The Good 本週的好消息是 Europol 在 'Operation Quinientos Dusim' 和 'Operation Smart Cash' 中逮到了 26 個欺詐者,這些欺詐犯分別屬於西班牙和羅馬尼亞的兩個 SIM 卡交換詐騙集團。 SIM 卡交換詐騙是一個針對電信業、通過網絡釣魚和使用 OSINT 技術來獲取個人數據進行社交工程設計。 SIM 卡交換冒充被鎖定的受害者,並誘導電信商將目標的手機轉移到屬於攻擊者的SIM卡中。 最有名的是 Twitter 首席執行長Jack Dorsey 去年曾掉入 SIM 卡交換詐騙。 通常,欺詐者使用被盜的數據來登入受害者的網路銀行,並繞過網路帳戶上的 2FA 和一次性密碼控制。 據本週的報告中指出,這些罪犯在西班牙和羅馬尼亞警方的協助下被 Europol 逮捕之前,已經從 100多個受害者的銀行賬戶中轉走了資金。 再來,如果你有是 Adobe 愛用者,我們大多數人都是?,那麼你會很高興聽到 Adobe 本周修復了 41 個安全漏洞。 在Windows 和 macOS 版本的大規模安全更新中,Adobe 放入了六種主要產品中的漏洞,其中包括無所不在的 Adobe Acrobat,Adobe Reader 和 Photoshop。 如果你還沒有,請在黑客逆轉之前更新這些應用程式,並利用剛剛修復好的多個任意代碼執行漏洞。 The Bad 本週持續燃燒,並應該會再持續下去的壞消息:COVID-19 / 新冠狀病毒的全球爆發,人們的健康,生計和生活方式造成了嚴重破壞。 SentinelOne 與許多其他供應商一樣,提供了免費使用權限,在危機中幫助保護企業和遠端工作者的安全。 同時,壞人當然會抓住任何賺錢的機會,利用已有數不清的惡意程式攻擊,網路釣魚工具包和老江湖欺詐行為來榨光 FUD。 再來反映出我們所處的顛倒時代,本週的壞消息卻伴隨了奇怪的變化。 目前有一些勒索程式,例如 DoppelPaymer 和Maze,聲稱他們將避免針對醫療服務,甚至向已被攻擊的機構免費提供解碼。 當然,犯罪者也是需要看病的,在還沒搞清楚 COVID-19 危機之前,我們認為他們暫時不會因為這樣的 “緩衝” 行為而得到讚美。 另一方面,在本週的其他壞消息中,TrickBot 似乎一直在忙於進行改造,進行了RDP : 一個針對美國和香港的電信業者,利用名為 rdpScanDll 的惡意 DLL 檔的攻擊。 研究人員說,特定的 IP 已經成為攻擊目標,並似乎是間諜活動。 我們已經知道某些APT 已使用 TrickBot 進行攻擊。 待我們有更多的消遺,我們會立即發布消息。 The Ugly
本週醜陋的消息,一位資安人員發現了一個不安全的數據庫,其中包含至少從 2012 年以來,存了超過 50 億條記錄。而該數據庫似乎是從其他已收集好的來源中而生成的,並被編譯成有 hash type 的結構格式, 洩漏的數據,電子郵件,密碼和其他信息。這麼大並有組織性的數據庫,無庸置疑是詐騙犯罪的生財工具。 該研究人員再發現後通知了某公司,儘管他沒收到冇公司的任何回應,但這個數據庫在一小時內被刪除。 之後,某公司確認了沒有受到攻擊,數據庫裡也沒有來自自家客戶的數據。 相同的,駭客們也會以相同的方式例行探測這種不安全的數據庫。就針對這一點,我們目前不清楚這個 “寶藏” 是否已由垃圾郵件發送者,詐欺或意圖進行網路釣魚攻擊的駭客們發現並利用。
0 Comments
The Good
微軟在本週與許多夥伴一起作戰,成功的戰勝了過去十年來製造最多的惡意殭屍網路之一。 自 2012 年以來,Necurs 發出針對藥廠,股票拉高出貨,網路交友和其他類似的垃圾郵件作為誘餌 ; 2015 年至 2017 年是他們最活躍的時間。這個殭屍網路還被廣泛利用分發在著名的惡意程式族群,包括 GameOver Zeus,FlawedAmmyy,Locky,Dridex,Scarab,Trickbot 等。 當微軟和合作夥伴發現 Necurs DGA( Domain Generation Algorithm 動態網域產生演算法)的內部功能,轉折點來了,Necurs DGA 是負責生成和註冊 C2(命令和控制) 的網路組件。 根據微軟的 Digital Crime Unit 的說法,他們能夠 “準確地預測在未來 25 個月內將創建超過 600 萬個唯一網域”。 所以,Microsoft 可以阻止這些網域的產生。 此外,3 月 5 日發布的法院命令允許 Microsoft 捕獲現有的網域,從而嚴重破壞了殭屍網絡的當前和未來基礎結構。
這是微軟,ISPs ,許多網域註冊機構及在印度,日本,法國,墨西哥,哥倫比亞的執法機構之間的協調努力。 我們知道這是一場漫長的戰爭,殭屍網路還是有機會反彈(例如:Kelihos),但這是一種英勇而值得稱讚的努力。 為所有參與其中的人歡呼,keep up the goo flight!
