安全研究
全部分类

天地和兴工控安全周报【2019年第4期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2019-02-01 10:12
  • 访问量:

【概要描述】○美国发布《2019国家情报战略》 ○法国国防部长:网络战争已经开始 先下手为强 ○AVE_MARIA:在针对意大利油气行业的攻击中发现的新型恶意软件 ○新型勒索软件Anatova开始爆发,手段比Ryuk更加老道 ......

天地和兴工控安全周报【2019年第4期】

【概要描述】○美国发布《2019国家情报战略》
○法国国防部长:网络战争已经开始 先下手为强
○AVE_MARIA:在针对意大利油气行业的攻击中发现的新型恶意软件
○新型勒索软件Anatova开始爆发,手段比Ryuk更加老道
......

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2019-02-01 10:12
  • 访问量:
详情

  ​本文共计23篇摘要,预计阅读时间9分钟,主要内容提要如下:

  ○美国发布《2019国家情报战略》

  ○法国国防部长:网络战争已经开始,先下手为强

  ○AVE_MARIA:在针对意大利油气行业的攻击中发现新型恶意软件

  ○新型勒索软件Anatova开始爆发,手段比Ryuk更加老道

  行业动态

  1

  美国发布《2019国家情报战略》

  2019年1月22日,美国发布了2019年《国家情报战略》文件(Naional Intelligence Strategy,简称NIS)。美国DNI办公室2005年成立以来每四到五年发布一次非机密文件,旨在阐明美国情报界的最主要任务,明确17个情报机构的具体职责。2019年《国家情报战略》为第四版,将作为美国未来四年的情报工作的最高指导文件。

  DNI负责人Daniel R. Coats Director在该文件中说到,“我们的目标是继续成为世界上最好的情报组织。”同时,2019年《国家情报战略》也更好地整合了反间谍与安全问题,并重点聚焦解决网络威胁议题。本报告分为以下几个主体部分:全球战略环境、国家战略目标(其中也包含整合了企业的战略目标)、美国情报组织机构组成、国家情报战略的实施与分工,最后得出报告结论。报告主要内容编译如下:

  原文链接:http://t.cn/E5eXdWO

  2

  法国国防部长:网络战争已经开始,先下手为强

  法国国防部长 Florence Parly 1月22日宣称:网络战已经开始。她声称,欧洲国家的军队将使用网络武器进行攻击与响应,就像使用其他所有常规武器一样,并将设立军方漏洞奖励项目。

  法国国防部长佛罗伦斯.帕尔利(Florence Parly)近日在一次讲话中透露,法国军方将采取更主动的网络行动方针,发展和部署攻击性网络武器,并强化法国军事网络应对网络攻击的能力。她表示,“法国认为网络武器是一个已可用于军事行动的成熟武器,因此法国将采购更多的网络武器装备”。

  帕尔利指出,目前法国关键网络每日平均遭遇两起重大网络攻击,这些网络攻击活动的一部分直接针对法国军事设施,而其他则以法国各关键部门为目标,例如从2017年底持续到2018年4月的一个重大网络攻击事件使得法国海军的整个油料供应链路处于危险之中。帕尔利强调了法国的态度:在发生以法国军事网络为目标的网络攻击活动之时,法国军方将保留根据该国法律、以自己确定的时间及方式进行报复的权力,“不管攻击者来自何处,法国都将摧毁对方的网络攻击武器及其效果”。

  原文链接:http://t.cn/E5loGyR

  3

  美国防情报局中国军方报告分析解放军网络战

  2019年1月15日,美国国防情报局(DIA)发布报告,题为《中国的军事力量——打造一支能打仗打胜仗的部队》。报告对解放军可能在未来冲突中部署网络能力的方式进行了解读。

