安全研究
全部分类

​关键信息基础设施安全动态周报【2020年第36期】

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-09-11 17:17
  • 访问量:

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第36期】天地和兴播报。

​关键信息基础设施安全动态周报【2020年第36期】

【概要描述】《知晓天下安全事》—关键信息基础设施安全动态周报【2020年第36期】天地和兴播报。

  • 分类:威胁情报研究
  • 作者:
  • 来源:
  • 发布时间:2020-09-11 17:17
  • 访问量:
详情

  目 录

  第一章 国内关键信息基础设施安全动态

  (一)哈佛研究称中国网络力量与美国并驾齐驱

  (二)中国愿发起《全球数据安全倡议》

  (三)FCC要求美国电信业完全替换中兴和华为设备

  第二章 国外关键信息基础设施安全动态

  (一)巴基斯坦电力供应商K-Electric遭受勒索软件Netwalker攻击

  (二)以色列芯片制造商Tower Semiconductor遭受网络攻击

  (三)阿根廷移民局遭受勒索软件Netwalker攻击

  (四)数据托管中心Equinix遭受勒索软件Netwalker攻击

  (五)CodeMeter产品中存在六个严重漏洞可致工控系统远程攻击

  (六)美国政府发布太空系统网络安全政策

  (七)CISA发布指令要求美国联邦机构需执行《漏洞披露政策》

  (八)FBI警告称勒索式DOS攻击正席卷全球

  (九)五眼联盟联合发布事件响应指南

  (十)多国CERT警告Emotet木马攻击

  (十一)黑客组织TeamTNT滥用合法工具Weave Scope进行云攻击

  (十二)澳大利亚政府遭受网络钓鱼攻击 泄露738 GB数据

  (十三)智利银行BancoEstado遭受REVil勒索软件攻击

 

  第一章 国内关键信息基础设施安全动态

  (一)哈佛研究称中国网络力量与美国并驾齐驱

  按照传统观点,就网络空间的实力而言,专家倾向于将美国排在中国、英国、伊朗、朝鲜和俄罗斯之前。但哈佛大学贝尔弗中心的一项新研究显示,中国已经在三个关键领域缩小了与美国的差距:监控、网络防御以及建立商业网络领域。

  哈佛大学贝尔弗中心联席主任埃里克·罗森巴赫(Eric Rosenbach)表示,“很多人,特别是美国人,会认为美国、英国、法国和以色列在网络实力方面比中国更先进。我们的研究表明事实并非如此,中国非常发达,几乎与美国处于同等水平。”

  该项研究表明,总体而言,中国的网络实力仅次于美国。但研究还发现,几个目前不被认为是传统网络强国的国家正在世界舞台上崛起。

  衡量网络实力往往是一项复杂的工作,因为许多细节都隐藏在世界各地的绝密政府文件或隐晦的外交信息中。参与创建该框架的研究人员来自谷歌威胁分析小组和英国政府的网络政策团队,他们着手提供一个衡量标准,以揭示网络安全生态系统更真实的图景。

  国防部负责网络事务的前国防部助理部长罗森巴赫表示,“无论是在学术界还是政治界,人们往往会遵循传统的智慧。在美国政府,每个人都在谈论‘四大’,首先是俄罗斯和中国,然后是朝鲜和伊朗,但这种想法真的太简单化了,他们没有更全面地考虑网络力量,这可能会导致错误的政策决定和不良的战略成果。我们希望有一种更严格的方式来评估国家层面的网络力量。”

  该框架跟踪旨在衡量国家网络能力的27个指标和旨在衡量国家因此而使用其网络能力的意图的32个指标。为了获得多样化的网络力量图景,研究人员将其测量结果分为七个类别,包括国家的防御、进攻性的网络行动、外国情报收集、监视和信息环境的控制。该研究小组还评估了各国在定义国际网络规范方面的能力和意图,以及它们为发展其国内网络部门所做的努力。

  根据这份报告,美国是世界舞台上最有权势的网络参与者。它在七个类别中的五个中名列前茅,包括控制信息环境、塑造国际网络规范、情报、以及攻击性和破坏性的网络行动。

  但罗森巴赫表示,研究表明,有一些国家正在变得更有能力成为网络强国,包括阿联酋、越南和新加坡。马来西亚、瑞典和瑞士在包括情报、监视、信息控制和商业增长在内的多个类别中也跻身前10名。NCPI发现,总的来说,美国、中国、英国、俄罗斯和荷兰是最强大的网络强国。前十名依次是法国、德国、加拿大、日本和澳大利亚。

  该研究的共同作者表示,其他研究团队先前的网络能力指数并未全面了解谁在世界舞台上上升和下降。例如,经济学人智库和布兹·艾伦·汉密尔顿(Booz Allen Hamilton)的“网络力量指数”并不衡量进攻能力,而是关注经济指标。研究人员说,波托马克研究所的网络就绪指数研究了一个国家对确保其基础设施安全的承诺。

  近几个月来,中国政府黑客一直在加强其网络行动,打击被认为是反对政府的人,包括香港、维吾尔穆斯林和台湾的抗议活动。NCPI显示,虽然这些行动可能会登上头条,但在中国,有一个更广泛的网络力量生态系统在发挥作用。根据这项研究,中国在对国内组织的监控、信息控制、外国情报收集以及国防方面排名靠前。

