 The Good 這週的好消息呢~ 一名40歲男子名為 Andrew Rakhshan ,因參與了針對 Leagle.com (一個彙整法律資訊的網站) 的 DDoS 攻擊而被判處最高刑期。 網站已發布有關 Rakhshan 過去在加拿大的刑事定罪的公開訊息。 比較有爭議性的是,此攻擊事件是發生在 2015 年 1 月,當時 Rakhshan 對一個在 Dallas/Ft. Worth 託管的網站進行了多次 DDoS 攻擊。  Rakhshan(生於 Kamyar Jahanrakhshan)被判處5年監禁,並被勒令支付超過 52 萬美元的費用和賠償。 但這並非此案的第一次審理。 最初的審判是在 2018 年 3 月進行。根據辯護律師的辯稱(當時的辯護無效),之後被批准了新的審判。 在隨後的審判中增加了共謀,及原案的先前調查結果。 不管在任何時候,只要有法律可以被用作打擊網路犯罪的有效手段,這都是值得慶祝的一個 moment 。 因為這不是容易的一件事,案件往往會拖延數年,或者由於所有參與人士缺乏技術而無法有效地進行審理。 但無論如何,所有參與此案的人都為之開心,並學習教訓。 即使是 “簡單的” DDoS 攻擊也可能導致嚴厲的處罰。 The Bad  上週,一家以色列安全顧問公司 JSOF 在 Treck 開發的通用 TCP / IP 軟體庫中發現了 19 個獨特漏洞。 這個 library 於 1990 年代後期開發,是一個輕量級的TCP / IP stack ,估計已在 “數億” 個網路設備中使用。 受影響的族群從個人開發人員到《 Fortune》 100 強企業(例如,Intel,Schneider Electric 和 HP),脆弱的設備幾乎涵蓋了從家用型的 “智能” 設備到電力基礎設施,運輸系統,醫療系統甚至到商用飛機上。 其中有四個漏洞被認為是關鍵的。 JSOF 表示,他們計劃在 Black Hat USA 2020 上發布更新的資訊以及開發細節。以下是每個CVE 的精簡摘要:
而此時此刻在撰寫本文時,以下資源已提供出來: 我們在這裡建議 IT 和資安團隊審視適用的 CERT 諮詢和供應商諮詢,並獲取最新更新和修復選項。辨別這類型的缺陷,易受攻擊的設備, gauging 暴露程度以及防止利用後活動的是重要的關鍵之一。 SentinelOne Ranger 可為您的公司企業的資產,風險管理和威脅防禦提供了強大而精簡的方式。 The Ugly  有一個公開的秘密就是,在我們不斷進行的網路戰爭中,壞人都很清楚知道好人使用和依賴的工具。雙方都利用多類型的 on-line 掃描和 sandboxes。 當好人提供一些新穎的工具或流程的資訊時,可想而知,壞人也可從中受益並找到使用它的方法。 最近一個由 Nyotron 公開的案例,與 Thanos 勒索程式及的 RIPlace 規避技術相關。
那麼呢~ RIPlace 可用於避開某些 AV 產品,從而使惡意程式不受阻礙地運行。 Nyotron 在 2019 年 11 月 發布了在 RIPlace的找到的這項發現,旨在經由這項新發現的逃避技術,向大眾進行教育。 此外,《 Recorded Future》的研究人員指出,在過去的幾個月中,Thanos 的幕後參與者一直在反復修改並研發新變種。 他們正使用 RIPlace 專門避開 Malwarebytes AntiMalware和 Windows Defender 產品。 與其他產品相匹配的變種也可能已在地下市場中發行。 最後獻上一個更大的公開秘密就是 SentinelOne Endpoint Protection 平台是完全能夠檢測和預防 Thanos ,RIPlace 避開技術的更是小菜一碟。
0 Comments
The Good 已經近一半的 2020 年要度過了,而美國大選季節正在迅速進入數十年來最動蕩的一年,我們很高興看到網路安全在全國性得到了加強及注意。 為此,Nattional Guard 和 U.S. Cyber Command 通過一起發起的 “ Cyber 9-Line” 計劃,聯手提供及時的數據及對網路攻擊的響應,從勒索程式攻擊到選舉安全事件。 Cyber 9-Line 是使用一個通用型的框架並允許 National Guard 快速的 report 事件,這些事件被輸入到 USCYBERCOM 的Cyber Nation Mission Force 中。 然後,他們可以診斷並提供未分類的反饋來幫助解決該事件。 到目前為止,雖然只有 12 個州完成了註冊,但其他大多數州正在逐步建立帳戶並進行培訓。 USCYBERCOM 表示,捍衛 2020 年選舉是“指揮官和國家安全局的第一要務”。 Cyber 9-Line 有望在確保選舉完整性方面發揮關鍵作用。