关键信息基础设施安全动态周报【2021年第6期】
发布时间:
2021-02-10
来源:
作者:
天地和兴
访问量:
109
目 录
第一章 国内关键信息基础设施安全动态
(一)《2020年工业信息安全态势报告》发布
第二章 国外关键信息基础设施安全动态
(一)巴西两家电力公司遭受勒索软件攻击
(二)美国佛罗里达州供水设施被黑客远程攻击投毒
(三)工业网络中披露的漏洞数量急剧增加
(四)勒索软件Ziggy关闭并释放解密密钥
(五)神秘黑客组织攻击多个斯里兰卡网站域名
(六)新型网络钓鱼攻击方法使用摩尔斯电码隐藏恶意URL
(七)Plex Media服务器被滥用进行DDoS攻击
(八)Realtek Wi-Fi模块中存在严重漏洞
(九)多个勒索软件组织之间存在经济联系
(十)Agent Tesla尝试篡改微软AMSI来绕过杀毒软件检测
(十一)微软Azure Functions存在提权漏洞可逃离Docker主机
第一章 国内关键信息基础设施安全动态
(一)《2020年工业信息安全态势报告》发布
2月5日,国家工业信息安全发展研究中心“2020年工业信息安全态势报告”线上发布会成功举办,正式发布了《2020年工业信息安全态势报告》。
报告指出,2020年,全球工业信息安全呈现技术应用化发展、事件爆发式增长、政策多维度深化、风险弥漫性扩散等特征,危机中孕育希望,机遇与挑战并存。放眼技术趋势,围绕威胁诱捕、数据保护、供应链安全、人工智能等的技术应用从理论走向实践;回顾安全事件,新型冠状病毒全球大流行致使利用疫情实施的网络攻击层出不穷,针对工业领域的勒索攻击频发;跟踪政策进展,主要国家围绕工业控制系统安全、工业数据安全、智能制造安全等领域出台一系列法规标准,推动各项措施走向深耕;追溯风险威胁,低防护联网工业控制系统数量激增,高危漏洞占比居高不下,重点行业面临严峻的安全挑战。
展望2021,建议秉持监测、防护、应急“三位一体”理念,紧密围绕建设态势感知网络、建立防护应急体系、保护工业数据安全、打造专业技术队伍,推进实施“四个一”安全保障措施,切实维护国家工业信息安全。
本文版权归原作者所有,参考来源:国家工业信息安全发展研究中心 http://dwz.date/ejaN
第二章 国外关键信息基础设施安全动态
(一)巴西两家电力公司遭受勒索软件攻击
巴西两家主要电力公司Centrais Eletricas Brasileiras(Eletrobras)和Companhia Paranaense de Energia(Copel)宣布,在过去一周他们遭受了勒索软件攻击。这两起勒索软件攻击都扰乱了运营,并迫使这两家公司暂时中止了部分系统。
这两家公司都是由国家控制的,且都是该国的关键电力企业。Copel是巴拉那州最大的电力公司,而Eletrobras是拉丁美洲最大的电力公司,并且还拥有Eletronuclear,这是一家从事核电站建设和运营的子公司。
对于Eletrobras而言,此事件发生在其Eletronuclear子公司,是勒索软件攻击。它影响了一些管理网络服务器,对核电厂Angra 1和Angra 2的运营没有影响。
该公司在2月3日发布的新闻通告中表示,由于明显的安全原因,这两座核电站的运营均与管理网络断开,因此国家互连系统的电力供应不受影响。在检测到攻击后,Eletronuclear暂停了其部分系统,以保护网络的完整性。该公司与托管安全服务团队一起隔离了恶意软件,并限制了攻击的影响。该通告缺乏详细信息,也没有说明攻击是否同时也存在数据泄露,因为勒索软件运营商通常会在部署加密例程之前从受害者网络窃取数据。
对于Copel而言,攻击者是Darkside勒索软件组织,该组织声称已窃取了1000 GB以上的数据,并且该缓存包含敏感的基础结构访问信息以及高层管理人员和客户的个人详细信息。
