The Good 在德國和其他國家執法機構領導下的一項國際行動中,全球最大的暗網-非法市場 DarkMarket 已是 offline 的狀態,合作國家來自澳大利亞,丹麥,摩爾多瓦,烏克蘭,英國和美國(DEA,FBI 和 IRS),還有歐洲刑警組織的支持。 該網站擁有近 100萬用戶,超過 2400 個賣家,處理了數十萬筆涉及毒品,假鈔,被盜信用卡資訊或偽造信用卡,匿名 SIM 卡和惡意程式交易。 據估計,該網站處理的交易額達 1.4 億歐元。 在上週末,一名澳大利亞人被捕,他參與了在德國和丹麥邊境附近的 DarkMarket operation。 通過調查,官員找到並關閉市了 marketplace,並沒收了在摩爾多瓦和烏克蘭 20 多個伺服器的犯罪設施。 查獲的伺服器包含了許多用戶,賣方和運營商的數據,預計將導致更多人逮捕。 The Bad 在家工作的趨勢使許多企業組織變得脆弱。 允許員工進入公司網絡和雲端資產需要安全工具和很大的自我紀律,但這通常是缺乏的,駭客們早已經注意到了這一點。 US Cybersecurity and Infracstructure Security Agency(CISA)發布了一份分析報告,其中表示針對最近已有不同企業組織的雲端服務的成功網絡攻擊。 根據 CISA 的說法,駭客們正在使用多種方式來利用受害者的雲端服務配置及不良的網路使用習慣。 要獲得對受保護雲端環境的進入權限,需要使用各種策略和技術(網路釣魚,暴力嘗試以及可能的 “ pass-the-cookie” 攻擊),來利用受害企業組織的雲端安全的弱點。 CISA 在多個不同的事件報告發現,攻擊者試圖通過惡意連結收集用戶憑證來取得權限。 如果這種策略失敗了,他們不段的嘗試,例如製造假的託管服務帳戶登錄 email。 當他們取得用戶的憑證時,他們將從受害人的帳號向其他員工發送 email,並獲取他們的憑證。 而且在某些情況下,這還不是必要的:有的公司企業允許員工通過 VPN 連接,還把 port 80留在了開放狀態……然後就受到了暴力攻擊。 CISA 指出,有時駭客們只是利用 email 線索,利用員工設置 email 轉發規則來自動轉發工作郵件發送到個人帳戶。 在一種情況下,攻擊者修改了用戶帳號上的現有規則,並將電子郵件重定導向到可控制的帳號。 CISA 表示,這次的攻擊無法與任何單一的駭客們連接在一起,但他們認為,這與最近與 SolarWinds 事件 牽連再一起的 APT 組織無關。 The Ugly 最後,沒有保護好客戶的數據之不負責任已達到最新的高度。 在社交媒體巨頭無限期地禁止川普的帳號之後,他許多支持者蜂擁至另一個社交媒體平台 Parler,一個沒有在控管內容的平台。 而且大家都知道 Parler 上有很多可以極湍的內容,現在已被迫退出 Amazon ,並在各種 App Store 中禁止下載。 但是,似乎這平台背後的開發人員也不是特別注意保護用戶隱私的問題。 在 Parler offline 之前,一個名叫 “ @donk_enby” 的激進駭客找到了一種方法,並下載幾乎所有的訊息,照片及影片。 取得 Parler 99.9 %的內容也不需要任何特定的 “ leet” 駭客技巧。 這網站使用了不安全的 direct object reference 或 IDOR,它允許任何人可利用猜測應用程式後引用其存儲數據的模式。 簡單來說,Parler上的貼文按時間順序列出:將貼文的 URL 中的值增加一個,就可以進入該網站上的下一個貼文。 此外,Parler 不需要身份驗證即可查看公開貼文,也沒有實施任何機制來限制抓取,例如 “rate limiting”,以防止有人在短時間內進入許多貼文。 一位網路安全專家認為這網站的架構 “就像 Computer Science 入門的一項不及格的功課”。
現在,在國會被襲擊之後,許多用戶擔心這些數據會被利用來對付他們。 其他激進駭客已經開始篩選數據,並將消息,時間和地理位置串連起來,以查明暴動中肇事者的位置(事實上,有些是在國會大廈內貼出的)。 當然,這對於執法部門來說是個好消息,但是作為 case study 在如何託管和保護潛在的敏感數據,這是一個失敗和更失敗的對象課程。
0 Comments
The Good 我們總是喜歡在任何的情況下強調執法面的勝利,特別是當罪行是如此 “黑暗” 時,這令人滿足。 本週,Essex, UK 的警察局逮捕了一名勒索涉嫌勒索羅馬尼亞,香港,澳大利亞和英國的近 600 名受害者。 據報導,這名男子是位於在 Chafford Hundred 的 Akash Sondhi , ,他侵入年輕女性的 Snapchat 帳號。 一旦他有了訪問權限和控制權,他就會向她們勒索,向他發送暗示性和破壞性的照片。 在大多數情況下,Sondhi 已從目標帳戶中獲取了現有照片,並利用這些照片來勒索裸照和私密圖片。 如果受害者不遵守規定,Sondhi 威脅將這些照片發布給他們的朋友和家人。 受害者的年齡在16至25歲之間。 Sondhi 這樣的行為對這些受害者造成了嚴重傷害,造成了重大的心理傷害,其中一名受害者企圖自殺。 對於他的罪行,他將至少服刑 11 年,並在釋放後的 10 年內被被註冊為性罪犯。 這是在對抗小型網路犯罪中取得的勝利,但也可以提醒人們在與Internet 上的 unknown 進行交流時要謹慎謹慎。 Stay safe!! The Bad 新年通常給大家帶來了新的機會,並重新開始。 很不幸的是,2021 年沒有帶給我們的一件事就是勒索程式的終結。 我們在本週開始,觀察了一個較新的勒索程式系列,稱為“ Babuk”。 Babuk 並不是完全的突破性,但威脅是一樣的。 與其他勒索程式的運營商一樣,在受害者不遵守勒索要求的情況下,Babuk背後的人員也威脅要釋放被盜數據。 