近日,江民赤豹安全实验室针对2018年整体安全态势做了详细分析,报告中引用了Gemalto调研数据,据统计仅2018年数据泄露事件高达945次,导致的信息泄露数量达到45亿条之多,相比2017年同期虽然泄露事件有所下降,但信息量却陡增了133个百分点。而在去年频繁发生的勒索及挖矿病毒攻击热度也并没有下降,随着科技化时代的到来,仍有很多企业和个人的网络安全意识和措施并没有成熟,网络攻击和数据泄露带来的影响未来也会越发重要。
二、2018年中国网络安全形式分析
赤豹实验室研究人员从以下八个方面分析了网络安全的现状与未来发展趋势:
1.社会工程学
社交工程是网络犯罪发展最快的领域,世界第一黑客凯文·米特尼克在《欺骗的艺术》中曾提到,人为因素才是安全的软肋。很多企业、公司在信息安全上投入大量的资金,最终导致数据泄露的原因,往往却是发生在人本身。你们可能永远都想象不到,对于黑客们来说,通过一个用户名、一串数字、一串英文代码,社会工程师就可以通过这么几条的线索,通过社工攻击手段,加以筛选、整理,就能把你的所有个人情况信息、家庭状况、兴趣爱好、婚姻状况、你在网上留下的一切痕迹等个人信息全部掌握得一清二楚。虽然这个可能是最不起眼,而且还是最麻烦的方法。一种无需依托任何黑客软件,更注重研究人性弱点的黑客手法正在兴起,这就是社会工程学黑客技术。
勒索软件配合利用社会工程学的欺诈邮件造成的影响往往比其他方式投递的手法要大很多,尤其在2018年这个勒索软件仍然泛滥的使其特别明显。电子邮件欺诈带来的损失史无前例,累计已达120亿美元。古老的骗局一而再再而三的卷土重来,其利用的是人们心理上的弱点与认知上的缺陷。针对这种攻击,我们注定无法完全免疫。
2.勒索软件
2018上半年基于“永恒之蓝”的攻击尝试超过漏洞攻击总量的30%以上。众所周知,2017年4月,某黑客组织获取并泄漏美国国家安全局(NSA)掌握的网络武器“永恒之蓝”,导致利用该漏洞的恶意程序在网络上肆虐,最典型的是勒索病毒。
勒索软件在全球范围内持续对不同业务无差别攻击,但他们的目标会聚焦在包括SMBs在内的抗攻击能力较弱且准备不足的企业。在这种情况下,勒索金额会降低以便小企业有能力支付,区域性医疗服务机构或医院将会遭到重击,主要原因是作为目标他们攻击起来太容易。用最少的付出获取最大收益是这些“生意人”所追求的。
与此同时,勒索软件也在与网络钓鱼和社会工程协同合作,2018年这两大方面的进一步融合。同样有趣的是,加密货币价值正在影响勒索软件的增长。
3.区块链安全
说到区块链,就绕不开数字货币的问题,而谈到数字货币,就无法回避数字货币的安全问题,从以前的币安受到攻击,到不久前因为智能合约漏洞导致的巨额经济损失,直到今年发生的EOS爆发高危漏洞,无一不证明着区块链和数字货币安全的问题,绝不是像表面看起来那么简单。
近三年来,交易所被盗的损失大概是8.64亿美元,一些很著名的交易所都发生过盗窃,盗窃情况越来越猖獗。2016年为1.48亿美元,2017年为2.96亿美元,2018年才过去一半已达5亿美元,超过了前两年的总和。
攻击方法也从Botnet、DDoS逐渐向挖矿转移。UCloud通过安全产品共捕获到了ddg20xx木马,而这些木马控制的三个钱包已经合计挖矿90万到150万美元。UCloud目前已经捕捉了30多种类似的样本,而像星巴克Wifi挖矿,软件中捆绑挖矿代码、南方周刊官网挖矿这些热门攻击事件说明,以往复杂的攻击方式变得更加简单,新的变现方式,更加容易变现,黑客的门槛也显著降低,而原本由弹窗和广告构成的PC端恶意软件,也加入了挖矿产业。这种情况的发生,与数字货币火热关系重大,数字货币高回报、匿名性、不可溯源的特性,实际上为黑客提供了一个很好的变现途径。
4.机器学习
