丝瓜直播app下载

網絡安全通報第四期
發布時間: 2019-05-29 瀏覽次數: 562 文章來源: 信息化建設與管理辦公室

本周網絡狀態:良好

本周信息安全威脅通告

2019年第4

本周信息安全漏洞威脅整體評價級別為 

  

本周安全態勢重點關注:

?針對Drupal 遠程代碼執行漏洞和Apache Struts2 S2-057 遠程執行代碼漏洞的攻擊次數在五一假期后大幅度上升。

?黑客組織活躍度大幅上升,需要引起注意。



最新威脅態勢:Oracle Weblogic 漏洞(CVE-2019-2725)用于廣泛攻擊,傳播XMRig Sodinokibi 等惡意軟件。

?微軟Remote Desktop Services – 遠程代碼執行漏洞通告。根據2019515日的安全監測,發現Microsoft WindowsXP2008 R2多個版本均存在Remote Desktop Services遠程代碼執行漏洞。

丝瓜直播app下载  

丝瓜直播app下载  

1.最新威脅態勢

1.1.網絡安全攻擊趨勢分析

本周安全數據大腦監測到來自127個國家對我方重要系統發起攻擊,攻擊總數達到9561萬次,其中58日攻擊量達到頂峰,攻擊次數達到1587萬次。下圖為最近一周的安全攻擊趨勢監測情況:


.1.1攻擊類型分布

安全數據大腦通過對攻擊類型分析發現,本周捕獲攻擊以命令注入攻擊、疑似跨站攻擊、SQL注入攻擊、協議違規、漏洞防護等Web攻擊類型為主。其中命令注入攻擊類型的占比為40%,攻擊次數達到3.8千萬次;疑似跨站攻擊類型的占比為25%,攻擊次數達到2.4千萬次;SQL注入攻擊類型的占比為7%,攻擊次數達到0.7千萬次。


要攻擊類型介紹:

【疑似跨站攻擊】攻擊者利用網站漏洞把惡意腳本代碼注入到網頁中,當其他用戶瀏覽這些網頁時,就會執行其中的惡意代碼,對受害用戶可能采取Cookies 資料竊取、會話劫持、釣魚欺騙等各種攻擊。攻擊風險等級:高。

【命令注入攻擊】僅僅需要輸入數據的場合,卻伴隨著數據同時輸入了惡意代碼,而裝載數據的系統對此并未設計良好的過濾過程,導致惡意代碼也一并執行,最終導致信息泄露或者正常數據的破壞。攻擊風險等級:高。

SQL 注入攻擊】web 應用程序對用戶輸入數據的合法性沒有判斷,攻擊者可以在web 應用程序中事先定義好的查詢語句的結尾上添加額外的SQL 句,以此來實現欺騙數據庫服務器執行非授權的任意查詢,從而進一步得到相應的數據信息。攻擊風險等級:高。

1.1.2境外攻擊源分布

根據安全數據大腦安全統計分析,本周我方重要系統受到了來自境外攻擊源1275 萬次攻擊,涉及到126 個不同國家,主要境外攻擊源來自美國、韓國、柬埔寨,其中來自美國的攻擊最多,占境外攻擊源攻擊數量的72%


.1.3境內攻擊源分布

根據安全數據大腦統計分析,本周我方重要系統受到的國內8252 萬次攻擊,主要攻擊源來自于江蘇、浙江、北京等區域,這三處的攻擊量占所有國內攻擊量的57%


.1.4重要漏洞攻擊分析

安全數據大腦對重要軟件漏洞進行深入跟蹤分析,發現針對Thinkphp5.0.X5.1.X 版本遠程代碼執行漏洞、Apache Struts2 S2-057 遠程執行代碼漏洞和Drupal 遠程代碼執行漏洞攻擊次數比較多。

?  Thinkphp5.0.X5.1.X 版本遠程代碼執行漏洞攻擊趨勢跟蹤情況


  Apache Struts2 S2-057 遠程執行代碼漏洞(CVE-2018-11776)攻擊趨勢跟蹤情況


?  Drupal 遠程代碼執行漏洞(CVE-2018-7600)攻擊趨勢跟蹤情況


.2.近期活躍黑客團伙

黑客團伙是一類有組織的黑客攻擊,有著更大的攻擊性、更強的威脅性和更廣的波及面。本周安全數據單腦發現50 個黑客家族活躍痕跡,黑客家族主要來自:Suppobox 木馬、Ramnit 蠕蟲、Simda 僵尸網絡、Banjori 木馬、Necurs 僵尸網絡等。

