安全研究
全部分类

关键信息基础设施安全动态周报【2020年第17期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-04-30 13:35
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第17期】天地和兴播报。

关键信息基础设施安全动态周报【2020年第17期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第17期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-04-30 13:35
  • 访问量:
详情

  目 录

  第一章 国内关键信息基础设施安全动态

  (一)谛听发布《2019年工业控制网络安全态势白皮书》

  (二)《网络安全审查办法》发布

  (三)第45次《中国互联网络发展状况统计报告》发布

  (四)汇医慧影新冠病毒AI医疗影像数据被公开出售

  第二章 国外关键信息基础设施安全动态

  (一)ABB DCS中存在高危漏洞可致工业系统中断

  (二)Ignition Gateway中存在高危DoS漏洞可导致工厂中断

  (三)以色列水利基础设施遭受重大网络攻击

  (四)勒索软件Shade关闭并公布所有秘钥

  (五)黑客建立虚假英国NHS网站传播恶意软件并窃取数据

  (六)生物制药公司ExecuPharm遭受勒索软件Clop攻击

  (七)以新冠病毒为主题的网络攻击数量增加了300倍

  (八)安全专家警告人工智能将被用于发动网络攻击

  (九)Sophos防火墙产品中存在SQL注入0 Day漏洞

  (十)新型安卓移动恶意软件针对欧洲金融领域

  (十一)越南黑客利用Google Play开展PhantomLance间谍活动

  (十二)Apple的ImageIO框架中存在多个漏洞

  

       第一章 国内关键信息基础设施安全动态

  (一)谛听发布《2019年工业控制网络安全态势白皮书》

  4月26日,东北大学“谛听”网络安全团队撰写并发布了《2019年工业控制网络安全态势白皮书》,该报告内容包含2019年典型工控安全标准、法规分析及典型工控安全事件分析,同时该报告对工控系统漏洞、工控系统攻击、联网工控设备进行了阐释及分析,有助于全面了解工业控制系统安全现状,多方位感知工业控制系统安全态势,为研究工控安全相关人员提供参考。

  本文版权归原作者所有,参考来源:谛听 http://dwz.date/aw7K

 

  (二)《网络安全审查办法》发布

  为了确保关键信息基础设施供应链安全,维护国家安全,国家互联网信息办公室、发展改革委、工信部等12部门27日联合发布《网络安全审查办法》。《办法》将于今年6月1日起实施。

  第一条 为了确保关键信息基础设施供应链安全,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,制定本办法。

  第二条 关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。

  第三条 网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务安全性、可能带来的国家安全风险等方面进行审查。

  第四条 在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。

  网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。

  第五条 运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。

  关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。

  第六条 对于申报网络安全审查的采购活动,运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。

  第七条 运营者申报网络安全审查,应当提交以下材料:

  (一)申报书;

  (二)关于影响或可能影响国家安全的分析报告;

  (三)采购文件、协议、拟签订的合同等;

  (四)网络安全审查工作需要的其他材料。

  第八条 网络安全审查办公室应当自收到审查申报材料起,10个工作日内确定是否需要审查并书面通知运营者。

  第九条 网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下因素:

  (一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;

  (二)产品和服务供应中断对关键信息基础设施业务连续性的危害;

  (三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;

  (四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;

  (五)其他可能危害关键信息基础设施安全和国家安全的因素。

  第十条 网络安全审查办公室认为需要开展网络安全审查的,应当自向运营者发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见;情况复杂的,可以延长15个工作日。

  第十一条 网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起15个工作日内书面回复意见。

  网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见一致的,网络安全审查办公室以书面形式将审查结论通知运营者;意见不一致的,按照特别审查程序处理,并通知运营者。

  第十二条 按照特别审查程序处理的,网络安全审查办公室应当听取相关部门和单位意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知运营者。

  第十三条 特别审查程序一般应当在45个工作日内完成,情况复杂的可以适当延长。

  第十四条 网络安全审查办公室要求提供补充材料的,运营者、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。

  第十五条 网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。

  第十六条 参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权,对运营者、产品和服务提供者提交的未公开材料,以及审查工作中获悉的其他未公开信息承担保密义务;未经信息提供方同意,不得向无关方披露或用于审查以外的目的。

