普普安全资讯一周概览(0904-0910)

作者:

时间:
2021-09-10
普普安全资讯一周概览(0904-0910)
01


普普安全资讯一周概览(0904-0910)

非接触式万事达卡和Maestro卡被曝新漏洞!黑客可免密支付


非接触式支付,为我们生活提供了极大的便利性。然而其背后隐藏的安全漏洞,也受到了高度关注。

近日,苏黎世的瑞士工程学院的研究人员发现了一个新的漏洞——非接触式万事达卡和Maestro密码可以被轻松绕过。

此漏洞如果利用得当,黑客可以使用被入侵的万事达卡或Maestro卡进行非接触式支付,这意味着他们无需输入密码便可以完成交易。

首先,在两部Android智能手机上安装专用软件。一个设备用于模拟正在安装的销售点终端,另一个作为一个卡片模拟器,允许将修改后的交易信息传输到真正的销售点设备。一旦卡片启动交易,它就会泄露所有相关信息。

目前的实验集中在非Visa非接触式支付协议使用的卡上的PIN绕过,但使用的都是相同的策略和已知的漏洞。该团队能够拦截Visa的非接触式支付规范,并将交易方面转移到一个真正的销售点终端,该终端并不知道交易凭据的来源,直接验证并确认了PIN和购卡者的身份,因此PoS也不需要进行进一步的检查和身份鉴别流程。

普普安全资讯一周概览(0904-0910)
普普点评

由于这个漏洞的严重性及其潜在的后果难以估量,研究人员目前还没有透露所使用应用程序的名称。但是若无法保证安全性,再便捷的支付方式也将毫无意义。随着信息技术的发展,黑客的技术能力同样与日俱增,相关企业单位在着力于新支付方式的开拓过程中,应当把支付安全放在首位,要对其进行全面的安全测试。同时面对新出现的安全风险,也应该在最短的时间内调配资源进行漏洞修复,加强防护。

普普安全资讯一周概览(0904-0910)
02
普普安全资讯一周概览(0904-0910)

曼谷航空公司200GB数据遭LockBit勒索软件运营商窃取


LockBit勒索软件团队窃取了超过200GB曼谷航空公司数据,并在其泄密网站上发布了一条消息,威胁说如果曼谷航空不支付赎金,就会泄露被盗数据,消息还显示他们有更多的数据要泄露。

8月29日,曼谷航空公司就数据泄露事件发布致歉声明。声明显示,该公司于8月23日发现了安全漏洞,并立即在网络安全团队的协助下展开调查,以确定事件的严重程度。调查显示,泄露的数据可能包括乘客姓名、姓氏、国籍、性别、电话号码、电子邮件、地址、联系信息、部分信用卡信息和特殊膳食信息。

为避免更大损失,对于近期乘坐此航空公司的旅客,公司强烈建议乘客联系银行或信用卡提供商,尽快更改任何可能泄露的密码。另外,曼谷航空公司提醒其客户保持警惕,并注意任何可疑或未经请求的电话或电子邮件,因为攻击者可能会尝试进行网络钓鱼攻击等恶意活动。

曼谷航空公司还表示,安全漏洞并未影响公司的运营或航空安全系统,但不确定攻击者是否已经访问了属于乘客的个人数据,曼谷航空公司也已向当局报告了这次事件。

普普安全资讯一周概览(0904-0910)
普普点评

面对不断出现的新型勒索病毒,企业单位需要加强信息安全防范。可通过对重要文件进行定期的非本地备份、关闭非必要的文件共享功能、关闭高危端口、加强用户密码的复杂程度、提升运维人员安全意识及安装对应防护软件等方式进行防护。对勒索病毒的防范工作应该是常态化、体系化的,否则一旦出现信息泄露,不仅会对企业造成经济损失,而且公众重要信息的外泄还会对社会生活的正常秩序造成影响。

普普安全资讯一周概览(0904-0910)
03
普普安全资讯一周概览(0904-0910)