此時,Babuk 背後靈僅在特定的 “地下” 論壇中發布受害者數據。 他們似乎還建立了一個 .onion 域,目前沒有任何數據。 目前 Babuk 聲稱使用加密算法(ChaCha8 / SHA256 + ECDH)的自定義組合,以確保受害者在不支付費用的情況下就無法 recover 數據。 據報導,攻擊者目前積累了 60,000 美元至 85,000 美元。 時間會證明 Babuk 是否會像其他的勒索程式一樣迅速崛起,但到目前為止,在外使用這種勒索程式的範圍還很小。 因此,為了迎接新的一年……並保護自己免受 Babuk 的攻擊,請確保對你的所有系統有是有可管理和適當的保護。 FYI ~ SentinelOne Singularity 是可以完全抵禦 Babuk 攻擊的歐~~ The Ugly 我們都有點習慣仿冒各種官方機構的網路釣魚電子郵件。 而現在危機期間,當各種政府機構試圖盡可能快而有效地傳播準確的信息時,這變得更加成問題。 在本週,Australian Cyber Security Centre(ACSC)發出警告,指出網路犯罪分子正在發送偽裝為來自 ACSC 官方訊息的釣魚電子郵件。 釣魚 email 中包含惡意連結,據報導其中包含下載 “防病毒軟件” 的 link,但其實下載程是在目標個人的主機上傳送和執行銀行木馬。 ACSC 警告繼續指出:
“……近期有訊息顯示出,網路犯罪分子由一個假的電話中告知個人戶,要求他們將 “ TeamViewer” 或 “ AnyDesk” 下載到他們的設備上,以幫助解決惡意程式問題。 詐騙者然後試圖說服接收者執行,例如在瀏覽器中輸入 URL 並進入 online banking 服務,這隨後危害者機以洩露銀行信息。” 我們鼓勵相關人士 review ACSC 警告,並採取任何必要措施以減少接觸並降低風險。 在 email 和網路使用安全方面,你永遠都要很小心……作為友善的提醒,email 仍然是最常見的惡意程式傳遞方法。 Well, 不得不說 2020 年非比尋常。 這裡是世界對於過去 12 個月的想法,而這兒是在網路世界發生的一些重要事件,我們不打算再回顧過去。 相反的,讓我們看一下 2021 年的會發生什麼。我們向 SentinelOne 的一些專家詢問了他們對今年的預測。 儘管沒有人擁有水晶球可以洞悉一切,但依據我們對現在的了解,以下就是他們預料的發展。 Ransomware – We Haven’t Seen Anything Yet 第一!流行的勒索程式不僅會持續下去,甚至還會變得更糟。 攻擊會變得更加複雜,頻率和贖金要求也將因多種原因而增加。 首先,攻擊者們已逐漸了解容易攻擊目標的狀況,而目前已證明是市政當局和地方政府組織。 由於這些目標使用的資源有限,修補速度緩慢,使用舊式防禦解決方案,並採用老舊的技術來落實並嘗試解決未來的問題。。。 而抵制勒索程式攻擊的最有效方法不是先受到攻擊,我們只能通過縮小攻擊者的複雜性和當今的防禦措施來實現。 不幸的是,官僚主義的預算編制和採購流程 (是不是很熟悉啊??),將使政府機構和地區政府無法跟上攻擊者。 通常,下一年的公共部門預算是落在 7 月 1 日之前,這表示公共部門組織,很肯定的會落後於安全曲線 18 到 24 個月。 短期內也將無法獲得可替換過時的舊系統的額外資金。 其次,勒索程式是以利潤為主的業務,特別是在 Baltimore 攻擊事件之後,,由於未能滿足 76,000 美元的要求而導致損失超過 1800 萬美元,市政當局放棄 FBI 不向攻擊者付款的建議。 而這種趨勢可能會持續下去,曾經被認為是必備的網路保險,現在已成為必需品,用 claim 向攻擊者付款要比八位數的損失金更具吸引力。 Morgan Wright, Chief Security Officer at SentinelOne to read more! Attack Sophistication Will Become the New ‘Normal’ 有在 follow SolarWinds 攻擊最新發現的任何人都知道,這樣的規模和複雜性將繼續存在。 儘管國家級駭客與以賺錢為動機的網路犯罪組織之間的界線越來越模糊,但現在使用的戰策略是從未見過。 首先他們先竊取 certificate 以對由聯邦和 state 機構廣泛使用的軟體進行惡意更新,再使用現有 API calls 和網域,同時製造 『客製化』的 DLL 進行 communications,然後躲起來幾個月……這些 TTP 超出了大多數政府機構和目前已構建安全程式來對抗。 這意味著我們所有的人(身為一個防御者)必須重新思考我們的保護方式。 傳統的監視和安全工具是無法檢測到以上提到的TTP; 為了檢測這些,需要建立一個良好的 baseline,持續尋找異常,偵查每個異常,並確保每個端點都具有不是依賴在流量或網路發現的設備上檢測機制。 如果有一個端點沒有受到保護,它很可能成為在其餘網路上的入口點。 實際上,是可以找到依靠這一方面來檢測傳入有企圖性的解決方案,也稱為欺騙市場 - deception market。 最後,作為防御者其實很簡單:“多吃蔬菜 eat your cvegetables”- 意指從基礎開始,確保良好的基準並檢測異常,進行可以互相通聯的的防禦層,並確保你的端點是受到基於行為的檢測 behavioral-based 的保護並在發生時進行捕獲。 