安全研究
全部分类

关键信息基础设施安全动态周报【2020年第7期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-02-21 16:28
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第7期】天地和兴播报。

关键信息基础设施安全动态周报【2020年第7期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第7期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-02-21 16:28
  • 访问量:
详情

  目 录

  (一)Dragos称工业控制系统的安全性亟待改进

  (二)美国CISA警告勒索软件攻击影响天然气管道运营

  (三)导致乌克兰停电的恶意软件在暗网中传播

  (四)伊朗攻击组织持续攻击VPN服务器并在目标网络中植入后门

  (五)带外控制台使工业资产面临风险

  (六)美国政府更新有关朝鲜恶意软件的信息

  (七)危险的外围设备:Windows和Linux计算机内部的重大隐患

  (八)严重漏洞使SonicWall SMA设备遭受远程攻击

  (九)黑客可控制卫星甚至将其变为攻击武器

  (十)多家知名企业遭受针对性网络钓鱼攻击

  (十一)近一半联网医疗设备易受到BlueKeep黑客攻击

  (十二)IOTA基金会在遭到黑客入侵后关闭整个网络

  (十三)思科修复了智能解决方案中多个关键漏洞

  (十四)美国政府在明年国防部预算中要求拨款98亿美元用于网络建设

  (十五)戴尔以20.75亿美元出售其网络安全业务RSA

 

  (一)Dragos称工业控制系统的安全性亟待改进

  近日,知名工业网络安全厂商Dragos在其《2019年度ICS回顾》报告中表示,ICS的安全性亟待改进。在该报告中表示,Dragos在2019年共发现了438个工业控制系统(ICS)漏洞。超过25%没有可用的补丁程序,而30%的发布了不正确的数据,从而无法正确确定补丁程序的优先级。

  Dragos去年发现了三个新的专门针对全球ICS企业的新威胁组织,加入了先前确定的八个威胁组织名单。第一个新发现的威胁组织是Hexane(又名Lyceum),专注于攻击中东的石油和天然气公司,同时还攻击可能为实现主要目标提供垫脚石的电信提供商。另一个攻击者Parisite于2019年10月被发现,攻击目标包括航空航天、石油和天然气以及多个水、电和天然气供应商在内的多个工业部门。这些目标分布在美国、中东、欧洲及澳大利亚,依赖于已知的VPN漏洞来进行侦察活动。威胁组织Wassonite于去年被发现,于9月4日对印度Kudankulam核电站发起袭击。该组织专注于攻击发电、核能、制造以及涉及以空间为中心的研究的组织的多个工业控制系统。另外八个Dragos先前就关注的威胁组织为:Raspite、Chrysene、Allanite、Dymalloy、Xenotime、Magnallium、Covellite、Electrum。

  报告称,随着地缘政治紧张局势的升级,针对ICS的定期网络攻击行动的可能性增加,并使关键基础设施和人类生命面临以往更高的风险。事实上,100%的组织拥有与其运营环境相连的可路由的网络连接,而76%的组织无法检测到Dragos的红队活动,这加剧了危机的可能性。

  Dragos的情报分析师塞琳娜•拉尔森(Selena Larson)对英国媒体表示:“随着活动团体开始瞄准以往受害者研究中未发现的新领域,威胁扩散的趋势仍在继续。Dragos观察到许多勒索软件和商品恶意软件感染影响了ICS,其中一些能够越过IT/OT界限来中断操作。我们预计活动团体在获得初始访问权限后,会继续利用软件和服务中已知的漏洞。IT/OT的聚合导致了一个扩展的攻击面,而对手们正在调整他们的方法来弥补这个缺口并中断其他操作。”

  IOActive的工业控制系统负责人Jason Larsen表示,许多工业控制系统并不像我们所希望的那样隔离或防御。虽然ICS通常会在崩溃期间调用安全关闭,对公众没有安全问题,但问题仍然在于,工业控制的知识在攻击者社区中变得越来越普遍。这导致了更具攻击性的攻击,攻击者向工厂设备发出命令变得可行。这表明,即使随着工业控制系统防御者得到提高,攻击者也变得更加有效。

  Lazarovitz指出,导致ICS漏洞的主要原因之一是对这些系统及其数据的可访问性日益增长的需求,这些系统及其数据可与众多IT技术以及第三方供应商的操作软件和现成的商品进行访问和集成。

  Radware的安全宣传员Pascal Geenens 认为,ICS面临的主要威胁是国家威胁,尤其是在关键基础设施方面。通常,这些都是长期活动,涉及相当数量的规划,研究和预算。

  虽然直接针对工业流程的可能性存在,但目前最紧迫的风险是基于IT的勒索软件(例如,最初袭击员工笔记本电脑的勒索软件),会渗透到 OT 空间(如工厂车间)并造成运营中断,Darktrace技术总监Andrew Tsonchev指出。“当您认为每一分钟对现代制造业巨头都很重要时,这是有道理的,这意味着甚至造成临时停机的威胁也会带来巨大的风险。”

  因此,组织应该采取什么以最大程度地降低ICS的风险?