  根据美国国防部上周发布的一份对中国军事实力的评估,中国人民解放军一直在努力增强其能力。中国人民解放军在历史上曾有过一次截然不同的网络行动。它专门通过其战略支持部队(Strategic Support Force)做到了这一点,这是近年来成立的一个战区指挥级组织,正在努力将其网络侦察、网络攻击和防御能力集中到一个部队中。

  国防部的报告指出:“中国人民解放军显然对其网络能力与美国之间的差距感到担忧,这是推动SSF成立的动力之一。中国对网络力量的关注是由追赶美国网络行动的目标推动的。中国认为自己的网络能力和网络人员落后于美国,它正在努力改善培训,支持国内创新,克服这些公认到的不足,以推进网络空间运营。”

  参考来源:cyberscoop http://dwz.date/cz25

 

  (二)中国愿发起《全球数据安全倡议》

  中国国务委员兼外长王毅9月8日在全球数字治理研讨会上表示,中国建设性参与联合国、二十国集团、金砖国家、东盟地区论坛等多边平台的数据安全讨论,致力于为加强全球数字治理贡献中国智慧。为应对新问题新挑战,中国愿发起《全球数据安全倡议》,欢迎各方积极参与。

  这一倡议的主要内容包括:

  一是客观理性看待数据安全,致力于维护全球供应链开放、安全和稳定。

  二是反对利用信息技术破坏他国关键基础设施或窃取重要数据。

  三是采取措施防范和制止侵害个人信息的行为,不得滥用信息技术对他国进行大规模监控,或非法采集他国公民个人信息。

  四是要求企业尊重当地法律,不得强制要求本国企业将境外产生、获取的数据存储在本国境内。

  五是尊重他国主权、司法管辖权和对数据的管理权,不得直接向企业或个人调取位于他国的数据。

  六是应通过司法协助等渠道解决执法跨境数据调取需求。

  七是信息技术产品和服务供应企业不应在产品和服务中设置后门,非法获取用户数据。

  八是信息技术企业不得利用用户对产品依赖,谋取不正当利益。

  本文版权归原作者所有,参考来源:中国新闻网 http://dwz.date/cyBV

 

  (三)FCC要求美国电信业完全替换中兴和华为设备

  美国联邦通讯委员会(Federal Communication Committee,FCC)6月指责中国电信厂商华为、中兴为国家安全威胁后,外界也预估下一步就会要求电信业者拆除现有设备。9月4日FCC宣布完成美国国内电信业者的使用调查,准备要求业者淘汰替换两家中国公司的电信网络设备,估计需要经费约18亿美元。

  这项调查是起自去年11月FCC主席Ajit Pai一项在白宫反中气氛中做出的提议,包括禁止美国电信业者以国家“普及服务基金”预算,采购华为与中兴的网络设备及服务,并要求当地电信商拆除现已引入的两家公司设备。为此,FCC要求电信业者清查已经用国家补助采购了多少华为与中兴的设备,也将补助他们移转到其他公司产品。

  今年6月底,FCC正式指称华为、中兴的产品对美国构成国家安全威胁,FCC委员也说不会到此为止,暗示会有进一步动作。上周FCC表示,根据搜集的资料显示,移除并淘汰替换现有电信业者网络中华为和中兴设备估计耗资18.4亿美元,包括初阶段符合补助审查的企业需要的16.2亿美元,剩余则提供给尚未参加调查的企业后续参加补助审查。

  FCC主席Pai指出,FCC的首要任务是提升国家通讯网络的安全,这也是FCC调查电信业者网络中安装“不可信赖厂商”的设备和服务的原因,而在完成辨识美国网络中有多少不安全设备后,就可以开始着手协助他们,特别是小型及偏远地区电信业者改用可信赖业者的设备。不过经费至今仍是问题,他再次呼吁美国国会通过补助淘汰替换的预算。

  美国为首的五眼联盟中,澳洲、新西兰已经明确抵制在5G网络中使用华为设备。英国则是于7月宣布于2027年前,淘汰清除所有正在使用的华为电信设备。欧洲另一大国德国仍保持观望,并未表达其最终决定。

  参考来源:iThome http://dwz.date/czvM

 

  第二章 国外关键信息基础设施安全动态

  (一)巴基斯坦电力供应商K-Electric遭受勒索软件Netwalker攻击

  巴基斯坦卡拉奇市电力供应商K-Electric遭受了勒索软件Netwalker攻击,影响了计费和在线服务。

  K-Electric(KE)(前身为卡拉奇电力供应公司/卡拉奇电力供应有限公司)是一家巴基斯坦投资者所有的公用事业公司,管理着生产和向消费者输送能源的所有三个关键阶段:发电、输电和配电。K-Electric是该国最大的电力供应商,拥有250万客户和约1万名员。

