关键信息基础设施安全动态周报【2019年第2期】
发布时间:
2019-08-13
来源:
作者:
访问量:
29
目 录
第一章国内关键信息基础设施安全动态简讯
(一)专门针对中国的木马攻击活动
第二章海外关键信息基础设施安全动态简讯
(一)针对工业目标的网络攻击在过去6个月中翻了一番
(二)GermanWiper勒索软件严重打击德国各设施,即使支付赎金也会破坏数据
(三)错误的JIRA 配置导致数百家财富500强公司的数据泄露
(四)某网络间谍组织在窃取委内瑞拉军方文件
(五)研究人员在六家企业级打印机中发现了超过35个漏洞
(六)微软称俄罗斯黑客正在使用物联网设备渗透网络
(七)美国空军Bug Bounty漏洞计划以123,000美元收获54个漏洞
(八)IBM X-Force Red发现新型网络风险:用邮寄方式入侵WiFi网络
(九)思科修复了三个Cisco Small Business 220上的高危漏洞
第一章 国内关键信息基础设施安全动态简讯
(一)专门针对中国人的木马攻击活动
FortiGuard Labs发现了一项新的针对国人使用恶意软件的活动,该恶意软件通过利用已知的WinRAR文件(cve-2018-20250)和RTF文件(cve-2017-11882)漏洞绕过了正常的身份验证。这次攻击使用了一个水坑攻击策略,通过被黑客攻击的中文新闻网站传播恶意软件来攻击中文用户。根据FortiGuard Labs的分析,该活动似乎也是实验性的,因为它使用了许多不同的技术和工具来定位这个最终攻击用户。水坑攻击中利用的网站为在美国的中文网站,网站中被注入了钓鱼链接,链接指向Twitter的登陆界面。
其中使用的后门程序会收集系统信息并将信息发送到其C2服务器,还可以下载文件并创建反向shell以进行进一步的攻击。
第二章 海外关键信息基础设施安全动态简讯
(一)针对工业目标的网络攻击在过去6个月中翻了一番
八月五日,IBM的X-Force IRIS事件响应团队发布了基于的网络攻击事件的新报告,该报告显示,破坏性恶意软件攻击事件的数量正在快速增加,意味着对各种类型不认为自己会成为攻击目标的企业构成了越来越大的威胁。
这些恶意代码,例如Industroyer,NotPetya或Stuxnet,旨在造成损害,而不是纯粹用于秘密监视或数据窃取。这些恶意代码的功能可能包括锁定系统,崩溃PC,渲染服务不可操作以及删除文件等。
研究人员表示,“历史上,像Stuxnet,Shamoon和Dark Seoul这样的破坏性恶意软件主要由复杂的单一民族国家参与者使用。然而,特别是自2018年末以来,网络犯罪分子将如LockerGoga和MegaCortex这样的新型勒索软件纳入其攻击中。”
IBM表示,在2019年上半年,与2018年下半年相比,此类恶意软件的使用量增加了一倍。制造业是这些攻击的持续目标,其中50%的案例与工业公司有关。石油,天然气和教育方面的组织也更容易遭受破坏性攻击。
一次成功的破坏性网络攻击平均会损毁12000个工作站,受攻击的企业进行恢复平均需要512个小时,在严重情况下,恢复时间可以长达1200小时。破坏性网络攻击所造成的平均损失高达2.39亿美元,相比信息泄露所造成的平均损失只有392万美元。IBM观察到的大多数案例都发生在欧洲,美国和中东。
(二)GermanWiper勒索软件严重打击德国各设施,即使支付赎金也会破坏数据
过去一周,一个名为GermanWiper的勒索软件在德国造成了严重破坏,这个软件是伪装成勒索软件的数据清除软件,并不会加密受害者的数据,而是用0和1覆盖文件,永久性的破坏用户端数据。所以即使受害者支付赎金,也会销毁受影响的数据。除非用户创建了数据的离线备份,否则他们的数据不可能完好无损。
