 The Good “鈴鈴鈴~!” “是誰啊?” “我是雙重認證啊 !!!” 在2月18日,Ring(Amazon 的母公司)宣布將為公司客戶帳號實施新的強制性安全驗證。 基本上來說,所有的客戶在登錄Ring 的帳號後都將需要雙重認證。 客戶可以選擇通過 email 或簡訊,作為第二種身份驗證方法。 這些改變是在該公司客戶帳戶被劫持之後發生的。 儘管並非所有人都習慣 “強制性” 的雙重認證,但這被視為向前積極邁出的必要一步。 在最近發生的一些資安事件裡,為了保護 loT 設備,必需要有強力的控制。 MFA 雙重認證雖然不完美,但它是朝著不斷尋求保護設備和服務安全的正確方向。 我們都需要時間適應變化,因此很難預防這種所謂的 “摩擦”。 例如當年沒有了 floppy 或耳機插孔 ,我們不也慢慢的習慣了?在這日新月异的科技世界裡,特別是在用戶和駭客之間做個小小的機制 (強制性的雙重認證),是一個值得欣賞的舉動。  The Bad 勒索軟體襲擊天然瓦斯工廠! 最近一起的勒索軟體攻擊迫使一家在美國天然瓦斯工廠關閉。此攻擊直接影響了安全和操作系統。 DHS 在報導指出:“員工被阻止控制與通訊設備接收重要的即時操作數據”。 據報導指出這次的攻擊經由一封惡意的 email。在這兒我們再次提醒大家電子郵件仍是惡意程式的主要傳遞媒介。 美國網路安全和基礎結構安全局(CISA)已發布了警報(AA20-049A),提供了有關該事件的其他訊息,也確認交叉式網路釣魚傳遞方式,他們先在 “ IT網路” 上建立了一個點,之後轉向 OT ,OT 提供對HMI(人機界面)經由 OT 網路存取並輸出伺服器和歷史數據。 CISA 並指出,在所有的特定系統上的 PLC 沒有受到影響,也沒有失去控制權。 工廠停止運作僅是對事件發生的直接響應,並是有計畫及控制下的方式決定停工。  The Ugly APT28 and 2019 的攻擊再次襲擊喬治亞 Attack Campaigns Against Georgia 相信大家都應該很熟悉 APT28(又名 Fancy Bear,G74,Sofacy,Sednit 等其他名稱)。 十多年來,這個由國家支持的小組一直將工作重點放在化學工程,國防,政府,工業系統和情報機構這類高價值的目標上。 著名的攻擊包括 “ Pawn Strom”,“ Russian Doll”,國際奧委會攻擊...等等。 在本週,英國的 NCSC(國家網路安全中心)宣布,同一批人在 2019 年 10 月對喬治亞進行了一系列的網路攻擊。NSCS 並引用 “ the highest level of probability 最高概率” 來強調此攻擊。  這些攻擊集中在位於喬治亞的網路託管公司以及媒體企業。 除了銷毀及其有效性的攻擊外,多數的電視台也被迫下線。 英國在這一系列攻擊(及後續的一些歸因)上展現了強大的實力。 由於英國和喬治亞國是盟友,所以我們可以從俄羅斯 GRU 中觀察出這些持續性的攻擊對於網路及政治有相對的影響。
最後值得注意的是,有時很難去解釋這些有故事的故事。 在某些情況下,駭客們可以策略性的安排攻擊時間,故意與其他事件相吻合。 我們也可以肯定,這些國家支持的積極駭客暴露的越多越好。 當我們有盟國指責時,將會讓訊息變得更加嚴重。
0 Comments
The Good 這次我們先用 Citrix 開啟本週好消息,該公司在過去兩個月中提高了企業對漏洞的注意並進行修復 CVE-2019-19781 的執行得到了成果。 估計到目前為止,已有 80% 曝光在網路上的機器獲得修復。 剩下 20% 尚未完成,但在這兒我們還是建議資安人員盡快執行安全性修復的動作, 因為這個漏洞已被公開的 “plug-and-play” 攻擊。  另外,在修復安全漏洞上, 微軟在本週解決了驚人的 99 個錯誤,其中包括許多的RCE,例如 CVE-2020-0674 和CVE-2020-0729。 