2016 年上半年焦点信息安全事件盘点：要想好好上个网，容易嘛我！

不要不相信，11月16日，

七八线地区的童鞋们更要注意的是，对，你们更危险，请看——

从行业分布情况来看，地方企业占比最高，运营商、政府教育及医疗行业也存在较多问题。漏洞的行政属性较为明显，区县及以下单位问题最多，合计有 252969 个高危漏洞，其次是各省市级单位，共曝出 108722 个高危漏洞，可以明确看到区县及以下级别单位的漏洞数量要明显高于部委、集团、省市级单位。

看上去读者你是不是没什么触动的意思？没关系，看一下以下焦点安全事件盘点，你可能会发出：“唉呀妈呀，你们说的就是这个事！”或者可能你就是其中一个受害者。

信息安全事件1.LinkedIn 用户账户信息泄露

盆友，坦白跟你说，社交平台现在是黑客的“关注点”哦！越来越多的问题被发现，例如数据泄露、诈骗或者其他攻击。

如果你曾经换过工作，那么这类社交求职平台可能会毫不留情地把你的信息泄露。如下对话可能会发生：

A：李先生你好，听说你要跳槽

B：(十分惊喜状，以为猎头来了)，对对对，是的，你有什么好职位？

A：那个，就想问问您，一般跳槽可能会换租房是吧，我是租房中介。

……

这一次，受伤害的是领英（ LinkedIn）。它是全球最大职业社交网站，会员遍布 200 多个国家和地区，总数超过4 亿人，致力于向全球职场人士提供沟通平台，并协助他们在职场事半功倍，发挥所长。加
入后，可浏览会员资料、在招职位、行业消息、人脉圈动态和对您职业技能有帮助的相关信息。

2012 年，一名自称“和平”的俄罗斯黑客攻击了领英网站，获取了超过 600 万条用户登录信息，并泄露在网上。

比 2012 年更为严重的是 2016 年，仍是一位自称“和平”的俄罗斯黑客获取了 1.17 亿领英电子邮件 ID 以及用户的登录密码，并在暗网市场上以 5 个比特币（约 $2200 或￥15000）的价格进行出售。

暗网出售截图

信息安全事件2.百万邮件账户信息被盗

用过雅虎、hotmail、和Gmail 邮箱的朋友肯定还记得这次灾难——

2016 年 5 月 7 日，根据路透社报道，黑客正在黑市上交易高达 272300000 条被盗的邮件账户用户名和密码，其中， 57000000 条俄罗斯 Mail.ru 邮件账户、 40000000 条雅虎邮件账户、 33000000 条 hotmail 邮件账户以及 2400000 条 Gmail 邮件账户。

信息安全事件3.

Ramnit代码在页面中驻留的代码片断

Ramnit 主要在用户% TEMP %文件夹中植入了一个名为“svchost.exe”的二进制文件并执行关联的 ActiveX 控件，受感染的用户主机会试图连接到与 Ramnit 相关的一个木马控制服务器——fget-career.com。

2015年11月至2016年3月间的巡检结果显示境内共计有约 1250 台境内WEB服务器被挂载过 Ramnit 恶意代码，被入侵的服务器主要类型为 Microsoft IIS（占比69.3%），其次是 Apache 系列服务器（占比19.2%）。

信息安全事件4.

2016年7月20日，据国外媒体 softpedia 报道，中国 MS509Team 的两大安全研究人员 Chora 和 MelodyZX 开发了新型Webshell管理工具“Cknife”，在 GitHub 开放源代码供所有人使用，当然黑客也不例外。

2015年12月，跨平台版中国菜刀—Cknife发布，它是由Java语言编写的，包括服务器端组件，可以管理链接至 Java、PHP、ASP 和 ASP.NET 服务器。

工具运行原理

Cknife 与 Chopper 有一些共同之处，像图标以及处理HTTP请求中的一些怪异模式。但这两种工具却也截然不同，Cknife 用 Java 编写，而 Chopper 则用 C++ 编写而成。

此外，Cknife 通过 HTTP 打开 Webshell GUI 与被感染服务器之间的连接，而 Chopper 使用 HTTPS。Recorded Future 表示，Cknife 开发人员许诺在今后几个月会支持 HTTPS.

信息安全事件5.只针对中国用户的勒索软件CuteRansomware

那么，在实际案例中，有没有真的只针对中国用户的的勒索软件呢？历史告诉大家，真的有！

2016年7月15日，有安全研究人员发现了一个名为 cuteRansomware 的新恶意勒索软件。该恶意软件代码的注释及勒索内容全部使用的中文，这就意味着，该勒索软件目前只将中国用户作为攻击目标。再仔细查看代码并比对 AVG 研究人员发现的版本之后，研究人员还发现该版本还采用谷歌文档表格作为其 C &C服务器。

cuteRansomware 会感染计算机，生成 RSA 加密密钥，然后通过 HTTPS 将密钥传送到谷歌文档表格中。

信息安全事件6.

