 The Good 本週的好消息是 Europol 在 'Operation Quinientos Dusim' 和 'Operation Smart Cash' 中逮到了 26 個欺詐者,這些欺詐犯分別屬於西班牙和羅馬尼亞的兩個 SIM 卡交換詐騙集團。 SIM 卡交換詐騙是一個針對電信業、通過網絡釣魚和使用 OSINT 技術來獲取個人數據進行社交工程設計。 SIM 卡交換冒充被鎖定的受害者,並誘導電信商將目標的手機轉移到屬於攻擊者的SIM卡中。 最有名的是 Twitter 首席執行長Jack Dorsey 去年曾掉入 SIM 卡交換詐騙。 通常,欺詐者使用被盜的數據來登入受害者的網路銀行,並繞過網路帳戶上的 2FA 和一次性密碼控制。 據本週的報告中指出,這些罪犯在西班牙和羅馬尼亞警方的協助下被 Europol 逮捕之前,已經從 100多個受害者的銀行賬戶中轉走了資金。  再來,如果你有是 Adobe 愛用者,我們大多數人都是?,那麼你會很高興聽到 Adobe 本周修復了 41 個安全漏洞。 在Windows 和 macOS 版本的大規模安全更新中,Adobe 放入了六種主要產品中的漏洞,其中包括無所不在的 Adobe Acrobat,Adobe Reader 和 Photoshop。 如果你還沒有,請在黑客逆轉之前更新這些應用程式,並利用剛剛修復好的多個任意代碼執行漏洞。 The Bad 本週持續燃燒,並應該會再持續下去的壞消息:COVID-19 / 新冠狀病毒的全球爆發,人們的健康,生計和生活方式造成了嚴重破壞。 SentinelOne 與許多其他供應商一樣,提供了免費使用權限,在危機中幫助保護企業和遠端工作者的安全。 同時,壞人當然會抓住任何賺錢的機會,利用已有數不清的惡意程式攻擊,網路釣魚工具包和老江湖欺詐行為來榨光 FUD。 再來反映出我們所處的顛倒時代,本週的壞消息卻伴隨了奇怪的變化。 目前有一些勒索程式,例如 DoppelPaymer 和Maze,聲稱他們將避免針對醫療服務,甚至向已被攻擊的機構免費提供解碼。 當然,犯罪者也是需要看病的,在還沒搞清楚 COVID-19 危機之前,我們認為他們暫時不會因為這樣的 “緩衝” 行為而得到讚美。  另一方面,在本週的其他壞消息中,TrickBot 似乎一直在忙於進行改造,進行了RDP : 一個針對美國和香港的電信業者,利用名為 rdpScanDll 的惡意 DLL 檔的攻擊。 研究人員說,特定的 IP 已經成為攻擊目標,並似乎是間諜活動。 我們已經知道某些APT 已使用 TrickBot 進行攻擊。 待我們有更多的消遺,我們會立即發布消息。 The Ugly
本週醜陋的消息,一位資安人員發現了一個不安全的數據庫,其中包含至少從 2012 年以來,存了超過 50 億條記錄。而該數據庫似乎是從其他已收集好的來源中而生成的,並被編譯成有 hash type 的結構格式, 洩漏的數據,電子郵件,密碼和其他信息。這麼大並有組織性的數據庫,無庸置疑是詐騙犯罪的生財工具。 該研究人員再發現後通知了某公司,儘管他沒收到冇公司的任何回應,但這個數據庫在一小時內被刪除。 之後,某公司確認了沒有受到攻擊,數據庫裡也沒有來自自家客戶的數據。 相同的,駭客們也會以相同的方式例行探測這種不安全的數據庫。就針對這一點,我們目前不清楚這個 “寶藏” 是否已由垃圾郵件發送者,詐欺或意圖進行網路釣魚攻擊的駭客們發現並利用。
0 Comments
The Good
微軟在本週與許多夥伴一起作戰,成功的戰勝了過去十年來製造最多的惡意殭屍網路之一。 自 2012 年以來,Necurs 發出針對藥廠,股票拉高出貨,網路交友和其他類似的垃圾郵件作為誘餌 ; 2015 年至 2017 年是他們最活躍的時間。這個殭屍網路還被廣泛利用分發在著名的惡意程式族群,包括 GameOver Zeus,FlawedAmmyy,Locky,Dridex,Scarab,Trickbot 等。 當微軟和合作夥伴發現 Necurs DGA( Domain Generation Algorithm 動態網域產生演算法)的內部功能,轉折點來了,Necurs DGA 是負責生成和註冊 C2(命令和控制) 的網路組件。 根據微軟的 Digital Crime Unit 的說法,他們能夠 “準確地預測在未來 25 個月內將創建超過 600 萬個唯一網域”。 所以,Microsoft 可以阻止這些網域的產生。 此外,3 月 5 日發布的法院命令允許 Microsoft 捕獲現有的網域,從而嚴重破壞了殭屍網絡的當前和未來基礎結構。 
這是微軟,ISPs ,許多網域註冊機構及在印度,日本,法國,墨西哥,哥倫比亞的執法機構之間的協調努力。 我們知道這是一場漫長的戰爭,殭屍網路還是有機會反彈(例如:Kelihos),但這是一種英勇而值得稱讚的努力。 為所有參與其中的人歡呼,keep up the goo flight!
