普普安全資訊一周概覽(0916-0922)

作者:

時(shí)間:
2023-09-22


01

充滿潛力的未來(lái):元宇宙將打開新的漏洞


元宇宙的興起與所有技術(shù)創(chuàng)新一樣,它帶來(lái)了新的機(jī)遇和新的風(fēng)險(xiǎn)。懷有惡意的人將利用它打開新的漏洞。Metaverse 是一種沉浸式虛擬現(xiàn)實(shí)版本的互聯(lián)網(wǎng) ,人們可以在其中與數(shù)字對(duì)象以及他們自己和他人的數(shù)字表示進(jìn)行交互,并且可以或多或少地從一個(gè)虛擬環(huán)境自由移動(dòng)到另一個(gè)虛擬環(huán)境。它還可以達(dá)到虛擬現(xiàn)實(shí)和物理現(xiàn)實(shí)的融合,既通過(guò)在虛擬中代表來(lái)自物理世界的人和物體,又通過(guò)將虛擬帶入人們對(duì)物理空間的感知。通過(guò)戴上虛擬現(xiàn)實(shí)耳機(jī)和增強(qiáng)現(xiàn)實(shí)眼鏡,人們將能夠在環(huán)境之間以及數(shù)字和物理之間的界限是可滲透的環(huán)境中進(jìn)行社交和工作等等。在元宇宙中,人們將能夠找到與他們離線生活相一致的意義和體驗(yàn)。問題就在于此。當(dāng)人們學(xué)會(huì)愛某物時(shí),無(wú)論是數(shù)字的、物理的還是組合的,從他們那里拿走那東西都會(huì)導(dǎo)致情緒上的痛苦和痛苦。更確切地說(shuō),人們所珍視的東西變成了可以被那些試圖造成傷害的人利用的漏洞。有惡意的人已經(jīng)注意到元宇宙是他們武器庫(kù)中的一個(gè)潛在工具。


普普點(diǎn)評(píng)

新的虛擬和混合現(xiàn)實(shí)空間帶來(lái)了新目標(biāo)的潛力。就像建筑物、事件和人在現(xiàn)實(shí)世界中可能受到傷害一樣,在虛擬世界中也可能受到攻擊。想象一下猶太教堂上的萬(wàn)字符,銀行、購(gòu)物和工作等現(xiàn)實(shí)生活活動(dòng)的中斷,以及公共活動(dòng)的破壞。破壞增強(qiáng)現(xiàn)實(shí)或虛擬現(xiàn)實(shí)業(yè)務(wù)意味著個(gè)人遭受真正的經(jīng)濟(jì)損失。與物理場(chǎng)所一樣,虛擬空間可以精心設(shè)計(jì)和制作,從而承載人們投入時(shí)間和創(chuàng)造力建設(shè)的東西所具有的意義。




02

URL解析錯(cuò)誤導(dǎo)致DoS、RCE等

研究人員警告說(shuō),由于16個(gè)不同的URL解析庫(kù)之間的不一致而導(dǎo)致的8個(gè)不同的安全漏洞,可能導(dǎo)致多種Web應(yīng)用程序中的拒絕服務(wù)(DoS)情況、信息泄漏和遠(yuǎn)程代碼執(zhí)行(RCE)。這些漏洞是在為各種語(yǔ)言編寫的第三方Web包中發(fā)現(xiàn)的,并且像Log4Shell和其他軟件供應(yīng)鏈威脅一樣,可能已被導(dǎo)入到數(shù)百或數(shù)千個(gè)不同的Web應(yīng)用程序和項(xiàng)目中。受影響的是Flask(一個(gè)用Python編寫的微型Web框架)、Video.js(HTML5視頻播放器)、Belledonne(免費(fèi)的VoIP和IP視頻電話)、Nagios XI(網(wǎng)絡(luò)和服務(wù)器監(jiān)控)和Clearance(Ruby密碼驗(yàn)證)。來(lái)自Claroty Team82研究部門和Synk的研究人員在周一的一份分析報(bào)告中寫道:“URL實(shí)際上是由五個(gè)不同的組件構(gòu)成的:方案、權(quán)限、路徑、查詢和片段?!薄懊總€(gè)組件都扮演著不同的角色,它決定了請(qǐng)求的協(xié)議、持有資源的主機(jī)、應(yīng)該獲取的確切資源等等?!?/span>

普普點(diǎn)評(píng)

