关键信息基础设施安全动态周报【2020年第31期】
发布时间:
2020-08-07
来源:
作者:
访问量:
116
目 录
第一章 国内关键信息基础设施安全动态
(一)美宣布扩大“干净网络” 要清除各大中国公司与平台
第二章 国外关键信息基础设施安全动态
(一)三菱电机工厂自动化产品中存在三个安全漏洞
(二)工业传统编程语言使工业机器人存在严重风险
(三)协议网关中的漏洞可促进对工业系统的攻击
(四)恶意行为者可使用高功率物联网僵尸网络来操纵能源市场
(五)锂电池制造商Forsee遭受勒索软件NetWalker攻击
(六)勒索软件Maze泄露LG及Xerox数十GB内部数据
(七)佳能遭受勒索软件Maze攻击10TB数据被盗
(八)美国FBI、CISA、国防部联合发布警告恶意软件TAIDOOR
(九)美国家安全局NSA警告智能手机泄漏位置数据
(十)FBI发布关于勒索软件NetWalker安全警报
(十一)伊朗黑客组织APT34率先使用DoH协议窃取数据
(十二)HVAC系统中潜伏着网络安全威胁
(十三)IBM发布《数据泄露成本报告》:外泄凭证与云端配置错误是最大攻击媒介
(十四)澳大利亚电信公司Telstra出现DNS问题致网络中断
(十五)俄罗斯Ghostwriter虚假宣传活动旨在抹黑北约
第一章 国内关键信息基础设施安全动态
(一)美宣布扩大“干净网络” 要清除各大中国公司与平台
美国政府星期三(8月5日)表示正在加大努力,使美国的数字网络不受中国共产党的影响。国务卿蓬佩奥还把中国拥有的短视频分享应用程序抖音的海外版TikTok和社交媒体平台微信的海外版WeChat称为“重大威胁”。这是特朗普政府与中国当局在数字领域进行脱钩的最新举动,中国所有知名的电信公司都将受到这些措施的影响。
国务卿蓬佩奥星期三在国务院举行的新闻发布会上宣布扩大美国的“干净网络”倡议,以确保美国的网络不受到中国共产党政府的影响。这些新的努力集中在五个领域:干净运营商、干净商店、干净应用、干净云储存以及干净电缆。这些新的措施是对蓬佩奥今年4月宣布的5G网络“干净路径倡议”的扩展。
干净运营商
他说,美国正在确保中国的电信运营商不与美国的电信网络连接在一起,因为这些公司对美国的国家安全构成威胁,因此不应提供来往于美国的国际电信服务。
他在发布会上说:“我们正在努力确保不可信的中国电信公司不在美国和其他目的地之间提供国际电信服务。我与司法部长巴尔、国防部长埃斯珀以及国土安全部代理部长沃尔夫一道,敦促联邦通讯委员会撤销和终止中国电信和其他三家公司提供往返美国的电信服务的授权。”
干净商店
美国也在采取行动把中国的应用程序从美国的移动应用商店里清除出去,以保护美国最敏感的个人和商业信息不被中国利用或是盗窃。蓬佩奥说,中国的这些应用威胁到美国的隐私,散布病毒并传播宣传和虚假信息。
他说:“特朗普总统提到了即将对TikTok采取的行动,他有很好的理由这样做。由于母公司位于中国,像TikTok、WeChat和其他应用对美国公民的个人数据构成了重大威胁,更不用说充当中共内容审查的工具了。”
干净应用
“干净应用”指的是防止华为和其他中国智能手机生产商预装最流行的美国应用程序或是使它们可以下载。
他说:“我们不希望各公司在华为侵犯人权或中共的监视机构中成为同谋。”
干净云存储
蓬佩奥宣布的第四项新的努力是不让中国公司参与美国的云存储业务,以“保护美国人最敏感的个人信息和我们企业最有价值的知识产权,包括新冠病毒疫苗研究,不被阿里巴巴、百度、中国移动、中国电信和腾讯等公司运行的云系统接触到。”
他说,美国国务院将与商务部和其他部门密切合作,限制中国云服务提供商在美国收集、存储和处理大量数据和敏感信息的能力。
干净电缆
“干净电缆” 是要确保把美国与国际互联网联系起来的海底电缆不受到颠覆,以供北京收集情报。蓬佩奥说:“我们正在努力确保中共无法损害把我们和其他国家连接到全球互联网上的海底电缆传输的信息。”
他明确表示,美国不能再允许华为海洋网络公司以远低于其他公司的价格竞标,使用中国政府支持的海底技术把亚洲、太平洋、非洲和欧洲连接起来。
这位美国最高外交官还呼吁"所有热爱自由的国家和公司加入这个干净网络"。
在蓬佩奥国务卿做出这番宣布之前,美国总统特朗普在曾经警告将禁止TikTok后宣布允许微软或其它美国公司在9月15日左右之前完成收购TikTok的谈判。特朗普星期二在白宫说,TikTok生意做得很成功,深受孩子们喜爱,但是美国不能接受TikTok以及华为这样的公司的安全风险。
本文版权归原作者所有,参考来源:VOA http://dwz.date/bRym
第二章 国外关键信息基础设施安全动态
(一)三菱电机工厂自动化产品中存在三个安全漏洞
根据美国网络安全和基础设施安全局(CISA)发布的公告,三菱电机(Mitsubishi Electric)的数十种工厂自动化产品受到三个漏洞的影响,这三个漏洞可被利用来进行权限提升、任意代码执行和DoS攻击。三菱已经为许多受影响的产品发布了补丁,并为其余产品和无法立即安装补丁的客户提供了缓解措施。
作为对ICS项目文件研究的一部分,工业网络安全公司Claroty于2019年底和2020年初向供应商报告了这些问题。Claroty最近发布了一个开源工具,允许研究人员分析与SCADA应用程序相关的Microsoft Access数据库文件。
