作者:
根據(jù)CNBC透露的消息,暗網(wǎng)中所有跟REvil勒索軟件團伙相關的網(wǎng)站從7月13日開始就全部神秘消失了。目前我們還尚不清楚是什么原因導致的,因為這些網(wǎng)站最近一直都處于極度活躍狀態(tài),而現(xiàn)在當用戶訪問相關網(wǎng)站時,返回的只是“找不到具有指定主機名的服務器”。
勒索軟件REvil也被稱為Sodinokibi,是一個由俄羅斯網(wǎng)絡犯罪團伙運營的勒索軟件。REvil 勒索病毒稱得上是 GandCrab的“接班人”。GandCrab 是曾經最大的 RaaS(勒索軟件即服務)運營商之一,在賺得盆滿缽滿后于 2019 年 6 月宣布停止更新。
隨后,另一個勒索運營商買下了 GandCrab 的代碼,即最早被人們稱作 Sodinokibi 勒索病毒。由于在早期的解密器中使用了“REvil Decryptor”作為程序名稱,又被稱為 REvil 勒索病毒。
目前,我們還不清楚是何原因導致跟REvil勒索軟件相關的暗網(wǎng)網(wǎng)站消失下線。但這一事件已經引發(fā)了安全社區(qū)內研究人員的熱烈討論,很多人認為可能是當局所采取的措施。
勒索軟件攻擊涉及對設備或網(wǎng)絡上的文件進行加密的惡意軟件,從而導致系統(tǒng)無法運行。這類網(wǎng)絡攻擊的幕后黑手通常要求支付費用,以換取數(shù)據(jù)的發(fā)布。REvil是所有勒索軟件團伙中最多產、最令人恐懼的團伙之一,如果這真的是最后一次,那意義非凡。
電子郵件安全公司Egress對美國和英國的500名IT領導者和3,000名員工進行的一項新調查顯示,在過去一年中,94%的企業(yè)都經歷了內部數(shù)據(jù)泄漏。
84%受訪的IT領導層工作者表示,人為錯誤是導致嚴重事故的首要原因。然而,受訪者更關心內部人員的惡意行為,28%的受訪者表示故意惡意行為是他們最大的恐懼。盡管造成的事故最多,但人為錯誤在IT領導層的擔心列表里依然排名墊底,只有21%的受訪者表示人為錯誤是他們最擔心的問題。不過56%的受訪者認為遠程/混合工作將使防止人為錯誤或網(wǎng)絡釣魚造成的數(shù)據(jù)泄漏變得更加困難,但61%的員工認為他們在家工作時造成違規(guī)的可能性與在公司并無區(qū)別甚至更小。從漏洞的原因來看,74%的企業(yè)因員工違反安全規(guī)則而遭到利用,73%的企業(yè)成為網(wǎng)絡釣魚攻擊的受害者。
在調查員工是否會如實上報觸犯了違規(guī)行為時,97%的員工表示會如實上報,這對55%要依靠員工提醒他們是否發(fā)生了安全事件的IT領導者來說是個好消息。但誠實可能并不會有回報,因為89%的事件都會對涉事員工產生消極影響。
內部風險是每個企業(yè)最復雜的漏洞——它具有深遠的影響,從遭遇勒索軟件攻擊到失去客戶信任。企業(yè)必須立即采取行動,以減輕其員工帶來的風險。企業(yè)希望員工保護雇主的數(shù)據(jù),同時也有責任確保他們正在建立一種積極的企業(yè)安全文化。有了正確的技術和戰(zhàn)略,企業(yè)才可以將員工從最大的安全漏洞觸發(fā)者轉變?yōu)樽顝姶蟮陌踩谰€。
新的研究表明,在2021年上半年,關鍵制造業(yè)的漏洞增加了148%,基于勒索軟件的全套服務(RaaS)驅動了大部分攻擊數(shù)量的增幅。Nozomi Networks的報告發(fā)現(xiàn)ICS-CERT的漏洞也增加了44%。制造業(yè)是最容易受到影響的行業(yè),而能源行業(yè)也被證明是脆弱的。
