2010 ASEC Report Vol.06

安博士公司的安全响应中心(ASEC, AhnLab

Security Emergency Response Center)是以病毒

分析师及安全专家组成的全球性安全响应组织。此

报告书是由安博士公司的ASEC制作,且包含每月发

生的主要安全威胁与响应这些威胁的最新安全技术

的简要信息。

详细内容可以在[www.ahn.com.cn]里确认。

ASEC

2010-07-27

I. 本月安全趋势

1. 病毒播报 .................................................................... 3

2. 安全播报 .................................................................... 8

3. 网络安全播报 ... 오류! 책갈피가 정의되어 있지 않습니다.

Ⅰ. 本月安全播报

1. 恶意代码播报

Adobe PDF, SWF 漏洞相关

这次发现的漏洞不是 PDF 自身的漏洞，而是 PDF 内部包含的 SWF 文件。类似的漏洞有

‘Adobe Reader, Acrobat and Flash Player Remote Code Execution(CVE-

2009-1862)’ 。恶意的 PDF 形式如下图所示。

[图 1-5] 恶意的 PDF 文件的结构

加密的 EXE 文件运行后从特定的网关下载并运行相关文件。这里生成的 DLL 文件替换

系统文件 qmgr.dll 为自己的副本来执行恶意行为。运行后往特定的网关传送系统信息

和服务与应用程序的安装信息。目前 PDF 与 SWF 漏洞猖獗时期，需要赶紧对相关程序

进行安全升级。用户及管理者需认知这些漏洞，对自己或者企业内部使用的相关程序

进行及时准确的升级。

利用邮件形式的恶意代码

6 月中旬，包含*.html 形式文件的垃圾邮件十分猖獗。相关邮件的形态如下图所示，

邮件题目及邮件内容是不一样的。

[图 1-6] 垃圾邮件形式

点击附件后链接到特定的网站，最终链接到成人药品广告网站。在一部分变种发现了

下载恶意代码的网页，但这还没有确定。诸如此类在世界杯期间利用这些发送虚假邮

件的可能性比较高。还有, 应注意利用脚本形式的垃圾邮件，而不是利用像.EXE 扩展

名的可执行文件。

通过垃圾邮件传播的恶意代码形式

最近发现了利用如下题目在垃圾邮件插入恶意的 URL 链接，诱导用户连接后传播恶意

代码的事例。

Amazon.com: Get Ready for Cyber Monday Deals

*邮件地址* has sent you a birthday ecard.

FaceBook message: intense sex therapy

Reset your Facebook password

Reset your Twitter password

FIFA World Cup South Africa... bad news

*域名* account notification

除了上述的题目还存在很多其它的题目。点击相关邮件里包含的 html 文件或链接时会

自动连接到传播恶意代码的网站或成人药品广告网站。

[图 1-14] 点击 html 文件或链接时弹出的成人药品广告网站

已确认的传播恶意代码的网站是利用 MDAC (MS06-014), JAVA(CVE-2010-

0886), Adobe Reader 漏洞来下载并运行恶意代码。

安装的恶意代码是如下虚假杀毒软件。安装后呈现为了治疗要求结算或者发送垃圾邮

件的症状。

[图 1-15] 安装的虚假杀毒软件

预防被感染的方法首先最重要的是不接受及阅读不明来历的邮件，然后是对诸如

Adobe Reader 或 JRE 等应用程序和 Windows 系统进行安全补丁的升级。

利用社会工学技术的恶意代码的传播

最近发现了把 Antimalware Doctor 虚假杀毒软件伪装成 Windows 系统升级安装的

一些事例。

[图 1-16] 伪装成 Windows 系统升级的虚假杀毒软件安装程序

从[图 1-16]可以看出与 Windows 系统更新有着同样的形式，对电脑没有专门知识的

一般用户毫无疑问会安装虚假杀毒软件。这时安装的 Antimalware Doctor

还是有着与 Windows 安全中心同样的形式，用户很可能就误认为是 Windows 系统提供

的安全功能了。随之以虚假/夸张的扫描结果欺骗用户进行结算。

因此，使用了伪装成所有人都信赖的 Windows 升级程序来传播恶意代码之一的社会

工程学技术。预测以后会有更加先进的社会工程学技术将被应用。用户安装程序时有

必要更加慎重地观察相关的程序。

2. 安全播报

Adobe Reader & Flash Player 0day 漏洞(CVE-2010-1297)

