近日,OpenSSL部分版本被爆出一个名为“Heartbleed”(心脏流血)的严重漏洞。通过构造一个特殊的心跳包,攻击者可以远程读取使用了OpenSSL服务的内存数据,这使得无需攻入远程服务器,就可以获得诸如用户名、密码以及服务器私钥等敏感数据。
国都兴业自主研发的慧眼恶意代码综合监测系统,能够实时监测利用“心脏流血”漏洞进行攻击的恶意行为,第一时间对此恶意代码活动进行预警和响应。如下图所示。
数万服务器用户隐私遭泄
本次OpenSSL曝出的漏洞影响范围特别广泛,基本上所有使用https开头的网站都会受到影响。据谷歌和网络安全公司Codenomicon的研究人员透露,OpenSSL加密代码中一种名为Heartbleed的漏洞存在已有两年之久,三分之二的活跃网站均在使用这种存在缺陷的加密协议。因此,许多人的数据信息开始被暴露,每个人都被卷入到这次灾难的修正中去。放眼望去,网民经常访问的支付宝、淘宝、微信公众号、YY语音、陌陌、雅虎邮件、网银、门户等各种网站,只要使用了对应的OpenSSL版本,基本上都出了问题。而在国外,受到波及的网站也数不胜数,就连大名鼎鼎的NASA(美国航空航天局)也已宣布,用户数据库遭泄露。
4月15日消息,加拿大税务机关周一表示,黑客利用“心脏流血”漏洞窃取了大约900名纳税人的个人信息;晚些时候,英国育儿网站Mumsnet因为“心脏流血”漏洞要求所有用户重置密码;陆续的漏洞攻击导致的敏感信息外泄行为还在继续。。。
漏洞安全分析
国都兴业的恶意代码安全分析团队对OpenSSL的心脏流血漏洞进行了深度的分析和研究发现,不仅仅是HTTPS(Apache和Nginx),包括使用了OpenSSL的VPN、邮件系统及FTP工具等产品和服务都存在被攻击的可能。安全分析过程以Filezilla FTP Server 版本0.9.43(OpenSSL版本< 1.0.1g)为对象,分析了攻击心跳包、加密FTP服务器内存数据取出、攻击成功的整个过程。
图1. 攻击心跳包数据
图2.FTP服务器内存中的数据
图3.攻击成功提示
图4. 恶代产品监测到心跳流血攻击
应对策略
网络安全至关重要,小至普通用户的个人隐私,大到国家情报安全,需要安全厂商和用户都积极应对。安全厂商积极跟进漏洞检测库;用户应该检查自己的OpenSSL版本,进行安全升级和必要的秘钥证书更新。
国都兴业认为,传统的网络安全监测手段如防火墙FW,入侵检测防护IDS/IPS,杀毒软件AV等,基于静态签名的特征检测已经难以发现高级的恶意代码活动和0Day漏洞利用行为。
那么如何才能更好的解决未知木马和未知漏洞的检测和预警呢?慧眼恶意代码综合监测系统除具备专有的恶意代码实体检测引擎、活动木马特征检测引擎外,还具有异常行为分析检测引擎,实时感知异常的攻击入侵、敏感数据外泄等活动,能够对已知漏洞和未知攻击进行及时预警和响应。