11月16日，中國電信股份有限公司北京研究院與北京神州綠盟信息安全科技股份有限公司（以下簡稱綠盟科技）等單位共同發(fā)布了調(diào)研產(chǎn)出的《2016 年上半年中國網(wǎng)站安全報告》，其中給出了一組數(shù)據(jù)：

相比 2015 年上半年， 2016 年上半年高危漏洞占比有所增加。 2015 年上半年監(jiān)測發(fā)現(xiàn)每個網(wǎng)站平均漏洞數(shù)達(dá) 658 個，其中，高危漏洞數(shù)為 7 個。 2016 年上半年監(jiān)測的網(wǎng)站數(shù)據(jù)顯示，平均每個網(wǎng)站漏洞數(shù)達(dá) 773個，其中，高危漏洞數(shù)高達(dá) 22 個。

七八線地區(qū)的童鞋們更要注意的是，對，你們更危險，請看——

從行業(yè)分布情況來看，地方企業(yè)占比最高，運(yùn)營商、政府教育及醫(yī)療行業(yè)也存在較多問題。漏洞的行政屬性較為明顯，區(qū)縣及以下單位問題最多，合計有 252969 個高危漏洞，其次是各省市級單位，共曝出 108722 個高危漏洞，可以明確看到區(qū)縣及以下級別單位的漏洞數(shù)量要明顯高于部委、集團(tuán)、省市級單位。

看上去讀者你是不是沒什么觸動的意思？沒關(guān)系，看一下以下焦點(diǎn)安全事件盤點(diǎn)，你可能會發(fā)出：“唉呀媽呀，你們說的就是這個事！”或者可能你就是其中一個受害者。

1.LinkedIn 用戶賬戶信息泄露

盆友，坦白跟你說，社交平臺現(xiàn)在是黑客的“關(guān)注點(diǎn)”哦！越來越多的問題被發(fā)現(xiàn)，例如數(shù)據(jù)泄露、詐騙或者其他攻擊。

如果你曾經(jīng)換過工作，那么這類社交求職平臺可能會毫不留情地把你的信息泄露。如下對話可能會發(fā)生：

A：李先生你好，聽說你要跳槽

B：(十分驚喜狀，以為獵頭來了)，對對對，是的，你有什么好職位？

A：那個，就想問問您，一般跳槽可能會換租房是吧，我是租房中介。

……

這一次，受傷害的是領(lǐng)英（ LinkedIn）。它是全球最大職業(yè)社交網(wǎng)站，會員遍布 200 多個國家和地區(qū)，總數(shù)超過4 億人，致力于向全球職場人士提供溝通平臺，并協(xié)助他們在職場事半功倍，發(fā)揮所長。加入后，可瀏覽會員資料、在招職位、行業(yè)消息、人脈圈動態(tài)和對您職業(yè)技能有幫助的相關(guān)信息。

2012 年，一名自稱“和平”的俄羅斯黑客攻擊了領(lǐng)英網(wǎng)站，獲取了超過 600 萬條用戶登錄信息，并泄露在網(wǎng)上。

比 2012 年更為嚴(yán)重的是 2016 年，仍是一位自稱“和平”的俄羅斯黑客獲取了 1.17 億領(lǐng)英電子郵件 ID 以及用戶的登錄密碼，并在暗網(wǎng)市場上以 5 個比特幣（約 $2200 或￥15000）的價格進(jìn)行出售。

暗網(wǎng)出售截圖

2.百萬郵件賬戶信息被盜

用過雅虎、hotmail、和Gmail 郵箱的朋友肯定還記得這次災(zāi)難——

2016 年 5 月 7 日，根據(jù)路透社報道，黑客正在黑市上交易高達(dá) 272300000 條被盜的郵件賬戶用戶名和密碼，其中， 57000000 條俄羅斯 Mail.ru 郵件賬戶、 40000000 條雅虎郵件賬戶、 33000000 條 hotmail 郵件賬戶以及 2400000 條 Gmail 郵件賬戶。

另外，還包含成千上萬的德國和中國的電子郵件戶，以及數(shù)以千計的涉及美國銀行業(yè)、制造業(yè)和零售業(yè)公司員工的用戶名和密碼組合如圖：

3.國內(nèi)部分網(wǎng)站存在 Ramnit 惡意代碼攻擊

2016年4月，CNCERT 監(jiān)測發(fā)現(xiàn)，一個名為“ Ramnit ”的網(wǎng)頁惡意代碼被掛載在境內(nèi)近600個黨政機(jī)關(guān)、企事業(yè)單位網(wǎng)站上，一旦用戶訪問網(wǎng)站有可能受到掛馬攻擊，對網(wǎng)站訪問用戶的 PC 主機(jī)構(gòu)成安全威脅。

