普普每日安全資訊一周概覽(01.16—01.22)

作者:

時間:
2021-01-23

2020.01.16? 周六



01
各大游戲公司遭遇與APT27有關(guān)的勒索軟件攻擊


最近一系列的針對電子游戲公司的勒索軟件攻擊與臭名昭著的APT27威脅組織有密切的關(guān)系,已經(jīng)有五家公司受到了攻擊的影響。更重要的是,其中兩家受影響的公司是世界上最大的公司之一。
APT27(又稱Bronze Union、LuckyMouse和Emissary Panda),據(jù)說是在中國境內(nèi)運營的一個威脅組織,自2013年以來就一直存在。該組織向來是利用開源的工具來接入互聯(lián)網(wǎng),其攻擊目的是為了收集政治和軍事情報。而且,它此前一直在做網(wǎng)絡(luò)間諜和數(shù)據(jù)竊取方面的攻擊,而不是僅僅為了金錢利益而發(fā)動攻擊。
Profero和Security Joes的研究人員在周一的聯(lián)合分析中指出:'此前,APT27并不是為了經(jīng)濟利益而發(fā)動攻擊,因此此次采用勒索軟件的攻擊策略是很不同尋常的。然而此次事件發(fā)生時,正值COVID-19在中國國內(nèi)流行,因此轉(zhuǎn)為為了經(jīng)濟利益而發(fā)動攻擊也就不足為奇了。
普普每日安全資訊一周概覽(01.16—01.22)

普普評述

普普每日安全資訊一周概覽(01.16—01.22)

此次攻擊是通過第三方服務(wù)商來進行攻擊的,而且該服務(wù)商此前曾被另一家第三方服務(wù)商感染。這表明高級持續(xù)性威脅(APT)正在改變過去的間諜集中戰(zhàn)術(shù),轉(zhuǎn)而采用勒索軟件進行攻擊。



2020.01.17? 周日


02
“日爆木馬”攻入管理美國核武器庫存的國家核安全局


隨著調(diào)查的深入,SolarWinds“日爆木馬”(SUNBURST)供應(yīng)鏈APT攻擊持續(xù)發(fā)酵,據(jù)Politico報道,知情官員近日透露,美國能源部(DOE)和負責管理美國核武器儲備的國家核安全局(NNSA)有證據(jù)表明,其網(wǎng)絡(luò)已經(jīng)遭到黑客入侵,這些入侵活動屬于SolarWinds日爆木馬大規(guī)模間諜活動的一部分,該間諜活動已經(jīng)影響了至少六個聯(lián)邦機構(gòu)。
聯(lián)邦能源監(jiān)管委員會(FERC)、新墨西哥州和華盛頓州的桑迪亞和洛斯阿拉莫斯國家實驗室、美國國家安全局(NNSA)的安全運輸辦公室以及美國能源部Richland外地辦公室的網(wǎng)絡(luò)中發(fā)現(xiàn)了可疑活動。一直在幫助管理聯(lián)邦對廣泛黑客攻擊活動做出反應(yīng)的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(Cybersecurity and Infrastructure Security Agency)本周向FERC表示,CISA不堪重負,可能無法分配必要的資源來應(yīng)對。官員們說,因此,即使FERC是一個半自治機構(gòu),DOE也會向FERC分配額外的資源來幫助調(diào)查黑客行為。
美國能源部發(fā)言人Hynes在一份聲明中說:“迄今的調(diào)查顯示,惡意軟件被隔離到商業(yè)網(wǎng)絡(luò)中,包括國家核安全局在內(nèi)的國家安全職能關(guān)鍵任務(wù)并未受到影響。當美國能源部發(fā)現(xiàn)易受攻擊的軟件時,立即采取了行動以減輕風(fēng)險,并且所有被確定為易受攻擊的軟件都已經(jīng)與能源部網(wǎng)絡(luò)斷開了連接?!?/span>
“攻擊仍在持續(xù),已經(jīng)影響了聯(lián)邦政府內(nèi)部的網(wǎng)絡(luò)?!泵绹形磳⒑诳托袨闅w咎于任何特定行為者,但網(wǎng)絡(luò)安全專家表示,該活動帶有俄羅斯情報部門的標志
普普每日安全資訊一周概覽(01.16—01.22)

普普評述

普普每日安全資訊一周概覽(01.16—01.22)

