近日,OpenSSL部分版本被爆出一个名为“Heartbleed”(心脏流血)的严重漏洞。通过构造一个特殊的心跳包,***者可以远程读取使用了OpenSSL服务的内存数据,这使得无需攻入远程服务器,就可以获得诸如用户名、密码以及服务器私钥等敏感数据。

国都兴业自主研发的慧眼恶意代码综合监测系统,能够实时监测利用“心脏流血”漏洞进行***的恶意行为,第一时间对此恶意代码活动进行预警和响应。如下图所示。

18520262.jpg.450.jpg

数万服务器用户隐私遭泄

本次OpenSSL曝出的漏洞影响范围特别广泛,基本上所有使用https开头的网站都会受到影响。据谷歌和网络安全公司Codenomicon的研究人员透露,OpenSSL加密代码中一种名为Heartbleed的漏洞存在已有两年之久,三分之二的活跃网站均在使用这种存在缺陷的加密协议。因此,许多人的数据信息开始被暴露,每个人都被卷入到这次灾难的修正中去。放眼望去,网民经常访问的支付宝、淘宝、微信公众号、YY语音、陌陌、雅虎邮件、网银、门户等各种网站,只要使用了对应的OpenSSL版本,基本上都出了问题。而在国外,受到波及的网站也数不胜数,就连大名鼎鼎的NASA(美国航空航天局)也已宣布,用户数据库遭泄露。

4月15日消息,加拿大税务机关周一表示,***利用“心脏流血”漏洞窃取了大约900名纳税人的个人信息;晚些时候,英国育儿网站Mumsnet因为“心脏流血”漏洞要求所有用户重置密码;陆续的漏洞***导致的敏感信息外泄行为还在继续。。。

漏洞安全分析

国都兴业的恶意代码安全分析团队对OpenSSL的心脏流血漏洞进行了深度的分析和研究发现,不仅仅是HTTPS(Apache和Nginx),包括使用了OpenSSL的***、邮件系统及FTP工具等产品和服务都存在被***的可能。安全分析过程以Filezilla FTP Server 版本0.9.43(OpenSSL版本< 1.0.1g)为对象,分析了***心跳包、加密FTP服务器内存数据取出、***成功的整个过程。

82627948.jpg.450.jpg

图1. ***心跳包数据

69209208.jpg.450.jpg

图2.FTP服务器内存中的数据

23040946.jpg.450.jpg

图3.***成功提示

84476941.jpg.450.jpg

图4. 恶代产品监测到心跳流血***

应对策略

网络安全至关重要,小至普通用户的个人隐私,大到国家情报安全,需要安全厂商和用户都积极应对。安全厂商积极跟进漏洞检测库;用户应该检查自己的OpenSSL版本,进行安全升级和必要的秘钥证书更新。

国都兴业认为,传统的网络安全监测手段如防火墙FW,***检测防护IDS/IPS,杀毒软件AV等,基于静态签名的特征检测已经难以发现高级的恶意代码活动和0Day漏洞利用行为。

那么如何才能更好的解决未知***和未知漏洞的检测和预警呢?慧眼恶意代码综合监测系统除具备专有的恶意代码实体检测引擎、活动***特征检测引擎外,还具有异常行为分析检测引擎,实时感知异常的******、敏感数据外泄等活动,能够对已知漏洞和未知***进行及时预警和响应。