DockerHub再现百万下载量黑产镜像 小心你的容器被挖矿


近年来云原生容器的应用越来越流行,统计数据显示高达47%生产环境容器镜像会来源于公用仓库,Docker Hub作为全球最大的公共容器镜像仓库,已然成为整个云原生应用的软件供应链安全重要一环,其镜像的安全风险问题对生态影响尤为重要。腾讯安全云鼎实验室针对云原生容器安全进行了长期研究投入,对Docker Hub的镜像安全风险建立了长期监控和安全态势分析。近期监测到一个较大的挖矿黑产团伙anandgovards(挖矿账户中包含了这个邮箱账号),利用Docker Hub上传特制挖矿镜像,通过蠕虫病毒快速感染docker主机,进而下载相关镜像进行挖矿。该黑产团伙从2020年6月开始使用3个Docker Hub账户制作了21个恶意镜像,累计下载传播量达到342万,获取了不低于313.5个门罗币。

针对该黑产团伙anandgovards,我们通过对Docker Hub的安全监控和分析暂时发现3个相关账户,共涉及21个镜像,其中最高的下载量达到百万。通常黑产通过蠕虫病毒感染docker主机,入侵成功后,再自动下拉这些黑产镜像到本地运行进行挖矿获利。

普普安全资讯一周概览(0904-0910)
普普点评

随着容器应用的快速发展,与之伴生的安全问题也不容忽视。黑产团伙通过容器服务器的漏洞传播的蠕虫病毒,通过下拉挖矿镜像进行获利,已然是现阶段容器相关黑产的主流手段。除了下载挖矿镜像以外,现有的模式可以轻松将挖矿镜像替换成其他恶意软件,造成更大的破坏。相关企业在享受容器应用带来的便利时,也需要建立对应的安全防护体系,来防范不法分子的恶性攻击。

普普安全资讯一周概览(0904-0910)
04
普普安全资讯一周概览(0904-0910)

曾勒索卡普空的黑客组织解散 并向受害者免费公布密钥


去年11月,有一个勒索组织攻击并勒索了日本老牌游戏开发商卡普空Capcom,窃取了卡普空约1TB 数据,勒索金额 1100 万美元。就在上周,这个勒索组织Ragnarok在他们的门户网站上宣布解散,离别之际,还不忘为受害者留下一份礼物——解密器。

Ragnarok是从2019年开始进入人们视野的一个勒索软件团伙,曾攻击过法国、爱沙尼亚、斯里兰卡、土耳其、泰国、美国、马来西亚、中国香港、西班牙和意大利的公司,攻击范围涵盖了制造业到法律服务等多个领域。

企业若是没有备份数据的话,就不得不支付赎金购买解密密钥以维持企业正常运营,这是第一重勒索。企业就算备份了数据,勒索软件团伙仍可以威胁企业不支付赎金就公布窃取的数据,这是第二重勒索。这就是勒索事件中所谓的双重勒索。

这个组织的门户网站本来是用来公布不愿妥协的受害者的数据的,如今随着组织宣布解散,上面公布的内容也变为了受害者加密文件的解密器,以及一份关于如何解密文件的简短说明。经安全研究人员证实,该解密器是有效的。

普普安全资讯一周概览(0904-0910)
普普点评

企业单位遭受黑客组织攻击而付出巨大代价的事件还是不断发生,但是可喜的是,随着各国对黑客组织的严厉打击,一些组织迫于压力只能解散。但是这些组织成员如果没有被绳之以法,很有可能再加入别的组织继续进行黑客行为。加大黑客组织打击力度的同时,企业单位自身也需要加强信息安全体系建设。未来还将有无数的数据攻防不断上演,信息安全常态化建设才是解决之道。

普普安全资讯一周概览(0904-0910)
05
普普安全资讯一周概览(0904-0910)

医疗行业网络安全市场未来五年将高速增长


根据ResearchAndMarkets的调查报告,在2021年至2026年的预测期内,医疗行业网络安全市场的复合年增长率将高达15.6%。报告指出,从2018年到2021年,针对医院的勒索软件攻击大幅增加,这意味着医疗行业急需采取更多网络安全措施。

医院很容易受到网络攻击,因为现有的医疗技术系统变得越来越复杂。而且,医院工作人员更依赖移动设备和监控设备。他们还负责收集患者的个人详细隐私信息,包括社会安全号码、正在服用的药物和信用卡信息。这使医院成为攻击者的主要目标。

如今,联网医疗设备的数量已经超过了移动计算设备(例如手机和笔记本电脑)。它们在提供护理和运营效率方面发挥着重要作用,但另一方面,每个连接的设备也为恶意网络攻击打开了大门。

