多起典型网络安全事件被成功处理——CNCERT_CC2007年网络安全事件处理部分案例介绍
82008.07CNGERT/CC多起典型网络安全事件被成功处理——cNcERT/cc2()()7年网络安全事件处理部分案例介绍一国家计算机网络应急技术处理协调中心恶意代码事件处理“Nimaya(熊猫
8
2008.07
CNGERT/CC
多起典型网络安全事件被成功处理
——cNcERT/cc2()()7年网络安全事件处理部分案例介绍
一国家计算机网络应急技术处理协调中心
恶意代码事件处理
“Nimaya(熊猫烧香)”病毒事件处理
“Nimaya(熊猫烧香)'’病毒在2007年初出现流行趋势。
该病毒具有感染、传播、嘲络更新、发起分布式拒绝服务攻击(DDoS)等功能。“熊猫烧香”的传播方式I—J时具备病毒和蠕虫的特性,危害较大。CNCERT/CC注意到“熊猫烧香”在
对此,CNCERT/CC—方面联系有关域名注册商,得到了对方
的积极支持和快速响应,按照国家有关规定关闭了591ani.cn
域名;另一方面i通过CNCERT/CC浙江分中心联系恶意服务
器的用户并删除了恶意代码程序。
分布式拒绝服务攻击事件
某招商网遭受分布式拒绝服务攻击
2007年1月15日,CNCERT/CC接到某招商网的事件报告,称该公司嘲站遭到已持续一个月的DDoS攻击,流量峰值达到1G。接到事件报告后,CNCERT/CC立即对此事件进行了协调处理。在对被攻击网站提供的日志进行初步分析后,CNCERT/CC国家中心协调了北京、广东、河南、湖南、辽宁、四川、安徽、河北、福建、上海等lo个分中心参与处理,查
更新时所采用的机制是定期访问特定的嘲站,而且这些网站
服务器位于国内。为此,CNCERT/CC于2007年1月19Id开始协调江苏分中心和浙江分中心对用于更新的两台踟站服务器进行处理。通过当地运营商的协助,两个分中心先后确定了两台服务器的用户及其联系方式,最终位于江苏的一台服务器于1月29日删除了有关嘲页;而位于浙江的服务器用户于1月20日重装了系统,故有关嘲页也被删除。截至到2月底,CNCERT/CC监测发现ll万个IP地址的主机被“熊猫烧香”病毒感染。
找到了被黑客控制的部分汁算机。2月初,在上海分中心的协
调下’得到了一个ADSL用户的积极配合,事件处理取得了重大进展。CNCERT/CC对该ADSL用户的机器进行了深入分析,
处理反Google病毒
2007年8月出现一种反Google的病毒,感染该病毒的用户在打开Google.Cll或者Google.corn时,会看到提示:“Google退出中国,清用百度进行搜索”。这是由于被感染主机的hosts文件被恶意修改,导致用户对Google网站的访问被引向含有大量恶意代码的恶意服务器,该主机对应域名为591ani.cn。
发现黑客是利用重庆市的一台服务器作为跳板,而最终的控
制服务器位于福建省。在重庆分中心和福建分中心的配合下'CNCERT/CC国家中心对这两台服务器进行了分析,从中得到了两名作案嫌疑人的有关线索,在用户的要求下将线索提供给T:IL京市公安局丰台分局。
北京联众遭分布式拒绝服务攻击
(接上页)
件。该事件所利用漏洞存在于旧版本的FlashPlayer(9.0.115及以前的版本)中,如果用户的IE浏览器安装的是旧版本FlashPlayer插件,那么在播放一些恶意的flash动画文件时,就会自动下载可执行的恶意文件,随后会主动连接互联嘲络中指定的服务器,下载其他病毒、木马等恶意程序。国家互联阱应急中心(CNCERT/CC)—方面协调域名注册商对该事件涉及的部分恶意站点的域名进行了暂停域名解析服务的处理,另一.方面协调有关分中心对该事件涉及的部分恶意站点的主机进行清除恶
意代码的处理。
5.1.3.一起针对日本用户的DDOS攻击事件