  迈克菲首席工程师Mo Cashman对SC Media UK表示:“在安全和风险管理方面,采用单一企业方法进行安全和风险管理非常重要,而许多组织仍在孤立地运作。这就导致了CISO可能仅负责IT而不负责保护OT环境安全的情况”。Cashman说:“最近的攻击表明,对工业控制系统的威胁来自多种途径,因此这需要改变。”

  ForeScout工业和OT技术创新高级总监Elisa Costante建议,增加诸如自动化网络监控解决方案之类的增强型安全措施可以让组织对 ICS 生态系统及其技术有一个全面的了解。这样可以使识别攻击载体,定位盲点和设计有效的安全架构(如分段网络)变得更加容易。

  NTT Ltd网络安全咨询副总裁Azeem Aleem对SC Media UK表示,缓解技术不应只着眼于外围,相反,他们需要遵循情报驱动的安全框架或分阶段的方法。需求分析意味着围绕领域(包括人员)开发责任分配矩阵(RACI模型),以建立一个问责和协调层。当然情报收集,存储和事件响应也是防御机制中的重要组成部分。

  天地和兴工控安全研究院翻译整理,参考来源:SCMagazine https://dwz.cn/AZEeIAk8

 

  (二)美国CISA警告勒索软件攻击影响天然气管道运营

  网络安全和基础设施安全局(CISA)警告美国关键基础设施运营商最近发生了勒索软件攻击,该攻击影响了天然气压缩设施。网络安全和基础架构安全局(CISA)对影响天然气压缩设施运营技术(OT)网络的控制和通信资产的网络攻击做出了回应。网络威胁参与者使用了一个Spearphishing Link,以在转向其OT网络之前获得对该组织信息技术网络的初始访问权限。攻击者随后部署了商品勒索软件,以加密两个网络上的影响数据。 OT网络上出现可用性下降的特定资产,包括人机界面HMI、数据历史信息和轮询服务器。

  攻击者最初发起了Spearphishing Link攻击,以渗透到目标网络,然后转向OT网络。这是可能的,因为受害者无法在IT和OT网络之间实施分段。然后,攻击者部署了勒索软件,对IT和OT网络上的文件进行了加密,从而导致人机界面(HMI),数据历史信息和轮询服务器的“可用性下降”。

  一旦网络被勒索软件感染,内部资产将无法读取和汇总来自底层OT设备的实时操作数据,从而导致操作人员无法及时发现。

  根据警报,感染不会影响受影响的网络上的任何可编程逻辑控制器(PLC),因为该恶意软件被设计成只感染 Windows设备,并且该组织在攻击期间的任何时候都没有失去对操作的控制。

  针对这一事件,目标组织决定实施有计划有控制地停机操作大约两天。该事件造成了生产力和收入的损失,之后又恢复了正常的运作。

  CISA警报提供了规划和业务缓解措施,以及关键基础设施部门的组织应该实施的技术和体系结构缓解措施,以避免类似的勒索软件攻击。

  尽管攻击对一个控制设备的操作产生的直接影响有限,但由于管道传输的依赖性,地理位置上不同的压缩设备也不得不停止操作。网络攻击导致整个管道系统瘫痪了大约两天。

  天地和兴工控安全研究院翻译整理,参考来源:SECURITY AFFAIRS https://dwz.cn/xCURauGj

 

  (三)导致乌克兰停电的恶意软件在暗网中传播

  安全公司Venafi的网络专家发现了曾在2015年攻击乌克兰发电厂的复杂后门恶意软件技术,并发现该软件在暗网社区中广泛传播。

  该恶意软件专门针对SSH密钥为攻击目标,SSH密钥旨在保护机器之间通信的远程命令,固对于保护云工作负载、VPN链接、连接IoT设备等都至关重要。

  Venafi警告说,单个受到破坏的SSH密钥可能使攻击者可以访问关键任务系统,从而在不被发现的情况下传播恶意软件或破坏过程。作为最近的升级,恶意软件现在可以将攻击者的SSH密钥添加到受害计算机上的授权密钥文件列表中(添加为受信任密钥)。恶意软件使用的另一种技术是强行强制执行弱SSH身份验证,以获取访问权限并在系统网络中横向移动。

  Venafi安全专家指出,在过去的一年中,TrickBot、加密矿活动CryptoSink、Linux Worm和Skidmap已对这种技术进行了测试和验证。但是,BlackEnergy帮派使用的后门SSH服务器所造成的攻击远远超出了乌克兰的能力,该服务器在乌克兰的部分地区造成了大规模停电。