專門針對天朝黨政機(jī)關(guān)、企事業(yè)單位網(wǎng)站，膽子不小！

Ramnit 惡意代碼是一個典型的 VBScript 蠕蟲病毒，可通過網(wǎng)頁掛馬的方式進(jìn)行傳播，當(dāng)用戶瀏覽含有 Ramnit 惡意代碼的 HTML 頁面時，點(diǎn)擊加載 ActiveX 控件，用戶主機(jī)就很有可能受到惡意代碼的感染。如下圖所示為 Ramnit 代碼在頁面中駐留的代碼片斷。

Ramnit代碼在頁面中駐留的代碼片斷

Ramnit 主要在用戶% TEMP %文件夾中植入了一個名為“svchost.exe”的二進(jìn)制文件并執(zhí)行關(guān)聯(lián)的 ActiveX 控件，受感染的用戶主機(jī)會試圖連接到與 Ramnit 相關(guān)的一個木馬控制服務(wù)器——fget-career.com。

根據(jù) CNCERT 監(jiān)測情況分析，Chrome 和 Firefox 瀏覽器用戶不會受到惡意代碼的影響，而較高版本的 IE 瀏覽器也會對此類 ActiveX 控件進(jìn)行告警提示而不是自動執(zhí)行。所以，受影響的主要是較低版本的 IE 瀏覽器。建議IE瀏覽器用戶在訪問互聯(lián)網(wǎng)站時做好 IE 安全設(shè)置（建議設(shè)置為中-高安全級別），禁止執(zhí)行不明來源的ActiveX控件。

2015年11月至2016年3月間的巡檢結(jié)果顯示境內(nèi)共計有約 1250 臺境內(nèi)WEB服務(wù)器被掛載過 Ramnit 惡意代碼，被入侵的服務(wù)器主要類型為 Microsoft IIS（占比69.3%），其次是 Apache 系列服務(wù)器（占比19.2%）。

4.全網(wǎng)服務(wù)器安全恐遭“菜刀-Cknife”威脅

2016年7月20日，據(jù)國外媒體 softpedia 報道，中國 MS509Team 的兩大安全研究人員 Chora 和 MelodyZX 開發(fā)了新型Webshell管理工具“Cknife”，在 GitHub 開放源代碼供所有人使用，當(dāng)然黑客也不例外。

2015年12月，跨平臺版中國菜刀—Cknife發(fā)布，它是由Java語言編寫的，包括服務(wù)器端組件，可以管理鏈接至 Java、PHP、ASP 和 ASP.NET 服務(wù)器。

工具運(yùn)行原理

創(chuàng)業(yè)公司 Recorded Future 的一份調(diào)查研究指出，Chopper 是 2013 年發(fā)布的一款非常有效但卻過時（代碼級別）的 Webshell 管理工具，深受中國各種顏色帽、犯罪組織以及高級持續(xù)性威脅者追捧。Cknife 是 Chopper 的“升級版”。

Cknife 與 Chopper 有一些共同之處，像圖標(biāo)以及處理HTTP請求中的一些怪異模式。但這兩種工具卻也截然不同，Cknife 用 Java 編寫，而 Chopper 則用 C++ 編寫而成。

此外，Cknife 通過 HTTP 打開 Webshell GUI 與被感染服務(wù)器之間的連接，而 Chopper 使用 HTTPS。Recorded Future 表示，Cknife 開發(fā)人員許諾在今后幾個月會支持 HTTPS.

Cknife 是網(wǎng)絡(luò)服務(wù)器的 RAT 。Cknife 允許用戶一次連接多個服務(wù)器，同時連接網(wǎng)絡(luò)服務(wù)器與數(shù)據(jù)庫并運(yùn)行命令行訪問的遠(yuǎn)程shell。

Recorded Future 警告稱，“Cknife 是中國攻擊者過去半年以來一直在討論(可能在使用)的可置信威脅。考慮到圍繞網(wǎng)絡(luò)服務(wù)器的大范圍攻擊面、Chopper 和 Cknife 各自的應(yīng)用程序與架構(gòu)以及 Chopper的成功先例，不久的將來，Cknife 應(yīng)該應(yīng)認(rèn)真解決的合法威脅。”

5.只針對中國用戶的勒索軟件CuteRansomware

上次雷鋒網(wǎng)邀請 360 的專家給大家科普過勒索軟件——在黑客的眾多牟利手段當(dāng)中，勒索軟件可能是最普遍的一種。這種惡意軟件通常會通過受感染的郵件附件、被篡改的網(wǎng)站或網(wǎng)頁廣告散布。勒索軟件會對用戶電腦上的文件進(jìn)行加密，除非受害者交付特定數(shù)額的贖金，否則受影響的文件將會一直處于不可用的狀態(tài)。

