网络安全通报第四期
发布时间: 2019-05-29 浏览次数: 562 文章来源: 信息化建设与管理办公室

本周网络状态:良好

本周信息安全威胁通告

2019年第4

本周信息安全漏洞威胁整体评价级别为 

  

本周安全态势重点关注:

⚫针对Drupal 远程代码执行漏洞和Apache Struts2 S2-057 远程执行代码漏洞的攻击次数在五一假期后大幅度上升。

⚫黑客组织活跃度大幅上升,需要引起注意。



最新威胁态势:Oracle Weblogic 漏洞(CVE-2019-2725)用于广泛攻击,传播XMRig Sodinokibi 等恶意软件。

微软Remote Desktop Services – 远程代码执行漏洞通告。根据2019515日的安全监测,发现Microsoft WindowsXP2008 R2多个版本均存在Remote Desktop Services远程代码执行漏洞。

  

  

1.最新威胁态势

1.1.网络安全攻击趋势分析

本周安全数据大脑监测到来自127个国家对我方重要系统发起攻击,攻击总数达到9561万次,其中58日攻击量达到顶峰,攻击次数达到1587万次。下图为最近一周的安全攻击趋势监测情况:


.1.1攻击类型分布

安全数据大脑通过对攻击类型分析发现,本周捕获攻击以命令注入攻击、疑似跨站攻击、SQL注入攻击、协议违规、漏洞防护等Web攻击类型为主。其中命令注入攻击类型的占比为40%,攻击次数达到3.8千万次;疑似跨站攻击类型的占比为25%,攻击次数达到2.4千万次;SQL注入攻击类型的占比为7%,攻击次数达到0.7千万次。


要攻击类型介绍:

【疑似跨站攻击】攻击者利用网站漏洞把恶意脚本代码注入到网页中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害用户可能采取Cookies 资料窃取、会话劫持、钓鱼欺骗等各种攻击。攻击风险等级:高。

【命令注入攻击】仅仅需要输入数据的场合,却伴随着数据同时输入了恶意代码,而装载数据的系统对此并未设计良好的过滤过程,导致恶意代码也一并执行,最终导致信息泄露或者正常数据的破坏。攻击风险等级:高。

SQL 注入攻击】web 应用程序对用户输入数据的合法性没有判断,攻击者可以在web 应用程序中事先定义好的查询语句的结尾上添加额外的SQL 句,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。攻击风险等级:高。

1.1.2境外攻击源分布

根据安全数据大脑安全统计分析,本周我方重要系统受到了来自境外攻击源1275 万次攻击,涉及到126 个不同国家,主要境外攻击源来自美国、韩国、柬埔寨,其中来自美国的攻击最多,占境外攻击源攻击数量的72%


.1.3境内攻击源分布

根据安全数据大脑统计分析,本周我方重要系统受到的国内8252 万次攻击,主要攻击源来自于江苏、浙江、北京等区域,这三处的攻击量占所有国内攻击量的57%


.1.4重要漏洞攻击分析

安全数据大脑对重要软件漏洞进行深入跟踪分析,发现针对Thinkphp5.0.X5.1.X 版本远程代码执行漏洞、Apache Struts2 S2-057 远程执行代码漏洞和Drupal 远程代码执行漏洞攻击次数比较多。

  Thinkphp5.0.X5.1.X 版本远程代码执行漏洞攻击趋势跟踪情况


  Apache Struts2 S2-057 远程执行代码漏洞(CVE-2018-11776)攻击趋势跟踪情况


  Drupal 远程代码执行漏洞(CVE-2018-7600)攻击趋势跟踪情况


.2.近期活跃黑客团伙

黑客团伙是一类有组织的黑客攻击,有着更大的攻击性、更强的威胁性和更广的波及面。本周安全数据单脑发现50 个黑客家族活跃痕迹,黑客家族主要来自:Suppobox 木马、Ramnit 蠕虫、Simda 僵尸网络、Banjori 木马、Necurs 僵尸网络等。