  报告阐述了中国的国家军事概况(包括威胁判断、国家安全战略、军队作用、军队领导力、国防预算等),回顾了中国的军事条令与战略,重点分析了中国的核心军事能力。报告指出,解放军目前的能力还远不能在全球进行大规模常规力量部署,但中国发展了核能力、太空能力、网络空间能力和其他能力,能打击全球范围的潜在敌人。

  原文链接:http://t.cn/E5loUuP

  4

  斯若登:揭秘美国部署在澳洲的秘密监控设施“Rainfall”

  前 NSA 雇员斯诺登最新泄露的文档,曝光了美国某个位于澳洲北部领地的边远小镇旁的机密设施。这个秘密基地通过监控无线通讯,协助美军展开任务执行。这份文档同样也是来自 2013 年斯诺登泄露 NSA 的机密材料,近期才在 The Intercept 上公开。

  文档显示,秘密设施代号 “Rainfall”,官方的名称叫松树谷(Pine Gap)共同防御设施。这个“松树谷”就是由美国与澳洲共同营运的卫星地面观测站。该设施位于 Alice Springs 之外,部署了前沿的卫星技术,能够获取精准的地理位置情报,帮助美军特定军事力量和无人机攻击做定位。

  原文链接:http://t.cn/EtNtlv8

  5

  美国海军开展赛博安全领域技术研究

  美国军方正遭受持续的赛博攻击。政府机构发布的报告表明,美国防部尚未采取基本的赛博安全措施保护其弹道导弹系统,其所有开发中的导弹、喷气机、舰船和杀伤性装备都易受赛博攻击。因此,美国会责令国防部解决其赛博漏洞问题。目前,美国海军正考虑对36个研究领域提供支持,其中包括赛博安全的3个关键支柱:动态配置、欺骗策略和人工智能。

  原文链接:http://t.cn/EtNcxXZ

  6

  卡巴斯基:GreyEnergy和Zebrocy黑客组织恐有关联

  据外媒报道,卡巴斯基实验室工业控制系统网络应急响应小组(ICS CERT)的安全专家分析了GreyEnergy和Zebrocy两款恶意软件,发现了两者之间的联系。

  GreyEnergy黑客组织至少从2015年开始活跃,在乌克兰和波兰开展侦察和网络间谍活动,并将活动重点放在能源和交通行业等高价值目标上。

  卡巴斯基实验室ICS CERT已经确认了GreyEnergy和Zebrocy之间存在相似性。这两款恶意软件曾于2018年6月同时使用,都被用于攻击哈萨克斯坦多家工业企业。Zebrocy根据黑客组织Sofacy使用的恶意软件而命名,目标大多为中东、欧洲和亚洲地区的政府。

  原文链接:http://t.cn/Et56MsU

  7

  利用PLC自带网络功能劫持PLC

  鉴于内置安全的明显缺失,可编程逻辑控制器(PLC)长久以来都是攻击者眼中诱人的目标。如今,安全研究人员更进一步,将在近期举行的S4大会上演示如何通过PLC本身的高级通信功能控制这些PLC。

  ICS/SCADA网络安全监测公司Indegy高级软件工程师 Roee Stark 发现,可以利用罗克韦尔自动化公司的 CompactLogix PLC 内置的两个通信功能发起网络攻击。网络罪犯或民族国家黑客组织可以将这些功能作为秘密渗透和控制工业过程及运营的新手段,甚至以此摸进目标的IT网络基础设施。

  原文链接:http://t.cn/EtNfTj5

  8

  全国公安厅局长会议强调:要聚焦智慧公安,狠抓关键信息基础设施安全防护

  全国公安厅局长会议1月17日在京召开, 国务委员、公安部党委书记、部长赵克志出席并讲话。

  赵克志要求,要以深化扫黑除恶专项斗争为龙头,坚决打好严打犯罪主动仗。紧紧抓住人民群众反映强烈的突出治安问题。要以查隐患防事故保安全为着力点,坚决打好公共安全治理仗。积极探索对新业态新技术新领域的安全管理新举措,狠抓关键信息基础设施安全防护,深入开展道路交通秩序和安全隐患集中整治行动,全面加强铁路、港航、民航安全防范管理,最大限度防止发生重特大公共安全事故。要以做好重大活动安保工作为牵引,加快完善立体化、信息化社会治安防控体系,全面落实重要目标和人员密集场所的安全防范措施,强化区域警务协作联动,坚决打好社会防控整体仗。

