The Good 這週的好消息實在是大快人心,一位備受矚目的網路犯罪分子在維吉尼亞州的 Alexandria 市處以應得的聯邦刑罰。 在一月份認罪的 Aleksei Burkov 被指控在兩個知名論壇中串謀計畫性主機入侵,欺詐,身份盜竊和洗錢活動。 這兩個論壇(其中之一就是 Cardplanet)都是網路犯罪分子長期聚會場所及交易竊取來的資訊。 第二個涉及的 forum 是一個更有警覺性和被嚴格審查的環境。 想要進入高階論壇及使用相關服務的特權必需先支付$ 5,000。 Burkov 已在 2019 年 11 月被引渡到美國後即將面臨 15 年的監禁時間。 最終,因爲 Burkov 自 2015 年以來已被監禁,法官判了 9 年的刑期。據估計,這些 forum 共為信用卡欺詐和其他個資竊取的犯罪提供了近 2000 萬美元的利潤。 看到這些案件以積極的方式結束(對好人來說總是很高興的!)。 The Bad 那在本週,針對平台的罕見勒索程式威脅的形式,macOS 安全受到了嚴重的打擊。 這個木馬程式被分別稱為“ EvilQuest”,“ ThiefQuest” 和 “MacRansom.K”,其特徵顯示出竊取數據和加密(勒索程式)。 不幸的是,這次的誘餌和交付方式太熟悉老套了。 這個惡意軟體通過 torrents 散出來並提供了許多流行的 macOS 盜版的應用程序或 “破解” 版本,包括 Ableton Live,Mixed in Key 和 Little Snitch。 程式以 .DMG 的形式下載,其中包含針對木馬程序的軟體包的安裝程序。 啟動後,安裝程序會請求提升特權,建立用戶和 root-level 的持久性,然後繼續啟動其他功能。 此時已對檔案進行了加密。 但是,某些其他行為會添加到惡意活動列表中。 “ EvilQuest” 似乎安裝了鍵盤記錄以及 reverse shell,從而允許駭客直接和不斷的存取。 該惡意軟程式還 retrieves 多個 remote 腳本,其中一個是專門用於文件滲透。 該木馬將遞歸在 / Users 文件夾下查找與寫死的 extenstion list 中匹配的所有文件,並向外部傳輸。 其他人已經注意到,可以傳輸的文件大小受到限制(800k),這可能會阻止多種文件類型(例如 .wallet)的洩露。 另外,加密本身似乎存在一些問題,因為超出寫死的 extenstion list 中的文件可能最終還是被加密。 儘管分析仍在進行中,但這種異常複雜的(針對 macOS)惡意程式似乎是首次嘗試使用具有勒索程式/ wiper 組合在一起的惡意軟體,再加上與近期中在微軟家族中見到的數據竊取功能例如 Ragnar,Netwalker,Snake)。 ㄡ˙不~ 我們已可以看見這不會是最後一個。 The Ugly 在本週最嚴重的資安新聞中,U.S-CERT 與其他許多政府機構一起發布了有關 Palo Alto Networks PAN-OS 中嚴重安全漏洞的警報: CVE-2020-2021,藏在 SAML 身份驗證中。 通過此漏洞,駭客可以執行任意代碼並完全控制受影響的設備和系統。 更具體地來說,未經身份驗證的駭客(假設有網路 access 權限)可以進入易受攻擊的 resource,登錄並執行管理操作,例如:為之後的計畫性的攻擊打開一道門或修改現有帳戶的權限。 有問題的 SAML 裝置在多個Palo Alto Networks 產品: 包括 VPN Gateway 和防火牆上的代碼中:這是你想讓駭客們遠離的兩個地方。 受影響的特定軟體包括 Prisma Access 和 GlobalProtect Gateway等。 Palo Alto Networks 在 6 月 29 日發布了其建議報告,其中包括緩解措施和解決方法說明。 暫時停用 SAML 以防止此漏洞被利用, 也發布了修復程序在PAN-OS 的更新版本。 嚴格的來說,這是一個嚴重的缺陷,但值得慶幸的是,(這次,,,)供應商有了及時和良好的溝通方式提供了修復程序。 我們鼓勵所有人檢查這次的漏洞是否有直接影響,並採取必要的措施來緩解。 所有應用程式和服務需要保持最新版本並保持最新的patch 級別(儘管並不總是那麼簡單....)是很重要的,同學們,我們必須努力保護我們的網路免受當前和未來的攻擊。
0 Comments
Your comment will be posted after it is approved.
Leave a Reply. |
Categories
All
Archives
January 2021
|