普普安全資訊一周概覽(0108-0114)

作者:

時(shí)間:
2022-01-14
01

如何用DMARC防止網(wǎng)絡(luò)釣魚(yú)?

DMARC是電子郵件身份驗(yàn)證的全球標(biāo)準(zhǔn),允許發(fā)件人驗(yàn)證電子郵件是否確實(shí)出自其所聲稱的來(lái)源。DMARC有助于遏制垃圾郵件和網(wǎng)絡(luò)釣魚(yú)攻擊等當(dāng)今盛行的網(wǎng)絡(luò)犯罪形式。近些年,Gmail、雅虎和很多其他大型電子郵件提供商都已經(jīng)實(shí)現(xiàn)了DMARC,并盛贊其防護(hù)效果。

如果你公司的域名是bankofamerica.com,想必你不希望有網(wǎng)絡(luò)攻擊者能夠頂著這個(gè)域名發(fā)送電子郵件。這樣會(huì)令品牌聲譽(yù)面臨風(fēng)險(xiǎn),還可能傳播金融類惡意軟件。DMARC標(biāo)準(zhǔn)通過(guò)檢查電子郵件是否來(lái)自預(yù)期的IP地址或域名來(lái)防止這種情況。該標(biāo)準(zhǔn)規(guī)定了存在身份驗(yàn)證或遷移問(wèn)題時(shí)該如何聯(lián)系域名并提供取證信息,以便發(fā)件人能夠監(jiān)測(cè)電子郵件流量和隔離可疑電子郵件。

域名欺騙是大多數(shù)電子郵件欺騙類網(wǎng)絡(luò)釣魚(yú)攻擊的前兆。此類攻擊過(guò)程中,攻擊者偽造合法電子郵件地址或域名,并向公司客戶發(fā)送含有網(wǎng)絡(luò)釣魚(yú)鏈接和勒索軟件的虛假電子郵件。毫無(wú)戒心的收件人認(rèn)為欺騙性電子郵件來(lái)自他們認(rèn)識(shí)且信任的公司,并最終向攻擊者透露其公司信息或銀行往來(lái)信息,從而被釣魚(yú)。公司的聲譽(yù)由此受到影響,客戶和潛在客戶也因此流失。


普普點(diǎn)評(píng)

網(wǎng)絡(luò)罪犯試圖通過(guò)虛假網(wǎng)站和偽造域名誘騙受害者交出信用卡號(hào)和密碼等敏感信息的行為,就叫做網(wǎng)絡(luò)釣魚(yú)。電子郵件欺騙攻擊的歷史可謂悠久。電子郵件欺騙是攻擊者采用的一種欺騙性策略,用來(lái)篡改電子郵件發(fā)件人的身份標(biāo)識(shí)和郵件的表面來(lái)源。DMARC有助于驗(yàn)證電子郵件的來(lái)源并阻止接收和打開(kāi)虛假電子郵件,同時(shí)間接減少通過(guò)虛假公司域名實(shí)施的網(wǎng)絡(luò)釣魚(yú)攻擊。




02

谷歌收購(gòu)Siemplify,獨(dú)立SOAR廠商將何去何從?

日前,谷歌稱收購(gòu)了安全編排、自動(dòng)化和響應(yīng)( SOAR )供應(yīng)商 Siemplify ,將這項(xiàng)安全功能收入囊中。據(jù)報(bào)道, Siemplify 之前籌到了 5800 萬(wàn)美元的風(fēng)險(xiǎn)投資,谷歌斥資 5 億美元收購(gòu)了該公司,但雙方均未披露交易的財(cái)務(wù)條款。分析師們認(rèn)為,這宗交易預(yù)示著獨(dú)立 SOAR 市場(chǎng)和安全信息與事件管理( SIEM )市場(chǎng)將迎來(lái)變局。

