关键信息基础设施安全动态周报【2020年第16期】
发布时间:
2020-04-24
来源:
作者:
访问量:
119
目 录
第一章 国内关键信息基础设施安全动态
(一)CNCERT发布《2019年我国互联网网络安全态势综述》报告
(二)台湾IoT设备LED灯控制台被滥用来散播恶意软件
(三)越南APT32针对我应急管理部和武汉市政府实施网络攻击
第二章 国外关键信息基础设施安全动态
(一)FPGA芯片中存在高危漏洞Starbleed可致关键基础设施遭受攻击
(二)新型IoT僵尸网络Mozi预计已感染1.5万台IoT设备
(三)阿塞拜疆政府和能源部门遭受黑客攻击
(四)德国政府遭受新冠病毒钓鱼攻击损失数千万欧元
(五)黑客使用冠状病毒为主题的网络钓鱼攻击美国防部网络
(六)IT服务公司Cognizant遭受勒索软件Maze攻击
(七)IBM Data Risk Manager中存在4个零日漏洞
(八)2.67亿Facebook用户信息在暗网仅售600美元
(九)NSA和ASD联合发布《Web Shell检测和防御报告》
(十)Google发布内部非VPN远程访问工具BeyondCorp
(十一)Chrome浏览器爆重大安全漏洞
(十二)如何最大程度地减少人为错误带来的网络安全风险
第一章 国内关键信息基础设施安全动态
(一)CNCERT发布《2019年我国互联网网络安全态势综述》报告
2020年4月20日,国家互联网应急中心(CNCERT)编写的《2019年我国互联网网络安全态势综述》报告(以下简称“2019年态势报告”)正式发布。为全面反映当前我国网络安全的整体态势,CNCERT自2010年以来,每年及时发布前一年度网络安全态势情况综述,至今已连续发布11年,对我国党政机关、行业企业及全社会了解我国网络安全形势,提高网络安全意识,做好网络安全工作提供了有力参考。
2019年态势报告立足于CNCERT网络安全宏观监测数据与工作实践,报告涉及2019年典型网络安全事件、网络安全新趋势及日常网络安全事件应急处置实践等内容。报告主要分为四个部分:
一是总结2019年我国互联网网络安全状况。报告重点从拒绝服务攻击、APT攻击、安全漏洞、数据安全、移动互联网安全、互联网黑灰产、工业控制系统安全等七个方面总结了2019年我国互联网网络安全状况。2019年,我国在以上七个方面持续加大监测发现、治理处置力度并取得明显成效,但仍面临突出的风险与挑战。
二是预测2020年网络安全热点。报告提出六点预测,认为国家关键信息基础设施安全、重要数据和个人信息保护、国家级网络对抗、精准网络勒索、远程协同安全风险、5G等新技术安全将成为2020年网络安全领域值得关注的热点。
三是结合网络安全态势分析提出对策建议。报告从强化关键信息基础设施保护、加快网络安全核心技术创新突破、提升数据安全管理和个人信息保护力度、壮大网络安全技术产业规模和网络安全人才队伍、扩大国内外网络安全合作五个方面,对进一步做好我国网络安全工作提出建议。
四是梳理网络安全监测数据。报告从攻击来源、攻击对象、攻击规模三个维度,对恶意程序、安全漏洞、拒绝服务攻击、网站安全、工业控制系统安全等五个方面2019年我国互联网网络安全监测数据进行了梳理。
本文版权归原作者所有,参考来源:CNCERT http://dwz.date/aqSK
(二)台湾IoT设备LED灯控制台被滥用来散播恶意软件
近日,微软数字犯罪部门台湾办事处发现,看似微不足道的IoT设备也可能被滥用来发起恶意攻击。台湾北部农村的一栋办公楼内的LED灯光控制台被用来传播高达每周1TB的恶意软件、网络钓鱼邮件、勒索软件、DDoS攻击。
根据微软台湾数字犯罪部门(DCU)的初步观察,该研究团队发现了一个异常的僵尸网络信号峰值,该信号在一个月内增加了100倍。僵尸网络是网络犯罪分子感染了恶意软件或恶意软件的计算机和设备的网络。一旦被感染,犯罪分子就可以远程控制这些计算机和设备并使用它们进行犯罪。
DCU团队通过映射40万多个公共IP进行了更深入的研究,并将信息范围缩小到90个可疑IP。对这90个IP进行的开放数据搜索进一步完善了分析,并揭示了一个令人震惊的事实:一个特定IP与数十种与恶意软件分发,网络钓鱼电子邮件,勒索软件和DDoS攻击有关的活动有关。令团队惊讶的是,这些活动与每周发送多达1 TB的恶意内容相关。
DCU小组向台湾司法部调查局(MJIB)发出了警报并向其通报了情况。利用DCU提供的情报,MJIB代理可以快速有效地跟踪非法VPN IP。他们发现非法VPN背后的隐藏帐户正在从台湾北部农村的一栋办公楼内部发送恶意软件攻击。
通常,网络犯罪分子会使用受损的PC发起网络攻击。但是这次,该光源被确定为LED光控制台,这似乎是微不足道的物联网设备。MJIB迅速将其关闭,并阻止其吐出更多恶意软件。
MJIB信息和通信安全部门负责人吴福美表示,“这是一个里程碑。这是因为我们能够拆除IoT设备并将台湾那些受到感染的计算机的违规行为限制在有限的范围内,这与我们之前的全球合作案例大不相同。网络攻击越来越严重。通过Microsoft收集情报和处理数据的努力,我们可以更有效地调查肇事者,并在罪犯走得很远之前进一步采取法律行动。这是建立在相互信任基础上的伙伴关系,我们很高兴微软在我们身边。”
天地和兴工控安全研究院编译,参考来源:Microsoft https://dwz.cn/PMR6buV7
