关键信息基础设施安全动态周报【2020年第24期】 – 作者:北京天地和兴科技有限公司

  目 录

  第一章 国内关键信息基础设施安全动态

  (一)黑客组织Vendetta冒充台湾疾控中心以窃取政府情报

  第二章 国外关键信息基础设施安全动态

  (一)西门子PLC LOGO!存在严重漏洞可致DoS攻击

  (二)美国芯片制造商MaxLinear遭受勒索软件Maze攻击

  (三)航空航天和军事领域组织遭受朝鲜间谍活动攻击

  (四)Ripple20漏洞影响数亿台IoT设备

  (五)美国国家安全局NSA为保护国防工业基地启动secure DNS计划

  (六)宽松的网络安全措施导致CIA数据被盗

  (七)AWS遭受史上最大规模2.3Tbps DDoS攻击

  (八)美国多家机构疑似遭受大规模DDoS攻击

  (九)GTP协议存在漏洞可被利用进行DoS攻击

  (十)79种Netgear路由器模型中存在未修补漏洞

  (十一)D-Link家庭路由器中存在严重漏洞

  (十二)英国超10万个无线摄像头存在漏洞易被黑客攻击

  (十三)特朗普2020年竞选应用秘钥遭受攻击

  (十四)InvisiMole黑客组织攻击目标为军事组织及外交使团

  (十五)俄罗斯Secondary Infektion计划大规模依靠社交媒体传播信息

  第一章 国内关键信息基础设施安全动态

  (一)黑客组织Vendetta冒充台湾疾控中心以窃取政府情报

  研究人员6月15日发现,一个神秘的黑客组织Vendetta一直冒充台湾疾控中心官员,试图窃取台湾用户的敏感数据。

  黑客发送精心书写的钓鱼邮件到一组选定的目标,其中可能包括台湾疾病控制中心的员工。该活动是由ElevenPaths发现的,该组织为西班牙电信公司Telefónica Group的网络安全部门。

  这提醒了黑客组织在COVID-19大流行期间假冒公共卫生部门并闯入计算机网络的时间。

  在5月初的一周内,黑客向某些台湾用户发送了电子邮件,敦促他们进行新冠病毒测试。电子邮件附带的是一种远程黑客工具,能够窃取登录凭据并劫持网络摄像头。

  ElevenPaths的威胁情报分析师MiguelÁngelde CastroSimón表示,工具的类型和选择的目标表明,他们正在寻找情报,主要是政府情报。目前尚不清楚网络钓鱼是否成功。

  这些黑客是过去两个月才浮出水面的Vendetta 组织的成员。该组织擅长用多种语言冒充政府。中国网络安全公司奇虎360在5月份的一份报告中表明,该组织冒充澳大利亚、奥地利和罗马尼亚的机构官员,试图在受害机器上安装远程黑客工具。奇虎360称,至少Vendetta的某些黑客的企图是窃取有针对性的商业情报。

  当被问及台湾有多少用户受到攻击时,de CastroSimón表示,这类组织不会进行大规模攻击,但是非常有有选择性,因此受害者的数量不应太高。

  网络伪装是在COVID-19危机期间全球卫生部门必须应对的问题。在过去的三个月中,有报道称伊朗和韩国的黑客针对世界卫生组织,中国间谍试图窃取美国疫苗研究,网络犯罪分子勒索应对该病毒的医疗保健公司。

  美国国土安全部的网络安全部门已分配了更多资源,以保护美国疾病控制与预防中心免受黑客攻击。

  疾病预防控制中心不是台湾最近几周冒充台湾唯一的卫生机构。台湾网络安全公司ISSDU的一份报告称,另一项明显无关的运动欺骗了台湾厚生劳动省,目的是在受害机器上安装LokiBot数据窃取恶意软件。目前尚不清楚谁应对这些入侵尝试负责。

  天地和兴工业网络安全研究院编译,参考来源:CyberScoop http://dwz.date/bfTc

  第二章 国外关键信息基础设施安全动态

  (一)西门子PLC LOGO!存在严重漏洞可致DoS攻击

  西门子的LOGO!可编程逻辑控制器(PLC)存在严重漏洞,可被远程利用发起拒绝服务(DoS)攻击并修改设备的配置。

  据西门子表示,该漏洞影响了其所有用于基本控制任务的LOGO!8 BM设备的所有版本,以及用于极端条件的SIPLUS版本。

  西门子尚未发布针对漏洞的补丁程序,该漏洞漏洞是缺少身份验证问题,但已告诉客户可以通过采用深度防御措施来降低被利用的风险。

  西门子表示,未经身份验证的攻击者具有对TCP端口135的网络访问权限,可以利用这些漏洞读取和修改设备的配置并获取项目文件,而无需用户干预。

  西门子和CISA在本周发布的公告中提到了这个漏洞,发现该漏洞的该思科Talos威胁情报和研究小组称,在同一个漏洞编号CVE-2020-7589下实际上有三个缺少身份验证漏洞。

  根据Talos发布的公告,这三个漏洞均与LOGO!产品的TDE文本显示功能有关它们都可以通过向目标系统发送精心编制的数据包来利用。Talos发布了有关这些有效载荷外观的技术信息。Talos表示,其中两个漏洞使攻击者可以删除设备上的信息,从而导致拒绝服务(DoS)状态,第三个漏洞可能被利用来上传或覆盖SD卡上的文件,这可能会影响设备的完整性和可用性。