Migo Kedem, Senior Director, Products & Marketing at SentinelOne to read more! Deepfake Is Coming of Age…And We’re Not Ready For It Back in the far-far past, before The Fall, there was little yibber about a spesh story that many would have missed if they didn’t sivvy for it. It’s all true true, not a yarn I tell you. 若是追溯到遙遠的 past,在 The Fall 之前,大家對那些無聊的故事幾乎是一點興趣都沒有,甚至他們若不喜歡它的話,也是會錯過的。 這都是真的!。 除了 Cloud Atlas 和新冠肺炎之外,有個故事爆發了,有點喧染但似乎消失了。 而富比士 Forbes 對這事件的報導是在 2019 年9 月 3 日發布,照我們現在的標準來說,這好像是很久很久之前.. 但這個故事還是很重要的啦~。 一個總部位於英國的 CEO 致電了母公司的德國 CEO,並下令將 220,000 歐元轉入匈牙利供應商的銀行帳戶。 聽起來有點怪吧?對嗎? 但是~這位 CEO 並不擔心,因為他碰巧認識了這另一位 CEO,而且熟道可以聽出聲音中有了德國人的口音 - 而且還帶有個人獨特的腔調。” 後來這筆錢就很正常的轉走了。 但在第二次和第三次電話會議之後,這位英國 CEO 才開始懷疑,並想起了其他線索才發現犯罪分子利用研究人員認為是 AI 模仿的第一案例來進行欺詐案,or deepfake. 由於可預見的將來,大部分的人仍會在家中工作,甚至在疫情過,大部分時間仍是在家中工作,這種詐騙行為將會變得越來越普遍。 我們無法與同事聊天,也無法直接面對面尋求確認。 而隨著 Deepfake 技術價格越來越便宜,電腦的功能越來越強大,目標也被剝奪了去實際工作場所的權利,那犯罪分子會變得更有利。 因此,以下是我的預測…… 我相信在2021年,我們將看到第一個成功,based on video 的 Deepfake 網路釣魚攻擊,這將導致重大的金錢或數據遺失。 我希望我是錯的,但我認為所有都已準備就緒。 Thom Langford, Security Advocate at SentinelOne to read more! The Supply Chain Risk Becomes Real for Everyone 2020 年底發生的 FireEye / Solarwinds 漏洞仍在不斷發展,而且這種供應鏈攻擊的範圍是很驚人的。 除此之外,美國 DOD CMMC 法規將於 2021 年開始執行。向 DOD 提供產品或服務的任何公司以及所有這些公司的分包商和供應商都必須符合CMMC 標準。 因此,請準備好強大的控制措施,並專注於供應鏈中的網路安全。 Chris Bates, CISO at SentinelOne Here to Stay | May The Remote Workforce Be With You 直到 2020年,遠端工作的轉移是過去 100 年人們工作方式的最大轉變之一。 隨著 2021 年的年度合規性和認證審核以及CMMC 的到來,網路的相關程序將不得不改變,以利遠端工作環境中啟動流程。 對於許多努力在 2020 年達到這些要求的公司來說,例如漏洞管理和僅在遠端主機可見性之類的項目將成為必不可少的。 Chris Bates, CISO at SentinelOne A Change in Perspective | Security As Essential Infrastructure 明年的另一個預測是,資安將繼續擺脫被視為對業務和增長造成的責任,資安將被視為可確保業務的持續性的基本結構。 Migo Kedem, Senior Director, Products & Marketing at SentinelOne Judgement Day is Coming for Apple’s Approach to Security 最後,在蘋果的生態系統中正在發生一場戰爭,我們從一般的安全性提要中是很難知道。 這場戰爭圍繞著安全性的中心哲學,一場辯論便展開並圍繞在哪種方法更安全:開放或封閉的技術? 蘋果認為,包括安全研究人員在內的所有人都不得進入其硬體和軟體的某些區域,這會使 macOS 和 iOS 操作系統更加安全。 但安全研究人員認為,厲害的攻擊者無論如何都還是會找到方法,但在蘋果系統的封閉性,意味著受害者可能永遠不會知道自己已經受到威脅。 如果妳是站在 '開放' 的那一邊,那聽到在 2020 年最後一周。法院裁定蘋果不可以試圖關閉安全研究機構 Corellium 的舉動將令你感到安慰,儘管這場仗將無疑的持續到 2021 年,因為 Apple 一定會提起上訴。 再來~我們可以說連歷史也贊成 “開放” 的方式,因為已有無數 “ security by obscurity” 失敗的例子。 2020 年的兩個例子:在macOS 上,蘋果的 opaque Notarization 系統多次的被商業惡意程式 bypass。 在 iOS上,一名研究人員在本月初撰寫了30,000 字論文,詳細介紹了可以竊取用戶照片的零點擊 Wifi 漏洞。 零點擊? 對!不需要人任何的動作,即可通過空氣,觸發漏洞利用。 最後這是個價值 6,400 萬美元的問題:我們會在 2021 年看到駭客們在外利用 macOS 和 iOS 漏洞嗎? 我認為,有鑑於對macOS Big Sur 的漏洞研究的早期狀態以及因 checkra1n 而導致的各種 iOS 設備中無法修復的漏洞,2021 年將是網路安全的不平凡的一年。 請保護你的蘋果,與保護其他設備相同。 在這樣的模糊中是沒有魔法或安全感。 Phil Stokes, macOS Threat Researcher at SentinelLabs to read more!
