 The Good 對於在 cyber-land 的好人來說,這是忙碌的一周。 除了誘騙 Trickbot 的基礎設施之外,本週,歐洲刑警組織(Europol)與幾個國家之間的協調努力,也對一個『完善』的洗錢活動造成了重大打擊。 QQAAZZ 的多個成員因長期運行的 “兌現” 服務(又名洗錢)而受到指控。  這個集團在高流量犯罪 forums 上宣傳了他們的服務。 它們為大型殭屍網路的操作者以及運行加密貨幣盜竊的操作者提供了關鍵服務。 他們的客戶中有許多最多產且備受關注的惡意程式家族,包括 Trickbot 和 Dridex 背後的參與者。 針對 QQAAZZ 的起訴概述了他們的洗錢行動。 據估計, 2016 年以來,該集團促使了高達數千萬美元非法資金的清洗。 他們利用 “遍布全球的金融機構的數百個公司和個人銀行帳戶”,所以他們處處有分點可以進行活動。 這些帳戶都被用作在被惡意程式攻擊受害者中勒索,或獲取資金的存儲庫。 遍布全球的 QQAAZZ 隨後將過濾或轉移資金,再對其服務獲取小額 “服務費” ,然後以加密貨幣的形式向客戶提供被洗過的資金。 在網路犯罪中,所謂的 “兌現” 或 “提款” 服務是常見及毛利很少的活動。 但是,這個專業的集團與頂級惡意程式操作的聯繫,讓他們變的獨特而危險。 這次的勝利,對於與複雜的犯罪分子之持續鬥爭,至關重要阿。 希望隨著法律與當前網路犯罪狀況更多地同步,打擊犯罪的士氣會增加。 任何使壞人難以獲利的努力都是一件好事! The Bad 本週,包括了每月的第二個星期二。 當然,我們都知道這是指著什麼:Patch Tuesday! Microsoft 在本月的 release 中涵蓋了一些關鍵缺陷。 儘管沒有像 Zerologon 那樣嚴重,但還是存在一些漏洞需要加以審查和緩解。 其中的 CVE-2020-16898,引起了很大的關注。 這個漏洞會影響 Windows TCP / IP stack,並可能導致 DoS(denial-of-service)或遠端代碼執行。 該問題特別涉及對 ICMPv6 Router Advertisement(RA)數據包的不當處理。 要利用此漏洞,攻擊者必須將特製的 ICMPv6 RA 數據包發送到暴露的遠端主機。 由於這樣的攻擊相對簡單,有人將他稱為新版的“Ping of Death”。  作者在撰寫本文時(10月15日),尚未觀察到對該漏洞的已在外被利用。 但是,有多種可用的 POC 已證明攻擊是可行的,只是時間問題。 微軟的 10 月安全週期發布解決了 CVE–2020-16898,但也有一些變通辦法可對臨時緩解有所幫助。我們可以 disable ICMPv6 RDNSS,從而消除暴露於該缺陷的風險。 對於 Windows 1709 及更高版本,可以發出以下 PowerShell 指令以禁用ICMPcv6 RDNSS:netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable 同樣重要的,這個漏洞不是 publically routable。 帶有漏洞的數據包只能通過本地子網傳輸。 我們建議公司企業檢查有關CVE-2020-16898 的詳細信息,以及本月更新中的所有其他版本,並採取必要的措施來降低風險和/或減少暴露於此潛在危險漏洞的可能性。 The Ugly 關於加密 "backdoor" 的議題,或是政府和執法機構是否能夠為自己的需要,規避加密的爭論是充滿爭議和分歧的。。 但重要的是要注意與此問題有關的當前事件和發展。 最近,Five Eyes intelligence-sharing 與來自多個國家的政府代表聚在一起討論了這個話題。 具體來說,討論的重點是使政府以及執法部門具有特殊的能力來 access 經過加固的 end-to-end 加密通信。  這些會談包括來自印度和日本的代表,之後發表了聲明,敦促大型的科技公司來滿足這些需求的解決方案弊並進行合作。 部分內容為: “…while encryption is vital and privacy and cyber security must be protected, that should not come at the expense of wholly precluding law enforcement, and the tech industry itself, from being able to act against the most serious illegal content and activity online.” “……雖然加密是很重要的,也必須保護隱私和網路安全,但這不應以完全阻止執法人員和技術行業本身,來對付最嚴重的網路非法內容和活動。” The signatories to the statement, which include the UK’s Home Secretary Priti Patel and US AG William Barr, go on to state that: 一同聲明的包括英國內政大臣 Priti Pate 和美國 AG William Barr,並指出: “we challenge the assertion that public safety cannot be protected without compromising privacy or cyber security. We strongly believe that approaches protecting each of these important values are possible…” “我們質疑這樣的主張:在不損害隱私或網絡安全的前提下,不能保護公共安全。 我們堅信保護所有這些重要價值的方法都是可能的……” 有鑑於這個議題的性質,大多數相關的科技公司都在猶豫不決是否要滿足這樣的要求。 目前的趨勢,增加了辯論的複雜性,不僅涉及標準的加密消息傳遞,而且涉及更強大的加密系統,包括 “設備加密,自定義加密應用程序和跨平台的加密”。