The Bad
很遺憾的是,微軟本周也面臨不好的消息。他們在 SMBv3 CVE-2020-0796 中發現了一個嚴重且潛在可感染的漏洞。 基本上呢,這是 RCE(遠程代碼執行)的缺陷,他專處理在 Microsoft Server Block 3.1.1(SMBv3)中的 request。 攻擊者可以利用此漏洞發送特製數據包,並在目標伺服器或客戶端上取得任意代碼並執行。 該漏洞影響 Microsoft Windows 10 版本 1903和 1909(包括Windows Server)及被支援的 x32,x64,ARM64。 根據各種建議(在過去36小時內發布,更新和重新發布),該問題可總結為受影響的 SMB 伺服器中的緩衝區溢出而導致 memory 損壞情況。 Microsoft 已在這ㄦ為無法下載 patch 的用戶提供了更新,並在其更新的通報中提供了解決方法。 
The Ugly
我們已經看到了很多明顯的垃圾郵件攻擊和錯誤訊息,所以現在必須比以往任何時候都更加提高警覺,並注意關於 Covid-19 /新冠狀病毒的訊息來源。 令人遺憾的是,本週出現了一種不道德,利用人們恐懼擔心的漏洞工具包: Corona Virus Map Phish Method,該工具包已在多個地下論壇中出售。 這個工具包叫價 200美元,或賣方提供有自己的代碼憑證叫價 700 美元。 它帶有一個 preloader 可 attach 在 email 中。 代碼會加載一個地圖,在設備上顯示感染數據或其他買方用自己選擇的 payload 來呈現地圖。 Payload 可以直接嵌入或通過嵌入的 URL 呈現,整個程序包可以通過電子郵件發送,而不會觸發並被 email 提供商阻止。 
HC3(Health Cybersecurity Coordination Center)於 3 月 10 日發出警報告知已有一個偽造地圖的惡意網站並帶有惡意程式。 警報指出,該站點使用一個以網絡為中心 AZORult 木馬程式的攻擊,這惡意站點也已通過電子郵件和社群媒體傳播。
這樣不道德的行為是很可恥的,但不幸的是,報導指出它可以在 “ 所有的 Windows(XP-Win10、32bits和64bits)上運行 ”,並只需要任何 Java 版本就可以運行。 除了躲掉電子郵件提供程序檢測之外,該工具包還可以躲掉 Windows Defender 並避開UAC。 但是!SentinelOne 的客戶可以放心,SentinelOne agent 可以檢測並有效阻止 “ Corona Virus Map Phish”。 請見以下~  歷史上到目前為止,地球人民所經歷過的有:地震 、淹水、海嘯、 森林大火、 山崩、 颱風、 龍捲風、SARS、H1N1、MERS、伊波拉、 HIV、愛滋、 茲卡。 而現在有了 COVID-19,也稱為新冠狀病毒。 天災和流行傳染病有很多共同點,包括人類生命的失去。 但其實還存在著一個更黑暗,更險惡的連鎖反應 - 駭客們利用這樣的機會來傳播惡意程式,開始了網路釣魚和交叉式活動,再利用情感來進行欺詐。 新冠狀病毒(也稱為COVID-19)就是這種情況。  利用恐懼來幫助和教唆詐財 駭客們不會把自己設限於惡意程式。 FDA 還發出警告消費者有關騙人的產品,這些產品 “聲稱可以預防,治療,減輕,診斷或治愈 2019 年新冠狀病毒(COVID-19)”。 這次是一個全面性的詐欺。 在 2019 年 12 月,SentinelLabs 發布了關於網路犯罪組織 TrickBot (APT 進階持續性滲透攻擊) 與北韓之間關係的突破性報告。 報告表示當對收件人部署了有效心理攻勢之後,TrickBots 功能的使用就會放大。 最近,SentinelLabs 發現了一個使用來自加拿大當局發送關於新冠狀病毒醫療通知後,間接對金融機構發送惡意程式的攻擊。 Johns Hopkins 和 CSSE (Center for Systems, Science, and Engineering) 共同開發了一個依照國家,地區,州和城市中被 COVID-19 的傳染人數來呈現的一個地圖 。 到 2020 年 3 月 10 日,按感染人數排列的國家是中國,意大利,伊朗,韓國,西班牙,法國,德國,美國和日本。 這意味著每個國家都將成為被大量網路釣魚攻擊的目標。 在設計惡意電子郵件時,內容是非常重要的。人性總是恐懼損失,相比之下,這些反應比獲得利益的可能性更好預測。 例如,你們看看以下哪個主題會產生更高的回應? “How to prevent the spread of the coronavirus in 3 easy steps.” 預防新冠病毒傳染的三步驟 “URGENT: You have been in contact with a verified coronavirus patient.” 警急: 你與一名確診病患有接觸到。 第一個主題不會引起人們對損失的恐懼,他只會產生獲得更多有關阻止冠狀病毒傳播的信息的潛力。 