2008年s月9日,国家互联网应急中心(CNCERT/CC)收到来自JPCERT/CC的事件报止,称一日本用户受到DDOS攻击,攻击源涉及中国的多个IP地址。经CNCERT/CC协调上海、山西、
江西、贵州等分中,D对攻击源IP涉及主机进行处理,攻击得到
停止。◆
(责编
马华)
万方数据
,在CNCERT/CC的协助与支持下,北京市网监处成功破获北京联众公一J遭受分布式拒绝服务攻击案。2007年5月11日,北京联众公司向北京市嘲监处报案称:该公司自4月26日以来其托管在上海、石家庄IDC机房的13台服务器分别遭受
到大流量的DDoS拒绝服务攻击,攻击一直从4月26日持续
到5月5日,其攻击最高流量达到瞬时700M/s。致使服务器全部瘫痪,在此服务器上运行的其经营的网络游戏被迫停止服务,经初步估算其经济损失为3460万人民币。在CNCERT/
CC的支持与配合下,北京市网监处成功的获取了犯罪团伙实
施DDoS攻击的证据,并及时将4名犯罪嫌疑人一举抓获。
域名相关安全事件
某恶意域名处理
2007年6月底,CNCERT/CC收到澳大利亚应急响应组织(Auscert)的投诉,称一个包含有3400台主机的僵尸网络,正在从http:#fafb4c4c.com/session.exe中下载恶意代码。此外,攻击者还通过在一个国际著名交友嘲站上以挂乌的方式传播此恶意代码,挂马同样涉及域名fafb4c4c.00m。CNCERT/CC核实后,立即与有关单位取得联系,得到对方的积极支持和快速响应,按照国家有关规定关闭了该恶意域名。
caomapi.corrl恶意域名处理
2007年7月,CNCERT/CC发现互联网中有多个网站www.ha0123ha0123.ca)正在散播恶意代码。并且这些恶意代码都将窃取到的数据发送到PPP.caomapi.corn。CNCERT/CC—方面立即协调四川、上海、广东等分中心清除散播恶意代码网站所对应主机上的恶意代码;另一方面由于caomapi.com域名多次将所对应IP进行更换,而PPP.caomapi.com域名注册
人所登记的信息及联系方式都是虚f段信息,故CNCERT/CC
与域名注册单位取得联系,得到了对方的积极支持和快速响处1里3322.org中大量散播恶意代码的二级域名
8月17I:1,CNCERT/CC收到国外应急组织的报告,称散播恶意代码的链接。事实上,由于3322.org的域名注册单位提供免费二级域名解析服务,所以非常容易被黑客利用从事恶意活动。对此,CNCERT/CC立即联系3322.org的域名注册某公司网站的域名劫持事件
11月3日,CNCERT/CC接到应急服务支撑单位报告,万
方数据2008.079
但所解析出的网站IP地址却对应一台黑客控制主机,该黑客通过对域名服务器的攻击达到这一目的。CNCERT/CC立即启动相关技术平台的监测,发现黑客攻击导致存在解析错误问题的DNS服务器已有近20台,涉及多个省份,受影响用户范围十分广泛。CNCERT/CC立即通知相关运营商紧急排查和恢复各DNS服务器,I:t前已基本排除了影响。
此案例表明,黑客利用DNS服务软件——Bind的漏洞
实施的攻击手法可以实现对任意域名的大范围劫持。该攻击行为具有很强的隐蔽性,用户防范难度很大,一旦被恐怖分
子或敌对势力利用,必将给我国互联网网络信息安全带来严
重的后果。
事后,CNCERT/CC向各运营商发出安全建议,建议将DNS服务器软件立即升级到最新版本,提高黑客攻击难度,同时加强对DNS服务器的运维保障,及时发现和处置域名劫持事件。
网页恶意代码和网络仿冒事件某国内著名网站被嵌入恶意代码
