BUF 早餐铺 | 朝鲜黑客“全天候”攻击爱尔兰公司;新型攻击KnockKnock入侵大量Office 365系统帐户;山东警方破获特大网络侵犯公民个人信息案

2017-10-11 262197人围观 ,发现 2 个不明物体 资讯

对斯佳品酬佳节,桂拂清风菊带霜。今天你入秋成功了嘛?快来好好吃早餐吧~ 

各位 Buffer 早上好,今天是 2017 年 10 月 11 日星期三。今天份的 BUF 早餐铺有:朝鲜黑客“全天候”攻击爱尔兰的公司和重要基础设施;美国 FLIR 红外摄像头 exploit 代码公布; “KovCoreG”  黑客组织使用虚假浏览器和 Flash 更新消息传播恶意软件 Kovter;新型低速暴力攻击 KnockKnock 入侵大量 Office 365 系统帐户;枣庄破获部督网络侵犯公民个人信息案,通信公司机票代理商成为信息泄露源头; 美国出台新的 SIDR 标准,可有效应对 BGP 劫持; SiteLock 最新报告显示:针对网站的攻击激增,平均每天有 63 起。

早餐.jpg

以下请看详细内容:

【国际时事】

朝鲜黑客“全天候”攻击爱尔兰的公司和重要基础设施

近日有研究发现,朝鲜国家赞助的黑客几乎每天都在对爱尔兰公司和关键基础设施进行攻击。此外,这些黑客还疑似与 2016 年 10 月的 Meath County 议会中 430 万欧元的网络诈骗有关。由于爱尔兰有许多美国跨国公司,因此被视为民族国家攻击的独特目标。据称,网络攻击对爱尔兰公司造成的损失从 2014 年的 49.8 万欧元猛增至 2016 年的 170 万欧元,未来这个数字还可能升得更高。

朝鲜黑客.jpg

爱尔兰国防部长 Paul Kehoe 表示,迫切需要迅速加强国家基础设施的网络安全保护。近几个月,朝鲜频频发起国际网络攻击,为其军事行动筹集资金,而爱尔兰则成为了这些攻击的首个牺牲品。Smarttech247 的专家表示,朝鲜现在通过网络战争来募集资金,造成全球混乱。这些黑客几乎全天候攻击爱尔兰的网络,但是大多数情况下,遭到攻击的公司却一无所知。相关公司应当改善安全防御,抵御更复杂的攻击。

据爱尔兰媒体报道:“Smarttech 去年遭到 2100 万次攻击,数量惊人,而且每天的攻击频率也不断增加。”爱尔兰近期的全国网络安全意识调查显示,17.1 多万爱尔兰企业易于遭受勒索赎金的攻击。[来源:Securityaffairs]

美国 FLIR 红外摄像头 exploit 代码公布

2017 年 9 月 25 日,一位昵称为 “LiquidWorm” 发布了一段关于 FLIR 红外摄像头的 exploit 代码。FLIR 创立于1978年,是研发高性能、低成本机载应用红外热成像系统方面的先驱企业。借助于红外热像仪,操作人员可以在完全漆黑的环境、恶劣的天气条件下进行观察,并能够穿透烟雾和阴霾等空气污染物看清一切。依托强大的热成像系统、可见光成像系统、定位系统、测量与诊断系统,以及先进的威胁检测系统,FLIR将创新型感应解决方案融入人们的日常生活中。

摄像头.jpg

他发现FLIR摄像头系统中存在硬编码的 ssh 登录凭证,终端用户无法看到这些登录凭证,所以也就无法删除或者更改这些信息。这个 exploit 可以理解为“后门”,因为任何人(包括恶意的或者善意的)都可以利用这个exp访问摄像头系统,甚至还可以下载其中的代码。因此,这个 exploit 的级别比较严重。此次受影响的版本主要有:软件版本为 10.0.2.43 的 F/FC/PT/D 型号摄像头;固件版本为 8.0.0.64 的 1.4.1, 1.4, 1.3.4 GA, 1.3.3 GA 和 1.3.2。研究人员表示,终端用户无法自行移除这些硬编码的 ssh 登录凭证,只能等待厂商移除。[来源:Securityaffairs]