6 月 5 日上报了新的 Adobe Reader (PDF) 漏洞。 相关漏洞与 2009 年 07 月上报过

的 Adobe Reader, Acrobat and Flash Player Remote Code Execution(CVE-

2009-1862, APSA09-03) 漏洞一样有着十分有趣的特征。

相关漏洞也是 Adobe Flash Player

10.0.45.2 下存在的漏洞影响安装了同样引擎(authplay.dll)的 Adobe Reader 的形

式，而不是 Adobe Reader 自身的漏洞。

观察实际的恶意的 PDF 文件内部的话，如下图所示包含有漏洞的压缩的 Flash 文件

（SWF 文件）。

[图 2-5] 包含SWF 文件的 PDF

另外，PDF 文件内部以加密形式包含了攻击者为了运行特定的命令而在 Heap 空间里

插 入 ShellCode 的 恶 意 的 JS 代 码 。 这次发现的 ShellCode 是 利 用 了

与目前使用的方式多少有点不同的 ROP(Return Oriented Exploitation)ShellCode

形式。

[图 2-6] Heap-Spray JS(包含ShellCode)

嵌入的 Flash 文件在 PDF 运行的同时发生漏洞并将代码流跳转到攻击者特定的

ShellCode 。

ShellCode 把内部包含的流解密后又会释放并运行其它的恶意代码(“C:\-.exe”-

Win-Trojan/Downloader.32256.DF)。

现在 Adobe 公司已经解决该漏洞并发布了 Adobe Flash Player

10.1.53.64 版本。对于 Adobe

Reader 的安全补丁预计 6 月 29 日发布，提醒用户赶紧更新。

MS Windows 帮助与支持 (helpctr.exe) 0day 漏洞(CVE-2010-

1885)