  SSH密钥是当今远程用户身份验证系统中最关键的组件之一,因此,如果使用不当,将成为有力武器。Venafi的威胁情报专家Yana Blachman表示,“到目前为止,只有最先进的、资金充足的黑客团体已经具备这种能力的。现在,我们看到了“滴流”效应,其中SSH功能正在商品化。随着SSH密钥的商品化,攻击者将尝试通过专用渠道将其出售给更复杂且受赞助的攻击者(如国家威胁者)进行间谍活动或网络战,通过其所访问的后门获利。

  为了应对此类威胁,组织需要清楚地了解其系统的运行方式,并为企业中所有授权的SSH密钥提供保护,以防止它们被劫持。组织的安全基础结构必须承受攻击者通过立即阻止它们将自己的恶意SSH计算机标识插入系统的尝试。

  天地和兴工控安全研究院翻译整理,参考来源:infosecurityMagazine https://dwz.cn/fvw2Nagz

 

  (四)伊朗攻击组织持续攻击VPN服务器并在目标网络中植入后门

  2019年是许多企业使用的VPN服务器中暴露重大安全漏洞较多的一年,例如Pulse Secure、Palo Alto Networks、Fortinet和Citrix的提供的VPN服务器。以色列网络安全公司ClearSky今年2月16日发布的报告显示,伊朗政府支持的攻击组织在去年首次利用VPN漏洞渗透到世界各地的许多公司中,并在这些公司网络中植入了后门。攻击组织主要瞄准了IT、电信、石油和天然气、航空、政府和安全行业类的公司。报告结合MITRE的ATT@CK威胁框架对攻击活动的TTPs进行了深入分析,根据已有证据对攻击组织进行了归因,特别是强调了攻击者利用漏洞的快速能力、协同攻击战术、开源和定制恶意软件和渗透工具的能力、可能实施数据清除的风险等。特别要引起注意的是,攻击组织老练的手法和成熟的流程,从初始突破、开发和维护通往目标组织的访问路径、窃取目标组织的敏感信息、保持长期潜伏能力到利用供应链攻陷其他公司,其攻击基础设施逐步扩展丰富。这种攻击手法对安全防御者提出了很大的挑战,正如报告中报述,“在被攻陷的网络中识别出攻击者所需的时间很长,在几个月之间甚至遥遥无期。组织现有的监控能力要想识别和阻止通过远程通信工具进来的攻击者,相当困难甚至不可能”。

  天地和兴工控安全研究院翻译整理,参考来源:ClearSky https://dwz.cn/hHSOhwMC

 

  (五)带外控制台使工业资产面临风险

  近日安全公司Pen Test Partners的研究人员警告说,脆弱的、未得到适当保护的带外控制台OOB会将船只、钻机、远程岸基设施、甚至是移动车辆暴露给攻击者。

  Pen Test Partners的Ken Munro表示,在设备故障或卫星连接中断的情况下,OOB管理的使用非常有用,特别是与必须乘飞机去解决这种情况相比,OOB管理的成本大大降低,可现场使用的OOB控制台可确保通过备用卫星通信连接快速解决事件。但是这可能导致保护不佳的OOB控制台一直暴露在互联网上。

  Uplogix 3200设备是一个OOB控制台,可被发现链接到了公共互联网。其保护密码的能力很差(CVE-2019-12873),并且已在四年前达到EOL。因此对该设备拥有者存在很大的风险。通常,需要对设备进行物理访问才能恢复凭据,但是凭据经常在站点和转售的设备之间重复使用,更不用说凭据薄弱会使设备容易受到暴力攻击。

  Munro表示,“暴力可能占用大量带宽,高延迟连接上占用大量宽带,连接成本很高。Ping响应可能需要700毫秒或更长时间。”

  Shodan搜索显示,有50多种设备已连接到互联网,其中大多数在美国。研究人员认为,鉴于连接成本高昂,对它们的攻击可能会导致设备受损或对受害者造成巨额费用。但是,如果保护不当,使用蜂窝数据的OOB管理设备也可能成为攻击目标。 例如,eWon Flexy物联网路由器使用默认凭据(adm / adm),对安全密钥的保护较差,并且还公开了加密的VPN私有证书。研究人员说,大约有3500种这样的设备可以通过公共Internet访问。

  Pen Test Partners的Nigel Hearne透露,在将OOB控制台保持在网络之外(在NAT之后)并确保使用强大的凭据可以降低风险的同时,还有许多其他问题会整体影响海上安全。

  在过去的一年中,研究人员注意到反复出现的问题,例如缺乏对IT和OT之间的理解和交互,故意绕过安全功能,不良的配置和管理以及海事技术供应商提供的“可怕”安全性。在2019年对船舶和钻机进行笔式测试期间,研究人员发现了很多问题,例如易受攻击的特定于海事的安全产品、机载网络的文档记录不完善、连接至关键系统的Wi-Fi接入点、双宿主PC桥接网络、供应商远程访问系统仍在使用密码重用、默认凭据和缺乏适当的修补程序。