哇呼~~  同時,在英國的國防部還通過推出新的 the 13th Signal Regiment “網路團”,為打擊數位攻擊做好準備。 英國陸軍在一份聲明中說,他們的新裝備將與 “尖端技術與網路士兵互相匹配,以利在數位時代競爭並贏得勝利”。 The Bad 大家還記得 Meltdown 及 Spectre 嗎? 還有 side-channel 側通道攻擊 RIDL,Fallout 和 ZombieLoad? 他們是在過去,(well, 也是在不久之前的 2018 和 2019 )來自通過 Intel 的 CPU的微體系結構緩衝區傳遞產生的處理器漏洞。 其問題的根源是在 Microarchitectural Data Sampling(MDS),深層到根本無法防止緩衝區洩漏。 Intel 表示最好的辦法就是更新現有處理器的 microcode,以便每當 CPU 切換到新的安全敏感任務時,緩衝區都將被 overwrite。 Intel 隨後發布了他們的第8代 CPU Whiskey Lake ,這新型的 CPU 應該能夠抵抗此類 MDS 攻擊。 但遺憾的是,看來這些緩解策略並不完全有用。 已有來自兩個獨立團隊的最新研究指出,即使在 Whiskey Lake 機器上,還是可以被 bypass。  SGAxe 是建立在較早的攻擊 CacheOut 的基礎上,並利用 CVE-2020-0549 竊取了來自 Security Guard Extensions 安全區域 的用戶數據,而 CrossTalk 讓駭客可以去洩漏 SGX 安全區域中受保護的數據,即使使用的代碼是在與保存敏感數據不同的 CPU Core 上運行。 研究人員表示,“將這些攻擊用於破壞 Intel 安全 SGX encllaves 中運行的代碼幾乎是微不足道的”,並且 “針對現有的瞬時執行攻擊緩解措施,在很大程度是無效的”。 Intel 聲稱 CrossTalk 為 Special Register Buffer Data Sampling(SRBDS),並表示 Atom,Xeon Scalable 和第十代 Intel Core 系列處理器不受影響。 而對於受影響的 CPU ,供應商們預期在未來幾週內提供更新。 Intel 表示,針對早期漏洞的 patches 以及發布給研發人員的 recommended guidelines,也應有助於防止 CacheOut 和 SGAxe。 The Ugly 一群專研對社會網路威脅的加拿大研究小組 Citzen Lab 表示,人權捍衛者,環保主義者,新聞工作者以及政治家和 CEOs ,已成為迄今對大家還是一個未知,稱為 "Dark Basin" 駭客招募組織的目標。 美國非營利組織已成為 “ Dark Basin” 的一個大目標,Dark Basin 還對倡導網路中立 net neutrality,揭發否認對氣候破壞的企業組織發動了網路釣魚攻擊。 以下為同意公開的組織包括有:
那 Dark Basin 是怎麼被發現的呢?因為他們在釣魚攻擊中使用了客制 URL shortener 。 由於 shortener 建立了具有順序短代碼的 URL 後,使研究人員能夠識別出近 28,000 個包含目標電子郵件地址的 URL。 然後這些惡意鏈接連接到釣魚網站:一種駭客們可以控制的複製登錄頁面,例如Facebook,LinkedIn和Google Mail 等。  The Good 在本週呢,網路安全和基礎架構安全局(CISA)發布了第一個(也將會以系列型發布)的 “Cyber Essentials Toolkit”。 該機構計劃每月發布更新。 每個工具包的設計均與 CISA 的6個 “基本要素” 為基礎。 通過工具包的每個步驟和 module,目標是引導老闆們,CISO 和 information owners 完成開發和落實的網路安全實踐和習慣的過程。 通過採取這些 “小規模” 的措施,企業組織應具備管理和理解風險的能力,並適當的分隔信息和資源以補充降低風險和暴露的能力。 以下為 CISA定義的 6 個 “基本要素”是:
 這些 toolkits 中的第一個以 “自己” 元素為重點,面向網絡安全人員以及 IT 專業人員和服務提供商。 整個項目面向 C -level 主管。 如果你想更了解有關 Cyber Essentials 工具包和相關的更多信息,我們建議你來看看 CISA 的網站以獲取持續更新。 The Bad 而這週的壞消息是由研究人員發現到,VMware Cloud Director 出現了一個關鍵漏洞,而該漏洞可能使攻擊者完全控制受影響的基礎架構。 這個缺陷是因為輸入處理不當,導致狀態允許任意代碼注入。 之後可以通過基於 Flex 和 HTML5 的接口以及提供的 API,通過惡意製作的流量來觸發安全漏洞。 Citadelo 的研究人員在一次安全審核中發現了並 report 為 CVE-2020-3956 的漏洞。 除了遠端執行, 研究人員還證明了通過此漏洞,攻擊者可以進入在外部的雲端基礎架構。 漏洞可利用來獲得 vCloud 數據庫的完全權限,操縱系統管理員帳戶的憑證,最終以完全特權進入所有的託管客戶。  那麼除了發布的安全漏洞的信息之外,Citadelo 還發布了詳細的 PoC 來 demo 這個漏洞。 VMware 已發布更新來解決此問題。 我們鼓勵所有被影響或相關的客戶來查看發布的資料,並建議遵循指南和修補程序。 The Ugly 那本週醜陋的主角是: DoppelPaymer - 這個勒索軟體的背後執行者宣布了對於在 Maryland 的IT服務提供商 Digital Management, LLC 的攻擊。 受害者有許多是榮登在 Fortune 100 客戶,包括了美國 NASA。 在 DoppelPaymer 的 blog 網站上還特別註明了 NASA 與 Digital Management, LLC 的關係。  
而他們聲稱竊取了屬於 NASA 和 SpaceX 的內部文件,其中包括了: 設備設計和計劃,人力資源和人員數據。 據說被竊取出來的數據跨越了從 2016年或更早到今天。
有鑑於 Digital Management LLC 在隸屬聯邦的空間內運作,因此他們的合規性和法規要求,是比非聯邦實體要嚴格得多,因此他們可能會面臨來自監管機構和客戶的災難性影響。 在某些方面,這些攻擊可能比許多政府贊助的攻擊造成的損害更大。 儘管攻擊者可能缺乏 APT 的秘密技術,但其影響可能是毀滅性的,甚至是會破產的。 Digital Management,LLC 肯定會在試圖撲滅此漏洞造成的巨大影響中、及在其他方面展開艱苦的奮鬥。 The Good 想要知道誰是駭客們是有點難度,而要逮捕他們並繩之以法,更加困難。 因此,當執法機構能夠對他們提出指控時,我們一定要稱讚他們的出色工作,並希望法院做出足夠的懲罰以製止其他人。 這周德國當局對一名 22 歲的男子提出了指控,他侵入了一些政客,記者和公眾人物的私人帳戶。 他承認竊取和洩露了包括德國總理 Angela Merkel 在內的數百名政客的私人數據。 其他指控包括對六名德國國會議員的贖金(要求以比特幣付款,以換取不公開這些私人數據),以及三起關於炸彈或大規模槍擊事件的假消息。 據調查人員稱,作案者使用 email 的密碼重設工具來進入帳戶並獲取個人資訊,電話號碼,聯繫地址,信用卡,照片和信件。 而動機似乎是帶有煽動性的,與政治有關係的,在某種程度上,跟錢也有關係的。  另一則好新聞就是在西雅圖的一項逮捕,一名烏克蘭籍人士捲入了由 FIN7 發起的駭客行動,該集團從在美國的受害者那裡竊取約 10 億美元而聞名。 Denys Larmak 被指控 “密謀性的攻擊,進入受保護的主機內進行欺詐,故意破壞並進入設備,密謀進行電匯和銀行欺詐,電匯欺詐以及嚴重的身份盜用”。 據當局表示, Larmak 用了釣魚郵件來獲取 credentials,信用卡和提款卡資訊以及其他個資。 Larmak 還非常有系統的使用Jira 記錄每一次的攻擊並為每位受害者建立獨立的 ticket,並使用該系統與 FIN7 的其他成員分享這些資訊。 The Bad 德國當局本周向在本地的能源,水和電力公司發布了一份建議,建議內指出與克里姆林宮有關係的駭客們正在瞄準這些機構。 該組織的名稱分別為 Berserk Bear,DragonFly 2.0 和 Dymalloy,很明顯的是代表俄羅斯 FSB 情報機構拓展 ”業務“,並利用這樣的 supply chain 進入德國公司的 IT 系統。  這個 APT 組織至少從 2015 年底或 2016 年初就開始活躍,專門針對歐美能源機構作為目標的駭客活動,他們利用可以正規公開獲得和專門的惡意軟體來滲透 IT ,並偷取信息。 最令人擔憂的是,它們瞄準並滲透高階關鍵的營運技術(OT)網路。 他們也曾針對、並利用有毒網站來攻擊美國公司。並收集 login 的 credentials,並利用這些 credentials 來侵入歐洲和北美的重要基礎設施公司。 他們還被指控攻擊德國能源供應商。 The Ugly UK's privacy watchdog 宣布,自 GDPR 生效以來,過去兩年中被記錄的數據洩露事件數量有所下降。 但似乎只有英國人正在逆潮流,因為全球的數據洩露事件是增加而不是下降。。。 就在本週,日本電信業巨頭 NTT 宣布了影響數百名客戶的數據洩露事件,而美國銀行 BOA 也宣布了影響到申請薪資保護計劃( Paycheck Protection Program PPP)客戶的數據洩露事件。 