安全研究
全部分类

关键信息基础设施安全动态周报【2020年第5期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-02-07 11:57
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第5期】天地和兴播报。

关键信息基础设施安全动态周报【2020年第5期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第5期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-02-07 11:57
  • 访问量:
详情

目   录

 

第一章 国内关键信息基础设施安全动态 

(一)印度APT组织趁火打劫对我国医疗机构发起定向攻击 

(二)香港的大学遭受Winnti Group攻击 

第二章 国外关键信息基础设施安全动态 

(一)攻击ICS的新型神秘勒索软件 

(二)设计缺陷使工业系统面临破坏性攻击 

(三)工厂蜜罐全景展示工业组织面临的网络威胁 

(四)日本电子巨头NEC遭受网络攻击 

(五)联合国多台服务器遭受黑客攻击 

(六)伊朗APT34利用恶意软件攻击美国政府供应商Westat 

(七)武汉新型冠状病毒被用来发动钓鱼邮件攻击 

(八)思科修复了小型企业交换机中高危DoS漏洞 

(九)美国国家安全局发布缓解云漏洞指南 

(十)Microsoft Azure漏洞可致黑客接管云服务器 

 

第一章国内关键信息基础设施安全动态

(一)印度APT组织趁火打劫对我国医疗机构发起定向攻击

近日,360安全大脑捕获了一例利用新冠肺炎疫情相关题材投递的攻击案例,攻击者利用肺炎疫情相关题材作为诱饵文档,对抗击疫情的医疗工作领域发动APT攻击。

在进一步追踪溯源中,我们发现这起APT组织隶属于印度黑客组织。抗疫攻坚难题当前,印度APT组织竟公然瞄准我国医疗机构发动攻击!借势搅局、趁火打劫,此举不仅令人愤慨至极,简直是丧尽天良!

带着满腔的愤怒,我们进一步讲述关于此次攻击的重磅详情!

首先:是谁在趁火打劫,对我国痛下毒手?

在揭开幕后真凶的神秘面纱前,我们先简单了解下此次攻击者的攻击“路数”。

该攻击组织使用采用鱼叉式钓鱼攻击方式,通过邮件进行投递。可恨至极的是,它竟公然利用当前肺炎疫情等相关题材作为诱饵文档,部分相关诱饵文档如:武汉旅行信息收集申请表.xlsm,进而通过相关提示诱导受害者执行宏命令。

简单说,攻击者其将关键数据存在worksheet里,worksheet被加密,宏代码里面使用key去解密然后取数据。然而其用于解密数据的Key为:nhc_gover,而nhc正是中华人民共和国国家卫生健康委员会的英文缩写。

这里一旦宏命令被执行,攻击者就能访问hxxp://45.xxx.xxx.xx/window.sct,并使用scrobj.dll远程执行Sct文件,这是一种利用INF Script下载执行脚本的技术。

然而,此处我们想强调的是,此次攻击所使用的后门程序与之前360安全大脑在南亚地区APT活动总结中已披露的已知的印度组织专属后门cnc_client相似,通过进一步对二进制代码进行对比分析,其通讯格式功能等与cnc_client后门完全一致。可以确定,攻击者来源于印度的APT组织!

值得注意的是,该印度APT组织的攻击目标主要为:中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏感信息为主。而且在对中国地区的攻击中,主要针对政府机构、科研教育领域进行攻击,尤其以科研教育领域为主。

其次:谁又该提高警惕,免遭其迫害?

在明确了是谁在打我们的时候,又一个重要问题迎来而来,谁是此次攻击的受害者?

不言而喻,当攻击者精心利用新冠肺炎疫情相关题材,作为诱饵文档,进行鱼叉式攻击时,医疗机构、医疗工作领域无疑成为此次攻击的最大受害者。

别有用心国家级APT组织的搅局,让这场本就步履维艰的疫情之战,更加艰难。一旦其“攻击阴谋”得逞,轻则丢失数据、引发计算机故障,重则影响各地疫情防控工作的有序推进,危及个人乃至企业政府等各机构的网路安全。尤其面对这等有着国家级背景的APT组织的攻击,后果简直不堪设想。

最后:攻击者的定向攻击目的,或许更值得深思?