  天地和兴工控安全研究院翻译整理,参考来源:安全周刊 https://dwz.cn/oKnM7J1p

 

  (六)美国政府更新有关朝鲜恶意软件的信息

  近日,美国联邦调查局FBI和网络安全与基础设施安全局CISA发布了有关朝鲜恶意软件的新信息,其中包含六份有关朝鲜恶意网络活动的新的和更新的恶意软件分析报告MAR。这些MAR均旨在为组织提供通过手动逆向工程获取的详细的恶意软件分析信息,帮助网络防御者检测和减少受到HIDDEN COBRA恶意网络活动的影响,因为美国政府指的是朝鲜政府的恶意活动。

  CISA敦促用户和管理员仔细检查今天发布的七个MAR:

  AR20-045A — BISTROMATH (全功能RAT)

  AR20–045B — SLICKSHOES (装有Themida的恶意软件滴管)

  AR20-045C — CROWDEDFLOUNDER (远程访问木马加载程序)

  AR20-045D — HOTCROISSANT (具有后门功能的信标植入物)

  AR20-045E — ARTFULPIE (从硬编码的URL加载并执行DLL)

  AR20-045F — BUFFETLINE (带有后门功能的信标植入物)

  AR20-045G — HOPLIGHT (后门木马)

  “最近7个MAR中包含的信息以及下面链接的先前工作是美国国土安全部(DHS),美国国防部(DOD)和FBI提供有关朝鲜政府网络参与者使用的工具和基础架构的技术细节。每个MAR都有详细的恶意软件描述,建议的响应措施和建议的缓解技术。美国网络司令部还向VirusTotal上传了恶意软件样本,称该恶意软件目前被DPRK网络参与者用于网络钓鱼和远程访问,以进行非法活动,窃取资金并逃避制裁。

  在2019年,网络安全与基础设施安全局CISA和美国联邦调查局还公布了一个名为 electro fish 的恶意软件,用于朝鲜的 lazarus 组织收集和窃取受害者的数据,以及 lazarus hoplight 木马的数据,该木马MAR已更新了。

  CISA建议各组织遵循这些最佳做法,以加强其安全态势:

  禁用文件和打印机共享服务。如果需要这些服务,请使用强密码或Active Directory身份验证。

  •限制用户安装和运行不需要的软件应用程序的能力(权限)。除非需要,否则请勿将用户添加到本地管理员组。

  •实施严格的密码策略并实施常规密码更改。

  •在打开电子邮件附件时,即使要使用附件并且发件人是已知的,也请务必谨慎。

  •在代理工作站上启用个人防火墙,该工作站被配置为拒绝未经请求的连接请求。

  •在代理工作站和服务器上禁用不必要的服务。

  •扫描并删除可疑的电子邮件附件;确保扫描的附件是其“真实文件类型”(即,扩展名与文件头匹配)。

  •监控用户的网络浏览习惯;限制对内容不利的网站的访问。

  •使用可移动媒体(例如USB拇指驱动器,外部驱动器,CD等)时,请务必小心。

  •执行之前,请扫描从Internet下载的所有软件。

  •保持对最新威胁的态势感知,并实施适当的访问控制列表(ACL)。

  天地和兴工控安全研究院翻译整理,参考来源:BLEEPINGCOMPUTER https://dwz.cn/lT99BQrG

 

  (七)危险的外围设备:Windows和Linux计算机内部的重大隐患

  2020年2月18日,Eclypsium公司在其网站发布了最新的研究成果,披露了计算机外围设备中的固件安全问题可能对计算机带来的极大安全隐患。《安全周刊》也以“具有未签名固件的外围设备使Windows、Linux计算机受到攻击”为题进行了报道。2017年披露的方程式组织在HDD中植入恶意软件的攻击手法,向业界展示了固件被黑客入侵的现实以及外设中未签名的固件所带来的潜在危险。尽管最近几年固件安全受到一定的关注,但相关研究表明,许多行业仍对未签名固件的风险视而不见或重视不够。Eclypsium对Lenovo、Dell、HP等企业生产的WiFi适配器、USB集线器、触控板和相机中发现了大量未签名的固件。毫无疑问,这些问题可能会严重破坏设备的安全性和操作,并且往往很难修复。破坏诸如网卡、硬盘驱动器和键盘等其他外围设备之类的组件可以完全禁用设备,或者为攻击者窃取数据、投递勒索软件提供便利,而且固件的加载几乎脱离了操作操作系统和安全防御的监控,导致固件成为安全的盲区或死角。Eclypsium的这项新研究表明,这些弱点在笔记本电脑和服务器的各个组件中普遍存在,为恶意攻击提供了多种可能途径。

