 The Good 在德國和其他國家執法機構領導下的一項國際行動中,全球最大的暗網-非法市場 DarkMarket 已是 offline 的狀態,合作國家來自澳大利亞,丹麥,摩爾多瓦,烏克蘭,英國和美國(DEA,FBI 和 IRS),還有歐洲刑警組織的支持。 該網站擁有近 100萬用戶,超過 2400 個賣家,處理了數十萬筆涉及毒品,假鈔,被盜信用卡資訊或偽造信用卡,匿名 SIM 卡和惡意程式交易。 據估計,該網站處理的交易額達 1.4 億歐元。  在上週末,一名澳大利亞人被捕,他參與了在德國和丹麥邊境附近的 DarkMarket operation。 通過調查,官員找到並關閉市了 marketplace,並沒收了在摩爾多瓦和烏克蘭 20 多個伺服器的犯罪設施。 查獲的伺服器包含了許多用戶,賣方和運營商的數據,預計將導致更多人逮捕。 The Bad 在家工作的趨勢使許多企業組織變得脆弱。 允許員工進入公司網絡和雲端資產需要安全工具和很大的自我紀律,但這通常是缺乏的,駭客們早已經注意到了這一點。 US Cybersecurity and Infracstructure Security Agency(CISA)發布了一份分析報告,其中表示針對最近已有不同企業組織的雲端服務的成功網絡攻擊。 根據 CISA 的說法,駭客們正在使用多種方式來利用受害者的雲端服務配置及不良的網路使用習慣。 要獲得對受保護雲端環境的進入權限,需要使用各種策略和技術(網路釣魚,暴力嘗試以及可能的 “ pass-the-cookie” 攻擊),來利用受害企業組織的雲端安全的弱點。  CISA 在多個不同的事件報告發現,攻擊者試圖通過惡意連結收集用戶憑證來取得權限。 如果這種策略失敗了,他們不段的嘗試,例如製造假的託管服務帳戶登錄 email。 當他們取得用戶的憑證時,他們將從受害人的帳號向其他員工發送 email,並獲取他們的憑證。 而且在某些情況下,這還不是必要的:有的公司企業允許員工通過 VPN 連接,還把 port 80留在了開放狀態……然後就受到了暴力攻擊。 CISA 指出,有時駭客們只是利用 email 線索,利用員工設置 email 轉發規則來自動轉發工作郵件發送到個人帳戶。 在一種情況下,攻擊者修改了用戶帳號上的現有規則,並將電子郵件重定導向到可控制的帳號。 CISA 表示,這次的攻擊無法與任何單一的駭客們連接在一起,但他們認為,這與最近與 SolarWinds 事件 牽連再一起的 APT 組織無關。 The Ugly 最後,沒有保護好客戶的數據之不負責任已達到最新的高度。 在社交媒體巨頭無限期地禁止川普的帳號之後,他許多支持者蜂擁至另一個社交媒體平台 Parler,一個沒有在控管內容的平台。 而且大家都知道 Parler 上有很多可以極湍的內容,現在已被迫退出 Amazon ,並在各種 App Store 中禁止下載。 但是,似乎這平台背後的開發人員也不是特別注意保護用戶隱私的問題。 在 Parler offline 之前,一個名叫 “ @donk_enby” 的激進駭客找到了一種方法,並下載幾乎所有的訊息,照片及影片。  取得 Parler 99.9 %的內容也不需要任何特定的 “ leet” 駭客技巧。 這網站使用了不安全的 direct object reference 或 IDOR,它允許任何人可利用猜測應用程式後引用其存儲數據的模式。 簡單來說,Parler上的貼文按時間順序列出:將貼文的 URL 中的值增加一個,就可以進入該網站上的下一個貼文。 此外,Parler 不需要身份驗證即可查看公開貼文,也沒有實施任何機制來限制抓取,例如 “rate limiting”,以防止有人在短時間內進入許多貼文。 一位網路安全專家認為這網站的架構 “就像 Computer Science 入門的一項不及格的功課”。
現在,在國會被襲擊之後,許多用戶擔心這些數據會被利用來對付他們。 其他激進駭客已經開始篩選數據,並將消息,時間和地理位置串連起來,以查明暴動中肇事者的位置(事實上,有些是在國會大廈內貼出的)。 當然,這對於執法部門來說是個好消息,但是作為 case study 在如何託管和保護潛在的敏感數據,這是一個失敗和更失敗的對象課程。