無論你在這個議題上的立場如何,我們都建議您查看新發布的新聞稿,並與各國政府和組織,就針對所有全球人民的持續安全,保障和隱私所做的努力保持同步。
0 Comments
The Good 本週的好消息 ~ 蘋果和五位 “白帽” 漏洞賞金人員都受到了表揚,他們所做的一些出色工作讓蘋果產品和基礎架構中的 55 個錯誤得以修復,其中 11 個被評為 critical。 這些白帽駭客- Sam Curry,Brett Buerhaus,Ben Sadeghipour,Samuel Erb 和Tanner Barnes - 花了三個月的時間,悄悄地入侵了蘋果系統,發現了一個接個的 zero-day 漏洞。 最嚴重的漏洞包括經由向用戶發送惡意 email 來接管用戶的 iCloud 的功能。 僅需要通過打開 email 即可 - 也無需進一步點擊任何連結,或任何的 social engineering - 用戶不僅讓攻擊者完全控制自己的 iCloud 帳戶,而且還會將可傳播的漏洞發送給所有聯繫人。  這當然是個好新聞, 對於這些白帽駭客,對蘋果以及對用戶來說,這是個 triple - win situation。 首先,白帽們採取了負責任的態度,向 Apple 充分告知了這些錯誤。 大家想想,若是這些嚴重的漏洞有意的或 "無意“ 的被洩漏出去,或全部交易給第三方以獲取豐厚的利潤,這將會是多大的災難? 其次,Apple 及時(48 小時之內)的修復了這些錯誤,以確保用戶沒有被暴露之外, 蘋果也表示,在 log 裡沒有顯示這些錯誤中的任何一個都已在外被利用。 再來就是針對白帽本身的:Apple 還在根據漏洞賞金計劃的條款評估賞金,但迄今為止,他們已獲得近 30 萬美元的獎勵,另外還有 20 萬美元 is on the way。 最後,這對整個資安研究界帶來了更大的勝利。 過去,大眾一直對 Apple 的漏洞賞金計劃抱著質疑的態度,而 Apple 在此的給了一個模範反饋:研究人員得到了獎勵,他們也可以發表詳細的信息,而且漏洞在被記錄的時間內得到修復。 這只會鼓勵其他的研究人員來參與蘋果的漏洞賞金計劃,這對我們所有人來說都是勝利。 The Bad 在 fireware 中的惡意程式是特別麻煩的事,但同時卻是罕見的。 LoJax 早在 2018 年就成為大新聞,因為它是第一個在外被發現的 UEFI Rootkit,在 2015 年也在一家意大利私人情報公司 “Hacking Team “ 的工具洩漏中發現了當時唯一在 firmware 中的惡意程式,也沒有發現代碼被廣泛使用,直到現在為止。。。 研究人員本周公布了一項調查的詳細信息,他們發現了 Hacking Team 的 “ Vector-EDK” 惡意程式的修改版本,被用於在針對來自非洲,亞洲和歐洲的外交官和非政府組織的攻擊。 根據研究人員的說法,這個惡意 firmware 用於將惡意的執行文件 “ IntelUpdate.exe” 植入受害者的 “Startup” 中,而執行檔似乎可更廣泛部署一個名為 “ MosaicRegressor” 的惡意 framework。 Framework 的 downloader 包含多種與攻擊者的 C2 聯繫機制,包括 CURL,WinHTTP API 和 BITS 的 transfer interface。 不尋常的是,還有一種 POP / SMTP / IMAP 機制可以從寫死的的電子郵件地址 thtgoolnc@mail.ru 和 thbububugyhb85@mail.ru 中獲取 payload。 由於研究人員無法檢視惡意程式框架的 component,因此無法確定程式的所有功能。 但其中一個 component : load.rem 似乎是專門在竊取用戶在 Recent Documents 的 directory。  Source: Securelist 目前還無法歸因 APT 小組是如何植入惡意 UEFI image,儘管似乎是可能有人實際操作直接進入設備或經由受損的 firmware 更新機制進行的。 也由於 UEFI 攻擊的稀有性,所有細節都值得去研究。 有關 dumping UEFI 和 reversing UEFI image 的資訊,請參考文中的連結。 The Ugly 對於希望在今年秋天重返課堂,並可以恢復正常的一群 Massachusetts 的 25,000 學生來說,這是令人失望的一周。 這週四時, Springfield 公立學校區遭到勒索程式攻擊,並導致學校關閉。所有的課程被暫停,直至另行通知。 這個攻擊影響了學校和所有遠端的學習活動,地區不得不迅速採取行動,要求立即關閉所有學校設備,以遏制勒索程式。  The Good 目前距離美國大選只剩下兩個月,呼籲投票的信件已經通過電子郵件和郵件發布出來,令人振奮的是,看到多個機構對選舉安全越來越重視。 FBI 和 CISA 聯合發布了幾項公共服務聲明,意旨在減少來自外國干預不必要的焦慮,同時清楚地說明實際可能發生的情況。 第一個公告就表示,來自外國的國家級和網路犯罪分子可能會傳播關於 2020 年選舉結果的虛假信息。 指出: “foreign actors and cybercriminals could create new websites, change existing websites, and create or share corresponding social media content to spread false information in an attempt to discredit the electoral process and undermine confidence in U.S. democratic institutions”. “來自國外的駭客和網路罪犯可能會建立新網站,更改網站,並創建或分享呼應的社交媒體內容以散佈虛假信息,從而抹黑選舉過程並破壞對美國民主制度的信心”。 重點就是要說服大眾:選舉是沒有被操縱,並且是值得去投票,而不是呆在家裡(駭客們的意圖是減少投票水平)。 再來,另一個公告指出駭客和網路犯罪分子有可能會散佈虛假謠言,說他們以某種方式損害了選舉基礎設施,並間接協助了美國選民登記數據是已被 "駭" 和“洩露”。 