1.2.1黑客團伙活躍情況

統計黑客團伙本周活躍情況發現,58日黑客團伙活躍度最高。


.2.2主要活躍黑客團伙

本周主要活躍的黑客團伙有Suppobox 木馬、Ramnit 蠕蟲、Simda 僵尸網絡、Banjori 木馬、Necurs 僵尸網絡等。


漏洞預警

2.1 漏洞(CVE-2018-1961

IBM EMPTORIS_CONTRACT_MANAGEMENT Informat ion Exposure Vulnerability

概述:IBM Emptoris Contract Management 10.0.0 and 10.1.3.0 could disclo se sensitive information from detailed information from error message s. IBM X-Force ID: 153657. IBM Emptoris Contract Management 是美國IBM 公司的一套可實現合同生命周期自動化的軟件。該軟件可以自動執行和管理合同生命周期的各個階段,如從合同及修正案的創建、執行和再協商,到績效監控、分析和續訂。IBM Emptoris Contract Management 10.0.x 版本至10.1.3.x 版本中存在安全漏洞,該漏洞源于程序會生成較詳細的錯誤信息。攻擊者可利用該漏洞獲取錯誤信息中的敏感信息。

漏洞類型:CVE-2018-1961 

攻擊目標:cpe:/a:ibm:emptoris_contract_management:

參考信息

https://vuldb.com/?id.134188 

https://www.ibm.com/support/docview.wss?uid=ibm10731107 

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201904-1154  

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1961 

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13396 https://exchange.xforce.ibmcloud.com/vulnerabilities/153657  

2.2漏洞(CVE-2018-13990

PHOENIXCONTACT Multiple product Improper Authe ntication Vulnerability CVE-2018-13990

概述:The WebUI of PHOENIX CONTACT FL SWITCH 3xxx, 4xxx, 48xx vers ions prior to 1.35 is vulnerable to brute-force attacks, because of Improper Restriction of Excessive Authentication Attempts. P hoenix Contact FL SWITCH 是德國菲尼克斯電氣(Phoenix Contact)集團的一款工業級以太網交換機。Phoenix Contact FL SWITCH 3xxx 1.35 之前版本、4xxx 1.35 之前版本和48xx 1.35 之前版本中存在安全漏洞,該漏洞源于程序沒有正確地限制身份驗證請求的次數。攻擊者可通過實施暴力破解攻擊利用該漏洞獲取用戶名和密碼,進而獲取訪問權限。

漏洞類型:CVE-2018-13990 

bid:106737 

攻擊目標:  cpe:/h:phoenixcontact:fl_switch_3004t-fx: 

cpe:/o:phoenixcontact:fl_switch_4808e-16fx_sm-4gc_firmware: 

cpe:/o:phoenixcontact:fl_switch_4008t-2sfp_firmware: 

cpe:/h:phoenixcontact:fl_switch_3005t: 

cpe:/o:phoenixcontact:fl_switch_4824e-4gc_firmware: 

cpe:/o:phoenixcontact:fl_switch_3004t-fx_firmware: 

cpe:/o:phoenixcontact:fl_switch_3006t-2fx_firmware: 

cpe:/o:phoenixcontact:fl_switch_4008t-2gt-4fx_sm_firmware: 

cpe:/h:phoenixcontact:fl_switch_4808e-16fx_sm_lc-4gc: 

cpe:/o:phoenixcontact:fl_switch_3005_firmware: 

cpe:/o:phoenixcontact:fl_switch_3012e-2fx_sm_firmware: 

cpe:/h:phoenixcontact:fl_switch_3006t-2fx_st: 

cpe:/h:phoenixcontact:fl_switch_3012e-2fx_sm:

cpe:/h:phoenixcontact:fl_switch_3016e: 

cpe:/h:phoenixcontact:fl_switch_3005: 

cpe:/o:phoenixcontact:fl_switch_4808e-16fx_st-4gc_firmware: 

cpe:/o:phoenixcontact:fl_switch_3006t-2fx_st_firmware: 

