 The Good 本週的好消息~,國際刑警組織和 Group-IB 成功地聯手一項稱為 “ Operation Falcon” ,在 Lagos, Nigeria 逮捕了 3 個人。 這些人負責並涉及了 Business Email Compromise(BEC)操作以及相關的網路釣魚和與有規模的組織犯罪集團建立聯繫,並分佈惡意程式操作。  根據國際刑警組織的 release,迄今已確定約有 50,000 名受害者。 如果回朔一下,還有許多未知或尚未發現的攻擊。 “Operation Falcon” 進行了大約 1 年,成功的追踪了這些罪犯,並促進有參與單位之間的威脅和數據情報交換。 該犯罪集團參與了多個商品惡意程式家族的發布,包括了 Nanocore,AgentTesla,LokiBot,Azorult 等。 惡意 email 被用來連接或分佈惡意程式到其目標。 所有標準的 social engineering 誘餌都發揮作用,包括典型的 “購買訂單” 式網路釣魚。 犯罪分子甚至在某些行動中使用了 COVID-19 的誘餌(攻擊變得更加卑鄙)。 讓我們讚揚一下國際刑警組織和 Gropu-IB 的努力,並鼓勵每個人繼續對這些攻擊保持警惕,並在可能的情況下繼續合作以將這些罪犯繩之以法。 The Bad 本週,聯邦調查局更新了一項 flash alert: FLASH MU-000136-MW,這涉及了針對錯誤配置的 SonarQube 並 access 到美國政府機構和企業的專有 source code 的攻擊。  自 2020 年 4 月開始,這些駭客們就將已被暴露,脆弱的 SonarQube instance 作為目標。這些被認為是高價值目標,因為這些包含了私人企業和美國政府機構的 source code repositories。 網路犯罪分子可以通過多種方式使用這類的敏感數據,最常見的是出於勒索目的而進行的滲透。 也就是類似於我們常見勒索程式活動中看到的情況,如果受害人不遵守攻擊者的要求,他們就威脅要公開發布數據。 FLASH alert 指出,已經有多個實例顯示出這些存儲庫中的數據已被洩漏到 public domain 中。 SonarQube 的緩解建議包括:
The Ugly 學區和相關機構一直是惡意程式攻擊的目標; 但是,最近針對學校和地區管理基礎設施的勒索程式攻擊似乎有所增加。 本週,有消息傳出勒索程式攻擊 “癱瘓” 了 Baltimore 公立校區(之前的報告顯示 Ryuk 為幕後攻擊者),實際上,在周三已關閉了近 115,000 名學生的學校。 而且 Baltimore 並不孤單。 許多學校和學區都出現在勒索攻擊者的 blog 上的受害列表中。 Egregor operators 也於上週也公布了在休斯敦 Spring ISD。  讓我們回朔一下,還可以看到其他相關實例:
具有諷刺意味的是,改善這種狀況的一種方法是教育。 我們鼓勵社區和行業中的人們伸出援手,找到方法來指導與教育相關的基礎設施管理者,以提出風險在哪裡,如何減少接觸,在哪裡集中進行最大程度的偵測和預防控制等方面的建議。 駭客們不會停止前進,因此我們有責任保持領先地位。
0 Comments
The Good 還有什麼能比新的安全功能更好? 當然是請求用戶在開發和推出產品時加入他們的需求! 為了提高瀏覽器的安全性和用戶的參與度,Mozilla 本周宣布將最近的 HTTP-over-HTTPS(DoH)功能開放一個公開的“評估期”。 簡單來說呢:DNS 是瀏覽器 “lookup” 域名實際 IP 地址的方法,例如 sentinelone.com。 但是,這些 lookup 是通過各種 gateway 和伺服器在整個網路中傳播的,而完全是未加密的。 這意味著這些點中的每一個都可能 “嗅到” 並干擾查找。 使用DoH(發音為“dough 就像麵團一樣”),DNS 的 "lookup", 通過 HTTPS 於請求的瀏覽器與 DNS resolver 之間進行加密。  Source: Mozilla 所以這有什麼好不喜歡的? 嗯,或許 ISP 廠商不是挺喜歡,因為這可能會破壞廣告置入用戶瀏覽請求的能力。 還有其他的例如讓安全工具更難監視和過濾惡意 Web 流量。 而在英國,當局通過過濾掉提供非法內容的網域,將 DNS 用作打擊兒童色情的工具。 考慮到這些問題以及 DNS 過濾的許多不同案例,Mozilla 採取了受歡迎的方式:部署並徵詢大家的意見,意見徵詢將持續至2021 年 1 月 4 日。 該公司表示,他們希望 “取得大眾想法,建議和見解,以幫助我們最大限度地提高實施 DoH 的安全性和增強隱私的利益”。 他們接著說,“我們歡迎任何關心健康,權利保護和安全的 Internet 增長的人做出貢獻”。 蘋果,你有聽到嗎? The Bad 當我們討論網路安全的同時,本週的壞消息就是託管網路解決方案提供商 Managed.com 被 REvil 攻擊。 儘管最初的攻擊似乎規模有限,但該公司很快不得不拆除了整個網路託管基礎架構,並影響了 WordPress 等其他企業。 Managed.com 表示,他們正在努力解決並與執法機構合作,試圖確定參與攻擊的個體。 這不僅僅是出於公共責任感; 這近乎是一項要求,因為公司企業需要確保,如果他們考慮向攻擊者付款,他們將不會面臨因為與這些被禁實體打交道而遭受到法律制裁。 