  天地和兴工业网络安全研究院编译,参考来源:SecurityWeek http://dwz.date/bfwJ

  (二)美国芯片制造商MaxLinear遭受勒索软件Maze攻击

  美国系统芯片制造商MaxLinear披露了一起安全事件,勒索软件Maze运营商在5月份感染了其一些计算系统。

  美国系统芯片制造商MaxLinear是勒索软件Maze运营商的最新一个受害者,该公司透露,其系统上个月受到了感染,但攻击者于4月15日首先对该公司造成了影响。

  MaxLinear是一家美国硬件公司,为宽带通信应用提供高度集成的射频(RF)模拟和混合信号半导体解决方案。

  该公司已经向受影响的个人发送了数据泄露通知。“2020年5月24日,我们发现一个安全事件影响了我们的一些系统。我们立即让所有系统离线,聘请第三方网络安全专家协助我们的调查,联系执法部门,并努力以保护我们系统信息安全的方式安全恢复系统。到目前为止,我们的调查已经确定了从2020年4月15日到2020年5月24日期间未经授权访问我们系统的证据。我们的调查还发现了未经授权访问包含与您有关的个人信息的文件的证据。”

  针对此事件,IT员工使所有系统脱机,并聘请了网络安全专家来调查该事件。该公司重置了受影响客户的密码,并将入侵行为报告给了执法部门。尽管Maze威胁泄漏盗取的1TB数据,但MaxLinear使用其备份恢复了某些系统。

  6月15日,该组织泄露了10.3GB的会计和财务信息,作为黑客入侵的证据。

1MaxLinear.png

  根据该公司的说法,泄露的数据包括姓名、个人和公司电子邮件地址以及个人邮寄地址、员工ID号、驾驶执照号、财务帐号、社会保险号、出生日期、工作地点、薪酬和福利信息相关和工作日期。

  根据提交给美国证券交易委员会(SEC)的文件,攻击并未影响装运、订单履行和生产能力。“我们已经能够重建某些受影响的系统和设备,这项工作正在进行中。尽管由于法医调查和补救措施,我们已经并将增加成本,但我们目前预计,该事件不会对我们的运营费用产生重大或不利影响。”SEC的文件中写道。“我们提供网络安全保险,但须遵守适用的免赔额和保单限额。我们还与适当的执法当局进行了接触。”

  最近,勒索软件Maze运营商袭击了Threadstone Advisors LLP,一家专门从事并购的美国企业咨询公司。勒索软件Maze运营商在这一时期非常活跃,最近他们窃取了美国军事承包商Westech和ST Engineering group的数据,并发布了从哥斯达黎加银行(BCR)窃取的***数据,威胁每周都会泄露其他批次的数据。 勒索软件团伙的前受害者包括知名的IT服务公司和convent。

  天地和兴工业网络安全研究院编译,参考来源:SecurityAffairs http://dwz.date/bgjH

  (三)航空航天和军事领域组织遭受朝鲜间谍活动攻击

  ESET安全研究人员透露,航空航天和军事领域组织在一次针对性很强的网络间谍活动中遭到破坏,该活动可能与朝鲜黑客有关。

  该活动自2019年9月以来一直活跃,目前仍在进行中,该行动通过LinkedIn上发布虚假招聘信息的虚假账户打击了欧洲和中东的公司。这些攻击似乎主要集中在间谍活动上,但也发现了一起商业电子邮件泄露企图。

  这些攻击背后的威胁因素尚不清楚,但ESET认为,它可能与朝鲜国家支持的组织Lazarus有关,该组织基于目标、使用虚假LinkedIn账户、开发工具和反分析方法。此外,其中一个观察到的第一阶段恶意软件变种携带了Lazarus属性的NukeSed样本。

  “ESET研究人员Dominik Breitenbacher表示,“我们调查的袭击事件显示出了所有间谍活动的迹象,有几个迹象表明可能与臭名昭著的拉撒路组织有关。然而,无论是恶意软件分析还是调查都不能让我们深入了解攻击者的目标是什么文件。”

  自称是美国柯林斯航空航天公司(前身为罗克韦尔柯林斯)和通用动力公司等知名航空航天和防务公司的人力资源代表的虚假LinkedIn账户是为每个目标组织创建的。

  提供了诱人的伪造工作,一旦捕获了受害者的注意力,攻击者就发送了包含LNK文件的受密码保护的档案,这些档案启动命令提示符,在浏览器中打开诱饵PDF。在受害者不知道的情况下,命令提示符在计算机上创建了一个新文件夹,将WMIC.exe实用程序复制到其中,并通过计划任务为其设置持久性。WMIC用于解释远程XSL脚本,certutil用于有效负载解码,rundll32/regsv***用于恶意软件执行。

  攻击者使用了大量恶意工具,包括自定义下载程序(Stage 1)和后门(Stage 2)、PowerShell的修改版本、自定义DLL加载器、信标DLL,以及Dropbox dbxcli的开源命令行客户端的自定义版本。PowerShell命令用于侦察,例如向Active Directory查询员工列表,包括管理员帐户(这些帐户后来被暴力强制)。

  ESET的安全研究人员还发现,威胁行为者花费了大量精力来保持不被发现:文件和文件夹的命名使它们看起来像是合法的,恶意软件组件经过数字签名,Stage 1下载程序被多次重新编译,恶意软件中实施了反分析技术。

