安全研究
全部分类

关键信息基础设施安全动态周报【2019年第7期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2019-09-17 16:54
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2019年第7期】天地和兴播报。

关键信息基础设施安全动态周报【2019年第7期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2019年第7期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2019-09-17 16:54
  • 访问量:
详情

  目 录  第一章 国内关键信息基础设施安全动态简讯  (一)勒索病毒Ouroboros来袭,多地医疗、电力系统受攻击  (二)某APT组织利用鱼叉邮件渗透多个行业窃取敏感数据  第二章 海外关键信息基础设施安全动态简讯  (一)韩国工业制造商DK-LOK泄露全球客户数据及电子邮件  (二)Telnet后门漏洞影响了超过百万个的物联网无线电设备  (三)美国大型制造公司成为LoKiBot木马攻击目标  (四)丰田纺织株式会社因商业电子邮件泄密攻击而损失超过3700万美元  (五)超过6700台服务器感染了 Lilocked 勒索软件  (六)伊朗黑客对世界各地60多所大学进行网络钓鱼攻击  (七)维基百科遭到DDoS网络攻击宕机  (八)虚假PayPal网站传播Nemty勒索软件  (九)漏洞泄露了200万Verizon客户合同

  第一章 国内关键信息基础设施安全动态简讯  (一)勒索病毒Ouroboros来袭,多地医疗、电力系统受攻击  某威胁情报中心通过蜜罐系统监测到Ouroboros勒索病毒在国内有部分传播,监测数据表明,已有湖北、山东等地的医疗、电力系统的电脑遭遇该勒索病毒攻击。经分析发现,该病毒的破坏仅在部分有限的情况可解密恢复,但在病毒按预期运行,基础设施完善情况下,暂无法解密。  Ouroboros勒索病毒首次出现于2019年8月中旬,目前发现其主要通过垃圾邮件渠道传播,由于其PDB路径中包含Ouroboros故因此得名,该病毒加密文件后会添加.Lazarus扩展后缀。  Ouroboros勒索病毒的主要特点:  1.病毒会删除硬盘卷影副本;  2.部分样本会禁用任务管理器;  3.病毒加密前会结束若干个数据库软件的进程,加密文件时会避免加密Windows,eScan等文件夹;  4.个别情况下,该病毒的加密可以解密。在病毒按预期运行,基础设施完善情况下,暂无法解密;  5.攻击者弹出勒索消息,要求受害者通过电子邮件联系后完成交易。  安全建议  1.企业内网可以关闭不必要的网络端口,降低黑客在内网攻击传播的成功率。如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。  2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。  3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。  4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。  5、对重要文件和数据(数据库等数据)进行定期非本地备份。  6、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。  本文版权归原作者所有,参考来源:安全内参

  (二)某APT组织利用鱼叉邮件渗透多个行业窃取敏感数据  近日,某安全团队通过安全感知平台持续跟踪了一个以国内沿海电子制造业、能源行业、大型进出口企业、科研单位等为目标的APT组织,该组织通过鱼叉式钓鱼邮件,在最近的三个月里面持续对国内至少60余个目标发起针对性的攻击。通过伪造office、pdf图标的PE文件迷惑目标,在目标点击之后,释放出AutoIt脚本执行器,然后将高度混淆的AutoIt脚本代码传入脚本执行器执行释放Nanocore RAT窃取受害者主机上面的敏感数据并作为跳板进行内网渗透。  该APT组织使用诱饵文档诱使用户点击运行,执行自解压程序,完成攻击和木马的释放。在这个过程中使用一个带有正常数字签名的AutoIt脚本解释程序去执行一个加混淆后的脚本,该脚本会检测当前系统环境“安全”之后才会解密安装.net程序,再对其进行真正的恶意行为,该脚本具备绕过了大多数安全软件的检测能力。

  

流程图

 