黑客攻擊聯(lián)邦能源管理委員會(FERC)造成的損失比攻擊其他機構(gòu)更大,這次襲擊可能是為了破壞美國的大電網(wǎng)。FERC會在電網(wǎng)上存儲敏感數(shù)據(jù),這些數(shù)據(jù)可被黑客用來識別最具破壞性的攻擊點,作為日后攻擊的目標。



2020.01.18? 周一


03
物聯(lián)網(wǎng)安全:軌跡隱私保護
軌跡隱私是一種特殊的個人隱私,指用戶的運行軌跡本身含有的敏感信息(如用戶去過的一些敏感區(qū)域等),或者可以通過運行軌跡推導(dǎo)出其他的個人信息(如用戶的家庭住址、工作地點、健康狀況、生活習(xí)慣等)。因此,軌跡隱私保護既要保證軌跡本身的敏感信息不泄露,又要防止攻擊者通過軌跡推導(dǎo)出其他的個人信息。
軌跡數(shù)據(jù)本身蘊含了豐富的時空信息,對軌跡數(shù)據(jù)的分析和挖掘結(jié)果可以支持多種移動應(yīng)用,因此,許多政府及科研機構(gòu)都加大了對軌跡數(shù)據(jù)的研究力度。例如:美國政府利用移動用戶的GPS軌跡數(shù)據(jù)分析基礎(chǔ)交通設(shè)施的建設(shè)情況,進而為是否更新和優(yōu)化交通設(shè)施提供依據(jù);社會學(xué)的研究者們通過分析人們的日常軌跡來研究人類的行為模式;某些公司通過分析雇員的上下班軌跡來提高雇員的工作效率等。然而,假如惡意攻擊者在未經(jīng)授權(quán)的情況下,計算推理獲取與軌跡相關(guān)的其他個人信息,則用戶的個人隱私會通過其軌跡完全暴露。數(shù)據(jù)發(fā)布中的軌跡隱私泄露情況大致可分為以下兩類。
① 軌跡上敏感或頻繁訪問位置的泄露導(dǎo)致移動對象的隱私泄露。軌跡上的敏感或頻繁訪問的位置很可能暴露其個人興趣愛好、健康狀況、政治傾向等個人隱私;
② 移動對象的軌跡與外部知識的關(guān)聯(lián)導(dǎo)致隱私泄露。例如,某人每天早上在固定的時間段從地點A出發(fā)到地點B,每天下午在固定的時間段從地點B出發(fā)到地點A,通過挖掘分析,攻擊者很容易做出判斷:A是某人的家庭住址,B是其工作單位。
普普每日安全資訊一周概覽(01.16—01.22)

普普評述

普普每日安全資訊一周概覽(01.16—01.22)

軌跡隱私保護既要保證軌跡本身的敏感信息不泄露,又要防止攻擊者通過軌跡推導(dǎo)出其他的個人信息


2020.01.19? 周二


?
04
混淆程序:代碼最安全的加密方式


幾十年來,計算機科學(xué)家一直都想驗證是否存在絕對安全的方法來加密計算機程序,讓人們在使用計算機的同時卻無法破解其程序。
在2020年底,幾位學(xué)者成功找到了一種加密方式,讓計算機用戶無法通過獲取代碼破解程序。
對于程序員來說,最寶貴的自然是代碼,一旦源代碼被人獲取,基本上就等于程序員編寫代碼花費的心血付諸東流,還會涉及到知識產(chǎn)權(quán)糾紛。為了保護代碼,有的程序員會在導(dǎo)出程序之前采取一些手段來混淆程序。當前程序混淆有兩種方式,第一種是全文替換關(guān)鍵詞,把整段代碼中所有的“命名”全部替換成數(shù)字;第二種是直接輸出編譯過后的代碼,將人們可以看懂的源代碼轉(zhuǎn)換成電腦看得懂的機器碼,這樣別人就沒法直接打開這個文件看到原本的代碼了。但這兩種方式并不是真正意義上的混淆,因為如果把這樣的代碼放入編譯器中,讓編譯器去分析整個編程語言的語法結(jié)構(gòu),很容易就能看出些端倪。
真正意義上的混淆被稱作虛擬黑盒(Virtual Black Box Obfuscation,VBB),相當于將一個程序C嵌入一個黑盒中,我們可以在黑盒的一端輸入x,另一頭會輸出C(x)。2001年,7位研究者聯(lián)手提出了一種特殊構(gòu)造的程序,并證明通用的VBB混淆是絕對不可能的。不過,這7位研究者的成果中,提出了一種混淆的新型定義——如果一對程序A和B具有相同的功能性,能否通過一種新的混淆算法,使第三方無法區(qū)分兩個程序呢?對于這樣的混淆,我們稱之為不可區(qū)分混淆(indistinguishability obfuscation,簡稱IO)。IO是一種強大的加密算法,它不僅能隱藏數(shù)據(jù)集,還能隱藏程序本身,從而實現(xiàn)幾乎所有的加密協(xié)議。
普普每日安全資訊一周概覽(01.16—01.22)