  从9月7日开始,该公司的客户无法使用其账户服务,电力供应没有受到影响。作为对这一事件的回应,K-Electric试图通过登台站点重新引导用户,但问题尚未解决。

  在得知此次勒索软件攻击后,安全研究人员证实了Netwalker勒索软件运营商是此次攻击的幕后黑手。Netwalker勒索软件运营商要求支付价值385万美元的比特币。与往常一样,如果公司不在七天内支付赎金,赎金将增加到770万美元。

  

 

  该组织还在他们的Tor泄密网站的“被盗数据”页面上声称,他们在加密K-Electric系统之前窃取了未加密文件。目前还不清楚有多少文件被盗,以及其中包含哪些信息。

  最近,Netwalker勒索软件运营商攻击了阿根廷官方移民机构Dirección Nacional de Migraciones,攻击导致进出该国的边境口岸中断4个小时。另一个受害者是加州大学旧金山分校(UCSF),他们决定支付114万美元的赎金以恢复其档案。

  最近,联邦调查局发布了针对美国和外国政府组织的Netwalker勒索软件攻击的安全警报。联邦政府建议受害者不要支付赎金,并向当地的联邦调查局外地办事处报告事件。该警报还包括Netwalker勒索软件的危害指标以及缓解措施。FBI警告称,从6月份开始的新一波Netwalker勒索软件攻击,受害者名单包括加州大学旧金山分校医学院和澳大利亚物流巨头Toll Group。自3月份以来,Netwalker勒索软件运营商一直非常活跃,还利用正在进行的新冠肺炎疫情攻击目标组织。

  威胁参与者最初利用提供Visual Basic脚本(VBS)加载程序的网络钓鱼邮件,但从2020年4月开始,Netwalker勒索软件运营商开始利用易受攻击的虚拟专用网(VPN)设备、Web应用程序中的用户界面组件或远程桌面协议连接的弱密码来访问受害者的网络。最近,Netwalker勒索软件运营商正在寻找新的合作者,为他们提供对大型企业网络的访问。

  以下是FBI提供的建议缓解措施:

  l 离线备份关键数据;

  l 确保关键数据的副本位于云中或外部硬盘或存储设备上;

  l 保护备份,并确保无法从数据所在的系统访问该数据以进行修改或删除;

  l 在所有主机上安装并定期更新防病毒或防恶意软件;

  l 只使用安全网络,避免使用公共Wi-Fi网络;

  l 考虑安装和使用VPN;

  l 使用具有强密码的双因素身份验证;

  l 保持计算机、设备和应用程序修补程序为最新。

  参考来源:SecurityAffairs http://dwz.date/cz6U

 

  (二)以色列芯片制造商Tower Semiconductor遭受网络攻击

  以色列芯片制造商Tower Semiconductor 9月6日宣布,该公司的IT安全系统已确定由于网络事件而在其某些系统上发生安全事件。作为预防措施,该公司停止了部分服务器,并主动停止了某些制造工厂的运营,并采取了逐步、有组织的方式。一位不愿透露姓名的知情人士表示,Tower Semiconductor准备向黑客支付数十万美元的赎金以释放其服务器。Tower有一项针对网络攻击的保险单,保险公司将承担相关费用。

  与许多公司支付赎金并竭尽全力将事件保密的公司不同,Tower已向以色列证券管理局报告了该黑客事件,并与执法机构以及由其全球专家组成的领导团队与其保险提供商进行紧密合作,以尽快恢复受影响的系统。公司已采取具体措施来防止此事件的扩大。目前,尚无对公司实际影响的评估。该公司并表示,作为预防措施,它关闭了部分服务器,并部分停止了生产设备。

  Tower位于以色列北部的Migdal HaEmek,拥有5,000多名员工。Tower Semiconductor是高价值模拟半导体代工解决方案的领导者,为消费、工业、汽车、移动、基础设施、医疗、航空航天和国防等日益增长的市场为集成电路提供技术和制造平台。Tower Semiconductor致力于通过长期合作伙伴关系及其先进和创新的模拟技术产品,对世界产生积极和可持续的影响,产品包括各种可定制的处理平台,例如SiGe、BiCMOS、混合信号/ CMOS、RF CMOS、CMOS图像传感器、非成像传感器、集成电源管理(BCD和700V)和MEMS。Tower Semiconductor还提供世界一流的设计支持,以实现快速,准确的设计周期,并为IDM和无晶圆厂公司提供转移优化和开发过程服务。

  根据以色列网络安全公司Skybox Security的数据,与2019年前六个月相比,2020年上半年勒索软件攻击增加了72%。该公司预计,到2020年,将有大约20,000起此类攻击的报告,今年已经报告了9,000起。

  停产对于像Tower这样的芯片公司来说是沉痛的打击。除财务损失外,该公司还必须应对对其形象和制造造成的打击。由于勒索软件攻击而关闭生产线的成本可能高达数百万美元,具体取决于持续时间。对于非制造公司,从勒索软件攻击中恢复要简单得多。

  Cybereason安全研究主管Yossi Rachman表示:“我们通常建议不付钱给黑客。我们假设在这种情况下,公司遭受的损失使公司别无选择,只能付款,这是它的风险管理案例。公司关闭的每一分钟要付出的代价比勒索赎金的代价。执法部门也不建议支付赎金。如果一家公司准备好了定期备份和附属系统,则无需支付赎金。”