  该APT组织使用sales@globaltrade.com邮箱地址发送了一个伪造成pdf文档图标的exe文件,并将附件命名为Payment Slip(付款单)以诱使受害者点击运行。为了降低用户的警惕性,该组织同时构造了一个邮箱主题为RE:FWD:PROFORMA INVOICE // OverDue Payment Update(逾期付款更新)用于麻痹受害者。  该病毒伪装为一个PDF文件,诱使用户点击运行,通过Exeinfo PE查看可以发现这个样本为一个SFX文件。  在其被双击运行后,会跳过自解压对话框,并且将文件释放到”%temp%8419794”文件夹下,并且自动执行rml.vbs脚本。  在rml.vbs脚本中,使用WshShell.Run运行dsh.exe pwl=xui。  dsh.exe是一个带正常签名档的Autolt的脚本解释器,用于执行.au3脚本。  该脚本具有以下功能:  1、虚拟机检测  2、禁用UAC策略  3、禁用任务管理器  4、注册开机自启动程序  5、解密.NET程序  6、启动.NET程序  安全建议  不管攻击者的入侵计划是多么的缜密,总会由于技术的限制留下些许蛛丝马迹,譬如软件的植入、网络流量的产生,这些痕迹可能并不足以作为APT攻击的证据,但一旦发现,就必须提高警惕,并及时的保存现场,通知安全相关人员,对疑似感染的主机进行隔离和检查。同时也要注意日常防范措施,在思想上和技术上双管齐下:  1、加强人员安全防范意识。不要打开来历不明的邮件附件,对于邮件附件中的文件要谨慎运行,如发现脚本或其他可执行文件可先使用杀毒软件进行扫描;  2、升级office系列软件到最新版本,不要随意运行不可信文档中的宏;  3、部署分层控制,实现深度网络安全防御,构建端到端的立体安全防护网络。在网络规划时需要充分考虑终端接入安全、内网安全防护、应用系统安全等多个维度,并根据不同的业务需求和安全等级进行合理的分区隔离;  4、重视网络数据、系统运行状态的审计和分析。严格把控系统的访问权限,持续对数据流的进出进行有效的监控,及时更新安全补丁,定时进行安全配置基线的审视和系统安全风险的评估,及时发现可以行为并通过通信线路加密、应用层安全扫描与防护、隔离等有效技术手段将可能的安全风险扼杀在摇篮里。  本文版权归原作者所有,参考来源:安全脉搏

  第二章 海外关键信息基础设施安全动态简讯  (一)韩国工业制造商DK-LOK泄露全球客户数据及电子邮件  网络安全公司vpnMentor的研究团队发现了韩国公司DKLOK使用的电子邮件平台中的数据泄露事件。DKLOK是一家工业管道,阀门和配件制造商,客户遍布全球。他们的电子邮件平台数据库中发现的漏洞使vpnMento的团队可以访问其内部和外部通信。该团队能够查看DKLOK员工之间以及他们的客户和一些个人电子邮件之间的电子邮件通信。  许多电子邮件都标记为私密和机密,显示有关DKLOK的操作,产品和客户关系的高度敏感信息。该违规行为影响了各国DKLOK分支机构及其国际客户。  vpnMentor多次尝试联系DKLOK,但尚未收到回复。由于DKLOK的通讯泄露,vpnMentor可以看到他们与DK-LOK的的电子邮件的记录,所以他们知道DKLOK已收到了vpnMentor联系他们的尝试。最荒谬的部分是,vpnMentor还知道他们收到了另一位记者发来的电子邮件,提醒他们注意数据泄露漏洞,但DKLOK已将其邮件删除。

  

DKLOK

 

  能够在DKLOK员工与其客户之间的私人电子邮件中查看的信息包括以下内容:产品价格和报价、项目出价、旅行计划、私人谈话、讨论供应商,客户,项目,内部运营。这些涉及DKLOK的众多国际办事处和来自世界各地的客户。  暴露的与DKLOK运营相关的沟通涉及:伊朗、德国、澳大利亚、以色列、俄国、韩国、美国、法国、火鸡、新西兰、意大利、加拿大、埃及、葡萄牙、约旦、南非、巴西。  除了电子邮件的内容之外,DKLOK电子邮件数据库中还可以访问其员工和客户的个人详细信息。这包括:员工和客户的全名、来自各个国际DKLOK分支机构的内部电子邮件地址、员工/用户ID、外部/客户端电子邮件地址、全名、电话号码、通过工作电子邮件地址收到的个人电子邮件(阿里巴巴订单,新闻通讯,喜达屋酒店,伟哥的垃圾邮件/垃圾邮件和头发生长产品)、DKLOK员工参加的专业活动和会议。  这种泄漏不仅损害了DKLOK的安全性和隐私性,也损害了其客户的安全性和隐私性。在这次泄密中公开了对高度敏感性的机密讨论。他们对DKLOK在全球的业务提供了大量见解,并损害了DKLOK客户的隐私。  天地和兴安全研究院翻译整理,参考来源:vpnMentor

