The Good 在 2020 的最後一周中,網路安全表現出眾。 首先,我們很高興得知 National Crime Agency 逮捕了 2 1名涉嫌與已失效的 online 犯罪市場 "WeLeakInfo" 購買盜竊數據相關的人。 這個網站其實在 2020 年初就已被移除,其中託管了從 10,000 多個數據洩露中收集約 120 億個被盜憑證。 被逮捕者是年齡在 18至 38 歲之間的男性,涉嫌欺詐和/或違反《 Computer Misuse Act》。 除了逮捕行動,約 55,000 美元的比特幣也被扣留。 再來就是在 12 月初,Microsoft 分享了有關 SolarWinds 近期的攻擊事件以及國家級駭客如何針對 Azure / Microsoft 365 客戶的資訊。 令人高興的是,本週 CISA 的 Cloud Forensics 團隊發布了一個名為 Sparrow 的 open-source PowerShell tool,用於事件響應程序,可幫助檢測可能的受感染帳號。 除此之外,該腳本檢查與 SolarWinds 相關的已知 IoC,列出 Azure AD domain,並檢查某些 API 權限以識別潛在的惡意活動。 千萬別小看最近的 APT 攻擊活動,這次 CISA 的工具可確保企業免受SolarWinds 供應鏈攻擊的後果。 The Bad 大家都期待 2021 會有許多的好消息,特別是關於 COVID-19 疫苗的推出和開發,但這對許多駭客來說~這仍是難以抗拒的易受破壞的誘餌。 過去一周,在駭客們用勒索程式感染在 Antwerp 的通用醫學實驗室(ANL)之後,在比利時的 COVID-19 實驗室被關閉。 AML 是一家私營企業,每天處理大約 3000 項 COVID-19 測試,並且是該國最大的私人測試實驗室,處理近 5% 的案件。 而儘管類似的攻擊(例如上個月 European Medicines Agency,也以數據盜竊為目標被攻擊,但目前尚無證據證明病人的個資被盜。 是哪種勒索程式或攻擊者要多少錢的細節也不清楚。但,在這個階段強迫 COVID-19 測試設備停機的傷害已經夠大了。 The Ugly
最後,一個醜陋的數據洩露事件,這一次真的很難看,因為被洩露的數據屬於 930,000 名美國兒童,青少年和大學生。 據報導,由 Viacom 和 Bill & Melinda Gates 基金會共同創立的教育慈善機構 GetSchooled 的 database 被洩漏。其中約該 1.25 億條記錄,包含學生的 PII(personally identifiable information),姓名,地址,電話號碼,年齡,性別,學校 和畢業細節 。 但 GetSchooled 表示洩漏的記錄數接近 250,000,只有 75,000 筆與 email 連接的仍保持 active。 至於數據被暴露了多久還不清楚,但是對於之後處理的時間存在一些擔憂。 身份不明的第三方將漏洞報告給英國網路安全公司 TurgenSec。 然後該安全公司於 11 月 17 日將此問題通知了 GetSchooled。 但是,直到 12 月 21 日才解決了問題,據說要等到新年之後才進行調查和審查。 而這個時間表引起了一些批評,也沒有關於攻擊的報告,原始消息來源的細節也令人擔憂。
0 Comments
The Good 2020年,國際上展開了許多打擊網路犯罪的行動。 而在 2020 的最後一週,我們高興地得知執法機構持續與另一起令人印象深刻的行動有了一場 good fight! Operation Nova, 由德國警察,歐洲刑警,聯邦調查局和世界各地其他執法機構所領導的執法行動,導致了Safe-Inet(一個許多知名駭客使用的 virtual private network(VPN))成功的被拆除。 Safe-Inet 的服務已被關閉,在德國,荷蘭,瑞士,法國和美國的基礎設施也被扣押。 這個 VPN 已經被使用了十多年,並且被勒索程式 operator 和其他網路犯罪分子用來掩蓋他們的足跡。 Safe-Inet 以高價出售,被稱為“可避免執法檢測的最佳工具之一”,最多可提供五層匿名的連接。 歐洲刑警組織歐洲網路犯罪中心負責人 EdvardasŠileris 表示: “The strong working relationship fostered by Europol between the investigators involved in this case on either side of the world was central in bringing down this service. Criminals can run but they cannot hide from law enforcement, and we will continue working tirelessly together with our partners to outsmart them.” “歐洲刑警組織與在世界各地參與此案的調查人員之間建立了牢固的工作關係,這對於成功的打擊這項任務至關重要。 犯罪分子可以逃,但他們躲不過執法,我們將繼續與合作夥伴,不懈努力以求勝過他們。” The Bad 那麼呢~加密貨幣目前仍是非常流行。 最熱門的還是 bitcoin,已達到了更高點,並帶動了整個加密市場。 但是在他們真正成為主流之前,關於加密貨幣的交易和安全性存在一些安全挑戰尚待解決。 這裡是一個很好的例子:加密貨幣錢包公司 Ledger 在今年早些時候遭到攻擊,已有 272,000 名客戶的詳細信息(包括姓名,郵寄地址和電話號碼)已被放置在一個專門分享被黑客入侵的數據庫的點: Raidforums. 