Siemplify 成立于 2015 年,它聲稱提供的 SOAR 平臺(tái)可以實(shí)現(xiàn)端到端管理、更迅捷的威脅響應(yīng)以及跨工作流程的可見(jiàn)性,從而提升安全運(yùn)營(yíng)中心的性能。這家供應(yīng)商在 2020 年推出一款云原生 SOAR 平臺(tái)。谷歌計(jì)劃將 Siemplify 整合到 Chronicle安全分析平臺(tái)中。Chronicle 是一家網(wǎng)絡(luò)安全公司,起初是谷歌母公司 Alphabet X 研究實(shí)驗(yàn)室的一部分,隨后成為一家獨(dú)立公司。

研究公司 Forrester 分析師 Allie Mellen 表示:“實(shí)際上自一開(kāi)始, SOAR 工具對(duì)谷歌的 Chronicle 產(chǎn)品而言就一直是缺失環(huán)節(jié),因?yàn)槠渌踩治銎脚_(tái)早在 2017 年就開(kāi)始直接整合了 SOAR 。”谷歌云安全副總裁兼總經(jīng)理 Sunil Potti 表示:“此次收購(gòu) Siemplify ,將通過(guò) SOAR 幫助企業(yè)實(shí)現(xiàn)安全運(yùn)營(yíng)的現(xiàn)代化和自動(dòng)化?!?/span>


普普點(diǎn)評(píng)

Siemplify 是少數(shù)幾家獨(dú)立 SOAR 供應(yīng)商之一,其他供應(yīng)商不是被 SIEM 供應(yīng)商收購(gòu),就是使用威脅情報(bào)平臺(tái)等其他產(chǎn)品壯大各自的產(chǎn)品組合。這宗收購(gòu)表明,安全團(tuán)隊(duì)在尋找“一個(gè)統(tǒng)一的安全管理平臺(tái),他們可以從檢測(cè)、調(diào)查到響應(yīng)編排的整個(gè)事件響應(yīng)生命周期中使用該平臺(tái)。擴(kuò)展檢測(cè)和響應(yīng)( XDR )就是個(gè)典例,這種統(tǒng)一平臺(tái)把 SOAR 、 SIEM 、端點(diǎn)檢測(cè)等功能結(jié)合到服務(wù)( SaaS )平臺(tái)中,實(shí)現(xiàn)安全數(shù)據(jù)和事件響應(yīng)的集中管理。



03

All in One SEO插件漏洞威脅三百萬(wàn)網(wǎng)站的安全

一個(gè)名為All in One SEO的非常流行的WordPress SEO優(yōu)化插件含有一對(duì)安全漏洞,當(dāng)這些漏洞組合成一個(gè)漏洞鏈進(jìn)行利用時(shí),可能會(huì)使網(wǎng)站面臨著被接管的風(fēng)險(xiǎn)。有超過(guò)300萬(wàn)個(gè)網(wǎng)站在使用該插件。據(jù)Sucuri的研究人員稱,那些擁有網(wǎng)站賬戶的攻擊者如訂閱者、購(gòu)物賬戶持有人或會(huì)員可以利用這些漏洞,這些漏洞包括一個(gè)權(quán)限提升漏洞和一個(gè)SQL注入漏洞。

研究人員在周三的一篇帖子中說(shuō),WordPress網(wǎng)站會(huì)默認(rèn)允許網(wǎng)絡(luò)上的任何用戶創(chuàng)建一個(gè)賬戶,在默認(rèn)情況下,新賬戶除了能夠?qū)懺u(píng)論外沒(méi)有任何特權(quán)。然而,由于某些漏洞的出現(xiàn),如剛剛發(fā)現(xiàn)的漏洞,則允許這些訂閱用戶擁有比他們?cè)ㄓ?jì)劃多得多的特權(quán)。

Sucuri表示,這對(duì)漏洞已經(jīng)很成熟了,很容易被利用,所以用戶應(yīng)該升級(jí)到已打補(bǔ)丁的版本,即4.1.5.3版。一般認(rèn)為是Automattic的安全研究員Marc Montpas發(fā)現(xiàn)了這些漏洞。在這兩個(gè)漏洞中更為嚴(yán)重的是特權(quán)提升漏洞,它影響到All in One SEO的4.0.0和4.1.5.2版本。在CVSS漏洞嚴(yán)重程度表上,它的嚴(yán)重程度為9.9(滿分10分)。