Nozomi Networks聯(lián)合創(chuàng)始人兼首席技術官Moreno Carullo說:'Colonial Pipeline、JBS和最新的Kaseya軟件供應鏈攻擊都是痛苦的教訓,說明勒索軟件攻擊的威脅是真實的。安全專業(yè)人員必須用網(wǎng)絡安全和可視性解決方案來武裝自己,這些解決方案要納入實時威脅情報,并使之能夠以可操作的建議和計劃來快速應對。了解這些犯罪組織的工作方式,并預測未來的攻擊,對于他們抵御這種不幸的新常態(tài)至關重要。'
物聯(lián)網(wǎng)安全攝像機也在顯示出弱點。預計今年全球將有超過10億臺網(wǎng)絡攝像機投入生產,不安全的物聯(lián)網(wǎng)安全攝像機是一個日益嚴重的問題。該報告包括對Verkada漏洞以及Reolink相機和ThroughTek軟件的安全漏洞的分析。
隨著工業(yè)組織擁抱數(shù)字化轉型,那些抱著等待和觀望心態(tài)的人正在努力學習,他們沒有為攻擊做好準備,威脅可能在增加,但打敗它們的技術和做法現(xiàn)在已經有了。普普建議企業(yè)在入侵前采取后發(fā)制人的思維方式,在為時已晚之前加強他們的安全和運營復原力。
南亞地區(qū)一直以來都是APT 組織攻擊活動的活躍區(qū)域之一。自2013年5月國外安全公司Norman披露 Hangover 行動(即摩訶草組織)以來,先后出現(xiàn)了多個不同命名的APT組織在該地域持續(xù)性的活躍,并且延伸出錯綜復雜的關聯(lián)性,包括摩訶草(APT-C-09、HangOver、Patchwork、白象)、蔓靈花(APT-C-08、BITTE)、肚腦蟲(APT-C-35、Donot)、魔羅桫(Confucius)、響尾蛇(Sidewinder、APT-C-17) 等。
造成歸屬問題的主要因素是上述 APT 活動大多使用非特定的攻擊載荷,各組織在使用的攻擊武器方面也有不同程度的重合。腳本化和多種語言開發(fā)的載荷也往往干擾著歸屬分析判斷,包括使用.Net、Delphi、AutoIt、Python、Powershell、Go等。但從歷史攻擊活動來看,其也出現(xiàn)了一些共性:
同時具備攻擊Windows和Android平臺能力;
巴基斯坦是主要的攻擊目標,部分組織也會攻擊中國境內;
政府、軍事目標是其攻擊的主要目標,并且投放的誘餌文檔大多也圍繞該類熱點新聞。
普普提醒廣大用戶,切勿打開社交媒體分享的來歷不明的鏈接,不點擊執(zhí)行未知來源的郵件附件,不運行夸張的標題的未知文件,不安裝非正規(guī)途徑來源的APP。做到及時備份重要文件,更新安裝補丁。
長期以來,美國黑客組織持續(xù)對我國實施網(wǎng)絡攻擊。通過監(jiān)測分析,目前已發(fā)現(xiàn)多個美國黑客組織以我國黨政機關、事業(yè)單位、科研院所等重要敏感單位的網(wǎng)站和相關主機為主要目標,實施漏洞掃描攻擊、暴力破解,DDoS攻擊等攻擊行為。本文選擇了3個較為典型的美國黑客組織進行研究,分析其攻擊行為特征如下:
2020年10月發(fā)現(xiàn)的黑客組織A控制了位于美國的1065臺主機對中國2426臺目標主機實施攻擊,攻擊對象主要為黨政機關和企事業(yè)單位,如某汽車動力總成公司、某鋼鐵股份有限公司以及部分高校等。攻擊手段主要為SSH暴力破解、SNMP暴力破解等。
2020年10月發(fā)現(xiàn)的黑客組織B控制了位于美國的24臺主機對中國993臺目標主機實施攻擊,攻擊對象主要為高校,涉及山西、廣西、廣東等省份;也有部分黨政機關,如某省科技委員會、某市商務局等。攻擊手段主要包括SNMP暴力破解、PHP代碼執(zhí)行漏洞、Struts2遠程命令執(zhí)行漏洞等暴力破解和Web掃描攻擊。
2020年8月發(fā)現(xiàn)的黑客組織C控制了位于美國的5臺主機對中國119臺目標主機實施攻擊,攻擊對象主要為高校,涉及廣東、北京等地。攻擊手段主要為PHP漏洞攻擊、SQL注入等Web類攻擊。?