總部位於法國的 Ledger 在 7 月份發布,他們發現其電子商務和 marketing 數據庫遭到破壞,導致客戶的 email 被盜。 現在,數據庫的公開增加了 Ledger 客戶成為網路釣魚攻擊的受害者的可能性,攻擊者將嘗試獲取他們的 private key。 而目前已有暴力威脅及個人威脅的報導。 而英語世界的另一端也存在著加密問題。 英國加密貨幣交換公司 EXMO 週一表示,他們的 hot wallets 已被盜用。 他們尚不清楚駭客是如何攻擊 EXMO,但據估計該公司已因 hot wallets 洩露而損失了超過 1000 萬美元,約佔其總加密資產的 6%。 在一份聲明中,EXMO 已將攻擊事件通知了客戶,並警告他們不要將任何資金存入現有的錢包。 同時,所有提款也已暫停。 The Ugly 自上周二以來,歐洲人權法院遭到網路攻擊並暫停其網站。 這次襲擊是在法院發布裁定釋放親庫爾德人的前民主黨領袖SelahattinDemirtaş 的裁決之後進行的。 法院認為,拘留47 歲 Demirtaş 已持續了四年多,這與 “民主社會概念的核心”背道而馳。 而土耳其駭客主義者組織 Anka Neferler Tim 對其在 Facebook,Twitter 和 Youtube 帳號上的攻擊負責: “The website of the European Court of Human Rights, who wanted Selahattin Demirta aş’s release, has been closed due to our attacks. We are not opening the site until they make an apology statement!” “希望釋放的歐洲人權法院 Selahattin Demirtaaş 的網站已因我們的攻擊而關閉。 在他們做出道歉聲明之前,我們不會開放該網站!” 歐洲人權法院提供了以下聲明: “Following the delivery of the Selahattin Demirtas v. Turkey (no. 2) judgment on 22 December, the website of the European Court of Human Rights was the subject of a large-scale cyberattack which has made it temporarily inaccessible. The Court strongly deplores this serious incident. The competent services are currently making every effort to remedy the situation as soon as possible.” “在 12 月 22 日 Selahattin Demirtas v. Turkey (no. 2) 判決之後,歐洲人權法院的網站被大規模網路攻擊,這使的網站福使用。 法院對這一嚴重事件深表遺憾。 主管部門目前正在盡一切努力盡快糾正這種情況。” The Good 本週的好消息開始~~印度執法人員在德里 (Delhi, India) 逮捕 與跨國電信詐騙案件有關的嫌疑人超過 50 人。 根據報導這些人透過電話詐騙至少了4500名受害者,並透過勒索比特幣 (Bitcoin / BTC) 以及禮金卡 (gift cards) 進而得手超過了1400萬美元。這些詐騙者會告知受害人他們的個人資料在某些犯罪現場被發現,或者是他們的銀行帳號被用來從事不法活動,而唯一能夠防止他們的資金或存款被凍結的方式是將其轉移到一個特定的比特幣錢包(Bitcoin Address),或者是將其轉為禮金卡並交給他們保管。 印度德里警方的網路犯罪調查小組透過將這些從美國與其他國家受害者被詐騙的金流追蹤回到這個位在印度的不法集團。而除了本案之外,德里的網路犯罪調查小組今年更破獲了其他25個電話詐騙集團。 GOOD JOB!! 本週也有一些關於Solarwinds事件的好消息。在微軟與其他企業的幫助下,FireEye成功地在SUNBURST惡意程式中植入了死亡開關(kill switch)以防止其感染持續進行。根據FireEye的公開聲明表示: “Depending on the IP address returned when the malware resolves avsvmcloud[.]com, under certain conditions, the malware would terminate itself and prevent further execution. FireEye collaborated with GoDaddy and Microsoft to deactivate SUNBURST infections. “This killswitch will affect new and previous SUNBURST infections…However, in the intrusions FireEye has seen, this actor moved quickly to establish additional persistent mechanisms to access to victim networks beyond the SUNBURST backdoor.” 「當惡意程式解析 avsvmcloud[.]com 的 IP 位址時,在特定的情況下,它會自動終止並阻止自身任何更進一步的活動。