第二個成功的攻擊了問題的核心 – 對死亡的恐懼。 相關連的行為會影響人們對有價值的稀缺性的正面信念。 針對 COVID-19,可能是篩檢的可行性。 “Don’t lose your chance to get these hard-to-find coronavirus test kits.” 別錯失了篩檢的機會! 最後一個主題是既有對失去的恐懼,並帶有缺乏、少量的意味。 數千年來的人類進化讓我們避免了損失。 同樣的進化也增強了人類大腦的主要目的, 那就是活著。 除此之外,其餘的一切都是增加的紅利。 為什麼市民不能購買這些快篩而只有政府可以擁有並使用? 對失去的恐懼,緊迫感以及專於在 COVID-19 的媒體數量讓我們忘記常識,並迫使我們回到原始的恐懼並採取行動。 死亡,是最後的王牌。 利用人類的脆弱漏洞 犯罪份子在利用對人類情感的更多理解來執行針對性的攻擊。 社交工程基於這樣一個前提,也就是: 我可以讓你採取並控制行動,但實際上它是一個通過操縱,影響和欺騙而構成的惡意行為。 激進駭客長期以來一直依靠社會工程來執行間諜活動,system compromise,影響選舉和操控社交媒體等目標。 變臉詐騙(BEC)基於說服 email 的接收者,發件人是授權人,並且應該執行特定的行為(例如轉帳數十萬美元)。 對抗政府者和激進駭客使用的第一策略不是利用漏洞。 而是利用人類的弱點。 在本文作者為《Hill》撰寫的一篇文章中,他概述了俄羅斯如何成功地使用名為 Black Energy 的惡意程式發動第一次攻擊。 最初的方法? 據稱是烏克蘭政府發送的魚叉式網絡釣魚電子郵件。 附檔中的 Excel 要求用戶啟動 macros。 就這樣,最初的 payload 就成功了。 沒有什麼花招。 只是一種忘記常識的壓迫感(烏克蘭政府)(還有千萬不要啟用附件中的marcos)。 沒有人對社交工程是免疫的 恐懼,不確定和懷疑的心態是強大的武器。 在作者執法期間,他是專門從事連續犯罪和行為分析採訪。 讓人按下電子郵件中的連接,並沒有讓罪犯承認謀殺一個人要來的困難得多。 在 behavioral analysis 行為分析訪談(BAI)中,我分析了案例(內容)並相應提出了問題。 BAI 的目的是確定受訪者是誠實的還是個騙子。 如果對象具有欺騙性,並且看起來他們可能犯了罪,那麼該是收集事實並轉到偵訊的時候了。 但是,並非每次受訪後都會偵訊。 在偵訊過程中,目的地是使受訪者感到焦慮,以至於減輕焦慮的唯一方法就是誠實。 作者曾在國家安全局向參與美國歷史上一些最嚴重間諜活動的損害評估人員教導相同的技術。 員工點擊可疑連結或打開帶有惡意程式的檔案的原因也相同:找出答案,解除恐懼,不確定和懷疑的焦慮感受。 那這個故事的意義是什麼? 不管你進行了多少安全意識訓練,在辦公室貼了多少網路安全海報,或者通過 email 發送了多少每週提醒,最後,數十萬年的人類行為還是會勝出。 這意味著害怕失去(死亡)和自我保護(減輕焦慮/壓力)將戰勝常識。 機器說: 害怕是什麼? 但是,在黑暗中還是會出現一匹白馬,帶來一線希望。 人工智慧和機器學習的使用將平衡從攻擊者轉移到了被攻擊者身上的力量。 AI / ML 提高了檢測和預防的速度和準確度,而不是回應攻擊並從中恢復。 數千年來,根深蒂固的行為已可以通過利用應用科技來平衡。 與其要求使用者確定物件是否 “安全”,還不如從一開始就避免。 防止勒索程式攻擊要比從攻擊中恢復容易。 還有,管理好新聞要比管理壞新聞也容易得多。 人工智慧不會屈服於恐懼。 沒有情感可以操縱,也不能感染新冠狀病毒。 這或許是對於恐懼,不確定性和懷疑的完美解毒劑。 作者 Morgan是 SentinelOne 的 Chief 安全顧問,也是 Center for Digital Government 的高階院士。 他多次在國會上為大型政府系統的安全性作證,目前是 Fox News Channel 和 Fox Business Network 的首席技術分析師,負責網路安全。
The Good 國際犯罪集團是屬最嚴重的犯罪行為。其中最可怕的是對兒童的性剝削和性虐待。大致上來說,在網路世界,尤其是黑網,允許所謂的 “消費者”(戀童癖,性犯罪者)及 “生產者” 以秘密的方式進行互動,從而逃離執法機構的長期干擾。此外,由於這些犯罪涉及多個地區,因此抓住犯罪者並繩之以法的可能性很小。這就是為什麼我們很高興聽到 “ Five Eyes ” 的成員(澳大利亞,加拿大,紐西蘭,英國和美國)以及六家主要的科技公司(Facebook,Google,Microsoft,Roblox,Snap 和 Twitter )正在共同努力打擊在網路世界裡對兒童的性剝削和虐待。本週,這 6 間公司在發佈於 “Voluntary Principles to Counter Online Child Sexual Exploitation and Abuse” 文件中表示將一起聯合在他們所有平台上實施一項新的 framework 。 