  根据以色列网络安全巨头Check Point的说法,有两种类型的勒索攻击:常规攻击和重点攻击。虽然全球每25家公司中就有一家受到一般赎金攻击,而且通常会造成不影响生产或运营能力的局部损害,但针对性攻击的目的是使公司的活动瘫痪。黑客通常花费数周的时间精心策划这种攻击,以感染尽可能多的计算机。这些攻击通常在大多数员工在家中的周末进行,只有在已经造成严重破坏后才发现。赎金要求和与攻击者的联系通常会在所有受感染计算机的屏幕上显示。

  目前尚不清楚黑客如何攻破Tower的防御,但是由于Covid-19而导致的在家工作模式的转变为攻击者提供了千载难逢的机会。大多数安全防御系统已经适应了这种新的工作模式,但是毫无疑问,在家工作的员工比位于公司总部的集中式计算机系统更容易受到攻击。

  参考来源:Calcalist http://dwz.date/cyDa

 

  (三)阿根廷移民局遭受勒索软件Netwalker攻击

  阿根廷移民局八月底遭受黑客发动勒索软件Netwalker攻击,被勒索400万美金,并一度造成系统混乱,迫使阿根廷关闭边境通关审查工作长达4小时。

  根据当地媒体报导,事情发生在8月27日当地早上7时左右,该国IT主管机关接到多起边境检查关口通报系统无法使用,并且接到黑客留下的勒索软件信息,要求当局支付赎金以取回解密密钥。

  根据阿根廷网络犯罪防治主管单位的文件,攻击者是以名为NetWalker的勒索软件入侵阿根廷移民局(Dirección Nacional de Migraciones)的SICaM(Integral System of Migratory Capture)系统,该系统专门处理出入、境证件审查。该恶意程序主要加密Windows机器系统文档,包括ADAD SYSVOL和SYSTEM CENTER DPM(data protection manger),以及使用者硬盘及共享文件夹中的Microsoft Office文件,包括Word及Excel档。

  为免勒索软件危害扩大,当局立即切断出入境管理相关网络及系统,也使海关审查工作被迫中断长达4小时。之后在抢修下受影响的服务器恢复上线。

  阿根廷当局说此次攻击并未影响重要基础设施,也没有敏感资料,包括个人或企业信息受到影响。报导同时引述消息来源指出,阿根廷政府并不愿和黑客交涉交付赎款,但也不担心抢修系统的问题。

  根据相关报导,攻击者原本只要求200万美元的赎金,但7天过后因为阿根廷政府不愿付款,因此决定将赎金提高为400万美元,约355比特币。黑客也在地下论坛上张贴了证实他们持有隶属于阿根廷移民局的资料撷图,而从截图来看,似乎也包含了敏感内容。

  Netwalker去年8月开始在网络上流传,已经被许多黑客组织用来发动勒索攻击。美国FBI今年7月也警告美国政府及企业小心此勒索软件。长期从事COVID-19研究的加州大学旧金山分校6月初,承认支付了114万美元以赎回被Netwalker加密的资料,但该校强调相关研究资料不受影响。Netwalker迄今勒索到的金额高达2500万美元,直逼Ryuk、Darma及REvio/Sodinokibi。

  参考来源:iThome http://dwz.date/czve

 

  (四)数据托管中心Equinix遭受勒索软件Netwalker攻击

  数据托管中心Equinix近日宣布其遭受了勒索软件Netwalker攻击,勒索450万美元的赎金来换取解密器,以防止被盗数据泄露。

  该公司在其网站上发布的声明中披露了这一事件,证实了此次勒索软件攻击袭击了许多内部系统,幸运的是,其主要核心服务客户并未受到影响而未受影响。

  

 

  此攻击中使用的勒索信件是专为Equinix设计的,其中包含指向被盗数据的屏幕截图的链接。Netwalker勒索软件运营商共享的屏幕截图显示了来自受感染系统的文件夹,据称包含公司数据,包括财务信息和数据中心报告。Netwalker勒索软件团伙要求受害者在3天内联系他们,以避免被盗数据泄露。勒索信件还包括Netwalker Tor支付网站的链接,威胁参与者要求450万美元(455比特币)的赎金。如果公司不及时付款,赎金将翻一番。

  文件夹上的最新时间戳为9/7/20,这种情况表明该安全漏洞是最近发生的。

  Netwalker勒索软件团伙在此期间非常活跃,在几天内,它宣布了对巴基斯坦主要电力供应商K-Electric和阿根廷官方移民机构Dirección Nacional de Migraciones的黑客攻击。

  最近,联邦调查局发布了针对美国和外国政府组织的Netwalker勒索软件攻击的安全警报。以下是FBI提供的建议缓解措施:

  l 离线备份关键数据;

  l 确保关键数据的副本位于云中或外部硬盘或存储设备上;

  l 保护备份,并确保无法从数据所在的系统访问该数据以进行修改或删除;

  l 在所有主机上安装并定期更新防病毒或防恶意软件;

  l 只使用安全网络,避免使用公共Wi-Fi网络;

  l 考虑安装和使用VPN;

  l 使用具有强密码的双因素身份验证;

  l 保持计算机、设备和应用程序修补程序为最新。

  参考来源:SecurityAffairs http://dwz.date/cz7E

 