中国有句古话,人生有三不笑:不笑天灾,不笑人祸,不笑疾病。

在重大灾难疫情面前,国家、企业、个人,我们尽我们一切所能做到的,支援武汉,支援前线,几乎所有工作者都在不眠不休的与时间赛跑、与病毒赛跑,在努力打赢这场疫情防御之战。同时,抗击疫情关键时刻,我们还收到来自他国的支持,近日,我国外交部发言人华春莹一口气向11国致谢。

就是在国内外友人守望相助时,为什么印度APT组织却如此丧尽天良的对我国医疗机构发动定向攻击?

这里我们不妨有个大胆的猜测:

第一,它们为了获取最新最前沿的医疗新技术。这与该印度APT组织的攻击重点一直在科研教育领域有着莫大关系;

第二,它们为了进一步截取医疗设备数据。为打赢这场异常艰难的疫情之战,我国投入了重大的人力、物力、财力资源,其中尤其在医疗设备上更是重点,所以该组织此次发动攻击,能进一步截取我国更多的医疗设备数据信息;

第三,扰乱中国的稳定,制造更多的恐怖。疫情面前,不仅是一场与生物病毒的战役,更是一场民心之战,只有民心定了,才能保证社会的稳定。而该组织在此次发动攻击,无疑给疫情制造了更多的恐慌,恐吓之中,进行扰乱社会的稳定。

但无论是哪种猜测,它在此次时刻发动攻击,都将令本就不易的疫情攻坚战更加艰难,但我们更相信我们强大的祖国,相信奋战在任何前线的工作人员,不仅是卫士医疗团队、人民子弟兵,还有那些保证我们网络安全的勇士们,我们相信人定胜天!我们一定能打赢这场疫情之战,也一定能守护好网络空间这片净土!

(本文版权归原作者所有,参考来源:https://dwz.cn/VpAXXPSz)

 

(二)香港的大学遭受Winnti Group攻击

近日,ESET研究人员发现Winnti Group使用恶意软件ShadowPad和Winnti针对香港的大学进行新一轮攻击。

早在2019年11月,ESET就发现了Winnti Group 针对两所香港大学发起了攻击。ESET找到了ShadowPad后门的新变体,这是该组织的旗舰后门,该软件使用新的启动器部署并嵌入了许多模块。在ShadowPad出现的前几周,在这些大学中也发现了恶意软件Winnti。

温尼集团(Winnti Group)至少自2012年开始活跃,它针对视频游戏和软件行业进行供应链攻击,最终导致传播木马软件(如CCleaner,ASUS LiveUpdate和多款视频游戏)。该组织有众多受害者,因损害医疗保健和教育领域的各种目标而闻名。

2019年11月,ESET的机器学习引擎 Augur在属于两所香港大学的多台计算机上检测到一个恶意且独特的样本,该样本已于10月底发现Winnti恶意软件。Augur检测到的可疑样本实际上是一个新的32位ShadowPad启动器。在这些大学中发现的ShadowPad和Winnti样本均包含战役标识符和带有大学名称的C&C URL,这表明有针对性的攻击。除了攻击者所使用的两所大学以外,由于攻击者使用了C&C URL格式,至少有另外三所香港大学使用了相同的ShadowPad和Winnti变种。

攻击香港大学时使用的ShadowPad多模块后门引用了17个模块,这些模块专注于信息窃取,该模块用于从受感染的系统中收集信息。

与ShadowPad后门的先前变体不同,在 ESET白皮书 在Winnti Group的军火库中,该启动器并未使用VMProtect进行了混淆,而是使用XOR加密而不是典型的RC5密钥块加密算法。

(天地和兴工控安全研究院翻译整理,参考来源:https://dwz.cn/bA8st1xS) 

 

 

第二章国外关键信息基础设施安全动态

(一)攻击ICS的新型神秘勒索软件

EKANS勒索软件于2019年12月中旬出现,而Dragos于2020年1月初向其全球威胁情报服务的客户发布了一份私有报告。尽管在加密文件和显示赎金记录方面作为勒索软件样本相对简单,但EKANS具有附加功能以强制停止许多进程,包括与ICS操作相关的多个进程。尽管目前所有迹象都表明控制系统网络上存在相对原始的攻击机制,但静态“攻杀清单”中列出的进程的特殊性表明,之前针对工业领域的勒索软件并没有表现很强的目的性。经过发现和调查,Dragos确定了EKANS与勒索软件MEGACORTEX之间的关系,该勒索软件还包含一些ICS特有的特征。在其报告中描述的勒索软件中以工业过程为目标的标识是唯一的,代表了第一个已知的ICS特定勒索软件变体。