根据黑客的说法,他们可以访问该公司的CyberArk解决方案以进行特权访问管理,并且可以在Copel的本地和互联网基础结构中泄露纯文本密码。除此之外,Darkside声称他们拥有超过1000GB属于Copel的敏感数据,其中包括网络地图、备份方案和时间表、Copel主站点的域区域以及互联网域。他们还声称已经泄露了存储Active Directory(AD)数据的数据库-NTDS.dit文件,该文件包含有关域中所有用户的用户对象、组、组成员身份和密码哈希的信息。
尽管AD数据库没有纯文本密码,但是有一些工具可以脱机破解哈希或在所谓的“哈希传递”攻击中使用它们,而哈希攻击本身就是密码。
与其他勒索软件运营商不同,Darkside不会在其泄漏站点上提供被盗数据。相反,他们建立了一个分布式存储系统来托管六个月。这些缓存的访问由组织成员审核。这意味着虽然Copel的数据不是免费提供的,但包括黑客在内的第三方都可以轻松获取它。
Copel是巴拉那州最大的公司,也是电力行业中第一家在纽约证券交易所上市的巴西公司。入侵的日期尚未公布,但Copel在2月1日星期一向美国证券交易委员会(SEC)提交的文件中宣布了这一事件。该公司检测到攻击,并立即采取行动以阻止其在网络中传播。一项调查已经开始,以确定这次袭击的全部影响。可以肯定的是,主要系统未受影响,电力供应以及电信服务继续正常运行。
Copel表示,“运营和保护系统检测到攻击,公司立即遵循安全协议,包括中止其计算机环境的运行以保护信息的完整性。正在对发生的事情进行全面评估,公司正在采取必要步骤以恢复正常状态。”目前尚不清楚Copel网络有多少部分受到了攻击的影响,或者黑客是否能够部署加密例程。
参考来源:BleepingComputer http://dwz.date/ehq6
(二)美国佛罗里达州供水设施被黑客远程攻击投毒
美国佛罗里达州Oldsmar市的水处理系统2月5日遭受了黑客入侵,并试图将氢氧化钠(NaOH)的浓度提高到极其危险的水平,提高了100倍以上。
氢氧化钠(NaOH,也称为碱液和苛性钠)常见于家用清洁剂中,但如果高浓度摄入则会非常危险。然而在较低的水平时,水处理设施会使用它来调节酸度(pH)并去除重金属。
该事件发生在2月5日下午1:30分,通过一个远程桌面软件进行,该软件允许授权用户远程解决系统问题。警长鲍勃·古铁里耶(Bob Gualtieri)在接受路透社采访时称,黑客远程访问了工厂员工计算机上的软件程序TeamViewer,以控制其他系统。
一位工厂操作员说,他们观察到有人控制了鼠标,并用它来更改控制城市水处理功能的软件。入侵者在系统内部花费了三到五分钟,并将氢氧化钠含量从百万分之100更改为百万分之11,100。随后操作员立即撤销了这一操作,由于操作员立即进行了干预,Oldsmar的人口没有受到威胁。随后工厂操作员切断了对系统的远程访问。
该市市长埃里克·塞德尔(Eric Seidel)表示,Oldsmar水处理系统设置了冗余,如果水的化学含量达到危险水平,将会发出警报。
警长鲍勃·古铁里耶表示,“即使水厂操作员没有迅速撤消增加的氢氧化钠量,这些水也要花24到36个小时才能到达供水系统,并且有多余的地方对水进行检查,然后才能被释放。”警长补充称,目前还没有逮捕任何人,也没有该违规行为是起源于美国还是国外的信息。Pinellas县警长办公室、联邦调查局和特勤局正在调查此事。
该事件不是对水处理设施的第一次攻击。从表面上看,这不是一次复杂的入侵。根据Mandiant威胁情报团队的说法,自去年以来,涉及技能水平较低的攻击者试图远程访问工业控制系统的事件数量有所增加。
Mandiant表示,“许多受害者似乎是被任意选择的,例如小型关键基础设施资产所有者和为有限的人群服务的运营商。通过与这些系统的远程交互,攻击者参与了影响有限的行动,通常包括操纵物理过程中的变量。鉴于工业过程通常由专业工程师设计和监控,这些事件都没有对人员或基础设施造成损害,因为采用了安全机制来防止意外修改。”
