普普安全資訊一周概覽(0814-0820)

作者:

時(shí)間:
2021-08-20
01

中國(guó)境內(nèi)約531萬臺(tái)主機(jī)被攻擊 做好防護(hù)是關(guān)鍵


中國(guó)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心數(shù)據(jù)顯示,2020年位于境外的約5.2萬個(gè)計(jì)算機(jī)惡意程序控制服務(wù)器,控制了中國(guó)境內(nèi)約531萬臺(tái)主機(jī),就控制中國(guó)境內(nèi)主機(jī)數(shù)量來看,美國(guó)及其北約盟國(guó)分列前三位。此外,美國(guó)中央情報(bào)局的網(wǎng)絡(luò)攻擊組織APT-C-39,2008年9月-2019年6月期間,曾對(duì)中國(guó)航空航天科研機(jī)構(gòu)、石油行業(yè)、大型互聯(lián)網(wǎng)公司以及政府機(jī)構(gòu)等關(guān)鍵領(lǐng)進(jìn)行了長(zhǎng)達(dá)11年的網(wǎng)絡(luò)滲透攻擊。嚴(yán)重?fù)p害了中國(guó)的國(guó)家安全,經(jīng)濟(jì)安全,關(guān)鍵基礎(chǔ)設(shè)施安全和廣大民眾的個(gè)人信息安全。境外組織采取APT高級(jí)持續(xù)威脅攻擊是希望借助于0day漏洞這攻擊利器,對(duì)目標(biāo)進(jìn)行持續(xù)滲透攻擊,以突破主機(jī)安全防線,對(duì)主機(jī)進(jìn)行攻擊。因?yàn)?,服?wù)器是任何IT環(huán)境的支柱,是所有業(yè)務(wù)活動(dòng)的核心,一旦被攻破,將對(duì)被攻擊目標(biāo)造成難以估量的損失。那么,圍繞服務(wù)器構(gòu)建廣泛、持久的安全防護(hù)策略則至關(guān)重要。

普普安全資訊一周概覽(0814-0820)
普普點(diǎn)評(píng)

針對(duì)主機(jī)被攻擊的安全風(fēng)險(xiǎn),未知威脅是難以預(yù)料的,做好安全防護(hù)是關(guān)鍵。這樣才能最大化的保障核心數(shù)據(jù)安全,確保業(yè)務(wù)正常運(yùn)行。

普普安全資訊一周概覽(0814-0820)


普普安全資訊一周概覽(0814-0820)
02

勒索軟件新變種可同時(shí)攻擊群暉和威聯(lián)通的NAS產(chǎn)品


勒索軟件eCh0raix早在2019年以來就一直活躍,并以攻擊NAS產(chǎn)品而著稱。當(dāng)時(shí)安全公司Intezer和Anomali的專家就發(fā)現(xiàn)了針對(duì)網(wǎng)絡(luò)附加存儲(chǔ)(NAS)設(shè)備的勒索軟件樣本。NAS產(chǎn)品是黑客的特權(quán)目標(biāo),因?yàn)樗鼈兺ǔ4鎯?chǔ)大量數(shù)據(jù)。今年5月,QNAP警告客戶,威脅攻擊者正在利用Roon Server零日漏洞,用eCh0raix勒索軟件攻擊其NAS設(shè)備。2019年,研究人員還報(bào)告了一波針對(duì)Synology NAS設(shè)備的eCh0raix攻擊。近日,研究人員發(fā)現(xiàn)了一種新的eCh0raix變體,有史以來第一次支持同時(shí)攻擊上述兩家供應(yīng)商的NAS設(shè)備。該勒索軟件被Intezer跟蹤為“QNAPCrypt”和Anomali的“eCh0raix”,是用Go編程語言編寫的,并使用AES加密來加密文件。惡意代碼將.encrypt擴(kuò)展名附加到加密文件的文件名。數(shù)據(jù)顯示,目前約有25萬臺(tái)QNAP和Synology NAS設(shè)備暴露在互聯(lián)網(wǎng)上。攻擊背后的勒索軟件團(tuán)伙利用QNAP NAS中的 CVE-2021-28799漏洞來訪問它們,同時(shí)暴力攻擊目標(biāo)Synology NAS設(shè)備。