发现这些漏洞的Claroty研究员Mashav Sapir表示,他在一名客户使用的其中一款产品中发现了漏洞,随后三菱提供了受影响产品的完整清单。
三菱电机产品中发现的三个漏洞分别为:
CVE-2020-14496是一个权限问题,使得任何用户都能够将文件写入易受攻击产品使用的特定目录。这意味着具有写入权限的攻击者可以覆盖此目录中的合法文件,并且此文件可由软件以高权限执行。
CVE-2020-14523是一个zip漏洞。易受攻击的产品使用zip存档文件来存储配置等。一个zip存档可以包含多个文件的路径。如果解压存档的代码不能正确清理这些路径,则解压恶意压缩存档可能会导致将文件写入系统中目标目录之外的任意位置。
CVE-2020-14521指的是在调用某些WindowsAPI时使用不带引号的路径。这可能会导致易受攻击的程序访问非预期的文件。因此,利用此漏洞的攻击者可以在程序的上下文和权限中加载自己的恶意可执行文件。
Sapir指出,可以通过说服目标用户打开特制项目文件(例如,通过网络钓鱼攻击)来远程利用CVE-2020-14523。攻击者可以利用此漏洞将恶意的可执行文件拖放到目标系统上,然后利用CVE-2020-14496或CVE-2020-14521以提升的特权执行该文件。
研究人员解释说:“成功利用这些漏洞的攻击者将获得对运行三菱工程软件的计算机的完全访问和控制。这意味着他们既可以完全访问ICS设备的配置,也可以随意更改配置,也可以完全通过网络访问这些设备,因此他们还可以直接攻击这些设备。这意味着攻击者现在可以通过在未被检测到的情况下修改它或完全停止它来危害OT环境的操作。”
参考来源:SecurityWeek http://dwz.date/bR6A
(二)工业传统编程语言使工业机器人存在严重风险
米兰理工大学和网络安全公司趋势科技的研究人员分析了一些最受欢迎的工业编程语言,并发现可利用工业编程语言对机器人和其他可编程制造机器进行攻击。研究人员已开发出一种蠕虫来证明其发现的严重性。
研究人员分析了ABB、Comau、Denso、Fanuc、Kawasaki、Kuka、Mitsubishi和Universal Robots的编程语言,这些语言可用于创建自定义应用程序,使工业机器人能够执行复杂的自动化程序。
专家们研究了使用这些语言开发的100个开源自动化程序,并发现了其中许多漏洞,其中包括可能使黑客控制或破坏机器人的漏洞。研究人员指出,虽然他们分析的某些代码可能不会在生产中使用,但其中一些源于初学者可能会使用的技术资料,而且开源代码进入最终产品的情况并不少见。 大多数研究过的编程语言已经存在很长时间了,而迁移到其他技术对于许多组织而言将是一项困难而昂贵的任务。
研究人员发现的其中一个漏洞影响了使用ABB Rapid语言创建的Web服务器。有权访问托管目标机器人控制器的网络的攻击者可能已经利用安全漏洞在未经身份验证的情况下获取了包括知识产权在内的敏感信息。收到警报后,ABB从其RobotStudio商店中删除了易受攻击的应用程序。
在趋势科技共享的另一个示例中,为Kuka机器人编写的开源应用程序受到了一个漏洞的影响,如果没有安全系统,该漏洞可能被利用来欺骗网络数据包并控制机器人的运动,从而可能造成物理损坏或破坏生产过程。正确部署或配置。
除了使用经过分析的编程语言开发的应用程序中的漏洞外,研究人员还发现了设计缺陷,可以利用这些缺陷隐藏工业机器人中的恶意功能,甚至创建自我传播的恶意软件。
所有分析的语言都具有通信功能,使应用程序能够与外部系统之间收发数据。其中一些还允许应用程序访问低级系统资源,包括文件系统访问以及加载和执行代码的能力。所有这些功能使攻击者可以创建强大的恶意软件。例如,老练的黑客可以对机器人上运行的代码进行少量更改,以从远程位置获取恶意代码并执行。
研究人员使用一种传统编程语言开发的概念验证(PoC)恶意软件可以在蠕虫等受感染的环境中自动传播,并从设备中窃取有价值的数据,同时允许攻击者远程控制其创建。
根据研究人员的说法,这类攻击最有可能是由资源丰富的攻击者发起的,建立一个小型实验室对工业机器人进行实验性攻击的费用可能在20,000美元至25万美元之间,他们对目标组织有特定的了解。
趋势科技在其报告中表示,“修复这些设计缺陷是不切实际的,因为无法轻松替换遗留的编程环境。它们不仅对于当前的工业自动化变得至关重要,而且强大的技术锁定功能使每台交换机都非常昂贵。因此,尽管存在更新的替代方案,但领先平台背后的大型企业仍然主导着市场。离开他们的平台根本不经济。”
趋势科技和机器人操作系统(ROS)工业联盟分享了一些减少攻击风险的建议,并且安全公司还创建了一种工具,组织可以使用该工具来识别漏洞和恶意软件。
参考来源:SecurityWeek http://dwz.date/bQRf
(三)协议网关中的漏洞可促进对工业系统的攻击
协议网关设备中发现的漏洞可促进对工业系统的秘密攻击,使威胁行为者能够获取有价值的信息并破坏关键进程。
协议网关是小型设备,旨在确保各种类型的IT和OT设备即使使用不同的协议也可以相互通信。例如,它们可以转换在相同协议但在两个不同物理层上发送的流量(例如,TCP到RTU),转换在相同物理层但不同协议上的流量(例如,Modbus RTU到PROFIBUS),或者转换不同物理层和协议上的流量(例如,Modbus TCP到PROFIBUS)。
有两种类型的协议网关:一种是实时转换流量的协议网关,另一种是存储转换后的流量并根据请求提供它的数据站。