這個 framework 由 11 個 principles 組成,分為七個類別。 目的地在減少潛在於社交媒體和網路技術的惡意使用及搜索,之後發布照片,影片及相關信息。 科技巨頭與執法機構之間的合作並不是微不足道,我們希望這將營造一種信任和信息共享的氛圍,這對於減少甚至消除所有嚴重的網路犯罪可產生重大影響。  當然,儘管國際間的合作對於打擊全球犯罪活動是勢在必行,但這樣還是不夠的。 在與網路犯罪和攻擊性網路活動打仗時,速度和分享知識也是關鍵之一。 這就是為什麼愛沙尼亞,立陶宛,克羅埃西亞,波蘭,荷蘭和羅馬尼亞聯手並同意成立將由立陶宛領導的 European Union Cyber Rapid Response (CRRT)。 立陶宛國防部在一份新聞稿中說,CRRT小組已經準備好 “以虛擬方式或採取實際行動 (必要時) 來抵抗和調查危險網路事件”。 這真是太棒了! The Bad 自 GDPR 已經出生了(自 2018 年 5 月)快兩年了,但似乎有些公司尚未掌握因數據洩露而造成的損失。GDPR 的目的地在改善數據的安全性和隱私,但從最近發生的事件來看,某些公司仍需要更多時間來實施正確的保護措施,或者他們自願選擇付出相關罰款,而不是實施更高的安全措施防止違反安全性。美國電信業者 T-Mobile 宣布了一項數據洩露事件,此事件洩露了一些客戶的個人和財務信息。 該漏洞是經由被駭客侵入的 email 供應商造成的,數據洩漏包含了社會安全號碼,財務信息,政府 ID 號,賬單信息和費率計劃。 T-Mobile 已通過短信通知受影響的客戶。  這也不是 T-Mobile 第一次遭受數據洩漏。 上一次發生是在不到2年前。 英國媒體巨頭 Virgin Media 表示,一個存有 900,000個人詳細信息的數據庫暴露在網上 10 個月。 而在這段時間內,它至少被存取過一次。 而此事件並沒有任何駭客介入;公司表示這些數據是出於行銷目的而產生的,其中包含電話號碼,家庭住所和電子郵件地址 ; 並承認數據庫的暴露是人為疏失,導致 “錯誤設定”。 The Ugly 現在全世界似乎是處於動蕩之中,有越來越多的國家進入 "新型冠狀病毒影響區''。 意大利是迄今為止是亞洲以外遭受到最嚴重的影響的國家。但這好像還不夠糟糕,還是有人嘗試從這種情況中獲利。 最近的一次惡意活動通過被偽裝成 WHO 的正式文件的惡意附件,襲擊了意大利近 10% 的企業組織,文件包含了應對新型冠狀病毒感染的必要預防措施。  打開檔案後會被要求 “啟用編輯” 和 “啟用內容”。 如果被授權,TrickBot 銀行木馬程式會自動將把自己安裝在使用者的設備上。 這是網路犯罪分子如何憤世嫉俗地利用機會的另一個例子。 還好這與實際的病毒不同,可以通過良好的網路 "衛生習慣" 輕鬆避免這種有害生物。
The Good 在去年11月,我們報導了 ByteCode 聯盟的成立,這是由 Mozilla,Fastly 和其他公司的合資企業,目的是在 WebAssembly 項目之上構建安全組件。 本週 Firefox 宣布了合作成果: RLBox 的誕生。 RLBox 允許 Firefox 組件在 WebAssembly 沙箱中運行代碼,保護主機操作系統不受任何未知的安全漏洞的侵害。 Mozilla 指出,Linux 版本將在 Firefox 74 和 Firefox 75 的macOS 發行。而 Windows 版本將 “很快” 到來。  而這並不是 Mozilla 不斷在進行的唯一更新,他們繼續在 Firefox 中添加安全功能,使用者將會體驗到不同的安全機制。 本週,Mozilla 還更新了針對在美國的用戶的新加密 DNS 服務。 通過 HTTPS(DoH)協議進行加密過的 DNS 將確保搜尋時不會被第三方(例如你的 ISP)監控,有些第三方業者出售使用者的即時位置數據並在未同意下顯示出廣告。 The Bad 那麼關於壞事呢?本周有很多關於 kr00k 的新聞,又名 CVE-2019-15126。 這是 Broadcom 和 Cypress Wi-Fi chips 中的一個安全漏洞,允許未經授權解密某些 WPA2 加密的流量,據說會影響超過 十億 個設備。 雖說駭客需要在 Wi-Fi 範圍內,並且只能擷取有限的流量。 但即使這樣,也可能造成嚴重的洩漏,特別是如果基礎通信本身未加密(例如: 使用 http 而不是 https 或聊天程式在傳輸之前未加密)時。 在許多容易受到該漏洞影響的設備中,至少有 14 種 Cisco 產品受到了影響。 這家網路硬體巨頭表示正在積極開發修程式,目前尚無解決方法。 幾個月前,iOS 13.2 或更高版本以及 macOS Catalina 10.15.1 或更高版本的 Apple 用戶已經收到修補。  The Ugly 正如我們所預期,醜陋的 Maze 勒索軟體已經在駭客社群中開始流行,他們抓住了 “naming and sharming ” 的誘人點,來增加支付動機。 