们分析代码，找到非标准部署并自动将相关代码列入可能存在危险的行列。

Scanner Finds Malicious Android Apps at Scale: https://t.co/53MoLU2nRz via @Threatpost pic.twitter.com/7HrpJdSoz9

— Kaspersky (@kaspersky) August 27, 2015

在俄罗斯，勒索软件通过电邮传播。这早已不是什么新闻了。真正的新闻是现在网络攻击者伪造来自银行的”付款逾期”通知。这些不法分子清楚知道如何将各种社会情况（包括：金融危机）转化为他们的优势。

According to research, >40% of CryptoLocker victims paid #ransomware #infosec http://t.co/Lnb4Rq7foJ #whitepaper pic.twitter.com/wrxC9Rq1ZH

— Kaspersky (@kaspersky) August 24, 2015

苹果修复了能让任何应用程序追踪用户的漏洞，该漏洞甚至还能在系统内设置时间限制。有趣的是，通过App Store审核秘密利用此类bug要比用单纯恶意应用程序来得容易的多。

Patched Ins0mnia Vulnerability Keeps Malicious #iOS Apps Hidden: https://t.co/LVLKMC8NcX #apple via @threatpost pic.twitter.com/jtZM9WXZYl

— Kaspersky (@kaspersky) August 26, 2015

老话新提：

Den-Zuk

这是一种非常危险的病毒，长度有9个扇区。在被调用（int 13h, ah = 2,3,4,5）时它会感染磁盘的启动扇区。如果该病毒的第二个部分被保存在磁盘上且没有进行安全检查的话，就会导致病毒破坏磁盘上的一部分信息（第40轨道）。

它会劫持int 9和13h。在热启动后，会在屏幕上输入它的名字（Den Zuk）。并将受病毒感染磁盘上的标签改为”YC1ERP”。尽管不具备破坏性功能但依然十分危险，因为该病毒可能破坏磁盘第40轨道上的数据。还会显示一段文字：”Welcome to the C l u b — The HackerS — Hackin’ All The Time”, “The HackerS”。

引述自于1992年出版的《MS-DOS中的计算机病毒》第99页，该书作者是尤金·卡巴斯基

免责声明：本文仅代表作者的个人意见。可能与卡巴斯基实验室的立场相符，也可能相反。听天由命吧。