Bleeping Computer于7月30日首次获悉GermanWiper,当时受害者开始在该网站的论坛上发帖子求助。据Bleeping Computer报道,数据攻击者主要通过垃圾邮件活动在德国传播GermanWiper。攻击电子邮件伪装成一个名叫Lena Kretschmer的人的求职申请,包含一个名为Unterlagen_Lena_Kretschmer.zip的附件,该附件包含通过PowerShell命令下载恶意软件可执行文件的恶意PDF文档。
当用户运行此文件时,勒索软件将使用0x00(零字符)重写各种本地文件的内容,并为所有文件追加新的扩展名。此扩展名具有五个随机字母数字字符的格式,例如08kJA,AVco3,OQn1B,rjzR8等。在“加密”所有目标文件后,GermanWiper将在用户的默认浏览器中打开勒索信息说明(HTML文件)。
这个勒索信息表明所有文件已被加密,并提示受害者支付0.15038835(约1600美元)比特币作为解密密钥。
安全专业人员建议可以通过使用端点管理解决方案来帮助防御GermanWiper,以提供对公司资产的可见性,并帮助简化修补已知漏洞的过程。安全团队还应采用分层防御策略,利用反恶意软件解决方案,安全意识培训和数据备份来抵御破坏性恶意软件攻击。
(三)错误的JIRA 配置导致数百家财富500强公司的数据泄露
来自国外的开发者Avinash Jain 在8月2日时发表了一篇文章,揭露全球范围内使用非常广泛的问题跟踪软件JIRA 由于错误的配置导致成千上万的公司泄露了内部的员工以及项目数据的问题。Jain 同时提供了如何去找出这些存在漏洞的JIRA 系统的方法。
几个月前,Jain发表了一篇关于《JIRA 泄露NASA 员工和项目数据》的文章,Jain能够在这些泄露的数据中找到NASA员工的详细信息,包括用户名、电子邮件、ID 以及他们的内部项目详细信息。NASA用的就是Atlassian 的JIRA 工具,一个独立任务跟踪系统/项目管理软件,全球约有135,000家公司和组织在使用。而这次数据泄漏的根本原因是JIRA 中存在的疯狂错误配置。
受影响的客户包括NASA,谷歌,雅虎,Go-Jek,HipChat,Zendesk,Sapient,Dubsmash,西联汇款,联想,1password,Informatica等公司,以及世界各地政府的许多部门也遭受同样的影响,如欧洲政府,联合国,美国航天局,巴西政府运输门户网站,加拿大政府财政门户网站之一等。
(四)某网络间谍组织在窃取委内瑞拉军方文件
根据8月5日ESET发布的报告,一个名为“Machete”的网络间谍组织被发现从委内瑞拉军方窃取敏感文件。
该团体自2010年以来一直活跃,历史上一直追踪来自世界各地的广泛目标。ESET表示,从今年开始,Machete主要将其黑客工作重点放在委内瑞拉。
在2019年3月至5月期间,ESET表示至少有50台受感染的计算机联系了Machete命令和控制(C&C)服务器。
这些感染中约有75%位于委内瑞拉,超过一半的受感染计算机属于委内瑞拉军队,其次是厄瓜多尔(16%)、哥伦比亚(7%)、尼加拉瓜(2%)。
ESET安全研究员Matias Porolli说,“攻击者对地理信息系统(GIS)软件使用的专用文件类型进行了渗透,该组织对使用军事网格描述导航路线和定位的文件特别感兴趣。”
Machete小组直接向其受害者发送非常具体的电子邮件,发给每一个目标的电子邮件都不一样。这些电子邮件包含运行恶意软件的压缩自解压存档的链接或附件,并打开一个用作诱饵的文档。为了欺骗毫无防备的目标,Machete经营者使用他们之前偷来的真实文件。
