Ubuntu wordpress apache shell java centos nginx php 编程 云计算 mysql Android 开源 程序员 微软 linux Firefox google Windows Python

遊戲安全資訊精選 2017年第十三期 Typecho前臺無限制Getshell漏洞預警,勒索軟件市場正在呈爆炸式增長

0e2605beda5386c9bd151bbc132da6d1279b929d

 

【本周游戏行业DDoS攻击态势】

 

3c2b9ed7e650115548ac24e9ac2c487c9b1a4a8d
 

據阿裏雲DDoS監控中心數據顯示,近期DDoS 攻擊增加明顯,主要攻擊目標是遊戲和線上推廣行業的廠商。請請相關的用戶做好DDoS 攻擊的防護措施。

【遊戲行業安全動態】

Recorded Future稱美國在漏洞報告方面落後中國:《The Dragon Is Winning:Lags Behind Chinese Vulnerability Reporting》 點擊查看原文

概要:美國國家漏洞庫(NVD)中國國家漏洞庫(CNNVD)的漏洞首次披露時間對比:美國33天,中國13天,這意味著,雖然中國的CVEs在管理上沒有完全統一化,而是從全網搜集,但比美國報告漏洞的時間更快(也許正是因為全網搜集的原因,因為美國是自願提交)。

報告建議美國的漏洞庫應該集成中國的漏洞數據,1746個CVEs在中國的漏洞庫中找得到,而在美國數據庫中沒有。

研究發現:勒索軟件市場正在呈爆炸式增長 點擊查看原文

概要:Carbon Black研究人員在過去一年,監測了全球21個頂級暗網平臺,研究發現勒索軟件的銷售量增長了2502%,目前全球有超過6300個平臺提供勒索軟件交易。勒索軟件的總銷售金額達到了620萬美元,比上一年總銷售額多了25萬美元。

點評:勒索軟件市場的不斷擴大,一方面是由於一些工具讓匿名變得更加輕松(比如比特幣和Tor代理等),另一方面是因為勒索軟件不斷擴散,讓許多人都可以輕松發起非法交易,勒索別人。報告表示:“很多地下勒索軟件經濟已經變成了一個類似於商業軟件的行業,甚至包括了開發、技術支持、分銷、質保和客服等‘一條龍’服務。”

【相關安全事件】

Bad Rabbit(壞兔子)攻擊預警和安全建議 點擊查看原文

概要:2017年10月24日,國外媒體報道出現了一種新的勒索病毒——Bad Rabbit(壞兔子)通過水坑攻擊將惡意代碼植入到合法網站,偽裝成Adobe Flash Player軟件升級更新彈窗,誘騙用戶主動下載並安裝運行惡意程序。該程序可以加密文檔類型、數據庫文件、虛擬機文件等類型文件,同時還會使用賬號弱口令密碼掃描內網和SMB共享服務獲取登錄憑證嘗試登錄和感染內網主機,對業務存在高安全風險。

點評:BadRabbit(壞兔子)勒索軟件通過入侵某合法新聞媒體網站,該媒體在烏克蘭,土耳其,保加利亞,俄羅斯均有分網站。在受害者訪問時會被引導安裝一個偽裝的flash安裝程序(文件名為 install_flash_player. exe),用戶一旦點擊安裝後就會被植入“壞兔子”勒索病毒。 


勒索病毒通過Windows局域網共享協議傳播(通過IPC$、ADMIN$連接),如果同局域網已有人中招,並且開啟了共享服務,可能會造成內網擴散。 勒索病毒通過讀取已經中招電腦的當前用戶密碼和內置的弱口令列表傳播,如果同局域網已有人中招,並且大家密碼相同或是在列表中的弱密碼,會有傳播影響。 勒索病毒暫未發現通過系統漏洞傳播,因此它反而可以覆蓋所有的Windows系統,而不限於只存在漏洞的系統。 

 

安全建議方案:該勒索病毒並非像今年5月12日的WannaCry一樣利用Windows SMB 0day漏洞傳播,但仍存在較大的安全風險,為了避免遭受影響,建議所有企業和機構按照以下措施排查自身業務: 

(1)常備份數據 目前病毒樣本已公開,新的變種可能會出現,建議開發或運維人員使用自動快照或人工備份方式對數據進行全備份,並養成備份好重要文件的習慣。 

(2)安裝防病毒軟件 Windows服務器上安裝必要的防病毒軟件,並確保更新殺毒軟件病毒庫,以便能檢測到該勒索病毒。

(3)對操作系統和服務進行加固 對服務器操作系統及服務軟件進行安全加固,確保無高風險安全漏洞或不安全的配置項。 

(4)配置嚴格的網絡訪問控制策略 使用安全組策略或系統自帶防火墻功能,限制ECS向外訪問(outbound)185.149.120.3或1dnscontrol.com域名訪問,同時對ECS、SLB服務的其他端口(例如:445、139、137等端口)進行內網出入方向的訪問控制,防止暴露不必要的端口,為黑客提供利用條件。

(5)禁止下載安裝非官方軟件

建議用戶到官網下載軟件安裝Adobe Flash Player,所有軟件下載後使用防病毒軟件進行查殺。

 

詳細安全建議: 點擊查看原文  

 

Typecho前臺無限制Getshell漏洞 點擊查看原文

概要:2017年10月25日,阿裏雲安全情報中心監測到國內博客軟件Typecho存在前臺無限制getshell漏洞,攻擊者可以直接遠程利用該漏洞無限制執行代碼,獲取webshell,從而導致黑客獲取網站權限,目前該漏洞利用PoC已經公開,漏洞風險為高危。 

點評:Typecho是一個簡單,輕巧的博客程序。基於PHP,使用多種數據庫(mysql,PostgreSQL,SQLite)儲存數據。在GPL Version 2許可證下發行,是一個開源的程序,目前使用SVN來做版本管理。 

漏洞影響範圍:  Typecho <0.9版本 

漏洞檢測:  開發人員檢查是否使用了受影響版本範圍內的Typecho,並檢查install目錄是否存在。 

漏洞修復建議(或緩解措施):  (1)緊急規避措施:刪除install.php文件;(2)及時同步官方分支,更新代碼到最新版本。

 

延伸阅读

    评论