FireEye 在與微軟 (Microsoft) 以及 GoDaddy 合作下成功的讓SUNBURST停止其感染行為。 Kill Switch 對於不論是新發現或是之前已發生過的SUNBURST感染都能有效阻止……然而,FireEye 過往所觀察的入侵(intrusions) 模式,入侵者很快就會建立 SUNBURST 後門之外,其他持續性的權限存取受害者的網域 (network)。」 The Bad 在各種複雜的攻擊工具中,在 2018 年發現的 SystemBC 已成為攻擊庫中的第一名。 最初,該工具用於通過 SOCKS5 proxies 來混淆或掩蓋命令並控制流量。 他更與涉及與許多針對金融業的木馬攻擊活動同時出現。 然後呢~ SystemBC 被發現與常見的勒索程式攻擊結合使用之後,這再度引起了對 SystemBC 的廣泛關注。 根據最近的報告,一些成熟的組織(例如,Egregor,Ryuk)正在使用 SystemBC 進行部署,以補充其他常見的惡意程式,例如 Zloader,BazarLoader 和 Qot。 這些近期的發現,顯示了該工具擴展的範圍。 攻擊者現在可以利用 SystemBC 作為具有類似於 RAT 級別功能的 persistent backdoor 。 更重要的是,它允許攻擊者的持久攻擊方法並具有冗餘性。 攻擊者通常將 SystemBC 與 Cobalt Strike 類似的框架一起使用。 這為開發後的攻擊提供了更多選擇,並再次增強持久性。 對此的主要收穫之一是當今的攻擊者採取的 “分層方法”。 正如我們鼓勵採用分層,defense-in-depth 方法來落實企業安全一樣,駭客們也正在一樣的研究多管齊下的策略,這樣,如果一種傳遞方法失敗或檢測到 payload,他們還有不同的版本來應對。 正確的網路使用習慣,EDR 和強大的 cloud workload protection 很重要,與往常一樣,這些事件提醒了我們必須適當維護和正確配置這些控件。 SentinelOne Singularity平台能夠自主檢測並防止與 SystemBC 相關的偽像和行為。 The Ugly 最後,本週最具影響力的是 被攻陷的 SolarWinds 。 簡單來說呢,SolarWinds 是一家全球性的公司為客戶提供了一系列 IT 服務。 這包括伺服器,端點系統,數據庫管理,help desk 系統以及你可以想到的任何其他事物的管理和監視。 此外,他們的客戶群是高價值目標的 “ who's who ” 。 這次攻擊的結果,已證實 United States Treasury Department of Commerce, the Department of Homeland Security and FireEye 都受到了傷害。 FBI,ODNI 和 CISA 於 12 月 17 日發布了聯合聲明,確認了攻擊的範圍和確切來源。 此外,CISA 在 12 月 17 日發布了超級詳細的 NCSA 警報 AA20-352A),其中涵蓋了攻擊技術方面,包括 Indicator of Compromise(IoC)以及與相關資源的連接。 還記錄了與攻擊有關係的惡意 SolarWinds Orion 產品的特定版本。 Orion Platform 2019.4 HF5, version 2019.4.5200.9083 Orion Platform 2020.2 RC1, version 2020.2.100.12219 Orion Platform 2020.2 RC2, version 2020.2.5200.12394 Orion Platform 2020.2, 2020.2 HF1, version 2020.2.5300.12432 請注意:除了 SolarWinds Orion 平台之外,CISA 還有其他 initial access vectors 的證據; 但這些仍在調查中。 當有更新的消息,CISA 將更新此警報。 SentinelOne 也發布了新的 “Deep Visibility ” hunting packs,允許針對與這些事件相關的 IOC 進行專門性查詢。 我們鼓勵所有人 keep up 發展動態。 我們的團隊將繼續更新專案 blog 和資源。
The Good 在當本週所有人都在關注美國以及競爭激烈的選舉,俄羅斯傳出了一些罕見的網路安全好消息,據報導,內政部逮捕了一個僅以 “ 1ms0rry” 字樣聞名的惡意程式開發人員。 這位未具名的 20 歲男性不幸的越過了那一條紅線,這是大多數其他網路罪犯都學會避免的:允許他的惡意程式感染俄羅斯各地的用戶,淨賺來自2000多個同胞約 430 萬盧布(約合55,000美元)。 報導還表示,這名駭客與一個名為 1ms0rry-Miner 的木馬/加密貨幣 miner 以及 LoaderBot 和 N0f1l3 木馬和信息竊取者有關。 他的代碼還被認為是與其他更強大的惡意程式的源頭,其中包括 Bumblebee,FelixHTTP,EnlightenedHTTP 和 Evrial,MaaS(malware-as-a-service)能夠從中竊取加密貨幣錢包地址和其他 Windows 密碼憑證。 可悲的是,俄羅斯當局對本土的駭客大肆攻擊非俄羅斯目標視而不見,但還是很高興看到另一位惡意程式開發者因任何原因而被逮捕。 只希望他能對如何確定自己的代碼中的語言偏好有更好的了解,別提早回到網路上。 The Bad 據報導在週一,Resident Evil 開發 Capcom 遭到 Ragnar Locker 勒索程式攻擊,導致 Capcom 大約 1TB 數據被盜竊。 