 The Good 美國政治一向是分歧嚴重的,但至少這次兩端都達成共識:網路犯罪需要以緊急和協調的方式來加以解決。因此,好消息是,國會在 1 月 17 日提出了兩黨合作的《 Cybersecurity State Coordinator Act of 2020 》。如果獲得通過,它將任命 50 名員工(每個州一名)加入Department of Homeland Security’s Cybersecurity and Infrastructure Security Agency , CISA。每位員工都將成為網路安全狀態協調員,他們能夠以各種身份在聯邦機構和非聯邦機構之間提供便利的協調,例如提供聯邦網路安全風險建議,在事件期間作為主要聯繫點以及充當策略推動者。關鍵職責將包括幫助組織規劃和管理網路安全基礎設施的發展,促進與非聯邦單位共享威脅情報和聯邦網路資源,以及支援與網絡安全風險和事件相關的培訓,演習和補救措施。 該法案是邁向正確方向的一步。 與其以缺乏更多數據保護和服務及更多法規和懲罰的形式來打擊各企業/單位,還不如說是“蘿蔔加大棒的概念” –為各州和地方政府,學校,醫院與其他努力跟上網路衝擊的組織,提供當前急需的實際幫助。  The Bad 所有數據洩露都是不好的,但引用 Tolstoy 的話來說,“每次的數據洩露都有自己痛苦的方式”。 但是,有些數據洩露使我們知道的其他東西都黯然失色。 微軟,在本周公開了這樣的數據洩露事件。 這家 OS 系統製造商在一博客文章中表示,在 12 月 5 日至 31 日之間,在沒有適當保護的情況下,存儲在內部用於匿名分析的客服數據庫意外地在線上暴露了出來。 這暴露了14年的客戶支援的日誌,其中包含 2.5 億個記錄,其中包含如電子郵件地址,IP 和支援案件詳細信息之類的信息。微軟表示,大多數記錄不包含任何個人用戶信息。 錯誤配置的伺服器在被發現並關閉之前已暴露於 Internet 25天。 找到伺服器的研究人員說,這些數據對於技術支援詐騙可能是有價值的,尤其是那些假裝是Microsoft 支援客服代表的詐騙者。 Microsoft 及時採取了行動,並在通知的兩天內修復了問題。 但是,這次的事件表明了即使是非常熟練的企業組織也仍在雲端配置和安全性方面掙扎與搏鬥。  The Ugly 本週最醜陋的故事涉及了 Amazon,但再說明白點,網路零售巨頭,或更確切地說是其創始人兼首席執行官 Jeff Bezos,是受害者而不是肇事者。 據英國《衛報》,Bezos 的 iPhone 顯然是在 2018 年 5月 被一個隱藏在 mp4 檔中的惡意軟體入侵,該mp4是由 WhatsApp 發送給 Bezos。 而真正引起這個醜陋的網路風暴的原因是,該檔案據說是由沙烏地阿拉伯王儲Mohammed bin Salman 發送給 Bezos 的。  儘管沙烏地阿拉伯大使館很自然否認了這些傳聞,並稱指控為“荒謬”,在 Bezos iPhone上進行分析的研究人員表示,該惡意程式 “極有可能” 來自受感染用戶的視頻文件 。。在惡意程式感染的幾小時內,從 Bezos 手機中竊取了大量個人數據,大概是將其上傳到了由惡意程式作者控制的伺服器上。至於這種高階人身攻擊的動機,猜測圍繞著因為 Bezos 還擁有《華盛頓郵報》。長期以來,沙烏地阿拉伯一直對批評該國人權記錄的報導感到不滿,並且有人猜測沙烏地阿拉伯可能希望利用竊取的數據來獲得槓桿作用,以獲得更有利的新聞報導。當然,華盛頓郵報也是被謀殺的沙烏地阿拉伯記者 Jamal Khashoggi 的雇主。我們相信,這個故事還有很多有趣之處,我們當然都想更了解這次攻擊中使用的惡意程式。同時,請注意你是在與誰聊天,並提防未經請求的 mp4 檔案!