机器学习是一个因人而异的时髦的口号,在未来的几年我们都希望能看到对于这种能力更清晰的发展思路。机器学习的目标应该是解放人类,提高在信息海洋中处理、理解和行动力、安全技术持续发展意味着我们会看到更好质量更高的数据结果。处理能力的提高和更为智能化的反应也成为了可能。
机器学近年来,机器学习因其自主执行特定任务及训练设备的特质,已被视为当前最有前途的网络安全工具之一。在面对网络威胁的时候,机器学习可主动分析其复杂性,采取有效的对策,与传统手动修复方式相比,机器学习超高的学习能力和执行效率大幅减轻了安全人员的工作负担。但机器学习仍有弊端,因为机器学习无自主意识,黑客可入侵机器学习的过程,直接更改设备设定或行为,获取其完全控制权。
5.AI
随着人工智能的发展,安全人员越来越难以分辨攻击是否由人类发起,自动化入侵过程中的某些技术密集部分,同样可以为攻击者带来较高的投资回报。
研究人员发现,AI能通过其可扩展性引入威胁,例如恶意软件可在受感染环境中观察正常业务操作,通过了解受感染机器与哪些内部设备通信、使用的协议和端口有哪些等内容,学习所处环境的上下文,免除传统命令与控制(C2)信道,增加检测难度。在提供此类攻击渠道的同时,AI还可以学习可能触发安全解决方案警报的数据传输数率,动态调整其数据渗漏的规模和时机以避免检测。
6.黑灰色产业链
有人的地方就有江湖,黑灰产则是互联网江湖水最浑的领域,而黑灰产内部为了利益也是不断乱斗,其中不择手段之处更甚于正规商业江湖。
相对早期黑客的单打独斗,如今互联网黑色产业更像一个航母战斗群,各种外部资源如手机号、邮箱号、IP 资源、过验证码服务,都已经形成规模化平台。这让黑客只要专注最核心的技术实现,就可以快速整合资源对各公司造成危害。
黑客利用病毒木马非法盗取或者通过机构泄密人员购买他人身份证号、手机号、游戏帐号、邮箱、家庭住址等私人信息,以及被盗者家庭成员的上述隐私,甚至包括所养宠物的信息,然后进行非法贩卖。信息泄露连续五年创历史记录,且不分行业与领域。而随着网络世界向数字世界的演化,信息泄露将成为全球科技始终无法避免的“自然灾害”。
7.立法
漏洞披露、个人隐私、数据安全、关键基础设施保护、经济博弈、网络犯罪、国家安全,是制定政策法规的关键词和重要背景。网络安全已经得到全球各国政府的实际重视,并成为支撑自身发展,与他国进行政治、军事、经济博弈的关键因素之一。
2018年政府在互联网上发挥着重要作用。随着网络强国战略逐步实施推进,多部网络安全法律法规及政策文件的出台实施,将有力推进我国互联网安全管理水平,提升网络安全影响力,保障广大人民享受健康清朗的互联网应用环境,共同维护繁荣、健康、有序的网络文化环境。
8.漏洞
漏洞受到业界的极大重视并成为重要战略资源。这种重视反而限制了漏洞公布的速度和数量,许多相关的破解活动和赛事陷入低潮。与此同时,如何减少漏洞的产生以及如何进行客观的价值评价,成为各方面的关注重点。
以前漏洞大部分都是APT团伙在使用,但随着经济利益的驱使,挖矿和勒索病毒也开始使用漏洞,而且使用漏洞的种类开始增加,这就导致很多受害者,并没有下载运行可疑程序也有可能中毒。尤其是服务器,运行了很多web服务、数据库服务、开源CMS等服务,这些服务经常会出现漏洞,如果服务器没有及时更新补丁,就会被攻击者通过漏洞植入病毒,而且很多公司的外网服务器和内网是连通的,一旦服务器中毒,就可能导致局域网很多机器中毒。
三、网络安全防范建议
随着人工智能、云计算、物联网、大数据、移动互联网和区块链等技术越来越广泛的应用和融合发展,新技术应用在带来新一轮的产业变革的同时,全球性的网络安全威胁和新型网络犯罪也变得日益猖獗,重大网络安全事故频发,网络安全形势越发严峻。下面是就网络安全提出的几点防范建议:
1. 防止泄露敏感数据
无论是商业记录还是个人纳税申报表,加密最敏感的数据都是个好主意。加密可确保只有您或您提供密码的人才能访问您的文件。
2. 保护所有被攻击面