現在,DoppelPaymer 也將自己添加到勒索程式攻擊者清單中,並想要加倍的贖金。 除了 Maze 和現在的DoppelPaymer 外,Sodinokibi 和 Nemty 也打算加入這項攻擊。 為此,DoppelPaymer 本週發布了他們自己的 “洩漏公開” 網站,列出了遭到攻擊的受害者以及被感染機器和惡意程式的詳細訊息。 最近的一名受害者聲稱他們損壞了 1438 台設備。  The Good “鈴鈴鈴~!” “是誰啊?” “我是雙重認證啊 !!!” 在2月18日,Ring(Amazon 的母公司)宣布將為公司客戶帳號實施新的強制性安全驗證。 基本上來說,所有的客戶在登錄Ring 的帳號後都將需要雙重認證。 客戶可以選擇通過 email 或簡訊,作為第二種身份驗證方法。 這些改變是在該公司客戶帳戶被劫持之後發生的。 儘管並非所有人都習慣 “強制性” 的雙重認證,但這被視為向前積極邁出的必要一步。 在最近發生的一些資安事件裡,為了保護 loT 設備,必需要有強力的控制。 MFA 雙重認證雖然不完美,但它是朝著不斷尋求保護設備和服務安全的正確方向。 我們都需要時間適應變化,因此很難預防這種所謂的 “摩擦”。 例如當年沒有了 floppy 或耳機插孔 ,我們不也慢慢的習慣了?在這日新月异的科技世界裡,特別是在用戶和駭客之間做個小小的機制 (強制性的雙重認證),是一個值得欣賞的舉動。  The Bad 勒索軟體襲擊天然瓦斯工廠! 最近一起的勒索軟體攻擊迫使一家在美國天然瓦斯工廠關閉。此攻擊直接影響了安全和操作系統。 DHS 在報導指出:“員工被阻止控制與通訊設備接收重要的即時操作數據”。 據報導指出這次的攻擊經由一封惡意的 email。在這兒我們再次提醒大家電子郵件仍是惡意程式的主要傳遞媒介。 美國網路安全和基礎結構安全局(CISA)已發布了警報(AA20-049A),提供了有關該事件的其他訊息,也確認交叉式網路釣魚傳遞方式,他們先在 “ IT網路” 上建立了一個點,之後轉向 OT ,OT 提供對HMI(人機界面)經由 OT 網路存取並輸出伺服器和歷史數據。 CISA 並指出,在所有的特定系統上的 PLC 沒有受到影響,也沒有失去控制權。 工廠停止運作僅是對事件發生的直接響應,並是有計畫及控制下的方式決定停工。  The Ugly APT28 and 2019 的攻擊再次襲擊喬治亞 Attack Campaigns Against Georgia 相信大家都應該很熟悉 APT28(又名 Fancy Bear,G74,Sofacy,Sednit 等其他名稱)。 十多年來,這個由國家支持的小組一直將工作重點放在化學工程,國防,政府,工業系統和情報機構這類高價值的目標上。 著名的攻擊包括 “ Pawn Strom”,“ Russian Doll”,國際奧委會攻擊...等等。 在本週,英國的 NCSC(國家網路安全中心)宣布,同一批人在 2019 年 10 月對喬治亞進行了一系列的網路攻擊。NSCS 並引用 “ the highest level of probability 最高概率” 來強調此攻擊。  這些攻擊集中在位於喬治亞的網路託管公司以及媒體企業。 除了銷毀及其有效性的攻擊外,多數的電視台也被迫下線。 英國在這一系列攻擊(及後續的一些歸因)上展現了強大的實力。 由於英國和喬治亞國是盟友,所以我們可以從俄羅斯 GRU 中觀察出這些持續性的攻擊對於網路及政治有相對的影響。
最後值得注意的是,有時很難去解釋這些有故事的故事。 在某些情況下,駭客們可以策略性的安排攻擊時間,故意與其他事件相吻合。 我們也可以肯定,這些國家支持的積極駭客暴露的越多越好。 當我們有盟國指責時,將會讓訊息變得更加嚴重。 The Good 這次我們先用 Citrix 開啟本週好消息,該公司在過去兩個月中提高了企業對漏洞的注意並進行修復 CVE-2019-19781 的執行得到了成果。 估計到目前為止,已有 80% 曝光在網路上的機器獲得修復。 剩下 20% 尚未完成,但在這兒我們還是建議資安人員盡快執行安全性修復的動作, 因為這個漏洞已被公開的 “plug-and-play” 攻擊。  另外,在修復安全漏洞上, 微軟在本週解決了驚人的 99 個錯誤,其中包括許多的RCE,例如 CVE-2020-0674 和CVE-2020-0729。 Adobe 還解決了 12 個關鍵的 CVE(包括CVE-2020-3742,CVE-2020-3752和 CVE-2020-3751)以及在 Reader 和 Acrobat 中其他五個比較不嚴重的漏洞,以及 Flash Player 中的一個關鍵的 CVE(CVE-2020- 3757)。 而其他的好消息例如:SoundCloud 在修復了一些嚴重的漏洞時也順便宣傳了賞金計畫的成功性,這些漏洞可以讓駭客們接管使用的帳戶,儘管此公司表示沒有證據證實這些漏洞已被大量的使用。 