关键信息基础设施安全动态周报【2020年第4期】
发布时间:
2020-01-22
来源:
作者:
访问量:
49
目 录
第一章国内关键信息基础设施安全动态
(一)2020年防控新型网络安全风险将成为重中之重
第二章国外关键信息基础设施安全动态
(一)西门子警告与使用ActiveX相关的安全风险
(二)三菱电机遭受网络攻击信息恐泄露
(三)以色列启动网络安全信息共享社交平台
(四)新型恶意软件JhoneRAT攻击中东地区目标
(五)阿曼最大保险公司遭受勒索软件攻击
(六)土耳其黑客攻击希腊政府网站及证券交易所
(七)伪装为WAV的恶意软件在受害设备上挖矿 但其bug导致BSOD
(八)超过50万台服务器、路由器和IoT设备密码泄露
(九)国家黑客利用VPN服务器漏洞入侵美国政府网络
(十)WeLeakInfo.com因出售泄露数据被FBI查封
(十一)新泽西州犹太教堂遭受Sodinokibi勒索软件攻击
(十二)加拿大在线药店PlanetDrugsDirect泄露客户信息
第一章国内关键信息基础设施安全动态
(一)2020年防控新型网络安全风险将成为重中之重
2020年1月17日至18日,中央政法工作会议在京召开。从会上获悉,2020年要把防控新型网络安全风险摆在突出位置来抓,提升网络社会综合治理能力,不断健全网络社会综合防控体系。
一是构筑打击遏制网络犯罪的“新高地”。要抓住群众反映强烈的网络贩枪、网络黄赌毒、网络传销、电信网络诈骗、网络套路贷等新兴网络犯罪,完善线索快速落查、跨区域协作和跨境执法司法合作机制,深化打击整治行动,坚决打掉网络黑灰产业链,遏制网络犯罪高发势头。
二是构筑大数据安全的“防护罩”。要把大数据安全作为贯彻总体国家安全观的基础性工程,依法严厉打击侵犯公民隐私、损坏数据安全、窃取数据秘密等违法犯罪活动。
三是构筑新业态风险的“隔离带”。要坚持鼓励创新与确保安全相统一,对新技术、新产业、新业态、新模式,既留足发展空间又坚守安全底线。
本文版权归原作者所有,参考来源:新华网http://dwz.date/juF
第二章国外关键信息基础设施安全动态
(一)西门子警告与使用ActiveX相关的安全风险
2020年1月14日,西门子修复SCALANCE X、SINEMA Server及TIA Portal中的多个漏洞,并通知其客户有关在工业产品中使用ActiveX控件会带来的安全风险。
Microsoft的ActiveX控件可使网站提供某些特定类型的内容,如视频和游戏,并允许用户与浏览器中的某些类型的元素(例如工具栏)进行交互。目前已知ActiveX会带来严重的安全风险,恶意黑客可以滥用ActiveX来收集有关用户的信息,安装恶意软件或控制设备。当前只有Microsoft的Internet Explorer浏览器支持ActiveX,其他浏览器(例如Chrome,Safari或Firefox)均不支持ActiveX。Microsoft都建议 Internet Explorer 11用户除非特别必要,不要禁用安全设置,该安全设置会可阻止ActiveX控件的下载和执行。
西门子的一些工业产品(包括SIMATIC WinCC,SIMATIC STEP 7,SIMATIC PCS 7,TIA Portal和S7-PLCSIM Advanced)依赖ActiveX组件,客户需要使用Internet Explorer来执行这些组件。但是,西门子警告说,使用Internet Explorer访问不受信任的网站可能会带来严重的安全风险。如果访问与公司产品相关联的网页以外的其他网页,西门子建议使用不支持ActiveX的网页浏览器。