The Good 在 2020 的最後一周中,網路安全表現出眾。 首先,我們很高興得知 National Crime Agency 逮捕了 2 1名涉嫌與已失效的 online 犯罪市場 "WeLeakInfo" 購買盜竊數據相關的人。 這個網站其實在 2020 年初就已被移除,其中託管了從 10,000 多個數據洩露中收集約 120 億個被盜憑證。 被逮捕者是年齡在 18至 38 歲之間的男性,涉嫌欺詐和/或違反《 Computer Misuse Act》。 除了逮捕行動,約 55,000 美元的比特幣也被扣留。 再來就是在 12 月初,Microsoft 分享了有關 SolarWinds 近期的攻擊事件以及國家級駭客如何針對 Azure / Microsoft 365 客戶的資訊。 令人高興的是,本週 CISA 的 Cloud Forensics 團隊發布了一個名為 Sparrow 的 open-source PowerShell tool,用於事件響應程序,可幫助檢測可能的受感染帳號。 除此之外,該腳本檢查與 SolarWinds 相關的已知 IoC,列出 Azure AD domain,並檢查某些 API 權限以識別潛在的惡意活動。 千萬別小看最近的 APT 攻擊活動,這次 CISA 的工具可確保企業免受SolarWinds 供應鏈攻擊的後果。 The Bad 大家都期待 2021 會有許多的好消息,特別是關於 COVID-19 疫苗的推出和開發,但這對許多駭客來說~這仍是難以抗拒的易受破壞的誘餌。 過去一周,在駭客們用勒索程式感染在 Antwerp 的通用醫學實驗室(ANL)之後,在比利時的 COVID-19 實驗室被關閉。 AML 是一家私營企業,每天處理大約 3000 項 COVID-19 測試,並且是該國最大的私人測試實驗室,處理近 5% 的案件。 而儘管類似的攻擊(例如上個月 European Medicines Agency,也以數據盜竊為目標被攻擊,但目前尚無證據證明病人的個資被盜。 是哪種勒索程式或攻擊者要多少錢的細節也不清楚。但,在這個階段強迫 COVID-19 測試設備停機的傷害已經夠大了。 The Ugly
最後,一個醜陋的數據洩露事件,這一次真的很難看,因為被洩露的數據屬於 930,000 名美國兒童,青少年和大學生。 據報導,由 Viacom 和 Bill & Melinda Gates 基金會共同創立的教育慈善機構 GetSchooled 的 database 被洩漏。其中約該 1.25 億條記錄,包含學生的 PII(personally identifiable information),姓名,地址,電話號碼,年齡,性別,學校 和畢業細節 。 但 GetSchooled 表示洩漏的記錄數接近 250,000,只有 75,000 筆與 email 連接的仍保持 active。 至於數據被暴露了多久還不清楚,但是對於之後處理的時間存在一些擔憂。 身份不明的第三方將漏洞報告給英國網路安全公司 TurgenSec。 然後該安全公司於 11 月 17 日將此問題通知了 GetSchooled。 但是,直到 12 月 21 日才解決了問題,據說要等到新年之後才進行調查和審查。 而這個時間表引起了一些批評,也沒有關於攻擊的報告,原始消息來源的細節也令人擔憂。 The Good 2020年,國際上展開了許多打擊網路犯罪的行動。 而在 2020 的最後一週,我們高興地得知執法機構持續與另一起令人印象深刻的行動有了一場 good fight! Operation Nova, 由德國警察,歐洲刑警,聯邦調查局和世界各地其他執法機構所領導的執法行動,導致了Safe-Inet(一個許多知名駭客使用的 virtual private network(VPN))成功的被拆除。 Safe-Inet 的服務已被關閉,在德國,荷蘭,瑞士,法國和美國的基礎設施也被扣押。 這個 VPN 已經被使用了十多年,並且被勒索程式 operator 和其他網路犯罪分子用來掩蓋他們的足跡。 Safe-Inet 以高價出售,被稱為“可避免執法檢測的最佳工具之一”,最多可提供五層匿名的連接。 歐洲刑警組織歐洲網路犯罪中心負責人 EdvardasŠileris 表示: “The strong working relationship fostered by Europol between the investigators involved in this case on either side of the world was central in bringing down this service. Criminals can run but they cannot hide from law enforcement, and we will continue working tirelessly together with our partners to outsmart them.” “歐洲刑警組織與在世界各地參與此案的調查人員之間建立了牢固的工作關係,這對於成功的打擊這項任務至關重要。 犯罪分子可以逃,但他們躲不過執法,我們將繼續與合作夥伴,不懈努力以求勝過他們。” The Bad 那麼呢~加密貨幣目前仍是非常流行。 最熱門的還是 bitcoin,已達到了更高點,並帶動了整個加密市場。 但是在他們真正成為主流之前,關於加密貨幣的交易和安全性存在一些安全挑戰尚待解決。 這裡是一個很好的例子:加密貨幣錢包公司 Ledger 在今年早些時候遭到攻擊,已有 272,000 名客戶的詳細信息(包括姓名,郵寄地址和電話號碼)已被放置在一個專門分享被黑客入侵的數據庫的點: Raidforums. 總部位於法國的 Ledger 在 7 月份發布,他們發現其電子商務和 marketing 數據庫遭到破壞,導致客戶的 email 被盜。 現在,數據庫的公開增加了 Ledger 客戶成為網路釣魚攻擊的受害者的可能性,攻擊者將嘗試獲取他們的 private key。 而目前已有暴力威脅及個人威脅的報導。 而英語世界的另一端也存在著加密問題。 英國加密貨幣交換公司 EXMO 週一表示,他們的 hot wallets 已被盜用。 