向虚拟和云环境迁移带来的明确业务利益意味着混合网络正逐渐成为标准。如果希望有效确保Office 365等基于云或SaaS的应用程序,必须采用专用于混合网络集中管理的综合解决方案。
3. 提高用户安全意识
用户行为可以成为最大的弱点。只有通过执行、监控和用户教育的相互结合,才能确保良好的安全性,特别是应对网络钓鱼、鱼叉式网络钓鱼、注册近似域名和社会工程等威胁。
4. 不要忘记远程连接管理
移动革命可以推动生产力、协作和创新,但由于经常通过个人设备进行连接,很多工作会处于网络边界以外。如果没有进行适当保护,将会对安全性造成巨大的潜在缺口。
5. 维护要求
软件维护不是迷人的,但没有它,你可能会暴露自己主要的安全漏洞。 使用移动设备和许多PC,你可以设置和忘记对移动应用程序的自动更新。 与你连接的东西,阅读用户手册,以确保自己知道如何检查更新。
6. 学会发现潜在威胁
基础设施可能包含很多潜在威胁。电子邮件收件箱里充满了等待点击的恶意附件和链接。同样,必须定期对本地和云端的所有应用程序进行扫描和打补丁,以杜绝漏洞。
7. 新攻击防御技术部署
随着当今威胁趋势的不断演化,开始出现成熟且具有目标性的零时差攻击。为了阻止这些攻击,需要通过沙箱分析和访问最新的全球威胁情报获得先进的动态保护。
8. 使用可靠的备份解决方案
一个简单可靠的备份系统可以帮助你在几分钟或几小时内从多个攻击中恢复。当由于恶意软件导致数据损坏、加密或被窃时,只需从备份中进行恢复,即可让业务重新回到正常轨道。
赤豹实验室整理了2018年影响较大的一些网络攻击及数据泄漏事件:
四、2018安全事件概述
4.1网络安全攻击事件:
国内
2月 上海某公立医院HIS系统被黑,勒索2亿“以太币”
3月 湖北某医院内网遭到挖矿病毒疯狂攻击
3月 中国某军工企业被美、俄两国黑客攻击
3月 黑客利用思科高危漏洞攻击国内多家机构
6月 A站受黑客攻击 近千万条用户数据外泄
7月 “疫苗门”后,长生生物官网被黑客攻击
8月 台湾半导体巨头台积电突遭勒索病毒入侵损失惨重
12月 “驱动人生”木马爆发
国际
1月 韩国平昌冬奥会遭黑客鱼叉式网络钓鱼攻击
1月 东京交易所Coincheck价值5.3亿美元的加密货币NEM被黑客窃取
2月 加密货币采矿软件攻击致欧洲废水处理设施瘫痪
3月 GitHub遭受有史以来最严重DDoS攻击
4月 纳斯达克数据中心被声音“攻击”,北欧交易全线中断
5月 恶意软件VPNFilter影响范围覆盖全球54个国家,超过50万台路由器和网络设备。
7月 一伙网络犯罪通过劫持40名受害者的手机SIM卡,共窃取了总额超过500万美元的加密货币。
8月 微软发现新一轮俄罗斯黑客攻击,美国中期选举或受影响
12月 NASA服务器遭黑客攻击
海某公立医院HIS系统被黑,勒索2亿”以太币”
以太币(ETH)是以太坊(Ethereum)的一种数字代币,被视为“比特币2.0版”。它采用与比特币不同的区块链技术“以太坊”(Ethereum),开发者们需要支付以太币(ETH)来支撑应用的运行。和其他数字货币一样,以太币可以在交易平台上进行买卖。
专家表示,医疗数据在黑客眼中简直就是个大金库,内有个人姓名、住址、联系方式、社会保险号码、银行账号信息、索赔数据和临床资料等海量信息。这些信息不光能在黑市上卖个好价钱、供人盗用身份,还能让人非法获取处方药、甚至骗取保险。一旦有人因此被窃取身份,小到寻医问药、大到医疗保险、信用记录都可能受影响,风险着实不容忽视。
湖北某医院内网遭到挖矿病毒疯狂攻击
2018年3月,湖北某医院内网遭到挖矿病毒疯狂攻击,导致该医院大量的自助挂号、缴费、报告查询打印等设备无法正常工作。由于这些终端为自助设备,只提供特定的功能,安全性没有得到重视,系统中没有安装防病毒产品,系统补丁没有及时更新,同时该医院中各个科室的网段没有很好的隔离,导致挖矿病毒集中爆发。