與其他 “leak-and-lock” 勒索程式操作一樣,駭客威脅告知,如果公司不付款,便會釋放大量的 IP 和私人敏感數據。 範圍從財務文件,客戶和員工 PII(例如護照和簽證)到商務合同,私人公司電子郵件和 Messenger 對話。 報告顯示,勒索程式已加密至少 2000 台設備,並且要求以比特幣形式支付 1100 萬美元的巨額贖金。 攻擊發生僅在一天之後,Ragnar Locker 還襲擊了飲料商 Campari,其要求也達到了 1500 萬美元的勒索。.。。 在這兩個攻擊下,駭客們都在自己的 “ temporary Leak page” 上洩漏了被盜數據的 sample,該頁面是一個暗網網站,旨在 “顯示範例和滲透證明” 來增加付錢的可能性。 確實如此,他們保證如果受害者拒絕付款,就將數據出售給 “第三方”。 目前,沒有跡象表明 Capcom 或 Campari 妥協並支付贖金。 The Ugly 雲端資產配置不當是遷移到雲端時公司企業的資安隱患,眾所周知,使用有缺陷的 hashing algorithms(例如 md5)破壞了保持加密密碼之類的安全性的嘗試並沒有任何改善。 這就是在本周大麻種植業的 online community - GrowDiaries 所吸取的慘痛教訓,該社區將自己稱為 “ 100%匿名和安全”。 這些麻煩始於兩個不安全的 Kibana 應用。 Kibana 是用於 Elasticsearch 的製圖工具,並提供用於監視,管理和保護 Elastic Stack 的用戶界面。不幸的是,自 9 月以來,GrowDiaries 的管理員似乎已經留下了兩個 Kibana 應用程序暴露無密碼的情況,這使駭客能夠 access 大約 340 萬個用戶記錄和密碼。
對於某些 GrowDiaries 用戶而言,令人擔憂的是,從暴露的某些 IP 地址看來,他們居住在非法種植大麻的國家/地區。儘管公司確實在 10 月 15 日保護了數據,但在網路安全研究員 Bob Diachenko 發出警報五天后,看來至少從 9 月 22 日開始就已經暴露了數據。 目前還不知道惡意方是否 access 過這些數據,但是 GrowDiaries 用戶應該要趕快更改密碼,因為 md5 hash 是可破解的。Diachenko 還指出,成員應注意針對目標性的網路釣魚攻擊以及帳戶接管,因為破解的密碼可以用於對用戶其他帳戶的憑據填充攻擊。 自 2019 Maze 首次亮相以來,Maze 被證明是最多產,最具攻擊性的勒索程式系列之一。 它們是首批接受加密並公開發布受害者數據的 “雙重打擊” 之一。 與當今的其他勒索程式相似,Maze 甚至擁有自己的 blog。 截至今天(10月30日), Maze 已在他們的 shamming 網站上列出了 330 多家公司。 這些清單中有許多伴隨著被偷走的戰利品的完整數據洩漏。 所列受害者中,最常見的行業是金融業,消費品/批發商,建築和金融服務。 也就是說,受害者基本上代表了你可以想像的產業。 儘管在 blog 上尚無任何公告,但他們似乎減少了在網站上顯示的信息量。 目前也不清楚其他自稱是 “Maze Cartel” 成員的勒索程式家族(例如:Ragnar,SunCrypt)是否會出現。 只有時間會證明這種 “關閉” 是否永久的?; 但至少,我們很高興知道可以從攻擊中休息一下..哪怕僅是暫時性的。 The Bad 本週,CISA(Cybersecurity & Infrastructure Security Agency)發布了Alert(AA20-302A)。這份聯合的 Advisory 報告,指示出 Trickbot,Ryuk 和相關惡意程式家族越來越關注在 High Value 醫療機關。 警告裡明確指出:“作為新的 Anchor toolset 的一部分,Trickbot 開發人員創建了 Anchor_DNS,這是一種使用域名系統(DNS)tunnel 來發送和接收數據受害者主機的工具。” 根據 FBI,CISA 和 HHS 警吿,相關人員一直在積極地將 Trickbot / Anchor 部署到目標醫療機構中,以擴大 Ryuk 後期感染的發作。 SentinelLabs 團隊已經確定 Trickbot 背後的團隊正在積極地更新和部署各種模塊,包括 Anchor 和 Bazar Loader。 Trickbot的進階版正在將其推廣到包括醫療機構在內的 High-Value 目標。 在我們的研究成果中,重點說明了 TrickBot's Anchor 項目將繼續進行開發,並使用 ICMP 下命令和控制通信。 在過去的幾年中,Trickbot 不斷證明了他們彈性。 最近嘗試破壞了 Trickbot ,也僅在有限時間內有效。 這些攻擊背後的人,資源充裕,人員配備齊全,並專注於危險的又被遺棄的目標。 CISA alert 提供了有關緩解,Ransomware Best Practices ,用戶意識 best practice,勒索程式預防以及充足的情境聯繫方面的詳細指南和步驟。 我們鼓勵所有人審視徹底的警報,並迅速採取任何行動以減少接觸,並改善防禦。 The Ugly 除 Ryuk 之外,NetWalker 最近也非常活躍。本週,跨國能源公司 Enel Group 成為 NetWalker 勒索程式的受害者。他們很快被公布在的 “shaming blog” 上;有些報導指出,攻擊者要求提供 1400 萬美元的贖金。此外,大型辦公家具公司 Steelcase 也受到 Ryuk 的攻擊。據報導,Steelcase 攻擊活動按照該駭客們的標準程序,通過 Trickbot 和,或 Bazar Loader 啟動了勒索程式。
