2016-2017-2第四期网络与信息安全简报
发布时间:2017-05-17 文章来源:实验实训中心 点击次数:
一、安全漏洞(来自漏洞监测平台)
5月份上半月,根据市公安局网监及云监测平台监测,我校网站和应用系统暂无出现高中危漏洞情况。
根据国家信息安全漏洞共享平台(CNVD)的漏洞通报,5月份上半月主要存在如下漏洞:
(1)Microsoft Malware Protection Engine存在远程代码执行漏洞
Microsoft Malware Protection Engine是微软出品的恶意代码防护解决方案,被默认安装在Windows 8及上版本的操作系统中,对于Windows 8以前的操作系统中也很可能随着系统更新被安装。
近日微软发布安全通告,MalwareProtection Engine在实现机制上被发现存在一个远程命令执行漏洞,远程攻击者可能利用此漏洞通过向攻击对象发送恶意构造的文件(由邮件、网页、即时通信工具等渠道)在系统上以最高权限执行任意指令。
CNVD对该漏洞综合评级为“高危”。
二、防御情况(来自WAF、防火墙)
1、告警分类统计报表
2、告警分类统计数据
上半月,根据我校WAF防护结果统计,主要的攻击威胁如下
1)服务器信息泄露,共拦截323725次(主要为百度等搜索网站进行爬虫);
2)HTTP协议违背,共拦截2763次;
3)Web插件漏洞攻击,共拦截1598次。
三、上半月病毒动态分析
根据国家互联网应急中心网络病毒活动情况的报告,上半月本周境内感染网络病毒的主机数量约为 51.7 万个,其中包括境内被木马或被僵尸程序控制的主机约 33.0 万以及境内感染飞客(conficker)蠕虫的主机约 18.7万。 放马站点是网络病毒传播的源头。上半月,CNCERT 监测发现的放马站点共涉及域名 858 个,涉及 IP 地址 396 个。在 858 个域名中,有 2.2%为境外注册,且顶级域为.com 的约占 7.7%;在 396 个 IP 中,有约 4.3%位于境外。根据对放马 URL 的分析发现,大部分放马站点是通过域名访问,而通过 IP 直接访问的涉及 5 个IP。
日前,国家计算机病毒应急处理中心通过对互联网的监测,发现一个名为“wannacry”的勒索软件病毒正在全球大范围蔓延,截至目前,该病毒已经席卷包括中国、美国、俄罗斯及欧洲在内的100多个国家。我国部分高校内网、大型企业内网和政府机构专网遭受攻击。经紧急分析,判定该勒索软件是一个名为“wannacry”的新家族,基于445端口的SMB漏洞(MS17-010)进行传播,攻击者利用该漏洞,针对关闭防火墙的目标机器,通过445端口发送预先设计好的网络数据包文,实现远程代码执行。当系统被该勒索软件感染后,一是会弹出勒索对话框,采用AES和RSA加密算法加密系统中的照片、图片、文档、压缩包、音频、视频、可执行文件等类型的文件;二是会将自身复制到系统的每个文件夹下,并重命名为“@WanaDecryptor@.exe”;三是生成随机IP并发起新的网络攻击。
由于该勒索软件的加密强度大,目前被加密的文件还无法解密恢复。
我校第一时间做出应急响应,对出口及核心做好端口防护,并发布2次通知公告,提醒校园网用户提高防范意识,同时发布防护手册,要求校园网用户做好相应防护工作。
第1次通知链接:http://sysx.wzbc.edu.cn/Art/Art_17/Art_17_2287.aspx
第2次通知链接:http://sysx.wzbc.edu.cn/Art/Art_17/Art_17_2289.aspx
防护手册链接:http://sysx.wzbc.edu.cn/Art/Art_17/Art_17_2288.aspx
四、建议防范措施
根据我校5月份上半月整体网络与信息安全情况及外部网络威胁情况,请各学院、各部门做好相应安全措施,建议如下:
1、为防范wannacry勒索病毒攻击,我校网络信息安全员应在边界出口交换路由设备禁止外网对内网445、135、137、138、139端口的连接;在内网核心主干交换路由设备禁止445、135、137、138、139端口的连接。
2、系统管理员应针对各信息系统打好MS17-010安全补丁,并在服务器上关闭445、135、137、138、139 等端口。
3、针对终端用户,应提高防范意识,并做到:
1) 做好个人重要数据备份。个人的科研数据、工作文档、照片等,根据其重要程度,定期备份到移动存储介质、知名网盘或其他计算机中。
2) 养成良好的网络浏览习惯。不要轻易下载和运行未知网页上的软件,减少计算机被入侵的可能。
3) 注意个人计算机安全维护。自动定期更新系统补丁,安装常用杀毒软件和安全软件,升级到最新病毒库,并打开其实时监控功能。
4) 停止使用微软官方已经明确声明不会进行安全漏洞修补的操作系统和办公软件。Office文档中的宏是默认禁止的,在无法确认文档是安全的情况下,切勿盲目打开宏功能。
5) 不要打开来历不明或可疑的电子邮件和附件。
6) 注意个人手机安全,安装手机杀毒软件,从可靠安全的手机市场下载手机应用程序。
7) 根据实训中心发布的防护手册进行防护操作,链接地址:http://sysx.wzbc.edu.cn/Art/Art_17/Art_17_2288.aspx