BleepingComputer 表示,攻擊者很可能是 REvil,他們要求支付 500,000 美元的贖金來取得解密。  Source: BleepingComputer 目前尚無任何表示 Managed.com 與攻擊者有任何聯繫。 根據他們的官方聲明,公司表示:“技術和信息安全團隊正在努力消除威脅,並使我們的客戶恢復到最大能量。” The Ugly 自 2020 年初新冠肺炎以來,視頻會議程式在安全性方面受到了很多審查,例如 Zoom 佔據了在早期的大部分問題。 但是,他們面臨的問題可能遠不及 CiscoWebex 最近出現的三個漏洞那麼嚴重。 來自 IBM 的研究人員發現,Webex 可能會被隱形的參與者 “困擾”。這些不請自來的 “幽靈” 來賓可以參與會議,但不會出現在參與者名單中,即使主持人試圖將它移除也沒有用。 最重要的是,第三個漏洞是無需加入會議就可以收集有關其他與會者的信息。 據研究人員稱,這些漏洞存在於 Cisco Webex 處理客戶端的應用程式及 Webex 伺服器間的 “handshake” 過程的方式中,並影響到預定會議和 Webex Personal Room。 漏洞在多個平台上得到了證明,包括 Windows,macOS 和 iOS。 IBM 聲稱,現在員工每月在虛擬會議上花費的時間超過 50 億分鐘,這類缺陷極易成為攻擊者的目標。  Source: IBM Research 但是,目前尚無證據顯現攻擊者在濫用這些漏洞,Cisco 已經發布了針對 Cisco Webex 伺服器和所有受影響的客戶端應用程式的 security patches。 建議 Cisco Webex 客戶和伺服器端的用戶立即進行修補。
同時,研究人員針對該漏洞已 filed 三個 CVE: CVE-2020-3441,CVE-2020-3471 和 CVE-2020-3419。 The Good 美國移民和海關執法局(ICE)、Brazil Ministry of Justice and the Public Security(MJSP)Secretariat for Integrated Operations Cyber Laboratory(SEOPI)合作,在一項行動歷時6天中逮捕了一百多名誘拐兒童者 ,遍及美國和南美。 This collaborative effort by ICE’s Homeland Security Investigations and its foreign law enforcement partners has put dangerous criminals behind bars and, most importantly, has led to the rescue of innocent children,” said ICE Attaché for Brazil and Bolivia, Robert Fuentes Jr. 在 ICE's Homeland Security Investigations 及其外國執法合作夥伴的共同努力將危險的罪犯帶進牢獄之地,最重要的是,這營救了無辜兒童。 這是一項正在進行名為 “Operation Protected Childhood”(OPC)活動的一部分,同時針對了整個美洲(巴西,阿根廷,巴拉圭和巴拿馬)的兒童性虐待影片的 distributors 和 producers。 這些犯罪者利用無辜的 app 與夥伴客戶們進行聯繫及分發其“商品”。 行動中發現嫌疑犯正在使用匿名消息傳遞 app“ Kik”,"Facebook Messenger" app,peer to peer 共享,Twitter 直接消息傳遞,當然還有暗網論壇。 據聞 Kik 和Twitter 都協助了調查。  The Bad 對法院的網路攻擊,或是現場審判並不是什麼新鮮事,但是讓一個國家的最高上訴法院失去能力的網路攻擊就是新鮮事,令人感到不安。 巴西的最高法院受到勒索程式的襲擊,這個攻擊至少使其 IT 系統癱瘓了3天。 最高法院院長 Humberto Martins 宣布:“法院的信息網路,在週二下午判決會議進行時,遭受了網絡攻擊”。 一開始攻擊取消了正在進行的 session,電子郵件和電話都不可用。 後來所有 SCJs 系統及其網站在攻擊發生後至少兩天都關閉了,據傳這也攻擊了其他聯邦單位。  據報導,這次的攻擊是由 RansomExx gan 造成的,除了視頻會議外,最緊急的法院訴訟外,並未影響到所有其他案件,但加密的備份內容也很可能被抽掉,以防之後的勒索行為。 巴西總統 Jair Bolsonar 在直播中表示,對方已提出了贖金要求,並確定了背後的攻擊者,但是由於聯邦單位尚未對此事發表正式評論,因此還不清楚這是否準確。 可能也受攻擊影響的其他機構為 Ministry of Health,Federal District Department of Economics and Federal District Government. The Ugly 雖然目前無法出國旅行,但我們都可以回想起我們的最後一個假期,我們很可能 online 預訂了一個房間。 很不幸的是,如果你在過去 7 年中有這樣的行為,你的個資可能已被洩露。 websiteplanet 的研究人員發現屬於西班牙軟件公司Prestige Software ,有一個配置錯誤的 AWS S3 bucket,這家公司向旅館出售架構在雲端的程式,使用與 online 預訂網站(包括當前客房空房情況)的自動回覆,包括Hotels.com,Agoda,Expedia ,Booking.com,Amadeus,Hotelbeds和Omnibees。  