  天地和兴工控安全研究院翻译整理,参考来源:Eclypsium https://dwz.cn/iUixISTW

 

  (八)严重漏洞使SonicWall SMA设备遭受远程攻击

  《安全周刊》 爱德华·科瓦克斯(Eduard Kovacs)2020年2月18日报道,研究人员在SonicWall制造的安全移动访问(SMA)和安全远程访问(SRA)设备中发现了几个严重漏洞。供应商已经发布了修补缺陷的软件更新。

  去年,研究人员发现Pulse Secure、Fortinet和Palo Alto Networks的企业VPN产品受到以下因素的影响:无需身份验证即可远程利用的严重漏洞。尽管受影响的供应商迅速发布了补丁程序,但许多系统未及时更新补丁仍易受攻击,恶意行为体包括国家支持的团体,已经在他们攻击活动中的利用了这些漏洞。

  披露了这些漏洞之后,瑞士网络安全公司SCRT的Alain Mowat决定分析其他企业VPN产品,以查看它们是否包含类似的漏洞。他分析了SonicWall的SRA和SMA产品,确认了总共6个漏洞,其中包括无需身份验证即可远程利用的漏洞。

  SonicWall上个月发布了一份通报,通知客户其SSL-VPN产品不受去年发现的Palo Alto Networks漏洞之一的影响。但是,Mowat发现该公司的SMA 100系列和SRA设备还受到其他漏洞的影响。

  根据SonicWall的说法,其SMA设备“通过单点登录提供细粒度的访问控制策略引擎、上下文感知的设备授权、应用程序级VPN和高级身份验证,可以保护企业网络免受此类恶意请求的攻击,这些恶意攻击涉及旨在利用可利用参数/格式字符串的目标获得未经授权的访问。”

  Mowat发现这些设备包含3个漏洞,无需身份验证即可远程利用这些漏洞。其中最严重的是CVE-2019-7482,这是严重的堆栈缓冲区溢出,可以用来执行任意代码。

  研究人员发现的高严重性漏洞包括:未经身份验证的路径遍历,允许攻击者测试系统上文件的存在(CVE-2019-7483);以及SQL注入漏洞,允许未经身份验证的攻击者可获得对未授权资源的只读访问权限(CVE-2019-7481)。

  另有2个安全漏洞已被归类为高严重性。它们都允许任意代码执行,但是它们只能由经过身份验证的攻击者利用。最后一个漏洞是已认证的SQL注入问题,已被评为中等严重性。

  SonicWall 于2019年12月发布了针对Mowat发现的漏洞的公告,但这些公告仅涉及SMA设备。SRA设备在该公司的网站上列为旧版。SonicWall SMA100 9.0.0.4和9.0.0.5修补了研究人员发现的漏洞。

  Mowat在其博客发布文章描述了他的发现,但尚未发布任何PoC漏洞,因为他发现仍有许多互联网暴露的SonicWall设备尚未修补。

  天地和兴工控安全研究院翻译整理,参考来源:SecurityWeek https://dwz.cn/bmpO9ieR

 

  (九)黑客可控制卫星甚至将其变为攻击武器

  卫星作为太空系统的重要资产,其运营、维护事关众多关键基础设施的正常运营,而且在数字化进程的推动下,关键基础设施对卫星系统的依赖度更高。例如,交通运输行业依赖全球定位系统(GPS)卫星,军事情报依赖侦察卫星,农业和环境保护依赖气象卫星,通信行业依赖空间卫星系统进行全球通信。作为关键基础设施防护供应链上的重要一环,卫星系统的网络安全问题日益受到国防、军工和资产运营方的高度关注。丹佛大学博士后研究员 William Akoto近期发表文章,指出了当前美国的卫星网络安全问题,强调已经到了刻不容缓的地步。正如工业控制系统运营商和制造商在其系统中使用了专有协议,并坚持认为他们的协议已经十分复杂且难以破解,系统不会被攻击者攻陷;卫星系统的研发和运营同样陷入了这种僵化的思维。黑客攻击卫星已经不是什么耸人听闻的事件。相关攻击卫星的案例也证实,这种想法百害而无一利。William Akoto指出,卫星系统的网空安全问题面临诸多挑战,包括它可能成为行业的单点故障的担忧、缺乏网络安全标准和法规、供应链的复杂性和系统生命周期的冗长、商业化技术的采用、安全意识和预算投入不足,以及高度专业化的人才需求和资源限制之间的矛盾,等等。这些现实的挑战和问题,成为太空系统安全的共性问题,必须引起相关方面的重视。

  天地和兴工控安全研究院翻译整理,参考来源:theConversation https://dwz.cn/0bm9ttMC

 

