关键信息基础设施安全动态周报【2021年第19期】
发布时间:
2021-05-14
来源:
作者:
访问量:
139
目 录
第一章 国内关键信息基础设施安全动态
(一)澳门卫生局电脑系统遭恶意攻击
第二章 国外关键信息基础设施安全动态
(一)美国油气管道商Colonial遭受勒索软件攻击
(二)西门子修复多款产品中数十个漏洞
(三)FragAttacks漏洞影响全球所有WiFi设备
(四)拜登签署行政令增强美国网络安全防御能力
(五)美国多情报机构警告5G基础设施存在潜在威胁
(六)日本制造商Yamabiko遭受Babuk勒索软件攻击
(七)新型恶意软件Snip3攻击航空航天领域组织
(八)新型恶意软件TeaBot攻击欧洲60多家银行
(九)钓鱼活动Roaming Mantis窃取亚洲安卓用户信息
(十)研究人员发现TsuNAME漏洞可对DNS服务器进行DDoS攻击
(十一)美国FBI及澳大利亚ACSC警告Avaddon勒索软件攻击
(十二)美国塔尔萨市市政系统遭受勒索软件攻击全部关闭
(十三)United Valor泄露美国20万退伍军人信息
(十四)新加坡大华银行遭到诈骗,泄露千余中国公民信息
(十五)全球超过2.9万个数据库未受保护可公开访问
第一章 国内关键信息基础设施安全动态
(一)澳门卫生局电脑系统遭恶意攻击
澳门特区政府卫生局公布,5月7日上午约10时30分,发现电脑系统遭到恶意网络攻击,影响健康码、医疗券、新冠病毒疫苗和核酸检测等系统的正常运作。经卫生局与澳门电讯有限公司紧急抢修后,所有电脑系统现已恢复正常。
卫生局表示,发现问题时,已实时启动应变方案,立即进行系统抢修,同时通知各口岸临时改用粤康码通关,进入医疗场所改用纸质健康码等。
上午约11时,新冠疫苗预约和接种系统恢复正常,11时15分,健康码系统恢复正常。在此期间,各医院和卫生中心的运作正常,没有受到影响。
澳门司法警察局网络安全中心当天也发现卫生局网络系统出现异常,经排查后发现属恶意网络攻击,已随即立案展开侦查。
本文版权归原作者所有,参考来源:中国新闻网 http://t.hk.uy/cPC
第二章 国外关键信息基础设施安全动态
(一)美国油气管道商Colonial遭受勒索软件攻击
美国最大的油气管道商Colonial当地时间5月7日遭受了DarkSide勒索软件攻击,为了应对该事件,该公司暂时关闭了所有管道的运营。Colonial负责美国东海岸近一半的燃料供应来源。5月9日,美国宣布进入国家紧急状态,这是美国首次因网络攻击而宣布进入国家紧急状态。5月13日,Colonial向黑客支付了500万美元赎金,燃油运输管道全线恢复运营。
总部设于乔治亚州的Colonial Pipeline是美国最大的精炼油管道系统,每天运送多达1亿加仑的汽油、柴油、航空燃油与家用燃料油,占美国东岸燃油供应的45%,也负责美国7个机场的燃油供应。
Colonial Pipeline公司5月7日晚间表示,该公司遭受了网络攻击,导致该公司主动关闭了某些系统,并暂时停止了所有管道运营。该公司表示,此次攻击对其部分IT系统造成了影响,但没有说明其OT系统是否受到直接影响Colonial在5月9日的更新中称,该事件涉及勒索软件。
该公司已经聘请了第三方网络安全公司FireEye对此次事件的性质和范围展开调查。
该管道运营商在一份声明中表示,“Colonial Pipeline正在采取措施,了解并解决这一问题。目前,我们的主要关注点是安全高效地恢复服务,并努力恢复正常运营。我们正在努力解决这个问题,尽量减少对客户和那些依赖Colonial Pipeline的人的影响。”
就在该事件发生的几天前,美国国家安全局(NSA)发布了一份网络安全建议,重点关注OT系统的安全,特别是与IT系统的连接。去年,美国国家安全局(NSA)和网络安全和基础设施安全局(CISA)发布了联合警报,敦促关键基础设施运营商立即采取措施,减少OT系统受到网络攻击的风险。2019年,美国政府问责局(GAO)的一项审计显示,美国国土安全部(DHS)运输安全管理局(TSA)需要解决其管道安全计划关键方面的管理弱点。2014年,美国的几家天然气管道运营商受到了一次网络攻击的影响,攻击了第三方通信系统,但这起事件确实影响了运营技术。在对TSA如何管理其管道安全计划进行审查后,美国政府问责局于2018年12月提出了一系列建议,以解决发现的弱点,其中包括更新管道安全指南,规划劳动力需求,评估管道风险,以及监测计划绩效。早在2012年,国土安全部(DHS)就警告称,恶意行为者一直在瞄准天然气行业。
参考来源:SecurityWeek http://t.hk.uy/dmf
(二)西门子修复多款产品中数十个漏洞
西门子5月11日发布了十四份安全公告,修复了约60个因使用第三方组件而引入的漏洞,以及西门子产品中存在的漏洞。影响的产品包括RUGGEDCOM、SCALANCE、SIMATIC、SINEMA、SINAMICS等。西门子建议使用其产品的组织安装更新并应用缓解措施,以降低被利用的风险。