0 Comments
The Good 我們總是喜歡在任何的情況下強調執法面的勝利,特別是當罪行是如此 “黑暗” 時,這令人滿足。 本週,Essex, UK 的警察局逮捕了一名勒索涉嫌勒索羅馬尼亞,香港,澳大利亞和英國的近 600 名受害者。 據報導,這名男子是位於在 Chafford Hundred 的 Akash Sondhi , ,他侵入年輕女性的 Snapchat 帳號。 一旦他有了訪問權限和控制權,他就會向她們勒索,向他發送暗示性和破壞性的照片。 在大多數情況下,Sondhi 已從目標帳戶中獲取了現有照片,並利用這些照片來勒索裸照和私密圖片。 如果受害者不遵守規定,Sondhi 威脅將這些照片發布給他們的朋友和家人。 受害者的年齡在16至25歲之間。  Sondhi 這樣的行為對這些受害者造成了嚴重傷害,造成了重大的心理傷害,其中一名受害者企圖自殺。 對於他的罪行,他將至少服刑 11 年,並在釋放後的 10 年內被被註冊為性罪犯。 這是在對抗小型網路犯罪中取得的勝利,但也可以提醒人們在與Internet 上的 unknown 進行交流時要謹慎謹慎。 Stay safe!! The Bad 新年通常給大家帶來了新的機會,並重新開始。 很不幸的是,2021 年沒有帶給我們的一件事就是勒索程式的終結。 我們在本週開始,觀察了一個較新的勒索程式系列,稱為“ Babuk”。 Babuk 並不是完全的突破性,但威脅是一樣的。 與其他勒索程式的運營商一樣,在受害者不遵守勒索要求的情況下,Babuk背後的人員也威脅要釋放被盜數據。 此時,Babuk 背後靈僅在特定的 “地下” 論壇中發布受害者數據。 他們似乎還建立了一個 .onion 域,目前沒有任何數據。  目前 Babuk 聲稱使用加密算法(ChaCha8 / SHA256 + ECDH)的自定義組合,以確保受害者在不支付費用的情況下就無法 recover 數據。 據報導,攻擊者目前積累了 60,000 美元至 85,000 美元。 時間會證明 Babuk 是否會像其他的勒索程式一樣迅速崛起,但到目前為止,在外使用這種勒索程式的範圍還很小。 因此,為了迎接新的一年……並保護自己免受 Babuk 的攻擊,請確保對你的所有系統有是有可管理和適當的保護。 FYI ~ SentinelOne Singularity 是可以完全抵禦 Babuk 攻擊的歐~~ The Ugly 我們都有點習慣仿冒各種官方機構的網路釣魚電子郵件。 而現在危機期間,當各種政府機構試圖盡可能快而有效地傳播準確的信息時,這變得更加成問題。 在本週,Australian Cyber Security Centre(ACSC)發出警告,指出網路犯罪分子正在發送偽裝為來自 ACSC 官方訊息的釣魚電子郵件。  釣魚 email 中包含惡意連結,據報導其中包含下載 “防病毒軟件” 的 link,但其實下載程是在目標個人的主機上傳送和執行銀行木馬。 ACSC 警告繼續指出:
“……近期有訊息顯示出,網路犯罪分子由一個假的電話中告知個人戶,要求他們將 “ TeamViewer” 或 “ AnyDesk” 下載到他們的設備上,以幫助解決惡意程式問題。 詐騙者然後試圖說服接收者執行,例如在瀏覽器中輸入 URL 並進入 online banking 服務,這隨後危害者機以洩露銀行信息。” 我們鼓勵相關人士 review ACSC 警告,並採取任何必要措施以減少接觸並降低風險。 在 email 和網路使用安全方面,你永遠都要很小心……作為友善的提醒,email 仍然是最常見的惡意程式傳遞方法。 Well, 不得不說 2020 年非比尋常。 這裡是世界對於過去 12 個月的想法,而這兒是在網路世界發生的一些重要事件,我們不打算再回顧過去。 相反的,讓我們看一下 2021 年的會發生什麼。我們向 SentinelOne 的一些專家詢問了他們對今年的預測。 儘管沒有人擁有水晶球可以洞悉一切,但依據我們對現在的了解,以下就是他們預料的發展。  Ransomware – We Haven’t Seen Anything Yet 第一!