安全圈的那些事黑客们也会搞娱乐.docx

1、安全圈的那些事黑客们也会搞娱乐Chinese2008年安全圈的那些事April 3rd, 2009 by Richard , 66 Views , 【写在前面的话】其实2008年已经过去3个月了，其实这篇博客是一个“续貂”之作，源于皓月的2008盘点。我只是取了一个巧，悄悄增添了一些陋见和博客广告，狗尾貂皮大家不得不混而读之，呵呵。本文旨在于对2008信息安全业界及安全技术的演进趋势加以整理，方便大家各位能够较为清晰的加以回顾。为确保适合于不同读者阅读，本期盘点以时间顺序并分事件篇与工具篇加以阐述。不详之处，还望多指点批评。2008年1月事件本月最值得关注的安全漏洞集中于一个微软Excel 0

2、Day漏洞，黑客可利垃圾邮件对该漏洞进行攻击，如若成功，则会成功获得与当前用户相同的权限，而其影响范围几乎波及当前所有主流Office版本。这是进入2008年后对对Office出现的第一个漏洞，而这距离微软上一次发布Office升级补丁尚不足两个月时间。由此可见，这场残酷的攻防战中的时间差已经缩短到以以月、甚至以周为计算单位。除此之外，美国计算机应急响应处理中心US-Cert发布警告由于网络设备中UPnP支持功能中存在漏洞，黑客可以狗仔特定的Flash文件，成功实现对路由器、网络摄像机、打印机、移动电话等所有支持UPnP的网络设备进行重新配置或进行控制。这一攻击手法最直接的威胁就是对用户路由器

3、主DNS服务器地址的修改，从而劫持用户的数据流，并发起钓鱼/欺诈等类似攻击。当然，针对硬件进行的攻击还不限于此；联想到历史上出现过的被恶意代码感染的iPod、驻有rootkit的Sony CD-R等以及著名的电脑制造商Asus生产的Eee Box电脑在2008年的10月2日在日本发售当天即发现被恶意代码感染，可见恶意代码的感染对象远不仅仅局限于人们所熟知的操作系统或常见设备，而这一势头正呈现出愈演愈烈之势。有数据为证：芬兰的反恶意代码厂商F-Secure也在本月发布了恶意代码的数量统计报告，其声称统计数量已经超过50万条；Mcafee也发布声明其查杀的恶意代码数量达到了36万个；来自国内的反恶

4、意代码厂商安天实验室的数据表明，截至08年1月26日，其捕获的恶意代码数量也已达到2522241个。工具本月有更新或发布的安全工具有：Metasploit Framework v3.1简介：一款功能强大的开源自动化渗透测试工具，截至到笔者成稿之日，已发布到3.2版本BackTrack Live Hacking CD BETA 3简介：一款安全人员与黑客必备的攻击工具包，可直接由光盘引导启动，集成数百种安全工具，www.remote-exploit.org/backtrack.htm2008年2月事件本月微软发布了超过11个补丁，一时间风声鹤唳；但这还不是最可怕的，来自Mcafee的研究发现一个

5、攻击Adobe PDF Reader漏洞的利用程序，可利用精心构造的恶意PDF触发reader中的javascript漏洞，从而下载攻击Payload，由此可见随着微软补丁与安全方面的投入增强，攻击者已经越来越多的将目光转向用户系统上常见的第三方软件，这意味着攻击开始产生转变，从“以系统为目标”转向“以应用为目标”。本月在美国华盛顿召开的著名黑客大会Blachhat上，来自各国的攻击人员再次公开了更多新颖的攻击手法。例如针对RFID进行的攻击已经简化到利用一段可从互联网上公开下载的攻击程序以及一台最普通的读卡器（不到1000人民币）就可以成功的读取各种卡片上的隐私信息，并进行复制及修改等活动，

6、尤其是非加密信息更是轻而易举，不过，更为安全技术人员所津津乐道的，则是著名的“冰冻内存入侵Vista”攻击手法，莫非以后的黑客还需要随身携带液氮以迅速制冷？工具本月有更新或发布的安全工具有：Russix - LiveCD Linux Distro for Wireless Penetration Testing & WEP Cracking简介：用于无线渗透测试及WEP破解的LiveCD安全工具包PHPIDS简介：用于对基于PHP开发的Web应用进行入侵检测的安全中间件，简单易用。http:/php-ids.org/2008年3月事件本月一家独立的反病毒软件评测机构AV-test.org发布的

