2008年03月《安全天下事》

最新推荐文章于 2021-12-31 22:41:57 发布

antiy_seak

最新推荐文章于 2021-12-31 22:41:57 发布

阅读量842

点赞数

分类专栏： 2008年安全天下事文章标签： web服务引擎 microsoft office 代码分析浏览器

本文链接：https://blog.csdn.net/antiy_seak/article/details/6067575

版权

2008年安全天下事专栏收录该内容

8 篇文章 0 订阅

订阅专栏

安全天下事

（2008年03月）文/江海客

根据美方的消息,2月4号,一个完全采用P2P机制的僵尸网络在网络上形成规模，并据说已经渗透了很多大型企业、教育机构和服务商。
这个软件模仿成Adobe Reader的形式进行传播，这个僵尸网络采用浏览器劫持等方式连接，以使其可以通过安全网关的过滤。其还使用了多种P2P通讯方式，包括使用ICMP协议进行密文的通讯。到了5日，有关的程序还不能被反病毒软件检测。

      本月微软发布了11个补丁，用以修复17个漏洞，这些漏洞设计到IE、Office、IIS等多个应用系统，其中OLE的漏洞，还间接影响到使用office的MAC系统。设计面之广令人瞩目，也值得深入总结。
      其中MS08-005和MS08-006的组合使用，可以彻底攻陷IIS WEB平台，而其中的MS08-010一个漏洞则威胁到包括IE7在内的浏览器。如果完整的掌握了有关的exploit代码，意味着攻击者可以利用IIS的有关漏洞攻击成功大批的WEB服务器，然后再根据IE新漏洞植入挂马的代码。这样影响的面积将非常的大。关于WEB服务器安全值得注意的是，很多WEB服务器都采用了自动安装补丁的机制，但由于不能轻率重新启动，都设置为手动重起。往往等到管理员上来重起时，已经是exploit被编写并扩散阶段。
      由于涉及到对升级能力的影响，MS一段时间采用了一个有客户端控制的负载均衡体系，这样就会呈现全球用户在补丁发布之后的几天陆续升级的态势，但从目前来看，尽管MS并不公开补丁细节，但通过补丁的文件差异分析溢出点的技术已经成熟，并被流程华，比如本次一个安全组织就在微软发布补丁的次日公开了其中针对Microsoft Works File Converter（MS Office的一个部件）攻击代码。这样的时间赛跑提醒着微软，或者进一步提升补丁系统服务能力，或者就要进一步增强对补丁文件的编译扰动等技术。

其中的DNS欺骗的漏洞也值得关注,尽管目前缺少该漏洞的细节描述，但从目前已经有的资料来看，该漏洞可以实现一个在DNS主机上没有痕迹的欺骗，这样的漏洞如果存在会导致相关安全事件的地最终和溯源变得非常困难。DNS只是一个明文协议，但类似SKYPE这样的复杂的算法认证体系在去年同样被攻破，今后，甚至需要进一步警惕从网络协议、数据封包内容和密码算法破解联合的综合分析制造安全威胁的新潜流。

国家发改委年度的支撑重点项目公告已经在上月底下发，其中首次将安全支撑服务建设作为支撑内容，其深意和导向值得关注。

安全天下事

（2008年01月）江海客

      正值年底收关之时,各个团队都开始盘点数据，F-Secure's首先出来声称，2007年全年，其检测规则翻番，从25万条记录阔增长到50万条记录，这种样本产生的膨胀，可以从我们我们自己的捕获体系统计数据获得佐证，到去年年底安天样本库中的样本总数是667567，而截至到12月19日，则已经有样本1858993个。全球木马基数的飞速增长，已经让安全厂商感觉迎接不暇，在两年前，就曾有国外研究者认为，全球参与写木马的人约50万人，这个数字可能最近两年有更大增长，这样一个地下的灰色帝国与全球各反病毒企业加在一起不过万余的反病毒工程师对撼，仍将是未来安全技术斗争的主要景观之一。
      反病毒软件面临的另外一个问题就是，他们本身也是漏洞分析挖掘者的研究对象，由于反病毒引擎结构复杂，分支众多，而且进行大量的格式解析，非常容易成为文件静态格式溢出的重灾区，本月一个叫做n.runs AG的德国研究团队就因这方面的研究成果，被公众所关注,这是一个专门针对反病毒软件进行安全的team，这个团队宣称反病毒软件迄今为止仍有数十个公开的漏洞尚未被修补。当然一些所谓的“漏洞”只是在ArchBomb的层次，来构成对反病毒产品的DoS，虽然并无技术含量,但却极为容易构造和利用。而令人担心的是，随着UTM等产品的深入，越来越多的网关环节在反病毒引擎的保护之下，但如果引擎存在安全问题，也就引入了隐患。n.runs AG还特殊警告了那些喜欢用多引擎组合检测的用户，因为他们增加一种反病毒引擎的同时也就带来了新的隐患。笔者在2005年《解开网络安全方程》一文中，曾经把引入安全环节本身的安全问题做过一个“过尤不及”的概括。
      反病毒厂商内部也在继续推动安全整合，由于grisoft宣布收购以浏览器安全研究起家的厂商XPL，让AVG与XPL结为连理。
      国内方面，本月一个新的信息安全标准GB/T 21028-2007服务器安全技术要求出台，规范中通过对软硬件两个方面，结合环境对服务器的安全技术给出了一系列规范，规范全面的涉及到访问的控制（监控、审计、数据安全等）、恶意代码防护，备份与故障恢复等方面，对操作系统和软件应用均提出了身份鉴别，自主访问控制、安全审计、数据完整性、数据保密性的要求，有业内人士的表示这一标准的出台意味着主机保护产品的日益成熟。
      在安全市场日渐成熟的大背景下，却传来HP在中国的安全服务部门撤销的消息，当年HP雄心勃勃组建起的精英团队，有的另赴前程，有的等待被其他部门收编。一位朋友闻此消息意味深长的说“安全需要底蕴”。
      本月2007 HTCIA Asia Pacific Training Conference在香港召开，在会上，取证技术呈现出多个新的热点，手机取证的相关产品已经日趋成熟、取证与恶意代码分析的关系日趋密切，而在线取证、快捷取证的需求也日趋迫切，在当前复杂的信息系统条件下，案件频发，分配给每个计算机罪案的时间和资源被空前压缩，传统的考盘、静态分析在很多案件中都不在现实，而需要在百万军中取上将首级的快捷取证手段。