威胁参与者可以将协议网关作为目标,这有几个原因。例如,如果设备无法正确转换流量,它们可能会导致严重中断。其次,协议网关不太可能受到安全产品的监视,这使得检测到攻击的可能性较小。而且由于翻译问题不易诊断,因此攻击非常隐秘。
趋势科技的研究人员分析了许多组织使用的Nexcom NIO50,Schneider Electric Link 150,Digi One IA,Red Lion DA10D和Moxa MGate 5105-MB-EIP协议网关。研究集中于Modbus通信协议的翻译,该协议是最广泛使用的OT协议之一。
研究人员首先测试了这些设备如何处理繁重或格式错误的流量,例如攻击者发送的流量。对于实时网关,研究人员使用模糊器生成数千个无效的Modbus TCP和Modbus RTU数据包,这些数据包将馈送到Schneider,Digi One和Nexcom产品以测试其防火墙功能。Schneider和Digi One设备都过滤掉了大多数无效的TCP数据包,但Nexcom的数据包却完全没有通过该测试。
趋势科技的研究人员表明,NEXCOM设备未能处理格式错误的数据包,数据包在转换之前应该已被丢弃或修复,攻击者可以利用该漏洞绕过防火墙,向连接到协议网关的设备发送恶意请求。专家们展示了攻击者如何向PLC发送恶意请求,试图操纵其控制的进程。例如,攻击者可以打开马达并停用关键的安全传感器,让操作员蒙在鼓里。
趋势科技向NEXCOM报告了这个漏洞,NEXCOM表示,由于产品即将到期,将不会发布补丁。这家网络安全公司表示,尚未测试受影响产品的后继产品。
对于数据站,趋势科技测试了Moxa和Red Lion产品。在部署之前需要配置数据站,以将功能和命令分配给交换机、传感器或其他设备。此配置存储在所谓的I / O映射表中,该表存储在SQLite3数据库中。
I / O映射表可能包含许多信息,这些信息可能在计划攻击时对恶意行为者有用,并且对表进行未经授权的更改可能会导致PLC,HMI和连接到目标数据站的其他设备的中断。
研究人员已经发现Moxa设备中的漏洞,攻击者可以利用这些漏洞来访问I / O映射表,操纵进程并造成破坏。对于Red Lion设备,他们确定了内存泄漏和DoS问题。
协议网关本身很可能不直接参与产品或设施的输出。然而,它们是设施内不同传感器、接口、设备和机械之间信息流的关键环节。操作员需要能够看到并信任设施的数据,并采取行动防止事故或潜在的生产问题。易受攻击或暴露的协议网关可能使威胁行为者危及报告数据的完整性、运营商查看数据的能力,或阻止运营商采取行动。
参考来源:SecurityWeek http://dwz.date/bRC7
(四)恶意行为者可使用高功率物联网僵尸网络来操纵能源市场
佐治亚理工学院的研究人员发现,从理论上讲,恶意行为者可以使用由高功率设备提供动力的僵尸网络来操纵能源市场。
大多数僵尸网络都是由路由器、摄像头和DVR等设备驱动的。然而,普林斯顿大学的研究人员几年前警告说,威胁行为者想要破坏能源网络,可能会创建一个高功率设备的僵尸网络,如连接互联网的烤箱、空调、水和空间加热器,这些设备使用1-5千瓦的功率。 普林斯顿大学的研究人员所描述的僵尸网络名为BlackIoT(MadIoT),它的重点是通过同时打开和关闭受损的高功率设备来造成破坏,包括本地中断和大规模停电。然而,在实际操作中,攻击不一定总是成功的,尤其是当电网保护机制对僵尸网络造成的冲击作出有效反应时。
在佐治亚理工学院研究人员描述的新攻击方法中,他们将其称为“ IoT Skimmer”,该攻击者使用大功率设备的僵尸网络来操纵电力市场,以获取财务利益或财务损失。
大多数电力市场都包括一个日间交易市场和一个实时市场,在日间交易市场中,交易者以前一天确定的价格买卖电能,而实时市场则平衡了实际电力需求与日间承诺之间的差额。佐治亚理工大学的研究人员说,威胁行为人可以像操纵金融市场一样操纵电力市场:制造一个导致价格下跌或上涨的事件,在价格低时买入,在价格高时卖出。
研究人员引述美国联邦能源监管委员会(FERC)的一份报告说,2018年共有16起潜在的市场操纵案件,其中14起因未发现操纵证据而未采取任何行动而结案。他们还指出,最近英国电力市场管理人员遭到袭击。
研究人员认为,控制高功率IoT僵尸网络的攻击者可以稍微改变电网的需求,从而影响市场价格。
一个潜在的攻击者可能是市场参与者,它会发动攻击,试图操纵价格,为自己牟利。另一个潜在的攻击者是一个国家赞助的行为体,其目的是操纵价格,仅仅是为了使目标国家或目标市场参与者遭受经济损失。 一个民族国家的攻击者可以获得市场参与者如何投标的信息(这些数据是公开的),并影响实时市场价格,以获得最大的经济损失。
佐治亚理工大学的研究人员认为,攻击的收益与僵尸网络中的僵尸程序数量成正比。只有5万个带来相当大的经济影响就可以完成攻击,并产生相当大的经济影响。
臭名昭著的IoT僵尸网络Mirai由60万台设备供电,但这些设备大多是低功率设备。然而,研究人员在黑帽网络安全会议的一次谈话前接受采访时表示,拥有大量资源的攻击者可以通过搜索目标物联网设备中的漏洞,然后利用这些漏洞,试图将其诱捕到僵尸网络中,从而从头开始创建一个高功率设备的僵尸网络。
他们指出,目前估计有3000万个智能恒温器,这将给恶意行为者带来大量的潜在目标,研究人员预计,在未来的某个时候,我们将看到这样的高功率的僵尸网络。