  第十七条 运营者或网络产品和服务提供者认为审查人员有失客观公正,或未能对审查工作中获悉的信息承担保密义务的,可以向网络安全审查办公室或者有关部门举报。

  第十八条 运营者应当督促产品和服务提供者履行网络安全审查中作出的承诺。

  网络安全审查办公室通过接受举报等形式加强事前事中事后监督。

  第十九条 运营者违反本办法规定的,依照《中华人民共和国网络安全法》第六十五条的规定处理。

  第二十条 本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。

  本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。

  第二十一条 涉及国家秘密信息的,依照国家有关保密规定执行。

  第二十二条 本办法自2020年6月1日起实施,《网络产品和服务安全审查办法(试行)》同时废止。

  本文版权归原作者所有,参考来源:网信办 http://dwz.date/aw8A

 

  (三)第45次《中国互联网络发展状况统计报告》发布

  4月28日,中国互联网络信息中心CNNIC发布第45次《中国互联网络发展状况统计报告》。《报告》围绕互联网基础建设、网民规模及结构、互联网应用发展、互联网政务发展、产业与技术发展和互联网安全等六个方面,力求通过多角度、全方位的数据展现,综合反映2019年及2020年初我国互联网发展状况。

  截至2019年12月,国家信息安全漏洞共享平台收集整理信息系统安全漏洞16193个,其中高危漏洞4877个,较2018年底下降0.4%。

  2019年是世界互联网诞生50周年,也是我国全功能接入国际互联网的第25年。当前,新一轮科技革命和产业变革加速演进,人工智能、大数据、物联网等新技术新应用新业态方兴未艾,互联网将迎来更加强劲的发展动能和更加广阔的发展空间,互联网安全也在变化和发展中不断前进。

  本文版权归原作者所有,参考来源:网信办 http://dwz.date/awFS

 

  (四)汇医慧影新冠病毒AI医疗影像数据被公开出售

  据网络安全公司Cyble披露,医疗影像 AI 公司汇医慧影被黑客入侵,该公司的新冠病毒检测技术数据 ,正在被黑客以 4 个比特币的价格出售。发起该事件的黑客疑似为THE0TIME。此次出售的数据具体包括150MB的新冠病毒实验室研究成果、1GB技术相关内容,以及检测技术源代码,还有1.5 MB用户数据。

  汇医慧影表示,遭到攻击的服务器本身实为用于培训公益平台的服务器,并非汇医慧影的 AI 算法平台和业务生产平台。黑客盗取的仅是培训资料,没有 AI 源代码,更没有客户数据。

  天地和兴工控安全研究院编译,参考来源:Medium http://dwz.date/awF8

 

  第二章 国外关键信息基础设施安全动态

  (一)ABB DCS中存在高危漏洞可致工业系统中断

  工业网络安全公司Applied Risk的研究人员William Knowles在ABB System 800x中发现多个严重漏洞,包括可用于远程代码执行、拒绝服务(DoS)攻击和权限提升的漏洞。

  System 800xA是ABB Ability产品组合的一部分,在100个国家和地区安装了1万个,监视和控制着超过5000万个标签。ABB表示,该产品还可以用作电气控制系统和安全系统。

  Knowles表示,这些漏洞可以让具有网络访问权限的攻击者在目标系统上造成 DoS条件,或者在操作员的计算机上获得初始立足点。研究人员指出,即使目标操作员的权限有限,攻击者也可以利用其中的一些漏洞获得完全的管理访问权限。

  虽然利用这些漏洞不太可能让攻击者因为通常部署在工业环境中的安全控制系统而造成破坏,但仍可利用这些漏洞造成破坏。“即使攻击者可以在不进行额外工作的情况下危害分布式控制系统,也只会使其处于可能导致关机或修改某些行为方面的位置,但不一定会导致爆炸。”

  Knowles总共发现了16个有CVE编号的漏洞。其中一些漏洞已经修补,ABB承诺尚未修补的漏洞会在未来一段时间内发布修复程序。同时,ABB在发布的公告中介绍了解决方法和缓解措施。

  漏洞CVE-2020-8477是最严重的漏洞之一,影响系统800xA的信息管理器组件的远程代码执行问题。该漏洞与名为ABBTracer的组件有关,通过说服用户访问恶意网站,无需身份验证即可进行远程利用。利用此漏洞还可能导致各种功能中断。

  ABB尚未发布该漏洞的补丁程序,但该公司告诉客户,删除ABBTracer组件将解决此问题。ABBTracer是一个内部支持工具,不应该包含在软件的生产版本中。

  技术上讲,尽管可以从互联网上直接利用该漏洞,但Application Risk指出,在绝大多数情况下,易受攻击的系统无法访问互联网。但实际上,对于Application Risk发现的所有漏洞,对目标系统具有网络访问权限的攻击者都可能进行远程攻击,但实际上托管受影响DCS的网络与其他网络是隔离的。