与第三方组件有关的漏洞修复了Linux内核中的SAD DNS缓存漏洞、UltraVNC和SmartVNC远程访问工具中的数十个漏洞、Mendix模块中的两个漏洞、Intel CPU驱动的工业PC及其他设备的六个漏洞、及阿鲁巴即时接入点(IAP)中的十九个漏洞。这些安全漏洞中有许多为严重漏洞及高危漏洞,可被利用来进行信息泄露、DoS攻击和远程执行代码。
西门子产品存在的漏洞涉及SCALANCE设备处理OSPF数据包的DoS漏洞;Tecnomatix Plant Simulation产品处理SPP文件的DoS漏洞、代码执行漏洞、数据提取漏洞;以及SIMATIC NET CP设备处理特制TCP数据包的DoS漏洞。
其他漏洞包括:无需对SIMATIC HMI产品进行身份验证即可利用的DoS漏洞、以及可用于获得对某些SIMATIC HMI面板的完全远程访问的Telnet身份验证问题。
参考来源:SecurityWeek http://t.hk.uy/c3r
(三)FragAttacks漏洞影响全球所有WiFi设备
纽约大学阿布扎比分校计算机安全博士后Mathy Vanhoef 5月11日发布《碎片与伪造:通过帧聚合和碎片化攻击Wi-Fi》论文,发现了12个WiFi漏洞,统称为FragAttacks,其中三个为Wifi设计漏洞,九个为Wifi实施漏洞。攻击者可利用这些漏洞窃取传输数据,并绕过防火墙攻击网络上的设备。这些漏洞影响了自1997年无线网络技术推出以来的所有Wi-Fi安全协议,从WEP到WPA3。
Vanhoef与合著者Frank Piessens在2017年发现了WPA2协议上的秘钥重新安装攻击(KRACKs)。此次最新研究项目发现的漏洞名为FragAttacks,意为碎片和聚合攻击(Fragmentation and Aggregation Attacks)。
Vanhoef在论文中解释,“一个设计漏洞存在于帧聚合功能中,另外两个漏洞存在于帧碎片功能中。这些设计漏洞使攻击者能够以各种方式伪造加密帧,进而使敏感数据得以泄漏。”
他还发现实施帧聚合(组合多个网络数据帧)和帧碎片(将网络数据帧分割成较小的片段)的实现方式存在漏洞,这些漏洞会放大潜在攻击的影响。802.11帧聚合漏洞涉及翻转帧头中的未经身份验证的标志,这允许对加密的数据有效负载进行解析,就像它是多个聚合帧而不是简单的网络数据包一样。该论文解释,“我们滥用此方法注入任意帧,然后通过使其使用恶意DNS服务器来拦截受害者的流量。实际上,我们测试过的所有设备都容易受到这种攻击。”
研究人员总共对75种设备进行了测试,包括网卡和操作系统Windows、Linux、Android、macOS和iOS,所有设备均受到一种或多种攻击的影响。NetBSD和OpenBSD不受影响,因为它们不支持接收A-MSDU,即聚合MAC服务数据单元。
其中一个帧碎片化设计漏洞,尽管一个帧的所有碎片都是用相同的密钥加密的,但不需要数据接收者来对此进行验证。Vanhoef在论文中解释,“我们证明了对手可以通过混合使用不同密钥加密的片段来滥用这张丢失的支票来伪造帧并窃取数据。”
另一个设计漏洞,在连接到其他网络时,帧接收器不会被迫从内存中删除不完整的片段。Vanhoef通过将恶意片段注入到片段缓存中来设法滥用了这一点,这相当于能够注入任意数据包。
实施漏洞包括以下问题:数据接收器不检查片段是否属于同一帧,从而使攻击者混合并匹配伪造帧;不检查帧片段是否已加密;以及处理握手消息以注入纯文本聚合帧。
要基于这些漏洞进行攻击,攻击者必须在受害者和适用的Wi-Fi接入点的范围内。然后,攻击者将欺骗受害者进行某种网络交互,例如从攻击者控制的服务器下载图像。
此后,攻击者可以通过网络发送恶意的IPv4数据包。数据包将像往常一样被加密,但是攻击者随后将设置一个标志,以便将数据视为聚合帧,从而可以进行任意数据包注入,例如路由器公告以使用恶意DNS服务器。
Vanhoef在GitHub上发布了一个工具来测试Wi-Fi客户端和访问点是否易受攻击,并且还在YouTube上发布了PoC攻击演示。
Vanhoef发现的漏洞包括:
CVE-2020-24588:聚合攻击(接受非SPP A-MSDU帧);
CVE-2020-24587:混合密钥攻击(重组使用不同密钥加密的片段);
CVE-2020-24586:片段缓存攻击(重新连接到网络时不从内存中清除片段);
CVE-2020-26145:接受纯文本广播片段作为完整帧(在加密网络中);
CVE-2020-26144:接受以太类型 EAPOL(在加密网络中)以RFC1042标头开头的纯文本A-MSDU帧;
CVE-2020-26140:在受保护的网络中接受纯文本数据帧;
CVE-2020-26143:在受保护的网络中接受分段的纯文本数据帧;
CVE-2020-26139:即使发件人尚未通过身份验证,也要转发EAPOL帧(应仅影响AP);
CVE-2020-26146:重新组合具有非连续数据包编号的加密片段;
CVE-2020-26147:重新组合混合的加密/纯文本片段;
CVE-2020-26142:将片段帧作为完整帧进行处理;
