Duqu蠕蟲在潛伏

文/鄭先偉

Duqu蠕蟲在潛伏

文/鄭先偉

竊取特定文件的Duqu蠕蟲

11月教育網(wǎng)整體運(yùn)行正常，未發(fā)生重大的安全事件。該月的安全投訴事件基本與前幾個(gè)月持平，網(wǎng)頁掛馬數(shù)量繼續(xù)減少。

11月需要關(guān)注的病毒是Duqu蠕蟲。Symantec公司最先宣布發(fā)現(xiàn)這個(gè)病毒，并為其命名為Duqu。

Duqu是一種類似于Stuxnet蠕蟲（攻擊過伊朗核電站的蠕蟲）的木馬病毒程序，它感染系統(tǒng)后會(huì)竊取某些特定格式的文件（如工業(yè)設(shè)計(jì)圖紙），同時(shí)還會(huì)記錄擊鍵，并將這些竊取的信息加密偽裝成圖片文件發(fā)還給攻擊者，Duqu木馬病毒會(huì)利用多種系統(tǒng)漏洞進(jìn)行攻擊，其中包括一個(gè)Windows內(nèi)核中的0day漏洞。

目前這種木馬還不會(huì)主動(dòng)傳播，僅依靠社會(huì)工程學(xué)的方式進(jìn)行傳播，在國外已經(jīng)有多家公司被發(fā)現(xiàn)感染這種木馬，不過在國內(nèi)暫時(shí)還未傳出有被感染的報(bào)道。由于病毒本身還處于靜默狀態(tài)，所以實(shí)際感染的情況還需要進(jìn)一步關(guān)注，用戶應(yīng)該加強(qiáng)防范。

2011年10月～2011年11月教育網(wǎng)安全投訴事件統(tǒng)計(jì)

近期新增嚴(yán)重漏洞評(píng)述

微軟11月份發(fā)布4個(gè)安全公告，其中1個(gè)為嚴(yán)重等級(jí)，2個(gè)為重要等級(jí)，1個(gè)為中等，其中，Windows TCP/IP引用計(jì)數(shù)溢出漏洞(MS11-083)為嚴(yán)重等級(jí)，攻擊者可通過發(fā)送一系列特制UDP報(bào)文到系統(tǒng)已關(guān)閉的端口來利用該漏洞，成功利用該漏洞攻擊者可以控制受影響系統(tǒng)。用戶應(yīng)該盡快更新相應(yīng)的補(bǔ)丁程序。

除微軟公司外，其他一些第三方軟件公司也發(fā)布了最新版本的軟件以修補(bǔ)舊版本中的安全漏洞，如Mozilla公司的Firefox瀏覽器、Google公司的Chrome瀏覽器、Adobe公司的PDF Reader／Acrobat和Flash Player軟件等，用戶應(yīng)該使用軟件自帶的更新功能盡快更新到最新版本。

Microsoft Windows內(nèi)核Word文件處理遠(yuǎn)程代碼執(zhí)行漏洞（0day）

1. 影響系統(tǒng)：Windows XP，Windows 2003，Windows 2008，Windows 7。

2. 漏洞信息：Windows內(nèi)核存在一個(gè)安全問題，允許攻擊者以內(nèi)核上下文執(zhí)行任意代碼。攻擊者可以引誘用戶打開包含惡意攻擊代碼的Word文檔。當(dāng)這個(gè)Word文件打開時(shí)，惡意代碼會(huì)被執(zhí)行。

3. 漏洞危害：攻擊者可以通過網(wǎng)頁、電子郵件附件或者社會(huì)工程學(xué)的方式引誘用戶打開包含惡意攻擊程序的Word文檔。通過此漏洞，攻擊者可以在用戶系統(tǒng)上執(zhí)行任意命令。目前Duqu蠕蟲正在利用該漏洞。

4. 解決辦法：目前微軟還未針對(duì)該漏洞發(fā)布補(bǔ)丁程序，用戶應(yīng)隨時(shí)關(guān)注廠商的動(dòng)態(tài)：http://www.microsoft.com/。

在沒有補(bǔ)丁程序前，用戶應(yīng)該謹(jǐn)慎打開那些來歷不明的Word文檔，尤其是存在于電子郵件附件中的文檔。

ISC BIND 9遞歸查詢遠(yuǎn)程拒絕服務(wù)漏洞（0day）

1. 影響系統(tǒng)：ISC BIND 9所有版本。

2. 漏洞信息：ISC的BIND程序是目前互聯(lián)網(wǎng)上使用最為廣泛的DNS服務(wù)程序。最近BIND軟件被爆出存在一個(gè)拒絕服務(wù)攻擊漏洞，在某種特定情況下使用 BIND 9 軟件的遞歸查詢服務(wù)器會(huì)緩存一個(gè)無效域名解析記錄，當(dāng)客戶端對(duì)這一記錄查詢時(shí)，遞歸查詢服務(wù)器會(huì)在緩存中查找到這一記錄并應(yīng)答。由于程序存在Bug，之后的服務(wù)進(jìn)程會(huì)發(fā)生崩潰，造成服務(wù)中斷。

3. 漏洞危害：這個(gè)漏洞影響所有版本的BIND9軟件，不過只在服務(wù)器提供遞歸查詢服務(wù)時(shí)才可能被激發(fā)。攻擊者可以偽造特定的DNS查詢請(qǐng)求來利用該漏洞，受漏洞影響的BIND9遞歸服務(wù)器應(yīng)答時(shí)會(huì)在日志中記錄query.c錯(cuò)誤信息：“INSIST(!dns_rdataset_isassociated(sigrdatase t))”之后發(fā)生崩潰，造成服務(wù)中斷。由于這個(gè)漏洞屬于程序Bug，目前具體的原因還不清晰，因此未發(fā)現(xiàn)明顯的攻擊行為。

4. 解決辦法：目前廠商已經(jīng)針對(duì)這個(gè)漏洞發(fā)布安全通告，但是還沒有提供補(bǔ)丁或者升級(jí)程序。我們建議管理員隨時(shí)關(guān)注廠商的主頁以獲取最新版本：http://www.isc.org/。

（作者單位為中國教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）

安全提示

鑒于近期安全風(fēng)險(xiǎn)，D N S管理員應(yīng)該：

1. 隨時(shí)關(guān)注軟件廠商的動(dòng)態(tài)，有了補(bǔ)丁或新版本應(yīng)該及時(shí)更新；

2. 如果條件允許，主域名解析服務(wù)和遞歸查詢服務(wù)應(yīng)該分別使用單獨(dú)的服務(wù)器；

3. 對(duì)于提供遞歸查詢服務(wù)的域名服務(wù)器，應(yīng)該將遞歸解析的服務(wù)范圍限制在特定的IP地址段內(nèi)。