1.2.1黑客团伙活跃情况

统计黑客团伙本周活跃情况发现,58日黑客团伙活跃度最高。


.2.2主要活跃黑客团伙

本周主要活跃的黑客团伙有Suppobox 木马、Ramnit 蠕虫、Simda 僵尸网络、Banjori 木马、Necurs 僵尸网络等。


漏洞预警

2.1 漏洞(CVE-2018-1961

IBM EMPTORIS_CONTRACT_MANAGEMENT Informat ion Exposure Vulnerability

概述:IBM Emptoris Contract Management 10.0.0 and 10.1.3.0 could disclo se sensitive information from detailed information from error message s. IBM X-Force ID: 153657. IBM Emptoris Contract Management 是美国IBM 公司的一套可实现合同生命周期自动化的软件。该软件可以自动执行和管理合同生命周期的各个阶段,如从合同及修正案的创建、执行和再协商,到绩效监控、分析和续订。IBM Emptoris Contract Management 10.0.x 版本至10.1.3.x 版本中存在安全漏洞,该漏洞源于程序会生成较详细的错误信息。攻击者可利用该漏洞获取错误信息中的敏感信息。

漏洞类型:CVE-2018-1961 

攻击目标:cpe:/a:ibm:emptoris_contract_management:

参考信息

https://vuldb.com/?id.134188 

https://www.ibm.com/support/docview.wss?uid=ibm10731107 

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201904-1154  

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1961 

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13396 https://exchange.xforce.ibmcloud.com/vulnerabilities/153657  

2.2漏洞(CVE-2018-13990

PHOENIXCONTACT Multiple product Improper Authe ntication Vulnerability CVE-2018-13990

概述:The WebUI of PHOENIX CONTACT FL SWITCH 3xxx, 4xxx, 48xx vers ions prior to 1.35 is vulnerable to brute-force attacks, because of Improper Restriction of Excessive Authentication Attempts. P hoenix Contact FL SWITCH 是德国菲尼克斯电气(Phoenix Contact)集团的一款工业级以太网交换机。Phoenix Contact FL SWITCH 3xxx 1.35 之前版本、4xxx 1.35 之前版本和48xx 1.35 之前版本中存在安全漏洞,该漏洞源于程序没有正确地限制身份验证请求的次数。攻击者可通过实施暴力破解攻击利用该漏洞获取用户名和密码,进而获取访问权限。

漏洞类型:CVE-2018-13990 

bid:106737 

攻击目标:  cpe:/h:phoenixcontact:fl_switch_3004t-fx: 

cpe:/o:phoenixcontact:fl_switch_4808e-16fx_sm-4gc_firmware: 

cpe:/o:phoenixcontact:fl_switch_4008t-2sfp_firmware: 

cpe:/h:phoenixcontact:fl_switch_3005t: 

cpe:/o:phoenixcontact:fl_switch_4824e-4gc_firmware: 

cpe:/o:phoenixcontact:fl_switch_3004t-fx_firmware: 

cpe:/o:phoenixcontact:fl_switch_3006t-2fx_firmware: 

cpe:/o:phoenixcontact:fl_switch_4008t-2gt-4fx_sm_firmware: 

cpe:/h:phoenixcontact:fl_switch_4808e-16fx_sm_lc-4gc: 

cpe:/o:phoenixcontact:fl_switch_3005_firmware: 

cpe:/o:phoenixcontact:fl_switch_3012e-2fx_sm_firmware: 

cpe:/h:phoenixcontact:fl_switch_3006t-2fx_st: 

cpe:/h:phoenixcontact:fl_switch_3012e-2fx_sm:

cpe:/h:phoenixcontact:fl_switch_3016e: 

cpe:/h:phoenixcontact:fl_switch_3005: 

cpe:/o:phoenixcontact:fl_switch_4808e-16fx_st-4gc_firmware: 

cpe:/o:phoenixcontact:fl_switch_3006t-2fx_st_firmware: 

cpe:/o:phoenixcontact:fl_switch_4012t-2gt-2fx_st_firmware: 

cpe:/h:phoenixcontact:fl_switch_4808e-16fx_sm-4gc: 