中国某军工企业被美、俄两国黑客攻击
2018年3月,安全研究人员表示,中国某军工企业被美、俄两国黑客攻击。美国黑客和俄罗斯黑客在2017年冬天入侵了中国一家航空航天军事企业的服务器,并且留下了网络间谍工具。研究人员认为这种情况比较罕见,以前从未发现俄罗斯黑客组织 APT28 与美国 CIA 的黑客组织 Lamberts (又被称为“长角牛”Longhorn)攻击同一个系统。
黑客利用思科高危漏洞攻击国内多家机构
2018年3月末,思科高危漏洞 CVE-2018-0171在清明小长假期间被黑客利用发动攻击,国内多家机构中招,配置文件被清空,安全设备形同虚设。此漏洞影响底层网络设备,且漏洞 PoC 已公开,很有可能构成重大威胁。
思科3月28日发布安全公告指出,思科 IOS 和 IOS-XE 软件 Smart Install Client (开启了Cisco Smart Install管理协议,且模式为client模式)存在远程代码执行漏洞 CVE-2018-0171,CVSS 评分高达9.8分(总分10分)。攻击者可远程向 TCP 4786 端口发送恶意数据包,触发目标设备的栈溢出漏洞造成设备拒绝服务(DoS)或远程执行任意代码。
“疫苗门”后,长生生物官网被黑客攻击
在沸沸扬扬的“疫苗门发生以后”,众多网友和社会人士都对制造不合格疫苗的 长生生物科技公司纷纷斥责。这个事情不仅仅是一个疫苗的问题,它关乎着数十万名孩子的身体安全,警方已对此事立案调查,但是社会人士却依旧难掩心中的怒火。就在7月23日上午,疫苗事件的主角长生生物科技股份有限公司官网被黑客攻破,并且配图表示“不搞你,对不起祖国的花朵!”随后经过紧急的处理,长生生物官网显示网站仍未恢复。很多网友都对这个黑客的做法点赞。
台湾半导体巨头台积电突遭勒索病毒入侵损失惨重
8月3日晚间接近午夜时分,台积电位于台湾新竹科学园区的12英寸晶圆厂和营运总部,突然传出电脑遭病毒入侵且生产线全数停摆的消息。几个小时之内,台积电位于台中科学园区的Fab 15厂,以及台南科学园区的Fab 14厂也陆续传出同样消息,这代表台积电在台湾北、中、南三处重要生产基地,同步因为病毒入侵而导致生产线停摆。
随后,台积电也对外证实此事。台积电方面称,8月3日傍晚,部分生产设备受到病毒感染,非如外传之遭受黑客攻击,公司已经控制此病毒感染范围,同时找到解决方案,受影响生产设备正逐步恢复生产。受病毒感染的程度因工厂而异,部分工厂在短时间内已恢复正常,其余工厂预计在一天内恢复正常。台积电检查发现,此次感染的病毒为“Wanna Cry”的一个变种,直接影响是,受感染后的电脑宕机或者重复开机。
“驱动人生”木马爆发
12月14日下午14点左右开始,江民病毒监测中心发现,互联网上出现了一款利用“驱动人生”升级通道,并同时利用永恒系列高危漏洞传播的木马病毒突发事件,仅数个小时受攻击用户就接近10万。普通用户无需担心,江民杀毒软件第一时间已拦截该病毒,赤豹实验室对病毒进行了详细分析并对外发布预警。
江民赤豹安全实验室研究人员介绍,该木马程序利用“驱动人生”“人生日历”等软件传播,具备远程执行代码功能,启动后会将用户计算机的详细信息发往木马服务器控制端,并接收远程指令执行下一步操作。此外,该木马还携带有“永恒之蓝”漏洞攻击组件,可利用该漏洞攻击局域网与互联网其他机器,进行传播扩散,并回传被感染电脑的IP地址、CPU型号等信息。
4.2数据泄露事件
国内
5月 国内黑客成功入侵快递公司后台:盗近亿客户信息
6月 A站受黑客攻击 近千万条用户数据外泄
6月 圆通10亿条快递数据在暗网上兜售
8月 浙江省1000万学籍数据在暗网被售卖
8月 华住旗下酒店5亿条信息泄露
9月 顺丰疑似泄露3亿条物流数据
10月 国泰航空940万乘客敏感信息外泄。
12月 陌陌数据外泄
12月 “春节抢票”导致信息泄露