  Knowles还发现了几个严重漏洞,经过身份验证的低权限远程攻击者可以利用这些漏洞造成DoS条件并可能提升权限。这些漏洞是由弱内核对象权限、弱文件权限和弱注册表项权限引起的。这些漏洞影响各种组件,包括OPC和MMS服务器、应用程序测试控制器、连接和通信组件、批处理管理软件以及信息管理软件。

  应用风险研究人员在ABB中央许可系统中也发现了一些漏洞。利用这些漏洞,攻击者获得可用于完全控制目标设备的信息、阻止许可证处理、升级特权或执行任意代码。 然而,许多这些漏洞需要身份验证才能被利用。受影响的许可证管理系统不仅被System 800xA使用,还被Compact HMI、Control Builder Safe、Composer产品以及其他Ability产品使用。ABB表示,没有发现证据表明这些漏洞中的任何一个已被用于恶意目的。

  天地和兴工控安全研究院编译,参考来源:SecurityWeek http://dwz.date/awrv

 

  (二)Ignition Gateway中存在高危DoS漏洞可导致工厂中断

  工业网络安全公司Claroty发现,工业自动化软件提供商Inductive Automation生产的Ignition Gateway产品中存在一个严重的DoS漏洞,可使黑客能够通过Web浏览器监视其工业控制系统。该产品主要在美国用于IT、能源、关键制造业等领域。

  该漏洞编号为CVE-2020-10641,评级为严重,存在不当的访问控制问题。该产品3月中旬发布的8.0.10版本解决了这个安全漏洞。

  在CISA的报告中表示,“不受保护的日志记录路径可能使攻击者无需空间限制或身份验证就可以将无尽的日志语句写入数据库。这将导致整个可用硬盘空间被消耗,从而导致服务被拒绝。”

  Claroty的研究团队负责人Nadav Erez表示,任何可以通过网络访问服务器的攻击者都可以利用此漏洞。“不需要身份验证,攻击者实现该连接所需的全部就是与服务器的连接。因此,按照Inductive Automation建议中的建议,强烈建议所有Ignition资产所有者更新到最新版本,将服务器日志配置为安全配置,或者阻止来自不安全来源的任何传入流量。对于任何暴露在互联网上的现有Ignition服务器而言,这尤其重要。”

  Erez表示,利用此漏洞可能会导致运行Ignition软件的服务器出现完全DoS状态。“由于该软件主要用于提供过程的可见性,因此Ignition服务器的丢失可能会损害甚至停止工厂中的过程。此外,该漏洞的性质意味着Ignition SCADA服务器不仅将停止运行,而且还将禁用在同一主机上运行的任何其他应用程序。”

  Inductive Automation是今年早些时候在Pwn2Own Miami黑客大赛中以白帽黑客为目标的供应商之一,该竞赛主要针对工业控制系统。Claroty研究人员在准备ICS Pwn2Own时发现了此漏洞。该供应商在收到技术信息后不到两个月就解决了该问题。参加Pwn2Own的研究人员发现了Inductive Automation的Ignition产品中的漏洞,因此总共获得了50,000美元的奖金。但是,多个团队发现了一些相同的漏洞,重复的没有得到任何奖金。

  天地和兴工控安全研究院编译,参考来源:SecurityWeek http://dwz.date/avB9

 

  (三)以色列水利基础设施遭受重大网络攻击

  以色列国家网络管理局(INCD)近日发出警告,该国的废水处理厂、泵站、污水处理设施的SCADA系统遭受了网络攻击,建议水利和能源部门的组织立即更改所有可访问互联网的控制系统的密码,并减少互联网暴露,并确保所有控制系统软件都是最新的。如果无法更改密码,该机构建议立即使系统下线,直到可以安装适当的安全系统为止。

  该攻击事件发生于4月24日和25日,攻击了以色列全国各地的水利设施。该攻击事件没有造成运营损失,并建议遭受攻击的组织立即报告该事件,特别是在水中使用氯的设施。

  网络安全公司ClearSky认为该事件或与伊斯兰黑客组织JEArmy或阿拉伯黑客组织Gaza Cybergang有关。

  天地和兴工控安全研究院编译,参考来源:Ynet http://dwz.date/au5n

 