普普評述

普普每日安全資訊一周概覽(01.16—01.22)

雖然幾位科學(xué)家聯(lián)手證明了IO的存在性,但量子計算機的超強計算能力,會使得目前絕大部分加密算法都無法抵擋。現(xiàn)在研究者們正試圖開發(fā)一條新的通往IO的潛在途徑,希望能抵擋住量子攻擊。



2020.01.20? ?周三


05
從SolarWinds攻擊事件中看安全


近日,研究人員發(fā)現(xiàn)黑客通過破壞SolarWinds的”O(jiān)rion網(wǎng)絡(luò)管理產(chǎn)品”入侵了聯(lián)邦機構(gòu)和FireEye的網(wǎng)絡(luò)。此外,多達1.8萬的Orion客戶也正面臨著這次供應(yīng)鏈攻擊帶來的巨大威脅。這可能是近年來最嚴重的網(wǎng)絡(luò)事件之一。目前,攻擊者已經(jīng)入侵了SolarWinds,他們利用該公司的軟件更新在屬于政府、國防和軍事實體以及許多私營部門公司的系統(tǒng)上安裝了 SUNBURST后門。那么在本次事件中,我們能夠看出哪些常見的安全問題呢?
1、遠程監(jiān)控和管理工具常被用作攻擊媒介:SolarWinds事件表明遠程監(jiān)控和管理(RMM)工具更頻繁地被攻擊者用作攻擊媒介。RMM通常具有操作系統(tǒng)級別的訪問權(quán)限,能夠監(jiān)視修補程序、版本級別以及硬件性能問題等。而這些遠程工具的安全并沒有受到企業(yè)重視并得到有效的防護。
2、構(gòu)建系統(tǒng)時需要完善的安全機制:攻擊者可能通過訪問公司的網(wǎng)絡(luò)系統(tǒng)或 CI/CD環(huán)境,將SUNBURST惡意軟件插入到合法軟件的更新中。因此,企業(yè)需要在軟件開發(fā)生命周期中注意安全性。
3、信任可能導(dǎo)致危機:攻擊者將惡意代碼插入到 SolarWinds 的 Orion 網(wǎng)絡(luò)管理產(chǎn)品的合法更新中,正是利用了企業(yè)對SolarWinds的信任。在這種情況下,接收更新的人很難意識到惡意軟件隱藏在數(shù)字簽名的軟件組件中。
4、企業(yè)需要為長遠的安全做打算:許多APT網(wǎng)絡(luò)攻擊很難被第一時間發(fā)現(xiàn)和檢測,難以攔截。并且,對攻擊從何入侵的檢測可能存在錯誤,其影響范圍和代價也難以預(yù)估。因此,企業(yè)應(yīng)當為長遠的安全做打算,事后補救不如未雨綢繆。目前,多數(shù)無文件攻擊和APT攻擊利用了某些應(yīng)用程序和操作系統(tǒng)所特有的結(jié)構(gòu)與系統(tǒng)工具,而這正是反惡意軟件工具在檢測和防御方面的疏漏點。
普普每日安全資訊一周概覽(01.16—01.22)

普普評述

普普每日安全資訊一周概覽(01.16—01.22)

企業(yè)應(yīng)當為長遠的安全做打算,事后補救不如未雨綢繆。有效的解決方案是使用基于內(nèi)核級的監(jiān)控,捕獲每個目標程序的動態(tài)行為,防御并終止在業(yè)務(wù)關(guān)鍵應(yīng)用程序中的無文件攻擊、0day漏洞攻擊等高級威脅,防止黑客利用零日漏洞或未修復(fù)漏洞進行的攻擊。



