安全研究
全部分类

关键信息基础设施安全动态周报【2019年第5期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2019-09-03 17:28
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2019年第5期】天地和兴播报。

关键信息基础设施安全动态周报【2019年第5期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2019年第5期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2019-09-03 17:28
  • 访问量:
详情

  目 录  第一章 国内关键信息基础设施安全动态简讯  (一)十部门联合印发《加强工业互联网安全工作的指导意见》  (二)《关键信息基础设施保护条例》已上报国务院有望年内出台  (三)江苏丹阳半马报名首日遭黑客入侵  (四)某安全威胁感知系统截获网银大盗木马  (五)涉嫌网购、贩卖28万余条公民个人信息,5人被起诉  第二章 海外关键信息基础设施安全动态简讯  (一)威胁组织Lyceum目标瞄准中东地区能源领域公司  (二)朝鲜黑客瞄准退休外交官和军官  (三)德国万事达信用卡信息泄露 近9万名用户受影响  (四)法国警方从850,000台受感染的PC中远程删除了RETADUP恶意软件  (五)Magecart黑客破坏了80多个电子商务网站以窃取信用卡  (六)托管服务商Hostinger数据泄露影响近1400万客户  (七)卡巴斯基在下载量过亿的应用CamScanner中发现了恶意软件  (八)网络安全公司Imperva泄露了其WAF客户的数据,包括SSL证书、API密钥

  第一章 国内关键信息基础设施安全动态简讯  (一)十部门联合印发《加强工业互联网安全工作的指导意见》  工业和信息化部、教育部、人力资源和社会保障部等十部门近日联合印发《关于印发加强工业互联网安全工作的指导意见的通知》,通知明确到2020年底,工业互联网安全保障体系初步建立。制度机制方面,建立监督检查、信息共享和通报、应急处置等工业互联网安全管理制度,构建企业安全主体责任制,制定设备、平台、数据等至少20项亟需的工业互联网安全标准,探索构建工业互联网安全评估体系。技术手段方面,初步建成国家工业互联网安全技术保障平台、基础资源库和安全测试验证环境。产业发展方面,在汽车、电子信息、航空航天、能源等重点领域,形成至少20个创新实用的安全产品、解决方案的试点示范,培育若干具有核心竞争力的工业互联网安全企业。到2025年,制度机制健全完善,技术手段能力显著提升,安全产业形成规模,基本建立起较为完备可靠的工业互联网安全保障体系。  参考来源:工业和信息化部

  (二)《关键信息基础设施保护条例》已上报国务院有望年内出台  2019北京网络安全大会8月21日在北京国家会议中心开幕,在大会上了解到由中央网信办和公安部共同制定的《关键信息基础设施保护条例》已上报国务院,有望年内正式出台。  什么是关键信息基础设施?  关键信息基础设施包含:关系到国家重大利益、人民群众生命财产安全和社会生产生活秩序,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的基础网络、重要信息系统和数据资源。具体的系统涉及到:电公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等行业和领域中重要的信息系统或基础网络。  如何做好关键信息基础设施的网络安全保护工作?  一、“关基”需要及时开展网络安全等级保护工作且系统等级不低于三级,这是基础。因为网络安全法第31条明确要求:关基在网络安全等级保护制度的基础上,实行重点保护。条例第6条也明确指出该要求。  二、建立健全“关基”安全检测评估制度,关基上线运行前或者发生重大变化时需要进行安全检测评估。同时每年对关基至少进行一次检测评估,对发现的问题及时进行整改。网络安全法第38条,条例28条明确有相关要求。  三、完善内部安全管理制度和操作规程,设置专门网络安全管理机构和网络安全管理负责人,并对该负责人和关键岗位人员进行安全背景审查;定期对从业人员进行网络安全教育、技术培训和技能考核。网络安全法第34条,条例24、25、27条有相关要求。  四、采取技术措施,防范计算机病毒和网络攻击、网络侵入等危害网络安全行为;通俗点说:网络版杀毒软件、防毒墙、IPS、WAF、防火墙、堡垒机、数据库防火墙等防护类设备要有,要有一定的技术措施保障关基的安全。网络安全法21条,条例23条有相关要求。  五、采取技术措施,监测、记录网络运行状态、网络安全事件,并按照规定留存相关的网络日志不少于六个月;这里建议大家没有日志审计设备的用户抓紧配好,不然怎么保证能留存不少于6个月的日志量呢;资金相对充足的用户也可以通过集中管理中心或者SOC平台等相关产品实现这个要求。网络安全法21条,条例23条有相关要求。  六、采取数据分类、重要数据备份和加密认证等措施,对重要系统和数据库进行容灾备份;重要的数据进行备份,重要的系统及数据库进行容灾备份,有条件的可以做异地应用容灾备份,确保自己单位核心数据及应用的安全。网络安全法34条,条例23、24条有相关要求。  七、制定网络安全事件应急预案并定期进行演练;这点不少用户还不够重视,可能有预案但都在管理制度里呢,没有定期演练;或者应急预案简单,考虑不周全,需要再加强并定期演练。网络安全法34条,条例24、25条有相关要求。  八、及时对系统漏洞等安全风险采取补救措施;要求我们在发现或被告知相关漏洞等风险后及时进行安全整改,不能不管。那么如何发现这些风险呢?漏洞可以通过漏洞扫描器进行定期扫描检测,其他的安全风险可以通过专项的安全检测服务进行发现。不得不等建议这一条可以请专业第三方安全服务机构配合大家开展这块工作。条例24条明确要求。  参考来源:等级保护测评

