 The Good 美國移民和海關執法局(ICE)、Brazil Ministry of Justice and the Public Security(MJSP)Secretariat for Integrated Operations Cyber Laboratory(SEOPI)合作,在一項行動歷時6天中逮捕了一百多名誘拐兒童者 ,遍及美國和南美。 This collaborative effort by ICE’s Homeland Security Investigations and its foreign law enforcement partners has put dangerous criminals behind bars and, most importantly, has led to the rescue of innocent children,” said ICE Attaché for Brazil and Bolivia, Robert Fuentes Jr. 在 ICE's Homeland Security Investigations 及其外國執法合作夥伴的共同努力將危險的罪犯帶進牢獄之地,最重要的是,這營救了無辜兒童。 這是一項正在進行名為 “Operation Protected Childhood”(OPC)活動的一部分,同時針對了整個美洲(巴西,阿根廷,巴拉圭和巴拿馬)的兒童性虐待影片的 distributors 和 producers。 這些犯罪者利用無辜的 app 與夥伴客戶們進行聯繫及分發其“商品”。 行動中發現嫌疑犯正在使用匿名消息傳遞 app“ Kik”,"Facebook Messenger" app,peer to peer 共享,Twitter 直接消息傳遞,當然還有暗網論壇。 據聞 Kik 和Twitter 都協助了調查。  The Bad 對法院的網路攻擊,或是現場審判並不是什麼新鮮事,但是讓一個國家的最高上訴法院失去能力的網路攻擊就是新鮮事,令人感到不安。 巴西的最高法院受到勒索程式的襲擊,這個攻擊至少使其 IT 系統癱瘓了3天。 最高法院院長 Humberto Martins 宣布:“法院的信息網路,在週二下午判決會議進行時,遭受了網絡攻擊”。 一開始攻擊取消了正在進行的 session,電子郵件和電話都不可用。 後來所有 SCJs 系統及其網站在攻擊發生後至少兩天都關閉了,據傳這也攻擊了其他聯邦單位。  據報導,這次的攻擊是由 RansomExx gan 造成的,除了視頻會議外,最緊急的法院訴訟外,並未影響到所有其他案件,但加密的備份內容也很可能被抽掉,以防之後的勒索行為。 巴西總統 Jair Bolsonar 在直播中表示,對方已提出了贖金要求,並確定了背後的攻擊者,但是由於聯邦單位尚未對此事發表正式評論,因此還不清楚這是否準確。 可能也受攻擊影響的其他機構為 Ministry of Health,Federal District Department of Economics and Federal District Government. The Ugly 雖然目前無法出國旅行,但我們都可以回想起我們的最後一個假期,我們很可能 online 預訂了一個房間。 很不幸的是,如果你在過去 7 年中有這樣的行為,你的個資可能已被洩露。 websiteplanet 的研究人員發現屬於西班牙軟件公司Prestige Software ,有一個配置錯誤的 AWS S3 bucket,這家公司向旅館出售架構在雲端的程式,使用與 online 預訂網站(包括當前客房空房情況)的自動回覆,包括Hotels.com,Agoda,Expedia ,Booking.com,Amadeus,Hotelbeds和Omnibees。  Prestige Software 早在 2013 年就已經在配置錯誤的 sockets 中存儲了客戶的個資和至少 100,000 張信用卡的數據。聽說洩露量約為 1000 萬條記錄。 這些記錄中有許多家庭旅遊的預定,因此暴露出的數量很容易是該數字的兩倍或四倍。 研究人員已通知 Amazon,並確保 repo 免受進一步洩漏。 但是,就如以往,還不清楚是否有任何惡意駭客在研究人員發現之前就已經access 和利用了數據。 如果確實確實有數據洩露,客戶的信息受到損害,那麼根據 GDPR ,Prestige Software 可能會面臨歐盟監管機構的罰款。 另一個類似的案例,萬豪集團最近因 2014 年數據洩露而被罰款 1,840萬,這影響了全球 3.39 億客人的記錄,由於公司承受的壓力,罰款已較最初的 9,900 萬英鎊減少。 對於旅行業來說,要渡過持續不斷的 Covid-19 危機已經很困難,若旅行者不能相信 online book ,那麼復甦也無濟於事。 希望這些事件能引起業界提高安全標準,讓我們所有人都安心的旅行。
0 Comments
