 The Good 在本週,兩位有名的中國人因一系列大規模的網路攻擊而被起訴。 這份未公開的 11 項起訴表示這兩個人(Dong Jiazhi & Li Xiaoyu)在中國政府的指示下發動了盜竊和入侵攻擊,遍及了在全球的許多家公司。  據報導,這兩位駭客不僅為中國政府做事,還有為廣東省安全總局和國家安全部發動攻擊,並為自己謀取私利。 涉嫌的攻擊已進行了許多年,而最近的一些攻擊是針對美國公司在 COVID-19 上研發出可能的治療方法和疫苗的研究。 據稱,這兩個人還向國家安全部提供了從其攻擊受害者那裡竊取的寶貴信息。 這包括了個資,例如一些中國異議人士的個人email 密碼”。 根據起訴書,涉及攻擊的 TTP 都是我們在當今 TPP 攻擊可常見到手法 。 大量使用了現成(COTS)工具,LOTLbins 和更專門的工具(例如 China Chopper web shell)。 再補充一下,這份起訴書的內容幾乎像是 IR engagement 報告。  這項起訴對執法部門和整個國防的巨大無比的勝利。 我們對這些攻擊的了解是越多越好。 這也有助於大眾更好的了解一些常用的TTP。讓我們對參與調查的人員表示敬意。 並在此鼓勵所有人閱讀司法部發出的新聞稿和這份起訴書。 The Bad  對於北韓,這又是個忙碌的一周來發起(惡意)活動的。 有關稱為 MATA 的新種多平台和多用途框架的詳細訊息已經出現。 這個以 MataNet 命名是由支持基礎結構的工具及多個組件組成。 MATA 的 framework 的主要組件是 Loader,Orchestrator和各種 Plug-ins。 最有趣的方面是他們支援多種平台。 Netlab 的研究人員於 2019 年 12 月回報了 Linux 版本的 MATA(當時稱為 Dacls)。 當時,它被認為是具有相對強大的 plug-in support 的獨立 RAT。 2020 年 4 月,在 VirusTotal 也發現了macOS 端口上的 Linux Dacls 工具。 通過 orchestrator components 中包含的檔案名和 metadata,我們可以把 MATA framework 與北韓 APT Lazarus 連接在一起,其中某些檔案名和 metadata ,僅在與 Lazarus 相關的其他工具中也可以看到。 在 MATA framework 使用的基礎架構和與 Lazarus 直接相關的其他工具之間,似乎還重疊再起。 關於 MATA framework 的廣泛使用和背後意義,應做為與 Lazarus 作案手法有關的課程。 The Ugly 很不幸的是,很難有一周甚至一天是沒有有關勒索程式攻擊的報導, 根據最新的新聞, Argentinian 電信公司是 REvil 的最新受害者,感染了 18,000 個端點。眾所周知,REvil 會威脅釋放機密數據以勒索或出售給最高出價者,而來自被鎖住的信息可能已被洩露,但 REvil 尚未有任何公開聲明。 根據目前的報告表示,initial payload 是通過員工所打開的釣魚電子郵件來傳遞的。一旦著陸,攻擊者就可以接管管理帳戶,橫向移動,最終破壞主機。 此時此刻,電信公司仍拒絕支付 750 萬美元贖金。 REvil 是許多勒索程式家庭系列之一,在所謂的 “不遵從 non-copliance” 事件中會發布受害者數據,這將使整個攻擊變得複雜。  雖然電信公司目前未出現在由 REvil 背後的參與者所維護的 blog 上,但只有時間才能證明公司,最終是否會在激進的拍賣會上會找到這些數據,。。。
0 Comments
The Good 網路罪犯者呢,通常很愛享受他們的犯罪成果,很少會為自己的行為付出代價,因此,本週我們來慶祝兩次的勝利。 32 歲的俄羅斯人 Yevgeny Nikulin 自 2012 開始從 LinkedIn 和 Dropbox 竊取了 1.17 億個用戶詳細信息,在莫斯科過著奢侈的生活,驅使著 Lamborghini Huracan 在城市的街道上。 Nikulin 於2016年在 Czech Republic 被捕,於 2018 年引渡到美國,他的律師試圖利用精神狀況來避免開庭審理。在接受精神科評估後,他依舊受到審判並已被定罪。他原定於 9 月 29 日被判刑,不過他的律師表示將在此期間提起上訴。 美國檢察官 David L. Anderson 向 CBC 表示,定罪是對想要成為駭客們的警告,“ 當一名駭客不僅僅是犯罪,它直接威脅著美國人的安全和隱私。無論威脅來自何處,美國執法部門都會對其做出回應。” 對於 Nikulin 的罪行,最高可判處 30 年監禁和巨額罰款。  在 Nikulin 被定罪的同一天,英國一家法院裁定 27 歲的 Lewis Howe 的罪行,Howe 被 Flying Trade Group 炒魷魚後決定要駭進前公司。 Howe 在 2018 年 10 月被解僱,之後在 11 月 16 日發動了網路攻擊,在未經授權的情況下,他進入了網域控制器並利用控制器刪除了關鍵用戶帳號,從一些硬體從內網中刪除。 然後,他試著通過刪除伺服器歷史記錄來掩蓋自己的足跡。 破壞持續了幾天,造成的損失估計為 18 萬英鎊。 他被判處 10 個月監禁,緩刑 24 個月,並需要完成 240 個小時的社區服務和 30 天的rehab。 再加上進行為期 6 個月,晚上 7 點至早上 7 點之間的軟禁及接受電子監控。 在大西洋兩岸,網路犯罪似乎並沒有帶來一點好處!哈! The Bad 在本週,有人對經過驗證的知名人士和公司的 Twitter 帳戶進行了空前的,有組織的攻擊,然後使用這些帳戶以進行大規模的比特幣詐騙局。 