从长远来看,攻击要想成功,就必须是隐蔽的,为此,僵尸网络产生的额外功耗必须在一定的限度内,以避免被能源市场和设备被滥用的消费者检测到。预测的电力负荷与实际负荷之间的差值称为负荷预测误差。如果攻击产生的变化在此负载预测错误的范围内,则市场运营商和玩家不太可能检测到攻击。
为了避免被消费者发现,如果僵尸网络每年平均100天(或每月8天)打开其设备,持续3个小时,那么消费者账单上的增加幅度将高达7%,研究人员认为,许多用户不太可能注意到这一点。但是,这仍然足以进行重大攻击。
为了使操作更加隐蔽,威胁行动者可以在几天之内发起攻击,并且他们可以在一天中的关键时刻打开被攻击的设备(例如,中午的智能冰箱;清晨的电动汽车充电器、烤箱和烘干机)。如果是由市场参与者进行运动,他们可能会针对竞争对手,甚至发动对他们有一定影响的攻击,以摆脱对自己的怀疑。。
由于创建这样的僵尸网络并进行实际测试是非法的,因此研究人员使用了来自纽约和加利福尼亚市场的可用数据来计算攻击的效率。
例如,如果市场参与者发动攻击,如果他们使用150,000个僵尸网络的僵尸网络,他们每天可以额外赚取100,000美元的利润,利润的大小与僵尸网络的大小成正比。
研究人员说,一个国家赞助的威胁参与者可能会因使用15万台设备的僵尸网络每天造成200万美元的经济损失,同时将负载分布保持在限制范围内。
根据他们的计算,市场参与者每年可以额外赚取2400万美元的利润,而一个民族国家集团每年可能造成高达3.5亿美元的经济损失。
至于针对此类攻击的对策,研究人员建议开发一种实时监控数据库,该数据库将信息存储在一小部分高功率IoT设备上。该数据库可以通过查找可疑活动来检测潜在的攻击。他们还认为,市场数据不应该公开共享,应该只提供给市场参与者,甚至他们也应该只延迟接收数据,而不是实时接收。
参考来源:SecurityWeek http://dwz.date/bRBJ
(五)锂电池制造商Forsee遭受勒索软件NetWalker攻击
为电动市场设计和制造智能锂离子电池系统的Forsee Power公司的基础设施遭受了勒索软件NetWalker攻击。
Forsee Power公司能够通过可持续的、零排放的电动汽车来缓解气候变化。该公司将自己描述为欧洲、亚洲和北美该领域的主要参与者,并基于市场上最强大的电池设计、组装和供应能源管理系统,并提供安装、调试和现场或远程维护。Forsee在北美和荷兰设有办事处,在波兰设有生产部门,在法国设有销售办事处和研发中心。
从Forsee窃取的文件屏幕截图出现在NetWalker的暗网网站上。按照惯例,当受害者没有对现场数据加密后生成的赎金做出回应时,攻击者会公布了他们声称从Forsee窃取的文件列表。
网络犯罪分子并不经常使用NetWalker。在过去的几年里,它被用来攻击旧金山的加州大学(University Of California)、澳大利亚客户体验公司Stella和德克萨斯州的地区交通管理局Trinity Metro。
参考来源:itwire http://dwz.date/bR9r
(六)勒索软件Maze泄露LG及Xerox数十GB内部数据
勒索软件Maze 8月4日泄露了从LG和Xerox网络中窃取的50.2GB和25.8GB数据。
自从6月底勒索软件Maze的运营商在他们的泄露门户网站上分别为两家公司创建了条目以来,今天的这两起泄密事件终于有了进一步进展。
勒索软件Maze通常通过破坏公司网络,首先窃取敏感文件,然后加密数据以及要求赎金解密文件来进行操作。如果受害者拒绝支付解密文件的费用并决定从备份中恢复,Maze会在“泄漏网站”上创建条目,并威胁以另一种勒索方式发布受害者的敏感数据。然后,受害者有几周的时间来考虑自己的决定,如果受害者在第二次敲诈勒索企图中不屈服,Maze将在其门户上发布文件。LG和Xerox显然拒绝满足Maze的要求,目前处于最后阶段。
自从6月底在Maze网站上首次宣布这两起事件以来,一直在跟踪这两起事件。
根据Maze上个月分享的截图,以及今天下载和审查的文件样本,这些数据似乎包含各种LG产品(如手机和笔记本电脑)的云源固件的源代码。
Maze在6月份表示,他们没有在LG的网络上执行勒索软件,他们只是窃取了公司的专有数据,并选择跳到敲诈勒索的第二阶段。其表示,“我们决定不执行勒索软件Maze,因为他们的客户对社会有重要意义,我们不想对他们的运营造成干扰,所以我们只泄露了数据。”6月份LG安全团队表示他们将调查这起事件,并向当局报告任何入侵行为。
类似于LG事件,目前尚不清楚Maze加密了哪些内部Xerox系统,也不清楚文件是否在没有加密的情况下被窃取和赎回。根据对今天网上泄露的数据的粗略审查,Maze似乎窃取了与客户支持操作相关的数据。研究人员发现了与Xerox员工相关的信息,但是还没有找到保存Xerox客户数据的文件,尽管这是一个巨大的信息,但审核所有这些信息都需要时间。
在6月份接受威胁情报公司Bad Packets采访时,Xerox联合创始人Troy Mursch表示,两家公司都运行Citrix ADC服务器,根据他们公司的互联网扫描,这些服务器在某种程度上没有打补丁,在线时容易受到攻击。这些服务器容易受到CVE2019-19781漏洞的攻击,Mursch将其描述为Maze最喜欢的攻击媒介。