  (四)勒索软件Shade关闭并公布所有秘钥

  近日勒索软件Shade(Troldesh)宣布停止运营,并公布了超过75万个解密秘钥,对受害者表示诚挚的歉意,受害者可使用这些秘钥来解密文件。

  老牌勒索软件Shade于2014年首次被发现,主要针对俄罗斯和乌克兰地区的人们,多年来一直活跃,直至2019年底关闭之前活动逐渐减少。

  本周末,Shade运营者创建了一个GitHub存储库,并声明他们在2019年底停止了分发勒索软件,从而揭示了活动量减少的原因。作为此声明的一部分,勒索软件运营者对他们的行为表示歉意,并提供有关如何使用释放的密钥恢复文件的说明。

  在GitHub上的帖子中表示,“我们是创建该特洛伊木马加密程序的团队,通常被称为Shade、Troldesh或Encoder.858。实际上,我们在2019年底停止了该软件分发。现在,我们决定将此事画上句号,公布我们所有的解密密钥(总共超过75万个);我们还发布了我们的解密软件;我们也希望防病毒公司能够拥有这些密钥,发布自己的、更加用户友好的解密工具。与我们活动相关的所有其他数据都已被不可撤销的销毁,包括该木马的源代码。我们向该木马软件所有的受害者道歉,并希望我们发布的密钥能够帮助他们恢复数据。”

  该数据库中包含五个主解密密钥、超过75万个的单独受害者的解密密钥、有关如何使用这些秘钥的说明、以及链接到解密程序的链接。然而,使用该解密程序的方法并不是很简单,受害者很难正常使用它。

  卡巴斯基实验室的的研究人员Sergey Golovanov证实了这些秘钥的有效性,可以使用这些秘钥解密测试机。同时Golovanov还表示,卡巴斯基正在更新其免费的解密工具RakhniDecryptor,以包含这些秘钥,使受害者共容易免费恢复文件。

  天地和兴工控安全研究院编译,参考来源:BleepingComputer http://dwz.date/au8j

 

  (五)黑客建立虚假英国NHS网站传播恶意软件并窃取数据

  IT安全公司卡巴斯基近日发现,黑客正在冒充英国国家卫生局(NHS)的官方网站来传播恶意软件感染。黑客通过要求用户在访问虚假网站以查看与健康相关的建议后点击某些恶意链接。黑客使用的话题包括:有关留在家中的建议、使用111冠状病毒服务、如何避免感染。

  一旦用户单击连接,并不会提供相关信息,而是要求用户下载一个名为“ COVID19”的文件,该文件实际上是一个信息窃取木马恶意软件。

  然后,该木马软件会窃取密码。包括受害者计算机的文件、Cookie、以及受害者浏览器中的付款信息(例如信用卡/借记卡号)。此外,加密货币钱包也可以成为窃取目标。

  最后,为了防止攻击,建议用户仅从信誉良好的来源下载文件,并同时运行防病毒软件以扫描它们的恶意软件。此外,应格外小心,以确保访问真实的网站。为此,不要点击来自未知来源的电子邮件中的链接,同时仔细检查他们访问的网站的URL。

  天地和兴工控安全研究院编译,参考来源:Hackread http://dwz.date/awB5

 

  (六)生物制药公司ExecuPharm遭受勒索软件Clop攻击

  4月17日,美国生物制药公司ExecuPharm向消费者发布数据泄露通知,称其3月13日遭受了勒索软件CLOP攻击,导致一些公司及员工的信息泄露,包含社会安全号码、财务信息、驾照号码、护照号码、及其他敏感数据。

  ExecuPharm是美国生物制药公司Parexel在宾夕法尼亚州的子公司,为生物制药公司提供临床试验管理工具。

  ExecuPharm在发送给佛蒙特州总检察长办公室的数据泄露通知中表示,“我们已经通知了美国联邦和地方执法部门,并聘请了领先的第三方网络安全公司调查事件的性质和范围。ExecuPharm也正在按要求通知相关部门。”

  泄露的数据包括ExecuPharm员工社会安全号码、纳税人身份证、驾驶执照号码、护照号码、银行账号、信用卡号码、保险号码、身份证号码等。受影响的还有母公司Parexel的“精选人员”,他们的数据存储在ExecuPharm的数据网络中。据ExecuPharm的网站显示,受影响的大约有5000人。

  此次攻击的幕后黑手为勒索软件CLOP,并泄露一些该公司的数据。这种策略名为“双重勒索”,不仅会对受害者的文件进行加密,而且还会盗取数据,并威胁受害者,如果不支付赎金就会公开数据。目前已有数据发布到勒索软件CLOP在暗网上的网站,该网站包含大量数据缓存,其中包括从ExecuPharm系统窃取的数千封电子邮件、财务和会计记录、用户文档和数据库备份。