The Bad 若要問 Emotet 和惡意程式加載平台在網路歷史中有什麼特性會被我們記得,無庸置疑是它的精巧之處。 有消息指出,無處不在的 Wifi 已被惡意程式利用。 據研究人員表示,以前大家認為 Emotet 純粹只會通過垃圾郵件和受感染的網路來傳播。 現在發現,如果網路使用不安全的密碼, Emonet 也可以感染附近的無線網絡。 Wifi 模組會列舉任何受 Emotet 感染主機範圍內的 Wifi ,然後嘗試從內建密碼中暴力破解每個無線網路的密碼。 再來,根據美國聯邦調查局(FBI)的 “ 2019 Internet Crime Report”,商務電子郵件入侵又名變臉詐騙攻擊(BEC)在 2019 年讓美國的公司總共損失了 17 億美元。 這些損失是來自驚人的 23,775 次的針對性攻擊。 FBI在報告中指出:“通過使用貌似信任的電子郵件地址,駭客可以誘使員工免費提供有價的資訊” 所以如果你還認為自己的公司是在不在駭客們的監視下發展,那麼以上的數字就是一個很好的證明數據,請重新考慮貴公司的資安問題。  The Ugly 在有消息傳出美國和德國情報機構數十年來通過故意減弱加密功能,對包括盟國在內的 100 多個其他國家進行監視之後,美國指控華為為中國政府的間諜活動受到了譴責。而事實也證明,瑞士籍製造加密設備的公司 Crypto AG 的秘密幕後大老闆是 C I A 。 秘密行動導致許多針對美國的敵人的情報政變,但同時也引發了一些令人擔憂的道德問題。 根據《華盛頓郵報》的報導,這些包括: “the deception and exploitation of adversaries, allies and hundreds of unwitting Crypto employees. Many traveled the world selling or servicing rigged systems with no clue that they were doing so at risk to their own safety.” 這個計劃的成功幫助解釋了美國政府之前對蘋果等其他公司的高談闊論 ; 他們傾向把後門程式內建到自己的加密產品中。 有趣的是,這個案子是否加強了或減少社會對於此計畫合法性的認識? 你們覺得呢?  最後再補充一下上週醜陋的消息,有一檢察官掌握了相當有說服力的證據,並可將此嫌疑犯 (甚至有可能是戀童癖)定罪,法庭也決定要檢查他的硬碟。但問題來了,在法官下令後,被指控的嫌疑犯不願意也無法提供硬碟的密碼,後來他因藐視法庭被判並已服刑四年。直到本週,聯邦上訴法院裁定,由於拒絕(或忘記,如辯方所述)提供密碼,判定為藐視法庭並最高刑期為18個月。對於例如一名新聞工作者,這可能是好消息,因為政府不能無限期的把你關起來。這也可以是壞消息因為政府不能無限期地關押一名戀童癖者),因此我們先將這則新聞歸在“ ugly 醜陋” 下。
The Good Open Bug Bounty 漏洞回報計畫大進展! 在上週好消息!我們注意到近幾個月,漏洞回報賞金計劃有些值得嘉許的進展。 在 Open Bug Bounty 專案上,已修復 272,388 個漏洞並持續增加中,對網站業主及開發工程師是一大利多。 特別一提Open Bug Bounty這獨特的漏洞回報計畫。 一方面,這非營利計劃使網站業主不用成本獲得網站防護。 回饋獎勵可以是網站公司的有趣產品、一箱提神飲料、或簡單的一句謝謝、甚至只是義務幫忙不用回饋任何東西。 另一方面,資安研究人員可以更輕易了解開發漏洞,並贏得各種 “徽章”。 感謝並嘉許設置該漏洞回報計畫有關人員及參與該計畫的資安研究人員,打造一個更安全網路世界。  更多的好消息:破壞Nintendo年輕駭客,RyanRocks落網入獄服刑 對網路安全防禦者來說,本週有另一個好消息。但對有才華年輕卻濫用聰明技能損害他人利益的 “駭客” 來說,卻是壞消息。 這周RyanRocks 又名 Ryan Hernandez 對駭客指控表示認罪。 他在 17 歲時開始濫用技術,利用網路釣魚,釣取一名任天堂員工,並在該員主機上安裝惡意程式。 Hernandez 從受害者獲得憑證,進一步破壞 Nintendo Developer Portal,並竊取遊戲機製造商IP。 聯邦調查局於 2017 年第一次抓到他,但由於是未成年人犯案,所以僅警告他謹慎行事。 不幸的,RyanRocks 並沒長一智,沒意識到自己是如此僥倖。再回到濫用技術、偷取數據的路上,成為更高階駭客。 第二次被抓後,聯邦調查局(FBI)保證他這次入獄服刑。網路上會暫時少了一個駭客。 除了面臨刑期外,Hernandez 還被處以 25 萬美元的罰款。 如果他只將自己的時間和才華花在 Open Bug Bounty 之類事上,前途不可限量。 他將在2020四月開使服刑。 The Bad Window7 EOL? 小心成為駭客攻擊標的! 大家可能對 Windows 7 的逝去有不同的看法。 但可以肯定的是,駭客們對這有十年歷史的OS 停止更新及安全性修正發布,感到非常滿意。 