這樣做僅只是為了抹黑選舉過程,破壞對美國民主體制的信心。但值得注意的是,確實是可以通過公開平台購買或獲取許多選民信息,FBI 和 CISA 補充說,“他們沒有任何信息證明,沒有任何的攻擊阻止了選舉的進行,並從而損害了選民登記的準確度,阻止選民投票,或損害任何投票的完整性”。 在另一份公告指出: DDoS 的攻擊有可能會阻礙投票信息的 access,延遲投票並阻礙投票計數。但這些機構強調,即使他們確實被攻擊了,也已採取措施確保這不會阻止任何人投票。  而 FBI 和 CISA 並不是唯一有處理確保選舉程序安全的機構,眾議院一致通過了針對駭客攻擊投票制度並立法為聯邦罪行。 這是繼去年參議院通過的《 Defending the Integrity of Voting Systems Act 》之後,它將使聯邦政府能夠在幫助各州預防選舉威脅方面發揮作用。 The Bad 那麼這週的壞消息,CISA 指出,過去一周有駭客入侵了一個不公開的聯邦機構網路。 通過利用受到破壞的憑據,駭客通過兩個 reverse Socket Secure(SOCKS)proxies ,利用了該機構防火牆的弱點,獲得了長時效性的權限。 據報導,他們使用了該機構的 anti-virues 產品的金鑰和安裝指南,並且 “然後進入了該產品用於 temp file 分析的 directory。” 進入後,攻擊者便可以執行 inetinfo.exe(一種複雜的惡意,刪除和文件解密程式)來進一步的攻擊。  《 Wired 》報導說,這次的駭客很肯定的是 Fancy Bear / APT28:一個為俄羅斯 GRU 工作的駭客團隊。 FBI 參考之前的一份報告(可追溯至2020年5月)時並指出,比對後兩次都是從在 Hungary 的 IP address 發出。 在另一份較早由 Department of Energy 的報告,APT28 從 Latvian 的一台伺服器探查在美國政府組織的網路,也與這次相同。 此外,CISA 這次詳細描述的TTP 與 APT28 的TTP 也相同。 儘管我們不知道是是哪家機構被入侵,以及被攻擊的程度,但它再次提醒了我們這些類型的APT 威脅攻擊者有多強。 The Ugly 隨著新冠肺炎的危機持續到 2020 年最後幾個月,疫苗還沒問世,許多國家陷入封鎖,一些人可能期望網路犯罪分子能夠緩解對醫療機構的攻擊。 可惜在本週,一個對 Fortune 500 中的一家醫院 Universal Health Services(UHS)的勒索程式攻擊證明了殘酷現實的真實性。 UHS在 美國華盛頓特區,波多黎各和英國的 37 個州設有 26 家急性救護醫院,328 家 Behavioral Health 住院患者以及 42 家門診設施和門診服務中心。BleepingComputer 指出,醫院最有可能是受到 Ryuk 勒索程式的攻擊。 因為在攻擊中,檔案被重新命名為 .ryk,而這是 Ryuk 的特徵之一。  被攻擊後,他們直接關閉了所有支援的 IT 系統,並恢復了該公司所說的 “已建立的備份過程,包括 offline documentation methods”,也就是最原始的手寫 report 和時間預約。 據該公司稱,這次攻擊沒有遺漏任何患者或員工的數據。
The Good 本週,一名英國人士 Nathan Wyatt 因 “The Dark Overlord ” 多次的違反和攻擊行動。被判處五年徒刑,並處以重罪。 現年 39 歲的 Wyatt 在由 TDO(The Dark Overlord)進行的多次的攻擊活動中扮演著關鍵角色。 隨著 Wyatt 於 2017 年被拘留,最終於 2019 年 12 月被引渡到美國。在 2017 年提交的冗長的文件詳述了許多實際的犯罪行為,以及其相關方法。  法院文件提供了內部策略細節,這些攻擊策略在最近,已經變得普遍。 Wyatt 和 TDO 中的其他人一起,攻擊高價值目標,竊取大量有價值的數據,然後要求贖金,以免將被盜的數據被公開洩露。 如果受害者不能付出贖金,TDO 會將竊取的細節洩露出去,在駭客論壇上發布出售的數據,或者乾脆全部發佈在網路上。 Wayatt 的主要的責任之一是作為受害人與 TDO 之間的聯繫。他使用單一的電話和帳號,與受害人聯繫以索取贖金或在需要時進行談判。 TDO 與針對 Netflix,ABC,SMART,Gorilla Glue 以及許多其他 high-profile 的大量攻擊活動有相關。因此,我們很高興看到法律制度可以制裁這些犯罪者。 Wyatt 的犯罪行為使他被判五年監禁,並處以近 150 萬美元的罰款。 The Bad 本週的醜陋,CISA(US CERT Cybersecurity & Infrastructure Security Agency)發布了警報 AA20-266A。 該機構已經註意到,從 2020 年 7 月開始,通過 EINSTEIN IDS 系統對 LokiBot 惡意程式的分佈有了很大的增長。 LokiBot 是一種被廣泛使用的工具,它幾乎沒有任何設置和使用入門的障礙。 這使得該框架對於缺乏創造或管理更複雜的惡意程式或購買更昂貴工具的剛起步的網路犯罪分子是非常有吸引力。 一般而言,LokiBot 包含了 keylogging,後門/遠程功能,使用瀏覽器的憑據收集和信息竊取功能。 它也可以用作其他代碼或惡意程式的加載器或刪除器。  儘管 LokiBot 是出名的,有跡可循的,並且通常受到良好的抵制,但本週的警報剛好也提醒了我們,即使是不複雜的惡意程式系列也會在使用和有效性方面起伏不定。 作為 “捍衛者”,我們不可以鬆懈。 我們鼓勵所有人看一下 CISA 的指南,並以此為作爲一個契機來檢查您的安全狀況並進行任何必要的更改,以確保免受 LokiBot 和其他所有在,外令人討厭的攻擊。 The Ugly 我們隨著距離將舉行的美國大選越來越近,選舉安全的敏感度空前高漲,並且大家都知道當針對與選舉相關的實體使用勒索程式時,情況是朝著醜陋的方向發展。 ㄧ家對美國政府提供服務的公司 Tyler Technologies 最近表示,它們已遭受了破壞性的勒索程式感染。  