  Thycotic首席安全科学家兼顾问CISO约瑟夫•卡森表示,“不幸的是,对于ExecuPharm来说,攻击者已经开始发布员工的个人数据,其中包括一些非常敏感的数据,这些数据可能被用来窃取身份或造成财务欺诈。目前,尚不清楚ExecuPharm将采取何种方法,他们有多少服务不可用,或者他们是否制定了经过计划和测试的事件响应计划。公司需要改变对勒索软件的处理方式,而不是在事件发生后试图恢复,特别是在这个混乱的时期,许多员工远程工作,使更多的公司面临风险。”

  目前有多个勒索软件使用这种双重勒索方法,包括Maze、DoppelPaymer、Sodinokibi等。自新冠病毒流行以来,有些勒索软件组织表明不会攻击医疗机构。CLOP表示不会攻击医院、疗养院、慈善机构,但不包括ExecuPharm这类的商业制药公司,因为其是唯一从疫情中受益的公司。

  目前尚没有已知的CLOP的解密工具。

  天地和兴工控安全研究院编译,参考来源:threatpost http://dwz.date/av6T

 

  (七)以新冠病毒为主题的网络攻击数量增加了300倍

  云安全公司Zscaler的安全研究人员发现,与1月份首次发现利用新冠病毒为主题的网络攻击相比,3月份利用新冠病毒的恶意攻击事件增长了300倍,检测到约有38万次恶意攻击。

  该数字1月份约为1200次,二月份约为10000次。Zscaler检测到针对远程企业用户的利用新冠病毒的网络钓鱼攻击增加了85%,恶意站点和阻止的恶意软件样本增加了25%,针对企业用户的威胁增加了17%。研究人员还发现了超过13万个与新冠病毒相关的可疑新注册域名,包括测试、口罩、武汉、试剂盒等。

  该报告表示,利用新冠病毒的网络钓鱼攻击主要针对是公司和消费者。“在企业方面,鱼叉式网络钓鱼电子邮件的设计看起来像是来自收件人的企业IT团队或薪资部门。在消费者方面,恶意电子邮件要求提供个人信息,以帮助个人获得政府的刺激资金,同时还有利用新冠病毒的募捐活动。”

  根据每日最新统计数据,美国联邦贸易委员会FTC表示,自2020年1月以来,收到的消费者投诉与冠状病毒相关的诈骗损失超过1900万美元。十天前该数字刚刚超过1200万美元。3月底,思科Talos检测到基于新冠病毒的域名注册数量增加,正在为利用新冠病毒救济为主题的攻击做准备。FTC在2月还警告消费者,诈骗者利用该病毒通过网络钓鱼电子邮件、短信和社交媒体吸引潜在的美国目标。

  谷歌表示,Gmail的内置恶意软件扫描器在一周内拦截了约1800万封利用新冠病毒为主题的钓鱼和恶意电子邮件。

  根据Microsoft每周从数千个电子邮件网络钓鱼活动收集的数据,在每百万条目标邮件中,约有6000起包含与新冠病毒相关的恶意附件或URL。微软表示,“一天之内,SmartScreen就可以发现并处理超过18,000个以新冠病毒为主题的恶意URL和IP地址。”基于Microsoft的威胁情报,恶意攻击的实际数量并未增加。恶意攻击者只是重新利用了在先前攻击中使用的基础结构,并对攻击活动进行了重新调整,加入了新冠病毒主题。Microsoft 365安全公司副总裁Rob Lefferts表示,“虽然这个数字听起来非常大,但需要注意的是,这个数字还不到不足我们主动跟踪并每天防御的威胁总数的百分之二,这进一步说明威胁的总数并未增加,但攻击者正在改变其技术以利用恐惧。” Microsoft 365安全公司副总裁Rob Lefferts说。

  4月初,美国CISA和英国NCSC联合发出了有关持续利用新冠病毒进行攻击的联合警报,称网络犯罪和有国家支持的APT组织都在积极利用新冠病毒全球蔓延的主题发起攻击。

  为了防范利用新冠病毒为主题的攻击,Zscaler建议: 坚持使用知名的新冠病毒信息来源;警惕通过电子邮件请求紧急资金,即使发件人似乎来自已知联系人,也请致电发件人确认;不要打开来自未知来源的链接或附件;启用双因素身份验证;修补操作系统并应用安全更新;激活所有金融交易的短信/电子邮件通知。

  天地和兴工控安全研究院编译,参考来源:BleepingComputer http://dwz.date/avJc

 

