关键信息基础设施安全动态周报【2020年第29期】
发布时间:
2020-07-24
来源:
作者:
访问量:
122
目 录
第一章 国内关键信息基础设施安全动态
(一)美国又增加11家中国企业进入实体名单
第二章 国外关键信息基础设施安全动态
(一)Blow Bayou化工厂因控制系统遭受勒索软件攻击而关闭
(二)可穿戴设备制造商Garmin遭受勒索软件攻击
(三)云托管提供商Blackbaud遭受勒索攻击并支付赎金
(四)华硕RT-AC1900P路由器中存在两个安全漏洞
(五)AvertX IP摄像头中存在3个漏洞
(六)阿根廷电信1.8万台计算机遭受勒索软件REVil攻击 并勒索$750万赎金
(七)法国电信公司Orange遭受勒索软件攻击并数据被盗
(八)澳大利亚尼尔森数据中心遭到可疑网络攻击
(九)监管机构敦促视频会议组织VTC提高安全性和隐私性
(十)新型聊天应用软件Welcome Chat正在监视中东用户
(十一)FBI利用旅游经营公司Sabre资料库进行全球监控
(十二)替换签名PDF文件中内容的新方法
(十三)美国CISA要求24小时内修复Windows DNS 严重漏洞
(十四)朝鲜黑客组织Lazarus利用恶意软件MATA窃取数据
(十五)韩国搜索网站Naver宣布将香港资料中心移往新加坡
第一章 国内关键信息基础设施安全动态
(一)美国又增加11家中国企业进入实体名单
美国商务部近日又公布了11家被列入实体名单(Entity List)的中国企业,原因是这些企业“协助中国进行镇压并侵犯人权”,美国媒体CNET 则发现,名单中的O-Film Tech为微软、苹果及Amazon的供应商。
美国商务部长Wilbur Ross表示,北京积极推动许多应受谴责的行为,包括强迫劳动、滥权搜集DNS资讯并进行分析来镇压人民,把这些参与镇压行为的业者纳入实体名单,才能确保美国的商品与技术,不会被中国拿来对抗无力防御的穆斯林少数人口。
当中有9家业者涉及在新疆维吾尔自治区,强迫维吾尔人与穆斯林等少数民族劳动,包括昌吉溢达纺织、合肥宝龙达资讯科技公司、合肥美菱、和田浩林发饰、和田泰达服装、今创集团、南京的新一棉纺织、南昌的欧菲光科技与碳元科技。其它两家则涉及替中国政府执行基因分析,以进一步镇压少数民族的新疆丝路华大基因科技,以及北京六合华大基因科技。
被媒体点名的欧菲光O-Film主要生产相机、光学镜片、微系统、触控模组,以及VR与自动车元件,在该公司的合作伙伴列表中,除了中国的中兴、联想、华为与小米外,还有三星、HTC、Amazon、微软与HP,而苹果2019年的200家供应链名单中,也出现了O-Film。
不过,被美国列入实体名单,通常代表着美国政府限制当地的技术或产品出口给对方,并未限制对方出口至美国,只是不管是Amazon、微软或苹果都未回应O-Film受到美国制裁,可能带来的连带影响。
天地和兴工业网络安全研究院编译,参考来源:iThome http://dwz.date/bCma
第二章 国外关键信息基础设施安全动态
(一)Blow Bayou化工厂因控制系统遭受勒索软件攻击而关闭
Blow Bayou化工公司近日宣布,由于其位于洛杉矶什里夫波特的工厂控制系统受到勒索软件攻击,该公司已关闭该工厂。目前只有一个储罐安全系统受到影响,但作为预防措施,决定关闭整个工厂。联邦调查局和ECS-CERT正在进行联合调查。
FBI发言人Johnathan Quest告诉记者,由于该设施被认为是关键基础设施,勒索软件攻击被认为是联邦犯罪。Quest表示,“我们正在与ECS-CERT和设施所有者密切合作,以确定谁是这次攻击的幕后黑手。”ECS-CER发言人Immanuel C. Securitage确认已在现场设有调查员。
Blow Bayou 化工首席执行官Issac B Kaghun告诉记者,当苯乙烯单体储罐安全控制系统的屏幕变成红色,屏幕上出现出一份声明,称必须支付赎金才能重新控制该系统时,该公司意识到了这个问题。攻击者索要100比特币赎金,以恢复系统控制权。
Securitage告诉记者:“屏幕上显示,该系统的安全PLC处于Anquánshújīn’的控制之下,中文意思是安全赎金。我们以前从未见过这种类型的勒索软件。”