另一則更大的事件是發生在印度,此事件影響了 2900 萬個求職者的大規模數據洩漏。 一家網路安全公司發現了一個駭客(們),出售來自不同地區的數百萬求職者的個資。 洩漏可能是經由一個履歷收集器洩漏出來,該服務從各種的工作門戶收集數據。 提供的出售信息包括有關用戶的個資,例如 email,電話號碼,住址和資格。  再來,若是 2900 萬個記錄聽起來像是一個龐大的數字,那麼請試試感受一下這個數字:80億。 這就是從泰國最大的手機網路子公司 Advanced Info Service(AIS)洩露出的數量。 該公司不小心在 5 月的一次計畫測試中 release 了包含數百萬客戶即時 Internet 記錄的數據庫 。公司聲稱沒有重要數據被洩露。 還好,此數據庫已被關閉。
 The Good 這週先讓我們為羅馬尼亞的網路警察拍拍手~因為他們逮捕了一群使用 Locky 勒索程式攻擊醫院為目標及其他輕罪的犯罪分子。The Directorate for Investigating Organized crime and Terrorism(DIICOT)突襲了在羅馬尼及摩爾多瓦的一個犯罪基地,逮捕了四名涉嫌犯罪的人,他們稱自己為 “ Pentaguard”。 而除了攻擊醫療機構,直接使人們的生命處於危險之中,“ Pentaguard” 還涉嫌破壞和損害屬於公共和政府機構、金融服務和教育類的網站。  The Bad “這就是為什麼我們不能擁有美好的事物” <- 這一句是這陣子無所不在的輪迴之一,特別是這週的壞消息,高階版的駭客 Winnti 用了他們複雜的惡意程式瞄準了……遊戲開發商。 乍看之下,這是有點詭異的目標,因為惡意程式需要大量的技能和精力來製作,並且有使用後不久就被 “燒毀”(也就是,被防毒軟體擋下來)的風險。 通常,這樣的資源僅用於具有高度價值的公司或組織,而在這些目標中,駭客們知道他們可以得到更多超過 “投資業務的成本” 並有保證的投資報酬率。 但是,Winnti 在這方面的記錄,本週的報告指出,通過利用每次啟動時運行的 Windows 印表機驅動程序而持續存在的惡意程式不僅可以用作供應鏈攻擊的一部分,而且還可以用作攻擊供應鏈的一部分 - 經由操縱遊戲虛擬幣來獲利。 正如一篇在論壇的評論指出,在大型 on-line 遊戲平台擁有數億用戶的基礎,以高特權級別運行軟體,用戶很少去檢視強製或自動更新。 從惡意程式作者或殭屍網路構建者的角度來看,這有什麼好不喜歡的?  新版本的 Winnti 使用了一種新的 backdoor,稱為 PipeMon,因為它使用了許多在 modules 之間進行通信的管道。 在 2018 年時,PipeMon 從 Nfinity Games 竊取了的合法 Windows 憑證,使其可以偷偷的安裝在系統內。儘管這是2年前的,但被盜的憑證仍未被吊銷。 The Ugly 那麼這週的醜陋新聞就先從英國的一家航空公司 EasyJet 開始。 這家英國最大的航空公司本週透露,大約有 900 萬個客戶電子郵件以及他們的旅行數據被洩露。 在此次洩漏中,估計有 2208 位客戶的信用卡詳細信息也被暴露在外。這對於網絡犯罪分子來說是一個豐厚的發薪日。 EasyJet 表示他們已遵守當地的網路攻擊違規通知規定,所有受影響的客戶將在 5 月 26 日之前收到通知。 有鑑於這次的攻擊,EasyJet 的客戶應格外警惕釣魚郵件,並密切注意信用卡帳單上是否有未授權或欺詐性交易的跡象。  第二個醜陋消息的主角是在美國膳食工具包專家 Home Chef ,在本週也被確認出客戶數據也被洩露出去。而該數據洩露是由一名沒有聽說過的 Darknet data broker ShinyHunters 所發動的首次攻擊。 ShinyHunters 在一整個五月在各種犯罪論壇上公布即將有大數據洩露事件,但事實證明出,這些早期洩漏的數據沒有什麼價值並被質疑。 例如,他們聲稱擁有 500GB 的 Microsoft source code,但研究人員指出,當時被丟出來 1GB 樣本,是早己計劃可以被公開的 code。
但是,Home Chef 和其他許多知名網站已公開確認 ShinyHunters 其他的攻擊。 研究人員懷疑, ShinyHunters 會在暗網中數據交易的世界中突然成為大咖,其實是個有經驗的駭客組織正在嘗試使用新的身份。 但無論如何,這樣的行為無疑會給受影響的客戶增加麻煩,同時給被攻擊的企業組織造成不幸的名譽損失。 The Good 在 2020 的第 20 周呢,CISA(The Cybersecurity and Infrastructure Security Agency)發布了Alert AA20-133A。 而這個 Alert 比較像是一個 Summary 涵蓋了前年以及 2016 年至 2019 年常被利用漏洞的一個趨勢。而且這都是有根據的,駭客並不傾向於使用新的 zero-days 或花枝招展的技術。 在大多數情況下,他們使用可靠的工具。 也很不幸的是,目標們通常是可靠的,因為這些目標們通常都不更新也不修補安全漏洞。 2016 年至 2019 年常被利用的十大漏洞為:
在 2020 年,well, 到目前為止,經常被攻擊的主要漏洞為:
由於 2020 的 COVID-19 傳染疾病 ,導致大規模的遠端上班。 MS Office 365,Team,Zoom 和其他各種漏洞開始被注意到,造成了使用者成為鎖定目標。 那麼,為什麼這是個好消息呢? 正所謂知彼知己,百戰百勝。準確了解攻擊趨勢始終是一件好事。若是無法優先考慮資產以及風險管理和緩解方法的環境,可以很快的使用這樣的數據來了解自身環境中的弱點並採取適當的措施。 CISA 警報還連接到每個 CVE(漏洞)的各種緩解選項,允許在需要時採取快速措施。 The Bad 據報導,本週以色列安全內閣舉行會議,討論了對國內自來水基礎設施的網路攻擊。 很多媒體也指出,這次襲擊是伊朗所為。 儘管目前的情報表示,這次攻擊沒有造成損害或負面結果,但我們可以肯定的是伊朗與以色列之間的緊張局勢又再次升級。  攻擊最初是在 2020 年 4 月底向 INCD(Israeli National Cyber Directorate)告知的。當時,多家民用水廠的運營商報告說 “設備運行異常” 和 “過程行為異常”。 而這次的攻擊專門針對有裝置 exposed (internet-connected )PLC(programmable logic controllers)的多項設施中。 幸運的是,這次攻擊沒有造成任何損害(不像是……Stuxnet)。 但是,一開始進入的 vector 肯定會引發一些警報。 暴露的PLC 不需要身份驗證。 僅需對特定控制器管理接口和連接所需端口的了解。 簡單來說,這些知識都是可以快速的在 Google搜尋到。 還有,目標中的 PLC 跨越了很多個供應商。 攻擊者需要花時間並在攻擊之前通過徹底的偵查來收集基本資訊。 攻擊者還能夠修改目標控制器的過程邏輯,但如上述,運營商僅以“異常行為”來表示這次的攻擊。 基礎設施攻擊是一種不好的組合。 我們最關鍵的設備通常是最容易暴露且最容易受到攻擊的設備。 資安人員應該要有這樣的心態並致力保護這些系統。 遵循 CISA 和 DOE( Department of Energy )的指導方針是避免此類攻擊的關鍵。 正確使用VPN,MFA,用戶管理/控制以及真正的網路 segmentation 將對防止更多災難大有幫助。 CISA 還提供了許多工具,可以幫助評估和增強資安狀況。 The Ugly 目前全世界,不僅是在生活上,或工作上都還在以不同的方式面對 COVID-19 。 這包括使用 Zoom 之類的線上會議工具來協助我們持續發展的業務和溝通需求。 到現在為止,我們都已經熟悉 “ Zoom Bombing” 即類似的攻擊。 本週發生了另一起受矚目的 Zoom Bombing 攻擊事件,涉及 Dallas ISD(Independent School District)。 在一個有家長,老師和學生參加的關於畢業的會議上,視訊會議被攻擊。 沒被邀請的駭客向參與者發布了色情圖片。 事件發生後不久學校發表了以下聲明: “We apologize for the graphic images some of our students and families may have seen during a parent-senior Zoom meeting, which was hacked by an unknown source yesterday. It’s unfortunate the digital platform that many of us rely on to connect students with teachers each day, has been compromised through various “Zoom-bombings”. Though we are disappointed the incident occurred, campus administrators successfully restarted the meeting without further incident and are working with Dallas ISD Police to investigate. A formal complaint was reported to Zoom, as we hope this incident prompts a stronger review of their security measures.” “我們為在 Zoom 會議上看到的不雅照片表示歉意,昨天的會議遭到了不知名人士的攻擊。 