而 Tyler Technologies 為美國政府提供的服務包括緊急情況管理,災難恢復援助以及選舉數據的收集和分享。 該公司將自己描述為 “一個為地方政府提供 end-to-end 信息管理解決方案和服務的領先提供商。” 有鑑於勒索程式的目前作案手法是在目標無法支付時,洩露受害者數據,這種勒索程式攻擊就更加令人擔憂。 當前的調查表示出,特定的勒索程式家族是 RansomExx。 而 Tyler Technologies 表示,沒有 “個人數據 ”受到影響或 access,並且攻擊僅限於內網。 有關此事的調查仍在進行中,未來幾天和幾週內可能會出現新的細節。 調查的同時,公司通過 email 向客戶發布了以下聲明: I am writing to make you aware of a security incident involving unauthorized access to our internal phone and information technology systems by an unknown third party. We are treating this matter with the highest priority and working with independent IT experts to conduct a thorough investigation and response.” 我們謹在此通知您,目前發生了一起安全事件,其中涉及未知的第三方未經授權訪問我們的內部電話和信息技術系統。 我們正在以最高優先權處理此事,並與獨立的 IT 專家合作,進行徹底的調查和對策。” 我們也相信,隨著 11 月大選將近,更多類似的故事將會出現。 現在,比以往更重要的是,一個可信任的資安控制,保護我們所有人都依賴的系統和數據是有多麼的重要。
 Executive Summary
 Zerologon 漏洞介紹 CVE-2020-1472(一般稱之為“ Zerologon”)是當前所有 Microsoft Windows Server 版本(Windows 2008 R2、2012、2016、2019)中的一個嚴重漏洞。 這個提升特權,利用了 Netlogon Remote Protocol(MS-NRPC)中的漏洞,並允許攻擊者可模擬系統,包括網域控制器本身的帳號。 這個漏洞是由 Secura 的資全專家 Tom Tervoort 發現的,漏洞可以讓 remote 的攻擊者偽造 Netlogon 的身份驗證,將 domain 控制器的密碼設置為已知值。 之後,攻擊者可以使用新密碼來接 domain 控制器,更改或添加其他身份驗證憑證,提升特權或橫向移動到 domain 中的其他主機。 之後呢,除了重置 domain 密碼之外,其他研究人員還發現了更多可操作 Zerologon 漏洞的方法,他們還證明了 Zerologon 可竊取所有 domain 密碼的能力。 這樣的發展趨勢,增加了企業將面臨的風險。 而為了成功的攻擊,駭客們必須首先獲得對 domain 控制器或可以遠端相同網路上的設備或直接進入。 有效的憑據或 member 身份,不是成功攻擊的先決條件。自從漏洞被公開以來,在外界以發現了可被利用的代碼,CISA 表示該漏洞構成了 “不可接受的風險”,並需要 “立即採取緊急行動”。 儘管微軟已經發布了 Zerologon 的 initial patch,但這僅僅是第一階段的開始, 他們預計至少要等到 2021 年第一季才能完成。 同時,Microsoft 的建議指出,目前的更新僅保護被支援的 Windows 設備,舊版 Windows 和其他使用 Netlogon MS-NRPC protocol 的 domain controller 來通信的設備還是容易受到損害。 除此之外,initial patch 是無法阻止 Zerologon 的攻擊。 相反的,如果沒有使用該 protocal 的設備,它僅是添加 logging 來檢測 non-secure RPC,並添加 registry 設置來停止使用。 而資安團隊面臨的挑戰是,如果僅是禁用,這可能會破壞舊版的應用程式。 因此,即使目前有可用的 patch,但如果公司企業不能禁用 registry 設置,它們仍然容易受到攻擊。 Detecting and Defending Against Abuse of Zerologon 從端點的角度來看,檢測這種攻擊是具有挑戰性,因為在實質上,攻擊者是以類似 “合法用戶/帳號行為”的方式向 domain 進行身份驗證。 另外,主要攻擊媒介是網路級別,而不是通過與主機 filesystem 之間的 interaction。 因此,對於許多傳統的端點安全解決方案而言,直接去解決該漏洞是 “不可行的”。 相比之下,SentinelOne 研究人員採用了 vector agnostic 的方法,這個方法利用了一些獨特的,專有的創新技術,可以在端點上檢測到此漏洞。 我們的 SentinelLabs 研究團隊已在各種可用的 frameworks 上進行了許多測試。 在我們的分析過程中,我們觀察到,這種攻擊雖然成功,但在 domain 控制器上也引起了注意,正是因為該攻擊以多種方式對與 domain 控制器的 communications 間接產生了負面影響。而研究的結果,SentinelOne 平台能夠檢測到針對目標系統的 initial 前、後的攻擊 (事發前,事發後)。 雖然攻擊是從網路開始,但端點已察覺傳入的流量嘗試。 Netlogon Remote Protocol 是用於維護在 domain member 至 domain controller (DC)、 domain DCs 以及跨域 DC 之間的關連。 通過 local 和遠端監視系統內進行的身份驗證嘗試,並將其通過我們的行為 AI 引擎,我們可以將正常的身份驗證及試圖攻擊區分開來。 當檢測到可疑活動時,會啟動 in-context 警報,並會在控制台中顯示出。 Interested in Protection from Zerologon?
