關鍵信息基礎設施安全動態周報【2020年第10期】
- 分類:威脅情報研究
- 作者:
- 來源:
- 發布時間:2020-03-13 19:15
- 訪問量:
【概要描述】《知曉天下安全事》—關鍵信息基礎設施安全動態周報【2020年第10期】天地和興播報。
關鍵信息基礎設施安全動態周報【2020年第10期】
【概要描述】《知曉天下安全事》—關鍵信息基礎設施安全動態周報【2020年第10期】天地和興播報。
- 分類:威脅情報研究
- 作者:
- 來源:
- 發布時間:2020-03-13 19:15
- 訪問量:
目 錄
第一章 國內關鍵信息基礎設施安全動態
(一)IT/OT一體化工業信息安全態勢報告:勒索病毒仍是最大威脅
第二章 國外關鍵信息基礎設施安全動態
(一)Rockwell和Johnson公司ICS設備中存在嚴重漏洞
(二)歐洲電網組織ENTSO-E辦公網絡遭受黑客攻擊
(三)Phoenix Contact工業4G路由器存在多個漏洞致其易受攻擊
(四)鋼鐵制造商EVRAZ遭受勒索軟件Ryuk攻擊
(五)大型國防承包商CPI因遭受勒索軟件攻擊而被迫下線
(六)俄羅斯黑客組織Turla使用新型代碼攻擊亞美尼亞政府網站
(七)Bitdefender研究人員發現新型邊信道攻擊
(八)微軟成功破壞Necurs僵尸網絡在美國的基礎架構
(九)美國達勒姆市遭受勒索軟件Ryuk攻擊致其網絡關閉
(十)埃森哲以1.4億美元收購英國網絡安全咨詢公司Context
第一章 國內關鍵信息基礎設施安全動態
(一)IT/OT一體化工業信息安全態勢報告:勒索病毒仍是最大威脅
近日,工業控制系統安全國家地方聯合工程實驗室發布了《IT/OT一體化工業信息安全態勢報告》。報告顯示,工控系統相關漏洞增長情況居高不小,安全形勢十分嚴峻。在2019年工業應急響應安全事件中,病毒攻擊仍然是工業企業遭受失陷的主要原因,其中,病毒多為“永恒之藍”蠕蟲變種、挖礦蠕蟲。
工控系統漏洞增長情況居高不下
根據中國國家信息安全漏洞共享平臺最新統計,截止到2019年12月,CNVD收錄的與工業控制系統相關的漏洞高達2306個,2019年新增的工業控制系統漏洞數量達到413個,基本和2018年持平。而另據CVE、NVD、CNVD、CNNVD四大漏洞平臺收錄的漏洞信息顯示,2019年共收錄了690條漏洞工業控制系統漏洞。數據居高不下,安全形勢十分嚴峻。
其中,高危漏洞占比57.3%,中危漏洞占比為35.5%,中高危漏洞占比高達92.8%。且漏洞成因多樣化特征明顯,技術類型多達30種以上。無論攻擊者利用何種漏洞造成生產廠區的異常運行,均會影響工控系統組件及設備的可用性和可靠性。
在收錄的工業控制系統安全漏洞中,多數分布在制造業、能源、水務、商業設施、石化、醫療、交通、農業、信息技術、航空等關鍵基礎設施行業。一個漏洞可能涉及多個行業,在690個漏洞中,有566個漏洞涉及到制造業,也是占比最高的行業。涉及到的能源行業漏洞數量高達502個。
工控系統互聯網暴露總數持續攀升,中國同比增長2.7倍
造成工控系統暴露的主要原因之一是“商業網絡(IT)”與“工業網絡(OT)”的不斷融合。隨著云計算、物聯網、大數據技術的廣泛應用,工控系統已漸漸從最初的封閉狀態向開放狀態改變。暴露在互聯網上的工業控制系統設備也隨之越來越多,從而增加了攻擊者的攻擊面積。
根據Positive Technologies研究數據顯示:當前全球工控系統聯網暴露組件總數量約為22.4萬個,同比去年增長27%。將可通過互聯網訪問的工業控制系統組件(工控設備、協議、軟件、工控系統等)數量按照國家進行分類,美國聯網的工控設備暴露情況最為嚴重,達到95661個,其次為德國,聯網工控組件達到21449個,相比去年而言,中國工控系統互聯網暴露數量呈現明顯增長趨勢,由6223個增長到16843個,增長比例高達2.7倍,排名第三。