The Bad
很遺憾的是,微軟本周也面臨不好的消息。他們在 SMBv3 CVE-2020-0796 中發現了一個嚴重且潛在可感染的漏洞。 基本上呢,這是 RCE(遠程代碼執行)的缺陷,他專處理在 Microsoft Server Block 3.1.1(SMBv3)中的 request。 攻擊者可以利用此漏洞發送特製數據包,並在目標伺服器或客戶端上取得任意代碼並執行。 該漏洞影響 Microsoft Windows 10 版本 1903和 1909(包括Windows Server)及被支援的 x32,x64,ARM64。 根據各種建議(在過去36小時內發布,更新和重新發布),該問題可總結為受影響的 SMB 伺服器中的緩衝區溢出而導致 memory 損壞情況。 Microsoft 已在這ㄦ為無法下載 patch 的用戶提供了更新,並在其更新的通報中提供了解決方法。
The Ugly
我們已經看到了很多明顯的垃圾郵件攻擊和錯誤訊息,所以現在必須比以往任何時候都更加提高警覺,並注意關於 Covid-19 /新冠狀病毒的訊息來源。 令人遺憾的是,本週出現了一種不道德,利用人們恐懼擔心的漏洞工具包: Corona Virus Map Phish Method,該工具包已在多個地下論壇中出售。 這個工具包叫價 200美元,或賣方提供有自己的代碼憑證叫價 700 美元。 它帶有一個 preloader 可 attach 在 email 中。 代碼會加載一個地圖,在設備上顯示感染數據或其他買方用自己選擇的 payload 來呈現地圖。 Payload 可以直接嵌入或通過嵌入的 URL 呈現,整個程序包可以通過電子郵件發送,而不會觸發並被 email 提供商阻止。
HC3(Health Cybersecurity Coordination Center)於 3 月 10 日發出警報告知已有一個偽造地圖的惡意網站並帶有惡意程式。 警報指出,該站點使用一個以網絡為中心 AZORult 木馬程式的攻擊,這惡意站點也已通過電子郵件和社群媒體傳播。
這樣不道德的行為是很可恥的,但不幸的是,報導指出它可以在 “ 所有的 Windows(XP-Win10、32bits和64bits)上運行 ”,並只需要任何 Java 版本就可以運行。 除了躲掉電子郵件提供程序檢測之外,該工具包還可以躲掉 Windows Defender 並避開UAC。 但是!SentinelOne 的客戶可以放心,SentinelOne agent 可以檢測並有效阻止 “ Corona Virus Map Phish”。 請見以下~ 歷史上到目前為止,地球人民所經歷過的有:地震 、淹水、海嘯、 森林大火、 山崩、 颱風、 龍捲風、SARS、H1N1、MERS、伊波拉、 HIV、愛滋、 茲卡。 而現在有了 COVID-19,也稱為新冠狀病毒。 天災和流行傳染病有很多共同點,包括人類生命的失去。 但其實還存在著一個更黑暗,更險惡的連鎖反應 - 駭客們利用這樣的機會來傳播惡意程式,開始了網路釣魚和交叉式活動,再利用情感來進行欺詐。 新冠狀病毒(也稱為COVID-19)就是這種情況。 利用恐懼來幫助和教唆詐財 駭客們不會把自己設限於惡意程式。 FDA 還發出警告消費者有關騙人的產品,這些產品 “聲稱可以預防,治療,減輕,診斷或治愈 2019 年新冠狀病毒(COVID-19)”。 這次是一個全面性的詐欺。 在 2019 年 12 月,SentinelLabs 發布了關於網路犯罪組織 TrickBot (APT 進階持續性滲透攻擊) 與北韓之間關係的突破性報告。 報告表示當對收件人部署了有效心理攻勢之後,TrickBots 功能的使用就會放大。 最近,SentinelLabs 發現了一個使用來自加拿大當局發送關於新冠狀病毒醫療通知後,間接對金融機構發送惡意程式的攻擊。 