這就像對 agent 進行的任何修改一樣,我們開始將此功能部署到選定的客戶,以確保在各種環境中的穩定性。 現在,已部署 4.2 SP4 的既有客戶可以使用這項關鍵檢測。 版本 4.3 和 4.4 將會在即將發布的 Service Pack 更新中包含此檢測功能。 如果您還不是 SentinelOne 客戶,我們歡迎你來了解有關如何保護你企業或在這兒 request free demo 已得到更多信息。 The Good 如果你這幾年有關注資安新聞,那麼你可能還記得 CCleaner 和 ASUS ShadowHammer supple 鏈攻擊。 Well, 本週的好消息:美國政府已起訴對需為這些事件負責 5 名中國人,前後相加有 100 多次攻擊。 前身名為 APT41,他們也是一直在支援勒索程式攻擊和 cryptominer 攻擊的幕後手。 Zhang Haoran, Tan Dailin, Jiang Lizhi, Qian Chuan 還有 Fu Qiang 目前仍然在中國逍遙法外,只要他們避開出國,被捕的機會是很小的。 但幫助這些人從被盜遊戲貨幣中獲利的兩名馬來西亞商人 Wong Ong Hua 和 Ling Yang Ching 正面臨從馬來西亞被引渡到美國的危險,並且很可能會被判入獄。 起訴這些中國駭客成員的同時,還沒收了數百個帳戶 , server ,域名和其他網路資產。 雖說起訴書和扣押都無法阻止他們從事進一步的行動,但是他們的身份以及與中國公安部的密切關係,已強烈發出信號,他們再也無法匿名或免於國際制裁。  The Bad 本週的壞消息仍與中國有關, CISA 本週發布了一份建議報告,指與中國有關係的國家級駭客正在利用 OSINT 和公開可使用的工具於新一波攻擊中,將目標瞄準了美國政府機構。 此攻擊包含了駭客的最愛滲透工具 Shodan,Cobalt Strike 和 Mimikatz 等。 再來就是,這些駭客一直在利用眾所周知的尚未修補的網路軟體漏洞,例如 CVE-2019-11510(Pulse Secure VPN),CVE-2019-19781(Citrix VPN),CVE-2020-0688(MS Exchange Server)和 CVE-2020-5902(F5 Networks Big-IP TMUI)。 長期以來,unpatched 的 VPN 程式一直是引起人們關注的問題,這也不是 CISA 首次向公司企業發出有關 APTs 針對重點設施攻擊的警告。  最新的報告還指出: To conceal the theft of information from victim networks and otherwise evade detection, the defendants typically packaged victim data in encrypted Roshal Archive Compressed files (RAR files), changed RAR file and victim documents’ names and extensions (e.g., from “.rar” to “.jpg”) and system timestamps, and concealed programs and documents at innocuous-seeming locations on victim networks and in victim networks’ “recycle bins”. 為了掩飾從受害者網絡路中竊取信息並逃避檢測,攻擊者通常將受害者數據打包在加密的 rar 壓縮文件中,將 RAR 文件和受害者文件的名稱和 extenstions(例如,從“ .rar” 更改為 “ .jpg”)和系統時間 stamp,並隱藏程式和檔案在看似無害的受害者網路和 “垃圾桶” 。 CISA 建議公司組織落實可靠的配置和 patch 管理程式,以防止攻擊者輕鬆利用常見漏洞和現成的工具。 雖然這是最低要求,但一些可靠的 EDR 也應該放在優先列表中。 The Ugly 本週的醜陋故事是關於網路攻擊的意外,其後果如何在現實中以悲劇結束的故事。 一名經驗不足的駭客試圖對德國一所大學進行勒索程式攻擊,最終在學校附近的一家醫院 30 台 server 進行了加密。 惡意程式以常見的方式發出贖金,直接命名了此所大學並提供聯繫方式以安排付款。 當然,醫院的接線人員是直接從 Düsseldorf 警察而不是大學人員那裡聽到消息。 警察告訴他們,他們沒有抵達預定的目的地,並使 Düsseldorf 大學診所的患者生命受到了威脅。 勒索程式讓醫院的 server 整個癱瘓,迫使接線人員只能將緊急情況轉移到其他地點。 一名需要緊急入院的患者被重定向到 32 公里外的一家醫院; 這導致醫生耽誤了一個小時,才能讓她接受只治療。 很可惜的,由於拖延到的時間,他們無能為力救活病患。  這名攻擊者最後向警察提供了解密 key,也沒有要求付款,但警方仍然無法聯繫攻擊者。 攻擊似乎是針對了一種可以購買的商用程式中的漏洞,漏洞已被修補。 但是使用哪種勒索程式來攻擊尚不清楚,但報導表示也沒有洩露任何數據。