7、最新评测报告表明：包括Symantec、Sophos、Mcafee等在内的30款反病毒软件在检测和清除Rootkit类恶意软件方面的能力仍然较弱。专业用户在碰到此类rootkit时，往往还需要借助第三方Gmer、Sysinternals等类似工具结合专业知识方可有效清除。除了Rootkit攻击之外，本月出现了2008年第一次针对互联网上站点进行的大规模攻击浪潮，此次共波及超过20万的页面（Mcafee统计数据），其感染速度之快，影响范围之广，显然多少有点出乎业界的预料。黑客很显然利用了搜索引擎以及蠕虫机制来自动扫描特定页面，并攻击存在漏洞的页面然后植入恶意代码，整个过程完全自动化，几乎无需人工

8、干预。这给了反病毒厂商很大的压力，矛与盾之间出现了严重的不对称。与此同时，截至到2008年3月29日，安天实验室截获的恶意代码样本数量已经达到了3301311个。工具本月有更新或发布的安全工具有：Goolag - GUI Tool for Google Hacking简介：一个用于Google Hacking的GUI工具，同类工具可参考Apollo v3.0，GHDB等www.goolag.orgGoolag - GUI Tool for Google Hacking简介：一个用于对大多数通用网络设备的配置文件进行安全审计的工具，版本号0.11.5http:/nipper.titania.co

9、.uk/2008年4月事件本月微软发布了MS08021公告，针对Windows GDI远程代码执行（EMF/WMF）漏洞发布了对应的补丁；同期，Adobe也发布了新版本的Flash Player媒体播放器，修正了数个关键漏洞。在旧金山举行的RSA 2008安全会议上，一位安全研究人员发布的针对僵尸网络的研究报告称，Kraken僵尸网络已经达到40万台机器的规模，且很难被现有的反病毒软件所检测到。然而，早在2007年，在国内即已出超过100万台的地下僵尸网络；当然，都是以牟取非法经济利益为根本目的。除了牟取经济利益，黑客同样也抱有一定的政治目的。本月如火如荼的美国总统候选人竞赛中，黑客利用奥巴马

10、网站上的xss跨站漏洞成功的将访问者重定向至希拉里的网站之上。权当是一个恶作剧吧，因为我们知道即使如此，奥巴马依旧成功入主白宫。本月PCI-DSS 1.2发布（另外，在本月开始了“网络信息安全度量和考核指标体系”（工具本月有更新或发布的安全工具有：Wireshark v1.0.0简介：一款跨平台的协议分析工具，功能强大，易于使用。就是以前大家都使用的那个了。呵呵www.wireshark.orgWSGW Web Security Gateway for Secure Apache简介：针对Apache服务器的一个安全中间件。2008年5月事件本月Yahoo与Mcafee合作推出安全搜索服务Se

11、archScan，其基于Mcafee现有的SiteAdvisor技术，可自动识别Yahoo搜索结果中包含有广告软件、恶意软件、钓鱼攻击以及垃圾邮件相关的网站，并以显著形式加以标注。事实上，Google已经提供Stopbadware.org类似服务，由此证明搜索引擎上提供安全访问建议的行为已经开始流行起来。然而，对于国内安全厂商来说，与搜索引擎的合作仍停留摸索阶段。直到08年的11月中旬，一支国内的小团队才在互联网上发布了可对部分搜索结果进行安全标注的锐甲Araymor安全客户端，但其因为缺乏与主流搜索引擎厂商的合作机制，在结果的识别上仍处于较为初级的阶段。Core Security的安全研究人

12、员发布了针对Cisco路由器进行攻击的Rootkit程序，一时间，天下大乱。因为这一攻击动摇了互联网的基石，对抗本身更趋于扁平化，原本以为固若金汤的网络设备同样存在着阿基里斯之踵。无独有偶，为了证明IT巨头不输给专业安全厂商的研究能力，HP安全研究人员也公开了一种称为“永久性拒绝服务攻击PDOS”针对网络设备的新攻击方法，其通过对网络设备的firmware固件进行改写而摧毁、破坏目标网络设备的正常功能，甚至留下后门程序、DNS欺骗等进一步攻击。提到硬件，延伸来看，基础设施同样面临着非常严重的风险。例如在国家电网SG186电力信息化推进过程中，对多个地区的电力信息网络，尤其是涉及生产以及重要管理