在过去的二十年中,对水处理设施的袭击已经发生了好几次。在引起公众关注的最古老的事件发生在2000年,发生在澳大利亚的一个废水处理设施,是一个内部工作。对公司不满的员工Vitek Boden使用窃取的设备来访问SCADA控制器,并将80万公升未经处理的污水排放到Maroochy郡的水道中。
2011年,一名自称“pr0f”的黑客对DHS关于伊利诺伊州斯普林菲尔德市水泵故障的报告做出了回应。黑客的截图显示他们可以进入南休斯顿的污水处理厂。
在2016年,Verizon在其《数据泄露摘要》中报告说,黑客主义者能够入侵一家供水公司,该公司的IT网络运行在过时的软件和硬件设备上。
参考来源:BleepingComputer http://dwz.date/ejph
(三)工业网络中披露的漏洞数量急剧增加
工业网络安全公司Claroty最新发布的2020年半年度ICS风险和漏洞报告显示,攻击者、研究人员和防御者同时参与了一场竞赛,寻找隐藏在工业网络中的网络安全漏洞。该报告分析了2020年下半年ICS网络中所有公开披露的漏洞,发现披露的ICS漏洞比2019年增加了近25%,漏洞最多的行业包括关键制造业、能源、医疗保健、供水设施、食品和饮料以及商业设施等重要基础设施。
更糟糕的是,超过71%的漏洞可远程利用,并且2020年下半年披露的每个漏洞都在MITRE的2020 CWE最危险的25个软件漏洞名单上排名都很高,因为它们易于利用且可能造成灾难性影响。
在2020年下半年,Claroty统计了来自59个ICS供应商的449个漏洞。全年共有893个。2018年全年披露的ICS漏洞总数为672,而2019年的总数为716个。报告称,这些报告越来越多地来自独立研究人员。实际上,Claroty发现2020年下半年有50位新研究人员发表了披露信息,而他们在前两年没有发表过披露。
Claroty研究副总裁Amir Preminger对Threatpost解释称,“随着越来越多的组织尝试了解新的攻击环境,第二次半年度报告使ICS研究转向安全研究小组的强劲增长,ICS研究出现了转变。随着进入市场并专注于ICS安全的玩家数量的增加,(发现的)漏洞自然会增加。”
攻击者也在加大对工业网络的压力。例如,Claroty观察到Snake勒索软件查杀清单中增加了工业流程。Preminger称,“ICS环境已经成为网络犯罪分子更具吸引力的目标,这种动机不仅在于什么会造成最大的破坏,而且还包括他们可以使用的设备。攻击将变得越来越复杂和有针对性,因此,组织使用不同的检测墙并深入实践安全性非常重要。”
该报告解释称,“尽管ICS和SCADA漏洞研究日趋成熟,但仍有数十年的安全问题尚未发现。目前,攻击者可能在利用它们方面具有优势,因为维护者经常会受到正常运行时间要求的限制,并且越来越需要针对可能导致进程中断或操作的可利用漏洞的检测能力。”
该报告还补充说,有关SolarWinds攻击的头条新闻使每个行业的CISO对他们的网络范围以及可能要攻击它们的人都三思而行。Preminger还说,“民族国家参与者显然正在研究网络外围的许多方面,而网络犯罪分子也特别关注ICS流程,这强调了对安全技术的需求,例如在工业环境中基于网络的检测和安全的远程访问。”
好消息是该行业开始做出反应。Preminger称,“令人振奋的是,安全研究界对ICS的兴趣日益增长,因为我们必须更加清楚地了解这些漏洞,以使威胁保持一定距离。发现更多的漏洞意味着整个行业更加安全,因此看到安全界认真对待这一点,这是令人放心的。”
参考来源:ThreatPost http://dwz.date/ehJ5
(四)勒索软件Ziggy关闭并释放解密密钥
安全研究员M.Shahpasandi发现,勒索软件Ziggy管理员在Telegram上宣布,他们将关闭其操作并将释放所有解密密钥,该行动是由于最近的执法活动加剧及对加密受害者的愧疚。