駭客們控制了 130 個屬於該平台最傑出的 Twitter 帳號,其中包括民主黨總統候選人 Joe Biden,前總統歐巴馬,Elon. Musk,Kim Kardashian West,Kanye West ,Bill Gates 和企業龍頭蘋果和 Uber 的 Twitter 賬號。 一旦帳號在攻擊者的控制之下,它們便被用來發布例如以下多個騙局版本:  到目前為止,攻擊者的淨收益為 117,000 美元,或按當前價格計算的約 13 個比特幣,這些是在 24 小時內從 392 筆交易中收取的。 在被意識到他們被入侵之後,Twitter 立即停權了所有經過驗證的帳戶,而不僅僅是發出了假信息的帳戶。 大家都知道,攻擊者利用了 Twitter 的內部工具,但仍不清楚他們如何獲得內部系統的權限,除了針對某些 Twitter員工的 "coordinated social engineering attack。 Twitter 還在尋找並了解發生的情況,一方面再提高安全性 ; 調查仍在繼續。 執法機構也在進行自己的調查。  The Ugly 當全世界趕著尋找 Covid-19 的疫苗,成千上萬的科學家日以繼夜地工作來幫助世界恢復正常。 但總是有些人傾向於捷徑,想要竊取其他人做的研究。 英國國家網路安全中心(NCSC)的一次不尋常的公開聲明中表示,俄羅斯情報部門被指控針對美國,加拿大和英國的疫苗研發組織。 英國外交秘書長 Dominic Raab 表示:“ 俄羅斯情報部門的目標是那些與新冠狀病毒大流行作戰的人,這是我們完全不能接受的。 當其他國家以魯莽的行為追求自己的私利時,英國及盟國正在努力尋找疫苗並保護全球健康。 英國將繼續打擊那些進行此類網路攻擊的人,並與盟國一道追究肇事者的責任。”  The Good 本週的好消息~一個針對 Office 365 帳戶的大型電子郵件詐騙攻擊 BEC 已經停止。 去年,BEC或電子郵件詐騙是互聯網相關犯罪造成的最大損失。 欺詐者以 COVID-19 作為誘餌,通過六個 Internet 網域推動網路釣魚的流量,並使用惡意 Web 應用程式獲取受害者 Office 365 帳戶的憑證。 這次新型的 web apps ,駭客們沒有使用複製的假登錄頁面,而是要求受害者同意該 Web apps 進入其帳戶。 帳戶接管完成後,駭客們將其用作詐騙的一部分,並說服主管授權向駭客進行匯款。 聽說這次的騙局已經在 62 個以上的國家/地區進行,涉及使用了以下已被 Microsoft 關掉的惡意網域: officeinventorys.com officesuitesoft.com officehnoc.com officesuited.com officemtr.com mailitdaemon.com 其他好消息中,macOS 安全社區擊敗了一個組合的勒索程式 / 信息竊取程式,該程式隱藏在通過公開 torrents 發布的破解軟體中。 被稱為 “ EvilQuest” 或 “ ThiefQuest” 的團體,他們可能希望可以複製 Windows 世界中類似的成功模型,在後台悄悄地竊取數據,而在前台卻要求以加密檔案來勒索贖金。  SentinelLabs 破了 EvilQuest / ThiefQuest 惡意程式使用的 symmetric 加密,並公開發布了解密。 令人高興的是,駭客為收集資金而設置的比特幣地址還沒有任何交易紀錄。 但是,這個惡意程式仍是受害者所關注的問題,因為單獨的數據盜竊和後門可能已經竊取了敏感數據,如果沒有對設備進行適當的消毒,它們仍可能處於活動狀態。 The Bad 本週的一份報告發現,在過去 12 個月中,通過 USB 移除後對營運技術系統造成的網路絡威脅幾乎多了一倍。 報告中接受調查的所有工業場所中幾乎有一半表示,他們已檢測到至少一種針對其工業過程控制網路的威脅。 該報告強調了 USB 的持續流行及其作為攻擊媒介的用途,據報導,有 20% 的攻擊是通過移動存儲設備進行的。 這些目標中,駭客最感興趣的是開啟後門,建立持續性的遠端訪問並送入進多的 payload。  有人說,USB 散播出來的威脅增加並不是因惡意程式 、意外地從一台設備轉移到另一台設備,這都是 “蓄意和協調” 的攻擊-如 Disttrack,Duqu,Ekans,Industroyer 和 USBCulprit 等其他 – 利用 USB 設備針對 OT 系統。 這份報告及時提醒所有企業資安團隊,可移動設備的控制重要性,包括基於軟體的 USB 設備在內。 The Ugly 根據最新的審計結果,在最近的一次統計中,大約有 78 億人在我們這美麗的小星球上四處遊蕩,但在暗網上流傳被盜帳戶憑證數量大約是這一數字的兩倍,其中約有 50 億是獨特的。。 這是超過 100,000 個數據洩露的結果,一個令人擔憂的大量安全故障。 這些憑據適用於從社交媒體,streaming,VPN,遊戲站點到銀行,金融服務甚至網域管理員帳戶的帳戶。 例如,想要購買他人網路銀行帳戶的犯罪分子可在暗網上支付 500 美元左右或更少即可取得。 一個網域管理員帳戶的價格可能從幾千美元到超過 100,000 美元不等,都可以拍賣給出價最高的人。  Online 憑證和帳戶竊取是一個蓬勃發展的行業,網路犯罪分子利用殭屍網路進行大規模釣魚活動,植入竊取憑證的惡意程式,並使用憑證填充和暴力破解等技術來竊取密碼。 正如報告所強調的那樣,駭客現在正在收集和出售 digital 指紋數據(例如 cookie,IP 和 timezones)的權限,以便可以使用被盜憑證而不觸發可疑登錄警報。 一些暗網市場(Genesis,UnderWorld 和 Tenebris)被認為是向其他網路罪犯提供時間限制進入受感染帳戶的場所。 這些可以用於特定目的,例如洗錢,接收電子郵件或購買商品。 據研究人員稱,一般人使用將近 200 種需要密碼的 online服務。 由於許多用戶不了解基本的密碼安全性,許多企業組織也未能阻止數據洩露,因此,在短短幾年內, 150 億這個數字看似很小。
