http://www.sophos.com/pressoffice/news/articles/2007/05/badbunny.html BadBunny seen in "the wild"? OpenOffice multi-platform macro worm discovered Worm targets Windows, Mac and Linux computers - but poses low threat
- May 24 Thu 2007 09:37
-
OpenOffice被發現存在多種 可供病毒蠕蟲 植入弱點
- May 24 Thu 2007 09:37
-
Samba 3.0.0~3.0.25rc3 出現多個可能由RPC遠端服務影響之弱點
======================================================= JVNVU#268336
Samba におけるコマンドインジェクションの脆弱性![]()
Samba にはユーザからの RPC メッセージの入力を適切に処理せず /bin/sh に渡す問題があります。結果として、遠隔の第三者により任意のコマンドを実行される可能性があります。
Samba におけるコマンドインジェクションの脆弱性
Samba にはユーザからの RPC メッセージの入力を適切に処理せず /bin/sh に渡す問題があります。結果として、遠隔の第三者により任意のコマンドを実行される可能性があります。
- May 24 Thu 2007 09:36
-
卡巴斯基將瑞星卡卡當病毒查殺 瑞星表示不解
- May 24 Thu 2007 09:34
-
卡巴斯基再出錯誤:將QQ誤報為木馬病毒
http://www.rednet.cn 2007-5-22 9:07:16 紅網 字體: 【大 中 小】 [發表評論]
- May 24 Thu 2007 09:33
-
卡巴斯基與諾頓一樣誤殺Windows 已在臺灣承認
http://www.rednet.cn 2007-5-21 15:23:47 紅網 5月21日消息,與賽門鐵克旗下諾頓軟體誤殺“烏龍”類似,5月18日卡巴斯基也擺了一道“烏龍”,將Windows系統檔“shdocvw.dll”誤判為病毒,導致其使用者啟動電腦後無法看到正常的桌面,“滿屏一片藍色”。
- May 22 Tue 2007 16:53
-
反黑:用簡單方法查找黑客的老巢(二)
捕獲數據包
在一個交換網絡環境下捕獲數據包比較困難,這主要是因為集線器和交換機在數據交換中本質的不同。集線器採用的是廣播式傳輸,它不支持連接,而是把包發 送到除源端口外的所有端口,與集線器相連的所有機器都可以捕獲到通過它的數據包。而交換機支持端到端的連接,當一個數據包到達時交換機為它建立一個暫時的 連接,數據包通過這個連接傳到目的端口。所以,在交換環境下抓包不是一件容易的事。為了獲得交換環境下的數據包,可以用下面方法解決:
(1)把交換機的一個「spanning port」(生成端口)配置成像一個集線器一樣,通過這個端口的數據包不再與目的主機建立連接,而是廣播式 地發送給與此端口相連的所有機器。設置一個包捕獲主機,便可以捕獲到通過「spaning port」的數據包。但是,在同一時刻,交換機只能由一個端口 被設置成「spanning port」,因此,不能同時捕獲多台主機的數據包。
在一個交換網絡環境下捕獲數據包比較困難,這主要是因為集線器和交換機在數據交換中本質的不同。集線器採用的是廣播式傳輸,它不支持連接,而是把包發 送到除源端口外的所有端口,與集線器相連的所有機器都可以捕獲到通過它的數據包。而交換機支持端到端的連接,當一個數據包到達時交換機為它建立一個暫時的 連接,數據包通過這個連接傳到目的端口。所以,在交換環境下抓包不是一件容易的事。為了獲得交換環境下的數據包,可以用下面方法解決:
(1)把交換機的一個「spanning port」(生成端口)配置成像一個集線器一樣,通過這個端口的數據包不再與目的主機建立連接,而是廣播式 地發送給與此端口相連的所有機器。設置一個包捕獲主機,便可以捕獲到通過「spaning port」的數據包。但是,在同一時刻,交換機只能由一個端口 被設置成「spanning port」,因此,不能同時捕獲多台主機的數據包。
- May 22 Tue 2007 16:52
-
反黑:用簡單方法查找黑客的老巢( 一)
網絡安全是一個綜合的、複雜的工程,任何網絡安全措施都不能保證萬無一失。因此,對於一些重要的部門,一旦網絡遭到攻擊,如何追蹤網絡攻擊,追查到攻擊者並將其繩之以法,是十分必要的。
追蹤網絡攻擊就是找到事件發生的源頭。它有兩個方面意義:一是指發現IP地址、MAC地址或是認證的主機名;二是指確定攻擊者的身份。網絡攻擊者在實 施攻擊之時或之後,必然會留下一些蛛絲馬跡,如登錄的紀錄,文件權限的改變等虛擬證據,如何正確處理虛擬證據是追蹤網絡攻擊的最大挑戰。
在追蹤網絡攻擊中另一需要考慮的問題是:IP地址是一個虛擬地址而不是一個物理地址,IP地址很容易被偽造,大部分網絡攻擊者採用IP地址欺騙技術。 這樣追蹤到的攻擊源是不正確的。使得以IP地址為基礎去發現攻擊者變得更加困難。因此,必須採用一些方法,識破攻擊者的欺騙,找到攻擊源的真正IP地址。