  (十)多家知名企业遭受针对性网络钓鱼攻击

  近日MalwareHunterTeam发现一个新型网络钓鱼活动,该钓鱼活动针对二十七家知名企业,其包含特制的SLK附件的电子邮件伪装成该公司的供应商或客户,可窃取公司机密和私密财务文件,并进行勒索攻击。

  受攻击的企业包括A2B Australia Limited、Agilent Technologies、Asarco LLC、AusNet Services、Barnes-Jewish Hospital、Beach Energy、Bega Cheese、Boc Group Inc、Buhler Industries、Cerner Corporation、Columbia Sportswear Company、Conocophillips Company、Cummins、Eastman Chemical Company、eClinicalWorks、Glad Products Company、Hasbro、Hydratight、Iridium、J. C. Penney Company、Messer LLC、MutualBank 、Pact Group、R1 RCM、Sappi North America、SAS Institute、Vibracoustic。涉及到软件、医疗设备、石油、消费产品、机械、服装、化学制品、零售、银行业等多个行业。

  向目标公司发送钓鱼电子邮件时,攻击者假冒成该公司的供应商或客户之一来执行业务交易。

  

 

      电子邮件附带一个.slk文件,如Messer LLC.slk。SLK文件是一种Microsoft文件格式,用于在Microsoft Excel电子表格之间共享数据,因此SLK文件将显示为带有Excel图标。打开附件SLK文件后,系统将提示用户“启用编辑”和“启用内容”以正确显示电子表格。如果启用了内容,则将执行SLK文件中的命令,该命令通常用于将数据插入电子表格的指定单元格中。要在电子表格之间共享数据,SLK文件可以使用EEXEC Excel命令在计算机上执行命令。恶意SLK附件会使用EEXEC命令在%Temp%文件夹中创建一个批处理文件,然后执行它。

  

 

      该批处理文件将尝试使用Msiexec启动存储在远程站点上的MSI文件。这个站点不再活跃,有效负载是NetSupport Manager RAT。 在受害者计算机上安装NetSupport Manager后,攻击者即可远程控制计算机并访问受害者的公司网络。这将使攻击者能够感染网络上的其他主机,并获得具有管理员权限的用户的访问权限。一旦获得管理员特权,攻击者就可以完全破坏网络并安装勒索软件、执行BEC骗局或窃取数据。

  天地和兴工控安全研究院翻译整理,参考来源:BleepingComputer https://dwz.cn/VWTtM20C

 

  (十一)近一半联网医疗设备易受到BlueKeep黑客攻击

  一份研究报告表明,医疗设备中的漏洞可能使医院的患者受到黑客的威胁,但是有一些简单的方法可以防止这些攻击。联网医疗设备遭受BlueKeep攻击的可能性是医院网络上其他设备的两倍,这使患者和医务人员遭受网络攻击的额外风险。当医疗保健已经成为黑客活动的热门目标时,这尤其令人担忧。

  BlueKeep是去年发现的Microsoft远程桌面协议(RDP)服务中的一个漏洞,影响Windows 7,Windows Server 2008 R2和Windows Server 2008。微软于2019年5月发布了针对BlueKeep的补丁程序,包括美国国家安全局(NSA)和英国国家网络安全中心(NCSC)在内的安全机构发布了有关修补易受攻击系统的紧急警告。

  人们担心BlueKeep可能会以与EternalBlue类似的方式部署为蠕虫-这种漏洞推动了 WannaCry。这次网络攻击影响了世界各地的组织,但最引人注目的受害者之一是英国的国家卫生局,该事件使许多医院的网络瘫痪。

  根据医疗保健网络安全公司CyberMDX的研究人员的最新报告,在典型的医院中,22%的Windows设备暴露于BlueKeep,因为它们尚未收到相关的补丁程序。而对于在Windows上运行的联网医疗设备而言,这一数字上升到了45%,这意味着几乎一半是易受攻击的。

  医院网络上的连接设备可以包括放射设备,监视器,X射线和超声设备,麻醉机等。如果不对这些设备进行修补,则破坏性的网络攻击可能会搜索出容易受到BlueKeep攻击的机器,从而可能使医院网络和患者处于危险之中。在2019年,至少有10家医院因网络攻击而被迫拒绝患者。网络攻击的结果,即使医院不需要将患者拒之门外,网络不安全也会严重影响医疗服务。

  但是,打补丁对于医院来说是一个特殊的挑战,因为在许多情况下,设备必须保持运行状态以提供患者护理,并且不能无法脱机应用更新。医院网络也是如此庞大,以至于IT部门很容易丢失资产的跟踪,这可能导致设备丢失补丁。

  医院面临的主要问题之一是许多设备被归类为过时设备:例如,Windows 7易受BlueKeep的攻击,并且不再受到 Microsoft 的支持,但在医院网络中仍然很常见。Windows 7和其他不支持的操作系统中发现的任何进一步漏洞都不能保证获得安全补丁,从而使网络未来可能面临进一步的风险。

