2006年6月刊  总第51期
 
  neteye.neusoft.com

查阅过往期刊

订 阅

退 订

 
   

刊首语
[NetEye技术]
    NetEye FW5200的多链路负载均衡功能及应用
[NetEye安全]
    六月安全公告
    Ginwui后门程序分析
[NetEye动态]
    因需而变 因御而安——东软网络安全整体解决方案全国巡展
    圆满终结于呼和浩特

    东软安全魔方成为第七届中国国际计算机网络和信息安全展览
    会亮点

    数据中心 安全先行
    

刊 首 语


培育市场是最大的责任 小魔方变成大角色
                                        文:路娜

  “水能载舟,亦能覆舟”对于厂商而言,水所承载的意义太多了。在竞争如此激烈的市场环境下,哪个链条没有控制好,都有可能出现覆舟。面对日渐激烈的市场和需求变幻的用户,2006年东软推出了“安全魔方”理念。并整整用了一个月的时间,在全国重点区域进行了15场市场传播工作。无论在国家重量级的安全展览会上还是在用户的研讨会上,无论是国家领导人还是用户技术专家,这小小的魔方竟成了行业关注的大角色。最为欣慰的是我们4月最新推出的两款新产品NetEye安全运维平台(SOC)和NetEye异常流量分析与响应系统(Ntars)分别在6月里赢得中国人民银行和中国移动两项大单。当大部分厂商将目标瞄向价格时,东软安全正在思考,如何通过现有的技术和产品及服务为用户创造更多的赢利,如何摆脱技术和服务一直沦为项目配角的局面,如何为用户提供一套完成的安全整体解决方案。

  在“荷风送香气,竹露滴清响”的六月里,东软人感此一直支持我们的朋友和读者。在大家的鼓励下,我们有信心通过努力在未来的日子里为广大的用户提供更好的技术、产品以及高质的服务。


  NetEye FW5200的多链路负载均衡功能及应用

                                     产品经理 王军民

  自上个世纪90年代以来,网络技术在国内迅猛发展,政府、军队、企业、教育等行业已经广泛的利用互联网来传递业务数据、收集查看互联网信息。过去网络用户少,对带宽资源要求不高,但是,随着网络用户的剧增、基于宽度业务快速发展,过去的带宽资源已经无法满足当前网络用户的需要。在这种背景下,很多行业用户的网络出口带宽已经成为通往互联网的瓶颈。为了解决这个问题,在合理利用现有网资源的同时,他们又引入了电信提供的宽带高速接入服务,较好地解决了网络出口瓶颈问题。

  带宽资源的问题解决了,新的问题又产生了,如何能够将新旧两条链路都合理的利用起来呢?目前,通常的解决办法有以下几种:

  1、 在出口处部署负载均衡设备。这是一种有效的方法,但其缺点是增加投资,并且网络出口处缺乏安全保障。在目前网络攻击、病毒肆虐的时代,这种方法是不明智的。

  2、 在出口处部署网络安全设备,采用策略路由,实现对内网的分流。这也是一种较好的解决方案,在小型网络中比较适用,但在电信级的专网中还是存在着比较明显的缺点,具体如下:

  a) 首先,在一个大型的专网中,内网私有大量的IP地址,如何设定内网IP到互联网的出口呢?这是极其麻烦的事情;

  b) 其次,策略路由一旦设定好,内网IP地址的出口便被限定住,假如IP1的互联网出口是A,而IP2的互联网出口是B,当A出口线路出现问题时,IP1无法自动通过B出口访问互联网,IP1和IP2无法自动寻找出口。

  所以,这种解决方法部署复杂、缺乏灵活性,不是一种很好解决方案。

  如何有效的解决多链路出口的问题呢?东软公司最新推出的NetEye NP防火墙5200产品成功的解决了这个问题。

  NetEye NP防火墙 5200能够提供基于路由的负载均衡功能,在电信级的大型网络中,存在多条链路,防火墙出口可能会有几个网关,管理员可以通过此功能将内网流量平均分流给各个网关,而无需考虑源IP。防火墙可以动态的、均匀的将来自于专网内的流量分流到通往互联网的多条链路上,如果其中一条链路出故障,防火墙会自动将流量导入另一条链路,增强了网络的可用性。在多出口网络中,防火墙具体部署如下图所示:

  NetEye NP防火墙5200为解决多链路流量分配,提供了有效合理的解决方案!