The Good 在當本週所有人都在關注美國以及競爭激烈的選舉,俄羅斯傳出了一些罕見的網路安全好消息,據報導,內政部逮捕了一個僅以 “ 1ms0rry” 字樣聞名的惡意程式開發人員。 這位未具名的 20 歲男性不幸的越過了那一條紅線,這是大多數其他網路罪犯都學會避免的:允許他的惡意程式感染俄羅斯各地的用戶,淨賺來自2000多個同胞約 430 萬盧布(約合55,000美元)。  報導還表示,這名駭客與一個名為 1ms0rry-Miner 的木馬/加密貨幣 miner 以及 LoaderBot 和 N0f1l3 木馬和信息竊取者有關。 他的代碼還被認為是與其他更強大的惡意程式的源頭,其中包括 Bumblebee,FelixHTTP,EnlightenedHTTP 和 Evrial,MaaS(malware-as-a-service)能夠從中竊取加密貨幣錢包地址和其他 Windows 密碼憑證。 可悲的是,俄羅斯當局對本土的駭客大肆攻擊非俄羅斯目標視而不見,但還是很高興看到另一位惡意程式開發者因任何原因而被逮捕。 只希望他能對如何確定自己的代碼中的語言偏好有更好的了解,別提早回到網路上。 The Bad 據報導在週一,Resident Evil 開發 Capcom 遭到 Ragnar Locker 勒索程式攻擊,導致 Capcom 大約 1TB 數據被盜竊。 與其他 “leak-and-lock” 勒索程式操作一樣,駭客威脅告知,如果公司不付款,便會釋放大量的 IP 和私人敏感數據。 範圍從財務文件,客戶和員工 PII(例如護照和簽證)到商務合同,私人公司電子郵件和 Messenger 對話。  報告顯示,勒索程式已加密至少 2000 台設備,並且要求以比特幣形式支付 1100 萬美元的巨額贖金。 攻擊發生僅在一天之後,Ragnar Locker 還襲擊了飲料商 Campari,其要求也達到了 1500 萬美元的勒索。.。。 在這兩個攻擊下,駭客們都在自己的 “ temporary Leak page” 上洩漏了被盜數據的 sample,該頁面是一個暗網網站,旨在 “顯示範例和滲透證明” 來增加付錢的可能性。 確實如此,他們保證如果受害者拒絕付款,就將數據出售給 “第三方”。 目前,沒有跡象表明 Capcom 或 Campari 妥協並支付贖金。 The Ugly 雲端資產配置不當是遷移到雲端時公司企業的資安隱患,眾所周知,使用有缺陷的 hashing algorithms(例如 md5)破壞了保持加密密碼之類的安全性的嘗試並沒有任何改善。 這就是在本周大麻種植業的 online community - GrowDiaries 所吸取的慘痛教訓,該社區將自己稱為 “ 100%匿名和安全”。  這些麻煩始於兩個不安全的 Kibana 應用。 Kibana 是用於 Elasticsearch 的製圖工具,並提供用於監視,管理和保護 Elastic Stack 的用戶界面。不幸的是,自 9 月以來,GrowDiaries 的管理員似乎已經留下了兩個 Kibana 應用程序暴露無密碼的情況,這使駭客能夠 access 大約 340 萬個用戶記錄和密碼。
對於某些 GrowDiaries 用戶而言,令人擔憂的是,從暴露的某些 IP 地址看來,他們居住在非法種植大麻的國家/地區。儘管公司確實在 10 月 15 日保護了數據,但在網路安全研究員 Bob Diachenko 發出警報五天后,看來至少從 9 月 22 日開始就已經暴露了數據。 目前還不知道惡意方是否 access 過這些數據,但是 GrowDiaries 用戶應該要趕快更改密碼,因為 md5 hash 是可破解的。Diachenko 還指出,成員應注意針對目標性的網路釣魚攻擊以及帳戶接管,因為破解的密碼可以用於對用戶其他帳戶的憑據填充攻擊。  自 2019 Maze 首次亮相以來,Maze 被證明是最多產,最具攻擊性的勒索程式系列之一。 它們是首批接受加密並公開發布受害者數據的 “雙重打擊” 之一。 與當今的其他勒索程式相似,Maze 甚至擁有自己的 blog。 截至今天(10月30日), Maze 已在他們的 shamming 網站上列出了 330 多家公司。 這些清單中有許多伴隨著被偷走的戰利品的完整數據洩漏。 所列受害者中,最常見的行業是金融業,消費品/批發商,建築和金融服務。 也就是說,受害者基本上代表了你可以想像的產業。  儘管在 blog 上尚無任何公告,但他們似乎減少了在網站上顯示的信息量。 目前也不清楚其他自稱是 “Maze Cartel” 成員的勒索程式家族(例如:Ragnar,SunCrypt)是否會出現。 只有時間會證明這種 “關閉” 是否永久的?; 但至少,我們很高興知道可以從攻擊中休息一下..哪怕僅是暫時性的。 The Bad 本週,CISA(Cybersecurity & Infrastructure Security Agency)發布了Alert(AA20-302A)。這份聯合的 Advisory 報告,指示出 Trickbot,Ryuk 和相關惡意程式家族越來越關注在 High Value 醫療機關。  警告裡明確指出:“作為新的 Anchor toolset 的一部分,Trickbot 開發人員創建了 Anchor_DNS,這是一種使用域名系統(DNS)tunnel 來發送和接收數據受害者主機的工具。” 根據 FBI,CISA 和 HHS 警吿,相關人員一直在積極地將 Trickbot / Anchor 部署到目標醫療機構中,以擴大 Ryuk 後期感染的發作。 SentinelLabs 團隊已經確定 Trickbot 背後的團隊正在積極地更新和部署各種模塊,包括 Anchor 和 Bazar Loader。 Trickbot的進階版正在將其推廣到包括醫療機構在內的 High-Value 目標。 在我們的研究成果中,重點說明了 TrickBot's Anchor 項目將繼續進行開發,並使用 ICMP 下命令和控制通信。 在過去的幾年中,Trickbot 不斷證明了他們彈性。 最近嘗試破壞了 Trickbot ,也僅在有限時間內有效。 這些攻擊背後的人,資源充裕,人員配備齊全,並專注於危險的又被遺棄的目標。 CISA alert 提供了有關緩解,Ransomware Best Practices ,用戶意識 best practice,勒索程式預防以及充足的情境聯繫方面的詳細指南和步驟。 我們鼓勵所有人審視徹底的警報,並迅速採取任何行動以減少接觸,並改善防禦。 The Ugly  除 Ryuk 之外,NetWalker 最近也非常活躍。本週,跨國能源公司 Enel Group 成為 NetWalker 勒索程式的受害者。他們很快被公布在的 “shaming blog” 上;有些報導指出,攻擊者要求提供 1400 萬美元的贖金。此外,大型辦公家具公司 Steelcase 也受到 Ryuk 的攻擊。據報導,Steelcase 攻擊活動按照該駭客們的標準程序,通過 Trickbot 和,或 Bazar Loader 啟動了勒索程式。