0 Comments
 The Good 網路安全技能的短缺是我們所有人都關心的問題,因此,本週美國國家高中網路安全人才發現計劃的啟動是一個好消息。 該線上計劃讓學生玩一個名為 “ CyberStart” 的智能遊戲,該遊戲評估玩家在與網路安全行業相關的各種技能方面的能力。 該計劃對每個州的男孩和女孩均開放,儘管參加 GirlsGoCyberStart 的女孩必須表現出色,然後才能被男孩計劃錄取。 儘管存在性別差異,但該前版本計劃的因鼓勵女孩將網路安全視為潛在的職業道路而受到父母的廣泛讚揚。  The Bad 對於本週的壞消息,沒有其他了!:Yup,就是 CVE-2020-0601,小名例如 CurveBall 和 ChainOfFools 之類的暱稱。 Windows CryptoAPI(Crypt32.dll)中的 bug 讓駭客可以使用偽造的安全憑證將惡意程式簽名變成可信任代碼,通過 HTTPS 進行連線,並以良性方式傳播惡意檔案和電子郵件。 根據發現 bug 並 report 給 Microsoft 的 NSA 的敘述,該錯誤影響了 Windows 10,Windows Server 2016,Windows Server 2019 和依賴 Windows OS 提供服務的應用程序。 Reddit 的報吿表示問題變得更複雜,有些用戶無法安裝 Microsoft 週二發布的 patch,導致這些用戶無法緩解症狀。 SentinelOne 昨天向所以的客戶保證,任何利用該漏洞的嘗試都將被行為引擎檢測到。  The Ugly 去年年底,我們注意到 Citrix 透露了 CVE-2019-19781( NetScaler Application Delivery Controller(ADC)網路產品中的任意代碼的 bug,並提供了緩解漏洞的步驟。 不幸的是,提供步驟的同時也提供了攻擊者開發漏洞所需的線索。 更糟糕的是,似乎研究人員一直在爭論負責任的公開,首先是 Project Zero India,然後是 github 上的 trustsec,估計有 13 萬個易受攻擊的設備。   The Good 隨著導彈在中東飛行,每個人都對伊朗新的網路戰爭活動保持高度警惕,隨著我們進入 2020 年第一週的尾聲,好消息似乎有點供不應求。 Facebook 臉書宣布了對 Deepfake 視頻的新禁令。臉書表示,他們將刪除被操縱以誤導觀眾相信某個主題“說出他們實際上沒有說過的話”的內容,這是一個機器學習的產物。儘管目前這項政策受到歡迎,但它並不涵蓋刪除或重新排列單詞順序的視頻,也不包括機器學習算法無法產生的編輯內容,以上了種都是操縱媒體的常見的方式。儘管如此,我們仍然會為 Facebook 的好消息給予 100分,特別是因為臉書已與路透社合作提供免費課程,以幫助記者和其他人識別和處理受操縱的媒體。 同時,Cisco 通過植入 14個漏洞 開始了他們的新年,其中包括兩個涉及遠程代碼執行(RCE)和跨站點請求偽造(CSRF)的嚴重漏洞,這對於經常修補與早早修補的使用者來說是個好消息。 RCE 錯誤會影響 Web 基礎管理界面的 Cisco Webex Video Mesh 產品,並且是因為用戶輸入不正確驗證所引起的。  The Bad Patching 漏洞是件好事,但對在外被積極利用漏洞來攻擊對受害者來說絕對是個壞消息,對還沒被攻擊的使用者也是。 Mozilla 本周發布了 Firefox 的新版本,並將最新的穩定版本更新為 1 月 7 日的 72.0。 1月8日,在 72.0.1 中出現了一個關鍵補丁時,幾乎沒有時間讓用戶有時間檢查新功能的列表。 Mozilla 沒有提供任何細節,只說明了 CVE-2019-17026 的錯誤是其 JIT 編譯器中類型混亂的結果。 而這也不是第一次需要緊急更新,因為已有駭客正積極利用此漏洞發動針對性的攻擊。 令人們擔憂的是,這一切歸功於中國奇虎 360 的發現,再發現後又推文聲稱發現了相關的 Internet Explorer zero day 也在外被積極利用 (而此 tweet 已刪除 ?)。 若有更多詳細信息,我們會立即分享。  另一個則是根據周一的一份聲明,在假期期間,似乎是針對性的勒索程式攻擊了德國自行車製造商 Canyon,對其軟體和伺服器都進行了加密。 雖然沒有贖金金額或公司是否選擇付錢的相關信息,但該公司確實表示來自 IT 網路安全領域的專家已快速分析和控制攻擊”。 預計此攻擊將迫公司承受生產和錯過交貨期限方面的損失。  