普普安全資訊一周概覽(0724-0730)

作者:

時間:
2021-07-30
國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布《勒索軟件防范指南》

勒索軟件是黑客用來劫持用戶資產(chǎn)或資源實施勒索的一種惡意程序。黑客利用勒索軟件,通過加密用戶數(shù)據(jù)、更改配置等方式,使用戶資產(chǎn)或資源無法正常使用,并以此為條件要求用戶支付費用以獲得解密密碼或者恢復(fù)系統(tǒng)正常運行。主要的勒索形式包括文件加密勒索、鎖屏勒索、系統(tǒng)鎖定勒索和數(shù)據(jù)泄漏勒索等。主要的傳播方式包括釣魚郵件傳播、網(wǎng)頁掛馬傳播、漏洞傳播、遠(yuǎn)程登錄入侵傳播、供應(yīng)鏈傳播和移動介質(zhì)傳播等。

國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)近期發(fā)布的《2020年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》顯示,2020年勒索軟件持續(xù)活躍,全年捕獲勒索軟件78.1萬余個,較2019年同比增長6.8%。2021年上半年,勒索軟件攻擊愈發(fā)頻繁,發(fā)生多起重大事件,例如3月20日,臺灣計算機制造商宏碁(Acer)遭REvil勒索軟件攻擊,被要求支付5000萬美元贖金;5月7日,美國輸油管道公司Colonial Pipeline遭Darkside勒索軟件攻擊,導(dǎo)致東海岸液體燃料停止運營;5月26日,國內(nèi)某大型地產(chǎn)公司遭REvil勒索軟件攻擊,竊取并加密了約3TB的數(shù)據(jù);5月31日,全球最大的肉類供應(yīng)商JBS遭REvil勒索軟件攻擊,導(dǎo)致澳大利亞所有JBS肉類工廠停產(chǎn)。

普普點評

防范勒索軟件要做到以下“九要”,“四不要”:

要做好資產(chǎn)梳理與分級分類管理;要備份重要數(shù)據(jù)和系統(tǒng);要設(shè)置復(fù)雜密碼并保密;要定期安全風(fēng)險評估;要常殺毒關(guān)端口;要做好身份驗證和權(quán)限管理;要嚴(yán)格訪問控制策略;要提高人員安全意識;要制定應(yīng)急響應(yīng)預(yù)案。不要點擊來源不明郵件;不要打開來源不可靠網(wǎng)站;不要安裝來源不明軟件;不要插拔來歷不明的存儲介質(zhì)。


普普安全資訊一周概覽(0724-0730)
東京奧運會開幕前 突然發(fā)現(xiàn)針對日本電腦的惡意擦除軟件

一家日本安全廠商表示,發(fā)現(xiàn)一個以奧運會為主題的惡意軟件樣本,其中包含擦除受感染系統(tǒng)上全部文件的功能,而且似乎是針對日本個人電腦。這款擦除器是在本周三發(fā)現(xiàn)的,也就是2021年東京奧運會開幕式的前兩天。根據(jù)日本安全公司Mitsui Bussan Secure Directions (簡稱MBSD)的調(diào)查分析,這款擦除器并非刪除計算機內(nèi)的所有數(shù)據(jù),而是只搜索刪除用戶個人文件夾(即“C:/Users//”)下的部分特定文件類型。刪除目標(biāo)包括包括微軟Office文件,還涵蓋TXT、LOG以及CSV等常見的存儲日志、數(shù)據(jù)庫與密碼信息類文件。此外,這款擦除器也沒有放過使用Ichitaro日語文字處理器創(chuàng)建的文件。據(jù)此分析,MBSD團隊認(rèn)為,這款擦除器是專門為日本國內(nèi)的計算機(大多安裝有Ichitaro應(yīng)用程序)所設(shè)計。受影響的擴展名:DOTM, DOTX, PDF, CSV, XLS, XLSX, XLSM, PPT, PPTX, PPTM,JTDC, JTTC, JTD, JTT, TXT, EXE, LOG。擦除器還使用了大量反分析與反虛擬機檢測技術(shù),用以防止惡意軟件自身被安全人員輕易發(fā)現(xiàn)和分析;另外,這款擦除器還能在操作完成之后將惡意軟件自動刪除。