最後,排除一般的勒索和惡意程式,一個對 Vastaamo 的攻擊,可能是本週最 “醜陋” 的一個……。這家位於芬蘭的公司在全國各地設有多個心理治療中心。據稱,攻擊者攻擊了公司,並竊走了數百份患者記錄。而攻擊者可以 access 個人和他們的健康資訊,訪談記錄,日期和帳單。之後直接(通過 email)與某些受影響的患者聯繫,進一步提出個別勒索要求。攻擊者已要求40 BTC(〜54萬美元)來阻止竊取的數據發佈到他們在暗網上維護的站點。 所有這些攻擊都是非常不幸的。這是一個很好的提醒,請不斷檢查您的安全狀況並保持防禦能力! The Good 全世界的監管機構都在施加更嚴格的數據隱私和通報規定,但是如果沒有幫助或指導,有時可能很難去理解這些規則。 特別是關於數據洩露是否需要通報。 但是有些國家則採取相反的方法:它們首先幫助教育公司企業,然後才落實法律規定。 New Zealand Office of the Privacy Commissioner(OPC)推出了一種新的 on line tool,使企業和組織可以輕鬆的評估是否應通報隱私侵犯行為。 根據將在 12 月 1 日生效的 Privacy Act 2020,如果隱私違規行為已經造成,或可能造成嚴重傷害,則該公司企業必須通知監管機構。 否則,最高可被罰款 $10,000 。 但是要如何知道違規行為是否會導致嚴重的後果呢? Well,好消息:他們可以使用免費工具(非常恰當地命名為“ NotifyUs”)來評估數據洩露是否會造成“嚴重危害”。 The Bad 俄羅斯主要情報局 GRU 正式負責訊息收集,但據資安業許多人士表示,它就是針對俄羅斯的敵人進行進攻性網路攻擊的主要機構。 在本週,歐盟,英國和美國都採取了制裁 GRU 的行動,以應對近期的一系列進攻性網路攻擊。 歐盟理事會分別在 2015 (德國議會網路攻擊)及 2018 (禁止化學武器組織攻擊) 年制裁了 APT group APT28 or "Fancy Bear" 制裁包括旅行禁令和整個歐盟的資產凍結。 此外,英國當局表示,GRU 對(現在已被延遲的)東京 2020 年奧運會進行了偵察活動。 GRU 瞄準了奧運會的組織者,物流及贊助商。但這是一項長期計劃的一部分,該計劃還針對了 2018 年冬季奧運會和殘殘障奧運會。 美國政府還起訴了六名俄羅斯軍官,他們被指控犯有包括 NotPetya 在內的數次重大網路攻擊,並企圖破壞 2018 年冬季奧運會,在全球造成至少10億美元的損失。 這些 GRU 組員似乎參與了主機入侵和攻擊,目的是支援俄羅斯政府以破壞,報復或動搖其他國為目標(從烏克蘭,Georgia一直到法國的大選)以及國際間努力的證明俄羅斯需為化學武器神經毒劑 Novichok 來負責。 制裁與否,在俄羅斯的保護下,毋庸置疑的,這些國家級駭客將繼續對更多的國際目標造成嚴重破壞。 The Ugly 安裝家用監視器意在提高家的安全性,但是不良安全保護的監視器可使駭客不受限制地進入你的最私人時刻。 在那些濫用的人中,有些人並不僅僅只是偷窺他人的私人生活而已,他們還試圖通過這樣的型未來獲利。 新加坡一家報紙在本週報導說,活躍在訊息傳遞平台 Discord 上的一個駭客組織在販賣從新加坡,泰國,韓國,加拿大,澳大利亞和亞洲其他一些國家(如孟加拉國,印度和 巴基斯坦)的影片。 這個組織以 150 美元的價格出售被入侵的監視器,並附帶有關如何選擇 “最佳” 的(意味著最有可能顯示裸女或小孩的監視器)以及如何錄製的教學。 其中一些錄製的影片(長度從一分鐘到二十分鐘不等)顯示了各種年齡層的人,有的甚至沒有穿衣服,這些影片也已被上傳到色情網站。
這再次提醒了在沒有適當安全措施的情況下將智慧設備(尤其是具有影像和聲音捕獲功能的設備)帶入我們的家的安全和隱私風險。 The Good 本週的好消息 ~ 蘋果和五位 “白帽” 漏洞賞金人員都受到了表揚,他們所做的一些出色工作讓蘋果產品和基礎架構中的 55 個錯誤得以修復,其中 11 個被評為 critical。 這些白帽駭客- Sam Curry,Brett Buerhaus,Ben Sadeghipour,Samuel Erb 和Tanner Barnes - 花了三個月的時間,悄悄地入侵了蘋果系統,發現了一個接個的 zero-day 漏洞。 最嚴重的漏洞包括經由向用戶發送惡意 email 來接管用戶的 iCloud 的功能。 僅需要通過打開 email 即可 - 也無需進一步點擊任何連結,或任何的 social engineering - 用戶不僅讓攻擊者完全控制自己的 iCloud 帳戶,而且還會將可傳播的漏洞發送給所有聯繫人。 這當然是個好新聞, 對於這些白帽駭客,對蘋果以及對用戶來說,這是個 triple - win situation。 首先,白帽們採取了負責任的態度,向 Apple 充分告知了這些錯誤。 大家想想,若是這些嚴重的漏洞有意的或 "無意“ 的被洩漏出去,或全部交易給第三方以獲取豐厚的利潤,這將會是多大的災難? 其次,Apple 及時(48 小時之內)的修復了這些錯誤,以確保用戶沒有被暴露之外, 蘋果也表示,在 log 裡沒有顯示這些錯誤中的任何一個都已在外被利用。 再來就是針對白帽本身的:Apple 還在根據漏洞賞金計劃的條款評估賞金,但迄今為止,他們已獲得近 30 萬美元的獎勵,另外還有 20 萬美元 is on the way。 最後,這對整個資安研究界帶來了更大的勝利。 過去,大眾一直對 Apple 的漏洞賞金計劃抱著質疑的態度,而 Apple 在此的給了一個模範反饋:研究人員得到了獎勵,他們也可以發表詳細的信息,而且漏洞在被記錄的時間內得到修復。 這只會鼓勵其他的研究人員來參與蘋果的漏洞賞金計劃,這對我們所有人來說都是勝利。 