The Ugly 內部威脅總是在我們的網路安全列表中排在最醜陋的位置,因此,四年以來直到本週再度亮相的是 Amazon 及爭議性的 IoT Ring (家庭式監視器)產品 :員工一直在偷看使用者的視頻。 該公司表示,在烏克蘭和其他非美國地區的員工可以存取其他員工,承包商,朋友以及員工和承包商的親友的 Ring 視頻,縱使用戶可以選擇公開但可能也包含他們不打算公開的視頻。 公司已發現有四起非相關職務人員偷看的事件。 Amazon 表示這些人員都已被解僱。 我們都曾看到過供應商將膨脹軟體加載到零售的 PC 和智慧手機上,但是供應商在政府資助的低成本手機上預先安裝了不可移除的惡意軟體就又是另一回事。 根據本週發布的研究報告,政府資助的售價 35 美元的 Unimax U686CL 預裝了已知的風險軟體,其開發者被發現製造 backdoor 後門程式。 它在手機 Settings.app 中攜帶了自己的 “嚴重混淆的惡意軟體”,並植入惡意程式 “Android / Trojan.HiddenAds” 。 刪除 Settings.app 可以有效地去除,因此修復是不可能的。  Source
  昨天(2020年1月2日,星期四)MAZE 發現自己迷失在自己的 “迷宮” 中。他們的公開羞辱網站以及在 CorK, Ireland, 託管的整個平台都被拆除 (https://worldhostingfarm.com)。  而 World Hosting Farm 似乎是掛羊頭買狗肉的掩飾(換句話說,不是合法的ISP),並且託管許多已知的惡意地址範圍:  緊隨本週稍早之後的消息,幾週前, Maze 的受害者之一,美國公司 Southwire,獲得針對可疑的兩名波蘭罪犯和 ISP 前線公司的安全緊急高等法院禁令。 能夠看到跨界禁令獲得批准真是一大好消息,甚至看到網站和惡意 ISP 被撤下更棒! 這一連續的好消息對 Maze 的幕後人有很大的影響。 The Bad 餐飲集團 Landry(例如,Morton's, McCormick & Schmick’s, Mastro’s, and Joe’s Crab Shack, 等600多家著名餐廳)在本週中了 PCI 攻擊。 即使他們的信用卡 POS 系統使用 end-to-end 加密來防止惡意程式讀取信用卡,但他們的集點卡刷卡系統卻沒有加密機制,員工有時無心用集點讀卡器刷了客人的信用卡。 。之後在集點卡系統上發現的惡意軟程能夠讀取信用卡數據!  Landry 在其官網上提醒了客戶,讓客戶知道此攻擊已經進行了大約一年。 但目前還沒有關於多少信用卡被盜的消息。 The Ugly New Orleans 在12月14日 惡意攻擊後更新了其恢復狀態。 此攻擊取走了連接到網絡的 3,400 個系統。 在過去的兩個半星期中已恢復了 2,658 個系統,但是,該市中的八個單位尚未從備份中恢復。 手動流程仍在使用來恢復優先重要的公共安全系統(包括 NOPD 的 EPP 和人體攝像機鏡頭)。 經過三週的停機,這些系統應在1月6日的下週一恢復。 同時,該市希望能夠在襲擊發生後一個半月之內,市民可於1月31日之前線上繳納房屋稅。 這裡協助說明下下到目前為止所付出的努力程度,自 12 月 14 日以來,已有超過 75人 投入全職。 對於所涉及的另外 75 人來說,這意味著超過 10,000 小時。 此外,儘管未提及為什麼,該城市多達 20% 的電腦資產將新無法在恢復的新網路上使用。 或許這也是無法恢復數據的資產的百分比。 儘管該市已將相關數據移交給聯邦調查局,但它不願透露攻擊中使用的勒索程式的類型,也不願意推測是誰(或哪個國家)是攻擊的幕後黑手。 但基於上載到 VirusTotal 的文件的初期報告指出 Ryuk:  根據此樣本中的 String,它似乎是從該市 IT Security Manager 的電腦上取得的:  以上報告完畢,本週醜陋:縣市和學校一直因為勒索程式感到失望,而且要花費數周和數月的時間才能恢復。
