关键信息基础设施安全动态周报【2019年第3期】
发布时间:
2019-08-21
来源:
作者:
访问量:
27
目 录
第一章 国内关键信息基础设施安全动态简讯
(一)工业互联网产业联盟发布《中国工业互联网安全态势报告(2018年)》
(二)CNCERT发布《2019年上半年我国互联网网络安全态势》
第二章 海外关键信息基础设施安全动态简讯
(一)Rogue7:针对西门子S7 PLCs 工控设备的攻击手段
(二)Anomali团队捕获了一个针对中国政府部门的网站钓鱼攻击行动
(三)捷克共和国委员会指责一个外国国家针对捷克外交部发动了网络攻
(四)谷歌研究人员透露已有20年历史的Windows漏洞尚未打补
(五)新型银行木马Cerberus出现在地下恶意软件市场
(六)Intel发布多条高危漏洞补丁:针对多款软件和NUC产品漏洞
(七)Windows远程桌面服务远程命令执行漏洞(CVE-2019-1181/1182)
(八)黑客使用Backdoor和Trojan来攻击巴尔干地区的财务部门
第一章 国内关键信息基础设施安全动态简讯
(一)工业互联网产业联盟发布《中国工业互联网安全态势报告(2018年)》
2019年8月6日,工业互联网产业联盟正式发布了《中国工业互联网安全态势报告(2018年) 》。报告认为,当前我国工业互联网平台网络安全防护发展尚处于起步阶段,工业互联网应用环境也出现了较多安全问题,工业互联网平台较多采用传统网络安全防护技术、设备安全防护体系架构,整体解决方案还不够成熟,这些都是我国工业互联网发展所面临的必然挑战。
对于我国工业互联网主要面临的安全威胁,报告总结为四个方面:工业终端成为安全最薄弱环节,工业终端保有量大,但安全防护相对不足,勒索病毒、挖矿木马在2017年出现后,2018年继续发酵,工业主机终端成为工业网络安全的脆弱环节。工业控制系统安全形势依然严峻,2018年爆发多起工业控制系统重大漏洞,影响多类生产系统。工业互联网平台的安全仍未形成体系,平台的安全尚没有形成体系化的安全防护机制,一方面平台自身的安全性不足,另一方面平台PaaS层也缺乏健全的安全API供SaaS层调用。工业App缺乏安全机制,目前工业App形态各异、种类繁多,缺乏安全机制和API安全标准。
(二)CNCERT发布《2019年上半年我国互联网网络安全态势》
2019年08月13日,CNCERT发布《2019年上半年我国互联网网络安全态势》。2019年上半年,我国基础网络运行总体平稳,未发生较大规模以上网络安全事件。但数据泄露事件及风险、有组织的分布式拒绝服务攻击干扰我国重要网站正常运行、鱼叉钓鱼邮件攻击事件频发,多个高危漏洞被曝出,我国网络空间仍面临诸多风险与挑战。
国家互联网应急中心CNCERT从恶意程序、漏洞隐患、移动互联网安全、网站安全以及云平台安全、工业系统安全、互联网金融安全等方面,对我国互联网网络安全环境开展宏观监测。数据显示,与2018年上半年数据比较,2019年上半年我国境内通用型“零日”漏洞收录数量,涉及关键信息基础设施的事件型漏洞通报数量,遭篡改、植入后门、仿冒网站数量等有所上升,其他各类监测数据有所降低或基本持平。
电力安全是关键信息基础设施保护的重要内容之一,为调查我国电力二次设备的安全现状,2019年上半年CNCERT继续对国内主流电力厂商的产品 进行安全摸底测试,电力设备供应商在电网企业的引导下,已有一定安全意识,但设备整体网络安全水平仍有待提高。截至目前,在涉及28个厂商、70余个型号的六大类产品(测控装置、保护装置、智能远动机、站控软件、PMU、网络安全态势感知采集装置,)中均发现了中、高危漏洞,可能产生的风险包括拒绝服务攻击、远程命令执行、信息泄露等。其中SISCO MMS协议开发套件漏洞,几乎影响到每一款支持MMS协议的电力装置。