Prestige Software 早在 2013 年就已經在配置錯誤的 sockets 中存儲了客戶的個資和至少 100,000 張信用卡的數據。聽說洩露量約為 1000 萬條記錄。 這些記錄中有許多家庭旅遊的預定,因此暴露出的數量很容易是該數字的兩倍或四倍。 研究人員已通知 Amazon,並確保 repo 免受進一步洩漏。 但是,就如以往,還不清楚是否有任何惡意駭客在研究人員發現之前就已經access 和利用了數據。 如果確實確實有數據洩露,客戶的信息受到損害,那麼根據 GDPR ,Prestige Software 可能會面臨歐盟監管機構的罰款。 另一個類似的案例,萬豪集團最近因 2014 年數據洩露而被罰款 1,840萬,這影響了全球 3.39 億客人的記錄,由於公司承受的壓力,罰款已較最初的 9,900 萬英鎊減少。 對於旅行業來說,要渡過持續不斷的 Covid-19 危機已經很困難,若旅行者不能相信 online book ,那麼復甦也無濟於事。 希望這些事件能引起業界提高安全標準,讓我們所有人都安心的旅行。
The Good 在當本週所有人都在關注美國以及競爭激烈的選舉,俄羅斯傳出了一些罕見的網路安全好消息,據報導,內政部逮捕了一個僅以 “ 1ms0rry” 字樣聞名的惡意程式開發人員。 這位未具名的 20 歲男性不幸的越過了那一條紅線,這是大多數其他網路罪犯都學會避免的:允許他的惡意程式感染俄羅斯各地的用戶,淨賺來自2000多個同胞約 430 萬盧布(約合55,000美元)。  報導還表示,這名駭客與一個名為 1ms0rry-Miner 的木馬/加密貨幣 miner 以及 LoaderBot 和 N0f1l3 木馬和信息竊取者有關。 他的代碼還被認為是與其他更強大的惡意程式的源頭,其中包括 Bumblebee,FelixHTTP,EnlightenedHTTP 和 Evrial,MaaS(malware-as-a-service)能夠從中竊取加密貨幣錢包地址和其他 Windows 密碼憑證。 可悲的是,俄羅斯當局對本土的駭客大肆攻擊非俄羅斯目標視而不見,但還是很高興看到另一位惡意程式開發者因任何原因而被逮捕。 只希望他能對如何確定自己的代碼中的語言偏好有更好的了解,別提早回到網路上。 The Bad 據報導在週一,Resident Evil 開發 Capcom 遭到 Ragnar Locker 勒索程式攻擊,導致 Capcom 大約 1TB 數據被盜竊。 與其他 “leak-and-lock” 勒索程式操作一樣,駭客威脅告知,如果公司不付款,便會釋放大量的 IP 和私人敏感數據。 範圍從財務文件,客戶和員工 PII(例如護照和簽證)到商務合同,私人公司電子郵件和 Messenger 對話。  報告顯示,勒索程式已加密至少 2000 台設備,並且要求以比特幣形式支付 1100 萬美元的巨額贖金。 攻擊發生僅在一天之後,Ragnar Locker 還襲擊了飲料商 Campari,其要求也達到了 1500 萬美元的勒索。.。。 在這兩個攻擊下,駭客們都在自己的 “ temporary Leak page” 上洩漏了被盜數據的 sample,該頁面是一個暗網網站,旨在 “顯示範例和滲透證明” 來增加付錢的可能性。 確實如此,他們保證如果受害者拒絕付款,就將數據出售給 “第三方”。 目前,沒有跡象表明 Capcom 或 Campari 妥協並支付贖金。 The Ugly 雲端資產配置不當是遷移到雲端時公司企業的資安隱患,眾所周知,使用有缺陷的 hashing algorithms(例如 md5)破壞了保持加密密碼之類的安全性的嘗試並沒有任何改善。 這就是在本周大麻種植業的 online community - GrowDiaries 所吸取的慘痛教訓,該社區將自己稱為 “ 100%匿名和安全”。  這些麻煩始於兩個不安全的 Kibana 應用。 Kibana 是用於 Elasticsearch 的製圖工具,並提供用於監視,管理和保護 Elastic Stack 的用戶界面。不幸的是,自 9 月以來,GrowDiaries 的管理員似乎已經留下了兩個 Kibana 應用程序暴露無密碼的情況,這使駭客能夠 access 大約 340 萬個用戶記錄和密碼。
對於某些 GrowDiaries 用戶而言,令人擔憂的是,從暴露的某些 IP 地址看來,他們居住在非法種植大麻的國家/地區。儘管公司確實在 10 月 15 日保護了數據,但在網路安全研究員 Bob Diachenko 發出警報五天后,看來至少從 9 月 22 日開始就已經暴露了數據。 目前還不知道惡意方是否 access 過這些數據,但是 GrowDiaries 用戶應該要趕快更改密碼,因為 md5 hash 是可破解的。Diachenko 還指出,成員應注意針對目標性的網路釣魚攻擊以及帳戶接管,因為破解的密碼可以用於對用戶其他帳戶的憑據填充攻擊。  自 2019 Maze 首次亮相以來,Maze 被證明是最多產,最具攻擊性的勒索程式系列之一。 它們是首批接受加密並公開發布受害者數據的 “雙重打擊” 之一。 與當今的其他勒索程式相似,Maze 甚至擁有自己的 blog。 