安全研究
全部分类

关键信息基础设施安全动态周报【2020年第25期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-06-28 18:31
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第25期】天地和兴播报。

关键信息基础设施安全动态周报【2020年第25期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第25期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-06-28 18:31
  • 访问量:
详情

  目 录

  第一章 国内关键信息基础设施安全动态

  (一)台湾GeoVision修复访问控制设备漏洞 可被黑客利用窃取指纹

  第二章 国外关键信息基础设施安全动态

  (一)黑客针对工业蜜罐使用了四个零日漏洞

  (二)BlueLeaks泄露美国数百个警察部门270 GB内部文件

  (三)LG电子遭受勒索软件Maze攻击

  (四)OSIsoft PI System中存在漏洞 可至关基设施遭受攻击

  (五)每日有8万台打印机IPP端口在线泄露

  (六)Nvidia显卡驱动存在多个安全漏洞,影响部分Windows及Linux设备

  (七)遭受勒索软件攻击后 勒索软件仍潜伏在网络中

  (八)勒索软件Hakbit攻击欧洲多国关基企业中层员工

  (九)澳大利亚遭受大规模严重网络攻击

  (十)澳大利亚去年报告超过2.5万起网络钓鱼事件

  (十一)摩洛哥政府使用NSO Group间谍软件监视该国记者

  (十二)勒索软件Sodinokibi利用Cobalt攻击扫描PoS软件

  (十三)欧洲某大型银行遭受大规模DDoS攻击

  (十四)Bitdefender杀毒软件含有远程执行漏洞

  (十五)微软收购CyberX以加速和保护客户的IoT部署

 

  第一章 国内关键信息基础设施安全动态

  (一)台湾GeoVision修复访问控制设备漏洞 可被黑客利用窃取指纹

  近日台湾指纹扫描仪、访问控制和监视技术制造商GeoVision修复了其设备中的关键漏洞,这些漏洞可能会被黑客和民族威胁者滥用。在去年的网络安全审核中,Acronis发现了GeoVision设备中的许多漏洞,这些漏洞可能使用户获得对摄像机的完全和未经授权的访问。

  这一发现很重要,因为国家行为者可以利用关键任务设备(如生物特征指纹扫描仪、监控摄像头和其他安全物联网)中的漏洞来拦截流量并进行间谍活动。

  在Acronis的一份新报告中,研究人员披露了GeoVision监视设备和指纹扫描仪中的许多漏洞。该报告指出, Acronis的安全团队在GeoVision的设备中发现了四个关键漏洞,包括具有管理员权限的后门密码、密码密钥的重用以及向所有人公开的私钥。所有这些漏洞都可能使国家资助的攻击者能够拦截潜在的流量。”

  Acronis公开的CVE包括CVE-2020-3928,CVE-2020-3930和CVE-2020-3929,并且可以在全世界使用的指纹扫描仪,访问卡扫描仪和访问管理设备中发现。Acronis已经确认至少有六个模型易受攻击。

  此外,由于Censys.io和Shodan之类的IoT搜索引擎会定期扫描网络中是否存在面向公众的设备,恶意参与者可以利用容易受到攻击的GeoVision设备打开门,而无需钥匙卡,监视用户甚至窃取指纹。

  Acronis表示,“利用这些漏洞,攻击者可以在没有钥匙卡的情况下远程打开门,在这些设备上安装特洛伊木马,在网络上建立持久性,监视内部用户,以及窃取指纹和其他数据,而这些都不会被发现。”Acronis提供的Shodan搜索查询(“ WYM / 1.0”)显示有超过2,600台受影响的设备连接到互联网。

  影响这些设备的漏洞包括:

  1、硬编码的root密码:IoT设备附带硬编码的默认密码(例如admin:admin或admin:password)并不罕见,但是通常,用户手册会对其进行记录并建议用户更改此密码密码。据报道,GeoVision的设备没有在任何地方记录此密码。此外,访问设备上的内置URL“ /isshd.htm”可以激活端口8009上的Dropbear SSH服务器,然后攻击者可以使用默认凭据将其窃听。“密码没有记录在案,使客户面临未知风险。默认情况下,ssh服务器不在设备上运行,但是设备管理界面中有一个隐藏的URL[https://%3cip.的.设备%3e/isshd.htm网站]. 如果访问此URL,Dropbear ssh将在端口8009上启动。”

  2、共享加密密钥:如果已知典型PKI实现中的私有密钥,则加密是徒劳的。对于GeoVision,可从制造商的网站下载的固件显示存在硬编码的公钥和私钥。这些公开的密钥可以为与设备的HTTPS和SSH连接启用中间人(MitM)攻击。

  在固件中存储私钥并不是GeoVision设备所独有的。路由器,智能打印机和物联网已经将私钥存储在固件中已有很长时间了。由于用于管理页面的设备上的自签名证书,这通常被认为是安全权衡。

  

 

  3、缓冲区溢出:由于与设备捆绑在一起的名为“ port80”的漏洞程序,某些型号中存在缓冲区溢出漏洞。如果被利用,攻击者可以利用此漏洞在未经身份验证的设备上执行任意代码。易受攻击的程序是固件中的/ usr / bin / port80(SHA256:5B531E50CFA347BBE3B9C667F8D802CDECC6B1CD270719DAC5ECE4CE33696D3A)。

  4、日志暴露:在某些型号中,访问易受攻击的设备上的“ /messages.txt”和“ /messages.old.txt”URL可以暴露日志文件数据,而无需任何身份验证。公开的日志可以向对手揭示潜在的敏感信息。“系统日志可通过[http://%3cip.of.device.%3e/messages.txt]和[http://%3cip.of.device.%3e/messages.old获得。 txt],使攻击者能够读取系统日志,从而有助于进一步的攻击计划。”

  Acronis于2019年8月首先将这些漏洞通知了GeoVision,直到10个月后才修复了这些漏洞。考虑到这些漏洞的严重性以及GeoVision的客户依靠这些设备来保护其环境的事实,这个时间表并不特别令人印象深刻。

  Acronis在博客文章中写道,“当安全制造商了解其设备中的关键漏洞时,可以期望他们会迅速采取行动以解决问题。然而,2019年8月成为Acronis耐心等待特别是一个制造商进行更新的第一个月(事实证明是徒劳的)。”

  直到今天,在Acronis报告的四个严重漏洞中,制造商仅修复了三个。考虑到这些漏洞可用于绕过安全控制程序,因此,它们的滥用可能会对他们打算保护的系统造成严重破坏。

  Acronis在报告中警告表示,“指纹数据可用于进入您的家并解锁个人设备。恶意行为者可以轻松地将照片重新用于生物特征数据的身份盗用。攻击者还可以出售对这些设备保护的任何门的访问权,从而免费进入一个人的住所或工作地点。” 这些只是犯罪分子和国家赞助者可以利用安全和公共安全系统通过这些安全措施实现相反目的的几个例子。