CVE-2020-26141:不验证分段帧的TKIP MIC。
由于受到Wi-Fi联盟和互联网安全提升行业联盟(ICASI)监督的为期9个月的协调负责的公开,已经为许多受影响的设备和软件部署了补丁程序。Linux补丁已经被应用,内核邮件列表中提到英特尔已经解决了最近固件更新中的漏洞。微软在2021年3月9日发布了补丁。Vanhoef建议与Wi-Fi设备供应商联系,以核实是否已解决FragAttacks。此漏洞对某些设备的影响很小,而对有些设备则是灾难性的。
参考来源:TheRegister http://t.hk.uy/cKh
(四)拜登签署行政令增强美国网络安全防御能力
美国总统拜登5月12日签署了一项行政令,以改善美国国家网络安全和保护联邦政府网络。最近的网络安全事件,如SolarWinds、Microsoft Exchange和Colonial Pipeline事件提醒人们,美国公共和私营部门实体越来越面临来自民族国家行为者和网络罪犯的复杂恶意网络活动。这些事件的共同点,包括网络安全防御不足,使公共和私营部门实体更容易受到事件的影响。
这项行政命令通过保护联邦网络、改善美国政府和私营部门在网络问题上的信息共享、以及增强美国在发生事件时的应对能力,为网络安全防御现代化作出了重大贡献。这是美国政府为使国家网络防御现代化而采取的许多雄心勃勃的步骤中的第一步。然而,Colonial Pipeline事件提醒人们,仅靠联邦政府的行动是不够的。美国的许多关键基础设施都由私营部门拥有和运营,这些私营部门的公司在网络安全投资方面有自己的决定。鼓励私营企业效仿联邦政府的做法,采取措施来增加和调整网络安全投资,以最大程度地减少未来事件的发生。
具体而言,该行政令将:
1、消除政府和私营部门之间共享威胁信息的障碍。行政命令确保IT服务提供商能够与政府共享信息,并要求他们分享某些违规信息。IT提供商通常犹豫不决或无法主动共享有关威胁的信息。有时这可能是由于合同义务造成的,在其他情况下,提供商可能只是不愿共享有关其自身安全漏洞的信息。消除任何合同障碍,并要求供应商共享可能影响政府网络的违规信息,对于联邦部门实现更有效的防御,以及提高整个国家的网络安全是必要的。
2、在联邦政府中实现现代化并实施更强有力的网络安全标准。该行政命令有助于联邦政府推动确保云服务和零信任架构的安全,并要求在特定时间段内部署多因素身份验证和加密。过时的安全模型和未加密的数据导致了公共和私营部门系统受到损害。联邦政府必须带头并增加其对安全最佳实践的采用,包括采用零信任安全模型、加快云服务安全化进程、以及不断部署多因素身份验证和加密之类的基础安全工具。
3、改善软件供应链的安全性。该行政命令将通过制定销售给政府的软件开发的基线安全标准,从而提高软件的安全性,包括要求开发人员对其软件保持更高的可见性,并公开安全数据。它代表着公共和私营部门同时进行的过程,以开发新的创新方法来确保软件开发的安全,并利用联邦采购的力量来激励市场。最后,它创建了一个试点项目,创建一个“能源之星”类型的标签,这样政府和广大公众就可以快速确定软件开发是否安全。大多数软件,包括关键软件,都附带了攻击者可以利用的重大漏洞。这是一个长期存在的众所周知的问题,但是很长一段时间以来一直在努力。需要利用联邦政府的购买力来推动市场,从头开始为所有软件建立安全机制。
4、成立网络安全审查委员会。该行政命令设立了一个网络安全安全审查委员会,由政府和私营部门领导共同牵头,该委员会可能在发生重大网络事件后召开会、分析发生的情况、并就改善网络安全提出具体建议。组织经常重复过去的错误,没有从重大网络事件中吸取教训。当出现问题时,政府和私营部门需要提出困难的问题,并作出必要的改进。该委员会以国家运输安全委员会为原型,该委员会在飞机坠毁和其他事件之后使用。
5、为应对网络事件创建标准行动手册。该行政命令为联邦部门和机构应对网络事件制定了一套标准化的行动手册和定义。组织不能等到受到威胁后才知道如何应对攻击。最近的事件表明,在政府内部,应对计划的成熟程度差别很大。该行动手册将确保所有联邦机构达到一定的门槛,并准备采取统一的步骤来识别和减轻威胁。该行动手册还将为私营部门的应对工作提供一个模板。
6、改进联邦政府网络上网络安全事件的检测。该行政命令通过启用政府范围内的端点检测和响应系统以及改进联邦政府内部的信息共享,提高了在联邦网络上检测恶意网络活动的能力。基础网络安全工具和实践的缓慢和不一致的部署会使组织组织容易受到对手的攻击。联邦政府应在网络安全方面发挥主导作用,在整个政府范围内进行强大的端点检测和响应(EDR)部署以及强大的政府间信息共享至关重要。
7、提高调查和补救能力。该行政命令为联邦部门和机构制定了网络安全事件日志要求。不良的日志记录妨碍了组织检测入侵、减轻正在进行的入侵以及事后确定事件程度的能力。一致的日志记录实践将解决大部分这个问题。
参考来源:TheWhiteHouse http://t.hk.uy/cCT
(五)美国多情报机构警告5G基础设施存在潜在威胁
