普普每日安全咨询一周概览(05.11-05.17)

作者:

时间:
2020-05-22

2020.05.11 周一



01

 特斯拉旧零件检索出大量车主的敏感数据


最近,特斯拉车主遭受到了数据泄露的危机。国外研究员GreenTheOnly从购买的二手特斯拉媒体控制单元(MCU)和Autopilot硬件中,发现大量特斯拉车主的个人数据,包括电话簿、通话记录、以明文形式存储的WiFi密码,甚至家庭住址、工作地点和第三方应用账户ID和密码。从特斯拉计算机配件中,黑客可以轻而易举地获取车主们最为敏感的信息,这一切很可能要归咎于特斯拉在媒体控制单元(MCU)、自动驾驶仪硬件的改装服务上对用户隐私数据的保护不力。



普普评述

车载计算机系统安全问题值得大家多加留意,尤其是卖车、归还租车或是维修升级时,尽量确保个人数据已被清除。


2020.05.12 周二


01

 利用“顺丰速运”下发GuLoader恶意软件


GuLoader是一个使用VB语言编写的恶意软件下载器。它通常从Google Drive、Microsoft OneDrive、MediaFire等托管站点下载恶意代码执行。常见的后续恶意远控程序有:LokiBot、Remcos RAT和Agent Tesla等等。GuLoader本身具有较为复杂的执行流程,较强的反调机制使得当前部分在线沙盒无法精确检测恶意行为,同时也给分析人员造成一定阻碍。

攻击者使用伪装成“顺丰速运”的恶意钓鱼邮件下发钓鱼链接。该钓鱼链接指向MediaFire下载GuLoader恶意软件压缩包(链接信息部分隐藏)。一旦用户下载该恶意软件压缩包,并且无意执行恶意程序,整个恶意流程被立即激活。



普普评述

今年以来使用GuLoader恶意软件的网络攻击活动呈现不断增加的态势,在此提示用户及时防范规避安全风险。


2020.05.13 周三


01

  一种基于字符解析的DNS隐蔽通道检测方法


DNS隐蔽通道技术的基本思想是利用一台伪装的DNS服务器作为中转节点,利用DNS的查询过程建立隐蔽通道,将数据编码在DNS协议中进行通信。目前的DNS隐蔽通道检测方法常用基于规则的特征匹配方法和基于阈值的方法进行检测,例如监控域名长度的方法,但其缺少智能性,攻击者可以通过修改域名长度等特征轻易绕过基于规则的检测;而阈值的设定不确定度较大,检测精准率较低。针对传统检测存在的误报率高、易被绕过等问题,采取对请求域名进行分析和特征提取的方法,使用机器学习算法对合法请求和隐蔽通道的特征进行判别,检测DNS隐蔽通道。




普普评述

由于DNS能通过防火墙而不被拦截,能保证通道的穿透能力和隐蔽性,DNS协议被越来越多地用来传输隐秘信息,有效的DNS隐蔽通道检测方法更好的保证了网络的安全可靠性。


2020.05.14 周四


01

  “黑玫瑰露西”回归——演变为勒索软件


2018年9月,“黑玫瑰露西”恶意软件家族由以色列网络安全公司CheckPoint的安全研究员发现。最近该恶意软件家族回归,并添加了新的勒索软件功能。“露西”是适用于Android设备的恶意软件即服务(MaaS)僵尸网络。将近两年后,它又有了新的变种。恶意软件会对设备上所需文件进行加密,并伪装成美国司法部联邦调查局(FBI)显示赎金通知。受害者只需使用信用卡支付500美金便可清除所有罪行。



普普评述

由于“黑玫瑰露西”当前支持英语和俄语用户界面,而在早期某些恶意活动的自我保护机制中它非常关注国内安全工具和系统清理工具。故猜测它的攻击目标可能不止俄罗斯、欧美国家,中国可能是黑玫瑰露西下一战场。


2020.05.15 周五


01

《网络安全审查办法》解读


近日国家网信办官网公布了一则消息,引发热议:国家互联网信息办公室、国家发改委等12个部门联合发布了《网络安全审查办法》(以下简称《办法》),今年6月1日起实施。我国建立网络安全审查制度,目的是通过网络安全审查这一举措,及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害,保障关键信息基础设施供应链安全,维护国家安全。网络安全审查重点评估关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险,主要包括五大内容和九项转变。




普普评述


2020年6月1日《网络安全审查办法》即将实施,关键信息基础设施运营者务必尽快阅读并充分理解《办法》各项条款,及时提交相关申报,以免造成不必要的损失。


2020.05.16 周六


01

 特朗普颁发电力设备禁令,专家建议直接开源


近期特朗普签署了一项行政命令,其旨在通过阻止从“外国对手”进口电力设备来保护美国电网免受网络攻击。据推测,这项命令的背后针对的是俄罗斯、伊朗,甚至中国。简单来说,这项禁令还是离不开美国之前鼓吹的国家安全、供应链安全,甚至借此引发对华为的制裁。对于美国电网的网络攻击,特朗普的担忧并发布的禁令并非空穴来风。根据一份新发布的工控系统控制报告,目前至少有三个黑客组织团队能够感染或者破坏全美的电网。而针对电力系统和公共基础设施的网络犯罪数量也在增加。



普普评述

考虑到美国公司不会在短期内建造新的高端电网设备,因此开源确实是保护电网的一种途径。


2020.05.17 周日


01

  Blackloan:针对中国、越南、马来西亚VISA用户的新黑产组织


近期奇安信病毒响应中心在日常监测中,发现了一批针对中国、越南、马来西亚等国用户的钓鱼APP。该类钓鱼APP主要通过仿冒正规APP诱骗用户下载使用,通过仿冒的钓鱼页面,诱骗用户填写相关的个人银行卡信息,从而达到窃取用户账户信息,进而达到窃取用户财产的目的。

经过分析发现,该类恶意软件最早出现在2020年2月26日,且目前APP包名比较随意大多为“com.loan.test1”,因此该类银行钓鱼APP被命名为“Blackloan”。迹象表明,Blackloan目前只是测试样本,后续可能还会进行更新。通过相关的关联分析, Blackloan很有可能为新的电信诈骗团伙。



普普评述

提醒广大用户,不要随意安装来源不明的APP,如果遇到需要填写个人敏感信息的情况,请提前联系相应的官方客服进行确认。