尽管目前对EKANS勒索软件的传播机制尚不清楚,但是EKANS已经在警醒资产所有者和运营者获得资产可见性的重要性。我们强烈建议,1、相关ICS资产所有者和运营者及时检查其攻击面,并判定具有ICS特定特征的分发和传播破坏性恶意软件(如勒索软件)的机制。2、通过核查环境中的可用资产和连接,尝试了解和分析对手针对特定资产部署专用于ICS的勒索软件的潜在后果,对运营或相关流程的影响,并采取相应的防御措施。3、对进入ICS网络的所有设备、数据、介质进行持续的严格的监测和审查,确保其可靠、干净、可用;4、对ICS系统的关键数据、配置、逻辑做好及时的备份,保证备份的时效和可用;5、持续进行安全事件应急响应演练,确保响应计划、流程、工具、人员的可用性和高效性。

(天地和兴工控安全研究院翻译整理,参考来源:https://dwz.cn/wEDYt2Gd)

 

(二)设计缺陷使工业系统面临破坏性攻击

近日,美国知名工业安全公司PAS向安全周刊(SecurityWeek)透露了其对工业终端研究的成果。PAS对石油和天然气、炼油和化工、发电、纸浆和造纸以及采矿部门所属的10000多个工业终端设备的过去一年的数据进行了深度分析,发现这些企业使用的许多工业控制系统都受到设计缺陷和弱点的影响,恶意行为者可能会利用这些设计缺陷和弱点来达到其各种不同的目的,包括造成破坏和物理损坏。研究成果反映出几个显著的问题,一是漏洞数量巨大;总共发现了超过380000个的已知漏洞,平均每个终端就有38个。二是影响范围较广;普遍存在的漏洞会影响各种类型的ICS,包括人机界面(HMI)、可编程逻辑控制器(PLC)和分布式控制系统(DCS)。另有漏洞跟微软平台下的软件直接相关。三是漏洞利用较容易;在大多数情况下,只需利用网络访问权限或低/基本权限即可。即是部分有针对性的漏洞,攻击者确实需要了解目标系统的工作方式。一旦了解后,滥用是非常容易的。四是影响后果严重且风险将长期存在。尽管没有证据表明攻击中已经利用了这些类型的缺陷,但已知其中许多缺陷会在攻击触发时导致生产中的问题,比如生产中断、设备损坏。要命的是相关问题的修复往往是遥遥无期。这一研究成果也真实反映出当前关键基础设施领域令人担忧和不安的网络安全现状。

(天地和兴工控安全研究院翻译整理,参考来源:https://dwz.cn/s20gzlHS)

 

(三)工厂蜜罐全景展示工业组织面临的网络威胁

近日、趋势科技的研究人员建立了一个工厂蜜罐,发现工业组织应更关注由利润驱动的网络犯罪分子发起的攻击,而不是由经验丰富的国家赞助组织所构成的威胁。

该蜜罐模仿了一家工厂,并设计得尽可能逼真。工业环境包括ICS硬件、物理主机和强化的虚拟机。ICS硬件包括来自Siemens、Allen-Bradley和Omron的PLC;虚拟机运行用于控制工厂的HMI、控制堆垛机的机器人工作站、以及用于对PLC进行编程的工程工作站;物理机用作工厂的文件服务器。

为了使一切显得更加真实,研究人员创建了一家假冒公司,该公司称自己为“为特殊客户服务的小型工业原型制作精品店”。研究人员还为此开发了一个网站并设置了一些电话号码,当有电话打进来时会播放语音指示让呼叫者留言。

为了使蜜罐成为更具吸引力的目标,专家有意将一些端口保持开放状态,包括一些无需密码即可访问的VNC服务、PLC和以太网/IP。

该蜜罐于2019年5月上线,并且趋势科技的研究人员对其进行了七个月的监控。在该实验结束后,该蜜罐已完全下线。

毫不奇怪,该蜜罐最初主要被扫描程序作为攻击目标,研究人员阻止了来自Schodan、ZoomEye和Shadowserver等已知扫描服务的请求。

当蜜罐联机并正确配置后,趋势科技发现了大量尝试滥用系统和资源的欺诈活动,如将飞行里数兑换成礼品卡并通过升级移动订户帐户来购买智能手机。

有些黑客给该蜜罐安装了加密货币矿工,包括安装了两个文件加密勒索软件,该勒索软件攻击涉及恶意软件Crysis和Phobos。些网络犯罪分子还试图部署伪造的勒索软件,该勒索软件只重命名了文件,以使它们看起来像是被加密的,但实际上并未对其进行加密。