美国国家安全局(NSA)、国家情报局局长办公室(ODNI)、国土安全部(DHS)网络安全和基础设施安全局(CISA)5月10日联合发布了一篇名为《5G基础设施潜在威胁向量》的分析报告,识别并评估了应用5G带来的风险和漏洞。该报告向美国5G利益相关者通报了相关问题,以制定综合解决方案。
该报告研究了5G中的三个主要威胁向量:标准、供应链及系统架构。该报告包括对5G环境的已知和潜在的威胁汇总、可能采用5G的示例场景、以及对5G核心技术的风险评估。
5G政策定义和实施不当可能会带来严重的风险,例如,参与起草工作的国家可能会试图影响标准,以使其专有技术受益。此外,国家可能缺乏对运营商未实施的可选控制的定义。
该报告还强调了5G供应链的风险,例如恶意软件和硬件的引入、假冒组件、不良设计、制造流程和维护程序等。“由于5G技术的广泛吸引力以及随之而来的部署热潮,加剧了这些风险的暴露。这可能会导致负面后果,如数据和知识产权被盗、对5G网络完整性的丧失信心、或被利用而导致系统和网络故障。”
威胁参与者可能利用5G架构中的弱点作为攻击媒介。5G系统架构使用越来越多的ICT来满足日益增长的数据、容量和通信需求。不管怎样,威胁参与者都可以利用旧的和新的缺陷来拦截、操纵、破坏和销毁关键数据。“这些威胁和漏洞可能被恶意威胁行为者用来对组织和用户造成负面影响。如果不持续关注5G威胁向量,及早发现系统架构中的漏洞,新的漏洞将增加网络事件的影响。”
参考来源:NSA http://t.hk.uy/cG8
(六)日本制造商Yamabiko遭受Babuk勒索软件攻击
日本工业机械制造商Yamabiko近日遭受了Babuk勒索软件攻击,Babuk组织在其数据泄露网站上公布了从Yamabiko窃取的一些数据,包括员工个人身份信息、产品示意图、财务数据等。Babuk声称窃取的数据总共有0.5 TB。
Yamabiko总部位于东京,是电动工具和农用及工业机械制造商,2008年由Kioritz和Shindaiwa合并而来,这两家公司保留了自己的品牌,同时还推出了第四个品牌Echo。公司现有员工三千多人,年收入超过10亿美元。
Yamabiko是hands-on-keyboard勒索软件攻击的首选目标,此类勒索软件通常使用“Living off the Land”的技术和像Cobalt Strike这样的合法工具,在网络内部横向移动并窃取数据。
Babuk组织上个月暗示,它对华盛顿特区警察局的攻击将是最后一次,并威胁要公布窃取的有关警官和线人的数据。然而,Babuk随后删除了这份在线声明,并声称将把其代码提供给“勒索软件即服务”(Ransomware as a Service, RaaS)参与者使用。
Blue Hexagon首席技术官Saumitra Das表示,Babuk过去曾与利用VPN漏洞在受害者网络中站稳脚跟的攻击有关。“由于今年涌现出大量的CVE漏洞,攻击者现在已开始攻击公司的基础结构,而不是通常的网络钓鱼作为第一攻击入口点,即发现泄露的凭证或开放的RDP。这种感染方法绕过了防火墙等基于预防的外围防御,并需要使用网络检测和响应来发现基于签名的技术所缺少的攻击痕迹。”
参考来源:InfoSecurity http://t.hk.uy/c3e
(七)新型恶意软件Snip3攻击航空航天领域组织
微软近日发现了一场针对航空航天和旅游组织的鱼叉式网络钓鱼活动,并警告称,其使用的多重远程访问特洛伊木马(RAT)使用了一种新型隐形恶意软件加载程序。
攻击者正在使用钓鱼电子邮件欺骗合法组织,并进一步使用图像引诱这些公司打开包含与航空、旅游和货运等多个行业相关信息的PDF文档。
微软表示,这项活动正朝着最终目标迈进,即利用RAT的远程控制、键盘记录和密码窃取功能,从受感染的设备中获取和过滤数据。
一旦部署,该恶意软件允许攻击者窃取凭证、屏幕截图和网络摄像头数据、浏览器和剪贴板数据、系统和网络信息,并通常通过SMTP端口587窃取数据。
该活动与以往观察到的其他攻击活动不同的是,采用并设计为绕过检测的RAT加载程序。这款新发现的加载程序采用加密即服务(Crypter-as-a-Service)模型,被Morphisec恶意软件分析师命名为Snip3,用于在被破解的系统上释放Revenge RAT、AsyncRAT、Agent Tesla和NetWire RAT有效载荷。
链接滥用合法的web服务和嵌入钓鱼消息下载第一阶段VBScript VBS文件,执行第二阶段PowerShell脚本,该脚本反过来使用进程中空执行最终的RAT有效负载。
参考来源:HackRead http://t.hk.uy/dr8
(八)新型恶意软件TeaBot攻击欧洲60多家银行
意大利米兰在线欺诈防范公司Cleafy威胁情报和事件响应团队发现了一款新型Android恶意软件,自2021年1月以来一直针对整个欧洲的用户。该恶意软件名为TeaBot,处于开发的早期阶段,但具备远程完全控制目标设备、窃取登录凭据、发送和拦截短信、提取银行数据等功能。
到目前为止,Cleafy威胁研究团队已经在意大利、西班牙、德国、比利时和荷兰等欧洲国家确定了60多家被TeaBot恶意软件攻击的银行。该恶意软件支持6种不同的语言,即德语、英语、意大利语、法语、西班牙语和荷兰语。