西门子本周还通知客户,该公司已在其SCALANCE X工业交换机中修复了一个严重性很高的身份验证绕过漏洞。据该公司称,可以通过网络访问目标交换机的未经身份验证的攻击者可以通过向基于Web的配置界面上的特定URI发送特制的GET请求,从而对设备进行黑客攻击。
向西门子报告该漏洞的研究员Maxim Rupp表示,攻击者可以利用此漏洞获取敏感的内部信息bing访问设备的配置界面并更改其设置。Rupp于2019年初向西门子报告了该漏洞。该漏洞已在SCALANCE X-300和X408交换机中进行了修补,供应商已为其他受影响的设备提供了缓解措施。
西门子还修补了SINEMA Server中的一个严重漏洞,该漏洞可能允许具有低特权的经过身份验证的用户在设备上执行固件更新和其他操作。
西门子本周发布的公告还解决了TIA Portal中的一个高度严重的本地特权升级漏洞,该漏洞可能使攻击者能够以SYSTEM特权执行代码,而在SINAMICS PERFECT HARMONY中则存在中等严重的访问控制问题。
天地和兴工控安全研究院翻译整理,参考来源:Security Week http://dwz.date/ju7
(二)三菱电机遭受网络攻击信息恐泄露
2020年1月20日,日本三菱电机株式会社在其官方网站上发表了简短声明,披露其遭受了大规模网络攻击,个人及客户等信息可能泄露。
该违规事件发生在2019年6月28日,正式的内部调查于9月开始,但今天才披露此安全事件。
三菱电机是日本国防和基础设施行业的重要参与者,其泄漏的信息包括与国防部和核监管局的电子邮件往来,以及与私人公司项目有关文件,包括公用事业、铁路运营商、通讯、和汽车制造商。泄露的信息不包括与基础设施运营有关的高度敏感数据。
据报道,中国黑客组织涉嫌对个人计算机和服务器进行未授权访问。首席内阁部长表示已将此事通知政府及相关涉及人员及公司。
天地和兴工控安全研究院翻译整理,参考来源:Nikkei Asian Review http://dwz.date/juJ
(三)以色列启动网络安全信息共享社交平台
以色列国家网络局2020年1月16日宣布,以色列启动了一个以共享网络安全信息为目的的新社交平台,用户可在平台共享网络安全信息,以防范并及时应对网络攻击。
以色列国家网络局说,这一名为Cybernet的社交平台由国家网络局发起、由以色列主要网络安全相关公司、机构及高级网络专家共同建立。它目前有约1000名用户,他们中大部分是以色列网络安全领域分析师和信息安全经理等专业人士。
平台每个用户都有自己的资料,可以发布信息,也可以获取其他用户发布的相关信息。一旦有用户在该平台发布网络攻击报告,其他用户就可以通过信息共享,检查自己所在机构是否也遭受类似网络攻击,以便尽早采取防范和应对措施。此外,用户还可以浏览网络攻击处理报告,参与平台内部讨论等。
用户发布的所有报告都会传输到国家网络局位于南部城市贝尔谢巴的计算机紧急响应中心,该中心随后会把网络攻击报告发布给非平台用户的相关公司或机构。
据悉,该平台计划未来与国际公司合作,引入国际高级网络专家,共享来自更多国家的网络安全领域信息。
本文版权归原作者所有,参考来源:新华网http://dwz.date/juE
(四)新型恶意软件JhoneRAT攻击中东地区目标
2020年1月16日,思科Talos的安全研究人员发现了一种新型远程访问木马JhoneRAT。一旦下载,RAT就会在受害者的计算机上收集信息,并且下载其他有效载荷。
该新型JhoneRAT通过恶意Microsoft Office文档传播,该Jhone RAT与Python RAT一样,通过多种云服务方式获取受害者计算机上的信息,如Google Drive,、Twitter,、ImgBB及Google Forms。JhoneRAT尝试下载其他有效负载并上载侦察阶段收集的信息。JhoneRAT通过检查受感染系统的键盘布局来筛选攻击目标,JhoneRAT针对的是一些非常特定的阿拉伯地区国家。根据分析的样本确定,JhoneRAT的攻击目标包括沙特阿拉伯、伊拉克、埃及、利比亚、阿尔及利亚、摩洛哥、突尼斯、阿曼、也门、叙利亚、阿联酋、科威特、巴林和黎巴嫩。