The Good 這週的好消息實在是大快人心,一位備受矚目的網路犯罪分子在維吉尼亞州的 Alexandria 市處以應得的聯邦刑罰。 在一月份認罪的 Aleksei Burkov 被指控在兩個知名論壇中串謀計畫性主機入侵,欺詐,身份盜竊和洗錢活動。 這兩個論壇(其中之一就是 Cardplanet)都是網路犯罪分子長期聚會場所及交易竊取來的資訊。  第二個涉及的 forum 是一個更有警覺性和被嚴格審查的環境。 想要進入高階論壇及使用相關服務的特權必需先支付$ 5,000。 Burkov 已在 2019 年 11 月被引渡到美國後即將面臨 15 年的監禁時間。  最終,因爲 Burkov 自 2015 年以來已被監禁,法官判了 9 年的刑期。據估計,這些 forum 共為信用卡欺詐和其他個資竊取的犯罪提供了近 2000 萬美元的利潤。 看到這些案件以積極的方式結束(對好人來說總是很高興的!)。 The Bad 那在本週,針對平台的罕見勒索程式威脅的形式,macOS 安全受到了嚴重的打擊。 這個木馬程式被分別稱為“ EvilQuest”,“ ThiefQuest” 和 “MacRansom.K”,其特徵顯示出竊取數據和加密(勒索程式)。  不幸的是,這次的誘餌和交付方式太熟悉老套了。 這個惡意軟體通過 torrents 散出來並提供了許多流行的 macOS 盜版的應用程序或 “破解” 版本,包括 Ableton Live,Mixed in Key 和 Little Snitch。 程式以 .DMG 的形式下載,其中包含針對木馬程序的軟體包的安裝程序。 啟動後,安裝程序會請求提升特權,建立用戶和 root-level 的持久性,然後繼續啟動其他功能。 此時已對檔案進行了加密。 但是,某些其他行為會添加到惡意活動列表中。 “ EvilQuest” 似乎安裝了鍵盤記錄以及 reverse shell,從而允許駭客直接和不斷的存取。 該惡意軟程式還 retrieves 多個 remote 腳本,其中一個是專門用於文件滲透。  該木馬將遞歸在 / Users 文件夾下查找與寫死的 extenstion list 中匹配的所有文件,並向外部傳輸。 其他人已經注意到,可以傳輸的文件大小受到限制(800k),這可能會阻止多種文件類型(例如 .wallet)的洩露。 另外,加密本身似乎存在一些問題,因為超出寫死的 extenstion list 中的文件可能最終還是被加密。 儘管分析仍在進行中,但這種異常複雜的(針對 macOS)惡意程式似乎是首次嘗試使用具有勒索程式/ wiper 組合在一起的惡意軟體,再加上與近期中在微軟家族中見到的數據竊取功能例如 Ragnar,Netwalker,Snake)。 ㄡ˙不~ 我們已可以看見這不會是最後一個。 The Ugly 在本週最嚴重的資安新聞中,U.S-CERT 與其他許多政府機構一起發布了有關 Palo Alto Networks PAN-OS 中嚴重安全漏洞的警報: CVE-2020-2021,藏在 SAML 身份驗證中。 通過此漏洞,駭客可以執行任意代碼並完全控制受影響的設備和系統。 更具體地來說,未經身份驗證的駭客(假設有網路 access 權限)可以進入易受攻擊的 resource,登錄並執行管理操作,例如:為之後的計畫性的攻擊打開一道門或修改現有帳戶的權限。  有問題的 SAML 裝置在多個Palo Alto Networks 產品: 包括 VPN Gateway 和防火牆上的代碼中:這是你想讓駭客們遠離的兩個地方。 受影響的特定軟體包括 Prisma Access 和 GlobalProtect Gateway等。 Palo Alto Networks 在 6 月 29 日發布了其建議報告,其中包括緩解措施和解決方法說明。 暫時停用 SAML 以防止此漏洞被利用, 也發布了修復程序在PAN-OS 的更新版本。 嚴格的來說,這是一個嚴重的缺陷,但值得慶幸的是,(這次,,,)供應商有了及時和良好的溝通方式提供了修復程序。 我們鼓勵所有人檢查這次的漏洞是否有直接影響,並採取必要的措施來緩解。 所有應用程式和服務需要保持最新版本並保持最新的patch 級別(儘管並不總是那麼簡單....)是很重要的,同學們,我們必須努力保護我們的網路免受當前和未來的攻擊。
The Good 大型科技公司已成為許多隱私醜聞的源頭。 有些被指控無視用戶的權利,並兜售他們收集的有關用戶(也就是我們)活動和活動地點的大量信息。 然而,本週,控制我們口袋裡的兩家最大手機業者: Apple & Google 都宣布了新功能,這些新功能應該可以改善用戶隱私保護措施。 首先,蘋果在年度全球開發大會上宣布了在設備的新隱私功能。 每當 iPhone 的影像頭或麥克風打開時,在 iOS 14 的一項重要的新功能就是會在狀態欄上顯示為橙色。 iOS 14 還將限制與應用程序共享的位置,與應用程序僅共享用戶的大概位置,而不是確切位置。 蘋果還推出了一種新的隱私標籤系統,類似於食品中的標籤系統。 蘋果公司用戶隱私經理 Erik Neuenschwander 表示: “For food, you have nutrition labels, So we thought it would be great to have something similar for apps. We’re going to require each developer to self-report their practices”. “對於食物,你要有營養標籤,因此我們認為對 apps提供類似的標籤會很棒。 我們將要求每個開發人員自行報告其開發做法”。 標籤將指示出應用權限,告知用戶在下載 app 之前會收集多少數據,其並分為兩類:“數據與用戶的連結”和“用於跟踪用戶的數據”。 