1、勞動(dòng)管理平臺Kronos遭到勒索軟件攻擊

勞動(dòng)管理平臺Kronos遭到勒索軟件攻擊，它說(shuō)這將會(huì )使其云端服務(wù)在幾周內無(wú)法使用。它建議客戶(hù)使用其他方式來(lái)完成工資核算和其他人力資源活動(dòng)。這次故障給客戶(hù)帶來(lái)了災難性的后果。

Kronos提供了一系列的解決方案，包括員工的日程安排、薪酬管理、工資和工時(shí)、福利管理、休假管理、人才招聘、入職培訓等內容。它的客戶(hù)包括很多世界上最大的公司，如特斯拉和彪馬，以及各種衛生、公共部門(mén)和知名大學(xué)、基督教青年會(huì )等組織，以及餐館和零售商等小型企業(yè)。

在周日下午晚些時(shí)候發(fā)給Kronos私有云(KPC)的客戶(hù)信息中，該公司表示，從周六開(kāi)始，有幾個(gè)解決方案已經(jīng)開(kāi)始使用了。

該公司在通知中說(shuō)，目前，我們還沒(méi)有一個(gè)準確的恢復時(shí)間，這個(gè)問(wèn)題可能至少需要幾天才能解決。該公司在周一的更新中把這個(gè)時(shí)間段擴大到了可能需要幾周。我們建議那些受影響的客戶(hù)使用其他計劃來(lái)處理考勤數據，進(jìn)行工資處理，管理時(shí)間，以及其他對該組織很重要的相關(guān)操作。

#?普普點(diǎn)評?#

這種情況表明，企業(yè)必須積極準備應對勒索軟件攻擊。他說(shuō)：'這次攻擊使人們認識到，企業(yè)需要快速有效制定容災恢復和持續運營(yíng)計劃。企業(yè)越是嚴重依賴(lài)技術(shù)服務(wù)，就越需要有一個(gè)在沒(méi)有這些服務(wù)的情況下依然能夠運行的計劃。索軟件團伙經(jīng)常將攻擊的時(shí)間定在假期內組織人手不足的時(shí)候，他們希望攻擊耗費更長(cháng)的時(shí)間才被發(fā)現，那么應急響應的時(shí)間也會(huì )用的更多。

2、多個(gè)勒索軟件團伙利用VMware的Log4Shell漏洞

日前，英國國民保健署(NHS)警告稱(chēng)，黑客們正在大肆利用VMware Horizon虛擬桌面平臺中的Log4Shell漏洞，以部署勒索軟件及其他惡意程序包。隨后，微軟證實(shí)，一個(gè)名為DEV-0401的勒索軟件團伙在1月4日就利用了VMware Horizon中的漏洞(CVE-2021-44228)。微軟表示：“我們的調查表明，這些活動(dòng)有些已成功入侵目標系統，并部署了NightSky勒索軟件?！?/span>

微軟的調查結果為NHS的早期警報提供了新線(xiàn)索，NHS警告稱(chēng)：“攻擊者肆意利用VMware Horizon服務(wù)器中的Log4Shell漏洞，企圖建立Web Shell?！惫粽呖梢允褂眠@些Web Shell，部署惡意軟件和勒索軟件以及泄露數據。為了應對這起安全事件，NHS和VMware都敦促用戶(hù)盡快修補受影響的系統，以及/或者實(shí)施安全公告中提到的變通辦法。

VMware發(fā)言人表示：“凡是連接到互聯(lián)網(wǎng)，但尚未針對Log4j漏洞打補丁的服務(wù)都很容易受到黑客攻擊，VMware強烈建議立即采取措施?！睋私?，在本月早些時(shí)候安全研究組織MalwareHunterTeam發(fā)現，NightSky是一個(gè)比較新的勒索軟件團伙，在去年年底開(kāi)始活躍起來(lái)。繼Log4Shell漏洞之后，安全研究人員警告類(lèi)似的漏洞可能很快會(huì )出現。

