Embed Size (px)
Citation preview
I. 本月安全趋势 1. 恶意代码趋势 ....................................................................................................... 2
2. 安全动向 .............................................................................................................. 6
3. 网络安全趋势 ..................................................................................................... 11
Ⅰ. 本月安全趋势
1. 恶意代码趋势
2010年 1月份 公布了微软 新IE DOM 0day漏洞(CVE-2010-0249)的相关信息。该漏洞已
经被黑客利用,也制作了IE漏洞生成器。利用漏洞下载的恶意代码有很多种,但这些都是由工具
而生成的,所以脚本的类型,大体没有多大的改变。随着大多数用IE浏览器的同时面临着安全威
胁。据海外新闻报告,该漏洞针对美国内主要的IT公司进行攻击。
还有自从去年开始一直不断的受到Win32/Palevo.worm变种影响。把副本生成在,伪装成垃圾箱
文件夹里等 这些都是属于Win32/Palevo.worm变种的特点之一。Palevo蠕虫跟C&C服务器进行
通讯 接收已加密的命令,通过Autorun 和 MSN等聊天工具 进行传播 或者被DDOS攻击利用。
在Window 系统文件中发现了只感染指定的驱动文件Win32/Dnis.C变种。只修改加密Key的单一
变种。进行感染的装载器起初要感染时, 不在本地里生成文件,只在内容中通过一连串的行为,
感染指定的驱动文件。假如系统文件要是被感染,很难进行诊断治疗的。以便被感染一般用户是
很难知道所以需要更加谨慎。还有伪装成网游公司的公告,通过邮件进行传播,类似的这样的问
题之外还有 制作指定的博客伪装成虚假的杀毒软件传播恶意代码。
从本年初开始利用社会工程学,伪装成邮件,博客等进行传播 并提醒广大用户需注意防范。 2
IE DOM 0Day漏洞 (CVE-2010-0249)
本月被发现的漏洞是从中国制作的,由大多数生成器生成的。. 通过[图 1-1]能了解到漏洞使用
的地址别修改成别的地址。
[图 1-1] 漏洞变种代码使用的内存地址
漏洞变种代码是被下载后的可执行代码。
[图 1-2] 漏洞变种代码 -1
[图 1-3] 漏洞变种代码 -2
一般漏洞代码结构是执行包含shellcode的恶意脚本后,通过shellcode下载恶意文件并执行。其
他的形式是不下载恶意文件,而是已文件漏洞形式存在。 所以文件本身包含了恶意文件且执行sh
ellcode -> 生成恶意文件 -> 执行。 3
感染Windows系统文件的病毒变 – Win32/Dnis.C
Win32/Dnis.C在去年五月份被发现的,之后的一直是变种. 通过分析也了解到感染Ndis.sys的驱
动文件。进行感染的装载器通过以下的步骤执行后,访问指定的电脑下载文件并执行。这些步骤
都在内存中进行的。
[图 1-4] Win32/Dnis.C 访问恶意电脑
[图 1-5] Win32/Dnis.C型病毒连接恶意主机
如下图所示,首先把感染代码复制到缓冲区,并执行缓冲区里的代码来进行感染。
[图 1-6] Win32/Dnis.C型病毒把感染代码复制到缓冲区
每次被感染时文件大小会比原来增加或每个变种使用随机的密钥来生成新变种。之后,执行发送
垃圾邮件或下载其他恶性代码等恶意行为。 4
普通用户很难察觉系统文件的感染与否,而且一般都会允许系统文件连接外部主机。很多病毒制
作者利用这个弱点来制作专为感染系统文件的病毒。大部分恶性代码会使用修改注册表自启动项
的方式来实现自启动,但是此类病毒感染系统文件来实现自启动。因为系统启动时会自动加载系
统文件,此时病毒代码会获得控制权来执行恶意行为。
Win32/Palevo.worm 变种越发猖狂
Palevo蠕虫有很多变种。一般症状是在Explorer.exe进程里创建自己的线程,并从恶意主机接收
指令的方式来实现恶意行为。执行后发生的症状大致如下:
[图 1-7] Win32/Palevo.worm执行关系
此木马在回收站文件夹(C:₩RECYCLER)里新建特定名称的文件夹,并将自己复制到该文件夹下
面。为了传播自己,通过移动硬盘或MSN接受指令后进行传播。从C&C接受指令后还可以针对某
特定服务器进行TCP/UDP Flooding攻击。自我更新与强大的传播力对传播此蠕虫变种提供了一
定程度的便利。
伪装正常程序的间谍软件
此类恶意代码把正常Windows自启动程序替换成自己,并给原程序名后加空白。
5
[图 1-8] 被间谍软件修改的程序名
如图所示,普通用户很难看出程序名后追加了空白。被间谍软件感染后首先会执行“vmware-tray.