  Dropbox客户端dbxcli被用于数据外泄,但研究人员无法深入了解攻击者要找的文件,但认为他们可能瞄准了与技术和业务相关的信息。

  作为一种攻击的一部分,攻击者还试图通过诱骗受害公司的客户将待处理**的付款发送到攻击者控制的帐户,来进行商业电子邮件泄露。然而,由于客户产生了怀疑,攻击没有成功。

  WMI命令可能用于在受危害的环境中横向移动,但攻击者在移动到新系统后从被黑客攻击的计算机中删除了部署的文件。

  ESET指出,“我们对操作感知的研究再次表明,鱼叉式网络钓鱼对危害目标非常有效。攻击者与受害者聊天,说服他们打开恶意文件。一旦成功,他们将首先在受害公司内部立足。”

  天地和兴工业网络安全研究院编译,参考来源:SecurityWeek http://dwz.date/bgjn

  (四)Ripple20漏洞影响数亿台IoT设备

  JSOF研究实验室在Treck,Inc.开发的广泛使用的低级TCP/IP软件库中检测到了名为Ripple20的漏洞。在6月16日公布的研究中,JSOF称Ripple20包含多个远程代码执行漏洞,并影响数亿或更多的设备。这些漏洞可能会影响数据中心、电网及其他数百万台物联网设备。

  研究人员将这些漏洞命名为Ripple20,以反映它们作为供应链涟漪效应的自然结果所产生的广泛影响,供应链涟漪效应见证了软件库及其内部缺陷的广泛传播。

  研究人员表示“单个易受攻击的组件,尽管其本身可能相对较小,但可以向外扩散,影响到广泛的行业、应用、公司和个人。”

  Ripple20触及关键物联网设备,涉及来自广泛行业的不同供应商群。受影响的供应商从一人精品店到财富500强跨国公司,包括惠普、施耐德电气、英特尔、罗克韦尔自动化、卡特彼勒和巴克斯特。

  研究人员表示,许多其他主要的国际供应商被怀疑在医疗、交通、工业控制、企业、能源(石油/天然气)、电信、零售和商业等行业容易受到攻击。

  研究人员写道:“这种情况固有的风险很高,”打印机的数据可能被盗,输液泵的行为可能改变,或者工业控制设备可能出现故障。

  通过利用这些漏洞,攻击者可以在嵌入式设备中隐藏恶意代码多年。一种潜在的风险情况是,威胁参与者可能会广播能够同时接管网络中所有受影响设备的攻击。

  CyberX物联网和工业网络安全副总裁Phil Neray表示,这是在嵌入式物联网设备中发现严重漏洞的经典案例,这些漏洞是在多年前设计的,现在可能无法修复或不切实际地打补丁。“最佳策略是实施补偿控制措施,例如网络分段,以使对手更难连接到这些设备,再加上带有安全协调,自动化和响应(SOAR)的网络流量分析(NTA),以快速发现异常行为,并且在造成安全事故,关闭生产或窃取知识产权之前停止它。”

  天地和兴工业网络安全研究院编译,参考来源:Infosecurity Magazine http://dwz.date/bghE

  (五)美国国家安全局NSA为保护国防工业基地启动secure DNS计划

  为了更好地保护美国国防工业基地免受基于恶意软件的威胁,美国国家安全局(NSA)启动了一项试点计划,以保护美国国防承包商域名系统使用安全。

  美国国家安全局网络安全局局长Anne Neuberger在6月18日的一次线上活动中表示,该名为secure DNS的试验活动已经进行了6周。

  Neuberger表示,“我们的分析显示,从命令和控制的角度来看,在给定的网络上部署恶意软件,使用secure DNS将减少92%的恶意软件攻击能力。”

  DNS是一种协议,通过该协议可以转换IP地址以访问具有更熟悉的域名和URL的特定网站。据安全研究人员和国土安全部称,攻击者长期以来一直利用DNS来向目标发送恶意软件或运行凭据窃取活动。

  自从去年秋天成立国家安全局网络安全局以来,加强国防工业基地(DIB)和武器技术的网络安全一直是其首要目标之一。

  美国国家安全局(NSA)进行试点之际,美国政府正在加大力度,以加强对威胁者利用DNS的努力的政府防御。美国国土安全部(DHS)的网络安全机构最近还宣布,它正在努力推出DNS解析器服务,以干扰威胁参与者针对美国政府机构的恶意软件,勒索软件或僵尸网络活动。

  Neuberger表示,NSA的安全DNS试点旨在向从事国防部武器技术工作的中小型公司提供安全服务。Neuberger表示,“这种模式可以帮助快速启动安全机制,特别是对于可能没有能力投资资源或没有合适的熟练技术人员的中小型公司,我们知道他们是目标,因为他们正在为国防部建造武器技术。”

  Neuberger表示,理想情况下,该试点将帮助国家安全局为其他公司建立基准,以便将来向国防承包商提供安全的DNS服务。Neuberger表示,“试验的结果非常非常成功,我们的目标是让我们记录并标准化安全DNS服务的外观,然后使能够满足该标准的任何数量的公司提供该服务,以真正鼓励中小型国防DIB公司为目标专注于安全的DNS使用。”