  (三)江苏丹阳半马报名首日遭黑客入侵  8月23日,江苏镇江丹阳市半程马拉松比赛报名通道正式开通。随后,有网友在丹阳当地论坛爆料称,自己在联系组委会公开邮箱进行咨询时,却被提醒“所属域名不存在,邮件无法送达”。对此,23日当天,丹阳文体广电和旅游局通过该论坛进行回复称:“经查,有人入侵网站篡改规程信息,现已报警处理。”  27日,北京青年报记者从赛事组委会了解到,网站被黑一事属实,具体报警及后续处理均由报名网站具体运营方负责。赛事运营单位相关负责人介绍,网站被黑出现在23日报名通道开放前时,“大概是报名前一两个小时,比赛规程信息被人篡改,但8、9点正式开放报名通道时,已经恢复正常”。他表示,公司目前已经加大了对报名网站的管理、保护,后续报名工作一切顺利,已成功报名4000余人。据该负责人介绍,目前警方对于网站被黑的调查尚无结果,组委会主要精力也都放在做好防范方面。

  

0273-icuacsa1138626

 

  参考来源:北京青年报

  (四)某安全威胁感知系统截获网银大盗木马  某安全威胁感知系统聚类出T-F-278915恶意家族,经分析该家族样本会窃取多种虚拟货币、窃取多国(包含中文、日文、希腊语)银行账户登录凭证,删除用户的浏览器信息,并利用用户电脑进行IQ虚拟货币挖矿等行为。  该木马感染后监测到用户进行网银、支付相关的操作时,会复制剪贴板信息、截屏、进行键盘记录,将中毒电脑隐私信息上传,通过创建任务计划、添加启动项实现开机自动加载,病毒在做这些操作时,顺便利用中毒机器的算力挖矿。  目前该网银大盗木马在国内已散在出现,其传播渠道主要依靠钓鱼欺诈类邮件。安全专家提醒用户小心点击来历不明的邮件附件及邮件提供的网址。  参考来源:嘶吼

