安全研究
全部分类

关键信息基础设施安全动态周报【2019年第8期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2019-09-26 16:18
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2019年第8期】天地和兴播报。

关键信息基础设施安全动态周报【2019年第8期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2019年第8期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2019-09-26 16:18
  • 访问量:
详情

  目 录

  第一章国内关键信息基础设施安全动态简讯

  (一)Phpstudy软件持续控制盗取信息,幕后黑手难逃法网

  (二)网络安全周:聚焦关键信息基础设施安全构建一体化保障体系

  (三)信通院发布《中国网络安全产业白皮书(2019年) 》

  (四)台湾民众党官网遭黑客入侵,党员注册系统被瘫痪

  第二章海外关键信息基础设施安全动态简讯

  (一)诺基亚员工意外泄露了俄罗斯电信运营商SORM监控设备的秘密

  (二)ICS-ALERT-19-225-01:关于三菱电机欧洲有限公司的smartRTU和 INEA ME-RTU

  (三)新威胁组织TortoiseShell Group针对中东地区IT供应商的供应链发起攻击

  (四)在公网的PACS服务器上发现了超过4亿张医学放射图像

  (五)Elasticsearch服务器泄露了包括670万儿童在内的厄瓜多尔公民数据

  第一章 国内关键信息基础设施安全动态简讯

  (一)Phpstudy软件持续控制盗取信息,幕后黑手难逃法网

  Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国内有着近百万PHP语言学习者、开发者用户。

  正是这样一款公益性软件,2018年12月4日,西湖区公安分局网警大队接报案称,某公司发现公司内有20余台计算机被执行危险命令,疑似远程控制抓取账号密码等计算机数据回传大量敏感信息。

  西湖网警立即对该案立案侦查,并在市网警分局牵头下,组织精干警力成立专案组迅速开展侦查取证工作。

  专案组首先通过专业技术溯源进行分析,查明了数据回传的信息种类、原理方法、存储位置,并聘请了第三方鉴定机构对软件中的“后门”进行司法鉴定,鉴定结果是该“后门”文件具有控制计算机的功能,嫌疑人已通过该后门远程控制下载运行脚本实现收集用户个人信息。

  专案组从最直接的获利者下手开展分析。在侦查的过程中,警方发现该服务器域名曾被使用过,通过该渠道抽丝剥茧,层层溯源,最终明确了主要犯罪嫌疑人马某、杨某、周某,并查明三人有大量不明收入和分赃的可疑情况。

  专案组经过缜密侦查,周全布置,于2019年1月4日至5日,兵分四路,分别在海南陵水、四川成都、重庆、广东广州抓获马某、杨某、谭某、周某某等7名犯罪嫌疑人,现场缴获大量涉案物品,并在嫌疑人的电子设备中找到了直接的犯罪证据。据统计,截止抓获时间,犯罪嫌疑人共非法控制计算机67万余台,非法获取账号密码类、聊天数据类、设备码类等数据10万余组。

  据主要犯罪嫌疑人马某供述,其于2016年编写了“后门”,使用黑客手段非法侵入了软件官网,篡改了软件安装包内容。该“后门”无法被杀毒软件扫描删除,并且藏匿于软件某功能性代码中,极难被发现。

  马某此举是想以此方式炫耀其个人技巧,掌握使用者的相关信息。在专案组的侦查过程中,同时发现马某等人通过分析“盗取”的数据,得到了多个境外网站的管理后台账号密码,并通过修改服务器数据的方式实施诈骗,非法牟利共计600余万元。

  专案组专程前往安徽合肥,对Phpstudy软件的制作人及所属公司开展调查,并结合犯罪嫌疑人的供述申辩及客观证据,排除了软件作者和所属公司的犯罪嫌疑。公安机关已依法封存扣押了涉案的服务器及电子设备,并督促该软件所属公司对软件进行整改。