需要注意的是,一方面,某地區工控系統在互聯網上暴露的越多,往往說明該地區工業系統的信息化程度越高,工業互聯網越發達;而另一方面,暴露的比例越大,也往往意味著工控設備將直接面對來自互聯網的威脅。
勒索病毒攻擊仍是工業安全面臨的主要威脅
2019年根據該報告數據顯示,遭受勒索病毒攻擊仍然是工業企業面臨的最大挑戰。需要注意的是,病毒攻擊的主要目標是工業主機,然而工業主機大多數處于裸奔狀態,因此,工業企業應落實工業主機的安全防護。
2019年2月,某大型制造企業的臥式爐、厚度檢測儀、四探針測試儀、銅區等多個車間的機臺主機以及MES(制造執行系統)客戶端都不同程度的遭受蠕蟲病毒攻擊,出現藍屏、重啟現象。工業安全應急響應中心人員到達現場后發現,當前網絡中存在的主要問題是工業生產網和辦公網網絡邊界模糊不清,MES與工控系統無明顯邊界,在工業生產網中引入了“永恒之藍”等勒索蠕蟲變種,感染了大量主機。
同時需要注意,目前很多企業存在著輕視安全運營的現象。對此報告認為,工業企業可以利用外部資源,特別是安全公司提供的遠程、駐場或托管式安全運營服務開展工作。工業企業也可以把安全運營工作上移到集團、行業等平臺,通過委托方式用專業安全團隊來提供安全保障?;诖?,不僅可以在威脅發現、風險預測、處置響應、追蹤溯源等方面大幅度提高工業企業網絡安全防護能力,還可以減少人力資源投入、降低工業企業安全運營成本。
本文版權歸原作者所有,參考來源:IT168 https://dwz.cn/olKvI10t
第二章 國外關鍵信息基礎設施安全動態
(一)Rockwell和Johnson公司ICS設備中存在嚴重漏洞
羅克韋爾自動化Rockwell Automation和江森自控Johnson Controls的工業控制系統裝置中發現了幾乎不需要掌握任何技巧即可使用的安全漏洞,該影響設施的PLC和物理訪問控制系統的漏洞嚴重等級為9.8。
羅克韋爾自動化設備中的一系列關鍵漏洞會影響MicroLogix 1400控制器、MicroLogix 1100控制器和RSLogix 500軟件。該控制器是可編程邏輯控制器PLC,是電力公司和工廠等環境中的關鍵設備,可以控制工廠裝配線和其他工業環境中的物理機械足跡。
這些錯誤可能使攻擊者能夠訪問敏感的項目文件信息,包括密碼。其CVSS v3分數為9.8。該漏洞包括使用硬編碼的加密密鑰、使用破損或危險的算法進行密碼保護、使用客戶端身份驗證、和明文存儲敏感信息。
第一個漏洞CVE-2020-6990是由于使用加密密鑰來幫助保護帳戶密碼被硬編碼到RSLogix 500二進制文件中而引起的。攻擊者可以識別加密密鑰,并將其用于進一步的加密攻擊,最終可能導致遠程攻擊者獲得對控制器的未授權訪問。另一個漏洞CVE-2020-6984還可以發現用于保護MicroLogix中密碼的加密功能。身份驗證漏洞CVE-2020-6988允許未經身份驗證的遠程攻擊者將RSLogix 500軟件的請求發送到受害人的MicroLogix控制器。然后,該控制器將使用已使用的密碼值響應客戶端,以在客戶端上對用戶進行身份驗證。這種身份驗證方法可能使攻擊者完全繞過身份驗證,泄露敏感信息或泄漏憑據。最后,電子郵件功能中存在明文存儲漏洞CVE-2020-6980。如果將簡單郵件傳輸協議(SMTP)帳戶數據保存在RSLogix 500中,則當受害人項目可以訪問的本地攻擊者可以將SMTP服務器身份驗證數據以明文形式寫入項目文件中,從而能夠收集該信息。