Adobe 還解決了 12 個關鍵的 CVE(包括CVE-2020-3742,CVE-2020-3752和 CVE-2020-3751)以及在 Reader 和 Acrobat 中其他五個比較不嚴重的漏洞,以及 Flash Player 中的一個關鍵的 CVE(CVE-2020- 3757)。 而其他的好消息例如:SoundCloud 在修復了一些嚴重的漏洞時也順便宣傳了賞金計畫的成功性,這些漏洞可以讓駭客們接管使用的帳戶,儘管此公司表示沒有證據證實這些漏洞已被大量的使用。 The Bad 若要問 Emotet 和惡意程式加載平台在網路歷史中有什麼特性會被我們記得,無庸置疑是它的精巧之處。 有消息指出,無處不在的 Wifi 已被惡意程式利用。 據研究人員表示,以前大家認為 Emotet 純粹只會通過垃圾郵件和受感染的網路來傳播。 現在發現,如果網路使用不安全的密碼, Emonet 也可以感染附近的無線網絡。 Wifi 模組會列舉任何受 Emotet 感染主機範圍內的 Wifi ,然後嘗試從內建密碼中暴力破解每個無線網路的密碼。 再來,根據美國聯邦調查局(FBI)的 “ 2019 Internet Crime Report”,商務電子郵件入侵又名變臉詐騙攻擊(BEC)在 2019 年讓美國的公司總共損失了 17 億美元。 這些損失是來自驚人的 23,775 次的針對性攻擊。 FBI在報告中指出:“通過使用貌似信任的電子郵件地址,駭客可以誘使員工免費提供有價的資訊” 所以如果你還認為自己的公司是在不在駭客們的監視下發展,那麼以上的數字就是一個很好的證明數據,請重新考慮貴公司的資安問題。  The Ugly 在有消息傳出美國和德國情報機構數十年來通過故意減弱加密功能,對包括盟國在內的 100 多個其他國家進行監視之後,美國指控華為為中國政府的間諜活動受到了譴責。而事實也證明,瑞士籍製造加密設備的公司 Crypto AG 的秘密幕後大老闆是 C I A 。 秘密行動導致許多針對美國的敵人的情報政變,但同時也引發了一些令人擔憂的道德問題。 根據《華盛頓郵報》的報導,這些包括: “the deception and exploitation of adversaries, allies and hundreds of unwitting Crypto employees. Many traveled the world selling or servicing rigged systems with no clue that they were doing so at risk to their own safety.” 這個計劃的成功幫助解釋了美國政府之前對蘋果等其他公司的高談闊論 ; 他們傾向把後門程式內建到自己的加密產品中。 有趣的是,這個案子是否加強了或減少社會對於此計畫合法性的認識? 你們覺得呢?  最後再補充一下上週醜陋的消息,有一檢察官掌握了相當有說服力的證據,並可將此嫌疑犯 (甚至有可能是戀童癖)定罪,法庭也決定要檢查他的硬碟。但問題來了,在法官下令後,被指控的嫌疑犯不願意也無法提供硬碟的密碼,後來他因藐視法庭被判並已服刑四年。直到本週,聯邦上訴法院裁定,由於拒絕(或忘記,如辯方所述)提供密碼,判定為藐視法庭並最高刑期為18個月。對於例如一名新聞工作者,這可能是好消息,因為政府不能無限期的把你關起來。這也可以是壞消息因為政府不能無限期地關押一名戀童癖者),因此我們先將這則新聞歸在“ ugly 醜陋” 下。