2019年上半年,CNCERT进一步加强了针对联网工业设备和工业云平台的网络安全威胁发现能力,累计监测发现我国境内暴露的联网工业设备数量共计6,814个,包括可编程逻辑控制器、数据采集监控服务器、串口服务器等,涉及西门子、韦益可自控、罗克韦尔等37家国内外知名厂商的50种设备类型。其中,存在高危漏洞隐患的设备占比约34%,这些设备的厂商、型号、版本、参数等信息长期遭恶意嗅探,仅在2019年上半年嗅探事件就高达5,151万起。
第二章 海外关键信息基础设施安全动态简讯
(一) Rogue7:针对西门子S7 PLCs 工控设备的攻击手段
近日,多名以色列理工学院及以色列特拉维夫大学职工发布了针对西门子S7 PLCs攻击手段的文章。西门子工业控制系统架构包括Simatic S7 PLC,其一侧与TIA工程站和SCADA HMI通信,另一侧控制工业系统。该架构的较新版本声称对于复杂的攻击者是安全的,因为它们使用高级加密原语和协议。然而,以色列的研究人员表明即使最新版本的设备和协议仍然容易受到攻击。在对加密协议进行反向工程之后,他们能够创建一个工程站,它可以伪装成PLC的TIA并向攻击者注入任何有利的消息。
以色列人员举例说明了一种攻击的方法。他们扩展了可以远程启动或停止PLC到最新S7-1500 PLC的攻击。他们的主攻可以将攻击者选择的控制逻辑下载到远程PLC。他们最强大的攻击 - 隐形程序注入攻击 - 可以单独修改运行代码和源代码,这些代码和源代码都下载到PLC。这允许他们修改PLC的控制逻辑,同时保留PLC提供给工程师站的源代码。因此,他们可以创建一种情况,即PLC的功能与工程师可见的控制逻辑不同。
(二)Anomali团队捕获了一个针对中国政府部门的网站钓鱼攻击行动
Anomali威胁研究小组最近发现了一个网络钓鱼网站冒充中华人民共和国外交部电子邮件服务的登录页面。如果访问者尝试登录这个钓鱼页面,网站就会向他们弹出一条验证消息,要求用户关闭窗口并继续浏览。研究人员通过对攻击者的基础设施进行进一步分析后发现,其幕后攻击者还针对中国的其他政府网站和国有企业网站进行了大范围的钓鱼活动。在调查中发现的一个域名被中国安全供应商“CERT 360”认定为2019年5月“APT恶意攻击”的一部分。目前Anomali已经确认,幕后的策划者还会进一步对中国的政府网站发起进一步攻击。基于Let’s Encrypt证书发布日期,研究人员认为该活动开始于2019年5月。研究人员预计,BITTER APT将继续以中国的政府为目标,利用伪造的登录页面窃取用户凭证,获取特权账户信息。

(三)捷克共和国委员会指责一个外国国家针对捷克外交部发动了网络攻击
捷克共和国议会委员会透露,捷克国家网络和信息安全局谴责一个外国发起的针对捷克外交部的网络攻击。
该委员会没有透露涉嫌参与袭击事件的国家的名称。
内政部长Jan Hamacek告诉CTK新闻机构,政府基础设施已经处理了几个月的网络攻击。
一名捷克间谍机构指责俄罗斯在2016年针对外交部发起了另一波攻击,由国家支持的黑客入侵了150个部门的电子邮件帐户。
当时,捷克外交部长证实,黑客没有渗透到该部的内部通信系统,也没有任何机密材料受到损害,即使攻击者窃取了大量数据。
一位政府消息人士告诉路透社,捷克当局怀疑这些袭击来自俄罗斯。捷克专家于2017年1月初发现了安全漏洞。
捷克共和国是北约联盟之一,2016年10月,捷克当局逮捕了俄罗斯公民Yevgeniy Nikulin,他于2018年3月被引渡到美国。美国要求Yevgeni Nikulin对社交网络和俄罗斯进行网络攻击当局指控他欺诈。根据美国当局的说法,这名男子瞄准了LinkedIn和Formspring并入侵了文件托管服务Dropbox。
(四)谷歌研究人员透露已有20年历史的Windows漏洞尚未打补丁
Google的Project Zero团队中的白帽子Tavis Ormandy近日披露了在Windows操作系统中存在长达20年的尚未打补丁的漏洞细节。