  (八)安全专家警告人工智能将被用于发动网络攻击

  随着网络犯罪分子和敌对民族国家越来越希望利用人工智能技术发动攻击,情报和间谍部门需要拥抱人工智能来保护国家安全。

  英国情报与安全局(GCHQ)委托进行了一项关于将AI用于国家安全的研究。该研究警告表示,虽然人工智能的出现为提高国家安全和保障公众安全创造了新的机会,但也带来了潜在的新挑战,包括攻击者部署相同技术的风险。

  英国皇家联合服务防务与安全研究所(RUSI)的报告表示:“恶意组织无疑会寻求利用人工智能来攻击英国,而且最有可能是敌对国家的行为,因其不受同等法律框架的约束,很有可能正在开发或者已经开发好了人工智能的攻击能力。随着时间的推移,包括网络犯罪组织在内的其他威胁组织也将能够利用这些相同的人工智能创新。”

  该报还警告说,在收集、处理和使用个人数据以帮助防止从网络攻击到恐怖主义的安全事件方面,在情报部门使用人工智能还可能引起额外的隐私和人权考虑。

  这项研究概述了三个使用人工智能有助于收集和使用数据以提高效率的关键领域。它们是组织过程的自动化,包括数据管理,以及将人工智能用于网络安全,以识别异常网络行为和恶意软件,并实时响应可疑事件。本文还提出人工智能还可以辅助智能分析,并且通过使用增强智能,算法可以支持一系列的人类分析过程。

  然而RUSI表示,人工智能永远不会取代特工和其他人员。“研究中确定的人工智能用例都不能取代人类的判断。试图在个人层面“预测”人类行为的系统在威胁评估方面的价值可能有限。”

  该报告还指出,使用AI来提高间谍机构的能力还可能引起新的隐私问题,例如围绕个人收集的信息量、可疑行为的案件何时成为积极调查的对象、找到两者之间的界线。

  目前针对大规模监视的案例可能表明使用人工智能可能面临的挑战,而现有的程序指南可能需要改变,以应对在情报中使用人工智能的挑战。

  尽管如此,该报告认为尽管存在一些潜在的挑战,人工智能还是有可能“在许多方面加强情报工作”。

  天地和兴工控安全研究院编译,参考来源:ZDNet http://dwz.date/avDv

 

  (九)Sophos防火墙产品中存在SQL注入0 Day漏洞

  4月26日,网络安全公司Sophos发布了紧急安全更新,修复了其XG企业防火墙产品中的一个零日漏洞,该漏洞已被黑客广泛利用。

  Sophos 4月22日晚首次从客户报告中得知了该零日漏洞,客户在报告中描述“在管理界面中发现可疑的字段值”。调查后Sophos确定这是一起主动攻击而不是产品错误。

  Sophos在今天的安全通报中表示,“这次攻击使用了一个以前未知的SQL注入漏洞,从而获得了对暴露的XG设备的访问权限。”黑客将Sophos XG防火墙暴露在互联网上的管理(HTTPS服务)或用户门户控制面板设备作为攻击目标。黑客利用SQL注入漏洞从设备上下载了有效载荷。然后,此有效负载从XG防火墙窃取了文件。

  被盗的数据可能包括防火墙设备管理员、防火墙门户网站管理员的用户名和哈希密码,以及用于远程访问设备的用户帐户,以及防火墙的许可证和序列号以及用户电子邮件。客户的其他外部验证系统(如AD或LDAP)的密码不受影响。

  该公司表示,在调查期间,没有发现任何证据表明黑客使用被盗窃的密码访问了客户内部网络上的XG防火墙设备或防火墙以外的任何内容。Sophos研究人员将恶意软件命名为Asnarok。

  Sophos表示,它准备并已经推动了自动更新,以修补所有启用了自动更新功能的XG防火墙。该修补程序消除了SQL注入漏洞,阻止进一步的攻击,阻止了XG防火墙访问任何攻击者基础设施,并清除了攻击中的所有残余内容。安全更新还将在XG Firewall控制面板中添加一个特殊的框,让设备所有者知道他们的设备是否已被攻击。

  对于设备遭受攻击的公司,Sophos建议采取一系列措施,其中包括密码重置和设备重启:

  1. 重置门户网站管理员和设备管理员帐户

  2. 重新启动XG设备

  3. 重置所有本地用户帐户的密码

  4. 虽然密码是哈希值,但建议为可能重复使用XG凭据的任何帐户重置密码

  Sophos还建议,如果公司不需要防火墙的管理接口,可以在互联网端口上禁用该功能。

  天地和兴工控安全研究院编译,参考来源:ZDNet http://dwz.date/awvD

 

