 The Good 在上週印尼國家警察與國際刑警組織舉行了聯合新聞發布會,宣布 “ Operation Night Fury ” 的結果。 這項努力最終導致逮捕了三名與 Magecart 襲擊有關的犯罪嫌疑犯。 據發佈會表示,這些嫌疑犯在全球內對網路購物站進行了數百(甚至可能更多)攻擊的幕後黑手。 犯罪嫌疑犯於 12 月被捕,並可能面臨長達10年的刑期。 根據收集到的情報,他們進行了多階段行動。 首先,他們會破壞網路購物站,以竊取信用卡和個人詳細信息。 然後立馬使用在購買各種商品,再轉售以換取現金。  Magecart 至少可以追溯到 2016 年,他攻擊了許多流量大的購物網站。 其中一些包括 Ticketmaster,NewEgg,British Airways 和 MyPillow.com,因此看到這些犯罪者被捕是購物網站安全之戰中的巨大勝利。 The Bad Emotet 在今年並沒有放慢腳步。 如往常一樣,我們發現他們的社交網路策略和誘惑一如既往。 一些最近曝光的活動是利用對於冠狀病毒爆發的擔憂與不確定性。 偽裝成釣魚式和惡意垃圾郵件,假冒來自公家機關有關健康恐慌的通知,誘導目標使用者下載 Emotet 木馬程式。 我們觀察到此攻擊的多個版本,所有版本都針對不同的地點,語言或方言。 基本上她們都誘導似乎是官方通知或衛生機關信息的惡意附件。 在大家都處於恐慌冠狀病毒爆發的時期,這些誘餌已證明成功。 這些行動的幕後者在掠奪公眾恐懼方面是完全沒有克制的。 打開(或甚至不要打開)附件時請務必小心,並確保您受到 Active EDR 解決方案的保護,並能夠抵禦此事件和所有其他 Emotet 系列。  The Ugly 到目前為止,我們都(希望?)意識到流行的社交平台及 app 為什麼是 “免費” 的原因。 這些服務不需要付錢,因為它們可以通過你的個資和使用行為方式獲利。 對感興趣的買家而言,這些數據是價值不菲的。 而你應該不會想到你的電腦安全或 AV 供應商也是 “免費服務" 其中之一 。。。。 在本周,免費的防病毒產品 AVAST 正在使用其瀏覽器擴展組件來收集用戶數據。 然後,他們的 “Jumpshot” 部門會將這些數據出售給感興趣的買家。 當相關消息傳出時,AVAST 表示該信息已被完全 “ de-identified 去識別”,因此不應引起關注。 以下為直接引述:
但是,PCMag 和 Vice / Motherboard 進行的聯合調查發現,實際上這些大量數據是可以與個人匹配。 據 VICE 表示,一些大型公司被列為 “ Jumpshot” 的買家,包括微軟,百事可樂,谷歌和 Home Depot。 更令人不安的是,大多數 AVAST 的用戶都不知道他們的網路行為已被收集。  關於 AVAST 和 Jumpshot 在不告知收集數據的行為已經很久了。 2019 年 12 月,參議員 Ron Wyden 公開調查了該公司,並特別關注了他們的惡劣做法。 此外,由於此侵入性的行為,Mozilla 在 2019 年 12 月從他們擴展組別中刪除了 AVAST 產品。 其他公司也紛紛效仿。
Note:AVAST 在 1 月 30 日發布了一份新聞稿,指出他們將 “關閉” Jumpshot。 正所謂的 “不用錢的是最貴的 "。 同時,提供免費服務的人通常希望得到一些 "回報"。 我們所有人都需要花一些時間來痛苦地了解和熟悉在這信息與個資的高速公路上是如何 “攝取” 我們的數據。 並非所有人都願意花時間來理解這一點,但這很重要,也是不幸的必要。
0 Comments
 The Good 美國政治一向是分歧嚴重的,但至少這次兩端都達成共識:網路犯罪需要以緊急和協調的方式來加以解決。因此,好消息是,國會在 1 月 17 日提出了兩黨合作的《 Cybersecurity State Coordinator Act of 2020 》。如果獲得通過,它將任命 50 名員工(每個州一名)加入Department of Homeland Security’s Cybersecurity and Infrastructure Security Agency , CISA。每位員工都將成為網路安全狀態協調員,他們能夠以各種身份在聯邦機構和非聯邦機構之間提供便利的協調,例如提供聯邦網路安全風險建議,在事件期間作為主要聯繫點以及充當策略推動者。關鍵職責將包括幫助組織規劃和管理網路安全基礎設施的發展,促進與非聯邦單位共享威脅情報和聯邦網路資源,以及支援與網絡安全風險和事件相關的培訓,演習和補救措施。 該法案是邁向正確方向的一步。 與其以缺乏更多數據保護和服務及更多法規和懲罰的形式來打擊各企業/單位,還不如說是“蘿蔔加大棒的概念” –為各州和地方政府,學校,醫院與其他努力跟上網路衝擊的組織,提供當前急需的實際幫助。  The Bad 所有數據洩露都是不好的,但引用 Tolstoy 的話來說,“每次的數據洩露都有自己痛苦的方式”。 但是,有些數據洩露使我們知道的其他東西都黯然失色。 微軟,在本周公開了這樣的數據洩露事件。 這家 OS 系統製造商在一博客文章中表示,在 12 月 5 日至 31 日之間,在沒有適當保護的情況下,存儲在內部用於匿名分析的客服數據庫意外地在線上暴露了出來。 