MicroLogix 1400系列B控制器和RSLogix 500軟件的用戶可以更新到最新版本,以緩解問題。但是,羅克韋爾自動化表示,MicroLogix 1400系列A控制器或MicroLogix 1100控制器沒有緩解措施。
本周披露的另一個關鍵ICS漏洞存在于江森自控的Kantech EntraPass產品中,該產品是一種物理安全門平臺,用于工業環境中的訪問控制。該問題的嚴重等級也為9.8,是不正確的輸入驗證漏洞CVE-2019-7589。成功利用此漏洞可能允許執行惡意代碼與系統級權限。API可能允許攻擊者使用系統級特權上載和執行惡意代碼。 成功的利用可能使網絡犯罪分子有能力允許或禁止使用設施。
v8.10之前的所有Corporate Edition版本和v8.10之前的所有Global Edition版本都會受到該錯誤的影響,該錯誤是江森自控內部安全團隊發現的。用戶可更新到EntraPass版本8.10以解決該問題。
天地和興工控安全研究院編譯,參考來源:threatpost https://dwz.cn/gd1Gt1Ne
(二)歐洲電網組織ENTSO-E辦公網絡遭受黑客攻擊
3月9日,歐洲電力傳輸系統運營商網絡(ENTSO-E)證實,其辦公網絡遭受入侵。該組織進行了風險評估,并且已經制定了應急計劃以減少進一步攻擊對網絡的影響。ENTSO-E為確保歐洲電力市場協調的組織。
ENTSO-E表示,受損的辦公室網絡未連接到任何可操作的電力傳輸系統,故攻擊僅限于IT系統,并且不會影響關鍵控制系統。
ENTSO-E總部位于布魯塞爾,由來自歐洲35個國家的42個電力傳輸系統運營商(TSO)組成。TSO是負責跨主要高壓電網傳輸電力,為包括發電機和配電器在內的各種電力實體提供電網接入,并確保電力系統安全可靠運行和維護的實體。ENTSO-E與成員組織合作,以實現各種政策,業務和環境目標。目前,該組織正在公開共享有關網絡事件的有限信息。ENTSO-E聲明說,其辦公室網絡未連接到任何可運行的TSO系統。該組織在繼續監視情況的同時通知其成員。
芬蘭輸電系統運營商Fingrid表示,該違規行為可能會延遲其支持歐洲電力市場交易的能源識別代碼(EIC)的發布。Fingrid聲明表示:“攻擊并非針對Fingrid或其他傳輸系統運營商,并且對Fingrid的客戶或其他利益相關者沒有任何影響,該事件僅影響Fingrid和ENTSO-E之間的文件交換策略?!?/span>
瑞典輸電系統運營商SvenskaKraftn?t的安全經理Erik Nordman表示,他的組織正在調查其系統是否受到影響,并已采取預防措施以限制可能的影響。
挪威TSO Statnett表示,該公司仍在調查該事件,但截至目前為止,沒有跡象表明該事件影響了Statnett的IT系統。
Dragos研究人員Joe Slowik 表示,像ENTSO-E這樣的組織是黑客的天然攻擊目標,他們希望進一步訪問電力組織的網絡。盡管沒有足夠的證據來確定誰應對此次入侵負責,但這種違規行為可以促進對受支持的公用事業運營的偵查,或者允許進行后續活動,如網絡釣魚或水坑攻擊。
天地和興工控安全研究院編譯,參考來源:cyberscoop https://dwz.cn/xMxa3dbv
(三)Phoenix Contact工業4G路由器存在多個漏洞致其易受攻擊
網絡安全咨詢公司SEC Consult在Phoenix Contact生產的某些工業4G路由器中發現了潛在嚴重漏洞。Phoenix已發布修復該漏洞的固件更新。
Phoenix Contact是總部位于德國的工業自動化、連接和接口解決方案提供商。
該漏洞會影響各類型Phoenix Contact TC ROUTER和TC CLOUD CLIENT設備。TC ROUTER是一系列工業3G / 4G路由器,專門用于無法使用有線Internet連接的情況。TC CLOUD CLIENT設備提供了工業VPN網關,用于通過4G網絡進行遠程維護。