  目前该案已移送检察院起诉。

  本文版权归原作者所有,参考来源:杭州公安

  (二)网络安全周:聚焦关键信息基础设施安全构建一体化保障体系

  2019年9月17日,2019国家网络安全宣传周“关键信息基础设施安全保护论坛”在天津举行,与会业内专家从政策、防护技术和行业实践等多方面展开,全面介绍我国当前关键信息基础设施保护和检查工作政策、标准、实践等内容,探讨在金融、能源、电力、通信、交通等领域关键信息基础设施面临最新变化,关键信息基础设施的安全检查评估已势在必行。

  关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。但基础设施中系统的大规模集成、互联使得基础设施的脆弱性和安全威胁不再是简单的线性叠加,在有组织的、高强度攻击面前,关键信息基础设施面临着巨大挑战。本次论坛以“关键信息基础设施安全保护与检查评估”为主题,由天津市网信办、国家计算机网络应急技术处理协调中心主办,国家计算机网络应急技术处理协调中心天津分中心承办,奇安信集团协办。

  CNCERT关键信息基础设施安全保护专家杨鹏表示,通过技术与管理手段相结合,构建关键信息基础设施安全管理秩序,维护网络空间有序运行。一方面,综合运用管理、技术、法律、宣传等手段,加强内部自身能力建设,如围绕识别、保护、监测、预警、检测、响应、处置等环节,建立与管理思路配套的技术平台;另一方面,建设分层次防御体系,依托全社会力量,构建关键信息基础设施外部保护屏障。

  中国人民银行网络安全专家袁慧萍根据银行业关键信息基础设施安全保护实践认为,关键信息基础设施保护应从五个方向入手,如坚持自主可控,持续改进风险管理模式,健全跨部门互联网协同安全体系,持续完善配置基线档案管理制度体系形成等保测评问题整改长效机制,关注终端安全管理等。

  袁慧萍说:“超过85%的网络安全事件威胁来自终端,对于终端安全的管理需要更加关注,建立一体化终端安全管理系统,统一策略管控、统一资产管理、统一数据展示。实现国产化、一体化、策略化、强准化、可视化。”

  CNCERT网络安全检查测评专家陈亮表示,在落实关键信息基础设施网络安全检查中,应避免可能出现的检查对象不清、监管职责模糊、检查交叉重复、走形式走过场、只检查不负责等问题,各行业主管部门应依据《网络安全法》认真梳理自有(含下属单位)及主管监管范围内的网络运营者,组织开展抽查检,确定检查对象、明确检查事项、实施检查人员,可视工作需要委托专业检查服务机构开展网络安全检查。

  随着《网络安全法》等相关法律政策的要求以及网络安全的新形势,针对关键信息基础设施的安全风险进行检测评估势在必行。在论坛上,与会专家,就关键信息基础设施安全检查政策、标准及评估试点进行了分享与交流。

  此外,关键信息基础设施安全检查评估技术支撑平台也在本次论坛上进行了发布。据了解由CNCERT组织研发的关键信息基础设施网络安全检查评估技术支撑平台,通过资产管理、脆弱性评估、威胁检测等手段完成关键信息基础设施的安全检查、风险评估、可视化呈现。同时,通过与国家监测平台的威胁情报、知识库对接,动态实时的完成应急协同、威胁情报接入、信息流转、防护规则更新等信息交换,做到关键信息基础设施网络安全风险的快速发现和处置协同闭环,帮助关键信息基础设施及时发现网络威胁,提升关键信息基础设施网络安全检查评估能力。

  本文版权归原作者所有,参考来源:人民网

  (三)信通院发布《中国网络安全产业白皮书(2019年) 》

  2019年9月18日,中国信息通信研究院(以下简称“中国信通院”)在第六届国家网络安全宣传周上发布《中国网络安全产业白皮书(2019年)》,中国信通院副院长王志勤对白皮书进行了现场解读。