cpe:/o:phoenixcontact:fl_switch_3016e_firmware: 

cpe:/o:phoenixcontact:fl_switch_3008_firmware: 

cpe:/o:phoenixcontact:fl_switch_3004t-fx_st_firmware: 

cpe:/h:phoenixcontact:fl_switch_4008t-2gt-4fx_sm: 

cpe:/h:phoenixcontact:fl_switch_4808e-16fx-4gc: 

cpe:/h:phoenixcontact:fl_switch_3012e-2sfx: 

cpe:/o:phoenixcontact:fl_switch_4800e-24fx-4gc_firmware: 

cpe:/h:phoenixcontact:fl_switch_4824e-4gc: 

cpe:/o:phoenixcontact:fl_switch_4808e-16fx-4gc_firmware: 

cpe:/h:phoenixcontact:fl_switch_3008: 

cpe:/o:phoenixcontact:fl_switch_4800e-24fx_sm-4gc_firmware: 

cpe:/o:phoenixcontact:fl_switch_3012e-2sfx_firmware: 

cpe:/o:phoenixcontact:fl_switch_3005t_firmware: 

cpe:/h:phoenixcontact:fl_switch_4808e-16fx_sm_st-4gc: 

cpe:/h:phoenixcontact:fl_switch_3006t-2fx: 

cpe:/o:phoenixcontact:fl_switch_4000t-8poe-2sfp-r_firmware: 

cpe:/o:phoenixcontact:fl_switch_4808e-16fx_sm_st-4gc_firmwar

cpe:/o:phoenixcontact:fl_switch_3006t-2fx_sm_firmware: 

cpe:/h:phoenixcontact:fl_switch_3006t-2fx_sm: 

cpe:/h:phoenixcontact:fl_switch_4800e-24fx_sm-4gc: 

cpe:/h:phoenixcontact:fl_switch_3008t: 

cpe:/o:phoenixcontact:fl_switch_4012t_2gt_2fx_firmware: 

cpe:/o:phoenixcontact:fl_switch_3016_firmware: 

cpe:/o:phoenixcontact:fl_switch_4808e-16fx_lc-4gc_firmware: 

cpe:/o:phoenixcontact:fl_switch_4808e-16fx_sm_lc-4gc_firmwar

cpe:/h:phoenixcontact:fl_switch_4800e-24fx-4gc: 

cpe:/h:phoenixcontact:fl_switch_3016t: 

cpe:/h:phoenixcontact:fl_switch_4008t-2gt-3fx_sm: 

cpe:/o:phoenixcontact:fl_switch_3008t_firmware: 

cpe:/h:phoenixcontact:fl_switch_4008t-2sfp: 

cpe:/o:phoenixcontact:fl_switch_4008t-2gt-3fx_sm_firmware: 

cpe:/h:phoenixcontact:fl_switch_4012t_2gt_2fx: 

cpe:/h:phoenixcontact:fl_switch_3016: 

cpe:/h:phoenixcontact:fl_switch_3004t-fx_st: 

cpe:/h:phoenixcontact:fl_switch_4012t-2gt-2fx_st: 

cpe:/h:phoenixcontact:fl_switch_4000t-8poe-2sfp-r: 

cpe:/o:phoenixcontact:fl_switch_3016t_firmware: 

cpe:/h:phoenixcontact:fl_switch_4808e-16fx_st-4gc: 

cpe:/h:phoenixcontact:fl_switch_4808e-16fx_lc-4gc: 



参考信息:

https://vuldb.com/?id.134414  

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-13990

http://www.securityfocus.com/bid/106737http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201901-891  

https://ics-cert.us-cert.gov/advisories/ICSA-19-024-02

2.3漏洞(CVE-2019-0708

Remote Desktop Services CVE-2019-0708–远程代码执行漏洞

概述:Remote Desktop Services远程桌面服务,是Windows操作系统自带的一项服务,主要是通过远程协助功能来进行控制其他电脑或者被其他电脑控制,解决一些无法在身边进行操作的作业。远程桌面协议(RDP)本身不易受攻击,此漏洞是预身份验证,不需要用户交互,未经身份验证的攻击者可以使用RDP连接到目标系统并发送精心设计的请求。成功利用此漏洞的攻击者可以在目标系统上执行任意代码,攻击者可以安装程序,查看、更改或删除数据,创建具有完全用户权限的新帐户等。该漏洞可能影响广大用户,危害严重。