警方繼續調查此攻擊案件,以 “過失殺人罪” 的指控來逮捕這名攻擊者。 如果可以有一個教訓,使那些認為這是 “有趣”的,“輕鬆賺錢的方法” ,“不會造成任何傷害” 的駭客們退一步,並三思,因為一個攻擊是可以帶來無法預知的傷害。 The Good 目前美國的學校正在努力讓孩子們回到學業上,同時也避免身體和網路病毒的爆發。 很幸運的是,一名 16 歲就讀於 South Miami Senior High 的學生指控啟動 DDoS 並被逮捕。這起 DDoS 攻擊發生在虛擬課程的前三天,並癱瘓了學區的網路伺服器。 在那三天內,所有嘗試登錄的新學年學生都看到了錯誤消息。 Miami-Dade 學區上週表示,這名學生承認了針對該學區網路的八次 DDoS 攻擊,包括針對建立在 web-based 的 on-line學習平台(名為My School Online)系統 。  根據《Miami Herald》的報導,自新學年開始以來,學校系統實際上已經被攻擊了二十次。 研究人員正在嘗試找出除了學生之外的其他嫌疑犯,這名學生還表示他成功進行了一次有點令人尷尬的基本攻擊:他使用了已有十年之久的 open-source 工具Low Orbit Ion Cannon(LOIC),大多數的標準防火牆都應該能夠抓到。。。 The Bad 當你以為 Zeppelin 勒索程式逐漸消失,但其實他的陰影悄悄的投向 IT 和醫療機構。 這一次呢,它們吸引了一個令人討厭的程式:一個新的 Trojan下載程式,可幫助其潛入防毒軟體並逃避檢測。 Juniper Threat Labs 的分析師表示,這個悲慘開始於 Microsoft Word 的文檔,檔案中藏了惡意的 macro。 利用偽造的電子郵件來誘使受害者啟用,並觸發感染的 VBA marco,其中包括了模糊的 “發票” ,但實際上只是一張圖像的 text box。  先不討論模糊的照「 騙 」,你會發現其實它是隱藏了 Visual Basic 腳本片段的隨機小玩意兒。 Visual Basic interpreter 從檔中提取垃圾文,將其視為已註釋掉的代碼,然後將它忽略,卻留下惡意指令。 簡化這些命令,以為問題解決了:但一個Zeppelin ransomware.exe 休眠了 26 秒,是因為它試圖在自動 sandbox 中等待動態分析,然後繼續執行勒索程式。  如以上所見,贖金記錄還包括了自己的迷你幫助手冊,警告用戶不要嘗試重命名或解密文件。 騙子的論點:你不想支付無效的幫助並增加贖金的費用,對吧? 此外,Zeppelin 還諷刺地警告他們的受害者:“你可能成為騙局的受害者”。 實在是太有幫助了! The Ugly 目前學校還在努力嘗試開放的過程中,不僅要應對 COVID-19 ,他們還得應對勒索程式攻擊的猛烈攻擊; DDoS 攻擊,如作者提到在 Miami-Dade 的網路攻擊事件,一名高中生被逮捕。 還有 Zoom-bombing :所有這些都是在拖延兒童來重返學校的陰謀。 就如《 Threat Post》所報導,在本週我們看到了對在 Hartford, Conn. 和 Clark County, Nev. 學區的勒索程式攻擊。週二,Hartford 公立學校表示,勒索程式攻擊已延遲了針對個人和 on-line learning 的開放時間。 美聯社報導也表示在昨天(9月10日,星期四),內華達州的 Clark 學區在開學的第一周,也遭到了勒索程式的攻擊,並且一些員工的個資可能已經被洩露。 而實際上,根據 Recorded Future 的數據,到目前為止,在7月,8月和9月,已經有 9 起針對學校地區勒索程式攻擊的紀錄。 這聽起來可能很糟糕,但實際上更糟:在去年開始,《 Recorded Future》從駭客 forum,threat feeds,新聞報導和 code 存儲庫收集了數據,這些數據表示出,在 2019 年 9 月,至少有 15 個學區在兩週間遭到了勒索程式攻擊。  Recorded Future 的勒索程式專家 Allan Liska 表示,遠端學習的轉變實際上可能會導致這樣趨勢下降。 他還說:“ 我們絕對是處於一個未知領域。 ” “隨著學校重新開放,勒索攻擊是有增加,但由於本學期還是有這麼多學校系統處於遠端狀態,勒索程式針對的攻擊面要小得多。”
希望他是對的:這些孩子們需要一個 break。 The Good 之前在現已終止營運的 Darknet 網站“ AlphaBay Market ”擔任網站管理者,一名叫 Bryan Connor Herrell 的男子被 Colorado 美國地方法院判處 11 年徒刑。 這個網站由聯邦調查局,泰國和加拿大警方一起聯合的行動中移除除,這是一個供買賣槍支,被盜身份信息,信用卡和其他非法物品的市場。AlphaBay 也曾是世界上最大的 online 毒品交易市場。 作為管理者,Herrell 幫助解決了買賣雙方之間的糾紛。 他顯然很投入自己的工作,因為他幫助解決了 20,000 多個買賣糾紛。  Herrell 被捕的原因是因為網站的創始人兼管理員 Alexandre Cazes 於 2017 年在泰國被捕。Cazes 隨後幾天被發現死在他的牢房中,他的筆電裡裝滿了罪狀。 FBI 保留了設備,並找出該網點的基礎設施和人員有關的大量信息,也包括 Herrell 的參與。 雖然 Herrell 的審判花了幾年時間結案,但這個判決是很嚴厲的,有向其他有興趣探索犯罪,並想走陰暗道路的人發出警告。 本周其他好消息是來自 Facebook 和 Twitter,它們都暫停了幾個與俄羅斯國駭客有關的帳號。 這些帳號屬於“ PeaceData”,是一個假新聞網站,發布有關全世界政治的誤導性文章。 這兩個社群網站表示,他們在今年夏天時從聯邦調查局收到小道消息後,便開始調查與該網站相關的帳號。 信息也一併傳遞給了獨立的研究機構 Graphika,該機構確認了網站和相關的社交媒體資產與臭名昭著的俄羅斯“ Internet Research Agency”(IRA)有相關。  希望這個舉動表示社群平台開始對假新聞和 online 操縱採取更加堅定的立場。 The Bad 挪威國會,也被稱為 “ The Storting 議會”,是本週駭客攻擊的目標,該攻擊破壞了幾位議員和工作人員的 email 帳號。 保守黨(Høyre)的電子郵件也被入侵郵件,目前尚不知 PM Erna Solberg 或任何政府部長的帳號是否受到影響。 