  天地和兴工业网络安全研究院编译,参考来源:CyberScoop http://dwz.date/bfQ5

  (六)宽松的网络安全措施导致CIA数据被盗

  美国中央情报局CIA6月16日发布的内部报告显示,该机构绝大部分的绝密黑客工具都没有得到适当的保护,包括使用共享管理员密码以及对可移动媒体缺乏适当的控制。

  该报告由参议员罗恩·怀登发布,直到2017年WikiLeaks公布了机密文件Vault 7后,才得知其数据泄露。中情局围绕所谓网络武器的松懈安全似乎反映了情报界的系统性问题。该报告内容已通过最近的司法部法庭文件公开发表。

  该报告称中央情报局更多地致力于建立网络工具,而不是确保其安全。部分调查显示,敏感的网络武器没有划分,政府的网络安全研究人员共享了系统管理员级别的密码。具有敏感数据的系统未配备用户活动监控系统,且历史数据可无限期提供给用户。

  该报告称,为了满足不断增长的关键任务需求,CIA的网络情报中心(CCI)优先考虑制造网络武器,而以牺牲自身系统为代价,日常安全实践已变得松懈。

  该报告称,至少有180GB的数据(多达34TB的信息)被盗,大约相当于1160万至22亿个电子文档页面。被盗的数据包括驻留在CCI软件开发网络(DevLAN)上的网络工具。CCI的任务是通过网络运营转变情报。

  该报告概述了CCI中发现的各种安全问题。例如,尽管CCI的DevLAN网络已经过认证和认可,但CCI并未为网络开发或部署用户活动监控或“稳健”的服务器审核功能。

  该报告称,由于缺乏对用户活动的监控和审核,直到一年后,WikiLeaks在2017年3月公开了泄露的大量被盗的CIA黑客工具,才意识到损失的发生。如果数据没有发布,该机构可能仍然不知道损失。

  该报告称,“此外,CCI专注于制造网络武器,而忽略了如果暴露那些工具也准备缓解工具包。这些缺陷象征着一种文化的发展,这种文化多年经过多年发展,往往以牺牲安全为代价,优先考虑创造性和协作。”

  另一个问题是,该机构缺少确保IT系统安全构建并在其整个生命周期中保持如此稳定的人员。报告称,由于没有人承担这项任务,因此没有人要为违规行为负责。而且,没也没有注意到“警告信号”,即有权访问中情局数据的内部人员构成了风险。

  根据《*****》的报道,该报告被用作中情局前雇员乔舒亚·舒尔特审判的证据,其被指控窃取了中情局的黑客工具并将其交给WikiLeaks。

  该报告概述了该机构为增强其安全性而应采取的几项建议(经过大量修订)。这包括增强其安全准则以及针对零时差攻击和攻击性网络工具的机密信息处理限制。

  但是,参议院情报委员会成员怀登在给国家情报局局长约翰·拉特克利夫(John Ratcliffe)的一封***中表示,即使三年后,美国情报界仍有改善其安全实践的方法。例如,情报界尚未通过多因素身份验证来保护其.gov域名。中央情报局、国家侦察局和国家情报局尚未启用DMARC反网络钓鱼保护。“报告提交三年后,情报界仍然落后,甚至未能采用在联邦政府其他地方广泛使用的最基本的网络安全技术。美国人希望能做得更好,然后他们将寻求国会解决这些系统性问题。”

  Acceptto的首席安全架构师Fausto Oliveira表示,Wyden非常正确的询问为什么中央情报局不采用该行业的标准安全惯例。他表示,“根据报告的调查结果,似乎缺乏IT和网络安全治理,导致对安全控制措施的采用松懈。这不是运营问题,这是该机构的管理层未设定正确的目标来管理与运营某个组织,尤其是对于所有类型的攻击者而言都是理想的目标相关的风险的问题。”

  天地和兴工业网络安全研究院编译,参考来源:threat post http://dwz.date/bgaY

  (七)AWS遭受史上最大规模2.3Tbps DDoS攻击

  亚马逊表示,2020年2月其AWS Shield服务遭受了史上最大的DDoS攻击,高达2.3 Tbps。攻击者劫持了CLDAP Web服务器,并对其AWS Shield员工造成了三天的高度威胁。

2AWS 2.3Tbps.png

  CLDAP(无连接轻量级目录访问协议)是较早的LDAP协议的替代方法,用于连接、搜索和修改互联网共享目录。自2016年底以来,该协议已被滥用以进行DDoS攻击,并且已知CLDAP服务器会将DDoS流量放大为其初始大小的56到70倍,使其成为备受追捧的协议以及DDoS租用服务提供的通用选项。

  NETSCOUT Arbor在2018年3月缓解了之前有史以来最大DDoS攻击记录,为1.7 Tbps。在此之前,有记录以来最大的DDoS攻击是在2018年2月一个月前袭击GitHub 的1.3 Tbps DDoS攻击。Netscout和GitHub DDoS攻击滥用了Internet暴露的Memcached服务器,以达到巨大的带宽。

3AWS 2.3Tbps2222.png

  在2018年攻击发生之时,Memcached是一种新的DDoS攻击媒介,许多黑客组织和DDoS租用服务争相滥用超过10万台Memcached服务器,在互联网上造成破坏。