与ECS-CERT团队合作的Dragonfire网络公司的一名调查人员匿名表示,该勒索软件没有像大多数普通勒索软件那样对文件进行加密,而是对PLC进行了重新编程,关闭了与系统相关的所有传感器和阀门控制器。
Securitage证实,该公司已将受影响的PLC从系统中移除,并将其替换为预先编程的替代品,以备紧急情况使用。“替换设备正常工作了大约5分钟,然后它也被损坏了。他解释说,“这让我们认为系统中有某种蠕虫导致了再次感染。我们建议该公司关闭所有控制系统,等待进一步调查。”
该公司目前正在以手动模式运行所有安全系统。
天地和兴工业网络安全研究院编译,参考来源:ICSSecurityNews http://dwz.date/bCgj
(二)可穿戴设备制造商Garmin遭受勒索软件攻击
7月23日,可穿戴设备制造商Garmin遭受了勒索软件攻击,该攻击对其内部网络和某些生产系统进行了加密,致Garmin关闭了其部分服务。
该公司目前正在计划设立一个为期数天的维护时段,以应对攻击的后果,包括关闭其官方网站、Garmin Connect用户数据同步服务、Garmin的航空数据库服务、甚至关闭亚洲的某些生产线。
Garmin在其网站和Twitter上共享的消息中表示,此次事件也影响了其呼叫中心,使该公司无法接听用户发送的电话、电子邮件、在线聊天。
这次事件引起了人们的注意,并给公司的客户造成了很多麻烦,其中大多数依赖于Garmin Connect服务将有关跑步和骑行的数据同步到Garmin的服务器上,所有这些都在23日关闭。
但是,除了消费类可穿戴设备和运动服之外,flyGarmin今天也有影响。flyGarmin是Garmin的Web服务,支持该公司的航空导航设备产品线。飞行员表示,他们无法在Garmin飞机导航系统上下载Garmin航空数据库的版本。飞行员需要根据FAA要求在其导航设备上运行此数据库的最新版本。此外,他们用于计划和计划航班的Garmin Pilot应用程序今天也已关闭,引起了更多的麻烦。
Garmin发言人表示,该事件正在进行调查,拒绝证实该中断是由勒索软件攻击引起的,建议大家阅读该公司已在其网站和Twitter个人资料上共享的消息。
该事件在世界标准时间凌晨三点左右发生,几名Garmin员工进入社交媒体分享有关该攻击的详细信息,所有人都将其称为勒索软件攻击。Garmin的一些员工在网上发表讲话,将这一事件归咎于今年早些时候出现的一种新型勒索软件WastedLocker。
然而,该事件似乎比Garmin在其最初声明中指出的要大得多,也更具破坏性。台湾IT媒体iThome分享的一份内部备忘录显示,Garmin向其台湾工厂派遣了IT员工,并宣布计划在7月24日和7月25日进行为期两天的维护模式。尽管该备忘录并未专门将即兴维护模式归咎于勒索软件攻击,但消息人士告诉台湾新闻网站,此事件是由病毒引起的。
在当今的网络安全领域,只有勒索软件攻击才具有破坏性,导致公司在几小时内关闭生产线、在线服务、网站、电子邮件服务器和呼叫中心,并进入即兴维护模式。
感染的范围目前还未知。除了家庭消费级可穿戴设备、运动服和智能手表外,Garmin还为汽车和海事行业提供地图和跟踪解决方案/设备。勒索软件攻击对这些服务的影响尚不清楚。目前还不清楚在此事件中是否有任何客户数据丢失或被盗。
天地和兴工业网络安全研究院编译,参考来源:ZDNet http://dwz.date/bBRt
(三)云托管提供商Blackbaud遭受勒索攻击并支付赎金
软件和云托管解决方案提供商Blackbaud表示,在今年5月份,其成功阻止了一次勒索软件对文件加密的攻击,但是黑客窃取了该公司网络中的数据并威胁要在网上公布数据,所以不得不支付赎金。
Blackbaud表示,黑客入侵了其网络,并试图安装勒索软件,将公司的客户锁定在其数据和服务器之外。“发现攻击后,我们的网络安全团队,与独立的取证专家和执法部门一起,成功的阻止了网络犯罪分子访问我们的系统和对文件进行完全加密,并最终从我们的系统将他们驱逐。” 然而,Blackbaud表示,在驱逐黑客退出网络之前,黑客设法从客户保存文件的自托管环境中窃取了一部分数据。