  天地和兴工业网络安全研究院编译,参考来源:BleepingComputer http://dwz.date/aP8e

 

  第二章 国外关键信息基础设施安全动态

  (一)黑客针对工业蜜罐使用了四个零日漏洞

  为了研究工业系统的安全威胁,研究人员在22个国家使用了一个由120个高度交互的蜜罐组成的伪造工业基础设施网络,以模拟可编程逻辑控制器和远程终端单元。当黑客对该伪造的系统进行攻击时,使用了四个新的零日漏洞。

  工业控制系统(ICS)用于管理各种关键设备,其中许多使用老旧的通信系统,假定它们通过专用的安全网络连接。但是,现在许多人使用基于IP的网络,包括互联网进行通信,从而造成了潜在的巨大安全问题。 这些系统中的漏洞很少由供应商或用户修补,并且很少有工业协议使用身份验证或加密,这意味着它们将信任发送给他们的大多数命令,而不管是谁发送的。这些因素共同导致了脆弱的工业环境,并带来了独特的安全挑战。

  在13个月的时间里,与蜜罐的交互达到8万次,主要是扫描,并且有9次恶意交互使用了工业协议。虽然这听起来可能是一个小数目,但这九次交互中的四种还使用了以前未知的零日攻击,其中一种是在野外首次使用先前确定的概念验证攻击。 攻击类型包括拒绝服务攻击和命令重播攻击。这些漏洞和相关漏洞已向设备制造商披露。

  研究人员表示,“尽管产量很小,但影响却很大,因为这些都是ICS领域以前不知道的技术娴熟的、有针对性的漏洞利用工具。” 该研究在北约支持的网络安全会议上进行了介绍。

  Industrial Defenica工业安全研究员Mikael Vingaard是该研究的作者之一,他表示该数据集是迄今为止学术研究中使用最多的数据集,发现的零日漏洞数数反映了蜜罐的可信度。

  另一位作者剑桥大学计算机科学与技术系的迈克尔·多德森表示,如果将其用于真实设备而不是蜜罐,那么拒绝服务攻击将意味着这些设备将要么在攻击过程中完全关闭,要么无法通过网络进行通信。

  迈克尔·多德森表示,“如果可以重放命令以更改状态或写入寄存器,那么就可以完全控制设备的行为,因此可以完全控制设备的控制过程。”

  但是,这也反映出ICS安全性普遍低迷状态,一个蜜罐就可能会引发四次零日差攻击。迈克尔·多德森表示,“很少有人关注ICS设备的安全性,情况如此多样化,并且该软件在很大程度上是专有的,所以碰巧看到的任何针对ICS领域的攻击来说都是新的,我并不感到惊讶。”

  天地和兴工业网络安全研究院编译,参考来源:ZDNet http://dwz.date/bk8e

 

  (二)BlueLeaks泄露美国数百个警察部门270 GB内部文件

  

 

  6月19日,某激进组织在公布了296 GB从美国执法机构和融合中心窃取的数据。这些文件名为BlueLeaks,已由分布式拒绝保密组织(DDoSecrets)发布,该组织将自己描述为一个透明集体(transparency collective)。这些数据已在一个可搜索门户网站在线提供。据BlueLeaks门户网站称,泄漏的数据包含超过100多万个文件,如扫描的文档、视频、电子邮件、音频文件等。

  BlueLeaks档案索引了来自200多个警察部门、融合中心和其他执法培训和支持资源的十年数据,在数十万份文件中,有警察和FBI的报告、公告、指南等。融合中心是由国家拥有和运营的实体,在州、地方、部落和地区、联邦和私营部门合作伙伴之间收集和传播执法和公共安全信息。KrebsOnSecurity获得了美国国家融合中心协会(NFCA)6月20日的内部分析,证实了泄露数据的有效性。NFCA提醒指出,泄露文件的日期实际上跨越了近24年,从1996年8月到2020年6月19日,文件包括姓名、电子邮件地址、电话号码、PDF文件、图像以及大量的文本、视频、CSV和ZIP文件。

  此外,数据转储还包含电子邮件和相关附件,初步分析显示,其中一些文件包含高度敏感的信息,如ACH路由号码,国际银行账户号码(IBAN)和其他金融数据,以及个人身份信息(PII)和信息请求(RFI)和其他执法和政府机构报告中列出的嫌疑人的图像。NFCA表示,BlueLeaks公布的数据似乎是在总部位于休斯顿的网络开发公司Netsential发生安全漏洞后获取的。对此次泄密事件中包含的数据的初步分析表明,Netsential是美国多个融合中心、执法部门和其他政府机构使用的网络服务公司,是此次泄密事件的源头。

  NFCA表示,各种网络威胁行为者,包括民族国家、黑客活动家和有经济动机的网络犯罪分子,可能会寻求利用此次泄密事件中暴露的数据,针对融合中心和相关机构及其人员进行各种网络攻击和活动。BlueLeaks数据集发布于6月19日,又称 "六月十九日",是美国历史最悠久的结束奴隶制的全国性纪念活动。在广泛抗议乔治-弗洛伊德被明尼阿波利斯警察杀害事件后,今年的纪念日再次引起公众的兴趣。

  DDoSecrets组织通常被归类为Wikileaks的替代品 。该组织以前的泄密事件暴露了全球重大的政府腐败丑闻,DDoSecrets的工作被《纽约时报》、CNN、《The Daily Beast》等主要出版物引用。

  天地和兴工业网络安全研究院编译,参考来源:Zdnet http://dwz.date/bnEY

 

  (三)LG电子遭受勒索软件Maze攻击

  勒索软件Maze运营商在其网站上声称他们破坏并锁定了韩国跨国公司LG电子的网络。攻击的细节尚未公布,但黑客表示,他们已经从涉及美国大型公司的项目的公司专有信息中窃取了信息。

  像其他许多人一样,勒索软件Maze运营商在他们的赎金要求不被接受或与被破坏的实体的联系停止时,发布关于受害者的信息。

  Maze在其数据泄漏站点的新闻稿中宣布,他们将提供有关LG Electronics涉嫌违规的信息以及他们窃取的源代码。

  

 

  Maze表示,他们侵入了LG电子,并从制造商那里窃取了40 GB的源代码。当被问及加密多少设备时,Maze表示,此信息目前是私人的,仅提供给Lg谈判者。不过,在今天数据泄露网站上的新条目中,他们发布了据称对LG攻击的证据。这包括来自Python代码存储库的文件列表的屏幕快照。

  

 

  Maze发布的另一个屏幕截图显示了一个.KDZ文件的分割存档,这是LG官方库存固件代码的格式。可以看出,该固件是为AT&T开发的。该移动运营商目前在其设备支持页面上列出了41部LG电话和4部LG平板电脑。攻击者的另一个屏幕截图显示了用于电子邮件转发项目的Python代码片段。