  但是,与此同时,大规模的DDoS攻击已变得罕见,这主要是由于互联网服务提供商(ISP)、内容交付网络(CDN)和其他主要的互联网参与者共同努力保护易受攻击的Memcached系统的缘故。

  如今,大多数DDoS攻击通常会在500 Gbps范围内达到峰值,这就是为什么AWS 2.3 Tbps攻击的消息令业内人士感到意外的原因。

  例如,DDoS缓解服务Link11在其2020年第一季度季度报告中指出,其缓解的最大DDoS攻击为406 Gbps。Cloudflare在其2020年第一季度DDoS报告中表示,其缓解的最大DDoS攻击峰值超过550 Gbps。Akamai也类似地报道了在2020年6月的第一周缓解1.44 Tbps的DDoS攻击。

  但是,这些数字在每个DDoS季度报告中都是罕见的和离群值。大多数DDoS攻击规模较小。Link11表示,2020年第一季度DDoS攻击的平均大小仅为5 Gbps。Cloudflare表示,在2020年第一季度缓解的DDoS攻击中,有92%的速度低于10 Gbps,而47%的甚至更小,不到500 Mbps。

  尽管如此,现在有了新的DDoS攻击记录。

  天地和兴工业网络安全研究院编译,参考来源:ZDNet http://dwz.date/bgeY

  (八)美国多家机构疑似遭受大规模DDoS攻击

  6月15日,据Downdetector数据,疑似美国多家服务机构遭受了DDoS攻击,包含移动运营商、互联网提供商、社交媒体平台、视频游戏等。

  服务中断的机构包括移动运营商Verizon、AT&T、Sprint、T-Mobile、Metro、US Cellular和Cosumer Cellular,互联网提供商Comcast、Spectrum、Cox和Century Link,社交媒体平台Instagram、Facebook、Twitter和Snapchat,视频游戏Roblox、Call of Duty、Fortnite、Playstation Network和XBOX Live,流媒体服务XBO Now、Hulu、Netflix和twitch,银行和送货服务美国银行、Doordash、大通银行,以及Zoom及Google等平台。

  到目前为止,攻击的来源尚不清楚,但是Twitter上知名账户@YourAnonCentral暗示攻击来源可能是中国,因为韩国和朝鲜之间的局势目前正在恶化。该Twitter帐户引用了一个数字攻击地图Digital Attack Map,该图可跟踪全球每日最主要的DDOS攻击并提供这些攻击图的可视图像。然而,网络安全专家Marcus Hutchins声称,该图绘制得很糟,并且目前并不表明攻击了美国。

  在Downdetector列出的所有主要运营商中,Verizon将问题归咎于T-Mobile尝试连接失败,其只是被错误报告了。。Verizon发言人表示,“ Verizon的网络运行良好,我们知道另一家运营商存在网络问题。来自该运营商的呼叫可能会收到错误消息。我们了解到Downdetector错误地报告了Verizon网络问题。”

  T-Mobile的首席执行官内维尔·雷一直在努力为用户提供有关情况的信息,但是在遭受首次攻击后四个小时,该公司仍在努力解决他们遇到的问题。AT&T也提出了类似的叙述,并指责其他运营商的网络。

  天地和兴工业网络安全研究院编译,参考来源:GeekDup http://dwz.date/bgbz

  (九)GTP协议存在漏洞可被利用进行DoS攻击

  6月10日,Positive Technologies研究人员发布《威胁向量:GTP。2020年LTE及5G网络中的漏洞》研究报告。该报告表示,GTP协议中的漏洞可能被利用对蜂窝网络进行DoS、欺诈攻击和数据盗取。

  该漏洞允许数百万客户使用其手机进行数据应用的协议还可以使犯罪分子发起拒绝服务(DoS)、用户模拟和欺诈网络攻击。该漏洞影响了使用2G、3G、4G网络的设备,以及部分使用5G网络的手机设备。

  该报告表示,研究人员所测试的每一个网络都存在该漏洞,这些漏洞可能允许网络外部的黑客发起DoS攻击、破坏合法用户的访问权限、窃取网络服务和带宽或为用户泄露个人信息。

  Positive Technologies表示,这些漏洞存在于协议的体系结构中,而不是在其实现中。为了防御攻击,研究人员建议在GTP级别过滤流量并实施GSMA安全建议。

  天地和兴工业网络安全研究院编译,参考来源:DarkReading http://dwz.date/bfvK

  (十)79种Netgear路由器模型中存在未修补漏洞

  网络安全公司GRIMM的Adam Nichols以及越南互联网服务提供商VNPT昵称为d4rkn3ss的安全研究人员发现,多达79种Netgear路由器模型容易受到严重的安全漏洞的攻击,该漏洞可能使黑客远程接管设备。

  根据Nichols的说法,该漏洞影响了多年来在79台Netkit路由器上使用的758个不同的固件版本,其中一些固件版本早在2007年就首次部署在发布的设备上。漏洞存在于封装在易受攻击的Netkit路由器固件中的Web服务器组件中。

  Web服务器用于为路由器的内置管理面板供电。Nichols表示,服务器没有正确验证用户输入,没有使用堆栈cookie(又名canaries)来保护其内存,服务器的二进制文件没有编译为位置无关的可执行文件(PIE),这意味着从未应用ASLR(地址空间布局随机化)。缺乏适当的安全保护为攻击者手工创建可用于接管路由器的恶意HTTP请求打开了大门。