URL庫(kù)混淆會(huì)干擾正確的驗(yàn)證,就像Clearance漏洞一樣。研究人員指出,Clearance(Ruby的Rails框架中一個(gè)廣泛應(yīng)用的第三方插件,可以實(shí)現(xiàn)簡(jiǎn)單安全的電子郵件和密碼身份驗(yàn)證)中的易受攻擊的函數(shù)是“return_to”。此函數(shù)在登錄/注銷過(guò)程之后調(diào)用,并且應(yīng)該將用戶安全地重定向到他們之前請(qǐng)求的頁(yè)面。但是,如果可以說(shuō)服目標(biāo)單擊具有以下語(yǔ)法的URL,則可將其破壞。





03

勞動(dòng)管理平臺(tái)Kronos遭到勒索軟件攻擊

勞動(dòng)管理平臺(tái)Kronos遭到勒索軟件攻擊,它說(shuō)這將會(huì)使其云端服務(wù)在幾周內(nèi)無(wú)法使用。它建議客戶使用其他方式來(lái)完成工資核算和其他人力資源活動(dòng)。這次故障給客戶帶來(lái)了災(zāi)難性的后果。Kronos提供了一系列的解決方案,包括員工的日程安排、薪酬管理、工資和工時(shí)、福利管理、休假管理、人才招聘、入職培訓(xùn)等內(nèi)容。它的客戶包括很多世界上最大的公司,如特斯拉和彪馬,以及各種衛(wèi)生、公共部門和知名大學(xué)、基督教青年會(huì)等組織,以及餐館和零售商等小型企業(yè)。在周日下午晚些時(shí)候發(fā)給Kronos私有云(KPC)的客戶信息中,該公司表示,從周六開始,有幾個(gè)解決方案已經(jīng)開始使用了。該公司在通知中說(shuō),目前,我們還沒有一個(gè)準(zhǔn)確的恢復(fù)時(shí)間,這個(gè)問題可能至少需要幾天才能解決。該公司在周一的更新中把這個(gè)時(shí)間段擴(kuò)大到了可能需要幾周。我們建議那些受影響的客戶使用其他計(jì)劃來(lái)處理考勤數(shù)據(jù),進(jìn)行工資處理,管理時(shí)間,以及其他對(duì)該組織很重要的相關(guān)操作。

普普點(diǎn)評(píng)

這種情況表明,企業(yè)必須積極準(zhǔn)備應(yīng)對(duì)勒索軟件攻擊。他說(shuō):'這次攻擊使人們認(rèn)識(shí)到,企業(yè)需要快速有效制定容災(zāi)恢復(fù)和持續(xù)運(yùn)營(yíng)計(jì)劃。企業(yè)越是嚴(yán)重依賴技術(shù)服務(wù),就越需要有一個(gè)在沒有這些服務(wù)的情況下依然能夠運(yùn)行的計(jì)劃。索軟件團(tuán)伙經(jīng)常將攻擊的時(shí)間定在假期內(nèi)組織人手不足的時(shí)候,他們希望攻擊耗費(fèi)更長(zhǎng)的時(shí)間才被發(fā)現(xiàn),那么應(yīng)急響應(yīng)的時(shí)間也會(huì)用的更多。





04

多個(gè)勒索軟件團(tuán)伙利用VMware的Log4Shell漏洞

日前,英國(guó)國(guó)民保健署(NHS)警告稱,黑客們正在大肆利用VMware Horizon虛擬桌面平臺(tái)中的Log4Shell漏洞,以部署勒索軟件及其他惡意程序包。隨后,微軟證實(shí),一個(gè)名為DEV-0401的勒索軟件團(tuán)伙在1月4日就利用了VMware Horizon中的漏洞(CVE-2021-44228)。微軟表示:“我們的調(diào)查表明,這些活動(dòng)有些已成功入侵目標(biāo)系統(tǒng),并部署了NightSky勒索軟件?!?/span>微軟的調(diào)查結(jié)果為NHS的早期警報(bào)提供了新線索,NHS警告稱:“攻擊者肆意利用VMware Horizon服務(wù)器中的Log4Shell漏洞,企圖建立Web Shell。”攻擊者可以使用這些Web Shell,部署惡意軟件和勒索軟件以及泄露數(shù)據(jù)。為了應(yīng)對(duì)這起安全事件,NHS和VMware都敦促用戶盡快修補(bǔ)受影響的系統(tǒng),以及/或者實(shí)施安全公告中提到的變通辦法。NightSky是一個(gè)比較新的勒索軟件團(tuán)伙,在去年年底開始活躍起來(lái)。繼Log4Shell漏洞之后,安全研究人員警告類似的漏洞可能很快會(huì)出現(xiàn)。