Talos研究人员确定了传播JhoneRAT的三个恶意文档,最早的一个是从2019年11月开始使用的“ Urgent.docx”文档;第二个是从2019年1月开始使用的的“ fb.docx”文档,其中包含所谓从Facebook泄露的用户名密码;及最新从1月中旬开始使用的文档,号称来自阿拉伯联合酋长国组织,作者对文档的内容进行了模糊处理,并要求用户启用编辑以查看内容。
用户打开文档或启用编辑后,恶意文档便会从Google云端硬盘中下载带有嵌入式宏的其他Office文档。攻击者使用多种云服务(如Google Drive、Twitter和Google Forms)下载有效负载。这并不是攻击者第一次以这种方式使用云提供商平台。研究人员表示,这种方法有助于不良行为者逃避检测和防御,目标很难识别出到云提供商基础设施的合法和恶意流量,而且这种基础架构使用了HTTPS并且对流量进行了加密,使得中间人拦截对于防御者而言更加复杂。
将文档下载到Google云端硬盘后,便会执行命令从新的Google Drive链接下载图像(末尾附加有base64编码的二进制文件)。研究人员说,图像的文件名可以是cartoon.jpg、img.jpg或photo.jpg,并且图像通常是卡通图像。用户打开文档或启用编辑后,恶意文档便会从Google云端硬盘中下载带有嵌入式宏的其他Office文档。攻击者使用多种云服务(如Google Drive、Twitter和Google Forms)下载有效负载。这并不是攻击者第一次以这种方式使用云提供商平台。研究人员表示,这种方法有助于不良行为者逃避检测和防御,目标很难识别出到云提供商基础设施的合法和恶意流量,而且这种基础架构使用了HTTPS并且对流量进行了加密,使得中间人拦截对于防御者而言更加复杂。
解码后,base64二进制文件是AutoIT二进制文件,在Googl Drive 上生成一个新文件。该文件包含最终的有效负载JhoneRAT,该负载首先启动三个线程:一个负责检查系统是否具有目标键盘布局(以检查受害者说阿拉伯语),第二个负责创建持久性,第三个负责启动JhoneRAT的主要周期。
从此泄露的数据(如系统的屏幕截图)通过ImgBB发送,ImgBB是免费的图像托管和共享服务。命令还可以通过将数据发布到Google Forms 上发送(Google Drive办公套件中随附的调查管理应用),并持续在Google Drive中下载文件。
此外,JhoneRAT还使用了反虚拟机和沙箱及反分析技巧来避免检测,如VM或沙箱必须具有目标国家/地区的键盘布局和磁盘序列号。目前,攻击者的API密钥被吊销,Twitter帐户被暂停,但是攻击者仍可以轻松创建新帐户并更新恶意文件。该活动表明,基于网络的检测很重要,但必须通过系统行为分析来完成。从此泄露的数据(如系统的屏幕截图)通过ImgBB发送,ImgBB是免费的图像托管和共享服务。命令还可以通过将数据发布到Google Forms 上发送(Google Drive办公套件中随附的调查管理应用),并持续在Google Drive中下载文件。
天地和兴工控安全研究院翻译整理,参考来源:threat post http://dwz.date/juw
(五)阿曼最大保险公司遭受勒索软件攻击
2020年1月16日,在阿曼最大保险公司之一阿曼联合保险公司向资本市场管理局(CMO)提交的文件中透露,该公司的数据中心于1月1日遭受勒索软件攻击,加密了2019年12月12日至2020年1月1日期间的一些数据,财务数据不受影响。