這暴露了14年的客戶支援的日誌,其中包含 2.5 億個記錄,其中包含如電子郵件地址,IP 和支援案件詳細信息之類的信息。微軟表示,大多數記錄不包含任何個人用戶信息。 錯誤配置的伺服器在被發現並關閉之前已暴露於 Internet 25天。 找到伺服器的研究人員說,這些數據對於技術支援詐騙可能是有價值的,尤其是那些假裝是Microsoft 支援客服代表的詐騙者。 Microsoft 及時採取了行動,並在通知的兩天內修復了問題。 但是,這次的事件表明了即使是非常熟練的企業組織也仍在雲端配置和安全性方面掙扎與搏鬥。  The Ugly 本週最醜陋的故事涉及了 Amazon,但再說明白點,網路零售巨頭,或更確切地說是其創始人兼首席執行官 Jeff Bezos,是受害者而不是肇事者。 據英國《衛報》,Bezos 的 iPhone 顯然是在 2018 年 5月 被一個隱藏在 mp4 檔中的惡意軟體入侵,該mp4是由 WhatsApp 發送給 Bezos。 而真正引起這個醜陋的網路風暴的原因是,該檔案據說是由沙烏地阿拉伯王儲Mohammed bin Salman 發送給 Bezos 的。  儘管沙烏地阿拉伯大使館很自然否認了這些傳聞,並稱指控為“荒謬”,在 Bezos iPhone上進行分析的研究人員表示,該惡意程式 “極有可能” 來自受感染用戶的視頻文件 。。在惡意程式感染的幾小時內,從 Bezos 手機中竊取了大量個人數據,大概是將其上傳到了由惡意程式作者控制的伺服器上。至於這種高階人身攻擊的動機,猜測圍繞著因為 Bezos 還擁有《華盛頓郵報》。長期以來,沙烏地阿拉伯一直對批評該國人權記錄的報導感到不滿,並且有人猜測沙烏地阿拉伯可能希望利用竊取的數據來獲得槓桿作用,以獲得更有利的新聞報導。當然,華盛頓郵報也是被謀殺的沙烏地阿拉伯記者 Jamal Khashoggi 的雇主。我們相信,這個故事還有很多有趣之處,我們當然都想更了解這次攻擊中使用的惡意程式。同時,請注意你是在與誰聊天,並提防未經請求的 mp4 檔案!
 The Good 網路安全技能的短缺是我們所有人都關心的問題,因此,本週美國國家高中網路安全人才發現計劃的啟動是一個好消息。 該線上計劃讓學生玩一個名為 “ CyberStart” 的智能遊戲,該遊戲評估玩家在與網路安全行業相關的各種技能方面的能力。 該計劃對每個州的男孩和女孩均開放,儘管參加 GirlsGoCyberStart 的女孩必須表現出色,然後才能被男孩計劃錄取。 儘管存在性別差異,但該前版本計劃的因鼓勵女孩將網路安全視為潛在的職業道路而受到父母的廣泛讚揚。  The Bad 對於本週的壞消息,沒有其他了!:Yup,就是 CVE-2020-0601,小名例如 CurveBall 和 ChainOfFools 之類的暱稱。 Windows CryptoAPI(Crypt32.dll)中的 bug 讓駭客可以使用偽造的安全憑證將惡意程式簽名變成可信任代碼,通過 HTTPS 進行連線,並以良性方式傳播惡意檔案和電子郵件。 根據發現 bug 並 report 給 Microsoft 的 NSA 的敘述,該錯誤影響了 Windows 10,Windows Server 2016,Windows Server 2019 和依賴 Windows OS 提供服務的應用程序。 Reddit 的報吿表示問題變得更複雜,有些用戶無法安裝 Microsoft 週二發布的 patch,導致這些用戶無法緩解症狀。 SentinelOne 昨天向所以的客戶保證,任何利用該漏洞的嘗試都將被行為引擎檢測到。  The Ugly 去年年底,我們注意到 Citrix 透露了 CVE-2019-19781( NetScaler Application Delivery Controller(ADC)網路產品中的任意代碼的 bug,並提供了緩解漏洞的步驟。 不幸的是,提供步驟的同時也提供了攻擊者開發漏洞所需的線索。 更糟糕的是,似乎研究人員一直在爭論負責任的公開,首先是 Project Zero India,然後是 github 上的 trustsec,估計有 13 萬個易受攻擊的設備。   The Good 隨著導彈在中東飛行,每個人都對伊朗新的網路戰爭活動保持高度警惕,隨著我們進入 2020 年第一週的尾聲,好消息似乎有點供不應求。 Facebook 臉書宣布了對 Deepfake 視頻的新禁令。臉書表示,他們將刪除被操縱以誤導觀眾相信某個主題“說出他們實際上沒有說過的話”的內容,這是一個機器學習的產物。儘管目前這項政策受到歡迎,但它並不涵蓋刪除或重新排列單詞順序的視頻,也不包括機器學習算法無法產生的編輯內容,以上了種都是操縱媒體的常見的方式。儘管如此,我們仍然會為 Facebook 的好消息給予 100分,特別是因為臉書已與路透社合作提供免費課程,以幫助記者和其他人識別和處理受操縱的媒體。 同時,Cisco 通過植入 14個漏洞 開始了他們的新年,其中包括兩個涉及遠程代碼執行(RCE)和跨站點請求偽造(CSRF)的嚴重漏洞,這對於經常修補與早早修補的使用者來說是個好消息。 