【Web 安全】

“KovCoreG”  黑客组织使用虚假浏览器和 Flash 更新消息传播恶意软件 Kovter

近日,网络安全公司 Proofpoint(PFPT)的研究人员发现一个代号为 “KovCoreG” 的黑客组织长期在使用虚假的浏览器或 Flash 更新提醒消息来诱骗受害者安装恶意软件 Kovter。该组织在 PornHub(一个色情影片分享网站)上通过恶意广告将受害者重定向到“紧急更新”的钓鱼网站页面。根据受害者使用的浏览器不同,受害者会收到不同内容的更新提醒消息。例如,使用 Chrome 浏览器和 Firefox 浏览器的受害者将收到要求下载浏览器更新的提醒消息,而使用 IE 浏览器和 Edge 浏览器的受害者收到的则是要求下载Flash更新的提醒消息。只要受害者点击“更新按钮”,就会下载安装恶意软件 Kovter 的 JavaScript(Chrome,Firefox)或 HTA(IE,Edge)文件。

Kovter 恶意软件.png

Kovter 是目前发现的最新的恶意软件家族,功能复杂:如文件不用落盘,拥有只创建一个注册表键值就可以感染系统的能力,可以避开很多杀毒软件的查杀。此外,Kovter 采用 rootkit 功能来进一步隐藏自身的存在,并会积极的识别和关闭安全解决方案。据报道,此次英国、美国、加拿大和澳大利亚是主要受影响的地区。[来源:bleepingcomputer]

【系统安全】

新型低速暴力攻击 KnockKnock 入侵大量 Office 365 系统帐户

网络安全公司 Skyhigh Networks 研究人员近期发现一种新型低速暴力攻击 KnockKnock,自 2017 年 5 月份开始就不断入侵大量 Office 365 系统帐户。KnockKnock 分为两个阶段,在感染目标系统内部环境的同时还能发动网络钓鱼攻击。攻击者不会直接攻击员工的账户,而是尝试攻破系统邮件账户,包括大企业的服务账户、自动化账户、计算机账户、市场营销账户、企业内部工具账户、其他系统账户等。Skyhigh 表示,攻击者试图猜测、破解这些账户的密码,因为这些账户没有使用双因素认证而且比普通用户的权限更高。如果攻击者成功入侵这些账户,就能给普通员工发送钓鱼邮件,而员工通常不会怀疑来自这些账户的内容。此外,一旦破解了这些账户中的一个,攻击者就能获取历史信息、敏感信息等有价值的内容,进而实施进一步攻击。

KnockKnock.png

值得注意的是,攻击者通过 63 个网络中的 83 个 IP 地址组成了一个小型的僵尸网络,这些 IP 域名都在中国注册,但是没有一个被列入垃圾域名列表。这意味着此次攻击活动极其小心隐蔽。此外,攻击者还在感染了其他 15 个国家(包括巴西、俄罗斯、美国、马来西亚)的目标设备后持续分发恶意软件。研究人员表示,攻击者可以根据目标组织调整有效负载,从而接管更多用户账号进行攻击活动。因此,他们建议用户不用轻易点击未知名邮件并安装全方位杀毒软件,以防攻击者攻击、保障系统安全。[来源:bleepingcomputer]

【国内新闻】

枣庄破获部督网络侵犯公民个人信息案,通信公司机票代理商成为信息泄露源头

近日,山东省枣庄市公安局成功破获公安部挂牌督办 “3·12” 特大网络侵犯公民个人信息案,抓获犯罪嫌疑人 28 名,其中社会行业信息泄露源头 12 人,包括通信公司经理、机票经销代理商及多名银行员工。3 月中旬,枣庄市公安局网警支队接到群众举报,穆某在网上公开贩卖公民个人信息,随即指派滕州市公安局开展侦查工作,将穆某抓获归案。经过对穆某审查,民警发现手机定位、银行余额、航班乘坐记录、个人征信、美团、购物等各类公民个人信息都可以进行出售买卖,且这些被公然叫卖的信息与当事人的真实信息匹配度极高。经初步查明:犯罪嫌疑人穆某、吴某某、刘某某等人通过在 QQ 群、微信朋友圈发布出售手机定位、银行余额、航班乘坐记录、个人征信等各类公民个人信息广告的方式寻找客户,接单后通过微信向多名信息源头购买信息后加价出售,每条信息 10 元、50 元、200 元价格不等,非法获利 5000 元至 20 余万元。