cpe:/o:phoenixcontact:fl_switch_4012t-2gt-2fx_st_firmware: 

cpe:/h:phoenixcontact:fl_switch_4808e-16fx_sm-4gc: 

cpe:/o:phoenixcontact:fl_switch_3016e_firmware: 

cpe:/o:phoenixcontact:fl_switch_3008_firmware: 

cpe:/o:phoenixcontact:fl_switch_3004t-fx_st_firmware: 

cpe:/h:phoenixcontact:fl_switch_4008t-2gt-4fx_sm: 

cpe:/h:phoenixcontact:fl_switch_4808e-16fx-4gc: 

cpe:/h:phoenixcontact:fl_switch_3012e-2sfx: 

cpe:/o:phoenixcontact:fl_switch_4800e-24fx-4gc_firmware: 

cpe:/h:phoenixcontact:fl_switch_4824e-4gc: 

cpe:/o:phoenixcontact:fl_switch_4808e-16fx-4gc_firmware: 

cpe:/h:phoenixcontact:fl_switch_3008: 

cpe:/o:phoenixcontact:fl_switch_4800e-24fx_sm-4gc_firmware: 

cpe:/o:phoenixcontact:fl_switch_3012e-2sfx_firmware: 

cpe:/o:phoenixcontact:fl_switch_3005t_firmware: 

cpe:/h:phoenixcontact:fl_switch_4808e-16fx_sm_st-4gc: 

cpe:/h:phoenixcontact:fl_switch_3006t-2fx: 

cpe:/o:phoenixcontact:fl_switch_4000t-8poe-2sfp-r_firmware: 

cpe:/o:phoenixcontact:fl_switch_4808e-16fx_sm_st-4gc_firmwar

cpe:/o:phoenixcontact:fl_switch_3006t-2fx_sm_firmware: 

cpe:/h:phoenixcontact:fl_switch_3006t-2fx_sm: 

cpe:/h:phoenixcontact:fl_switch_4800e-24fx_sm-4gc: 

cpe:/h:phoenixcontact:fl_switch_3008t: 

cpe:/o:phoenixcontact:fl_switch_4012t_2gt_2fx_firmware: 

cpe:/o:phoenixcontact:fl_switch_3016_firmware: 

cpe:/o:phoenixcontact:fl_switch_4808e-16fx_lc-4gc_firmware: 

cpe:/o:phoenixcontact:fl_switch_4808e-16fx_sm_lc-4gc_firmwar

cpe:/h:phoenixcontact:fl_switch_4800e-24fx-4gc: 

cpe:/h:phoenixcontact:fl_switch_3016t: 

cpe:/h:phoenixcontact:fl_switch_4008t-2gt-3fx_sm: 

cpe:/o:phoenixcontact:fl_switch_3008t_firmware: 

cpe:/h:phoenixcontact:fl_switch_4008t-2sfp: 

cpe:/o:phoenixcontact:fl_switch_4008t-2gt-3fx_sm_firmware: 

cpe:/h:phoenixcontact:fl_switch_4012t_2gt_2fx: 

cpe:/h:phoenixcontact:fl_switch_3016: 

cpe:/h:phoenixcontact:fl_switch_3004t-fx_st: 

cpe:/h:phoenixcontact:fl_switch_4012t-2gt-2fx_st: 

cpe:/h:phoenixcontact:fl_switch_4000t-8poe-2sfp-r: 

cpe:/o:phoenixcontact:fl_switch_3016t_firmware: 

cpe:/h:phoenixcontact:fl_switch_4808e-16fx_st-4gc: 

cpe:/h:phoenixcontact:fl_switch_4808e-16fx_lc-4gc: 



參考信息:

https://vuldb.com/?id.134414  

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-13990

http://www.securityfocus.com/bid/106737901-891  

https://ics-cert.us-cert.gov/advisories/ICSA-19-024-02

2.3漏洞(CVE-2019-0708

Remote Desktop Services CVE-2019-0708–遠程代碼執行漏洞

概述:Remote Desktop Services遠程桌面服務,是Windows操作系統自帶的一項服務,主要是通過遠程協助功能來進行控制其他電腦或者被其他電腦控制,解決一些無法在身邊進行操作的作業。遠程桌面協議(RDP)本身不易受攻擊,此漏洞是預身份驗證,不需要用戶交互,未經身份驗證的攻擊者可以使用RDP連接到目標系統并發送精心設計的請求。成功利用此漏洞的攻擊者可以在目標系統上執行任意代碼,攻擊者可以安裝程序,查看、更改或刪除數據,創建具有完全用戶權限的新帳戶等。該漏洞可能影響廣大用戶,危害嚴重。