  (五)涉嫌网购、贩卖28万余条公民个人信息,5人被起诉  8月26日,新京报记者从河北邯郸市公安局丛台区分局获悉,在“净网2019”专项行动中,邯郸市公安局丛台分局侦破一起特大侵犯公民个人信息案件,涉及北京、河北、浙江等全国20余省市。目前,5名主要犯罪嫌疑人涉嫌侵犯公民个人信息已被起诉。今日(8月27日),丛台区人民法院刑事庭一工作人员称,此案正在审理中。  网购个人信息,推销保健品非法获利百万  据介绍,2018年6月,邯郸市丛台区某小区居民到丛台区公安分局网安大队反映,在小区一处房间内有一伙年轻人白天频繁出入,行事神秘,疑似在搞传销。警方侦查发现,内有8人正在接打电话,办公桌上零散放置有公民个人信息的纸张,印有包含姓名、电话、购买过的保健品、收货住址等。房间墙角处还堆放着近一米高、已用过的A4纸,总计近万张。  2018年6月29日,警方将犯罪嫌疑人王某新等9人控制,查扣手机10部、电脑9台、硬盘3块。  据王某新供述,2017年6月至今,他以每条5毛到1元不等的价格从网上购买曾购买过保健品的公民个人信息,共计28万余条。随后,其雇用张某等13人为话务员,提供话术剧本,安排他们冒充正规保健机构,拨打电话推销保健品,非法获利140余万元。  公民信息链条涉及全国20余省市  警方表示,民警从涉案手机、电脑、硬盘内的数十万条聊天记录中,梳理出涉案人员关系脉络,最终确定王某新先后从浙江嘉兴姚某,河北张家口范某、祁某,湖南长沙王某强,北京郭某丹等处非法获取大量公民个人信息。  2018年7月至10月,上述 犯罪嫌疑人相继被控制,相关电子设备被查获。警方称,经梳理,案件涉及一个全国的买卖公民信息链条。其中包含涉嫌买卖公民个人信息的人员134人,涉嫌买卖公民个人信息的线索1929条,涉及全国20余省市。目前该案还在进一步侦办中。  参考来源:新京报

  第二章 海外关键信息基础设施安全动态简讯  (一)威胁组织Lyceum目标瞄准中东地区能源领域公司  在本月早些时候,安全公司Drago发布了一份报告表示他们发现了一个针对中东地区关键基础设施的威胁组织,称之为Hexane。近日,由网络安全公司Secure Works也发布了关于这个威胁组织的报告,称之为Lyceum。  尽管大部分Lyceum攻击都是针对能源领域的公司,但该组织还针对大中东,中亚和非洲的电信提供商。  两家安全公司都同意,Lyceum / Hexane的目标是收集信息,而不是破坏运营;虽然它的活动与其他组的活动类似,但恶意软件和基础设施表明它们之间没有关系。  SecureWorks研究人员表示,Lyceum依靠密码喷涂和暴力攻击来破坏为目标组织工作的个人的电子邮件帐户。在初始阶段之后,黑客向公司中较高职位的人发送鱼叉式网络钓鱼电子邮件。这些消息带有安装DanBot的恶意Excel电子表格 - 一种具有基本功能的远程访问木马(RAT)。另一个工具是'Decrypt-RDCMan.ps1',这是一个包含在PoshC2 框架中用于渗透测试的密码解密工具。这用于存储在远程桌面连接管理器RDCMan的配置文件中的密码。Lyceum使用第二个PowerShell脚本 - “Get-LAPSP.ps1” - 通过LDAP从Active Directory收集数据。在初始访问目标环境后立即启动。除了使用自己的工具集,Lyceum不会使用任何花哨的策略来达到他们的目标。它们依赖于宏,社交工程和安全测试框架,这些都是常见的。尽管如此,它在运营中是有效的,因为它自2018年4月以来一直在运行。  据研究人员称,Lyceum的目标包括高管,人力资源和IT人员。这些职位的个人是从受损内部帐户发送的鱼叉式网络钓鱼邮件的接收者。似乎工业控制系统(ICS)和操作技术(OT)工作人员不属于该组的预定目标,尽管研究人员不能排除“威胁行为者在建立强大的访问权限之后可以寻求访问OT环境的可能性。  参考来源:BleepingComputer

  (二)朝鲜黑客瞄准退休外交官和军官  近日发现一个朝鲜的国家支持的黑客组织一直针对韩国的退休外交官、政府、和军方官员发起攻击,目标包括前大使,军事将领以及韩国外交部和统一部的退休成员。

  

north-korea-retired

 

  这些攻击发生在7月中旬到8月中旬之间,针对官方的Gmail和Naver电子邮件帐户,IssueMakersLab的创始人Simon Choi 接受ZDNet的采访采访时透露。