MBSD公司的研究員報告中寫道?!坝捎谠搻阂廛浖褂肞DF圖標(biāo)進行偽裝,而且僅針對Users文件夾下的內(nèi)容,因此可以認(rèn)定其目標(biāo)是專門感染那些不具備管理員權(quán)限的用戶?!?/p>

普普點評

十項防范措施助您安全抵御惡意軟件的攻擊:1. 更新您的設(shè)備,操作系統(tǒng),插件程序,瀏覽器至最新版本;2. 設(shè)置賬戶訪問權(quán)限;3. 設(shè)置強而獨特的密碼;4. 加強網(wǎng)絡(luò)安全意識培訓(xùn);5. 安裝防病毒軟件和防惡意軟件工具;6. 使用數(shù)字證書保護您的網(wǎng)站和電子郵件;7. 設(shè)置電子郵件過濾器;8. 使用防火墻;9. 利用電子安全協(xié)議;10. 淘汰舊版本的程序和設(shè)備。

普普安全資訊一周概覽(0724-0730)
“微信自動搶紅包”軟件存在侵害用戶隱私安全風(fēng)險

搶紅包本來是一種“拼手速、比手氣”的社交娛樂方式,但自動搶紅包外掛的出現(xiàn)卻讓它變了味。微信群里發(fā)的紅包總有人會搶到,他可能使用了自動搶紅包外掛軟件?!拔⑿抛詣訐尲t包”軟件可以使用戶在微信軟件后臺運行的情況下,自動搶到微信紅包,并且設(shè)置有“開啟防封號保護”應(yīng)對微信軟件的治理措施。事實上,微信搶紅包軟件只是龐大外掛軟件市場的個例之一。在APP商城搜索搶紅包,紅包助手等關(guān)鍵詞,便有眾多待下載APP列表出現(xiàn)。據(jù)了解,市場還存在其他外掛軟件,不僅可以實現(xiàn)自動搶紅包,還能夠?qū)崿F(xiàn)虛擬定位、虛假刷量以及迅速增加粉絲數(shù)量等“群控”功能。外掛又叫開掛和輔助,它本質(zhì)上是作弊軟件,或者是不被允許的插件程序APP。使用者通過外掛,可實現(xiàn)秒級搶單;外掛被包裝后催生出來網(wǎng)絡(luò)黑色產(chǎn)業(yè),會破壞系統(tǒng)的公平性。

普普點評

一些“微信自動搶紅包”軟件,非法監(jiān)聽微信聊天記錄,抓取微信聊天記錄中涉及紅包字樣的信息和微信紅包中的資金流轉(zhuǎn)情況,嚴(yán)重侵害用戶隱私安全。同時,類似軟件頁面顯示的“加速搶紅包”“搶大紅包功能”等功能項,點擊后會跳出廣告彈窗,具有欺騙性。為了防止微信賬號被封,謹(jǐn)慎使用外掛軟件。

普普安全資訊一周概覽(0724-0730)
Gartner預(yù)計關(guān)鍵基礎(chǔ)設(shè)施攻擊將成致命攻擊

技術(shù)市場分析公司Gartner預(yù)測,到2025年,黑客可能將計算機系統(tǒng)轉(zhuǎn)化為能夠致人傷亡的武器,除了人命悲劇,企業(yè)修復(fù)IT系統(tǒng)、應(yīng)對訴訟和支付賠償?shù)闹С隹赡芨哌_500億美元。以往的惡意軟件攻擊,例如美國國家安全局的杰作震網(wǎng)(Stuxnet),已經(jīng)證明了惡意軟件是能夠造成現(xiàn)實世界破壞而非僅僅劫掠數(shù)據(jù)的。其實網(wǎng)絡(luò)攻擊一直以來都對現(xiàn)實世界有影響,比如對Colonial Pipeline和美國及歐洲醫(yī)院的勒索軟件攻擊就曾導(dǎo)致人員傷亡。Gartner預(yù)測,到2025年,黑客將可武器化運營技術(shù)(OT)環(huán)境,成功制造人員傷亡。Gartner對OT的定義是“監(jiān)測或控制設(shè)備、資產(chǎn)和過程的硬件與軟件”,還涉及到信息物理系統(tǒng)(CPS):比如對電子醫(yī)療設(shè)備或物理基礎(chǔ)設(shè)施的攻擊就是針對OT的攻擊。同時,該公司還表示,在運營環(huán)境中,安全與風(fēng)險管理主管應(yīng)更加關(guān)注人員和環(huán)境面臨的現(xiàn)實世界危險,而不是信息盜竊。

