一、CVE-2014-0160漏洞背景
2014年4月7日OpenSSL发布了安全公告,在OpenSSL1.0.1版本中存在严重漏洞(CVE-2014-0160)。OpenSSL Heartbleed模块存在一个BUG,问题存在于ssl/dl_both.c文件中的心跳部分,当攻击者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy函数把SSLv3记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的OpenSSL 服务器 内存中多达64K的数据。
在目前已有的资料中,国内外同行已经称本漏洞为 “击穿心脏”、“毁灭级”、“今年最严重”的漏洞。由于SSL协议是网络加密登陆认证、网络交易等的主流安全协议,而OpenSSL又是主流的SSL搭建平台。因此这些称呼好不为过,建议各网络服务提供者、管理机构和用户高度注意本漏洞的处理情况,希望广大用户做出相应的对策。
二、OpenSSL受影响版本的分布
根据已经公开的信息,该漏洞影响分布情况如下。
OpenSSL 1.0.1f (受影响)
OpenSSL 1.0.2-beta (受影响)
OpenSSL 1.0.1g (不受影响)
OpenSSL 1.0.0 branch (不受影响)
OpenSSL 0.9.8 branch (不受影响)
三、处置建议
1、针对网络管理员,可以做的事情包括
鉴于本漏洞的严重程度,如果确定本漏洞存在,对一般性的网络服务者,暂停服务进行处置是一种较好的应对策略。
如果确定本漏洞存在,又必须保证服务不能停止,可以在漏洞修补过程中,暂时停止https服务,改用http服务,但这会带来相关认证信息明文传输的风险,具体利害需要做出谨慎的判断权衡。
具体修补方式为:
OpenSSL版本升级到最新的1.0.1g
重新生成你的私钥
请求和替换SSL的证书
也可以使用-DOPENSSL_NO_HEARTBEATS参数重新编译低版本的OpenSSL以禁用Heartbleed模块
最新版本升级地址为:(OpenSSL官方)
2、针对普通网络用户,我们郑重提出的建议包括
鉴于本漏洞的严重程度,在不能确定你所网站和服务修补了本漏洞的情况下,在未来2~3天内(2014年4月9日日起)不登陆,不操作是一种较好的应对策略(这些操作包括网购、网银支付等)。
如果你必须进行操作,可以关注这些网站和服务的修改情况。
一些手机客户端的登陆,是对SSL的封装,因此手机登录也不安全。
其他安全企业团队会公布目前仍有问题的站点、或没有问题的站点情况,请予以关注。
四、分析与验证
目前该漏洞的利用和验证脚本已经可以被广泛获取,地址包括。
(web测试页面)
****guin.org/ssltest.py (python脚本)
http:// **.* u u.com/s/1nt3BnVB (python脚本)
尽管从安全团队的角度,我们不适宜明文传播这些地址,但我们必须提醒用户的是,几乎所有的攻击者都已经拥有了相关资源,在过去24小时内,这一漏洞已经遭到了极为广泛的探测和尝试。相信大多数有漏洞的站点均遭到了不止一次的攻击。
鉴于该漏洞的严重程度和攻击爆发事件,我们不得不打破搭建环境,测试验证的管理,
在第一时间,选择相对“轻量级”的网站做出直接验证,以分析其实际后果敏感信息。通过网络中已有的测试方法,我们寻找到几个存在问题的网站进行分析,为了避免行为失当,我们没有选择与金融、交易相关的站点。
存在问题的网站地址:
Ap***.*****.gov.cn (测试时间为2014-04-09 01:00)
my-****.in (测试时间为2014-04-09 01:10)
www.shu****.cn (测试时间为2014-04-09 01:15)
git****.com (测试时间为2014-04-09 01:20)
feng*****.com (测试时间为2014-04-09 01:30)
获取回来的相关信息情况如下:
图 1 测试网站1
通过漏洞利用工具发送数据后,返回的数据中可以看到有内网IP地址、路径等信息。
图 2 测试网站2
通过漏洞利用工具发送数据后,返回的数据中可以看到有APP信息、cookie信息和用户名信息等。
图 3 测试网站3
通过漏洞利用工具发送数据后,返回的数据中可以看到有手机号码等。
图 4 测试网站4
通过漏洞利用工具发送数据后,返回的数据中可以看到有信箱和密码等信息。
通过上面的几个网站的分析测试,发现该漏洞确实可以获取到带有敏感信息的内存内容。例如:用户的cookie信息、内网IP地址、用户名、密码、手机号、信箱等。如攻击者利用此漏洞对网络交易、证券、银行等网络进行攻击,那么将会获取到用户名、密码、银行账号等敏感信息。再次提醒网站管理员和使用SSL协议连接网站的用户请尽快按照我们的处置建议进行操作。
五、网络检测相关方法
通用Snort规则检测
由于众所周知的SSL协议是加密的,我们目前没有找到提取可匹配规则的方法,我们尝试编写了一条基于返回数据大小的检测规则,其有效性我们会继续验证,如果有问题欢迎反馈。
alert tcp $EXTERNAL_NET any -> $HOME_NET 443 (msg:”openssl Heartbleed attack”;flow:to_server,established; content:”|18 03|”; depth: 3; byte_test:2, >, 200, 3, big; byte_test:2, <, 16385, 3, big; threshold:type limit, track by_src, count 1, seconds 600; reference:cve,2014-0160; classtype:bad-unknown; sid:20140160; rev:2;)
Snort规则说明:此次漏洞主要针对的SSL协议。是针对心跳数据包前4个字节中包含\x18\x03,而在数据包第5个字节和第6个字节的数值按大尾模式转化成数值在200和16385之间,在后面则是一些报警和过滤功能,日志记录里,每10分钟记录一次。
行为检测
从公共网络管理者的角度,可以从同一IP短时间探测多个443端口的网络连接角度进行检测。这样可以发现攻击者或肉鸡的大面积扫描行为。
另外由于攻击者可能定期性的进行数据持续获取,也可以从连接持续规律的时间性和首发数据数量的对比的角度进行检测。
其他
是否相关攻击的主机痕迹和取证方式,我们正在验证。
inteinfo.exe是什么进程?