(三)越南APT32针对我应急管理部和武汉市政府实施网络攻击
4月22日,美国“火眼”公司发布研究报告称:越南网络间谍组织APT32(“海莲花”组织)在疫情期间针对中国应急管理部和武汉市实施了网络攻击。从2020年1月至2020年4月期间,越南威胁行为体APT32对中国目标进行了入侵活动,旨在收集有关“新冠肺炎”(COVID-19)危机的情报。该组织将鱼叉式网络钓鱼邮件发送给了中国应急管理部以及武汉市政府。此外,该组织还针对说普通话的人群实施了网络间谍活动。该报告主要内容如下:
具有跟踪链接的网络钓鱼电子邮件以中国政府为目标
最早发现的网络攻击事例是2020年1月6日,APT32组织使用发件人地址“lijianxiang1870 @ 163.com”和主题“第一期办公设备招标结果报告”发送了带有嵌入式跟踪链接的电子邮件(图1)给中国应急管理部。嵌入式链接包含受害者的电子邮件地址,还包含受害者在打开电子邮件时向攻击者报告的代码。
“火眼”曼迪昂特威胁情报部门还发现了其他跟踪URL,这些URL显示了中国武汉市政府的目标和与应急管理部相关联的电子邮件帐户。
l libjs.inquirerjs . com / script /
l libjs.inquirerjs . com / script /
l m.topiccore . com / script /
l m.topiccore . com / script /
l libjs.inquirerjs . com / script /
libjs.inquirerjs.com域在去年12月被用作METALJACK网络钓鱼活动的命令和控制域,可能针对东南亚国家。
METALJACK的其他活动表明间谍活动还针对讲普通话的人群
APT32可能针对说中文的目标使用了以COVID-19为主题的恶意附件。尽管我们尚未发现完整的执行链,但我们发现了一个METALJACK加载器,在启动有效载荷时会显示中文标题为COVID-19诱饵的中文文档。
当METALJACK加载程序krpt.dll(MD5:d739f10933c11bd6bd9677f91893986c)加载时,可能会调用“ _force_link_krpt”。加载程序执行其嵌入式资源之一,即以COVID为主题的RTF文件,向受害者显示内容并将文档保存到%TEMP%。
诱饵文档 (图2) 标题为“冠状病毒实时更新:中国正在追踪来自湖北的旅行者”,MD5: c5b98b77810c5619d20b71791b820529,向受害者显示了一篇纽约时报的文章。
该恶意软件还会在其他资源MD5: a4808a329b071a1a37b8d03b1305b0cb中加载shellcode,其中包含METALJACK有效载荷。Shellcode执行系统调查以收集受害者的计算机名和用户名,然后使用libjs.inquirerjs.com将这些值附加到URL字符串。然后,它尝试调出URL。如果调用成功,则恶意软件会将METALJACK有效载荷加载到内存中。然后,它将vitlescaux.com用于命令和控制。
展望
COVID-19危机给各国政府带来了严重的、现实的担忧,当前的不信任气氛加剧了不确定性,导致对情报收集工作的重视程度与武装冲突时不相上下。国家,州或省,和地方政府,以及非政府组织和国际组织,都成为了网络间谍活动的目标,医学研究机构也成为目标。在这场危机结束之前,预计相关的网络间谍活动将继续在全球范围内加剧。
天地和兴工控安全研究院编译,参考来源:Fireeye https://dwz.cn/Aos8KEyX
第二章 国外关键信息基础设施安全动态
(一)FPGA芯片中存在高危漏洞Starbleed可致关键基础设施遭受攻击
研究人员在现场可编程门阵列(FPGA)芯片中发现了一个潜在的严重漏洞,该漏洞可能会使许多任务关键型和安全关键型设备遭受攻击。
FPGA是可以在制造后在现场进行编程的集成电路。这些芯片被认为是安全组件,它们存在于广泛的系统中,包括工业控制系统(ICS)、云数据中心、蜂窝基站、医疗设备、航空系统。
来自德国波鸿鲁尔大学霍斯特·戈尔茨IT安全研究所和马克斯·普朗克安全与隐私研究所的一组研究人员发现,FPGA芯片受到一个严重漏洞的影响,他们将其命名为Starbleed,可被利用来完全入侵控制芯片,从而使用恶意代码对芯片进行重新编程。
为了利用此漏洞,攻击者需要访问目标设备的JTAG或SelectMAP接口,但研究人员警告说,远程攻击也是可能的。
研究集中在Xilinx公司制造的FPGA上,Xilinx公司是发明FPGA的美国公司,也是此类产品的全球最大供应商之一。受影响的产品包括Xilinx的7系列设备,包括Spartan、Kintex、Artix和Virtex系列,以及较旧的Virtex-6芯片。
2019年9月向供应商报告了该漏洞,并迅速确认了该漏洞的存在。但是,研究人员表示,如果不更换硅,就无法修补该缺陷。另一方面,他们指出,Xilinx的新UltraScale和UltraScale +芯片正在慢慢取代旧型号,因此不容易受到攻击。
Xilinx发布了一份安全忠告,以告知客户该漏洞,但似乎并不完全同意研究人员的评估。
