2016 年上半年焦点信息安全事件盘点：要想好好上个网，容易嘛我！

Recorded Future 警告称，“Cknife 是中国攻击者过去半年以来一直在讨论(可能在使用)的可置信威胁。考虑到围绕网络服务器的大范围攻击面、Chopper 和 Cknife 各自的应用程序与架构以及 Chopper的成功先例，不久的将来，Cknife 应该应认真解决的合法威胁。”

上次小编邀请 360 的专家给大家科普过勒索软件——在黑客的众多牟利手段当中，勒索软件可能是最普遍的一种。这种恶意软件通常会通过受感染的邮件附件、被篡改的网站或网页广告散布。勒索软件会对用户电脑上的文件进行加密，除非受害者交付特定数额的赎金，否则受影响的文件将会一直处于不可用的状态。

那么，在实际案例中，有没有真的只针对中国用户的的勒索软件呢？历史告诉大家，真的有！

2016年7月15日，有安全研究人员发现了一个名为 cuteRansomware 的新恶意勒索软件。该恶意软件代码的注释及勒索内容全部使用的中文，这就意味着，该勒索软件目前只将中国用户作为攻击目标。再仔细查看代码并比对 AVG 研究人员发现的版本之后，研究人员还发现该版本还采用谷歌文档表格作为其 C&C服务器。

cuteRansomware 会感染计算机，生成 RSA 加密密钥，然后通过 HTTPS 将密钥传送到谷歌文档表格中。

WinRT PDF 作为 Windows 10 系统的默认 PDF 阅读器，能够像过去几年爆发的 Flash、Java、Acrobat漏洞相似允许黑客通过 Edge 浏览器发起一系列攻击。Windows Runtime（WinRT）PDF 渲染库或者简称 WinRT PDF，是内嵌至 Windows 10 系统中的重要组件，允许开发者在应用中轻松整合PDF阅读功能。该渲染库被已经在 Windows Store 上架的应用广泛使用，包括 Windows 8/8.1 的默认阅读应用和微软最新的Edge浏览器。

2016年3月3日，来自 IBMX-Force Advanced 研究团队的安全专家 Mark Vincent Yason 近期发现 WinRT PDF 存在和过去几年曾用于 Flash 和 Java 上相似的网页挂马攻击（drive-by attacks）漏洞。在WinRT PDF 作为 Edge 浏览器的默认 PDF 阅读器之后，任何嵌入至网页的 PDF 文档都能够在这个库中打开。聪明的攻击者能够通过 PDF 文件来利用这个 WinRT PDF 漏洞，使用包含 CSS 的 iframe 定位来秘密打开包含恶意程序的 PDF 文件并执行恶意程序。

如果你曾经不小心遇到上述问题，可能不是你运气差。绿盟科技告诉小编()，通过对 200 余个单位的网站安全管理情况进行了调研分析，他们发现了这些问题：

• 在基础管理方面，虽然目前有 95% 的单位有专人负责安全运维工作，但是超过 5 人的安全团队不足 20%，同时有将近一半的单位缺失安全制度及应急响应流程。意思是，大事不好了，然而网站运维也蒙圈了。
• 在资产管理方面，有将近 50% 的单位没有进行网站资产的定期梳理，导致很多新建站点数据库等端口在公网暴露，往往这些单位也不清楚下辖单位的网站资产全集。同时，有 70% 以上网站都是外包建站， 40% 以上是外包运营，如果对于外包过程掌控不足，很容易留下大量安全隐患。意思是，我把内衣、底裤都挂到摄像头下了，还特别喜欢找别人帮我晾衣服，被拿走了都不知道。
• 在建站开发方面，使用第三方软件框架种类繁多，有各类开源服务器（如 apache、
  Lighttpd 等 )、开源数据库 ( 如 mysql、 PostgreSQL 等 )、开源论坛框架（如 phpwind、phpcms 等）等，这些开源产品如果不能很好地管理，会导致大量配置相关的风险隐患。
  
• 在漏洞管理方面，有将近 40% 的单位认为高危漏洞处于个位数，但事实比这糟糕得多，
  有 61% 的单位低估了漏洞的数量以及危害，另外 96% 的单位在彻底修复漏洞前没有
  做任何漏洞防御措施。意思是，狼来了，但是以为羊来了。
• 在威胁管理方面，仅有 6% 的单位能对扫描行为和模拟的攻击行为进行拦截。在事件管理方面，仅有 20% 的单位明确进行了网站各类事故的监测，其余各单位有将近一半反馈没有做网站事故灾害监测，而另一半则不确认本单位是否做了安全事故灾害监测。

为此，除了建立健全安全管理组织形式，明确清晰安全管理工作职责，构建落实安全管理体系框架，绿盟科技着重建议建立完善安全管理运营流程。

以监测、发现、与处理一项网站漏洞为例，以下为高能实操攻略：

1.如何发现漏洞这个小妖精？

办法一，日常漏洞监测与扫描。这其中包含Web 漏洞和系统漏洞的监测与发现，由于网站安全漏洞会不断被发现和公开，所以使用扫描设备对网站漏洞进行监测是个持续的过程，并且需要纳入到日常管理工作范畴。办法二，紧急漏洞通告的舆情监测。紧急漏洞通告一般是指业内将漏洞及漏洞验证代码同时公开的漏洞，这些漏洞往往有高风险、波及范围广、对应的攻击代码传播快的特点。通常在紧急漏洞公开之前或公开的同一天会出现利用该漏洞的攻击工具。所以，对一些第三方的漏洞通报平台、各安全厂商发布紧急漏洞信息的平台、各类黑客论坛进行情报监测。

发现漏洞以后，需要对漏洞进行验证和分析，验证过程通常是根据漏洞详情验证漏洞的真伪，扫描设备、各类漏洞通告有较高的频率出现误报，所以在发现漏洞后首先要对漏洞进行验证，确认网站系统是否存在漏洞或受到漏洞的影响。

在确认漏洞的真伪后，通常对中高危漏洞需要优先分析，分析的目的在于确认漏洞被利用后会对资产或企业造成何种影响，相同的漏洞给不同的网站带来的风险是完全不同的，应该由网站维护人员和安全管理员共同判断。在对网站进行验证分析后，需要网站管理人员作出决策，凡有可能对网站造成机密性、完整性、可用性破坏的漏洞都应该考虑及时采取措施预防和修复。有部分不会对网站造成任何影响的漏洞可采取接受风险的策略。

3.漏洞未能修复之前怎么办？

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!