该恶意软件的其他功能允许其运营商从设备中删除现有应用程序、更改音频设置(如使设备静音)、读取电话簿、读取“电话状态”等,这意味着攻击者可以识别受害者的电话号码、通话状态、当前蜂窝网络信息等。
此外,TeaBot恶意软件会不断显示弹窗,迫使受害者接受可访问性服务权限,从而不断获取受感染设备的屏幕截图,并滥用Androidd辅助功能服务。这样一来,恶意软件就可以充当键盘记录程序,并跟踪受害者在手机上所做的一切。
此外,一旦感染了设备,TeaBot就会窃取谷歌认证2FA代码、破坏设备上的其他账户、并禁用谷歌Play保护功能。
据研究人员称,TeaBot恶意软件背后的威胁者最初使用了一个名为“TeaTV”的恶意应用程序来传播其感染。然而,在2021年4月,该应用的名字被改成了一些流行的应用,如DHL、UPS、VLC MediaPlayer和Mobdro。
值得注意的是,臭名昭著的Flubot银行木马也使用相同的诱饵来感染Android设备,但研究人员并没有这两个恶意软件之间有任何联系。
参考来源:HackRead http://t.hk.uy/ds4
(九)钓鱼活动Roaming Mantis窃取亚洲安卓用户信息
自2018年以来,一个名为Roaming Mantis的威胁活动冒充了一家物流公司,窃取了来自亚洲安卓用户的短信和联系人列表。去年,Roaming Mantis通过发送网络钓鱼URL消息和动态DNS服务来进行攻击,从而提高了攻击的有效性,攻击者使用重复的Chrome扩展程序“MoqHao”。
从2021年1月开始,Mcafee移动研究团队已经证实,该组织正在使用名为SmsSpy的最新恶意软件攻击来自日本的用户。恶意代码会感染使用两个版本的安卓用户,这取决于目标设备使用的操作系统版本。
攻击者使用的网络钓鱼技术与早期的活动有相似之处,但Roaming Mantis的URL的标题仍为“post”。另一个网络钓鱼消息冒充为比特币处理程序,然后将目标定向到恶意站点进行网络钓鱼,在该站点中要求受害者允许未经授权的登录尝试。
McAfee报告称,“在调查期间,我们观察到网络钓鱼网站hxxps://bitfiye[.]com重定向到hxxps://post.hygvv[.]com。重定向的URL也包含单词“post”,与第一个屏幕截图的格式相同。通过这种方式,攻击背后的参与者试图通过从类似于目标公司和服务的域中重定向来扩展SMS网络钓鱼活动的变体。”作为恶意软件分发程序的特征,将发送不同的恶意软件,这取决于获得登录网络钓鱼站点的Android OS版本。在Android OS 10及更高版本中,将下载恶意的Google Play应用程序。在Android OS 9和更早的版本中,将下载恶意的Chrome应用程序。
由于受感染的代码需要在每次Android OS更新中进行更新,因此,恶意软件参与者通过传播找到操作系统的恶意软件来针对更多系统,而不仅仅是尝试使用单一恶意软件类型来获取少量恶意软件。McAfee表示,“此恶意软件的主要目的是从受感染的设备中窃取电话号码和SMS消息。该恶意软件运行后,假装为Chrome或Google Play应用,然后请求默认的消息应用程序读取受害者的联系人和SMS消息。”
参考来源:EHackingNews http://t.hk.uy/dgz
(十)研究人员发现TsuNAME漏洞可对DNS服务器进行DDoS攻击
安全研究人员发现,域名服务器(DNS)生态系统中存在一个漏洞tsuNAME,攻击者可利用该漏洞来放大流向DNS权威服务器的流量,并执行分布式拒绝服务(DDoS)攻击。攻击者可以滥用受TsuNAME影响的递归解析器,将大量查询发送给目标授权服务器。
该漏洞是由SIDN Labs(.nl荷兰域名注册机构)、InternetNZ(.nz新西兰域名注册机构)和南加州大学信息科学研究所的研究人员发现DNS流量异常攻击其权威服务器后发现的。
递归解析器也称为DNS递归器,它位于客户端和DNS名称服务器的中间,用于帮助DNS服务器与其他DNS服务器通信,以查找IP地址并返回尝试与任何DNS服务器连接的客户端通过浏览器访问网站。
要了解TsuNAME漏洞的工作方式,重要的是区分权威性域名系统和递归域名系统(DNS)服务器之间的区别。目前,大多数在线提供的DNS服务器都是递归服务器,这些服务器接受用户的DNS查询并将其转发到权威DNS服务器,该DNS服务器的作用类似于电话簿,并且可以返回特定域名的DNS响应。
在正常情况下,每天有数百万个递归DNS服务器向权威DNS服务器发送数十亿个DNS查询。这些权威的DNS服务器通常由大型公司和组织(如内容交付网络、大型技术巨头、互联网服务提供商、域名注册商或政府组织)托管和管理。
根据研究人员发表的研究报告,攻击者可以制作恶意DNS查询,利用递归DNS软件中的漏洞,将格式错误的查询不停地发送到其权威DNS服务器。
tsuNAME攻击依赖于易受攻击的递归DNS软件和权威DNS服务器上的错误配置,可用于在上游权威服务器上创建流量高峰。研究人员表示,如果威胁参与者在攻击中注册了足够多的递归DNS服务器,则他们可以创建足够大的DDoS攻击,从而摧毁关键的互联网节点。