具有讽刺意味的是,就在Maze在其泄密门户网站上泄露LG文件的同一天,威胁情报公司Shadow Intelligence表示,另一名黑客正在黑客论坛上出售LG美国研发中心的访问权,要价在1万美元到1.3万美元之间。
参考来源:ZDNet http://dwz.date/bR7C
(七)佳能遭受勒索软件Maze攻击10TB数据被盗
近日,佳能遭受了勒索软件攻击,影响了许多服务,包括佳能的电子邮件、微软团队、美国网站和其他内部应用程序。佳能的Image.Canon云照片和视频存储服务出现可疑故障,导致其免费10 GB存储功能的用户数据丢失。
Canon网站在2020年7月30日遭遇了一次中断,在6天的时间里,该网站显示将更新状态,直到8月4日恢复服务。然而,最终状态更新很奇怪,因为它提到虽然丢失了数据,但“没有图像数据泄漏”。然而研究人员相信其遭受了网络攻击。
有消息人士共享了一张全公司范围的通知的图片,该通知的标题为“ 来自IT服务中心的消息”,这是佳能IT部门在今天早上6点左右发出。此通知指出,佳能正在经历“影响多个应用程序、团队、电子邮件和其他系统的大范围系统问题,目前可能不可用”。
作为此中断的一部分,佳能美国公司的网站现在显示访问时出现错误或页面未找到错误。似乎受此中断影响的佳能域列表包括:www.canonusa.com、www.canonbroadcast.com、b2cweb.usa.canon.com、canondv.com、canobeam.com、canoneos.com、bjc8200.com、canonhdec.com、bjc8500.com、usa.canon.com、imagerunner.com、multispot.com、canoncamerashop.com、canoncctv.com、canonhelp.com、bjc-8500.com、canonbroadcast.com、imageland.net、consumer.usa.canon.com、bjc-8200.com、bjc3000.com、downloadlibrary.usa.canon.com、www.cusa.canon.com、www.canondv.com
之后,从所谓的佳能勒索笔记的部分屏幕截图,能够识别出它来自勒索软件Maze。
Maze表示,他们的攻击是在今天早上进行的,窃取了“10TB的数据,私人数据库等”,作为对佳能攻击的一部分。Maze拒绝透露有关此次攻击的任何进一步信息,包括赎金金额、被盗数据的证据以及加密设备的数量。虽然最初认为image.canon中断与勒索软件攻击有关,但Maze声称被黑与他们无关。
Maze是一种针对企业为目标的人工操作的勒索软件,它通过网络进行危害并秘密传播,直到获得对管理员帐户和系统的Windows域控制器的访问权限。在此过程中,Maze将从服务器和备份中窃取未加密的文件,并将其上传到威胁参与者的服务器。一旦他们收获了网络中任何有价值的东西并获得了访问Windows域控制器的权限,Maze将在整个网络中部署勒索软件来加密所有设备。如果受害者不支付赎金,Maze将在他们创建的数据泄露网站上公开泄露受害者的被盗文件。
参考来源:BleepingComputer http://dwz.date/bRDY
(八)美国FBI、CISA、国防部联合发布警告恶意软件TAIDOOR
8月3日,美国联邦调查局(FBI)、网络安全和基础设施安全局(CISA)及国防部(DoD)联合发布恶意软件分析报告(MAR),称中国政府正在使用一种名为TAIDOOR的远程访问木马(RAT)。
根据这三家机构的说法,这种新的恶意软件有32位和64位系统的版本,通常作为服务动态链接库(DLL)安装在受害者的系统上。
这个DLL包含另外两个文件。第一个文件是加载程序,它作为服务启动。加载程序解密第二个文件,并在内存中执行它,这是主要的远程访问特洛伊木马(RAT)。然后,TAIDOOR RAT被用来允许中国黑客访问受感染的系统、过滤数据或部署其他恶意软件,即远程访问特洛伊木马通常采用的方式。
FBI表示,Taidoor通常与代理服务器一起部署,以隐藏恶意软件操作人员的真实来源。
虽然联合警报给网络安全世界带来了新的威胁,但在今日早些时候的一条推文中,美国网络司令部表示,自2008年以来,恶意软件已经存在并悄悄部署在受害者网络上至少12年了。
在这三家机构今天发布的联合恶意软件分析报告(MAR)中,其中包含针对希望改进检测、预防感染或已被感染并需要从其系统中删除恶意软件的组织的建议缓解技术和建议的响应行动。
美国网络司令部还在VirusTotal门户网站上上传了四个Taidoor恶意软件样本,网络安全公司和独立恶意软件分析师可以从那里下载文件进行进一步分析和寻找更多线索。
在联合警报发布后,Nexon Systems的恶意软件分析师Florian Roth表示,他之前一直在检测Taidoor样本,其中一些样本可以追溯到2019年3月,但以Taurus RAT的名义。
参考来源:ZDNet http://dwz.date/bN4b
(九)美国家安全局NSA警告智能手机泄漏位置数据
美国国家安全局NSA8月4日发布通报,通知人们手机通过设计可以提供各种方式的位置信息,这些信息超出了人们经常使用的著名的位置服务功能。该机构还提供了一些关于保护隐私的人如何限制被跟踪的方法的建议。
事实上,网络罪犯分子利用智能手机的安全威胁,以诸如跟踪软件、间谍软件、社交网络钓鱼等精确定位一个人的位置。