ESET的研究人员表示,Machete最近的活动至今仍然活跃,而且黑客一直非常成功,每周都会泄露数十亿字节的机密文件。目前尚不明确Machete是否为国家赞助的APT,但Machete成员似乎是讲西班牙语的人。
(五)研究人员在六家企业级打印机中发现了超过35个漏洞
NCC集团的研究人员发现了六种常用企业机构打印机中的重大漏洞,暴露了互联网连接打印机存在的巨大攻击点。
管理安全顾问兼研究负责人Daniel Romero和NCC集团安全顾问Mario Rivas测试了六种中档企业打印机的多个方面,包括Web应用程序和Web服务以及固件和更新功能,以及执行硬件分析。
HP,Ricoh,Xerox,Lexmark,Kyocera和Brother制造的打印机在测试时使用基本工具发现了各种各样的漏洞类型,其中一些可以追溯到三十年或四十年。在开始研究的几分钟内就发现了一些漏洞。
打印机存在的问题严重程度各不相同。潜在的可能被利用的影响包括:可能导致打印机崩溃的拒绝服务攻击、在受损打印机中添加后门以维持企业网络上的攻击者持久性、窥探发送给易受攻击的打印机的每个打印内容、以及能够将它们转发给基于互联网的外部攻击者。
测试的打印机型号为:HP Color LastJet Pro MFP M281fdw;Ricoh SP C250DN;Xerox Phaser 3320;Brother HL-L8360CDW;Lexmark CX310DN;Kyocera Ecosys M5526cdw
在此研究中发现的所有漏洞现在都已修补或正在被制造商修补。建议系统管理员现在将任何受影响的打印机更新为可用的最新固件,并监视任何进一步的更新。
NCC集团研究主任Matt Lewis指出,“由于打印机已存在数十年,它们通常不被视为企业物联网,但它们是连接到敏感企业网络的嵌入式设备,因此暴露了企业物联网带来的潜在风险和安全漏洞。”
(六)微软称俄罗斯黑客正在使用物联网设备渗透网络
据微软称,一家由国家赞助的俄罗斯黑客组织利用物联网设备的不良安全措施来渗透企业网络。该公司透露,微软威胁情报中心的研究人员已经发现了使用流行物联网设备的公司的黑客攻击,即VOIP电话,办公打印机和视频解码器。在一些情况下,坏人甚至不必破解密码:设备使用其制造商的默认密码。
微软将这些攻击归咎于一个名为Strontium的组织,也被称为Fancy Bear和APT28。如果你还记得,Fancy Bear被认为是一群参与2016年DNC黑客的国家赞助的俄罗斯黑客,对美国官员进行了各种渗透尝试,并试图在今年早些时候破坏欧盟选举。不过,微软能够在早期阶段发现攻击,因此该组织的目标仍不明确。什么是晶体,物联网设备成为渗透者的入口点,使他们能够寻找一种深入挖掘网络的方法。
在获得对每个物联网设备的访问权限之后,运行tcpdump来嗅探本地子网上的网络流量。他们还看到了枚举管理组以尝试进一步利用。当活动从一个设备移动到另一个设备时,他们会放弃一个简单的设备shell脚本用于在网络上建立持久性,允许扩展访问继续搜索。网络流量分析显示设备也在与外部命令和控制(C2)服务器进行通信。
微软表示,它已经向那些被Strontium瞄准的人提供了“1,400个国家通知”。其中大多数是针对政府,IT,军事,国防,医药,教育和工程部门的攻击。然而,五分之一的人是针对世界各地的非政府组织,智囊团和政治附属团体。微软现在正在鼓励组织通过保护他们的物联网设备来保护他们的网络。值得注意的是,微软支持FIDO联盟为物联网行业建立无密码安全标准的目标。
(七)美国空军Bug Bounty漏洞计划以123,000美元收获54个漏洞
美国空军将50名经过审查的黑客聚集在一起,以查找由美国军方分支机构主办的最新漏洞赏金计划中的漏洞。