反對派工黨(Arbeiderpartiet)的電子郵件也遭到了黑客攻擊。目前這次攻擊疑似是由外部肇事者進行的。 議會行政長官 Marianne Andreassen 說:“這是一次重大襲擊。” “當今的威脅形勢充滿了挑戰,IT 安全是我們一直在審視的問題。 她並補充說,目前不斷評估在 Storting 中加強安全性的新措施。  議會已將事件報告給挪威警察安全局(PST),隨後在 tweeter 上表示他們正在調查此案。 下一屆挪威議會選舉定於一年後的 9 月舉行,人們擔心這次襲擊可能是其他國家想要干涉明年大選的開始。 The Ugly 本週的 ugly 依舊與政治和網路犯罪有關,印度總理 Narendra Modi 個人 Twitter 帳號在本周遭到了駭客攻擊。 攻擊者發布了一系列推文,呼籲 250 萬的 follower 用比特幣捐贈給 PM National Relief Fund。 文中寫道:“我呼籲大家對 Covid-19 伸出援手,並向 PM National Relief Fund 慷慨的捐贈,Now India begin with cryptocurrency。” 隨後的推文顯示駭客的身份是一個名為“ John Wick ”的組織(基努·里維斯主演的電影),而這個組織本週稍早被指控入侵了印度著名的電子購物網站 “ Paytm Mall” 並勒索贖金。 。 但這個組織似乎想要澄清,因此他們入侵了另一個備受矚目的 Twitter帳號,並告昭天天下,以致他們不需要為 Paytm 電子購物中心的攻擊行為負責。  Twitter 正在調查印度總理的帳號攻擊事件(帳號已被重置,並刪除了駭客的推文),這個攻擊是是繼 7月份事件之後:駭客利用這些事件攻擊了約 130 個名人帳號並共同發推文,以宣導人們“捐贈”給指定的比特幣錢包。 這再次提醒我們,國家和政治領導人的社交媒體帳號是高價值資產,因此是需要受到保護,以減少在國家甚至國際層面上被操縱和不當行為的風險。
The Good 本週的好消息有著一些醒目的教訓。 一名俄羅斯人因涉嫌對電動車製造商特斯拉的網路攻擊未遂並在美國被逮捕。 Egor Kriuchkov 被指控試圖以價值有 100 萬美元的比特幣賄賂特斯拉員工,以換取在公司網路上安裝惡意程式以及提供有關公司基礎設施的詳細信息。 Kriuchkov 在試圖離開美國時遭到聯邦調查局(FBI)的逮捕,據稱他對這位不願透露姓名的特斯拉員工說,他在俄羅斯的同夥將首先從特斯拉竊取數據,然後勒索 400 萬美元的贖金。 這群駭客們打算在安裝惡意程式時發動 DDoS 攻擊,以分散資安團隊的注意力。 據說 Kriuchkov 聲稱他已使用這種聲東擊西的方式成功的獲利。 有人也認為,Kriuchkov 可能是指本月初對 Carlson Wagonlit Travel 進行的勒索程式攻擊。 利用內部人員作為破壞資安安全控制的手段,是一種會與從事間諜活動的國家級駭客聯繫在一起的技術。但也很顯然,網路犯罪團隊也有能力並且願意長期投資 ,尤其是回報時會變的非常有錢。我們對這名特斯拉員工表示敬意,Elon Musk 也表示這是對公司的一次 “嚴重攻擊”。  The Bad 不幸的是,對於每一次被阻擋到的攻擊,還是有其他的漏網之魚。 在本週呢~ 研究人員詳細的介紹了臭名昭著的 QakBot(又名 QBot,QuakBot)該惡意程式是從銀行木馬程式演變為惡意程式交付平台,與 Emotet,TrickBot 和其他所謂的 “ Swiss Army knoif” 工具不同。 今年的發展非常迅速,在 1 月到 8 月之間至少進行了 15 次轉變。 最近的 QakBot 活動已成為作者的垃圾郵件的發源地,針對歐洲和美國的政府,軍事以及製造業的攻擊也不斷發生。 QakBot 的成功建立於在熟悉的 MO:利用 reply 鏈攻擊的網路釣魚郵件並攜帶有毒檔案,利用 Visual Basic 下載第二階段的 payload 並與攻擊者的 C2(C&C)伺服器連線。 有些說法表示在某些情況下,QakBot 在競爭對手的平台上 deliver。 這個惡意程式具有 backdoor 的功能,有的變種包含了 plugin,可讓操作者通過 VNC 連接控制中毒的設備。 主要目標為:竊取憑據和收集電子郵件以用於進一步的垃圾郵件攻擊,該惡意程式也可以將受害者的設備送到殭屍網路中,進而控制其它的設備。 研究人員並表示,QakBot 還具有能力在受害者不知道的情況下,進行網路銀行交易。  Source: Check Point 相對的,與許多其他惡意程式一樣,防止惡意程式的關鍵是通過網路釣魚信件來阻止初始的代碼執行。 我們建議使用者注意常見的誘餌,例如工作廣告,COVID-19 和 Election 2020 的主題,以及無預期的發票和付款提醒。 The Ugly 駭客們一直在尋找新的感染媒介,那還有什麼比世界上使用最廣泛的共享平台之一 Google Drive 中的未修補漏洞更好?? 本週,一位研究人員發現,感謝 “ Manage Versions 管理版本” 功能,攻擊者可以在不發出警告的情況下,秘密地將上傳並共享到 Google 雲端的非可執行檔,切換為惡意執行檔。 POC 證明了可以將用戶之間共享的檔案(例如 Invoice.pdf)更新為 Invoice.exe,如果點擊了原始檔的相同連接,則該文件變成了可執行惡意程式檔,也不會向用戶發出任何警告。 更糟的是,儘管有些 anti-virus 可能會將檔案辨別為惡意,但 Google Chrome 對於直接從 Google 雲端下載的任何內容是採默認的信任。  可以在不檢查檔案類型的情況下更改版本是一個危險的漏洞,攻擊者可以在魚叉式廣告攻擊中利用這個漏洞:與無辜的用戶共享一個的檔案,鼓勵他們進行操作執行,然後切換到惡意程式,然後等到使用者下一次點擊連結...