NSA的业务是利用美国军方和情报界的信号收集信息和数据,用于情报目的。2013年,泄密者爱德华·斯诺登通过美国公民的电话和电脑活动收集对他们的监控而臭名昭著。
但现在,该机构试图帮助人们保护自己,并将自己的位置数据隐藏起来,不让任何人从威胁行为体到执法部门,甚至是政府本身,发现他们在使用的移动设备。
该举措与Ghidra的发布是一致的,Ghidra是该机构于2019年发布的一个免费、开源的软件逆向工程工具。鉴于新冠肺炎疫情的爆发,移动位置信息正变得更加关键。当局的目标是使用手机位置数据来帮助追踪接触者-或定位可能与感染者有过接触的人,以试图控制病毒的传播。
大多数人都知道,设备上的位置服务可以查明他们所在的位置,这样人们就可以访问该地区的服务,并可以通过诸如WhatsApp之类的移动应用程序与朋友分享位置信息。
但美国国家安全局表示,移动设备上还有其他共享位置的活动,人们可能不太了解这些活动。一种是仅打开它的动作,由于蜂窝网络和提供商之间的信任关系,每次设备连接到网络时都会发送设备的实时位置信息。
根据该机构的说法,这意味着提供商可以在大范围内跟踪用户。该机构警告称,还发现了网络提供商,并随后被FCC罚款,原因是他们向第三方出售数据,包括近实时的位置数据。
NSA表示,人们经常使用的其他服务,如Find My Phone、Wi-Fi和Bluetooth,在打开时也几乎不间断地提供设备位置数据,建议人们在不使用这些服务时关闭这些服务,以帮助缓解任何外部跟踪。
人们还会犯混淆GPS定位服务的常见错误,这不是一回事。美国国家安全局表示,即使人们保持警惕并意识到智能手机显示位置的多种方式,他们也无法完全避免暴露这些数据。最终,它们只能减少共享的位置数量以及第三方可以访问该信息的方式。
参考来源:threatpost http://dwz.date/bRF3
(十)FBI发布关于勒索软件NetWalker安全警报
近日,美国FBI发布了最新安全警报,警告针对美国和外国政府组织的Netwalker勒索软件攻击。联邦政府建议受害者不要支付赎金,并向当地的联邦调查局外地办事处报告事件。该警报还包括针对Netwalker勒索软件的威胁指标以及缓解措施。
FBI警告称,6月份开始的新一轮Netwalker勒索软件攻击,受害者名单包括加州大学旧金山分校医学院和澳大利亚物流巨头Toll Group。
该警报表示,“截至2020年6月,FBI已收到有关Netwalker勒索软件攻击的通知,该勒索软件攻击由身份不明的网络参与者发起,袭击了美国和外国政府组织、教育实体、私营公司和卫生机构。在攻击澳大利亚运输和物流公司以及美国公共卫生组织之后,Netwalker在2020年3月获得了广泛认可。从那以后,使用Netwalker的网络参与者就利用了COVID-19大流行的优势,来攻击越来越多的毫无戒心的受害者。”
Netwalker勒索软件运营商自3月份以来一直非常活跃,他们还利用目前正在发生的COVID-19疫情来锁定目标组织。
威胁参与者最初利用网络钓鱼电子邮件来传递Visual Basic脚本(VBS)加载程序,但自2020年4月以来,Netwalker勒索软件运营商开始利用易受攻击的虚拟专用网络(VPN)设备,Web应用程序中的用户界面组件或远程桌面协议的弱密码连接以访问受害者的网络。最近,Netwalker勒索软件运营商正在寻找新的协作者,以使他们能够访问大型企业网络。
该警报表示,“参与者使用Netwalker利用的最常见的两个漏洞是Pulse Secure VPN(CVE-2019-11510)和Telerik UI(CVE-2019-18935)。一旦攻击者通过Netwalker渗透到网络中,就会执行一系列恶意程序来收集管理员凭据,窃取有价值的数据并加密用户文件。为了对受害网络上的用户文件进行加密,参与者通常会启动一个嵌入了Netwalker勒索软件可执行文件的恶意PowerShell脚本。”
以下是FBI建议的缓解措施:
离线备份重要数据。
确保关键数据的副本位于云中或外部硬盘驱动器或存储设备上。
保护备份安全,并确保无法从数据所在的系统访问该数据以进行修改或删除。
在所有主机上安装并定期更新防病毒或防恶意软件。
仅使用安全网络,避免使用公共Wi-Fi网络。
考虑安装和使用VPN。
使用具有强密码的两因素身份验证。
保持计算机,设备和应用程序的修补程序为最新。
FBI建议受害者不要支付赎金。
参考来源:SecurityAffairs http://dwz.date/bRuk
(十一)伊朗黑客组织APT34率先使用DoH协议窃取数据
卡巴斯基恶意软件分析师Vincente Diaz发现,伊朗黑客组织Oilrig是第一个使用DNS-over-HTTPS(DoH)进行攻击的组织,已将其加入了黑客工具库。
根据Diaz的说法,Oilrig运营商开始使用一种名为DNSExfiltrator的新实用程序,作为其入侵被黑网络的一部分。DNSExfilter是GitHub上提供的一个开源项目,通过收集数据并将其隐藏在非标准协议中来创建隐蔽的通信渠道。顾名思义,该工具可以使用传统的DNS请求在两点之间传输数据,但也可以使用更新的DoH协议。
Diaz表示,Oilrig(即APT34)一直在使用DNSExfilter在内部网络之间横向移动数据,然后将其渗透到外部。Oilrig最有可能使用DoH作为渗透渠道,以避免在移动被盗数据时其活动被检测或监视。这是因为基于两个主要原因,DoH协议目前是理想的渗透渠道。首先,它是一种新协议,并不是所有的安全产品都能够监控。其次,默认情况下它是加密的,而DNS是明文。
