普普安全資訊一周概覽(0902-0908)

作者:

時(shí)間:
2023-09-08


01

IoT蜜罐展示物聯(lián)網(wǎng)設備存在的網(wǎng)絡(luò )威脅


隨著(zhù)物聯(lián)網(wǎng)(loT)設備的數量不斷增加,loT設備在網(wǎng)絡(luò )安全方面面臨現實(shí)威脅。蜜罐歷來(lái)被用作誘餌設備,幫助研究人員更好地了解網(wǎng)絡(luò )上威脅的動(dòng)態(tài)及其影響。但由于設備及其物理連接的多樣性,物聯(lián)網(wǎng)設備對此提出了獨特挑戰。對此,美國南佛羅里達大學(xué)及美國國家標準與技術(shù)研究院研究人員進(jìn)行了為期三年的蜜罐實(shí)驗,創(chuàng )建了多樣化的生態(tài)系統,模擬了各種類(lèi)型和位置的低交互物聯(lián)網(wǎng)設備,以研究攻擊者為何會(huì )攻擊特定設備,并對相關(guān)數據進(jìn)行了研究。在蜜罐研究工作中,研究人員通過(guò)觀(guān)察真實(shí)世界中攻擊者在低交互蜜罐生態(tài)系統中的行為,提出了一種創(chuàng )建多階段、多方面蜜罐生態(tài)系統的新方法,該方法逐漸提高了蜜罐與攻擊者交互的復雜性。同時(shí)設計并開(kāi)發(fā)了一個(gè)低交互的攝像頭蜜罐,使其能夠更深入地了解攻擊者的目標。此外提出了一種創(chuàng )新的數據分析方法,來(lái)識別攻擊者的目標。該蜜罐已經(jīng)活躍了三年多,能夠在每個(gè)階段收集越來(lái)越復雜的攻擊數據。


普普點(diǎn)評

在網(wǎng)絡(luò )安全中,蜜罐是為了吸引攻擊活動(dòng)而設置的設備。通常,此類(lèi)系統是面向互聯(lián)網(wǎng)的設備,包含可供攻擊者攻擊的模擬或真實(shí)系統。由于這些設備不用于任何其他目的,因此對它們的任何訪(fǎng)問(wèn)都將被視為惡意訪(fǎng)問(wèn)。通過(guò)分析蜜罐收集的數據,網(wǎng)絡(luò )安全措施可以得到改進(jìn),特別是對于在修復安全漏洞方面資源有限的組織。





02

超1200個(gè)網(wǎng)站使用MitM釣魚(yú)工具包,允許網(wǎng)絡(luò )犯罪分子繞過(guò)2FA身份驗證

據The Record 12月27日消息,研究人員發(fā)現1200個(gè)站點(diǎn)被部署網(wǎng)絡(luò )釣魚(yú)工具包,這些工具包能夠攔截雙因素身份驗證(2FA)安全代碼,并允許網(wǎng)絡(luò )犯罪分子繞過(guò)這一身份驗證。這些工具包也稱(chēng)為MitM(中間人)網(wǎng)絡(luò )釣魚(yú)工具包。近年來(lái),主流科技公司為其客戶(hù)開(kāi)通2FA默認安全功能后,這些工具在網(wǎng)絡(luò )犯罪黑社會(huì )中變得非常流行。2FA默認功能的開(kāi)通,直接導致了網(wǎng)絡(luò )釣魚(yú)者無(wú)法繞過(guò)2FA程序,被盜的憑證變得毫無(wú)用處。至少從2017年起,威脅行為者開(kāi)始采用新工具,用來(lái)應對這種賬戶(hù)安全保護的新技術(shù)趨勢。威脅者開(kāi)始通過(guò)竊取通過(guò)用戶(hù)認證的cookies來(lái)繞過(guò)2FA,這些cookies是用戶(hù)在2FA程序完成后登錄賬戶(hù)時(shí)創(chuàng )建的瀏覽器文件。通常情況下,網(wǎng)絡(luò )犯罪分子依靠一類(lèi)被稱(chēng)為“信息竊取器”的惡意軟件,從他們設法感染的計算機中竊取這些身份驗證cookie文件。還有一種竊取特殊的竊取方式,那就是不依賴(lài)于受惡意軟件感染的計算機,即在文件從網(wǎng)絡(luò )服務(wù)提供商傳輸到用戶(hù)計算機的傳輸過(guò)程中實(shí)施偷竊。