SEC Consult發現了三種影響這些路由器的漏洞。其中一個為CVE-2020-9435,與用于HTTPS的硬編碼證書的存在有關。攻擊者可以利用此證書進行中間人(MitM)攻擊、設備模擬和被動解密,從而獲取管理員憑據和其他敏感信息。流量可以被目標路由器附近的攻擊者截獲。有200多個使用此證書的Internet公開設備。德國的VDE CERT 表示,用戶在設備的初始配置期間,應替換預安裝的證書。該組織已經提供了執行此任務的指導,并表示供應商將來會向設備附帶單獨的證書。
經過身份驗證的攻擊者可以利用另一個高危漏洞CVE-2020-9436來進行命令注入,從而使他們可以破壞設備的操作系統。
最后一個漏洞與使用BusyBox工具包的過時且易受攻擊的版本有關。這些設備中使用的版本受多個漏洞的影響,其中包括可用于代碼執行和寫入任意文件的漏洞。
盡管利用這些弱點需要進行身份驗證,但SEC Consult表示,攻擊者可以使用默認憑據(如果尚未更改),甚至可能使用跨站點請求偽造CSRF攻擊來獲取利用漏洞所需的訪問權限。SEC Consult漏洞實驗室負責人Johannes Greil表示,對于使用此類設備的公司而言,影響可能是嚴重的,因為這類SCADA / RTU設備通常用于關鍵基礎設施。
該漏洞已在1月下旬報告給Phoenix Contact,并在3月初發布了固件更新,這對于工業解決方案供應商而言是令人印象深刻的。組織通常需要花費數月的時間來修補外部研究人員報告的漏洞。Phoenix Contact去年花了幾個月的時間發布了一份研究人員公開披露的一些嚴重漏洞的警告,這些漏洞可能已經被利用來直接從互聯網入侵PLC。
天地和興工控安全研究院編譯,參考來源:securityweek https://dwz.cn/I8v9Iopz
(四)鋼鐵制造商EVRAZ遭受勒索軟件Ryuk攻擊
全球最大的鋼鐵制造商和采礦公司之一EVRAZ近日表示,其遭受了勒索軟件Ryuk攻擊。受感染的為該公司北美分支機構,包括加拿大和美國的鋼鐵生產廠,大多數工廠都已停止生產。
EVRAZ的IT員工正在努力控制感染并防止其傳播。
EVRAZ是全球最大的跨國垂直一體化煉鋼和采礦公司之一,總部位于倫敦。該公司主要在俄羅斯運營,但在烏克蘭、哈薩克斯坦、意大利、捷克共和國、美國、加拿大和南非也有業務。EVRAZ由俄羅斯寡頭和億萬富翁羅曼·阿布拉莫維奇(Roman Abramovich)擁有,該公司在美國擁有1,400多名員工,在加拿大擁有1,800名員工。
EVRAZ只是眾多勒索軟件感染者中的最新大型公司受害者。過去知名的勒索軟件受害者包括福布斯500強公司EMCOR、國防部承包商EWA、律師事務所EPIQ Global、北美鐵路公司RailWorks、克羅地亞最大連鎖加油站INA Group、零部件制造商Visser、國防承包商CPI、法國ISP和云服務提供商 Bretagne Télécom。
天地和興工控安全研究院編譯,參考來源:ZDNet https://dwz.cn/UJ157IbZ
(五)大型國防承包商CPI因遭受勒索軟件攻擊而被迫下線
美國加州國防和通信市場電子制造商 Communications & Power Industries(CPI)近日遭受了勒索軟件攻擊,致其系統被迫下線。該公司支付了約50萬美元的贖金,但該公司尚未完全恢復運營。CPI發言人Amanda Mogin證實了該勒索攻擊,并表示該公司正在與第三方取證調查公司合作調查事件,調查正在進行中。該公司已經與律師合作,并已及時通知執法部門、政府部門以及客戶。