  在GitHub上发布的概念验证漏洞攻击中,Nichols说他能够以root身份启(路由器的telnet守护程序,监听TCP端口8888,并且不需要密码即可登录。

  该两位安全研究人员表示,他们在今年年初报告了Netgear的漏洞。

  由于该漏洞的广泛影响以及为所有设备生产和测试补丁程序所需的大量工作,路由器制造商要求更多时间来解决这些问题。但是,此扩展名已于本周6月15日星期一到期。

  Nichols和d4rkn3ss通过零日漏洞披露程序现在都已发布报告,详细说明了该漏洞。

  在ZDI漏洞披露中表示,Netkit要求第二次延期,直到即将到来的这一天结束。但是,并不是所有路由器都会收到补丁程序,因为有些路由器在很多年前就已经停止使用了。

  天地和兴工业网络安全研究院编译,参考来源:ZDNet http://dwz.date/bgmf

  (十一)D-Link家庭路由器中存在严重漏洞

  Palo Alto Networks的Unit42小组研究人员在6月12日发布的研究结果中表示,台湾消费技术制造商D-Link产品中存在一系列漏洞,如果利用这些漏洞,可能会导致黑客在冠状病毒大流行期间从家用互联网路由器窃取密码和其他敏感数据。如果协同使用,这些漏洞将允许攻击者扫描网络流量,窃取会话cookie,并上传或下载敏感文件。在某些情况下,这些漏洞可能会帮助攻击者进行拒绝服务攻击。

  虽然D-Link发布了针对相关漏洞的安全更新,但该公告提醒人们,家庭互联网路由器是黑客的目标,目的是利用冠状病毒导致的全球远程工作人数增加的机会。根据BitDefender之前的研究,黑客在冠状病毒大流行的早期抓住了这个机会,扰乱了美国和多个欧洲国家家庭路由器的域名系统设置,以说服受害者下载恶意软件。

  D-Link在2020年第一季度的收入超过1.23亿美元,为企业和消费者客户提供网络产品,包括监控设备、宽带设备和交换机。2019年,作为与美国费雷达尔贸易委员会达成和解的一部分,该公司同意实施一项“全面的软件安全计划”。

  Palo Alto Networks的研究人员没有说明黑客是否利用了他们发现的漏洞。

  第42小组研究人员发现的问题之一,代号为CVE-2020-13782,可能允许拒绝服务攻击,并允许攻击者以管理权限注入在路由器上执行的任意代码,这意味着攻击者可以进行拒绝服务攻击。

  但为了利用这个漏洞,黑客需要身份验证,如果黑客利用Palo Alto Networks研究人员发现的另外两个漏洞CVE-2020-13786和CVE-2020-13784中的任何一个,就可以有效地实现身份验证。

  例如,如果攻击者利用CVE-2020-13786,他们将能够通过嗅探网络流量来访问网站中受密码保护的部分,因为D-Link路由器网络界面上的一些页面容易受到跨站点请求伪造的攻击。此漏洞可能允许攻击者删除和查看文件内容,或上载恶意软件。

  如果他们利用CVE-2020-13784,黑客将能够访问网站用来保持用户登录和监控用户信息的会话cookie。如果黑客获得这样的访问权限,他们基本上可以在网上冒充受害者。

  研究人员说,即使受害者使用HTTPS加密会话,攻击者也将能够访问会话cookie,因为路由器中计算会话cookie的算法会产生可预测的结果。

  天地和兴工业网络安全研究院编译,参考来源:CyberScoop http://dwz.date/bggq

  (十二)英国超10万个无线摄像头存在漏洞易被黑客攻击

  调查发现,由于存在多个安全漏洞,英国企业和家庭中超过10万个个无线主动式摄像头可能容易受到黑客的攻击。使用CamHi应用程序的无线摄像头,如流行的市场品牌Accfly、ieGeek和SV3C,可能会允许有人监视用户的家。攻击者可能会监视住宅、窃取数据、并以其他设备为目标。

  Mimecast负责威胁情报和监督的数据科学主管Kiri Addison博士表示,“物联网设备可以为攻击者提供一条轻松进入你的家庭网络的途径。由于我们中的许多人现在在家工作,这对企业构成了更大的风险,因为攻击者有机会更容易地从员工的个人网络转移到他们雇主的个人网络。除了进入网络之外,还可以通过许多其他方式利用互联网安全摄像头,包括肩部冲浪以获取凭证等信息、监控受害者和整理信息,这些信息可以用来制造令人信服的网络钓鱼攻击,而带麦克风的摄像头可以用来监视会议并获取敏感信息。”这些增加的威胁要求企业定期为员工提供意识培训,以确保遵循最佳实践,并确保员工保持警惕。

  ESET的网络安全专家Jake Moore表示,“放置在家庭和办公室的物联网设备的大规模增长是网络罪犯从特定类型的恶意软件中赚钱的绝佳机会。物联网设备往往带有薄弱的内置安全功能,因此公众从一开始就处于不利地位。安全更新也往往不频繁,这给所有者带来了进一步的风险。“更新和2FA很重要,但你可能需要问问自己,你是否真的需要24/7全天候在线监控摄像头。如果摄像头仍然在现场录制,它们可能根本不需要在线,从而完全防止了攻击的风险。”