2019年HIMSS网络安全调查显示,大多数医疗行业网络安全事件是由不良行为者造成的,他们主要使用电子邮件渗透系统。HIPAA估计,在2019年三月份,美国大约100万人在数据泄露事件暴露了病例档案。这直接导致数据泄露成本呈指数级增长,医疗行业平均数据泄露成本已经高达819万美元。

普普安全资讯一周概览(0904-0910)
普普点评

一些无意中进入设备、软件、服务器或补丁的漏洞是医疗行业网络安全市场的其他驱动因素。医疗行业所收集的庞大信息,需要利用不断发展的信息处理技术进行妥善的处置,未来还将有更多的行业面临新技术带来的巨大改变。享受新技术带来的便利性时,伴生的安全威胁已是无法避免的问题。这些行业需要从改变的初期阶段就重视网络安全体系建设,降低安全风险。

普普安全资讯一周概览(0904-0910)
06
普普安全资讯一周概览(0904-0910)

四成互联网流量来自恶意机器人


Barracuda的一份报告显示,自动流量占互联网流量的64%,但其中只有25%的自动流量是由搜索引擎爬虫和社交网络机器人等良性bot(bot包括机器工具、自动机等)构成的,而所有流量中有39%来自恶意bot。这些恶意bot包括常见的网络爬虫和攻击脚本,以及高级的持久性bot。这些持久性bot尽最大可能逃避标准防御和检测,偷偷从事恶意活动。

报告显示,这些持久性bot中最常见的是追踪电子商务应用程序和登录门户的bot。据统计,北美占不良bot流量的67%,其次是欧洲占22%,然后是亚洲占7.5%。有趣的是,与北美流量相比,欧洲的bot流量更多来自托管服务(VPS)或住宅IP,其中大部分来自公共数据中心。

研究还显示,大部分bot流量来自两个最大的公共云供应商AWS和Microsoft Azure,数量大致相同。这可能是因为不法分子更容易在这两个供应商处设置免费帐户,然后借此设置恶意bot。研究人员还观察到,恶意bot流量往往遵循标准工作日时间,使它们能够隐藏在正常的人工流量中,以避免被发现。

普普安全资讯一周概览(0904-0910)
普普点评

超过60%的机器人致力于大规模开展恶意活动。如果不加以检查,这些不良机器人可能会窃取数据、影响站点性能,甚至导致数据泄露。这也是检测并有效阻止bot流量是至关重要的原因。企业需要采取积极主动的步骤,在不损害其网络资产可用性的情况下,积极地阻止恶意的机器人。当我们努力控制机器人的崛起时,利用行为控制而不是静态规则要有效得多。

普普安全资讯一周概览(0904-0910)
07
普普安全资讯一周概览(0904-0910)

又一款黑客数据线 能够记录键盘输入甚至控制设备


近日,Hak5又推出了一款新的黑客数据线,表面上看起来与苹果推出的USB Type-C to Lightning数据线别无二致,实际使用也与正常的数据线一般无二,可这根数据线之中却暗藏着玄机。在数据线Type-C接口一端植入芯片,占据塑料外壳长度的一半左右。这个芯片会创建一个Wi-Fi热点,使用者通过自己的设备连接Wi-Fi,可以记录键盘输入乃至操控接入的设备。据测试,能在一英里(约1.6千米)的范围内触发有效载荷。

这种数据线并不是近日才开始发售的,早在2019年,安全研究员MG为了证明“Type-C没有足够的空间植入芯片所以很安全”这种说法是错误的,成功研制出了具备基础功能的黑客数据线的最早版本。随后MG与Hak5合作,改进产品并向外界销售。

现在新的数据线加入了不少新的功能,如地理围栏功能,使用者可以根据数据线的地理位置选择触发或者阻止有效载荷。另外,它甚至还有自毁功能,如果数据线脱离使用者的控制或者使用者不想暴露,可以通过自毁销毁证据。

普普安全资讯一周概览(0904-0910)
普普点评

艺术源于生活,如今越来越多以前只能在电影情节里看见的事物,不断进入我们的生活。但是很遗憾,电影般的黑客技术也同时出现。科技技术其本身是没有善恶的,但是它的影响取决于使用者。该款数据线可能会被安全研究员用来做近源渗透测试,也可能被不法分子用来犯罪。而对于我们个人和企业,只有通过竖立信息安全意识,使用恰当的防护手段,才可以将信息泄露的风险降到最低。