截至今天(10月30日), Maze 已在他們的 shamming 網站上列出了 330 多家公司。 這些清單中有許多伴隨著被偷走的戰利品的完整數據洩漏。 所列受害者中,最常見的行業是金融業,消費品/批發商,建築和金融服務。 也就是說,受害者基本上代表了你可以想像的產業。  儘管在 blog 上尚無任何公告,但他們似乎減少了在網站上顯示的信息量。 目前也不清楚其他自稱是 “Maze Cartel” 成員的勒索程式家族(例如:Ragnar,SunCrypt)是否會出現。 只有時間會證明這種 “關閉” 是否永久的?; 但至少,我們很高興知道可以從攻擊中休息一下..哪怕僅是暫時性的。 The Bad 本週,CISA(Cybersecurity & Infrastructure Security Agency)發布了Alert(AA20-302A)。這份聯合的 Advisory 報告,指示出 Trickbot,Ryuk 和相關惡意程式家族越來越關注在 High Value 醫療機關。  警告裡明確指出:“作為新的 Anchor toolset 的一部分,Trickbot 開發人員創建了 Anchor_DNS,這是一種使用域名系統(DNS)tunnel 來發送和接收數據受害者主機的工具。” 根據 FBI,CISA 和 HHS 警吿,相關人員一直在積極地將 Trickbot / Anchor 部署到目標醫療機構中,以擴大 Ryuk 後期感染的發作。 SentinelLabs 團隊已經確定 Trickbot 背後的團隊正在積極地更新和部署各種模塊,包括 Anchor 和 Bazar Loader。 Trickbot的進階版正在將其推廣到包括醫療機構在內的 High-Value 目標。 在我們的研究成果中,重點說明了 TrickBot's Anchor 項目將繼續進行開發,並使用 ICMP 下命令和控制通信。 在過去的幾年中,Trickbot 不斷證明了他們彈性。 最近嘗試破壞了 Trickbot ,也僅在有限時間內有效。 這些攻擊背後的人,資源充裕,人員配備齊全,並專注於危險的又被遺棄的目標。 CISA alert 提供了有關緩解,Ransomware Best Practices ,用戶意識 best practice,勒索程式預防以及充足的情境聯繫方面的詳細指南和步驟。 我們鼓勵所有人審視徹底的警報,並迅速採取任何行動以減少接觸,並改善防禦。 The Ugly  除 Ryuk 之外,NetWalker 最近也非常活躍。本週,跨國能源公司 Enel Group 成為 NetWalker 勒索程式的受害者。他們很快被公布在的 “shaming blog” 上;有些報導指出,攻擊者要求提供 1400 萬美元的贖金。此外,大型辦公家具公司 Steelcase 也受到 Ryuk 的攻擊。據報導,Steelcase 攻擊活動按照該駭客們的標準程序,通過 Trickbot 和,或 Bazar Loader 啟動了勒索程式。
最後,排除一般的勒索和惡意程式,一個對 Vastaamo 的攻擊,可能是本週最 “醜陋” 的一個……。這家位於芬蘭的公司在全國各地設有多個心理治療中心。據稱,攻擊者攻擊了公司,並竊走了數百份患者記錄。而攻擊者可以 access 個人和他們的健康資訊,訪談記錄,日期和帳單。之後直接(通過 email)與某些受影響的患者聯繫,進一步提出個別勒索要求。攻擊者已要求40 BTC(〜54萬美元)來阻止竊取的數據發佈到他們在暗網上維護的站點。 所有這些攻擊都是非常不幸的。這是一個很好的提醒,請不斷檢查您的安全狀況並保持防禦能力! The Good 全世界的監管機構都在施加更嚴格的數據隱私和通報規定,但是如果沒有幫助或指導,有時可能很難去理解這些規則。 特別是關於數據洩露是否需要通報。 但是有些國家則採取相反的方法:它們首先幫助教育公司企業,然後才落實法律規定。 New Zealand Office of the Privacy Commissioner(OPC)推出了一種新的 on line tool,使企業和組織可以輕鬆的評估是否應通報隱私侵犯行為。 根據將在 12 月 1 日生效的 Privacy Act 2020,如果隱私違規行為已經造成,或可能造成嚴重傷害,則該公司企業必須通知監管機構。 否則,最高可被罰款 $10,000 。 但是要如何知道違規行為是否會導致嚴重的後果呢? Well,好消息:他們可以使用免費工具(非常恰當地命名為“ NotifyUs”)來評估數據洩露是否會造成“嚴重危害”。  The Bad 俄羅斯主要情報局 GRU 正式負責訊息收集,但據資安業許多人士表示,它就是針對俄羅斯的敵人進行進攻性網路攻擊的主要機構。 在本週,歐盟,英國和美國都採取了制裁 GRU 的行動,以應對近期的一系列進攻性網路攻擊。 歐盟理事會分別在 2015 (德國議會網路攻擊)及 2018 (禁止化學武器組織攻擊) 年制裁了 APT group APT28 or "Fancy Bear" 制裁包括旅行禁令和整個歐盟的資產凍結。 此外,英國當局表示,GRU 對(現在已被延遲的)東京 2020 年奧運會進行了偵察活動。 GRU 瞄準了奧運會的組織者,物流及贊助商。但這是一項長期計劃的一部分,該計劃還針對了 2018 年冬季奧運會和殘殘障奧運會。 美國政府還起訴了六名俄羅斯軍官,他們被指控犯有包括 NotPetya 在內的數次重大網路攻擊,並企圖破壞 2018 年冬季奧運會,在全球造成至少10億美元的損失。  