Xilinx发言人表示,“唯一被证实的实施所谓“星际大战”攻击的方法,就是对系统进行近距离的物理访问。还必须认识到,当对手对系统进行物理访问时,还需要考虑许多其他威胁。我们建议所有客户,在设计系统时应采取篡改保护措施,使其难以实现近距离的物理访问。”
Starbleed攻击的目标是 FPGA的比特流,其中包含设备的编程信息。根据研究人员的说法,如果攻击者获得了对比特流的访问权限,他们可以植入硬件后门,更改其功能或者对系统造成物理损坏。
供应商已经引入了比特流加密,以保护FPGA设计。但是,总部位于德国的研究人员设法规避了比特流加密并解密了所谓的安全比特流。该攻击导致针对7系列Xilinx器件的完全解密和针对Virtex-6器件的部分解密。
研究人员表示,他们发现了两种被称为低成本的攻击方法,这与之前针对比特流加密的攻击不同,后者需要精良的设备和相当的技术专长。
然而,Xilinx在其报告中指出:“这种攻击的复杂性类与DPA针对这些设备的攻击相似,并且已经得到证实,因此不会削弱它们的安全性。”
天地和兴工控安全研究院编译,参考来源:SecurityWeek http://dwz.date/aret
(二)新型IoT僵尸网络Mozi预计已感染1.5万台IoT设备
近日,CenturyLink的黑莲花实验室的研究人员发现了一种新型恶意软件Mozi,该恶意软件由Gafgyt、Mirai、IoT Reaper的源代码组成,被Mozi感染的设备被伪装成IoT僵尸网络,可用于发起DDoS攻击、数据泄露和有效载荷执行。到目前为止,还不清楚僵尸网络是否已被用于进行任何攻击。该恶意软件的目标是物联网设备,主要是未打补丁或远程登录密码弱的路由器和DVR。从技术上讲,它可以通过公开的telnet危害任何嵌入式Linux设备。
但是,尽管与Mirai和Gafgyt组装在一起的僵尸网络具有集中的命令和控制基础结构,但感染了Mozi的设备却被组合在一起,形成了P2P僵尸网络。
CenturyLink的Black Lotus Labs负责人Michael Benjamin表示,之所以如此与众不同,是因为Mozi僵尸网络因此更难以全部删除。当僵尸网络的命令和控制功能集中在单个服务器或什至少数服务器中时,可以通过针对这些服务器将僵尸网络关闭。
Benjamin表示,使用P2P僵尸网络,没有什么方法可以完全删除僵尸网络。由于Mozi的弹性,可感染的大量设备以及DDoS,数据泄漏和远程代码执行功能,它们对企业构成威胁。
在调查安全供应商最初认为与IoT Reaper关联的威胁活动时,CenturyLink在12月发现了Mozi。由于该恶意软件包含其源代码,因此也被错误地识别为Mirai,Gafgyt和IoT Reaper的变体。
从少数受损主机开始,Mozi僵尸网络在2月份增长到大约2200个节点,之后数量逐渐下降。CenturyLink估计,在过去四个月中,该恶意软件已破坏了多个国家/地区的约15,850个IoT设备。Benjamin表示,这个数字使它成为一种中级威胁,这个规模太小而无法发动大型DDoS攻击,但严重到足以引起关注。
根据CenturyLink研究结果,属于Mozi僵尸网络的受感染节点使用分布式哈希表(DHT)与其他受感染的主机系统进行通信。研究人员在报告中表示,“标准DHT协议通常用于存储torrent和其他P2P客户端的节点联系信息。” 在这种情况下,该协议允许Mozi的作者控制僵尸网络,而无需集中的命令和控制基础结构。
迄今为止,CenturyLink观察到的70%的受Mozi感染的感染者位于中国。受感染主机数量第二高的国家是美国和印度,这两个国家分别占所有受感染设备的10%。CenturyLink的研究人员还发现了位于韩国巴西和俄罗斯的系统上的恶意软件,尽管数量很少。
当Mirai DDoS攻击于2016年首次浮出水面时,人们非常担心IoT僵尸网络可能很快成为敌对武器库的主要武器。人们担心,攻击者会利用配置不良且易受攻击的消费者物联网设备来构建大型僵尸网络,以对企业组织发起严重的DDoS攻击和其他攻击。
Benjamin表示,尚未发生这种情况的原因之一是,有太多的不良行为者试图同时利用IoT设备。因此与Mirai爆炸时相比,每个设备可用的设备池都相对较小。设备制造商和用户在保护路由器、DVR和其他智能设备免受攻击方面已经变得更好。即便如此,CenturyLink仍然继续每月平均检测到625个与物联网僵尸网络链接的命令和控制服务器。
天地和兴工控安全研究院编译,参考来源:DarkReading https://dwz.cn/ZH7XIu77
(三)阿塞拜疆政府和能源部门遭受黑客攻击
思科Talos威胁情报和研究小组的报告显示,已经发现有针对阿塞拜疆的威胁攻击者对能源领域表现出了兴趣,特别是与风力涡轮机相关的SCADA系统。
这些攻击攻击针对的目标是阿塞拜疆政府和公用事业公司,恶意代码旨在感染广泛用于能源和制造业的监督控制和数据采集(SCADA)系统,涉及一种前所未见的远程访问木马(RAT)。Talos还无法将这些袭击与一个已知的威胁者联系起来。
黑客模仿了阿塞拜疆政府的电子邮件基础设施,可能试图从官员那里窃取登录凭据。Talos研究人员在博客中说:黑客监视了特定的目录,表明他们想泄露受害者的某些信息。目前,可以判断他们的攻击目的纯粹是以间谍为重点的,但他们可以轻松窃取足够的信息、凭据和重要文件,以便能够实施进一步的活动,如勒索攻击。