国际
1月 美国国土安全部泄露24万公民敏感信息
1月 印度国家数据库 Aadhaar中11亿印度公民信息遭泄露
3月 安德玛运动品牌1.5亿用户数据泄露
3月 Facebook超过5000万名用户资料遭“剑桥分析”公司非法用来发送政治广告
4月 美国最大面包连锁店Panerabread旗下网站泄露顾客记录3700万条
6月 DNA检测公司MyHeritage泄露9200万账户
6月 谷歌Firebase平台2,271个数据库可公开访问,这些数据库中包括了1亿多条敏感信息记录
9月 瑞士数据管理公司泄露4.45亿条用户数据
9月 MongoDB数据库近1100万邮件详细信息泄露
10月 在美国2018年中期选举之前,暗网上出售20个州的选民数据,数量达到8000万之多
12月 万豪酒店5亿客户数据泄露
12月 Facebook泄露680万用户私密照片
国内黑客成功入侵快递公司后台:盗近亿客户信息
2018年5月,淮安市公安局清江浦分局接到当地某快递公司报警,称其服务的一家工艺品销售公司客户突然接到很多用户投诉,称他们在该公司购买产品后,接到了其他竞争对手的推销电话,怀疑个人信息被泄漏。
接到报案后,清江浦分局进行了初步研判,发现该公司从2017年三月至四月,有超过1万组数据被外部人员非法获取,同时公司网站后台也遭到非法入侵。
而经过技术追踪,警方发现当地其他多家快递公司的网站后台,也出现了不同程度的非法入侵,存在公民信息数据被非法获取恶现象。警方抓获9名嫌疑人,总计交货公民信息数据超过300G,近1亿条,至此,涉案嫌疑人13人全部抓获归案!
A站受黑客攻击 近千万条用户数据外泄
2018年6月,弹幕视频网AcFun公告称,因网站受黑客攻击,已有近千万条用户数据外泄,目前已报警处理,希望用户及时修改密码。公告称,用户数据泄露的数量达近千万条,原因是遭到黑客攻击。泄露的数据主要包括用户ID、昵称、加密储存的密码等。A站表示,本次事件的根本原因在于公司没有把AcFun做得足够安全,为此,官方向用户道歉,并将马上提升用户数据安全保障能力。
圆通10亿条快递数据在暗网上兜售
6月19日,一位ID为“f666666”的用户在暗网上开始兜售圆通10亿条快递数据,该用户表示售卖的数据为2014年下旬的数据,数据信息包括寄(收)件人姓名,电话,地址等信息,10亿条数据已经经过去重处理,数据重复率低于20%,并以1比特币打包出售。
并且该用户还支持用户对数据真实性进行验货,但验货费用为0.01比特币(约合431.98元),验货数据量为100万条。此验货数据是从10亿条数据里随机抽选的,每条数据完全不同,也就是说用户只要花430元人民币即可购买到100万条圆通快递的个人用户信息,而10亿条数据则需要43197元人民币。
浙江省1000万学籍数据在暗网被售卖
在8月1日下午安全人员通过暗网监测到浙江省1000万条学籍数据正在暗网上售卖。
在截图中显示,卖家称,去除无效数据后剩余1000万条,售卖的学籍数据覆盖了浙江的大部分市区,被泄露的信息包含了学生姓名、身份证、学籍号、户籍位置、监护人、监护人号码、居住地址、出生地、学校名称等。除了文字数据,售卖的学籍数据里还提供有照片链接,在100G左右。
从暗网数据截图来看,学籍信息里出生年龄分布在95年~06年,还包含了家人联系方式及照片,因此数据的真实性较高。虽然卖家说是今年最新的数据,但不排除存在有老数据的可能。而且,被泄露的学籍数据里只含有中小学生,不包含大学生,推测浙江省中小学生学籍信息管理类系统可能被黑客入侵,取走数据。
华住旗下酒店5亿条信息泄漏
华住旗下多个连锁酒店开房信息数据正在暗网出售,受到影响的酒店,包括汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等,泄露数据总数更是近 5亿!