這些 GRU 組員似乎參與了主機入侵和攻擊,目的是支援俄羅斯政府以破壞,報復或動搖其他國為目標(從烏克蘭,Georgia一直到法國的大選)以及國際間努力的證明俄羅斯需為化學武器神經毒劑 Novichok 來負責。 制裁與否,在俄羅斯的保護下,毋庸置疑的,這些國家級駭客將繼續對更多的國際目標造成嚴重破壞。 The Ugly 安裝家用監視器意在提高家的安全性,但是不良安全保護的監視器可使駭客不受限制地進入你的最私人時刻。 在那些濫用的人中,有些人並不僅僅只是偷窺他人的私人生活而已,他們還試圖通過這樣的型未來獲利。 新加坡一家報紙在本週報導說,活躍在訊息傳遞平台 Discord 上的一個駭客組織在販賣從新加坡,泰國,韓國,加拿大,澳大利亞和亞洲其他一些國家(如孟加拉國,印度和 巴基斯坦)的影片。  這個組織以 150 美元的價格出售被入侵的監視器,並附帶有關如何選擇 “最佳” 的(意味著最有可能顯示裸女或小孩的監視器)以及如何錄製的教學。 其中一些錄製的影片(長度從一分鐘到二十分鐘不等)顯示了各種年齡層的人,有的甚至沒有穿衣服,這些影片也已被上傳到色情網站。
這再次提醒了在沒有適當安全措施的情況下將智慧設備(尤其是具有影像和聲音捕獲功能的設備)帶入我們的家的安全和隱私風險。 The Good 對於在 cyber-land 的好人來說,這是忙碌的一周。 除了誘騙 Trickbot 的基礎設施之外,本週,歐洲刑警組織(Europol)與幾個國家之間的協調努力,也對一個『完善』的洗錢活動造成了重大打擊。 QQAAZZ 的多個成員因長期運行的 “兌現” 服務(又名洗錢)而受到指控。  這個集團在高流量犯罪 forums 上宣傳了他們的服務。 它們為大型殭屍網路的操作者以及運行加密貨幣盜竊的操作者提供了關鍵服務。 他們的客戶中有許多最多產且備受關注的惡意程式家族,包括 Trickbot 和 Dridex 背後的參與者。 針對 QQAAZZ 的起訴概述了他們的洗錢行動。 據估計, 2016 年以來,該集團促使了高達數千萬美元非法資金的清洗。 他們利用 “遍布全球的金融機構的數百個公司和個人銀行帳戶”,所以他們處處有分點可以進行活動。 這些帳戶都被用作在被惡意程式攻擊受害者中勒索,或獲取資金的存儲庫。 遍布全球的 QQAAZZ 隨後將過濾或轉移資金,再對其服務獲取小額 “服務費” ,然後以加密貨幣的形式向客戶提供被洗過的資金。 在網路犯罪中,所謂的 “兌現” 或 “提款” 服務是常見及毛利很少的活動。 但是,這個專業的集團與頂級惡意程式操作的聯繫,讓他們變的獨特而危險。 這次的勝利,對於與複雜的犯罪分子之持續鬥爭,至關重要阿。 希望隨著法律與當前網路犯罪狀況更多地同步,打擊犯罪的士氣會增加。 任何使壞人難以獲利的努力都是一件好事! The Bad 本週,包括了每月的第二個星期二。 當然,我們都知道這是指著什麼:Patch Tuesday! Microsoft 在本月的 release 中涵蓋了一些關鍵缺陷。 儘管沒有像 Zerologon 那樣嚴重,但還是存在一些漏洞需要加以審查和緩解。 其中的 CVE-2020-16898,引起了很大的關注。 這個漏洞會影響 Windows TCP / IP stack,並可能導致 DoS(denial-of-service)或遠端代碼執行。 該問題特別涉及對 ICMPv6 Router Advertisement(RA)數據包的不當處理。 要利用此漏洞,攻擊者必須將特製的 ICMPv6 RA 數據包發送到暴露的遠端主機。 由於這樣的攻擊相對簡單,有人將他稱為新版的“Ping of Death”。  作者在撰寫本文時(10月15日),尚未觀察到對該漏洞的已在外被利用。 但是,有多種可用的 POC 已證明攻擊是可行的,只是時間問題。 微軟的 10 月安全週期發布解決了 CVE–2020-16898,但也有一些變通辦法可對臨時緩解有所幫助。我們可以 disable ICMPv6 RDNSS,從而消除暴露於該缺陷的風險。 對於 Windows 1709 及更高版本,可以發出以下 PowerShell 指令以禁用ICMPcv6 RDNSS:netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable 同樣重要的,這個漏洞不是 publically routable。 帶有漏洞的數據包只能通過本地子網傳輸。 我們建議公司企業檢查有關CVE-2020-16898 的詳細信息,以及本月更新中的所有其他版本,並採取必要的措施來降低風險和/或減少暴露於此潛在危險漏洞的可能性。 The Ugly 關於加密 "backdoor" 的議題,或是政府和執法機構是否能夠為自己的需要,規避加密的爭論是充滿爭議和分歧的。。 但重要的是要注意與此問題有關的當前事件和發展。 最近,Five Eyes intelligence-sharing 與來自多個國家的政府代表聚在一起討論了這個話題。 具體來說,討論的重點是使政府以及執法部門具有特殊的能力來 access 經過加固的 end-to-end 加密通信。  這些會談包括來自印度和日本的代表,之後發表了聲明,敦促大型的科技公司來滿足這些需求的解決方案弊並進行合作。 