最後,排除一般的勒索和惡意程式,一個對 Vastaamo 的攻擊,可能是本週最 “醜陋” 的一個……。這家位於芬蘭的公司在全國各地設有多個心理治療中心。據稱,攻擊者攻擊了公司,並竊走了數百份患者記錄。而攻擊者可以 access 個人和他們的健康資訊,訪談記錄,日期和帳單。之後直接(通過 email)與某些受影響的患者聯繫,進一步提出個別勒索要求。攻擊者已要求40 BTC(〜54萬美元)來阻止竊取的數據發佈到他們在暗網上維護的站點。 所有這些攻擊都是非常不幸的。這是一個很好的提醒,請不斷檢查您的安全狀況並保持防禦能力! The Good 全世界的監管機構都在施加更嚴格的數據隱私和通報規定,但是如果沒有幫助或指導,有時可能很難去理解這些規則。 特別是關於數據洩露是否需要通報。 但是有些國家則採取相反的方法:它們首先幫助教育公司企業,然後才落實法律規定。 New Zealand Office of the Privacy Commissioner(OPC)推出了一種新的 on line tool,使企業和組織可以輕鬆的評估是否應通報隱私侵犯行為。 根據將在 12 月 1 日生效的 Privacy Act 2020,如果隱私違規行為已經造成,或可能造成嚴重傷害,則該公司企業必須通知監管機構。 否則,最高可被罰款 $10,000 。 但是要如何知道違規行為是否會導致嚴重的後果呢? Well,好消息:他們可以使用免費工具(非常恰當地命名為“ NotifyUs”)來評估數據洩露是否會造成“嚴重危害”。  The Bad 俄羅斯主要情報局 GRU 正式負責訊息收集,但據資安業許多人士表示,它就是針對俄羅斯的敵人進行進攻性網路攻擊的主要機構。 在本週,歐盟,英國和美國都採取了制裁 GRU 的行動,以應對近期的一系列進攻性網路攻擊。 歐盟理事會分別在 2015 (德國議會網路攻擊)及 2018 (禁止化學武器組織攻擊) 年制裁了 APT group APT28 or "Fancy Bear" 制裁包括旅行禁令和整個歐盟的資產凍結。 此外,英國當局表示,GRU 對(現在已被延遲的)東京 2020 年奧運會進行了偵察活動。 GRU 瞄準了奧運會的組織者,物流及贊助商。但這是一項長期計劃的一部分,該計劃還針對了 2018 年冬季奧運會和殘殘障奧運會。 美國政府還起訴了六名俄羅斯軍官,他們被指控犯有包括 NotPetya 在內的數次重大網路攻擊,並企圖破壞 2018 年冬季奧運會,在全球造成至少10億美元的損失。  這些 GRU 組員似乎參與了主機入侵和攻擊,目的是支援俄羅斯政府以破壞,報復或動搖其他國為目標(從烏克蘭,Georgia一直到法國的大選)以及國際間努力的證明俄羅斯需為化學武器神經毒劑 Novichok 來負責。 制裁與否,在俄羅斯的保護下,毋庸置疑的,這些國家級駭客將繼續對更多的國際目標造成嚴重破壞。 The Ugly 安裝家用監視器意在提高家的安全性,但是不良安全保護的監視器可使駭客不受限制地進入你的最私人時刻。 在那些濫用的人中,有些人並不僅僅只是偷窺他人的私人生活而已,他們還試圖通過這樣的型未來獲利。 新加坡一家報紙在本週報導說,活躍在訊息傳遞平台 Discord 上的一個駭客組織在販賣從新加坡,泰國,韓國,加拿大,澳大利亞和亞洲其他一些國家(如孟加拉國,印度和 巴基斯坦)的影片。  這個組織以 150 美元的價格出售被入侵的監視器,並附帶有關如何選擇 “最佳” 的(意味著最有可能顯示裸女或小孩的監視器)以及如何錄製的教學。 其中一些錄製的影片(長度從一分鐘到二十分鐘不等)顯示了各種年齡層的人,有的甚至沒有穿衣服,這些影片也已被上傳到色情網站。
這再次提醒了在沒有適當安全措施的情況下將智慧設備(尤其是具有影像和聲音捕獲功能的設備)帶入我們的家的安全和隱私風險。 The Good 對於在 cyber-land 的好人來說,這是忙碌的一周。 除了誘騙 Trickbot 的基礎設施之外,本週,歐洲刑警組織(Europol)與幾個國家之間的協調努力,也對一個『完善』的洗錢活動造成了重大打擊。 QQAAZZ 的多個成員因長期運行的 “兌現” 服務(又名洗錢)而受到指控。  這個集團在高流量犯罪 forums 上宣傳了他們的服務。 它們為大型殭屍網路的操作者以及運行加密貨幣盜竊的操作者提供了關鍵服務。 他們的客戶中有許多最多產且備受關注的惡意程式家族,包括 Trickbot 和 Dridex 背後的參與者。 針對 QQAAZZ 的起訴概述了他們的洗錢行動。 據估計, 2016 年以來,該集團促使了高達數千萬美元非法資金的清洗。 他們利用 “遍布全球的金融機構的數百個公司和個人銀行帳戶”,所以他們處處有分點可以進行活動。 這些帳戶都被用作在被惡意程式攻擊受害者中勒索,或獲取資金的存儲庫。 遍布全球的 QQAAZZ 隨後將過濾或轉移資金,再對其服務獲取小額 “服務費” ,然後以加密貨幣的形式向客戶提供被洗過的資金。 在網路犯罪中,所謂的 “兌現” 或 “提款” 服務是常見及毛利很少的活動。 但是,這個專業的集團與頂級惡意程式操作的聯繫,讓他們變的獨特而危險。 這次的勝利,對於與複雜的犯罪分子之持續鬥爭,至關重要阿。 希望隨著法律與當前網路犯罪狀況更多地同步,打擊犯罪的士氣會增加。 