  此源代码表明所有者来自LG电子拥有的域名lgepartner.com 。

  当向公开列出的一个电子邮件地址发送电子邮件以供一般媒体查询和公司通信时,我们收到了自动回复,通知消息可以投递,因为该用户不存在。

  目前还没有关于Maze是如何侵入LG电子网络的信息,但参与者使用的初始访问方法包括通过暴露的远程桌面连接进行连接,以及通过被攻破的域管理员帐户转到有价值的主机。

  一些成为勒索软件Maze攻击受害者的公司也有可以通过公共互联网访问的易受攻击的系统。不管他们是如何进入的,如果他们不能与受害者就赎金达成协议,Maze就会以公布被盗文件而闻名。

  天地和兴工业网络安全研究院编译,参考来源:BleepingComputer http://dwz.date/bnHT

 

  (四)OSIsoft PI System中存在漏洞 可至关基设施遭受攻击

  OSIsoft PI System中的一种存储的跨站点脚本(XSS)漏洞(一种经常出现在关键基础设施中的产品)可以被利用来进行网络钓鱼,特权升级和其他目的。

  OSIsoft PI System是一个数据管理平台,提供工厂监控和分析功能。根据供应商的网站,PI System已在全球超过19,000个站点中部署,涉及电力,石油和天然气,制造和采矿等各个行业。

  工业网络安全公司OTORIO的研究人员发现,PI System的PI Web API 2019组件受到存储的XSS漏洞的影响,该漏洞使目标系统具有有限特权的攻击者可以进行各种类型的活动。

  美国网络安全和基础设施安全局(CISA)发布了一份针对该漏洞的公告,该漏洞编号为CVE-2020-12021,对版本1.12.0.6346及之前的版本造成影响。OSIsoft已经发布了一个安全漏洞补丁,并建议客户采取措施将攻击风险降到最低。

  OTORIO事件响应团队负责人Dor Yardeni表示,为了利用此漏洞,外部攻击者需要以某种方式获得对PI Server(为PI System供电的数据存储和分发引擎)的访问权限。一旦他们可以访问PI Server,攻击者就可以利用存储的XSS漏洞将任意JavaScript代码注入PI Server中的易受攻击的字段中。或者,攻击者可以试图说服内部人员注入代码。

  一旦恶意代码被注入,攻击者就需要等待特权提升的用户使用易受攻击的PI Web API并将其光标移到受感染的字段上,从而导致该代码在受害者的浏览器中执行。攻击者可以插入在执行时显示设计用于窃取受害者凭据的仿冒网页的代码。

  根据Yardeni的说法,黑客随后可以将这些凭据用于广泛的活动,包括篡改来自工厂的数据,让工程师或操作员相信,事实上一切都在正常运行(例如,锅炉的实际温度可能是100°C,而应用程序只会显示50°C)。攻击者还可以删除历史工厂数据,或使用受损的凭证来破解目标用户可以访问的其他工厂资源。

  该漏洞还可被用来注入专为页面密钥记录、窃取Cookie、将用户重定向到其他网站、更改受感染页面上的数据和窃取浏览信息(例如内部IP、浏览器版本等)而设计的代码。

  Yardeni解释表示,“如果攻击者具有较高的凭据,则无需利用此漏洞。他们仅凭高级别的凭证即可进入生产车间。但是,如果攻击者仅获得具有'写入'权限的弱凭据,将能够利用此漏洞获取更高的凭据,然后访问整个生产环境。”

  天地和兴工业网络安全研究院编译,参考来源:SecurityWeek http://dwz.date/bnGf

 

  (五)每日有8万台打印机IPP端口在线泄露

  多年以来,安全研究人员一直警告说,每台未经防火墙保护的暴露在网络上的设备都是一个攻击面。黑客可以利用漏洞利用强行控制设备,也可以在不需要身份验证的情况下直接连接到暴露的端口。以这种方式被黑客入侵的设备通常被恶意软件僵尸网络所奴役,或者它们成为大型企业网络的最初立足点和后门。俄罗斯黑客已经在使用这种技术。然而,尽管这是网络安全和IT专家的共识,但仍然有大量设备在网上处于不安全状态。

  6月初,致力于改善全球网络安全实践的非营利组织Shadowserver Foundation的安全研究人员发布了一份警告,称有公司将打印机暴露在网上。Shadowserver专家扫描了所有40亿可路由的IPv4地址,以查找暴露其IPP端口的打印机。

  IPP代表互联网打印协议(Internet Printing Protocol),是一种允许用户管理连接到Internet的打印机并将打印作业发送到联机托管的打印机的协议。

  IPP与多个其他打印机管理协议之间的区别在于,IPP是一种安全协议,支持访问控制列表、身份验证和加密通信等高级功能。

  但是,这并不意味着设备所有者正在利用这些功能。Shadowserver专家表示,他们专门在互联网上扫描了具有IPP功能的打印机,这些打印机在没有受到防火墙保护的情况下仍处于暴露状态,并允许攻击者通过获取打印机属性功能查询本地详细信息。

  专家表示,总体而言,他们通常发现平均每天大约有8万台打印机通过IPP端口在网上曝光。该数目大约是当前在线连接的所有支持IPP的打印机的八分之一。使用BinaryEdge搜索引擎进行的常规扫描发现,每天可以通过互联网访问的IPP端口(TCP / 631)数量在65万至70万之间。

  在没有任何附加保护(如防火墙或身份验证机制)的情况下,使IPP端口完全联机公开有几个主要问题。

  首先,Shadowserver专家表示此端口可用于情报收集。之所以可能这样做,是因为大部分支持IPP的打印机返回了有关其自身的其他信息,例如打印机名称、位置、型号、固件版本、组织名称、甚至WiFi网络名称。攻击者可以收集这些信息,然后在其中搜索他们想将其作为未来攻击重点的企业网络。

  此外,在支持IPP的打印机总数的约四分之一(约21,000台)中也公开了其品牌和型号细节。Shadowserver研究人员表示,公开这些信息显然使攻击者更容易定位和确定易受特定漏洞攻击的设备群体。

  更糟糕的是,用于IPP黑客攻击的工具也可以在线获得,例如PRET(打印机利用工具包)之类的工具支持IPP黑客攻击,并且过去也曾用于劫持打印机并强迫他们打印各种宣传消息。然而,同样的工具箱也可以用于更糟糕的情况,例如完全接管易受攻击的设备。

  Shadowserver Foundation表示,今后计划在其网站上发布有关IPP暴露的每日报告。

  该组织在发布的报告中表示,“我们希望在我们新的开放IPP设备报告中共享的数据将导致减少互联网上启用IPP的暴露打印机的数量,并提高人们意识到将此类设备暴露于未经身份验证的扫描仪/攻击者的危险性。”

  如果任何IPP服务在其网络和国家/地区的IP地址空间中在线公开,则订阅组织安全警报的公司或国家CERT团队将收到自动通知。

  不过,Shadowserver Foundation因在对抗和破坏僵尸网络方面的工作而在Infosec社区中赢得了相当多的关注。Shadowserver表示,公司应该在确保打印机安全的同时,还应加以保护。

