普普安全资讯一周概览(1023-1029)

作者:

时间:
2021-10-29

3D模型网站Thingiverse用户数据泄露 超5万台打印机可能被劫持

根据Data breach today上周报道,知名3D模型网站Thingiverse泄露了22.8万名用户资料,但相关人员最近发现,这起泄露事件还可能导致约5万台打印机被劫持。

从2020年10月起,共有36GB大小的Thingiverse数据被泄露,包括用户的电子邮件地址、IP 地址、用户名、居住地址等信息。曾在Thingiverse母公司MakerBot工作过的软件工程师TJ Horner表示,此次泄露的数据中包括一些OAuth令牌,这些令牌可用于远程访问MakerBot第5代甚至更高版本的3D打印机,并调用打印机上的摄像头对其实行监视。Horner认为,如果打印机连接到互联网,任何拥有这些令牌的人都可以完全控制打印机,攻击者可能会向 3D 打印机发送错误的示意图,并损坏打印机的步进电机,此外,这些泄露的令牌还能让攻击者访问Thingiverse用户的账户信息。MakerBot在此次事件中没有公开提及有关打印机的令牌泄露,但已对相关令牌进行作废处理。面对这起泄露事件,MakerBot曾声明,只有不到500名用户受到数据泄露的影响,并强调泄露的只包括主要用于测试数据的非生产、非敏感数据。它还坚持已通知受影响的用户。

普普点评

目前绝大部分的数据泄露风险都来自企业内部,其中邮件外发和互联网上传是两个最方便的数据外传手段,也是泄露事件发生概率最高的两个渠道。由于数据大多存储在网络空间的服务器上,本来就容易成为不法分子攻击、窃取的目标。而一些公司企业自身对于数据防护意识不高,防护手段不足,遇到工作人员操作失误或者网络攻击就容易泄露数据信息。



02

网络安全市场规模超500亿 人才需求全面爆发

近期,随着2021年国家网络安全宣传周活动在全国各地开展,网络安全话题备受关注。根据最新发布的《2021年中国网络安全产业分析报告》,2019年我国网络安全市场规模已经达到478亿元,同比增长21.5%;2020年,我国网络安全市场规模再度涨到532亿元,虽然受疫情影响增速有所放缓,但增长率仍然达到了两位数。

目前我国每年网络安全相关专业毕业生只有2万多人,而行业的缺口已经高达50万至100万人,网络安全行业人才供需矛盾正急剧凸显,实战型、实用型等人才非常急缺。与此同时,根据工信部近日发布的《网络安全产业人才发展报告》,网络安全产业人才需求还在高速增长,2021年上半年,行业人才需求总量已经较去年同期增长了39.87%,不少企业为了招到人才不惜付出高薪,2021年领域内平均招聘薪酬已达到22387元/月,人才供需的数量失衡可见一斑。当然,失衡不仅在数量上,还在地域上。

普普点评

如今网络安全已经成为我们不容忽视的一大产业,其既是保护个人数据隐私的必要手段,也是维护国家安全和推动经济发展的必由之路。只要解决好了人才方面的问题,再把握住政策、资本所带来的各方机遇与福利,网络安全产业才能迎来令人满意的发展。行百米者半九十,如今我国网络安全发展正值关键,需全力以赴!


04

全球顶尖极客汇聚GeekPwn 2021 解构智能生活安全威胁

云计算、5G、AI等前沿技术发展,加速了产业数字化的步伐,但同时也带来了新的安全隐患。关注前沿技术的应用安全,是GeekPwn一直以来的传统。在今年的舞台上,极客们以AI对抗AI,上演了精彩的安全攻防。

“未知攻,焉知防”,网络安全的本质是攻防两端能力的对抗。极客们积极探索前沿技术,并将其应用到安全实践中,用新技术来解决新的安全问题。

网联汽车、机器人、医疗器械等等智能硬件,正在改变人们的生活方式。GeekPwn在关注前沿技术安全的同时,也关注智能生活中的安全风险。

医疗领域,野生极客曾颖涛带来了一项通过控制胰岛素泵来突破其原有注射设置的挑战。选手通过蓝牙侵入胰岛素泵的控制器,修改了原有的注射设置,用几秒钟就将加大注射剂量的胰岛素全部推出,这种情况如果发生在现实中,将对病人的生命造成严重威胁。

普普点评

智能生活是全球创新热点和未来产业发展制高点,更是人们未来生活的一部分。作为智能生活发展的基石,信息安全保障与智能化应用同步部署必要性日益凸显,便利、安全的兼顾还需共同持续努力。我们需要准确把握技术和产业发展趋势,不断规范不同领域人工智能安全应用,进而避免盲目追求人工智能技术的应用,而忽视了智能技术造福于人的本质目标。