2007年6月14日,CNCERT/CC收到合作伙伴报告称,某国内著名门户网站首页于6月14H凌晨被“挂马”(即页面被嵌入恶意代码)数小时。CNCERT/CC接到报告后,立即对事件进行了监测,发现包含该网站在内的国内多个网站。在6月15日凌晨再次被挂马数小时,而且被挂马网站均将用户访问跳转到http://6688.89111.cn/m42.htm,导致用户从域名89111.cn之下多个恶意链接中下载恶意代码。
CNCERT/CC立即联系被挂马的重要网站,告知其事件有关的详细情况和分析结果,建议其做好安全防范工作。与此同时,凶89111.cn域名注册人所登记的信息及联系方式都是虚假信息,CNCERT/CC与域名注册单位取得联系,得到对方的积极支持和快速响应,按照国家有关规定关闭了该恶意域名。
我国主机为仿冒网站提供域名解析服务
2007年6月,CNCERT/CC先后收到IBM应急响应小组、Brandprotect公司、CastleCopsPIRT反欺诈组织、RSACyota反欺诈安全公司等多个国外安全组织的投诉,称位于我国大陆的两个IP地址自6月6日起为大量从事网络仿冒活动的域名提供域名解析服务。涉及被仿冒的机构有:PNC
bank、
bankofAmerican、wash
mutual、tlS
bank等。经查,此两IP
分别位于上海市和山东省。CNCERT/CC上海分中心和山东分中心分别联系当地运营商进行处理。而且与一个用户取得了直接联系,但用户配合并不积极。在CNCERT/CC的努力解释和协调—F,两个用户终于在十儿天采取了消除安全问题的措施。
在此事件中,被黑客入侵的主机向大量仿冒网站提供域
(如:www.aqshw.cn,www.m85853.com.ca,www.m85853.cn,应,按照国家有关规定关闭了该恶意域名。
3322.org的大量二级域名站点正在散播恶意代码。经验证核实,CNCERT/CC确认其中133个3322.org的二级域名都确实含有单位进行处理,8月2()日有关恶意链接地址全部被删除。
发现某著名公司网站中包含恶意软件,用户在登录时主机会被暗中植入多个木马程序。经查发现,虽然该域名是该公司所用,
,10
2008.07
名解析服务,其所带来的危害,比单独一台运行一个仿冒网站的主机所带来的危害要更为严重。该事件反映出近期M络仿冒的新趋势,即黑客每次建立一个新的仿冒嘲站时都注册新的域名,并通过该域名来实现重定向。通过这种办法,新的仿冒网站可以暂时逃过采用黑名单机制的反仿冒嘲站系统的过滤,因为从发出欺骗邮件到仿冒嘲站被添加到黑名单需要一些时间。黑客的新策略导致了仿冒网站域名的爆炸式增长,为了便于操作,黑客会入侵一些主机来为大量仿冒网站的域名提供域名解析服乡乳
24
H01时起流量开始大幅下降。同时综合各方反馈情况来看,
本次出现的流量增长很可能是黑客操纵大量“肉鸡”进行漏洞的恶意扫描引起,尚未发现恶意代码传播迹象,也未捕获到可疑恶意代码样本。CNCERT/CC于24日在CNCERT/CC官方网站发布了安全公告,提醒相关用户及时升级补丁’并通知运营商加强网络监测,开展漏洞检查处理。同时,继续与国内外相关机构保持联系,关注事件进展。
总涔来看,此次事件并未造成严重影响,但不排除出现蠕
虫扩散的面僧&。该事件说明黑客利用最新漏洞来实施‘零日攻击’’
其他典型事件处理情况
处理TCP5168端口异常流量事件
8月23日,CNCERT/CC监测发现TCP5168端口流量出现可疑快速增长,同时国际上多个合作伙伴也通报了同一情况。cNCERT,Cc立即针对该事件进行相关部署,一方面对
TCP
的能力在加强,攻击目标已经从Windows操作系统扩展到主流应用软件,对我们网络安全保障提出了更高的挑战。成功摧毁一个活跃僵尸网络