  该组织表示,“不太可能有人需要连接到每一台打印机。这些设备应该经过防火墙保护和/或启用身份验证机制。”

  Shadowserver Foundation关于处理暴露于互联网的设备的主动建议与去年的一项学术研究结果一致。该研究发现,DDoS攻击通常无效,执法部门应集中精力对系统进行修补,以限制攻击向量对攻击者的有用性。

  要配置IPP访问控制和IPP身份验证功能,建议用户检查其打印机手册。大多数打印机在其管理面板中都有一个IPP配置部分,用户可以从中启用身份验证及加密,并通过访问列表限制对设备的访问。

  天地和兴工业网络安全研究院编译,参考来源:ZDNet http://dwz.date/bkEE

 

  (六)Nvidia显卡驱动存在多个安全漏洞,影响部分Windows及Linux设备

  6月24日,NVIDIA发布了NVIDIA GPU Display Driver的软件安全更新,该更新解决了可能导致拒绝服务,特权升级或信息泄露的问题。此次更新针对该驱动程序中的总共六个漏洞,严重程度CVSS评分在5.5至7.8之间,影响的设备包括Windows和Linux计算机。

  在驱动程序的Nvidia控制面板组件中发现第一个漏洞CVE‑2020‑5962,本地攻击者可以在其中损坏系统文件,从而导致拒绝服务或特权升级。

  CVE‑2020‑5963是CUDA驱动程序的进程间通信API中发现的第二个漏洞,不当的访问安全漏洞可被利用来执行代码,拒绝服务或信息泄漏。

  第三个漏洞是CVE‑2020‑5964,显示驱动程序的服务主机组件中的错误可能导致资源完整性检查被跳过,从而导致潜在的代码执行,服务拒绝或信息泄露攻击。

  第四个漏洞CVE‑2020‑5965也已修复。Nvidia表示,问题出在显示驱动程序的DirectX 11用户模式驱动程序中,其中特制的着色器可能会导致超出范围的访问,从而导致拒绝服务。

  另一个漏洞CVE‑2020‑5966也已修复,该漏洞是基于Windows的GPU显示驱动程序的内核模式层中的一个漏洞,在该漏洞中,可以通过取消引用Null指针来实现特权提升或拒绝服务。

  最后一个漏洞CVE‑2020‑5967在驱动程序UVM服务的Linux版本中发现,其中竞争条件错误可能会导致拒绝服务。

  安全更新中解决的漏洞影响Windows和Linux计算机上的GeForce,Quadro,NVS和Tesla GPU。

  此外还修补了Nvidia虚拟GPU管理器软件的vGPU插件的六个安全漏洞CVE‑2020‑5968、CVE‑2020‑5969、CVE‑2020‑5970、CVE‑2020‑5971、CVE‑2020‑5972和CVE‑2020‑5973。

  这些漏洞包括边界限制错误、资源验证问题和缓冲区缺陷,这些缺陷可被滥用来执行代码执行、服务篡改、特权提升和导致拒绝服务。 这些漏洞会影响Windows和Linux vGPU guest驱动程序软件,以及Citrix Hypervisor、VMware vSphere、带KVM的Red Hat Enterprise Linux和Nutanix AHV。

  与往常一样,建议用户接受自动更新以减轻被利用的风险。已为每个显示驱动程序错误提供了修补程序,但特斯拉R450除外,它将在下周发布。vGPU软件修复程序适用于8.0至9.3版,而最新软件版本(10.0-10.2)的修补程序将于7月6日这一周提供。

  天地和兴工业网络安全研究院编译,参考来源:ZDNet http://dwz.date/bnA8

 

  (七)遭受勒索软件攻击后 勒索软件仍潜伏在网络中

  当一家公司遭受勒索软件攻击时,许多受害者感到攻击者会迅速部署勒索软件并离开,这样他们就不会被抓住。不幸的是,现实情况大不相同,因为威胁行动者并没有很快放弃他们难以控制的资源。相反,勒索软件攻击是随着时间的推移进行的,范围从一天到一个月不等,始于勒索软件操作员破坏网络。

  该方法是通过公开的远程桌面服务、VPN软件中的漏洞、或通过TrickBot,Dridex和QakBot等恶意软件提供的远程访问来实现的。一旦获得访问权限,他们就可以使用Mimikatz、PowerShell Empire、PSExec等工具收集登录凭据并在整个网络中横向传播。

  

 

  当他们访问网络上的计算机时,他们会在部署勒索软件攻击之前使用这些凭据从备份设备和服务器窃取未加密的文件。部署勒索软件后,尽管他们的网络仍然受到威胁,但他们认为勒索软件运营商现在已从系统中消失。正如Maze Ransomware运营商最近的攻击所表明的,这种信念与事实相去甚远。

  最近,勒索软件Maze运营商在其数据泄漏站点上披露,他们已经入侵了ST Engineering子公司VT San Antonio Aerospace(VT SAA)的网络。这次泄漏令人毛骨悚然的是,Maze泄漏了一个包含受害者的IT部门有关其勒索软件攻击的报告的文档。这份被盗的文件显示,随着对攻击的调查继续进行,Maze仍潜伏在其网络中,并继续监视该公司的窃取文件。对于这些类型的攻击,这种持续的访问并不罕见。

  McAfee首席工程师兼网络调查负责人约翰·福克表示,在某些攻击中,即使勒索软件谈判正在进行中,威胁者仍在阅读受害者的电子邮件。“我们知道勒索软件参与者在部署勒索软件后仍留在受害者网络上的几种情况。在这些情况下,攻击者在初次攻击后或在谈判期间会加密受害者的备份,这清楚表明攻击者仍然可以访问和正在阅读受害者的电子邮件。”

  专家建议,在检测到勒索软件攻击之后,公司应该做的第一步就是关闭其网络和运行在其上的计算机。这些操作将阻止继续加密数据,并阻止攻击者访问系统。完成此操作后,应引入第三方网络安全公司对攻击进行全面调查,并对所有内部和面向公众的设备进行审核。该审核包括分析公司设备的持久性感染、漏洞、弱密码和勒索软件操作员留下的恶意工具。

  在许多情况下,受害者的网络保险单涵盖了补救和调查。

  福克(Fokker)和高级英特尔(Intel)主席Vitali Kremez还提出了一些其他建议和策略,应采取适当的补救措施。“更大的公司勒索软件攻击几乎总是涉及从备份服务器到域控制器的受害者网络的完全破坏。通过完全控制网络,勒索软件参与者可以轻松地关闭防御并部署勒索软件。面对如此遥远的入侵的事件响应(IR)团队需要假设攻击者仍在网络中,除非另行证明。这意味着首先要选择一个不同的通信渠道(威胁参与者不可见)来讨论正在进行的IR工作。”

