安全研究
全部分类

关键信息基础设施安全动态周报【2019年第1期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2019-08-07 01:50
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2019年第1期】天地和兴播报。

关键信息基础设施安全动态周报【2019年第1期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2019年第1期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2019-08-07 01:50
  • 访问量:
详情

  目 录

  第一章国内关键信息基础设施安全动态简讯

  (一)阿里云、金山云等11453家企业被纳入电信业务经营不良名单

  (二)进口勒索“美杜莎” 作祟,盯上国内政企用户

  第二章海外关键信息基础设施安全动态简讯

  (一)美国第一资本银行遭黑客入侵:逾1亿用户信息泄露

  (二)澳大利亚国民银行客户信息泄露 1.3万人受影响

  (三)洛杉矶警方证实数千名警员个人数据被盗

  (四)美一企业销售武器化BlueKeep漏洞利用 或再现WannaCry噩梦

  (五)智利80%人口的选民记录在线曝光

  (六)本田汽车云端数据库未设密码,40GB全球员工信息险遭泄露

  (七)美国工业控制系统联合工作会议将于八月在马塞诸塞州举行

  第一章 国内关键信息基础设施安全动态简讯

  (一)阿里云、金山云等11453家企业被纳入电信业务经营不良名单

  7月31日消息,2019年二季度,电信管理机构根据《电信条例》《电信业务经营许可管理办法》等相关规定,将11453家企业纳入电信业务经营不良名单。

  本批公布的不良名单中,金山云、阿里云、中国联合网络通信有限公司嘉兴市分公司、台州市分公司、中国移动通信集团江西有限公司萍乡分公司、中国电信股份有限公司进贤分公司等15家企业因不配合监督检查、违规提供互联网接入服务、未经同意收集用户信息等行为,受到电信管理机构行政处罚入单,11435家企业因未按规定履行年报义务入单,3家企业因同时存在上述两种情况入单。

  (二)进口勒索“美杜莎” 作祟,盯上国内政企用户

  近日,某团队接到一起勒索病毒入侵事件反馈,用户发现web服务器业务中断,立刻重启服务器后使用深信服EDR查杀隔离病毒,结束加密进程,及时止损。

  经分析,该勒索病毒名为Medusa Ransom,最早于2018年在国外活动,加密后会修改桌面背景为古希腊神话中蛇发女妖“美杜莎”的图片。

  

微信图片_20190807163952

 

  加密文件的同时也加密文件名,并以.[medusa-decryptor@pm.me]作为后缀,释放勒索信息#DECRYPT MY FILES#.TXT:

  分析发现,该勒索病毒加密时是从Z-A遍历目录,并且优先加密数据库相关目录,正是由于这一特点,用户在发现WEB目录被加密,业务出现中断后立即进行响应查杀,成功避免服务器被全盘加密。

  针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。

  第二章 海外关键信息基础设施安全动态简讯

  (一)美国第一资本银行遭黑客入侵:逾1亿用户信息泄露

  29日,美国第七大商业银行、主要信用卡发行商第一资本(Capital One)金融公司的信用卡应用程式和账户被黑客入侵,估计美国和加拿大有一亿零六百万人申请信用卡的个人资料被盗取。联邦调查局(FBI)周一拘捕一名涉案的跨性别女黑客,控告她不正当使用电脑及诈骗罪名。这名女黑客是华盛顿州的一名软件工程师,曾任职网络巨头亚马逊。

  

微信图片_20190807163957

 

  被捕的三十三岁女子名叫汤普森(Paige Thompson),网名“erratic”,自称跨性别,她曾经在亚马逊公司担任网络服务工程师。汤普森周一在西雅图地方法院提堂,法官下令继续把她还柙看管,周四再出庭,到时再决定是否批准她保释。若罪名成立,她最多可判监五年及罚款二十五万美元。

  这是美国近年其中一宗最大规模的黑客入侵事件,第一资本发表声明承认电脑系统失守,行政总裁费尔班克向受影响的客户道歉。初步估计,美国有大约一亿人受到影响,加拿大也有六百万人。