  (五)CodeMeter产品中存在六个严重漏洞可致工控系统远程攻击

  工业网络安全公司Claroty 9月8日警告称,德国Wibu-Systems公司制造的一款流行的许可和DRM解决方案中存在的漏洞可能会使工业系统遭受远程攻击。

  CodeMeter旨在保护软件不受盗版和反向工程的影响,它提供许可管理功能,并包括保护软件免受篡改和其他攻击的安全功能。CodeMeter可用于广泛的应用,但它经常出现在工业产品中,包括工业PC、IIoT设备和控制器。CodeMeter是DRM解决方案WibuKey的后继产品由于存在潜在的严重漏洞,该解决方案会使西门子和其他供应商的工业产品受到攻击。

  Claroty的研究人员在CodeMeter中发现了六个漏洞,其中一些可被利用来对工业控制系统(IC)发起攻击,包括关闭设备或进程、交付勒索软件或其他恶意软件,或者执行进一步的攻击。其中两个安全漏洞已被归类为超高危漏洞,其余被认为是高危漏洞。

  Claroty在2019年2月和4月向供应商报告了调查结果,在2019年全年发布的更新修补了一些漏洞。Claroty表示,CodeMeter 7.10于2020年8月发布,已修补了所有报告的问题。

  Claroty的研究人员在CodeMeter中发现了各种类型的漏洞,包括内存损坏漏洞和可被利用来更改或伪造许可证文件的加密漏洞。他们展示了如何在没有身份验证的情况下远程利用某些漏洞来发起拒绝服务(DoS)攻击或实现任意代码执行。

  

 

  在研究人员描述的一种攻击场景中,攻击者建立了一个网站,旨在将恶意许可证推送到被引诱到该网站的用户的设备上。当CodeMeter处理无管理许可证时,可能会生成DoS条件或允许攻击者执行任意代码。在不同的攻击场景中,研究人员通过创建CodeMeter API和客户端来实现远程代码执行,这使他们能够向任何运行CodeMeter的设备发送命令。

  Wibu-Systems和美国网络安全和基础设施安全局(CISA)已发布针对CodeMeter漏洞的安全建议。西门子和罗克韦尔自动化也发布了公告,描述了这些漏洞对其产品的影响。Claroty创建了一个在线工具,允许用户检查他们是否正在运行易受攻击的CodeMeter版本。该公司还为这个项目设立了GitHub页面。

  参考来源:SecurityWeek http://dwz.date/czz3

 

  (六)美国政府发布太空系统网络安全政策

  特朗普政府9月4日宣布了首个针对外太空和近太空系统的全面网络安全政策。太空政策指令-5(SPD-5)明确了国土安全部(DHS)和网络安全与基础设施安全局(CISA)在加强国家在空间的网络防御方面发挥的主导作用,特别是在用于全球通信、导航、天气监测和其他关键服务的关键系统方面。

  代理国土安全部部长查德·F·沃尔夫(Chad F.Wolf)表示:“从2018年成立CISA,到今天发布保护美国在最后一个领域的利益的指令,特朗普总统正在授权国土安全部保卫国家免受不断演变的网络威胁。国土安全取决于我们太空系统的安全、利益和在太空中的行动自由。今天公布的政策是建立网络安全基准标准的关键一步,因为美国在太空和网络空间都处于领先地位。”

  传统的空间系统、网络和信道可能容易受到恶意网络活动的攻击,这些恶意网络活动可能会拒绝、降级或中断空间系统操作,甚至会摧毁卫星,对关键基础设施部门产生潜在的连锁效应。在空间系统中建立安全和弹性对于最大限度地发挥它们的潜力和支持美国人民、经济和国土安全事业至关重要。

  SPD-5确立了空间系统的以下关键网络安全原则:

  ·空间系统及其辅助基础设施,包括软件,应使用基于风险的、网络安全知情的工程来开发和运行;

  ·航天系统运营商应制定或整合空间系统的网络安全计划,包括确保运营商或自动控制中心系统能够保持或恢复对航天器的积极控制,并核实关键功能及其提供的任务、服务和数据的完整性、保密性和可用性;

  ·空间系统网络安全要求和条例应利用广泛采用的最佳做法和行为规范;

  ·空间系统所有者和经营者应在法律和法规允许的范围内合作,促进最佳做法和缓解措施的发展;

  ·太空系统安全要求的设计应是有效的,同时允许太空运营者管理适当的风险容忍度,并最大程度地减少民用,商业和其他非政府太空系统运营者的不必要负担。

  代理国务卿沃尔夫总结称:“国土安全部期待与合作机构伙伴一起实施这些原则,以帮助保护美国人民。”

  参考来源:美国国土安全部 http://dwz.date/czpy

 

  (七)CISA发布指令要求美国联邦机构需执行《漏洞披露政策》

  网络安全和基础设施安全局(CISA)9月2日发布了一项指令,该具有约束力的操作指令是针对美国联邦、行政部门和机构的强制性指示,旨在保护联邦信息和信息系统。该指令要求美国联邦机构需要在2021年3月前实施漏洞披露政策(VDP)。

