好好上個網不容易：2016上半年網路安全事件盤點

不看不知道，一看嚇一跳。你想好好上個網，其實不太容易，一不小心你就可能中招。

不要不相信，11月16日，中國電信股份有限公司北京研究院與北京神州綠盟資訊保安科技股份有限公司（以下簡稱綠盟科技）等單位共同釋出了調研產出的《2016年上半年中國網站安全報告》，其中給出了一組資料：

相比2015年上半年，2016年上半年高危漏洞佔比有所增加。2015年上半年監測發現每個網站平均漏洞數達658個，其中，高危漏洞數為7個。2016年上半年監測的網站資料顯示，平均每個網站漏洞數達773個，其中，高危漏洞數高達22個。

從行業分佈情況來看，地方企業佔比最高，運營商、政府教育及醫療行業也存在較多問題。漏洞的行政屬性較為明顯，區縣及以下單位問題最多，合計有252969個高危漏洞，其次是各省市級單位，共曝出108722個高危漏洞，可以明確看到區縣及以下級別單位的漏洞數量要明顯高於部委、集團、省市級單位。

看上去讀者你是不是沒什麼觸動的意思？沒關係，看一下以下焦點安全事件盤點，你可能會發出：“唉呀媽呀，你們說的就是這個事！”或者可能你就是其中一個受害者。

1.LinkedIn使用者賬戶資訊洩露

盆友，坦白跟你說，社交平臺現在是黑客的“關注點”哦！越來越多的問題被發現，例如資料洩露、詐騙或者其他攻擊。

如果你曾經換過工作，那麼這類社交求職平臺可能會毫不留情地把你的資訊洩露。如下對話可能會發生：

A：李先生你好，聽說你要跳槽

B：(十分驚喜狀，以為獵頭來了)，對對對，是的，你有什麼好職位？

A：那個，就想問問您，一般跳槽可能會換租房是吧，我是租房中介。

……

這一次，受傷害的是領英（LinkedIn）。它是全球最大職業社交網站，會員遍佈200多個國家和地區，總數超過4億人，致力於向全球職場人士提供溝通平臺，並協助他們在職場事半功倍，發揮所長。加

入後，可瀏覽會員資料、在招職位、行業訊息、人脈圈動態和對您職業技能有幫助的相關資訊。

2012年，一名自稱“和平”的俄羅斯黑客攻擊了領英網站，獲取了超過600萬條使用者登入資訊，並洩露在網上。

比2012年更為嚴重的是2016年，仍是一位自稱“和平”的俄羅斯黑客獲取了1.17億領英電子郵件ID以及使用者的登入密碼，並在暗網市場上以5個比特幣（約$2200或￥15000）的價格進行出售。

好好上個網不容易：2016上半年網路安全事件盤點

　　暗網出售截圖

2.百萬郵件賬戶資訊被盜

用過雅虎、hotmail、和Gmail 郵箱的朋友肯定還記得這次災難——

2016年5月7日，根據路透社報導，黑客正在黑市上交易高達272300000條被盜的郵件賬戶使用者名稱和密碼，其中，57000000條俄羅斯Mail.ru郵件賬戶、40000000條雅虎郵件賬戶、33000000條hotmail郵件賬戶以及2400000條Gmail郵件賬戶。

另外，還包含成千上萬的德國和中國的電子郵件戶，以及數以千計的涉及美國銀行業、製造業和零售業公司員工的使用者名稱和密碼組合如圖：

好好上個網不容易：2016上半年網路安全事件盤點

　　3.國內部分網站存在Ramnit惡意程式碼攻擊

2016年4月，CNCERT監測發現，一個名為“Ramnit”的網頁惡意程式碼被掛載在境內近600個黨政機關、企事業單位網站上，一旦使用者訪問網站有可能受到掛馬攻擊，對網站訪問使用者的PC主機構成安全威脅。

專門針對天朝黨政機關、企事業單位網站，膽子不小！

Ramnit惡意程式碼是一個典型的VBScript蠕蟲病毒，可通過網頁掛馬的方式進行傳播，當使用者瀏覽含有Ramnit惡意程式碼的HTML頁面時，點選載入ActiveX控制元件，使用者主機就很有可能受到惡意程式碼的感染。如下圖所示為Ramnit程式碼在頁面中駐留的程式碼片斷。

好好上個網不容易：2016上半年網路安全事件盤點

　　Ramnit程式碼在頁面中駐留的程式碼片斷

Ramnit主要在使用者% TEMP %資料夾中植入了一個名為“svchost.exe”的二進位制檔案並執行關聯的ActiveX控制元件，受感染的使用者主機會試圖連線到與Ramnit相關的一個木馬控制伺服器——fget-career.com。