勒索软件管理员在接受采访时表示,他们创建这个勒索软件是为了生活在“第三世界国家”时赚钱。该管理员对他们的行为感到内疚,并对最近针对Emotet和Netwalker勒索软件的执法行动感到担忧之后,管理员决定关闭并释放所有密钥。
2月7日,Ziggy勒索软件管理员发布了一个SQL文件,其中包含用于加密受害者的922个解密密钥。对于每个受害者,SQL文件列出了解密其加密文件所需的三个密钥。勒索软件管理员还发布了解密程序,受害者可以将其与SQL文件中列出的密钥一起使用。
除了解密程序和SQL文件之外,勒索软件管理员还共享了包含脱机解密密钥的其他解密程序的源代码。勒索软件感染使用脱机解密密钥来解密未连接到互联网或命令和控制服务器无法访问时受感染的受害者。勒索软件管理员还与勒索软件专家Michael Gillespie共享了这些文件,Emsisoft将很快发布解密程序。
Emsisoft的Brett Callow表示,“释放秘钥,不管是自愿还是非自愿,都是最好的结果。这意味着过去的受害者可以恢复他们的数据,而不需要支付赎金或使用开发人员的解密程序,因为该程序可能包含后门或漏洞。当然,这也意味着要可以担心一个勒索软件组织。最近与Emotet和Netwalker行动有关的个人被捕,可能会让一些参与者感到恐慌。如果是这样,我们很可能会看到更多的团体停止行动,交出他们的秘钥。”
虽然勒索软件管理员似乎很诚实地打算关闭并释放密钥,但研究人员始终建议等待安全公司的解密程序,而不要使用威胁者提供的解密程序。
上周,Fonix勒索软件操作也关闭并释放了密钥和解密程序。Ziggy管理员表示他们是Fonix勒索软件组织的朋友,来自同一国家。
参考来源:BleepingComputer http://dwz.date/ehRp
(五)神秘黑客组织攻击多个斯里兰卡网站域名
一个神秘的黑客组织2月6日攻击了多个斯里兰卡(.lk)网站的DNS记录,并将用户重定向到一个网页上,该网页详细描述了影响当地居民的各种社会问题。尽管受到影响的大多数域名是本地企业网站和新闻网站,但Google.lk和Oracle.lk两个知名域名也受到了影响。
在当局进行干预之前,相关消息已在Google.lk上显示了几个小时。该消息重点介绍了当地茶叶种植业、新闻自由、被指控腐败的政治阶级和司法制度以及种族、少数民族和宗教问题。
这次袭击发生在斯里兰卡正式民族独立日2月4日之后的2天,即2月6日星期六,这说明了民族主义的信息。
斯里兰卡国家顶级域名空间管理者NIC.lk 2月6日在其网站上发布的消息证实了这一攻击。该组织表示,“LK域注册系统出现了一个问题,即2月6日星期六清晨,这影响了在.LK中注册的一些域。这一问题迅速得到了处理,并在大约上午8.30时解决了该问题。”
斯里兰卡电信监管委员会也通过一条推文证实了这一事件。有关攻击和受影响域数量的详细信息尚未公开。此次攻击在斯里兰卡并没有被忽视,尽管事件仅发生了几个小时,周末仍有几位用户在推特上发布了有关此事件的消息。这是第二起与NIC.lk组织有关的网络安全事件。2013年,黑客使用SQL注入攻击来破坏其数据库并窃取有关.lk域所有者的数据。
参考来源:ZDNet http://dwz.date/ehZA
(六)新型网络钓鱼攻击方法使用摩尔斯电码隐藏恶意URL
从上周开始,有威胁参与者开始利用摩尔斯电码以钓鱼形式来隐藏恶意URL,从而绕过安全的邮件网关和邮件过滤器。研究人员没有找到任何关于摩尔斯电码在过去用于网络钓鱼攻击的相关信息,因此这是一项新型有针对性的混淆技术。
塞缪尔·莫尔斯和阿尔弗雷德·维尔发明了莫尔斯电码,是通过电报线传输信息的一种方式。当使用莫尔斯电码时,每个字母和数字都被编码为一系列的点(短音)和破折号(长音)。
在Reddit上的一篇帖子中首次得知这一攻击后,研究人员找到了自2021年2月2日以来上传到VirusTotal的大量定向攻击样本。
