CERNET之窗 | CCERT月报:6月发现由木马病毒构建的僵尸网络 规模达百万级
6月教育网运行正常,未发现影响严重的安全事件。随着高考的结束,一年一度的高招工作开始了,这期间高校的网站是考生及家长的访问热点,同时也是攻击者的首选攻击目标,因此近期间学校网站被攻击的风险会大大提升,学校管理员应该加强对校园网的安全监管和巡查,保证各类网站不被入侵篡改,为广大考生提供一个良好的网络访问环境。
安全投诉事件统计
病毒与木马
近期一个由暗云III木马病毒构建的大规模僵尸网络被安全厂商发现,该僵尸网络的规模达百万级。暗云系列木马病毒是迄今国内检测到技术最为复杂的木马后门病毒之一。该木马通过网络下载传播(主要是游戏下载器、游戏外挂等)。
病毒感染系统后会修改硬盘的引导分区,将病毒写入MBR主引导区。木马每次随系统引导启动,从网络下载有效载荷和指令后在内存中运行,不会在操作系统里留存病毒文件。由于木马只在内存里运行且病毒文件写在引导分区里,给病毒的检测和查杀带来了一定的难度。
此次之所以被反病毒厂商发现是因为该木马操控的僵尸网络在五月下旬发动过两次大规模的DDOS攻击,安全厂商在分析攻击流量时发现这些攻击流量均是由真实的主机发起的,追踪这些攻击主机后才发现存在这个木马病毒。我们在对该病毒的一些网络特征分析后发现高校网络内也存在一批被该木马病毒控制的主机,不过数量上并不是特别的多。
近期新增严重漏洞评述
1、微软6月的例行安全修补公告中披露了两个高危漏洞,Windows LNK文件远程代码执行漏洞(CVE-2017-8464)和Windows搜索远程命令执行漏洞(CVE-2017-8543)。这两个漏洞都可以用来进行蠕虫传播,并且目前这两个漏洞都已经出现被利用的迹象。Windows LNK文件远程代码执行漏洞影响除Windows XP外的全线Windows产品(包括Windows Vista、Windows8及 8.1、Window 7、Windows 10、Windows Server 2003、Windows Server 2008、Windows Server 2012及Windows Server 2016)。
攻击者可以通过U盘、邮件附件及文件共享等方式向用户发送包含恶意LNK及其对应的二进制恶意程序,当用户在有漏洞的Windows系统中浏览或预览该恶意LNK文件就可能导致恶意程序被自动运行。
Windows搜索远程代码执行漏洞影响Windows全线产品。攻击者可以向Windows Search服务发送特定格式的SMB协议消息就可能触发该漏洞,成功利用该漏洞攻击者可以以系统权限在系统上执行任意命令。微软已经针对上述两个漏洞发布了补丁程序,还在支持范围的操作系统版本可以通过系统的Update功能自动安装相应补丁。
为了避免漏洞被与蠕虫病毒利用,微软为已经停止服务的操作系统(包括Windows XP、Windows Vista、Windows 8及Windows Server 2003)也发布了补丁程序,不过这些系统无法使用自动更新安装补丁,只能手动下载相应补丁安装。
补丁的下载地址:https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms
2、.Weblogic Server是Oracle公司开发的一套WEB解决方案,主要是由JAVA程序开发。之前JAVA 反序列化漏洞(CVE-2015-4852)被爆出来时,Oracle公司为Weblogic开了专门针对该漏洞的补丁程序。
不过最近有安全公司发现Oracle公司开发的该补丁是通过黑名单机制来修补的,而之前补丁中的黑名单列表并不全面,通过一些不在黑名单中的反序列化调用仍然可以利用该漏洞。漏洞影响Oracle WebLogic Server 10.3.6.0、12.1.3.0、12.2.1.0、12.2.1.1及之前版本。目前厂商已经针对该漏洞发布了新的补丁程序,建议使用Weblogic Server的管理员尽快安装相应补丁程序。
补丁的信息请参见:http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html
安全提示
为防范感染暗云系列木马病毒,建议用户做到以下几点:
1、安装有效的防病毒软件,并保持病毒库升级到最新;
2、使用正版操作系统,并及时更新补丁程序;
3、不随便在网络上下载程序运行,尤其是游戏外挂及插件等;
4、定期备份系统中的重要文件;
5、使用安全厂商提供的专杀工具定期检查扫描。
作者单位为中国教育和科研计算机网应急响应组