也很不幸的,我們目前還是仰賴於數位平台來將學生與老師聯繫起來,但由於各種 “ Zoom-bombings” 而受到損害。 我們對事件發生感到失望,但校園管理員成功地重新開始了會議,也沒有進一步的攻擊事件發生,並且正在與 Dallas ISD 警察一起進行調查。 我們已向 Zoom 提出投訴,我們希望此事件能促使他們對其安全措施進行更嚴格的審查。” 請切記,公司企業永遠不能對自己的資安感到滿意及沾沾自喜。 儘管 Zoom 和其他供應商已經開始補救各種缺陷和疑慮,但被攻擊的可能性總是會在那兒等著你。 我們鼓勵大家閱讀有關 Zoom 和 Slack 之類應用程序的安全性準則。
The Good 本週的好消息有待再觀察,但就目前來說,這對成千上萬的勒索程式受害者是一大好消息。 一個 github 使用者自稱代表 Shade,宣布他們從去年年底以來已停止攻擊,而且還公開發布了 750,000 個 decryption key 以及解密程式。 Shade,Trotldesh 或 Encoder.858 勒索程式從 2014 年首次開始出現,出現後一直是個沒有停歇過的威脅,一些資安廠商指出,在2018 末和 2019 初,Shade 攻擊急劇增加。我們目前還看不出有什麼端倪,或者他們已經被競爭對手攻陷或注意力轉移到其他地方。 但無論哪種情況,公布出的 decryption key 貌似是真的,而 Shade 這個勒索程式的消失確實是件好消息。  The Bad 在疫情期間,居家辦公時,我們比以往任何時候都更加依賴資安軟體,尤其是通過線上通話的會議商務會議方面。 儘管 Zoom 的問題已被記錄下來,但別忘了還有微軟的 Team 。 據說,Team 有一個類似蠕蟲的主要安全漏洞,該漏洞可能讓在遠端的駭客完全接管企業的團隊帳戶,並用 lateral movement 攻擊整個網路。 這次非常技術性的零時差攻擊僅需將 image 或 GIF 發送給受害者即可。 研究人員說,一旦將圖開啟於 viewer 中,攻擊就成功,而且受害者不會知道自己已遭到了攻擊。 這個漏洞已於 3 月 23 日秘密的告知 Microsoft,並於 4 月 20 日修復。 話不多說,如果你還沒有更新的話,請立即更新。  此外,這周其他的壞消息中,駭客們不斷的零時差攻擊在 Sophos XG Firewall 產品的漏洞。 這是一個在身份驗證前 SQL injection 漏洞 (CVE-2020-12271),這會建立一個遠端執行代碼(RCE)狀態,駭客可以隨之利用漏洞進入 XG 設備,expose local 用戶名稱,帳號還有密碼。 駭客並在受感染的設備上用了 Asnarok 木馬程式再次攻擊。 Sophos 已發布了一個修補程序,但仍建議用戶在防火牆的 WAN 接口上 disable HTTPS Admin Service 和 User Portal access 來減少攻擊。 The Ugly 醜陋消息中的常客:Maze ,在本周也不例外的又出現,這次他們有了 “創新” 的 MO。 他們一如往常的加密,洩密和洩漏策略有了新的變化,他們現在聲稱拒絕從一家受害者中獲利的機會,並堅持認為他們是製造了更多有利於受害者的動機。 Maze 的一份聲明聲稱,他們在去年 8 月和今年 2 月攻擊了 Banco de Costa Rica (Banco BCR 銀行),藉由攻擊他們得到了付款處理系統的權限,並竊取了 1100 萬張信用卡憑證,其中包括 14萬 美國公民。 到目前為止,這些都是在意料之中。 故事轉折來了,Maze 聲稱他們沒有 “阻礙銀行的工作”,因為 “在疫情期間這是不正確的行為”。 但是,他們似乎比較擔心該銀行既未披露去年的首次攻擊,也沒有採取必要措施來保護受到入侵的系統。 Maze 聲稱,今年二月他們依舊輕鬆地重新攻擊系統,並且銀行沒有因爲糟糕的安全性而負責任。 聲明繼續表示,Maze 無意出售數據,而是 “將攻擊事件告知 Banco BCR,媒體和監管機構。” 但聲明最後還是用了令人害怕的威脅結尾。 “如果我們未收到任何回應,我們將公開所有信息。 這意味著將發布 1100 萬張信用卡號和其他憑證。”  目前還看不清楚他們希望獲得什麼樣的 “回應”,但如果它變成不鼓勵洩漏的一個誘因,我們也不會感到驚訝。 無論如何,這似乎比在 Darknet 上與其他犯罪分子交易更容易賺錢。 同時,如果這份聲明是真的,我們可以與 Maze 有一樣的共識:那就是 Banco BCR 的確需要在資安上做的更好,而且要快!