根据Talos的说法,黑客还对阿塞拜疆风力涡轮机使用的控制系统表现出了兴趣,这种控制系统被称为监控和数据采集(SCADA)系统。研究人员拒绝详细说明他们观察到的涉及SCADA系统的活动。
阿塞拜疆,一个夹在伊朗和俄罗斯之间的石油资源丰富的国家,最近在风能领域进行了大量投资。阿塞拜疆能源部长2月份表示,来自沙特阿拉伯和阿拉伯联合酋长国的公司将在大型风能和太阳能项目上投资4亿美元。
目前尚不清楚有多少次攻击成功。阿塞拜疆政府发言人未回应置评请求。
至于在这些攻击中使用的新的基于Python的RAT,Talos 称其为恶意软件PoetRAT。一旦它被传送到设备,其操作员就可以指示它列出文件,获取有关系统的信息、下载和上传文件、截屏、复制和移动文件、在注册表中进行更改、隐藏和取消隐藏文件、查看和终止进程,以及执行操作系统命令。
恶意软件通常使用特制的 word 文档作为滴管进行传递。在2月份观察到的一次行动中,伪造的文件被模糊处理,但似乎包含了印度国防部国防研发组织的标志。然而,Talos表示,没有发现印度成为目标的证据。
在4月观察到的另一项运动,文件显然提到了 covid-19冠状病毒的爆发。在本月发起的另一项运动中,也发现了一份以冠状病毒为主题的文件。该文件是用俄语编写的,看起来像是阿塞拜疆的政府文件。
传递这份文件的服务器也被发现有一个仿照阿塞拜疆政府的mail.gov.az网络邮件服务登录页面的钓鱼页面。
除PoetRAT之外,攻击者还被发现将其他工具传送到被入侵的系统中,包括那些通过电子邮件或FTP窃取数据的工具,通过他们的网络摄像头记录受害者、记录键盘点击、从浏览器中窃取凭证、以及升级特权。
天地和兴工控安全研究院编译,参考来源:SecurityAffairs http://dwz.date/aqZA
(四)德国政府遭受新冠病毒钓鱼攻击损失数千万欧元
由于德国西部北威州政府用于分发新冠病毒紧急救助金的网站存在不安全性,导致该政府损失了数千万欧元。黑客伪造了该分发救助金的官方网站,并通过发送电子邮件的方式诱使用户登陆此伪造网站并窃取其个人信息。之后利用真实用户的个人信息向政府提出申请救助金的请求,并将汇入资金的银行帐户修改成他们自己的账户。
该救助金诈骗活动从3月中旬持续到4月9日,随后北威州政府关闭了该救助金申请网站并停止了付款。
德国科技新闻网站Heise报道,在关闭该网站之前,北威州警察局已收到576起有关该骗局的官方欺诈报告。德国报纸Handelsblatt还报道到,政府已收到38万多份要求冠状病毒的政府援助申请,并同意给36万份付款。据德国电视台Tagesschau15日报道,北威州官员表示至少有3,500至4,000份救助金申请是虚假的。个体经营者的救助金额为9000欧元,雇员超过50人的公司的救助金额为25000欧元。粗略估计,北威州政府目前损失的金额至少为3150万欧元,最高为1亿欧元,这些钱支付给了骗子的虚假账户。
目前该事件正在调查中。Tagesschau报道表示,北威州检察官目前正在调查该计划中使用的两个钓鱼网站,其中一个网站为wirtschaft-nrw.info。这次事件的罪魁祸首完全是北威州政府,他们没有提出一种安全的资金分配方法。当其他德国州政府要求用户上传扫描的文件以证明其身份或要求用户下载表格并将其邮寄时,北威州政府仅要求当地居民和公司在其网站上填写表格,而无需任何其他验证身份。
北威州政府18号重新启用了该冠状病毒紧急援助资金网站,并表示,只有当请求者的银行帐号与过去用于缴税的银行帐号相匹配时,才可以继续付款。
科隆的C语言程序员Jan G.(化名)表示,如果他收到诈骗者的电子邮件,他也将陷入网络钓鱼活动。“如果我们熟悉克隆的站点,我们的用户可以检测到钓鱼站点。这是一个以前从未有人见过的新站点,我们无法知道它是否是真正的站点。这解释了为什么有那么多人上钩并输入个人数据。”
北威州警察局现正要求已申请冠状病毒救助资金但尚未收到资金的用户报警。
天地和兴工控安全研究院编译,参考来源:ZDNet https://dwz.cn/rdYVz0pp
(五)黑客使用冠状病毒为主题的网络钓鱼攻击美国防部网络
美国国防部网络犯罪中心(DC3)4月20日在官方网站中表示,网络犯罪分子一直在利用与冠状病毒相关的鱼叉式网络钓鱼攻击美国军事组织。尽管许多供应、服务、休闲活动已经放缓或停止,但网络间谍活动仍然没有停止,甚至势头强劲。根据DC3的评估,这次行动的目标不仅仅针对国防工业基础公司及其网络,其目标是侵入国防部运行的系统。
尽管数月来,网络犯罪分子和国家黑客一直在利用冠状病毒主题的鱼叉式钓鱼和间谍软件攻击全球企业和个人,但这是美国政府首次公开表示,自己的网络正遭到黑客攻击,这些黑客试图利用围绕这场流行病的恐惧。
DOD-DIB协作信息共享环境(DCISE)主管Krystal Covey表示,该博客来自DC3的信息共享范围,该范围可为国防工业基地提供威胁情报和其他帮助。
Covey在一份声明中表示:“这种来源广泛的威胁共享允许近乎实时的合作,使合作伙伴关系和美国政府机构的成员有可能在事件发生或升级之前进行检测,制止和补救。DIB合作伙伴公司与国防部之间存在的公私合作伙伴关系建立在信任的基础上,这对关键的网络威胁信息共享至关重要。”