exe”,之后才执行正常的“vmware-tray .exe”。杀毒软件清除该间谍软件后,会发生系统启动
时找不到“vmware-tray.exe”程序的问题。
报酬(reward)程序的传播
报酬程序的威胁逐渐增加. 特别是广告软件Win-Adware/PointKing.722944,在2010年1月新
病毒中占据排行第二。报酬程序的定义是网上消费金额中部分可退还给消费者。但是因为累计到
一定程度之后才可退还,众多消费者很难获得此报酬。利用此弱点,出现了众多的报酬程序。但
是因为很多报酬程序与免费游戏绑定,很难检测出来。部分报酬程序还以BHO(Browser Helper
Object)的形式来运行,导致很多冲突或修改关键词搜索结果。所以下载免费游戏时必须事先仔细
查看安装程序列表,并不要安装不必要的程序。
2. 安全动向
MS10-002 Internet Explorer DOM(Document Object Model) Memory
Corruption 0-Day 漏洞问世
从2010年1月初开始发生了很多由于0-Day攻击引起的恶性代码,相关0-Day攻击是利用IE漏
洞来实现的。
相关漏洞是在处理IE的DOM((Document Object Model))过程当中发生在HTML引擎里
存在的EVENTPARAM::EVENTPARAM里。
攻击者生成带有恶意的HTML代码,使用户电脑的内存产生错误来执行想要执行的代码。
实际上攻击者是在利用Heap-Spray方法使攻击者的shellcode存在于内存里,之后在shellcode所
在的位置上更换程序执行流程(EIP)来执行攻击者想执行的代码。
6
[图 2-1] mshtml.dll shellcode 分歧点
一般情况下,攻击者会攻击网络服务器包含MS10-002漏洞的恶性脚本放在特定网页里,在用户
打开相关网页时会感染到恶性代码。下面是利用MS10-002漏洞的实际攻击包。
[图 2-2] MS10-002 发生攻击网络报
一般IE漏洞是比较危险的,所以必须需要安全包。曾经发生了利用MS10-002漏洞释放恶性代码
来攻击有家有名软件网页。还有现在也有很多网站利用相关漏洞,敬请关注。 7
DoS 工具的危险性
近出现很多自动化DDoS(分散服务拒绝攻击)及DoS(服务拒绝攻击)工具,其中在这个
月发现的DoS工具如下。
以GUI制作,主要攻击对象是使用ICMP Flooding方法。可以输入攻击目标IP,时间设置
及攻击数据大小 大为63kb。
[图 2-3] 中国制作的 DoS 工具
基本设置的DoS攻击包是利用ICMP Flooding方法来传送每个包1480bytes数据,每秒发生
9.5M DoS攻击。
8
[图 2-4] DoS 攻击时发生的网络包
在这种情况DoS工具没有使用IP Spoofing方法,所以如果发生如上包,使用拦截相关IP的方法会
更有效。为了防止DdoS或者DoS可以在DdoS防御装置和防火墙适应资源追击(Source Tracking)
和状态限制(State Limit),为了分散还能适应load balance。
Case Study: 利用MS10-002漏洞传播恶性代码例子
现在开始说明关于利用MS10-002漏洞传播恶性代码的例子。通过目前运营中的Active Honeyp
ot来探测到了一个利用该漏洞的中国网站。
http://www.******qq.cn/
http://www. ******qq.cn/AkeleD/200804/3.js
http://down. ******.com/QQ/logo.js
http://00. ******.in/ba******.htm <---- MS10-002 Exploit Script
http://00. ******.in/xbb.gif [表 2-1] MS10-002 Exploit Script 传播方式
从[表 2-1]可以看出红色部分的ba******.htm是攻击MS10-002漏洞的Exploit Script,执行的
话包含在脚本内部的shell 语句会在特定的网站上下载执行文件并执行它。
9
[图 2-5] 解密shell语句
分析shell语句当中(图 2-5)使用XOR解密Code Block的话,会出现像[图 2-6]一样的下载其
他恶性代码的URL。
[图 2-6] 解密出的shell语句中的URL
[图 2-6]中下载的文件用V3可以诊断为 Win-Trojan/Injector.28672.Y.
通过到目前为止的内容,我们可以知道没有做好安全工作的网络环境存在很大程度的危害。很容
易被恶性代码所感染,并且造成的危害(盗窃个人信息、金钱/精神上的损失)不停的反复。现在
的网络环境不仅要考虑方便和速度,还要考虑安全。这三个因素需要并同提高才能保证网络的持
续发展。
10
国家和安全公司需要做的是给用户提供一个安全的网络环境,安全的中心不是国家和安全公司,
而是用户。用户立场下的安全是起码要知道自己使用的OS和应用程序是什么,并且按期升级自己
安装的杀毒软件。
3. 网络安全趋势
注意因域名政策变更导致的钓鱼!
从2010年开始允许域名里可以用第三种外语。各国虽然能使用到多种国家的语言得到了方便,但
是也带来了一些安全漏洞中的关于钓鱼的不良问题。
[图 3-1] 使用多种国家语言时可能出现的域名钓鱼网站
11
[图3-1]看起来没有什么区别,下面的是英文字母“paypal”,上面的是俄罗斯字母“raural”。
实际字母不一样,但是用肉眼看的时候是一模一样。所以这种情况很容易出现钓鱼网站。
为了防止上述问题,以前多注意自己连接的网站的话会一定程度上可以预防。但是现在光用注意
是远远不够确认是不是钓鱼网站。
所以,推荐使用可以确认网站危害性的网站护卫(http://siteguard.co.kr)等网络安全产品。