  (二)Telnet后门漏洞影响了超过百万个的物联网无线电设备  Imperial Dabman IoT无线电设备存在弱密码漏洞,可能允许远程攻击者实现对小工具的嵌入式Linux BusyBox操作系统的root访问,从而获得对设备的控制权。攻击者可以发送恶意软件,向僵尸网络添加受感染的无线电,向设备发送自定义音频流,收听所有电台消息以及发现无线电连接到的任何网络的Wi-Fi密码。  漏洞(CVE-2019-13473)存在于连接到无线电端口23的永远在线、未记录的Telnet服务(Telnetd)中。Telnetd服务使用带有硬编码凭据的弱密码,可以使用简单的强制策略来破解。从那里,攻击者可以获得对无线电及其操作系统的未授权访问。  在测试中,研究人员表示使用自动“ncrack”脚本只需要大约10分钟的密码泄露 - 可能是因为硬编码的密码只是“密码”。  登录设备后,研究人员能够以root权限访问“etc”路径,以请求各种文件内容,包括完整的系统密码影子文件,组密码影子文件,USB密码和包含“”的httpd服务密码“ wifi cfg“无线局域网密钥上有未加密信息的文件。  根据漏洞实验室周一的一份咨询报告,“现在我们可以通过httpd,Telnet完全访问文件系统,我们也可以激活文件传输协议” 。“然后我们通过当地的路径观看,其中一个被称为”UIData“。在UIData路径中,可以找到可用于处理Web GUI(端口80和8080)的所有本地文件(二进制文件,xml,图片,文本和其他内容)。为了测试,我们编辑了一些文件夹,创建的文件和修改过的路径,以了解我们能够在应用程序的本机源中更改的内容。最后,我们能够编辑和访问盒子上的所有内容,并能够完全破坏智能网络无线电设备。”  研究人员还发现,设备上的AirMusic客户端存在第二个漏洞(CVE-2019-13474),允许未经身份验证的命令执行。  使用Apple iOS上的移动应用程序结合端口扫描结果,直觉显示AirMusic客户端可能通过端口80到8080 httpd连接发送和接收命令,”研究人员说。经过一个小时的测试,他们能够通过网络向客户发送命令。  成功利用这两个漏洞将为一系列恶意活动打开大门。攻击者可以更改无线电流或传送自己的实时消息或音频文件。远程攻击者还可以窥探以查看播放的无线电流或收听消息。  研究人员解释说:“勒索,令人震惊和简单的网络服务器破坏也是攻击者的能力。” “在最糟糕的情况下,远程攻击者可以修改系统以远程传播勒索软件或其他格式错误的恶意病毒/ rootkit /破坏性脚本。他还可以使用Web服务器成为物联网僵尸网络的一部分。“  据研究人员称,这些缺陷“影响了Imperial Dabman网络广播系列中的大量模型”,他们表示有超过100万台设备处于危险之中。这些收音机由Telestar Digital GmbH在德国销售,并在亚马逊和eBay上销售; 它们用于家庭和办公室环境。Telstar表示,它将继续停止使用Telnet,并已为现有部署启动了手动二进制补丁。  天地和兴安全研究院翻译整理,参考来源:threat post

  (三)美国大型制造公司成为LoKiBot木马攻击目标  过去一年中,着名的LokiBot恶意软件在多个恶意垃圾邮件活动中出现,从受害者的受损端点隐蔽地窃取信息。研究人员本周警告最近发现的恶意软件,最近发现垃圾邮件针对一家大型美国制造公司。  在一位未透露姓名的美国半导体分销商收到一封垃圾邮件后,研究人员于8月21日首次发现该活动,该垃圾邮件是从可能受到侵害的“可信”发件人发送给销售部门的。这封电子邮件据称是分发附加的报价请求,实际上是藏有多产的木马LokiBot。  这次袭击非常简单,”Fortinet研究人员在周二分析这次袭击时表示。“LokiBot样本的文件大小为286 KB,最近于8月21日编译,这恰好与发送恶意垃圾邮件的日期相同...... 垃圾邮件然后鼓励用户打开附件,因为发件人的同事目前不在办公室,同时向潜在的受害者提供一些保证,他/她可以在需要时提供对文档内容的进一步说明。 ”  尽管垃圾邮件(标题为“紧急报价请求#RFQE67Y54”)来自可靠的发件人,但有几个迹象可能会将电子邮件视为恶意邮件。  虽然电子邮件“外观简单”,但它包含的语言似乎是由非母语英语人士撰写并包含拼写错误。例如,当提到“RFQ”(或“报价请求”)时,电子邮件说“请参见'附件'”。