目前无法识别勒索软件组织,且该组织威胁说,除非Blackbaud支付赎金,否则将公布被盗数据,即使他们最初的文件加密攻击被停止。
Blackbaud表示,“因为保护客户的数据是我们的首要任务,所以我们向网络罪犯支付了赎金,并确认他们拷贝的副本已被销毁。基于事件的性质,我们的研究和第三方(包括执法部门)的调查,我们没有理由相信任何数据超出了网络犯罪范围,被滥用或将被滥用,或者将被传播或以其他方式提供公开”。
Blackbaud主要与非营利组织、基金会、教育机构和医疗机构合作。该事件仅影响了其客户的一小部分客户的数据,他们现在已经通知了该客户。
天地和兴工业网络安全研究院编译,参考来源:ZDNet http://dwz.date/bBZB
(四)华硕RT-AC1900P路由器中存在两个安全漏洞
近日,华硕修复了RT-AC1900P路由器固件更新功能中的两个漏洞,这些漏洞可能导致路由器及经过该路由器的所有流量受到完全损害。
华硕RT-AC1900P(RT-AC68U)宽带路由器的使用者应立即访问该产品的支持网站并下载并应用最新的固件更新,这两个漏洞可能会完全破坏设备并损害所有经过的流量。
这款路由器本身已经存在了很多年,但是由于其功能和性能,它仍然是最受欢迎的路由器之一。Trustwave常年在路由器中发现漏洞的数字安全专家Martin Rakhmanov发现了发现了RT-AC1900P固件更新功能中的两个新漏洞。
不久前,制造商华硕已收到有关这些问题的通知,并已在其最新固件中对其进行了修补。
第一个漏洞为CVE-2020-15498更新接受伪造的服务器证书,是关于路由器使用的wget程序接受不受信任(伪造)的证书,以从ASUS服务器获取更新的。如果碰巧拥有使用旧固件的ASUS RT-AC1900P,则可以通过SSH和grep通过文件系统登录,输入字符串:no-check-certificate。这将产生一些Shell脚本,这些脚本从ASUS更新服务器执行下载。恶意攻击者可能会利用这种缺乏证书检查的方式来强制安装恶意文件。虽然攻击者必须明智地与易受攻击的路由器相邻网络以执行中间攻击(MITM)中的任务,但成功的攻击可能会导致路由器的全面破坏,从而允许完全访问通过它的所有流量。最新的固件不再使用此wget选项,因此不再可能发生MITM攻击。
第二个漏洞为CVE-2020-15499发行说明对话框XSS漏洞,是Web管理界面中与固件更新有关的跨站点脚本(XSS)漏洞。版本说明页面在呈现给用户之前未正确转义页面的内容。这意味着合法的管理员可能会被恶意方攻击,恶意方会使用中间的第一个人发现并用任意JavaScript代码执行链接它。
华硕在最新固件中对此进行了修复,因此发行说明页不再逐字呈现任意内容。RT-AC1900P的其他一些安全漏洞也被发现并修补,尽管这些漏洞的具体细节尚未公布。
天地和兴工业网络安全研究院编译,参考来源:ISPreview http://dwz.date/bBNM
(五)AvertX IP摄像头中存在3个漏洞
Palo Alto Networks Unit 42研究人员发现,最新版本的AvertX IP摄像机中存在的三个漏洞。
这三个漏洞是在AvertX的HD838和438IR版本中发现的,这些版本用作带有目标检测和红外功能并内置技术的户外监视摄像机。用户既可以将记录存储在网络视频记录器(NVR)的云中,也可以存储在存储卡中。
AvertX发现并确认了三个漏洞分别为:用户枚举漏洞CVE-2020-11625,当帐户不存在时,错误的web用户界面(UI)登录尝试会导致各种结果,从而使攻击者能够使用暴力攻击。弱密码漏洞CVE-2020-11624,软件不需要用户更改默认密码。当用户尝试使用默认密码登录时,弹出窗口会显示“密码已更改”,但允许用户登录。信息泄露漏洞CVE-2020-11623,存在一个暴露的UART接口,攻击者可以利用该接口对UART进行物理访问并更改诊断和配置功能。