网络钓鱼攻击开始于一封电子邮件,邮件主题为“Revenue_Payment_Invoice 2月2日/03/2021”,假装是该公司的发票。
此电子邮件包含一个HTML附件,其命名方式看起来像是该公司的Excel发票。这些附件的命名格式为‘[COMPANY_NAME]_INVOICE_[NUMBER]._xlsx.hTML’。在文本编辑器中查看附件时,可以看到它们包含将字母和数字映射到莫尔斯代码的JavaScript。例如,字母‘a’映射到‘.-’,字母‘b’映射到‘-...’,如下所示。
然后,脚本调用decdeMorse()函数将摩尔斯电码字符串解码为十六进制字符串。该十六进制字符串被进一步解码成注入到HTML页面中的JavaScript标记。这些插入的脚本与HTML附件相结合,包含呈现假Excel电子表格所需的各种资源,该电子表格声明他们的登录超时并提示他们再次输入密码。
一旦用户输入密码,表单就会将密码提交到远程站点,攻击者可以在那里收集登录凭据。该攻击具有很强的针对性,威胁参与者使用logo.clearbit.com服务在登录表单中插入收件人公司的徽标,使其更具说服力。如果徽标不可用,它将使用通用的Office 365徽标。
研究人员发现11家公司成为此次网络钓鱼攻击的目标,包括SGS、Dimensional、Metrohm、SBI(Mauritius)Ltd、NUOVO Imie、普利司通、Cargeas、ODDO BHF Asset Management、Dea Capital、Equinti和Capital Four。
随着邮件网关越来越善于检测恶意电子邮件,网络钓鱼欺诈每天都变得越来越复杂。因此,在提交任何信息之前,每个人都必须密切关注URL和附件名称。如果有可疑的东西,收件人应该联系他们的网络管理员进一步调查。由于此仿冒电子邮件使用具有双扩展名(xlxs和HTML)的附件,因此务必启用Windows文件扩展名,以便更容易发现可疑附件。
参考来源:BleepingComputer http://dwz.date/ejbc
(七)Plex Media服务器被滥用进行DDoS攻击
安全公司Netscout 2月4日发布警告称,DDoS租用服务已找到一种滥用Plex Media服务器来反弹垃圾流量并放大分布式拒绝服务(DDoS)攻击的方法。
该公司警告Plex Media Server设备的所有者,Plex Media Server是一款Windows、Mac和Linux的Web应用程序,通常用于视频或音频流以及多媒体资产管理。该应用程序可以安装在常规的Web服务器上,或者通常与网络附加存储(NAS)系统,数字媒体播放器或其他类型的多媒体流IoT设备一起提供。
PLEX MEDIA服务器在路由器NAT中存在漏洞。Netscout称,当启动运行Plex Media Server应用程序的服务器/设备并将其连接到网络时,它将通过简单服务发现协议(SSDP)对其他兼容设备启动本地扫描。
当Plex Media Server发现启用了SSDP支持的本地路由器时,就会出现问题。发生这种情况时,Plex Media Server将向路由器添加一个NAT转发规则,将其Plex Media SSDP(PMSSDP)服务直接在互联网上的UDP端口32414上公开。
由于SSDP协议多年来一直被认为是扩大DDoS攻击规模的完美载体,因此Plex Media服务器成为DDoS租用操作的多汁且未开发的DDoS bot来源。
Netscout表示,攻击者只需要扫描互联网上启用此端口的设备,然后滥用它们来放大发送给DDoS攻击受害者的Web流量。根据Netscout的说法,放大系数约为4.68,Plex Media服务器将传入的PMSSDP数据包从52个字节放大到281个字节左右,然后再将其发送给受害者。