The Good 使用者教育是防止入侵或避開攻擊中最強大的工具之一,尤其是涉及網路釣魚這類的攻擊。一般來說,使用者對自己的網路狀況越有信心和意識,情況就越好。本週,GCHQ 和 The National Cyber Security Centre(NCSC)聯手成立了一個名為 “ SERS ” Suspicious Email Reporting Service 的使用者意識活動。這是一個更廣泛的“網路意識” 活動; 由於利用Coronavirus 爆發來詐騙的案例迅速增加,為了使大眾提供更好的 email 安全指導,倫敦市警察局也一起共同努力,讓大眾可以直接將可疑和潛在惡意 email 發送到 report@phishing.gov.uk。當使用者向 SERS 回報時, SERS 將查詢和驗有關訊息各個方面的有效性。例如,將對發件人的網域和主機進行有效性測試,任何被發現為網路釣魚詐騙的站點都將被立即刪除。他們在一天中,5000多個回覆被接收,並關閉了 83 個在線網路釣魚活動。幹得好阿!! 本週又一個更棒的好消息是,最新一輪的 MITER ATT&CK 評估結果已經發布。 MITRE 第二輪的重點是“ APT29”,以及與這位臭名昭著的俄羅斯支持的威脅演員有關的 tactics,techniques 和 procedures。 今年,我們很自豪告訴大家 SentinelOne在本輪比賽中的領先成績。 SentinelOne 的總體漏檢數量最少,並且結合相關性最高的高質量檢測數量也最多。 但是 ~ 我們為與 SentinelOne 一起測試的所有參與者表示讚賞和祝賀。 因為我們都在為實現更加安全的網路世界,有著更大利益而共同努力。  The Bad 本週研究人員表示在 iOS 上的 Apple Mail 應用程式中發現了嚴重漏洞。 自 2012 年以來,這個遠端代碼執行漏洞已存在於 iOS 6 中 ,並一路影響至 iOS 13.4.1。 由於缺乏用戶的錯誤回報,導致這個漏洞特別嚴重。 典型的 email 攻擊還是會要求目標用戶打開郵件,點擊或甚至需要打開附件。 但這次,Mail.app 只需要接收到惡意的 mesage 就可以啟動可利用的條件。 攻擊者可利用緩衝區溢位攻擊和越界來編輯 weaponized 內容。 發現此漏洞的 ZecOps 還表示他們認為攻擊者正在外頭兒嘗試利用同樣的漏洞。 但是,蘋果否認了這項聲稱,表示他們 “沒有發現任何證據來對顧客進行攻擊”。 這些問題已將在發布的 iOS 更新的 Beta 版中得到解決。 在其他平台上的電子郵件客戶端(例如 Chrome 或 Outlook )並不受影響,但仍提供有疑慮用戶潛在的解決方法。  The Ugly 本週,Maze Crew( Maze 勒索程式的幕後駭客)將目光轉向到全球 MSP 和 一家名為 Cognizan 的 IT 顧問公司。 APT 和高度複雜的網路犯罪者都把高價值的 MSP 做為目標。 MSP(託管服務供應商)通常管理和託管大量網路環境和用戶。 專注於 MSP 的駭客們有可能破壞 MSP 範圍或控制之下的所有實體企業的運作。  這一次 Maze attack,除了受害者給予的折衷方案之外,還增加了另一種可能的後果。 與最近其他惡意程式一樣,Maze 也從目標環境中竊取數據。 他們威脅要公開竊取來的數據,從而增加影響力。 如今,越來越多的企業都不得不將任何的勒索程式攻擊視為全面性的漏洞。 Maze 就公開發布了大約 100 名受害者的數據。 其他勒索程式(如 DoppelPaymer 和 Sodin / REvil )也不甘落後。 Ragnar 和 Netphilim 也積極發布受害者數據和威脅。  這些攻擊目前不斷的上升,越來越多洩露敏感數據的威脅。 我們建議,花點時間了解可能會遇到的風險,調整安全設置並採取必要的措施來減輕風險。 強大知識和技術控製相結合,可以大大減少駭客對我們的了解並竊取數據。
The Good 在上週,荷蘭警方已為當地人力仲介網站去除了至少 15 個 DDoS 攻擊。 這次的肇事者是一名來自 Breda 的 19 歲男子,據說對荷蘭的兩個主要資訊和文件網站 MijnOveheid.nl 和 Overheid.nl 發起了攻擊。 這兩個公開網站提供有關納稅申報表和兒童福利的信息之類的服務,並且協助政府機構公布有關新冠狀病毒危機的通知。 上個月的一次攻擊使兩個站點都 offline 了幾個小時。 這位嫌疑人名字尚未公開,並將被起訴與電腦刑事犯罪,起訴日及刑期尚未決定。  The Bad 國家級駭客並沒有疫情持續延燒而因此安靜下來。 在本周,有公開報導指出舊金山機場的網站 SFOConnect.com和SFOConstruction.com 遭到俄羅斯國家支持的 APT 駭客攻擊。 