WinRT PDF 作为 Windows 10 系统的默认 PDF 阅读器，能够像过去几年爆发的 Flash、Java、Acrobat漏洞相似允许黑客通过 Edge 浏览器发起一系列攻击。Windows Runtime（WinRT）PDF 渲染库或者简称 WinRT PDF，是内嵌至 Windows 10 系统中的重要组件，允许开发者在应用中轻松整合PDF阅读功能。该渲染库被已经在 Windows Store 上架的应用广泛使用，包括 Windows 8/8.1 的默认阅读应用和微软最新的Edge浏览器。

攻略：为何你中招，如何不再中招？

如果你曾经不小心遇到上述问题，可能不是你运气差。

• 在基础管理方面，虽然目前有 95% 的单位有专人负责安全运维工作，但是超过 5 人的安全团队不足 20%，同时有将近一半的单位缺失安全制度及应急响应流程。 意思是，大事不好了，然而网站运维也蒙圈了。

• 在资产管理方面，有将近 50% 的单位没有进行网站资产的定期梳理，导致很多新建站点数据库等端口在公网暴露，往往这些单位也不清楚下辖单位的网站资产全集。同时，有 70% 以上网站都是外包建站， 40% 以上是外包运营，如果对于外包过程掌控不足，很容易留下大量安全隐患。 意思是，我把内衣、底裤都挂到摄像头下了，还特别喜欢找别人帮我晾衣服，被拿走了都不知道。

• 在建站开发方面，使用第三方软件框架种类繁多，有各类开源服务器（如 apache、
  Lighttpd 等 )、开源数据库 ( 如 mysql、 PostgreSQL 等 )、开源论坛框架（如 phpwind、phpcms 等）等，这些开源产品如果不能很好地管理，会导致大量配置相关的风险隐患。

• 在漏洞管理方面，有将近 40% 的单位认为高危漏洞处于个位数，但事实比这糟糕得多，
  有 61% 的单位低估了漏洞的数量以及危害，另外 96% 的单位在彻底修复漏洞前没有
  做任何漏洞防御措施。 意思是，狼来了，但是以为羊来了。

• 在威胁管理方面，仅有 6% 的单位能对扫描行为和模拟的攻击行为进行拦截。在事件管理方面，仅有 20% 的单位明确进行了网站各类事故的监测，其余各单位有将近一半反馈没有做网站事故灾害监测，而另一半则不确认本单位是否做了安全事故灾害监测。

为此，除了建立健全安全管理组织形式，明确清晰安全管理工作职责，构建落实安全管理体系框架，绿盟科技着重建议建立完善安全管理运营流程。

以监测、发现、与处理一项网站漏洞为例，以下为高能实操攻略：

1.如何发现漏洞这个小妖精？

办法一，日常漏洞监测与扫描。这其中包含Web 漏洞和系统漏洞的监测与发现，由于网站安全漏洞会不断被发现和公开，所以使用扫描设备对网站漏洞进行监测是个持续的过程，并且需要纳入到日常管理工作范畴。
办法二，紧急漏洞通告的舆情监测。紧急漏洞通告一般是指业内将漏洞及漏洞验证代码同时公开的漏洞，这些漏洞往往有高风险、波及范围广、对应的攻击代码传播快的特点。通常在紧急漏洞公开之前或公开的同一天会出现利用该漏洞的攻击工具。所以，对一些第三方的漏洞通报平台、各安全厂商发布紧急漏洞信息的平台、各类黑客论坛进行情报监测。

2.发现漏洞以后怎么办？

3.漏洞未能修复之前怎么办？

在漏洞未能修复之前采取的临时措施，通常是在漏洞修复之前采用技术手段将来自外部的风险（漏洞利用）屏蔽。这个过程可以通过修改 Web 程序来实现，也可以依赖于网站的防护设备，通过追加临时安全防护策略可以拦截外部攻击者利用漏洞的行为。

在漏洞预防策略实施后，需要再次通过人工方式或设备验证漏洞预防策略是否已生效。当然，漏洞预防措施的实施不代表漏洞不需要修复，因为来自内部的威胁照样存在，彻底解决的办法还是修复漏洞。如果发现漏洞后可以快速修复漏洞，甚至可以不采取漏洞预防的措施。

4.如何修复？