  六月安全公告

  2006-06-13微软发布了12个安全公告,这些公告共包含新发现的23个安全漏洞及其补丁。这些安全公告中8个属于紧急级别,3个属于重要级别,1个属于一般级别。建议Windows操作系统的用户检查自己的系统是否受这些漏洞影响,并安装补丁予以解决。

公告标识符 Microsoft 安全公告 MS06-021
公告标题 Internet Explorer 的累积性安全更新 (916281)
摘要 此更新解决了 Internet Explorer 中的8个漏洞,这些漏洞有的能允许远程执行代码,漏洞的详细信息请参考微软安全公告。
CVE-2006-2218:异常处理内存损坏漏洞,
CVE-2006-2382:HTML 解码内存损坏漏洞,
CVE-2006-2383:ActiveX 控件内存损坏漏洞,
CVE-2006-1303:COM 对象实例化内存损坏漏洞,
CVE-2005-4089:CSS 跨域信息泄露漏洞,
CVE-2006-2384:地址栏欺骗漏洞,
CVE-2006-2385:MHT 内存损坏漏洞,
CVE-2006-1626:地址栏欺骗漏洞
严重等级 紧急
漏洞的影响 成功利用此漏洞的攻击者可以完全控制受影响的系统。
受影响的软件 Windows、Internet Explorer。

公告标识符 Microsoft 安全公告 MS06-022
公告标题 ART 图像渲染存在漏洞,可能允许远程执行代码 (918439)
摘要 CVE-2006-2378 : Windows 处理 ART 图像的方式中存在一个远程执行代码漏洞。攻击者可以通过构建特制的 ART 图像来利用此漏洞,如果用户访问了网站或查看了特制的电子邮件,此漏洞就可能允许远程执行代码。
严重等级 紧急
漏洞的影响 成功利用此漏洞的攻击者可以完全控制受影响的系统。
受影响的软件 Windows、Internet Explorer。 关于漏洞的详细信息请参考微软安全公告。

  >>>查看全文

  HP-UNIX、IBM AIX、KDE、Cisco相继发布了安全公告,并对相关漏洞提供了补丁。其中下面有两个等级为紧急的漏洞需要马上修补,两个等级为中级的漏洞也提供了相应补丁。建议用户检查自己的系统是否受这些漏洞影响,并安装补丁予以解决。

公告编号 HPSBUX02127
公告标题 HP-UX Kernel本地拒绝服务漏洞
摘要

HP-UX的内核实现上存在漏洞,本地攻击者可能利用此漏洞导致拒绝服务。目前漏洞细节未明。

严重等级 紧急
漏洞的影响 成功利用此漏洞的攻击者可以导致拒绝服务。
受影响的软件 HP HP-UX B.11.23、HP HP-UX B.11.11、HP HP-UX B.11.00
安全建议 HP已发布了漏洞补丁,请及时更新。
临时解决方法 暂无

公告标识符 RHSA-2006:0548-01、GLSA-200606-23
公告标题 KDE KDM会话类型配置文件符号链接漏洞
摘要

CVE-2006-2449 :KDM对用户配置文件的处理上存在漏洞,攻击者可能利用此漏洞非授权读取敏感的系统文件。KDM的设置储存在用户的主目录中。通过符号链接攻击,KDM可能受骗允许用户读取通常情况下无法读取的内容,比如 /etc/shadow 文件。