蘋果還更新了 iOS 14 上的用戶追踪功能,這意味著只有向應用程式明確授權後,用戶才能看到針對性的廣告,與廣告商者共享位置數據,及與第三方共享其 ID 。  同時,Google 也跟進了隱私更新。 Google 首席執行官 Sundar Pichai 宣布,by default,新的 Google 帳戶將每 18 個月自動刪除活動和位置。 YouTube 歷史記錄也會每 36 個月自動刪除一次。 但這不會影響現有帳戶,他們仍然需要主動啟用 “自動刪除” 功能。 Google 還在搜索,地圖和 YouTube mobile app 中導入了“隱型模式”。 此外,Google 也正在更新其安全檢查功能,以包括密碼檢查機制。 這將使用戶可以 “一條龍的”,來檢查和改進安全性和隱私設置,並確保密碼沒有被之前攻擊中洩漏密碼。 The Bad 美國最近的政治和文化動盪已經引發了幾起涉及 DDoS 攻擊和社交媒體騷擾的網路事件。 這些為本質上是良性的小規模事件,直到本週發生了一次超大攻擊,涉及了百萬個檔案,其中包含了 269 GB的警察數據,包括電子郵件,音檔,視訊檔和情報文件。 這些數據是由稱為 “Distributed Denial of Secrets” 或 DDoSecrets 的信息自由活動團體獲取和洩漏的。 有消息聲稱,這是從一家名為 Netsential 的網路開發公司中盜取的。 然後,將數據發佈在一個可搜索到,專門的門戶 “ Blueleaks” 上。 攻擊中包含來自 200 多個州,地方和聯邦機構(包括 intelligence fusion centers)的數據。 儘管 DDoSecrets 說,他們有試圖在發布之前刪除敏感信息,但仍包涵了例如:銀行帳號,個資,嫌疑人的照片以及有關執法人員的詳細信息。 如此大規模的數據洩露及曝光,不僅使執法機構蒙羞,而且侵蝕了大眾對機構早已動搖的信心。 這項攻擊還有助於在網路上和在現實世界中,找出並鎖定執法機構的特定成員及其家人。  The Ugly 毫無疑問,數據洩露是很糟糕的,但是當這些攻擊暴露了一些受虐者的細節時,它變得非常極度,無比的醜陋。 安全和隱私研究人員 Noam Rotem 和 Ran Locar 最近發現了一項數據洩露事件,該數據洩露源於名為 “ Aspire News App” 的家庭暴力預防 app,這是由美國電視名人 Robin McGraw 和她的先生 “ Dr. Phil " McGraw 來操作的一個非營利機構。。 Aspire News 可以安裝在用戶的電話上,而這是看似是個新聞 app。 但是,它還設有一個緊急幫助部分,其中提供了針對家暴受害者的資源,一個 “緊急按鈕”,使他們可以向信任的聯繫人發出緊急求救消息。 這些消息可以通過錄音發送,包括了受害者的詳細信息,住址,緊急情況以及當前位置。 這是允許受害者舉報虐待行為和尋求幫助的聰明方法。  很不幸的是,這些語音被存儲在設定錯誤的 Amazon Web Services(AWS)S3 bucket中,允許了 external 查看和下載。 這些極其敏感的數據包括:
儘管研究人員與 Aspire News App 聯繫後,Aspire News App 在 24 小時內保護了設定錯誤的存儲庫,這也不是第一次因為設定錯誤而造成的善意和嚴重違反隱私的區別。 而關鍵數據洩露事件在媒體上引起了廣泛關注,令人擔憂的是,到了 2020 年的一半,我們仍然需要加強這一個信息:醒醒吧!數據安全是很 serious 的業務! The Good 這週的好消息呢~ 一名40歲男子名為 Andrew Rakhshan ,因參與了針對 Leagle.com (一個彙整法律資訊的網站) 的 DDoS 攻擊而被判處最高刑期。 網站已發布有關 Rakhshan 過去在加拿大的刑事定罪的公開訊息。 比較有爭議性的是,此攻擊事件是發生在 2015 年 1 月,當時 Rakhshan 對一個在 Dallas/Ft. Worth 託管的網站進行了多次 DDoS 攻擊。  Rakhshan(生於 Kamyar Jahanrakhshan)被判處5年監禁,並被勒令支付超過 52 萬美元的費用和賠償。 但這並非此案的第一次審理。 最初的審判是在 2018 年 3 月進行。根據辯護律師的辯稱(當時的辯護無效),之後被批准了新的審判。 在隨後的審判中增加了共謀,及原案的先前調查結果。 不管在任何時候,只要有法律可以被用作打擊網路犯罪的有效手段,這都是值得慶祝的一個 moment 。 因為這不是容易的一件事,案件往往會拖延數年,或者由於所有參與人士缺乏技術而無法有效地進行審理。 但無論如何,所有參與此案的人都為之開心,並學習教訓。 即使是 “簡單的” DDoS 攻擊也可能導致嚴厲的處罰。 The Bad  上週,一家以色列安全顧問公司 JSOF 在 Treck 開發的通用 TCP / IP 軟體庫中發現了 19 個獨特漏洞。 這個 library 於 1990 年代後期開發,是一個輕量級的TCP / IP stack ,估計已在 “數億” 個網路設備中使用。 受影響的族群從個人開發人員到《 Fortune》 100 強企業(例如,Intel,Schneider Electric 和 HP),脆弱的設備幾乎涵蓋了從家用型的 “智能” 設備到電力基礎設施,運輸系統,醫療系統甚至到商用飛機上。 其中有四個漏洞被認為是關鍵的。 JSOF 表示,他們計劃在 Black Hat USA 2020 上發布更新的資訊以及開發細節。以下是每個CVE 的精簡摘要:
而此時此刻在撰寫本文時,以下資源已提供出來: 我們在這裡建議 IT 和資安團隊審視適用的 CERT 諮詢和供應商諮詢,並獲取最新更新和修復選項。辨別這類型的缺陷,易受攻擊的設備, gauging 暴露程度以及防止利用後活動的是重要的關鍵之一。 SentinelOne Ranger 可為您的公司企業的資產,風險管理和威脅防禦提供了強大而精簡的方式。 The Ugly  有一個公開的秘密就是,在我們不斷進行的網路戰爭中,壞人都很清楚知道好人使用和依賴的工具。雙方都利用多類型的 on-line 掃描和 sandboxes。 當好人提供一些新穎的工具或流程的資訊時,可想而知,壞人也可從中受益並找到使用它的方法。 最近一個由 Nyotron 公開的案例,與 Thanos 勒索程式及的 RIPlace 規避技術相關。
那麼呢~ RIPlace 可用於避開某些 AV 產品,從而使惡意程式不受阻礙地運行。 Nyotron 在 2019 年 11 月 發布了在 RIPlace的找到的這項發現,旨在經由這項新發現的逃避技術,向大眾進行教育。 此外,《 Recorded Future》的研究人員指出,在過去的幾個月中,Thanos 的幕後參與者一直在反復修改並研發新變種。 他們正使用 RIPlace 專門避開 Malwarebytes AntiMalware和 Windows Defender 產品。 與其他產品相匹配的變種也可能已在地下市場中發行。 最後獻上一個更大的公開秘密就是 SentinelOne Endpoint Protection 平台是完全能夠檢測和預防 Thanos ,RIPlace 避開技術的更是小菜一碟。 The Good 已經近一半的 2020 年要度過了,而美國大選季節正在迅速進入數十年來最動蕩的一年,我們很高興看到網路安全在全國性得到了加強及注意。 為此,Nattional Guard 和 U.S. Cyber Command 通過一起發起的 “ Cyber 9-Line” 計劃,聯手提供及時的數據及對網路攻擊的響應,從勒索程式攻擊到選舉安全事件。 Cyber 9-Line 是使用一個通用型的框架並允許 National Guard 快速的 report 事件,這些事件被輸入到 USCYBERCOM 的Cyber Nation Mission Force 中。 然後,他們可以診斷並提供未分類的反饋來幫助解決該事件。 到目前為止,雖然只有 12 個州完成了註冊,但其他大多數州正在逐步建立帳戶並進行培訓。 USCYBERCOM 表示,捍衛 2020 年選舉是“指揮官和國家安全局的第一要務”。 Cyber 9-Line 有望在確保選舉完整性方面發揮關鍵作用。哇呼~~  同時,在英國的國防部還通過推出新的 the 13th Signal Regiment “網路團”,為打擊數位攻擊做好準備。 英國陸軍在一份聲明中說,他們的新裝備將與 “尖端技術與網路士兵互相匹配,以利在數位時代競爭並贏得勝利”。 The Bad 大家還記得 Meltdown 及 Spectre 嗎? 還有 side-channel 側通道攻擊 RIDL,Fallout 和 ZombieLoad? 他們是在過去,(well, 也是在不久之前的 2018 和 2019 )來自通過 Intel 的 CPU的微體系結構緩衝區傳遞產生的處理器漏洞。 其問題的根源是在 Microarchitectural Data Sampling(MDS),深層到根本無法防止緩衝區洩漏。 Intel 表示最好的辦法就是更新現有處理器的 microcode,以便每當 CPU 切換到新的安全敏感任務時,緩衝區都將被 overwrite。 Intel 隨後發布了他們的第8代 CPU Whiskey Lake ,這新型的 CPU 應該能夠抵抗此類 MDS 攻擊。 但遺憾的是,看來這些緩解策略並不完全有用。 已有來自兩個獨立團隊的最新研究指出,即使在 Whiskey Lake 機器上,還是可以被 bypass。  SGAxe 是建立在較早的攻擊 CacheOut 的基礎上,並利用 CVE-2020-0549 竊取了來自 Security Guard Extensions 安全區域 的用戶數據,而 CrossTalk 讓駭客可以去洩漏 SGX 安全區域中受保護的數據,即使使用的代碼是在與保存敏感數據不同的 CPU Core 上運行。 研究人員表示,“將這些攻擊用於破壞 Intel 安全 SGX encllaves 中運行的代碼幾乎是微不足道的”,並且 “針對現有的瞬時執行攻擊緩解措施,在很大程度是無效的”。 Intel 聲稱 CrossTalk 為 Special Register Buffer Data Sampling(SRBDS),並表示 Atom,Xeon Scalable 和第十代 Intel Core 系列處理器不受影響。 而對於受影響的 CPU ,供應商們預期在未來幾週內提供更新。 Intel 表示,針對早期漏洞的 patches 以及發布給研發人員的 recommended guidelines,也應有助於防止 CacheOut 和 SGAxe。 The Ugly 一群專研對社會網路威脅的加拿大研究小組 Citzen Lab 表示,人權捍衛者,環保主義者,新聞工作者以及政治家和 CEOs ,已成為迄今對大家還是一個未知,稱為 "Dark Basin" 駭客招募組織的目標。 美國非營利組織已成為 “ Dark Basin” 的一個大目標,Dark Basin 還對倡導網路中立 net neutrality,揭發否認對氣候破壞的企業組織發動了網路釣魚攻擊。 以下為同意公開的組織包括有:
那 Dark Basin 是怎麼被發現的呢?因為他們在釣魚攻擊中使用了客制 URL shortener 。 由於 shortener 建立了具有順序短代碼的 URL 後,使研究人員能夠識別出近 28,000 個包含目標電子郵件地址的 URL。 然後這些惡意鏈接連接到釣魚網站:一種駭客們可以控制的複製登錄頁面,例如Facebook,LinkedIn和Google Mail 等。  The Good 在本週呢,網路安全和基礎架構安全局(CISA)發布了第一個(也將會以系列型發布)的 “Cyber Essentials Toolkit”。 該機構計劃每月發布更新。 每個工具包的設計均與 CISA 的6個 “基本要素” 為基礎。 通過工具包的每個步驟和 module,目標是引導老闆們,CISO 和 information owners 完成開發和落實的網路安全實踐和習慣的過程。 通過採取這些 “小規模” 的措施,企業組織應具備管理和理解風險的能力,並適當的分隔信息和資源以補充降低風險和暴露的能力。 以下為 CISA定義的 6 個 “基本要素”是:
 這些 toolkits 中的第一個以 “自己” 元素為重點,面向網絡安全人員以及 IT 專業人員和服務提供商。 整個項目面向 C -level 主管。 如果你想更了解有關 Cyber Essentials 工具包和相關的更多信息,我們建議你來看看 CISA 的網站以獲取持續更新。 The Bad 而這週的壞消息是由研究人員發現到,VMware Cloud Director 出現了一個關鍵漏洞,而該漏洞可能使攻擊者完全控制受影響的基礎架構。 這個缺陷是因為輸入處理不當,導致狀態允許任意代碼注入。 之後可以通過基於 Flex 和 HTML5 的接口以及提供的 API,通過惡意製作的流量來觸發安全漏洞。 Citadelo 的研究人員在一次安全審核中發現了並 report 為 CVE-2020-3956 的漏洞。 除了遠端執行, 研究人員還證明了通過此漏洞,攻擊者可以進入在外部的雲端基礎架構。 漏洞可利用來獲得 vCloud 數據庫的完全權限,操縱系統管理員帳戶的憑證,最終以完全特權進入所有的託管客戶。  那麼除了發布的安全漏洞的信息之外,Citadelo 還發布了詳細的 PoC 來 demo 這個漏洞。 VMware 已發布更新來解決此問題。 我們鼓勵所有被影響或相關的客戶來查看發布的資料,並建議遵循指南和修補程序。 The Ugly 那本週醜陋的主角是: DoppelPaymer - 這個勒索軟體的背後執行者宣布了對於在 Maryland 的IT服務提供商 Digital Management, LLC 的攻擊。 受害者有許多是榮登在 Fortune 100 客戶,包括了美國 NASA。 在 DoppelPaymer 的 blog 網站上還特別註明了 NASA 與 Digital Management, LLC 的關係。  
而他們聲稱竊取了屬於 NASA 和 SpaceX 的內部文件,其中包括了: 設備設計和計劃,人力資源和人員數據。 據說被竊取出來的數據跨越了從 2016年或更早到今天。
有鑑於 Digital Management LLC 在隸屬聯邦的空間內運作,因此他們的合規性和法規要求,是比非聯邦實體要嚴格得多,因此他們可能會面臨來自監管機構和客戶的災難性影響。 在某些方面,這些攻擊可能比許多政府贊助的攻擊造成的損害更大。 儘管攻擊者可能缺乏 APT 的秘密技術,但其影響可能是毀滅性的,甚至是會破產的。 Digital Management,LLC 肯定會在試圖撲滅此漏洞造成的巨大影響中、及在其他方面展開艱苦的奮鬥。 你可能已經聽說過以下這幾個名字:Emotet,Trickbot,Dridex。 這些是當前網路空間中最臭名昭著的殭屍網路,可以感染並劫持數十萬台設備。 上個月,英國 Labour party 遭到威脅組織 Lizard Squad 兩次 DDoS 攻擊, Lizard Squard 聲稱控制了與 “數百萬個設備” 連接的網絡。 年初時,在巴西一個擁有 40 萬台 IoT 設備的殭屍網路對一個站點進行了大規模攻擊,該點在 13 天的時間內發出每秒超過 200,00 個 request。 殭屍網路的威脅是當今企業面臨的最嚴重問題之一。 在這篇 blog 中,我們來仔細研究什麼是殭屍網路以及它們是如何運作的。  那什麼是殭屍網路? 簡單來說,殭屍網路是由一堆受感染的主機所組成的網絡,這些主機由駭客作單一控制。 並可以讓受感染網絡中的所有的主機同時執行相同的指令。  殭屍網路如此可怕是因為他們可執行大規模的動作,控制成千上萬台機器的行為能力。 若再結合蠕蟲,則殭屍網絡不僅可以大規模發揮,而且還可以感染並控制同一公司網路上的其他主機,開始自己生長。 What Are Botnets Used For? 殭屍網路最常見的手法之一是對企業伺服器和網站進行 DDoS(分散式阻斷服務)攻擊。 當大量設備都嘗試同時連接到伺服器時,就會發生 DDoS 攻擊。 這可能會使伺服器能力超過負荷來處理所有傳入的數據、然後就斷線,導致希望使用服務的真正客戶無法進入。 這樣的阻斷服務攻擊的例子有很多。 Mirai 的創造者 “ Anna Senpai” 在 Hackforums 網站上發布了代碼,製造出很多模仿者,這是用於 DDoS 的最成功的殭屍網路之一。 而 Mirai 是被用來攻擊一名資安 blogger, Brian Krebs。因為他暴露了在之前對 Github 和 DNS 提供商 Dyn 進行 DDoS 攻擊的駭客。 Mirai 殭屍網路專門感染 Linux IoT 硬體設備,例如監視器,印表機,路由器和其他簡單的 Internet 連接設備。  經由殭屍網路驅動的 DDoS 攻擊也是一個問題,因爲他可能影響其他目標,而不是直接攻擊目標。 由於大多數網站本身都託管在其他 ISP 或網路提供商例如 Akamai,Cloudfare,Fastly 等,因此,如果這些伺服器無法處理額外的流量,則這些提供商的其他客戶端也會遇到拒絕服務的狀況。 