那么，在實際案例中，有沒有真的只針對中國用戶的的勒索軟件呢？歷史告訴大家，真的有！

2016年7月15日，有安全研究人員發(fā)現(xiàn)了一個名為 cuteRansomware 的新惡意勒索軟件。該惡意軟件代碼的注釋及勒索內(nèi)容全部使用的中文，這就意味著，該勒索軟件目前只將中國用戶作為攻擊目標(biāo)。再仔細(xì)查看代碼并比對 AVG 研究人員發(fā)現(xiàn)的版本之后，研究人員還發(fā)現(xiàn)該版本還采用谷歌文檔表格作為其 C&C服務(wù)器。

cuteRansomware 會感染計算機(jī)，生成 RSA 加密密鑰，然后通過 HTTPS 將密鑰傳送到谷歌文檔表格中。

6.WinRT PDF 存在網(wǎng)頁掛馬攻擊漏洞

WinRT PDF 作為 Windows 10 系統(tǒng)的默認(rèn) PDF 閱讀器，能夠像過去幾年爆發(fā)的 Flash、Java、Acrobat漏洞相似允許黑客通過 Edge 瀏覽器發(fā)起一系列攻擊。Windows Runtime（WinRT）PDF 渲染庫或者簡稱 WinRT PDF，是內(nèi)嵌至 Windows 10 系統(tǒng)中的重要組件，允許開發(fā)者在應(yīng)用中輕松整合PDF閱讀功能。該渲染庫被已經(jīng)在 Windows Store 上架的應(yīng)用廣泛使用，包括 Windows 8/8.1 的默認(rèn)閱讀應(yīng)用和微軟最新的Edge瀏覽器。

2016年3月3日，來自 IBM X-Force Advanced 研究團(tuán)隊的安全專家 Mark Vincent Yason 近期發(fā)現(xiàn) WinRT PDF 存在和過去幾年曾用于 Flash 和 Java 上相似的網(wǎng)頁掛馬攻擊（drive-by attacks）漏洞。在WinRT PDF 作為 Edge 瀏覽器的默認(rèn) PDF 閱讀器之后，任何嵌入至網(wǎng)頁的 PDF 文檔都能夠在這個庫中打開。聰明的攻擊者能夠通過 PDF 文件來利用這個 WinRT PDF 漏洞，使用包含 CSS 的 iframe 定位來秘密打開包含惡意程序的 PDF 文件并執(zhí)行惡意程序。

攻略：為何你中招，如何不再中招？

如果你曾經(jīng)不小心遇到上述問題，可能不是你運(yùn)氣差。綠盟科技告訴雷鋒網(wǎng)(公眾號：雷鋒網(wǎng))，通過對 200 余個單位的網(wǎng)站安全管理情況進(jìn)行了調(diào)研分析，他們發(fā)現(xiàn)了這些問題：

?在基礎(chǔ)管理方面，雖然目前有 95% 的單位有專人負(fù)責(zé)安全運(yùn)維工作，但是超過 5 人的安全團(tuán)隊不足 20%，同時有將近一半的單位缺失安全制度及應(yīng)急響應(yīng)流程。意思是，大事不好了，然而網(wǎng)站運(yùn)維也蒙圈了。

?在資產(chǎn)管理方面，有將近 50% 的單位沒有進(jìn)行網(wǎng)站資產(chǎn)的定期梳理，導(dǎo)致很多新建站點(diǎn)數(shù)據(jù)庫等端口在公網(wǎng)暴露，往往這些單位也不清楚下轄單位的網(wǎng)站資產(chǎn)全集。同時，有 70% 以上網(wǎng)站都是外包建站， 40% 以上是外包運(yùn)營，如果對于外包過程掌控不足，很容易留下大量安全隱患。意思是，我把內(nèi)衣、底褲都掛到攝像頭下了，還特別喜歡找別人幫我晾衣服，被拿走了都不知道。

?在建站開發(fā)方面，使用第三方軟件框架種類繁多，有各類開源服務(wù)器（如 apache、Lighttpd 等 )、開源數(shù)據(jù)庫 ( 如 mysql、 PostgreSQL 等 )、開源論壇框架（如 phpwind、phpcms 等）等，這些開源產(chǎn)品如果不能很好地管理，會導(dǎo)致大量配置相關(guān)的風(fēng)險隱患。

?在漏洞管理方面，有將近 40% 的單位認(rèn)為高危漏洞處于個位數(shù)，但事實比這糟糕得多，有 61% 的單位低估了漏洞的數(shù)量以及危害，另外 96% 的單位在徹底修復(fù)漏洞前沒有做任何漏洞防御措施。意思是，狼來了，但是以為羊來了。