The Bad 在 fireware 中的惡意程式是特別麻煩的事,但同時卻是罕見的。 LoJax 早在 2018 年就成為大新聞,因為它是第一個在外被發現的 UEFI Rootkit,在 2015 年也在一家意大利私人情報公司 “Hacking Team “ 的工具洩漏中發現了當時唯一在 firmware 中的惡意程式,也沒有發現代碼被廣泛使用,直到現在為止。。。 研究人員本周公布了一項調查的詳細信息,他們發現了 Hacking Team 的 “ Vector-EDK” 惡意程式的修改版本,被用於在針對來自非洲,亞洲和歐洲的外交官和非政府組織的攻擊。 根據研究人員的說法,這個惡意 firmware 用於將惡意的執行文件 “ IntelUpdate.exe” 植入受害者的 “Startup” 中,而執行檔似乎可更廣泛部署一個名為 “ MosaicRegressor” 的惡意 framework。 Framework 的 downloader 包含多種與攻擊者的 C2 聯繫機制,包括 CURL,WinHTTP API 和 BITS 的 transfer interface。 不尋常的是,還有一種 POP / SMTP / IMAP 機制可以從寫死的的電子郵件地址 thtgoolnc@mail.ru 和 thbububugyhb85@mail.ru 中獲取 payload。 由於研究人員無法檢視惡意程式框架的 component,因此無法確定程式的所有功能。 但其中一個 component : load.rem 似乎是專門在竊取用戶在 Recent Documents 的 directory。 Source: Securelist 目前還無法歸因 APT 小組是如何植入惡意 UEFI image,儘管似乎是可能有人實際操作直接進入設備或經由受損的 firmware 更新機制進行的。 也由於 UEFI 攻擊的稀有性,所有細節都值得去研究。 有關 dumping UEFI 和 reversing UEFI image 的資訊,請參考文中的連結。 The Ugly
對於希望在今年秋天重返課堂,並可以恢復正常的一群 Massachusetts 的 25,000 學生來說,這是令人失望的一周。 這週四時, Springfield 公立學校區遭到勒索程式攻擊,並導致學校關閉。所有的課程被暫停,直至另行通知。 這個攻擊影響了學校和所有遠端的學習活動,地區不得不迅速採取行動,要求立即關閉所有學校設備,以遏制勒索程式。 The Good 目前距離美國大選只剩下兩個月,呼籲投票的信件已經通過電子郵件和郵件發布出來,令人振奮的是,看到多個機構對選舉安全越來越重視。 FBI 和 CISA 聯合發布了幾項公共服務聲明,意旨在減少來自外國干預不必要的焦慮,同時清楚地說明實際可能發生的情況。 第一個公告就表示,來自外國的國家級和網路犯罪分子可能會傳播關於 2020 年選舉結果的虛假信息。 指出: “foreign actors and cybercriminals could create new websites, change existing websites, and create or share corresponding social media content to spread false information in an attempt to discredit the electoral process and undermine confidence in U.S. democratic institutions”. “來自國外的駭客和網路罪犯可能會建立新網站,更改網站,並創建或分享呼應的社交媒體內容以散佈虛假信息,從而抹黑選舉過程並破壞對美國民主制度的信心”。 重點就是要說服大眾:選舉是沒有被操縱,並且是值得去投票,而不是呆在家裡(駭客們的意圖是減少投票水平)。 再來,另一個公告指出駭客和網路犯罪分子有可能會散佈虛假謠言,說他們以某種方式損害了選舉基礎設施,並間接協助了美國選民登記數據是已被 "駭" 和“洩露”。 這樣做僅只是為了抹黑選舉過程,破壞對美國民主體制的信心。但值得注意的是,確實是可以通過公開平台購買或獲取許多選民信息,FBI 和 CISA 補充說,“他們沒有任何信息證明,沒有任何的攻擊阻止了選舉的進行,並從而損害了選民登記的準確度,阻止選民投票,或損害任何投票的完整性”。 在另一份公告指出: DDoS 的攻擊有可能會阻礙投票信息的 access,延遲投票並阻礙投票計數。但這些機構強調,即使他們確實被攻擊了,也已採取措施確保這不會阻止任何人投票。 而 FBI 和 CISA 並不是唯一有處理確保選舉程序安全的機構,眾議院一致通過了針對駭客攻擊投票制度並立法為聯邦罪行。 這是繼去年參議院通過的《 Defending the Integrity of Voting Systems Act 》之後,它將使聯邦政府能夠在幫助各州預防選舉威脅方面發揮作用。 The Bad 那麼這週的壞消息,CISA 指出,過去一周有駭客入侵了一個不公開的聯邦機構網路。 通過利用受到破壞的憑據,駭客通過兩個 reverse Socket Secure(SOCKS)proxies ,利用了該機構防火牆的弱點,獲得了長時效性的權限。 據報導,他們使用了該機構的 anti-virues 產品的金鑰和安裝指南,並且 “然後進入了該產品用於 temp file 分析的 directory。” 進入後,攻擊者便可以執行 inetinfo.exe(一種複雜的惡意,刪除和文件解密程式)來進一步的攻擊。 《 Wired 》報導說,這次的駭客很肯定的是 Fancy Bear / APT28:一個為俄羅斯 GRU 工作的駭客團隊。 