他們尚不清楚駭客是如何攻擊 EXMO,但據估計該公司已因 hot wallets 洩露而損失了超過 1000 萬美元,約佔其總加密資產的 6%。 在一份聲明中,EXMO 已將攻擊事件通知了客戶,並警告他們不要將任何資金存入現有的錢包。 同時,所有提款也已暫停。 The Ugly 自上周二以來,歐洲人權法院遭到網路攻擊並暫停其網站。 這次襲擊是在法院發布裁定釋放親庫爾德人的前民主黨領袖SelahattinDemirtaş 的裁決之後進行的。 法院認為,拘留47 歲 Demirtaş 已持續了四年多,這與 “民主社會概念的核心”背道而馳。 而土耳其駭客主義者組織 Anka Neferler Tim 對其在 Facebook,Twitter 和 Youtube 帳號上的攻擊負責: “The website of the European Court of Human Rights, who wanted Selahattin Demirta aş’s release, has been closed due to our attacks. We are not opening the site until they make an apology statement!” “希望釋放的歐洲人權法院 Selahattin Demirtaaş 的網站已因我們的攻擊而關閉。 在他們做出道歉聲明之前,我們不會開放該網站!” 歐洲人權法院提供了以下聲明: “Following the delivery of the Selahattin Demirtas v. Turkey (no. 2) judgment on 22 December, the website of the European Court of Human Rights was the subject of a large-scale cyberattack which has made it temporarily inaccessible. The Court strongly deplores this serious incident. The competent services are currently making every effort to remedy the situation as soon as possible.” “在 12 月 22 日 Selahattin Demirtas v. Turkey (no. 2) 判決之後,歐洲人權法院的網站被大規模網路攻擊,這使的網站福使用。 法院對這一嚴重事件深表遺憾。 主管部門目前正在盡一切努力盡快糾正這種情況。” The Good 本週的好消息開始~~印度執法人員在德里 (Delhi, India) 逮捕 與跨國電信詐騙案件有關的嫌疑人超過 50 人。 根據報導這些人透過電話詐騙至少了4500名受害者,並透過勒索比特幣 (Bitcoin / BTC) 以及禮金卡 (gift cards) 進而得手超過了1400萬美元。這些詐騙者會告知受害人他們的個人資料在某些犯罪現場被發現,或者是他們的銀行帳號被用來從事不法活動,而唯一能夠防止他們的資金或存款被凍結的方式是將其轉移到一個特定的比特幣錢包(Bitcoin Address),或者是將其轉為禮金卡並交給他們保管。 印度德里警方的網路犯罪調查小組透過將這些從美國與其他國家受害者被詐騙的金流追蹤回到這個位在印度的不法集團。而除了本案之外,德里的網路犯罪調查小組今年更破獲了其他25個電話詐騙集團。 GOOD JOB!! 本週也有一些關於Solarwinds事件的好消息。在微軟與其他企業的幫助下,FireEye成功地在SUNBURST惡意程式中植入了死亡開關(kill switch)以防止其感染持續進行。根據FireEye的公開聲明表示: “Depending on the IP address returned when the malware resolves avsvmcloud[.]com, under certain conditions, the malware would terminate itself and prevent further execution. FireEye collaborated with GoDaddy and Microsoft to deactivate SUNBURST infections. “This killswitch will affect new and previous SUNBURST infections…However, in the intrusions FireEye has seen, this actor moved quickly to establish additional persistent mechanisms to access to victim networks beyond the SUNBURST backdoor.” 「當惡意程式解析 avsvmcloud[.]com 的 IP 位址時,在特定的情況下,它會自動終止並阻止自身任何更進一步的活動。FireEye 在與微軟 (Microsoft) 以及 GoDaddy 合作下成功的讓SUNBURST停止其感染行為。 Kill Switch 對於不論是新發現或是之前已發生過的SUNBURST感染都能有效阻止……然而,FireEye 過往所觀察的入侵(intrusions) 模式,入侵者很快就會建立 SUNBURST 後門之外,其他持續性的權限存取受害者的網域 (network)。」 The Bad 在各種複雜的攻擊工具中,在 2018 年發現的 SystemBC 已成為攻擊庫中的第一名。 最初,該工具用於通過 SOCKS5 proxies 來混淆或掩蓋命令並控制流量。 他更與涉及與許多針對金融業的木馬攻擊活動同時出現。 然後呢~ SystemBC 被發現與常見的勒索程式攻擊結合使用之後,這再度引起了對 SystemBC 的廣泛關注。 根據最近的報告,一些成熟的組織(例如,Egregor,Ryuk)正在使用 SystemBC 進行部署,以補充其他常見的惡意程式,例如 Zloader,BazarLoader 和 Qot。 這些近期的發現,顯示了該工具擴展的範圍。 