该漏洞评为高危漏洞,会影响从Windows XP以来的所有Microsoft Windows版本。Ormandy透露了Windows kernel中msCTF模块中的多个设计安全问题。
MSCTF子系统是文本服务框架(TSF)的一部分,它管理输入方法,键盘布局,文本处理和其他问题。TSF由ctfmon服务器和MSCTF客户端组成。
漏洞存在于MSCTF客户端和服务器相互通信的方式中。该漏洞可允许低权限或沙箱用于读取和写入更高权限应用程序的数据的应用程序。
根据Ormandy的说法,缺乏访问控制或任何类型的身份验证可能允许任何应用程序,因此任何应用、用户、沙箱进程都可以:
● 连接到CTF会议
● 允许CTF客户端从任何其他会话中读取和写入任何窗口的文本
● 伪装成CTF服务并获得其他应用程序(甚至是高权限的应用)来进行连接
● 对线程ID,进程ID和HWND等进行欺骗
● 进行沙箱逃逸和权限提升

(五)新型银行木马Cerberus出现在地下恶意软件市场
一种新的恶意软件Cerberus已经出现在威胁领域,它是一种从头开发的Android RAT,并没有从其他恶意软件中借用代码。根据Threat Fabric的威胁研究人员分析,Cerberus实现了与其他Android RAT类似的功能,它允许使用者完全控制受感染的设备。该恶意软件实现了银行木马功能,例如使用覆盖攻击、拦截SMS消息、和访问联系人列表,以及截图、录制音频、录制键盘、发送,接收和删除短信、窃取联系人列表、转发电话、收集设备信息、跟踪设备位置、窃取帐户凭据、禁用Play Protect、下载其他应用和有效负载、从受感染的设备中删除应用、推送通知、锁定设备的屏幕。
在2019年6月,ThreatFabric分析师发现了一种新的Android恶意软件,被称为”Cerberus“,正在地下论坛上租用。它的作者声称它在租赁开始之前的两年内用于私人运营。他们还声明代码是从头开始编写的,并未使用其他现有银行特洛伊木马的部分内容。不像许多其他木马完全基于另一个木马的来源(例如泄露的Anubis源代码,现在正在转售)或至少借用其他特洛伊木马的部分。
作者以2000美元的价格提供恶意软件出租1个月使用,6个月7000美元,全年12,000美元。一旦Cerberus感染了Android设备,它就会将其图标隐藏在应用程序抽屉中,然后它通过冒充自己的要求获得可访问性权限Flash Player服务。一旦受害者向恶意软件提供所请求的授权,Cerberus就会将受感染的设备注册到C2服务器并使其成为僵尸网络可供出租。
恶意代码用户重叠攻击以窃取受害者的敏感和财务数据,包括信用卡号,银行凭证和银行帐户密码。在叠加攻击中,攻击者创建一个UI覆盖图,显示在合法的Android应用程序之上,并诱骗受害者提供敏感信息或单击确认按钮。
(六)Intel发布多条高危漏洞补丁:针对多款软件和NUC产品漏洞
8月15日消息,Intel官方安全中心界面发布了多条漏洞补丁更新,针对包括NUC固件、处理器识别程序以及计算机改进计划等多条漏洞,在这些漏洞修复前多款NUC产品可能遭到权限提升、拒绝服务(DoS)以及信息泄露等攻击。

Intel在NUC漏洞警告中称,编号为CVE-2019-11140的NUC固件漏洞的CVSS(通用漏洞评分系统)评分高达7.5分,并描述道:如果用户在Intel NUC系统固件中的会话验证不足,可能会为用户提供特权来进行权限升级、拒绝服务(Dos)或导致信息及隐私泄露问题。受到该漏洞影响的包括了Intel众多NUC产品。
此外,Intel发布了代号为CVE-2019-11162的计算机改进程序漏洞和代号为CVE-2019-11163处理器标识漏洞。前者的设计初衷是希望用户可以帮助Intel改进处理器并发现问题,不过漏洞可能同样会导致权限升级、拒绝服务以及信息泄露;后者的设计初衷则是为了方便用户识别处理器的类型和规格,不过也同样存在风险,CVSS评分高达8.2分,此外,这两个漏洞都仅需要用户经过身份验证后即可利用。