普普點(diǎn)評

攻擊者通過(guò)使用反向代理的釣魚(yú)工具包,在受害者、網(wǎng)絡(luò )釣魚(yú)站點(diǎn)和合法服務(wù)商之間轉發(fā)流量。在MitM網(wǎng)絡(luò )釣魚(yú)站點(diǎn)上進(jìn)行身份驗證的用戶(hù),實(shí)際上登錄到了一個(gè)合法站點(diǎn),但由于所有流量都通過(guò)反向代理系統,攻擊者因此截獲了身份驗證cookie的副本,繼而對該副本進(jìn)行濫用或轉售。目前,隨著(zhù)2FA在在線(xiàn)服務(wù)中得到更廣泛的采用,越來(lái)越多的威脅者將MitM技術(shù)納入其釣魚(yú)工具包中。





03

惡意軟件變異:改變行為以實(shí)現隱蔽性和持久性

近年來(lái),企業(yè)組織為了應對惡意軟件威脅采取了大量工作,但是,似乎每天都有新的惡意軟件樣本能夠繞過(guò)各種防護措施。這些層出不窮的惡意軟件從何而來(lái)?答案是惡意軟件變異。通過(guò)變異,攻擊者讓惡意軟件不斷“煥然一新”,從而逃避安全控制。例如REvil或DarkSide這樣的組織會(huì )在其惡意代碼中放置“識別開(kāi)關(guān)”,用于檢查它所在設備上的語(yǔ)言是否為俄語(yǔ)或英語(yǔ)。這種策略造成了惡意軟件的“變異性”——同一段代碼可以在不同的計算機上進(jìn)行不同的操作,具體不同取決于操作系統版本、安裝的庫或語(yǔ)言設置。如果有人嘗試在三到四臺不同的機器上運行相同的惡意軟件,可能會(huì )得到三到四種不同的操作行為。雖然安全研究人員早就意識到惡意軟件的變異性,但很少有研究人員評估其廣泛性。Avllazagaj的研究可以揭示惡意代碼的變異性,以幫助安全社區更好地理解這個(gè)問(wèn)題。Avllazagaj表示:“我們憑經(jīng)驗評估了惡意軟件發(fā)生了多少變化、其行為的哪些部分發(fā)生了變化,以及可以采取哪些措施來(lái)應對這些變化。

普普點(diǎn)評

在大多數情況下,攻擊性很強的惡意軟件都會(huì )將“隱蔽性”作為一個(gè)重要考量因素。攻擊者一開(kāi)始都會(huì )先執行一些小工具,因為即便它們被發(fā)現或檢測到,替換這些小工具也要比替換完整的關(guān)鍵惡意程序容易得多。未來(lái),我們可能會(huì )看到更多具有可變行為的惡意軟件在各行各業(yè)產(chǎn)生影響,為了應對這種情況,防病毒企業(yè)正在密切研究這些群體,并分析那些不同尋常的樣本,以便了解其微小細節。





04

Telegram被濫用以竊取加密錢(qián)包憑證

攻擊者使用Echelon信息竊取器瞄準Telegram用戶(hù)的加密錢(qián)包,旨在欺騙加密貨幣的新用戶(hù)或毫無(wú)戒心的用戶(hù)。他們在一份分析報告中表示,SafeGuard Cyber第七部門(mén)威脅分析部門(mén)的研究人員在10月份檢測到一個(gè)以加密貨幣為重點(diǎn)的Telegram頻道上發(fā)布的Echelon樣本?;顒?dòng)中使用的惡意軟件旨在從多個(gè)消息傳遞和文件共享平臺竊取憑據,包括Discord、Edge、FileZilla、OpenVPN、Outlook甚至Telegram本身,以及許多加密貨幣錢(qián)包,包括AtomicWallet、BitcoinCore、ByteCoin、Exodus、Jaxx和Monero。據報道,該活動(dòng)采用一種“撒網(wǎng)并祈禱(spray and pray)”的模式:“根據惡意軟件及其發(fā)布方式,SafeGuard Cyber認為它不是協(xié)調活動(dòng)的一部分,而只是針對該頻道的新用戶(hù)或不熟悉的用戶(hù)?!毖芯咳藛T發(fā)現,攻擊者使用“Smokes Night”句柄在頻道上傳播Echelon,但尚不清楚它的進(jìn)展程度。他們寫(xiě)道:“該帖子似乎不是對頻道中任何相關(guān)消息的回應?!彼麄冋f(shuō),頻道上的其他用戶(hù)似乎沒(méi)有注意到任何可疑之處也沒(méi)有參與其中。然而,研究人員寫(xiě)道,這并不意味著(zhù)惡意軟件沒(méi)有到達用戶(hù)的設備。