  原文链接:http://t.cn/EtNIQO3

  9

  国家网络安全产业园区建设取得阶段性进展

  1月21日,工业和信息化部、北京市人民政府在京举行国家网络安全产业园区入园企业座谈会。工业和信息化部副部长陈肇雄,北京市委常委、副市长殷勇出席座谈会,为园区揭牌,见证企业入驻签约。

  陈肇雄在讲话中指出,要深刻认识发展网络安全产业的重要意义,全面落实习近平总书记关于网络强国的重要思想,扎实推进网络安全产业园区建设工作,力争把园区打造成服务国家经济社会发展、引领国家网络安全技术产业发展的战略高地。要突出创新驱动引领网络安全产业发展,强化网络安全基础技术、通用技术、关键核心技术创新研究,积极开展新兴融合应用网络安全技术研发布局,构建多领域、多层次网络安全技术创新体系。

  原文链接:http://t.cn/EtNM0ic

  10

  2019年将实施的5项物联网安全技术国家标准

  2018年12月28日,全国信息安全标准化技术委员会归口的27项国家标准正式发布,其中涉及到物联网安全方面的有以下五项标准:

  GB/T 37044-2018 《信息安全技术 物联网安全参考模型及通用要求》

  GB/T 36951-2018 《信息安全技术 物联网感知终端应用安全技术要求》

  GB/T 37024-2018 《信息安全技术 物联网感知层网关安全技术要求》

  GB/T 37025-2018 《信息安全技术 物联网数据传输安全技术要求》

  GB/T 37093-2018 《信息安全技术 物联网感知层接入通信网的安全要求》

  原文链接:http://t.cn/EG784ao

  安全事件

  1

  AVE_MARIA:在针对意大利油气行业的攻击中发现的新型恶意软件

  近日,Cybaze-Yoroi ZLab的研究人员分析了一场在去年最后一个月里针对一家意大利油气资源运营管理公司的网络钓鱼活动。攻击者试图将这些钓鱼电子邮件伪装成由该公司的一家供应商发出的发票和运输确认单,并试图通过包含CVE-2017-11882漏洞利用代码的恶意Excel文件来运行从恶意网站(由攻击者事先攻陷)下载的可执行文件。

  研究人员表示,用于发送钓鱼电子邮件的域名仅在12月中旬存活了几天的时间,它们很可能是专为这场网络钓鱼活动而创建的。

  原文链接:http://t.cn/EtNJIjT

  2

  即将到来的乌克兰大选成为黑客的攻击目标

  据外媒报道,乌克兰发现,乌克兰境内受其他国家支持的黑客攻击数量激增,目的是扰乱即将到来的总统选举,乌克兰政府认为黑客可能来自俄罗斯。

  路透社报道了这一消息,据专家称,黑客加强了对乌克兰政府和政党的攻击,意图破坏原定于3月举行的乌克兰总统选举。

  乌克兰政客称,俄罗斯现已开发出强大的网络武器库,试图干预选举。黑客使用从暗网上购买的证书,对选举官员进行鱼叉式网络钓鱼攻击,该技术与目前对乌克兰能源、交通和银行业进行的网络攻击使用的技术类似。攻击者使用感染病毒的贺卡、购物邀请、软件更新优惠以及其他恶意“钓鱼”材料,来窃取密码和个人信息。