  检方称,汤普森利用第一资本系统防火墙的漏洞,通过攻击该银行租借的云计算服务器进入数据库。据报亚马逊正是第一资本的云端服务供应商,CNN说,汤普森曾在美国代码存放网站和开源社区Github上放出她窃取的数据。

  (二)澳大利亚国民银行客户信息泄露 1.3万人受影响

  据《每日邮报》报道,澳大利亚第四大银行国民银行(NAB)有1.3万名客户的个人信息被违规上传至两家数据服务公司,该行表示正在与受影响的客户联系。周五,国民银行针对此事表示,该情况并非网络安全问题,并称没有账户登陆信息或密码被泄露。

  其首席数据官克里斯普(Glenda Crisp)在银行的官网上发表声明称,该问题是由于人为错误引发,违反了澳洲国民银行的数据安全政策。被上传的数据包括客户的姓名、生日和联系方式,以及部分客户的政府身份证号码等。没有证据显示这些信息被复制或进一步泄露。两家数据公司也向澳洲国民银行表示,在收到这些数据的2小时内,已将其删除。

  据悉,一周前,澳洲国民银行聘请麦克尤恩(Ross McEwan)作为该行新的首席执行官,麦克尤恩是帮助苏格兰皇家银行(Royal Bank of Scotland)扭转局势的功臣。该行希望,在经历针对银行业的公开调查结果的打击后,能够赢回客户的信任。

  (三)洛杉矶警方证实数千名警员个人数据被盗

  据外媒报道,洛杉矶警察局周一在一份声明中表示,他们近日发现了该市人事部门记录被盗的情况,并在上周末通知了受此影响的警员,有2500名洛杉矶警员和1.75万警队申请人的个人信息被盗。但他们并未披露这些信息具体何时被盗。

  “洛杉矶警察局正在与我们城市的合作伙伴合作,以更好地了解数据泄露的程度和影响。”洛杉矶警察局在一份声明中说,“我们也正在采取措施,确保该部门的数据受到保护,不会再遭到任何入侵。”

  据当地新闻台NBCLA披露,发给警员的通知邮件显示,遭泄的数据包括官员的姓名、出生日期、部分员工工号,以及他们在申请工作时设置的电子邮件地址和密码。

  洛杉矶警察局没有说明是否知道谁是这次泄密事件的幕后黑手。除了官方声明之外,他们拒绝置评。洛杉矶市长办公室没有立即回复置评请求。

  (四)美一企业销售武器化BlueKeep漏洞利用 或再现WannaCry噩梦

  外媒 ZDNet 近日报道称,作为渗透测试实用程序的一部分,一家美国网络安全公司正在销售武器化的 BlueKeep 漏洞利用工具。BlueKeep 安全漏洞的代号为 CVE-2019-0708,是旧版 Windows 操作系统中包含的远程桌面协议(RDP)服务中存在的一个 bug 。

  5 月 14 日,微软发布了针对 BlueKeep 的修补程序,为这个“易受攻击”的漏洞打上了补丁,以阻断类似 WannaCry 的勒索软件的传播。

  

微信图片_20190807163948

 

  鉴于该漏洞的危险性,微软一再告诫用户部署该补丁,甚至美国国家安全局(NSA)、国土安全部、德国 BSI 网络安全机构、澳大利亚网络安全中心和英国国家网络安全中心都发布了相应的预警。

  过去两个月,安全研究人们一直在对这方面的漏洞攻击事件保持密切关注,以杜绝恶意软件使用 BlueKeep 这个大杀器漏洞。

  一些网络安全企业却表示,它们已经开发出了能够全面运作的 BlueKeep 漏洞利用工具。但因担心被滥用,而拒绝发布概念验证代码。显然,如果被别有用心者使用,BlueKeep 很可能引发又一轮类似 WannaCry 的勒索软件攻击。

  令人震惊的是,上周二(7 月 23 日),一家名叫 Immunity 的公司竟然宣布,它们已经在 CANVAS v7.23 测试工具包中,集成了一款完全可用的 BlueKeep 漏洞利用工具。