攻击者可以通过获取合法帐户来进行暴力攻击,因为漏洞允许收集有效的用户名,一旦用户名被访问,就很容易通过暴力攻击获得密码。由于可以使用默认密码访问摄像机,因此很容易使您的摄像机和机器受损。通过阅读用户手册可以轻松访问默认密码,因此可以连接到Iot设备。物理访问UATR(通用异步接收发送器)可以使攻击者更改配置、修改配置、甚至关闭摄像机。
AvertX公司分析了故障和漏洞,并发布了经过适当修改的补丁程序,并删除了UATR连接器,并在以后生产的批次中更改了接口。
2020年 Unit42 物联网威胁报告显示,安全摄像机占物联网(IoT)设备的5%左右,但涵盖了与物联网设备相关的33%的安全问题。
天地和兴工业网络安全研究院编译,参考来源:e hacking news http://dwz.date/bBmx
(六)阿根廷电信1.8万台计算机遭受勒索软件REVil攻击 并勒索$750万赎金
7月18日,阿根廷最大互联网服务提供商之一阿根廷电信(Telecom Argentina)遭受勒索软件攻击,感染了约1.8万台计算机,勒索750万美元以解锁加密文件,对公司运营造成了严重影响。
攻击者最初获得了对公司网络的访问权限,然后他们控制了内部的域管理员,并使用该访问权限感染了数千台计算机。这起事件没有给ISP的客户造成连接中断,固定电话或有线电视服务也没有受到影响。
阿根廷电信运营的许多网站因袭击而下线。安全研究员德国Fernandez推测Revil勒索软件参与了对阿根廷电信的攻击。内部IT人员检测到攻击后,该公司立即警告其员工不要连接其内部VPN网络,并避免打开带有可疑存档附件的电子邮件。
REvil(Sodinokibi)勒索软件团伙在其暗网支付门户网站上发布了专门针对阿根廷电信的页面。门户页面显示赎金需求为109345.35枚Monero代币(约753万美元)。在撰写本文时,勒索软件团伙并未将阿根廷电信列入其暗网泄密网站上的受害者名单。勒索软件运营商威胁说,如果ISP在三天后不支付赎金,则ISP会将赎金翻倍。过去,REVil运营商已经将 Pulse Secure 和 Citrix VPN和企业网关系统作为入口点。
阿根廷电信并不是Revil勒索软件运营商攻击的第一个ISP,该团伙在5月份感染了斯里兰卡电信的系统。最近,另一家ISP遭到勒索软件攻击,据报道,Orange SA在7月初遭受了一次攻击,暴露了其20名企业客户的数据。
天地和兴工业网络安全研究院编译,参考来源:ZDNet http://dwz.date/bCcp
(七)法国电信公司Orange遭受勒索软件攻击并数据被盗
法国电信公司、欧洲第四大移动运营商Orange证实其遭受了勒索软件Nefilm攻击,该事件发生在2020年7月4日和5日。
对该公司的网络攻击泄露了该公司20家企业客户的数据。此后,这些数据通过勒索软件Nefilm的网站在网上泄露。7月15日,Nefilim在暗网上的数据泄露网站上添加了Orange,在该网站详细介绍了该公司泄露的信息。Nefilim称从Orange客户那里窃取的数据样本包含在一个339 MB的档案中。
关于这次攻击是如何发生的具体细节尚未公布。不过,Orange已经发表声明,承认遭受了攻击。Orange表示,Orange团队已经通知了受影响的客户,Orange将继续监视和调查这一违规行为。Orange对由此带来的不便深表歉意。
AttackIQ副总裁及产品主管Mark Bagley表示,“这种勒索软件攻击突显了企业对企业数据泄露的复杂性和深远危害。这起事件不仅影响到Orange本身,也影响到数据被曝光的企业客户的员工和客户。”
Bagley继续研究了网络攻击机制。“正如最近的勒索软件攻击和许多其他勒索软件攻击所证明的那样,它不再是是否支付赎金的问题。数据不仅被加密,而且实际上已经被盗并经常被泄露。因此,对安全策略采用一种主动的,基于威胁的通知方法非常重要,这使组织知道它可以阻止勒索软件攻击。”
关于预防措施,Baglet建议,“为了最好地防御勒索软件,重要的是要了解对手使用的常见策略,技术和程序。这样做时,公司可以建立更灵活的安全检测,预防和响应程序,专门针对应对这些已知行为。此外,公司应使用能够安全模拟最常见勒索软件活动及其技术的自动化解决方案,以免沦为受害者。”