  原文链接:http://t.cn/EtSUxD9

  3

  网络犯罪团伙Silence利用恶意CHM文件瞄准俄罗斯银行

  在2018年11月份,网络安全公司ReaQta发现了这样一条推文,它提到了一场利用CHM(微软于 1998 年推出的基于HTML文件特性的帮助文件系统)文件来传播恶意代码的攻击活动。经过初步分析,ReaQta的研究人员发现这场攻击活动针对的是金融机构的工作人员,尤其是俄罗斯联邦和白俄罗斯的金融机构工作人员。

  研究人员还得出结论,这场攻击活动的发起者很可能是Silence组织。这是一个相对“年轻”的网络犯罪团伙,自2016年年中以来一直处于活跃状态。

  原文链接:http://t.cn/EtSXtV1

  4

  美民主党全国委员会称:俄罗斯黑客在去年11月曾试图入侵其服务器

  美国民主党全国委员会(Democratic National Committee,DNC)于上周六对外宣称,一群俄罗斯黑客曾在2018年11月美国中期选举结束后不久试图入侵其服务器。

  2018年4月20日,美国民主党全国委员会在纽约曼哈顿的联邦法院提起诉讼,控告美国总统唐纳德·特朗普竞选团队与俄罗斯、维基百科共谋诽谤民主党候选人希拉里·克林顿,以帮助特朗普赢得2016年美国总统大选。、

  原文链接:http://t.cn/E5ofeIk

  5

  美国多家大银行泄露大量贷款文件:数量有2400多万份

  因为服务器出现安全漏洞,美国多家大银行泄露2400多万份金融及银行资料,涉及大量贷款和抵押贷款信息。

  受影响的服务器上运行Elasticsearch数据库,里面包含了10多年的历史数据,比如贷款和抵押贷款协议、还款计划、敏感财务及税务文档。这些文件没有受到密码的保护,任何人都可以查阅。研究人员相信,数据库只被暴露了2周,1月15日又被保护起来。

  泄露似乎可以追溯到德克萨斯州金融数据及分析公司Ascension,它提供数据分析、投资组合估值分析服务。在服务过程中,Ascension将纸制文档、手写文本转化为计算机可以阅读的文件。

  原文链接:http://t.cn/EtzJoVi

  6

  津巴布韦切断互联网访问后 “匿名者”对其政府网站发起DDoS攻击

  从2019年1月14日开始的几天里,津巴布韦人一直无法上网。当地政府为了阻止示威者继续举行有关油价飙升和上涨生活成本的抗议活动,命令该国所有4个通信运营商完全切断互联网。随后“匿名者”宣布对津巴布韦政府发起DDoS攻击。

  一位匿名成员在一个论坛上发布消息称:“问候津巴布韦,我们是匿名者。我们以前见过无辜的人在津巴布韦遇害。我们看到了压迫和暴政。我们看到人们为争取自由而受到压迫。我们不能容忍这一点。正如我们对苏丹政府所做的那样,我们成功地使津巴布韦政府网站宕机超过72个小时。

  原文链接:http://t.cn/E5pPkzU

  7

  黑客入侵美国证券交易委员会窃取内部信息操作股票

  两名乌克兰黑客入侵了美国金融市场的监管系统,为股票交易员窃取内部信息。

  近日,新泽西检方起诉了26岁的Oleksandr Ieremenko和27岁的Artem Radchenko。两人被指控安全欺诈、电信欺诈和计算机欺诈和共谋。

  美国政府指控, 两名男子在2016年入侵了美国证券交易委员会(SEC)的EDGAR系统。上市公司使用该系统上传和存储公司财务文件,以便政府官员可以在文件发布前对其进行审查。而这两人则向股票交易员提供他们不法获取的这些内幕信息。交易员利用内幕消息,在信息公开前对他们已经知道将会上涨或下跌的股票进行操作,从而迅速获利。