目前全球大約有 2 億台設備仍使用 EOL 版本的 Windows 系統(Win7, WinXP),這些設備成了駭客有利可圖的目標。 最近一項駭客行動,使用 Lemon Duck Powershell 惡意程式 針對使用Windows 7作業系統的IoT 設備製造廠攻擊,入侵並取得控制IoT連網設備。(例如:內網印表機,連網電視及自動化車輛)  另外有小道消息指出,與俄羅斯軍事情報部門有關的外圍組織 Gamaredon APT 最近幾個月一直在 “加強” 駭客行動,改善入侵工具並製定入侵戰術。 有研究指出,Gamaredon 的活動可能只針對烏克蘭相關電腦資產設備。但該組織如何進行網路作戰經驗,可能會被其他親附組織所吸收學習。並提供親附組織一種包含戰術、戰技、戰略 TTP(Tactics, Techniques and Procedures) 的 “戰地訓練”。很快就有機會看到針對其他目標的攻擊。  The Ugly 小心你的服務外包商! 本周再次叮嚀, 組織企業要注意某些意外情況。 駭客攻擊不僅只通過網路、魚叉式釣魚來入侵企業網路和設備。 警告組織企業近來得注意某些不尋常出現的服務外包商(例如:清潔人員),進入組織內部並進行實體入侵。 一旦入侵,偽裝駭客可插入帶有惡意程式的USB到設備內,直接刪除檔案或感染無人看管的硬體。 除了清潔工,油漆工和裝潢工,都有可能被利誘來進行此類攻擊。 在這周我們要再次友善提醒,公司企業要注意一些意外情況,有時駭客們不一定是通過網路或魚叉式釣魚攻擊來入侵你的網路和設備。 現在,公司企業被告知要警惕那些將 cleaner 植入並進行實際破壞的網絡罪犯。 一旦進入,這些變相的駭客可以放入惡意 USB 到設備上,直接刪除檔案或感染無人看管的硬體。 清潔工,油漆工和裝潢工,都有可能被小錢招募來進行這類的攻擊。  本週最後,繼續華為的傳奇。
這家中國電信公司要求美國聯邦通信委員會(FCC) 移除該公司為國家安全威脅 (national security threat)。 儘管華為是全球最大的手機設備製造商之一,同時還生產其他電信設備,並準備在今年向英國全國推廣其 5G電信基礎設施。 此舉,在2019年5月令美國政府十分惱火,也因擔心與華為合作可能積極協助中國進行網路間諜活動。 導致於11月華為被美國聯邦通信委員會(FCC)認定該公司對國家安全造成威脅。 然而,這家中國科技巨頭在本週提交的長達 200 頁的文件中聲稱,美國聯邦通信委員會(FCC)的舉動是 “非法的”,“誤導” 和 “違背憲法”。 The Good 在上週印尼國家警察與國際刑警組織舉行了聯合新聞發布會,宣布 “ Operation Night Fury ” 的結果。 這項努力最終導致逮捕了三名與 Magecart 襲擊有關的犯罪嫌疑犯。 據發佈會表示,這些嫌疑犯在全球內對網路購物站進行了數百(甚至可能更多)攻擊的幕後黑手。 犯罪嫌疑犯於 12 月被捕,並可能面臨長達10年的刑期。 根據收集到的情報,他們進行了多階段行動。 首先,他們會破壞網路購物站,以竊取信用卡和個人詳細信息。 然後立馬使用在購買各種商品,再轉售以換取現金。  Magecart 至少可以追溯到 2016 年,他攻擊了許多流量大的購物網站。 其中一些包括 Ticketmaster,NewEgg,British Airways 和 MyPillow.com,因此看到這些犯罪者被捕是購物網站安全之戰中的巨大勝利。 The Bad Emotet 在今年並沒有放慢腳步。 如往常一樣,我們發現他們的社交網路策略和誘惑一如既往。 一些最近曝光的活動是利用對於冠狀病毒爆發的擔憂與不確定性。 偽裝成釣魚式和惡意垃圾郵件,假冒來自公家機關有關健康恐慌的通知,誘導目標使用者下載 Emotet 木馬程式。 我們觀察到此攻擊的多個版本,所有版本都針對不同的地點,語言或方言。 基本上她們都誘導似乎是官方通知或衛生機關信息的惡意附件。 在大家都處於恐慌冠狀病毒爆發的時期,這些誘餌已證明成功。 這些行動的幕後者在掠奪公眾恐懼方面是完全沒有克制的。 打開(或甚至不要打開)附件時請務必小心,並確保您受到 Active EDR 解決方案的保護,並能夠抵禦此事件和所有其他 Emotet 系列。  The Ugly 到目前為止,我們都(希望?)意識到流行的社交平台及 app 為什麼是 “免費” 的原因。 這些服務不需要付錢,因為它們可以通過你的個資和使用行為方式獲利。 對感興趣的買家而言,這些數據是價值不菲的。 而你應該不會想到你的電腦安全或 AV 供應商也是 “免費服務" 其中之一 。。。。 在本周,免費的防病毒產品 AVAST 正在使用其瀏覽器擴展組件來收集用戶數據。 然後,他們的 “Jumpshot” 部門會將這些數據出售給感興趣的買家。 當相關消息傳出時,AVAST 表示該信息已被完全 “ de-identified 去識別”,因此不應引起關注。 以下為直接引述:
但是,PCMag 和 Vice / Motherboard 進行的聯合調查發現,實際上這些大量數據是可以與個人匹配。 據 VICE 表示,一些大型公司被列為 “ Jumpshot” 的買家,包括微軟,百事可樂,谷歌和 Home Depot。 更令人不安的是,大多數 AVAST 的用戶都不知道他們的網路行為已被收集。  關於 AVAST 和 Jumpshot 在不告知收集數據的行為已經很久了。 2019 年 12 月,參議員 Ron Wyden 公開調查了該公司,並特別關注了他們的惡劣做法。 此外,由於此侵入性的行為,Mozilla 在 2019 年 12 月從他們擴展組別中刪除了 AVAST 產品。 其他公司也紛紛效仿。
Note:AVAST 在 1 月 30 日發布了一份新聞稿,指出他們將 “關閉” Jumpshot。 正所謂的 “不用錢的是最貴的 "。 同時,提供免費服務的人通常希望得到一些 "回報"。 我們所有人都需要花一些時間來痛苦地了解和熟悉在這信息與個資的高速公路上是如何 “攝取” 我們的數據。 並非所有人都願意花時間來理解這一點,但這很重要,也是不幸的必要。  The Good 美國政治一向是分歧嚴重的,但至少這次兩端都達成共識:網路犯罪需要以緊急和協調的方式來加以解決。因此,好消息是,國會在 1 月 17 日提出了兩黨合作的《 Cybersecurity State Coordinator Act of 2020 》。如果獲得通過,它將任命 50 名員工(每個州一名)加入Department of Homeland Security’s Cybersecurity and Infrastructure Security Agency , CISA。每位員工都將成為網路安全狀態協調員,他們能夠以各種身份在聯邦機構和非聯邦機構之間提供便利的協調,例如提供聯邦網路安全風險建議,在事件期間作為主要聯繫點以及充當策略推動者。關鍵職責將包括幫助組織規劃和管理網路安全基礎設施的發展,促進與非聯邦單位共享威脅情報和聯邦網路資源,以及支援與網絡安全風險和事件相關的培訓,演習和補救措施。 該法案是邁向正確方向的一步。 與其以缺乏更多數據保護和服務及更多法規和懲罰的形式來打擊各企業/單位,還不如說是“蘿蔔加大棒的概念” –為各州和地方政府,學校,醫院與其他努力跟上網路衝擊的組織,提供當前急需的實際幫助。  The Bad 所有數據洩露都是不好的,但引用 Tolstoy 的話來說,“每次的數據洩露都有自己痛苦的方式”。 但是,有些數據洩露使我們知道的其他東西都黯然失色。 微軟,在本周公開了這樣的數據洩露事件。 這家 OS 系統製造商在一博客文章中表示,在 12 月 5 日至 31 日之間,在沒有適當保護的情況下,存儲在內部用於匿名分析的客服數據庫意外地在線上暴露了出來。 這暴露了14年的客戶支援的日誌,其中包含 2.5 億個記錄,其中包含如電子郵件地址,IP 和支援案件詳細信息之類的信息。微軟表示,大多數記錄不包含任何個人用戶信息。 錯誤配置的伺服器在被發現並關閉之前已暴露於 Internet 25天。 找到伺服器的研究人員說,這些數據對於技術支援詐騙可能是有價值的,尤其是那些假裝是Microsoft 支援客服代表的詐騙者。 Microsoft 及時採取了行動,並在通知的兩天內修復了問題。 但是,這次的事件表明了即使是非常熟練的企業組織也仍在雲端配置和安全性方面掙扎與搏鬥。  The Ugly 本週最醜陋的故事涉及了 Amazon,但再說明白點,網路零售巨頭,或更確切地說是其創始人兼首席執行官 Jeff Bezos,是受害者而不是肇事者。 據英國《衛報》,Bezos 的 iPhone 顯然是在 2018 年 5月 被一個隱藏在 mp4 檔中的惡意軟體入侵,該mp4是由 WhatsApp 發送給 Bezos。 而真正引起這個醜陋的網路風暴的原因是,該檔案據說是由沙烏地阿拉伯王儲Mohammed bin Salman 發送給 Bezos 的。  儘管沙烏地阿拉伯大使館很自然否認了這些傳聞,並稱指控為“荒謬”,在 Bezos iPhone上進行分析的研究人員表示,該惡意程式 “極有可能” 來自受感染用戶的視頻文件 。。在惡意程式感染的幾小時內,從 Bezos 手機中竊取了大量個人數據,大概是將其上傳到了由惡意程式作者控制的伺服器上。至於這種高階人身攻擊的動機,猜測圍繞著因為 Bezos 還擁有《華盛頓郵報》。長期以來,沙烏地阿拉伯一直對批評該國人權記錄的報導感到不滿,並且有人猜測沙烏地阿拉伯可能希望利用竊取的數據來獲得槓桿作用,以獲得更有利的新聞報導。當然,華盛頓郵報也是被謀殺的沙烏地阿拉伯記者 Jamal Khashoggi 的雇主。我們相信,這個故事還有很多有趣之處,我們當然都想更了解這次攻擊中使用的惡意程式。同時,請注意你是在與誰聊天,並提防未經請求的 mp4 檔案!
|
Categories
All
Archives
March 2020
|
RSS Feed