13、的信息网络进行的安全评估中，均发现有数十项、甚至百余项安全风险。当然，美国北美电力公司的安全负责人同样在对美国众议院的汇报中同样提及其电力信息系统中存在可被黑客利用致使造成大面积停电的严重事故。防患于未然，安全评估应称为一个常态的管理程序，其对象应由域、边界、网络、主机逐步扩展到应用层面，进行更为全面的安全评估与加固，以尽可能管控潜在的风险。毫无争议，本月最大的安全事件：汶川5.12大地震，谨向在地震中遇难的同胞致以最为深切的哀悼。同时也为灾难中我们的同胞、政府、公司、同事、朋友展现的万众一心感到激动和自豪。这种感觉在过去的将近一年的时间了一直激励者自己。工具本月有更新或发布的安全工具有：SI

14、PVicious v0.2.3 - VoIP/SIP Auditing Toolkit简介：一个可用于对基于SIP软交换协议的VoIP系统安全性进行审计的工具集。Xprobe2 - Active OS Fingerprinting Tool简介：一个可与著名安全扫描枪Nmap相媲美的强大的主动操作系统指纹识别工具。2008年6月事件截至到上月的31日为止，安天实验室捕获的恶意代码样本数量为4936402个。Mcafee在4日发布的安全报告称，香港、中国大陆分别占据恶意网站数量榜的冠亚军，基于Siteadvisor所检测的超过1000万网站中，香港占到了19.2%，而大陆则占到了11%。这与我国

15、在信息安全以及隐私保护方面的立法较为迟缓，虚拟财产所有权界定不清等有直接关系，同时傻瓜式的黑客工具和教程的出现，地下漏洞交易市场的日益火爆也使得犯罪的门槛进一步降低。大量域名和主机托管服务商并不对注册人员的真实身份和注册服务用途进行严格验证，因此就使得恶意网站数量急剧上升。11日，“zlob蠕虫”被捕获，其能够自动扫描网络上是否存在路由器，如扫描到存活路由器，就会进行字典口令猜解攻击，进而修改DNS设置从而实现DNS劫持攻击；这一蠕虫对采用路由器共享上网的小型内部网络威胁很大。同期，反病毒厂商还捕获到了利用奥运名义传播的Storm蠕虫，其发送的电子邮件中伪称北京奥运会将因为四川地震的损失而导致

16、延误或取消，并附带一个伪装成视频文件的连接，实质则是一个beijing.exe的恶意可执行文件。利用奥运进行传播利用了人们的好奇心，而又有汶川大地震这样的焦点，因此更容易欺骗成功。19日，Firefox 3在正式发布不到24小时内，先后即有三个安全研究人员从不同渠道公开其存在的严重漏洞。浏览器的漏洞始终是应用层最为黑客所关注的目标之一，而随着Firefox份额的上升、用户数的增加，对应的安全漏洞势必也将出现，是否能够及时响应安全漏洞，并对系统级与之相关的安全问题有敏锐的洞察力与处置能力，这是一个严重的考验。Mozilla并不具备这样完整的能力，而国内的诸多第三方基于IE内核的各种浏览器开发团队

17、是否能具备此种能力呢？不得而知。360奇虎推出的“安全浏览器”以及瑞星推出的“卡卡上网助手”则是国内安全厂商在浏览器安全方面的一些尝试，真正效果如何，尚待实践中进一步检验。本月开始写另外一个关于“架构师”的话题系列。这个话题有感于在架构师招聘和工作中的一些感想。它并不是专门写给信息网络安全的，而是较为普遍的一个讨论。请访问博客中的“架构师”标签（工具本月有更新或发布的安全工具有：WikiScanner - Find Interesting Anonymous Edits on Wikipedia简介：一个可对Wiki百科上匿名编辑条文进行扫描的小工具，适合于进行Wiki舆情监控。http:/w

18、ikiscanner.virgil.gr/Lynis - Security & System Auditing Tool for UNIX/Linux简介：一个用于UNIX或Linux的安全与系统审计工具。http:/www.rootkit.nl/projects/lynis.html2008年7月事件Gartner一份报告声称基于云计算技术的安全服务将会在未来五年内有长足的发展，其每年增长速度可达60%到80%。于是乎，金山三维立体防御体系、瑞星云安全、趋势云安全等都大行其道。殊不知，“云之初，本无奈”，Google之所以被迫采用类似技术是因为其创立之初缺少硬件环境支撑，因而被逼无奈之下用数