The Good Open Bug Bounty 漏洞回報計畫大進展! 在上週好消息!我們注意到近幾個月,漏洞回報賞金計劃有些值得嘉許的進展。 在 Open Bug Bounty 專案上,已修復 272,388 個漏洞並持續增加中,對網站業主及開發工程師是一大利多。 特別一提Open Bug Bounty這獨特的漏洞回報計畫。 一方面,這非營利計劃使網站業主不用成本獲得網站防護。 回饋獎勵可以是網站公司的有趣產品、一箱提神飲料、或簡單的一句謝謝、甚至只是義務幫忙不用回饋任何東西。 另一方面,資安研究人員可以更輕易了解開發漏洞,並贏得各種 “徽章”。 感謝並嘉許設置該漏洞回報計畫有關人員及參與該計畫的資安研究人員,打造一個更安全網路世界。  更多的好消息:破壞Nintendo年輕駭客,RyanRocks落網入獄服刑 對網路安全防禦者來說,本週有另一個好消息。但對有才華年輕卻濫用聰明技能損害他人利益的 “駭客” 來說,卻是壞消息。 這周RyanRocks 又名 Ryan Hernandez 對駭客指控表示認罪。 他在 17 歲時開始濫用技術,利用網路釣魚,釣取一名任天堂員工,並在該員主機上安裝惡意程式。 Hernandez 從受害者獲得憑證,進一步破壞 Nintendo Developer Portal,並竊取遊戲機製造商IP。 聯邦調查局於 2017 年第一次抓到他,但由於是未成年人犯案,所以僅警告他謹慎行事。 不幸的,RyanRocks 並沒長一智,沒意識到自己是如此僥倖。再回到濫用技術、偷取數據的路上,成為更高階駭客。 第二次被抓後,聯邦調查局(FBI)保證他這次入獄服刑。網路上會暫時少了一個駭客。 除了面臨刑期外,Hernandez 還被處以 25 萬美元的罰款。 如果他只將自己的時間和才華花在 Open Bug Bounty 之類事上,前途不可限量。 他將在2020四月開使服刑。 The Bad Window7 EOL? 小心成為駭客攻擊標的! 大家可能對 Windows 7 的逝去有不同的看法。 但可以肯定的是,駭客們對這有十年歷史的OS 停止更新及安全性修正發布,感到非常滿意。 目前全球大約有 2 億台設備仍使用 EOL 版本的 Windows 系統(Win7, WinXP),這些設備成了駭客有利可圖的目標。 最近一項駭客行動,使用 Lemon Duck Powershell 惡意程式 針對使用Windows 7作業系統的IoT 設備製造廠攻擊,入侵並取得控制IoT連網設備。(例如:內網印表機,連網電視及自動化車輛)  另外有小道消息指出,與俄羅斯軍事情報部門有關的外圍組織 Gamaredon APT 最近幾個月一直在 “加強” 駭客行動,改善入侵工具並製定入侵戰術。 有研究指出,Gamaredon 的活動可能只針對烏克蘭相關電腦資產設備。但該組織如何進行網路作戰經驗,可能會被其他親附組織所吸收學習。並提供親附組織一種包含戰術、戰技、戰略 TTP(Tactics, Techniques and Procedures) 的 “戰地訓練”。很快就有機會看到針對其他目標的攻擊。  The Ugly 小心你的服務外包商! 本周再次叮嚀, 組織企業要注意某些意外情況。 駭客攻擊不僅只通過網路、魚叉式釣魚來入侵企業網路和設備。 警告組織企業近來得注意某些不尋常出現的服務外包商(例如:清潔人員),進入組織內部並進行實體入侵。 一旦入侵,偽裝駭客可插入帶有惡意程式的USB到設備內,直接刪除檔案或感染無人看管的硬體。 除了清潔工,油漆工和裝潢工,都有可能被利誘來進行此類攻擊。 在這周我們要再次友善提醒,公司企業要注意一些意外情況,有時駭客們不一定是通過網路或魚叉式釣魚攻擊來入侵你的網路和設備。 現在,公司企業被告知要警惕那些將 cleaner 植入並進行實際破壞的網絡罪犯。 一旦進入,這些變相的駭客可以放入惡意 USB 到設備上,直接刪除檔案或感染無人看管的硬體。 清潔工,油漆工和裝潢工,都有可能被小錢招募來進行這類的攻擊。  本週最後,繼續華為的傳奇。