目前微软针对该漏洞发布RDP(远程桌面服务)远程代码执行漏洞的补丁更新,对应CVE编号:CVE-2019-0708,相关信息链接:

Windows 7Windows Server 2008 R2Windows Server 2008):

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

Windows 2003Windows XP):

https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

Windows 8Windows 10的客户不受此漏洞的影响)

  

3.最新情报资讯

3.1.勒索软件

3.1.1.新勒索软件家族LockerGoga 广泛用于攻击

概述:McAfee 最近研究了一个重要的新勒索软件家族LockerGoga,目前此勒索软件正在广泛传播。LockerGoga 与其他勒索软件系列之间的主要区别之一就是它能够产生不同的进程以加速系统中的文件加密。经研究分析发现,LockerGoga 软件主要有四种版本,以文件标识符来命名,如120015101440 1320 等,攻击者会根据二进制编译的时间来决定提取的版本,他们会为不同的目标和活动创建不同版本的LockerGoga。研究中还发现一些LockerGoga 样本具有数字签名,这些签名可以帮助攻击者绕过系统中的一些安全保护措施。值得注意的是,LockerGoga 的赎金票据中并没有使用BTC 地址,这意味着受害者必须通过电子邮件直接联系攻击者。

应对措施:

(1)对重要文件和数据进行定期非本地备份;

(2)及时升级操作系统及常用软件补丁,升级杀毒软件的病毒库到最新版本。

利用手段:勒索软件

3.1.2.GandCrab 勒索软件最新活动,采取多种规避技术完善传递机制

概述:Cybereason 安全团队近日发现一起针对一家日本跨国公司的GandCrab 勒索软件活动。GandCrab 是当前威胁领域中最流行的勒索软件之一,主要原因是它遵循勒索软件即服务(RaaS)商业模式。这使得任何网络罪犯都能够通过易于操作的平台来使用GandCrab 基础架构,并提供全天候在线支持服务。自2018 年初出现以来,它一直在不断发展和完善其传递方法以逃避检测。这些技术包括:1.将网络钓鱼电子邮件和武器化的Office 文档组合在一起,以便进入目标计算机。2.一个多阶段无文件感染链,使用VBA 代码,WMI 对象和JavaScript 来删除勒索软件;3.利用二进制文件绕过Windows AppLocker 并获取勒索软件有效负载;4.从合法的在线文本共享服务中获取恶意负载,如此次攻击中使用的pastebin.com

利用手段勒索软件应对措施

(1)关闭服务器不必要的端口;

(2)对重要的数据文件要进行异地备份;

(3)在终端/服务器部署专业安全防护软件,及时升级更新病毒库保持防护软件的良好运行;

3.2.APT 情报

3.2.1.APT 组织OceanLotus(海莲花)2019 年第一季度针对中国的攻击活动披露

概述:海莲花APT 组织是近年来针对中国大陆的敏感部门进行攻击的最活跃的APT 组织之一,该组织不断更新他的攻击手法和武器库,以达到绕过安全软件防御的目的。例如不断的变换加载方式、混淆方法、多种多样的钓鱼诱饵形式、恶意文件植入方式等,还使用新的Nday 漏洞进行攻击,如最近攻击中使用的W inRAR ACE 漏洞(CVE-2018-20250)。该组织的攻击范围也在不断的扩大,除了政府部门、海事机构、商务厅、能源单位等外,研究机构所遭受的攻击也在增多,而对个人的攻击,如教授、律师的钓鱼攻击也在不断的进行。