普普點(diǎn)評(píng)

WordPress插件仍然是所有網(wǎng)絡(luò)應(yīng)用的一個(gè)主要風(fēng)險(xiǎn),它們?nèi)匀皇枪粽叩某R?guī)攻擊目標(biāo)。通過(guò)第三方插件和框架所引入的惡意代碼可以極大地?cái)U(kuò)展網(wǎng)站的攻擊面。網(wǎng)站的所有者需要對(duì)第三方插件和框架保持警惕,并保持安全更新,他們應(yīng)該使用網(wǎng)絡(luò)應(yīng)用程序防火墻來(lái)保護(hù)他們的網(wǎng)站,以及使用可以發(fā)現(xiàn)他們網(wǎng)站上存在惡意代碼的解決方案。



04

預(yù)計(jì) 2025 年,反病毒軟件市場(chǎng)規(guī)模將達(dá)到 45.4 億美元
HelpnetSecurity 網(wǎng)站披露,2020 年全球防病毒軟件市場(chǎng)規(guī)模約 38 億美元,預(yù)計(jì)到 2021 年將達(dá)到 39.2億美元,復(fù)合年增長(zhǎng)率(CAGR)為 3.2%。另外,根據(jù) ResearchAndMarkets 的數(shù)據(jù)顯示,預(yù)計(jì)在 2025年市場(chǎng)規(guī)模會(huì)達(dá)到 45.4 億美元,年復(fù)合增長(zhǎng)率為 3.8%。
殺毒軟件市場(chǎng)由實(shí)體(組織、獨(dú)資企業(yè)和合伙企業(yè))銷售的殺毒軟件組成,這些軟件主要通過(guò)掃描、檢測(cè)和刪除病毒來(lái)保護(hù)計(jì)算機(jī)免受病毒侵害。現(xiàn)階段,反病毒軟件能夠監(jiān)控大部分程序的活動(dòng),對(duì)任何有問(wèn)題行為進(jìn)行標(biāo)記,之后進(jìn)行清除。大多數(shù)殺毒軟件在后臺(tái)運(yùn)行,對(duì)病毒攻擊提供實(shí)時(shí)保護(hù)。
目前,殺毒軟件市場(chǎng)主流供應(yīng)商包括賽門鐵克、McAfee、ESET、趨勢(shì)科技、F-Secure、微軟公司、Cheetah Mobile、AVG Technologies、奇虎360、Quick Heal、騰訊、Comodo Cybersecurity、卡巴斯基、AhnLab Inc、Ad-Aware、熊貓安全、Lavasoft等。
根據(jù)印度軟件公司 Tracxn Technologies Limited 發(fā)布的 2021 報(bào)告顯示,Malwarebytes、Avast、熊貓安全、奇虎360科技、AVG科技等公司都在使用基于云的防病毒解決方案。值得一提的是,在印度,僅在2020年就有116萬(wàn)起網(wǎng)絡(luò)安全案件登記。

普普點(diǎn)評(píng)

網(wǎng)絡(luò)攻擊是一種基于網(wǎng)絡(luò)空間的攻擊,旨在故意擾亂、禁用、破壞或操縱計(jì)算機(jī)或其他設(shè)備。隨著網(wǎng)絡(luò)技術(shù)發(fā)展,網(wǎng)絡(luò)環(huán)境逐漸走向危險(xiǎn),使用病毒或惡意軟件對(duì)計(jì)算機(jī)、筆記本電腦和手機(jī)進(jìn)行黑客攻擊和數(shù)據(jù)泄露的情況有所增加。防病毒軟件的出現(xiàn),可以很好阻止病毒或惡意軟件進(jìn)入設(shè)備,遏制網(wǎng)絡(luò)攻擊。