攻擊者現在可以利用 SystemBC 作為具有類似於 RAT 級別功能的 persistent backdoor 。 更重要的是,它允許攻擊者的持久攻擊方法並具有冗餘性。 攻擊者通常將 SystemBC 與 Cobalt Strike 類似的框架一起使用。 這為開發後的攻擊提供了更多選擇,並再次增強持久性。 對此的主要收穫之一是當今的攻擊者採取的 “分層方法”。 正如我們鼓勵採用分層,defense-in-depth 方法來落實企業安全一樣,駭客們也正在一樣的研究多管齊下的策略,這樣,如果一種傳遞方法失敗或檢測到 payload,他們還有不同的版本來應對。 正確的網路使用習慣,EDR 和強大的 cloud workload protection 很重要,與往常一樣,這些事件提醒了我們必須適當維護和正確配置這些控件。 SentinelOne Singularity平台能夠自主檢測並防止與 SystemBC 相關的偽像和行為。 The Ugly 最後,本週最具影響力的是 被攻陷的 SolarWinds 。 簡單來說呢,SolarWinds 是一家全球性的公司為客戶提供了一系列 IT 服務。 這包括伺服器,端點系統,數據庫管理,help desk 系統以及你可以想到的任何其他事物的管理和監視。 此外,他們的客戶群是高價值目標的 “ who's who ” 。 這次攻擊的結果,已證實 United States Treasury Department of Commerce, the Department of Homeland Security and FireEye 都受到了傷害。 FBI,ODNI 和 CISA 於 12 月 17 日發布了聯合聲明,確認了攻擊的範圍和確切來源。 此外,CISA 在 12 月 17 日發布了超級詳細的 NCSA 警報 AA20-352A),其中涵蓋了攻擊技術方面,包括 Indicator of Compromise(IoC)以及與相關資源的連接。 還記錄了與攻擊有關係的惡意 SolarWinds Orion 產品的特定版本。 Orion Platform 2019.4 HF5, version 2019.4.5200.9083 Orion Platform 2020.2 RC1, version 2020.2.100.12219 Orion Platform 2020.2 RC2, version 2020.2.5200.12394 Orion Platform 2020.2, 2020.2 HF1, version 2020.2.5300.12432 請注意:除了 SolarWinds Orion 平台之外,CISA 還有其他 initial access vectors 的證據; 但這些仍在調查中。 當有更新的消息,CISA 將更新此警報。 SentinelOne 也發布了新的 “Deep Visibility ” hunting packs,允許針對與這些事件相關的 IOC 進行專門性查詢。 我們鼓勵所有人 keep up 發展動態。 我們的團隊將繼續更新專案 blog 和資源。
The Good 到底誰是真正的 APT32 ? OceanLotus APT 最近成為頭條新聞,而在本週 Facebook 擊敗的方式揭開了他們的真實身份,這倒是史無前例的。 臉書指向了一家越南 IT公司 CyberOne Security 為 APT32 活動背後的操控者,該組織針對的受害者包括人權活動者,新聞社,政府和 NGO 機構,以及農業,衛生,科技和 IT 等眾多行業。 來自 Facebook 的研究人員表示攻擊來自 Windows 惡意程式,macOS 後門和 TTPs,其中還包括在 Play Store 的惡意 apps,watering hole 攻擊以及偽造的 FB 和其他社群角色,以吸引受害者。 Facebook 表示,他們通過阻止相關聯網域在平台上發布,刪除帳戶並通知可疑受害者,破壞了他們的行為。 至於偽造的“ CyberOne Security” 公司,記者試圖通過電話和 email 與他們聯繫,不出奇的,他們沒有得到任何的回應。 The Bad 而這週的新聞都與 APT 有關。 National Security Agency 本週發布了一份 3 頁的報告,據資安專家表示,雖然同業已經團結起來,幫助企業抵禦 APT 對 FireEye 的攻擊,(這攻擊導致了紅隊的工具被盜竊),但俄羅斯 APT 團體似乎已在積極利用 VMware 系統中的漏洞。 通過這個漏洞 CVE-2020-4006,攻擊者可以在受感染系統上運行漏洞程式,執行選擇命令。 報告中並指出,攻擊者已利用此漏洞,通過將Web Shell 作為 gateway 安裝到網路中並利用偽造的 SAML access 至受保護的數據來。 受影響的 VMware 版本包括: VMware Access 20.01 and 20.10 on Linux VMware vIDM 3.3.1, 3.3.2, and 3.3.3 on Linux VMware vIDM Connector 3.3.1, 3.3.2, 3.3.3, 19.03 VMware Cloud Foundation 4.x VMware vRealize Suite Lifecycle Manager 8.x 因漏洞而產生的惡意活動會發生在與設備相關的 TLS tunnel 內。 美國國家安全局(NSA)建議,缺乏對加密連接可見性的安全團隊可以在 configurator log (/opt/vmware/horizon/workspace/logs/configurator.log)中尋找損壞後的指示器,特別是針對 “exit ” statement 後接著 3 個數字 。 修補的 patch 已於 12 月 3 日開始提供,建議所有用戶盡快進行更新。 此外,由於要利用此漏洞,需要有密碼後才能 access 目標設備在 Web 的管理界面,因此,請管理員也確保遵循最佳做法,避免使用簡易密碼,並在可能的情況下確保 Web 的安全並無法從 Internet 進入管理界面。 NSA 的 advisory 中也提供了建議給無法立即進行修補的其他解決方法。 The Ugly 正如上週的資安週報指出,犯罪軟體開發者和複雜的攻擊者之間最近一直存在著令人不安的趨勢,這些攻擊者的目標是研究數據,開發,製造和分發 COVID-19 疫苗有關的組織和基礎設施。 隨著歐洲藥品管理局的網路攻擊,不安感的趨勢持續著。 該組織的簡短聲明除了確認發生了攻擊事件外,沒有提供更多詳細信息。但之後的報告聲稱有人已經 access 過 Pfizer/BioNTech 疫苗 BNT162b2 的監管提交的相關文件。 根據 BioNTech 的新聞,EMA 正在批准疫苗,而這些文件存儲在 EMA server上。