就控制系统攻击而言,趋势科技表示,PLC大多是由未知的扫描程序作为攻击目标的,这些扫描程序使用黑名单以外的工具和服务进行相关的扫描活动。这些扫描程序主要收集有关暴露设备的信息,尽管似乎没有恶意,但是专家们说,不能否认扫描是可能为准备以后的攻击而进行的侦察活动的一部分。

对于蜜罐中的Allen-Bradley MicroLogix PLC,研究人员观察到了许多未知命令。尽管这些命令看起来似乎无害,但未知的命令可能会导致某些较旧的设备崩溃,正如几年前Cisco Talos研究人员所证明的那样。

在某些情况下,攻击者关闭了在受到感染的设备上运行的应用程序,关闭了该设备或注销了当前用户。

从ICS角度来看,一些最有趣的活动发生在12月。一名威胁者启动了工厂,停止了传送带,停止了工厂,然后关闭了应用程序窗口。一天后,同一位威胁者启动了码垛机并打开了其光学系统的日志视图。趋势科技表示,威胁者可能也只是好奇会发生什么。

趋势科技高级威胁研究人员Stephen Hilt解释说:“在大多数情况下,攻击者在看到某个进程已开始运行时便会立即停止该进程。在自12月起的三次攻击中,有一次攻击者让系统运行了几个小时,我们最终像“公司”意识到了该事件一样并重置了所有数据来停止了该攻击。从那以后,我们再也没有看到这个攻击者发起任何进一步攻击活动。” Hilt表示,他们分析的任何源IP地址都不能链接到已知的威胁组织。

趋势科技网络安全副总裁Greg Young对该研究发表评论时表示,“通常,对工业控制系统(ICS)的网络威胁的讨论仅限于旨在破坏关键流程的高度复杂的国家级攻击。尽管这些确实给工业4.0带来了风险,但我们的研究证明,更常见的威胁更有可能出现。因此,小型工厂和工业厂房所有者不应该假定威胁者不会攻击他们。缺乏基本的保护措施可能会对相对直接的勒索软件或加密劫持攻击敞开大门,这可能对底线造成严重后果。”

(天地和兴工控安全研究院翻译整理,参考来源:https://dwz.cn/ZJPR7U6s)

 

(四)日本电子巨头NEC遭受网络攻击

2020年1月31日,日本NEC公司在其官方网站确认,该公司国防业务部门使用的某些内部服务器遭受了第三方的未经授权的访问。根据公司和外部专门机构的调查,到目前为止,尚未确认到诸如信息泄漏之类的损害。

NEC集团已采取措施,如引入未知恶意软件检测系统,但无法检测到2016年12月之后发起的攻击的初次渗透以及内部感染的早期传播。

2017年6月,通过检查安全公司的威胁报告中描述的通信模式,NEC确认了正在从内部PC执行未经授权的通信,隔离并阻止了检测到的受感染PC以及未经授权的通信目标。2018年7月,该公司成功解密了与受感染服务器和进行未经授权通信的外部服务器的加密通信,并将其存储在内部服务器中,以便与国防业务部门使用的其他部门共享信息发现27,445个文件被非法访问。

根据公司和外部专门机构的调查,到目前为止,尚未确认到诸如信息泄漏之类的损害。这些文件不包含机密信息或个人信息。此外,自2018年7月以来,已经向客户单独解释了与非法访问的文件有关的情况。

该公司已采取了各种针对网络攻击的对策,但是NEC将进一步加强对策,如攻击响应系统,重要信息管理,加强早期检测和响应,并对更高级的攻击做出响应。

电子和信息技术巨头NEC是日本国防工业的主要承包商,与日本自卫队(JGSDF或解放军)一起从事各种国防装备项目,包括但不限于3D雷达,宽带多用途无线电系统。

(天地和兴工控安全研究院翻译整理,参考来源:https://dwz.cn/cV84S3LD)

 

(五)联合国多台服务器遭受黑客攻击

近日,一份来自联合国的内部机密文件已泄露给了《新人道主义》,表示黑客渗透到了日内瓦和维也纳的联合国网络,包括联合国人权办公室在内的数十台服务器遭到了破坏。目前的高级官员基本上保持沉默。黑客的身份和所获取数据的范围尚不清楚。