Netscout表示,它扫描了互联网,发现27000台Plex媒体服务器暴露在网上,这些服务器可能被滥用以进行DDoS攻击。此外,一些服务器已经被滥用。Netscout表示,它不仅看到使用Plex Media服务器的DDoS攻击,而且这种媒介现在正变得越来越普遍。
Netscout称,“像通常使用更新的DDoS攻击媒介的情况一样,在高级攻击者最初使用了定制的DDoS攻击基础结构后,似乎已经将PMSSDP武器化并添加到所谓的引导程序/压力源DDoS-租用服务,将其置于一般攻击者的承受范围之内。”
根据Netscout的说法,过去的PMSSDP攻击已达到2-3 Gbps,但是服务器可以与其他媒介结合使用,以进行更大的攻击。
这是Netscout关于今年在野外发现新型DDoS攻击媒介的第二次警告。一月份,Netscout警告称Windows远程桌面协议(RDP)服务器也被滥用用于DDoS攻击。
Plex发言人表示,该公司目前正在开发一个补丁程序,该补丁程序“为那些可能意外暴露的服务器增加了一层额外的保护”,该公司计划很快发布该补丁程序。
参考来源:ZDNet http://dwz.date/ehrb
(八)Realtek Wi-Fi模块中存在严重漏洞
以色列物联网安全公司Vdoo研究人员在Realtek RTL8195A Wi-Fi模块中发现了6个严重漏洞,这些漏洞可能被用来获得根访问权限,并控制设备的无线通信。
Realtek RTL8195AM是一款高度集成的单芯片,具有低功耗机制,非常适合多个行业的物联网(IoT)应用。该模块实现了一个“AMEBA”API,允许开发人员通过Wi-Fi、HTTP和MQTT与设备通信,MQTT是一种适用于小型传感器和移动设备的轻量级消息传递协议。
Realtek提供了自己的“Ameba”API用于该设备,这使得任何开发者都可以通过Wi-Fi、HTTP、mDNS、MQTT等轻松通信。作为模块Wi-Fi功能的一部分,该模块支持WEP、WPA和WPA2认证模式。
研究人员发现的漏洞是与Wi-Fi模块在认证过程中的WPA2四次握手机制相关的堆栈溢出和越界问题。Vdoo发现的漏洞还会影响其他模块,包括RTL8711AM、RTL8711AF和RTL8710AF。
最严重漏洞是远程堆栈溢出漏洞CVE-2020-9395,攻击者可在易受攻击的RTL8195模块附近利用该漏洞将其完全接管。攻击者不需要知道Wi-Fi网络密码(PSK),也不需要知道该模块是充当Wi-Fi接入点还是客户端。
研究人员还发现了一个拒绝服务漏洞、三个允许攻击者利用Wi-Fi客户端设备的漏洞、和任意代码执行漏洞。这些漏洞分别为:
VD-1406(CVE-2020-9395)基于堆栈的缓冲区溢出漏洞;
VD-1407(CVE-2020-25853)越界读取漏洞;
VD-1408(CVE-2020-25854)基于堆栈的缓冲区溢出漏洞;
VD-1409(CVE-2020-25855)基于堆栈的缓冲区溢出漏洞;
VD-1410(CVE-2020-25856)基于堆栈的缓冲区溢出漏洞;
VD-1411(CVE-2020-25857)基于堆栈的缓冲区溢出漏洞。
为了解决这个问题,用户必须从Realtek的网站上下载Ameba SDK的更新版本。最新版本的Ameba Arduino(2.0.8)包含上述所有问题的修复程序。
参考来源:SecurityAffairs http://dwz.date/ejqV
(九)多个勒索软件组织之间存在经济联系
使全球互联网系统处于瘫痪状态的勒索软件数量众多表明,可能有无数的独立黑客在窃取受害者的数据。
最新研究表明,数字勒索软件之间的联系比他们表面上看起来更紧密。与执法机构合作的软件公司Chainalysis的研究人员2月4日表示,他们发现了一些联系,表明使用Maze、Egregor、SunCrypt和DoppelPaymer黑客之间存在合作关系。