19、台计算机分布式存储处理任务，进而延伸称为迄今为止的数万台计算机并行计算，号称云计算之鼻祖。那么安全厂商是因为什么呢？恐怕不是一个硬件环境的支撑问题就能解释的了。本月17日，Oracle发布了一个包含45个补丁在内，修复了23个Oracle产品中存在的不同等级的安全漏洞。为什么需要对此加以重视？因为往往数据库应用在企业中占据着非常重要的地位，一般IT管理人员往往不敢轻易对其实施补丁升级操作，而如升级过程中出现业务中断或数据丢失，这一损失很难接受。因此如何部署补丁，如何确保业务不致中断，如何提高安全性，对于企业安全管理人员来说，都是一个迫在眉睫的问题。推而广之，前者是针对数据库的安全问题，那么针对

20、网络的安全风险如何评估呢，又该如何对信息系统中存在的安全风险加以控制呢？本月美国政府下属的研究机构先后发布两项研究成果，一个是一种新的将攻击图Attack Graph与国家漏洞数据库NVD相结合的网络风险评估方法，另一个是一份编号为SP800-53A的联邦信息系统安全控制评估指导的指南性稳定，从而实现对风险的评估以及控制的评估。工具本月有更新或发布的安全工具有：FWAuto v1.1 - Firewall Auditing & Ruleset Analyzer Tool简介：一个可对Cisco PIX防火墙进行审计、规则集进行分析的Perl脚本集。ratproxy - Passive Web

21、Application Security Audit Tool简介：一个半自动化的、被动web应用安全审计工具。2008年8月事件由于本月利用微软Access Snapshot Viewer ActiveX漏洞的攻击在全球愈演愈烈，微软也在12日专门发布了更新的安全公告MS08-041以警告用户尽快修复该漏洞。 不仅微软麻烦缠身，就连Red Hat以及Fedora也先后发布公告声称来源不明的黑客成功攻击了Red Hat和Fedora社区使用的多台服务器，并迫使这些系统停止开放达一周之久。黑客甚至成功入侵了Fedora社区专门用于对产品自动升级包进行数字签名的系统，因而其可能甚至已经获得了Fed

22、ora升级包签名的主密钥，因此就具备了注入恶意代码的能力，并在自动升级时实现大范围的传播。Fedora不得不耗时重新生成并分发密钥以避免此一威胁发生。22日，PCI支付卡安全标准委员会声称将对新版的支付卡行业数据安全标准PCI DSS进行部分修订，增加清晰的描述以及细节与需求上的修改，其中包括在无线通信加密措施上的严格要求以及对各操作系统瓶体啊上防御各种恶意软件的反病毒软件进行详细的定义等。这一由Visa和Mastercard联合推出的标准在国内只有极少数在美国上市的电子商务公司以及部分商业性银行的信用卡中心部分遵从了这一规范要求，因此国内电子商务的交易环境的安全性仍不容忽视。详情请点击“PC

23、I-SSC发表最新版本PCI-DSS v1.2”。8月份，Thinkpad X200香港先于大陆开始发售，其采用的SSD固态硬盘成为万众瞩目的焦点。然而，就在本月，Objective Analysis的研究人员通过低功率的激光成功的将SSD驱动器控制芯片上的加密锁清除，并通过反删除软件将SSD上原本删除的数据成功恢复。由于大多数SSD加密都是采用在控制电路中写入加密锁来控制数据读出，因此如果清除加密锁，那么就完全可以用普通的ROM阅读器读出原有数据。由此可见，第三方加密软件（例如PGP、Bitlocker等）其重要性不容被忽视，同时应用第三方安全数据删除软件也有了一定的必要性。在本月美国赌城拉

24、斯维加斯召开的黑客大会上，针对高速公路收费系统、针对地铁RFID计费系统、针对Facebook/MySpace等SNS网络进行五花八门的攻击手法再一次将黑客的精神发扬光大，面对国内众多以入侵政府网站、以拒绝服务敲诈勒索的“黑客”，我们不由得心生愧意。截至本月30日，安天实验室捕获的恶意样本数量上升到6593113个。工具本月有更新或发布的安全工具有：PuttyHijack V1.0 - Hijack SSH/PuTTY Connections on Windows简介：一个通过将一个特定dll注入到PuTTY进程中从而劫持现有及即将创建的连接的攻击工具。raWPacket HeX - Netw