  Fokker解释表示,“重要的是要注意到,攻击者已经在受害者的Active Directory中四处浏览,因此,为了清除所有剩余的后门帐户,需要进行完整的AD审查。”

  Kremez还建议使用单独的安全通信通道以及可用于存储与调查有关的数据的隔离存储通道。“将勒索软件攻击视为数据泄露事件,其假设是攻击者可能仍在网络内部。因此,受害者应自下而上地工作,以获取验证或使该假设无效的法医证据。通常包括全面的法医扫描重点关注特权帐户的网络基础结构。确保在进行取证评估时制定业务连续性计划,以拥有独立的安全通信和存储通道(独立的基础结构)。”

  Kremez指出,建议对受感染网络上的设备进行重新映像,但这可能还不够,因为攻击者可能完全拥有可用于另一次攻击的网络凭据。“受害者应该潜在地重新安装计算机和服务器。但是,他们应该注意,犯罪分子可能已经窃取了凭据。仅仅重新安装可能还不够。他们还需要更改域密码,因为犯罪分子可能会使用此类凭据回来。”

  最终,必须在这样的假设下进行操作,即即使在攻击之后,攻击者仍可能仍在观察受害者的动向。这种间谍活动不仅会妨碍对违规网络的清理,而且还可能会影响攻击者的谈判策略,因为攻击者会阅读受害者的电子邮件并保持领先一步。

  天地和兴工业网络安全研究院编译,参考来源:BleepingComputer http://dwz.date/bnDE

 

  (八)勒索软件Hakbit攻击欧洲多国关基企业中层员工

  Proofpoint研究人员一直在跟踪针对奥地利、瑞士和德国组织的,基于电子邮件的小批量勒索软件活动。该活动使用了Thanos勒索软件即服务(RaaS)的变体Hakbit。 该攻击利用了从免费电子邮件提供商(GMX)提供的恶意Microsoft Excel附件,该附件主要为欧洲客户群提供服务。附件包含虚假的帐单和退税主题,以诱使用户启用执行 GuLoader的宏,该宏下载勒索软件以加密文件并锁定系统。

  因为Microsoft Office VBA宏不在移动设备上执行,为了帮助确保成功,这些电子邮件指示收件人打开其计算机而不是移动设备上的附件。

  目标用户为制药、法律、金融、商业服务、零售和医疗保健部门的中层职位人员。最大数量的消息已发送到信息技术、制造、保险和技术领域。Proofpoint研究人员观察到,Hakbit活动的大多数目标角色都是面向客户的个人商业联系人,这些信息在公司网站和/或广告中公开披露。这些角色包括律师,客户顾问,董事,保险顾问,常务董事和项目经理。

  以下为诱骗邮件的示例,许多邮件带有主题行,例如““ Fwd:Steuerrückzahlung”(退税)和“ Ihre Rechnung(您的帐单)”。

  

 

  该诱骗邮件由德语编写,并且滥用了德国电信公司1&1的徽标和品牌,内容为:今天,您将收到日期为12.05.2020的发票。您可以在此电子邮件的附件中找到它作为EXCEL文件。我们将于2020年5月17日从您的帐户中扣除480.19欧元。请注意,由于技术原因,EXCEL文档无法在移动设备上正确显示。我们要求您将发票下载到计算机上并打开。

  该消息包含一个名为379710.xlsm的Microsoft Excel附件,该附件利用了恶意宏。由于宏和恶意软件无法在移动设备上运行,因此该消息会指示收件人使用计算机来阅读附件。打开后,电子表格将以德语和英语指示收件人以启用宏。一旦在电子表格中启用宏后,它将下载并执行GuLoader,这是在2020年3月编写的VB 6.0中相对较新的下载器。GuLoader运行时,将下载并执行Hakbit,这是一种勒索软件,可以使用AES-256加密对文件进行加密。

  

 

  该票据要求支付250欧元的比特币以解锁加密文件,并提供有关如何支付赎金的说明。截至2020年6月16日,研究人员没有发现任何交易显示比特币钱包支付了赎金。

  自2020年1月以来,Proofpoint研究人员就观察到了持续的小批量勒索软件活动,而且经常是精品勒索软件活动。Proofpoint研究人员最近通过大规模的Avaddon勒索软件活动与最近的开源供应商报告相一致,发现了威胁领域的转变。Hakbit体现了以用户为中心的勒索软件活动,该活动针对特定的受众,角色,组织和用户的母语而定制。

  天地和兴工业网络安全研究院编译,参考来源:Proofpoint http://dwz.date/bnBK

 

  (九)澳大利亚遭受大规模严重网络攻击

  澳大利亚总理斯科特·莫里森近日召开了一个紧急新闻发布会,透露该国正遭受一个国家行为体的网络攻击。但澳大利亚信息安全咨询机构表示,尽管攻击者已经获得了一些系统的访问权限,但并没有在受害者环境中进行任何破坏性活动。

  莫里森表示,这次攻击针对的是政府、关键基础设施和私营部门,其严重性非常严重,以至于采取危急措施,但不是强制性的措施,将这一事件告知反对派领导人。该新闻发布会的主要目的是向澳大利亚人民通报这一事件。

  但是莫里森拒绝透露澳大利亚国防机构是否已经确定了攻击来源,并说迄今为止收集的证据不符合政府确定攻击者姓名的标准。

  莫里森也没有详细说明此次攻击的影响,只是表示他没有收到有关严重破坏个人信息的建议。他还表示,这次攻击并不完全是新的,类似的攻击正在进行中,而且是可以预期的。他没有详细说明活动或事件的新高峰,因此必须立即宣布这一消息。

  澳大利亚网络防御咨询机构澳大利亚网络安全中心(ACSC)发布了一份名为《复制粘贴折衷方案——用于针对多个澳大利亚网络的策略、技术和程序》的咨询报告,其中提供了更多详细信息。

  该报告的意见之一是“在调查期间,ACSC确认参与者无意在受害人环境中进行任何破坏性或破坏性活动。攻击开始于初始访问媒介的数量,最普遍的是利用面向公众的基础结构,主要是通过在未修补版本的Telerik UI中使用远程代码执行漏洞。攻击者利用的面向公众的基础结构中的其他漏洞,包括利用Microsoft Internet信息服务(IIS)中的反序列化漏洞、2019 SharePoint漏洞和2019 Citrix漏洞。”

  ACSC表示,对面向公众的基础设施的攻击没有成功,因此攻击者随后转向网络钓鱼工具,并获得了对某些系统的访问权限。

  该通报称,“在与受害人网络进行交互时,发现该行为者是利用受到破坏的合法澳大利亚网站作为命令和控制服务器。基本上,命令和控制是使用Web Shell和HTTP / HTTPS流量进行的。这种技术使地理封锁无效,并在调查期间为恶意网络流量增加了合法性。”

  ACSC在调查后的建议是修补面向互联网的所有内容,对电子邮件、远程桌面、VPN和协作平台采用MFA,遵循澳大利亚政府以前的安全建议,并启用详细的日志记录以帮助分类未来的攻击。