研究人员表示,“我们发现某些DNS解析器软件在遇到域名的循环相关NS记录配置错误时开始循环运行。可以使用此循环来对付权威服务器。”
研究人员发布了一款名为CycleHunter的工具,权威DNS服务器的运营商可以使用该工具在其DNS区域文件中查找循环依赖性。消除这些循环依赖性,即使递归DNS软件尚未收到补丁,也可以防止攻击者利用tsuNAME进行DDoS攻击。
研究人员表示,他们已通知Google和Cisco,谷歌的Google Public DNS(GDNS)和思科的OpenDNS服务已被滥用,以应对去年关闭.nz和.nl注册服务商的攻击。目前仍在努力识别易受攻击的DNS解析器软件,但是已经排除了Unbound、BIND和KnotDNS等工具,它们不受tsuNAME攻击影响。
研究人员表示,“我们感谢Google和Cisco修复了此漏洞,因为它们是互联网上最大的DNS服务之一。但是,还有许多其他解析器可能会受到tsuNAME的攻击。”
tsuNAME似乎是一个意外出现的漏洞,到目前为止,还没有发现任何恶意或有意攻击,不过这种情况将来可能会改变。
研究人员表示,他们使用CycleHunter在七个顶级域(TLD)中评估了约1.84亿个域名,发现了约1400个域名使用了44个循环相关的NS记录,可能来自配置错误,这些记录可能会被滥用以进行未来的攻击。
参考来源:TheRecord http://t.hk.uy/bDf
(十一)美国FBI及澳大利亚ACSC警告Avaddon勒索软件攻击
澳大利亚网络安全中心(ACSC)和美国联邦调查局(FBI)发布警告称,勒索软件Avaddon正在活动,针对全球多个行业发起网络攻击,包括政府、金融、能源、制造业和医疗保健,涉及的国家包括美国、英国、德国、法国、中国、意大利、巴西、印度、阿联酋、法国和西班牙。
该勒索软件自2019年2月开始活跃,在地下网络犯罪论坛上以勒索软件即服务(RaaS)的形式发布广告。犯罪组织租用勒索软件、破坏受害者公司、然后部署Avaddon软件来锁定系统并索要赎金。
美国联邦调查局和澳大利亚网络安全中心在5月5日及7日发布的警报中称,截至2021年5月,世界各地各行各业都有Avaddon的受害者。
联邦调查局表示,该组织利用安全性较低的系统,让员工远程访问自己的网络,从而损害了受害者的利益。FBI表示,“Avaddon勒索软件行为者通过远程访问单因素身份验证登录凭据(如远程桌面协议RDP和虚拟专用网VPN)和配置不当的RDP威胁了受害者。”
ACSC及FBI表示,攻击者通常避免攻击位于独立国家联合体(CIS)的组织,也参与了双重勒索计划。如果受害者拒绝支付赎金来获取解密密钥以恢复其文件,而是选择从备份中恢复,则攻击者进入第二勒索阶段,威胁会泄露其在加密文件之前从网络中窃取的敏感文件。这些数据通常在名为“泄密网站”暗网门户网站上分几个阶段泄漏,Avaddon于2020年8月仿效其他勒索软件操作启动了泄露网站。
根据FBI的说法,这些泄漏阶段通常遵循以下模式:
1、泄漏警告:最初获得受害者网络访问权后,Avaddon参与者将赎金记录留在受害者的网络上,并在Avaddon TOR泄漏网站上发布“泄漏警告”,包括文件截图(如敏感文件)和访问受害者网络证据(如网络文件夹截图)。
2、5%泄漏:如果受害者没有在3-5天内迅速支付赎金,Avaddon勒索软件会通过泄露一部分文件(并不是截图)来增加对受害者的压力。Avaddon通过将一个小的ZIP文件上传到Avaddon的TOR泄漏网站来泄漏此数据。
3、完全泄漏:如果在5%泄漏后仍未支付赎金,Avaddon会将其所有窃取的数据发布在Avaddon TOR泄漏网站的“完整转储”部分中的大型ZIP文件中。
此外,在其RaaS产品广告中,Avaddon称其有能力对组织实施分布式拒绝服务(DDoS)攻击,以便向受害者施加更大的压力。但是联邦调查局表示,截至2021年4月,他们尚未发现任何涉及DDoS攻击的Avaddon事件。
今年Avaddon勒索软件攻击并不是最普遍的,根据MalwareHunterTeam的数据,自今年年初以来,该组织每周都稳定的有10-20名受害者。
为了帮助公司准备和应对Avaddon攻击,ACSC发布了可公开访问的安全建议,其中包含预防攻击的建议及用于检测任何入侵企图的危害指标。
参考来源:TheRecord http://t.hk.uy/cpJ
(十二)美国塔尔萨市市政系统遭受勒索软件攻击全部关闭
美国俄克拉荷马州塔尔萨市(Tulsa)5月10日披露,其遭受了勒索软件攻击,迫使市政系统全部关闭,以防止恶意软件进一步扩散。塔尔萨是俄克拉荷马州第二大城市,人口约40万。
上周末,威胁行为者对塔尔萨市的网络发动勒索软件攻击,导致塔尔萨市关闭所有系统,并中断在线服务。
塔尔萨市市长GT Bynum在接受当地媒体KRMG采访时表示,我们发现了服务器上的恶意软件,于是就非常谨慎地关闭了所有系统。员工已经重返工作岗位,这起事件没有影响911服务或应急响应。