  如果让医疗设备在医院网络上的旧系统上运行至关重要,研究人员建议将这些设备与网络的其余部分隔离开,或者在可能的情况下与外部互联网隔离。通过NAC解决方案或内部防火墙阻止进入网络或VLAN级别上操作上不必要的端口会很有帮助,在极少数情况下,当设备无法打补丁并且可用的缓解措施不切实际或不足时,应考虑取消联网。

  也许最重要的是,当可以修补设备时,这应该尽快发生,因为BlueKeep和其他漏洞,会利用尚未使用实时补丁程序进行更新的网络来抵御攻击。及时修补这些系统对预防事件的发生大有帮助。

  天地和兴工控安全研究院翻译整理,参考来源:ZDNet https://dwz.cn/XV6wjHqV

 

  (十二)IOTA基金会在遭到黑客入侵后关闭整个网络

  2020年2月12日,IOTA基金会在其官方Twitter帐户上发布消息称,有黑客利用官方IOTA钱包应用程序中的漏洞窃取用户资金,故其本周关闭了整个网络。IOTA基金会IOTA加密货币背后的非营利组织

  根据详细描述该事件的状态页,在收到有关黑客从用户钱包中窃取资金的报告后的25分钟内,IOTA基金会关闭了“协调器”,这是IOTA网络中的一个节点,对任何IOTA货币都加盖了最终的认可印章交易。前所未有的举动旨在防止黑客执行新的盗窃行为,但也具有有效关闭整个IOTA加密货币的副作用。

  在本文撰写之时,Coordinator节点以及IOTA网络仍处于关闭状态,而IOTA成员正在调查这种黑客行为。

  IOTA成员表示,黑客利用了由IOTA Foundation开发的移动和桌面钱包应用Trinity的 “第三方集成”中的漏洞。

  根据IOTA团队确认的最新证据,相信黑客将至少10个高价值IOTA帐户作为目标,并利用Trinity漏洞窃取资金,尽管IOTA团队尚未确认被盗资金的价值,但公开报告的总价值约为160万美元。。

  该基金会目前正在为Trinity钱包应用程序进行更新,以修补在hack中利用的漏洞。同时,IOTA成员建议用户在发布更新并将其安装在设备上之前不要打开钱包。

  根据货币的市值大小,IOTA目前在CoinMarketCap上排名第23位。IOTA价格从周三的每IOTA代币0.35美元跌至今天的0.29美元。

  天地和兴工控安全研究院翻译整理,参考来源:BLEEPINGCOMPUTER https://dwz.cn/FZPKv8BJ

 

  (十三)思科修复了智能解决方案中多个关键漏洞

  近日思科发布了针对其产品的16个漏洞的补丁程序,包括1个严重级别、6个高危级别和9个中等风险级别。

  该严重漏洞影响了思科的Smart Software Manager On-Prem许可解决方案(以前叫做Smart Software Manager Satellite),并且可能允许未经身份验证的远程攻击者以高特权访问系统数据。思科解释说,此问题是由于使用默认和静态密码的系统帐户导致的,但这不受系统管理员的控制。攻击者可能使用该帐户获得对系统数据(包括受影响设备的配置)的读写访问权限。不过思科解释说,他们将无法完全控制该设备。该漏洞编号为CVE-2020-3158,CVSS评分为9.8,仅在启用了高可用性(HA)功能的情况下,才会影响早于7-202001的Cisco Smart Software Manager On-Prem版本。

  思科修复的第一个高危漏洞编号为CVE-2019-1888,影响到Unified Contact Center Express(Unified CCX),并且可能允许具有有效管理凭据的攻击者上载任意文件并在基础操作系统上执行命令。 另一个高危漏洞CVE-2019-1736,UCS C系列机架服务器中的高危漏洞可能允许经过身份验证的物理攻击者绕过UEFI安全启动验证检查,并将自己的软件映像加载到受影响的设备上。如果Firepower管理中心(FMC)1000、2500和4500,Secure Network Server 3500和3600系列设备以及威胁网格5504设备运行易受攻击的BIOS版本和易受攻击的集成管理控制器(IMC)固件,则该问题会受到影响。思科还修复了适用于电子邮件安全设备(ESA)和内容安全管理设备(SMA)的AsyncOS软件的电子邮件过滤功能中的漏洞(CVE-2019-1983),该漏洞可能允许未经身份验证的远程攻击者使进程崩溃并导致拒绝。服务(DoS)。用于ESA的AsyncOS软件(CVE-2019-1947)中的另一个缺陷可以在未经身份验证的情况下进行远程利用,以将CPU利用率提高到100%,从而导致拒绝服务(DoS)状态。其他两个高危漏洞影响到思科数据中心网络管理器(DCNM)。第一个是REST API端点(CVE-2020-3112)中的特权提升,第二个是基于Web的管理界面(CVE-2020-3114)中的跨站点请求伪造(CSRF)错误。