  漏洞披露政策(VDP)的主要目的是确保以及时、准确、完整,易懂、方便且负担得起的方式披露所需信息(机密业务信息除外),并与相关方共享。此举旨在为政府机构提供一种正式的机制,以从安全研究人员和白帽黑客那里接收有关其基础设施漏洞的报告。漏洞披露政策通过鼓励联邦机构与公众之间的有意义的合作,可以增强政府基础设施的弹性。

  在该指令中CISA表示,“当机构将漏洞报告整合到他们现有的网络安全风险管理活动中时,他们可以权衡并解决更广泛的问题。这有助于保护公众已委托给政府的信息,并为联邦网络安全团队提供更多数据,以保护其代理机构。此外,确保整个执行部门的策略一致,可以为举报漏洞的人员提供同等的保护和更统一的体验。”

  漏洞披露政策将规定覆盖哪些系统是该流程的一部分,包括那些没有故意在网上公开的系统。该指令要求组织实施VDP时,应明确说明哪些系统在范围内,并保证进行诚信安全研究。

  该指令草案于2019年12月首次发布,公开征求公众意见,此后,该机构收到了40多名安全专家、学者、联邦机构、民间社会和国会议员的200多项建议。在接下来的60天内,CISA将在其信息安全计划中发布有关VDP实施的进一步指南,并且所有机构必须在180天内发布其漏洞披露政策。在240天内,各机构必须报告VDP的重要阶段,以涵盖所有政府信息系统,并且CISA必须开始协调实施漏洞披露所实施的流程。

  该指令表示。“为了集中部分工作,CISA将于明年春季提供漏洞披露平台服务。我们希望这将减轻机构的操作,减轻该指令下的报告负担,并提高漏洞报告者的可发现性。”

  参考来源:SecurityAffairs http://dwz.date/czg2

 

  (八)FBI警告称勒索式DOS攻击正席卷全球

  美国联邦调查局(FBI)及以色列网络安全公司Radware近日相继警告,勒索式的分散式服务阻断攻击(Ransom DDoS,RDoS)正在席卷全球企业,估计从今年8月12日开始,全球就有数千家不同产业的公司收到勒索信件,黑客要求受害企业支付赎金,否则就会发动DDoS攻击,勒索金额从10个比特币(约11.3万美元)到20个比特币(22.6万美元)不等。

  根据FBI与Radware的调查,黑客是通过电子邮件联系这些受害企业,宣称自己是知名的Fancy Bear、Armada Collective或Lazarus Group集团,并在信件中附上受害者所使用的自治系统号码(ASN) 、服务器的IP位址,以及准备攻击的服务,针对亚太区、欧洲、中东、非洲及北美地区的金融、旅游以及电子商务企业。

  今年黑客的胃口很大,一般会提出10个比特币到20个比特币不等的勒索金额,远高于去年所提出的1或2个比特币,威胁企业若不支付赎金,就会发动规模高超过2Tbps的DDoS攻击,为了证明所言不虚,通常会指定一个日期发动小型的攻击来展现自己的实力。一旦受害企业未在期限内付款,黑客每次都会涨价10个比特币,并表示自己情愿收到赎金也不愿发动攻击。

  调查显示,若企业拒绝付款,黑客实际发动的DDoS攻击规模介于50Gbps至200Gbps之间,有时是UDP或UDP Flood洪水攻击,有时则会采用WS-Discovery放大攻击,再辅以TCP SYN、 TCP out-of-state或ICMP洪水攻击。

  FBI明确指出,他们并不鼓励企业支付赎金,因为这将让黑客继续攻击其它的企业或是吸引别的黑客集团加入,而且黑客也可能利用不法所得来进行非法行为。此外,FBI也警告,支付赎金并不保证黑客就不会展开攻击,建议受害企业在面临威胁或遭受攻击时最好选择报警。

  参考来源:iThome http://dwz.date/cznd

 

  (九)五眼联盟联合发布事件响应指南

  五眼联盟成员澳大利亚、加拿大、新西兰、英国和美国联合发布报告,重点介绍了发现恶意活动的技术方法,并包括根据最佳实践的缓解步骤。该报告的目的是增强合作伙伴和网络管理员之间的事件响应能力,并充当事件调查手册。

  该报告指出,最佳实践事件响应程序首先收集工件、日志和数据,并将其移除以进行进一步分析,然后继续实施缓解步骤,而不让对手知道已检测到它们存在于受威胁的环境中。

  此外,该联合报告还鼓励组织与第三方IT安全组织协作,以获得技术支持,确保已将对手从网络中移除,并避免因后续妥协而导致的问题。联合报告“强调了揭露恶意活动的技术方法,并包括根据最佳做法采取的缓解措施。该报告的目的是加强合作伙伴和网络管理员对事件的响应,并作为事件调查的行动指南。”