普普點評

Gartner對控制運營技術(shù)的企業(yè)提出了一些建議,比如為每個設(shè)施指定OT安全經(jīng)理、定期進行員工安全意識培訓(xùn)、通過測試演練提升事件響應(yīng)能力。但是面對勒索軟件的威脅,建立完善的備份、恢復(fù)和災(zāi)難恢復(fù)機制,管理好可能連接系統(tǒng)的U盤、摸清現(xiàn)有IT及OT資產(chǎn),啟用實時日志和檢測功能,更能有效降低企業(yè)受感染的風(fēng)險。

普普安全資訊一周概覽(0724-0730)
工信部啟動互聯(lián)網(wǎng)行業(yè)專項整治行動

工業(yè)和信息化部認(rèn)真貫徹落實習(xí)近平總書記關(guān)于促進平臺經(jīng)濟健康發(fā)展的重要指示批示精神,立足互聯(lián)網(wǎng)行業(yè)管理主業(yè)主責(zé),在前期APP專項整治的基礎(chǔ)上,進一步梳理互聯(lián)網(wǎng)行業(yè)社會關(guān)注度高、影響面廣、群眾反映強烈的熱點難點問題,決定開展互聯(lián)網(wǎng)行業(yè)專項整治行動,旨在引導(dǎo)形成開放互通、安全有序的市場環(huán)境,推動行業(yè)規(guī)范健康高質(zhì)量發(fā)展。

專項整治行動聚焦擾亂市場秩序、侵害用戶權(quán)益、威脅數(shù)據(jù)安全、違反資源和資質(zhì)管理規(guī)定等四方面8類問題,涉及22個具體場景。在擾亂市場秩序方面,重點整治惡意屏蔽網(wǎng)址鏈接和干擾其他企業(yè)產(chǎn)品或服務(wù)運行等問題,包括無正當(dāng)理由限制其他網(wǎng)址鏈接的正常訪問、實施歧視性屏蔽措施等場景;在侵害用戶權(quán)益方面,重點整治應(yīng)用軟件啟動彈窗欺騙誤導(dǎo)用戶、強制提供個性化服務(wù)等問題,包括彈窗整屏為跳轉(zhuǎn)鏈接、定向推送時提供虛假關(guān)閉按鈕等場景;在威脅數(shù)據(jù)安全方面,重點整治企業(yè)在數(shù)據(jù)收集、傳輸、存儲及對外提供等環(huán)節(jié),未按要求采取必要的管理和技術(shù)措施等問題,包括數(shù)據(jù)傳輸時未對敏感信息加密、向第三方提供數(shù)據(jù)前未征得用戶同意等場景;在違法資源和資質(zhì)管理規(guī)定方面,重點整治“黑寬帶”和未履行網(wǎng)站備案手續(xù)等問題,包括轉(zhuǎn)租或使用違規(guī)網(wǎng)絡(luò)接入資源、未及時更新備案信息等場景。

普普點評

工信部開展互聯(lián)網(wǎng)行業(yè)專項整治行動,旨在引導(dǎo)形成開放互通、安全有序的市場環(huán)境,有助于推動互聯(lián)網(wǎng)行業(yè)規(guī)范健康高質(zhì)量發(fā)展。