05

17家大公司的110萬(wàn)個(gè)賬戶被破壞

根據(jù)紐約州的一項(xiàng)調(diào)查顯示,在針對(duì)17家不同公司的一系列憑證篡改攻擊中,已經(jīng)有超過(guò)110萬(wàn)個(gè)在線賬戶遭到了破壞。

憑證填充攻擊,如去年對(duì)Spotify的攻擊,攻擊者使用自動(dòng)腳本對(duì)在線賬戶進(jìn)行了大量的用戶名和密碼組合的嘗試,并試圖接管它們。一旦進(jìn)入到賬戶內(nèi),網(wǎng)絡(luò)犯罪分子就可以利用被攻擊的賬戶達(dá)到各種目的。并以此作為入口,深入到受害者的機(jī)器和網(wǎng)絡(luò),提取出賬戶的敏感信息。

由于用戶使用了重復(fù)的密碼和使用一些常見(jiàn)的容易猜解的密碼,如 '123456',這種攻擊往往會(huì)成功。它們給企業(yè)造成的損失很高,Ponemon研究所的 '憑證填充攻擊成本' 報(bào)告發(fā)現(xiàn),企業(yè)平均每年會(huì)因憑證填充攻擊而損失600萬(wàn)美元,這些都表現(xiàn)為應(yīng)用程序停機(jī)、客戶流失和IT成本增加。

安全意識(shí)倡導(dǎo)者James McQuiggan通過(guò)電子郵件說(shuō):'由于在野有超過(guò)84億個(gè)密碼,其中有超過(guò)35億個(gè)密碼與實(shí)際的電子郵件地址緊密相關(guān),這為網(wǎng)絡(luò)犯罪分子提供了一個(gè)很方便的攻擊載體,來(lái)針對(duì)各種在線網(wǎng)站的客戶賬戶進(jìn)行利用攻擊。


普普點(diǎn)評(píng)

網(wǎng)絡(luò)犯罪分子認(rèn)識(shí)到,許多組織或用戶不會(huì)使用其他額外的安全措施,而且還會(huì)在各種網(wǎng)站賬戶中使用相同的密碼。為提防后續(xù)的網(wǎng)絡(luò)攻擊,采取理想的保護(hù)方法有使用強(qiáng)密碼是很好的,但是使用口令會(huì)更好;應(yīng)該使用多因素認(rèn)證進(jìn)行特權(quán)訪問(wèn);控制面向互聯(lián)網(wǎng)的應(yīng)用程序的登錄次數(shù),防止進(jìn)行密碼爆破的嘗試以及必須定期部署和驗(yàn)證檢測(cè)響應(yīng)機(jī)制。



06

充滿潛力的未來(lái):元宇宙將打開(kāi)新的漏洞

元宇宙的興起與所有技術(shù)創(chuàng)新一樣,它帶來(lái)了新的機(jī)遇和新的風(fēng)險(xiǎn)。懷有惡意的人將利用它打開(kāi)新的漏洞。

Metaverse 是一種沉浸式虛擬現(xiàn)實(shí)版本的互聯(lián)網(wǎng) ,人們可以在其中與數(shù)字對(duì)象以及他們自己和他人的數(shù)字表示進(jìn)行交互,并且可以或多或少地從一個(gè)虛擬環(huán)境自由移動(dòng)到另一個(gè)虛擬環(huán)境。它還可以達(dá)到虛擬現(xiàn)實(shí)和物理現(xiàn)實(shí)的融合,既通過(guò)在虛擬中代表來(lái)自物理世界的人和物體,又通過(guò)將虛擬帶入人們對(duì)物理空間的感知。

通過(guò)戴上虛擬現(xiàn)實(shí)耳機(jī)和增強(qiáng)現(xiàn)實(shí)眼鏡,人們將能夠在環(huán)境之間以及數(shù)字和物理之間的界限是可滲透的環(huán)境中進(jìn)行社交和工作等等。在元宇宙中,人們將能夠找到與他們離線生活相一致的意義和體驗(yàn)。

