普普安全資訊一周概覽(0108-0114)

作者:

時(shí)間:
2022-01-14
01

如何用DMARC防止網(wǎng)絡(luò )釣魚(yú)?

DMARC是電子郵件身份驗證的全球標準,允許發(fā)件人驗證電子郵件是否確實(shí)出自其所聲稱(chēng)的來(lái)源。DMARC有助于遏制垃圾郵件和網(wǎng)絡(luò )釣魚(yú)攻擊等當今盛行的網(wǎng)絡(luò )犯罪形式。近些年,Gmail、雅虎和很多其他大型電子郵件提供商都已經(jīng)實(shí)現了DMARC,并盛贊其防護效果。

如果你公司的域名是bankofamerica.com,想必你不希望有網(wǎng)絡(luò )攻擊者能夠頂著(zhù)這個(gè)域名發(fā)送電子郵件。這樣會(huì )令品牌聲譽(yù)面臨風(fēng)險,還可能傳播金融類(lèi)惡意軟件。DMARC標準通過(guò)檢查電子郵件是否來(lái)自預期的IP地址或域名來(lái)防止這種情況。該標準規定了存在身份驗證或遷移問(wèn)題時(shí)該如何聯(lián)系域名并提供取證信息,以便發(fā)件人能夠監測電子郵件流量和隔離可疑電子郵件。

域名欺騙是大多數電子郵件欺騙類(lèi)網(wǎng)絡(luò )釣魚(yú)攻擊的前兆。此類(lèi)攻擊過(guò)程中,攻擊者偽造合法電子郵件地址或域名,并向公司客戶(hù)發(fā)送含有網(wǎng)絡(luò )釣魚(yú)鏈接和勒索軟件的虛假電子郵件。毫無(wú)戒心的收件人認為欺騙性電子郵件來(lái)自他們認識且信任的公司,并最終向攻擊者透露其公司信息或銀行往來(lái)信息,從而被釣魚(yú)。公司的聲譽(yù)由此受到影響,客戶(hù)和潛在客戶(hù)也因此流失。


普普點(diǎn)評

網(wǎng)絡(luò )罪犯試圖通過(guò)虛假網(wǎng)站和偽造域名誘騙受害者交出信用卡號和密碼等敏感信息的行為,就叫做網(wǎng)絡(luò )釣魚(yú)。電子郵件欺騙攻擊的歷史可謂悠久。電子郵件欺騙是攻擊者采用的一種欺騙性策略,用來(lái)篡改電子郵件發(fā)件人的身份標識和郵件的表面來(lái)源。DMARC有助于驗證電子郵件的來(lái)源并阻止接收和打開(kāi)虛假電子郵件,同時(shí)間接減少通過(guò)虛假公司域名實(shí)施的網(wǎng)絡(luò )釣魚(yú)攻擊。




02

谷歌收購S(chǎng)iemplify,獨立SOAR廠(chǎng)商將何去何從?

日前,谷歌稱(chēng)收購了安全編排、自動(dòng)化和響應( SOAR )供應商 Siemplify ,將這項安全功能收入囊中。據報道, Siemplify 之前籌到了 5800 萬(wàn)美元的風(fēng)險投資,谷歌斥資 5 億美元收購了該公司,但雙方均未披露交易的財務(wù)條款。分析師們認為,這宗交易預示著(zhù)獨立 SOAR 市場(chǎng)和安全信息與事件管理( SIEM )市場(chǎng)將迎來(lái)變局。

Siemplify 成立于 2015 年,它聲稱(chēng)提供的 SOAR 平臺可以實(shí)現端到端管理、更迅捷的威脅響應以及跨工作流程的可見(jiàn)性,從而提升安全運營(yíng)中心的性能。這家供應商在 2020 年推出一款云原生 SOAR 平臺。谷歌計劃將 Siemplify 整合到 Chronicle安全分析平臺中。Chronicle 是一家網(wǎng)絡(luò )安全公司,起初是谷歌母公司 Alphabet X 研究實(shí)驗室的一部分,隨后成為一家獨立公司。

