The Good, the Bad and the Ugly in Cybersecurity – Week 25

The Good

這週的好消息呢～ 一名40歲男子名為 Andrew Rakhshan ，因參與了針對 Leagle.com （一個彙整法律資訊的網站） 的 DDoS 攻擊而被判處最高刑期。 網站已發布有關 Rakhshan 過去在加拿大的刑事定罪的公開訊息。 比較有爭議性的是，此攻擊事件是發生在 2015 年 1 月，當時 Rakhshan 對一個在 Dallas/Ft. Worth 託管的網站進行了多次 DDoS 攻擊。

Rakhshan（生於 Kamyar Jahanrakhshan）被判處5年監禁，並被勒令支付超過 52 萬美元的費用和賠償。 但這並非此案的第一次審理。 最初的審判是在 2018 年 3 月進行。根據辯護律師的辯稱（當時的辯護無效），之後被批准了新的審判。 在隨後的審判中增加了共謀，及原案的先前調查結果。

不管在任何時候，只要有法律可以被用作打擊網路犯罪的有效手段，這都是值得慶祝的一個 moment 。 因為這不是容易的一件事，案件往往會拖延數年，或者由於所有參與人士缺乏技術而無法有效地進行審理。 但無論如何，所有參與此案的人都為之開心，並學習教訓。 即使是 “簡單的”  DDoS 攻擊也可能導致嚴厲的處罰。

The Bad

上週，一家以色列安全顧問公司 JSOF 在 Treck 開發的通用 TCP / IP 軟體庫中發現了 19 個獨特漏洞。 這個 library 於 1990 年代後期開發，是一個輕量級的TCP / IP stack ，估計已在 “數億” 個網路設備中使用。 受影響的族群從個人開發人員到《 Fortune》 100 強企業（例如，Intel，Schneider Electric 和 HP），脆弱的設備幾乎涵蓋了從家用型的 “智能” 設備到電力基礎設施，運輸系統，醫療系統甚至到商用飛機上。

其中有四個漏洞被認為是關鍵的。  JSOF 表示，他們計劃在 Black Hat USA 2020 上發布更新的資訊以及開發細節。以下是​​每個CVE 的精簡摘要：

• CVE-2020-11896 (Critical RCE): IPv4 tunneling flaw in Treck TCP/IP Stack
• CVE-2020-11897 (Critical OOB Write): OOB Write via malformed IPv6 packets in Treck TCP/IP stack
• CVE-2020-11901 (Critical RCE): Remote code execution via invalid DNS response in Treck TCP/IP stack
• CVE-2020-11898 (Critical ID): Information Disclosure through improper handling of IPv4 or ICMPv4 Length Parameter Inconsistency
• CVE-2020-11900 (UAF): Double Free / Use-After-Free via IPv4 tunneling in Treck TCP/IP stack
• CVE-2020-11902 (OOB Read): Out-of-Bounds read via IPv6OverIPv4 tunneling in Treck TCP/IP stack
• CVE-2020-11904 (OB Write): Integer Overflow due to improper memory allocation in Treck TCP/IP stack
• CVE-2020-11899 (OOB Read): Out-of-Bounds read via IPv6 malformed transmission in Treck TCP/IP stack
• CVE-2020-11903 (ID): Out-of-Bounds read via DHCP control request in Treck TCP/IP stack
• CVE-2020-11905 (ID): Out-of-Bounds read via DHCP over IPv6 in Treck TCP/IP stack
• CVE-2020-11906 (IU): Integer Underflow via Ethernet Link Layer in Treck TCP/IP stack
• CVE-2020-11907 (IU): Integer Underflow via Length Parameter Inconsistency in Treck TCP/IP stack
• CVE-2020-11909 (IU): Integer Underflow via malformed IPv4 data in Treck TCP/IP stack
• CVE-2020-11910 (OOB Read): Out-of-Bounds read via malformed IPv4 transmission data in Treck TCP/IP stack
• CVE-2020-11911 (MC): Improper ICMPv4 Access Control behavior in Treck TCP/IP stack
• CVE-2020-11912 (OOB Read): Out-of-Bounds Read in Treck TCP/IP stack
• CVE-2020-11913 (OOB Read): Out-of-Bounds read via IPv6 in Treck TCP/IP stack
• CVE-2020-11914 (OOB Read): Out-of-Bounds read via malformed ARP data in Treck TCP/IP stack
• CVE-2020-11908 (ID): Information disclosure via improper handling of ‘\0’ termination markers in DHCP.

而此時此刻在撰寫本文時，以下資源已提供出來：

• CERT-IL
• JPCERT/CC
• ICS CERT
• CERTCC

我們在這裡建議 IT 和資安團隊審視適用的 CERT 諮詢和供應商諮詢，並獲取最新更新和修復選項。辨別這類型的缺陷，易受攻擊的設備， gauging 暴露程度以及防止利用後活動的是重要的關鍵之一。 SentinelOne Ranger 可為您的公司企業的資產，風險管理和威脅防禦提供了強大而精簡的方式。

The Ugly

有一個公開的秘密就是，在我們不斷進行的網路戰爭中，壞人都很清楚知道好人使用和依賴的工具。雙方都利用多類型的  on-line 掃描和 sandboxes。 當好人提供一些新穎的工具或流程的資訊時，可想而知，壞人也可從中受益並找到使用它的方法。 最近一個由 Nyotron 公開的案例，與 Thanos 勒索程式及的 RIPlace 規避技術相關。

那麼呢～ RIPlace 可用於避開某些 AV 產品，從而使惡意程式不受阻礙地運行。 Nyotron 在 2019 年 11 月 發布了在 RIPlace的找到的這項發現，旨在經由這項新發現的逃避技術，向大眾進行教育。 此外，《 Recorded Future》的研究人員指出，在過去的幾個月中，Thanos 的幕後參與者一直在反復修改並研發新變種。 他們正使用 RIPlace 專門避開 Malwarebytes AntiMalware和 Windows Defender 產品。 與其他產品相匹配的變種也可能已在地下市場中發行。

最後獻上一個更大的公開秘密就是 SentinelOne Endpoint Protection 平台是完全能夠檢測和預防 Thanos ，RIPlace 避開技術的更是小菜一碟。

原文