普普安全資訊一周概覽(0814-0820)
普普點(diǎn)評(píng)

移動(dòng)辦公的興起使得個(gè)人NAS產(chǎn)品越來越受到歡迎,便捷的數(shù)據(jù)存儲(chǔ)與訪問也帶來了數(shù)據(jù)被惡意攻擊竊取的風(fēng)險(xiǎn)。針對(duì)以上問題,我們可以采取及時(shí)更新設(shè)備固件、創(chuàng)建復(fù)雜的登錄密碼、設(shè)置僅允許可識(shí)別IP的硬編碼列表內(nèi)的地址與SOHO設(shè)備連接的策略來避免攻擊。

普普安全資訊一周概覽(0814-0820)
普普安全資訊一周概覽(0814-0820)
03

微軟確認(rèn)存在另一個(gè)新的Windows Print Spooler安全漏洞


與微軟Windows打印機(jī)的相關(guān)問題的噩夢(mèng)揮之不去,近日,該公司確認(rèn)了Windows Print Spooler服務(wù)的一個(gè)新的安全漏洞。這個(gè)新的漏洞被編號(hào)為CVE-2021-36958。微軟表示,當(dāng)Windows Print Spooler服務(wù)不適當(dāng)?shù)貓?zhí)行特權(quán)文件操作時(shí),存在一個(gè)遠(yuǎn)程代碼執(zhí)行的漏洞,成功利用該漏洞的攻擊者可以用系統(tǒng)權(quán)限運(yùn)行任意代碼。然后,攻擊者可以安裝程序;查看、更改或刪除數(shù)據(jù);或創(chuàng)建具有完全用戶權(quán)限的新賬戶。那些一直密切關(guān)注此事的人可能會(huì)注意到,這個(gè)新問題與正在發(fā)生的PrintNightmare漏洞有關(guān),該公司幾天前曾為此發(fā)布了一個(gè)補(bǔ)丁。微軟聲稱,該補(bǔ)丁應(yīng)該在很大程度上有助于緩解這個(gè)問題,因?yàn)樗F(xiàn)在需要管理員權(quán)限來實(shí)現(xiàn)打印驅(qū)動(dòng)的安裝和更新操作。然而,在已經(jīng)安裝了打印機(jī)驅(qū)動(dòng)程序的系統(tǒng)上,可能是威脅者的非管理員用戶仍然可以利用該漏洞。目前,微軟正在進(jìn)行此漏洞的修復(fù)工作。

普普安全資訊一周概覽(0814-0820)
普普點(diǎn)評(píng)

在此漏洞被修復(fù)前,建議用戶在非必要的情況下暫時(shí)禁用Windows Print Spooler服務(wù),或者通過使用Windows組策略中的Windows'Package Point and Print - Approved Servers'選項(xiàng),將打印功能只限制在批準(zhǔn)的服務(wù)器上。

普普安全資訊一周概覽(0814-0820)
普普安全資訊一周概覽(0814-0820)
04

黑客化身“復(fù)仇者” 為報(bào)復(fù)美國(guó)竊取T-Mobile 1億用戶數(shù)據(jù)


北美媒體Vice報(bào)導(dǎo),美國(guó)電信巨頭T-Mobile遭遇了一起重大安全事件,生產(chǎn)環(huán)境被打穿,超106GB敏感數(shù)據(jù)失竊,超過1億用戶的個(gè)人信息被泄露售賣。賣家宣稱,這些數(shù)據(jù)包括用戶的社保號(hào)碼、電話號(hào)碼、姓名、居住地址、國(guó)際移動(dòng)電話識(shí)別碼(IMEI)以及駕照信息。Vice已經(jīng)看到了數(shù)據(jù)樣本,并確認(rèn)其中包含關(guān)于T-Mobile用戶的有效信息。賣家稱他們?cè)趦芍芮俺晒θ肭至薚-Mobile的生產(chǎn)、部署和開發(fā)服務(wù)器,包括一臺(tái)有用戶數(shù)據(jù)的Oracle數(shù)據(jù)庫(kù)服務(wù)器,并竊取了多個(gè)數(shù)據(jù)庫(kù),總計(jì)106GB的數(shù)據(jù),其中包括T-Mobile的客戶關(guān)系管理(CRM)數(shù)據(jù)庫(kù)。這些在地下論壇上開出6枚比特幣的售價(jià),約27萬美元。攻擊者聲稱此舉是為了對(duì)美國(guó)進(jìn)行報(bào)復(fù),打擊美國(guó)的基礎(chǔ)設(shè)施。目前T-Mobile公司對(duì)入侵行為做出了反應(yīng),攻擊者已經(jīng)無法通過后門訪問服務(wù)器。