任何使壞人難以獲利的努力都是一件好事! The Bad 本週,包括了每月的第二個星期二。 當然,我們都知道這是指著什麼:Patch Tuesday! Microsoft 在本月的 release 中涵蓋了一些關鍵缺陷。 儘管沒有像 Zerologon 那樣嚴重,但還是存在一些漏洞需要加以審查和緩解。 其中的 CVE-2020-16898,引起了很大的關注。 這個漏洞會影響 Windows TCP / IP stack,並可能導致 DoS(denial-of-service)或遠端代碼執行。 該問題特別涉及對 ICMPv6 Router Advertisement(RA)數據包的不當處理。 要利用此漏洞,攻擊者必須將特製的 ICMPv6 RA 數據包發送到暴露的遠端主機。 由於這樣的攻擊相對簡單,有人將他稱為新版的“Ping of Death”。  作者在撰寫本文時(10月15日),尚未觀察到對該漏洞的已在外被利用。 但是,有多種可用的 POC 已證明攻擊是可行的,只是時間問題。 微軟的 10 月安全週期發布解決了 CVE–2020-16898,但也有一些變通辦法可對臨時緩解有所幫助。我們可以 disable ICMPv6 RDNSS,從而消除暴露於該缺陷的風險。 對於 Windows 1709 及更高版本,可以發出以下 PowerShell 指令以禁用ICMPcv6 RDNSS:netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable 同樣重要的,這個漏洞不是 publically routable。 帶有漏洞的數據包只能通過本地子網傳輸。 我們建議公司企業檢查有關CVE-2020-16898 的詳細信息,以及本月更新中的所有其他版本,並採取必要的措施來降低風險和/或減少暴露於此潛在危險漏洞的可能性。 The Ugly 關於加密 "backdoor" 的議題,或是政府和執法機構是否能夠為自己的需要,規避加密的爭論是充滿爭議和分歧的。。 但重要的是要注意與此問題有關的當前事件和發展。 最近,Five Eyes intelligence-sharing 與來自多個國家的政府代表聚在一起討論了這個話題。 具體來說,討論的重點是使政府以及執法部門具有特殊的能力來 access 經過加固的 end-to-end 加密通信。  這些會談包括來自印度和日本的代表,之後發表了聲明,敦促大型的科技公司來滿足這些需求的解決方案弊並進行合作。 部分內容為: “…while encryption is vital and privacy and cyber security must be protected, that should not come at the expense of wholly precluding law enforcement, and the tech industry itself, from being able to act against the most serious illegal content and activity online.” “……雖然加密是很重要的,也必須保護隱私和網路安全,但這不應以完全阻止執法人員和技術行業本身,來對付最嚴重的網路非法內容和活動。” The signatories to the statement, which include the UK’s Home Secretary Priti Patel and US AG William Barr, go on to state that: 一同聲明的包括英國內政大臣 Priti Pate 和美國 AG William Barr,並指出: “we challenge the assertion that public safety cannot be protected without compromising privacy or cyber security. We strongly believe that approaches protecting each of these important values are possible…” “我們質疑這樣的主張:在不損害隱私或網絡安全的前提下,不能保護公共安全。 我們堅信保護所有這些重要價值的方法都是可能的……” 有鑑於這個議題的性質,大多數相關的科技公司都在猶豫不決是否要滿足這樣的要求。 目前的趨勢,增加了辯論的複雜性,不僅涉及標準的加密消息傳遞,而且涉及更強大的加密系統,包括 “設備加密,自定義加密應用程序和跨平台的加密”。
無論你在這個議題上的立場如何,我們都建議您查看新發布的新聞稿,並與各國政府和組織,就針對所有全球人民的持續安全,保障和隱私所做的努力保持同步。 The Good 本週的好消息 ~ 蘋果和五位 “白帽” 漏洞賞金人員都受到了表揚,他們所做的一些出色工作讓蘋果產品和基礎架構中的 55 個錯誤得以修復,其中 11 個被評為 critical。 這些白帽駭客- Sam Curry,Brett Buerhaus,Ben Sadeghipour,Samuel Erb 和Tanner Barnes - 花了三個月的時間,悄悄地入侵了蘋果系統,發現了一個接個的 zero-day 漏洞。 最嚴重的漏洞包括經由向用戶發送惡意 email 來接管用戶的 iCloud 的功能。 僅需要通過打開 email 即可 - 也無需進一步點擊任何連結,或任何的 social engineering - 用戶不僅讓攻擊者完全控制自己的 iCloud 帳戶,而且還會將可傳播的漏洞發送給所有聯繫人。  這當然是個好新聞, 對於這些白帽駭客,對蘋果以及對用戶來說,這是個 triple - win situation。 