l(J月份,CNCERT/CC监测到一个大规模僵,卜|网络的活动非常频繁,包括进行大范围的扫描和向大量国内外网站发起针对PHP漏洞的攻击。经分析,该僵,卜l网络控制服务器位于我国江西省。l()月16日,在CNCERT/CC江西分中心的密切配合下'迅速联系到该僵尸嘲络控制服务器的用户。用户获知后,立即对该服务器进行了全面检查,发现其在l()月11日遭到了黑客攻击,并已经被黑客完全控制,随后用户立即采取紧急措施,并针对该服务器采取了安全加固措施。从CNCERT/CC的监测数据来看,l()月16日17时58分之后,该僵尸网络已停-止活动。◆
(责编
马华)
5168端口的流量进行重点监测,另一方面与国内外9四络
安全机构保持联系,关注事态进展。
经初步判断,该端口流量增长与22日公布的趋势科技企业级反病毒产品中存在的缓冲区溢出漏洞有关。虽然趋势科技已经发布了相关升级补丁,但由于升级操作存在滞后性,不排除攻击者企图利用该漏洞实施扩散恶意代码等大规模攻击的可能。监测数据显示,从8月23日2时起到27日13时
5168端口流量最高增长幅度与历史监测数据相比超过lo倍,
但平均占用网络带宽不足100M字节,流量在23日12时达到高峰后未再出现持续攀升现象,对网络整体的影响不明显,
(本篇摘自《CNCERT/CC2007年网络安全工作报告》)
十年缔碴金色薪程
通用的网络安全向应用安全领域切入的创新安全产品的突出代表。
“拿来主义系统解决”:将网络节点控制与各设备间的横向协同相结合,卫士通把立体防护的概念运用到了国家级的大型安全项目中,实现了对“拿来主义系统解决”这一发展策略。
“借船出海模块配套”:卫士通“中华卫士”网络安全系列产品在2008年大力拓展产品线,在行业,区域二三级市场以及SMB市场进行广泛合作,建立了“中华卫士安全联盟”。
会后,卫士通将陆续在全国重要城市举办大型市场巡展活动。此外,6月16日,卫士通通过了上市的发行审核,其资本化的战略实现接近目标。在“创新”的号角声中,借助实业与资本的双翼,
——卫士圈萄_产业腔瞄青曝公司十周年哺甄譬策瞄发币盆
6月26日,卫士通信息产业股份有限公司(以下简称卫士通)在京召开”十周年成就暨2008策略发布会“。与会之上,展示了卫士通成立十年来在信息安全领域做出的成绩,同时更对新时期的市场战略做了进一步部署。
惊涛骇浪难挡十年功绩。1999年卫士通提出了“基于密码不止于密码同心多元化”的发展战略,2003年率先跻身信息安全产业收入过亿企业的他,又提出了“安全化、IT化、资本化、国际化”的新时期战略思想,2007年卫士通营业收入达到了3亿人民币,
卫士通新的“蓝海”将更加广阔,下~个十年的金色航程在旭日升
起中拔锚扬帆。(编辑潘静)
在这十年中,一直保有50%以上的综合经济增长幅度。从单一时密
码产品厂商”向“信息安全主流产品、安全集成厂商”,进而向“提供完整安全解决方案的专家型企业”发展的整体思路,是卫士通仅用十年时间就获得了国内信息安全领域龙头地位的最直接原因。
三大策略直指企业安全。在“卫士通十周年成就暨2008策略发布会“上,公司发言人重点阐述了他们在新时期要以“安全融入应用,可信支撑|T”作为发展理念,市场策略分为了“应用为王顶层策划“、“拿来主义系统解决”、“借船出海模块配套”三个层面。
“应用为王顶层策划”:卫士通把应用放在产业的高度上,配合国家主管部门进行的行业标准、行业大应用的策划推广,并在这一策略的指引下,“一KEY通”综合安全防护系统成为了卫士通从
万方数据
,
多起典型网络安全事件被成功处理——CNCERT/CC2007年网络安全事件处理部分案例介绍
作者:
作者单位:
刊名:
英文刊名:
年,卷(期):国家计算机网络应急技术处理协调中心信息网络安全NETINFO SECURITY2008(7)
参考文献(1条)
1. CNCERT/CC2007年网络安全工作报告
本文链接:http://d.g.wanfangdata.com.cn/Periodical_xxwlaq200807004.aspx