  在过去的三个月里,大约有12000户英国家庭被激活,其中许多仍然可以在网上购买。

  国家网络安全中心(NCSC)于2020年3月发布了有关在使用无线摄像机时保护隐私和安全性的指南。

  Synopsys高级安全工程师Boris Cipot表示,“我们使用物联网设备及其技术,就好像它已经成熟一样。然而,作为这项有用和令人兴奋的技术的用户和消费者,我们需要意识到,它仍在发展中。”它还没有达到为大众提供稳定和最重要的安全服务所需的成熟水平。我们需要主动验证我们的设备是安全的。希望在未来,安全不仅是内置的,而且是强制性的,然后设备才能上架。”

  Cipot表示,引入英国物联网网络安全立法等标准,有助于在产品开发期间创建流程和协议时提供所需的监督、稳定性和透明度。他补充说:“它还允许识别任何失误,并将技术调整、发展和成熟到最好的,在这种情况下,也是最安全的版本。在谈到一项技术时,这是重要的一步,这项技术一方面可能具有很高的优势,但也可能具有威胁性。”

  与美国安全研究员Paul Marrapese合作,确定了全球超过350万台仍处于风险之中的摄像头。大多数摄像头都在亚洲,但整个欧洲有超过70万台活跃的摄像头,其中超过10万台在英国。

  摄像头和软件的设计意味着黑客可能会访问摄像头或麦克风的视频流,窃取或更改密码,访问家庭位置或向僵尸网络添加摄像头。

  潜在易受攻击的相机品牌包括Alptop、Besdersec、COOAU、CPVAN、Ctronics、Dericam、Jennov、LEFTEK、Luowice、QZT和Tenvis。任何使用Camhi应用程序和特定类型的唯一标识号(UID)的无线摄像头都可能被攻破。

  天地和兴工业网络安全研究院编译,参考来源:SCMagazine http://dwz.date/bgha

  (十三)特朗普2020年竞选应用秘钥遭受攻击

  据Website Planet研究报告显示,对Official Trump 2020应用程序的分析显示,该应用程序各个部分的密钥正受到攻击。该应用程序是为唐纳德·特朗普总统的竞选活动开发的,可在Android和iOS设备上下载。

  在研究该应用程序时,Website Planet的网络安全分析师Noam Rotem和Ran Locar 发现,Android APK公开了Twitter应用程序密钥和机密、Google应用程序和地图密钥、以及Branch.io(移动分析)密钥等信息。

  研究人员透露,公开的密钥使他们可以访问应用程序的各个部分的权限,但不能访问用户帐户。攻击者还需要其他两个没有暴露的密钥,才能访问用户帐户,包括潜在的特朗普总统的帐户。

  Website Planet的Mark Holden指出,“我们没有尝试访问该应用程序上的任何用户帐户,因为我们认为最初的漏洞足以警告特朗普竞选活动。”他还解释说,恶意黑客仍然可以利用公开的密钥来模拟应用程序。例如,branch.io密钥可以为黑客提供对应用程序用户和使用情况数据的潜在访问权限。

  研究人员在确定漏洞及其可能造成的损害后立即向活动应用程序的团队发出警报。几天之内发布了一个补丁。

  Holden解释表示,该问题是人为错误的结果,可以通过遵循更严格的协议来避免。“通过实施更强大的安全实践,可以轻松地防止此类漏洞。该应用程序不应泄露此类敏感信息。同时,任何访问密钥都应该得到保护,并且绝不能泄露秘密。”

  天地和兴工业网络安全研究院编译,参考来源:SecurityWeek http://dwz.date/bfxX

  (十四)InvisiMole黑客组织攻击目标为军事组织及外交使团

  ESET网络安全研究人员6月18日发布报告称,其发现了威胁组织InvisiMole的作案手法,该组织的攻击目标为军事领域的少数知名组织和东欧外交使团。研究人员对该组织的运营、策略、工具和TTP进行了深入研究。

  InvisiMole于2018年首次报道,但至少从2013年开始活跃,似乎与俄罗斯有关的威胁组织Gamaredon紧密相连,该组织也已于2013年开始活动。尽管这些组织密切联系,但ESET认为他们是分开的实体。对最近一次攻击的分析始于2019年底,并且似乎仍在进行中。结果显示,InvisiMole的工具仅在以前被Gamaredon破坏的环境中被使用。

  ESET研究人员此前在2018年6月的一份报告中指出,“InvisiMole具有模块化架构,从包装DLL开始,并使用嵌入在其资源中的其他两个模块执行其活动。这两个模块都是功能丰富的后门,它们共同使它能够收集有关目标的尽可能多的信息。”

4InvisiMole111.jpg

  这个功能丰富的间谍软件被称为RC2FM和RC2CL,能够进行系统更改、扫描无线网络以跟踪受害者的地理位置、收集用户信息、甚至上载受感染机器中的敏感文件。但是到目前为止,恶意软件传递的确切机制仍不清楚。

  ESET不仅发现了利用合法应用程序秘密进行恶意操作的技术的证据,而且还发现了与第二个威胁行为者的联系,该威胁行为者名为Gamaredon组织,该组织在长期以来一直对乌克兰机构进行网络攻击。

  研究人员表示,“Gamaredon被用来为更隐蔽的有效载荷铺平道路,根据我们的遥测,少量Gamaredon的目标已被升级为高级InvisiMole恶意软件,很可能被攻击者认为特别重要。由于InvisiMole的许多执行方法都需要提升的权限,因此只有在攻击者获得管理权限后才能部署恶意软件。”