FBI 參考之前的一份報告(可追溯至2020年5月)時並指出,比對後兩次都是從在 Hungary 的 IP address 發出。 在另一份較早由 Department of Energy 的報告,APT28 從 Latvian 的一台伺服器探查在美國政府組織的網路,也與這次相同。 此外,CISA 這次詳細描述的TTP 與 APT28 的TTP 也相同。 儘管我們不知道是是哪家機構被入侵,以及被攻擊的程度,但它再次提醒了我們這些類型的APT 威脅攻擊者有多強。 The Ugly 隨著新冠肺炎的危機持續到 2020 年最後幾個月,疫苗還沒問世,許多國家陷入封鎖,一些人可能期望網路犯罪分子能夠緩解對醫療機構的攻擊。 可惜在本週,一個對 Fortune 500 中的一家醫院 Universal Health Services(UHS)的勒索程式攻擊證明了殘酷現實的真實性。 UHS在 美國華盛頓特區,波多黎各和英國的 37 個州設有 26 家急性救護醫院,328 家 Behavioral Health 住院患者以及 42 家門診設施和門診服務中心。BleepingComputer 指出,醫院最有可能是受到 Ryuk 勒索程式的攻擊。 因為在攻擊中,檔案被重新命名為 .ryk,而這是 Ryuk 的特徵之一。 被攻擊後,他們直接關閉了所有支援的 IT 系統,並恢復了該公司所說的 “已建立的備份過程,包括 offline documentation methods”,也就是最原始的手寫 report 和時間預約。 據該公司稱,這次攻擊沒有遺漏任何患者或員工的數據。
The Good 本週,一名英國人士 Nathan Wyatt 因 “The Dark Overlord ” 多次的違反和攻擊行動。被判處五年徒刑,並處以重罪。 現年 39 歲的 Wyatt 在由 TDO(The Dark Overlord)進行的多次的攻擊活動中扮演著關鍵角色。 隨著 Wyatt 於 2017 年被拘留,最終於 2019 年 12 月被引渡到美國。在 2017 年提交的冗長的文件詳述了許多實際的犯罪行為,以及其相關方法。 法院文件提供了內部策略細節,這些攻擊策略在最近,已經變得普遍。 Wyatt 和 TDO 中的其他人一起,攻擊高價值目標,竊取大量有價值的數據,然後要求贖金,以免將被盜的數據被公開洩露。 如果受害者不能付出贖金,TDO 會將竊取的細節洩露出去,在駭客論壇上發布出售的數據,或者乾脆全部發佈在網路上。 Wayatt 的主要的責任之一是作為受害人與 TDO 之間的聯繫。他使用單一的電話和帳號,與受害人聯繫以索取贖金或在需要時進行談判。 TDO 與針對 Netflix,ABC,SMART,Gorilla Glue 以及許多其他 high-profile 的大量攻擊活動有相關。因此,我們很高興看到法律制度可以制裁這些犯罪者。 Wyatt 的犯罪行為使他被判五年監禁,並處以近 150 萬美元的罰款。 The Bad 本週的醜陋,CISA(US CERT Cybersecurity & Infrastructure Security Agency)發布了警報 AA20-266A。 該機構已經註意到,從 2020 年 7 月開始,通過 EINSTEIN IDS 系統對 LokiBot 惡意程式的分佈有了很大的增長。 LokiBot 是一種被廣泛使用的工具,它幾乎沒有任何設置和使用入門的障礙。 這使得該框架對於缺乏創造或管理更複雜的惡意程式或購買更昂貴工具的剛起步的網路犯罪分子是非常有吸引力。 一般而言,LokiBot 包含了 keylogging,後門/遠程功能,使用瀏覽器的憑據收集和信息竊取功能。 它也可以用作其他代碼或惡意程式的加載器或刪除器。 儘管 LokiBot 是出名的,有跡可循的,並且通常受到良好的抵制,但本週的警報剛好也提醒了我們,即使是不複雜的惡意程式系列也會在使用和有效性方面起伏不定。 作為 “捍衛者”,我們不可以鬆懈。 我們鼓勵所有人看一下 CISA 的指南,並以此為作爲一個契機來檢查您的安全狀況並進行任何必要的更改,以確保免受 LokiBot 和其他所有在,外令人討厭的攻擊。 The Ugly 我們隨著距離將舉行的美國大選越來越近,選舉安全的敏感度空前高漲,並且大家都知道當針對與選舉相關的實體使用勒索程式時,情況是朝著醜陋的方向發展。 ㄧ家對美國政府提供服務的公司 Tyler Technologies 最近表示,它們已遭受了破壞性的勒索程式感染。 而 Tyler Technologies 為美國政府提供的服務包括緊急情況管理,災難恢復援助以及選舉數據的收集和分享。 該公司將自己描述為 “一個為地方政府提供 end-to-end 信息管理解決方案和服務的領先提供商。” 有鑑於勒索程式的目前作案手法是在目標無法支付時,洩露受害者數據,這種勒索程式攻擊就更加令人擔憂。 當前的調查表示出,特定的勒索程式家族是 RansomExx。 而 Tyler Technologies 表示,沒有 “個人數據 ”受到影響或 access,並且攻擊僅限於內網。 有關此事的調查仍在進行中,未來幾天和幾週內可能會出現新的細節。 調查的同時,公司通過 email 向客戶發布了以下聲明: I am writing to make you aware of a security incident involving unauthorized access to our internal phone and information technology systems by an unknown third party. We are treating this matter with the highest priority and working with independent IT experts to conduct a thorough investigation and response.” 我們謹在此通知您,目前發生了一起安全事件,其中涉及未知的第三方未經授權訪問我們的內部電話和信息技術系統。 我們正在以最高優先權處理此事,並與獨立的 IT 專家合作,進行徹底的調查和對策。” 我們也相信,隨著 11 月大選將近,更多類似的故事將會出現。 現在,比以往更重要的是,一個可信任的資安控制,保護我們所有人都依賴的系統和數據是有多麼的重要。