  

lokibot-malspam

 

  仔细查看附件的信息显示它被奇怪地命名为“多拉资源管理器游戏”,这是参考儿童节目中的电视女主角“多拉探险家” - 一个文件的奇怪名称声称与制造业有关。  研究人员表示,“我们不知道这些文件信息是否存在于分散注意力或者我们不知道的原因,因为将这样的文件名定位于军事和政府承包商是没有意义的。”  一旦打开,该文件实际上包含LokiBot恶意软件,该恶意软件以窃取各种凭证而闻名,包括FTP凭据,存储的电子邮件密码,存储在浏览器中的密码以及许多其他凭据。  天地和兴安全研究院翻译整理,参考来源:threat post

  (四)丰田纺织株式会社因商业电子邮件泄密攻击而损失超过3700万美元  丰田纺织株式会社宣布其一家欧洲子公司因商业电子邮件泄密(BEC)攻击而损失超过3700万美元。丰田纺织株式会社 是一家日本汽车零部件制造商,它是丰田集团公司的成员。  丰田纺织株式会社 在一次商业电子邮件泄密(BEC)攻击后,其一家欧洲子公司损失了超过3700万美元,BEC袭击发生在8月14日。  “2019年9月6日 - 丰田纺织株式会社(东京证券交易所股票代码:3116)宣布最近涉及恶意第三方欺诈性付款指示的案件,导致我们欧洲子公司遭受财务损失。我们与欧洲子公司一起意识到泄漏后不久就会发出欺诈指示。“ 该公司发布的新闻稿中写道。  该公司向地方当局报告了这一事件,并成立了一个由法律专业人士组成的团队,以调查安全漏洞。该公司还补充说,它正在尽最大努力的程序固定/回收 泄露的基金。  “虽然在调查的各个方面进行合作,但我们正在尽最大努力采取行动 固定/回收 泄露的资金,“公司继续说道。  BEC袭击事件后的预期财务损失最高约为40亿日元(截至9月5日),相当于37,472,000美元。  3月份,丰田汽车公司(TMC)销售子公司及其附属公司遭遇数据泄露事件,暴露了日本数百万客户的个人信息。  该汽车供应商表示,3月21日在包含310万客户数据的服务器上检测到了未经授权的访问。  暴露的记录包括姓名,地址,出生日期,职业和其他信息,好消息是事件中没有暴露财务数据。  天地和兴安全研究院翻译整理,参考来源:SecurityAffairs

  (五)超过6700台服务器感染了 Lilocked 勒索软件  成千上万的网络服务器已经被感染,并且他们的文件被一种名为Lilocked(或Lilu)的新型勒索软件加密。感染自7月中旬以来一直在发生,并在过去两周内愈演愈烈。根据目前的证据,Lilocked勒索软件似乎只针对基于Linux的系统。  首先报告的日期是7月中旬,一些受害者上传了Lilocked赎金票据/要求ID Ransomware,这是一个用于识别感染受害者系统的勒索软件名称的网站。  Lilocked团队破坏服务器并加密其内容的方式目前尚不清楚。俄语论坛上的一个帖子提出了骗子可能针对运行过时的Exim(电子邮件)软件系统的理论。它还提到勒索软件设法通过未知方式获得对服务器的root访问权限。  受此勒索软件攻击的服务器很容易被发现,因为他们的大多数文件都是加密的,并带有一个新的“.lilocked”文件扩展名。在勒索软件加密文件的每个文件夹中都有一份赎金记录(名为#README.lilocked)。  用户被重定向到黑暗网络上的门户网站,在那里他们被指示从勒索信息中输入密钥。在这里,Lilocked团伙显示第二个赎金需求,向受害者询问0.03比特币(约325美元)。

  

lilocked-tor-2

 

  Lilocked不加密系统文件,只加密文件扩展的一小部分,如HTML,SHTML,JS,CSS,PHP,INI和各种图像文件格式。这意味着受感染的服务器继续正常运行。根据法国安全研究员Benkow的说法,Lilocked已经加密了超过6,700台服务器,其中许多服务器已被索引并缓存在Google搜索结果中。  但是,怀疑受害者人数要多得多。并非所有Linux系统都运行Web服务器,还有许多其他受感染的系统尚未在Google搜索结果中编入索引。因为这个威胁的初始入口点仍然是个谜,所以除了向服务器所有者提供通用安全建议之外,不可能提供任何建议 - 建议他们为所有帐户使用唯一密码,并使应用程序与安全补丁保持同步。Lilocked团伙没有回复发送到他们在赎金票据中列出的电子邮件地址的评论请求。  天地和兴安全研究院翻译整理,参考来源:ZDNet