这些组织都以勒索软件即服务的形式运作,这意味着他们将自己的恶意软件出租给附属机构,这些附属机构随后会进行勒索软件攻击,这可能会让归类变得更加困难。根据该研究博客称,研究人员通过一系列中间人追踪了最近向Maze组织支付的一些赎金,确定Maze与一个疑似SunCrypt的人分享了部分赎金。Maze一直与针对包括佳能(Canon)和施乐(Xerox)在内的受害者的攻击有关,如果受害者拒绝付款,Maze通常公布窃取的数据。
研究人员在博客中表示,这笔交易表明,Chainalyst没有确定中间人的身份,它同时是SunCrypt和Maze的附属机构。
Chainanalysis还发现证据表明,Maze和Egregor都曾通过中介机构将资金送到一家大型加密货币交易所的存款地址,这表明这两个组织可能与同一家经纪人合作,将加密货币赎金转换为现金。
Chainanalysis还发现了证据,表明与Egregor相关的钱包过去曾向Doupelma管理员支付过费用,这表明他们可能是附属机构。包括Sophos在内的公司已经确定Egregor集团依赖于附属战略,帮助攻击者避免被发现,同时也迫使黑客瓜分攻击收益。
Chainanalysis的这项新研究为这四种勒索软件开辟了新的视角,有助于恶意软件研究人员和当局开发新的方法,来阻止勒索软件背后的犯罪分子。
研究人员在博客中指出:“虽然我们不能肯定Maze、Egregor、SunCrypt或Doppelpaymer有相同的管理员,但我们可以相对肯定地说,其中某些组织有共同的附属机构。通过追查洗钱服务或腐败的场外交易(OTC)经纪人等不良行为者,执法可能会严重阻碍Maze和Egregor的盈利能力,而不会真正抓住这些组织的管理人员或附属机构。”
Chainalysis怀疑,Maze和Egregor使用的某未透露姓名的场外交易经纪商可能也是Doppelpaymer、WastedLocker和Netwalker使用的。这可能表明,针对该经纪商的任何行动,鉴于其影响范围,都可能造成大量调查或保护性收益。
尽管多年来勒索软件一直在攻击学校、地方政府和公司,但直到最近,研究人员才开始表明,涉案罪犯的数量实际上更加集中。今年1月,ChainAnalysis发布的研究结果显示,从勒索软件支付中获益的攻击者数量实际上可能远小于勒索软件的数量。
此前有一些迹象表明,Maze、Egregor,、SunCrypt、Doppelpaymer可能以某种方式联系在一起。SunCrypt之前声称是Maze网络的一部分。根据早期的研究,Maze和Egregor在代码上也有相似之处。
除了锁定受害者系统和索要赎金外,每一种勒索软件都暴露了受害者信息,以使受害者更有可能付款,一些勒索软件行为者已经开始利用这种相对较新的方法,以帮助确保他们从自己的努力中获利。
一些研究人员长期以来一直认为,勒索软件病毒和操作之间存在联系。例如,GandCrab宣布于2019年退役,但研究人员已将该组织与Sodinokibi或Revil的较新版本的勒索软件联系起来。
参考来源:CyberScoop http://dwz.date/ehq7
(十)Agent Tesla尝试篡改微软AMSI来绕过杀毒软件检测
Sophos研究人员2月2日表示,远程访问特洛伊木马(RAT)的两个新变种针对的是微软反恶意软件接口(AMSI),这是一种旨在防止恶意软件感染的扫描和分析软件。
Agent Tesla现在将试图篡改AMSI,以降低其防御能力,并在执行点移除端点保护。如果成功,这将允许恶意软件部署其全部负载。
Agent Tesla于2014年首次被发现,是一只用.NET编写的RAT。这种恶意软件通常通过钓鱼活动和恶意电子邮件附件传播,用于获取帐户凭证、窃取系统数据,并为攻击者提供远程访问受损PC机的机会。