普普安全資訊一周概覽(0814-0820)
普普點(diǎn)評(píng)

據(jù)說攻擊者進(jìn)行此次攻擊是為了報(bào)復(fù)2019年美國(guó)中央情報(bào)局和土耳其情報(bào)人員在德國(guó)綁架和折磨一名土耳其居民。用“樹大招風(fēng)”來形容美國(guó)在國(guó)際信息安全領(lǐng)域的地位是再確切不過了,越來越多的黑客組織基于各自的目的把目光投向了美國(guó)的企業(yè)和機(jī)構(gòu)。

普普安全資訊一周概覽(0814-0820)
普普安全資訊一周概覽(0814-0820)
05

瑞昱WiFi芯片曝出嚴(yán)重漏洞 華碩網(wǎng)件全中招


近日,物聯(lián)網(wǎng)和網(wǎng)絡(luò)設(shè)備市場(chǎng)傳來噩耗,海量聯(lián)網(wǎng)設(shè)備采用的無線芯片—芯片廠商瑞昱(Realtek)的Realtek RTL819xD模塊曝出一個(gè)嚴(yán)重漏洞,攻擊者可完全訪問設(shè)備、操作系統(tǒng)和其他網(wǎng)絡(luò)設(shè)備。Realtek提供的無線芯片幾乎被所有知名電子產(chǎn)品制造商使用,產(chǎn)品類別覆蓋VoIP和無線路由器、中繼器、IP攝像機(jī)和智能照明控制等等具備無線聯(lián)網(wǎng)功能的設(shè)備。受影響的硬件制造商名單包括 AsusTEK(華碩)、Belkin(貝爾金)、D-Link、Edimax、Hama、Netgear(網(wǎng)件)等。IoT Inspector表示:他們的安全研究人員發(fā)現(xiàn)并分析了這個(gè)漏洞,它影響了數(shù)十萬臺(tái)設(shè)備。并強(qiáng)烈建議使用易受攻擊的Wi-Fi模塊的制造商檢查他們的設(shè)備并向用戶提供安全補(bǔ)丁。攻擊者通常需要位于同一個(gè)Wi-Fi網(wǎng)絡(luò)上,但是錯(cuò)誤的ISP配置也會(huì)將許多易受攻擊的設(shè)備直接暴露給Internet。成功的攻擊將提供對(duì)Wi-Fi模塊的完全控制,以及對(duì)嵌入式設(shè)備操作系統(tǒng)的根訪問。

普普安全資訊一周概覽(0814-0820)
普普點(diǎn)評(píng)

無論是用戶還是制造商,目前對(duì)這些類別的設(shè)備的安全意識(shí)太少,他們都盲目依賴供應(yīng)鏈中其他制造商的組件而不進(jìn)行測(cè)試,結(jié)果,這些組件或產(chǎn)品成為不可預(yù)測(cè)的風(fēng)險(xiǎn)。就目前而言,多數(shù)制造商迫切需要實(shí)施物聯(lián)網(wǎng)供應(yīng)鏈安全指南。