攻擊的目的是通過利用 SMB 和 file:// URL 來收集用戶名稱和 NTLM local password hashes,從而由訪問者處竊取 Windows 帳戶憑證。 這樣技術很類似於 APT “Dragonfly/Energetic Bear” 所使用的技術。 同時,美國國防部反情報與安全局向外包商發送的警訊指出,自 2 月 1 日以來,一個可能與中國政府有聯繫的駭客組織已將40 個可存取機密的美國合作廠商作為攻擊目標。 除此之外,美國 Department of Homeland Security、各州和財政部以及聯邦調查局發布官方警訊,北韓為了打擊類似的設施而展開攻擊,目的是為現金緊缺的政權集資金。這已對全球金融體系構成了 “重大威脅”。  The Ugly 網路犯罪是機會主義派,但利用影響數十億人的全球流行病是一項醜陋的行為。 儘管早先聲稱不針對醫療設施,但他們卻是仍在如火如荼地進行攻擊。 對醫院和醫療設施的勒索程式攻擊不是什麼新鮮事,但現在這些攻擊所造成的破壞力卻是很驚人的,而且這些設施正努力的發揮作用病試圖找到治愈方法或治療病人時,居然還要面對這些醜陋的攻擊。 就在本週,參與 COVID-19 研究的兩個加拿大機構(政府單位和大學)成為勒索程式攻擊的目標。 還好執法機構並沒有忘了這點,國際刑警組織已發布全球警報關於勒索程式攻擊醫院,醫療機構和其他研究或應對 COVID-19 的組織的風險增加。 但這對駭客們好像沒有什麼作用。第二天,他們對在捷克東部的一家醫院發動了攻擊。 所幸該醫院的 IT 安全人員擊倒了攻擊。  一位發言人表示,攻擊是 “針對我們的其中一台伺服器。 還好我們的 IT 人員有經歷過類似的攻擊並成功的擊敗對手”。 捷克總理在一次採訪中準確地總結了我們的想法:“我不明白為什麼現在有人會做如此骯髒的事情。”
持續疫情的延燒, 這週開始將與以往不一樣。 大家更著重在確保家人的安全,許多人也開始在努力適應遠端工作。 對於有孩子的人,要在父母,老師和員工之間轉換。 網路世界比以往更活躍...讓我們來看看本週發生了什麼吧! The Good 這週疫情貌似有點好轉,網路安全也不例外。 從 UK_Daniel_Card 開始,Lisa Forte 和 Radslaw Gnat 提出了一個絕妙的想法: 成立一個網路工作團隊來保護醫療機構,此時他們正處於對抗 COVID-19 的第一線。 如果你想參加,請看基地位於歐盟的計劃,“Cyber volunteers to help healthcare providers in Europe during the COVID-19 outbreak”。 Dan 和他的夥伴們指出在不同國家/地區的也正在計劃這樣的活動。  在以色列,衛生部和許多志願者共同製作了一個 app 名為 “ Hamagen ” ,該應用程序在保持隱私的同時允許用戶檢查是否已與 COVID-19 患者接觸。 整個 proejct 是 open source 的,以便其他團隊可以重複使用 code,關於隱私方面的 coding 也是公開的。  有關與 COVID-19 對抗的更多優質資訊,請參考#COVID19GoodNews。 The Bad 本週的壞消息,Microsoft 與 Adobe 再一次的出現安全漏洞 " Type 1 Font Parsing Remote Code Execution Vulnerability "。 該漏洞位於 Windows Adobe Type Manager Library 中,這是一種字體解析軟體,它不僅可以在使用 Adobe Acrobat和Adobe Reader 等第三方軟體打開時解析內容,而且 Windows Explorer 還可以使用它來顯示文件的內容。 在 “預覽”或“詳細信息”中打開,但不是打開實際文件。 在未修復之前,該漏洞可能會影響任何人,所有 Windows 版本(包括Windows 10)都將受到影響,而在 Windows 7 設備上這種漏洞最為嚴重。 微軟表示這個漏洞已被積極利用。 如果你已使用次世代的解決方案則無需擔心,但是如果你沒有的話,就請耐心等待 patch (並請盡快)。 對於 Windows 7 用戶,Microsoft 在這裡建議了一些解決方法。  The Ugly Well,這周有很多醜陋的新聞。 值得一提的是 Maze , Maze 最近需要為大量勒索軟體攻擊負責,如果受害者拒絕付款,他們會向大眾洩露企業資訊。 而你們還記得嗎?他們在上週還發表聲明說將避免攻擊醫療機構。 但這項承諾僅適用了不到 48 小時。  同時,Ryuk 在疫情流行期間繼續攻擊重要的服務機關。 但似乎有些人是缺乏人性,而且是無極限的。 親愛的大家,共體時刻我們需要團結在一起,你和你所愛的人可能需要被你牟取暴利而犧牲的服務啊。。
|
Categories
All
Archives
June 2020
|
RSS Feed