普普安全資訊一周概覽(0902-0908)

作者:

時間:
2023-09-08


01

IoT蜜罐展示物聯(lián)網(wǎng)設(shè)備存在的網(wǎng)絡(luò)威脅


隨著物聯(lián)網(wǎng)(loT)設(shè)備的數(shù)量不斷增加,loT設(shè)備在網(wǎng)絡(luò)安全方面面臨現(xiàn)實(shí)威脅。蜜罐歷來被用作誘餌設(shè)備,幫助研究人員更好地了解網(wǎng)絡(luò)上威脅的動態(tài)及其影響。但由于設(shè)備及其物理連接的多樣性,物聯(lián)網(wǎng)設(shè)備對此提出了獨(dú)特挑戰(zhàn)。對此,美國南佛羅里達(dá)大學(xué)及美國國家標(biāo)準(zhǔn)與技術(shù)研究院研究人員進(jìn)行了為期三年的蜜罐實(shí)驗(yàn),創(chuàng)建了多樣化的生態(tài)系統(tǒng),模擬了各種類型和位置的低交互物聯(lián)網(wǎng)設(shè)備,以研究攻擊者為何會攻擊特定設(shè)備,并對相關(guān)數(shù)據(jù)進(jìn)行了研究。在蜜罐研究工作中,研究人員通過觀察真實(shí)世界中攻擊者在低交互蜜罐生態(tài)系統(tǒng)中的行為,提出了一種創(chuàng)建多階段、多方面蜜罐生態(tài)系統(tǒng)的新方法,該方法逐漸提高了蜜罐與攻擊者交互的復(fù)雜性。同時設(shè)計(jì)并開發(fā)了一個低交互的攝像頭蜜罐,使其能夠更深入地了解攻擊者的目標(biāo)。此外提出了一種創(chuàng)新的數(shù)據(jù)分析方法,來識別攻擊者的目標(biāo)。該蜜罐已經(jīng)活躍了三年多,能夠在每個階段收集越來越復(fù)雜的攻擊數(shù)據(jù)。


普普點(diǎn)評

在網(wǎng)絡(luò)安全中,蜜罐是為了吸引攻擊活動而設(shè)置的設(shè)備。通常,此類系統(tǒng)是面向互聯(lián)網(wǎng)的設(shè)備,包含可供攻擊者攻擊的模擬或真實(shí)系統(tǒng)。由于這些設(shè)備不用于任何其他目的,因此對它們的任何訪問都將被視為惡意訪問。通過分析蜜罐收集的數(shù)據(jù),網(wǎng)絡(luò)安全措施可以得到改進(jìn),特別是對于在修復(fù)安全漏洞方面資源有限的組織。






02

超1200個網(wǎng)站使用MitM釣魚工具包,允許網(wǎng)絡(luò)犯罪分子繞過2FA身份驗(yàn)證

據(jù)The Record 12月27日消息,研究人員發(fā)現(xiàn)1200個站點(diǎn)被部署網(wǎng)絡(luò)釣魚工具包,這些工具包能夠攔截雙因素身份驗(yàn)證(2FA)安全代碼,并允許網(wǎng)絡(luò)犯罪分子繞過這一身份驗(yàn)證。這些工具包也稱為MitM(中間人)網(wǎng)絡(luò)釣魚工具包。近年來,主流科技公司為其客戶開通2FA默認(rèn)安全功能后,這些工具在網(wǎng)絡(luò)犯罪黑社會中變得非常流行。2FA默認(rèn)功能的開通,直接導(dǎo)致了網(wǎng)絡(luò)釣魚者無法繞過2FA程序,被盜的憑證變得毫無用處。至少從2017年起,威脅行為者開始采用新工具,用來應(yīng)對這種賬戶安全保護(hù)的新技術(shù)趨勢。威脅者開始通過竊取通過用戶認(rèn)證的cookies來繞過2FA,這些cookies是用戶在2FA程序完成后登錄賬戶時創(chuàng)建的瀏覽器文件。通常情況下,網(wǎng)絡(luò)犯罪分子依靠一類被稱為“信息竊取器”的惡意軟件,從他們設(shè)法感染的計(jì)算機(jī)中竊取這些身份驗(yàn)證cookie文件。還有一種竊取特殊的竊取方式,那就是不依賴于受惡意軟件感染的計(jì)算機(jī),即在文件從網(wǎng)絡(luò)服務(wù)提供商傳輸?shù)接脩粲?jì)算機(jī)的傳輸過程中實(shí)施偷竊。