部分內容為: “…while encryption is vital and privacy and cyber security must be protected, that should not come at the expense of wholly precluding law enforcement, and the tech industry itself, from being able to act against the most serious illegal content and activity online.” “……雖然加密是很重要的,也必須保護隱私和網路安全,但這不應以完全阻止執法人員和技術行業本身,來對付最嚴重的網路非法內容和活動。” The signatories to the statement, which include the UK’s Home Secretary Priti Patel and US AG William Barr, go on to state that: 一同聲明的包括英國內政大臣 Priti Pate 和美國 AG William Barr,並指出: “we challenge the assertion that public safety cannot be protected without compromising privacy or cyber security. We strongly believe that approaches protecting each of these important values are possible…” “我們質疑這樣的主張:在不損害隱私或網絡安全的前提下,不能保護公共安全。 我們堅信保護所有這些重要價值的方法都是可能的……” 有鑑於這個議題的性質,大多數相關的科技公司都在猶豫不決是否要滿足這樣的要求。 目前的趨勢,增加了辯論的複雜性,不僅涉及標準的加密消息傳遞,而且涉及更強大的加密系統,包括 “設備加密,自定義加密應用程序和跨平台的加密”。
無論你在這個議題上的立場如何,我們都建議您查看新發布的新聞稿,並與各國政府和組織,就針對所有全球人民的持續安全,保障和隱私所做的努力保持同步。 The Good 本週的好消息 ~ 蘋果和五位 “白帽” 漏洞賞金人員都受到了表揚,他們所做的一些出色工作讓蘋果產品和基礎架構中的 55 個錯誤得以修復,其中 11 個被評為 critical。 這些白帽駭客- Sam Curry,Brett Buerhaus,Ben Sadeghipour,Samuel Erb 和Tanner Barnes - 花了三個月的時間,悄悄地入侵了蘋果系統,發現了一個接個的 zero-day 漏洞。 最嚴重的漏洞包括經由向用戶發送惡意 email 來接管用戶的 iCloud 的功能。 僅需要通過打開 email 即可 - 也無需進一步點擊任何連結,或任何的 social engineering - 用戶不僅讓攻擊者完全控制自己的 iCloud 帳戶,而且還會將可傳播的漏洞發送給所有聯繫人。  這當然是個好新聞, 對於這些白帽駭客,對蘋果以及對用戶來說,這是個 triple - win situation。 首先,白帽們採取了負責任的態度,向 Apple 充分告知了這些錯誤。 大家想想,若是這些嚴重的漏洞有意的或 "無意“ 的被洩漏出去,或全部交易給第三方以獲取豐厚的利潤,這將會是多大的災難? 其次,Apple 及時(48 小時之內)的修復了這些錯誤,以確保用戶沒有被暴露之外, 蘋果也表示,在 log 裡沒有顯示這些錯誤中的任何一個都已在外被利用。 再來就是針對白帽本身的:Apple 還在根據漏洞賞金計劃的條款評估賞金,但迄今為止,他們已獲得近 30 萬美元的獎勵,另外還有 20 萬美元 is on the way。 最後,這對整個資安研究界帶來了更大的勝利。 過去,大眾一直對 Apple 的漏洞賞金計劃抱著質疑的態度,而 Apple 在此的給了一個模範反饋:研究人員得到了獎勵,他們也可以發表詳細的信息,而且漏洞在被記錄的時間內得到修復。 這只會鼓勵其他的研究人員來參與蘋果的漏洞賞金計劃,這對我們所有人來說都是勝利。 The Bad 在 fireware 中的惡意程式是特別麻煩的事,但同時卻是罕見的。 LoJax 早在 2018 年就成為大新聞,因為它是第一個在外被發現的 UEFI Rootkit,在 2015 年也在一家意大利私人情報公司 “Hacking Team “ 的工具洩漏中發現了當時唯一在 firmware 中的惡意程式,也沒有發現代碼被廣泛使用,直到現在為止。。。 研究人員本周公布了一項調查的詳細信息,他們發現了 Hacking Team 的 “ Vector-EDK” 惡意程式的修改版本,被用於在針對來自非洲,亞洲和歐洲的外交官和非政府組織的攻擊。 根據研究人員的說法,這個惡意 firmware 用於將惡意的執行文件 “ IntelUpdate.exe” 植入受害者的 “Startup” 中,而執行檔似乎可更廣泛部署一個名為 “ MosaicRegressor” 的惡意 framework。 Framework 的 downloader 包含多種與攻擊者的 C2 聯繫機制,包括 CURL,WinHTTP API 和 BITS 的 transfer interface。 不尋常的是,還有一種 POP / SMTP / IMAP 機制可以從寫死的的電子郵件地址 thtgoolnc@mail.ru 和 thbububugyhb85@mail.ru 中獲取 payload。 