  (十)新型安卓移动恶意软件针对欧洲金融领域

  安全公司Cybereason的Nocturnus研究小组4月30日表示,在三月份发现了一款新型安卓移动恶意软件EventBot,结合了特洛伊木马和信息窃取程序,能够窃取用户的财务应用程序数据,并对受害者进行秘密监视,已成为重大移动端威胁。

  EventBot的目标是200多种移动金融和加密货币应用程序,包括PayPal、Barclay,CapitalOne UK、Coinbase、TransferWise和Revolut提供的应用程序。专门针对欧洲和美国的金融和银行服务。

  该恶意软件似乎仍在活跃开发中,版本包括0.0.0.1、0.0.0.2和0.3.0.1,以及在代码库中命名以“ test”的ID。

  EventBot滥用Android的辅助功能来危害设备。研究人员认为,除非运营商能够偷偷通过Google Play安全保护,否则下载后很可能会在正式发布后通过流氓APK商店下载后,伪装成合法应用程序的恶意软件首先会请求一组权限。所请求的权限包括对访问辅助功能、程序包安装控件、打开网络套接字的能力、从外部存储读取以及在后台运行的选项等。

  研究人员表示,如果受害者接受了请求,则该恶意软件可以“作为键盘记录程序运行,并可以检索有关其他已安装的应用程序和打开的窗口的内容的通知”,并将自动下载并更新包含金融应用程序目标列表的配置文件。 当前,大多数目标机构位于意大利,英国,德国和法国。

  该软件还可以下载命令和控制(C2)URL。EventBot和C2之间发送的信息使用Base64、RC4和Curve25519进行加密。

  研究人员表示:“所有最新版本的EventBot [也]都包含一个ChaCha20库,与RC4和AES等其他算法相比,该库可以提高性能,然而,它目前并未被使用。这意味着作者将随着时间的推移积极地优化EventBot。”

  该恶意软件从目标设备收集系统数据,获取SMS消息(这是绕过两因素身份验证(2FA)的有用功能),并且能够执行Web注入,获取Samsung屏幕PIN,进行监视以及窃取数据由于滥用了辅助功能,使EventBot可以控制各种功能(例如自动填充)及其键盘记录器模块,因此从用户的设备中也从应用程序中获取了该功能。

  Cybereason认为EventBot将来有可能成为严重的移动威胁,因为它正在不断进行迭代改进,滥用关键的操作系统功能并针对财务应用程序。

  由于该恶意软件仍在开发中,因此Cybereason无法找到任何用于归因的具体链接。然而,EventBot的基础设施和C2确实揭示了与之前在2019年末在意大利进行攻击时发现的Android信息窃取者的潜在链接。

  Cybereason表示,EventBot强调了移动攻击如何变得越来越普遍,这不仅是使用金融应用程序的消费者所面临的问题,而且还依赖于使用相同技术来访问公司财务数据的企业所面临的问题,由于冠状病毒导致转向远程工作,这个问题现在可能变得更加严重。 根据研究人员的说法,现在大约有三分之一的恶意软件针对移动终端,并且EventBot将来有可能成为更大的威胁。

  天地和兴工控安全研究院编译,参考来源:ZDNet http://dwz.date/awD6

 

  (十一)越南黑客利用Google Play开展PhantomLance间谍活动

  4月28日,卡巴斯基实验室发表研究结果显示,过去四年来,涉嫌与越南政府有联系的黑客一直在使用Google Play应用商店来分发恶意软件。

  卡巴斯基发现了一个针对安卓系统的间谍活动,命名为PhantomLance。该活动影响了近10个国家的约300台设备,包括越南、印度、孟加拉国、印度尼西亚、伊朗、阿尔及利亚、南非、尼泊尔、缅甸和马来西亚。研究人员有中等信心该活动与已知黑客组织Ocean Lotus或APT32有关,该组织之前与越南政府有关联。

  虽然攻击者的目标锁定多国用户,但他们似乎特别关注越南的用户。据卡巴斯基说,这一表明黑客正在进行国内和国外的间谍活动。该黑客组织一直在通过应用程序分发其活动,该应用程序可以帮助用户找到越南最近的酒吧,或提供附近教堂的信息。