普普點(diǎn)評

Telegram消息應用程序確實(shí)已成為網(wǎng)絡(luò )犯罪分子活動(dòng)的溫床,他們利用其受歡迎程度和廣泛的攻擊面,通過(guò)使用機器人、惡意帳戶(hù)和其他方式在平臺上傳播惡意軟件。惡意軟件的其他功能包括計算機指紋識別,以及截取受害者機器屏幕截圖的能力。他們說(shuō),從活動(dòng)中提取的Echelon樣本使用壓縮的.ZIP文件將憑據和其他被盜數據以及屏幕截圖發(fā)送回命令和控制服務(wù)器。



05

近幾年攻擊者利用Docker API的錯誤配置進(jìn)行攻擊

研究人員發(fā)現,攻擊者使用“Smokes Night”句柄在頻道上傳播Echelon,但尚不清楚它的進(jìn)展程度。他們寫(xiě)道:“該帖子似乎不是對頻道中任何相關(guān)消息的回應?!彼麄冋f(shuō),頻道上的其他用戶(hù)似乎沒(méi)有注意到任何可疑之處也沒(méi)有參與其中。然而,研究人員寫(xiě)道,這并不意味著(zhù)惡意軟件沒(méi)有到達用戶(hù)的設備。自2019年以來(lái),實(shí)施文件加密的網(wǎng)絡(luò )攻擊活動(dòng)背后的黑客團伙逐漸浮出了水面。研究人員說(shuō),這些攻擊活動(dòng)都利用了設備上配置錯誤的Docker APIs,這使得他們能夠獲得內部網(wǎng)絡(luò )的入口,并最終在被攻擊的主機上安裝后門(mén),然后挖掘加密貨幣。該攻擊技術(shù)是基于腳本進(jìn)行的,該攻擊方式被稱(chēng)為 'Autom',因為它利用了文件 'autom.sh'。Aquasec研究部門(mén)在周三發(fā)表的一份報告中寫(xiě)道,該攻擊活動(dòng)在活躍時(shí)期時(shí),攻擊者一直在濫用API的錯誤配置,但是其使用的規避策略各不相同。研究人員說(shuō),雖然攻擊者在攻擊的載體中使用了相同的攻擊方式來(lái)實(shí)現他們的目的—對文件進(jìn)行加密,這么多年以來(lái)攻擊的最大變化就是威脅者在不斷演化出新的規避檢測手法。

普普點(diǎn)評

威脅者通過(guò)使用 'sudo '命令來(lái)提升權限,然后將一個(gè)新建用戶(hù)變成一個(gè)root用戶(hù),授予無(wú)限的權限來(lái)運行任何sudoers文件。通過(guò)這一系列的操作,攻擊者成功安裝了一個(gè)后門(mén),使得他們在被攻擊主機上獲得了權限的持久性。Autom的攻擊活動(dòng)表明,攻擊者的攻擊方式正在變得越來(lái)越復雜,不斷的改進(jìn)他們的攻擊技術(shù)來(lái)避免被安全解決方案發(fā)現的可能性。


