6月發(fā)現(xiàn)規(guī)模達(dá)百萬(wàn)級(jí)的僵尸網(wǎng)絡(luò)

文/鄭先偉

6月發(fā)現(xiàn)規(guī)模達(dá)百萬(wàn)級(jí)的僵尸網(wǎng)絡(luò)

文/鄭先偉

6月教育網(wǎng)運(yùn)行正常，未發(fā)現(xiàn)影響嚴(yán)重的安全事件。隨著高考的結(jié)束，一年一度的高招工作開(kāi)始了，這期間高校的網(wǎng)站是考生及家長(zhǎng)的訪(fǎng)問(wèn)熱點(diǎn)，同時(shí)也是攻擊者的首選攻擊目標(biāo)，因此近期學(xué)校網(wǎng)站被攻擊的風(fēng)險(xiǎn)會(huì)大大提升，學(xué)校管理員應(yīng)該加強(qiáng)對(duì)校園網(wǎng)的安全監(jiān)管和巡查，保證各類(lèi)網(wǎng)站不被入侵篡改，為廣大考生提供一個(gè)良好的網(wǎng)絡(luò)訪(fǎng)問(wèn)環(huán)境。

近期一個(gè)由暗云III木馬病毒構(gòu)建的大規(guī)模僵尸網(wǎng)絡(luò)被安全廠(chǎng)商發(fā)現(xiàn)，該僵尸網(wǎng)絡(luò)的規(guī)模達(dá)百萬(wàn)級(jí)。暗云系列木馬病毒是迄今國(guó)內(nèi)檢測(cè)到技術(shù)最為復(fù)雜的木馬后門(mén)病毒之一。該木馬通過(guò)網(wǎng)絡(luò)下載傳播（游戲下載器、游戲外掛等）。病毒感染系統(tǒng)后會(huì)修改硬盤(pán)的引導(dǎo)分區(qū)，將病毒寫(xiě)入MBR主引導(dǎo)區(qū)。木馬每次隨系統(tǒng)引導(dǎo)啟動(dòng)，從網(wǎng)絡(luò)下載有效載荷和指令后在內(nèi)存中運(yùn)行，不會(huì)在操作系統(tǒng)里留存病毒文件。由于木馬只在內(nèi)存里運(yùn)行且病毒文件寫(xiě)在引導(dǎo)分區(qū)里，給病毒的檢測(cè)和查殺帶來(lái)了一定的難度。此次之所以被反病毒廠(chǎng)商發(fā)現(xiàn)是因?yàn)樵撃抉R操控的僵尸網(wǎng)絡(luò)在五月下旬發(fā)動(dòng)過(guò)兩次大規(guī)模的DDOS攻擊，安全廠(chǎng)商在分析攻擊流量時(shí)發(fā)現(xiàn)這些攻擊流量均是由真實(shí)的主機(jī)發(fā)起的，追蹤這些攻擊主機(jī)后才發(fā)現(xiàn)存在這個(gè)木馬病毒。我們?cè)趯?duì)該病毒的一些網(wǎng)絡(luò)特征分析后發(fā)現(xiàn)高校網(wǎng)絡(luò)內(nèi)也存在一批被該木馬病毒控制的主機(jī)，不過(guò)數(shù)量上并不是特別的多。