RCE 錯誤會影響 Web 基礎管理界面的 Cisco Webex Video Mesh 產品,並且是因為用戶輸入不正確驗證所引起的。  The Bad Patching 漏洞是件好事,但對在外被積極利用漏洞來攻擊對受害者來說絕對是個壞消息,對還沒被攻擊的使用者也是。 Mozilla 本周發布了 Firefox 的新版本,並將最新的穩定版本更新為 1 月 7 日的 72.0。 1月8日,在 72.0.1 中出現了一個關鍵補丁時,幾乎沒有時間讓用戶有時間檢查新功能的列表。 Mozilla 沒有提供任何細節,只說明了 CVE-2019-17026 的錯誤是其 JIT 編譯器中類型混亂的結果。 而這也不是第一次需要緊急更新,因為已有駭客正積極利用此漏洞發動針對性的攻擊。 令人們擔憂的是,這一切歸功於中國奇虎 360 的發現,再發現後又推文聲稱發現了相關的 Internet Explorer zero day 也在外被積極利用 (而此 tweet 已刪除 ?)。 若有更多詳細信息,我們會立即分享。  另一個則是根據周一的一份聲明,在假期期間,似乎是針對性的勒索程式攻擊了德國自行車製造商 Canyon,對其軟體和伺服器都進行了加密。 雖然沒有贖金金額或公司是否選擇付錢的相關信息,但該公司確實表示來自 IT 網路安全領域的專家已快速分析和控制攻擊”。 預計此攻擊將迫公司承受生產和錯過交貨期限方面的損失。  The Ugly 內部威脅總是在我們的網路安全列表中排在最醜陋的位置,因此,四年以來直到本週再度亮相的是 Amazon 及爭議性的 IoT Ring (家庭式監視器)產品 :員工一直在偷看使用者的視頻。 該公司表示,在烏克蘭和其他非美國地區的員工可以存取其他員工,承包商,朋友以及員工和承包商的親友的 Ring 視頻,縱使用戶可以選擇公開但可能也包含他們不打算公開的視頻。 公司已發現有四起非相關職務人員偷看的事件。 Amazon 表示這些人員都已被解僱。 我們都曾看到過供應商將膨脹軟體加載到零售的 PC 和智慧手機上,但是供應商在政府資助的低成本手機上預先安裝了不可移除的惡意軟體就又是另一回事。 根據本週發布的研究報告,政府資助的售價 35 美元的 Unimax U686CL 預裝了已知的風險軟體,其開發者被發現製造 backdoor 後門程式。 它在手機 Settings.app 中攜帶了自己的 “嚴重混淆的惡意軟體”,並植入惡意程式 “Android / Trojan.HiddenAds” 。 刪除 Settings.app 可以有效地去除,因此修復是不可能的。  Source
  昨天(2020年1月2日,星期四)MAZE 發現自己迷失在自己的 “迷宮” 中。他們的公開羞辱網站以及在 CorK, Ireland, 託管的整個平台都被拆除 (https://worldhostingfarm.com)。  而 World Hosting Farm 似乎是掛羊頭買狗肉的掩飾(換句話說,不是合法的ISP),並且託管許多已知的惡意地址範圍:  緊隨本週稍早之後的消息,幾週前, Maze 的受害者之一,美國公司 Southwire,獲得針對可疑的兩名波蘭罪犯和 ISP 前線公司的安全緊急高等法院禁令。 能夠看到跨界禁令獲得批准真是一大好消息,甚至看到網站和惡意 ISP 被撤下更棒! 這一連續的好消息對 Maze 的幕後人有很大的影響。 The Bad 餐飲集團 Landry(例如,Morton's, McCormick & Schmick’s, Mastro’s, and Joe’s Crab Shack, 等600多家著名餐廳)在本週中了 PCI 攻擊。 即使他們的信用卡 POS 系統使用 end-to-end 加密來防止惡意程式讀取信用卡,但他們的集點卡刷卡系統卻沒有加密機制,員工有時無心用集點讀卡器刷了客人的信用卡。 。之後在集點卡系統上發現的惡意軟程能夠讀取信用卡數據!  Landry 在其官網上提醒了客戶,讓客戶知道此攻擊已經進行了大約一年。 但目前還沒有關於多少信用卡被盜的消息。 The Ugly New Orleans 在12月14日 惡意攻擊後更新了其恢復狀態。 此攻擊取走了連接到網絡的 3,400 個系統。 在過去的兩個半星期中已恢復了 2,658 個系統,但是,該市中的八個單位尚未從備份中恢復。 手動流程仍在使用來恢復優先重要的公共安全系統(包括 NOPD 的 EPP 和人體攝像機鏡頭)。 經過三週的停機,這些系統應在1月6日的下週一恢復。 同時,該市希望能夠在襲擊發生後一個半月之內,市民可於1月31日之前線上繳納房屋稅。 這裡協助說明下下到目前為止所付出的努力程度,自 12 月 14 日以來,已有超過 75人 投入全職。 對於所涉及的另外 75 人來說,這意味著超過 10,000 小時。 此外,儘管未提及為什麼,該城市多達 20% 的電腦資產將新無法在恢復的新網路上使用。 或許這也是無法恢復數據的資產的百分比。 儘管該市已將相關數據移交給聯邦調查局,但它不願透露攻擊中使用的勒索程式的類型,也不願意推測是誰(或哪個國家)是攻擊的幕後黑手。 但基於上載到 VirusTotal 的文件的初期報告指出 Ryuk:  根據此樣本中的 String,它似乎是從該市 IT Security Manager 的電腦上取得的:  以上報告完畢,本週醜陋:縣市和學校一直因為勒索程式感到失望,而且要花費數周和數月的時間才能恢復。