严重等级 中级
漏洞的影响 成功利用此漏洞的攻击者可以非授权读取敏感的系统文件。
受影响的软件 KDE KDE < 3.5.3
安全建议 厂商已发布了升级补丁,请及时更新。
临时解决方法 暂无

  >>>查看全文


  Ginwui后门程序分析

                                  东软 攻防实验室 叶杰燎

  今年5月19日CVE发布编号为CVE-2006-2492安全公告,Microsoft Word处理DOC文件存在缓冲区溢出漏洞,Microsoft Word运行特殊构造的doc文件,导致执行任意代码。远程攻击者可以利用此漏洞通过诱骗用户打开恶意DOC文件在用户机器上执行任意指令。微软于6月13号发布该漏洞的补丁。5月24日发现攻击者利用此漏洞构造特殊的Word文档进行传播,存在漏洞的Word打开该文档将导致文件中的后门Ginwui.exe运行,下面我们分析这个后门的运作机制。

一、 Ginwui.exe的行为分析

  Ginwui.exe将自身复制为临时目录下的20060426.bak,然后执行20060426.bak并删除原程序文件Ginwui.exe。20060426.bak文件释放zsydll.dll和zsyhide.dll到%windir%\system32目录下并将zsydll.dll注入Winlogon.exe进程中。Winlogon.exe启动%ProgramFiles%\Internet Explorer\IEXPLORE.EXE,并连接域名scfzf.xicp.net 。zsyhide.dll在注册表AppInit_DLLs键下添加%windir%\system32\zsyhide.dll,zsydll.dll在注册表创建zsydll项以便系统重启后重新加载运行。

  zsyhide.dll文件注册表详细导出:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"="C:\\WINNT\\system32\\zsyhide.dll"

  zsydll.dll文件注册表详细导出:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\zsydll]

"DllName"="C:\\WINNT\\system32\\zsydll.dll"

"Shutdown"="DoShutdown"

"Startup"="DoStartup"

"Asynchronous"=dword:00000001

"Impersonate"=dword:00000000

二、 Ginwui.exe的清除方法

  系统重启后执行cmd.exe,把%windir%\system32\目录下的zsydll.dll和zsyhide.dll改名,删除在注册表中的zsydll项和AppInit_DLLs项下的C:\\WINNT\\system32\\zsyhide.dll键值。重启系统把%windir%\system32目录下的zsyhide.dll和zsydll.dll删除(改名后的文件),临时目录下的20060426.bak可以直接删除。

三、 危害

  远程攻击者完全控制被攻击的主机,拥有系统权限,可以对系统进行任意操作。比如盗取用户的帐户和口令、个人信息、信用卡帐户等。

四、 传播方式

  Ginwui.exe是目前利用WORD漏洞进行传播的木马程序,从上面分析来看不仅可以利用WORD漏洞进行传播,还可以利用以前的IE漏洞、FLASH漏洞等方式来进行传播。

五、 防范措施

  6月13日微软发布等级为严重的安全公告 MS06-027(Microsoft Word 中的漏洞可能允许远程执行代码),该漏洞利用格式错误的对象指针的 Word 中存在一个远程执行代码漏洞。攻击者可以通过构建特制的 Word 文件来利用此漏洞,此文件可能允许远程执行代码。微软针对此漏洞已发布安全补丁,请及时更新。

  临时解决方法是以安全模式的方式运行该软件--在Word的快捷方式中添加命令行“WINWORD.EXE /safe”。请及时更新杀毒软件的病毒库。使用防火墙规则禁止系统从内部对localhosts.3322.org和scfzf.xicp.net进行连接。

  微软及杀毒厂商已经把Ginwui.exe定义为Ginwui.B或Backdoor.Win32.Ginwui.b后门病毒。


  因需而变 因御而安——东软网络安全整体解决方案全国巡展圆满终结于呼和浩特

                                        文:闫洁

  2006年6月22日历时一个月的东软NetEye“因需而变 因御而安”新产品全国巡展发布会圆满结束于“塞外名城”呼和浩特市。本次巡展先后经过了13个重要城市,成功的将东软网络安全产品传播到各个区域,使得东软NeyEye的理念、产品、服务再次传达给新老用户、合作伙伴之中。

