普普安全资讯一周概览(0717-0723)

作者:

时间:
2021-07-23
1
REvil勒索软件网站尽然全部神秘消失了

根据CNBC透露的消息,暗网中所有跟REvil勒索软件团伙相关的网站从7月13日开始就全部神秘消失了。目前我们还尚不清楚是什么原因导致的,因为这些网站最近一直都处于极度活跃状态,而现在当用户访问相关网站时,返回的只是“找不到具有指定主机名的服务器”。

勒索软件REvil也被称为Sodinokibi,是一个由俄罗斯网络犯罪团伙运营的勒索软件。REvil 勒索病毒称得上是 GandCrab的“接班人”。GandCrab 是曾经最大的 RaaS(勒索软件即服务)运营商之一,在赚得盆满钵满后于 2019 年 6 月宣布停止更新。

随后,另一个勒索运营商买下了 GandCrab 的代码,即最早被人们称作 Sodinokibi 勒索病毒。由于在早期的解密器中使用了“REvil Decryptor”作为程序名称,又被称为 REvil 勒索病毒。

前,我们还不清楚是何原因导致跟REvil勒索软件相关的暗网网站消失下线。但这一事件已经引发了安全社区内研究人员的热烈讨论,很多人认为可能是当局所采取的措施。



普普点评

勒索软件攻击涉及对设备或网络上的文件进行加密的恶意软件,从而导致系统无法运行。这类网络攻击的幕后黑手通常要求支付费用,以换取数据的发布。REvil是所有勒索软件团伙中最多产、最令人恐惧的团伙之一,如果这真的是最后一次,那意义非凡。





普普安全资讯一周概览(0717-0723)
2、
94%的企业遭遇内部数据泄漏

电子邮件安全公司Egress对美国和英国的500名IT领导者和3,000名员工进行的一项新调查显示,在过去一年中,94%的企业都经历了内部数据泄漏。

84%受访的IT领导层工作者表示,人为错误是导致严重事故的首要原因。然而,受访者更关心内部人员的恶意行为,28%的受访者表示故意恶意行为是他们最大的恐惧。尽管造成的事故最多,但人为错误在IT领导层的担心列表里依然排名垫底,只有21%的受访者表示人为错误是他们最担心的问题。不过56%的受访者认为远程/混合工作将使防止人为错误或网络钓鱼造成的数据泄漏变得更加困难,但61%的员工认为他们在家工作时造成违规的可能性与在公司并无区别甚至更小。从漏洞的原因来看,74%的企业因员工违反安全规则而遭到利用,73%的企业成为网络钓鱼攻击的受害者。

在调查员工是否会如实上报触犯了违规行为时,97%的员工表示会如实上报,这对55%要依靠员工提醒他们是否发生了安全事件的IT领导者来说是个好消息。但诚实可能并不会有回报,因为89%的事件都会对涉事员工产生消极影响。



普普点评

内部风险是每个企业最复杂的漏洞——它具有深远的影响,从遭遇勒索软件攻击到失去客户信任。企业必须立即采取行动,以减轻其员工带来的风险。企业希望员工保护雇主的数据,同时也有责任确保他们正在建立一种积极的企业安全文化。有了正确的技术和战略,企业才可以将员工从最大的安全漏洞触发者转变为最强大的安全防线。




普普安全资讯一周概览(0717-0723)
3、
2021年针对关键制造业漏洞的攻击事件激增

新的研究表明,在2021年上半年,关键制造业的漏洞增加了148%,基于勒索软件的全套服务(RaaS)驱动了大部分攻击数量的增幅。Nozomi Networks的报告发现ICS-CERT的漏洞也增加了44%。制造业是最容易受到影响的行业,而能源行业也被证明是脆弱的。

Nozomi Networks联合创始人兼首席技术官Moreno Carullo说:'Colonial Pipeline、JBS和最新的Kaseya软件供应链攻击都是痛苦的教训,说明勒索软件攻击的威胁是真实的。安全专业人员必须用网络安全和可视性解决方案来武装自己,这些解决方案要纳入实时威胁情报,并使之能够以可操作的建议和计划来快速应对。了解这些犯罪组织的工作方式,并预测未来的攻击,对于他们抵御这种不幸的新常态至关重要。'

物联网安全摄像机也在显示出弱点。预计今年全球将有超过10亿台网络摄像机投入生产,不安全的物联网安全摄像机是一个日益严重的问题。该报告包括对Verkada漏洞以及Reolink相机和ThroughTek软件的安全漏洞的分析。



普普点评

随着工业组织拥抱数字化转型,那些抱着等待和观望心态的人正在努力学习,他们没有为攻击做好准备,威胁可能在增加,但打败它们的技术和做法现在已经有了。普普建议企业在入侵前采取后发制人的思维方式,在为时已晚之前加强他们的安全和运营复原力。


 

普普安全资讯一周概览(0717-0723)
4、
疑似南亚APT组织Donot利用阿富汗撤军影响为诱饵的攻击活动分析

南亚地区一直以来都是APT 组织攻击活动的活跃区域之一。自2013年5月国外安全公司Norman披露 Hangover 行动(即摩诃草组织)以来,先后出现了多个不同命名的APT组织在该地域持续性的活跃,并且延伸出错综复杂的关联性,包括摩诃草(APT-C-09、HangOver、Patchwork、白象)、蔓灵花(APT-C-08、BITTE)、肚脑虫(APT-C-35、Donot)、魔罗桫(Confucius)、响尾蛇(Sidewinder、APT-C-17) 等。