天地和兴工业网络安全研究院编译,参考来源:Digital Journal http://dwz.date/bCpc
(八)澳大利亚尼尔森数据中心遭到可疑网络攻击
收视率监测公司尼尔森(Nielsen)的数据中心近日遭受了意外中断,推迟了7月21日电视收视率数据的发布。
据澳大利亚媒体今晚电视台报道,这次中断是网络攻击的结果,已经影响了各大主要电视台隔夜收视率的发布。
据报道,由第七、第九和第十网络共同拥有的收视率提供商OzTAM在7月21日晚些时候就潜在的网络攻击提供了建议。
尼尔森(Nielsen)发言人没有证实是否发生了网络攻击,但表示该公司正在努力迅速解决问题。
发言人表示, “尼尔森已经意识到与澳大利亚电视观众测量(TAM)数据中心环境有关的意外中断。恢复功能后,当天的电视收视数据将被收集和处理。这意味着所有原定于7月21日发布的数据将被推迟。我们的团队致力于迅速解决此问题。同时,随着有关此问题的新信息的发布,我们将确保及时通知业界。”
天地和兴工业网络安全研究院编译,参考来源:itnews http://dwz.date/bBuB
(九)监管机构敦促视频会议组织VTC提高安全性和隐私性
近日,六个来自世界各地的数据保护和隐私监管机构联合签署了一封公开信,要求视频电话会议(VTC)组织从设计上关注安全和隐私。
负责确保全球个人隐私的监管机构感到关注的是,由于新冠病毒大流行而导致视频会议解决方案使用的增加,增加了VTC公司处理个人信息的风险,并且也带来了其他风险。
在该信中表示,“媒体上的报道,以及直接向我们这些隐私执法机构汇报的情况,表明在某些情况下,这些风险已经意识到。这让我们有理由担心,职业训练局公司所采取的保障措施和措施,是否与他们处理的个人信息风险状况迅速上升的步伐保持同步”。
除了表达他们的担忧之外,隐私监管机构还详细说明了他们对视频会议公司有望减轻上述风险的方式的期望,以及他们应采取的确保其保护用户个人信息的步骤。
监管机构还鼓励VTC公司识别并解决与其服务相关的其他数据保护和隐私问题,并定期审查其对隐私的立场,甚至与监管机构合作以减轻他们无法解决的风险。
在该信中表示,“在目前的疫情流行期间,我们注意到一些令人担忧的报告,称VTC产品存在安全缺陷,导致未经授权访问帐户、共享文件和通话。还应特别注意确保信息在第三方处理时得到充分保护,包括在其他国家。”
VTC公司应确保其解决方案默认包括安全保护措施,例如有效的端到端加密和双因素身份验证,并确保它们要求使用强密码。那些向处理敏感资料的部门提供职业训练局服务的机构,应该把重点放在这些安全措施上。
此外,亦有人敦促VTC公司在其服务上采取按设计私隐的方法,不仅确保资料及私隐在任何时候都受到保护,而且从一开始就为使用者提供方便私隐的设置。
这封信说,默认设置需要确保最佳的隐私保护,但是用户应该可以选择调整这些设置以满足他们的要求。此外,应为业务用户提供功能,以帮助他们遵守自己的隐私政策,VTC服务应最大程度地减少对个人信息或数据的捕获。
VTC提供商还应该进行隐私影响评估,以识别其个人信息处理实践对个人隐私的影响,并实施策略来管理,最小化或消除这些风险。
此外,鼓励VTC公司确定其服务的使用环境,以确保它们在所有情况下都能提供数据安全和隐私,对收集的数据及其共享方式保持透明,并确保用户在使用其服务时拥有适当的信息和控制权。
监管机构指出“我们认识到,VTC公司提供了宝贵的服务,无论我们身在何处,我们所有人都可以保持联系;在当前的Covid-19大流行中,这一点尤为重要。但是,保持联系的便捷性绝不能以牺牲人们的数据保护和隐私权为代价。”
该函件由委员会委员与澳洲资讯专员公署、加拿大私隐专员辖下的合规部门办公室、直布罗陀监管局、香港个人资料私隐专员、瑞士联邦数据保护和信息专员以及英国监管信息专员办公室签署。
天地和兴工业网络安全研究院编译,参考来源:SecurityWeek http://dwz.date/bCqg
(十)新型聊天应用软件Welcome Chat正在监视中东用户
ESET研究人员发现,一款新型聊天应用软件Welcome Chat其实是一款恶意软件,正在用于中东地区一场长期的网络间谍活动中。该应用程序与威胁组织Gaza Hackers(Molerats)有关。