根據CNCERT監測情況分析，Chrome和Firefox瀏覽器使用者不會受到惡意程式碼的影響，而較高版本的IE瀏覽器也會對此類ActiveX控制元件進行告警提示而不是自動執行。所以，受影響的主要是較低版本的IE瀏覽器。建議IE瀏覽器使用者在訪問網際網路站時做好IE安全設定（建議設定為中-高安全級別），禁止執行不明來源的ActiveX控制元件。

2015年11月至2016年3月間的巡檢結果顯示境內共計有約1250臺境內WEB伺服器被掛載過Ramnit惡意程式碼，被入侵的伺服器主要型別為Microsoft IIS（佔比69.3%），其次是Apache系列伺服器（佔比19.2%）。

4.全網伺服器安全恐遭“菜刀-Cknife”威脅

2016年7月20日，據國外媒體softpedia報導，中國MS509Team的兩大安全研究人員Chora和MelodyZX開發了新型Webshell管理工具“Cknife”，在GitHub開放原始碼供所有人使用，當然黑客也不例外。

2015年12月，跨平臺版中國菜刀—Cknife釋出，它是由Java語言編寫的，包括伺服器端元件，可以管理連結至Java、PHP、ASP和ASP.NET伺服器。

好好上個網不容易：2016上半年網路安全事件盤點

　　工具執行原理

創業公司Recorded Future的一份調查研究指出，Chopper是2013年釋出的一款非常有效但卻過時（程式碼級別）的Webshell管理工具，深受中國各種顏色帽、犯罪組織以及高階持續性威脅者追捧。Cknife是Chopper的“升級版”。

Cknife與Chopper有一些共同之處，像圖示以及處理HTTP請求中的一些怪異模式。但這兩種工具卻也截然不同，Cknife用Java編寫，而Chopper則用C++編寫而成。

此外，Cknife通過HTTP開啟Webshell GUI與被感染伺服器之間的連線，而Chopper使用HTTPS。Recorded Future表示，Cknife開發人員許諾在今後幾個月會支援HTTPS.

Cknife是網路伺服器的RAT。Cknife允許使用者一次連線多個伺服器，同時連線網路伺服器與資料庫並執行命令列訪問的遠端shell。

Recorded Future警告稱，“Cknife是中國攻擊者過去半年以來一直在討論(可能在使用)的可置信威脅。考慮到圍繞網路伺服器的大範圍攻擊面、Chopper和Cknife各自的應用程式與架構以及Chopper的成功先例，不久的將來，Cknife應該應認真解決的合法威脅。”

5.只針對中國使用者的勒索軟體CuteRansomware

上次雷鋒網邀請360的專家給大家科普過勒索軟體——在黑客的眾多牟利手段當中，勒索軟體可能是最普遍的一種。這種惡意軟體通常會通過受感染的郵件附件、被篡改的網站或網頁廣告散佈。勒索軟體會對使用者電腦上的檔案進行加密，除非受害者交付特定數額的贖金，否則受影響的檔案將會一直處於不可用的狀態。

那麼，在實際案例中，有沒有真的只針對中國使用者的的勒索軟體呢？歷史告訴大家，真的有！

2016年7月15日，有安全研究人員發現了一個名為cuteRansomware的新惡意勒索軟體。該惡意軟體程式碼的註釋及勒索內容全部使用的中文，這就意味著，該勒索軟體目前只將中國使用者作為攻擊目標。再仔細檢視程式碼並比對AVG研究人員發現的版本之後，研究人員還發現該版本還採用谷歌文件表格作為其C&C伺服器。

cuteRansomware會感染計算機，生成RSA加密金鑰，然後通過HTTPS將金鑰傳送到谷歌文件表格中。

6.WinRT PDF存在網頁掛馬攻擊漏洞WinRT PDF

作為Windows 10系統的預設PDF閱讀器，能夠像過去幾年爆發的Flash、Java、Acrobat漏洞相似允許黑客通過Edge瀏覽器發起一系列攻擊。Windows Runtime（WinRT）PDF渲染庫或者簡稱WinRT PDF，是內嵌至Windows 10系統中的重要元件，允許開發者在應用中輕鬆整合PDF閱讀功能。該渲染庫被已經在Windows Store上架的應用廣泛使用，包括Windows 8/8.1的預設閱讀應用和微軟最新的Edge瀏覽器。

2016年3月3日，來自IBM X-Force Advanced研究團隊的安全專家Mark Vincent Yason近期發現WinRT PDF存在和過去幾年曾用於Flash和Java上相似的網頁掛馬攻擊（drive-by attacks）漏洞。在WinRT PDF作為Edge瀏覽器的預設PDF閱讀器之後，任何嵌入至網頁的PDF文件都能夠在這個庫中開啟。聰明的攻擊者能夠通過PDF檔案來利用這個WinRT PDF漏洞，使用包含CSS的iframe定位來祕密開啟包含惡意程式的PDF檔案並執行惡意程式。