?在威脅管理方面，僅有 6% 的單位能對掃描行為和模擬的攻擊行為進(jìn)行攔截。在事件管理方面，僅有 20% 的單位明確進(jìn)行了網(wǎng)站各類事故的監(jiān)測，其余各單位有將近一半反饋沒有做網(wǎng)站事故災(zāi)害監(jiān)測，而另一半則不確認(rèn)本單位是否做了安全事故災(zāi)害監(jiān)測。

為此，除了建立健全安全管理組織形式，明確清晰安全管理工作職責(zé)，構(gòu)建落實安全管理體系框架，綠盟科技著重建議建立完善安全管理運(yùn)營流程。

以監(jiān)測、發(fā)現(xiàn)、與處理一項網(wǎng)站漏洞為例，以下為高能實操攻略：

1.如何發(fā)現(xiàn)漏洞這個小妖精？

辦法一，日常漏洞監(jiān)測與掃描。這其中包含Web 漏洞和系統(tǒng)漏洞的監(jiān)測與發(fā)現(xiàn)，由于網(wǎng)站安全漏洞會不斷被發(fā)現(xiàn)和公開，所以使用掃描設(shè)備對網(wǎng)站漏洞進(jìn)行監(jiān)測是個持續(xù)的過程，并且需要納入到日常管理工作范疇。辦法二，緊急漏洞通告的輿情監(jiān)測。緊急漏洞通告一般是指業(yè)內(nèi)將漏洞及漏洞驗證代碼同時公開的漏洞，這些漏洞往往有高風(fēng)險、波及范圍廣、對應(yīng)的攻擊代碼傳播快的特點(diǎn)。通常在緊急漏洞公開之前或公開的同一天會出現(xiàn)利用該漏洞的攻擊工具。所以，對一些第三方的漏洞通報平臺、各安全廠商發(fā)布緊急漏洞信息的平臺、各類黑客論壇進(jìn)行情報監(jiān)測。

2.發(fā)現(xiàn)漏洞以后怎么辦？

發(fā)現(xiàn)漏洞以后，需要對漏洞進(jìn)行驗證和分析，驗證過程通常是根據(jù)漏洞詳情驗證漏洞的真?zhèn)危瑨呙柙O(shè)備、各類漏洞通告有較高的頻率出現(xiàn)誤報，所以在發(fā)現(xiàn)漏洞后首先要對漏洞進(jìn)行驗證，確認(rèn)網(wǎng)站系統(tǒng)是否存在漏洞或受到漏洞的影響。

在確認(rèn)漏洞的真?zhèn)魏螅ǔχ懈呶Ｂ┒葱枰獌?yōu)先分析，分析的目的在于確認(rèn)漏洞被利用后會對資產(chǎn)或企業(yè)造成何種影響，相同的漏洞給不同的網(wǎng)站帶來的風(fēng)險是完全不同的，應(yīng)該由網(wǎng)站維護(hù)人員和安全管理員共同判斷。在對網(wǎng)站進(jìn)行驗證分析后，需要網(wǎng)站管理人員作出決策，凡有可能對網(wǎng)站造成機(jī)密性、完整性、可用性破壞的漏洞都應(yīng)該考慮及時采取措施預(yù)防和修復(fù)。有部分不會對網(wǎng)站造成任何影響的漏洞可采取接受風(fēng)險的策略。

3.漏洞未能修復(fù)之前怎么辦？

在漏洞未能修復(fù)之前采取的臨時措施，通常是在漏洞修復(fù)之前采用技術(shù)手段將來自外部的風(fēng)險（漏洞利用）屏蔽。這個過程可以通過修改 Web 程序來實現(xiàn)，也可以依賴于網(wǎng)站的防護(hù)設(shè)備，通過追加臨時安全防護(hù)策略可以攔截外部攻擊者利用漏洞的行為。

在漏洞預(yù)防策略實施后，需要再次通過人工方式或設(shè)備驗證漏洞預(yù)防策略是否已生效。當(dāng)然，漏洞預(yù)防措施的實施不代表漏洞不需要修復(fù)，因為來自內(nèi)部的威脅照樣存在，徹底解決的辦法還是修復(fù)漏洞。如果發(fā)現(xiàn)漏洞后可以快速修復(fù)漏洞，甚至可以不采取漏洞預(yù)防的措施。

4.如何修復(fù)？

針對網(wǎng)站已有的漏洞在技術(shù)上進(jìn)行修復(fù)，根據(jù)不同種類的漏洞采取的手段各不相同，同一類型的漏洞也可以采用不同的手段修復(fù)和規(guī)避，降低風(fēng)險。按照漏洞的幾種常見類型，漏洞的修復(fù)方法可以按照如表所示：