Welcome Chat既充当了间谍软件,又提供了承诺的聊天功能。该应用可在Google Play应用商店中下载,声称提供了一个安全的聊天平台。然而ESET的研究人员表示,这种说法是错误的,所谓“安全”的说法离事实还远。
ESET研究人员Lukᚊtefanko表示,“除了Welcome Chat是一种间谍工具外,它的运营商还将从受害者那里获得的数据免费留在互联网上。该应用程序从未在官方的Android应用程序商店中提供过。”
研究人员称,Welcome Chat”的行为类似于从Google Play下载的任何其他聊天应用。但是,安装后,它会请求发送和查看SMS消息,访问文件和录制音频的权限,以及请求访问联系人和设备位置的权限。
研究人员指出,“收到许可后,Welcome Chat立即开始从其命令和控制(C&C)服务器接收命令,并且它会上传所有收集的信息。除了聊天消息外,该应用还会窃取诸如已发送和已接收的SMS消息,通话记录,联系方式之类的信息。列表,照片,电话录音和设备的GPS位置。”
此外,研究人员还表示,他们试图找出是否存在正在被操纵的应用程序的干净版本,或者是否是从头开发的恶意应用程序。
天地和兴工业网络安全研究院编译,参考来源:ISRSEL DEFENSE http://dwz.date/bChA
(十一)FBI利用旅游经营公司Sabre资料库进行全球监控
Forbes近日刊出了一篇调查报导,指出储存全球旅游信息的美国企业Sabre的资料库,已成为美国FBI的监控工具,迄今FBI至少透过4次的《全令状法》(All Writs Act)要求Sabre配合调查,提供旅客的路径,且其中至少有一次要求Sabre提供即时信息。
Sabre为美国航空American Airlines(AA)在1960年设立的旅游科技公司,并在2000年美国航空独立出来,专门提供各种旅游技术及旅游服务,支持全球机票与饭店的预订服务。根据估计,Sabre处理全球1/3以上的旅游预订服务,可追踪机票、饭店到租车等旅游服务,与Amadeus及英国的Travelport并列为全球前三大旅游分销系统,其中犹以Sabre规模最大。
Forbes指出,多年来美国政府一直要求电信业者与银行提供用户的个人信息以协助办案,但都必须针对不同的业者提出法院命令,但Sabre的资料库对FBI而言无疑是个宝库。
在FBI于2019年12月行使的法院命令中,FBI便要求Sabre提供印度黑客Deepanshu Kher的即时踪迹,还要求Sabre必须每周回报,且为期6个月,内容为Kher所预订的任何航班或饭店。而这只是Forbes迄今所掌握的、FBI要求Sabre配合的4个命令之一。
根据报导,法院援用的是1789年的《全令状法》,允许美国政府机构强迫第三方提供协助,以执行法院命令,2016年时美国政府即是采用同一个法令,要求苹果协助FBI解锁iPhone 。曾代理苹果的律师Marc Zwillinger也向Forbes表达了他的看法,说他担心未来美国政府想追踪逃犯的时候,都会理所当然地使用该法。
此外,隐私专家们也担心,美国政府也许会利用该法及Sabre来追踪C新冠病毒疫情,例如调查有多少人从武汉飞到纽约,或是这些人所经过的机场。
天地和兴工业网络安全研究院编译,参考来源:iThome http://dwz.date/bCkr
(十二)替换签名PDF文件中内容的新方法
德国波鸿鲁尔大学(Ruhr University)的一个研究小组披露了一系列针对签名PDF文件的新攻击方法。这种被称为影子攻击的新技术允许黑客在不使签名失效的情况下隐藏和替换签名的PDF文档中的内容。黑客可以创建包含两个不同内容的文档,一个是签名者希望看到的,另一个将显示给文档接收者。
研究人员解释说,“PDF的签名者接收文档、审阅文档并签名。攻击者使用签名的文档,稍作修改,然后发送给受害者。打开签名的PDF文件后,受害者检查数字签名是否成功验证。然而,受害者看到的内容与签名者不同。”