在 Krebs 攻擊中,Akamai 被迫放棄 Krebs 網站以保護其他客戶。 DDoS 並不是殭屍網路唯一的用途。 另一個 loT 殭屍網路 BCMUPnP 曾經成功地控制了 100,000 個家用和小型辦公室路由器,其目的是發送垃圾郵件。 如今,發送垃圾郵件也是 Emotet 殭屍網路最喜歡的攻擊之一,同時還提供了惡意程式,木馬和勒索程式。 殭屍網路還被用於金融攻擊(GameOver ZeuS),憑證填充攻擊和針對性入侵。 Also see: Looking into Ransomware as a Service (Project Root) | Behind Enemy Lines Botnet 惡意程式通常包含自動更新和管理功能,所以操作者可以增加或刪除功能,與同伴進行溝通,洩露數據,更改時間方法並採取對策來擊敗傳統的 AV 和惡意程式特徵碼檢測。 How Do Botnets Work? Botnets 怎麼運作 ? 一般來說,殭屍網絡利用兩種不同的網絡架構,一種是 client-server,使用像是IRC ,HTTP 等。或是 Peer-to-Peer(P2P)分散網路類型來聯絡。 在 client-server 模型中,網路中的所有的 bots 都連接到一個或多個由 bot master 運行的命令和控制伺服器。 這樣的模式允許與 bot client 端進行快速直接的連線,但這存在了結構缺陷:所有 bot 都必須知道 C2 伺服器的 Internet 地址,這意味著執法部門可以很輕鬆的知道的伺服器位置並將其移除 。 這正是今年年初發生的事情,當時法國警察與聯邦調查局(FBI)合作中發現,RETADUP 殭屍網路的 C2 伺服器位於 Île-de-France 地區,其中有 850,000 被感染的主機被狹持。 當局通過託管服務提供商偷偷的進入伺服器,替換了自己的代碼。 為了不吵醒這些犯罪分子,當局複製了原始惡意代碼,但添加秘密功能,使所有的程序在與 C2 連接後立即對自己進行消毒。 “The gendarmerie has dismantled one of the largest networks of pirated computers in the world! In collaboration with the FBI, French cyber police managed to “disinfect” more than 850,000 computers remotely. A world first!”  但ㄖㄨPeer-to-Peer offers a more secure architecture from the threat actor’s point of view. This decentralized network set up has been likened to a “terrorist cell” network, where noone in a given cell knows the identity of anyone else in other cells. The cell – a small group of bots – has a known “head” or “node” – in a P2P botnet that’s usually a bot with a public internet address – that other bots in the cell (which perhaps live behind a NAT or firewall) can connect with. Since there is no central command from which to issue instructions, the bot owner issues digitally encrypted commands that are shared among the peers. Encrypted with the owner’s private key, only commands the bot master sends will be decrypted (using the bot master’s public key) and acted on by the bots. This use of asymmetric encryption prevents others from hijacking the bots in the decentralized network. 從駭客們的角度來看, P2P 提供了更安全的架構。 這種分散式的設置可以比喻為 “恐怖分子牢房” 樣的網絡,在這樣的網絡中,固定牢房中的任何人都不知道其他牢房中其他人的身份。 而這一個 cell(一小組的殭屍網路),都具有一個已知的 “head” 或 “node”,在一個 P2P 殭屍網絡中通常有一個公用 Internet 地址。可以經由這個公用的 address 與其他殭屍網路(可能位於 NAT 或防火牆後面) 連接。 由於沒有從中發出指令的 command,因此 Owner 會發出在與對方之間共享的數位加密鑰匙命令。 只有 owner 發送的命令才會被解密(使用 master 的 public key)並由其他的 bots 來執行。 這種非對稱加密的使用可防止其他人劫持分散網路中的殭屍程序。 但如果我們耐心地建立一個 P2P 網路圖,是有可能的利用他來破壞此殭屍網路。 據說由在北韓的駭客來控制的 Joanap 殭屍網路,在被 FBI 使用一種我們稱為 “peer poisoning" 的模仿技術攻擊後,於2019年初被破壞。 Peer poisoning 能夠收集被感染主機的 IP address,並通知受害者及其網路提供商。 