然而,城市系统的关闭使居民无法通过电子邮件访问在线账单支付系统、公用事业账单和服务。塔尔萨市、塔尔萨市议会、塔尔萨警方和塔尔萨311网站也被关闭进行维护。该市的电话系统已经启动并运行,任何需要与该市开展业务的人都可以通过电话进行。
在Facebook的一篇帖子中,该市表示,客户信息没有被泄露。由于大多数勒索软件操作在部署勒索软件之前都会窃取数据,因此会有一定数量的文件被盗。
塔尔萨市警察局Facebook页面上的一篇帖子中表示,“由于勒索软件攻击,塔尔萨市在许多帮助塔尔萨市民服务的外部项目上遇到了技术困难。目前还没有客户信息遭受勒索软件攻击,但居民将无法访问塔尔萨市的网站,网络服务将会延迟。”
勒索软件已经成为美国利益的祸害,每天都有新的攻击披露,受害者支付数百万美元的赎金。
为了帮助对抗日益增长的勒索软件威胁,已经成立了一个勒索软件特别工作组来分析该问题,并向立法者提供建议的解决方案。这些解决方案从强制性披露勒索款项到国际协调,以帮助组织预防和应对勒索软件攻击。
上周美国最大的燃料管道遭到DarkSide勒索软件组织的网络攻击,对关键基础设施的攻击也已成为一个重大问题。
参考来源:BleepingComputer http://t.hk.uy/dnr
(十三)United Valor泄露美国20万退伍军人信息
网络安全研究人员Jeremiah Fowler发现,退伍军人管理局供应商United Valor在网上泄露了一个数据库,其中包含近20万名美国退伍军人的医疗记录,这些数据可能已经被勒索软件攻击者窃取。弗吉尼亚州表示,证据可能指向内部安全工作,而不是网络攻击。
4月18日,研究人员Jeremiah Fowler首次发现了这些文件,他发现这些数据库泄露在网络上,甚至没有基本的密码保护。Fowler表示,这些文件多次提到解决方案提供商United Valor。United Valor位于美国北卡罗来纳州,为退伍军人管理局以及其他联邦和州机构提供残疾评估服务。
Fowler解释表示,泄露的数据包括患者姓名、出生日期、医疗信息、联系信息、甚至医生信息和预约时间,所有这些都可以用于社会工程攻击。该数据库还公开了未加密的密码和账单详细信息。
Fowler表示,“该数据库被设置为可在任何浏览器(公开访问)中打开并显示,并且任何人都可以在没有管理凭据的情况下编辑、下载甚至删除数据。利用这些数据可获取退伍军人障福利,这些数据是敏感的。”
在将调查结果透露给United Valor之后,Fowler表示第二天收到了回复。United Valor在回复中表示了感谢,“我们将该调查结果告知了承包商,他们立即关闭了公共数据访问。根据他们的监测,只有通过我们的内部IP和你的IP才能访问数据。”
Fowler解释,“数据集还包含一个名为“read_me”的勒索软件消息,声称所有记录都已下载,除非支付了0.15比特币(8,148美元),否则这些记录将被泄露。承包商对外部访问进行的取证审查或IP审查还应该确定勒索软件入侵和为泄露的数据库编制索引的多个物联网搜索引擎蜘蛛。这似乎与承包商告诉United Valor的说法相矛盾。”
New Net Technologies的Dirk Schrader认为,该违规行为可能是以下三个问题之一的结果:United Valor的监测能力有限、留下赎金记录的网络犯罪分子能够隐藏痕迹、United Valor在努力避免后果。
弗吉尼亚州表示他们正在积极调查这一情况。弗吉尼亚州信息和技术办公室IT战略沟通主管Reginald Humphries表示,“研究人员正在试图发现United Valor Solutions系统中的安全漏洞。目前,我们不认为存在数据泄露,而是应承包商United Valor要求出于研究目的而进行的。退伍军人福利管理局(VBA)隐私办公室目前正在与医学残疾检查官(MDEO)和承包商合作,以进一步调查所指控的事件。此外,我们的弗吉尼亚数据违规响应服务将继续独立进行调查。我们将在知道后为您提供其他信息。”
Untangle的Heather Paunet表示,与其他行业相比,医疗保健甚至需要采取适当的措施来防御勒索软件攻击。就在几天前,圣地亚哥地区医院系统Scripps Health遭到网络攻击,导致服务中断。去年9月,运营全国性医院网络的Universal Health Services遭受Ryuk勒索软件攻击。此前对德国杜塞尔多夫大学医院的攻击迫使急诊室将患者转移到其他设施,使患者的医疗服务遭受重创。Paunet表示,“医疗行业仍然是高级勒索软件目标。IT部门需要比以往任何时候都更加了解如何保护其网络、员工和患者。”
医疗保健公司在应对全球大流行时所承受的压力。是使他们成为更具吸引力的受害者的原因。Symmetry Systems首席执行官Mohit Tiwari表示,“如今,医疗保健行业处于非常具有挑战性的状况。该行业需要每天优先处理与医疗保健相关的许多问题,并且必须使用需要花费数年时间才能通过安全性认证的软件和硬件。”加强医疗数据保护的关键是强大的计算基础架构。
参考来源:ThreatPost http://t.hk.uy/c3s