有消息稱,域管理員(即網絡上特權級別最高的用戶)在登錄時點擊了惡意鏈接,從而觸發了文件加密惡意軟件。由于網絡上成千上萬臺計算機位于同一個未分段的域中,勒索軟件迅速傳播到每個CPI辦公室,包括其現場備份。該公司目前正處于“緊急狀態”,因為人手短缺,截至2月底,只有大約四分之一的計算機已備份并可以運行。
部分包含敏感軍事數據的計算機已通過使用支付贖金獲得的解密密鑰進行了恢復,其中包含與宙斯盾Aegis系統有關的文件,Aegis是洛克希德·馬丁公司開發的一種海軍武器系統。洛克希德公司的發言人表示,該公司已經意識到CPI的情況,并且正在遵循洛克希德針對與供應鏈相關的潛在網絡事件的標準響應流程。
CPI其余的許多計算機都從重新安裝了操作系統,CPI有約150臺計算機仍在運行Windows XP系統,該系統已于2014年停止接收安全補丁。目前尚不清楚攻擊中使用了哪種勒索軟件,CPI發言人拒絕提供更多消息。
位于美國加州國防和通信市場電子制造商CPI生產軍事設備和設備的組件,如雷達、導彈導引頭和電子戰技術。該公司將美國國防部及其高級研究部門DARPA視為客戶。
天地和興工控安全研究院編譯,參考來源:techcrunch https://dwz.cn/CNFNZlvH
(六)俄羅斯黑客組織Turla使用新型代碼攻擊亞美尼亞政府網站
多年來,與俄羅斯FSB情報機構有關的黑客使用的計算機代碼一直困擾著世界各國政府。這些黑客使用的工具與上世紀90年代中后期美國軍事網絡遭到破壞性破壞有關,并在20多年后被用于對伊朗基礎設施的巧妙劫持。
近日,ESET的惡意軟件分析師發布了一段新代碼,表明俄羅斯黑客組織Turla用來監視亞美尼亞的政府和智囊團網站。Turla特工建立了名為水坑water hole惡意網絡基礎設施,顯然是為了監視亞美尼亞政府官員。
ESET的惡意軟件研究人員Matthieu Faou表示,在進行操作之前,Turla的運營者很可能已經知道他們想要鎖定的目標,甚至可能知道他們通常使用的IP地址范圍。ESET知道去年有兩名受此活動感染的受害者,這與Turla的高度挑剔的黑客行為一致。
Turla黑客會精心跟蹤他們想感染的受害者。用戶首次訪問受感染網站時不會受到惡意代碼的攻擊,攻擊者會將網絡流量縮減為他們感興趣的內容。亞美尼亞駐莫斯科大使館領事處的網站以及亞美尼亞外交政策智囊團均被感染。
Faou表示,鑒于受感染網站的性質,這證實Turla幾乎完全是出于政治目的從事網絡間諜活動。他認為這些入侵是由Turla的技術團隊實施的,然后將對受感染機器的訪問權移交給了組織內部的高層人員。俄羅斯在前蘇聯國家亞美尼亞擁有相當大的經濟和外交影響力,那里的民眾抗議活動推翻了2018年的一位長期總統。
該間諜活動是莫斯科利用其網絡能力在其視為后院的地區投射力量的更廣泛模式的一部分。據美國及其盟國稱,去年在與亞美尼亞接壤的佐治亞,GRU對政府網站發起了一系列網絡攻擊。莫斯科否認了這些指控。
人們普遍認為Turla代表KGB的繼任者FSB開展工作,多年來一直使用自己的惡意軟件進行精確的間諜活動,顯示出對其他俄羅斯組織(如與GRU有關的Sandworm)魯莽行事時表現出克制。
BAE Systems威脅情報負責人Adrian Nish將Turla描述為俄羅斯威脅組織中最有能力的。Nish表示,從某種程度上講,他們是最專業的,因為他們參與的是純粹的間諜活動,而不是黑客和泄密或破壞性行動。
天地和興工控安全研究院編譯,參考來源:cyberscoop https://dwz.cn/DTYqTcfI
(七)Bitdefender研究人員發現新型邊信道攻擊