一家公司向五角大楼报告说,他们收到了一封似乎来自疾病预防控制中心的电子邮件,但实际上将目标定向到了一个证书收集网站。另一个DIB组织发现美国政府中央身份验证服务登录服务正在使用Web服务作为开放重定向。
据DCISE称,这项服务特别是在三月下旬被关闭,以便对恶意行为进行调查。目前尚不清楚黑客的针对性操作是否成功,或者来自公司或DOD网络本身的任何数据是否已被窃取。
天地和兴工控安全研究院编译,参考来源:cyberscoop http://dwz.date/ardP
(六)IT服务公司Cognizant遭受勒索软件Maze攻击
信息技术服务公司Cognizant4月17日晚遭受了勒索软件Maze攻击。
Cognizant是全球最大的IT托管服务公司之一,拥有近30万名员工,收入超过150亿美元。该公司拥有大量数据,因此很容易成为黑客的目标。据其网站称,大型制药公司和连锁餐厅都使用Cognizant的软件和咨询服务。Cognizant通过安装在客户工作站上的端点客户端或代理远程管理其客户端,以推出补丁程序、软件更新和执行远程支持服务。
周五,Cognizant开始通过电子邮件向其客户发送电子邮件,表示该公司已遭到入侵,并包括初步调查确定的IOC列表。客户可以使用该信息来监视其系统并进一步保护自己。
列出的IOC包括服务器的IP地址以及kepstl32.dll、memes.tmp和maze.dll文件的文件哈希。这些IP地址和文件是由Maze勒索软件参与者在先前的攻击中使用过的。同时还有一个新的未命名文件的哈希,但没有该文件的更多信息。
安全研究人员Vitali Kremez 发布了一个Yara规则,该规则可用于检测Maze Ransomware DLL。
然而Maze的运营者否认对此事件负责。过去,Maze在谈判停止前一直不愿讨论攻击或受害者。由于这次攻击是最近才发生的,因此Maze可能不会讨论它,以避免他们希望潜在的赎金支付带来的麻烦。
在报告了此攻击后,Cognizant在其网站上发布了一份声明,确认该网络攻击是由Maze进行的。“Cognizant可以确认,Maze勒索软件攻击涉及我们内部系统的安全事故,并导致一些客户的服务中断,我们的内部安全团队和领先的网络防御公司正在积极采取措施遏制此事件。Cognizant还与相关执法机构进行了接触。我们一直与客户保持沟通,并向他们提供了危害指标(IOC)和其他具有防御性的技术信息。”
如果是Maze实施了这种攻击,他们很可能会在Cognizant的网络中存在数周,甚至更长时间。当以企业为目标的勒索软件操作员入侵网络时,他们将在窃取文件和凭据的过程中缓慢而秘密地在整个系统中横向传播。一旦攻击者在网络上获得管理员凭据,他们就会使用PowerShell Empire等工具部署勒索软件。
在部署勒索软件之前,Maze总是在加密之前窃取未加密的文件。这些文件然后被用作进一步的手段来让受害者支付赎金,因为如果受害者不付款,Maze将威胁公布数据。
这些并不是无用的威胁,因为Maze创建了一个“新闻”网站,用于发布从非付费受害者那里窃取的数据。如果Maze没有像他们声称的那样这次攻击的幕后黑手,那么数据被盗的可能性仍然很大,因为这已经成为勒索软件运营商使用的标准策略。因此,所有勒索软件攻击都必须视为数据泄露。
天地和兴工控安全研究院编译,参考来源:BleepingComputer https://dwz.cn/LtbfdWfv
(七)IBM Data Risk Manager中存在4个零日漏洞
信息安全公司Agile的安全研究总监Pedro Ribeiro在此前发布了有关影响IBM 数据风险管理器(IBM Data Risk Manager,IDRM)的信息,然而IBM拒绝修复这些问题,故该安全研究人员披露了这4个零日漏洞的详细信息。
IBM Data Risk Manager是一种企业安全产品,它汇总了漏洞扫描工具和其他风险管理工具的提要,从而可以分析安全事件和与数据相关的业务风险。
IDRM处理非常敏感的信息,因此,利用任何影响产品的问题都可能产生重要后果。IBM Data Risk Manager管理凭证以访问企业中使用的其他安全工具以及有关影响组织的安全漏洞的信息。
对IDRM Linux虚拟设备进行了分析,发现它包含四个漏洞,三个关键风险和一个高风险:身份验证绕过、命令注入、不安全的默认密码、任意文件下载。
研究人员在GitHub上表示,“该通报描述了四个漏洞,以及链接前三个漏洞以root身份实现未经身份验证的远程代码执行的必要步骤。此外,两个绕过身份验证并利用远程代码执行和任意文件下载的Metasploit模块正在向公众发布。”
研究人员尝试在CERT的协调下向IBM报告该问题,但IBM未确认该漏洞,并对CERT做出了以下回应:我们已经对这份报告进行了评估,认为超出了我们的漏洞披露计划的范围,因为该产品仅用于由客户支付的增强支持。在IBM的政策中,要有资格参与这个项目,您必须在提交报告之前的6个月内,根据合同不得为IBM公司、 IBM 子公司或IBM客户执行安全测试。
研究人员表示他们不理解IBM的答复意味着什么,这些是研究人员存在的问题:为什么IBM拒绝接受免费的详细漏洞报告?他们的回答是什么意思?只接受客户的漏洞报告吗?还是该产品失去支持?如果是这样,为什么仍要出售给新客户?他们怎么能在销售企业安全产品的时候这么不负责任?