★ netstat命令----實時察看攻擊者
使用netstat命令可以獲得所有聯接被測主機的網絡用戶的IP地址。Windows系列、Unix系列、Linux等常用網絡操作系統都可以使用「netstat」命令。
使用「netstat」命令的缺點是只能顯示當前的連接,如果使用「netstat」命令時攻擊者沒有聯接,則無法發現攻擊者的蹤跡。為此,可以使用 Scheduler建立一個日程安排,安排系統每隔一定的時間使用一次「netstat」命令,並使用netstat>>textfile格 式把每次檢查時得到的數據寫入一個文本文件中,以便需要追蹤網絡攻擊時使用。
★ 日誌數據--最詳細的攻擊記錄
系統的日誌數據提供了詳細的用戶登錄信息。在追蹤網絡攻擊時,這些數據是最直接的、有效的證據。但是有些系統的日誌數據不完善,網絡攻擊者也常會把自己的活動從系統日誌中刪除。因此,需要採取補救措施,以保證日誌數據的完整性。
Unix和Linux的日誌
Unix和Linux的日誌文件較詳細的記錄了用戶的各種活動,如登錄的ID的用戶名、用戶IP地址、端口號、登錄和退出時間、每個ID最近一次登錄 時間、登錄的終端、執行的命令,用戶ID的賬號信息等。通過這些信息可以提供ttyname(終端號)和源地址,是追蹤網絡攻擊的最重要的數據。
大部分網絡攻擊者會把自己的活動記錄從日記中刪去,而且UOP和基於X Windows的活動往往不被記錄,給追蹤者帶來困難。為瞭解決這個問題,可 以在系統中運行wrapper工具,這個工具記錄用戶的服務請求和所有的活動,且不易被網絡攻擊者發覺,可以有效的防止網絡攻擊者消除其活動紀錄。
Windows NT和Windows 2000的日誌
Windows NT和Windows 2000有系統日誌、安全日志和應用程序日誌等三個日誌,而與安全相關的數據包含在安全日志中。安全日志記錄 了登錄用戶的相關信息。安全日志中的數據是由配置所決定的。因此,應該根據安全需要合理進行配置,以便獲得保證系統安全所必需的數據。
但是,Windows NT和Windows 2000的安全日志存在重大缺陷,它不記錄事件的源,不可能根據安全日志中的數據追蹤攻擊者的源地址。為瞭解決這個問題,可以安裝一個第三方的能夠完整記錄審計數據的工具。
防火牆日誌
作為網絡系統中的「堡壘主機」,防火牆被網絡攻擊者攻陷的可能性要小得多。因此,相對而言防火牆日誌數據不太容易被修改,它的日誌數據提供最理想的攻擊源的源地址信息。
但是,防火牆也不是不可能被攻破的,它的日誌也可能被刪除和修改。攻擊者也可向防火牆發動拒絕服務攻擊,使防火牆癱瘓或至少降低其速度使其難以對事件 做出及時響應,從而破壞防火牆日誌的完整性。因此,在使用防火牆日誌之前,應該運行專用工具檢查防火牆日誌的完整性,以防得到不完整的數據,貽誤追蹤時 機。
★ 原始數據包----比較可靠的分析方法
由於系統主機都有被攻陷的可能,因此利用系統日誌獲取攻擊者的信息有時就不可靠了。所以,捕獲原始數據包並對其數據進行分析,是確定攻擊源的另一個重要的、比較可靠的方法。
包頭數據分析
表1是一個原始數據包的IP包頭數據。表中的第一行是最有用的數字。第一行的最後8位代表源地址。本例中的地址是0xd2、0x1d、0x84、 0x96,對應的IP地址是210.45.132.150。通過分析原始數據包的包頭數據,可以獲得較為可靠的網絡攻擊者的IP地址,因為這些數據不會被 刪除或修改。但是,這種方法也不是完美無缺的,如果攻擊者對其數據包進行加密,對收集到的數據包的分析就沒有什麼用處了。
表1 一個IP包頭數據
0x0000 45c0 c823 0000 d306 6002 2c06 d21d 8496
0x0010 22ab b365 c234 0000 0000 4066 dd1d 8818
0x0020 7034 ecf8 0000 5b88 7708 b901 4a88 de34
0x0030 9812 a5c6 0011 8386 9618 0000 a123 6907
0x0040 55c5 0023 3401 0000 5505 b1c5 0000 0000
0x0050 0000 0000 0000 0000 0000
追蹤網絡攻擊就是找到事件發生的源頭。它有兩個方面意義:一是指發現IP地址、MAC地址或是認證的主機名;二是指確定攻擊者的身份。網絡攻擊者在實 施攻擊之時或之後,必然會留下一些蛛絲馬跡,如登錄的紀錄,文件權限的改變等虛擬證據,如何正確處理虛擬證據是追蹤網絡攻擊的最大挑戰。
在追蹤網絡攻擊中另一需要考慮的問題是:IP地址是一個虛擬地址而不是一個物理地址,IP地址很容易被偽造,大部分網絡攻擊者採用IP地址欺騙技術。 這樣追蹤到的攻擊源是不正確的。使得以IP地址為基礎去發現攻擊者變得更加困難。因此,必須採用一些方法,識破攻擊者的欺騙,找到攻擊源的真正IP地址。
★ netstat命令----實時察看攻擊者
使用netstat命令可以獲得所有聯接被測主機的網絡用戶的IP地址。Windows系列、Unix系列、Linux等常用網絡操作系統都可以使用「netstat」命令。