机票.jpg

在审讯和证据收集过程中,犯罪嫌疑人王某交代:自己原来是做机票销售代理的,2016 年离职后,知道销售软件存在的漏洞,为牟私利,其私自架设服务器将软件使用权限放大,设置多个子账号及查询流量出售给多名中间商使用,其中就包括犯罪嫌疑人穆某。经查,王某下线通过该软件查询过大量国内一线明星等人在内的 11 万多次的航班乘坐记录,王某从中非法获利 2 万余元。同时被抓获的还有犯罪嫌疑人鲍某、汪某、唐某等国内银行的 7 名员工,他们大多毕业于知名大学,有着美好的前途,但在利益诱惑下,最终走上犯罪道路。他们利用工作便利,非法查询公民征信信息、银行注册资料、账户余额等公民个人信息 2200 余次,非法获利 35 万余元。

这些涉及公民隐私的信息经过层层信息贩卖商贩卖后,大部分流向从事电信网络诈骗、盗窃等不法分子手中,滋生网络电信诈骗、盗窃、敲诈勒索犯罪,社会危害非常严重。公安机关也提醒公众,在日常生活中要增强个人信息安全保护意识,养成良好上网习惯,不轻易提供个人信息,不点击陌生链接,不扫描陌生二维码,防止个人信息被不法分子侵害造成损失。[来源:中国新闻网]

【业内动态】

美国出台新的 SIDR 标准,可有效应对 BGP 劫持

日前,美国美国国家标准与技术研究所下属的国家网络空间安全卓越中心以及国土安全部的科学与科技政策局联合制定了一套新的标准,以保护主要互联网实体(如互联网服务提供商、托管提供商、云提供商、教育网络、研究网络和国家网络等)之间的信息路由传输过程。这套标准实际上是安全域间路由(SIDR)的标准集合。SIDR 是第一个旨在提高边界网关协议(Border Gateway Protocol)安全性的标准。边界网关协议是一种用于在大型互联网之间路由信息的互联网协议,开发于 20 世纪 80 年代后期,当时互联网环境没有现在这么复杂,因此没有考虑到安全问题。

BGP-劫持.png

此次两个部门联合发布的标准主要应对 BGP 劫持问题,且符合 IETF 门户标准。这套防御措施将使用加密方法来确保路由数据沿着网络之间的授权路径传播。IETF SIDR 主要由三个基本组成部分:资源公钥基础设施(RPKI),让互联网地址块(通常是公司或云服务提供商)的持有者有能力规定可直接连接到其地址块的网络;BGP Origin 验证,允许路由器使用 RPKI 信息来过滤掉未经授权的 BGP 路由通告,阻止恶意来源劫持 BGP;BGP 路径验证(也称为“BGPsec”),是 IETF 刚刚发布的标准草案(RFC 8205 至 8210)中的规定。其创新之处在于使用每个路由器的数字签名来确保整个互联网上的路径只能在授权网络中传输。[来源:bleepingcomputer]

SiteLock 最新报告显示:针对网站的攻击激增,平均每天有 63 起

SiteLock 于本周一发布的最新分析报告显示,在过去的几个月里,针对网站的攻击活动数量出现了大幅增加。SiteLock 的网站安全内部报告是基于对超过 630 万个网站进行分析之后所得出的结果,分析报告显示,在今年的第二季度里,平均每天都会发生 63 次针对网站的攻击事件。相比 2016 年同期,当时针对网站的攻击事件每天仅有 22 次。

wordpress.jpg

在这些攻击事件中,有 87% 的攻击活动设计恶意僵尸网络,其中包括网络犯罪分子、垃圾邮件发送者以及数据收集器所控制的僵尸网络在内。对于那些没有涉及僵尸网络的攻击事件,其中有 57% 的恶意请求由于它们来自于已被客户拉黑的国家或地区,因此 SiteLock 已成功屏蔽了这些请求。除此之外,还有 36% 的攻击活动涉及非法的资源访问(尝试),其中包括命令注入攻击、目录遍历以及文件系统非法访问等等。SiteLock的研究人员对植入被入侵网站中的恶意代码进行了分析之后发现,其中有 62% 的安全威胁与垃圾邮件有关,而其中有将近四分之一的网站感染了恶意后门。除了网站本身的安全性之外,网站管理员的观念也对网站的安全性有着至关重要的影响。SiteLock 对超过 2 万名网站拥有者进行了调查采访,而竟然有超过 40% 的人错误地认为:保护网站安全的责任应该落在托管服务提供商的身上,而不是自己身上。[来源:SecurityWeek]

*AngelaY 编译整理,转载请注明来自 FreeBuf.COM

更多精彩
发表评论

已有 2 条评论

取消
Loading...

特别推荐

推荐关注

活动预告

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php