普普點(diǎn)評

攻擊者通過使用反向代理的釣魚工具包,在受害者、網(wǎng)絡(luò)釣魚站點(diǎn)和合法服務(wù)商之間轉(zhuǎn)發(fā)流量。在MitM網(wǎng)絡(luò)釣魚站點(diǎn)上進(jìn)行身份驗(yàn)證的用戶,實(shí)際上登錄到了一個合法站點(diǎn),但由于所有流量都通過反向代理系統(tǒng),攻擊者因此截獲了身份驗(yàn)證cookie的副本,繼而對該副本進(jìn)行濫用或轉(zhuǎn)售。目前,隨著2FA在在線服務(wù)中得到更廣泛的采用,越來越多的威脅者將MitM技術(shù)納入其釣魚工具包中。






03

惡意軟件變異:改變行為以實(shí)現(xiàn)隱蔽性和持久性

近年來,企業(yè)組織為了應(yīng)對惡意軟件威脅采取了大量工作,但是,似乎每天都有新的惡意軟件樣本能夠繞過各種防護(hù)措施。這些層出不窮的惡意軟件從何而來?答案是惡意軟件變異。通過變異,攻擊者讓惡意軟件不斷“煥然一新”,從而逃避安全控制。例如REvil或DarkSide這樣的組織會在其惡意代碼中放置“識別開關(guān)”,用于檢查它所在設(shè)備上的語言是否為俄語或英語。這種策略造成了惡意軟件的“變異性”——同一段代碼可以在不同的計(jì)算機(jī)上進(jìn)行不同的操作,具體不同取決于操作系統(tǒng)版本、安裝的庫或語言設(shè)置。如果有人嘗試在三到四臺不同的機(jī)器上運(yùn)行相同的惡意軟件,可能會得到三到四種不同的操作行為。雖然安全研究人員早就意識到惡意軟件的變異性,但很少有研究人員評估其廣泛性。Avllazagaj的研究可以揭示惡意代碼的變異性,以幫助安全社區(qū)更好地理解這個問題。Avllazagaj表示:“我們憑經(jīng)驗(yàn)評估了惡意軟件發(fā)生了多少變化、其行為的哪些部分發(fā)生了變化,以及可以采取哪些措施來應(yīng)對這些變化。

普普點(diǎn)評

在大多數(shù)情況下,攻擊性很強(qiáng)的惡意軟件都會將“隱蔽性”作為一個重要考量因素。攻擊者一開始都會先執(zhí)行一些小工具,因?yàn)榧幢闼鼈儽话l(fā)現(xiàn)或檢測到,替換這些小工具也要比替換完整的關(guān)鍵惡意程序容易得多。未來,我們可能會看到更多具有可變行為的惡意軟件在各行各業(yè)產(chǎn)生影響,為了應(yīng)對這種情況,防病毒企業(yè)正在密切研究這些群體,并分析那些不同尋常的樣本,以便了解其微小細(xì)節(jié)。






04

Telegram被濫用以竊取加密錢包憑證

攻擊者使用Echelon信息竊取器瞄準(zhǔn)Telegram用戶的加密錢包,旨在欺騙加密貨幣的新用戶或毫無戒心的用戶。他們在一份分析報(bào)告中表示,SafeGuard Cyber第七部門威脅分析部門的研究人員在10月份檢測到一個以加密貨幣為重點(diǎn)的Telegram頻道上發(fā)布的Echelon樣本?;顒又惺褂玫膼阂廛浖荚趶亩鄠€消息傳遞和文件共享平臺竊取憑據(jù),包括Discord、Edge、FileZilla、OpenVPN、Outlook甚至Telegram本身,以及許多加密貨幣錢包,包括AtomicWallet、BitcoinCore、ByteCoin、Exodus、Jaxx和Monero。據(jù)報(bào)道,該活動采用一種“撒網(wǎng)并祈禱(spray and pray)”的模式:“根據(jù)惡意軟件及其發(fā)布方式,SafeGuard Cyber認(rèn)為它不是協(xié)調(diào)活動的一部分,而只是針對該頻道的新用戶或不熟悉的用戶?!毖芯咳藛T發(fā)現(xiàn),攻擊者使用“Smokes Night”句柄在頻道上傳播Echelon,但尚不清楚它的進(jìn)展程度。他們寫道:“該帖子似乎不是對頻道中任何相關(guān)消息的回應(yīng)?!彼麄冋f,頻道上的其他用戶似乎沒有注意到任何可疑之處也沒有參與其中。然而,研究人員寫道,這并不意味著惡意軟件沒有到達(dá)用戶的設(shè)備。