  在技术层面,攻击是基本的鱼叉式网络钓鱼尝试。朝鲜黑客发送电子邮件,将受害者重定向到伪造的登录页面,攻击者将登录受害者的帐户凭据。  退休官员是一个比较容易攻击的目标,退休人员从事政府咨询活动,他们与现任政府官员保持联系。Choi表示,针对退休官员是一个明智的决定,因为他们往往比那些仍在职的官员更容易受到攻击,因为在职的官员使用的网络安全保护会对持续攻击发出安全警报。  这位韩国网络安全专家怀疑黑客正在利用这些账户访问这些账户,以便从退役官员那里收集信息,或者对现任者发起攻击。Choi无法判断黑客是否成功地破坏了任何电子邮件帐户,但Choi能够追踪他们的来源。  根据安全研究人员的说法,这次攻击是由着名的与朝鲜有关的政治网络间谍组织Kimsuky进行的。该组织,也被称为Kimsuki或Velvet Chollima,自2011年开始运作,并于2013年首次在卡巴斯基报告中详细介绍。根据泰国CERT团队编制的威胁组百科全书,该组织的历史和主要目标包括各种韩国政府,核电站和军事行动。在过去两年中,该集团还将其部分业务扩展到包括外国目标,如学术机构(通过使用Chrome扩展),外国事务部和美国智库。  参考来源:ZDNet

  (三)德国万事达信用卡信息泄露 近9万名用户受影响  据欧联网援引欧联通讯社报道,近日,德国有近9万个万事达(Mastercard)信用卡用户的信息,一度出现在网络上。万事达公司对此已经做出反应。  据报道,德国一个网络论坛19日出现任何人都能打开的Excel表格,上面列出近9万名德国万事达信用卡用户的信息。  这些所泄露的资料全部都是来自参与了万事达信用卡奖励计划“Princeless Specials”用户的信息,其中包括姓名、邮箱地址、信用卡号码的前两位数及最后四位数,有的还包括用户住址和手机号码。  此后网站迅速移除了表格,并提醒获得表格的论坛用户不要外传。  万事达公司随后宣布,暂时关闭对德国开放不到两年的“Princeless Specials”平台,并表示,公司对待个人隐私非常严肃,会全面调查泄密原因。万事达还强调,该事件与平台的支付系统没有关系。  报道称,从表格抽样核对的信息显示,所涉及的泄密资料是真实的,不过表格中也出现了一些重名现象。  万事达公司表示,如果客户想知道自己的电子邮箱是否被盗,可以通过公司公布的网站查询。若发现自己的邮箱地址被盗用,应该马上更改密码。  参考来源:中国新闻网

  (四)法国警方从850,000台受感染的PC中远程删除了RETADUP恶意软件  法国执法机构National Gendarmerie今天宣布成功拆除了最广泛的RETADUP僵尸网络恶意软件之一,并在研究人员的帮助下对全球超过850,000台计算机进行了远程消毒。  今年早些时候,正在积极监控RETADUP僵尸网络活动的Avast反病毒公司的安全研究人员发现了恶意软件的C&C协议中的一个设计缺陷,可能被利用来从受害者的计算机中删除恶意软件,而无需执行任何额外的代码。  然而,为此,该计划要求研究人员控制恶意软件的C&C服务器,该服务器由位于法国中北部法兰西岛地区的托管服务提供商托管。  因此,研究人员于今年3月底联系了法国国家宪兵队的网络犯罪战斗中心(C3N),分享了他们的调查结果,并提出了一项秘密计划,以终止RETADUP病毒并保护受害者。  根据提议的计划,法国当局在7月份控制了RETADUP C&C服务器,并用准备好的消毒服务器取而代之,该服务器滥用其协议中的设计缺陷,并命令受感染计算机上的RETADUP恶意软件的连接实例自毁。  研究人员在一篇博文中解释说:“在其活动的第一秒,有数千个机器人连接到它,以便从服务器获取命令。消毒服务器对它们进行了响应并对它们进行了消毒,滥用了C&C协议设计缺陷。”  “在发表这篇文章时,该合作已经消除了超过850,000个RETADUP的独特感染。”  据国家宪兵队国家刑事情报局局长Jean-Dominique Nollet称,由于一些受感染的计算机尚未与警方控制的C&C服务器建立连接,当局将使消毒服务器保持在线状态几个月 -自7月以来一直处于脱机状态,而其在找到美国RETADUP的C&C基础设施的一些部分后,法国警方还联系了FBI。联邦调查局于7月8日将其删除,使恶意软件作者无法控制机器人。  研究人员表示,“由于C&C服务器有责任向机器人提供矿业工作,因此没有一个机器人接受任何新的采矿工作,以便在此次移除后执行。” “这意味着他们不再能够消耗受害者的计算能力,并且恶意软件作者不再从采矿中获得任何金钱利益。”  RETADUP创建于2015年,主要是整个拉丁美洲受感染的计算机,是一种多功能Windows恶意软件,能够利用受感染机器的计算能力,利用受害者带宽的DDoSing目标基础设施以及收集间谍信息来挖掘加密货币。  RETADUP有几种变体,其中一些是用Autoit编写的,或者是使用AutoHotkey编写的。该恶意软件旨在实现Windows计算机上的持久性,在受感染的计算机上安装其他恶意软件负载,并定期执行其他尝试进行自我传播。