首先,白帽們採取了負責任的態度,向 Apple 充分告知了這些錯誤。 大家想想,若是這些嚴重的漏洞有意的或 "無意“ 的被洩漏出去,或全部交易給第三方以獲取豐厚的利潤,這將會是多大的災難? 其次,Apple 及時(48 小時之內)的修復了這些錯誤,以確保用戶沒有被暴露之外, 蘋果也表示,在 log 裡沒有顯示這些錯誤中的任何一個都已在外被利用。 再來就是針對白帽本身的:Apple 還在根據漏洞賞金計劃的條款評估賞金,但迄今為止,他們已獲得近 30 萬美元的獎勵,另外還有 20 萬美元 is on the way。 最後,這對整個資安研究界帶來了更大的勝利。 過去,大眾一直對 Apple 的漏洞賞金計劃抱著質疑的態度,而 Apple 在此的給了一個模範反饋:研究人員得到了獎勵,他們也可以發表詳細的信息,而且漏洞在被記錄的時間內得到修復。 這只會鼓勵其他的研究人員來參與蘋果的漏洞賞金計劃,這對我們所有人來說都是勝利。 The Bad 在 fireware 中的惡意程式是特別麻煩的事,但同時卻是罕見的。 LoJax 早在 2018 年就成為大新聞,因為它是第一個在外被發現的 UEFI Rootkit,在 2015 年也在一家意大利私人情報公司 “Hacking Team “ 的工具洩漏中發現了當時唯一在 firmware 中的惡意程式,也沒有發現代碼被廣泛使用,直到現在為止。。。 研究人員本周公布了一項調查的詳細信息,他們發現了 Hacking Team 的 “ Vector-EDK” 惡意程式的修改版本,被用於在針對來自非洲,亞洲和歐洲的外交官和非政府組織的攻擊。 根據研究人員的說法,這個惡意 firmware 用於將惡意的執行文件 “ IntelUpdate.exe” 植入受害者的 “Startup” 中,而執行檔似乎可更廣泛部署一個名為 “ MosaicRegressor” 的惡意 framework。 Framework 的 downloader 包含多種與攻擊者的 C2 聯繫機制,包括 CURL,WinHTTP API 和 BITS 的 transfer interface。 不尋常的是,還有一種 POP / SMTP / IMAP 機制可以從寫死的的電子郵件地址 thtgoolnc@mail.ru 和 thbububugyhb85@mail.ru 中獲取 payload。 由於研究人員無法檢視惡意程式框架的 component,因此無法確定程式的所有功能。 但其中一個 component : load.rem 似乎是專門在竊取用戶在 Recent Documents 的 directory。  Source: Securelist 目前還無法歸因 APT 小組是如何植入惡意 UEFI image,儘管似乎是可能有人實際操作直接進入設備或經由受損的 firmware 更新機制進行的。 也由於 UEFI 攻擊的稀有性,所有細節都值得去研究。 有關 dumping UEFI 和 reversing UEFI image 的資訊,請參考文中的連結。 The Ugly 對於希望在今年秋天重返課堂,並可以恢復正常的一群 Massachusetts 的 25,000 學生來說,這是令人失望的一周。 這週四時, Springfield 公立學校區遭到勒索程式攻擊,並導致學校關閉。所有的課程被暫停,直至另行通知。 這個攻擊影響了學校和所有遠端的學習活動,地區不得不迅速採取行動,要求立即關閉所有學校設備,以遏制勒索程式。  The Good 目前距離美國大選只剩下兩個月,呼籲投票的信件已經通過電子郵件和郵件發布出來,令人振奮的是,看到多個機構對選舉安全越來越重視。 FBI 和 CISA 聯合發布了幾項公共服務聲明,意旨在減少來自外國干預不必要的焦慮,同時清楚地說明實際可能發生的情況。 第一個公告就表示,來自外國的國家級和網路犯罪分子可能會傳播關於 2020 年選舉結果的虛假信息。 指出: “foreign actors and cybercriminals could create new websites, change existing websites, and create or share corresponding social media content to spread false information in an attempt to discredit the electoral process and undermine confidence in U.S. democratic institutions”. “來自國外的駭客和網路罪犯可能會建立新網站,更改網站,並創建或分享呼應的社交媒體內容以散佈虛假信息,從而抹黑選舉過程並破壞對美國民主制度的信心”。 重點就是要說服大眾:選舉是沒有被操縱,並且是值得去投票,而不是呆在家裡(駭客們的意圖是減少投票水平)。 再來,另一個公告指出駭客和網路犯罪分子有可能會散佈虛假謠言,說他們以某種方式損害了選舉基礎設施,並間接協助了美國選民登記數據是已被 "駭" 和“洩露”。 這樣做僅只是為了抹黑選舉過程,破壞對美國民主體制的信心。但值得注意的是,確實是可以通過公開平台購買或獲取許多選民信息,FBI 和 CISA 補充說,“他們沒有任何信息證明,沒有任何的攻擊阻止了選舉的進行,並從而損害了選民登記的準確度,阻止選民投票,或損害任何投票的完整性”。 在另一份公告指出: DDoS 的攻擊有可能會阻礙投票信息的 access,延遲投票並阻礙投票計數。但這些機構強調,即使他們確實被攻擊了,也已採取措施確保這不會阻止任何人投票。  而 FBI 和 CISA 並不是唯一有處理確保選舉程序安全的機構,眾議院一致通過了針對駭客攻擊投票制度並立法為聯邦罪行。 