研究公司 Forrester 分析師 Allie Mellen 表示:“實(shí)際上自一開(kāi)始, SOAR 工具對谷歌的 Chronicle 產(chǎn)品而言就一直是缺失環(huán)節,因為其他安全分析平臺早在 2017 年就開(kāi)始直接整合了 SOAR ?!惫雀柙瓢踩笨偛眉婵偨?jīng)理 Sunil Potti 表示:“此次收購 Siemplify ,將通過(guò) SOAR 幫助企業(yè)實(shí)現安全運營(yíng)的現代化和自動(dòng)化?!?/span>


普普點(diǎn)評

Siemplify 是少數幾家獨立 SOAR 供應商之一,其他供應商不是被 SIEM 供應商收購,就是使用威脅情報平臺等其他產(chǎn)品壯大各自的產(chǎn)品組合。這宗收購表明,安全團隊在尋找“一個(gè)統一的安全管理平臺,他們可以從檢測、調查到響應編排的整個(gè)事件響應生命周期中使用該平臺。擴展檢測和響應( XDR )就是個(gè)典例,這種統一平臺把 SOAR 、 SIEM 、端點(diǎn)檢測等功能結合到服務(wù)( SaaS )平臺中,實(shí)現安全數據和事件響應的集中管理。



03

All in One SEO插件漏洞威脅三百萬(wàn)網(wǎng)站的安全

一個(gè)名為All in One SEO的非常流行的WordPress SEO優(yōu)化插件含有一對安全漏洞,當這些漏洞組合成一個(gè)漏洞鏈進(jìn)行利用時(shí),可能會(huì )使網(wǎng)站面臨著(zhù)被接管的風(fēng)險。有超過(guò)300萬(wàn)個(gè)網(wǎng)站在使用該插件。據Sucuri的研究人員稱(chēng),那些擁有網(wǎng)站賬戶(hù)的攻擊者如訂閱者、購物賬戶(hù)持有人或會(huì )員可以利用這些漏洞,這些漏洞包括一個(gè)權限提升漏洞和一個(gè)SQL注入漏洞。

研究人員在周三的一篇帖子中說(shuō),WordPress網(wǎng)站會(huì )默認允許網(wǎng)絡(luò )上的任何用戶(hù)創(chuàng )建一個(gè)賬戶(hù),在默認情況下,新賬戶(hù)除了能夠寫(xiě)評論外沒(méi)有任何特權。然而,由于某些漏洞的出現,如剛剛發(fā)現的漏洞,則允許這些訂閱用戶(hù)擁有比他們原定計劃多得多的特權。

Sucuri表示,這對漏洞已經(jīng)很成熟了,很容易被利用,所以用戶(hù)應該升級到已打補丁的版本,即4.1.5.3版。一般認為是Automattic的安全研究員Marc Montpas發(fā)現了這些漏洞。在這兩個(gè)漏洞中更為嚴重的是特權提升漏洞,它影響到All in One SEO的4.0.0和4.1.5.2版本。在CVSS漏洞嚴重程度表上,它的嚴重程度為9.9(滿(mǎn)分10分)。


普普點(diǎn)評

WordPress插件仍然是所有網(wǎng)絡(luò )應用的一個(gè)主要風(fēng)險,它們仍然是攻擊者的常規攻擊目標。通過(guò)第三方插件和框架所引入的惡意代碼可以極大地擴展網(wǎng)站的攻擊面。網(wǎng)站的所有者需要對第三方插件和框架保持警惕,并保持安全更新,他們應該使用網(wǎng)絡(luò )應用程序防火墻來(lái)保護他們的網(wǎng)站,以及使用可以發(fā)現他們網(wǎng)站上存在惡意代碼的解決方案。