使用「netstat」命令的缺點是只能顯示當前的連接,如果使用「netstat」命令時攻擊者沒有聯接,則無法發現攻擊者的蹤跡。為此,可以使用 Scheduler建立一個日程安排,安排系統每隔一定的時間使用一次「netstat」命令,並使用netstat>>textfile格 式把每次檢查時得到的數據寫入一個文本文件中,以便需要追蹤網絡攻擊時使用。
★ 日誌數據--最詳細的攻擊記錄
系統的日誌數據提供了詳細的用戶登錄信息。在追蹤網絡攻擊時,這些數據是最直接的、有效的證據。但是有些系統的日誌數據不完善,網絡攻擊者也常會把自己的活動從系統日誌中刪除。因此,需要採取補救措施,以保證日誌數據的完整性。
Unix和Linux的日誌
Unix和Linux的日誌文件較詳細的記錄了用戶的各種活動,如登錄的ID的用戶名、用戶IP地址、端口號、登錄和退出時間、每個ID最近一次登錄 時間、登錄的終端、執行的命令,用戶ID的賬號信息等。通過這些信息可以提供ttyname(終端號)和源地址,是追蹤網絡攻擊的最重要的數據。
大部分網絡攻擊者會把自己的活動記錄從日記中刪去,而且UOP和基於X Windows的活動往往不被記錄,給追蹤者帶來困難。為瞭解決這個問題,可 以在系統中運行wrapper工具,這個工具記錄用戶的服務請求和所有的活動,且不易被網絡攻擊者發覺,可以有效的防止網絡攻擊者消除其活動紀錄。
Windows NT和Windows 2000的日誌
Windows NT和Windows 2000有系統日誌、安全日志和應用程序日誌等三個日誌,而與安全相關的數據包含在安全日志中。安全日志記錄 了登錄用戶的相關信息。安全日志中的數據是由配置所決定的。因此,應該根據安全需要合理進行配置,以便獲得保證系統安全所必需的數據。
但是,Windows NT和Windows 2000的安全日志存在重大缺陷,它不記錄事件的源,不可能根據安全日志中的數據追蹤攻擊者的源地址。為瞭解決這個問題,可以安裝一個第三方的能夠完整記錄審計數據的工具。
防火牆日誌
作為網絡系統中的「堡壘主機」,防火牆被網絡攻擊者攻陷的可能性要小得多。因此,相對而言防火牆日誌數據不太容易被修改,它的日誌數據提供最理想的攻擊源的源地址信息。
但是,防火牆也不是不可能被攻破的,它的日誌也可能被刪除和修改。攻擊者也可向防火牆發動拒絕服務攻擊,使防火牆癱瘓或至少降低其速度使其難以對事件 做出及時響應,從而破壞防火牆日誌的完整性。因此,在使用防火牆日誌之前,應該運行專用工具檢查防火牆日誌的完整性,以防得到不完整的數據,貽誤追蹤時 機。
由於系統主機都有被攻陷的可能,因此利用系統日誌獲取攻擊者的信息有時就不可靠了。所以,捕獲原始數據包並對其數據進行分析,是確定攻擊源的另一個重要的、比較可靠的方法。
包頭數據分析
表1是一個原始數據包的IP包頭數據。表中的第一行是最有用的數字。第一行的最後8位代表源地址。本例中的地址是0xd2、0x1d、0x84、 0x96,對應的IP地址是210.45.132.150。通過分析原始數據包的包頭數據,可以獲得較為可靠的網絡攻擊者的IP地址,因為這些數據不會被 刪除或修改。但是,這種方法也不是完美無缺的,如果攻擊者對其數據包進行加密,對收集到的數據包的分析就沒有什麼用處了。
表1 一個IP包頭數據
0x0000 45c0 c823 0000 d306 6002 2c06 d21d 8496
0x0010 22ab b365 c234 0000 0000 4066 dd1d 8818
0x0020 7034 ecf8 0000 5b88 7708 b901 4a88 de34
0x0030 9812 a5c6 0011 8386 9618 0000 a123 6907
0x0040 55c5 0023 3401 0000 5505 b1c5 0000 0000
0x0050 0000 0000 0000 0000 0000
- May 22 Tue 2007 16:44
-
1%的不安全是什麼
千萬別被99%的網絡安全所矇蔽,要問清楚,那1%的不安全會是什麼。 如今,企業用戶對防火牆、防病毒等名詞早已耳熟能詳,隨之而來的是網絡安全公司如雨後春筍般冒了出來,安全產品也開始魚龍混雜。很多用戶在出大價錢配備了各種網絡安全產品後,安全廠商或系統集成商都會拍著胸脯對客戶說:好了,這下你們的網絡 就安全了。可是看看那些被攻擊的系統:Yahoo、美國中情局、Amazon……,究竟憑什麼說網絡是安全的,或者是99%安全的呢?那1%的不安全可能 會是什麼原因造成的?如果出現系統被攻破的情況,責任應該由誰來負? 很多時候責任分擔不如利潤分配那麼清楚。在系統出現安全問題時,企業客戶會被告知:沒有絕對的安全。安全方案部署 公司要做的就是把產品放在那裡、完成配置、為用戶培訓,然後把錢裝在兜裡,不用承擔任何風險,所有的風險要用戶來擔,為什麼?就是因為安全是相對的。往往 在出事之後,企業會被告知,一道防火牆不夠,要兩道;在某某地方還要放個IDS;網絡管理員的業務水平要提高,等等。總之,把自己摘得乾乾淨淨。 有旁觀者說:用戶也應該提高自己的安全知識,自己的眼睛亮一些,知道該用什麼產品,有先進的安全理念。沒錯,對於系統安全來說,這也很重要。但是,用戶花了錢,用戶買到了什麼? 用戶有可能買的是一整套的安全方案,包括產品及其部署、培訓和維護。