目前還不清楚這些文件是否為攻擊的主要目標,或已危害了其他數據,但到目前為止,沒有跡象顯示屬於疫苗試驗工作人員的任何 PPI 已被暴露。 EMA 也表示,網路攻擊不會延遲歐盟對該疫苗的監管批准,並預計將在未來幾週內完成。 The Good 在過去的一週,美國司法部忙著判處兩個人因網路犯罪而被判長期徒刑。 21 歲的 Ryan S. Hernandez,又名 Ryan West 或 “ RyanRocks ” <-網路名稱)被判處三年徒刑,並再有七年的有期徒刑,並在釋放後登記為性罪犯。 Hernandez 的網路犯罪包括:使用網路釣魚在一名任天堂員工,並竊取憑據以及下載與控制台和遊戲有關的機密 Nintendo 文件,例當時備受期待的 Nintendo Switch 控制台。 然後,他在遊戲論壇上分享了這些機密信息。 2019 年 6 月,聯邦調查局特工突襲了他的房子並沒收了許多電子設備。 進一步的調查顯示,他收集了成千上萬涉及未成年人進行性行為的影片和照片,並存儲在“適當"命名的文件夾 “ Bad Stuff” 中。 Hernandez 將與另一名22歲的 Timothy Dalton Vaughn(又名 “ WantedbyFeds” 和 “ Hacker_R_US” )一起加入牢獄之災。 Vaughn 是 “ Apophis Squad” 中的成員,“ 是遍佈全世界之駭客和蒼蠅的組織。 這個組織因發出威脅性電話和發出與炸彈相關的威脅而聞名,但主要還是為 DDoS 攻擊。 在 2018 年初,Vaughn 要求一家位於 Long Beach 的公司提供 1.5 比特幣,以換取未對公司網站發起 DDOS 攻擊。 而當付款失敗時,他真的發起了攻擊並使網站無法正常運行。 Vaughn 還擁有成百上千的未成年色情圖片和影片。 Vaughn 因犯罪被判處近八年徒刑。 The Bad 目前 Covid-19 的疫苗似乎指日可待,大多數人都鬆了一口氣。 但在任何有效的疫苗可以分發之前,都必須格外小心地進行製造,儲存和運輸。 特別是 Moderna 和 Pfizer 疫苗需要分別在非常低的溫度( -4 和 -94 )下保存。 這些條件使得在交付的每個階段都必須有專門的 “cold chain” 經銷商網絡。 本週,IBM 的安全研究人員發布了惡意網路活動的發現,專攻擊與開發疫苗機構的 cold- chain 設備優化平台: Gavi 這樣設計的供應鏈 (Cold Chain Equipment Optimization Platform)。 這個攻擊於 9 月開始,利用了 Haier Biomedical,這是一家製造 cold chain 存儲設備可信且合法的公司。 據稱是由海爾員工提供的偽造網路釣魚郵件,發送給 European Commission's Directorate-General for Taxation and Customes Union 以及位於德國,意大利,韓國,捷克共和國,大歐洲和台灣的其他組織的總部。 email 試圖收集 credentials 以滲透到目標組織。 儘管攻擊的源頭和目標還不清楚,但似乎有人希望培養破壞全球發展和分配疫苗工作的能力。 此外,國際刑警組織發出警告,暗示 “plain” 網路犯罪分子也將利用疫苗的公開性來快速賺錢。 國際刑警組織擔心,某些人不惜一切代價獲得疫苗接種的願望將導致 “通過假網站和假手段,將毫無戒心的公眾作為目標的犯罪網路,這可能對其健康甚至生命構成重大威脅。” 國際刑警組織建議在網上尋找和訂購藥品時要格外小心。 但僅瀏覽這些網站可能會使用戶面臨感染另一種病毒的風險:國際刑警組織的網絡犯罪部門透露,在與涉嫌銷售非法藥物和醫療設備的 online 藥局相關的 3,000 個網站中,有超過一半的網站有網路威脅,尤其是釣魚和垃圾郵件惡意程式。 The Ugly 巴西報紙 Estadao 報導,有超過 2.43 億巴西人的個資 (往生或還在世的..) 已經在網上暴露了至少 6 個月。 數據洩漏來自衛生部的一個名為 e-SUS-Notifica 的官方網站,,巴西公民可以在網站上註冊並接收有關 COVID-19 的官方政府通知。 該網站的 source code 包含以一種非常容易解碼的格式編碼來建立管理員用戶名和密碼:Base64。 使用解碼的憑據,可以 access 巴西衛生部官方的(SUS)數據庫,數據庫存儲了所有註冊開始於 1989 年,使用公家補助醫療系統的巴西人的個資,其中包含名字,地址,電話號碼,當然還有病歷。
這也不是衛生部第一次遇到數據安全問題,一位安全專家評論說:“每次分析衛生部的信息安全和數據管理政策時,都會發現一個更加嚴重的漏洞”。 數據。 衛生部表示事件正在調查中。 如果數據庫被盜或未經授權訪問,這將是巴西有史以來最大的數據洩露事件。 The Good 本週的好消息~,國際刑警組織和 Group-IB 成功地聯手一項稱為 “ Operation Falcon” ,在 Lagos, Nigeria 逮捕了 3 個人。 這些人負責並涉及了 Business Email Compromise(BEC)操作以及相關的網路釣魚和與有規模的組織犯罪集團建立聯繫,並分佈惡意程式操作。 根據國際刑警組織的 release,迄今已確定約有 50,000 名受害者。 如果回朔一下,還有許多未知或尚未發現的攻擊。 “Operation Falcon” 進行了大約 1 年,成功的追踪了這些罪犯,並促進有參與單位之間的威脅和數據情報交換。 該犯罪集團參與了多個商品惡意程式家族的發布,包括了 Nanocore,AgentTesla,LokiBot,Azorult 等。 惡意 email 被用來連接或分佈惡意程式到其目標。 所有標準的 social engineering 誘餌都發揮作用,包括典型的 “購買訂單” 式網路釣魚。 