2020.01.21? 周四


06
意大利移動運營商被黑,250萬用戶需更換手機SIM卡


本周一,沃達豐(Vodafone)旗下的意大利移動運營商Ho Mobile證實發(fā)生大規(guī)模數(shù)據(jù)泄露,目前正采取一種罕見的措施,替換所有受影響客戶的SIM卡。據(jù)信,黑客竊取大約250萬客戶的個人信息。
該數(shù)據(jù)泄露事件上個月(12月28日)首次曝光,當時一名安全分析師在一個黑暗的網(wǎng)絡(luò)論壇上發(fā)現(xiàn)了要出售的電信公司數(shù)據(jù)庫。
HoMobile的聲明證實了安全研究人員的評估,即黑客入侵了Ho Mobile的服務(wù)器并竊取了HoMobile客戶的詳細信息,包括全名、電話號碼、社會安全號碼、電子郵件地址、出生日期和地點、國籍和家庭住址等。雖然Ho Mobile聲稱黑客沒有竊取任何財務(wù)數(shù)據(jù)或電話詳細信息,但Ho Mobile承認黑客已經(jīng)掌握了與客戶的SIM卡相關(guān)的詳細信息。
為了避免電話欺詐或SIM卡交換攻擊的威脅,Ho Mobile表示愿意為所有受影響的客戶(如有需要)更換SIM卡,并且不收取任何費用。
普普每日安全資訊一周概覽(01.16—01.22)

普普評述

普普每日安全資訊一周概覽(01.16—01.22)

盡管世界各地的多家電信運營商都發(fā)生過數(shù)據(jù)泄露事故,但Ho Mobile這種客戶至上,高度重視SIM卡交換攻擊給客戶帶來的潛在巨大風(fēng)險(SIM卡被劫持是數(shù)字社會消費者面臨的最大安全風(fēng)險之一),不惜提供免費SIM卡更換服務(wù)的做法非常罕見。



2020.01.22? 周五


07
首款2021年面世的勒索軟件:新年伊始已有5家企業(yè)被黑


新的一年,勒索軟件家族又添新成員。2021年剛剛過去幾天,Babuk Locker就開始針對企業(yè)受害者發(fā)動人為操作攻擊。Babuk Locker掀起的這輪全新勒索軟件攻勢,已經(jīng)給世界各地的幾家公司帶來不小的麻煩。根據(jù)目前掌握的情況,其開出的贖金價格(要求以比特幣支付)在60,000美元到85,000美元之間。
Babuk Locker如何加密受害者設(shè)備?根據(jù)分析,Babuk Locker的各個可執(zhí)行文件都針對不同受害者進行了定制化調(diào)整,借此添加硬編碼形式的擴展名、勒索記錄以及Tor受害者URL。根據(jù)安全研究員Chuong Dong的分析,Babuk Locker的編碼質(zhì)量屬于業(yè)余級別,但其中包含的安全加密機制足以防止受害者輕松完成文件恢復(fù)。Dong在報告中指出,“雖然編碼實踐整體屬于業(yè)余水平,但其中使用的強大橢圓曲線Diffie–Hellman加密算法之前已經(jīng)給不少企業(yè)造成了沉重打擊。”在勒索軟件啟動之后,攻擊者即可使用命令行參數(shù)來控制勒索軟件,包括如何加密網(wǎng)絡(luò)共享文件以及是否在本地文件系統(tǒng)之前執(zhí)行加密。一旦啟動,勒索軟件將終止已知的各類Windows服務(wù)與進程,防止其打開目標文件致使加密操作無法執(zhí)行。其終止的程序包括數(shù)據(jù)庫服務(wù)器、郵件服務(wù)器、備份軟件、郵件客戶端以及網(wǎng)絡(luò)瀏覽器等。
Babuk Locker Tor站點非常簡單,其中只包含一個聊天界面,受害者可以在其中與攻擊者交談并商議贖金事宜。在談判過程中,勒索攻擊方會詢問受害者是否購買了網(wǎng)絡(luò)安全保險,以及是否聯(lián)系過勒索軟件恢復(fù)廠商。攻擊者可以實施雙重勒索——受害者不僅無法訪問自己的文件,而且如果拒絕支付贖金,文件內(nèi)容還會被發(fā)布到互聯(lián)網(wǎng)上。
普普每日安全資訊一周概覽(01.16—01.22)

普普評述

普普每日安全資訊一周概覽(01.16—01.22)

Babuk Locker掀起的這輪全新勒索軟件攻勢,已經(jīng)給世界各地的幾家公司帶來不小的麻煩。