3月10日,Bitdefender研究人員Shaun Donaldson在其公司網站上發表文章表示,其研究發現了新型邊信道攻擊。這種基于推測執行的新攻擊利用了CPU體系結構中的缺陷,有可能從受保護的內存中泄漏信息。被稱為LVI-LFB的行填充緩沖區中的負載值注入是一種新穎的攻擊CVE-2020-0551。Bitdefender開發了綜合的概念證明,證明了這種新攻擊的可行性。諸如Meltdown、Spectre和MDS之類的先前攻擊的現有緩解措施不足以完全消除新漏洞。
導致LVI-LFB的簡要歷史
在2018年,披露了兩種新型的微體系結構邊信道攻擊:Meltdown和Spectre。崩潰允許攻擊者推測性地訪問不可訪問的內存,而幽靈允許攻擊者更改分支預測結構以獲取推測性任意代碼執行。在2019年,披露了另一類微體系結構邊信道攻擊:微體系結構數據采樣或MDS。它使攻擊者可以從各種微體系結構數據結構(行填充緩沖區或LFB-MFBDS,加載端口-MLPDS或存儲緩沖區-MSBDS)中提取飛行中的數據。這種新的LVI-LFB方法允許攻擊者將惡意值注入某些微體系結構中,然后由受害者使用,這可能導致在特權級別之間泄露受保護的秘密數據。
影響力
這種新攻擊在多租戶和多工作負載的環境中尤其具有破壞性,這些環境在組織內的工作負載組之間或組織之間(例如公共云和私有云)共享的硬件上運行。這是因為,如PoC所示,當滿足特定要求時,攻擊者控制下的特權較低的進程有可能在特權較高的進程中以推測方式劫持控制流。
最直接的風險是盜竊機密數據,否則,應通過硬件,系統管理程序和操作系統級別的安全邊界將機密數據保密。此信息可以包括從加密密鑰到密碼的所有內容,或者攻擊者可能會泄露的其他信息,或用于獲得目標系統的進一步控制的信息。
緩解
基于硬件的邊信道攻擊的緩解策略可分為幾類,每種對組織都有一定程度的運營影響。
硬件。這些修復程序直接包含在硬件中,并且僅適用于在識別出體系結構缺陷之后構建的幾代CPU。
軟件。這些是補丁實施,完全在軟件中起作用。內核頁表隔離(KPTI)是一種修復程序的示例,該修復程序可以保護隔離的虛擬地址空間中的內核內存,從而使一些推測性的邊信道攻擊(例如Meltdown)無效。但是,為了有效抵御應用對應用LVI-LFB,需要一種新型的KPTI –水平KPTI?;蛘?,在從特權較低的模式轉換為特權較高的模式時,操作系統還必須刷新MDS緩沖區(尤其是LFB),以避免微代碼輔助的內存訪問以攻擊者控制的數據進行推測性執行。
微碼。這些緩解措施需要硬件和軟件之間的合作。硬件供應商提供了一個微代碼補丁,以公開新功能(例如,Spectre,L1TF或MDS緩解措施),然后由管理程序或操作系統供應商使用這些功能來緩解漏洞。
禁用功能。在安全性至關重要的系統上,禁用超線程是一個好主意,就像使用lfence指令序列化所有關鍵的加載操作一樣。其他緩解措施可能涉及對編譯器進行修改,以便生成不易受到此類攻擊的代碼。
結論
這是一種利用現代Intel CPU以性能為中心的功能的新攻擊。LVI-LFB通過展示這一高度研究領域中的另一種攻擊方法,進一步打破了信任級別之間的障礙。
天地和興工控安全研究院編譯,參考來源:bitdefender https://dwz.cn/ufhwtdJo
(八)微軟成功破壞Necurs僵尸網絡在美國的基礎架構
3月10日,微軟宣布其接管了Necurs垃圾郵件僵尸網絡使用的美國基礎設施,該僵尸網絡已分發惡意軟件有效載荷并感染900萬臺計算機。據微軟調查,有一臺被Necurs感染的設備在58天內向大約4060萬個目標發送了大約380萬條垃圾郵件。
微軟客戶安全與副總裁托姆·伯特表示,3月5日紐約東區美國地方法院發布了一項命令,使Microsoft能夠控制Necurs用于分發惡意軟件并感染受害者計算機的美國基礎設施。通過這項法律行動,以及通過涉及全球公私合作伙伴關系的合作努力,微軟正在領導各種行動,這些行動將阻止Necurs背后的罪犯注冊新的域以在將來執行攻擊。