  

malware-map

 

  除了将加密货币恶意软件作为有效载荷分发之外,在某些情况下,RETADUP也被发现传播Stop勒索软件和Arkei密码窃取程序。  “C&C服务器还包含一个名为HoudRat的AutoIt RAT的.NET控制器。看看HoudRat的样本,很明显HoudRat只是一个功能更丰富,更不普遍的Retadup变种,”研究人员在分析了被查获C&C服务器。  “HoudRat能够执行任意命令,记录击键,截取屏幕截图,窃取密码,下载任意文件等等。”  在发表这篇文章时,当局已经消除了超过850,000个Retadup的独特感染,其中大多数受害者来自拉丁美洲的西班牙语国家。  参考来源:TheHackerNews

  (五)Magecart黑客破坏了80多个电子商务网站以窃取信用卡  网络安全研究人员已经发现80多个Magecart受损的电子商务网站正在活跃地将在线购物者的信用卡信息发送给攻击者控制的服务器。  Aite Group和Arxan Technologies的研究人员今天在与黑客共享的一份报告中透露,在美国,加拿大,欧洲,拉丁美洲和亚洲经营业务,其中许多受到侵害的网站都是赛车运动和高端时尚的知名品牌。  在一个日益数字化的世界中,Magecart攻击已成为电子商务网站的主要网络安全威胁。  Magecart是一个专门用于秘密植入的不同网络犯罪团体的总称,在线信用卡浏览受到破坏的电子商务网站,意图窃取其客户的支付卡详细信息。  这些虚拟信用卡收款机,也称为劫持攻击,基本上是JavaScript代码,黑客秘密插入受感染的网站,通常在购物车页面上,旨在实时捕获客户的支付信息并将其发送给远程攻击者控制的服务器。  Magecart最近因为对英国航空公司,Ticketmaster,Newegg和其他公司等大公司进行了几次高调的抢劫而成为新闻报道。

  

Flowchart-Magecart-Formjacking-Attack

 

  新披露的活动不属于一群Magecart黑客; 相反,研究人员使用源代码搜索引擎在互联网上搜索混淆的JavaScript,其中包含以前在Magecart虚拟信用卡收视器中看到的恶意模式。  根据研究人员的说法,这项技术使他们能够快速发现超过80个被Magecart小组攻陷的电子商务网站,其中大多数被发现运行过时的Magento CMS版本,这些版本容易受到未经身份验证的上传和远程代码执行漏洞的攻击。  “没有应用内保护,例如代码混淆和篡改检测,使得网络应用容易受到一种称为劫持的网络攻击,”研究人员说。  “许多受感染的网站都在运行版本1.5,1.7或1.9。任意文件上传,远程代码执行和跨站点请求伪造漏洞都会影响Magento 2.1.6及更低版本。虽然它无法以权威方式声明这就是导致这些网站遭到破坏的原因,这些是Magento的易受攻击的版本,允许攻击者将表格劫持代码注入网站。“  尽管研究人员尚未在其报告中对受损公司进行命名,但他们与联邦执法部门合作,在发布报告之前通知所有受影响的组织以及场外服务器。  “因为这是一个持续和积极的项目,我们决定不命名受害者网站,”研究人员告诉黑客新闻。  此外,研究人员还分析了Magecart的货币化活动,发现除了在黑暗的网络论坛上销售被盗的支付卡数据外,攻击者还在合法的在线购物网站上购买商品并将其运送到预先选定的商品骡子以试图洗钱欺诈性交易。  研究人员说:“为了招募商品骡子,攻击者会发布工作,让人们有能力在家工作并赚取大笔资金来接收和重新购买被盗信用卡号码所购买的商品。”  然后骡子与当地托运人合作,他们获得桌上付款,将商品送到东欧目的地,然后出售给当地买家,最终使攻击者获利,成为第二线收入。  研究人员建议电子商务网站首先将平台软件更新或修补到最新版本,以保护他们免受已知漏洞攻击。  除此之外,电子商务网站还应实施代码混淆和白盒密码术,以使对手无法读取Web表单,以及检测未经授权的网站文件修改的解决方案。  我们还建议在线购物者定期查看其支付卡详细信息和银行对帐单,以了解任何不熟悉的活动。无论您注意到多少未经授权的交易,您都应该立即向您的金融机构报告。  参考来源:TheHackerNews