Ribeiro补充表示,“这是IBM的令人难以置信的回应,IBM是一家市值数十亿美元的公司,正在向全球大型公司出售安全企业产品和安全咨询服务。”无论如何,Ribeiro决定发布IBM Data Risk Manager中有关漏洞的技术细节,因为这些漏洞的严重程度允许使用安全工具的企业减轻网络攻击的风险。
研究人员解释说,将前三个问题联系在一起,就有可能以root身份远程执行任意代码。专家还发布了两个Metasploit模块,这些模块绕过身份验证并利用远程代码执行和任意文件下载。
在披露之时,尚不清楚最新版本2.0.6是否受到这些影响,但最有可能的是,因为在任何变更记录中都没有提到固定的漏洞,而且它是在试图向IBM报告这些漏洞之前发布的。Agile可以访问的最新版本是2.0.3,并且肯定是很容易受到攻击的。
天地和兴工控安全研究院编译,参考来源:SecurityAffairs http://dwz.date/arbk
(八)2.67亿Facebook用户信息在暗网仅售600美元
在这个特殊的风险时期,暗网市场似乎异常的活跃,一波未平一波又起,前有Zoom逾50万用户数据出售,后有2.67亿的Facebook用户数据上市。
近日发现,黑客在暗网和黑客论坛上以500英镑(623美元)的价格出售超过2.67亿Facebook用户的个人资料。尽管泄露信息中没有涉及密码,但是包含的其他信息会有潜在风险,比如可以帮助黑客执行鱼叉式网络钓鱼或者SMS攻击来获取用户凭据。
在上个月,安全研究人员Bob Diachenko发现以一个公开的Elasticsearch数据库,其中包含2.67亿Facebok用户记录,大多是美国用户。在这些记录中,包含了用户名称、电话号码以及唯一的Facebook ID。随后,Diachenko联系托管该数据库的服务供应商,最后将其服务器脱机。
然而,没过多久,另一台具有相同Facebook数据,甚至多了4200万条记录的服务器上线,但是很快这台服务器就遭到攻击,幕后黑手尚不明确,同时留下让所有者保护服务器的消息。
在第二台泄露的数据中,其中有1680万条信息包含更多的数据类型,比如用户的电子邮件、出生日期以及性别。目前,攻击背后的黑客还没抓到,但是Diachenko认为服务器应为背后的黑客团队所有,在锁定数据或者刮除公众资料之前利用Facebook API窃取数据。
在上周末,网络安全情报公司Cyble发现一名黑客在暗网和黑客论坛上以500英镑出售数据库。
从CYble CEO Beenu Arora处可以了解到,安全研究人员已经购买了这个数据库来验证其中的数据,并将其加入到http://AmIbreached.com网站中,这是一个数据泄露通知服务平台。
Diachenko和Arora一样,都不知该如何编译处理这些数据。Arora表示:“在这个阶段,我们尚不清楚在最开始数据是如何泄露的,可能是由于第三方API或者数据刮取导致的泄露。假如这些数据中包含用户的敏感数据,这些可能就会成为犯罪分子钓鱼或者滥发垃圾邮件的帮凶。”
这些数据库中不包含用户密码,但是包含部分用户的电子邮件和电话号码。这意味着攻击者可以借此进行鱼叉式钓鱼来获取用户密码,可以伪装成Facebook发送电子邮件或者SMS短信。如果钓鱼邮件中包含生日或者电话号码,一些用户会更倾向于相信这些邮件,并为其提供攻击者要求的信息。因此,Cyble建议用户加强Facebook隐私设置,并且警惕陌生电子邮件和短信信息。
天地和兴工控安全研究院编译,参考来源:BleepingComputer http://dwz.date/arap
(九)NSA和ASD联合发布《Web Shell检测和防御报告》
4月22日,美国国家安全局(NSA)和澳大利亚信号局(ASD)发布联合报告,警告威胁组织越来越多的利用易受攻击的Web服务器来部署WebShell。
Web Shell是当今最流行的恶意软件形式之一。Web Shell是指在被黑客入侵的服务器上安装的恶意程序或脚本。Web Shell提供了一个可视界面,黑客可以使用该界面与被入侵的服务器及其文件系统进行交互。大多数Web Shell都具有允许黑客重命名、复制、移动、编辑、上载服务器上新文件的功能。它们还可用于更改文件和目录权限,或从服务器存档和下载(窃取)数据。
黑客通过利用面向互联网的服务器或Web应用程序(例如CMS、CMS插件、CMS主题、CRM、Intranet或其他企业应用程序等)中的漏洞来安装Web Shell。Web Shell可以用从Go到PHP的任何编程语言编写。这使黑客能够以通用名称(例如index.asp或uploader.php)将Web Shell隐藏在任何网站的代码中,这使得在没有Web防火墙或Web恶意软件扫描器的帮助下,几乎不可能进行操作员的检测。
微软在今年2月发布的一份报告中表示,它每天检测到大约77,000个活动的Web Shell,从而使该Web Shell成为当今最流行的恶意软件类型之一。
但是,许多公司并不完全了解在其系统上安装Web Shell的危险。基本上,Web Shell充当后门程序,需要以最高的重要性和紧迫性来对待。