這是繼去年參議院通過的《 Defending the Integrity of Voting Systems Act 》之後,它將使聯邦政府能夠在幫助各州預防選舉威脅方面發揮作用。 The Bad 那麼這週的壞消息,CISA 指出,過去一周有駭客入侵了一個不公開的聯邦機構網路。 通過利用受到破壞的憑據,駭客通過兩個 reverse Socket Secure(SOCKS)proxies ,利用了該機構防火牆的弱點,獲得了長時效性的權限。 據報導,他們使用了該機構的 anti-virues 產品的金鑰和安裝指南,並且 “然後進入了該產品用於 temp file 分析的 directory。” 進入後,攻擊者便可以執行 inetinfo.exe(一種複雜的惡意,刪除和文件解密程式)來進一步的攻擊。  《 Wired 》報導說,這次的駭客很肯定的是 Fancy Bear / APT28:一個為俄羅斯 GRU 工作的駭客團隊。 FBI 參考之前的一份報告(可追溯至2020年5月)時並指出,比對後兩次都是從在 Hungary 的 IP address 發出。 在另一份較早由 Department of Energy 的報告,APT28 從 Latvian 的一台伺服器探查在美國政府組織的網路,也與這次相同。 此外,CISA 這次詳細描述的TTP 與 APT28 的TTP 也相同。 儘管我們不知道是是哪家機構被入侵,以及被攻擊的程度,但它再次提醒了我們這些類型的APT 威脅攻擊者有多強。 The Ugly 隨著新冠肺炎的危機持續到 2020 年最後幾個月,疫苗還沒問世,許多國家陷入封鎖,一些人可能期望網路犯罪分子能夠緩解對醫療機構的攻擊。 可惜在本週,一個對 Fortune 500 中的一家醫院 Universal Health Services(UHS)的勒索程式攻擊證明了殘酷現實的真實性。 UHS在 美國華盛頓特區,波多黎各和英國的 37 個州設有 26 家急性救護醫院,328 家 Behavioral Health 住院患者以及 42 家門診設施和門診服務中心。BleepingComputer 指出,醫院最有可能是受到 Ryuk 勒索程式的攻擊。 因為在攻擊中,檔案被重新命名為 .ryk,而這是 Ryuk 的特徵之一。  被攻擊後,他們直接關閉了所有支援的 IT 系統,並恢復了該公司所說的 “已建立的備份過程,包括 offline documentation methods”,也就是最原始的手寫 report 和時間預約。 據該公司稱,這次攻擊沒有遺漏任何患者或員工的數據。
The Good 本週,一名英國人士 Nathan Wyatt 因 “The Dark Overlord ” 多次的違反和攻擊行動。被判處五年徒刑,並處以重罪。 現年 39 歲的 Wyatt 在由 TDO(The Dark Overlord)進行的多次的攻擊活動中扮演著關鍵角色。 隨著 Wyatt 於 2017 年被拘留,最終於 2019 年 12 月被引渡到美國。在 2017 年提交的冗長的文件詳述了許多實際的犯罪行為,以及其相關方法。  法院文件提供了內部策略細節,這些攻擊策略在最近,已經變得普遍。 Wyatt 和 TDO 中的其他人一起,攻擊高價值目標,竊取大量有價值的數據,然後要求贖金,以免將被盜的數據被公開洩露。 如果受害者不能付出贖金,TDO 會將竊取的細節洩露出去,在駭客論壇上發布出售的數據,或者乾脆全部發佈在網路上。 Wayatt 的主要的責任之一是作為受害人與 TDO 之間的聯繫。他使用單一的電話和帳號,與受害人聯繫以索取贖金或在需要時進行談判。 TDO 與針對 Netflix,ABC,SMART,Gorilla Glue 以及許多其他 high-profile 的大量攻擊活動有相關。因此,我們很高興看到法律制度可以制裁這些犯罪者。 Wyatt 的犯罪行為使他被判五年監禁,並處以近 150 萬美元的罰款。 The Bad 本週的醜陋,CISA(US CERT Cybersecurity & Infrastructure Security Agency)發布了警報 AA20-266A。 該機構已經註意到,從 2020 年 7 月開始,通過 EINSTEIN IDS 系統對 LokiBot 惡意程式的分佈有了很大的增長。 LokiBot 是一種被廣泛使用的工具,它幾乎沒有任何設置和使用入門的障礙。 這使得該框架對於缺乏創造或管理更複雜的惡意程式或購買更昂貴工具的剛起步的網路犯罪分子是非常有吸引力。 一般而言,LokiBot 包含了 keylogging,後門/遠程功能,使用瀏覽器的憑據收集和信息竊取功能。 它也可以用作其他代碼或惡意程式的加載器或刪除器。  儘管 LokiBot 是出名的,有跡可循的,並且通常受到良好的抵制,但本週的警報剛好也提醒了我們,即使是不複雜的惡意程式系列也會在使用和有效性方面起伏不定。 作為 “捍衛者”,我們不可以鬆懈。 我們鼓勵所有人看一下 CISA 的指南,並以此為作爲一個契機來檢查您的安全狀況並進行任何必要的更改,以確保免受 LokiBot 和其他所有在,外令人討厭的攻擊。 The Ugly 我們隨著距離將舉行的美國大選越來越近,選舉安全的敏感度空前高漲,並且大家都知道當針對與選舉相關的實體使用勒索程式時,情況是朝著醜陋的方向發展。 ㄧ家對美國政府提供服務的公司 Tyler Technologies 最近表示,它們已遭受了破壞性的勒索程式感染。  而 Tyler Technologies 為美國政府提供的服務包括緊急情況管理,災難恢復援助以及選舉數據的收集和分享。 該公司將自己描述為 “一個為地方政府提供 end-to-end 信息管理解決方案和服務的領先提供商。” 有鑑於勒索程式的目前作案手法是在目標無法支付時,洩露受害者數據,這種勒索程式攻擊就更加令人擔憂。 