进程文件: inetinfo 或者 进程文件: IIS Admin Service Helper 出品者: Microsoft Corp. 属于: Microsoft Windows Server Suites 系统进程: 是 后台程序: 是 使用网络: 否 硬件相关: 否 常见错误: 未知N/A 内存使用: 4884KB 安全等级 (0-5): 0 间谍软件: 否 广告软件: 否 病毒: 否 木马: 否 占用了100%cpu的解决方案 1、使用Windows Update更新系统。 2、停用IIS默认的管理站点,停用默认站点的虚拟目录。 3、删除IIS的日志文件。 当由于非法关机(如:断电)造成日志损坏,那么IIS在继续写入日志时会发生错误;把损坏的日记删除后,重启IIS,IIS会重建日志就能修正错误。 4、可能是病毒或者木马造成此问题,本身是正常的程序,可能的情况是: (1)、有同名但位置不同的病毒文件存在并运行 (2)、该文件确实被病毒感染,如果是这样,计算机那就可能被能感染EXE格式文件的病毒感染了 先停止 和 这两个进程,然后再将C:\WINDOWS\SESTEM\ 和C:\WINDOWS\SESTEM\这两个文件删除就OK了。 其中是一个木马程序,可以用相关的木马扫描工具扫描出来。
为什么QQ消息发送超时?
本地出现此种情况可能与本地电脑的设置及程序安装有关,建议:
1、检查使用的是否非官方QQ版本、是否装有某些非官方的QQ插件;
2、将QQ软件完全卸载再使用新路径安装官方最新版本;
3、检测系统是否存在漏洞或有非法病毒代码入侵;
4、测试网络是否不稳定,若确为不稳定请检查您的网络,同时也可联系网络服务商咨询。
请问瑞星卡卡,好用吗?
很好啊 我一直用这瑞星卡卡上网安全助手6.0版是一款基于互联网设计的全新反木马软件,拥有木马下载拦截、木马行为判断和拦截、自动在线诊断三大反木马功能,依托瑞星领先的云安全(Cloud Security)计划,可有效拦截、防御、查杀各种木马病毒,并能帮助用户自动扫描并修补系统和第三方软件漏洞,优化电脑系统,是广大网民必备的安全软件。 卡卡上网安全助手6.0版新增功能:1、木马下载拦截:基于业界领先的反木马技术,拦截中毒电脑通过网络下载更多的病毒和盗号木马,截断木马进入用户电脑的通道,有效遏制木马群等恶性木马病毒的泛滥。 2、木马行为判断与拦截:基于强大的智能主动防御技术,当木马和可疑程序启动、加载时,立刻对其行为进行拦截,阻断其盗号等破坏行为,在木马病毒运行时发现并清除,保护QQ、网游和网银的账号安全。 3、自动在线诊断:瑞星云安全(Cloud Security)计划的核心功能。 自动检测并提取电脑中的可疑木马样本,并上传到瑞星木马/恶意软件自动分析系统(Rs Automated Malware Analyzer,简称RsAMA),随后RsAMA将把分析结果反馈给用户,查杀木马病毒,并通过瑞星安全资料库(Rising Security Database,简称RsSD),分享给其他所有瑞星卡卡6.0用户。 卡卡上网安全助手6.0增强功能:1、全新的“漏洞扫描与设置”,自动修复操作系统及第三方软件漏洞 应用全新开发的漏洞扫描引擎,智能检测Windows系统漏洞、第三方应用软件漏洞和相关安全设置,并帮助用户修复。 用户也可以根据设置,实现上述漏洞的自动修复,简化了用户的操作,同时更加及时的帮助用户在第一时间弥补安全隐患。 2、强力系统修复 对于被病毒破坏的系统设置,如IE浏览器主页被改、经常跳转到广告网站等现象,卡卡助手会修复注册表、系统设置和host文件,使电脑恢复正常。 3、强大的进程、启动项管理 帮助用户有效管理电脑中的驱动、开机自启动软件、浏览器插件等,可有效提高用户电脑的运行效率。 4、高级工具集 针对熟练电脑用户,卡卡上网安全助手6.0提供了全面的实用功能:垃圾文件清理、系统启动项管理、服务管理、联网程序管理、LSP修复、文件粉碎和专杀工具。 5、七大监控保护用户系统安全 卡卡上网安全助手6.0,具有自动在线诊断、U盘病毒免疫、自动修复系统漏洞、木马行为判断与拦截、不良网站防护、IE防漏墙和木马下载拦截7大监控体系。 全面开启保护用户电脑安全。 卡卡上网安全助手6.0其他主要功能:1、扫描流氓软件:依靠瑞星强大的反流氓软件技术,彻底扫描并清除系统中的流氓软件。 2、查杀流行木马:彻底清除百万余种流行盗号木马,保证用户个人信息安全。 3、电脑使用痕迹清理:快速帮助用户清理上网痕迹和应用软件使用记录。 包括:Windows使用痕迹、上网历史记录、影音播放软件历史痕迹、下载软件历史痕迹、微软Office历史痕迹、其他常用软件使用痕迹。
发表评论