从网络上流传的截图可以看出,黑客目前正在数据信息如下,有几大数字值得我们注意:
1. 华住官网注册资料,包括姓名、手机号、邮箱、身份证号、登录密码等,共 53 G,大约1.23 亿条记录;
2. 酒店入住登记身份信息,包括姓名、身份证号、家庭住址、生日、内部 ID 号,共 22.3 G,约 1.3 亿人身份证信息;
3. 酒店开房记录,包括内部ID账号,同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID账号、房间号、消费金额等,共66.2 G,约 2.4 亿条记录;
数据之齐全,令人咋舌。
发帖人声称,所有数据脱库时间是 8 月 14 日,每部分数据都提供 10000 条测试数据。所有数据打包售卖 8 比特币,按照当天汇率约约合 37 万人民币。而经过媒体报道之后,该发帖人称要减价至 1 比特币出售……
此次泄露的原因是华住公司程序员将数据库连接方式及密码上传到 GitHub 导致的。而数据库信息是20天前传到了Github上,而黑客拖库是在14天前,黑客很可能是利用此信息实施攻击并拖库.
顺丰疑似泄露3亿条物流数据
2018年9月,暗网交易市场有一个ID为“bijiaodiao1688”的用户,在售卖顺丰的用户数据,总量高达3亿条,包括快递寄件人、收件人的姓名、地址、电话等个人信息,售价约10万人民币。当然,黑客要求用比特币支付,2个比特币,这样别人就查不到其个人信息了。买家如果不放心,可以先发1000元或0.1个比特币,买10万条数据进行验证。这份数据当中,包括快递寄件人、收件人姓名、地址、电话,数据挺详细。
香港国泰航空声称,包含有940万乘客的敏感信息外泄。
10月25日,香港国泰航空发布公告称,该公司发现大约940万名乘客的资料曾被不当取览,涉及的个人信息包括乘客姓名、国籍、出生日期、电话号码、电邮及实际地址、护照号码、身份证号码、飞行常客计划会员号码、顾客服务备注及过往的飞行记录资料等。对此,国泰航空已就事件通知香港警察,并正知会各有关当局。
陌陌数据外泄
2018年12月3日,有爆料称,陌陌3000万数据在暗网上以50美金的价格出售。
陌陌回应称,网传数据为三年前的数据,且跟陌陌用户的匹配度极低。
“春节抢票”导致信息泄露
春节临近,抢票大战一触即发,在最火爆的春运行业,有人想要趁机分一杯羹。
近日,网络上爆出12306数据遭泄露,暗网有人兜售60万账号及410万联系人信息,且目前已有多人人购买。并提供了如下截图:
根据这条帖子的内容,这份数据包括60万账户信息,详细到除了ID、手机号、密码之外,连姓名、身份证、邮箱、问题及答案竟然都有,根据安全问题很可能能够直接申诉获取其它平台账户的重要信息。
此外,还包括每个账户中添加的联系人信息,设计姓名及身份证号,这些联系人数据总量高达410万。帖子中还给出了50条随机数据的全部信息。根据爆料者透露,这些账户数据经过验证基本是真实。很快就出现了交易信息,但包含如此详细信息的数据交易价格却非常低,仅20美金,还不到140人民币。
4.3其他重大安全事件概述:
1月 英特尔处理器曝“Meltdown”和“Spectre漏洞”
2月 苹果IOS iBoot源码泄露
5月 区块链平台EOS现史诗级系列高危安全漏洞
5月 Git曝任意代码执行漏洞
7月 微信支付SDK曝XXE漏洞,攻击者可免费获取商品
9月 恶意软件XBash曝光,针对Linux及Windows系统
9月 新型僵尸勒索软件Virobot通过微软Outlook广泛传播
12月 “微信支付”勒索病毒曝光,10万多台电脑被感染
英特尔处理器曝“Meltdown”和“Spectre漏洞”
Intel处理器被爆出存在硬件上的漏洞,该漏洞源于芯片硬件层面的一处设计BUG。这个BUG会允许程序窃取当前在计算机上处理的数据,并且影响Windows, MacOS, Linux。由于涉及硬件,该漏洞无法通过芯片的微码(microcode)更新进行修复,需要通过内核级别的修复来解决,并且据研究表明,修复该漏洞会牺牲5%-30%的性能。