目前微軟針對該漏洞發布RDP(遠程桌面服務)遠程代碼執行漏洞的補丁更新,對應CVE編號:CVE-2019-0708,相關信息鏈接:

Windows 7Windows Server 2008 R2Windows Server 2008):

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

Windows 2003Windows XP):

https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

Windows 8Windows 10的客戶不受此漏洞的影響)

  

3.最新情報資訊

3.1.勒索軟件

3.1.1.新勒索軟件家族LockerGoga 廣泛用于攻擊

概述:McAfee 最近研究了一個重要的新勒索軟件家族LockerGoga,目前此勒索軟件正在廣泛傳播。LockerGoga 與其他勒索軟件系列之間的主要區別之一就是它能夠產生不同的進程以加速系統中的文件加密。經研究分析發現,LockerGoga 軟件主要有四種版本,以文件標識符來命名,如120015101440 1320 等,攻擊者會根據二進制編譯的時間來決定提取的版本,他們會為不同的目標和活動創建不同版本的LockerGoga。研究中還發現一些LockerGoga 樣本具有數字簽名,這些簽名可以幫助攻擊者繞過系統中的一些安全保護措施。值得注意的是,LockerGoga 的贖金票據中并沒有使用BTC 地址,這意味著受害者必須通過電子郵件直接聯系攻擊者。

應對措施:

(1)對重要文件和數據進行定期非本地備份;

(2)及時升級操作系統及常用軟件補丁,升級殺毒軟件的病毒庫到最新版本。

利用手段:勒索軟件

3.1.2.GandCrab 勒索軟件最新活動,采取多種規避技術完善傳遞機制

概述:Cybereason 安全團隊近日發現一起針對一家日本跨國公司的GandCrab 勒索軟件活動。GandCrab 是當前威脅領域中最流行的勒索軟件之一,主要原因是它遵循勒索軟件即服務(RaaS)商業模式。這使得任何網絡罪犯都能夠通過易于操作的平臺來使用GandCrab 基礎架構,并提供全天候在線支持服務。自2018 年初出現以來,它一直在不斷發展和完善其傳遞方法以逃避檢測。這些技術包括:1.將網絡釣魚電子郵件和武器化的Office 文檔組合在一起,以便進入目標計算機。2.一個多階段無文件感染鏈,使用VBA 代碼,WMI 對象和JavaScript 來刪除勒索軟件;3.利用二進制文件繞過Windows AppLocker 并獲取勒索軟件有效負載;4.從合法的在線文本共享服務中獲取惡意負載,如此次攻擊中使用的pastebin.com

利用手段勒索軟件應對措施

(1)關閉服務器不必要的端口;

(2)對重要的數據文件要進行異地備份;

(3)在終端/服務器部署專業安全防護軟件,及時升級更新病毒庫保持防護軟件的良好運行;

3.2.APT 情報

3.2.1.APT 組織OceanLotus(海蓮花)2019 年第一季度針對中國的攻擊活動披露

概述:海蓮花APT 組織是近年來針對中國大陸的敏感部門進行攻擊的最活躍的APT 組織之一,該組織不斷更新他的攻擊手法和武器庫,以達到繞過安全軟件防御的目的。例如不斷的變換加載方式、混淆方法、多種多樣的釣魚誘餌形式、惡意文件植入方式等,還使用新的Nday 漏洞進行攻擊,如最近攻擊中使用的W inRAR ACE 漏洞(CVE-2018-20250)。該組織的攻擊范圍也在不斷的擴大,除了政府部門、海事機構、商務廳、能源單位等外,研究機構所遭受的攻擊也在增多,而對個人的攻擊,如教授、律師的釣魚攻擊也在不斷的進行。