  一旦发生最初的妥协,InvisiMole会利用RDP和SMB协议中的BlueKeep(CVE-2019-0708)和EternalBlue(CVE-2017-0144)漏洞,或利用特洛伊木马文件和软件安装程序在网络上横向传播。

  除了采用RC2CL和RC2FM后门的更新版本之外,该恶意软件还利用新的TCS下载器下载其他模块和DNS下载器,后者又利用DNS隧道来屏蔽与攻击者控制的服务器的通信。

  研究人员表示,“通过DNS隧道,受感染的客户端不会直接与C&C服务器联系,它仅与受害者机器通常会与之通信的良性DNS服务器进行通信,并在其中发送将域名解析为其IP地址的请求。然后,DNS服务器联系负责请求中域的名称服务器,它是攻击者控制的名称服务器,并将其响应中继回客户端。”

  此外,最终的有效负载RC2CL和RC2FM是通过至少四个不同的执行链交付的,这些执行链通过将恶意shellcode与合法工具和易受攻击的可执行程序结合在一起而形成。

5InvisiMole222.jpg

  改进的RC2CL后门支持多达87条命令,并具有打开网络摄像头和麦克风设备以拍照,记录视频和声音,捕获屏幕截图,收集网络信息,列出已安装的软件以及监视受害者最近访问的文档的功能。尽管未广泛使用,但RC2FM带有其自己的文档渗透命令集,以及用于记录击键和绕过用户访问控制(UAC)的新功能。

  此外,新版本的RC2CL和RC2FM都具有自己的逃避防病毒检测的方法,包括将自身注入其他无害的进程并抑制诸如键盘记录等特定功能。

  ESET研究人员ZuzanaHromcová表示,“攻击者认为特别重要的目标已从相对简单的Gamaredon恶意软件升级为高级InvisiMole恶意软件。这两个小组之间以前未知的合作使InvisiMole小组能够设计出新颖的运作方法。”

  天地和兴工业网络安全研究院编译,参考来源:The Hacker News http://dwz.date/bgcV

  (十五)俄罗斯Secondary Infektion计划大规模依靠社交媒体传播信息

  社交媒体分析公司Graphika6月16日公布的调查结果显示,自2014年以来,俄罗斯舆论专家撰写了大约2500篇匿名博客故事、社交媒体帖子和其他技术,试图放大克里姆林宫的信息传递。这项活动的重点是俄罗斯宣传界长期青睐的一系列其他话题,如乌克兰政府、美国前总统候选人希拉里·克林顿和世界反兴奋剂机构。

  Graphika将该计划称为Secondary Infektion,借用了克格勃的阴谋,该阴谋暗示美国发明了艾滋病病毒。虽然研究人员指出,可量化的影响相对较小,但这一信息行动发生在6年多的时间里,国际情报机构和私人安全公司经常指责俄罗斯黑客对许多相同目标发动网络攻击。 报告指出:“在六年的活动中,该公司几乎没有一个职位在各平台的股票、喜好和积极反应方面取得任何可衡量的参与。这可能表明运营商对参与度指标不感兴趣(例如,如果他们是由生产配额而不是参与目标驱动的),或者他们使用了一些外部观察者看不到的其他形式的指标。”

  Facebook在2019年5月首次将Secondary Infektion与俄罗斯特工联系起来。Reddit在2019年12月公布了自己的调查结果,当时美英官员之间的贸易谈判细节泄露。大西洋理事会的数字取证研究实验室发表了一系列关于这一行动的报告,可追溯到一年多前。 根据今年4月的调查结果,俄罗斯特工还利用伪造的外交电子邮件和植入文章,旨在破坏爱沙尼亚、格鲁吉亚共和国和美国的政治努力。波兰安全官员今年4月还说,俄罗斯袭击者是一次黑客和泄密行动的幕后黑手,在这次行动中,伪造的外交信函被分发给波兰有散布虚假信息历史的网站。

  Graphika指出,它无法将Secondary Infektion的工作追溯到特定的俄罗斯情报机构。这些职位最常集中在乌克兰代表一个失败的国家或不可靠的外交伙伴的想法上。他们还把美国政府和北大西洋公约组织联盟描绘成容易干涉其他国家,把欧盟分裂,对俄罗斯政府的批评家在道义上受到损害,沉迷于酒精或某种程度上不值得信赖。

  其努力将Hillary Clinton描绘成一个凶手,指责世界反兴奋剂机构与俄罗斯制药公司密谋禁止俄罗斯运动员服用增强药物的行为,并建议英国的反英国退欧派计划暗杀Boris Johnson总理。

  总而言之,Secondary Infektion整合了300个网站和社交媒体平台,包括Facebook、Twitter、Reddit、YouTube和Quora。这些活动大多发生在博客平台和网络论坛上,宣传人员会在这些平台上植入看似从合法渠道泄露的假文件,比如美国计划推翻克里姆林宫在世界各地的盟国政府。然后,Secondary Infektion相关的社交媒体账户会试图放大这些帖子,通常不会成功。

  天地和兴工业网络安全研究院编译,参考来源:CyberScoop http://dwz.date/bgk5

来源:freebuf.com 2020-06-19 17:31:37 by: 北京天地和兴科技有限公司

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论