造成归属问题的主要因素是上述 APT 活动大多使用非特定的攻击载荷,各组织在使用的攻击武器方面也有不同程度的重合。脚本化和多种语言开发的载荷也往往干扰着归属分析判断,包括使用.Net、Delphi、AutoIt、Python、Powershell、Go等。但从历史攻击活动来看,其也出现了一些共性:

同时具备攻击Windows和Android平台能力;

巴基斯坦是主要的攻击目标,部分组织也会攻击中国境内;

政府、军事目标是其攻击的主要目标,并且投放的诱饵文档大多也围绕该类热点新闻。



普普点评

普普提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张的标题的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。




普普安全资讯一周概览(0717-0723)
5、
美国黑客组织对中国多家重要敏感单位实施网络攻击

长期以来,美国黑客组织持续对我国实施网络攻击。通过监测分析,目前已发现多个美国黑客组织以我国党政机关、事业单位、科研院所等重要敏感单位的网站和相关主机为主要目标,实施漏洞扫描攻击、暴力破解,DDoS攻击等攻击行为。本文选择了3个较为典型的美国黑客组织进行研究,分析其攻击行为特征如下:

2020年10月发现的黑客组织A控制了位于美国的1065台主机对中国2426台目标主机实施攻击,攻击对象主要为党政机关和企事业单位,如某汽车动力总成公司、某钢铁股份有限公司以及部分高校等。攻击手段主要为SSH暴力破解、SNMP暴力破解等。

2020年10月发现的黑客组织B控制了位于美国的24台主机对中国993台目标主机实施攻击,攻击对象主要为高校,涉及山西、广西、广东等省份;也有部分党政机关,如某省科技委员会、某市商务局等。攻击手段主要包括SNMP暴力破解、PHP代码执行漏洞、Struts2远程命令执行漏洞等暴力破解和Web扫描攻击。

2020年8月发现的黑客组织C控制了位于美国的5台主机对中国119台目标主机实施攻击,攻击对象主要为高校,涉及广东、北京等地。攻击手段主要为PHP漏洞攻击、SQL注入等Web类攻击。 



普普点评

相当一部分美国黑客组织倾向于尝试利用大批量主机,通过广泛的Web和系统漏洞扫描攻击手段,配合高频暴力破解手段进行侦察和踩点攻击,锁定攻击目标。这些黑客组织通过有针对性的高频探测攻击,试图利用较小的攻击成本,找到重要敏感单位资产的薄弱环节,为后期侵入和渗透提供机会。




普普安全资讯一周概览(0717-0723)
6、
微软PrintNightmare补丁导致部分打印机故障

PrintNightmare漏洞是近期企业面临的主要安全风险,但让微软感到尴尬的是,上周紧急推出的补丁在社交媒体上被安全专家质疑,认为该补丁并不完善,可被黑客绕过。虽然微软再次发布声明声称补丁有效并且敦促所有企业用户尽快更新,但近日又有消息传出,说微软的补丁会导致部分打印机出现问题。

PrintNightmare漏洞包含CVE-2021-1675 和CVE-2021-34527,其中一个是远程代码执行漏洞,另一个是本地提权漏洞。一个严峻问题是,在微软发布补丁之前,漏洞利用代码就已经在公共领域开始传播。

微软指出,攻击者可以利用该漏洞以系统权限编写他们想要的任何代码。从那里,他们可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。但一些客户安装了补丁程序后,某些打印机出现了问题。

一位微软客户透露:“安装此更新后,某些打印机可能会遇到问题。大多数受影响的打印机是通过USB连接的收据或标签打印机,说明这一情况与CVE-2021-34527或CVE-2021-1675无关。” 



普普点评

此问题已使用已知问题回滚(KIR)解决。这一解决方案最多可能需要24小时才能自动分发到用户的设备和非托管业务设备中。重新启动Windows设备可能有助于用户更快地解决问题,对于安装了受影响的更新并遇到此问题的设备来说,可以通过安装和配置特殊的组策略来解决。




普普安全资讯一周概览(0717-0723)
7、
潜伏16年的打印机驱动漏洞波及数百万用户

近日,安全研究人员披露了惠普打印机驱动程序中存在的一个提权漏洞的技术细节,该驱动程序也被三星与施乐公司所使用。该漏洞影响了十六年间众多版本的驱动程序,可能波及上亿台 Windows 计算机。攻击者可以利用该漏洞执行绕过安全防护软件、安装恶意软件、查看/修改/加密/删除数据、创建后门账户等操作。

SentinelOne 的研究人员表示,该漏洞(CVE-2021-3438)已经在 Windows 系统中潜伏了 16 年之久,直到今年才被发现。它的 CVSS 评分为 8.8 分,是一个高危漏洞。

该漏洞存在与驱动程序中控制输入/输出(IOCTL)的函数,在接收数据时没有进行验证。使得 strncpy在复制字符串时长度可以被用户控制。这就使得攻击者可以溢出驱动程序的缓冲区。

因此,攻击者可以利用该漏洞提权到 SYSTEM 级别,从而可以在内核模式下执行代码。

存在漏洞的驱动程序已在数百万台计算机中运行了数年。基于打印机的攻击向量是犯罪分子喜欢的完美工具,因为其驱动程序几乎在所有 Windows 计算机中都存在,而且会自动启动。



普普点评

该漏洞自从 2005 年以来就存在,影响了非常多的打印机型号。可以根据列表查看具体的受影响型号与对应的补丁。普普建议通过加强访问控制来减少攻击面。