  王志勤表示,坚实的网络安全产业实力,是网络空间繁荣稳定、保障有力的前提和基础。习近平总书记强调,没有网络安全就没有国家安全,要积极发展网络安全产业。为助力网络安全产业创新发展,中国信通院安全研究所自2015年起持续开展网络安全产业发展研究,相继发布了白皮书等系列研究成果。2019年,在延续前期工作基础上,联合21家业内相关企业共同编制了第四份网络安全产业白皮书。

  王志勤指出,全球网络安全产业规模平稳增长,2018年达到1119.88亿美元,增速为11.3%,创下自2016年以来的新高;网络安全服务与网络安全产品市场占比趋向五五分,云访问安全代理、数据安全、应用安全等类别增速领先;网络安全融资并购活动持续活跃,融资、并购活动分为达到408起、184起,涉及金额分别为64亿美元、157亿美元。

  随后,王志勤介绍了我国网络安全产业发展情况。根据中国信通院统计测算,2018年我国网络安全产业规模达到510.92亿元,较2017年增长19.2%,预计2019年达到631.29亿元。近年来,我国网络安全政策环境的持续优化,为产业发展提供了良好的制度环境。企业发展态势总体良好,从业企业近2900家。

  在热点技术方面,工业互联网安全产品和服务体系初步建立,政策导向增强驱动工业互联网安全步入发展战略机遇期;云安全发展态势持续向好,支持多云的安全解决方案、云内东西向安全或将成为发展重点;零信任安全框架落地实践逐步增加,新型身份管理和访问控制解决方案有望加速推出;人工智能赋能网络安全效用日益显现,机器学习技术在网络安全领域探索将进一步深化,自动化编排和响应应用前景可期;5G网络安全研发布局密集展开,虚拟化、云边协同等方向期待变革突破。

  最后,王志勤从六个方面对网络安全产业的发展前景进行了展望。一是政策红利持续释放有望激活产业动能;二是合规需求持续增强助力拓展市场空间;三是新兴产业蓬勃发展驱动安全创新变革;四是大型央企战略布局或将重塑产业格局;五是安全标准体系建设推进安全能力协同;六是职业技能培训竞赛助力人才队伍建设。

  未来,中国信通院安全所产业研究团队将继续专注于国际国内网络安全产业研究,并在威胁情报、智能感知、新型信任体系、互联网+安全等领域不断推出新的研究成果,同时保持开放合作的态度,欢迎更多产业界同仁参与到我们的研究工作中,丰富和完善我们的研究成果体系,为促进产业高质量、可持续发展贡献力量。

  本文版权归原作者所有,参考来源:中国信息通信研究院

  (四)台湾民众党官网遭黑客入侵,党员注册系统被瘫痪

  据台湾《联合报》报道,台北市长柯文哲日前成立台湾民众党,强调招收党员采云端作业,15日官网才刚刚上线,16日凌晨便遭到黑客入侵,通过简讯认证机制,瘫痪注册系统,逼得民众党只好先暂时关闭网页进行维护。

  该党发言人陈思宇表示,有心人士通过简讯验证机制,瘫痪注册系统,因此先暂时关闭网站,并调整简讯认证机制,等恢复正常,会再度开放使用。

  本文版权归原作者所有,参考来源:中国新闻网

  第二章 海外关键信息基础设施安全动态简讯

  (一)诺基亚员工意外泄露了俄罗斯电信运营商SORM监控设备的秘密

  外媒刚刚揭示了俄罗斯电信运营商机房中神秘的SORM 监控设备,据说它们被安插在各个城市的带锁房间,并且直连该国某些大型电信运营商的电话和互联网络。这些设备的大小与一台洗衣机相当,可容纳来自俄罗斯安全部门的特殊设备,收集来自数以百万计的用户的电话和信息。尽管有着相应的强制性法律要求,但这套系统的主要功能还是处于严格的保密状态。