流行的勒索程式不僅會持續下去,甚至還會變得更糟。 攻擊會變得更加複雜,頻率和贖金要求也將因多種原因而增加。 首先,攻擊者們已逐漸了解容易攻擊目標的狀況,而目前已證明是市政當局和地方政府組織。 由於這些目標使用的資源有限,修補速度緩慢,使用舊式防禦解決方案,並採用老舊的技術來落實並嘗試解決未來的問題。。。 而抵制勒索程式攻擊的最有效方法不是先受到攻擊,我們只能通過縮小攻擊者的複雜性和當今的防禦措施來實現。 不幸的是,官僚主義的預算編制和採購流程 (是不是很熟悉啊??),將使政府機構和地區政府無法跟上攻擊者。 通常,下一年的公共部門預算是落在 7 月 1 日之前,這表示公共部門組織,很肯定的會落後於安全曲線 18 到 24 個月。 短期內也將無法獲得可替換過時的舊系統的額外資金。 其次,勒索程式是以利潤為主的業務,特別是在 Baltimore 攻擊事件之後,,由於未能滿足 76,000 美元的要求而導致損失超過 1800 萬美元,市政當局放棄 FBI 不向攻擊者付款的建議。 而這種趨勢可能會持續下去,曾經被認為是必備的網路保險,現在已成為必需品,用 claim 向攻擊者付款要比八位數的損失金更具吸引力。 Morgan Wright, Chief Security Officer at SentinelOne to read more!  Attack Sophistication Will Become the New ‘Normal’ 有在 follow SolarWinds 攻擊最新發現的任何人都知道,這樣的規模和複雜性將繼續存在。 儘管國家級駭客與以賺錢為動機的網路犯罪組織之間的界線越來越模糊,但現在使用的戰策略是從未見過。 首先他們先竊取 certificate 以對由聯邦和 state 機構廣泛使用的軟體進行惡意更新,再使用現有 API calls 和網域,同時製造 『客製化』的 DLL 進行 communications,然後躲起來幾個月……這些 TTP 超出了大多數政府機構和目前已構建安全程式來對抗。 這意味著我們所有的人(身為一個防御者)必須重新思考我們的保護方式。 傳統的監視和安全工具是無法檢測到以上提到的TTP; 為了檢測這些,需要建立一個良好的 baseline,持續尋找異常,偵查每個異常,並確保每個端點都具有不是依賴在流量或網路發現的設備上檢測機制。 如果有一個端點沒有受到保護,它很可能成為在其餘網路上的入口點。 實際上,是可以找到依靠這一方面來檢測傳入有企圖性的解決方案,也稱為欺騙市場 - deception market。 最後,作為防御者其實很簡單:“多吃蔬菜 eat your cvegetables”- 意指從基礎開始,確保良好的基準並檢測異常,進行可以互相通聯的的防禦層,並確保你的端點是受到基於行為的檢測 behavioral-based 的保護並在發生時進行捕獲。 Migo Kedem, Senior Director, Products & Marketing at SentinelOne to read more!  Deepfake Is Coming of Age…And We’re Not Ready For It Back in the far-far past, before The Fall, there was little yibber about a spesh story that many would have missed if they didn’t sivvy for it. It’s all true true, not a yarn I tell you. 若是追溯到遙遠的 past,在 The Fall 之前,大家對那些無聊的故事幾乎是一點興趣都沒有,甚至他們若不喜歡它的話,也是會錯過的。 這都是真的!。 除了 Cloud Atlas 和新冠肺炎之外,有個故事爆發了,有點喧染但似乎消失了。 而富比士 Forbes 對這事件的報導是在 2019 年9 月 3 日發布,照我們現在的標準來說,這好像是很久很久之前.. 但這個故事還是很重要的啦~。 