 年初時我們開始了在每個星期五對每週發生的重要網路新聞的一個總結,重點是落入三個大定義的新聞:對行業和用戶而言都是好消息的消息,影響企業和終端使用者的攻擊,駭客和漏洞的壞消息,當然還有醜陋的:可以避免的失敗,有爭議的決策和不幸的情況。 隨著年終的臨近,讓我們來看看我們的 “好,壞和醜” 摘要中的一些亮點: 資案界的美麗與哀愁。 The Best 從網路安全局 Cybersecurity Directorate(Wk30)的建立到殭屍網絡(Wk40)和RAT(Wk49)平台的移除,今年網絡安全方面有很多好消息。 另外,找出臭名昭彰 Dridex 惡意程式(Wk49)背後的兩名男子以及 Bayrob (Wk50)詐騙背後的犯罪分子,負責 GozNym 惡意程式的犯罪者(Wk52)都是對在邁入 2020 年網路安全的好消息。  更值得一提的是:提供網路安全解決方案的企業(Wk29,Wk32)的投資增長,期望這個趨勢在明年可以繼續下去。 但是,對於企業和用戶而言,最好的消息也許是主要資安參與者擴大了漏洞賞金計劃,這將導致我們大家使用和依賴的許多主要數位產品和服務的安全性得到改善。 在 Google(Wk35)發起一項新計劃以獎勵對 Android 應用程序中的數據濫用問題的報告之前,微軟也宣布了Edge Insider Bounty Program(Wk34)。 蘋果承諾向所有人(Wk32)開放其首次 iOS 錯誤賞金計劃。 公司很快就兌現了這些承諾(Wk51)。 在好消息中還值得一提的是俄羅斯 interactive APT map(Wk39)的出版 。  The Worst 有好也有壞,不可避免的是去年也有很多壞消息。 BlueKeep(Wk31)和 Windows 特權升級(Wk33)使企業處於高度戒備狀態。 值得慶幸的是,到目前為止,關於 Eternablue/Wannacry 再次攻擊的預測還沒發生。 但這並不表示危險不存在了,因為仍有許多容易受攻擊的設備存在。 毫無疑問,今年我們涵蓋的勒索程式故事比其他任何話題(Wk34,Wk35,Wk41,Wk44,Wk45,Wk49,Wk52)都要多,其中包括Ryuk(Wk36,Wk37,Wk40,Wk47,Wk52) 最猖獗的勒索程式。RobinHood(Wk30),Sodinokibi(Wk35)和Maze(Wk46,Wk52)勒索軟件變種,它們也在美國及國外的公共和私人組織中造成了嚴重破壞。 隨著勒索程式即服務的繼續感染並將威脅提供給更多,技術含量較低的犯罪分子,看來 2020 年將會有更多類似的情況。 但今年我們看到的最糟糕的事情是對印度在 Kudankulam 的姆核電站(Wk44)的襲擊。 魯莽攻擊核電廠的行為 ; 電廠安全運行對整個世界的安全與健康至關重要,對所有人類構成了最嚴重的威脅。  Image Credit: indiawaterportal.org/The Kudankulam Nuclear Power Plant (KKNPP)/Wikimedia Commons The Ugliest 今年發生在三星的醜陋事情,因為他們的 Galaxy S10 指紋讀取器 (Wk42)中的一個錯誤使任何人都可以用一塊透明的塑膠版 bypass 它。 Nord VPN(Wk43)不僅受到安全漏洞的攻擊,不僅使駭客可以自由支配在虛擬專用網路提供商的伺服器,而且還因為未能在18個月內向客戶告知漏洞而受到廣泛批評。 成為中國APT(Wk36)攻擊目標的 Fortinet 在被攻擊(Wk48)後也遭到了一些嚴厲的評論,即該公司將加密密鑰寫死到其若干產品中,在一年半內也無法修復該錯誤。 也許在2019年網路安全最糟糕的公司是 Cisco。 CVE-2019-12643(Wk35)在CVSS上的嚴重性被評為10/10,它允許惡意HTTP 請求 bypass 身份驗證,並使攻擊者能夠登錄和執行特權操作。 對於公司而言,更多的壞消息 (對舉報人 James Glen的好消息),該公司在被認定有運輸已知漏洞的產品的罪名後,根據《 False Claim Act》被美國法院處以 800 萬美元(Wk31)的罰款。 年份。 最後,在北京通過新的網路安全法(Wk31),限制購買美國網路設備,數據存儲和 “關鍵信息基礎設施” 硬體之後, Cisco 看起來將面臨在中國開展業務的艱難時期。 對於 Cisco 以及數百萬依靠其產品的人們,人們只能寄希望於 2020 年將是更好的一年。  今年就這樣了,但當然,我們將在1月3日星期五開始 2020 年推出新系列的《Good, the Bad and the Ugly》。 在 LinkedIn,Twitter,YouTube 或 Facebook 上關注我們,或註冊我們的blog 。 在此之前,SentinelOne 全體員工將度過一個愉快而安全的 2020 年,新年快樂!Happy Chinese New Year! The Year of Rat!!!