1. 微軟6月的例行安全修補(bǔ)公告中披露了兩個(gè)高危漏洞，Windows LNK文件遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2017-8464）和Windows搜索遠(yuǎn)程命令執(zhí)行漏洞（CVE-2017-8543）。這兩個(gè)漏洞都可以用來(lái)進(jìn)行蠕蟲(chóng)傳播，并且目前這兩個(gè)漏洞都已經(jīng)出現(xiàn)被利用的跡象。Windows LNK文件遠(yuǎn)程代碼執(zhí)行漏洞影響除Windows XP外的全線(xiàn)Windows產(chǎn)品（包括Windows Vista、Windows8及 8.1、Window 7、Windows 10、Windows Server 2003、Windows Server 2008、Windows Server 2012及Windows Server 2016）。攻擊者可以通過(guò)U盤(pán)、郵件附件及文件共享等方式向用戶(hù)發(fā)送包含惡意LNK及其對(duì)應(yīng)的二進(jìn)制惡意程序，當(dāng)用戶(hù)在有漏洞的Windows系統(tǒng)中瀏覽或預(yù)覽該惡意LNK文件就可能導(dǎo)致惡意程序被自動(dòng)運(yùn)行。Windows搜索遠(yuǎn)程代碼執(zhí)行漏洞影響Windows全線(xiàn)產(chǎn)品（包括Windows XP、Windows Vista、Windows 8及 8.1、Window 7、Windows 10、Windows Server 2003、Windows Server 2008、Windows Server 2012及Windows Server 2016）。攻擊者可以向Windows Search服務(wù)發(fā)送特定格式的SMB協(xié)議消息就可能觸發(fā)該漏洞，成功利用該漏洞攻擊者以系統(tǒng)權(quán)限在系統(tǒng)上執(zhí)行任意命令。微軟已經(jīng)針對(duì)上述兩個(gè)漏洞發(fā)布了補(bǔ)丁程序，還在支持范圍的操作系統(tǒng)版本可以通過(guò)系統(tǒng)的Update功能自動(dòng)安裝相應(yīng)補(bǔ)丁。為了避免漏洞被蠕蟲(chóng)病毒利用，微軟為已經(jīng)停止服務(wù)的操作系統(tǒng)（包括Windows XP、Windows Vista、 Windows 8及Windows Server 2003）也發(fā)布了補(bǔ)丁程序，不過(guò)這些系統(tǒng)無(wú)法使用自動(dòng)更新安裝補(bǔ)丁，只能手動(dòng)下載相應(yīng)補(bǔ)丁安裝。補(bǔ)丁的下載地址：https://support. microsoft.com/zh-cn/help/4025687/microsoftsecurity-advisory-4025685-guidance-forolder-platforms。

2. Weblogic Server是Oracle公司開(kāi)發(fā)的一套WEB解決方案，主要是由JAVA程序開(kāi)發(fā)。之前JAVA 反序列化漏洞（CVE-2015-4852）被曝出來(lái)時(shí)，Oracle公司為Weblogic開(kāi)了專(zhuān)門(mén)針對(duì)該漏洞的補(bǔ)丁程序。不過(guò)最近有安全公司發(fā)現(xiàn)Oracle公司開(kāi)發(fā)的該補(bǔ)丁是通過(guò)黑名單機(jī)制來(lái)修補(bǔ)的，而之前補(bǔ)丁中的黑名單列表并不全面，通過(guò)一些不在黑名單中的反序列化調(diào)用仍然可以利用該漏洞。漏洞影響Oracle WebLogic Server 10.3.6.0、12.1.3.0、12.2.1.0、12.2.1.1及之前版本。目前廠(chǎng)商已經(jīng)針對(duì)該漏洞發(fā)布了新的補(bǔ)丁程序，建議使用Weblogic Server的管理員盡快安裝相應(yīng)補(bǔ)丁程序。補(bǔ)丁的信息請(qǐng)參見(jiàn)：http:// www.oracle.com/technetwork/security-advisory/ cpujan2017-2881727.html。

（責(zé)編：高錦）

2017年5～6月安全投訴事件統(tǒng)計(jì)

安全提示

為防范感染暗云系列木馬病毒，建議用戶(hù)做到以下幾點(diǎn)：

1. 安裝有效的防病毒軟件，并保持病毒庫(kù)升級(jí)到最新；

2. 使用正版操作系統(tǒng)，并及時(shí)更新補(bǔ)丁程序；3. 不隨便在網(wǎng)絡(luò)上下載程序運(yùn)行，尤其是游戲外掛及插件等；

4. 定期備份系統(tǒng)中的重要文件；

5. 使用安全廠(chǎng)商提供的專(zhuān)殺工具定期檢查掃描。

（作者單位為中國(guó)教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）