  发现恶意活动的技术方法包括搜索危害指示(IoC)、分析网络和主机系统中的流量模式、分析数据以发现重复模式以及异常检测。建议组织在进行网络调查或主机分析时查找各种工件,包括DNS流量、RDP、VPN和SSH会话、欺诈进程、新应用程序、注册表项、开放端口、已建立的连接、用户登录数据、PowerShell命令等。

  在处理事件时,组织还应避免常见错误,例如在发现受危害的系统后立即采取行动(这可能会泄露给对手)、在保护和恢复工件之前缓解系统、访问/阻止对手的基础设施、先发制人地重置凭据、擦除日志数据或未能解决攻击的根本原因。

  组织在寻求防止常见攻击媒介时应采取的缓解步骤包括限制或停止FTP、Telnet和未经批准的VPN服务;删除未使用的服务和系统;隔离受危害的主机;关闭不必要的端口和协议;禁用远程网络管理工具;重置密码;以及及时修补漏洞等。

  该报告还详细介绍了组织在寻求改善安全立场和防止网络攻击发生时应应用的建议和最佳实践,但强调了这样一个事实,即没有任何单一的技术、计划或一套防御措施可以完全防止入侵。

  正确实施的防御技术和程序使威胁行为者更难获得网络访问权限,并保持持久但不被发现。当一个有效的防御计划到位时,攻击者应该会遇到复杂的防御障碍。攻击者的活动还应该触发检测和预防机制,使组织能够快速识别、遏制和响应入侵。

  网络分段、敏感数据的物理隔离、采用最低权限原则以及跨网段和层应用建议和实施安全配置应有助于降低发生攻击时的危害。

  参考来源:SecurityWeek http://dwz.date/czux

 

  (十)多国CERT警告Emotet木马攻击

  近日法国、新西兰、日本多国网络安全机构发布多个安全警报,警惕基于电子邮件的Emotet恶意软件攻击。

  新西兰计算机紧急响应小组(CERT)表示:“电子邮件中包含建议接收者下载的恶意附件或链接。这些链接和附件可能看起来像真实的发票、财务文件、运输信息、履历表、扫描的文件或有关COVID-19的信息,但它们是伪造的。”

  与此担忧相似的是,日本的CERT(JPCERT/CC)警告称,其发现国内域(.jp)电子邮件地址数量迅速增加,这些地址已被恶意软件感染,并可能被滥用发送垃圾邮件,试图进一步传播感染。

  Emotet 于2014年首次被发现,并由威胁组织TA542(或Mummy Spider)进行分发,此后从最初的原始木马演变为模块化的“Swiss Army knife”,可以用作下载程序、信息窃取程序、spambot,具体取决于其部署方式。

  

 

  在最近几个月中,恶意软件压力已经与僵尸网络驱动的多个恶意垃圾邮件活动相关联,甚至能够通过将其受感染机器的僵尸网络租借给其他恶意软件组来提供更危险的有效负载,例如Ryuk勒索软件。Emotet活动的新一轮上升与7月17日的回归相吻合,在经历了自今年2月7日以来的长时间开发之后,这些恶意软件在所有工作日都会发送多达50万封针对欧洲组织的电子邮件。

  Binary Defense 上个月在一份报告中概述了Emotet在2月7日左右进入停止发送垃圾邮件并开始开发其恶意软件的时期,其中详细介绍了一种可防止恶意软件影响新系统的漏洞(称为EmoCrash)。

  通常,该攻击通常通过涉及恶意Microsoft Word或受密码保护的ZIP文件附件的大规模网络钓鱼电子邮件活动进行传播,最近的攻击浪潮利用了一种称为电子邮件线程劫持的技术,利用该技术感染TrickBot和QakBot银行木马病毒。

  它的工作原理是从受感染的邮箱中窃听电子邮件对话和附件,以诱人的网络钓鱼诱饵,这些诱饵采取对受感染受害者和其他参与者之间现有的,正在进行的电子邮件线程进行恶意响应的形式,以使电子邮件看起来更可信。

  法国国家网络安全局(ANSSI)表示:“TA542还会根据邮箱受损期间收集的信息来构造网络钓鱼电子邮件,然后将其发送到被窃取的联系人列表中,或更简单地说,是欺骗实体,受害者的形象。”

  除了使用JPCERT / CC的EmoCheck工具检测Windows计算机上是否存在Emotet木马外,建议定期扫描网络日志以查找与已知Emotet 命令与控制(C2)基础结构的任何连接。

  Proofpoint在上个月对Emotet 进行的详尽分析中说:“自从放长假回来后,TA542电子邮件活动再次成为最普遍的邮件发送方式,只有少数几个参与者接近。他们已经对其恶意软件进行了代码更改,例如电子邮件发送模块的更新,并选择了一个新的会员有效载荷进行分发(Qbot),并使用本地语言诱饵扩展了针对国家/地区的定位。”

  参考来源:TheHackerNews http://dwz.date/czy9

 