在该联合安全报告中,NSA和ASD提高了对这种经常被忽略的攻击媒介的认识。这两家机构表示,Web Shell可以充当持久的后门或中继节点,将攻击者的命令路由到其他系统。攻击者经常将多个受损系统上的Web Shell链接在一起,以跨网络路由流量,例如从面向Internet的系统到内部网络。
在这份17页的报告中,包含了一些工具,可帮助系统管理员检测和处理这些类型的威胁。主要包括:
l 用于将生产网站与知名图片进行比较的脚本
l Splunk查询,用于检测Web流量中的异常URL
l Internet信息服务(IIS)日志分析工具
l 常见Web Shell的网络流量签名
l 识别意外网络流量的说明
l 识别Sysmon数据中异常流程调用的说明
l 使用Audited识别异常流程调用的说明
l 用于阻止对可通过Web访问的目录的更改的HIPS规则
l 常用的Web应用程序漏洞列表
尽管该报告中包含的所有建议和免费工具都很不错,但还是首选并建议系统管理员先对系统进行修补,然后再搜索已受损的主机。NSA和ASD建议给常用的服务器软件列表打补丁,因为最近几个月这些系统已成为攻击目标。该列表包括Microsoft SharePoint、Microsoft Exchange、Citrix、Atlassian Confluence、WordPress、Zoho ManageEngine、Adobe ColdFusion等流行工具中的漏洞。
NSA和ASD表示,“该清单并非旨在详尽无遗,但它提供了一些经常被利用的案例的见解。鼓励组织迅速修补面向Internet的应用程序和内部Web应用程序,以应对'n-day'漏洞带来的风险。”
天地和兴工控安全研究院编译,参考来源:ZDNet http://dwz.date/aqRf
(十)Google发布内部非VPN远程访问工具BeyondCorp
近日,Google发布了一款内部使用的远程访问工具BeyondCorp,因为全世界现在都非常热衷于使用这种远程访问。Google在2011年就开发了该工具,以提供具有非常精细的访问控制的对Web应用程序的零信任访问。
Google将该工具描述为能够实现以下功能:人力资源招聘人员在家中使用自己的笔记本电脑工作时,可以使用基于Web的文档管理系统,除此之外不能访问其他系统。但前提是使用的是最新版本操作系统,并且正在使用诸如安全密钥之类的防网络钓鱼身份验证。
Google云安全业务总经理兼Veep苏尼尔 帕蒂表示,之所以Google决定现在推出该工具,是因为Google认为,那些争先恐后的推出应用程序以应对突然出现的远程工作的企业会认可Google推出的这种比VPN更快的方法工具。
帕蒂补充表示:“借助BeyondCorp的远程访问,我们可以帮助您在几天之内完成此项工作,而不是需要花费数月的时间推出传统VPN解决方案。使用BeyondCorp远程访问,可以减轻现有VPN部署的压力,为已经拥有访问权限和最需要访问权限的用户节省关键容量。”
目前,BeyondCorp只能对Web应用程序实施访问控制,但可以在本地或包括Google自己的云中实施访问控制。BeyondCorp的价格尚未透露,但Google已经列出了一些客户,包括Airbnb,这些客户已经在生产中使用它来访问G-Cloud。
天地和兴工控安全研究院编译,参考来源:TheRegister https://dwz.cn/IQ7ZdKd3
(十一)Chrome浏览器爆重大安全漏洞
Google近期发布了Chrome浏览器安全更新,包含针对重大安全漏洞的补丁。包括32个安全补丁,其中由外部研究人员发现的有23个漏洞,包括3个高危漏洞,8个中危漏洞和12个低危漏洞。这23个漏洞中最严重的为CVE-2020-6454,该漏洞为一个存在于扩展插件中的释放后重用漏洞,其他两个高危漏洞为audio组件中的一个释放后重用漏洞(CVE-2020-6423)和WebSQL组件中的一个越界读取漏洞(CVE-2020-6455)。但因不希望黑客利用漏洞发起攻击,就没有透露更多细节。
安全方案商Sophos 旗下安全研究员Paul Ducklin 的研究文章,让我们对适用Windows、Mac 及Linux 使用者的Chrome 81.0.4044.113 版安全修补有更充分的了解,同时了解为什么需要及应该如何检查以确保获得安全更新的理由与方法。
据Ducklin 在Sophos消费者博客NakedSecurity发表的文章指出,Chrome的漏洞可能会让攻击者规避任何浏览器的例行性安全检查或确认对话框。就像许多UAF漏洞,可能允许攻击者更改程序内部的控制流(Control Flow),包括让CPU 转而运行攻击者从外部植入记忆体的不受信任代码。
所谓UAF漏洞是指,应用程序继续使用运行中记忆体或RAM 的区块,即使程序已将这些区块释放给其他应用程序使用却继续使用的漏洞。恶意应用程序之所以可利用这个错误发动恶意攻击,是因为能透过捕获这些释放的记忆体区块,诱骗应用程序执行不应该做的事。
由于Google 将此漏洞评定为高危,所以很可能具备远端执行程式码的能力。Ducklin 表示,这意味着恶意攻击者可在没有任何安全警示的情况下,远端在你的电脑执行程式码,即使在世界的另一端也能办到。 Google 表示,Chrome 81.0.4044.113 版将在未来几天/几周推出,并为许多电脑使用者自动更新。但Ducklin 建议手动更新,以防万一。