The Good 如果你這幾年有關注資安新聞,那麼你可能還記得 CCleaner 和 ASUS ShadowHammer supple 鏈攻擊。 Well, 本週的好消息:美國政府已起訴對需為這些事件負責 5 名中國人,前後相加有 100 多次攻擊。 前身名為 APT41,他們也是一直在支援勒索程式攻擊和 cryptominer 攻擊的幕後手。 Zhang Haoran, Tan Dailin, Jiang Lizhi, Qian Chuan 還有 Fu Qiang 目前仍然在中國逍遙法外,只要他們避開出國,被捕的機會是很小的。 但幫助這些人從被盜遊戲貨幣中獲利的兩名馬來西亞商人 Wong Ong Hua 和 Ling Yang Ching 正面臨從馬來西亞被引渡到美國的危險,並且很可能會被判入獄。 起訴這些中國駭客成員的同時,還沒收了數百個帳戶 , server ,域名和其他網路資產。 雖說起訴書和扣押都無法阻止他們從事進一步的行動,但是他們的身份以及與中國公安部的密切關係,已強烈發出信號,他們再也無法匿名或免於國際制裁。 The Bad 本週的壞消息仍與中國有關, CISA 本週發布了一份建議報告,指與中國有關係的國家級駭客正在利用 OSINT 和公開可使用的工具於新一波攻擊中,將目標瞄準了美國政府機構。 此攻擊包含了駭客的最愛滲透工具 Shodan,Cobalt Strike 和 Mimikatz 等。 再來就是,這些駭客一直在利用眾所周知的尚未修補的網路軟體漏洞,例如 CVE-2019-11510(Pulse Secure VPN),CVE-2019-19781(Citrix VPN),CVE-2020-0688(MS Exchange Server)和 CVE-2020-5902(F5 Networks Big-IP TMUI)。 長期以來,unpatched 的 VPN 程式一直是引起人們關注的問題,這也不是 CISA 首次向公司企業發出有關 APTs 針對重點設施攻擊的警告。 最新的報告還指出: To conceal the theft of information from victim networks and otherwise evade detection, the defendants typically packaged victim data in encrypted Roshal Archive Compressed files (RAR files), changed RAR file and victim documents’ names and extensions (e.g., from “.rar” to “.jpg”) and system timestamps, and concealed programs and documents at innocuous-seeming locations on victim networks and in victim networks’ “recycle bins”. 為了掩飾從受害者網絡路中竊取信息並逃避檢測,攻擊者通常將受害者數據打包在加密的 rar 壓縮文件中,將 RAR 文件和受害者文件的名稱和 extenstions(例如,從“ .rar” 更改為 “ .jpg”)和系統時間 stamp,並隱藏程式和檔案在看似無害的受害者網路和 “垃圾桶” 。 CISA 建議公司組織落實可靠的配置和 patch 管理程式,以防止攻擊者輕鬆利用常見漏洞和現成的工具。 雖然這是最低要求,但一些可靠的 EDR 也應該放在優先列表中。 The Ugly 本週的醜陋故事是關於網路攻擊的意外,其後果如何在現實中以悲劇結束的故事。 一名經驗不足的駭客試圖對德國一所大學進行勒索程式攻擊,最終在學校附近的一家醫院 30 台 server 進行了加密。 惡意程式以常見的方式發出贖金,直接命名了此所大學並提供聯繫方式以安排付款。 當然,醫院的接線人員是直接從 Düsseldorf 警察而不是大學人員那裡聽到消息。 警察告訴他們,他們沒有抵達預定的目的地,並使 Düsseldorf 大學診所的患者生命受到了威脅。 勒索程式讓醫院的 server 整個癱瘓,迫使接線人員只能將緊急情況轉移到其他地點。 一名需要緊急入院的患者被重定向到 32 公里外的一家醫院; 這導致醫生耽誤了一個小時,才能讓她接受只治療。 很可惜的,由於拖延到的時間,他們無能為力救活病患。 這名攻擊者最後向警察提供了解密 key,也沒有要求付款,但警方仍然無法聯繫攻擊者。 攻擊似乎是針對了一種可以購買的商用程式中的漏洞,漏洞已被修補。 但是使用哪種勒索程式來攻擊尚不清楚,但報導表示也沒有洩露任何數據。
警方繼續調查此攻擊案件,以 “過失殺人罪” 的指控來逮捕這名攻擊者。 如果可以有一個教訓,使那些認為這是 “有趣”的,“輕鬆賺錢的方法” ,“不會造成任何傷害” 的駭客們退一步,並三思,因為一個攻擊是可以帶來無法預知的傷害。 |
Categories
All
Archives
January 2021
|