他们测试了28个PDF浏览器应用程序,发现其中15个应用程序至少容易受到一种攻击,包括Adobe、Foxit和LibreOffice开发的应用程序。这三个组织已经发布了补丁,但是许多受影响的厂商要么没有回复研究人员的信息,要么没有提供补丁可用性的信息。
同样的研究人员先前也披露了破坏PDF文件签名和对签名文档进行未经授权的更改的方法。他们现在提出了三种针对PDF签名的新攻击。
组织和个人,包括政府,研究人员和企业,经常签署PDF文档以防止未经授权的更改。如果有人对签名文档进行修改,则其签名应无效。
然而,波鸿鲁尔大学的研究人员展示了三种不同的影子攻击,攻击者可以利用这些攻击隐藏、替换或隐藏和替换PDF文件中的内容。允许这些攻击的漏洞为CVE-2020-9592和CVE-2020-9596。
影子攻击的“隐藏”变体涉及将PDF中的某些内容隐藏在另一层后面,例如整页图像。在专家描述的攻击场景中,攻击者向签名者发送一个文档,在他们想要隐藏的内容之上添加一个诱人的或无害的消息的图像。一旦文档被签名并发送回攻击者,他们就可以操纵文件,这样图像就不再由PDF查看器呈现,这使得隐藏的内容变得可见。
该攻击的“替换”变体包括在签名文档中附加一个新的对象,该对象被认为是无害的,但可能会影响内容的呈现方式。
研究人员解释说,“例如,字体的(重新)定义不会直接更改内容。但是,它会影响显示内容的视图,并使数字或字符交换成为可能”。
研究人员称之为“最强大”的“隐藏并替换”变体,使攻击者能够更改签名文档的整个内容。在这种攻击中,黑客使用具有相同对象ID的两个对象在文档中插入隐藏内容和可见内容,并将其发送给目标。一旦他们收到签名的文档,攻击者就会追加一个新的外部参照表和一个新的尾随,这样隐藏的内容就会显示出来,而不是受害者在签署文档之前看到的内容。
天地和兴工业网络安全研究院编译,参考来源:SecurityWeek http://dwz.date/bCr8
(十三)美国CISA要求24小时内修复Windows DNS 严重漏洞
美国网络与基础设施安全局(CISA)日前下令,所有美国联邦机关与附属单位需在24小时内修补Windows DNS严重漏洞CVE-2020-1350。
这个漏洞的CVE编号是CVE-2020-1350,发生在Windows DNS Server,称为SIGRed,可让入侵者远端执行任意代码。这个漏洞发生在Windows Server 2003到2019版本,其CVSS危险评分高达满分10分。
网络安全厂商Check Point发现了这个漏洞。发送一个大于64 KB的SIG记录档,可以在Windows DNS Server引发一个缓冲区溢位错误,进而用以入侵这台DNS Server并执行任意代码。
Check Point指出,任何出现在DNS Server的严重漏洞都非常危险,因为威胁者极易透过DNS Server攻击整个系统的所有设备。这类漏洞十分罕见,但SIGRed漏洞存在竟然长达17年才被发现。微软已于日前发布这个漏洞的修补程序。
鉴于该漏洞的严重性,CISA除要求美国联邦政府旗下各单位应于24小时内修补漏洞外,还要求任何无法在七个工作日内解决该问题的单位,应立即删除单位内的所有Windows服务器系统。
天地和兴工业网络安全研究院编译,参考来源:twcert http://dwz.date/bCeK
(十四)朝鲜黑客组织Lazarus利用恶意软件MATA窃取数据
最近发现的恶意软件框架MATA与朝鲜支持的黑客组织 lazarus 有关。自2018年4月以来,MATA 被用于攻击来自多个国家的企业实体,目的是部署勒索软件和窃取数据。
卡巴斯基(Kaspersky)的最新研究表明,在过去两年中,与朝鲜政府有联系的黑客已经改进了其恶意软件工具并扩展了其目标列表,该报告称,攻击者已经投入了“大量资源”来提高其能力。
尤其是,黑客已经积极部署了多阶段恶意软件框架(卡巴斯基称之为MATA),以Windows,Linux和macOS操作系统为目标。该框架能够部署超过15个恶意软件组件,并且有迹象表明,一旦攻击者破解了目标网络,他们就可以横向移动。卡巴斯基说,到目前为止,攻击者已经使用MATA攻击了一家软件开发公司、一家电子商务公司和一家互联网服务提供商。研究人员说,受影响的国家包括波兰、德国、土耳其、日本和印度。