  天地和兴工业网络安全研究院编译,参考来源:TheRegister http://dwz.date/bkCw

 

  (十)澳大利亚去年报告超过2.5万起网络钓鱼事件

  据澳大利亚竞争和消费者委员会ACCC旗下Scamwatch发布的《2019目标诈骗:2009年以来诈骗活动回顾》统计报告显示,2019年共计收到167,797起诈骗举报,较上年增长34%,造成的财务影响超过6.34亿澳元,然而只有11.8%的欺诈报告包括财务损失。

  

 

  按诈骗类型划分,2019年最大的损失是:商业电子邮件泄露(BEC)诈骗1.32亿澳元、投资诈骗1.26亿澳元、约会和浪漫骗局损失8300万澳元。

  2019年,网络钓鱼是最常见的欺诈手段,有25168份报告,其中513宗造成了价值150万澳元的经济损失。身份盗用以11,373份报告排在第三位,其中562份导致损失总计超过430万澳元。还有9,019个远程访问骗局,其中682个骗局使澳大利亚人损失了480万澳元。黑客作为一种诈骗类型被报告了8321次,其中509次造成了510万澳元的损失。加密货币诈骗损失超过1,810份报告,超过2,160万澳元。云矿场成为这种骗局的常见方式。大多数是庞氏骗局,不涉及真正的加密货币。

  Scamwatch表示,去年澳大利亚遭遇了一场国际庞氏加密货币骗局,USI Tech。他们收到了200多份关于USI Tech的报告,损失了330万澳元,其中大部分是通过比特币。

  2019年诈骗的前两种付款方式是银行转账7000万澳元和比特币1900万澳元。总损失最高的是55-64岁的人群,报告诈骗最多的年龄段是65岁及以上人人群,其次是25-34岁的人群。18-24岁的人仅占总损失的4%。55岁至64岁的人损失了近3,000万澳元。男人最容易被投资骗局欺骗,女人最容易被约会和恋爱骗局欺骗。

  电话仍然是诈骗的主要途径,有69,522起报告;其次是电子邮件,有40,277起;短信,有27,894起;互联网作为诈骗手段,有11,776起。3260万澳元是通过电话损失的,尽管仅占全部诈骗的7%,但互联网却使受害者损失了3160万澳元。

  ACCC主席Delia Rickard表示,“不幸的是,诈骗造成的经济损失被严重低估了。骗子已经转移到了意想不到的目标受害者的平台上。例如,在2019年,约会和浪漫骗子通过Words With Friends等游戏应用瞄准毫无戒备的受害者,投资诈骗者通过‘快速致富’加密货币投资骗局瞄准Facebook和Instagram用户。”

  报告显示,尽管报告增加了9%,但短信诈骗的损失在2019年增长了40%,略低于9.7万澳元。其中许多是网络钓鱼诈骗,冒充银行、myGov、澳大利亚邮政和JB Hi-Fi。

  2019年通过社交媒体收到的骗局也有所增加,社交网络联系人增加了20%,移动应用程序联系人增加了29%。2019年,企业向Scamwatch报告了5,904起诈骗,损失超过530万澳元。虚假帐单诈骗造成的损失最高,达270万澳元。

  对BEC造成的财务损失最大的诈骗涉及企业、供应商或个人之间的发票,这些发票被欺诈性银行详细信息拦截并修改。该报告显示,假冒诈骗者以模仿高级管理人员,员工和供应商为目标,成为企业的主要目标。

  ACCC在2009年发布了第一份Targeting诈骗报告,迄今为止已经发布了11份。

  回顾过去,报告显示,澳大利亚人报告从2009年到2019年期间,因诈骗损失了25亿澳元。2009年,向Scamwatch报告的损失总计6990万澳元。过去十年来技术的进步促进了影响澳大利亚人的骗局的激增。

  报告补充表示,“尽管大多数欺诈行为与2009年基本相同,但随着时间的推移,许多骗局已经适应了使用社交媒体、新的支付方式和在线服务来寻找新的受害者或者使他们的故事合法化。还出现了新的骗局,例如商业电子邮件泄露和加密货币投资骗局。这些骗局现在对澳大利亚人来说是财务损失最大的骗局。”

  ReportCyber于2019年7月取代ACORN成为澳大利亚政府的在线网络犯罪报告门户网站。ACCC的最新报告首次包括来自四大银行的数据,澳新银行(ANZ Bank)、澳大利亚联邦银行(Federal Bank Of Australia)、澳大利亚国民银行(National Australia Bank)和西太平洋银行(Westpac)。

  天地和兴工业网络安全研究院编译,参考来源:ZDNet http://dwz.date/bn4W

 

  (十一)摩洛哥政府使用NSO Group间谍软件监视该国记者

  国际特赦组织(Amnesty International)6月21日表示,其安全团队在摩洛哥新闻记者的手机上发现了NSO Group开发的间谍软件。

  据国际特赦组织称,记者Omar Radi受到监视软件的攻击,该监视软件能够跟踪文本、电话、电子邮件、摄像机等。就在几天前,以色列监控软件公司NSO Group宣布将停止其产品被用于永久性侵犯人权。

  尽管针对该目标的攻击者尚未得到证实,但证据表明摩洛哥政府在监视该事件,是幕后黑手。NSO集团一再表示,其只将技术出售给政府。

  Radi成为攻击目标是在2019年1月至2020年1月间,摩洛哥政府屡次骚扰他。

  国际特赦组织表示,Radi受到一系列网络注入攻击的攻击,这些攻击使攻击者能够拦截和操纵目标的互联网流量。这种特定的攻击方法不需要受害者的任何干预,只需将目标浏览器重新路由到恶意网站,据称该恶意网站可以在受害者的设备上安装Pegasus间谍软件。

  国际特赦组织在博客中表示,“对于网络注入,攻击者需要在目标上物理接近或在只有政府可以授权的国家才能通过移动网络进行访问,这进一步表明摩洛哥当局应对对Omar Radi的攻击负责。”NSO Group显然不能被信任,国际特赦组织技副总监丹纳·英格尔顿在一份声明中表示,“在进行公关攻势以粉饰其形象时,其工具可以对获奖的新闻记者和活动家奥马尔·拉迪进行非法监视。这项调查表明NSO Group继续未能进行适当的人权尽职调查,并且其自身的人权政策无效。”

  根据国际特赦组织的说法,NSO Group的间谍软件先前在针对摩洛哥人的监视中被发现,其中包括另一名记者和一名抗议政府安全部队的激进分子。该计划表明,使用NSO Group软件的人在追踪目标方面变得越来越厚颜无耻。用于攻击Radi的恶意浏览器攻击也被用于另一名记者身上。