一位不愿意透露姓名的联合国官员表示,入侵的损害程度尚不清楚,击的复杂程度和目标的具体性质表明可能是国家威胁者的参与。

网络安全公司Rendition Infosec的首席执行官Jake Williams曾是美国政府的前黑客,他表示,黑客清除了网络日志,入侵看起来像是在进行间谍活动。来自三个不同域的活动目录部分(管理所有用户的权限)受到了损害:联合国日内瓦和维也纳办事处以及高级人权办事处。

联合国多年来一直在尝试修补其众多的IT系统,威廉姆斯表示,全球任何的情报机构都可能对渗透该系统感兴趣。

联合国信息技术办公室的内部文件说,有42台服务器被“破坏”,另外25台被认为是“可疑”,几乎全部分布在日内瓦和维也纳办事处。其中三台“受损”服务器属于人权机构,该机构位于联合国日内瓦办事处的主要城镇对面,其中两台被联合国欧洲经济委员会使用。该报告说,黑客利用Microsoft SharePoint软件中的一个漏洞来渗透网络,但是所使用的恶意软件的类型未知,技术人员也没有识别出互联网上用于泄漏信息的命令和控制服务器。也不知道黑客使用了什么机制来维持其在渗透网络中的存在。该报告提到了罗马尼亚的一系列IP地址,这些IP地址可能已被用来进行渗透,其中一些具有托管恶意软件的历史。

(天地和兴工控安全研究院翻译整理,参考来源: https://dwz.cn/vn2GfZJa)

 

(六)伊朗APT34利用恶意软件攻击美国政府供应商Westat

近日,Intezer研究人员发现伊朗威胁组织APT34向与美国联邦机构以及州和地方政府紧密合作的公司的客户和员工发送了针对性的恶意电子邮件附件。

受到攻击的公司是总部位于美国的Westat,该公司为一家专业服务公司,为美国各州和地方政府以及80多个联邦机构提供研究服务。Intezer的研究人员在一月份检测到恶意文件Survey.xls后发现了该活动,该文件伪造成Westat员工和客户的员工满意度调查表。

据分析,电子邮件中包含一个Excel电子表格,一旦下载,该电子表格最初看起来是空白的,只有在受害者启用电子表格上的宏之后调查表才表会出现,调查表询问受害者是否对职业发展机会和与工作相关的培训感到满意。但是在后台,针对宏的恶意Visual Basic for Applications(VBA)编程代码正在执行。

Intezer表示,此代码将.ZIP文件解压缩到一个临时文件夹中,然后提取并安装一个可执行文件,该文件在感染系统五分钟后运行。该有效载荷是TONEDEAF恶意软件的后门,能够进行系统信息收集、文件上载和下载以及任意shell命令执行。

 Westat在周四发表的声明中说:“ Westat了解到,在确定威胁和恶意软件的过程中,Intezer已经识别出使用Westat名称和徽标的恶意文件。该文件不是由Westat创建、托管或发送的,并且可能是攻击者窃取Westat的品牌名称和徽标的结果。我们的网络安全团队正在与Intezer及其他人合作,以充分了解本报告的性质。我们将继续监视局势并作出相应回应。”

研究人员已将该活动与总部位于伊朗的APT34相关联,该组织专门从事网络间谍活动,并以针对中东各种组织(包括金融,能源和政府实体)的攻击而闻名。Intezer表示,最新的活动显示APT34使用了经过修改的恶意软件变体,该变体比以前的工作更先进,并且具有新的隐秘策略。

Intezer研究人员Paul Litvak和Michael Kajilolti 在分析中表示:“ FireEye仅在几个月前公开了APT34的最后一次操作,从我们目前的发现来看,我们可以自信地说该小组已经发展了其操作。对新恶意软件变体的技术分析显示,该伊朗政府支持的组织已投入大量精力来升级其工具集,以逃避未来的检测。”

下载的可执行文件实际上是TONEDEAF恶意软件的新版本,它是APT34通常用作自定义工具的后门。它通过HTTP与命令和控制(C2)服务器通信,以便接收和执行命令。