04

預計 2025 年,反病毒軟件市場(chǎng)規模將達到 45.4 億美元
HelpnetSecurity 網(wǎng)站披露,2020 年全球防病毒軟件市場(chǎng)規模約 38 億美元,預計到 2021 年將達到 39.2億美元,復合年增長(cháng)率(CAGR)為 3.2%。另外,根據 ResearchAndMarkets 的數據顯示,預計在 2025年市場(chǎng)規模會(huì )達到 45.4 億美元,年復合增長(cháng)率為 3.8%。
殺毒軟件市場(chǎng)由實(shí)體(組織、獨資企業(yè)和合伙企業(yè))銷(xiāo)售的殺毒軟件組成,這些軟件主要通過(guò)掃描、檢測和刪除病毒來(lái)保護計算機免受病毒侵害?,F階段,反病毒軟件能夠監控大部分程序的活動(dòng),對任何有問(wèn)題行為進(jìn)行標記,之后進(jìn)行清除。大多數殺毒軟件在后臺運行,對病毒攻擊提供實(shí)時(shí)保護。
目前,殺毒軟件市場(chǎng)主流供應商包括賽門(mén)鐵克、McAfee、ESET、趨勢科技、F-Secure、微軟公司、Cheetah Mobile、AVG Technologies、奇虎360、Quick Heal、騰訊、Comodo Cybersecurity、卡巴斯基、AhnLab Inc、Ad-Aware、熊貓安全、Lavasoft等。
根據印度軟件公司 Tracxn Technologies Limited 發(fā)布的 2021 報告顯示,Malwarebytes、Avast、熊貓安全、奇虎360科技、AVG科技等公司都在使用基于云的防病毒解決方案。值得一提的是,在印度,僅在2020年就有116萬(wàn)起網(wǎng)絡(luò )安全案件登記。

普普點(diǎn)評

網(wǎng)絡(luò )攻擊是一種基于網(wǎng)絡(luò )空間的攻擊,旨在故意擾亂、禁用、破壞或操縱計算機或其他設備。隨著(zhù)網(wǎng)絡(luò )技術(shù)發(fā)展,網(wǎng)絡(luò )環(huán)境逐漸走向危險,使用病毒或惡意軟件對計算機、筆記本電腦和手機進(jìn)行黑客攻擊和數據泄露的情況有所增加。防病毒軟件的出現,可以很好阻止病毒或惡意軟件進(jìn)入設備,遏制網(wǎng)絡(luò )攻擊。



05

17家大公司的110萬(wàn)個(gè)賬戶(hù)被破壞

根據紐約州的一項調查顯示,在針對17家不同公司的一系列憑證篡改攻擊中,已經(jīng)有超過(guò)110萬(wàn)個(gè)在線(xiàn)賬戶(hù)遭到了破壞。

憑證填充攻擊,如去年對Spotify的攻擊,攻擊者使用自動(dòng)腳本對在線(xiàn)賬戶(hù)進(jìn)行了大量的用戶(hù)名和密碼組合的嘗試,并試圖接管它們。一旦進(jìn)入到賬戶(hù)內,網(wǎng)絡(luò )犯罪分子就可以利用被攻擊的賬戶(hù)達到各種目的。并以此作為入口,深入到受害者的機器和網(wǎng)絡(luò ),提取出賬戶(hù)的敏感信息。

由于用戶(hù)使用了重復的密碼和使用一些常見(jiàn)的容易猜解的密碼,如 '123456',這種攻擊往往會(huì )成功。它們給企業(yè)造成的損失很高,Ponemon研究所的 '憑證填充攻擊成本' 報告發(fā)現,企業(yè)平均每年會(huì )因憑證填充攻擊而損失600萬(wàn)美元,這些都表現為應用程序停機、客戶(hù)流失和IT成本增加。

安全意識倡導者James McQuiggan通過(guò)電子郵件說(shuō):'由于在野有超過(guò)84億個(gè)密碼,其中有超過(guò)35億個(gè)密碼與實(shí)際的電子郵件地址緊密相關(guān),這為網(wǎng)絡(luò )犯罪分子提供了一個(gè)很方便的攻擊載體,來(lái)針對各種在線(xiàn)網(wǎng)站的客戶(hù)賬戶(hù)進(jìn)行利用攻擊。


普普點(diǎn)評

網(wǎng)絡(luò )犯罪分子認識到,許多組織或用戶(hù)不會(huì )使用其他額外的安全措施,而且還會(huì )在各種網(wǎng)站賬戶(hù)中使用相同的密碼。為提防后續的網(wǎng)絡(luò )攻擊,采取理想的保護方法有使用強密碼是很好的,但是使用口令會(huì )更好;應該使用多因素認證進(jìn)行特權訪(fǎng)問(wèn);控制面向互聯(lián)網(wǎng)的應用程序的登錄次數,防止進(jìn)行密碼爆破的嘗試以及必須定期部署和驗證檢測響應機制。