普普點(diǎn)評

Telegram消息應(yīng)用程序確實(shí)已成為網(wǎng)絡(luò)犯罪分子活動的溫床,他們利用其受歡迎程度和廣泛的攻擊面,通過使用機(jī)器人、惡意帳戶和其他方式在平臺上傳播惡意軟件。惡意軟件的其他功能包括計(jì)算機(jī)指紋識別,以及截取受害者機(jī)器屏幕截圖的能力。他們說,從活動中提取的Echelon樣本使用壓縮的.ZIP文件將憑據(jù)和其他被盜數(shù)據(jù)以及屏幕截圖發(fā)送回命令和控制服務(wù)器。




05

近幾年攻擊者利用Docker API的錯誤配置進(jìn)行攻擊

研究人員發(fā)現(xiàn),攻擊者使用“Smokes Night”句柄在頻道上傳播Echelon,但尚不清楚它的進(jìn)展程度。他們寫道:“該帖子似乎不是對頻道中任何相關(guān)消息的回應(yīng)。”他們說,頻道上的其他用戶似乎沒有注意到任何可疑之處也沒有參與其中。然而,研究人員寫道,這并不意味著惡意軟件沒有到達(dá)用戶的設(shè)備。自2019年以來,實(shí)施文件加密的網(wǎng)絡(luò)攻擊活動背后的黑客團(tuán)伙逐漸浮出了水面。研究人員說,這些攻擊活動都利用了設(shè)備上配置錯誤的Docker APIs,這使得他們能夠獲得內(nèi)部網(wǎng)絡(luò)的入口,并最終在被攻擊的主機(jī)上安裝后門,然后挖掘加密貨幣。該攻擊技術(shù)是基于腳本進(jìn)行的,該攻擊方式被稱為 'Autom',因?yàn)樗昧宋募?'autom.sh'。Aquasec研究部門在周三發(fā)表的一份報(bào)告中寫道,該攻擊活動在活躍時期時,攻擊者一直在濫用API的錯誤配置,但是其使用的規(guī)避策略各不相同。研究人員說,雖然攻擊者在攻擊的載體中使用了相同的攻擊方式來實(shí)現(xiàn)他們的目的—對文件進(jìn)行加密,這么多年以來攻擊的最大變化就是威脅者在不斷演化出新的規(guī)避檢測手法。

普普點(diǎn)評

威脅者通過使用 'sudo '命令來提升權(quán)限,然后將一個新建用戶變成一個root用戶,授予無限的權(quán)限來運(yùn)行任何sudoers文件。通過這一系列的操作,攻擊者成功安裝了一個后門,使得他們在被攻擊主機(jī)上獲得了權(quán)限的持久性。Autom的攻擊活動表明,攻擊者的攻擊方式正在變得越來越復(fù)雜,不斷的改進(jìn)他們的攻擊技術(shù)來避免被安全解決方案發(fā)現(xiàn)的可能性。