普普點(diǎn)評(píng)

H2是一款流行的開源數(shù)據(jù)庫(kù)管理系統(tǒng),用Java編寫,它廣泛應(yīng)用于眾多平臺(tái),包括Spring Boot和ThingWorks。該系統(tǒng)可以嵌入到Java應(yīng)用程序中,或在客戶端-服務(wù)器模式下運(yùn)行。據(jù)JFrog和飛塔的FortiGuard Labs介紹,該系統(tǒng)提供了一種輕量級(jí)內(nèi)存中服務(wù),不需要將數(shù)據(jù)存儲(chǔ)在磁盤上。與Log4Shell相似,該漏洞可允許H2數(shù)據(jù)庫(kù)框架中的幾條代碼路徑將未經(jīng)過(guò)濾的攻擊者控制的URL傳遞給啟用遠(yuǎn)程代碼執(zhí)行的函數(shù)。



05

FIN7組織通過(guò)郵寄惡意U盤來(lái)投放勒索軟件

美國(guó)聯(lián)邦調(diào)查局周五警告說(shuō),勒索軟件團(tuán)伙正在郵寄惡意的U盤,冒充美國(guó)衛(wèi)生與公眾服務(wù)部(HHS)和亞馬遜集團(tuán),針對(duì)運(yùn)輸、保險(xiǎn)和國(guó)防行業(yè)進(jìn)行勒索軟件感染攻擊。聯(lián)邦調(diào)查局在發(fā)給各個(gè)組織的安全警報(bào)中說(shuō),F(xiàn)IN7--又名Carbanak或Navigator Group,是使用Carbanak后門惡意軟件進(jìn)行攻擊的網(wǎng)絡(luò)犯罪團(tuán)伙,其攻擊經(jīng)常以獲取經(jīng)濟(jì)利益為目的。FIN7從2015年就已經(jīng)開始存在了。最初,該團(tuán)伙通過(guò)使用其定制的后門惡意軟件來(lái)維持對(duì)目標(biāo)公司的持續(xù)訪問權(quán)限,以及使用間諜軟件來(lái)針對(duì)銷售點(diǎn)(PoS)系統(tǒng)進(jìn)行攻擊而逐漸為民眾所熟知。它的攻擊目標(biāo)往往是休閑餐廳、賭場(chǎng)和酒店。但在2020年,F(xiàn)IN7也開始涉足勒索軟件以及游戲領(lǐng)域,其攻擊活動(dòng)經(jīng)常會(huì)使用REvil或Ryuk作為有效攻擊載荷。聯(lián)邦調(diào)查局說(shuō),在過(guò)去的幾個(gè)月里,F(xiàn)IN7將惡意的USB設(shè)備郵寄給美國(guó)公司,希望有人能夠把它插到驅(qū)動(dòng)器上,然后利用惡意軟件來(lái)感染系統(tǒng),從而為以后的勒索軟件攻擊做好準(zhǔn)備。

普普點(diǎn)評(píng)

BadUSB攻擊是利用了USB固件中的一個(gè)固有漏洞,該漏洞能夠使攻擊者對(duì)USB設(shè)備進(jìn)行重新編程,使其能夠作為一個(gè)人機(jī)交互設(shè)備,即作為一個(gè)預(yù)裝了自動(dòng)執(zhí)行腳本的惡意USB鍵盤。重新編程后,USB可以被用來(lái)在受害者的電腦上執(zhí)行惡意命令或運(yùn)行惡意程序。端點(diǎn)保護(hù)軟件也可以幫助防止這些攻擊,它可以很好的保證用戶的安全性。


06

惡意軟件偽裝成系統(tǒng)更新,通殺Win Mac Linux三大系統(tǒng)