#?普普點(diǎn)評?#

H2是一款流行的開(kāi)源數據庫管理系統，用Java編寫(xiě)，它廣泛應用于眾多平臺，包括Spring Boot和ThingWorks。該系統可以嵌入到Java應用程序中，或在客戶(hù)端-服務(wù)器模式下運行。據JFrog和飛塔的FortiGuard Labs介紹，該系統提供了一種輕量級內存中服務(wù)，不需要將數據存儲在磁盤(pán)上。與Log4Shell相似，該漏洞可允許H2數據庫框架中的幾條代碼路徑將未經(jīng)過(guò)濾的攻擊者控制的URL傳遞給啟用遠程代碼執行的函數。

3、FIN7組織通過(guò)郵寄惡意U盤(pán)來(lái)投放勒索軟件

美國聯(lián)邦調查局周五警告說(shuō)，勒索軟件團伙正在郵寄惡意的U盤(pán)，冒充美國衛生與公眾服務(wù)部(HHS)和亞馬遜集團，針對運輸、保險和國防行業(yè)進(jìn)行勒索軟件感染攻擊。

聯(lián)邦調查局在發(fā)給各個(gè)組織的安全警報中說(shuō)，FIN7--又名Carbanak或Navigator Group，是使用Carbanak后門(mén)惡意軟件進(jìn)行攻擊的網(wǎng)絡(luò )犯罪團伙，其攻擊經(jīng)常以獲取經(jīng)濟利益為目的。

FIN7從2015年就已經(jīng)開(kāi)始存在了。最初，該團伙通過(guò)使用其定制的后門(mén)惡意軟件來(lái)維持對目標公司的持續訪(fǎng)問(wèn)權限，以及使用間諜軟件來(lái)針對銷(xiāo)售點(diǎn)(PoS)系統進(jìn)行攻擊而逐漸為民眾所熟知。它的攻擊目標往往是休閑餐廳、賭場(chǎng)和酒店。但在2020年，FIN7也開(kāi)始涉足勒索軟件以及游戲領(lǐng)域，其攻擊活動(dòng)經(jīng)常會(huì )使用REvil或Ryuk作為有效攻擊載荷。

聯(lián)邦調查局說(shuō)，在過(guò)去的幾個(gè)月里，FIN7將惡意的USB設備郵寄給美國公司，希望有人能夠把它插到驅動(dòng)器上，然后利用惡意軟件來(lái)感染系統，從而為以后的勒索軟件攻擊做好準備。

#?普普點(diǎn)評?#

BadUSB攻擊是利用了USB固件中的一個(gè)固有漏洞，該漏洞能夠使攻擊者對USB設備進(jìn)行重新編程，使其能夠作為一個(gè)人機交互設備，即作為一個(gè)預裝了自動(dòng)執行腳本的惡意USB鍵盤(pán)。重新編程后，USB可以被用來(lái)在受害者的電腦上執行惡意命令或運行惡意程序。端點(diǎn)保護軟件也可以幫助防止這些攻擊，它可以很好的保證用戶(hù)的安全性。

4、惡意軟件偽裝成系統更新 通殺Win Mac Linux三大系統

能同時(shí)攻擊Windows、Mac、Linux三大操作系統的惡意軟件出現了。雖然“全平臺通殺”病毒并不常見(jiàn)，但是安全公司Intezer的研究人員發(fā)現，有家教育公司在上個(gè)月中了招。更可怕的是，他們通過(guò)分析域名和病毒庫發(fā)現，這個(gè)惡意軟件已經(jīng)存在半年之久，只是直到最近才被檢測到。

他們把這個(gè)惡意軟件命名為SysJoker。SysJoker核心部分是后綴名為“.ts”的TypeScript文件，一旦感染就能被遠程控制，方便黑客進(jìn)一步后續攻擊，比如植入勒索病毒。SysJoker用C++編寫(xiě)，每個(gè)變體都是為目標操作系統量身定制，之前在57個(gè)不同反病毒檢測引擎上都未被檢測到。

那么SysJoker到底是如何通殺三大系統的？SysJoker的感染步驟；SysJoker在三種操作系統中的行為類(lèi)似，下面將以Windows為例展示SysJoker的行為。首先，SysJoker會(huì )偽裝成系統更新。一旦用戶(hù)將其誤認為更新文件開(kāi)始運行，它就會(huì )隨機睡眠90到120秒，然后在目錄下復制自己，并改名為igfxCUIService.exe，偽裝成英特爾圖形通用用戶(hù)界面服務(wù)。接下來(lái)，它使用Live off the Land（LOtL）命令收集有關(guān)機器的信息，包括MAC地址、IP地址等。