该公司的主服务器遭受了攻击,一些数据受到感染并被加密,在1月2日暂停了一天在线运营。目前服务器已正常运行,并恢复了被加密的数据。
天地和兴工控安全研究院翻译整理,参考来源:the ArabianStories http://dwz.date/juG
(六)土耳其黑客攻击希腊政府网站及证券交易所
当地时间2020年1月17日周五,土耳其黑客组织Anka Neferler Tim声称攻击了希腊的议会、外交部、经济部及证券交易所的官方网站90分钟。
该组织在其Facebook页面上公布了此次攻击,其攻击原因是希腊在爱琴海和地中海东部地区威胁到了土耳其,并且现在威胁到了利比亚会议。
此次黑客入侵发生在利比亚指挥官哈利法·哈夫塔尔在雅典举行会谈之后,即在柏林举行的和平会谈的两天前。哈夫塔尔及联合国公认的黎波里政府领导人Fayez al-Sarraj将参加该会议,然而希腊政府代表尚未受邀参加会议。
希腊总理基里亚科斯·米塔塔基斯在会议两天前会见了哈夫塔尔,希腊政府鼓励利比亚军事指挥官哈利法·哈夫塔尔对柏林会议保持建设性立场。
土耳其政府正在为Sarraj政府提供军事支持,并计划将其军队派往利比亚与哈夫塔尔的军队作战。
柏林会议的目的是在联合国主持下在利比亚建立和平。
天地和兴工控安全研究院翻译整理,参考来源:Security Affairs http://dwz.date/ju4
(七)伪装为WAV的恶意软件在受害设备上挖矿 但其bug导致BSOD
近日,Guardicore的安全研究人员揭示了一种复杂的恶意软件攻击,该攻击成功地破坏了属于医疗技术行业中型公司的800多种设备。恶意软件伪装成WAV文件,并包含一个Monero挖矿软件,它利用臭名昭著的EternalBlue漏洞来危害网络中的设备。
这款恶意软件唯一的bug,是最终导致受感染的电脑蓝屏死亡(BSOD),并且显示相关错误代码,最终引起受害者怀疑,并引发对事件的深入调查。
研究人员表示,BSOD于10月14日首次发现,当时发生致命崩溃的机器正在尝试执行长命令行(实际上是基于base-64编码的PowerShell脚本)。对脚本进行解码后,研究人员获得了可读的Powershell脚本,该脚本用于部署恶意软件。该脚本首先检查系统架构(基于指针大小)。然后,它读取存储在上述注册表子项中的值,并使用Windows API函数WriteProcessMemory将该值加载到内存中。研究人员指出,恶意软件负载通过获取和调用函数指针委托来执行。
该恶意软件尝试使用基于EternalBlue的漏洞传播到网络中的其他设备,该漏洞与WannaCry于2017年使用的漏洞相同,感染了全球数千台电脑。在对恶意软件进行反向工程之后,研究人员发现该恶意软件实际上隐藏了伪装成WAV文件的Monero挖矿模块,使用CryptonightR算法来挖掘Monero虚拟货币。此外,该恶意软件利用隐写术并将其恶意模块隐藏在外观清晰的WAV文件中。”
研究人员发现,完全删除恶意软件(包括终止恶意进程)阻止了在受害设备上发生BSOD。
本文版权归原作者所有,参考来源:cnBeta http://dwz.date/juy
(八)超过50万台服务器、路由器和IoT设备密码泄露
近日,某黑客组织在一个黑客论坛上发布了包含超过515,000台服务器、家用路由器和IoT智能设备的的Telnet凭据列表,包含每个设备的IP地址及Telnet服务的用户名和密码。
Telnet是一种远程访问协议,可用于通过互联网控制设备。该列表是通过扫描整个互联网那来查找暴露其Telnet端口的设备而编制的。随后,黑客尝试使用出厂设置的默认用户名和密码或自定义但易于猜测的密码组合进行尝试攻击。这些bot lists是IoT僵尸网络操作的常见组件,黑客通过扫描互联网可建立漫游器列表,然后使用它们来连接设备并安装恶意软件。