能同時(shí)攻擊Windows、Mac、Linux三大操作系統(tǒng)的惡意軟件出現(xiàn)了。雖然“全平臺(tái)通殺”病毒并不常見,但是安全公司Intezer的研究人員發(fā)現(xiàn),有家教育公司在上個(gè)月中了招。更可怕的是,他們通過(guò)分析域名和病毒庫(kù)發(fā)現(xiàn),這個(gè)惡意軟件已經(jīng)存在半年之久,只是直到最近才被檢測(cè)到。他們把這個(gè)惡意軟件命名為SysJoker。SysJoker核心部分是后綴名為“.ts”的TypeScript文件,一旦感染就能被遠(yuǎn)程控制,方便黑客進(jìn)一步后續(xù)攻擊,比如植入勒索病毒。SysJoker用C++編寫,每個(gè)變體都是為目標(biāo)操作系統(tǒng)量身定制,之前在57個(gè)不同反病毒檢測(cè)引擎上都未被檢測(cè)到。下面將以Windows為例展示SysJoker的行為。首先,SysJoker會(huì)偽裝成系統(tǒng)更新。一旦用戶將其誤認(rèn)為更新文件開始運(yùn)行,它就會(huì)隨機(jī)睡眠90到120秒,然后在目錄下復(fù)制自己,并改名為igfxCUIService.exe,偽裝成英特爾圖形通用用戶界面服務(wù)。接下來(lái),它使用Live off the 命令收集有關(guān)機(jī)器的信息,包括MAC地址、IP地址等。

普普點(diǎn)評(píng)

SysJoker現(xiàn)在被殺毒軟件檢測(cè)出的概率很低,但發(fā)現(xiàn)它的Intezer公司還是提供了一些檢測(cè)方法。用戶可以使用內(nèi)存掃描工具檢測(cè)內(nèi)存中的SysJoker有效負(fù)載,或者使用檢測(cè)內(nèi)容在EDR或SIEM中搜索。具體操作方法可以參見Intezer網(wǎng)站。已經(jīng)感染的用戶也不要害怕,Intezer也提供了手動(dòng)殺死SysJoker的方法。用戶可以殺死與SysJoker相關(guān)的進(jìn)程,刪除相關(guān)的注冊(cè)表鍵值和與SysJoker相關(guān)的所有文件。



07

一文了解漏洞利用鏈:含義、風(fēng)險(xiǎn)、用例及緩解建議

漏洞利用鏈(也稱為漏洞鏈)是將多個(gè)漏洞利用組合在一起以危害目標(biāo)的網(wǎng)絡(luò)攻擊方式。與專注于單一入口點(diǎn)相比,網(wǎng)絡(luò)犯罪分子更喜歡使用它們來(lái)破壞設(shè)備或系統(tǒng),以獲得更大的破壞力或影響。Forrester分析師Steve Turner表示,漏洞利用鏈攻擊的目標(biāo)是獲得內(nèi)核/根/系統(tǒng)級(jí)別的訪問權(quán)限來(lái)破壞系統(tǒng)以執(zhí)行攻擊活動(dòng)。漏洞利用鏈允許攻擊者通過(guò)使用正常系統(tǒng)進(jìn)程中的漏洞,繞過(guò)眾多防御機(jī)制來(lái)快速提權(quán)自己,從而融入組織的環(huán)境中。雖然漏洞利用鏈攻擊通常需要花費(fèi)網(wǎng)絡(luò)犯罪分子更多的時(shí)間、精力和專業(yè)技能,但將漏洞利用組合在一起,允許惡意行為者執(zhí)行更復(fù)雜且難以修復(fù)的攻擊,這具體取決于漏洞序列的長(zhǎng)度和復(fù)雜程度。漏洞利用鏈給組織帶來(lái)的風(fēng)險(xiǎn)將是巨大的。Vulcan Cyber研究團(tuán)隊(duì)負(fù)責(zé)人Ortal Keizman表示,不幸的現(xiàn)實(shí)是,IT安全團(tuán)隊(duì)背負(fù)著這樣一個(gè)事實(shí):幾乎所有漏洞利用都利用了已知漏洞和漏洞利用鏈,而這些漏洞由于各種原因尚未得到緩解。

普普點(diǎn)評(píng)


漏洞利用鏈最常用于移動(dòng)設(shè)備。鑒于手機(jī)架構(gòu)的性質(zhì),需要使用多種漏洞來(lái)獲取root訪問權(quán)限,以執(zhí)行移動(dòng)惡意軟件所需的操作。針對(duì)瀏覽器漏洞的利用鏈同樣存在可能性,攻擊者可以使用網(wǎng)絡(luò)釣魚電子郵件將用戶引導(dǎo)到網(wǎng)頁(yè),然后再發(fā)起“路過(guò)式”(drive-by)攻擊以利用瀏覽器漏洞。然后將它們與第二個(gè)漏洞鏈接以執(zhí)行沙盒逃逸,然后是第三個(gè)漏洞以獲取權(quán)限提升。