#?普普點(diǎn)評?#

SysJoker現在被殺毒軟件檢測出的概率很低，但發(fā)現它的Intezer公司還是提供了一些檢測方法。用戶(hù)可以使用內存掃描工具檢測內存中的SysJoker有效負載，或者使用檢測內容在EDR或SIEM中搜索。具體操作方法可以參見(jiàn)Intezer網(wǎng)站。已經(jīng)感染的用戶(hù)也不要害怕，Intezer也提供了手動(dòng)殺死SysJoker的方法。用戶(hù)可以殺死與SysJoker相關(guān)的進(jìn)程，刪除相關(guān)的注冊表鍵值和與SysJoker相關(guān)的所有文件。

5、一文了解漏洞利用鏈：含義、風(fēng)險、用例及緩解建議

漏洞利用鏈(也稱(chēng)為漏洞鏈)是將多個(gè)漏洞利用組合在一起以危害目標的網(wǎng)絡(luò )攻擊方式。與專(zhuān)注于單一入口點(diǎn)相比，網(wǎng)絡(luò )犯罪分子更喜歡使用它們來(lái)破壞設備或系統，以獲得更大的破壞力或影響。

Forrester分析師Steve Turner表示，漏洞利用鏈攻擊的目標是獲得內核/根/系統級別的訪(fǎng)問(wèn)權限來(lái)破壞系統以執行攻擊活動(dòng)。漏洞利用鏈允許攻擊者通過(guò)使用正常系統進(jìn)程中的漏洞，繞過(guò)眾多防御機制來(lái)快速提權自己，從而融入組織的環(huán)境中。

雖然漏洞利用鏈攻擊通常需要花費網(wǎng)絡(luò )犯罪分子更多的時(shí)間、精力和專(zhuān)業(yè)技能，但將漏洞利用組合在一起，允許惡意行為者執行更復雜且難以修復的攻擊，這具體取決于漏洞序列的長(cháng)度和復雜程度。

漏洞利用鏈給組織帶來(lái)的風(fēng)險將是巨大的。Vulcan Cyber研究團隊負責人Ortal Keizman表示，不幸的現實(shí)是，IT安全團隊背負著(zhù)這樣一個(gè)事實(shí)：幾乎所有漏洞利用都利用了已知漏洞和漏洞利用鏈，而這些漏洞由于各種原因尚未得到緩解。

#?普普點(diǎn)評?#

漏洞利用鏈最常用于移動(dòng)設備。鑒于手機架構的性質(zhì)，需要使用多種漏洞來(lái)獲取root訪(fǎng)問(wèn)權限，以執行移動(dòng)惡意軟件所需的操作。針對瀏覽器漏洞的利用鏈同樣存在可能性，攻擊者可以使用網(wǎng)絡(luò )釣魚(yú)電子郵件將用戶(hù)引導到網(wǎng)頁(yè)，然后再發(fā)起“路過(guò)式”(drive-by)攻擊以利用瀏覽器漏洞。然后將它們與第二個(gè)漏洞鏈接以執行沙盒逃逸，然后是第三個(gè)漏洞以獲取權限提升。

6、您對網(wǎng)絡(luò )威脅51%攻擊知多少？

區塊鏈的去中心化性質(zhì)和加密算法使其幾乎不可能受到攻擊。然而，以太經(jīng)典(Ethereum Classic)區塊鏈淪為了51%攻擊(51% attack)的受害者，估計因此損失110萬(wàn)美元。那么，51%攻擊是如何發(fā)生的?它的影響怎樣?

