OpenSSL漏洞凶猛来袭慧眼恶意代码监测应对有方

发布时间：2020-02-14 00:26:46 阅读：次来源：洁面仪厂家

近日，OpenSSL部分版本被爆出一个名为“Heartbleed”(心脏流血)的严重漏洞。通过构造一个特殊的心跳包，攻击者可以远程读取使用了OpenSSL服务的内存数据，这使得无需攻入远程服务器，就可以获得诸如用户名、密码以及服务器私钥等敏感数据。

国都兴业自主研发的慧眼恶意代码综合监测系统，能够实时监测利用“心脏流血”漏洞进行攻击的恶意行为，第一时间对此恶意代码活动进行预警和响应。如下图所示。

数万服务器用户隐私遭泄

本次OpenSSL曝出的漏洞影响范围特别广泛，基本上所有使用https开头的网站都会受到影响。据谷歌和网络安全公司Codenomicon的研究人员透露，OpenSSL加密代码中一种名为Heartbleed的漏洞存在已有两年之久，三分之二的活跃网站均在使用这种存在缺陷的加密协议。因此，许多人的数据信息开始被暴露，每个人都被卷入到这次灾难的修正中去。放眼望去，网民经常访问的支付宝、淘宝、微信公众号、YY语音、陌陌、雅虎邮件、网银、门户等各种网站，只要使用了对应的OpenSSL版本，基本上都出了问题。而在国外，受到波及的网站也数不胜数，就连大名鼎鼎的NASA(美国航空航天局)也已宣布，用户数据库遭泄露。

4月15日消息，加拿大税务机关周一表示，黑客利用“心脏流血”漏洞窃取了大约900名纳税人的个人信息;晚些时候，英国育儿网站Mumsnet因为“心脏流血”漏洞要求所有用户重置密码;陆续的漏洞攻击导致的敏感信息外泄行为还在继续。。。

漏洞安全分析

国都兴业的恶意代码安全分析团队对OpenSSL的心脏流血漏洞进行了深度的分析和研究发现，不仅仅是HTTPS(Apache和Nginx)，包括使用了OpenSSL的VPN、邮件系统及FTP工具等产品和服务都存在被攻击的可能。安全分析过程以Filezilla FTP Server 版本0.9.43(OpenSSL版本< 1.0.1g)为对象，分析了攻击心跳包、加密FTP服务器内存数据取出、攻击成功的整个过程。

图1. 攻击心跳包数据

图2.FTP服务器内存中的数据

图3.攻击成功提示

图4. 恶代产品监测到心跳流血攻击

应对策略

网络安全至关重要，小至普通用户的个人隐私，大到国家情报安全，需要安全厂商和用户都积极应对。安全厂商积极跟进漏洞检测库;用户应该检查自己的OpenSSL版本，进行安全升级和必要的秘钥证书更新。

国都兴业认为，传统的网络安全监测手段如防火墙FW，入侵检测防护IDS/IPS，杀毒软件AV等，基于静态签名的特征检测已经难以发现高级的恶意代码活动和0Day漏洞利用行为。

那么如何才能更好的解决未知木马和未知漏洞的检测和预警呢?慧眼恶意代码综合监测系统除具备专有的恶意代码实体检测引擎、活动木马特征检测引擎外，还具有异常行为分析检测引擎，实时感知异常的攻击入侵、敏感数据外泄等活动，能够对已知漏洞和未知攻击进行及时预警和响应。

(责任编辑：硅谷网·)

上一篇：“免流量下载”领航移动互联网的新动向（图）

下一篇：一夜“晴”只是噱头，仪式感+良好体验才是王道对“OpenSSL漏洞凶猛来袭慧眼恶意代码监测应对有方”发布评论