  呼和浩特市电子信息产业经过几年快速的发展期,已成为支柱产业之一。呼和浩特市政府鼓励投资者在信息网络、数字产品、移动通信以及高技术、高附加值电子产品领域投资发展,充分发挥呼和浩特市劳动力素质较高、成本较低的优势,把呼和浩特市建成国家级信息产业制造基地。本次会议得到了内蒙古自治区人民政府信息办的大力支持,政府领导对东软本次会议给予了极大肯定,并表示内蒙古自治区急需像东软这样的企业来帮助本地区完善信息化建设以及对网络安全领域中技术、产品、人员素质的提高,逐步与全国各个省市的网络安全建设步伐保持同步。

  6月的呼和浩特站市略显温和,春天的气息依旧。本次会议在东软网络安全华北大区销售总监柴磊的讲话中开始,为与会者详细介绍了东软创业的15年艰辛历程,“15年间,东软的销售收入和资产增长了几千倍,员工人数增长了几百倍……,比这些更重要、并无法用数字来描述的成就是东软拥有了大家,拥有众多与我们一起成长的国内外的客户和一个正在不断被认知的“东软”品牌。”

  随后的技术部分演讲由东软网络安全工程师李仰耀完成,重点介绍了东软NetEye的三款新产品NetEye SOC(安全运维平台)、NetEye IPS(入侵防御系统)和NetEye Ntars(异常流量分析与响应系统)。东软工程师详细的介绍,台下参会者认真的聆听,会后许多参会者与销售总监、工程师深入的交流沟通中结束了本次呼和浩特站的会议。

  本次新产品13站全国巡展圆满结束,东软网络安全产品在全国城市巡展的洗礼中愈显成熟,东软给予用户和合作伙伴的不仅是拥有全面稳固的网络安全产品,而且印证本次活动主题“安全魔方、因需而变、因御而安”的理念将我们的信心与实力圆满传达。而东软感受到用户和合作伙伴给予我们的是新一轮的机遇与挑战。全国巡展的成功举办预示着东软网络安全将迈向新的台阶。

相关新闻:


 


  东软安全魔方成为第七届中国国际计算机网络和信息安全展览会亮点

                                        文:路娜

  2006年6月15日,为期三天的“第七届中国国际计算机网络和信息安全展览会”正式在北京展览馆拉开帷幕。作为国内信息安全领域的领军厂商,东软安全携2006年最新发布的因需而变,因御而安---东软安全魔方理念以及最新产品,强势出击本年度信息安全界最大的盛会,并以本次展会中心展台,成为国内外众多参展厂商中亮点。

  >>>查看全文


  数据中心 安全先行

                                        文:李军

  数据中心作为一个资源密集、技术密集、关键业务系统和数据密集的特殊区域,自然成为信息安全工作的重中之重,如何确保数据中心的安全已成为整个行业关注的重点。6月9日,由大连市信息产业局、国家电子计算机质量监督检验中心主办,东软发展、大连诚高联合承办的“数据中心安全高级研讨会”在大连凯宾斯基饭店隆重举行,大连市政府领导和业界专家出席了会议并讲话,近百位政府及企事业单位信息主管人员参会,共同探讨并分享了先进的数据中心安全管理思想和成功经验。

  大连市信息产业局杨局长指出,保障数据中心的安全不仅是对国家政策的贯彻落实,更是政府、金融及企事业单位提高安全意识、保护自身业务的重要手段。

  >>>查看全文


  十分感谢您阅读NetEye安全月刊,我们真诚的希望大家通过这个平台交流NetEye使用经验,提出您的宝贵意见,东软资深安全顾问将竭诚为您提供全面服务。欢迎您发表高论:neteye@neusoft.com

沈阳东软软件股份有限公司 网络安全事业部
客户服务热线:400-655-6789