这些列表通常是不公开的,尽管有些列表过去曾在网上泄漏过,如2017年8月泄漏的33,000个家庭路由器Telnet凭据列表,但据研究人员表明此次事件是迄今为止已知的最大Telnet密码泄漏事件。
据了解,该列表是由DDoS租用(DDoS引导程序)服务的维护者在线发布的。泄漏者将DDoS服务从在IoT僵尸网络上的工作升级为依靠从云服务提供商以租用高输出服务器。黑客泄露的所有列表的日期均为2019年10月至11月,其中一些设备现在可能在不同的IP地址上运行,或使用不同的登录凭据。因信息真实性验证涉嫌违法,故泄露列表的有效性未被验证。
一位物联网安全专家表示,即使列表中的某些条目由于设备可能已更改其IP地址或密码而不再有效,对于熟练的攻击者而言,列表仍然非常有用。配置错误的设备不会在互联网上平均分布,但是由于ISP的员工在将设备部署到各自的客户群时会对其进行错误配置,因此它们通常聚集在一个ISP的网络上。攻击者可能会使用列表中包含的IP地址,确定服务提供商,然后重新扫描ISP的网络以使用最新的IP地址更新列表。
天地和兴工控安全研究院翻译整理,参考来源:ZDNet http://dwz.date/juC
(九)国家黑客利用VPN服务器漏洞入侵美国政府网络
近日,FBI在一次安全警报中表示,有国家黑客利用了Pulse Secure VPN服务器的严重漏洞,破坏了美国市政府和美国金融实体的网络。
美国网络安全和基础设施安全局(CISA)于1月10日警告企业,尽快修补其Pulse Secure VPN服务器上存在的CVE-2019-11510漏洞以防止被利用。该漏洞使未经身份验证的远程攻击者可发送特制的URI,以连接到易受攻击的服务器并读取包含用户凭据的敏感文件,并可在后续阶段控制企业的系统。在未打补丁的系统上,该漏洞允许没有有效用户名和密码的人远程连接到公司网络,关闭多因素身份验证控制,远程查看纯文本日志, 包括Active Directory帐户和缓存的密码。
FBI表示,自2019年8月以来,身份不明的威胁行为者已使用CVE-2019-11510漏洞攻击了多处关键美国机构,包括一家金融机构及一个市政府网络。根据这两次攻击使用的战术、技术和TTP的复杂程度,目前联邦调查局目前尚不清楚这两次事件是否为同一个攻击者所为。包括Active Directory帐户和缓存的密码。
尽管FBI并未将这些攻击事件直接与伊朗支持的黑客联系起来,但在一天后分享的详细介绍伊朗网络策略和技术的私人行业通知(PIN)中却提到,伊朗网络参与者已尝试利用CVE-2019-11510漏洞。FBI评估了自2019年末以来发生的这些VPN服务器漏洞攻击事件,发现其涉及范围广泛,已影响到美国和其他国家的许多部门。FBI观察到攻击者正在利用从这些漏洞获得的信息来进一步访问目标网络,甚至在受害者修补漏洞之后也建立了其他据点。
FBI建议美国市政当局参考读国家安全局(NSA)发布的缓解VPN漏洞建议,并取以下措施来防御针对与市政网络连接的潜在攻击,包括管理紧急服务、交通或选举的本地基础结构:
•警惕并立即安装供应商发布的补丁程序,尤其是面向Web的设备;
•阻止或监视上述恶意IP地址以及其他在奇数小时进行远程登录的IP地址;
•在将升级后的设备重新连接到外部网络之前,请重置凭据;
•撤消并创建新的VPN服务器密钥和证书;
•使用多因素身份验证作为一种超越密码的安全性措施,使您能够区分用户与攻击者;
•查看您的帐户,以确保对手没有创建新帐户;
•在适当的地方实施网络分段;
•确保无法从Internet访问管理Web界面。
天地和兴工控安全研究院翻译整理,参考来源:Bleeping Computer http://dwz.date/ju9
