6月發(fā)現(xiàn)規(guī)模達百萬級的僵尸網(wǎng)絡

文/鄭先偉

6月發(fā)現(xiàn)規(guī)模達百萬級的僵尸網(wǎng)絡

文/鄭先偉

6月教育網(wǎng)運行正常，未發(fā)現(xiàn)影響嚴重的安全事件。隨著高考的結束，一年一度的高招工作開始了，這期間高校的網(wǎng)站是考生及家長的訪問熱點，同時也是攻擊者的首選攻擊目標，因此近期學校網(wǎng)站被攻擊的風險會大大提升，學校管理員應該加強對校園網(wǎng)的安全監(jiān)管和巡查，保證各類網(wǎng)站不被入侵篡改，為廣大考生提供一個良好的網(wǎng)絡訪問環(huán)境。

近期一個由暗云III木馬病毒構建的大規(guī)模僵尸網(wǎng)絡被安全廠商發(fā)現(xiàn)，該僵尸網(wǎng)絡的規(guī)模達百萬級。暗云系列木馬病毒是迄今國內(nèi)檢測到技術最為復雜的木馬后門病毒之一。該木馬通過網(wǎng)絡下載傳播（游戲下載器、游戲外掛等）。病毒感染系統(tǒng)后會修改硬盤的引導分區(qū)，將病毒寫入MBR主引導區(qū)。木馬每次隨系統(tǒng)引導啟動，從網(wǎng)絡下載有效載荷和指令后在內(nèi)存中運行，不會在操作系統(tǒng)里留存病毒文件。由于木馬只在內(nèi)存里運行且病毒文件寫在引導分區(qū)里，給病毒的檢測和查殺帶來了一定的難度。此次之所以被反病毒廠商發(fā)現(xiàn)是因為該木馬操控的僵尸網(wǎng)絡在五月下旬發(fā)動過兩次大規(guī)模的DDOS攻擊，安全廠商在分析攻擊流量時發(fā)現(xiàn)這些攻擊流量均是由真實的主機發(fā)起的，追蹤這些攻擊主機后才發(fā)現(xiàn)存在這個木馬病毒。我們在對該病毒的一些網(wǎng)絡特征分析后發(fā)現(xiàn)高校網(wǎng)絡內(nèi)也存在一批被該木馬病毒控制的主機，不過數(shù)量上并不是特別的多。

1. 微軟6月的例行安全修補公告中披露了兩個高危漏洞，Windows LNK文件遠程代碼執(zhí)行漏洞（CVE-2017-8464）和Windows搜索遠程命令執(zhí)行漏洞（CVE-2017-8543）。這兩個漏洞都可以用來進行蠕蟲傳播，并且目前這兩個漏洞都已經(jīng)出現(xiàn)被利用的跡象。Windows LNK文件遠程代碼執(zhí)行漏洞影響除Windows XP外的全線Windows產(chǎn)品（包括Windows Vista、Windows8及 8.1、Window 7、Windows 10、Windows Server 2003、Windows Server 2008、Windows Server 2012及Windows Server 2016）。攻擊者可以通過U盤、郵件附件及文件共享等方式向用戶發(fā)送包含惡意LNK及其對應的二進制惡意程序，當用戶在有漏洞的Windows系統(tǒng)中瀏覽或預覽該惡意LNK文件就可能導致惡意程序被自動運行。Windows搜索遠程代碼執(zhí)行漏洞影響Windows全線產(chǎn)品（包括Windows XP、Windows Vista、Windows 8及 8.1、Window 7、Windows 10、Windows Server 2003、Windows Server 2008、Windows Server 2012及Windows Server 2016）。攻擊者可以向Windows Search服務發(fā)送特定格式的SMB協(xié)議消息就可能觸發(fā)該漏洞，成功利用該漏洞攻擊者以系統(tǒng)權限在系統(tǒng)上執(zhí)行任意命令。微軟已經(jīng)針對上述兩個漏洞發(fā)布了補丁程序，還在支持范圍的操作系統(tǒng)版本可以通過系統(tǒng)的Update功能自動安裝相應補丁。為了避免漏洞被蠕蟲病毒利用，微軟為已經(jīng)停止服務的操作系統(tǒng)（包括Windows XP、Windows Vista、 Windows 8及Windows Server 2003）也發(fā)布了補丁程序，不過這些系統(tǒng)無法使用自動更新安裝補丁，只能手動下載相應補丁安裝。補丁的下載地址：https://support. microsoft.com/zh-cn/help/4025687/microsoftsecurity-advisory-4025685-guidance-forolder-platforms。

2. Weblogic Server是Oracle公司開發(fā)的一套WEB解決方案，主要是由JAVA程序開發(fā)。之前JAVA 反序列化漏洞（CVE-2015-4852）被曝出來時，Oracle公司為Weblogic開了專門針對該漏洞的補丁程序。不過最近有安全公司發(fā)現(xiàn)Oracle公司開發(fā)的該補丁是通過黑名單機制來修補的，而之前補丁中的黑名單列表并不全面，通過一些不在黑名單中的反序列化調用仍然可以利用該漏洞。漏洞影響Oracle WebLogic Server 10.3.6.0、12.1.3.0、12.2.1.0、12.2.1.1及之前版本。目前廠商已經(jīng)針對該漏洞發(fā)布了新的補丁程序，建議使用Weblogic Server的管理員盡快安裝相應補丁程序。補丁的信息請參見：http:// www.oracle.com/technetwork/security-advisory/ cpujan2017-2881727.html。

（責編：高錦）

2017年5～6月安全投訴事件統(tǒng)計

安全提示

為防范感染暗云系列木馬病毒，建議用戶做到以下幾點：

1. 安裝有效的防病毒軟件，并保持病毒庫升級到最新；

2. 使用正版操作系統(tǒng)，并及時更新補丁程序；3. 不隨便在網(wǎng)絡上下載程序運行，尤其是游戲外掛及插件等；

4. 定期備份系統(tǒng)中的重要文件；

5. 使用安全廠商提供的專殺工具定期檢查掃描。

（作者單位為中國教育和科研計算機網(wǎng)應急響應組）