Johns Hopkins 和 CSSE (Center for Systems, Science, and Engineering) 共同開發了一個依照國家,地區,州和城市中被 COVID-19 的傳染人數來呈現的一個地圖 。 到 2020 年 3 月 10 日,按感染人數排列的國家是中國,意大利,伊朗,韓國,西班牙,法國,德國,美國和日本。 這意味著每個國家都將成為被大量網路釣魚攻擊的目標。 在設計惡意電子郵件時,內容是非常重要的。人性總是恐懼損失,相比之下,這些反應比獲得利益的可能性更好預測。 例如,你們看看以下哪個主題會產生更高的回應? “How to prevent the spread of the coronavirus in 3 easy steps.” 預防新冠病毒傳染的三步驟 “URGENT: You have been in contact with a verified coronavirus patient.” 警急: 你與一名確診病患有接觸到。 第一個主題不會引起人們對損失的恐懼,他只會產生獲得更多有關阻止冠狀病毒傳播的信息的潛力。 第二個成功的攻擊了問題的核心 – 對死亡的恐懼。 相關連的行為會影響人們對有價值的稀缺性的正面信念。 針對 COVID-19,可能是篩檢的可行性。 “Don’t lose your chance to get these hard-to-find coronavirus test kits.” 別錯失了篩檢的機會! 最後一個主題是既有對失去的恐懼,並帶有缺乏、少量的意味。 數千年來的人類進化讓我們避免了損失。 同樣的進化也增強了人類大腦的主要目的, 那就是活著。 除此之外,其餘的一切都是增加的紅利。 為什麼市民不能購買這些快篩而只有政府可以擁有並使用? 對失去的恐懼,緊迫感以及專於在 COVID-19 的媒體數量讓我們忘記常識,並迫使我們回到原始的恐懼並採取行動。 死亡,是最後的王牌。 利用人類的脆弱漏洞 犯罪份子在利用對人類情感的更多理解來執行針對性的攻擊。 社交工程基於這樣一個前提,也就是: 我可以讓你採取並控制行動,但實際上它是一個通過操縱,影響和欺騙而構成的惡意行為。 激進駭客長期以來一直依靠社會工程來執行間諜活動,system compromise,影響選舉和操控社交媒體等目標。 變臉詐騙(BEC)基於說服 email 的接收者,發件人是授權人,並且應該執行特定的行為(例如轉帳數十萬美元)。 對抗政府者和激進駭客使用的第一策略不是利用漏洞。 而是利用人類的弱點。 在本文作者為《Hill》撰寫的一篇文章中,他概述了俄羅斯如何成功地使用名為 Black Energy 的惡意程式發動第一次攻擊。 最初的方法? 據稱是烏克蘭政府發送的魚叉式網絡釣魚電子郵件。 附檔中的 Excel 要求用戶啟動 macros。 就這樣,最初的 payload 就成功了。 沒有什麼花招。 只是一種忘記常識的壓迫感(烏克蘭政府)(還有千萬不要啟用附件中的marcos)。 沒有人對社交工程是免疫的 恐懼,不確定和懷疑的心態是強大的武器。 在作者執法期間,他是專門從事連續犯罪和行為分析採訪。 讓人按下電子郵件中的連接,並沒有讓罪犯承認謀殺一個人要來的困難得多。 在 behavioral analysis 行為分析訪談(BAI)中,我分析了案例(內容)並相應提出了問題。 BAI 的目的是確定受訪者是誠實的還是個騙子。 如果對象具有欺騙性,並且看起來他們可能犯了罪,那麼該是收集事實並轉到偵訊的時候了。 但是,並非每次受訪後都會偵訊。 在偵訊過程中,目的地是使受訪者感到焦慮,以至於減輕焦慮的唯一方法就是誠實。 作者曾在國家安全局向參與美國歷史上一些最嚴重間諜活動的損害評估人員教導相同的技術。 員工點擊可疑連結或打開帶有惡意程式的檔案的原因也相同:找出答案,解除恐懼,不確定和懷疑的焦慮感受。 那這個故事的意義是什麼? 