問(wèn)題就在于此。當(dāng)人們學(xué)會(huì)愛(ài)某物時(shí),無(wú)論是數(shù)字的、物理的還是組合的,從他們那里拿走那東西都會(huì)導(dǎo)致情緒上的痛苦和痛苦。更確切地說(shuō),人們所珍視的東西變成了可以被那些試圖造成傷害的人利用的漏洞。有惡意的人已經(jīng)注意到元宇宙是他們武器庫(kù)中的一個(gè)潛在工具。


普普點(diǎn)評(píng)

新的虛擬和混合現(xiàn)實(shí)空間帶來(lái)了新目標(biāo)的潛力。就像建筑物、事件和人在現(xiàn)實(shí)世界中可能受到傷害一樣,在虛擬世界中也可能受到攻擊。想象一下猶太教堂上的萬(wàn)字符,銀行、購(gòu)物和工作等現(xiàn)實(shí)生活活動(dòng)的中斷,以及公共活動(dòng)的破壞。破壞增強(qiáng)現(xiàn)實(shí)或虛擬現(xiàn)實(shí)業(yè)務(wù)意味著個(gè)人遭受真正的經(jīng)濟(jì)損失。與物理場(chǎng)所一樣,虛擬空間可以精心設(shè)計(jì)和制作,從而承載人們投入時(shí)間和創(chuàng)造力建設(shè)的東西所具有的意義。



07

URL解析錯(cuò)誤導(dǎo)致DoS、RCE等

研究人員警告說(shuō),由于16個(gè)不同的URL解析庫(kù)之間的不一致而導(dǎo)致的8個(gè)不同的安全漏洞,可能導(dǎo)致多種Web應(yīng)用程序中的拒絕服務(wù)(DoS)情況、信息泄漏和遠(yuǎn)程代碼執(zhí)行(RCE)。

這些漏洞是在為各種語(yǔ)言編寫的第三方Web包中發(fā)現(xiàn)的,并且像Log4Shell和其他軟件供應(yīng)鏈威脅一樣,可能已被導(dǎo)入到數(shù)百或數(shù)千個(gè)不同的Web應(yīng)用程序和項(xiàng)目中。受影響的是Flask(一個(gè)用Python編寫的微型Web框架)、Video.js(HTML5視頻播放器)、Belledonne(免費(fèi)的VoIP和IP視頻電話)、Nagios XI(網(wǎng)絡(luò)和服務(wù)器監(jiān)控)和Clearance(Ruby密碼驗(yàn)證)。

URL解析是將Web地址分解為其底層組件的過(guò)程,以便正確地將流量路由到不同的鏈接或不同的服務(wù)器??捎糜诟鞣N編程語(yǔ)言的URL解析庫(kù)通常被導(dǎo)入到應(yīng)用程序中以實(shí)現(xiàn)此功能。

來(lái)自Claroty Team82研究部門和Synk的研究人員在周一的一份分析報(bào)告中寫道:“URL實(shí)際上是由五個(gè)不同的組件構(gòu)成的:方案、權(quán)限、路徑、查詢和片段。”“每個(gè)組件都扮演著不同的角色,它決定了請(qǐng)求的協(xié)議、持有資源的主機(jī)、應(yīng)該獲取的確切資源等等?!?/span>


普普點(diǎn)評(píng)

URL庫(kù)混淆會(huì)干擾正確的驗(yàn)證,就像Clearance漏洞一樣。研究人員指出,Clearance(Ruby的Rails框架中一個(gè)廣泛應(yīng)用的第三方插件,可以實(shí)現(xiàn)簡(jiǎn)單安全的電子郵件和密碼身份驗(yàn)證)中的易受攻擊的函數(shù)是“return_to”。此函數(shù)在登錄/注銷過(guò)程之后調(diào)用,并且應(yīng)該將用戶安全地重定向到他們之前請(qǐng)求的頁(yè)面。但是,如果可以說(shuō)服目標(biāo)單擊具有以下語(yǔ)法的URL,則可將其破壞。