普普安全資訊一周概覽(0724-0730)
2020東京奧運會購票者與志愿者遭遇數(shù)據(jù)泄露影響

Computer Weekly 報道稱,2020 東京奧運會購票者與活動志愿者的用戶名和密碼遭遇了泄露,但上周一位日本政府官員表示問題并不大,并已采取措施來防止受損數(shù)據(jù)的進一步傳播。不過共同社援引不愿意透露姓名的官員的話稱,被盜的憑據(jù)可用于登錄志愿者和購票人網(wǎng)站,并泄露姓名、地址和銀行賬號等個人數(shù)據(jù)。與里約和倫敦奧運會期間發(fā)生的攻擊相比,日本政府有做好迎接更猛烈攻擊的準(zhǔn)備。比如通過與東京 2020 奧組會一起開展網(wǎng)絡(luò)安全演習(xí)(Cyber Colosseum),以模擬針對城市和農(nóng)村地區(qū)的潛在攻擊。今年早些時候,它還通過日本國家信息和通信技術(shù)研究所開發(fā)的安全培訓(xùn)計劃,對來自 NTT 和 NEC 等日本 ICT 企業(yè)的 220 名白帽黑客進行了培訓(xùn)。NTT 首席網(wǎng)絡(luò)安全策略師 Mihoko Matsubara 在 2021 年 2 月的一份關(guān)于日本 2020 東京網(wǎng)絡(luò)安全戰(zhàn)略的報告中指出:

COVID-19 大流行促使各界采用復(fù)雜的方法來保護活動的現(xiàn)實與虛擬環(huán)境安全。超過 90% 的東京 2020 組委會成員在家工作,以防止 COVID-19 感染。我們不僅需要確保與東京 2020 奧運相關(guān)的電力、交通、場地等基礎(chǔ)設(shè)施的安全,還需確保遠(yuǎn)程工作環(huán)境的安全。

普普點評

近年來,大型賽事一直是黑客組織的攻擊目標(biāo),比如 2012 年的倫敦奧運會期間,就有報道稱發(fā)生了六起重大的網(wǎng)絡(luò)攻擊,其中包括針對電力系統(tǒng)發(fā)起的持續(xù) 40 分鐘的分布式拒絕服務(wù)攻擊。

更惡劣的是,某些黑客還在社交平臺上大肆宣揚、并鼓動其它組織在特定時間發(fā)起類似的攻擊。這使得賽事組織者的信息安全防護能力面臨嚴(yán)峻挑戰(zhàn),建立完善的攻擊防護體系是各組織機構(gòu)的長期工作重點。

普普安全資訊一周概覽(0724-0730)
福昕閱讀器爆出多個任意代碼執(zhí)行漏洞

福昕軟件(Foxit Software)本周發(fā)布了福昕PDF閱讀器和PDF編輯器的安全更新,用于解決導(dǎo)致遠(yuǎn)程代碼執(zhí)行的多個漏洞。這些遠(yuǎn)程代碼執(zhí)行漏洞被跟蹤為CVE-2021-21831、CVE-2021-21870 和CVE-2021-21893,由Cisco Talos研究人員發(fā)現(xiàn)。其中CVSS的嚴(yán)重性評分為8.8。由于某些JavaScript代碼或注釋對象的處理方式,惡意制作的PDF文件可能會導(dǎo)致重復(fù)使用以前空閑的內(nèi)存和任意代碼執(zhí)行。攻擊者可以通過欺騙目標(biāo)用戶打開惡意PDF文件來利用該漏洞。根據(jù)Cisco Talos的公告,如果受害者啟用了Foxit的瀏覽器插件,攻擊者還可以通過惡意網(wǎng)站利用該漏洞。福昕軟件還解決了應(yīng)用程序處理某些PDF文件中的注釋對象的漏洞。福昕軟件解釋說,當(dāng)Annotation字典有多個關(guān)聯(lián)的注釋對象并且可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行時,就會出現(xiàn)漏洞。更新所解決的另一個安全問題是,用戶在瀏覽完某些PDF文件中的書簽節(jié)點后,釋放時也可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行。福昕軟件還解決了具有過多嵌入節(jié)點的XML數(shù)據(jù)、執(zhí)行submitForm函數(shù)或解析特制PDF文件相關(guān)的潛在安全問題。福昕軟件還發(fā)現(xiàn)其中一些漏洞會影響Foxit應(yīng)用程序的macOS版本,并且同時為它們發(fā)布了補丁。

普普點評

應(yīng)用程序在調(diào)用一些能夠?qū)⒆址D(zhuǎn)換為代碼的函數(shù),沒有考慮用戶是否控制這個字符串,將會造成代碼執(zhí)行漏洞。福昕閱讀器作為一款小巧、快速且功能豐富的PDF閱讀器,廣受大眾青睞。福昕軟件在收到漏洞反饋后迅速發(fā)布了升級補丁,并解決了其他的漏洞隱患,及時保障了全球千萬用戶的設(shè)備數(shù)據(jù)安全。