51%攻擊，較常見(jiàn)的字面意思是：只要算力超過(guò)51%，就能對某個(gè)系統發(fā)動(dòng)攻擊，這個(gè)系統就存在中心化或者被攻破的可能性。它是一種區塊鏈滲入，可能導致網(wǎng)絡(luò )中斷，最終導致挖礦壟斷。一旦礦工(miner、是指嘗試創(chuàng )建區塊并添加到區塊鏈上的人或者機器，同時(shí)也指代做這個(gè)事情的軟件)。當一個(gè)新的有效的區塊被創(chuàng )建時(shí)，比特幣協(xié)議自動(dòng)分發(fā)一定數量的比特幣給相應的礦工，作為工作的獎賞)、組織或某個(gè)實(shí)體對區塊鏈網(wǎng)絡(luò )上的算力獲得超過(guò)50%的控制權，就會(huì )發(fā)生這種攻擊。

攻擊的結果是，攻擊者獲得訪(fǎng)問(wèn)權，阻止礦工挖礦、取消交易，最終卷走根本不屬于他們的被盜貨幣。如果區塊鏈網(wǎng)絡(luò )被劫持，攻擊者將擁有足夠的挖礦能力來(lái)篡改交易。這意味著(zhù)他們可以篡改訂購交易，可以停止所有挖礦活動(dòng)。

#?普普點(diǎn)評?#

任何新興技術(shù)(包括區塊鏈和加密貨幣)都可能遇到各種風(fēng)險和漏洞，這正是我們需要了解51%攻擊的原因。雖然更多的技術(shù)有望規避這種攻擊，但網(wǎng)絡(luò )滲入仍不可避免。從好的方面來(lái)說(shuō)，這類(lèi)攻擊給了行業(yè)和企業(yè)學(xué)習和改進(jìn)的正當理由。盡管51%攻擊可能很危險，但它也有一些缺陷，如51%攻擊無(wú)法操縱按照礦工區塊給予的獎勵;攻擊者無(wú)力創(chuàng )建交易。

7、像搭“樂(lè )高”一樣實(shí)現整合式網(wǎng)絡(luò )安全體系

部署多種防護產(chǎn)品，卻無(wú)法形成防御合力，是當前很多企業(yè)網(wǎng)絡(luò )安全建設都面臨的挑戰。網(wǎng)絡(luò )安全能力整合是企業(yè)的剛需，也是行業(yè)發(fā)展的大勢所趨。雖然Gartner 提出的網(wǎng)絡(luò )安全網(wǎng)格架構（CSMA，Cybersecurity Mesh Architecture )印證了這種趨勢，但如何實(shí)現網(wǎng)絡(luò )安全能力的整合則是廣大企業(yè)當下最緊迫的任務(wù)。

企業(yè)安全能力的整合不是一蹴而就，更不能推倒重來(lái)。企業(yè)需要在先進(jìn)、完善網(wǎng)絡(luò )安全框架指導下，借助能夠協(xié)同調度的接口，在對企業(yè)多年來(lái)部署的安全防護產(chǎn)品“利舊”的同時(shí)，合理規劃增補新的安全產(chǎn)品和模塊，實(shí)現全面覆蓋、深度集成、動(dòng)態(tài)協(xié)同的“網(wǎng)絡(luò )安全網(wǎng)格平臺”打造。

樂(lè )高積木作為世界上最為流行的玩具之一，受到不同年齡段人群的喜愛(ài)。其每個(gè)組件本身形態(tài)各異、功能不一。通過(guò)將它顏色各異、類(lèi)型不同的模塊，通過(guò)標準化的接口實(shí)現相互兼容、耦合，再結合獨特的框架設計，就能發(fā)生奇妙的“化學(xué)”反應。這與企業(yè)網(wǎng)絡(luò )安全建設不謀而合。不同類(lèi)型的模塊、標準化的接口加上獨特的框架設計，成為樂(lè )高積木風(fēng)靡全球的三大關(guān)鍵核心。

#?普普點(diǎn)評?#

Fortinet 像搭 “樂(lè )高”一樣整合網(wǎng)絡(luò )安全體系。Fortinet Security Fabric安全架構作為一個(gè)全面覆蓋、深度集成和動(dòng)態(tài)協(xié)同的 “網(wǎng)絡(luò )安全網(wǎng)格平臺”，提供集中管理和可見(jiàn)性，支持在一個(gè)龐大的解決方案生態(tài)系統中協(xié)同運行，自動(dòng)適應網(wǎng)絡(luò )中的動(dòng)態(tài)變化。在為企業(yè)客戶(hù)帶來(lái)一種集成的安全方案，打造整合安全體系，推動(dòng)企業(yè)數字化轉型上有著(zhù)“樂(lè )高”式的優(yōu)勢。