 The Good 在 2019 年初三名被發現屬於 GozNym 惡意程式族群的人被捕後,在 2019 的最後一週被判刑。 上週,Krasimir Nikolov),Alexander Konovolov 和 Marat Kazandjian 因長期參與競選活動而被判刑,這些競選活動都依賴於 GozNym 銀行木馬程式和支援基礎設施。 Nikolov(於2016年被捕)已滿刑期並轉移至保加利亞。 Alexander Konovolov 被認為是該組織的領導人之一,被判處 7 年徒刑,而 Kazandjian 被判 5 年徒刑。 從 2012 年開始,GozNym 成長為一個多產而且很成功的惡意程式工具組。 是一個威脅銀行的木馬程式(Gozi)以及能夠充當勒索軟件和後門程序(Nymaim)。 這些木馬程式主要通過電子郵件垃圾郵件活動進行感染,並被大量用來竊取銀行憑據並從受害者中轉移資金。 另一好消息是,Ryuk 似乎在最近的變種中為 WSL(Windows Subsystem for Linux)帶來了一點短暫的休息。 在分析了最近的範本之後,研究人員 Vitali Kremez 指出,大多數的* nix installations 中固有的特定文件夾名稱和結構,都有寫死的排除項。 這最初有點困惑,因為沒有 Ryuk 勒索程式的 “已知” * nix 變種,在受感染的 Windows 客戶端之間共享整個 Linux 文件結構也不常見。 話雖如此,進一步的研究指出,排除項意在容納 WSL 和關聯的文件夾。 最後,勒索程式的開發者需要受害者的機器來關閉圈子並促成付款。 他們相信這是該功能背後的動機。  The Bad 對於 “Maze Crew” 來說,他們沒有放慢腳步。 背後的製造者(這裡有介紹誰是 Maze Crew)繼續對不願意付錢的受害者那裡釋放數據的威脅。 在過去的一周中,發布了來自 busch 和 City of Pensacola 的數據。 儘管這只是攻擊者聲稱從這些目標環境中竊取的一小部分,但它不斷提醒人們勒索程式和相關勒索問題的嚴重性。 如上述,預防是重要的,要真正避免這些多管齊下的活動,唯一的辦法就是預防它們。 由於此處使用了數據發布組件,因此能夠恢復其加密數據而又避免攻擊者需求的目標環境仍然處於危險之中。 Positive Technologies 的研究人員最近透露了有關影響多種 Citrix 產品和技術的關鍵安全漏洞的詳細信息。 該漏洞使任何未經身份驗證的攻擊者都可以通過受影響的 Citrix 組件來 remote 內部網路資源。 一旦進入內網,攻擊者就可以繼續橫向移動或攻擊並在目標內網中建立更深層的存在。 根據 Positive Technologies 的表示,此問題影響到遍布全球的 80,000 多家公司。 該漏洞已標示 “CVE-2019-19781”, Citrix 已發布修補,並通知客戶應考慮將修補的應用程序視為高/關鍵優先權。  The Ugly 由於最近成功擊敗 2FA 的戰爭,Advanced Persistent Threat APT20(又名 Violin Panda)一直把注意力放在自己身上。 該組織主要針對 MSP(服務託管提供商)和政府單位,一直在尋找在 JBoss 上 的易受攻擊的目標。 一旦他們在被曝光的 Web伺服器上建立,便會繼續安裝 Web Shell,並進一步滲透到受害者的網路。 此過程的一部分包括獲得對 RSA SecurID 程式 token 的訪問權限,也是成功克服 2FA 挑戰的關鍵之一。 此方法還適用對被受 2FA 保護的 VPN 帳戶進行身份驗證。  隨著 2019 即將結束,讓我們來看看這一年的網路情勢。 在過去的 12 個月中,主要趨勢是什麼?我們可以從中學到什麼來為2020 年及以後做準備?  勒索軟體:一個犯罪份子無限量提供的 “禮物” 2019 年的主要威脅仍然是勒索軟體,這是一種相對簡單的攻擊,可對端點和伺服器上的資料進行加密,並要求贖金以換取釋放被劫持的數據。 勒索軟體攻擊是不用偷偷來的; 通知,是 MO 的一部分,除鎖定文件外,勒索軟體不會(直接)對受感染的系統造成其他損害。 也就是說,真正的目的地不在於重要的數據,而是這些數據可為企業帶來巨大的獲利。哪麼不管企業是否願意付贖金,最後獲利的還是這些犯罪份子。 從技術上來說,這是一個應對起來非常簡單的威脅,在 2020 年,每個 CISO 的第一個重要工作是在即使企業處於危險之中但減少繼續向駭客們提供輕鬆的贖金,。如果有適當的備份計畫,公司企業所要做的就是清除受影響的 workstation,並從最新的感染前 snapshot 或 image 中恢復。 更好的是,值得信賴的 EDR 解決方案能夠輕鬆地從一開始就防止勒索軟體,並可立即還原感染的設備。 但是實際上,太多的企業沒有足夠的準備。 太多的企業擁有龐大的網路,網路的可見性太高,並且擁有大量的舊設備。 太多的企業使用過時的訊息系統; 對攻擊的知識不夠; 不定期備份或沒有頻繁地更新軟體。 