這家中國電信公司要求美國聯邦通信委員會(FCC) 移除該公司為國家安全威脅 (national security threat)。 儘管華為是全球最大的手機設備製造商之一,同時還生產其他電信設備,並準備在今年向英國全國推廣其 5G電信基礎設施。 此舉,在2019年5月令美國政府十分惱火,也因擔心與華為合作可能積極協助中國進行網路間諜活動。 導致於11月華為被美國聯邦通信委員會(FCC)認定該公司對國家安全造成威脅。 然而,這家中國科技巨頭在本週提交的長達 200 頁的文件中聲稱,美國聯邦通信委員會(FCC)的舉動是 “非法的”,“誤導” 和 “違背憲法”。 The Good 在上週印尼國家警察與國際刑警組織舉行了聯合新聞發布會,宣布 “ Operation Night Fury ” 的結果。 這項努力最終導致逮捕了三名與 Magecart 襲擊有關的犯罪嫌疑犯。 據發佈會表示,這些嫌疑犯在全球內對網路購物站進行了數百(甚至可能更多)攻擊的幕後黑手。 犯罪嫌疑犯於 12 月被捕,並可能面臨長達10年的刑期。 根據收集到的情報,他們進行了多階段行動。 首先,他們會破壞網路購物站,以竊取信用卡和個人詳細信息。 然後立馬使用在購買各種商品,再轉售以換取現金。  Magecart 至少可以追溯到 2016 年,他攻擊了許多流量大的購物網站。 其中一些包括 Ticketmaster,NewEgg,British Airways 和 MyPillow.com,因此看到這些犯罪者被捕是購物網站安全之戰中的巨大勝利。 The Bad Emotet 在今年並沒有放慢腳步。 如往常一樣,我們發現他們的社交網路策略和誘惑一如既往。 一些最近曝光的活動是利用對於冠狀病毒爆發的擔憂與不確定性。 偽裝成釣魚式和惡意垃圾郵件,假冒來自公家機關有關健康恐慌的通知,誘導目標使用者下載 Emotet 木馬程式。 我們觀察到此攻擊的多個版本,所有版本都針對不同的地點,語言或方言。 基本上她們都誘導似乎是官方通知或衛生機關信息的惡意附件。 在大家都處於恐慌冠狀病毒爆發的時期,這些誘餌已證明成功。 這些行動的幕後者在掠奪公眾恐懼方面是完全沒有克制的。 打開(或甚至不要打開)附件時請務必小心,並確保您受到 Active EDR 解決方案的保護,並能夠抵禦此事件和所有其他 Emotet 系列。  The Ugly 到目前為止,我們都(希望?)意識到流行的社交平台及 app 為什麼是 “免費” 的原因。 這些服務不需要付錢,因為它們可以通過你的個資和使用行為方式獲利。 對感興趣的買家而言,這些數據是價值不菲的。 而你應該不會想到你的電腦安全或 AV 供應商也是 “免費服務" 其中之一 。。。。 在本周,免費的防病毒產品 AVAST 正在使用其瀏覽器擴展組件來收集用戶數據。 然後,他們的 “Jumpshot” 部門會將這些數據出售給感興趣的買家。 當相關消息傳出時,AVAST 表示該信息已被完全 “ de-identified 去識別”,因此不應引起關注。 以下為直接引述:
但是,PCMag 和 Vice / Motherboard 進行的聯合調查發現,實際上這些大量數據是可以與個人匹配。 據 VICE 表示,一些大型公司被列為 “ Jumpshot” 的買家,包括微軟,百事可樂,谷歌和 Home Depot。 更令人不安的是,大多數 AVAST 的用戶都不知道他們的網路行為已被收集。  關於 AVAST 和 Jumpshot 在不告知收集數據的行為已經很久了。 2019 年 12 月,參議員 Ron Wyden 公開調查了該公司,並特別關注了他們的惡劣做法。 此外,由於此侵入性的行為,Mozilla 在 2019 年 12 月從他們擴展組別中刪除了 AVAST 產品。 其他公司也紛紛效仿。
Note:AVAST 在 1 月 30 日發布了一份新聞稿,指出他們將 “關閉” Jumpshot。 正所謂的 “不用錢的是最貴的 "。 同時,提供免費服務的人通常希望得到一些 "回報"。 我們所有人都需要花一些時間來痛苦地了解和熟悉在這信息與個資的高速公路上是如何 “攝取” 我們的數據。 並非所有人都願意花時間來理解這一點,但這很重要,也是不幸的必要。 |
Categories
All
Archives
March 2020
|
RSS Feed