How Are Botnets Created? 建立一個簡單的 C2 模式的殭屍網路,殭屍網路 herder 或 bot master 將需要設置伺服器來提供命令和控制結構。 這通常是 在 LAMP 環境之上,使用 PHP 和 MySQL構建的 Web 應用程式。 後台設置完成後,bot master 需要一個 bot builder。 Buulder 的主要功能是打包第三個組件,也就是 malware payload,並將其嵌入配置和一個或多個 C2 地址。 建立殭屍網絡的工具包可以在暗網上“出售”中找到或在 “ 軟體及服務 Software as a Service ”(SaaS)模型中找到。 ICE9(Ice IX)和 Neutrino 是兩個有名的範例。  一旦工具包打包了惡意 payload,C2 地址和配置文件後,最後一步就是將打包發布給受害者。 通常,殭屍網路感染以釣魚電子郵件中的惡意附件的形式出現。即使在今天,這種傳染媒介仍是最有效的方法。 對於殭屍網路牧民獲取新 “客戶來源”是經由購買其他已建立好的殭屍網絡,再加以利用。 Are Botnets Illegal? 殭屍網路本身就是一種主機網路,因此建立自己或有權控制的主機殭屍網路並不觸法。 例如,研究人員可創建自己的“殭屍網路實驗室” 並對其深入研究。 但是,未經他人允許將惡意軟體安裝在屬於他人的主機上是被視為刑事犯罪。 然後,如果控制並指示主機進行其他活動也是非法的,則指示該主機進行其他活動也是一種刑事犯罪,因此,如果被執法機構抓到的話,這些網路牧者可能會面臨不止一項指控。 Mitigating Botnet Attacks
就如我們所見,botnets 是一堆感染了惡意程式的主機網路。 因此,對殭屍網絡感染最有效的制止方式是使用有強大的 AI 行為安全解決方案,防止惡意 payload 在設備上執行。 防火牆的控制對於檢測網路上的殭屍網路通訊也是有用的。 The Good 想要知道誰是駭客們是有點難度,而要逮捕他們並繩之以法,更加困難。 因此,當執法機構能夠對他們提出指控時,我們一定要稱讚他們的出色工作,並希望法院做出足夠的懲罰以製止其他人。 這周德國當局對一名 22 歲的男子提出了指控,他侵入了一些政客,記者和公眾人物的私人帳戶。 他承認竊取和洩露了包括德國總理 Angela Merkel 在內的數百名政客的私人數據。 其他指控包括對六名德國國會議員的贖金(要求以比特幣付款,以換取不公開這些私人數據),以及三起關於炸彈或大規模槍擊事件的假消息。 據調查人員稱,作案者使用 email 的密碼重設工具來進入帳戶並獲取個人資訊,電話號碼,聯繫地址,信用卡,照片和信件。 而動機似乎是帶有煽動性的,與政治有關係的,在某種程度上,跟錢也有關係的。  另一則好新聞就是在西雅圖的一項逮捕,一名烏克蘭籍人士捲入了由 FIN7 發起的駭客行動,該集團從在美國的受害者那裡竊取約 10 億美元而聞名。 Denys Larmak 被指控 “密謀性的攻擊,進入受保護的主機內進行欺詐,故意破壞並進入設備,密謀進行電匯和銀行欺詐,電匯欺詐以及嚴重的身份盜用”。 據當局表示, Larmak 用了釣魚郵件來獲取 credentials,信用卡和提款卡資訊以及其他個資。 Larmak 還非常有系統的使用Jira 記錄每一次的攻擊並為每位受害者建立獨立的 ticket,並使用該系統與 FIN7 的其他成員分享這些資訊。 The Bad 德國當局本周向在本地的能源,水和電力公司發布了一份建議,建議內指出與克里姆林宮有關係的駭客們正在瞄準這些機構。 該組織的名稱分別為 Berserk Bear,DragonFly 2.0 和 Dymalloy,很明顯的是代表俄羅斯 FSB 情報機構拓展 ”業務“,並利用這樣的 supply chain 進入德國公司的 IT 系統。  這個 APT 組織至少從 2015 年底或 2016 年初就開始活躍,專門針對歐美能源機構作為目標的駭客活動,他們利用可以正規公開獲得和專門的惡意軟體來滲透 IT ,並偷取信息。 最令人擔憂的是,它們瞄準並滲透高階關鍵的營運技術(OT)網路。 他們也曾針對、並利用有毒網站來攻擊美國公司。並收集 login 的 credentials,並利用這些 credentials 來侵入歐洲和北美的重要基礎設施公司。 他們還被指控攻擊德國能源供應商。 The Ugly UK's privacy watchdog 宣布,自 GDPR 生效以來,過去兩年中被記錄的數據洩露事件數量有所下降。 但似乎只有英國人正在逆潮流,因為全球的數據洩露事件是增加而不是下降。。。 就在本週,日本電信業巨頭 NTT 宣布了影響數百名客戶的數據洩露事件,而美國銀行 BOA 也宣布了影響到申請薪資保護計劃( Paycheck Protection Program PPP)客戶的數據洩露事件。 另一則更大的事件是發生在印度,此事件影響了 2900 萬個求職者的大規模數據洩漏。 一家網路安全公司發現了一個駭客(們),出售來自不同地區的數百萬求職者的個資。 洩漏可能是經由一個履歷收集器洩漏出來,該服務從各種的工作門戶收集數據。 提供的出售信息包括有關用戶的個資,例如 email,電話號碼,住址和資格。  再來,若是 2900 萬個記錄聽起來像是一個龐大的數字,那麼請試試感受一下這個數字:80億。 這就是從泰國最大的手機網路子公司 Advanced Info Service(AIS)洩露出的數量。 該公司不小心在 5 月的一次計畫測試中 release 了包含數百萬客戶即時 Internet 記錄的數據庫 。公司聲稱沒有重要數據被洩露。 還好,此數據庫已被關閉。
|
Categories
All
Archives
July 2020
|
RSS Feed