對於某些組織而言,實用性絕非易事,千萬不要小看這些,但現實是,無論面臨多大的挑戰,若未能使網路井然有序並無法在其端點上實踐簡單又好訓練的企業都將面臨勒索軟體攻擊的考驗及影響。 以 Balimore 為例,該市在 2019 年 5 月遭受了勒索軟體攻擊。攻擊使該市 offline 數週,恢復緩慢且昂貴。 Baltimore 政府估計此次金融攻擊的成本為 18.2 百萬-自該攻擊以來,該市的 Information Technology 辦公室已花費 460 萬美元用於恢復工程,並預計到年底將再花費 540 萬美元。 另外 820 萬美元的成本來自潛在的收入損失或延遲收入,例如地價稅,房地產費用和罰款。 2019 年的 Balitmore 攻擊是年中後襲擊美國的第一波(有時是協調一致的)襲擊。 最明顯的攻擊是針對 Texas 的 22 個城市和機構。 此外對教育部門的攻擊最大。 自 2019 年初以來,已有對美國公立學校數百次勒索軟體攻擊 - 超過了 2018 年對美國整體所有攻擊的總數。也由於這類攻擊,一些學區已經停止運作了幾個月。 在過去的12個月中,勒索軟體攻擊在全球增長了一倍以上,其中美國是全球一半以上事件的目標。 情況變得如此危急,勒索軟體被認為是對美國國家安全的威脅,並且人們真正擔心勒索軟體攻擊可能通過投票機或針對加密的選民數據來干擾即將舉行的美國大選。 Ransomware Take Away for 2020: 讓自己脫離攻擊區,得到適當的保護,並開始備份和實施應急計劃。 這不僅是 Security 101,還包括 Security119。2019 年教了我們,那些無法做出正確,關鍵的決定的人將還是會被攻擊。 APTs: Making Nation-State Attacks Great Again 在今年政府 (US) 支持的高階威脅特別的忙碌。 在 2019 年期間,大陸,伊朗和北韓都被發現從事駭客活動,而美國政府今年已非正式承認對伊朗的網路攻擊。 在 2019 值得注意的攻擊是:對飛機製造商 Airbus 的廣泛攻擊,一個為北韓帶來近 30 億美元收入的金融界的攻擊以及伊朗對 Saudi 企業和公司的攻擊。 此外,事實證明,今年推出的中國客機 C919 ,幾乎完全是由一系列美國製造商和其他製造商仿製出來的,這表示被盜 IP 在攻擊過程中發揮了強大的作用。 美國國防部長最近並表示,中國正在犯下人類歷史上最大的 IP theft 權盜竊案。 但也不用多說,大多數資訊是通過網路措施被盜的。 這與以前的國家級網路攻擊不同,這些攻擊範圍廣泛,影響了各種機構,個人和公司努力實現其最終目標。 在此過程中,更多不被視為這些高級攻擊者目標的傳統產業,也受到了打擊。 這些包括基礎設施公司和服務提供商。 毫無疑問,不斷變化的威脅環境也將要求這些企業投入更多的資金來保護公司資訊和基礎架構。 我們可以從美國國防部 CMMC 的新法規中看出這一點,該法規將在今年適用於組織主要武器製造商和供應商的 300,000 個分包商,在招標中參與的條件要求部署適當的保障措施。 中國政府從來沒有採取過一半的措施,得出的結論是,它不再信任美國的技術,並命令所有政府和公共機構刪除美國的硬件和軟件,並在2022年之前完全將其國內採購。 APT Take Away for 2020: 期望更多的相同性。 隨著各國爭奪網路空間的戰略優勢,越來越多的 battle 似乎將擴大到大型企業的保護和均質化供應鏈,而小型企業則可能不得不選一邊站。 IoT:網路上的陌生人 隨著入侵企業網路的物聯網(IoT)設備數量持續增長,今年的國家級駭客和犯罪企業自然都對利用 IoT 設備攻擊產生了興趣。 在今年年初時,APT 駭客 Fancy Bear(又名 Strontium)襲擊了印表機,影片解碼器和 IP / VOIP 電話來大規模的存取公司網路。 同時,模仿者 Mirai botnets 了在 2019 年中,易受 Eternalblue 攻擊的 unpated 設備,一個資安廠商報告中指出,他們在 honeypots 上看到幾乎所有攻擊都是專注於大規模攻擊的自動化腳本。 隨著製造商不斷的向最普通的設備添加 IoT 和雲端功能,因此每個企業都必須越來越重視與 Internet 連接的設備的安全性。避免在網路上出現此類問題並變得越來越困難。 IoT Take Away for 2020: 網路的可見度很重要。 你無法捍衛自己看不到的東西,每個盲點都是進入整個網路的潛在點。 Breaches and Leaks: 你的數據就是我的數據.. 我們聽到的許多 “網路攻擊” 根本不是實質的攻擊,但數據洩露卻是,這是由於惡意或疏忽行為將敏感信息暴露給外面的世界而導致的。 數字數據洩漏一直存在,但是隨著數據量呈指數增長,並且公司企業正在遷移到基於雲端的系統,數據洩露變得越來越頻繁和嚴重。 令人震驚的規模的數據洩露 - 就如國家級一般 - 就是企業在缺乏對在雲端上的知識,技能或意願落實資安所付出的代價。 