06

Google以5億美元收購以色列網(wǎng)絡(luò )安全初創(chuàng )公司Siemplify

Google正在收購以色列網(wǎng)絡(luò )安全初創(chuàng )公司Siemplify。收購的價(jià)格估計為5億美元,這將標志著(zhù)這家科技巨頭首次收購活躍在網(wǎng)絡(luò )安全領(lǐng)域的以色列公司。Siemplify在以色列、美國和倫敦有200名員工,他們將在收購后加入Google。Google將利用Siemplify為其在以色列的網(wǎng)絡(luò )安全業(yè)務(wù)奠定基礎,這將是該公司云計算活動(dòng)的一部分,Siemplify的聯(lián)合創(chuàng )始人將繼續留在公司。Google首席執行官桑達爾-皮查伊在2021年8月向美國總統喬-拜登承諾,該公司將在未來(lái)五年內投資100億美元用于網(wǎng)絡(luò )安全。Google的計劃包括擴大零信任計劃,幫助確保軟件供應鏈的安全,以及加強開(kāi)源安全。該公司承諾在IT支持和數據分析等領(lǐng)域培訓10萬(wàn)名美國人,學(xué)習包括數據隱私和安全在內的急需技能。這一承諾將包括進(jìn)行收購和投資,Siemplify將成為Google的第一個(gè)此類(lèi)收購。迄今為止,Siemplify已經(jīng)在四輪融資中籌集了5800萬(wàn)美元,以色列風(fēng)險投資公司G20 Ventures是公司的最大股東。其他投資者包括83North、Jump Capital和Georgian,后者最近還投資了以色列網(wǎng)絡(luò )安全初創(chuàng )公司Noname Security。

普普點(diǎn)評

Siemplify由Amos Stern(首席執行官)、Alon Cohen(首席技術(shù)官)和Garry Fatakhov(首席運營(yíng)官)創(chuàng )立于2015年。Siemplify的安全操作平臺被設計為SOC(安全操作中心)的'操作系統'。與其他SOAR(安全協(xié)調、自動(dòng)化和響應)平臺不同的是,Siemplify的設計是為了從頭到尾管理整個(gè)安全運營(yíng)功能,這些平臺主要側重于游戲規則的構建和自動(dòng)化。該公司的平臺將被整合到Google的云系統中。



07

研究人員發(fā)現70個(gè)Web緩存中毒漏洞,涉及 GitHub/GitLab等

安全研究員 Iustin Ladunca(Youstin)近期針對許多網(wǎng)站(包括一些高流量的在線(xiàn)服務(wù))進(jìn)行了調研,結果發(fā)現了70個(gè)具有不同影響的緩存中毒漏洞。根據介紹,Web緩存中毒攻擊的目標是網(wǎng)絡(luò )服務(wù)器和客戶(hù)端設備之間的中間存儲點(diǎn),如point-of-presence servers、代理和負載均衡器。中間商通過(guò)存儲本地版本的Web內容來(lái)加快向Web客戶(hù)端的傳送速度,從而幫助提高網(wǎng)站的性能。Web緩存中毒攻擊操縱了緩存服務(wù)器的行為,以及它們如何響應客戶(hù)的特定URL請求。Ladunca自2020年11月開(kāi)始研究Web緩存中毒;然而僅僅幾周后,他就發(fā)現了兩個(gè)新的緩存中毒漏洞:“這讓我意識到緩存中毒的攻擊面有多大”。他在一篇博客中詳細介紹了自己是如何發(fā)現和報告網(wǎng)絡(luò )緩存漏洞的,其中包括有 Apache Traffic Server、GitHub、GitLab、HackerOne 和 Cloudflare 以及其他服務(wù)器?!耙环N常見(jiàn)的模式是緩存服務(wù)器被配置為只緩存靜態(tài)文件,這意味著(zhù)攻擊只限于靜態(tài)文件。即便如此,仍然有很大的影響,因為現代網(wǎng)站嚴重依賴(lài)JS和CSS,刪除這些文件會(huì )真正影響應用程序的可用性?!?/span>

普普點(diǎn)評


多個(gè)Web緩存漏洞導致拒絕服務(wù)(DoS)攻擊。緩存服務(wù)器使用一些headers作為keys來(lái)存儲和檢索URL請求。通過(guò)在unkeyed headers中使用無(wú)效值,Ladunca能夠強制服務(wù)器緩存錯誤響應,并在之后提供這些響應而不是原始內容,這會(huì )使得客戶(hù)無(wú)法訪(fǎng)問(wèn)目標網(wǎng)頁(yè)。就所使用的技術(shù)而言,迄今為止最常見(jiàn)的是通過(guò)unkeyed headers進(jìn)行CP-DoS,這可能占總發(fā)現的80%。其他 Web 緩存中毒漏洞可能會(huì )導致跨站點(diǎn)腳本(XSS)攻擊。