可是因為集成商方案設計的疏忽,導致攻擊者輕鬆繞過防火牆。有的用戶買的是單一的安全產品,可是由於該設備運行過程中出現死機或漏報,使用戶蒙受損失。 這些都應該有明確的責任界定,方案或產品提供者承諾了什麼。在出現問題時,如果在責任範圍內,就應該賠償損失。 在這個鏈條上,我們還有若干環節需要完善。首先,甲方乙方在責任劃分上需要細化。可是,用戶對技術細節可能並不瞭 解,難免在責任分擔上不知如何下手,這時就需要資質良好的第三方諮詢機構的幫助。再有,出現因網絡安全問題引發的法律糾紛時,就像法醫分析遇害者的死因一 樣,有關部門應能夠給出準確的分析報告。當然,有些網絡,由於安全方案的不完備、管理者的疏忽,一旦被攻破,常常是無跡可尋。因此,單從這個角度看,就應 該在部署方案之前把日誌、報警等任務作為責任提出來。 其實網絡安全就像坐飛機,一旦發生了意外,總要處理後事,追究責任,是誰的責任就要由誰來承擔。 事實上,用戶的錢不是用來防範未知攻擊的,絕大部分攻擊的規律是已知的,只要責任分配明晰,它們都是可控的,事後也是可以分清責任的。網絡安全的相對性不能成為逃避責任的藉口。 千萬別被99%的網絡安全所矇蔽,問清楚,那1%是什麼。
原文出處
原文出處
- May 22 Tue 2007 16:40
-
新興安全威脅七大特徵
■歷史悠久的自我防禦技術 早自過去的檔案型、開機型或宏型病毒,即開始採用加密、壓縮、自我編碼、變體引擎(McTation Engine或Polymorphic Engine)、更名感染等技術,藉此逃避防毒軟件的偵測及追捕。這些病毒自我防禦技術,仍為目前流行的惡性程序所沿用。 除此之外,一些惡性程序還具備自我檢查及反防毒軟件(Anti-Antivirus)的能力,他們會在計算機被啟動的同時,卸載系統中的防毒軟件或防火牆軟件。 不過,目前惡性程序的發展趨勢似乎有了轉變,雖然過去的自我防禦功能仍繼續沿用,但已非關注的重點。 反之,這些惡意程序不再在乎是否能被防毒軟件或其它安全配備偵測阻擋,因為再怎麼防,不用多久,資安廠商仍很快就有因應措施及解決方案的推出。 所以他們追求的重點已轉變成「快、狠、準」,也就是儘可能地在最短的時間內,以迅雷不及掩耳、秋風掃落葉的方式,造成一定的影響或達到一定的目的。也因為 如此,許多惡意程序甚至設定自我毀滅時間。 ■令人眼花撩亂的龐大變種 變種的老祖宗應該可以上溯自1997、98年間甚為流行的千面人病毒(Polymorphic/Mutation Virus),該病毒具備自我編碼的能力,每感染一個檔案,其病毒碼都不一樣。基本上,千面人應歸類成多形病毒的一種。 雖然千面人病毒具備變幻莫測的外表,但它仍有破綻,就是每個變換後的病毒碼,其程序開頭都相同,所以仍然有跡可循。為瞭解決這個問題,網上遂有 了.OBJ的變體引擎子程序供人下載撰寫多形病毒。總之,由於變體引擎及病毒原始碼的公開,所以各式各樣的變種因而斥充在網絡上。 如今的惡性程序除了展開全球性傳播的"水平繁衍"外,並藉由不斷的變種進行延綿好幾十代的"垂直繁衍"。更可怕的是,這些惡性程序還結合不同的混合式攻擊技術,讓每代的變種各具不同"邪惡"特性及破壞力,或是每隔一代海納百川地加入新的"毒術"。 過去病毒多半接續個兩三代就"over"了,如今惡意程序傳宗接代的能力一個比一個強,動輒幾十代,甚至打破30代大關,例如培果病毒(Bagle)到目前為止共有37代變種,實在驚人。 若以平均天數來看,早先的頑皮熊病毒,從2002年10月第一代出現起,到2004年9月第四代止,大約平均每176天才推出新的變種。如今像 是Bagle、MyDoom、NetSky及Korgo等蠕蟲,平均不到10天就推出新的變種。其中,最可怕的莫過於Korgo蠕蟲,在短短三個月多內, 就接連繁衍出高達27代的變種,換句話說,其不到3天就變種一次。 感覺起來,這些惡意程序彷彿在比誰的生育率比較強似的,事實上Bagle、Netsky和MyDoom的確一直在互別苗頭,不但相互爭奪變種的數目高低,甚至相互攻擊(例如Bagle變種專砍Netsky,而Netsky也專門找MyDoom下手)。
■亂"件"齊發的垃圾郵件 對於惡意程序而言,電子郵件彷彿就是其增加其功力的大補丸。為了達到最終感染及傳播的目的,黑客多半會採用社交工程學(Social Engineering)來引誘收信者打開附件或連結,進而啟動或下載攻擊程序。此外,過去也有不少病毒郵件,進而發展出不用開啟郵件及附件,只要瀏覽就 會中毒的技術。 在信件傳播方面,由於採用微軟訊息應用程序接口(MAPI)來發病毒郵件,很容易會被防毒軟件攔截到,所以黑客多半都會改用專屬的SMTP外寄郵件服務器,繞過防毒軟件的攔截網來發送病毒信。 自從Melissa宏病毒開啟惡意程序搭乘電子郵件的首例之後,許多惡意程序,尤其是造成重大影響的蠕蟲幾乎都是以垃圾郵件為作惡的工具,垃圾郵件的問題也開始被廣泛注意。 史上利用垃圾郵件最徹底、最成功的蠕蟲當推Sobig.F,該蠕蟲每隔幾秒鐘就會自動向受害計算機中的所有通訊簿名單發出毒件,因而登上史上傳播最迅速的寶座,莫怪乎有人稱其為史上最強力的超級郵件發送機(Mass Mailer)。 ■難以抗拒的誘惑-社交工程 社交工程(Social Engineering)原本是一種源自於飛客(Phreak)的詐騙手法,對於該手法讀者應該不致於太陌生,因為之前沒多久,相信很多人應該曾接到一些 詐騙電話,像是謊稱自己是警察人員,並告知接聽者的銀行賬號被盜領,或是"你兒子現在在我手上,快拿兩百萬過來"等云云,這些就是運用社交工程的顯例。 基本上,社交工程是利用人性弱點,並透過威脅、利誘的手法來進行騙取對方信任或遵從某個動作的技術。對於大部分的企業而言,技術面的問題好解決,但是牽涉到人性面的問題就相當棘手難防了,也因為如此,社交工程已成為蠕蟲、特洛伊木馬等惡意程序慣用的技術之一。 尤其對個人而言,面對每日眼花瞭亂的郵件實在很難防,而網上琳瑯滿目的MP3音樂、共享軟件或圖文件的誘惑力更難扺擋,偏偏這些東西是黑客運用社交工程的最佳試煉場。 ■有洞就鑽 在過去,軟件上的臭蟲(Bug)頂多會造成軟件或系統穩定性或兼容性上的問題,但如今卻成為黑客攻擊的主力目標。賽門鐵克亞太區技術安全顧問林 育民表示,如今許多軟件及平台都存在許多漏洞,而後一版本的軟件大多仍會繼續沿用之前版本的組件,所以漏洞有可能也會流傳到不同版本之中。如此一來,便成 為黑客及蠕蟲攻擊的目標。所以系統弱點及軟件漏洞已成為目前計算機安全上的重大課題。 根據Gartner Group今年4月的分析報告指出,2003年有25%的網絡攻擊事件來自於已知漏洞。面對漏洞問題,唯一最直接的解決方法就是下載廠商提供的修補程序 (Patches)。對於企業而言,由於軟件系統種類繁多、數量龐大,所以必須搭配漏洞及弱點管理工具,以進行固定的掃瞄、偵測及修補作業。 但前文曾提到Symantec的研究報告,目前漏洞發佈與相關蠕蟲攻擊的平均時間差只有短短的5.8天,而Witty蠕蟲甚至締造了2天的驚人 紀錄,未來隨著蠕蟲技術的不斷突破,平均時間差只會愈來愈短。今後,要與黑客一比搶攻漏洞之高下,絕對是今後企業及資安廠商努力的重點之一。 對於個人而言,修補漏洞一直是件不得不做,但又極其困擾的事情。最主要是因為操作系統會隨著軟件、遊戲或硬件的安裝、解除,檔案的進進出出或其 它不當的操作而終至變慢、甚至當機的地步,換句話說,為求系統穩定,操作系統每隔一段時間是要重灌的。也因為如此,重灌計算機也意味著要重灌之前所有安裝 過的修補程序。 如果使用者是透過在線修補,那麼在冗長的修補過程中難保不會被蠕蟲入侵或被種下後門。如果透過已下載的修補檔來修補,雖然較安全,但數量龐大的修補作業可是相當累人的事情。
雖然操作系統中也有提供系統還原的功能,只要選擇較後面的還原點,可以減少修補作業的次數。但使用者要如何確認哪一個還原點才是完全安全乾淨的呢?總而言之,對個人來說,修補漏洞絕對是件既困擾又無奈的事情。 另外要補充強調的是,使用者千萬不要因為麻煩或抱著僥倖心態,認為之前舊漏洞不補也沒關係,而只要修補最新漏洞即可。事實上,舊漏洞才是黑客最 愛,根據Gartner Group今年4月的分析報告指出,2003年有25%的網絡攻擊事件來自於已知漏洞。所以凡是系統或軟件有任何漏洞,都是非補不可的。 ■就是要你消受不起-DDoS 阻斷式服務攻擊(Denial-of-Service;DoS)已成為目前黑客及蠕蟲的主要攻擊方式之一。透過DoS攻擊,網站會被大量而密集的封包所淹沒,結果導致網站用戶無法正常進入網站,享受應有的內容或服務。 如今的蠕蟲、特洛伊木馬或BOT遙控程序則採用更大規模的分佈式阻斷服務攻擊(Distributed DoS;DDoS)手法,形成對企業、網站更長時間的"封鎖"及更大的損失。 所謂DDoS就是在網絡上透過搜尋、掃瞄漏洞及殖入後門等方式,以整合更多的攻擊來源,以對主要目標展開更猛烈持久的服務封鎖。如此的好處是, 可以結合更大的攻擊能量,同時真正發號司令的黑客不容易被抓到。BOT遙控程序就是透過網絡掃瞄、感染更多的殭屍計算機,形成龐大的殭屍網絡大軍,然後針 對主要目標展開猛烈的DDoS攻擊。
史上著名的DDoS攻擊事件,像是2001年的紅色密碼(Code Red),即為一隻曾對微軟IIS Server展開DDoS的蠕蟲;2003年疾風蠕蟲(MSBlast.A)則透過RPC DCOM緩衝區溢位的弱點,攻擊微軟Windows Update 網站;2004年1月底,Yahoo、Google等搜尋引擎網站更受到MyDoom蠕蟲的DDoS攻擊,而造成相當大的損失。 ■陸海空聯合大進擊-混合式攻擊 自從2001年Code Red率先採用混合式攻擊技術以來,混合式攻擊已成為目前惡意程序發展中的最大特色及慣用手法。透過不同攻擊技術的結合,惡意程序得以用更快的傳播速度、 更多樣化的管道及更強的破壞力展開突擊。目前"純種"的惡意程序已經愈來愈少,即使是也多半會在變種的下幾代中不斷添加新的攻擊技術及特性。 就各惡意程序的特性而言,病毒具備其它惡意程序所沒有的感染力,蠕蟲則提供無人能敵的主動散播能力,至於遠程搖控能力最強的當推特洛伊木馬。而 混合式攻擊就是截長補短地整合病毒、蠕蟲、木馬、間諜程序或網絡釣魚的特性,以及網絡漏洞、系統弱點掃瞄的新一代惡意程序技術。 一隻混合式攻擊程序可能會透過不同的媒介及管道,來進行陸海空聯合多點大進擊,換句話說,它可能一方面透過垃圾郵件傳播,一方面在網上掃瞄並寄 生在有弱點的主機上,一方面在網絡上"裝可愛"成可供人們下載的MP3、遊戲或軟件,或是搜尋感染網絡芳鄰上的分享目錄夾,抑或提高來賓賬戶的權限等級 等。