由於研究人員無法檢視惡意程式框架的 component,因此無法確定程式的所有功能。 但其中一個 component : load.rem 似乎是專門在竊取用戶在 Recent Documents 的 directory。  Source: Securelist 目前還無法歸因 APT 小組是如何植入惡意 UEFI image,儘管似乎是可能有人實際操作直接進入設備或經由受損的 firmware 更新機制進行的。 也由於 UEFI 攻擊的稀有性,所有細節都值得去研究。 有關 dumping UEFI 和 reversing UEFI image 的資訊,請參考文中的連結。 The Ugly 對於希望在今年秋天重返課堂,並可以恢復正常的一群 Massachusetts 的 25,000 學生來說,這是令人失望的一周。 這週四時, Springfield 公立學校區遭到勒索程式攻擊,並導致學校關閉。所有的課程被暫停,直至另行通知。 這個攻擊影響了學校和所有遠端的學習活動,地區不得不迅速採取行動,要求立即關閉所有學校設備,以遏制勒索程式。  The Good 目前距離美國大選只剩下兩個月,呼籲投票的信件已經通過電子郵件和郵件發布出來,令人振奮的是,看到多個機構對選舉安全越來越重視。 FBI 和 CISA 聯合發布了幾項公共服務聲明,意旨在減少來自外國干預不必要的焦慮,同時清楚地說明實際可能發生的情況。 第一個公告就表示,來自外國的國家級和網路犯罪分子可能會傳播關於 2020 年選舉結果的虛假信息。 指出: “foreign actors and cybercriminals could create new websites, change existing websites, and create or share corresponding social media content to spread false information in an attempt to discredit the electoral process and undermine confidence in U.S. democratic institutions”. “來自國外的駭客和網路罪犯可能會建立新網站,更改網站,並創建或分享呼應的社交媒體內容以散佈虛假信息,從而抹黑選舉過程並破壞對美國民主制度的信心”。 重點就是要說服大眾:選舉是沒有被操縱,並且是值得去投票,而不是呆在家裡(駭客們的意圖是減少投票水平)。 再來,另一個公告指出駭客和網路犯罪分子有可能會散佈虛假謠言,說他們以某種方式損害了選舉基礎設施,並間接協助了美國選民登記數據是已被 "駭" 和“洩露”。 這樣做僅只是為了抹黑選舉過程,破壞對美國民主體制的信心。但值得注意的是,確實是可以通過公開平台購買或獲取許多選民信息,FBI 和 CISA 補充說,“他們沒有任何信息證明,沒有任何的攻擊阻止了選舉的進行,並從而損害了選民登記的準確度,阻止選民投票,或損害任何投票的完整性”。 在另一份公告指出: DDoS 的攻擊有可能會阻礙投票信息的 access,延遲投票並阻礙投票計數。但這些機構強調,即使他們確實被攻擊了,也已採取措施確保這不會阻止任何人投票。  而 FBI 和 CISA 並不是唯一有處理確保選舉程序安全的機構,眾議院一致通過了針對駭客攻擊投票制度並立法為聯邦罪行。 這是繼去年參議院通過的《 Defending the Integrity of Voting Systems Act 》之後,它將使聯邦政府能夠在幫助各州預防選舉威脅方面發揮作用。 The Bad 那麼這週的壞消息,CISA 指出,過去一周有駭客入侵了一個不公開的聯邦機構網路。 通過利用受到破壞的憑據,駭客通過兩個 reverse Socket Secure(SOCKS)proxies ,利用了該機構防火牆的弱點,獲得了長時效性的權限。 據報導,他們使用了該機構的 anti-virues 產品的金鑰和安裝指南,並且 “然後進入了該產品用於 temp file 分析的 directory。” 進入後,攻擊者便可以執行 inetinfo.exe(一種複雜的惡意,刪除和文件解密程式)來進一步的攻擊。  《 Wired 》報導說,這次的駭客很肯定的是 Fancy Bear / APT28:一個為俄羅斯 GRU 工作的駭客團隊。 FBI 參考之前的一份報告(可追溯至2020年5月)時並指出,比對後兩次都是從在 Hungary 的 IP address 發出。 在另一份較早由 Department of Energy 的報告,APT28 從 Latvian 的一台伺服器探查在美國政府組織的網路,也與這次相同。 此外,CISA 這次詳細描述的TTP 與 APT28 的TTP 也相同。 儘管我們不知道是是哪家機構被入侵,以及被攻擊的程度,但它再次提醒了我們這些類型的APT 威脅攻擊者有多強。 The Ugly 隨著新冠肺炎的危機持續到 2020 年最後幾個月,疫苗還沒問世,許多國家陷入封鎖,一些人可能期望網路犯罪分子能夠緩解對醫療機構的攻擊。 可惜在本週,一個對 Fortune 500 中的一家醫院 Universal Health Services(UHS)的勒索程式攻擊證明了殘酷現實的真實性。 UHS在 美國華盛頓特區,波多黎各和英國的 37 個州設有 26 家急性救護醫院,328 家 Behavioral Health 住院患者以及 42 家門診設施和門診服務中心。BleepingComputer 指出,醫院最有可能是受到 Ryuk 勒索程式的攻擊。 因為在攻擊中,檔案被重新命名為 .ryk,而這是 Ryuk 的特徵之一。  被攻擊後,他們直接關閉了所有支援的 IT 系統,並恢復了該公司所說的 “已建立的備份過程,包括 offline documentation methods”,也就是最原始的手寫 report 和時間預約。 據該公司稱,這次攻擊沒有遺漏任何患者或員工的數據。