例如,許多企業將其整個客戶數據庫存儲在例如 Amazon AWS 或 Microsoft Azure之類的雲端服務上。 如果使用正確,這些平台是可靠的,但客戶端很容易錯誤配置防火牆,保留開放權限,使用很弱的密碼,回收密碼或無法保護其他憑證。 這些基本的錯誤導致在今年暴露了數百萬敏感記錄:病歷,財務,個人信息等等。 通常情況下,"技術" 是沒有錯的。 當今的挑戰是教育使用雲端環境的工作人員的 DevOps 的技能,使他們可以意識到危險並採取明智的行動。 此案例是當組織無法應對挑戰時可能發生的情況,Canadian Bank of Nova Scotia 的開發人員,他們在 Github 上保留了部分 code 及密碼,還有給敏感系統的憑證..。 Breaches Take Away for 2020: 做正確的事。 最好的落實是如何預防和處理數據洩露,但研究中表示,即使是一些頂級諮詢公司也沒有採納他們自己的建議。 請不要成為其中之一。 假新聞:偽造直到成功,政治的新常態 - 白的變黑的,黑的還是黑的.. 今年,我們經歷了另一種趨勢的上升,越來越多的網路駭客攻擊參與政治活動,而且對我們的生活產生了更大的影響。 從據稱遭到伊朗駭客入侵以色列總理候選人的手機 ; 以色列網路攻擊公司製造產品用於世界各地的各種政權,用以監視政黨 ; 俄羅斯和北韓等國家政治動機攻擊,甚至以川普(或希拉里)的圖像為特色的勒索軟體活動。 業界以及民主國家的行為都已認知到,將不再有任何 “無網路干擾” 選舉。 2019 年 12 月的英國大選已經目睹了幾起網路事件:對一個主要政黨的 DDoS 攻擊,另一個政黨的虛假信息策略以及據稱由俄羅斯支持的實體洩露了與關鍵選舉問題有關的信息。 現在,隨著 " Deep Fakes” 和假新聞活動被視為真正的選舉策略,隨著走向美國 2020 年選舉季節,我們更需要提高大眾對民主威脅的普遍認識。 Disinformation Take Away for 2020: 加強有影響力的政治人物和政黨機構的安全機制,並做出更大的努力來防止投票程序受到篡改。 最重要的是,對於 24/7 新聞,即時點贊及轉發新聞保持著健康又保守的態度。 總結
很明顯的,2019 是前幾年的延續,但更加激烈 - 在全世界內發生了更多的攻擊,更多的數據洩露和更大的破壞。 2020 年會緩解嗎,還是威脅會不斷升級? 我們在 2019 年看到的問題不會自動 “消失”,但我們也不是無能為力。 2019 年的一大教訓是企業和公司,政府和個人必須在訊息安全,教育和預防方面進行更多投資。 網路犯罪是一個可以解決的問題,沒有人需要成為受害者。 但是對於那些繼續忽視現實,拒絕接受在現代,互聯世界中開展業務的挑戰的人來說,2020 年可能會比之前更黯淡。  The Good 在年底前,蘋果兌現了承諾,即在 2019 年推出漏洞賞金計劃,該計劃涵蓋其所有硬體平台,並對所有人開放。 Apple Security Bounty 計劃提供了豐厚的回報,並將會吸引向來僅專注於 Web 應用程序和 Windows 平台的研究人員的興趣。  想要參加的人一定要先閱讀 ToC。 請注意,除其他條件外,要特別注意的是獎金將不會透過 Apply Pay 來支付。 蘋果也不是本周唯一向那些有助於提高安全性的人提供額外獎金的公司。Google 本周也宣布了,其開源社區 Patch Rewards Program 將開始為需要開發的第三方 open source 項目提供前期財務支援, 特別針對專注於安全問題的資金。 這項新計劃將於 2020年1月1日生效,對預算有限的小型項目尤其有吸引力。 The Bad 現在應該是快樂的季節,除非...你是 Emotet 的受害者。 木馬程式最近的一次反垃圾郵件攻擊不僅要利用聖誕晚會的邀請,來引誘毫無戒心的收件者,還要求他們 “穿上你最厚/最醜的聖誕毛衣” 參加假派對。  電子郵件中攜帶有有毒的 Word 檔,名稱為 “ Christmas party.doc” 和 “ Party menu.doc”。 當用戶嘗試打開檔案時,首先要求他們 “啟用內容” 或 “啟用編輯” 。 此動作立馬啟動躲在檔案中的惡意程式,並為 Emotet trojan 提供不美麗的季節驚喜。 同時,讓我們用下圖來敘述一下若是企業規模感染可能造成的損害,德國 Justus Liebig UniversityGießen(JLU)的38,000名學生和員工正在為他們的帳號親自領取新密碼排隊。 在遭受未指定的網路攻擊的受害者後,JLU 被迫重置所有帳號密碼。 大規模的清理工作也同時進行,禁止使用所有校園內的電腦,直到電腦經過消毒並由 IT 貼上綠色的 “ healthy” 標籤。 嗯...那可能要花一些時間。  The Ugly 數據洩露總是醜陋的,尤其是當犯罪分子的不好的意圖與企業安全漏洞相結合時。 本週是比以往更醜陋的一週,第一個引起我們注意的消息是,Thinkrace,一個中國的位置跟踪設備製造商被廣泛地更名並用於第三方智能手錶和其他可識別位置的產品。