研究人员称TONEDEAF 2.0具有与原始恶意软件相同的目的,具有相同的通用流程和功能。但是,其代码已进行了重大更改,并且具有不断发展的反检测功能。与原始的TONEDEAF相比,TONEDEAF 2.0仅包含任意的shell执行功能,并且不支持任何预定义的命令。它也更隐蔽,并包含新的技巧,例如动态导入,字符串解码和受害者欺骗方法。为了比其前身更隐蔽,TONEDEAF 2.0隐藏了许多导入的API调用,这些调用是代码中的命令,它们告诉系统执行某些操作。而是将API调用名称和包含它们的库(DLL)存储为编码字符串,这些字符串在运行时按需进行解码和解析。TONEDEAF 2.0还带有经过改进的C2通信协议,尽管它与它的前身仍然有一些相似之处,例如对受害者和服务器都使用三位数的标识符。

(天地和兴工控安全研究院翻译整理,参考来源:https://dwz.cn/QRjXvM3W)

 

(七)武汉新型冠状病毒被用来发动钓鱼邮件攻击

随着武汉新型冠状病毒席卷所有搜索引擎新闻头条,网络罪犯,尤其是在西方,以武汉病毒的名字作为关键词在虚拟世界中发起恶意活动。卡巴斯基和IBM的X-Fororce均已监测到相关恶意活动,并提出了警告。

通常而言,头条新闻、高知名度的人物和事件名称被黑客利用以发起网络欺诈和攻击,这是司空见惯的情形。但是卡巴斯基的研究人员说,他们现在使用威胁生命的流行病的名字,这表明当人类其他地方遭受苦难时,有些人可以利用灾难赚钱。

到目前为止,研究人员发现,被称为冠状病毒传播相关文档(PDF,MP4和Docx)的10个恶意文件在网上流传,其中充斥着恶意感染,例如文件加密恶意软件,挖矿恶意软件和窃取浏览器信息和泄露敏感数据。

据美国卫生和公共服务部预防与响应助理部长(ASPR)办公室2月3日报道,网络犯罪分子正在利用2019年新型冠状病毒发起恶意的网络钓鱼活动。 根据ASPR的关键基础设施保护司的说法,网络钓鱼攻击是通过附带Word文档的电子邮件进行的,该Word文档提供了有关预防感染的指南,还可能是PDF和MP4文件附件。该机构表示,攻击者还向日本用户发送了垃圾邮件,警告他们可能会携带新的冠状病毒。ASPR说:“预计将来基于2019-nCOV的恶意电子邮件流量将会更多。” 美国医院协会(AHA)网络安全和风险高级顾问John Riggi建议,这可能是提醒员工不要单击可疑电子邮件、链接或附件的机会,同时也应提醒组织在组织外部发送的电子邮件上使用警告标语。

IBM X-Force说,日本用户已经收到有关冠状病毒在几个州传播的虚假通知,据称是由残疾人福利服务提供商和公共卫生中心发送的。

这些电子邮件包含从这些服务的官方网站获取的合法信息,并附带一个.doc文件,表面上包含更多信息。

研究人员解释说:“文档本身的内容只是一则Office 365消息,它指示查看者启用该内容(这是恶意的),以防文档已在受保护的视图中打开。” 提供的该恶意软件是Emotet下载器。

IBM X-Force研究人员补充说道:“随着感染的扩散,我们预计将来会看到更多基于冠状病毒的恶意电子邮件流量。这也可能包括其他语言,具体取决于冠状病毒爆发对母语使用者的影响。日本成为第一批受害者可能由于其与中国接近而成为攻击目标。不幸的是,威胁参与者利用基本的人类情感,例如恐惧,尤其是在全球性事件已经引起恐怖和恐慌的情况下,这是很常见的。”

Mimecast研究人员指出,类似的针对英语用户的电子邮件,据称由新加坡的病毒学家发送,带有恶意的.pdf附件。

KnowBe4专家警告,有关美国疾病控制与预防中心(CDC)发送的网络钓鱼电子邮件的信息,链接到一个网页,该网页据说包含美国新的冠状病毒感染病例的更新列表:

预计网络骗子和其他恶意个人将继续假冒合法机构的官方通知,以传播恶意软件或骗局(和恐慌)。 

网络犯罪分子以使用备受关注的全球新闻报道为目标,并诱骗受害者去做他们本来不会做的事情而闻名,但是像这种最新的冠状病毒爆发之类的情况却是一种礼物,因为每天都有新的更新,每人都期待官方发出警报。