  卡巴斯基安全研究人员Alexey Firsh在一篇博客中表示,“除了分享APT32对越南的受害者的兴趣外,PhantomLance活动的恶意软件、代码结构和有效载荷与已知的APT32工具重叠。我们将Android活动的集合(Campaign 2014-2017和PhantomLance)归为一组。”卡巴斯基在其分析报告中还发表了危害指标(IoC)。

  这是明显的由国家支持的黑客和骗子滥用Google Play商店诱骗用户下载恶意应用程序的最新例子。前几年,疑似伊朗支持和俄罗斯支持的组织也利用该平台分发恶意软件。 Google在过去的几个月中已经采取措施,改善其在商店中铲除不良行为者的方法,最近宣布与移动安全厂商建立合作伙伴关系。

  卡巴斯基向谷歌报告了他的发现,之后谷歌从官方商店中删除了这些恶意应用。

  卡巴斯基的发现建立在俄罗斯公司Dr.Web去年在Google Play商店上曝光的一组早期恶意软件的基础上 。

  Firsh表示,在为期四年的行动过程中,疑似APT32攻击者开发了多个版本的恶意软件,可能是为了绕过Google Marketplace过滤器。

  黑客使用GitHub上的虚假开发者资料,以及伪造的许可协议,以获得对不包含恶意功能的应用程序的批准。他们稍后会更新应用程序,将其转换为黑客工具。一旦安装在受害者的设备上,这些带有恶意软件的应用程序就能够收集目标的通话记录和地理位置数据,以及关于联系人、短信、设备型号和操作系统版本的信息。

  攻击者还针对不同的设备定制了恶意软件,使其具有不同程度的复杂性。例如,一种类型的恶意软件仅是一种能够在无需用户交互的情况下获得额外权限的软件。另一个将恶意有效负载嵌入到包含解密密钥的加密文件中。在今年出现的另一次迭代中,黑客已经将解密密钥与恶意文件分离了,转而选择通过Google的Firebase传递。

  Firsh表示,“我们针对所有这些的主要理论是,攻击者正在尝试使用多种技术来实现其关键目标,从而绕过Google Marketplace过滤器。”

  根据这些版本中的一些参数,卡巴斯基评估越南黑客仍在试验行动中的某些功能,并可能正在努力建立第三阶段的有效载荷。

  天地和兴工控安全研究院编译,参考来源:Cyberscoop http://dwz.date/awyS

 

  (十二)Apple的ImageIO框架中存在多个漏洞

  Google Project Zero的研究人员发现了ImageIO中的多个漏洞,ImageIO是Apple的iOS和macOS操作系统使用的图像解析API。

  通过将特制的图像文件发送给目标用户,可以通过流行的Messenger应用程序触发图像解析代码中的错误,其中一些错误会影响开源图像库,而不会影响ImageIO框架本身。研究人员认为,在没有用户交互的情况下,利用一些缺陷进行远程代码执行是可能的。

  Google的研究人员确定了总共14个漏洞,其中5个影响了Apple的ImageIO框架,还有9个影响了OpenEXR库,OpenEXR库是一种为计算机图像应用程序创建的高动态范围(HDR)图像文件格式。

  报告给Apple的六个问题中的第一个是影响框架中libTiff使用的缓冲区溢出,该框架没有收到CVE。

  研究人员还报告了在使用无效的大小参数处理DDS图像(CVE-2020-3826)或JPEG图像(CVE-2020-3827)时堆上的越界读取、PVR解码逻辑中的按一错误(CVE-2020-3878)、PVR解码器中的相关错误(CVE-2020-3878),以及在处理OpenEXR图像时的越界读取(CVE-2020-3880)。

  最后一个问题实际上发生在OpenEXR库中,ImageIO捆绑了第三方代码,但无法在上游OpenEXR库中复制,研究人员决定直接将其报告给Apple。

  Google Project Zero的SamuelGroß表示:“一个可能的解释是,苹果公司发布了一个过时版本的OpenEXR库,在此期间,该漏洞已经被上游修复。”

  然而,在发现此漏洞之后,Google的研究人员决定也对开源库进行分析,并确定并向OpenEXR维护人员报告了总共8个可能的独特漏洞。其中包括越界写入(CVE-2020-11764),导致std :: vector越界读取(CVE-2020-11763)、越界memcpy(CVE- 2020-11762)、像素数据和其他数据结构的越界读取(CVE-2020-11760,CVE-2020-11761,CVE-2020-11758)、堆栈上的越界读取(CVE -2020-11765)和整数溢出(CVE-2020-11759)。

  天地和兴工控安全研究院编译,参考来源:SecurityWeek http://dwz.date/awC7

关键词:

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号