网络钓鱼邮件样本包括包裹投递通知、自称为目录的附件、与COVID-19有关的个人防护用品,当用于针对组织时,它们还可能涉及开具发票等关键业务问题。
Sophos称,这种恶意软件正在不断开发中,其中包括一个.NET下载程序,它可以调用和捕获托管在合法网站上的恶意代码,其中包括以Base64编码和混淆方式发布的Pastebin。这些“代码块”被合并在一起,进行解码和解密,以形成主加载器。
如果AMSI已成功解除武装,则会安装此加载程序并可在不受任何干扰的情况下运行,全面部署Agent Tesla,以便截取屏幕截图、记录键盘输入、窃取保存在剪贴板上的数据,以及从浏览器、电子邮件客户端、应用程序等获取凭据。
这款名为Tesla 2和Tesla 3的恶意软件的其他更新包括在攻击名单上增加了用于窃取凭证和增强迷惑的应用程序,以及操作员在连接到指挥控制(C2)服务器时使用Tor客户端和Telegram的消息API的选项。目标应用程序包括Opera、Chromium、Chrome、Firefox、OpenVPN和Outlook。
犯罪人员还可以选择通过在系统启动时执行恶意软件来保持持久性,如果愿意,还可以远程卸载Agent Tesla。如果在目标系统上检测到该恶意软件的另一个旧版本,并且选择了保持持久性的选项,则版本2和版本3都将删除该恶意软件。
Sophos表示,在2020年12月,Agent Tesla的有效载荷占所有恶意邮件附件的约20%。
参考来源:ZDNet http://dwz.date/ejvd
(十一)微软Azure Functions存在提权漏洞可逃离Docker主机
Intezer Lab网络安全研究员Paul Litvak披露了微软Azure Functions中一个未修补的漏洞,攻击者可能利用该漏洞升级特权,并逃离托管它们的Docker容器。
专家及其同事正在调查Azure计算基础设施。
Intezer Lab在发表的博客文章中称,“我们在Azure Functions中发现了一个新的漏洞,该漏洞允许攻击者升级权限并将Azure Functions Docker容器转移到Docker主机。经过内部评估,微软确定该漏洞不会对功能用户造成安全影响,因为Docker主机本身受到Hyper-V边界的保护。”
Azure Functions是一种事件驱动的按需计算体验,它扩展了现有的Azure应用程序平台,能够实现由Azure或第三方服务以及本地系统中发生的事件触发的代码。Azure Functions可以由HTTP请求触发,并且只运行几分钟,正好可以及时处理事件。用户的代码在Azure托管容器上运行并提供服务,而无需用户管理自己的基础结构。研究人员发现,代码没有被安全地分割开来,可能被滥用以逃避对底层环境的访问。
研究人员创建了一个HTTP触发器,以便在Functions容器上立足,然后他们编写了一个反向shell,在Functions执行后连接到他们的服务器,以便操作一个交互式shell。
研究人员注意到,他们在具有“SandboxHost”主机名的端点中以无特权的“app”用户身份运行,因此他们使用容器查找属于具有“root”权限的进程的套接字。研究人员发现了三个具有开放端口的特权进程,一个没有已知漏洞的NGINX,以及MSI和Mesh进程。
Intezer在“Mesh”过程中发现了一个漏洞,可以利用该漏洞升级到容器中的根目录。在攻击的最后阶段,研究人员扩展了分配给容器的权限,以逃离Docker容器并在主机上运行任意命令。研究人员发布了一个PoC漏洞代码,该代码设置了一个带有squashfs的反向外壳,以提升Azure Functions中的权限,并逃离Docker环境。
参考来源:SecurityAffairs http://dwz.date/ejb2
(如未标注,均为天地和兴工业网络安全研究院编译)
漏洞,勒索,安全,网络安全,天地和兴
相关资讯