一個總部位於英國的 CEO 致電了母公司的德國 CEO,並下令將 220,000 歐元轉入匈牙利供應商的銀行帳戶。 聽起來有點怪吧?對嗎? 但是~這位 CEO 並不擔心,因為他碰巧認識了這另一位 CEO,而且熟道可以聽出聲音中有了德國人的口音 - 而且還帶有個人獨特的腔調。” 後來這筆錢就很正常的轉走了。 但在第二次和第三次電話會議之後,這位英國 CEO 才開始懷疑,並想起了其他線索才發現犯罪分子利用研究人員認為是 AI 模仿的第一案例來進行欺詐案,or deepfake. 由於可預見的將來,大部分的人仍會在家中工作,甚至在疫情過,大部分時間仍是在家中工作,這種詐騙行為將會變得越來越普遍。 我們無法與同事聊天,也無法直接面對面尋求確認。 而隨著 Deepfake 技術價格越來越便宜,電腦的功能越來越強大,目標也被剝奪了去實際工作場所的權利,那犯罪分子會變得更有利。 因此,以下是我的預測…… 我相信在2021年,我們將看到第一個成功,based on video 的 Deepfake 網路釣魚攻擊,這將導致重大的金錢或數據遺失。 我希望我是錯的,但我認為所有都已準備就緒。 Thom Langford, Security Advocate at SentinelOne to read more!  The Supply Chain Risk Becomes Real for Everyone 2020 年底發生的 FireEye / Solarwinds 漏洞仍在不斷發展,而且這種供應鏈攻擊的範圍是很驚人的。 除此之外,美國 DOD CMMC 法規將於 2021 年開始執行。向 DOD 提供產品或服務的任何公司以及所有這些公司的分包商和供應商都必須符合CMMC 標準。 因此,請準備好強大的控制措施,並專注於供應鏈中的網路安全。 Chris Bates, CISO at SentinelOne Here to Stay | May The Remote Workforce Be With You 直到 2020年,遠端工作的轉移是過去 100 年人們工作方式的最大轉變之一。 隨著 2021 年的年度合規性和認證審核以及CMMC 的到來,網路的相關程序將不得不改變,以利遠端工作環境中啟動流程。 對於許多努力在 2020 年達到這些要求的公司來說,例如漏洞管理和僅在遠端主機可見性之類的項目將成為必不可少的。 Chris Bates, CISO at SentinelOne A Change in Perspective | Security As Essential Infrastructure 明年的另一個預測是,資安將繼續擺脫被視為對業務和增長造成的責任,資安將被視為可確保業務的持續性的基本結構。 Migo Kedem, Senior Director, Products & Marketing at SentinelOne Judgement Day is Coming for Apple’s Approach to Security 最後,在蘋果的生態系統中正在發生一場戰爭,我們從一般的安全性提要中是很難知道。 這場戰爭圍繞著安全性的中心哲學,一場辯論便展開並圍繞在哪種方法更安全:開放或封閉的技術? 蘋果認為,包括安全研究人員在內的所有人都不得進入其硬體和軟體的某些區域,這會使 macOS 和 iOS 操作系統更加安全。 但安全研究人員認為,厲害的攻擊者無論如何都還是會找到方法,但在蘋果系統的封閉性,意味著受害者可能永遠不會知道自己已經受到威脅。 如果妳是站在 '開放' 的那一邊,那聽到在 2020 年最後一周。法院裁定蘋果不可以試圖關閉安全研究機構 Corellium 的舉動將令你感到安慰,儘管這場仗將無疑的持續到 2021 年,因為 Apple 一定會提起上訴。 再來~我們可以說連歷史也贊成 “開放” 的方式,因為已有無數 “ security by obscurity” 失敗的例子。 2020 年的兩個例子:在macOS 上,蘋果的 opaque Notarization 系統多次的被商業惡意程式 bypass。 在 iOS上,一名研究人員在本月初撰寫了30,000 字論文,詳細介紹了可以竊取用戶照片的零點擊 Wifi 漏洞。 