Oilrig是第一个部署DoH的APT组织,这也不足为奇。从历史上看,该组织曾涉足基于DNS的渗透技术。根据Talos、NSFOCUS和Palo Alto Networks的报告,在5月份采用开源DNSExfiltrator工具包之前,该组织至少从2018年起就一直使用名为DNSpionage的定制工具。在5月份的活动中,卡巴斯基表示,Origrig通过DoH将数据泄露到了与COVID-19相关的域中。
同月,路透社独立报道了一场由身份不明的伊朗黑客策划的鱼叉式网络钓鱼行动,目标是员工制药巨头Gilead,该公司当时宣布开始研究新冠肺炎病毒的治疗方法。然而,目前还不清楚这些事件是否相同。
之前的报道将大多数伊朗APT联系在一起,认为他们是伊朗最高军事实体伊斯兰革命卫队的成员或承包商。但是,尽管Oilrig是第一个公开使用DoH的APT,但总的来说,它现在是第一个DoH的恶意软件操作。根据奇虎360的网络威胁追踪部门NetLab的一份报告,2019年7月,基于Lua的Linux恶意软件Godlua率先将DoH部署为其DDoS僵尸网络的一部分。
参考来源:ZDNet http://dwz.date/bRAD
(十二)HVAC系统中潜伏着网络安全威胁
在全球范围内,物业经理和房东都在担心COVID-19在空气导流的威胁。您的HVAC系统也可能使您面临另一种威胁:网络安全。臭名昭著的黑客攻击针对的是Target公司的第三方HVAC系统。一瞬间,1.1亿个信用卡和借记卡号码被盗。来自物联网设备的新的第三方连接泛滥了proptech领域,也构成了类似的风险。
亚利桑那州立大学计算机与信息学助理教授Adam Doupe表示:“我喜欢以两种方式使用Target攻击:向学生介绍现代系统的复杂性以及正确实现网络安全的难度。我们有一个奇怪的案例,他们第一次通过第三方暖通空调供应商进入网络。”
这不是一次复杂的黑客攻击。Target的暖通空调供应商Fazio Mechanical拥有外部网络访问权限,并未受到来自较大网络的反恶意软件措施的防火墙保护。针对Fazio的一个简单的网络钓鱼方案至少吸引了一名员工,从而使特洛伊木马进入Fazio网络。黑客所要做的就是等待合适的员工把Fazio的登录凭证泄露到目标网络。专家们不确定黑客进入目标公司的销售点(POS)系统后做了什么,Target也没有公开发布其攻击,但我们知道他们是如何进入的。据报道Target损失了1.48亿美元。
Target的黑客利用了第三方供应商的网络访问权限。几乎每个充满智能建筑的物联网设备都可以获得相同类型的访问权限。所有这些新的物联网设备都支持以前从未存在过的新型物理攻击。
根据Deloitte最近的一项调查,商业房地产所有者和物业经理称最大的网络安全威胁是来自第三方供应商的风险。超过40%的受访者表示,供应商和第三方服务提供商构成了最大的威胁,是其他任何潜在风险的两倍多。这是一个公平的评估。
新上市的物联网设备内置了更多的网络安全措施,允许不同的第三方系统进行通信,但不会破坏网络。自2013年Target遭到黑客攻击以来,第三方供应商身份验证已经取得了长足的进步,但在网络安全这场军备竞赛中,设备开发和部署的步伐很难跟上。
2019年上半年,全球网络安全领先者卡巴斯基检测到针对物联网蜜罐的27.6万个唯一IP地址中的1.05亿次攻击。更令人担忧的是,根据Infoblox的数据,在过去的一年里,46%的组织在他们的网络上发现了“影子”物联网设备。
根据全球技术市场咨询公司ABI Research的数据,到2026年,所有主要物联网市场的物联网连接将超过230亿。欧洲电信标准研究所是欧盟公认的欧洲标准组织,最近公布了围绕物联网的新网络安全标准,专门针对第三方供应商。英国正在加大打击力度。据报道,微软最近斥资1.65亿美元收购了CyberX,这是一家开发保护工业第三方供应商控制系统的平台的公司。
毫无疑问,诸如占用传感器,空气质量监控器,温度控制,智能锁等设备可为上班族和业主带来价值。智能建筑是未来,但是随着它们变得越来越智能,也变得越来越难以保护。它所需要的只是一个漏洞,一台设备。
参考来源:propmodo http://dwz.date/bRGa
(十三)IBM发布《数据泄露成本报告》:外泄凭证与云端配置错误是最大攻击媒介
IBM近日公布了从2019年8月到2020年4月的《数据泄露成本报告》(Cost of a Data Breach Report),该报告搜集了在这期间来自17个国家、17个产业的524起数据泄露事件,显示有52%的数据泄露事件源自于恶意攻击,在恶意攻击中,黑客主要利用的三大媒介依序是泄露凭证(19%)、云端配置错误(19%) ,以及第三方软件的安全漏洞(16%)。
今年每起数据泄露事件的平均成本为386万美元,相关的成本计算了业务的流失、企业的侦测及回应行动,以及通知执法/监管机构与受害者等。该报告向来都会分析数据泄露的原因,通常归类为恶意攻击、系统故障及人为疏忽等三大类,而今年特别就恶意攻击的媒介进行细分。
整体而言,在524起数据泄露事件中,有52%来自恶意攻击,25%起因于系统故障,而有23%属于人为疏忽,上述事件所带来的平均成本分别是427万美元、 338万美元与333万美元,显示出恶意攻击的数据泄露事件所导致的成本最高。