25、ork Security Monitoring & Analysis LiveCD简介：一个可用于简化网络安全监控及分析流程与工作流逻辑的可光盘引导的LiveCD。http:/www.rawpacket.org/projects/hex2008年9月事件Quicktime的又一个0Day漏洞出现，其主要是在多媒体文件的文件头信息的处理部分存在缺陷，攻击者可以将精心构造的XML信息插入到音频或视频文件的头部，从而使用户播放器崩溃，进而允许攻击者在用户系统上执行恶意代码。这又是一个针对第三方应用软件进行攻击的实例。当Google Chrome作为新的浏览器被推向市场之时，同样在不到24小时之内，以

26、色列的一位安全研究人员Aviv Raff就公布了其所用的引擎Webkit较老版本在处理Java程序时候的缺陷，攻击者可利用社会工程学诱使用户下载并执行一个恶意的Java小程序，从而实现攻击。当然，Google Chrome的运行沙箱功能，恶意网站黑名单以及隐私模式等安全功能还是使得众多用户眼前一亮，随后的IE8、Firefox以及Opera等先后通过插件或内置等方式也实现了类似的安全功能。可以说，Google Chrome在安全性方面的表现仍然可圈可点。针对浏览器的“点击劫持”攻击技术继而成为本月的焦点，除了Firefox在内置NoScript最新版本的情况下免于此攻击之外，其它所有主流浏览器

27、均无从幸免。一些细节请访问针对第三方通用软件的攻击愈演愈烈，暴风影音、Web迅雷等普及率较广的软件均称为黑客的首要目标，并屡屡得手，而对于需要保持7*24小时在线的C/S类型软件来说，在软件已开发并交付之后对其进行任何微小的变更都将可能碰到无法预知的风险。因此微软在本月提出的SDL安全开发模型，其关注于软件开发生命周期全过程的安全，注重于对设计阶段的安全威胁建模分析，依赖于编码阶段的安全意识与技巧，仰仗于安全测试阶段的各类安全性测试等，最终的安全评审方能确保交付之后软件中的严重风险能尽可能的得以以最小成本来管控，就有了一定的价值。工具本月有更新或发布的安全工具有：BSQL Hacker - A

28、utomated SQL Injection Framework简介：一个可针对主流数据库进行自动化SQL注入攻击的工具。http:/labs.portcullis.co.uk/application/bsql-hacker/Surf Jack - Cookie Session Stealing Tool简介：一个可通过劫持HTTP/HTTPS连接而窃取Cookies信息的工具，支持Wifi及以太网两种工作模式。2008年10月事件本月进行的VB100测试（一个被业界和用户广泛接受的反病毒产品技术及性能测试）中，F-Secure、Kaspersky、CA等厂商均未通过该测试。之后，众说纷纭，甚

29、至有厂商因质疑测试标准的局限性而宣布从此退出VB100测试。诚然，评测有其一定的权威性，但是评测本身并不是衡量反病毒产品技术水平的唯一标准。正如国内数家反病毒厂商，多次也未通过，甚至根本就未参加VB100测试，但因为对安全威胁的反应迅速，而能真正为用户确保安全要求。提到安全威胁，部分黑客利用Google所推出的一项Google Trends统计服务来作为桥梁进行攻击。在这一过程中，黑客越来越多的利用更有技巧的社会工程攻击方式，来取代传统的垃圾邮件或网站挂马等攻击方法；此后，黑客利用搜索引擎随后进行的挂马群注风暴也成为新技术被滥用的典范。本月，经济危机进一步扩散影响，然而安全业界收购不断，Symantec收购内容安全厂商Messagelabs，Mcafee也在9月收购Secure Computing，英国Sophos也收购端点加密厂商Ultimaca Safeware，看来危机之中仍然蕴藏着巨大的机会，这是一个仁者见仁，智者见智的时代。在10月24日，微软发布漏洞补丁 MS08-067( “如果用户在受影响的系统上收到特制的 RPC 请求，则该漏洞可能允许远程执行代码。 在 Microsoft Windows 2000、Windows XP 和 W