目前尚無法得知 Google 是否計劃在將來解決問題,但在 Google 在“ Manage Versions 管理版本”功能中強制執行文件類型驗證之前,所有 Google 雲端的用戶都要有意識到這一項風險。 The Good 在本週,幣安與烏克蘭網路警察一起進行的合作工作有了重大更新。 8月18日,他們聯合發布了新的詳細情形。 通過這項被稱為 “Bulletproof Exchanger”,執法部門能夠追踪並逮捕涉及惡意加密貨幣交易的多名罪犯,他們大約洗劫了 4,200 萬美元的非法資金。 相關人員參與了大量惡意加密貨幣交易,並在網路上的各個黑暗角落宣傳了這項服務。 網路犯罪分子通過掩蓋和混淆交易來直接協助勒索程式團體和其他欺詐者,讓他們可將在黑市上得到的利潤轉化為可用的貨幣。  通過 “Bulletproof Exchanger”,Binance 能夠識別和跟踪 、標示出這些犯罪活動(惡意交易,transation cleaning)的數據和行為。 這項工作也使 Binance 可以建立針對這些參與者及其活動的指標動態數據庫。 用戶特徵,DNS 事件和區塊鏈分析數據之類都已成為功能強大的工具,用於應對這樣的犯罪活動。 這次是 “Bulletproof Exchanger” 努力後的首次勝利。 Binance 表示,他們打算繼續及擴展這個 project,並指出 “洗錢,勒索程式和其他惡意活動作鬥爭對社會的福利,和行業發展至關重要。” 我們SentinelOne,我們不能同意再多,為這持續的努力表示讚賞和支持。 The Bad 本週,CISA(Cybersecurity and Infrasstructure Security Agency)發布了有關北韓支持的遠端木馬程式(RAT)BLINDINGCAN 的更新惡意程式分析報告。 報告 AR20-232A 描述了有關 RAT 的詳細信息,並指出 RAT 被用於瞄準價值高的政府承包商和相關機構,尤其是與國防和能源行業相關的承包商。 這個惡意程式被歸給於北韓支持的國家駭客們,被稱為“Hidden Cobra / Lazarus / APT38” 。 分析報告關注於BLINDINGCAN RAT 相關的 Microsoft Word 惡意文檔和 DLL。 它們在打開時會嘗試連接到外部伺服器並下載其他 payloads。 32 和64 bit 的版本都有。 這些檔案還會啟動鍵盤記錄,並收集基本系統信息。  For the record,這是 CISA 今年發出的第 12 條警報。 當然~SentinelOne Endpoint Protection 能夠預防/檢測與BLINDINGCAN 和 AR20-232A 中指出的相關的惡意行為。 The Ugly 最後~若是與大家分享另一個高價的勒索程式目標,本週是不完整的。不幸的是,這次的重點是狂歡節遊玩路線。 在最近的 SEC 8-k filing中,Carnival 公開了有關攻擊的有限細節。 並聯合與 PLC 的發布勒程式事件新聞稿,其數據幾乎與 SEC 文件中所述的相同。  “On August 15, 2020, Carnival Corporation and Carnival plc (together, the “Company,” “we,” “us,” or “our”) detected a ransomware attack that accessed and encrypted a portion of one brand’s information technology systems. The unauthorized access also included the download of certain of our data files. “ 在發現安全事件後, Carnival 立即展開了調查,並通知了執法部門,聘請了法律顧問和其他安全事件專家。 在對該事件進行調查的同時,也已實施了一系列遏制和補救措施,來解決這種情況並增強 information technology 系統的安全性。
有關勒索程式相關的詳細信息,或有關此問題的任何形式的歸因尚未公開。 但這次的攻擊突出了一些有趣的事情。 首先,正如我們所知,積極進取的勒索程式開發者仍非常活躍,並且會在他們認為最有可能獲利和/或破壞的地方瞄準目標。 另一個比較鮮為人知的問題是,補救措施成為此類攻擊的巨大障礙。 像 Carnival 這樣的公司結構,與基於在陸地上的公司相比,有很大的不同。 首先必須依靠速度較慢或分段的網路(就像遊輪在海上一樣)會使補救過程大大複雜化。 而當每天只能在有限的時間內連接到船隻的系統時,又要如何處理? 當網路速度嚴重受限時,將如何進行補救? 這應該提醒大家,預防才是關鍵的。 尤其是在勒索程式開發者比以往任何時候都更具創新性,進取心和貪心。 |
Categories
All
Archives
October 2020
|
RSS Feed