當前的調查表示出,特定的勒索程式家族是 RansomExx。 而 Tyler Technologies 表示,沒有 “個人數據 ”受到影響或 access,並且攻擊僅限於內網。 有關此事的調查仍在進行中,未來幾天和幾週內可能會出現新的細節。 調查的同時,公司通過 email 向客戶發布了以下聲明: I am writing to make you aware of a security incident involving unauthorized access to our internal phone and information technology systems by an unknown third party. We are treating this matter with the highest priority and working with independent IT experts to conduct a thorough investigation and response.” 我們謹在此通知您,目前發生了一起安全事件,其中涉及未知的第三方未經授權訪問我們的內部電話和信息技術系統。 我們正在以最高優先權處理此事,並與獨立的 IT 專家合作,進行徹底的調查和對策。” 我們也相信,隨著 11 月大選將近,更多類似的故事將會出現。 現在,比以往更重要的是,一個可信任的資安控制,保護我們所有人都依賴的系統和數據是有多麼的重要。
 Executive Summary
 Zerologon 漏洞介紹 CVE-2020-1472(一般稱之為“ Zerologon”)是當前所有 Microsoft Windows Server 版本(Windows 2008 R2、2012、2016、2019)中的一個嚴重漏洞。 這個提升特權,利用了 Netlogon Remote Protocol(MS-NRPC)中的漏洞,並允許攻擊者可模擬系統,包括網域控制器本身的帳號。 這個漏洞是由 Secura 的資全專家 Tom Tervoort 發現的,漏洞可以讓 remote 的攻擊者偽造 Netlogon 的身份驗證,將 domain 控制器的密碼設置為已知值。 之後,攻擊者可以使用新密碼來接 domain 控制器,更改或添加其他身份驗證憑證,提升特權或橫向移動到 domain 中的其他主機。 之後呢,除了重置 domain 密碼之外,其他研究人員還發現了更多可操作 Zerologon 漏洞的方法,他們還證明了 Zerologon 可竊取所有 domain 密碼的能力。 這樣的發展趨勢,增加了企業將面臨的風險。 而為了成功的攻擊,駭客們必須首先獲得對 domain 控制器或可以遠端相同網路上的設備或直接進入。 有效的憑據或 member 身份,不是成功攻擊的先決條件。自從漏洞被公開以來,在外界以發現了可被利用的代碼,CISA 表示該漏洞構成了 “不可接受的風險”,並需要 “立即採取緊急行動”。 儘管微軟已經發布了 Zerologon 的 initial patch,但這僅僅是第一階段的開始, 他們預計至少要等到 2021 年第一季才能完成。 同時,Microsoft 的建議指出,目前的更新僅保護被支援的 Windows 設備,舊版 Windows 和其他使用 Netlogon MS-NRPC protocol 的 domain controller 來通信的設備還是容易受到損害。 除此之外,initial patch 是無法阻止 Zerologon 的攻擊。 相反的,如果沒有使用該 protocal 的設備,它僅是添加 logging 來檢測 non-secure RPC,並添加 registry 設置來停止使用。 而資安團隊面臨的挑戰是,如果僅是禁用,這可能會破壞舊版的應用程式。 因此,即使目前有可用的 patch,但如果公司企業不能禁用 registry 設置,它們仍然容易受到攻擊。 Detecting and Defending Against Abuse of Zerologon 從端點的角度來看,檢測這種攻擊是具有挑戰性,因為在實質上,攻擊者是以類似 “合法用戶/帳號行為”的方式向 domain 進行身份驗證。 另外,主要攻擊媒介是網路級別,而不是通過與主機 filesystem 之間的 interaction。 因此,對於許多傳統的端點安全解決方案而言,直接去解決該漏洞是 “不可行的”。 相比之下,SentinelOne 研究人員採用了 vector agnostic 的方法,這個方法利用了一些獨特的,專有的創新技術,可以在端點上檢測到此漏洞。 我們的 SentinelLabs 研究團隊已在各種可用的 frameworks 上進行了許多測試。 在我們的分析過程中,我們觀察到,這種攻擊雖然成功,但在 domain 控制器上也引起了注意,正是因為該攻擊以多種方式對與 domain 控制器的 communications 間接產生了負面影響。而研究的結果,SentinelOne 平台能夠檢測到針對目標系統的 initial 前、後的攻擊 (事發前,事發後)。 雖然攻擊是從網路開始,但端點已察覺傳入的流量嘗試。 Netlogon Remote Protocol 是用於維護在 domain member 至 domain controller (DC)、 domain DCs 以及跨域 DC 之間的關連。 通過 local 和遠端監視系統內進行的身份驗證嘗試,並將其通過我們的行為 AI 引擎,我們可以將正常的身份驗證及試圖攻擊區分開來。 當檢測到可疑活動時,會啟動 in-context 警報,並會在控制台中顯示出。 Interested in Protection from Zerologon?