攻略：為何你中招，如何不再中招？

如果你曾經不小心遇到上述問題，可能不是你運氣差。綠盟科技告訴雷鋒網，通過對200餘個單位的網站安全管理情況進行了調研分析，他們發現了這些問題：

在基礎管理方面，雖然目前有95%的單位有專人負責安全運維工作，但是超過5人的安全團隊不足20%，同時有將近一半的單位缺失安全制度及應急響應流程。意思是，大事不好了，然而網站運維也蒙圈了。

在資產管理方面，有將近50%的單位沒有進行網站資產的定期梳理，導致很多新建站點資料庫等埠在公網暴露，往往這些單位也不清楚下轄單位的網站資產全集。同時，有70%以上網站都是外包建站，40%以上是外包運營，如果對於外包過程掌控不足，很容易留下大量安全隱患。意思是，我把內衣、底褲都掛到攝像頭下了，還特別喜歡找別人幫我晾衣服，被拿走了都不知道。

在建站開發方面，使用第三方軟體框架種類繁多，有各類開源伺服器（如apache、

Lighttpd等)、開源資料庫(如mysql、PostgreSQL等)、開源論壇框架（如phpwind、phpcms等）等，這些開源產品如果不能很好地管理，會導致大量配置相關的風險隱患。

在漏洞管理方面，有將近40%的單位認為高危漏洞處於個位數，但事實比這糟糕得多，

有61%的單位低估了漏洞的數量以及危害，另外96%的單位在徹底修復漏洞前沒有

做任何漏洞防禦措施。意思是，狼來了，但是以為羊來了。

在威脅管理方面，僅有6%的單位能對掃描行為和模擬的攻擊行為進行攔截。在事件管理方面，僅有20%的單位明確進行了網站各類事故的監測，其餘各單位有將近一半反饋沒有做網站事故災害監測，而另一半則不確認本單位是否做了安全事故災害監測。

為此，除了建立健全安全管理組織形式，明確清晰安全管理工作職責，構建落實安全管理體系框架，綠盟科技著重建議建立完善安全管理運營流程。

以監測、發現、與處理一項網站漏洞為例，以下為高能實操攻略：

好好上個網不容易：2016上半年網路安全事件盤點

1.如何發現漏洞這個小妖精？辦法一，日常漏洞監測與掃描。這其中包含Web漏洞和系統漏洞的監測與發現，由於網站安全漏洞會不斷被發現和公開，所以使用掃描裝置對網站漏洞進行監測是個持續的過程，並且需要納入到日常管理工作範疇。

辦法二，緊急漏洞通告的輿情監測。緊急漏洞通告一般是指業內將漏洞及漏洞驗證程式碼同時公開的漏洞，這些漏洞往往有高風險、波及範圍廣、對應的攻擊程式碼傳播快的特點。通常在緊急漏洞公開之前或公開的同一天會出現利用該漏洞的攻擊工具。所以，對一些第三方的漏洞通報平臺、各安全廠商釋出緊急漏洞資訊的平臺、各類黑客論壇進行情報監測。

2.發現漏洞以後怎麼辦？發現漏洞以後，需要對漏洞進行驗證和分析，驗證過程通常是根據漏洞詳情驗證漏洞的真偽，掃描裝置、各類漏洞通告有較高的頻率出現誤報，所以在發現漏洞後首先要對漏洞進行驗證，確認網站系統是否存在漏洞或受到漏洞的影響。

在確認漏洞的真偽後，通常對中高危漏洞需要優先分析，分析的目的在於確認漏洞被利用後會對資產或企業造成何種影響，相同的漏洞給不同的網站帶來的風險是完全不同的，應該由網站維護人員和安全管理員共同判斷。在對網站進行驗證分析後，需要網站管理人員作出決策，凡有可能對網站造成機密性、完整性、可用性破壞的漏洞都應該考慮及時採取措施預防和修復。有部分不會對網站造成任何影響的漏洞可採取接受風險的策略。

3.漏洞未能修復之前怎麼辦？在漏洞未能修復之前採取的臨時措施，通常是在漏洞修復之前採用技術手段將來自外部的風險（漏洞利用）遮蔽。這個過程可以通過修改Web程式來實現，也可以依賴於網站的防護裝置，通過追加臨時安全防護策略可以攔截外部攻擊者利用漏洞的行為。

在漏洞預防策略實施後，需要再次通過人工方式或裝置驗證漏洞預防策略是否已生效。當然，漏洞預防措施的實施不代表漏洞不需要修復，因為來自內部的威脅照樣存在，徹底解決的辦法還是修復漏洞。如果發現漏洞後可以快速修復漏洞，甚至可以不採取漏洞預防的措施。

4.如何修復？針對網站已有的漏洞在技術上進行修復，根據不同種類的漏洞採取的手段各不相同，同一型別的漏洞也可以採用不同的手段修復和規避，降低風險。

本文轉自d1net（轉載）