目前Intel给出的解决方案是:用户及时更新最新版本。为了自己的系统安全,建议各位小伙伴抓紧到Intel安全中心官网下载更新,以防电脑遭到恶意攻击。
(七)Windows远程桌面服务远程命令执行漏洞(CVE-2019-1181/1182)
8月13日,微软发布了每月一次的Patch Tuesday 安全更新,包括93个安全漏洞和两份安全建议。其中一套针对远程桌面服务的修复程序,包括两个关键的远程执行代码(RCE)漏洞CVE-2019-1181和CVE-2019-1182。与之前修复的“BlueKeep”漏洞(CVE-2019-0708)一样。这也就意味着,攻击者可以利用该漏洞制作类似于2017年席卷全球的WannaCry类的蠕虫病毒,进行大规模传播和破坏。
远程桌面服务(以前称为终端服务)中存在远程执行代码漏洞,当未经身份验证的攻击者使用RDP连接到目标系统并发送特制请求时,成功利用此漏洞的攻击者可以在目标系统上执行任意代码,然后攻击者可以安装程序、查看、更改或删除数据; 或创建具有完全用户权限的新帐户。利用此漏洞,攻击者仅需要通过RDP向目标系统远程桌面服务发送恶意请求。
成功利用此漏洞的攻击者可以在目标系统上执行任意代码,然后攻击者可以安装程序、查看、更改或删除数据; 或创建具有完全用户权限的新账户。
受影响的产品包括Windows 操作系统多个版本,包括Windows 7 SP1、Windows Server 2008 R2 SP1、Windows Server 2012、Windows 8.1、Windows Server 2012 R2、以及所有受支持的Windows 10版本,包括服务器版本组件及远程桌面服务。
用户可通过下载官方补丁或通过Windows 操作系统中的自动更新功能进行更新,或禁用远程桌面服务、在防火墙中对远程桌面服务端口(3389)进行阻断、在开启了远程桌面服务的服务器上启用网络身份认证来临时解决。
(八)黑客使用Backdoor和Trojan来攻击巴尔干地区的财务部门
黑客使用后门和远程访问木马,让攻击者可以完全远程控受感染的计算机。该活动至少从2016年1月开始启动,并积极针对巴尔干地区的金融组织。
ESET的报告重点介绍了利用WinRAR漏洞(CVE-2018-20250)的新版BalkanDoor,并实现了新的执行和安装方法,包括模仿可信网站的链接,这些网站指向分发BalkanRAT和BalkanDoor的恶意文件。
在2019年检测到的一些最新BalkanDoor样本中,恶意软件被分发为ACE档案,伪装成RAR档案(即不是可执行文件),专门用于利用WinRAR ACE漏洞(CVE-2018-20250)。
BalkanRAT和BalkanDoor都安装在同一台机器上,让攻击者通过命令行界面和图形界面远程访问机器。
BalkanDoor会在受感染计算机上创建自动化任务,一旦安装,它就会在合法服务下隐藏为服务,并完成任务。安装完成后,计算机将与C&C服务器连接并自行注册并开始请求命令。通过HTTPS建立连接。
BalkanRAT是商业软件Remote Utilities软件的副本,BalkanRAT包含RDS的其他组件以隐藏其过程。“BalkanRAT部署的RDS配置方式使得所有受害者的密码都相同,并且生成的唯一ID由工具本身发送到攻击者的电子邮件地址。此外,它还使用Remote Utilities的基础架构在受感染的计算机上建立通信。BalkanRAT使用GUI隐藏功能保持隐身。
如果BalkanDoor和BalkanRAT一起使用,那么它就是一个强大的武器。该活动的目标是公司里的重要部门--会计部门。
相关信息
2022-09-16
2022-09-09
2022-09-02