零點擊? 對!不需要人任何的動作,即可通過空氣,觸發漏洞利用。 最後這是個價值 6,400 萬美元的問題:我們會在 2021 年看到駭客們在外利用 macOS 和 iOS 漏洞嗎? 我認為,有鑑於對macOS Big Sur 的漏洞研究的早期狀態以及因 checkra1n 而導致的各種 iOS 設備中無法修復的漏洞,2021 年將是網路安全的不平凡的一年。 請保護你的蘋果,與保護其他設備相同。 在這樣的模糊中是沒有魔法或安全感。 Phil Stokes, macOS Threat Researcher at SentinelLabs to read more!  The Good 在 2020 的最後一周中,網路安全表現出眾。 首先,我們很高興得知 National Crime Agency 逮捕了 2 1名涉嫌與已失效的 online 犯罪市場 "WeLeakInfo" 購買盜竊數據相關的人。 這個網站其實在 2020 年初就已被移除,其中託管了從 10,000 多個數據洩露中收集約 120 億個被盜憑證。 被逮捕者是年齡在 18至 38 歲之間的男性,涉嫌欺詐和/或違反《 Computer Misuse Act》。 除了逮捕行動,約 55,000 美元的比特幣也被扣留。  再來就是在 12 月初,Microsoft 分享了有關 SolarWinds 近期的攻擊事件以及國家級駭客如何針對 Azure / Microsoft 365 客戶的資訊。 令人高興的是,本週 CISA 的 Cloud Forensics 團隊發布了一個名為 Sparrow 的 open-source PowerShell tool,用於事件響應程序,可幫助檢測可能的受感染帳號。 除此之外,該腳本檢查與 SolarWinds 相關的已知 IoC,列出 Azure AD domain,並檢查某些 API 權限以識別潛在的惡意活動。 千萬別小看最近的 APT 攻擊活動,這次 CISA 的工具可確保企業免受SolarWinds 供應鏈攻擊的後果。 The Bad 大家都期待 2021 會有許多的好消息,特別是關於 COVID-19 疫苗的推出和開發,但這對許多駭客來說~這仍是難以抗拒的易受破壞的誘餌。 過去一周,在駭客們用勒索程式感染在 Antwerp 的通用醫學實驗室(ANL)之後,在比利時的 COVID-19 實驗室被關閉。 AML 是一家私營企業,每天處理大約 3000 項 COVID-19 測試,並且是該國最大的私人測試實驗室,處理近 5% 的案件。 而儘管類似的攻擊(例如上個月 European Medicines Agency,也以數據盜竊為目標被攻擊,但目前尚無證據證明病人的個資被盜。 是哪種勒索程式或攻擊者要多少錢的細節也不清楚。但,在這個階段強迫 COVID-19 測試設備停機的傷害已經夠大了。  The Ugly 最後,一個醜陋的數據洩露事件,這一次真的很難看,因為被洩露的數據屬於 930,000 名美國兒童,青少年和大學生。 據報導,由 Viacom 和 Bill & Melinda Gates 基金會共同創立的教育慈善機構 GetSchooled 的 database 被洩漏。其中約該 1.25 億條記錄,包含學生的 PII(personally identifiable information),姓名,地址,電話號碼,年齡,性別,學校 和畢業細節 。 但 GetSchooled 表示洩漏的記錄數接近 250,000,只有 75,000 筆與 email 連接的仍保持 active。 至於數據被暴露了多久還不清楚,但是對於之後處理的時間存在一些擔憂。 身份不明的第三方將漏洞報告給英國網路安全公司 TurgenSec。 然後該安全公司於 11 月 17 日將此問題通知了 GetSchooled。 但是,直到 12 月 21 日才解決了問題,據說要等到新年之後才進行調查和審查。 而這個時間表引起了一些批評,也沒有關於攻擊的報告,原始消息來源的細節也令人擔憂。  |
Categories
All
Archives
January 2021
|
RSS Feed