其中Meltdown指CPU上存在的恶意的数据缓存载入漏洞,Spectre指绕过边界检查漏洞和分支目标注入漏洞。目前中高端CPU具有预测执行的功能来提高效率,即处理器会“记忆”之前执行过的指令,下次指令要读取的数据会被提前加入达到缓存中。黑客可以根据内存和缓存访问的速度差异推测出内核数据存在的内存块,从而非法读取数据,用户的密码、住址等各项重要信息都会被暴露。
苹果IOS iBoot源码泄露
Motherboard 和 Redmond Pie 发布报告称他们在代码分享网站 GitHub 上发现了 iPhone 操作系统的核心组件源码,这些源码现在处于公开状态,如果一旦被黑客利用,不仅越狱工具会井喷,数以亿计 iOS 设备的安全性也将受到威胁。
据悉,泄露的代码属于 iBoot,iBoot 是 iOS 安全系统的重要组成部分,大家能够把它当做是 Windows 电脑的 BIOS 系统。这些源码最开始在 Reddit 上被在线共享,而今天出现在 GitHub 上意味着它已经被大量开发者下载。
不少安全专家表示,这些代码确实来自 iOS ,属于 iOS 9,虽然这是一个老系统了,和现在最新的 iOS 11.2.5 也没有很多重合的源码,但谁也不能说二者100%没有重合。不过好在现在的 iOS 设备都有 Secure Enclave 提供保护,而且这份泄露的源码缺少文件,还不能被完全编译,所以此次泄露不会导致大量 iOS 设备直接受到攻击。
区块链平台EOS现史诗级系列高危安全漏洞
2018年5月,区块链平台 EOS 被爆出的一系列高危安全漏洞。经验证,其中部分漏洞可以在 EOS 节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管 EOS 上运行的所有节点。
在攻击中,攻击者会构造并发布包含恶意代码的智能合约,EOS 超级节点将会执行这个恶意合约,并触发其中的安全漏洞。攻击者再利用超级节点将恶意合约打包进新的区块,进而导致网络中所有全节点(备选超级节点、交易所充值提现节点、数字货币钱包服务器节点等)被远程控制。
由于已经完全控制了节点的系统,攻击者可以“为所欲为”,如窃取 EOS 超级节点的密钥,控制 EOS 网络的虚拟货币交易;获取 EOS 网络参与节点系统中的其他金融和隐私数据,例如交易所中的数字货币、保存在钱包中的用户密钥、关键的用户资料和隐私数据等等。
更有甚者,攻击者可以将 EOS 网络中的节点变为僵尸网络中的一员,发动网络攻击或变成免费“矿工”,挖取其他数字货币。
EOS 是被称为“区块链3.0”的新型区块链平台,目前其代币市值高达 690 亿人民币,在全球市值排名第五。网络安全领域专家称,这类型的安全问题不仅仅影响 EOS,也可能影响其他类型的区块链平台与虚拟货币应用
GIt曝任意代码漏洞
Git 社区于2018年5月发现 Git 存在一个漏洞,允许黑客执行任意代码。 他敦促开发人员尽快更新客户端应用程序。 微软还采取了进一步措施,防止恶意代码库被推入微软的 VSTS(Visual Studio Team Services)
此代码是 CVE 2018-11235 中的一个安全漏洞。 当用户在恶意代码库中操作时,他们可能会受到任意代码执行攻击。 远程代码存储库包含子模块定义和数据,它们作为文件夹捆绑在一起并提交给父代码存储库。 当这个代码仓库被来回复制时,Git 最初会将父仓库放到工作目录中,然后准备复制子模块。
但是,Git 稍后会发现它不需要复制子模块,因为子模块之前已经提交给父存储库,它也被写入工作目录,这个子模块已经存在于磁盘上。 因此,Git 可以跳过抓取文件的步骤,并直接在磁盘上的工作目录中使用子模块。
但是,并非所有文件都可以被复制。 当客户端复制代码库时,无法从服务器获取重要的配置。 这包括 .git 或配置文件的内容。 另外,在 Git 工作流中的特定位置执行的钩子(如Git)将在将文件写入工作目录时执行 Post-checkout 钩子。