  由目前已曝光的一些文件可知,这套系统和监控客户的电话、消息、数据和移动电话系统。据说这些文件是在诺基亚员工使用的无保护备份驱动器网络上找到的。这些文件是在Nokia Networks(前身为诺基亚-西门子通信公司)员工拥有的无保护备份驱动器上找到的,双方有着长达十年的合作关系,对 MTS 网络实施维护和升级,以确保其符合 SORM 标准。在发现了相关文件流出后,安全企业 UpGuard 网络风险研究主管 Chris Vickery 向诺基亚汇报了这一安全失误。在周三发布的一份报告中,UpGuard 称诺基亚在四天后找到了泄露来源。

  

诺基亚员工意外泄露了俄罗斯电信运营商SORM监控设备的秘密

 

  诺基亚发言人Katja Antila 在一份声明中称:“我司现任员工将包含旧工作文件的 USB 驱动器连接到了家用 PC 上,但由于错误的配置,导致其 PC 与 USB 驱动器无需身份验证,即可被互联网上的其他人所访问”。在注意到此事后,诺基亚已经与该名员工取得了联系、断开了机器的连接、并将其带回了公司,目前相关调查正在进行之中。据说本次暴露的数据接近 2TB,其中主要包含了来自诺基亚公司内部的文件。从外媒获悉的部分内容可知,Nokia Networks 参与了电信 / 互联网服务提供商提供的“合法拦截”项目。根据俄罗斯法律要求,大型电信运营商必须安装所谓的 SORM 设备。

  据悉,SORM 全称为“可操作活动调查系统”的首字母缩写,最初于 1995 年作为合法的拦截系统进行开发,允许俄罗斯联邦安全局(FSB)依法访问电信运营商的数据,涵盖通话记录等内容。过去十年,调整后的法规允许政府建立扩展到互联网服务提供商和网络公司,后者被迫安装了可以拦截网络流量和电子邮件的 SORM 设备,甚至有几家科技企业因未安装而遭到了俄罗斯互联网监管机构的处罚。事实上,大多数国家(包括英美)都有相关的法律要求电信运营商安装合法的拦截设备。不过 Nokia Networks 宣称其仅参与了其中的一部分,并且会在将设备售往有潜在风险地区时作出充分的合规性评估。

  本文版权归原作者所有,参考来源:cnBeta

  (二)ICS-ALERT-19-225-01:关于三菱电机欧洲有限公司的smartRTU和 INEA ME-RTU

  CISA发现一份包含若干漏洞利用代码的公开报告,这些漏洞可用于入侵三菱电机欧洲有限公司的smartRTU(V2.02或更早版本)和INEA ME-RTU(V3.0或更早版本)以及其他远程终端产品。根据该报告,存在多个可执行远程代码的漏洞,从而使黑客获得具有root权限。CISA已将该报告通知日本三菱电机,并要求它们确认漏洞并找出缓解措施。CISA发布此警告是为了提醒相关机构,确定基本缓解措施,以降低网络安全攻击的风险。

  该报告包含以下漏洞的漏洞详细信息和漏洞利用代码:

  

关于三菱电机欧洲有限公司

 

  这些漏洞被成功利用的话,攻击者就能使用root权限实现远程代码执行。

  相关的PoC和报告已发布在以下链接:https://www.mogozobo.com/?p = 3593

  CISA目前正在与供应商和安全研究人员协调以确定缓解措施,研究人员建议,在正式修复之前,可以采取以下措施:

  确保对设备适当的访问控制,以保护设备免受未经授权的网络访问;

  确保设备未暴露在因特网中或可从因特网访问;

  确保设备没有从公司或其他不受信任的网络中公开或访问;

  一旦供应商发布补丁,启动变更控制和测试流程。如果无法修补,请确保对易受攻击的设备有适当的控制和日志记录功能。

  CISA 建议:

  当需要远程访问时,请使用安全方法,例如使用虚拟专用网络(VPN)。如果确认VPN可能存在漏洞,请更新为最新版本。还要确认VPN与连接的设备一样安全

  CISA提醒各组织在部署防御措施之前进行适当的安全分析和风险评估。

  CISA还在us-cert.gov上的ICS网页上提供了控制系统安全建议实践的版块。

  有关其他缓解指南和建议措施,请参阅ICS网页us-cert.gov,参见技术信息文件ICS-TIP-12-146-01B - 目标网络入侵检测和缓解策略。

  本文版权归原作者所有,参考来源:工业互联网安全应急响应中心

  (三)新威胁组织TortoiseShell Group针对中东地区IT供应商的供应链发起攻击

  赛门铁克近日发现了一个新的威胁组织,命名为Tortoiseshell Group,其目标是针对中东地区的IT公司。赛门铁克的研究人员确定了11家受到攻击的IT组织,其中大部分位于沙特阿拉伯,其中有两个攻击者获得了域管理员级别的访问权限。该组织于2018年首次被发现,但专家推测它已经活跃了很长时间。

  该组织正在使用自定义和现成的恶意软件,他们武器的独特组件是Backdoor Syskit,它是在Delphi和.NET中开发的。已经发现Syskit有许多小的变化,但是基本功能保持不变。它使用“ -install”参数运行。它读取配置文件%Windir% temp rconfig.xml,并在删除配置文件之前将C&C信息写入注册表。恶意软件使用注册表中存储的URL收集机器的IP地址,操作系统名称和版本以及Mac地址,并将其发送到C&C服务器。发送到C&C服务器的数据是Base64编码的。传入后,该恶意软件会接受许多命令:'kill_me'(停止dllhost服务并删除%Windir% temp bak.exe);“上传”(从C&C服务器提供的URL下载);和“解压缩”(使用PowerShell将指定的文件解压缩到指定的目标位置,或运行cmd.exe / c )。该小组使用的其他工具包括Infostealer和get-logon-history.ps1(由Infostealer下载)。后者从计算机和所有用户的Firefox数据中收集信息,对其进行压缩,然后将其传输到远程目录。Infostealer对其他机器数据也执行相同的操作。

  天地和兴安全研究院翻译整理,参考来源:Security Week

  (四)在公网的PACS服务器上发现了超过4亿张医学放射图像

  Greenbone Networks漏洞分析公司的研究人员发现,在公网上存在600台不安全的PACS服务器,导致4亿张医疗放射图像被泄露。

  未受保护的医学图像存储系统位于52个国家/地区,专家们发现它们受到10,000个漏洞的影响,其中超过500个被评为 最高 严重性评分(CVSS 10分,满分10分)。

  在分析的全球2300个图片存档和通信系统(PACS)中,其中590个已被识别为可通过互联网访问;它们总共包含超过来自全国各地52个国家患者的2430万条的数据记录。与患者数据相关的图像超过7.37亿张,其中约有4亿张可访问或可以从互联网轻松下载。此外,有39个系统允许通过未加密的HTTP Web Viewer访问患者数据,而没有任何保护。

  PACS服务器用于医疗保健行业,以存档由放射过程创建的图像,并将其提供给医务人员进行分析和诊断。这些系统使用DICOM(医学数字成像和通信)标准来管理医学成像数据。

  大多数公开的记录包括以下个人和医疗详细信息:姓名、出生日期、检查日期、调查范围、成像程序类型、主治医师、研究所/诊所、生成的图像数。

  

在公网的PACS服务器上发现了超过4亿张医学放射图像

 

  除此之外,还发现有45个PACS通过不安全的协议(例如HTTP或FTP)而不是DICOM提供数据。因此,无需认证即可访问存储在它们上的数据。其中一个在目录列表中提供了DICOM存档的文件,从而允许通过Web浏览器访问任何人。