MS 公司 06 月 11 日出版了关于 Windows 帮助与支持中心的漏洞的安全公文。之

后，6 月 15 日在国外上报了恶意利用该 0day 漏洞的事例。

相关的漏洞不是简单的溢出漏洞，而是 Windows 帮助与支持中心(helpctr.exe)处理

HCP 协议的过程时出现异常，导致 Whitelist

Bypass 问题和在内部使用的 html 文件的跨站脚本(XSS)漏洞结合的形式。

[图 2-7] JS 漏洞

还有， 攻击者对 HCP 协议邀请使用了从 ASX HtmlView 调用 IFRAME 的方式以便

不让用户发现。

实 际 上 相 关 漏 洞 是 经 过 多 个 阶 段 发 生 的 。

通过跨站脚本(XSS)漏洞运行的 JS 代码被利用为在系统领域上释放另一个恶意代码(

Dropper/Selite.13193076)。

launchurl.html : 通过 ASX HtmlView 运行 simple.asx 文件的脚本

-> simple.asx : 连接 starthelp.htm 链接的 ASX 文件

-> starthelp.htm : 漏洞发生脚本

[图 2-8] XSS JS

对于相关漏洞的积极攻击还没有被上报，但是因为目前 MS 公司还没有对相关漏洞发

布了正式的安全补丁，所以依然存在恶意利用 0day 漏洞的可能性。

3. 网络安全趋势

OWASP Top10 2010

每年OWASP(Open Web Application Security Project)1 都会发表在网络应用

环境中最重要的10个威胁。通过这次发表，可以认识并预防安全漏洞，目的也是减少

相关攻击引起的危害。这次ASEC报告Vol.6中，通过OWASP Top 10，来了解网络

应用危害和预防方法。

1. 注入

a. 危险

- SQL, OS, LDAP注入缺点是不可信赖的数据成为命令与或Query语的一部分，发

生在interpreter发送当中。

- 攻击者的恶意数据会试图接近没有预防的命令执行或没有权限数据，来欺骗inter

preter。

b. 预防方法

- 注入的预防方法是经常要把不可信赖的数据与命令与和Query与分离开。

2. 跨网站Scripting（XSS）

a. 危险

- XSS缺点是没有适当的确认或限制，使应用获得不可信赖的数据发送到浏览器时

发生。

- XSS攻击者可以在浏览器中允许脚本的执行，达成获取用户session，伪造网站，

引导恶意网站。

b. 预防方法

- 预防XSS的方法是激活浏览器内容，没有分离不可信赖的数据。

1为了企业/机关可以开发，购买，维持信赖的应用，公开提出应用安全工具，标准，研究结果的论坛。

3. 漏洞认证和session管理

a. 危险

- 认证和session管理和相关应用功能总是不能正确实现。结果，使攻击者伪装成

其他用户身份导致密码，key，session token 体系处于危险状态，或者是允许

恶用实现的其他缺陷。

- 开发者应遵守如下事项。

* 维持强力的认证及session管理统治的单一体系。

* 试图努力防止盗用session ID时使用的XSS缺陷。

4. 参照不安全的直接个体参照

a. 危险

- 直接个体参照是开发者会在对文件，路径，数据库key一样的内部实现的个体进行

参照露出时发生。

- 如果没有对接近统治有所确认或者其他保护，攻击者会制作出接近这个没有参照

的数据。

b. 预防方法

- 用户或各session利用间接个体参照。

- 如果从不可信赖的源代码开始使用简介个体参照，为了确认每个邀请的个体使用

的用户接近，必须包含确认接近统治。

5. Cross 网站邀请编造（CSRF）

a. 危险

- CSRF攻击是登录的被害者浏览器在有漏洞的网络应用中，获取被害者的session

key和任何自动包含的认证信息，强制邀请编造的HTTP。

- 这是攻击者使被害者的浏览器强制允许，误认为漏洞应用是被害者的正当邀请而

生成的。

b. 预防方法

- CSFRF预防方法是包含每个HTTP邀请URL或Body中不能预测的token。生成的to

ken最少需要按用户session，来使用固有值使各个邀请也会固有。

6. 在安全上错误的构成

a. 危险

- 成功的安全是对于应用，Framework， 应用服务器，网络服务器，数据库服务器

和平台的安全构成有正确的定义及要求适应。

- 由于大部分不会基本的承载安全，所以所有的设置要定义，实现并且维持。这是

要包含在应用中使用的所有代码库，要包含所有软件应该维持最新状态。

b. 预防方法

- 适当被保护的其他环境构造可便捷生成的有反复可能的安全强化进程要一同构成

开发，品质保证，生产环境。

- 需要存在在各个配置环境中把所有新的软件更新和patch，在适当时期维持分配和

最新水准的线程。

7. 不安全的密码存储

a. 危险

- 很多网络应用在没有适当的用密码，hash来保护信用卡号，身份证号，还有认证

信誉信息等敏感数据。

- 攻击者为了盗用资格，欺诈信用卡或者用其他不正当的方法来窃取或制造被保护

的数据。

b. 预防方法

- 要考虑需要保护的敏感数据。（例，内部或外部用户的攻击）

- 从威胁防御的方式来确定所有敏感的数据是否加密。

8. URL接近限制失败

a. 危险

- 很多网络应用在表现保护的连接或按钮之前，会先确认URL接近权限。但是，应

用在每次接近网页时需要对接近统计进行确认。

- 攻击者为了接近隐蔽的网页，会编造URL。

b. 预防方法

- 为了接近没有被许可的URL，需要对各个网页进行选择，应要求适当的认证及接

近控制的仅仅方式。

9. 不充分的传送体系保护

a. 危险

- 应用总是会失败于保护敏感的网络traffic认证，加密和保密性。

- 失败的原因有使用不好的算法，到期或者无效的认证书，或没有正确使用。

b.预防方法

- 所有敏感的网页需要SSL。对网页的non-SSL邀请需要向SSL网页redirect。

- 所有敏感cookie需要设定‘secure’ Plag。

- 要构成强有力的算法（FIPS 140-2互换）支持的SSL提供体。

10.没有检测的redirect和forward

a. 危险

- 网络应用经常会引导用户到其他网页或者forward。杀毒、、但是，为了确定目地

网页，会使用不可信赖的数据。

- 如果没有适当的确认，攻击者会引导被害者到钓鱼网站或者恶意网站，吧forward

使用在以没有权限的网页。

b. 预防方法

- 避免redirect和forward使用。

- 如果使用的话，不要包含计算目的地用户参数。

- 不能避免目地参数，确认提供的值是否有效。

到目前为止，在OWASP中发表的网络应用安全危害及预防方法进行了了解。以后按各

危害的详细内容，再进行更详细了解。