犯罪分子甚至在某些行動中使用了 COVID-19 的誘餌(攻擊變得更加卑鄙)。 讓我們讚揚一下國際刑警組織和 Gropu-IB 的努力,並鼓勵每個人繼續對這些攻擊保持警惕,並在可能的情況下繼續合作以將這些罪犯繩之以法。 The Bad 本週,聯邦調查局更新了一項 flash alert: FLASH MU-000136-MW,這涉及了針對錯誤配置的 SonarQube 並 access 到美國政府機構和企業的專有 source code 的攻擊。 自 2020 年 4 月開始,這些駭客們就將已被暴露,脆弱的 SonarQube instance 作為目標。這些被認為是高價值目標,因為這些包含了私人企業和美國政府機構的 source code repositories。 網路犯罪分子可以通過多種方式使用這類的敏感數據,最常見的是出於勒索目的而進行的滲透。 也就是類似於我們常見勒索程式活動中看到的情況,如果受害人不遵守攻擊者的要求,他們就威脅要公開發布數據。 FLASH alert 指出,已經有多個實例顯示出這些存儲庫中的數據已被洩漏到 public domain 中。 SonarQube 的緩解建議包括:
The Ugly 學區和相關機構一直是惡意程式攻擊的目標; 但是,最近針對學校和地區管理基礎設施的勒索程式攻擊似乎有所增加。 本週,有消息傳出勒索程式攻擊 “癱瘓” 了 Baltimore 公立校區(之前的報告顯示 Ryuk 為幕後攻擊者),實際上,在周三已關閉了近 115,000 名學生的學校。 而且 Baltimore 並不孤單。 許多學校和學區都出現在勒索攻擊者的 blog 上的受害列表中。 Egregor operators 也於上週也公布了在休斯敦 Spring ISD。 讓我們回朔一下,還可以看到其他相關實例:
具有諷刺意味的是,改善這種狀況的一種方法是教育。 我們鼓勵社區和行業中的人們伸出援手,找到方法來指導與教育相關的基礎設施管理者,以提出風險在哪裡,如何減少接觸,在哪裡集中進行最大程度的偵測和預防控制等方面的建議。 駭客們不會停止前進,因此我們有責任保持領先地位。 The Good 還有什麼能比新的安全功能更好? 當然是請求用戶在開發和推出產品時加入他們的需求! 為了提高瀏覽器的安全性和用戶的參與度,Mozilla 本周宣布將最近的 HTTP-over-HTTPS(DoH)功能開放一個公開的“評估期”。 簡單來說呢:DNS 是瀏覽器 “lookup” 域名實際 IP 地址的方法,例如 sentinelone.com。 但是,這些 lookup 是通過各種 gateway 和伺服器在整個網路中傳播的,而完全是未加密的。 這意味著這些點中的每一個都可能 “嗅到” 並干擾查找。 使用DoH(發音為“dough 就像麵團一樣”),DNS 的 "lookup", 通過 HTTPS 於請求的瀏覽器與 DNS resolver 之間進行加密。 Source: Mozilla 所以這有什麼好不喜歡的? 嗯,或許 ISP 廠商不是挺喜歡,因為這可能會破壞廣告置入用戶瀏覽請求的能力。 還有其他的例如讓安全工具更難監視和過濾惡意 Web 流量。 而在英國,當局通過過濾掉提供非法內容的網域,將 DNS 用作打擊兒童色情的工具。 考慮到這些問題以及 DNS 過濾的許多不同案例,Mozilla 採取了受歡迎的方式:部署並徵詢大家的意見,意見徵詢將持續至2021 年 1 月 4 日。 該公司表示,他們希望 “取得大眾想法,建議和見解,以幫助我們最大限度地提高實施 DoH 的安全性和增強隱私的利益”。 他們接著說,“我們歡迎任何關心健康,權利保護和安全的 Internet 增長的人做出貢獻”。 蘋果,你有聽到嗎? The Bad 當我們討論網路安全的同時,本週的壞消息就是託管網路解決方案提供商 Managed.com 被 REvil 攻擊。 儘管最初的攻擊似乎規模有限,但該公司很快不得不拆除了整個網路託管基礎架構,並影響了 WordPress 等其他企業。 Managed.com 表示,他們正在努力解決並與執法機構合作,試圖確定參與攻擊的個體。 這不僅僅是出於公共責任感; 這近乎是一項要求,因為公司企業需要確保,如果他們考慮向攻擊者付款,他們將不會面臨因為與這些被禁實體打交道而遭受到法律制裁。 BleepingComputer 表示,攻擊者很可能是 REvil,他們要求支付 500,000 美元的贖金來取得解密。 Source: BleepingComputer 目前尚無任何表示 Managed.com 與攻擊者有任何聯繫。 根據他們的官方聲明,公司表示:“技術和信息安全團隊正在努力消除威脅,並使我們的客戶恢復到最大能量。” The Ugly 自 2020 年初新冠肺炎以來,視頻會議程式在安全性方面受到了很多審查,例如 Zoom 佔據了在早期的大部分問題。 但是,他們面臨的問題可能遠不及 CiscoWebex 最近出現的三個漏洞那麼嚴重。 來自 IBM 的研究人員發現,Webex 可能會被隱形的參與者 “困擾”。這些不請自來的 “幽靈” 來賓可以參與會議,但不會出現在參與者名單中,即使主持人試圖將它移除也沒有用。 最重要的是,第三個漏洞是無需加入會議就可以收集有關其他與會者的信息。 據研究人員稱,這些漏洞存在於 Cisco Webex 處理客戶端的應用程式及 Webex 伺服器間的 “handshake” 過程的方式中,並影響到預定會議和 Webex Personal Room。 漏洞在多個平台上得到了證明,包括 Windows,macOS 和 iOS。 IBM 聲稱,現在員工每月在虛擬會議上花費的時間超過 50 億分鐘,這類缺陷極易成為攻擊者的目標。 Source: IBM Research 但是,目前尚無證據顯現攻擊者在濫用這些漏洞,Cisco 已經發布了針對 Cisco Webex 伺服器和所有受影響的客戶端應用程式的 security patches。 建議 Cisco Webex 客戶和伺服器端的用戶立即進行修補。
同時,研究人員針對該漏洞已 filed 三個 CVE: CVE-2020-3441,CVE-2020-3471 和 CVE-2020-3419。 |
Categories
All
Archives
January 2021
|