(十四)新加坡大华银行遭到诈骗,泄露千余中国公民信息
新加坡大华银行5月7日披露,其一名员工遭受了冒充中国警方的诈骗,泄露了1166名中国籍客户的个人信息,包括客户的姓名、身份、手机号码和账户余额。银行账号没有泄露,大华银行的IT系统仍然是安全的。
除了就这一事件向客户道歉外,大华银行还表示正在配合警方调查。这名员工已被停职,并正在协助警方调查。大华银行表示,已致函受影响的客户,并采取了以下预防措施,包括:
1、立即禁用用户互联网和手机银行访问权限;
2、建议用户重新设置数字银行访问权限,以保护其免受诈骗;
3、加强对受影响帐户的帐户监控;
4、为任何在线转账的短信提醒阈值设置为1新元;
5、在大华银行个人网上银行及大华银行Might的登入页面张贴诈骗防护通知;6、在社交媒体上发布公共教育公告。
大华银行表示,“我们期望员工始终保持最高的专业操守标准,以保持客户对我们的信任。对我们的客户现在所处的状态表示非常抱歉。我们将继续尽一切努力与他们合作,以确保他们的帐户安全。”
参考来源:MotherShip http://t.hk.uy/dmE
(十五)全球超过2.9万个数据库未受保护可公开访问
CyberNews研究人员发现,全球仍有超过29,000个未受保护的数据库仍然可以公开访问,有将近19,000 TB的数据暴露给威胁行为者。
大多数组织使用数据库来存储敏感信息,其中包括密码、用户名、文档扫描、健康记录、银行帐户和信用卡详细信息、以及其他重要数据,所有这些信息都可以轻松搜索并方便地存储在一个地方。
不出所料,这使数据库成为恶意行为者的主要目标,这些恶意行为者渴望利用不受保护的系统并获得有利可图的信息。实际上,攻击者甚至甚至不需要进行黑客攻击就可以窃取所有珍贵的数据。造成破坏的最常见原因之一是数据库没有安全保护,任何人都可以在不提供用户名或密码的情况下访问数据。
数据库安全方面的此类错误可能会导致数亿人的个人信息暴露在互联网上,从而使威胁行为者可以将这些数据用于各种恶意目的,包括网络钓鱼和其他类型的社会工程攻击以及身份盗窃。尽管去年开放数据库的数据泄漏明显减少,但许多数据库管理人员仍在努力保护其数据免受未经授权的访问。
CyberNews研究人员的发现令人震惊:成千上万的数据库服务器仍然处于开放状态,任何人都可以访问,有超过29,000个不受保护的数据库,使得近19 PB的数据遭受盗窃、篡改,删除和更严重的攻击。
成千上万的开放数据库公开数据这一事实并不新鲜。的确,网络犯罪分子对此非常了解,一个未受保护的数据库可能只需要几个小时就被威胁者发现和攻击。
经过数年的大规模泄漏、勒索赎金、甚至Meow破坏性的数据清除成为头条新闻后,数据库所有者现在已经意识到了这个问题,至少在允许任何人进入之前,他们会要求提供用户名和密码。然而调查显示,情况似乎并非如此。
为了进行这项调查,研究人员使用了专门的搜索引擎来扫描三种最受欢迎的数据库类型的开放数据库:Hadoop、MongoDB、和Elasticsearch。
在执行搜索时,研究人员确保找到的开放数据库不需要任何身份验证,并且对任何人都开放,而不是那些启用了默认凭据的数据库。进入使用默认凭据的数据库将在未经授权的情况下登录到这些数据库,这是不道德的。结果,未受保护的数据库的实际数量和暴露的数据量可能甚至比我们能够找到的还要多。完成初始搜索后,研究人员运行了一个自定义脚本来测量每个不受保护的数据库的大小,而无需访问其中存储的数据。
结果显示,至少有29,219个未受保护的Elasticsearch、Hadoop和MongoDB数据库。Hadoop有近19 PB的数据容易被威胁者轻松访问,威胁者只需点击一个按钮,就可能危及数百万甚至数十亿的用户。Elasticsearch有19814个没有任何身份验证的数据库,从而使超过14 TB的数据面临被盗或被勒索团伙劫持的风险。
MongoDB有8,946个未受保护数据库,对于使用MongoDB存储和管理数据的数千个组织和个人而言,在基本数据库安全性方面还有很长的路要走。
中国有12943个未受保护的数据库高居榜首,美国排名第二,有4512个。德国(1479)、印度(1018)和法国(746)分列第三至第五。
各种规模的组织都使用数据库来存储客户和员工记录、财务数据以及其他类型的敏感信息。不幸的是,数据库通常是由未经安全培训的管理员管理的,这使它们很容易成为威胁参与者的目标。
数据库所有者可以采取以下几个简单步骤来保护数据库免受不受欢迎的访客的侵害:
1、启用身份验证,因此在没有正确凭据或ssh密钥的情况下没有人可以访问数据库。不要使用默认密码,威胁参与者会定期在网络上扫描启用了默认凭据的可公开访问的数据库,并立即对其进行攻击;
2、启用加密或使用VPN,以便在与数据库进行交互时,没有人可以拦截通过网络传输的数据;
3、使数据库软件保持最新。
参考来源:SecurityAffairs http://t.hk.uy/dj4
(如未标注,均为天地和兴工业网络安全研究院编译)
相关信息
2022-09-16
2022-09-09
2022-09-02