  NSO Group发言人在一份声明中表示,“我们将立即审查所提供的信息,并在必要时展开调查。”他补充说,与政府的业务性质可能会阻止其共享有关客户身份的信息。“尽管我们寻求尽可能透明地回应有关我们产品被滥用,然而因为我们开发并授权国家和国家机构使用技术来协助打击恐怖主义,严重犯罪和对国家安全的威胁,但我们有义务尊重国家机密性关切,并且不能透露客户的身份。”摩洛哥政府没有立即返回置评请求。

  英格尔顿表示,如果NSO Group不阻止其技术被用于侵犯人们的人权,则应禁止向可能用于侵犯人权的政府出售这些技术。“即使在收到其间谍软件用于跟踪摩洛哥激进分子的令人惊叹的证据之后,国家统计局似乎仍选择保留摩洛哥政府作为客户。摩洛哥当局越来越多地使用数字监视来镇压持不同政见者。这种非法的间谍活动以及对激进分子和新闻工作者的更广泛的骚扰必须停止。”

  NSO Group的合规负责人已要求国际特赦组织与NSO分享有关据称其间谍软件针对的记者的信息,例如电话号码和个人姓名,以进行进一步调查。

  国际特赦组织目前正卷入与NSO Group在以色列法院的一场法律诉讼中,以说服以色列国防部撤销NSO集团的出口许可证。NSO集团还面临Facebook WhatsApp提起的诉讼,该诉讼称该公司违反了联邦反黑客法。

  天地和兴工业网络安全研究院编译,参考来源:cyberscoop http://dwz.date/bn83

 

  (十二)勒索软件Sodinokibi利用Cobalt攻击扫描PoS软件

  赛门铁克研究人员发现了勒索软件Sodinokibi的活动,攻击者扫描某些受害者的网络,以获取信用卡或销售点(PoS)软件。 受害者包含医疗保健、服务和食品部门的组织。

  目前尚不清楚攻击者是否将此软件作为加密目标,或者是因为他们想抓取此信息作为从该攻击中获取更多收益的方法。

  攻击者正在使用Cobalt Strike商品恶意软件向受害者提供针对Sodinokibi的勒索软件。八个组织的系统上装有Cobalt Strike商品恶意软件,其中三名受害者随后感染了Sodinokibi勒索软件。感染Sodinokibi的受害者在服务,食品和医疗保健部门。此次攻击活动的目标公司主要是大型公司,甚至是跨国公司,它们之所以成为目标,是因为攻击者认为他们愿意支付大笔赎金以恢复对其系统的访问。

  攻击者的目标是赚很多钱,对于感染了Sodinokibi的受害者,如果在头三个小时内付款,则索取的赎金为50,000美元的门罗币加密货币,此后为100,000美元。

  攻击者在这些攻击中利用了合法的工具,并且有一次观察到NetSupport Ltd的合法的远程管理客户端工具在这些攻击期间用于安装组件。4月份,赛门铁克威胁研究人员发现Sodinokibi攻击者使用类似策略的证据,当时他们使用AnyDesk远程访问工具的副本发现了他们,从而在至少两次攻击中提供了恶意软件和其他工具。

  此活动中的攻击者还使用“合法”基础结构来存储其有效负载并存储其命令和控制(C&C)服务器。攻击者正在使用代码托管服务Pastebin托管其有效负载(Cobalt Strike恶意软件和Sodinokibi),并在其C&C基础架构中使用Amazon的CloudFront服务与受害者计算机进行通信。

  Pastebin和CloudFront都是合法服务,但过去曾被不良行为者利用来进行类似的恶意活动。使用合法服务托管有效负载和C&C基础结构的恶意行为者的优势在于,往来于合法服务的流量更可能与组织的合法流量融合在一起,因此不太可能被标记为可疑和被阻止。

  Cobalt Strike是一个现成的工具,可用于将shellcode加载到受害机器上。它具有作为渗透测试工具的合法用途,但经常被恶意行为者利用。该系列攻击中使用的策略与之前在其他目标勒索软件攻击中使用的策略相似。微软今年4月发布研究报告称,包括Sodinokibi在内的6个勒索软件团伙发动了攻击,并说许多组织都采取了类似的策略。Microsoft观察到的大多数攻击的媒介是对易受攻击的网络设备的利用或对远程桌面协议(RDP)服务器的蛮力攻击,并且最初的入侵之后是使用陆地和商品工具来进行入侵。在将勒索软件有效负载部署到多台计算机上之前,请执行凭证盗窃和横向移动。因此,此攻击活动中采用的策略是针对目标勒索软件团伙的常用策略。

  进入网络后,攻击者将采取各种步骤来减少被检测到的机会并增加其进行攻击的机会。攻击者试图禁用计算机上的所有安全软件,以便无法检测到他们的活动。它们还启用远程桌面连接,以便可以使用它们启动恶意命令。

  攻击者似乎也有兴趣窃取受害者计算机上的凭据,并观察到他们添加了用户帐户,大概是为了维护受害者计算机上的持久性,并进一步试图使受害者网络保持低调。

  在某些此类攻击中,攻击者在使用编码的PowerShell命令。PowerShell是Windows命令行工具,具有许多合法用途,但也经常因使用野外战术而被恶意参与者滥用以作恶用途。Sodinokibi勒索软件已部署在感染了Cobalt Strike的三名受害者中。

  在这场运动中感染了Sodinokibi的三名受害者分别是服务、食品和医疗保健部门。被感染的食品和服务公司都是大型的,多地点的组织,很可能有能力支付大笔赎金,通常是Sodinokibi的目标公司。但是,医疗机构的规模似乎较小。有趣的是,攻击者还对该受害者的系统进行了扫描,以查找PoS软件。可能是攻击者意识到该企业可能无法支付通常在Sodinokibi攻击中所需的大赎金,因此扫描了PoS软件以确定他们是否可以通过其他方式从入侵中获利,或者他们可能拥有一直在扫描这种软件只是为了对其进行加密。

  

 

  攻击者要求以Monero加密货币支付赎金,Monero加密货币因其隐私而备受青睐,因为与比特币不同,不必跟踪交易。因此,研究人员不知道是否有任何受害者支付了赎金,如果在头三个小时内支付了赎金,则为50,000美元,此后上升到100,000美元。

  尽管此攻击的许多要素是在以前使用Sodinokibi进行的攻击中看到的“典型”策略,但扫描受害系统的PoS软件很有趣,因为与目标勒索软件攻击相比,这通常不会发生。有趣的是,这是否只是这次活动中的机会主义活动,还是将其设置为针对目标勒索软件团伙的新策略。很明显的一件事是,Sodinokibi的使用者既精巧又娴熟,没有迹象表明他们的活动有可能在短期内减少。使用该勒索软件的公司往往是大型公司组织,因此像这样的公司需要意识到这种活动带来的威胁。

  天地和兴工业网络安全研究院编译,参考来源:Broadcom http://dwz.date/bnCy

 

