文/鄭先偉

?

比特幣敲詐病毒近期呈爆發(fā)趨勢(shì)

文/鄭先偉

3月教育網(wǎng)運(yùn)行平穩(wěn)，未發(fā)現(xiàn)影響嚴(yán)重得安全事件。

3月安全投訴事件與以往占比沒有太大變化。

近期比特幣敲詐病毒呈現(xiàn)爆發(fā)趨勢(shì)，這類病毒通過電子郵件附件或是網(wǎng)頁瀏覽進(jìn)行傳播，一旦用戶感染，病毒程序會(huì)加密用戶系統(tǒng)上的各種數(shù)據(jù)文件（包括文檔、圖片等），并要求用戶支付一定數(shù)量的比特幣來獲得解密秘鑰。與以往不同的是，最新的敲詐病毒都使用了高強(qiáng)度的RSA加密算法，病毒用公鑰加密用戶系統(tǒng)上的文件數(shù)據(jù)，將解密用的私鑰藏在隱藏網(wǎng)絡(luò)中等待用戶支付贖金后獲取。相關(guān)的敲詐病毒目前使用的RSA加密秘鑰長(zhǎng)度已經(jīng)達(dá)到了2048和4096位，對(duì)于這個(gè)強(qiáng)度的加密，在沒有私鑰的情況下要想解密幾乎是不可能。得益于比特幣交易的隱蔽性及隱藏網(wǎng)絡(luò)的不可追蹤性，比特幣敲詐病毒的制造者們獲利豐厚且毫無風(fēng)險(xiǎn)，這又導(dǎo)致更多人投入到這個(gè)產(chǎn)業(yè)中來。從最新截獲的幾個(gè)比特幣敲詐病毒版本上看，病毒已經(jīng)不惜血本地使用了0day漏洞（導(dǎo)致殺毒軟件不能及時(shí)地查殺）來進(jìn)行傳播，足可見在豐厚的利益誘惑下，更多高水準(zhǔn)的攻擊者在往這個(gè)方向靠攏。在可預(yù)見的未來，除非政府能夠有效地跟蹤比特幣的交易來抓獲元兇，否則這類敲詐病毒會(huì)層出不窮且會(huì)有愈演愈烈的趨勢(shì)。這對(duì)于用戶來說絕不是好事，增強(qiáng)自身的網(wǎng)絡(luò)安全意識(shí)及防范常識(shí)變得越來越重要。

2016年2月～3月安全投訴事件統(tǒng)計(jì)

近期新增嚴(yán)重漏洞評(píng)述：

3月需要關(guān)注的漏洞有如下這些：

1. 微軟3月的安全公告告共13個(gè)，其中2個(gè)為嚴(yán)重等級(jí)，11個(gè)為重要等級(jí)，這些公告共修補(bǔ)了Windows系統(tǒng)、IE瀏覽器、Edge、Office辦公軟件、Web App 及.NET中的44個(gè)安全漏洞，用戶應(yīng)該盡快使用Windows的自動(dòng)更新功能進(jìn)行補(bǔ)丁的安裝以降低風(fēng)險(xiǎn)。漏洞的詳情請(qǐng)參見：https://technet.microsoft.com/zh-cn/library/ security/ms16-mar.aspx。

2. ISC發(fā)布了BIND軟件的最新版本，用于修補(bǔ)之前版本中存在的拒絕服務(wù)漏洞，這些漏洞可能導(dǎo)致遠(yuǎn)程的攻擊者發(fā)送特定的請(qǐng)求來是BIND服務(wù)崩潰，不能提供正常服務(wù)。為此ISC已經(jīng)發(fā)布了新版本的BIND來修補(bǔ)這些漏洞，管理員可以參考以下公告進(jìn)行升級(jí)：

https://kb.isc.org/article/AA-01351

https://kb.isc.org/article/AA-01352

https://kb.isc.org/article/AA-01353

3. Apache Struts 2.0.0 - 2.3.24.1版本存在遠(yuǎn)程代碼執(zhí)行漏洞。這些版本中對(duì)特定標(biāo)簽相關(guān)屬性值進(jìn)行雙重OGNL評(píng)估，由于未有效驗(yàn)證用戶提供的輸入，可使未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者通過向受影響應(yīng)用提供構(gòu)造的屬性標(biāo)簽數(shù)據(jù)，在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。要想利用這個(gè)漏洞需要滿足一系列的條件，如允許用戶構(gòu)造屬性標(biāo)簽數(shù)據(jù)并在程序中多次傳輸這個(gè)參數(shù)。目前來看本次的Struts2漏洞由于其利用條件的限制，影響面不會(huì)比上次的Struts2廣，但是具體的影響還需要持續(xù)關(guān)注。目前廠商已經(jīng)發(fā)布了補(bǔ)丁程序來修補(bǔ)這些漏洞，您可以在下列鏈接中下載：http://struts. apache.org/docs/version-notes-2326.html。

4. Oracle公司發(fā)布了一個(gè)安全公告（alert-cve-2016-0636-2949497），用于修補(bǔ)Jave se Hotspot子組件中存在的一個(gè)安全漏洞，攻擊者可以利用這個(gè)漏洞遠(yuǎn)程破壞用戶系統(tǒng)的保密性、完整性和可用性。漏洞影響Jave SE 8u74、8u73、7u97版本，廠商已經(jīng)針對(duì)該漏洞發(fā)布了補(bǔ)丁程序，受影響的用戶應(yīng)該盡快更新到最新版本。補(bǔ)丁信息請(qǐng)參見：http:// www.oracle.com/technetwork/java/javase/ downloads/index.html。

5. 蘋果公司的MAC OS X系統(tǒng)由于其封閉性及嚴(yán)格的權(quán)限控制被認(rèn)為是相對(duì)安全的操作系統(tǒng)。最近OS X EI Capitan 10.11.4之前的系統(tǒng)版本中被發(fā)現(xiàn)存在一個(gè)安全漏洞，攻擊者利用該漏洞可以繞過蘋果系統(tǒng)最新的SIP（System Integrity Protection）安全機(jī)制以root的身份在系統(tǒng)中執(zhí)行任意代碼。一旦惡意的代碼被寫入系統(tǒng)的核心部位，SIP機(jī)制會(huì)將這些惡意代碼當(dāng)作系統(tǒng)核心代碼保護(hù)而限制用戶對(duì)病毒的清除，這可能導(dǎo)致病毒除長(zhǎng)期存在系統(tǒng)中。目前蘋果公司已在最新的OS X EI Capitan 10.11.4版本中修補(bǔ)了該漏洞，使用MAC OS X系統(tǒng)的用戶應(yīng)該盡快更新到最新版本。

（作者單位為中國(guó)教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）