普普安全資訊一周概覽(0814-0820)
普普安全資訊一周概覽(0814-0820)
06

“大數(shù)據(jù)殺熟”的末日來了 我國(guó)擬立法打擊 信息安全將再次強(qiáng)化招


十三屆全國(guó)人大常委會(huì)第三十次會(huì)議將于8月17日至20日舉行。本次會(huì)議將審議個(gè)人信息保護(hù)法草案三審稿,三稿將進(jìn)一步完善個(gè)人信息處理規(guī)則,特別是對(duì)APP過度收集個(gè)人信息、大數(shù)據(jù)殺熟等作出針對(duì)性規(guī)范。全國(guó)人大常委會(huì)法工委研究室主任臧鐵偉表示,利用個(gè)人信息進(jìn)行自動(dòng)化決策,包括用戶畫像、算法推薦等,應(yīng)在充分告知個(gè)人信息處理相關(guān)事項(xiàng)的前提下,取得個(gè)人同意,不得以個(gè)人不同意為由,拒絕提供產(chǎn)品或者服務(wù)。草案要求個(gè)人信息處理者保證自動(dòng)化決策的透明度和結(jié)果的公平公正,不得通過自動(dòng)化決策對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。其實(shí)大數(shù)據(jù)殺熟由來已久,最早出現(xiàn)在2000年。當(dāng)時(shí)亞馬遜認(rèn)為,老用戶的購(gòu)買意愿更強(qiáng),相比新用戶,老用戶有更強(qiáng)的意愿在亞馬遜上購(gòu)物。亞馬遜通過這種方式,提高銷售利潤(rùn)。然而沒過多久,用戶就發(fā)現(xiàn)了這一可恥行為。民憤恨恨之下,亞馬遜CEO不得不親自道歉,并退還差價(jià)。雖然亞馬遜殺熟失敗,但卻給后來者帶來了啟發(fā),于是殺熟就成了國(guó)內(nèi)業(yè)態(tài)通病。

普普安全資訊一周概覽(0814-0820)
普普點(diǎn)評(píng)

為了抵制大數(shù)據(jù)殺熟,萬能的網(wǎng)友被迫發(fā)掘了很多小妙招。無論是用戶的行為,還是國(guó)家立法,種種跡象表明,大數(shù)據(jù)殺熟始終不得人心。對(duì)企業(yè)而言,如果再利用大數(shù)據(jù)殺熟,不但不能從中獲利,還將面臨法律風(fēng)險(xiǎn)。

普普安全資訊一周概覽(0814-0820)
普普安全資訊一周概覽(0814-0820)
07

黑客組織正利用PrintNightmare安全漏洞注入勒索軟件


思科 Talos 威脅情報(bào)研究團(tuán)隊(duì)在一份新報(bào)告中指出:微軟的 PrintNightmare 安全漏洞,現(xiàn)正被一個(gè)名為 Vice Society 的勒索軟件團(tuán)伙所利用。近段時(shí)間,Talos 團(tuán)隊(duì)一直在密切留意攻擊者在利用 Print Spooler 服務(wù)的安全隱患。遺憾的是,盡管微軟在漏洞修復(fù)上耗費(fèi)了數(shù)月的時(shí)間,最終取得的成果仍相當(dāng)有限。Talos 調(diào)查發(fā)現(xiàn):Vice Society 與之前的 HelloKitty 勒索軟件組織有關(guān)聯(lián),且目前正在利用 PrintNightmare Print Spooler 漏洞相關(guān)的動(dòng)態(tài)鏈接庫(kù) (DLL) 文件注入勒索軟件,來攻擊那些易受感染的系統(tǒng)。該黑客組織用于執(zhí)行攻擊的一些策略包括:在入侵期間使用 ProxyChains 將網(wǎng)絡(luò)流量轉(zhuǎn)移到其它地方;攻擊 ESXi 虛擬服務(wù)器和數(shù)據(jù)備份,讓整個(gè)系統(tǒng)容易受勒索軟件感染阻止恢復(fù);為了避免被端點(diǎn)安全解決方案檢測(cè)到,威脅行為者還會(huì)繞過反惡意軟件軟件接口。

普普安全資訊一周概覽(0814-0820)
普普點(diǎn)評(píng)

對(duì)于個(gè)人用戶而言,我們可以通過安裝剛剛發(fā)布的2021年7月累計(jì)更新來保護(hù)自己,對(duì)于企業(yè)用戶而言,建議在不用于打印的系統(tǒng)上徹底禁用Windows Print Spooler服務(wù)。

普普安全資訊一周概覽(0814-0820)