相當一部分美國黑客組織傾向于嘗試利用大批量主機,通過廣泛的Web和系統(tǒng)漏洞掃描攻擊手段,配合高頻暴力破解手段進行偵察和踩點攻擊,鎖定攻擊目標。這些黑客組織通過有針對性的高頻探測攻擊,試圖利用較小的攻擊成本,找到重要敏感單位資產的薄弱環(huán)節(jié),為后期侵入和滲透提供機會。
PrintNightmare漏洞是近期企業(yè)面臨的主要安全風險,但讓微軟感到尷尬的是,上周緊急推出的補丁在社交媒體上被安全專家質疑,認為該補丁并不完善,可被黑客繞過。雖然微軟再次發(fā)布聲明聲稱補丁有效并且敦促所有企業(yè)用戶盡快更新,但近日又有消息傳出,說微軟的補丁會導致部分打印機出現(xiàn)問題。
PrintNightmare漏洞包含CVE-2021-1675 和CVE-2021-34527,其中一個是遠程代碼執(zhí)行漏洞,另一個是本地提權漏洞。一個嚴峻問題是,在微軟發(fā)布補丁之前,漏洞利用代碼就已經在公共領域開始傳播。
微軟指出,攻擊者可以利用該漏洞以系統(tǒng)權限編寫他們想要的任何代碼。從那里,他們可以安裝程序;查看、更改或刪除數(shù)據(jù);或創(chuàng)建具有完全用戶權限的新帳戶。但一些客戶安裝了補丁程序后,某些打印機出現(xiàn)了問題。
一位微軟客戶透露:“安裝此更新后,某些打印機可能會遇到問題。大多數(shù)受影響的打印機是通過USB連接的收據(jù)或標簽打印機,說明這一情況與CVE-2021-34527或CVE-2021-1675無關。”?
此問題已使用已知問題回滾(KIR)解決。這一解決方案最多可能需要24小時才能自動分發(fā)到用戶的設備和非托管業(yè)務設備中。重新啟動Windows設備可能有助于用戶更快地解決問題,對于安裝了受影響的更新并遇到此問題的設備來說,可以通過安裝和配置特殊的組策略來解決。
近日,安全研究人員披露了惠普打印機驅動程序中存在的一個提權漏洞的技術細節(jié),該驅動程序也被三星與施樂公司所使用。該漏洞影響了十六年間眾多版本的驅動程序,可能波及上億臺 Windows 計算機。攻擊者可以利用該漏洞執(zhí)行繞過安全防護軟件、安裝惡意軟件、查看/修改/加密/刪除數(shù)據(jù)、創(chuàng)建后門賬戶等操作。
SentinelOne 的研究人員表示,該漏洞(CVE-2021-3438)已經在 Windows 系統(tǒng)中潛伏了 16 年之久,直到今年才被發(fā)現(xiàn)。它的 CVSS 評分為 8.8 分,是一個高危漏洞。
該漏洞存在與驅動程序中控制輸入/輸出(IOCTL)的函數(shù),在接收數(shù)據(jù)時沒有進行驗證。使得 strncpy在復制字符串時長度可以被用戶控制。這就使得攻擊者可以溢出驅動程序的緩沖區(qū)。
因此,攻擊者可以利用該漏洞提權到 SYSTEM 級別,從而可以在內核模式下執(zhí)行代碼。
存在漏洞的驅動程序已在數(shù)百萬臺計算機中運行了數(shù)年?;诖蛴C的攻擊向量是犯罪分子喜歡的完美工具,因為其驅動程序幾乎在所有 Windows 計算機中都存在,而且會自動啟動。
該漏洞自從 2005 年以來就存在,影響了非常多的打印機型號。可以根據(jù)列表查看具體的受影響型號與對應的補丁。普普建議通過加強訪問控制來減少攻擊面。