 年初時我們開始了在每個星期五對每週發生的重要網路新聞的一個總結,重點是落入三個大定義的新聞:對行業和用戶而言都是好消息的消息,影響企業和終端使用者的攻擊,駭客和漏洞的壞消息,當然還有醜陋的:可以避免的失敗,有爭議的決策和不幸的情況。 隨著年終的臨近,讓我們來看看我們的 “好,壞和醜” 摘要中的一些亮點: 資案界的美麗與哀愁。 The Best 從網路安全局 Cybersecurity Directorate(Wk30)的建立到殭屍網絡(Wk40)和RAT(Wk49)平台的移除,今年網絡安全方面有很多好消息。 另外,找出臭名昭彰 Dridex 惡意程式(Wk49)背後的兩名男子以及 Bayrob (Wk50)詐騙背後的犯罪分子,負責 GozNym 惡意程式的犯罪者(Wk52)都是對在邁入 2020 年網路安全的好消息。  更值得一提的是:提供網路安全解決方案的企業(Wk29,Wk32)的投資增長,期望這個趨勢在明年可以繼續下去。 但是,對於企業和用戶而言,最好的消息也許是主要資安參與者擴大了漏洞賞金計劃,這將導致我們大家使用和依賴的許多主要數位產品和服務的安全性得到改善。 在 Google(Wk35)發起一項新計劃以獎勵對 Android 應用程序中的數據濫用問題的報告之前,微軟也宣布了Edge Insider Bounty Program(Wk34)。 蘋果承諾向所有人(Wk32)開放其首次 iOS 錯誤賞金計劃。 公司很快就兌現了這些承諾(Wk51)。 在好消息中還值得一提的是俄羅斯 interactive APT map(Wk39)的出版 。  The Worst 有好也有壞,不可避免的是去年也有很多壞消息。 BlueKeep(Wk31)和 Windows 特權升級(Wk33)使企業處於高度戒備狀態。 值得慶幸的是,到目前為止,關於 Eternablue/Wannacry 再次攻擊的預測還沒發生。 但這並不表示危險不存在了,因為仍有許多容易受攻擊的設備存在。 毫無疑問,今年我們涵蓋的勒索程式故事比其他任何話題(Wk34,Wk35,Wk41,Wk44,Wk45,Wk49,Wk52)都要多,其中包括Ryuk(Wk36,Wk37,Wk40,Wk47,Wk52) 最猖獗的勒索程式。RobinHood(Wk30),Sodinokibi(Wk35)和Maze(Wk46,Wk52)勒索軟件變種,它們也在美國及國外的公共和私人組織中造成了嚴重破壞。 隨著勒索程式即服務的繼續感染並將威脅提供給更多,技術含量較低的犯罪分子,看來 2020 年將會有更多類似的情況。 但今年我們看到的最糟糕的事情是對印度在 Kudankulam 的姆核電站(Wk44)的襲擊。 魯莽攻擊核電廠的行為 ; 電廠安全運行對整個世界的安全與健康至關重要,對所有人類構成了最嚴重的威脅。  Image Credit: indiawaterportal.org/The Kudankulam Nuclear Power Plant (KKNPP)/Wikimedia Commons The Ugliest 今年發生在三星的醜陋事情,因為他們的 Galaxy S10 指紋讀取器 (Wk42)中的一個錯誤使任何人都可以用一塊透明的塑膠版 bypass 它。 Nord VPN(Wk43)不僅受到安全漏洞的攻擊,不僅使駭客可以自由支配在虛擬專用網路提供商的伺服器,而且還因為未能在18個月內向客戶告知漏洞而受到廣泛批評。 成為中國APT(Wk36)攻擊目標的 Fortinet 在被攻擊(Wk48)後也遭到了一些嚴厲的評論,即該公司將加密密鑰寫死到其若干產品中,在一年半內也無法修復該錯誤。 也許在2019年網路安全最糟糕的公司是 Cisco。 CVE-2019-12643(Wk35)在CVSS上的嚴重性被評為10/10,它允許惡意HTTP 請求 bypass 身份驗證,並使攻擊者能夠登錄和執行特權操作。 對於公司而言,更多的壞消息 (對舉報人 James Glen的好消息),該公司在被認定有運輸已知漏洞的產品的罪名後,根據《 False Claim Act》被美國法院處以 800 萬美元(Wk31)的罰款。 年份。 最後,在北京通過新的網路安全法(Wk31),限制購買美國網路設備,數據存儲和 “關鍵信息基礎設施” 硬體之後, Cisco 看起來將面臨在中國開展業務的艱難時期。 對於 Cisco 以及數百萬依靠其產品的人們,人們只能寄希望於 2020 年將是更好的一年。  今年就這樣了,但當然,我們將在1月3日星期五開始 2020 年推出新系列的《Good, the Bad and the Ugly》。 在 LinkedIn,Twitter,YouTube 或 Facebook 上關注我們,或註冊我們的blog 。 在此之前,SentinelOne 全體員工將度過一個愉快而安全的 2020 年,新年快樂!Happy Chinese New Year! The Year of Rat!!!