05

对某单位遭受投递FormBook窃密木马的分析报告

自今年7月以来,安天CERT监测到多起广撒网式投递窃密木马的钓鱼邮件活动,诱导目标执行附件中的FormBook窃密木马,实施窃密活动。其中捕获到一封对某单位投递的钓鱼邮件。FormBook是一种非常活跃的商业窃密木马,自2016年开始在黑客论坛上以“恶意软件即服务”形式出售,版本不断迭代更新,目前发现的最新版本为4.1,本次监测到的为3.2版本。

FormBook主要被用于窃取目标个人信息,该窃密木马能够自动收集目标系统中浏览器、邮箱客户端、即时通讯客户端和FTP客户端中的敏感信息,具备键盘记录和屏幕获取功能。同时它具有远程控制能力,具体包括更新、下发恶意软件、命令执行、数据回传等功能,实现对目标系统进行长期驻留控制。此次发现的FormBook变种采用C#编写的加载器进行加载,核心功能运行前具有多层解密执行和进程注入操作,同时针对虚拟机和沙箱环境进行检测,使用数十个C2服务器作为备选,具备一定的对抗检测、对抗分析和反溯源能力。

普普点评

商业窃密木马异常活跃,早已经形成了成熟的黑色产业链。在技术方面,商业化窃密木马在反沙箱、反虚拟机的对抗检测以及反溯源上为使用者做足了对抗技术;在运营方面,采用了“恶意软件即服务” 的运营模式;在木马管理方面,为购买者提供了易于操作的后台管理接口。通过以上服务手段,极大降低攻击者的技术门槛,造成窃密木马泛滥的局面。


06

浅谈云上攻防——CVE-2020-8562漏洞为k8s带来的安全挑战

2021年4月,Kubernetes社区披露了一个编号为CVE-2020-8562的安全漏洞,授权用户可以通过此漏洞访问 Kubernetes 控制组件上的私有网络。在完成校验并通过校验之后,Kubernetes立即进行第二次域名解析,此次域名解析后并不再进行IP地址的校验,这将导致上述校验存在绕过问题,如果一个DNS服务器不断返回不同的非缓存解析请求,攻击者可以利用此方式绕过Kubernetes的API Server Proxy IP地址限制,并访问内网ControlPlane管控组件。

通过查阅此漏洞披露报告可发现,这个漏洞拥有较低的CVSS v3评分,其分值仅有2.2分,与以往披露的Kubernetes高危漏洞相比,这个拥有较低评分的漏洞极其容易被安全研究人员以及运维人员所忽视。但经过研发测试发现,在实际情况中,这个低风险的漏洞却拥有着不同于其风险等级的威胁:在与云上业务结合后,CVE-2020-8562漏洞将会为云厂商带来不可忽视的安全挑战。

普普点评

在安全研究以及运维中,一些低风险的集群漏洞极其容易被安全以及运维人员所忽略,但是这些漏洞在一些特定场景中仍为云上安全带来了极大的安全挑战,正如本文中所举例的CVE-2020-8562安全漏洞,这个仅有2.2评分的Kubernetes安全漏洞,在与实际业务结合后,仍可为业务带来极大的安全风险。因此与云上安全相关的漏洞,无论严重与否,都应得到安全人员以及运维人员的相应重视。


07

网络钓鱼工具包的新趋势:模块化

近日,微软在分析最近一次网络钓鱼攻击事件中发现,犯罪分子使用了名为TodayZoo的新型工具包,该工具包没有任何自己开发的功能,而是剪裁和整合其他恶意软件拼凑而成。TodayZoo工具包大量使用了另一个工具包DanceVida的代码,而其他组件与至少五个网络钓鱼工具包的代码显著匹配。

通由于其相关活动的重定向模式、域名和其他技术、策略和程序(TTP)的一致性,我们认为攻击者‘定制’了旧的网络钓鱼工具包模板,修改了凭据收集功能,加入了自己的渗漏逻辑,使TodayZoo仅用于其邪恶目的。”微软进一步分析指出,“网络钓鱼工具包,类似于恶意软件,将会变得越来越模块化。”

除模块化外,网络钓鱼的主战场也在从电子邮件向移动设备转移。根据苹果电脑和设备企业管理工具供应商Jamf发布的一份报告,大多数成功的攻击都是针对移动用户,很少来自电子邮件客户端。

普普点评

商业网络钓鱼攻击的传播已经远远超出了提供‘无人认领的彩票奖金’的措辞拙劣的电子邮件。它们不仅更加个性化、更具说服力,而且比以往任何时候都可以接触到更多地方的用户,并且越来越超越消费者,瞄准业务凭证和数据。企业应该考虑采用多因素身份验证并加强其邮件服务器的配置,以使网络钓鱼攻击更加困难。