  (六)托管服务商Hostinger数据泄露影响近1400万客户  主机提供商Hostinger今天宣布,在最近发生的数据泄露事件允许未授权访问客户端数据库后,该公司重置了1400万客户的登录密码。  事件发生在8月23日,第三方能够访问用户名,用户hash密码,电子邮件,名字和IP地址。  服务器存在未授权访问  Hostinger 今天在一篇博客文章中提供了有关该事件的更多细节,称未经授权的一方访问了他们的一个服务器,然后能够获得对客户信息的进一步访问。  这是可以实现的,因为服务器具有授权令牌,允许访问和权限提升到用于查询客户帐户、电话号码、家庭住址和公司地址等信息的RESTfulAPI。  "这个API数据库包括我们的客户用户名、电子邮件、hash密码、名字和IP地址,已被未授权访问。存储客户端数据的数据库表中包含大约1400万Hostinger用户的信息。"  该公司表示,财务数据和网站没有受到任何影响。Hostinger服务的付款是通过第三方提供商完成的,内部调查表明,有关网站、域名和托管电子邮件的数据“没有受到影响”。  设置复杂的密码  hash密码是防止入侵者以明文获取敏感信息的一种好方法。但是,由于该公司使用sha1算法进行加扰,主机客户端的密码可能仍然存在风险。  受该事件影响的一位Hostinger的客户联系了该公司,询问用于加密密码的哈希算法。收到的答复是数据已使用SHA-1进行哈希处理,现在SHA-2用于重置密码。  参考来源:BleepingComputer

  (七)卡巴斯基在下载量过亿的应用CamScanner中发现了恶意软件  卡巴斯基的安全专家在流行的PDF创建者应用程序CamScanner应用程序的免费版本中发现了一个恶意软件。  CamScanner是一款非常受欢迎的手机PDF创建者应用,在Google Play商店中下载量超过1亿。卡巴斯基的专家发现了CamScanner应用程序的免费Android版本中的恶意软件,攻击者可以使用它远程攻击Android设备并窃取目标数据。

  

camscanner

 