KnowBe4的首席执行官指出,在涉及与冠状病毒有关的任何事情时,用户应格外小心电子邮件、附件、社交媒体帖子及短信。

(天地和兴工控安全研究院翻译整理,参考来源:https://dwz.cn/alQIEs1Q)

 

(八)思科修复了小型企业交换机中高危DoS漏洞

2020年1月29日,思科发布了小型企业交换机中存在的两个高危漏洞的安全布丁,该漏洞可被未经身份验证的远程攻击者利用访问敏感的设备数据并触发DoS。

第一个漏洞CVE-2019-15993是由缺乏适当的身份验证控制引起的信息泄露问题。攻击者可以通过将特制的HTTP请求发送到易受攻击的Cisco小型企业交换机的用户界面来利用此漏洞。思科小型企业交换机的Web UI中的漏洞可能允许未经身份验证的远程攻击者访问敏感的设备信息。存在此漏洞是因为该软件缺乏对可从Web UI访问的信息的正确身份验证控制。攻击者可以通过向受影响设备的Web UI发送恶意HTTP请求来利用此漏洞。成功利用此漏洞可以使攻击者访问敏感的设备信息,其中包括配置文件。

第二个DoS漏洞为CVE-2020-3147,是由于对发送到Web界面的请求的不正确验证导致的。攻击者可以通过向易受攻击的设备发送经特殊设计的请求来利用此问题,这些请求将迫使交换机重新加载并进入拒绝服务条件。Cisco小型企业交换机的Web UI中的漏洞可能允许未经验证,远程攻击者可造成设备拒绝服务。该漏洞是由于对发送到Web界面的请求的验证不正确造成的。攻击者可以通过将恶意请求发送到受影响设备的Web界面来利用此漏洞。成功利用此漏洞可能使攻击者导致设备意外重载,从而导致拒绝服务条件。

(天地和兴工控安全研究院翻译整理,参考来源:https://dwz.cn/6Yqqap3o)

 

(九)美国国家安全局发布缓解云漏洞指南

近日,美国国家安全局(NSA)发布了一份信息表,其中包含有关缓解云漏洞的指南,确定了云安全组件,并讨论威胁因素,云漏洞和潜在的缓解措施。

该文档将云漏洞分为四类:配置错误、不良访问控制、共享租用漏洞和供应链漏洞。这些漏洞涵盖了大多数已知漏洞。提供每种漏洞类别的描述以及最有效的缓解措施,以帮助组织锁定其云资源。

错误配置:尽管CSP经常提供帮助管理云配置的工具,但云资源配置错误仍然是最普遍的云漏洞,可以被利用来访问云数据和服务。配置错误通常是由于云服务策略错误或对共享责任的误解而产生的,其影响从拒绝服务敏感性到帐户受到损害不等。CSP创新的快速发展创造了新功能,但也增加了安全配置组织的云资源的复杂性。

滥用错误配置的示例:

2017年5月,一家大型国防承包商在可公开访问的云存储中公开了敏感的NGA数据和身份验证凭据。

2017年9月,一位安全研究人员发现了CENTCOM数据可供所有公共云用户访问。

2019年9月,一个研究团队在公开可访问的Elasticsearch中发现了国防部人员的敏感旅行细节的数据库。

不良访问控制:NSA表示,当云资源使用弱认证/授权方法或包含绕过这些方法的漏洞时,就会发生不良访问控制。访问控制机制的缺陷可以使攻击者提升特权,从而损害云资源。

滥用不良访问控制的示例:

2019年10月,CSP报告了网络攻击,其中通过发送到单因素身份验证电子邮件帐户的密码重置消息破坏了使用多因素身份验证的云帐户。

2018年3月,FBI报告了总部位于伊朗的Mabna集团的byp。

共享租用漏洞:云平台由多个软件和硬件组件组成。能够确定云体系结构中使用的软件或硬件的对手可以利用这些漏洞来提升云中的特权。云虚拟机管理程序中的漏洞(即由于这些技术在保护云体系结构和隔离客户工作负载方面起着至关重要的作用,因此,实现虚拟化的软件/硬件或容器平台就显得尤为严重。发现和利用虚拟机管理程序漏洞是困难且昂贵的,这限制了它们对高级攻击者的利用。

供应链漏洞:NSA表示,云中的供应链漏洞包括内部攻击者的存在以及硬件和软件中的故意后门。CSP从全球采购硬件和软件,并雇用许多国籍的开发人员。第三方软件云组件可能包含开发人员故意插入的漏洞,以破坏应用程序。将代理作为供应商,管理员插入云供应链或开发人员,这可能是民族攻击者攻克云环境的有效手段。