计划管理公司Bugcrowd在8月6日表示,在美国空军的公共计算环境(CCE)举办的为期六周找漏洞比赛中的中获得了54个安全漏洞的信息,CCE是一个旨在提供在线应用程序的分支机构云平台。
50名经过审查的黑客参与的漏洞赏金计划获得了123,000美元的奖金,平均每位参与者2,460美元。Bugcrowd的首席技术官兼创始人Casey Ellis表示,向美国空军报告的问题的数量和严重程度显示了群众的优势。
“如果你让人们构建软件,建立环境,那么他们也会犯错误,这就是你想要抓住并提供反馈的东西,”他说。“这是为了让黑客成为解决方案的一部分,并弄清楚如何让他们参与政府网络安全活动。”
作为在特定产品和服务中查找漏洞的廉价方式,漏洞悬赏已经变得更加流行。除了美国空军之外,美国军方的每个分支机构都对其部分信息基础设施进行了重大的赏金计划。2016年11月,美国陆军发起了“Hack the Army”活动,共有来自371名合格参与者的118份有效漏洞报告。而且,去年在拉斯维加斯举行的DEF CON会议上,美国海军陆战队进行了9小时的黑客活动,其中75个漏洞的奖金为80,000美元。
随着美国政府逐步增加对云的使用,军方也在考虑测试其云基础设施的安全性。据空军称,CCE是美国空军基于云的平台,目前截至4月份已有21个应用程序。根据美国空军的声明,军事部门自2015年以来已在云平台上花费了1.36亿美元,但已经节省了运营和管理问题。
埃利斯表示,作为不太熟悉发动群众力量的初步尝试,漏洞赏金计划取得了成功。下一步,它定期使用漏洞悬赏系统地提高基础设施安全性。
(八)IBM X-Force Red发现新型网络风险:用邮寄方式入侵WiFi网络
IBM X-Force Red是隶属于IBMSecurity的一个资深安全团队,主要目的是发现和防范网络中存在的潜在漏洞。今天该团队发现黑客可以利用网络安全的潜在漏洞渗透网络,实现访问设备以及窃取设备上的数据。这项新技术被X-Force Red称为“Warshipping”,黑客会在包裹内部署一个名为“战舰”(WarShip)的巴掌大小计算机,并通过快递方式将其运输到指定机构,随后入侵这些机构的WiFi内部网络。
和Wardialing或者Wardriving这样的传统方式不同,Warshipping是一种支持3G网络的设备,因此避免了传统方式必须要在黑客设备范围内的局限性,能够更加灵活的进行远程和现场控制。一旦到达目标站点,设备就会留意可用于探测网络的潜在数据包。
(九)思科修复了三个Cisco Small Business 220上的高危漏洞
今日思科在其最受欢迎的产品之一,Cisco Small Business 220系列智能交换机固件版本1.1.4.4上修复了三个高危漏洞。
这三个漏洞分别是身份验证绕过(CVE-2019-1912,评级为致命,评分为9.1)、远程命令执行(CVE-2019-1913,评级为致命,评分为9.8)和命令注入(CVE-2019-1914,评级为中等,评分为7.2)。
在这三个中,前两个是最危险的,因为它们可以被互联网上的远程攻击者利用而无需在设备上进行身份验证。这意味着任何可通过互联网访问的Cisco 220系列智能交换机都可能受到攻击。
在今天发布的安全公告中,思科表示,攻击者可利用身份验证绕过漏洞,将上传文件到Cisco 220交换机上的,以替换配置文件或构建反向shell。
第二个错误,也是三个中最危险的错误,允许攻击者以root权限运行恶意代码,从而有效地允许攻击者通过针对未修补交换机的简单HTTP或HTTPS请求来接管设备。
好消息是,这三个漏洞存在于交换机的Web管理界面中。设备所有者可以关闭Web管理界面或安装Cisco今天发布的更新。
相关信息
2022-09-16
2022-09-09
2022-09-02