根据对该框架的文件名和配置的分析,卡巴斯基认为该计划与Lazarus Group有关,美国政府将该黑客组织归咎于朝鲜政府。 卡巴斯基的高级安全研究员seongsu park表示,MATA 的使用表明,该组织可能正在提升自己的能力。
虽然卡巴斯基的报告没有提及袭击者的动机,但朝鲜黑客以其活动所显示的经济动机而闻名——他们在2014年入侵了索尼电影公司.,并且是2017年全球WannaCry勒索软件泛滥的幕后黑手 。
MATA是一个模块化框架,具有多个组件,包括加载器,协调器和多个插件,可用于感染Windows,Linux和macOS系统。
在攻击过程中,黑客可以使用MATA将多个插件加载到受感染系统的内存中,运行命令,操纵文件和进程,注入DLL,在Windows设备上创建HTTP代理和隧道。
MATA插件还允许黑客扫描macOS和基于Linux的机器(路由器,防火墙或IoT设备)上的新目标。在macOS平台上,MATA还可以加载plugin_socks模块,该模块可用于配置代理服务器。
卡巴斯基的研究人员在分析遥测时发现,黑客正在使用恶意软件加载器加载加密的下一阶段有效负载(可能是框架的协调器)。
完全部署MATA恶意软件框架后,操作员将尝试查找包含敏感客户或企业信息的数据库,并将运行数据库查询以收集和泄露客户列表。
尽管研究人员没有确凿的迹象表明Lazarus确实能够窃取他们在攻击过程中收集的数据,但是从受害者那里窃取这些数据库肯定是他们的目标之一,还有他们攻击的一家公司的 vhd 勒索软件。
在将MATA活动与Lazarus Group联系起来时,研究人员指出了具体的配置和文件名。卡巴斯基说,例如,某些框架使用了两个唯一的文件名,而这些文件名以前只是在恶意软件家族变体Manuscrypt中才能看到的,美国政府已将其与Lazarus Group联系在一起。据卡巴斯基称,其中一些文件名也模仿了FBI和国土安全部的美国政府恶意软件分析报告中描述的文件,其中描述了Manuscrypt。
Manuscrypt 曾被用于攻击韩国的外交目标,虚拟货币和电子支付系统。 去年,美国财政部对 manuscrypt 背后的攻击者进行了制裁。 manuscrypt 通常还会攻击全球金融实体和环球银行金融电信协会(swift)货币转移系统。
天地和兴工业网络安全研究院编译,参考来源:BleepingComputer http://dwz.date/bCqW
(十五)韩国搜索网站Naver宣布将香港资料中心移往新加坡
做为通讯软件LINE的母公司,韩国搜索引擎网站Naver在网络服务上有着广大的市场,出于对隐私问题的担忧,Naver 近日证实将放弃香港做为资料备份中心的基地,改为转移至新加坡扩展站点。
今年7月初,由中国政府订制的香港《国安法》正式生效,此举同时也将香港网络纳入中国的防火长城审查机制中,出于各种因素,包含Facebook、Twitter 和Google 在内的硅谷大厂都纷纷开始重新审视香港业务。
许多外资企业担心,在新法生效下,他们将被迫将私人用户数据移交给香港当局提供中国官方审查,过去类似担忧已经让一些美国科技公司停止入驻中国,此次新法生效后疑虑只是更为加剧。
在评估《国安法》的内容以后,Facebook、Google和微软已在本月暂时禁止香港政府访问用户数据,《金融时报》指出,在当地设有资料中心的美国科技大厂正在和香港官方针对一项提案进行谈判,该提案的目的让香港监管机构将能接触到客户银行纪录。
技术咨询公司Actel Consulting 香港常务合伙人Claude Achcar 认为,Naver只是科技大厂决定撤离香港的起头者,但尽管港版《国安法》可能导致一些国外大厂撤出香港,香港很可能仍会受益于中国的新投资。
在Achcar 看来,Naver撤出香港这项举动也进一步证实,全球正逐渐在中美这两个“科技两极”间分裂。“当香港被更拉向中国那端时,很难再认为香港是亚洲的国际中心,非倾向中国的技术将转往其他地方。”
天地和兴工业网络安全研究院编译,参考来源:Technews http://dwz.date/bCnk
天地和兴,安全周报,关键信息基础设施
相关资讯