尽管不特定于云环境,但供应链攻击的一些示例包括:

在ShadowHammer操作中,修改了从实时更新服务器下载的内容以添加恶意功能。尽管对该软件的分析表明,该参与者的目标是通过针对MAC地址来攻击特定主机,但仍有50万用户下载了该软件。

在2019年12月,发现两个恶意的Python Package Index(PyPI)库从开发人员无意间安装它们的系统中窃取了凭据。

云客户在减轻配置错误和差的访问控制方面起着至关重要的作用,但他们也可以采取措施保护云资源免遭共享租赁和供应链漏洞的利用。通过采用基于风险的方法来采用云,组织可以安全地从中受益来自云的广泛功能。

该指南指出,该指南仅供组织领导和技术人员使用。组织领导可以参考“云组件”部分,“云威胁参与者”部分以及“云漏洞和缓解措施”概述,以获取对云安全原则的看法。技术和安全专业人员应发现该文档有助于解决云服务期间和之后的云安全注意事项采购。

(天地和兴工控安全研究院翻译整理,参考来源:https://dwz.cn/0cMcqWeH)

 

(十)Microsoft Azure漏洞可致黑客接管云服务器

近日,安全公司Check Point的研究人员披露了Microsoft Azure中两个高危漏洞的技术细节,利用该漏洞可致黑客接管云服务。

Azure应用服务允许用户以他们选择的编程语言来构建和托管多平台Web应用程序、移动后端和RESTful API,而无需管理基础结构。它支持从GitHub,Azure DevOps或任何Git进行自动部署回购。

第一个请求欺骗漏洞CVE-2019-1234会影响到Microsoft Azure Stack云计算软件解决方案。当Azure Stack无法验证某些请求时,存在这个欺骗漏洞。攻击者可以通过向Azure Stack用户门户发送特制请求来利用此漏洞。远程攻击者可能利用此漏洞访问Azure基础结构(甚至是隔离的虚拟机)上运行的任何虚拟机的屏幕快照和敏感信息。

Service Fabric Explorer 是预先安装在计算机中的Web工具,它充当RP和基础结构控制层(AzS-XRP01)的角色。它允许查看作为Service Fabric应用程序构建的内部服务   (位于RP层中)。尝试从Service Fabric资源管理器访问服务的URL时,其中一些不需要身份验证。可通过Microsoft Azure Stack Portal利用此漏洞。使用API可以获得虚拟机的名称和ID, 硬件信息以及其他信息,然后将它们与另一个未经认证 HTTP请求以抓取屏幕截图。

GetStringAsync函数将HTTP GET请求发送到 templateUri并以JSON形式返回数据。没有关于主机是内部主机还是外部主机(并且它支持IPv6)的验证。因此,此方法是SSRF的理想选择。虽然这种只允许GET请求,但足以用于访问DataService的。

例如,从ID为f6789665-5e37-45b8-96d9-7d7d55b59be6的计算机上截取屏幕截图,尺寸为800×600。

第二个漏洞编号为CVE-2019-1372,是一个远程代码执行漏洞,影响了Azure Stack上的Azure应用服务。可以利用此漏洞来完全控制整个Azure服务器,从而控制企业的业务代码。当存在远程执行代码漏洞时Azure Stack无法在复制内存前检查缓冲区长度。 成功利用此漏洞的攻击者可能允许用户运行的未特权功能在NT AUTHORITY system上下文中执行代码,从而逃避了沙箱。

该缺陷存在于DWASSVC服务的方式中,该服务负责管理和运行租户的应用程序和IIS工作进程。

专家发现,Azure堆栈在将内存复制到缓冲区之前没有检查缓冲区的长度,这意味着攻击者可以通过向DWASSVC服务发送特制的超出缓冲区大小的消息来利用此问题。此技巧可能使攻击者能够以最高的NT AUTHORITY / SYSTEM特权在服务器上执行恶意代码。

通过这两个漏洞,攻击者可以使用Azure Cloud创建一个免费用户帐户并对其运行恶意功能或发送未经认证 到Azure Stack用户门户的HTTP请求。

(天地和兴工控安全研究院翻译整理,参考来源:https://dwz.cn/5YVXn3FV)

关键词:

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号