  (六)伊朗黑客对世界各地60多所大学进行网络钓鱼攻击  伊朗黑客行动扩大了针对大学的全球网络钓鱼活动,试图窃取用户名和密码。美国,英国,澳大利亚等60多所大学成为Colbalt Dickens黑客攻击组织的目标,企图窃取研究和知识产权。  该组织被称为Colbalt Dickens,最初于去年8月发现,Secureworks的研究人员指责网络攻击针对14个国家的大学,与伊朗政府有关联的黑客组织。攻击的目的是窃取知识产权,知识产权既可以被剥削,也可以出售以获取利润。  "这项活动旨在获取可用于经济和其他利益的学术研究,并直接回应制裁和从伊朗到他们能够参与并从开放和合作学术中获益的国家的学术人才外流研究。“Secureworks高级安全研究员Allison Wikoff说。  该组织的九名成员被美国司法部起诉,因其代表伊朗军方-伊斯兰革命卫队-进行网络盗窃活动 ,但这对黑客组织的行动没有任何影响,因为目标攻击仍在进行中。  现在,Secureworks Counter Threat Unit(CTU)对 Colbalt Dickens的新攻击进行了详细的研究,该攻击发生在今年7月和8月。澳大利亚,美国,英国,加拿大,香港和瑞士的60多所大学成为新的全球网络钓鱼活动的目标。  与这个组织以前的攻击一样,网络钓鱼电子邮件基于在线图书馆服务,声称用户需要通过点击链接来激活他们的帐户。之前的广告系列使用网址缩短器来模糊欺骗性图书馆登录页面的网址,次攻击者使用的是看似真实的欺骗性网址。  点击该链接的用户将被定向到与该大学的图书馆资源非常相似(甚至相同)的网页,并要求输入他们的登录凭据,该行为向攻击者提供其用户名和密码。为了避免引起怀疑,在输入详细信息后,用户被引导到被欺骗的合法版本的网站。  为了帮助运行这个最新的活动,Cobalt Dickens注册了至少20个新的域名,完全有效的SSL证书的.ml,.ga,的.cf,.gq和.TK域名。  该小组还采用从GitHub中获取公开提供的工具和代码,以帮助他们避免使用恶意软件来进行攻击,因此他们无法被网络安全软件检测到。  截至2019年9月,人们认为伊朗黑客已经针对30多个国家的至少380所大学进行攻击,其中一些目标是多次攻击,并且相信针对教师和学生的攻击将继续。  为了帮助抵御网络钓鱼攻击的威胁,研究人员建议大学和教育机构实施多因素身份验证。  "虽然在重视用户灵活性和创新的环境中实施额外的安全控制(如MFA)似乎很麻烦,但单密码帐户是不安全的.CTU研究人员建议所有组织使用MFA保护面向互联网的资源,以减轻以凭据为中心的威胁,”Wikoff说。  大学成为网络攻击者的一个有吸引力的目标,因为它们不仅包含大量的知识产权和前沿研究,而且还没有像金融等其他行业那样严格监管。  天地和兴安全研究院翻译整理,参考来源:ZDNet

  (七)维基百科遭到DDoS网络攻击宕机  本周五,维基百科(Wikipedia)遭受恶意网络攻击导致多个国家的网站宕机下线。本次攻击发生在2019年9月8日凌晨2点左右,主要受到影响的是欧洲和中东用户。downdetector.com网站记录了本次的攻击,当时收到了数千起报告。  Wikimedia Foundation的德国推特账号表示公司网站正在遭受大规模分布式拒绝服务(DDOS)攻击,而且在公司官方博客中承认遭到攻击。DDOS攻击会导致目标服务器充斥大量流量,从而破坏其对目标用户的服务可用性。  根据来自不同国家的用户的说法,虽然在发布声明时发现攻击持续进行,但几小时前许多国家恢复了正常服务。然而,似乎该事件仍在调查中,因为尚未正式确认完全消除该问题。  在官方博文中写道

  

维基百科

 