不管你進行了多少安全意識訓練,在辦公室貼了多少網路安全海報,或者通過 email 發送了多少每週提醒,最後,數十萬年的人類行為還是會勝出。 這意味著害怕失去(死亡)和自我保護(減輕焦慮/壓力)將戰勝常識。 機器說: 害怕是什麼? 但是,在黑暗中還是會出現一匹白馬,帶來一線希望。 人工智慧和機器學習的使用將平衡從攻擊者轉移到了被攻擊者身上的力量。 AI / ML 提高了檢測和預防的速度和準確度,而不是回應攻擊並從中恢復。 數千年來,根深蒂固的行為已可以通過利用應用科技來平衡。 與其要求使用者確定物件是否 “安全”,還不如從一開始就避免。 防止勒索程式攻擊要比從攻擊中恢復容易。 還有,管理好新聞要比管理壞新聞也容易得多。 人工智慧不會屈服於恐懼。 沒有情感可以操縱,也不能感染新冠狀病毒。 這或許是對於恐懼,不確定性和懷疑的完美解毒劑。 作者 Morgan是 SentinelOne 的 Chief 安全顧問,也是 Center for Digital Government 的高階院士。 他多次在國會上為大型政府系統的安全性作證,目前是 Fox News Channel 和 Fox Business Network 的首席技術分析師,負責網路安全。
The Good 國際犯罪集團是屬最嚴重的犯罪行為。其中最可怕的是對兒童的性剝削和性虐待。大致上來說,在網路世界,尤其是黑網,允許所謂的 “消費者”(戀童癖,性犯罪者)及 “生產者” 以秘密的方式進行互動,從而逃離執法機構的長期干擾。此外,由於這些犯罪涉及多個地區,因此抓住犯罪者並繩之以法的可能性很小。這就是為什麼我們很高興聽到 “ Five Eyes ” 的成員(澳大利亞,加拿大,紐西蘭,英國和美國)以及六家主要的科技公司(Facebook,Google,Microsoft,Roblox,Snap 和 Twitter )正在共同努力打擊在網路世界裡對兒童的性剝削和虐待。本週,這 6 間公司在發佈於 “Voluntary Principles to Counter Online Child Sexual Exploitation and Abuse” 文件中表示將一起聯合在他們所有平台上實施一項新的 framework 。 這個 framework 由 11 個 principles 組成,分為七個類別。 目的地在減少潛在於社交媒體和網路技術的惡意使用及搜索,之後發布照片,影片及相關信息。 科技巨頭與執法機構之間的合作並不是微不足道,我們希望這將營造一種信任和信息共享的氛圍,這對於減少甚至消除所有嚴重的網路犯罪可產生重大影響。 當然,儘管國際間的合作對於打擊全球犯罪活動是勢在必行,但這樣還是不夠的。 在與網路犯罪和攻擊性網路活動打仗時,速度和分享知識也是關鍵之一。 這就是為什麼愛沙尼亞,立陶宛,克羅埃西亞,波蘭,荷蘭和羅馬尼亞聯手並同意成立將由立陶宛領導的 European Union Cyber Rapid Response (CRRT)。 立陶宛國防部在一份新聞稿中說,CRRT小組已經準備好 “以虛擬方式或採取實際行動 (必要時) 來抵抗和調查危險網路事件”。 這真是太棒了! The Bad 自 GDPR 已經出生了(自 2018 年 5 月)快兩年了,但似乎有些公司尚未掌握因數據洩露而造成的損失。GDPR 的目的地在改善數據的安全性和隱私,但從最近發生的事件來看,某些公司仍需要更多時間來實施正確的保護措施,或者他們自願選擇付出相關罰款,而不是實施更高的安全措施防止違反安全性。美國電信業者 T-Mobile 宣布了一項數據洩露事件,此事件洩露了一些客戶的個人和財務信息。 該漏洞是經由被駭客侵入的 email 供應商造成的,數據洩漏包含了社會安全號碼,財務信息,政府 ID 號,賬單信息和費率計劃。 T-Mobile 已通過短信通知受影響的客戶。 這也不是 T-Mobile 第一次遭受數據洩漏。 