而在恶意攻击中,有19%是利用外泄凭证,19%源自云端的错误配置,16%是开采了第三方软件的安全漏洞,还有14%是透过网络钓鱼攻击。其中,使用已泄露的凭证进行攻击不只是黑客最常用的手法,也替企业带来最高的成本,相关攻击所招致的成本大约为475万美元,居次的则是开采第三方软件漏洞的450万美元。
另一方面,基于恶意攻击的数据泄露事件中,有53%起源于财务动机,有13%是由国家级黑客所发动,另外13%则是单纯的黑客行为。
参考来源:iThome http://dwz.date/bR7s
(十四)澳大利亚电信公司Telstra出现DNS问题致网络中断
8月2日上午开始,使用澳大利亚电信公司Telstra默认DNS设置的客户发现其无法访问互联网,因为该电信公司正遭受拒绝服务攻击。
随后Telstra在中午之前在Twitter上表示,“一些域名服务器(DNS)正在遭受拒绝服务攻击(DoS)。您的信息不会受到威胁,我们正在尽一切努力使您重新上网。”
客户将DNS设置从Telstra中调离可以缓解网络中断。同时,Telstra自己的站点停机行为异常,有时候返回502错误,有时候返回404错误。
下午12:05,Telstra表示已经控制了这次攻击。“我们正在阻止恶意流量攻击我们的某些服务。我们有信心我们已经阻止了所有这些恶意流量,并正在努力使您恢复正常运行。感谢您与我们保持联系。”下午2时27分,Telstra表示问题已解决。
Telstra表示,“我们的安全团队已对以拒绝服务网络攻击形式呈现的大规模信息风暴进行了调查,我们现在认为这不是恶意的,而是域名服务器问题。我们很抱歉妨碍您的周末计划。”
最近一段时间,Telstra一直在谈论其DNS过滤功能,称为Cleaner Pipe,用于打击通过其网络的恶意软件。该计划的重点是阻止僵尸网络的命令和控制通信,远程访问木马的下载以及其他形式的恶意软件。这家电信公司在5月表示,当流量触及其基础架构时,它已经阻止了数以百万计的恶意软件通信。此举可减少网络威胁对数百万Telstra客户的影响,包括阻止盗窃个人数据、财务损失、欺诈活动以及用户的计算机受到恶意软件感染。
Telstra首席执行官安迪•佩恩表示,“我们知道许多消费者和小型企业没有足够的资源来保护自己。更清洁的管道意味着我们能够更积极地阻止网络上的网络威胁,从而威胁到客户个人信息的安全。虽然它不能完全消除风险,或替代适当的威胁保护,但它将有助于显著减少数量和影响。”
这项举措被推荐为一个可以被其他电信公司效仿的例子,该报告将纳入澳大利亚即将出台的2020年网络安全战略。该报告补充说,应该有立法来支持该过程并提供安全港条款,以使电信公司可以确定彼此在应对网络威胁时彼此共享的信息。
参考来源:ZDNet http://dwz.date/bQHb
(十五)俄罗斯Ghostwriter虚假宣传活动旨在抹黑北约
近日,FireEye安全研究人员发现,一个名为GhostWriter的虚假宣传活动,旨在通过在受攻击的新闻网站上散布的虚假新闻内容来抹黑北约。
在FireEye发布的研究报告中,研究人员表示,“这些行动主要针对在立陶宛、拉脱维亚和波兰的反北大西洋公约组织(NATO)的受众,往往利用网站的漏洞或欺骗性的电子邮件帐户传播编造的内容,包括来自军方官员伪造信件。”
据FireEye称,这场活动至少从2017年3月就开始了,该活动名为GhostWriter,并与俄罗斯的安全利益保持一致。
该报告表示,“我们将这项运动称为Ghostwriter运动,是基于其利用不真实的人物冒充目标国家的当地人、记者和分析师,发布文章和专栏文章,将这些捏造的内容作为源材料,发布给一组发布用户自创内容的核心第三方网站。”
与其他虚假宣传活动不同,GhostWriter不会通过社交网络传播,相反,该活动背后的威胁行动者滥用了新闻网站的受害内容管理系统(CMS)或欺骗的电子邮件帐户来传播假新闻。
攻击者曾经用假内容替换网站上现有的合法文章,而不是创建新帖子。攻击者散布了虚假的内容,包括伪造的新闻文章、信件和其他旨在表现为来自目标国家军事官员和政治人物的文件。据专家称,该运动主要针对联盟中特定国家的受众,包括立陶宛,拉脱维亚和波兰。
GhostWriter的操作员们专注于散播虚假的引用,比如一段被错误地归因于北约eFP战斗群指挥官的观点,这段引语被用来宣传21名驻扎在拉脱维亚的加拿大士兵感染了COVID-19。
另一则捏造的内容是由北约秘书长延斯·斯托尔滕贝格撰写的一封信,该信旨在支持一种说法,暗示大西洋联盟计划应对COVID-19大流行而退出立陶宛。
这些伪造的内容在文章和专栏文章中被引用为原始材料,这些文章和专栏文章中至少有14位冒充当地人、记者和分析师的身份在这些国家里冒充当地人、记者和分析师。这些主要由英语撰写的文章已被一致地发布到一组第三方网站上,这些网站似乎接受用户提交的内容,最著名的是OpEdNews.com、BalticWord.com、亲俄罗斯网站TheDuran.com、以及可疑的Ghostwriter附属博客。
参考来源:SecurityAffairs http://dwz.date/bQMb
(如未标注,均为天地和兴工业网络安全研究院编译)
天地和兴,安全周报,关键信息基础设施
相关信息
2022-09-16
2022-09-09
2022-09-02
