《安全周报》35期:聚焦企业互联网安全
信息安全新闻行业(如果有这么一个行业的话)尽管与假新闻遍地的类似《名利场》杂志这样的媒体不同,但也同样总是急不可耐地想着挖到独家新闻。比如,看似平淡无奇的PNG图片漏洞就荣膺去年Threatpost最受欢迎的新闻之一。这甚至都算不上什么安全漏洞,充其量只是在图片元数据内隐藏恶意代码的一种方法。那这为什么能成为热门新闻呢?有些人(绝对不是我们!)故意想在人群中制造”恐慌”:就算是你在线看图片可能让PC电脑感染病毒!!111′。 当然,一旦发现能让网络犯罪分子感染数百万台计算机的特大安全漏洞,我绝对会大肆报道一番,但问题是这样的特大安全事件似乎已变得”可遇不可求”了。从Slammer蠕虫病毒“横空出世”到现在已经过去好多年了:当年,这一狡猾且极小的恶意软件能在短短30分钟内让安装了Windows XP系统的PC电脑感染病毒,唯一条件是电脑联网。 就目前的软件而言,不太会轻易感染病毒。那如果真的又出现如此危害巨大的病毒又该怎么办呢?比如让每个人都心存恐惧、胆战心惊并转而寄希望于新一代PC电脑/手机/冰箱安全技术的病毒,或者如一些充满邪恶想法的疯子所愿,其巨大破坏力让所有电子设备或家用电器变成毫无用处的塑料/金属/废铜烂铁。到时整个世界将陷入瘫痪之中!妈妈咪呀!圣母玛利亚!我们不得不重新回到石器时代,只能用纸和笔来存储和分享信息! 人们更愿意相信信息安全疏漏将导致世界末日—比如整个物联网陷入崩溃—但事实上这不太可能真的发生。尽管人们似乎都在等待”末日大爆炸”的发生,但我们可能忽略了一些严重但又实际存在的互联网缺陷,一些不法分子很可能会利用这些缺陷”大干一场”,而善良的用户也将不得不蒙受损失。这些都是目前问题显著的安全漏洞—一如往常。 在今天的信息安全新闻摘要中,我们将一如既往地带来有关常规漏洞的是三个新闻案例,其共同的特点是都遭到大规模的严重漏洞利用。这里我再次重申《安全周报》的编辑原则:每周Threatpost的团队都会精心摘选三条当周要闻,并加上我自己独到的见解。往期的内容可以在这里找到。 遭黑客入侵的WordPress网站成为Neutrino漏洞利用工具包的传播来源 新闻。ZScaler研究。 这条新闻应分成两个部分。第一部分是数千基于WordPress引擎的博客和网站存在高危漏洞。第二部分内容则包括:黑客实施漏洞利用的方法、黑客用来感染用户PC电脑的恶意软件以及他们黑客入侵方案中的敛财手段。 首先简要介绍一下WordPress。该平台类似于一种基于网络的Windows系统。这也是一种相当流行的带各种插件系统的网络引擎,从设计伊始就受到了网络犯罪分子的高度关注。你只需浏览一下今年报道的相关新闻(并非全部): 在插件内发现零日漏洞。 在随机(并不完全是)数字发生器内发现缺陷,理论上能计算出密码更改过程中用到的令牌。 在插件内发现SQL inject安全漏洞。 在插件内再次发现SQL inject安全漏洞。 在插件内发现XSS漏洞。 WordPress本身存在零日漏洞,通过评论栏实施JavaScript注入攻击。4.2.1版本提供相关修复补丁。 在两个插件内发现漏洞。 在WordPress本身发现XSS漏洞,2.3版本提供相关修复补丁。 在三个插件内发现漏洞。 大致情况就是这样。Zscaler研究人员发现了针对缺乏安全保护措施的WordPress网站(4.2及以下版本)的大规模攻击。顺便提一下,4.2版本刚刚在今年4月才发布不久,这让人们不禁对那些至少一年以上未能升级网站的用户产生担忧。在成功黑客入侵网站后,这些不法分子会注入iframe木马,随后设置微分子漏洞利用工具包并利用恶意软件感染PC电脑。到目前为止,已有超过2500个网站受到影响,尽管与整个互联网的网站数量相比微不足道,但足以让数万用户苦不堪言。 再进一步说,漏洞利用工具包利用了存在于Adobe Flash内的bug,该bug同样是由Hacking Team在那次臭名昭著的网络攻击事件中泄露的。在受害人机器上得到执行代码的能力后,网络攻击者随即部署了Cryptowall锁–一种已在互联网上出售长达一年之久的勒索软件,受害人需要支付超过500美元的赎金才能得到解密密钥。 你的所有文件现在都归我们了。如需了解更多有关勒索软件的信息,请查看这里。 想象一下你拥有一家小型企业,大概在几年前你从一家第三方提供商够购买了一个”交钥匙”网站,至于网站运行所用的引擎类型你完全一无所知。相比在雅虎横幅广告内偷偷植入恶意代码这类的大规模攻击,此次攻击规模相对较小,但仅有的数百个受病毒感染的网站依然为不法分子创收了数百万美元(或者说损失,这取决于你站在哪一方)。 从安全角度看,此次网络攻击并无特别之处。这看起来就好像一系列小事件的串联:在一个网站引擎(或内部插件)发现许多漏洞;一些人负责不断黑客入侵这些网站并部署漏洞利用工具包;一些人则使用从运行存在问题的业务交易漏洞的公司获得的数据编写这些漏洞利用工具包,而公司最终将无法保护自己的’商业秘密’。 一些人负责制作过时的Flash动画,而另一些人则负责收取那些因无法打开自己文件而绝望的人支付的赎金。分开来看,每一个步骤都没什么太大难度,但将所有这些步骤整合一起的话可以说是’异常恐怖’。 让人好奇的是,安全研究人员很早以前就注意到了Neutrino流量的飙升,甚至赶上其竞争对手—Angler,但当时并未就这一原因给出特别解释。除了分赃外,这些网络犯罪活动背后的不法分子似乎也对谁才是老板产生了不小的争论。