  思科本周修复的中等风险缺陷包括:Unified Contact Center Enterprise中的DoS错误,Enterprise NFV基础结构软件(NFVIS)中的远程代码执行,Identity Services Engine中的跨站点脚本(XSS),Finesse中的XSS,AsyncOS软件中的DoS适用于ESA,Cloud Web Security(CWS)中的SQL注入,Meeting Server中的DoS,Windows版AnyConnect Secure Mobility Client中的目录路径处理不正确以及Data Center Network Manager(DCNM)中的XSS。

  天地和兴工控安全研究院翻译整理,参考来源:Security Week https://dwz.cn/fDuJooAc

 

  (十四)美国政府在明年国防部预算中要求拨款98亿美元用于网络建设

  美国政府在明年的国防部预算中要求拨款98亿美元用于网络建设,这一数据证实了第五次战争对美国政府的战略重要性。该预算案于2月10日发布,要求在2021财年用于网络活动的预算为98亿美元,而之前在2020财年的预算案约为96亿美元。

  美国政府在网络空间领域的投资(98亿美元)包括:

  • 网络安全– 54亿美元

  • 网络空间+运营– 38亿美元

  • 网络空间科学与技术– 5.56亿美元

  • 除了98亿美元之外,预算资金还包括:–人工智能– 8.41亿美元

  每个项目的详细信息是:

  54亿用于网络安全– 54亿美元的网络安全预算旨在提高跨域解决方案,下一代加密解决方案和网络现代化的功能。它旨在降低对网络,系统和信息进行网络攻击的风险。

  预算包括:

  • 6.78亿美元用于密码现代化和下一代平台;

  • 2.962亿美元用于保护信息和共享点;

  • 1.985亿美元用于实现身份和证书访问管理(ICAM)现代化。

  • 6,720万美元用于合规连接(C2C)和自动连续端点监测(ACEM);

  • 6,980万美元用于关键基础设施。

  38亿美元用于运营。 这项投资将涵盖进攻和防御行动,并通过为计划和活动提供资金来支持网络战略的实施。预算包括:

  • 4.316亿美元用于与盟友和合作伙伴合作开展“追捕”防御性网络空间行动,以打击恶意的网络行为者。

  • 2.386亿美元用于发展整合联合,联合和机构间指挥与控制能力,以加强多领域作战能力。

  • 4.604亿美元用于特派团保障活动,使国防部能更好地了解其关键任务的风险,提高应变能力并采取缓解措施,以减少关键资产的脆弱性。

  该文件还包括22亿美元,以支持网络任务部队。

  天地和兴工控安全研究院翻译整理,参考来源:SECURITY AFFAIRS https://dwz.cn/Wn3ioo3n

 

  (十五)戴尔以20.75亿美元出售其网络安全业务RSA

  戴尔科技2020年2月18日表示,作为精简业务的一部分,该公司将以20.75亿美元的现金交易,将旗下网络安全业务RSA出售给由私募公司Symphony Technology Group、安大略省教师退休基金会和荷兰养老基金公司Alpinvest Partners牵头的财团。

  该交易包括购买RSA Archer,RSA NetWitness平台,RSA SecurID,RSA Fraud and Risk Intelligence和RSA Conference,预计将在未来六至九个月内完成。

  RSA为风险、安全和欺诈团队提供了全面管理数字风险的能力,包括威胁检测和响应、身份和访问管理、集成风险管理和全渠道欺诈预防。如今,已有超过12,500个客户依靠RSA来实现其数字转换,应对日益先进的网络威胁并适应更复杂的数字法规。RSA Conference是世界上最大的安全会议,知名专家汇聚一堂,讨论最重要的网络安全趋势、挑战、解决方案和创新。

  Symphony Technology Group执行合伙人William Chisholm表示:“作为世界一流的安全性品牌之一,RSA代表了解决数字化转型所带来的一些快速发展的客户挑战的绝好机会。我们很高兴并全心致力于最大限度地发挥RSA的才能,专业知识和巨大的增长潜力的力量,并继续执行RSA的战略,以整体方法为客户提供数字风险管理服务。”

  戴尔技术首席运营官兼副董事长杰夫·克拉克(Jeff Clarke)表示,“对于戴尔、RSA和我们的集体客户和合作伙伴而言,这是正确的长期战略,此次交易将进一步简化我们的业务和产品组合。它还使Dell Technologies可以专注于我们在基础设施、平台和设备中构建自动化和智能安全性的战略,以保持数据的安全性、保护性和弹性。”

  天地和兴工控安全研究院翻译整理,参考来源:戴尔科技 https://dwz.cn/uZ6pJ7cj

关键词:

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号