黑客家族:APT32 

利用手段:钓鱼攻击


.2.2.间谍组织APT3 利用方程式组织工具进行攻击,在Equation Group 工具集被泄露之前

概述:Buckeye 网络间谍组织(又名APT3Gothic Panda)自2009 年以来一直活跃,当年它曾发起一系列间谍攻击,主要针对美国的组织。该组织曾在2010年和2014 的攻击中使用过零日漏洞CVE-2010-3962,在2016 年的攻击中,发现Windows 零日漏洞被Buckeye Equation Group 工具一起利用。但是在2017 年以后,Buckeye 组织不再使用方程式的工具集。同时在2017 年,一个自称为影子经纪人(Shadow Brokers)的神秘团体泄漏了方程式(Equation Grou p)组织的工具,此次事件造成了近年来最重要的网络安全故事,因为Equatio n Group 被认为是技术上最熟练的间谍组织之一,其工具的发布产生了重大影响,其中一个重要工具,即EternalBlue 漏洞,对2017 WannaCry 勒索软件的爆发产生了破坏性的影响。但是有意思的是Buckeye 组织使用Equation Group 的工具集是在Shadow Brokers 泄漏前至少一年的时间。

黑客家族:Equation Group,APT3 

利用手段:漏洞利用:CVE-2019-0703

漏洞利用:CVE-2017-0143

漏洞利用:CVE-2014-1776

漏洞利用:CVE-2010-3962 

应对措施:

(1)及时升级操作系统及常用软件补丁,升级杀毒软件的病毒库到最新版本;

(2)不下载未知来源的应用程序,不访问有潜在风险的网站。

3.3.其他威胁

3.3.1.Oracle Weblogic 漏洞(CVE-2019-2725)用于广泛攻击,传播XMRig Sodinokibi 等恶意软件

概述:Palo Alto Networks 的研究人员发现了针对Oracle WebLogic 反序列化漏洞(CVE-2019-2725)的攻击活动,这些活动发生在Oracle 2019 26 日发布的补丁之前。Oracle WebLogic Server 是一种流行的应用程序服务器,用于构建和部署企业Java EE 应用程序。此漏洞一经公开,利用此漏洞的PoC 的恶意活动激增。Unit42 的研究人员已经观察到利用各种各样的有效载荷进行攻击的实例,其中包括的一个新版本的Muhstik botnet,一个新的勒索变体So dinokibi,以及cryptominers 软件XMRig 等。

利用手段:漏洞利用:CVE-2019-2725

威胁分布:


对措施:

(1)不下载未知来源的应用程序,不访问有潜在风险的网站;

(2)及时对Oracle Weblogic 漏洞(CVE-2019-2725)打补丁。

(3)在终端/服务器部署专业安全防护软件,及时升级更新病毒库保持防护软件的良好运行;

(4)对重要文件和数据进行定期非本地备份;

3.3.2.Confluence 漏洞CVE-2019-3396 被广泛利用,传播挖矿软件Kerberods

概述:Confluence 是一种广泛使用的协作和规划软件。月份,趋势科技观察到其漏洞CVE-2019-3396 用来执行恶意攻击。安全提供商Alert Logic 还发现了此漏洞被利用传播Gandcrab 勒索软件。而研究人员最新发现此漏洞还被用于传播一个加密货币挖矿恶意软件,其中还包含一个旨在隐藏其活动的rootkit。此次攻击开始时发送一个远程命令下载shell 脚本,然后下载挖矿软件Kerber ods khugepageds,而下载的rookit 不仅用来隐藏挖矿过程,还可以隐藏某些文件和网络流量,而且它还具有提高机器CPU 利用率的能力。

利用手段:漏洞利用:CVE-2019-3396

漏洞利用: CVE-2019-1003001

漏洞利用:CVE-2 019-1003000

应对措施:

(1)及时更新系统及软件程序,对重大漏洞及时打补丁;

(2)在终端/服务器部署专业安全防护软件,及时升级更新病毒库保持防护软件的良好运行。


仙林校区地址:南京市亚东新城区文苑路9号 邮编:210023 三牌楼校区地址:南京市新模范马路66号 邮编:210003 锁金村校区地址:南京市龙蟠路177号 邮编:210042 苏ICP备11073489号-1