  (十一)黑客组织TeamTNT滥用合法工具Weave Scope进行云攻击

  威胁检测和响应公司Intezer9月8日称其观察到一个黑客组织TeamTNT使用合法工具来获得对受威胁的云环境的可见性和控制权。

  该组织被称为TeamTNT,之前有人发现该组织利用蠕虫攻击Docker和Kubernetes系统,以搜索和渗透本地凭据,包括AWS登录信息。黑客在受影响的机器上部署加密货币挖掘器。然而,在最近的一次攻击中,对手不再将恶意软件部署到受攻击的系统上。取而代之的是使用Weave Scope来映射云环境并执行命令。Weave Scope为Docker、Kubernetes、分布式云操作系统(DC/OS)和AWS弹性计算云(ECS)提供监控、可视化和控制功能,并与所有这些功能无缝集成。

  Intezer解释说,TeamTNT的攻击通常是从托管在Docker Hub上的恶意Docker图像开始的,但也涉及到使用密码挖掘器和恶意脚本。新的攻击还暴露了合法的开源Weave Scope工具被滥用来接管受害者的云基础设施。

  暴露的Docker API端口被滥用来创建一个新的特权容器,在该容器上运行干净的Ubuntu镜像。攻击者对容器进行配置,以便将其文件系统挂载到受害服务器的文件系统上,从而获得对服务器上文件的访问权限。

  接下来,攻击者指示容器下载并运行加密挖掘器,之后他们试图通过在主机服务器上设置本地特权用户‘Hilde’并通过SSH连接来将权限提升到root。此时,下载并安装Weave Scope,以控制受害者的云环境。Weave Scope仪表板显示Docker基础设施的可视化地图,允许攻击者在不安装恶意软件的情况下执行shell命令。

  Intezer表示,“据我们所知,这种情况不仅非常罕见,而且这是攻击者首次下载合法软件作为Linux操作系统上的管理工具。”

  为保持保护,建议组织关闭暴露的Docker API端口(攻击者通过错误配置的Docker API获得访问权限),并阻止到端口4040的传入连接(用于访问Weave Scope仪表板)。他们在保护Docker环境时也应该遵循最佳实践,并安装安全解决方案来保护Linux云服务器和容器。

  对工作负载采用零信任执行(ZTE)策略还应防止TeamTNT攻击,因为它创建了工作负载的基线,并监视和阻止任何未经授权的代码或应用程序执行。虽然Weave Scope是一个合法的工具,但ZTE会将其标记为偏离可信基准。

  参考来源:SecurityWeek http://dwz.date/cz4M

 

  (十二)澳大利亚政府遭受网络钓鱼攻击 泄露738 GB数据

  澳洲新南威尔斯州服务处(NSW Service)9月8日公告称,5个月前发生了网络钓鱼邮件攻击,造成数百GB资料泄露,涉及该组织曾经服务过的人员将近18.6万人。新南威尔斯州服务处是提供所有该州政府服务的一站式服务单位。事件发生于今年4月底,并经过4个月的调查,于近日完成调查。

  根据澳洲政府公布的信息,该组织47名员工电子邮件信箱被黑,并因此造成服务处服务过的人员资料泄露。调查显示,黑客经由这些员工的信箱窃取了738GB民众资料,包括380万份文件,其中50万文件包含个人信息,受害人数高达18.6万。

  据报导,一名员工点击了钓鱼邮件链接而酿祸,新南威尔斯州启动调查后发现,事态超出想像地严重。报导指出,受影响的民众包括亲自到过服务处、打电话寻求市民服务、以及以App和网站进行交易的使用者。澳洲媒体报导称,泄露的文件包含手填的文件和表格、交易纪录和扫描文档。该州政府于上周获知后,已经报警并展开调查,同时在本周分别通知受影响的人员。

  参考来源:iThome http://dwz.date/cz5T

 

  (十三)智利银行BancoEstado遭受REVil勒索软件攻击

  智利最大的银行之一智利银行(BancoEstado)遭受了勒索软件攻击,迫使其所有分支机构自9月7日以来一直关闭。勒索软件对公司的大部分服务器和工作站进行了加密。

  该银行通过其Twitter账户披露了此次攻击事件,并决定关闭分支机构,以调查这起事件并恢复其系统,并将调查结果报告给智利警察。

  智利CSIRT还发布了 有关针对私营部门的勒索软件活动的网络安全警报。

  

 

  一位参与调查的消息人士称,智利银行遭到了Revil勒索软件运营商的攻击,但该银行的数据尚未公布在该团伙的泄密网站上。该调查人员认为,在周五至周六的晚上,黑客利用后门进入银行的网络并安装勒索软件,银行周末轮班的员工在周六无法查看自己的工作文件时发现了这次攻击。威胁行为者利用恶意Office文件在银行的基础设施上提供后门,并将其用作入口点。攻击媒介是一系列使用武器化Office文档的垃圾邮件。

  据该银行称,得益于BancoEstado基础设施的良好设计,其网站、银行门户、移动应用程序和ATM网络均未受到影响。

  REvil勒索软件组织是最活跃的组织之一,该软件已将Pulse Secure和Citrix VPN和企业网关系统作为入口点。受害者的名单包括阿根廷电信、斯里兰卡电信、Valley健康系统、澳大利亚公司Lion、Brown-Forman、电力公司Light S.A.和电气中间人Elexon。

  参考来源:SecurityAffairs http://dwz.date/czpK

  (如未标注,均为天地和兴工业网络安全研究院编译)

关键词:

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号