  原文链接:http://t.cn/E5HF9mn

  漏洞与安全威胁

  1

  国家漏洞库:本周共收集、整理信息安全漏洞293个

  根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞293个,漏洞新增数量有所下降。从厂商分布来看,其中Apple公司新增漏洞最多,共有32个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到5.12%。本周新增漏洞中,超危漏洞1个,高危漏洞29个,中危漏洞248个,低危漏洞15个。相应修复率分别为100.00%、86.21%、37.10%以及66.67%。根据补丁信息统计,合计128个漏洞已有修复补丁发布,整体修复率为43.69%。

  原文链接:http://t.cn/EtNaS7J

  2

  GandCrab勒索软件借助钓鱼邮件传播

  据外媒BleepingComputer报道,有安全研究人员于近日发现一起新的垃圾电子邮件活动。这些垃圾电子邮件活动以“Up to date emergency exit map(最新的紧急出口图)”为主题,旨在诱使收件人打开附加中能够从远程服务器下载和安装GandCrab勒索软件的恶意Word文档。

  原文链接:http://t.cn/EtSXWXL

  3

  苹果曝出FaceTime电话窃听漏洞,本周将修复

  1月29日,国内外媒体纷纷报道称苹果FaceTime存在一个重大漏洞,如果通过FaceTime打电话给别人,可利用这个漏洞,在对方接听或拒绝来电之前,通过手机监听到对方的声音。

  具体的利用过程如下:

  1. 用户使用iPhone启动FaceTime视频通话;

  2.通过群聊功能添加其他FaceTime用户;

  3. 进入群聊模式,监听目标对象的麦克风

  更可怕的是,如果被呼叫者按了音量降低按钮或电源按钮以尝试静音或解除呼叫,还会打开前置摄像头,但被呼叫者的iPhone却只显示来电界面。此外,被呼叫者的视频画面也会被同步传送给通话发起者。这个问题在iPhone呼叫Mac电脑时也会出现,而且因为Mac的响铃时间比手机长,因此BUG的持续时间也会更长。这就意味着,如果有人邀请你进行FaceTime通话,你就可能在不知情的情况下被监听、监视。

  原文链接:http://t.cn/EtaANBN

  4

  新型勒索软件Anatova开始爆发,手段比Ryuk更加老道

  据外媒报道,一种新型勒索软件正在感染全球各地的用户,它伪装成应用程序或游戏,诱骗用户下载并启动。

  Anatova勒索软件于2019年1月1日首次出现。根据代码进行分析,散布该软件的黑客经验十分丰富。

  Anatova拥有快速变形的能力,添加了新的躲避技术和传播机制。它还配备了强大的加密功能,使用RSA密钥对使用户无法访问文件——这个方法也曾在GandCrab和Crysis等较为成功的勒索软件中使用过。

  安全研究人员警告称,Anatova是老练的网络罪犯的作品,具有严重的威胁,Anatova的模块架构非常危险,黑客可以随意添加新功能。

  原文链接:http://t.cn/E53ZUFR

  5

  漏洞紧急预警丨Exchange 2010版本以上现域内提权漏洞

  近日,国外安全研究员dirkjanm发布了通过CVE-2018-8581的SSRF漏洞获取域控权限的攻击方式并且附带了POC,目前微软官方还没有推送出最新的补丁来防止该攻击方式,并且微软针对CVE-2018-8581的补丁也不能防御该攻击方式来获取域控权限,本次受影响的版本包括Exchange 2010-2016版本。请用户及时采取应对措施,避免可能造成的损失。

  原文链接:http://t.cn/E5EY2Pi

  6

  新型勒索软件Phobos利用弱安全性攻击目标

  一个多产活跃的网络犯罪团伙在发动一系列勒索软件攻击的同时,传播了一种可以加密文件的新型恶意软件,这种软件结合了两种知名的破坏性强的变体,与勒索攻击一起被传向全世界发挥作用。

  新型恶意软件被其创建者称为Phobos,它于12月首次出现,CoveWare的研究人员详细介绍了它与Dharma勒索软件的相似之处。

  原文链接:http://t.cn/EtN9LiX

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号