  作为世界上最受欢迎的网站之一,维基百科有时会吸引”恶意“参与者。除了网络的其他部分,我们还在一个日益复杂和复杂的环境中运营,威胁不断发展。  因此,维基媒体社区和维基媒体基金会已经创建了专门的系统和员工来定期监控和解决风险。如果出现问题,我们会学习,我们会改进,并且我们会为下次做好准备做好准备。  我们谴责这些类型的攻击。他们不只是让维基百科离线。掠夺攻击威胁到每个人自由访问和共享信息的基本权利。我们维基媒体运动和基金会致力于为每个人保护这些权利。  本文版权归原作者所有,参考来源:cnBeta

  (八)虚假PayPal网站传播Nemty勒索软件  伪装成PayPal提供官方应用程序的网页目前正在向不知情的用户传播Nemty勒索软件的新变种。这个文件加密恶意软件的运营商正在尝试各种分发渠道,因为它最近被观察为来自RIG漏洞利用工具包(EK)的有效载荷。  Nemty的最新发生是在虚假的PayPal页面上观察到的,该页面承诺通过支付系统进行的购买将有3-5%的cashback。

  

Nemty-fakePayPal

 

  一些线索指向页面的欺诈性质,主要浏览器也标记为危险,但用户可能仍然会躲过这个技巧并继续下载和运行恶意软件,这被称为“cashback.exe”。  自动分析显示,勒索软件加密受害主机上的文件大约需要7分钟。但是,这可能因系统而异。  幸运的是,恶意可执行文件被市场上最流行的防病毒产品检测到。对VirusTotal的扫描 显示68个防病毒引擎中有36个检测到它。  初看起来,网页似乎是真实的,因为网络犯罪分子使用视觉效果和原始页面上的结构。为了增加欺骗性,网络犯罪分子还使用所谓的同形异义域名欺骗来链接到网站的各个部分(帮助和联系,费用,安全,应用和商店)。  骗子通过在域名中使用来自不同字母表的Unicode字符来实现这一点。为了区分它们,浏览器会自动将它们转换为Punycode。在这种情况下,Unicode中的内容看起来像paypal.com,在Punycode中转换为'xn--ayal-f6dc.com'。  安全研究员Vitali Kremez分析了Nemty勒索软件的这一变种,他指出它现在处于1.4版本,它带有一些小错误修复。研究人员观察到的一件事是,“isRU”检查已经过修改,该检查可以验证受感染的计算机是否在俄罗斯,白俄罗斯,哈萨克斯坦,塔吉克斯坦或乌克兰。在最新版本中,如果检查结果是肯定的,那么恶意软件不会随着文件加密功能而移动。  天地和兴安全研究院翻译整理,参考来源:Bleeping Computer

  (九)漏洞泄露了200万Verizon客户合同  总部位于英国的研究员Daley Bee正在分析Verizon Wireless系统,当时他遇到了一个子域,该子域似乎被公司员工用来访问内部销售点工具和查看客户信息。进一步分析导致发现了一个指向Verizon Wireless客户的PDF格式合同的URL,该客户使用该公司的月度分期付款程序来支付其设备费用。  虽然访问文件需要身份验证,但专家最初设法在强制URL的GET参数后访问一个与特定电话号码和合同号相关联的合同。  然后研究人员意识到修改其中一个参数的值会显示不同的合同。这称为不安全的直接对象引用(IDOR)漏洞,它们通常很容易被利用。  暴露的合同包含所获取设备的全名,地址,电话号码,型号和序列号以及客户签名等信息。

  

exposed_verizon_contract

 

  研究人员在一篇博客文章中说:“像往常一样,被忽视的小而愚蠢的东西导致了最大问题。”  Daley Bee确定,受IDOR缺陷影响的参数总共有大约200万个有效组合 - 在1310000000和1311999999之间 - 并且每个都符合Verizon Wireless的客户合同。  黑客在6月中旬向Verizon报告了他的调查结果,并在大约一个月后推出补丁。研究人员告诉“ 安全周刊”,Verizon Wireless的服务不属于错误赏金计划--Verizon提供了一个负责任地披露漏洞的电子邮件地址,但它不提供奖励。  研究人员声称,Verizon已经验证了他的调查结果,并证实该漏洞暴露了200万份合同。  SecurityWeek已与Verizon联系以征求意见,并将在公司回应时更新此文章。  UPDATE。Verizon向SecurityWeek提供了以下声明:  “我们在6月份就意识到了这个问题。当问题引起我们的注意时,我们的网络安全团队迅速与我们的应用团队合作解决问题。  我们没有理由相信任何客户信息都是由报告它的安全研究人员以外的任何人访问的。“  天地和兴安全研究院翻译整理,参考来源:SecurityWeek

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号