  谷歌已经从官方Play商店中删除了CamScanner应用程序,用户必须立即从他们的Android设备上卸载该应用程序。  恶意软件研究人员在应用程序中发现了一个Trojan Dropper模块,远程攻击者可利用该模块下载和安装恶意负载而无需任何用户交互。  该模块隐藏在最近引入该应用程序作者的第三方广告库中。  许多CamScanner用户观察到可疑行为并在过去几个月内在Google Play商店发布了负面评论后发现了这个问题。  “在分析应用程序后,我们看到其中包含一个包含恶意dropper组件的广告库。以前,经常会找到类似的模块预装中国制造的智能手机上的恶意软件。可以假设添加此恶意软件的原因是应用开发者与不道德的广告客户的合作关系。“读取卡巴斯基发布的分析。  “卡巴斯基解决方案将此恶意组件检测为Trojan-Dropper.AndroidOS.Necro.n。我们向Google公司报告了我们的调查结果,该应用程序已立即从Google Play中删除。  专家指出,在中国智能手机上预装的一些应用程序中也发现了同样的模块。  启动CamScanner应用程序后,dropper会解密并执行存储在应用程序资源中的mutter.zip文件中包含的恶意代码。  该模块可用于执行不同目的的恶意代码,从显示受害者侵入式广告到通过向付费订阅收取移动帐户中的资金。  “卡巴斯基产品将此模块检测为Trojan-Dropper.AndroidOS.Necro。n,我们在一些应用程序中观察到过 预装在中国智能手机上。顾名思义,该模块是 Trojan Dropper。这意味着该模块从应用程序资源中包含的加密文件中提取并运行另一个恶意模块。“读取卡巴斯基发布的分析。“反过来,这个”掉线“的恶意软件是一个特洛伊木马下载程序,可以下载更多恶意模块,具体取决于其创建者目前的情况。”  谷歌从Play商店中删除了CamScanner应用程序后,该应用程序的开发人员使用最新更新从应用程序中删除了恶意代码。研究人员警告说,应用程序的版本因不同的设备而异,其中一些可能仍然包含恶意软件。  付费版本如果应用不包含第三方广告库,这意味着它不包含恶意软件,因此Google尚未将其从Play商店中删除。  最近,通过Google Play商店分发的其他受感染应用案例成为头条新闻。上周,ESET专家发现,感染AhMyth开源RAT的Android应用程序在两周内两次绕过Google Play的安全性。  3月份,Check Point的研究人员发现了一个复杂的恶意软件活动,通过官方Google Play商店传播SimBad代理。据专家介绍,在发现时已有超过1.5亿用户受到影响。  2月,来自ESET的安全研究员Lukas Stefanko 发现了第一个在官方Google Play商店中冒充MetaMask的Android加密货币剪贴板劫持者。  “我们可以从这个故事中学到的是,任何应用程序 - 甚至是官方商店中的一个,甚至是一个声誉良好的应用程序,甚至一个拥有数百万正面评论和忠实用户群的人 - 都可能在一夜之间变成恶意软件”卡巴斯基研究人员总结道。  参考来源:SecurityAffairs

  (八)网络安全公司Imperva泄露了其WAF客户的数据,包括SSL证书、API密钥  网络安全公司Imperva披露了一项数据泄露事件,该数据泄露事件暴露了其云网应用防火墙(WAF)产品(以前称为Incapsula)的一些客户的敏感信息。

  Incapsula是一种云WAF服务,旨在保护客户的网站免受所有威胁,并减轻DDoS攻击必不可少的基础设施。

  Imperva首席执行官Chris Hylen透露,该公司于2019年8月20日获悉该事件,当时该公司了解了影响云网络应用防火墙(WAF)产品的数据风险。“我们希望非常清楚,这种数据暴露仅限于我们的Cloud WAF产品。”Hylen宣布了这一消息。“以下是我们对今天局势的了解:

  在2019年8月20日,我们从第三方那里了解到数据曝光会影响我们的云WAF产品的一部分客户,这些客户的账户截至2017年9月15日。截至2017年9月15日,Incapsula客户数据库的元素已曝光。其中包括:电子邮件地址和哈希和盐渍密码。泄露的数据包括2017年9月15日之前注册的所有Cloud WAF客户的电子邮件地址和散列和盐渍密码。Hylen补充说,截至2017年9月15日,对于Incapsula客户的一部分,公开了API密钥和客户提供的SSL证书。  该公司通知全球监管机构,并在外部法医专家的帮助下启动了对安全漏洞的调查。“我们激活了我们的内部数据安全响应团队和协议,并继续调查我们资源的全部容量如何发生这种风险,”首席执行官继续说道。“我们已通知适当的全球监管机构。我们聘请了外部法医专家。“Imperva没有分享事件的细节,目前还不清楚它是否被黑客入侵,或者基础设施中某些配置错误的组件导致数据泄漏。“我们对此事件的发生深表遗憾,并将继续分享未来的最新情况。此外,我们将分享可能来自我们调查的学习和新的最佳实践,并与更广泛的行业加强安全措施,“该公司总结道。该公司敦促云WAF用户更改其密码,实施单点登录(SSO),启用双因素身份验证(2FA),生成和上传新的SSL证书,以及重置其API密钥。  参考来源:BleepingComputer

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号