上一次發生是在不到2年前。 英國媒體巨頭 Virgin Media 表示,一個存有 900,000個人詳細信息的數據庫暴露在網上 10 個月。 而在這段時間內,它至少被存取過一次。 而此事件並沒有任何駭客介入;公司表示這些數據是出於行銷目的而產生的,其中包含電話號碼,家庭住所和電子郵件地址 ; 並承認數據庫的暴露是人為疏失,導致 “錯誤設定”。 The Ugly 現在全世界似乎是處於動蕩之中,有越來越多的國家進入 "新型冠狀病毒影響區''。 意大利是迄今為止是亞洲以外遭受到最嚴重的影響的國家。但這好像還不夠糟糕,還是有人嘗試從這種情況中獲利。 最近的一次惡意活動通過被偽裝成 WHO 的正式文件的惡意附件,襲擊了意大利近 10% 的企業組織,文件包含了應對新型冠狀病毒感染的必要預防措施。 打開檔案後會被要求 “啟用編輯” 和 “啟用內容”。 如果被授權,TrickBot 銀行木馬程式會自動將把自己安裝在使用者的設備上。 這是網路犯罪分子如何憤世嫉俗地利用機會的另一個例子。 還好這與實際的病毒不同,可以通過良好的網路 "衛生習慣" 輕鬆避免這種有害生物。
The Good 在去年11月,我們報導了 ByteCode 聯盟的成立,這是由 Mozilla,Fastly 和其他公司的合資企業,目的是在 WebAssembly 項目之上構建安全組件。 本週 Firefox 宣布了合作成果: RLBox 的誕生。 RLBox 允許 Firefox 組件在 WebAssembly 沙箱中運行代碼,保護主機操作系統不受任何未知的安全漏洞的侵害。 Mozilla 指出,Linux 版本將在 Firefox 74 和 Firefox 75 的macOS 發行。而 Windows 版本將 “很快” 到來。 而這並不是 Mozilla 不斷在進行的唯一更新,他們繼續在 Firefox 中添加安全功能,使用者將會體驗到不同的安全機制。 本週,Mozilla 還更新了針對在美國的用戶的新加密 DNS 服務。 通過 HTTPS(DoH)協議進行加密過的 DNS 將確保搜尋時不會被第三方(例如你的 ISP)監控,有些第三方業者出售使用者的即時位置數據並在未同意下顯示出廣告。 The Bad 那麼關於壞事呢?本周有很多關於 kr00k 的新聞,又名 CVE-2019-15126。 這是 Broadcom 和 Cypress Wi-Fi chips 中的一個安全漏洞,允許未經授權解密某些 WPA2 加密的流量,據說會影響超過 十億 個設備。 雖說駭客需要在 Wi-Fi 範圍內,並且只能擷取有限的流量。 但即使這樣,也可能造成嚴重的洩漏,特別是如果基礎通信本身未加密(例如: 使用 http 而不是 https 或聊天程式在傳輸之前未加密)時。 在許多容易受到該漏洞影響的設備中,至少有 14 種 Cisco 產品受到了影響。 這家網路硬體巨頭表示正在積極開發修程式,目前尚無解決方法。 幾個月前,iOS 13.2 或更高版本以及 macOS Catalina 10.15.1 或更高版本的 Apple 用戶已經收到修補。 The Ugly
正如我們所預期,醜陋的 Maze 勒索軟體已經在駭客社群中開始流行,他們抓住了 “naming and sharming ” 的誘人點,來增加支付動機。 現在,DoppelPaymer 也將自己添加到勒索程式攻擊者清單中,並想要加倍的贖金。 除了 Maze 和現在的DoppelPaymer 外,Sodinokibi 和 Nemty 也打算加入這項攻擊。 為此,DoppelPaymer 本週發布了他們自己的 “洩漏公開” 網站,列出了遭到攻擊的受害者以及被感染機器和惡意程式的詳細訊息。 最近的一名受害者聲稱他們損壞了 1438 台設備。 |
Categories
All
Archives
January 2021
|