请在浏览器的工具列找到「关于Google Chrome」浏览器选项,通常在画面右上角垂直堆叠排列的3 个点的图示里找到。如果有安全更新等待着你点取执行,原本灰白色的3 个点会以不同颜色呈现。
绿色表示发布快两天的Chrome 更新等着你执行,橘色表示更新已发布约4天之久,红色表示更新至少一星期前就发布了。一旦灰白色的3 个点出现其他颜色时,请单击图示,然后在下拉视窗点取「说明」,然后在弹出视窗点取「关于Google Chrome」选项。一进入「关于Google Chrome」页面时,Chrome 浏览器将自动开始检查更新,并显示目前执行的浏览器版本。
接着请更新到Chrome 81.0.4044.113 版或更新版。如果使用者不想自动更新,「关于Google Chrome」页面应该会提示使用者更新。使用者可能需要重新启动浏览器以执行补丁。不论如何,对一般使用者来说,不妨考虑启用装置的自动更新功能。如此一来,每当Google 发布最新补丁时,便不需要手动执行行更新,以免错过安全更新时机,徒增不必要的安全风险。
天地和兴工控安全研究院编译,参考来源:Technews http://dwz.date/aqWH
(十二)如何最大程度地减少人为错误带来的网络安全风险
网络安全已成为大多数公司的重中之重。许多企业已经在安全软件上进行了大量投资,以减轻攻击。企业技术领导者甚至承诺,他们将在2020年增加其网络安全支出。但是,无论公司在防御方面投入了多少资金,一个人为错误仍然会损害其IT基础架构。在美国有四分之一的数据泄露是人为错误造成的。
黑客充分意识到了这种人类的弱点。黑客使用各种社交工程策略来诱骗用户打开恶意附件或提供其访问凭据。例如,黑客现在正积极利用冠状病毒爆发来开展网络钓鱼活动,以在计算机中安装勒索软件。部署后,勒索软件将加密文件和文档直到支付了赎金。
幸运的是,Hoxhunt等网络钓鱼培训平台可以对公司员工进行教育,并帮助员工发现并应对社会工程攻击。Hoxhunt首席执行官Mika Aalto表示,“这令人震惊,企业通常会忽略网络安全中的人为因素。如果这种情况持续下去,我们将很遗憾地看到更多成功的网络钓鱼活动和数据泄露。现在是企业加紧努力并确保企业员工不会容易陷入此类骗局的时候了。”
公司越来越多地采用企业级安全解决方案,以使黑客很难渗透到他们的网络中。这就是为什么大多数网络攻击现在都旨在利用人性而不是软件和硬件漏洞的原因。黑客们不懈地发展其网络工程技术,例如网络钓鱼和鱼叉式网络钓鱼,以欺骗和操纵更多用户。以前,他们只发送大量假邮件,希望其中会有收件人打开电子邮件并点击恶意链接。现在,攻击者使用更复杂的方法来增加用户上当受骗的可能性。
黑客精心编写了声称来自可信赖发件人的电子邮件,并包含将收件人链接到虚假网站的恶意链接。这些站点看起来像合法的登录页面,并且可以欺骗用户输入其访问凭据。恶意的电子邮件还可以用于回复正在进行的公司线程,并发送注入了恶意软件的文档。一些黑客甚至利用数据挖掘和机器学习来个性化攻击,以绕过常规的垃圾邮件过滤器。
为了避免成为此类攻击的受害者,公司必须对员工进行培训,以便他们能够准确识别网络钓鱼。幸运的是,他们可以使用网络钓鱼培训平台来帮助他们轻松地教育团队并提高安全性。例如,Hoxhunt是一种自动网络钓鱼模拟器,可用于培训企业内所有用户。该平台可以通过基于实际威胁发送虚拟电子邮件来发起模拟网络钓鱼攻击。
这些电子邮件甚至可以进行高度定制和个性化,以确保可以根据组织中不同团队员工的特性来制定不同的上下文和功能来进行如何避免网络钓鱼诈骗的培训。员工的任务是识别这些“恶意”电子邮件,并使用Hoxhunt的浏览器或电子邮件客户端插件进行报告。该平台可使培训变得有趣。能够准确报告模拟网络钓鱼尝试的员工将获得积分奖励,并且可以在排行榜中排名更高。公司还可以激励表现最好的人。
Hoxhunt还确保不遗漏任何员工。那些无法发现虚假电子邮件的员工将收到有关其错过的威胁的信息。他们不会被迫参加冗长而无聊的演讲。相反,他们通过接触和强化不断学习。该平台提供的培训已被证明可以真正改善员工针对真正的网络钓鱼攻击的行为。使用Hoxhunt的公司在报告实际的网络钓鱼尝试中获得了60%的增长。
Aalto补充表示,黑客不会停止寻找安全解决方案的方法。因此,重要的是公司一定要跟上攻击的发展速度。增强员工防御能力的最佳方法之一就是教育员工。从长远来看,开发员工正确的能力和行为可以使他们免于很多麻烦。
尽管公司投资了功能强大的安全软件,但只要员工对网络安全没有应有的理解,他们仍然会使组织容易受到攻击。除非他们希望遭受数据泄露的侵害,否则组织不能冒险沾沾自喜。
Aalto总结表示,“对于数据泄露,没有真正的防弹解决方案。即使是功能最强大的解决方案,有时也可能会失败,并且攻击会渗透到员工的收件箱中。但是,如果每个人都采取安全第一的心态,并运用知识和谨慎态度,那么检测可疑活动和缓解攻击将变得更加容易。”
天地和兴工控安全研究院编译,参考来源:HelpNetSecurity https://dwz.cn/SvdDuQm7
天地和兴,工控安全,安全周报
相关资讯