The Good 本週,一名英國人士 Nathan Wyatt 因 “The Dark Overlord ” 多次的違反和攻擊行動。被判處五年徒刑,並處以重罪。 現年 39 歲的 Wyatt 在由 TDO(The Dark Overlord)進行的多次的攻擊活動中扮演著關鍵角色。 隨著 Wyatt 於 2017 年被拘留,最終於 2019 年 12 月被引渡到美國。在 2017 年提交的冗長的文件詳述了許多實際的犯罪行為,以及其相關方法。  法院文件提供了內部策略細節,這些攻擊策略在最近,已經變得普遍。 Wyatt 和 TDO 中的其他人一起,攻擊高價值目標,竊取大量有價值的數據,然後要求贖金,以免將被盜的數據被公開洩露。 如果受害者不能付出贖金,TDO 會將竊取的細節洩露出去,在駭客論壇上發布出售的數據,或者乾脆全部發佈在網路上。 Wayatt 的主要的責任之一是作為受害人與 TDO 之間的聯繫。他使用單一的電話和帳號,與受害人聯繫以索取贖金或在需要時進行談判。 TDO 與針對 Netflix,ABC,SMART,Gorilla Glue 以及許多其他 high-profile 的大量攻擊活動有相關。因此,我們很高興看到法律制度可以制裁這些犯罪者。 Wyatt 的犯罪行為使他被判五年監禁,並處以近 150 萬美元的罰款。 The Bad 本週的醜陋,CISA(US CERT Cybersecurity & Infrastructure Security Agency)發布了警報 AA20-266A。 該機構已經註意到,從 2020 年 7 月開始,通過 EINSTEIN IDS 系統對 LokiBot 惡意程式的分佈有了很大的增長。 LokiBot 是一種被廣泛使用的工具,它幾乎沒有任何設置和使用入門的障礙。 這使得該框架對於缺乏創造或管理更複雜的惡意程式或購買更昂貴工具的剛起步的網路犯罪分子是非常有吸引力。 一般而言,LokiBot 包含了 keylogging,後門/遠程功能,使用瀏覽器的憑據收集和信息竊取功能。 它也可以用作其他代碼或惡意程式的加載器或刪除器。  儘管 LokiBot 是出名的,有跡可循的,並且通常受到良好的抵制,但本週的警報剛好也提醒了我們,即使是不複雜的惡意程式系列也會在使用和有效性方面起伏不定。 作為 “捍衛者”,我們不可以鬆懈。 我們鼓勵所有人看一下 CISA 的指南,並以此為作爲一個契機來檢查您的安全狀況並進行任何必要的更改,以確保免受 LokiBot 和其他所有在,外令人討厭的攻擊。 The Ugly 我們隨著距離將舉行的美國大選越來越近,選舉安全的敏感度空前高漲,並且大家都知道當針對與選舉相關的實體使用勒索程式時,情況是朝著醜陋的方向發展。 ㄧ家對美國政府提供服務的公司 Tyler Technologies 最近表示,它們已遭受了破壞性的勒索程式感染。  而 Tyler Technologies 為美國政府提供的服務包括緊急情況管理,災難恢復援助以及選舉數據的收集和分享。 該公司將自己描述為 “一個為地方政府提供 end-to-end 信息管理解決方案和服務的領先提供商。” 有鑑於勒索程式的目前作案手法是在目標無法支付時,洩露受害者數據,這種勒索程式攻擊就更加令人擔憂。 當前的調查表示出,特定的勒索程式家族是 RansomExx。 而 Tyler Technologies 表示,沒有 “個人數據 ”受到影響或 access,並且攻擊僅限於內網。 有關此事的調查仍在進行中,未來幾天和幾週內可能會出現新的細節。 調查的同時,公司通過 email 向客戶發布了以下聲明: I am writing to make you aware of a security incident involving unauthorized access to our internal phone and information technology systems by an unknown third party. We are treating this matter with the highest priority and working with independent IT experts to conduct a thorough investigation and response.” 我們謹在此通知您,目前發生了一起安全事件,其中涉及未知的第三方未經授權訪問我們的內部電話和信息技術系統。 我們正在以最高優先權處理此事,並與獨立的 IT 專家合作,進行徹底的調查和對策。” 我們也相信,隨著 11 月大選將近,更多類似的故事將會出現。 現在,比以往更重要的是,一個可信任的資安控制,保護我們所有人都依賴的系統和數據是有多麼的重要。
|
Categories
All
Archives
December 2020
|
RSS Feed