  此前上传到 GitHub 的几个 BlueKeep 漏洞代码,已被证实可在开放 RDP 服务的网络中执行远程攻击、导致 Windows 系统出现崩溃。而 Immunity 的 CANVAS BlueKeep 漏洞利用模块,就可以实现类似的远程代码执行 —— 在受感染的主机上打开 shell 。尽管 CANVAS 的许可费用在数千到数万美元,但对于别有用心的攻击者来说,总能找到合法或盗版的渗透测试工具。

  

微信图片_20190808104358

 

  外媒指出,此举意味着 BlueKeep 漏洞首次可被公开利用。尽管受众相对有限,但只要付得起钱,攻击者就可拿 CANVAS 渗透测试工具包为所欲为。

  (五)智利80%人口的选民记录在线曝光

  据外媒ZDNet报道,超过1430万智利人的选民信息,占该国全部人口的近80%,在Elasticsearch数据库中被暴露并泄露在互联网上。泄露的数据库包含14,308,151个人的姓名,家庭住址,性别,年龄和税号。

  ZDNet已经确认了这些信息的有效性和准确性,智利选举服务(Servel)的发言人也证实了数据的真实性; 然而,他们否认拥有泄漏的服务器。

  ZDNet私人消息来源和Servel发言人都表示,存储在美国托管服务提供商网络上的Elasticsearch服务器上存储的数据至少有两年的历史,故泄露的信息应是2017年的数据。

  询问该机构是否允许第三方访问其数据以构建与选举相关的应用程序,Servel表示“不向外部承包商提供关键服务数据的访问权”。

  在撰写本文时,服务器仍处于在线状态。Wizcase团队在他们的博客上发布了关于漏洞服务器的自己的报告。WizCase的研究人员评估说,该服务器包含“几乎每个智利成年人”的数据,其中包括备受瞩目的政治家。

  (六)本田汽车云端数据库未设密码,40GB全球员工信息险遭泄露

  8月1日下午消息,据台湾地区科技媒体报道,安全研究人员发现,日本汽车大厂本田汽车(Honda Motor)一个包含全球所有员工信息的数据库,由于未设密码很可能会被人一览无余。在接到通报之后,本田已经修补了相关漏洞。

  7月初,安全研究人员Justin Paine在网络上发现本田汽车一个未设密码的ElasticSearch数据库,似乎是本田汽车在全球所有员工电脑的库存管理数据库。这个数据库今年3月中旬才上线,但至今累积的数据量高达40GB,包含约1.34亿份文件。

  经过检查,这批陷遭暴露的数据包括几乎所有本田电脑相关信息。其中一个表格包含员工电子邮件、部门名称、本田机器主机名称、MAC位置、内网IP、操作系统版本,另一个表格则有员工姓名、部门、员工编号、帐号、手机号码及最近登录时间。研究人员甚至发现本田CEO的完整电子邮件、全名、MAC位置、Windows操作系统版本、IP及设备类型。

  研究人员通知本田后,后者已于当天封闭漏洞。本田表示,经过追查系统日志,未发现有任何遭到第三方人士下载的迹象,目前也没有数据外泄的证据。本田表示已做好相关强化,确保未来不会重蹈覆辙。

  (七)美国工业控制系统联合工作会议将于八月在马塞诸塞州举行

  美国网络安全和基础设施安全局(CISA)主办的工业控制系统联合工作组2019秋季会议(ICSJWG)将于2019年八月27日至29日在马塞诸塞州春田市举行,目的以促进信息共享并降低国家工业控制系统的风险。

  

微信图片_20190807163922

 

  ICSJWG为联邦机构和部门之间的所有关键基础设施部门以及工业控制系统的私人资产所有者/运营商之间的通信和合作提供了工具。ICSJWG的目标是通过加速安全工业控制系统的设计,开发和部署,继续并加强工业控制系统利益相关方社区在确保关键基础设施方面的协作。

  会议可在2019年8月21日前参加报名,并提交材料接受审查。

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号