這就像對 agent 進行的任何修改一樣,我們開始將此功能部署到選定的客戶,以確保在各種環境中的穩定性。 現在,已部署 4.2 SP4 的既有客戶可以使用這項關鍵檢測。 版本 4.3 和 4.4 將會在即將發布的 Service Pack 更新中包含此檢測功能。 如果您還不是 SentinelOne 客戶,我們歡迎你來了解有關如何保護你企業或在這兒 request free demo 已得到更多信息。 The Good 如果你這幾年有關注資安新聞,那麼你可能還記得 CCleaner 和 ASUS ShadowHammer supple 鏈攻擊。 Well, 本週的好消息:美國政府已起訴對需為這些事件負責 5 名中國人,前後相加有 100 多次攻擊。 前身名為 APT41,他們也是一直在支援勒索程式攻擊和 cryptominer 攻擊的幕後手。 Zhang Haoran, Tan Dailin, Jiang Lizhi, Qian Chuan 還有 Fu Qiang 目前仍然在中國逍遙法外,只要他們避開出國,被捕的機會是很小的。 但幫助這些人從被盜遊戲貨幣中獲利的兩名馬來西亞商人 Wong Ong Hua 和 Ling Yang Ching 正面臨從馬來西亞被引渡到美國的危險,並且很可能會被判入獄。 起訴這些中國駭客成員的同時,還沒收了數百個帳戶 , server ,域名和其他網路資產。 雖說起訴書和扣押都無法阻止他們從事進一步的行動,但是他們的身份以及與中國公安部的密切關係,已強烈發出信號,他們再也無法匿名或免於國際制裁。  The Bad 本週的壞消息仍與中國有關, CISA 本週發布了一份建議報告,指與中國有關係的國家級駭客正在利用 OSINT 和公開可使用的工具於新一波攻擊中,將目標瞄準了美國政府機構。 此攻擊包含了駭客的最愛滲透工具 Shodan,Cobalt Strike 和 Mimikatz 等。 再來就是,這些駭客一直在利用眾所周知的尚未修補的網路軟體漏洞,例如 CVE-2019-11510(Pulse Secure VPN),CVE-2019-19781(Citrix VPN),CVE-2020-0688(MS Exchange Server)和 CVE-2020-5902(F5 Networks Big-IP TMUI)。 長期以來,unpatched 的 VPN 程式一直是引起人們關注的問題,這也不是 CISA 首次向公司企業發出有關 APTs 針對重點設施攻擊的警告。  最新的報告還指出: To conceal the theft of information from victim networks and otherwise evade detection, the defendants typically packaged victim data in encrypted Roshal Archive Compressed files (RAR files), changed RAR file and victim documents’ names and extensions (e.g., from “.rar” to “.jpg”) and system timestamps, and concealed programs and documents at innocuous-seeming locations on victim networks and in victim networks’ “recycle bins”. 為了掩飾從受害者網絡路中竊取信息並逃避檢測,攻擊者通常將受害者數據打包在加密的 rar 壓縮文件中,將 RAR 文件和受害者文件的名稱和 extenstions(例如,從“ .rar” 更改為 “ .jpg”)和系統時間 stamp,並隱藏程式和檔案在看似無害的受害者網路和 “垃圾桶” 。 CISA 建議公司組織落實可靠的配置和 patch 管理程式,以防止攻擊者輕鬆利用常見漏洞和現成的工具。 雖然這是最低要求,但一些可靠的 EDR 也應該放在優先列表中。 The Ugly 本週的醜陋故事是關於網路攻擊的意外,其後果如何在現實中以悲劇結束的故事。 一名經驗不足的駭客試圖對德國一所大學進行勒索程式攻擊,最終在學校附近的一家醫院 30 台 server 進行了加密。 惡意程式以常見的方式發出贖金,直接命名了此所大學並提供聯繫方式以安排付款。 當然,醫院的接線人員是直接從 Düsseldorf 警察而不是大學人員那裡聽到消息。 警察告訴他們,他們沒有抵達預定的目的地,並使 Düsseldorf 大學診所的患者生命受到了威脅。 勒索程式讓醫院的 server 整個癱瘓,迫使接線人員只能將緊急情況轉移到其他地點。 一名需要緊急入院的患者被重定向到 32 公里外的一家醫院; 這導致醫生耽誤了一個小時,才能讓她接受只治療。 很可惜的,由於拖延到的時間,他們無能為力救活病患。  這名攻擊者最後向警察提供了解密 key,也沒有要求付款,但警方仍然無法聯繫攻擊者。 攻擊似乎是針對了一種可以購買的商用程式中的漏洞,漏洞已被修補。 但是使用哪種勒索程式來攻擊尚不清楚,但報導表示也沒有洩露任何數據。
警方繼續調查此攻擊案件,以 “過失殺人罪” 的指控來逮捕這名攻擊者。 如果可以有一個教訓,使那些認為這是 “有趣”的,“輕鬆賺錢的方法” ,“不會造成任何傷害” 的駭客們退一步,並三思,因為一個攻擊是可以帶來無法預知的傷害。 |
Categories
All
Archives
January 2021
|
RSS Feed