  (十三)欧洲某大型银行遭受大规模DDoS攻击

  安全研究公司Akamai近日发现,欧洲一家大型银行遭受大规模分布式拒绝服务攻击(DDoS),每秒产生8.09亿个数据包。此事件是一个强有力的指标,表明DDoS攻击仍然是网络犯罪分子的重要攻击媒介,应该仍是公司的首要安全隐患。

  根据Imperva的说法,此类DDoS攻击的先前已知记录是2019年1月事件中每秒5亿个数据包。

  报告称,在针对一名Akamai客户的欧洲银行事件中,分析人士惊讶于攻击的规模如此之快,在短短两分钟内,从418 GB/秒的正常流量水平跃升至8.09亿个数据包/秒,整个攻击持续了不到10分钟。该事件针对的是该公司没有透露身份的Akamai客户。

  Akamai全球安全业务副总裁Roger Barranco表示,Akamai帮助该银行减轻了攻击,因此该银行的网络或服务没有受到干扰,其基础设施也没有受到破坏。

  这次攻击的一个不寻常的方面是,针对银行网络的僵尸网络军队似乎是新的。Akamai指出,针对该银行使用的IP地址中超过96%未被用于其他近期攻击中。

  Akamai的首席产品架构师Thomas Emmons在报告中指出,“我们观察到多个不同的攻击向量来自剩余的3.8%的源IP,两者都与此次攻击中看到的单一攻击向量相匹配,并与其他攻击向量保持一致。在这种情况下,大多数源IP可以通过自主系统查找在大型互联网服务提供商中识别出来,这表明终端用户机器受到了危害。”

  在银行事件中,攻击者使用发每秒数据包或PPS的方法,而不是更常用的每秒比特数或BPS的方法。报告指出,在BPS方法中,攻击者的目标是使入站互联网管道不堪重负,向电路发送的流量超出其设计的处理能力。

  Akamai认为,攻击者通过PPS攻击通过高PPS负载压倒了目标的DDoS缓解系统。报告指出,PPS攻击旨在压倒客户的数据中心或云环境中的网络设备和应用程序。PPS攻击会耗尽设备的资源,而不是电路的能力,就像BPS攻击一样。

  

 

  Emmons解释说:“考虑DDoS攻击类型差异的一种方法是想象杂货店结帐。以bps为单位测量的高带宽攻击就像一千人在排队,每个人都准备好了要结帐的购物车。但是,基于PPS的攻击更像是一百万人出现,每个人在这两种情况下,最终结果都是服务或网络无法处理向其投放的流量。”

  报告指出,欧洲银行的DDoS攻击使用的数据包只有1个字节,每个数据包都大大增加了源IP地址的数量。“在攻击过程中,注册到客户目的地的流量的源IP数量大幅增加,这表明流量实际上是高度分散的。与通常为该客户观察到的情况相比,我们发现每分钟的源IP数量高达600倍以上”。

  有记录以来最大的DDoS攻击在2月份袭击了亚马逊网络服务。亚马逊发布了一份关于这一事件的报告,称该公司的基础设施遭到了每秒2.3 TB,或每秒2060万次请求的攻击。6月初,Akamai报告了针对使用9种攻击媒介和多种僵尸网络攻击工具的互联网服务提供商发起的每秒3.85亿个数据包的DDoS攻击。2016年10月,大规模的Mirai DDoS攻击利用数十万受危害的物联网设备中的漏洞,破坏了很大一部分互联网。

  天地和兴工业网络安全研究院编译,参考来源:gov info security http://dwz.date/bnHx

 

  (十四)Bitdefender杀毒软件含有远程执行漏洞

  

 

  独立安全研究人员Wladimir Palant 本周发现一个藏匿在Bitdefender Total Security杀毒软件中的安全漏洞,指出此一编号为CVE-2020-8102的漏洞将允许黑客执行任意程序,Bitdefender则在Palant公布漏洞的同一天宣布已公布更新版本。

  Bitdefender Total Security号称是可以保护所有平台及装置安全性的解决方案,具有反勒索软件、Wi-Fi安全、防火墙及先进威胁防御功能,其中有一个机制名为Bitdefender Safepay,它是个封闭的浏览器环境,主要用于使用者执行网络银行、电子商务或其它网络交易时,而CVE-2020-8102漏洞便存在于Bitdefender Safepay中。

  Palant指出,Bitdefender软件会检查浏览器的HTTPS连线,万一遇到凭证无效或过期,它不是让一般浏览器处理此一错误,而是选择在自己的Safepay浏览器中显示,且网址列上的URL是不变的,这就可能让Safepay载入恶意网页,使得该网页得以与其它位于Safepay内的网站分享同样的安全令牌,造成引狼入室的后果。

  Bitdefender则表示,这是因为Safepay不当地验证输入所引发的安全漏洞,将允许一个外部且特制的网页在Safepay程序中执行远端命令,而且该漏洞影响Bitdefender Total Security 2020的各种版本,目前已经公布24.0.20.116来修补这一重大漏洞。

  天地和兴工业网络安全研究院编译,参考来源:ithome http://dwz.date/bnHj

 

  (十五)微软收购CyberX以加速和保护客户的IoT部署

  微软6月22日宣布,已收购工业网络安全公司CyberX,以努力扩大其Azure IoT安全能力,并将其扩展到工业IoT(IIoT)和运营技术(OT)系统。交易的财务条款尚未披露,但以色列的Globes在5月初报导称,微软一直准备以1.65亿美元的价格收购CyberX。

  在几周前,CyberX宣布与Microsoft Azure Security Center for IoT进行了新的集成,以努力为组织提供跨其IoT设备的统一视图,就在几周后,有关收购的传言浮出水面。

  微软现在表示,它将CyberX技术与Azure IoT堆栈,IoT的Azure安全中心和Azure Sentinel集成在一起,以“提供一种更简单的方法来跨IT和工业网络以及端到端进行统一的安全治理托管和非托管物联网设备之间的安全性,使组织能够快速检测并响应融合网络中的高级威胁。”

  微软希望通过此次收购解决的两个主要挑战是,使客户对当前连接到其网络的IoT设备具有可见性,并管理这些设备的安全性。

  CyberX的创始人Omer Schneider和Nir Giller将加入微软,CyberX的员工将继续致力于改善该平台,该平台在收购云和空隙网络后仍然可用。

  担任CyberX国际总经理兼CTO的Giller 称:“通过与Microsoft联手,我们将迅速扩展我们的业务和技术规模,以安全地为更多组织实现数字化转型, CyberX和Microsoft共同提供了无与伦比的解决方案,可帮助您获得可见性并全面了解企业中所有IoT和OT设备的风险。”

  CyberX成立于2013年,在五轮融资中筹集了4,800万美元。该公司开发了物联网和OT安全解决方案,可提供资产管理、网络分段、风险和漏洞管理、威胁监控和检测、SOC集成以及集中式管理功能。

  天地和兴工业网络安全研究院编译,参考来源:SecurityWeek http://dwz.date/bnEQ

关键词:

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号