該公司的數據經由不安全的雲端平台被洩漏出去。 被洩漏的後端是用於與其所有 4700 萬設備進行通信並發出命令。 此平台非常脆弱,研究人員既可以跟踪設備佩戴者的位置,又可以存取公司伺服器上存儲的超過 200 萬個語音記錄中的任何一個。 錄音含有使用智能手錶上父母和孩子之間進行的語音聊天對話。 對於消費者而言,更醜陋的消息是從今年 3 月至今年 12 月,網路犯罪分子可能在美國東海岸的 700 家 Wawa 便利店和加油站中安裝了惡意程式。 該公司在一份聲明中說,在這段時間內在 Wawa 店內付款或加油站使用付款卡的任何顧客都有可能被惡意軟體抓取其卡號,有效期限和持卡人姓名。  Wawa 表示,從 12 月 12 日起,病毒已被清除,商店中的自動提款機不受影響。 但是,當每週只是到商店或加滿油箱成為管理網路風險時,你就會知道,企業安全在到 2020 年之前仍有很多工作要做。
 The Good 有十多年的網路犯罪集團 “ Bayrob” 終於被逮補,2成員被判入獄。 Bogdan Nicolescu 被判刑 20年,Radu Miclaus 則被判了18 年。 FBI 和外國司法部門近來一直在各處減少犯罪分子,這都要歸功於與信任之全球團體的大力配合,及分享犯罪份子的 TTPs(Tactics, Techniques and Procedures),行踪和駭客基礎設施的相關訊息。 在犯罪過程中,這兩名駭客發送的電子郵件乍看起來像是來自西聯匯款,Norton ,甚至是美國國稅局等主要受信任的公司。 這些釣魚式電子郵件中包含惡意程式,隨後它們收集並向下一輪受害者並發送更多惡意電子郵件,依此類推,直到最後,他們已經發送了數千萬惡意電子郵件。 他們還通過植入在假 eBay 廣告中的惡意圖片誘導 ebay 買家,再引導他們到假的 ebay 付款網站。 但是像大多數罪犯一樣,Darwin caught up before Common Sense did - 達爾文最終還是比較聰明的。 $ 4,000,000 的贓款,他們所做的一切,將他們送入了數十年的刑期。  The Bad 至今政客們仍然不了解密碼系統的本質,及其密碼管理挑戰,個人隱私 v.s 幾時可以起訴兒童猥褻者,人口販賣等的必要性的平衡點。 在本週二的聽證會上,參議員 Lindsey Graham R.S.C.)發表的聲明完美地總結了這種無知(在視頻中的第20分鐘): “…the fact that people cannot hack into my phone, listen to my phone calls, follow the messages, the texts that I receive. I think all of us want devices that protect our privacy…however, no American should want a device that is a safe haven for criminality.” 對任何了解加密系統及其保護性質的人的會知道這是很諷刺的。 最近,國際刑警組織公開了類似的聲明,但最後,該單位沒有那麼快就批評此加密技術,以及那些無法保護自己免於政府壓迫的人受到破壞性影響。 當加州參議員 Diane Feinstein (D-Calif.)詢問蘋果用戶隱私經理 Erik Neuenschwander 時,是否法院命令可以讓蘋果開啟他們的設備,他回了一個簡單的回答,完美的詮釋了挑戰性: …ultimately we believe strong encryption makes us all safer, and we haven’t found a way to provide access to users’ devices that wouldn’t weaken security for everyone.” 很明顯的,就像在聽證會上看到的那樣,因為要創建一個主密鑰匙來解密所有用戶設備的要求的程度等同於加密系統受到損害的程度,以及全世界數百萬依賴安全性密碼的人來保護他們免受威脅。   對於那些還不了解的人,NGINX 是在 Internet 上每 10 個 Web 伺服器中的4個提供動力設備,並且(當今)是一個 open-source 平台。 這項訴訟是由 Rambler.ru 的擁有者提出的,Rambler.ru 是一個受歡迎的俄羅斯搜索引擎和 Internet 門戶。 他們聲稱 NGINX 的 code 是由他們的員工編寫的,因此,技術上來說,code 也是他們的。 唯一的問題是:那已是 15 年前的事,遠遠超過了追朔期的法律規定,總統候選人參謀長 Alexei Navalny 並發文:  有鑑於明顯的限制法規,不禁好奇的想知道 “為什麼他們現在才想採取行動?” 還是 “別有用心?”。 無論是什麼,它可能都不是一個好結局的..。
|
Categories
All
Archives
February 2020
|
RSS Feed