 The Good 在 2019 年初三名被發現屬於 GozNym 惡意程式族群的人被捕後,在 2019 的最後一週被判刑。 上週,Krasimir Nikolov),Alexander Konovolov 和 Marat Kazandjian 因長期參與競選活動而被判刑,這些競選活動都依賴於 GozNym 銀行木馬程式和支援基礎設施。 Nikolov(於2016年被捕)已滿刑期並轉移至保加利亞。 Alexander Konovolov 被認為是該組織的領導人之一,被判處 7 年徒刑,而 Kazandjian 被判 5 年徒刑。 從 2012 年開始,GozNym 成長為一個多產而且很成功的惡意程式工具組。 是一個威脅銀行的木馬程式(Gozi)以及能夠充當勒索軟件和後門程序(Nymaim)。 這些木馬程式主要通過電子郵件垃圾郵件活動進行感染,並被大量用來竊取銀行憑據並從受害者中轉移資金。 另一好消息是,Ryuk 似乎在最近的變種中為 WSL(Windows Subsystem for Linux)帶來了一點短暫的休息。 在分析了最近的範本之後,研究人員 Vitali Kremez 指出,大多數的* nix installations 中固有的特定文件夾名稱和結構,都有寫死的排除項。 這最初有點困惑,因為沒有 Ryuk 勒索程式的 “已知” * nix 變種,在受感染的 Windows 客戶端之間共享整個 Linux 文件結構也不常見。 話雖如此,進一步的研究指出,排除項意在容納 WSL 和關聯的文件夾。 最後,勒索程式的開發者需要受害者的機器來關閉圈子並促成付款。 他們相信這是該功能背後的動機。  The Bad 對於 “Maze Crew” 來說,他們沒有放慢腳步。 背後的製造者(這裡有介紹誰是 Maze Crew)繼續對不願意付錢的受害者那裡釋放數據的威脅。 在過去的一周中,發布了來自 busch 和 City of Pensacola 的數據。 儘管這只是攻擊者聲稱從這些目標環境中竊取的一小部分,但它不斷提醒人們勒索程式和相關勒索問題的嚴重性。 如上述,預防是重要的,要真正避免這些多管齊下的活動,唯一的辦法就是預防它們。 由於此處使用了數據發布組件,因此能夠恢復其加密數據而又避免攻擊者需求的目標環境仍然處於危險之中。 Positive Technologies 的研究人員最近透露了有關影響多種 Citrix 產品和技術的關鍵安全漏洞的詳細信息。 該漏洞使任何未經身份驗證的攻擊者都可以通過受影響的 Citrix 組件來 remote 內部網路資源。 一旦進入內網,攻擊者就可以繼續橫向移動或攻擊並在目標內網中建立更深層的存在。 根據 Positive Technologies 的表示,此問題影響到遍布全球的 80,000 多家公司。 該漏洞已標示 “CVE-2019-19781”, Citrix 已發布修補,並通知客戶應考慮將修補的應用程序視為高/關鍵優先權。  The Ugly 由於最近成功擊敗 2FA 的戰爭,Advanced Persistent Threat APT20(又名 Violin Panda)一直把注意力放在自己身上。 該組織主要針對 MSP(服務託管提供商)和政府單位,一直在尋找在 JBoss 上 的易受攻擊的目標。 一旦他們在被曝光的 Web伺服器上建立,便會繼續安裝 Web Shell,並進一步滲透到受害者的網路。 此過程的一部分包括獲得對 RSA SecurID 程式 token 的訪問權限,也是成功克服 2FA 挑戰的關鍵之一。 此方法還適用對被受 2FA 保護的 VPN 帳戶進行身份驗證。  |
Categories
All
Archives
January 2021
|
RSS Feed