06

Google以5億美元收購以色列網(wǎng)絡(luò)安全初創(chuàng)公司Siemplify

Google正在收購以色列網(wǎng)絡(luò)安全初創(chuàng)公司Siemplify。收購的價格估計(jì)為5億美元,這將標(biāo)志著這家科技巨頭首次收購活躍在網(wǎng)絡(luò)安全領(lǐng)域的以色列公司。Siemplify在以色列、美國和倫敦有200名員工,他們將在收購后加入Google。Google將利用Siemplify為其在以色列的網(wǎng)絡(luò)安全業(yè)務(wù)奠定基礎(chǔ),這將是該公司云計(jì)算活動的一部分,Siemplify的聯(lián)合創(chuàng)始人將繼續(xù)留在公司。Google首席執(zhí)行官桑達(dá)爾-皮查伊在2021年8月向美國總統(tǒng)喬-拜登承諾,該公司將在未來五年內(nèi)投資100億美元用于網(wǎng)絡(luò)安全。Google的計(jì)劃包括擴(kuò)大零信任計(jì)劃,幫助確保軟件供應(yīng)鏈的安全,以及加強(qiáng)開源安全。該公司承諾在IT支持和數(shù)據(jù)分析等領(lǐng)域培訓(xùn)10萬名美國人,學(xué)習(xí)包括數(shù)據(jù)隱私和安全在內(nèi)的急需技能。這一承諾將包括進(jìn)行收購和投資,Siemplify將成為Google的第一個此類收購。迄今為止,Siemplify已經(jīng)在四輪融資中籌集了5800萬美元,以色列風(fēng)險投資公司G20 Ventures是公司的最大股東。其他投資者包括83North、Jump Capital和Georgian,后者最近還投資了以色列網(wǎng)絡(luò)安全初創(chuàng)公司Noname Security。

普普點(diǎn)評

Siemplify由Amos Stern(首席執(zhí)行官)、Alon Cohen(首席技術(shù)官)和Garry Fatakhov(首席運(yùn)營官)創(chuàng)立于2015年。Siemplify的安全操作平臺被設(shè)計(jì)為SOC(安全操作中心)的'操作系統(tǒng)'。與其他SOAR(安全協(xié)調(diào)、自動化和響應(yīng))平臺不同的是,Siemplify的設(shè)計(jì)是為了從頭到尾管理整個安全運(yùn)營功能,這些平臺主要側(cè)重于游戲規(guī)則的構(gòu)建和自動化。該公司的平臺將被整合到Google的云系統(tǒng)中。




07

研究人員發(fā)現(xiàn)70個Web緩存中毒漏洞,涉及 GitHub/GitLab等

安全研究員 Iustin Ladunca(Youstin)近期針對許多網(wǎng)站(包括一些高流量的在線服務(wù))進(jìn)行了調(diào)研,結(jié)果發(fā)現(xiàn)了70個具有不同影響的緩存中毒漏洞。根據(jù)介紹,Web緩存中毒攻擊的目標(biāo)是網(wǎng)絡(luò)服務(wù)器和客戶端設(shè)備之間的中間存儲點(diǎn),如point-of-presence servers、代理和負(fù)載均衡器。中間商通過存儲本地版本的Web內(nèi)容來加快向Web客戶端的傳送速度,從而幫助提高網(wǎng)站的性能。Web緩存中毒攻擊操縱了緩存服務(wù)器的行為,以及它們?nèi)绾雾憫?yīng)客戶的特定URL請求。Ladunca自2020年11月開始研究Web緩存中毒;然而僅僅幾周后,他就發(fā)現(xiàn)了兩個新的緩存中毒漏洞:“這讓我意識到緩存中毒的攻擊面有多大”。他在一篇博客中詳細(xì)介紹了自己是如何發(fā)現(xiàn)和報(bào)告網(wǎng)絡(luò)緩存漏洞的,其中包括有 Apache Traffic Server、GitHub、GitLab、HackerOne 和 Cloudflare 以及其他服務(wù)器?!耙环N常見的模式是緩存服務(wù)器被配置為只緩存靜態(tài)文件,這意味著攻擊只限于靜態(tài)文件。即便如此,仍然有很大的影響,因?yàn)楝F(xiàn)代網(wǎng)站嚴(yán)重依賴JS和CSS,刪除這些文件會真正影響應(yīng)用程序的可用性。”

普普點(diǎn)評


多個Web緩存漏洞導(dǎo)致拒絕服務(wù)(DoS)攻擊。緩存服務(wù)器使用一些headers作為keys來存儲和檢索URL請求。通過在unkeyed headers中使用無效值,Ladunca能夠強(qiáng)制服務(wù)器緩存錯誤響應(yīng),并在之后提供這些響應(yīng)而不是原始內(nèi)容,這會使得客戶無法訪問目標(biāo)網(wǎng)頁。就所使用的技術(shù)而言,迄今為止最常見的是通過unkeyed headers進(jìn)行CP-DoS,這可能占總發(fā)現(xiàn)的80%。其他 Web 緩存中毒漏洞可能會導(dǎo)致跨站點(diǎn)腳本(XSS)攻擊。