  研究人员估计,Darknet上泄露数据的价值可能超过10亿美元。这些数据可能会被攻击者用于各种目的。其中包括发布个人名称和图像,以损害个人声誉;将数据与其他Darknet来源连接,以使网络钓鱼社交工程更加有效。读取并自动处理数据以搜索有价值的身份信息,例如社会安全号码,以准备身份盗用。

  天地和兴安全研究院翻译整理,参考来源:Security Affairs

  (五)Elasticsearch服务器泄露了包括670万儿童在内的厄瓜多尔公民数据

  由于数据库配置错误,厄瓜多尔大多数人口(包括儿童)的个人记录在线暴露。该数据库为Elasticsearch服务器,是两周前由vpnMentor安全研究人员Noam Rotem和Ran Locar发现的。他们分析了泄漏的数据,验证其真实性,并与服务器所有者联系。泄露的数据包括居民及儿童的个人数据、用户财务记录及汽车登记信息。服务器数据泄漏是厄瓜多尔历史上较大的数据泄露事件之一。厄瓜多尔是一个南美小国,人口为1660万。

  Elasticsearch服务器总共包含约2080万条用户记录,比该国的总人口数还多,因为数字包含重复记录或较旧的条目,其中包含死者的数据。数据分散在不同的Elasticsearch索引上。这些索引包含不同的信息,据推测是从不同的来源获得的。他们存储了详细信息,例如姓名,有关家庭成员/树木的信息,民事登记数据,财务和工作信息,以及有关汽车拥有权的数据。

  根据这些索引的名称,可以将整个数据库分为两个主要类别。有些数据是从政府来源收集的,而数据是从私人数据库收集的。最广泛的数据是从厄瓜多尔政府的民事登记处收集的。该数据包含以下条目:公民的全名,出生日期,出生地点,家庭住址,婚姻状况,身份证(身份证号码),工作/工作信息,电话号码和受教育程度。甚至可以找到该国总统朱利安·阿桑奇(Julian Assange)的记录,朱利安·阿桑奇曾经从这个南美小国接受政治庇护,并获得了国民身份证号。

  但是,当研究人员查看名为“ familia”(西班牙语的家庭)的索引时,研究人员发现这些数据的范围包含有关每个公民的家庭成员(例如孩子和父母)的信息,其中包括677万个18岁以下儿童的姓名,姓名,出生地,家庭住址和性别。儿童数据泄露是此事件最大的隐私问题。这种泄漏不仅使儿童面临潜在的身份盗窃,而且使他们处于人身危险之中,因为他们的家庭住址已经暴露在网上,任何人都可以找到。

  

Elasticsearch服务器泄露了包括670万儿童在内的厄瓜多尔公民数据

 

  此外,该数据库还包含标有私人实体首字母缩略词的索引,表明它们是从这些特定来源导入的或从这些特定来源提取的。第一个索引BIESS,代表社会责任银行(Ecoatoriano de Seguridad Social),其中包含一些厄瓜多尔公民的财务信息,例如帐户状态,帐户余额,信用类型以及有关帐户所有者的信息,包括工作详细信息。第二个索引AEADE,代表厄瓜多尔汽车协会(Asociaciónde Empresas Automotrices del Ecuador),其中包含有关车主及其后备汽车的信息,包括汽车型号和汽车牌照。共计发现了700万条财务记录,以及250万条包含汽车和车主详细信息的记录。这两个索引也非常敏感,骗子将能够针对该国最富有的公民(基于其财务记录),并窃取昂贵的汽车(可以访问车主的家庭住址和车牌号)。将有关孩子的信息和有关财务记录的数据联系起来,犯罪分子将获得最富有的厄瓜多尔人的名单,他们的家庭住址以及是否有孩子,这使针对富裕家庭的孩子的绑架和绑架变得轻而易举。

  跟踪此漏洞来源,为一家名为Novaestrat的本地公司,该公司为厄瓜多尔市场提供分析服务。该数据库在厄瓜多尔CERT团队介入之后得到保护。

  天地和兴安全研究院翻译整理,参考来源:ZDNet

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号