由於攻擊來自於四方八面不同的管道,所以單靠傳統單一的防毒軟件是無法有效因應的,目前資安廠商則主張多層次的主動防禦方案以為因應。 對於混合式攻擊,趨勢科技亞太區國際行銷部產品行銷經理李淳熙特別指出,目前間諜程序會結合許多技術,其中尤以兩點發展趨勢最值得關注: (1)間諜軟件與垃圾郵件的結合:同時借此將BOT遠程遙控程序種殖在別人的計算機中,並以此為侵入其它計算機或網絡的跳板。 (2)會竊取計算機所有的畫面:過去僅會側錄鍵盤的擊鍵,如今不但會偷取檔案數據,甚至還會啟動Web Camera並竊取畫面。 惡意程序名稱 變種代數 起止日期 歷時 平均天數 Bagle 37代 04/01/19—04/11/17 301天 8.1天 Mydoom 30代 04/01/27—04/11/15 291天 9.7天 NetSky 30代 04/02/19—04/10/28 251天 8.4天 Lovegate 29代 04/02/25—04/08/27 548天 18.9天 Korgo 27代 04/05/22—04/08/04 74天 2.7天 Sober 7代 03/10/27—04/11/22 387天 55.3天 Gaobot 7代 03/28/22—04/12/10 475天 67.9天 Sasser 7代 04/05/03—04/08/26 115天 16.4天 Sobig 6代 03/01/13—03/08/20 219天 36.5天 Blast 6代 03/08/11—04/04/21 253天 42.2天 Bagz 5代 04/10/07—04/10/28 21天 4.2天 Bugbear 4代 02/10/27—04/09/06 705天 176.3天
表一 惡意程序新變種平均天數
原文出處
■亂"件"齊發的垃圾郵件 對於惡意程序而言,電子郵件彷彿就是其增加其功力的大補丸。為了達到最終感染及傳播的目的,黑客多半會採用社交工程學(Social Engineering)來引誘收信者打開附件或連結,進而啟動或下載攻擊程序。此外,過去也有不少病毒郵件,進而發展出不用開啟郵件及附件,只要瀏覽就 會中毒的技術。 在信件傳播方面,由於採用微軟訊息應用程序接口(MAPI)來發病毒郵件,很容易會被防毒軟件攔截到,所以黑客多半都會改用專屬的SMTP外寄郵件服務器,繞過防毒軟件的攔截網來發送病毒信。 自從Melissa宏病毒開啟惡意程序搭乘電子郵件的首例之後,許多惡意程序,尤其是造成重大影響的蠕蟲幾乎都是以垃圾郵件為作惡的工具,垃圾郵件的問題也開始被廣泛注意。 史上利用垃圾郵件最徹底、最成功的蠕蟲當推Sobig.F,該蠕蟲每隔幾秒鐘就會自動向受害計算機中的所有通訊簿名單發出毒件,因而登上史上傳播最迅速的寶座,莫怪乎有人稱其為史上最強力的超級郵件發送機(Mass Mailer)。 ■難以抗拒的誘惑-社交工程 社交工程(Social Engineering)原本是一種源自於飛客(Phreak)的詐騙手法,對於該手法讀者應該不致於太陌生,因為之前沒多久,相信很多人應該曾接到一些 詐騙電話,像是謊稱自己是警察人員,並告知接聽者的銀行賬號被盜領,或是"你兒子現在在我手上,快拿兩百萬過來"等云云,這些就是運用社交工程的顯例。 基本上,社交工程是利用人性弱點,並透過威脅、利誘的手法來進行騙取對方信任或遵從某個動作的技術。對於大部分的企業而言,技術面的問題好解決,但是牽涉到人性面的問題就相當棘手難防了,也因為如此,社交工程已成為蠕蟲、特洛伊木馬等惡意程序慣用的技術之一。 尤其對個人而言,面對每日眼花瞭亂的郵件實在很難防,而網上琳瑯滿目的MP3音樂、共享軟件或圖文件的誘惑力更難扺擋,偏偏這些東西是黑客運用社交工程的最佳試煉場。 ■有洞就鑽 在過去,軟件上的臭蟲(Bug)頂多會造成軟件或系統穩定性或兼容性上的問題,但如今卻成為黑客攻擊的主力目標。賽門鐵克亞太區技術安全顧問林 育民表示,如今許多軟件及平台都存在許多漏洞,而後一版本的軟件大多仍會繼續沿用之前版本的組件,所以漏洞有可能也會流傳到不同版本之中。如此一來,便成 為黑客及蠕蟲攻擊的目標。所以系統弱點及軟件漏洞已成為目前計算機安全上的重大課題。 根據Gartner Group今年4月的分析報告指出,2003年有25%的網絡攻擊事件來自於已知漏洞。面對漏洞問題,唯一最直接的解決方法就是下載廠商提供的修補程序 (Patches)。對於企業而言,由於軟件系統種類繁多、數量龐大,所以必須搭配漏洞及弱點管理工具,以進行固定的掃瞄、偵測及修補作業。 但前文曾提到Symantec的研究報告,目前漏洞發佈與相關蠕蟲攻擊的平均時間差只有短短的5.8天,而Witty蠕蟲甚至締造了2天的驚人 紀錄,未來隨著蠕蟲技術的不斷突破,平均時間差只會愈來愈短。今後,要與黑客一比搶攻漏洞之高下,絕對是今後企業及資安廠商努力的重點之一。 對於個人而言,修補漏洞一直是件不得不做,但又極其困擾的事情。最主要是因為操作系統會隨著軟件、遊戲或硬件的安裝、解除,檔案的進進出出或其 它不當的操作而終至變慢、甚至當機的地步,換句話說,為求系統穩定,操作系統每隔一段時間是要重灌的。也因為如此,重灌計算機也意味著要重灌之前所有安裝 過的修補程序。 如果使用者是透過在線修補,那麼在冗長的修補過程中難保不會被蠕蟲入侵或被種下後門。如果透過已下載的修補檔來修補,雖然較安全,但數量龐大的修補作業可是相當累人的事情。