06

充滿(mǎn)潛力的未來(lái):元宇宙將打開(kāi)新的漏洞

元宇宙的興起與所有技術(shù)創(chuàng )新一樣,它帶來(lái)了新的機遇和新的風(fēng)險。懷有惡意的人將利用它打開(kāi)新的漏洞。

Metaverse 是一種沉浸式虛擬現實(shí)版本的互聯(lián)網(wǎng) ,人們可以在其中與數字對象以及他們自己和他人的數字表示進(jìn)行交互,并且可以或多或少地從一個(gè)虛擬環(huán)境自由移動(dòng)到另一個(gè)虛擬環(huán)境。它還可以達到虛擬現實(shí)和物理現實(shí)的融合,既通過(guò)在虛擬中代表來(lái)自物理世界的人和物體,又通過(guò)將虛擬帶入人們對物理空間的感知。

通過(guò)戴上虛擬現實(shí)耳機和增強現實(shí)眼鏡,人們將能夠在環(huán)境之間以及數字和物理之間的界限是可滲透的環(huán)境中進(jìn)行社交和工作等等。在元宇宙中,人們將能夠找到與他們離線(xiàn)生活相一致的意義和體驗。

問(wèn)題就在于此。當人們學(xué)會(huì )愛(ài)某物時(shí),無(wú)論是數字的、物理的還是組合的,從他們那里拿走那東西都會(huì )導致情緒上的痛苦和痛苦。更確切地說(shuō),人們所珍視的東西變成了可以被那些試圖造成傷害的人利用的漏洞。有惡意的人已經(jīng)注意到元宇宙是他們武器庫中的一個(gè)潛在工具。


普普點(diǎn)評

新的虛擬和混合現實(shí)空間帶來(lái)了新目標的潛力。就像建筑物、事件和人在現實(shí)世界中可能受到傷害一樣,在虛擬世界中也可能受到攻擊。想象一下猶太教堂上的萬(wàn)字符,銀行、購物和工作等現實(shí)生活活動(dòng)的中斷,以及公共活動(dòng)的破壞。破壞增強現實(shí)或虛擬現實(shí)業(yè)務(wù)意味著(zhù)個(gè)人遭受真正的經(jīng)濟損失。與物理場(chǎng)所一樣,虛擬空間可以精心設計和制作,從而承載人們投入時(shí)間和創(chuàng )造力建設的東西所具有的意義。



07

URL解析錯誤導致DoS、RCE等

研究人員警告說(shuō),由于16個(gè)不同的URL解析庫之間的不一致而導致的8個(gè)不同的安全漏洞,可能導致多種Web應用程序中的拒絕服務(wù)(DoS)情況、信息泄漏和遠程代碼執行(RCE)。

這些漏洞是在為各種語(yǔ)言編寫(xiě)的第三方Web包中發(fā)現的,并且像Log4Shell和其他軟件供應鏈威脅一樣,可能已被導入到數百或數千個(gè)不同的Web應用程序和項目中。受影響的是Flask(一個(gè)用Python編寫(xiě)的微型Web框架)、Video.js(HTML5視頻播放器)、Belledonne(免費的VoIP和IP視頻電話(huà))、Nagios XI(網(wǎng)絡(luò )和服務(wù)器監控)和Clearance(Ruby密碼驗證)。

URL解析是將Web地址分解為其底層組件的過(guò)程,以便正確地將流量路由到不同的鏈接或不同的服務(wù)器??捎糜诟鞣N編程語(yǔ)言的URL解析庫通常被導入到應用程序中以實(shí)現此功能。

來(lái)自Claroty Team82研究部門(mén)和Synk的研究人員在周一的一份分析報告中寫(xiě)道:“URL實(shí)際上是由五個(gè)不同的組件構成的:方案、權限、路徑、查詢(xún)和片段?!薄懊總€(gè)組件都扮演著(zhù)不同的角色,它決定了請求的協(xié)議、持有資源的主機、應該獲取的確切資源等等?!?/span>


普普點(diǎn)評

URL庫混淆會(huì )干擾正確的驗證,就像Clearance漏洞一樣。研究人員指出,Clearance(Ruby的Rails框架中一個(gè)廣泛應用的第三方插件,可以實(shí)現簡(jiǎn)單安全的電子郵件和密碼身份驗證)中的易受攻擊的函數是“return_to”。此函數在登錄/注銷(xiāo)過(guò)程之后調用,并且應該將用戶(hù)安全地重定向到他們之前請求的頁(yè)面。但是,如果可以說(shuō)服目標單擊具有以下語(yǔ)法的URL,則可將其破壞。