黑客家族:APT32 

利用手段:釣魚攻擊


.2.2.間諜組織APT3 利用方程式組織工具進行攻擊,在Equation Group 工具集被泄露之前

概述:Buckeye 網絡間諜組織(又名APT3Gothic Panda)自2009 年以來一直活躍,當年它曾發起一系列間諜攻擊,主要針對美國的組織。該組織曾在2010年和2014 的攻擊中使用過零日漏洞CVE-2010-3962,在2016 年的攻擊中,發現Windows 零日漏洞被Buckeye Equation Group 工具一起利用。但是在2017 年以后,Buckeye 組織不再使用方程式的工具集。同時在2017 年,一個自稱為影子經紀人(Shadow Brokers)的神秘團體泄漏了方程式(Equation Grou p)組織的工具,此次事件造成了近年來最重要的網絡安全故事,因為Equatio n Group 被認為是技術上最熟練的間諜組織之一,其工具的發布產生了重大影響,其中一個重要工具,即EternalBlue 漏洞,對2017 WannaCry 勒索軟件的爆發產生了破壞性的影響。但是有意思的是Buckeye 組織使用Equation Group 的工具集是在Shadow Brokers 泄漏前至少一年的時間。

黑客家族:Equation Group,APT3 

利用手段:漏洞利用:CVE-2019-0703

漏洞利用:CVE-2017-0143

漏洞利用:CVE-2014-1776

漏洞利用:CVE-2010-3962 

應對措施:

(1)及時升級操作系統及常用軟件補丁,升級殺毒軟件的病毒庫到最新版本;

(2)不下載未知來源的應用程序,不訪問有潛在風險的網站。

3.3.其他威脅

3.3.1.Oracle Weblogic 漏洞(CVE-2019-2725)用于廣泛攻擊,傳播XMRig Sodinokibi 等惡意軟件

概述:Palo Alto Networks 的研究人員發現了針對Oracle WebLogic 反序列化漏洞(CVE-2019-2725)的攻擊活動,這些活動發生在Oracle 2019 26 日發布的補丁之前。Oracle WebLogic Server 是一種流行的應用程序服務器,用于構建和部署企業Java EE 應用程序。此漏洞一經公開,利用此漏洞的PoC 的惡意活動激增。Unit42 的研究人員已經觀察到利用各種各樣的有效載荷進行攻擊的實例,其中包括的一個新版本的Muhstik botnet,一個新的勒索變體So dinokibi,以及cryptominers 軟件XMRig 等。

利用手段:漏洞利用:CVE-2019-2725

威脅分布:


對措施:

(1)不下載未知來源的應用程序,不訪問有潛在風險的網站;

(2)及時對Oracle Weblogic 漏洞(CVE-2019-2725)打補丁。

(3)在終端/服務器部署專業安全防護軟件,及時升級更新病毒庫保持防護軟件的良好運行;

(4)對重要文件和數據進行定期非本地備份;

3.3.2.Confluence 漏洞CVE-2019-3396 被廣泛利用,傳播挖礦軟件Kerberods

概述:Confluence 是一種廣泛使用的協作和規劃軟件。月份,趨勢科技觀察到其漏洞CVE-2019-3396 用來執行惡意攻擊。安全提供商Alert Logic 還發現了此漏洞被利用傳播Gandcrab 勒索軟件。而研究人員最新發現此漏洞還被用于傳播一個加密貨幣挖礦惡意軟件,其中還包含一個旨在隱藏其活動的rootkit。此次攻擊開始時發送一個遠程命令下載shell 腳本,然后下載挖礦軟件Kerber ods khugepageds,而下載的rookit 不僅用來隱藏挖礦過程,還可以隱藏某些文件和網絡流量,而且它還具有提高機器CPU 利用率的能力。

利用手段:漏洞利用:CVE-2019-3396

漏洞利用: CVE-2019-1003001

漏洞利用:CVE-2 019-1003000

應對措施:

(1)及時更新系統及軟件程序,對重大漏洞及時打補丁;

(2)在終端/服務器部署專業安全防護軟件,及時升級更新病毒庫保持防護軟件的良好運行。


仙林校區地址:南京市亞東新城區文苑路9號 郵編:210023 三牌樓校區地址:南京市新模范馬路66號 郵編:210003 鎖金村校區地址:南京市龍蟠路177號 郵編:210042 蘇ICP備11073489號-1