雖然操作系統中也有提供系統還原的功能,只要選擇較後面的還原點,可以減少修補作業的次數。但使用者要如何確認哪一個還原點才是完全安全乾淨的呢?總而言之,對個人來說,修補漏洞絕對是件既困擾又無奈的事情。 另外要補充強調的是,使用者千萬不要因為麻煩或抱著僥倖心態,認為之前舊漏洞不補也沒關係,而只要修補最新漏洞即可。事實上,舊漏洞才是黑客最 愛,根據Gartner Group今年4月的分析報告指出,2003年有25%的網絡攻擊事件來自於已知漏洞。所以凡是系統或軟件有任何漏洞,都是非補不可的。 ■就是要你消受不起-DDoS 阻斷式服務攻擊(Denial-of-Service;DoS)已成為目前黑客及蠕蟲的主要攻擊方式之一。透過DoS攻擊,網站會被大量而密集的封包所淹沒,結果導致網站用戶無法正常進入網站,享受應有的內容或服務。 如今的蠕蟲、特洛伊木馬或BOT遙控程序則採用更大規模的分佈式阻斷服務攻擊(Distributed DoS;DDoS)手法,形成對企業、網站更長時間的"封鎖"及更大的損失。 所謂DDoS就是在網絡上透過搜尋、掃瞄漏洞及殖入後門等方式,以整合更多的攻擊來源,以對主要目標展開更猛烈持久的服務封鎖。如此的好處是, 可以結合更大的攻擊能量,同時真正發號司令的黑客不容易被抓到。BOT遙控程序就是透過網絡掃瞄、感染更多的殭屍計算機,形成龐大的殭屍網絡大軍,然後針 對主要目標展開猛烈的DDoS攻擊。
史上著名的DDoS攻擊事件,像是2001年的紅色密碼(Code Red),即為一隻曾對微軟IIS Server展開DDoS的蠕蟲;2003年疾風蠕蟲(MSBlast.A)則透過RPC DCOM緩衝區溢位的弱點,攻擊微軟Windows Update 網站;2004年1月底,Yahoo、Google等搜尋引擎網站更受到MyDoom蠕蟲的DDoS攻擊,而造成相當大的損失。 ■陸海空聯合大進擊-混合式攻擊 自從2001年Code Red率先採用混合式攻擊技術以來,混合式攻擊已成為目前惡意程序發展中的最大特色及慣用手法。透過不同攻擊技術的結合,惡意程序得以用更快的傳播速度、 更多樣化的管道及更強的破壞力展開突擊。目前"純種"的惡意程序已經愈來愈少,即使是也多半會在變種的下幾代中不斷添加新的攻擊技術及特性。 就各惡意程序的特性而言,病毒具備其它惡意程序所沒有的感染力,蠕蟲則提供無人能敵的主動散播能力,至於遠程搖控能力最強的當推特洛伊木馬。而 混合式攻擊就是截長補短地整合病毒、蠕蟲、木馬、間諜程序或網絡釣魚的特性,以及網絡漏洞、系統弱點掃瞄的新一代惡意程序技術。 一隻混合式攻擊程序可能會透過不同的媒介及管道,來進行陸海空聯合多點大進擊,換句話說,它可能一方面透過垃圾郵件傳播,一方面在網上掃瞄並寄 生在有弱點的主機上,一方面在網絡上"裝可愛"成可供人們下載的MP3、遊戲或軟件,或是搜尋感染網絡芳鄰上的分享目錄夾,抑或提高來賓賬戶的權限等級 等。由於攻擊來自於四方八面不同的管道,所以單靠傳統單一的防毒軟件是無法有效因應的,目前資安廠商則主張多層次的主動防禦方案以為因應。 對於混合式攻擊,趨勢科技亞太區國際行銷部產品行銷經理李淳熙特別指出,目前間諜程序會結合許多技術,其中尤以兩點發展趨勢最值得關注: (1)間諜軟件與垃圾郵件的結合:同時借此將BOT遠程遙控程序種殖在別人的計算機中,並以此為侵入其它計算機或網絡的跳板。 (2)會竊取計算機所有的畫面:過去僅會側錄鍵盤的擊鍵,如今不但會偷取檔案數據,甚至還會啟動Web Camera並竊取畫面。
表一 惡意程序新變種平均天數
原文出處
- May 22 Tue 2007 14:06
-
Vulnerability Summary for the Week of May 14, 2007
US-CERT發佈過去一周的弱點資料整理,風險等級依據CVSS分為高中低三個等級。
The US-CERT Cyber Security Bulletin provides a summary of new vulnerabilities that have been recorded by the National Institute of Standards and Technology (NIST) National Vulnerability Database (NVD) in the past week. The NVD is sponsored by the Department of Homeland Security (DHS) National Cyber Security Division (NCSD) / United States Computer Emergency Readiness Team (US-CERT). For modified or updated entries, please visit the NVD, which contains historical vulnerability information.The vulnerabilities are based on the CVE vulnerability naming standard and are organized according to severity, determined by the Common Vulnerability Scoring System (CVSS) standard. The division of high, medium, and low severities correspond to the following scores:
詳文請按
The US-CERT Cyber Security Bulletin provides a summary of new vulnerabilities that have been recorded by the National Institute of Standards and Technology (NIST) National Vulnerability Database (NVD) in the past week. The NVD is sponsored by the Department of Homeland Security (DHS) National Cyber Security Division (NCSD) / United States Computer Emergency Readiness Team (US-CERT). For modified or updated entries, please visit the NVD, which contains historical vulnerability information.The vulnerabilities are based on the CVE vulnerability naming standard and are organized according to severity, determined by the Common Vulnerability Scoring System (CVSS) standard. The division of high, medium, and low severities correspond to the following scores:
High - Vulnerabilities will be labeled High severity if they have a CVSS base score of 7.0 - 10.0
Medium - Vulnerabilities will be labeled Medium severity if they have a CVSS base score of 4.0 - 6.9
Low - Vulnerabilities will be labeled Low severity if they have a CVSS base score of 0.0 - 3.9
詳文請按
- May 22 Tue 2007 13:50
-
[大砲開講]OKWAP 英華達網站又被植入惡意連結
OKWAP 英華達網站又被植入惡意連結,此惡意程式為 ADWARE_RUGO 和 QQPass 變種,稍後會更新資訊,最近有瀏覽這個網頁的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個 網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。對此有興趣的網友,可以在 VMWare 上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝。
詳文請按
詳文請按
- May 22 Tue 2007 13:31
-
[大砲開講]HitoCard 喜多喜卡網又被植入惡意連結
**高度危險網站:常常被植入惡意連結,列入網站黑名單,不建議瀏覽此網站**
HitoCard 喜多喜卡網又被植入惡意連結,此惡意程式為 Lineage 變種,最近有瀏覽這個網站的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。另外,此惡意程式是利用微軟所公佈ANI 的安全漏洞 (Vulnerability in Windows Animated Cursor Handling)。對此有興趣的網友,可以在 VMWare 上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝。
HitoCard 喜多喜卡網又被植入惡意連結,此惡意程式為 Lineage 變種,最近有瀏覽這個網站的網友,應該要盡速檢查自己的電腦,請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息 (此惡意程式應該會偷帳號與密碼)。另外,此惡意程式是利用微軟所公佈ANI 的安全漏洞 (Vulnerability in Windows Animated Cursor Handling)。對此有興趣的網友,可以在 VMWare 上測試一下,然後,回報修復的情形,而且,幫忙通知他們,謝謝。