(十)WeLeakInfo.com因出售泄露数据被FBI查封
2020年1月16日,美国联邦调查局和司法部联合宣布查封互联网域名weleakinfo.com,该网站向用户提供信息搜索服务,以审查其个人信息是否包含在10,000多次数据泄露事件中非法泄露的120亿条个人信息记录中,包含姓名、电子邮件地址、用户名、电话号码和密码。
执法部门还在调查该服务背后的运营者,并鼓励人们向联邦调查局互联网犯罪投诉中心(IC3)提供线索或信息。此次查封行动是由美国联邦调查局、哥伦比亚特区检察官办公室、司法部计算机犯罪和知识产权部门联合英国国家犯罪局、荷兰国家警总队、国联邦刑事警察局、北爱尔兰警察局多家国际执法机构采取的全面执法行动的一部分。
该数据泄露查询服务是盈利业务,访问者需要付费才能查询是否个人信息有在数据泄露中暴露,服务费用从2美元试用到70美元三个月无限量查询不等。该服务与仅在数据泄露时才提醒相关个人的服务完全不同,weleakinfo.com这类数据泄露查询服务可向威胁行为者在发起网络攻击前提供攻击目标信息。
天地和兴工控安全研究院翻译整理,参考来源:Security Affairs http://dwz.date/ju6
(十一)新泽西州犹太教堂遭受Sodinokibi勒索软件攻击
近日,美国新泽西市的犹太教堂Har Shalom遭受勒索软件Sodinokibi攻击,对多台计算机进行了加密。
Har Shalom教堂发邮件通知其会众,该教堂于2020年1月9日因无法连接互联网发现其遭受了勒索攻击。该教堂所有基于服务器的文件和电子数据都被加密,该教堂对这些文件和数据进行了机械备份,但是备份文件也被加密,有些计算机受到影响不能正常使用。Sodinokibi勒索的赎金金额为500,000美元。Har Shalom教堂表示他们无意支付赎金,此次攻击受到影响的数据包括姓名、地址及电子邮件地址,但攻击者无法访问其财务信息。Har Shalom教堂提醒其会众要防范钓鱼诈骗。
如果Har Shalom教堂不支付赎金,Sodinokibi可能会公开受害者的失窃数据。
目前还不知道Sodinokibi从教堂窃取了多少数据,及他们打算公开多少数据。
天地和兴工控安全研究院翻译整理,参考来源:Bleeping Computer http://dwz.date/ju2
(十二)加拿大在线药店PlanetDrugsDirect泄露客户信息
近日,加拿大在线药店PlanetDrugsDirect通过电子邮件通知其顾客发生了数据泄露事件,一些敏感的个人及财务信息已泄露,包括姓名、地址、电子邮件地址、电话号码、处方医疗信息和付款信息,账户密码信息没有泄露。
PlanetDrugsDirect网站表示,其会收集多种类型的个人信息、财务信息及医疗信息,包括姓名、邮寄地址、电子邮件地址、电话号码、职、,就业状况、推荐来源、主治医师姓名(及其联系方式)、年龄、身高、体重、性别、出生日期、药物过敏的存在和类型、要求的药物、家庭病史信息、个人病史信息、现有药物的详细信息、信用卡信息(包括卡的类型和编号,有效期)和持卡人的姓名)以及处方信息。
PlanetDrugsDirect正在调查此事件,会尽快提供更多关于该事件的详细信息。
PlanetDrugsDirect是加拿大国际药学协会(CIPA)的活跃成员,是可向加拿大及美国公民销售药物的特许零售药店协会成员。PlanetDrugsDirect可提供在线处方推荐服务,可为客户提供直接获得负担得起的处方药和非处方药,大约有40万客户。PlanetDrugsDirect正在调查此事件,会尽快提供更多关于该事件的详细信息。
天地和兴工控安全研究院翻译整理,参考来源:Bleeping Computer http://dwz.date/ju3
天地和兴
相关资讯