不应该从远程服务器复制配置文件的一个重要原因就是,远程服务器可能提供由 Git 执行的恶意代码。CVE 2018-11235 的漏洞正是犯了这个错误,所以 Git 有子模块来设置漏洞。 子模块存储库提交给父存储库,并且从未实际复制过。子模块存储库中可能存在已配置的挂钩。 当用户再次出现时,恶意的父库会被精心设计。将写入工作目录,然后 Git 读取子模块,将这些子模块写入工作目录,最后一步执行子模块存储库中的任何 Post-checkout 挂钩。
微信支付SDK曝XXE漏洞,攻击者可免费获取商品
2018年7月,微信支付的SDK曝出重大漏洞(XXE漏洞),通过该漏洞,攻击者可以获取服务器中目录结构、文件内容,如代码、各种私钥等。获取这些信息以后,攻击者便可以为所欲为,其中就包括众多媒体所宣传的“0元也能买买买”。
根据白帽子给出的漏洞描述,使用微信支付时,商家需要提供通知网址以接受异步支付结果。 问题是微信在JAVA版本SDK中的实现存在一个xxe漏洞。 攻击者可以向通知URL构建恶意payload,根据需要窃取商家服务器的任何信息。 一旦攻击者获得商家的关键安全密钥(md5-key和merchant-Id等),就可以通过发送伪造信息来欺骗商家购买任何东西而无需付费。
恶意软件XBash曝光,针对Linux及Windows系统
Palo Alto Networks的安全研究人员发现了一种新的恶意软件,被称为Xbash,主要针对Linux和Microsoft Windows服务器。恶意代码结合了不同恶意软件的功能,如勒索软件,挖矿软件,僵尸网络和蠕虫。在被感染的Linux系统中发现了僵尸网络和勒索软件功能,而在被感染的Windows服务器中则发现了挖矿行为。
Xbash是使用Python开发的,恶意软件作者通过滥用合法工具PyInstaller进行分发,转换为自包含的Linux ELF可执行文件。恶意代码结合了不同恶意软件的功能,如勒索软件,加密货币挖矿软件,僵尸网络和蠕虫。Xbash拥有勒索软件的核心功能,同时还具有自传播性(意味着它具有类似于WannaCry或Petya/NotPetya的蠕虫特征)。
新型僵尸勒索软件Virobot通过微软Outlook广泛传播
根据一份披露的安全报告,一种全新的僵尸网络勒索软件Virobot正通过微软Outlook进行大肆传播。报告中指出该恶意软件同时兼具僵尸网络和勒索软件的特征,在微软Outlook上以垃圾邮件的方式进行传播。
报告中写道:“Virobot首次发现于2018年9月17日,是对臭名昭著的Locky勒索软件变种分析7天之后发现的。一旦感染Virobot,它就会检查注册表键值(计算机GUID和产品秘钥)来确认系统是否应该加密。然后通过加密随机数生成器(Random Number Generator)来生成加密和解密你要。此外伴随着生成的秘钥,Virobot还会将收集的受害者数据通过POST发送到C&C 服务器 上。”
“微信支付”勒索病毒曝光,10万多台电脑被感染
微信,作为现在大多数人几乎每天都要使用,已经成为生活中必不可少的移动交流和支付工具,而12月1日爆发了”微信支付”勒索病毒并快速传播,感染的电脑数量越来越多。病毒团伙入侵并利用豆瓣的C&C服务器,除了锁死受害者文件勒索赎金(支付通道已经关闭),还大肆偷窃支付宝等密码。
据江民安全团队分析,病毒作者首先攻击软件开发者的电脑,感染其用以编程的”易语言”中的一个模块,导致开发者所有使用”易语言”编程的软件均携带该勒索病毒。广大用户下载这些”带毒”软件后,就会感染该勒索病毒。整个传播过程并不复杂,但污染”易语言”后再感染软件的方式却比较罕见。
五、总结:
从网络攻击、恶意软件到数据泄露,网络安全形势日益严峻,变化越来越快。无论是个人消费者,还是企业,都应当重视网络安全发展,注意网络安全态势。未来我们即将迎来一个万物互联的时代,网络安全不仅单单影响互联网的稳定,也关系到数据,业务,财产乃至国家安全,只有走在威胁的前面,才能有效及时得防止威胁。鉴于当前全球安全态势的性质,我们需要思考自身当前安全策略,树立新时代的网络安全观,与时俱进,才能够应对当下乃至未来更严峻的网络安全威胁。
(本报告来源于江民赤豹网络安全实验室)
来源:freebuf.com 2019-01-07 15:43:03 by: 江民安全实验室
请登录后发表评论
注册