Necurs是當今最大的垃圾郵件僵尸網絡,最初在2012年左右被發現,并與Dridex銀行木馬背后的運營者威脅組織TA505建立了聯系。微軟表示,僵尸網絡還被用來攻擊互聯網上的其他計算機、竊取在線帳戶的憑據以及竊取人們的個人信息和機密數據。該僵尸網絡還可以傳遞虛假的制藥垃圾郵件、垃圾郵件和騙局的消息。Necurs惡意軟件是模塊化的,正如Microsoft觀察到的那樣,該模塊專門用于發送大量垃圾郵件,通過部署在受感染設備上的HTTPS和SOCKS網絡代理重定向流量,以及發起DDoS攻擊。通過2017年推出的模塊,迄今為止尚未檢測到Necurs DDoS攻擊。Necurs的運營商還提供了僵尸網絡租用服務,通過該服務,他們還將租用該僵尸網絡給其他網絡犯罪分子。其他網絡犯罪分子使用該僵尸網絡分發各種形式的信息竊取、加密礦和勒索軟件惡意有效載荷。
Microsoft通過分析Necurs使用的通過算法系統地生成新域的技術來控制僵尸網絡域。這樣一來,微軟預測僵尸網絡運營商在未來兩年內將創建并用作基礎架構的域名超過600萬個。伯特表示:“微軟將這些域報告給了世界各國的各自注冊機構,因此該網站可以被阻止,從而阻止其成為Necurs基礎架構的一部分。通過控制現有網站并抑制注冊新網站的能力,我們極大地破壞了僵尸網絡?!?/span>
微軟還與互聯網服務提供商ISP和其他行業合作伙伴攜手,盡可能多的幫助從受感染計算機中檢測并清除Necurs惡意軟件。伯特表示:“這項補救工作是全球性的,并涉及通過微軟網絡威脅情報計劃(CTIP)與行業,政府和執法部門的合作伙伴進行協作。對于這種破壞,我們正在與ISP、域名注冊機構、政府CERT和執法機構合作,包括墨西哥,哥倫比亞,臺灣,印度,日本,法國,西班牙,波蘭和羅馬尼亞,以及其他地區?!?/span>
天地和興工控安全研究院編譯,參考來源:BleepingComputer https://dwz.cn/otJJrxI5
(九)美國達勒姆市遭受勒索軟件Ryuk攻擊致其網絡關閉
當地時間3月6日,美國北卡羅來納州達勒姆市遭受了勒索軟件Ryuk攻擊,致其網絡關閉。
據報道,勒索軟件Ryuk是由俄羅斯黑客組織發起的,一旦有人打開了惡意電子郵件附件,該惡意軟件便進入網絡。一旦進入內部,Ryuk可以通過文件共享在網絡服務器上傳播到各個計算機。
該市已按照計劃立即向市政府IT人員發出通知,并快速地做出響應,從而最大程度地減少對操作系統的損害。為了防止攻擊在整個網絡中傳播,達勒姆市暫時禁止了達勒姆警察局、達勒姆郡治安官辦公室及其通信中心對DCI網絡的所有訪問。這導致該市的911呼叫中心關閉,并使達勒姆消防局失去電話服務。盡管該市政府沒有看到數據被盜的跡象,但該市警告說,用戶應提防假冒來自達勒姆市的網絡釣魚電子郵件。
3月11日,該市的核心業務系統已經可以運行,但個人員工的電話和電子郵件訪問預計將需要兩個星期或更長時間恢復。
天地和興工控安全研究院編譯,參考來源:BleepingComputer https://dwz.cn/IcCUx5zH
(十)埃森哲以1.4億美元收購英國網絡安全咨詢公司Context
近日,咨詢公司埃森哲以1.4億美元從Babcock International Group 手中收購了英國知名信息安全服務公司Context Information Security。
Context成立于1998年,總部在倫敦,為政府、金融服務、航空航天和國防以及關鍵基礎設施領域的組織提供高端網絡防御、紅隊威脅情報、漏洞研究和事件響應服務。該公司擁有超過250名員工,并在英國、德國、澳大利亞和美國設有辦事處。根據Babcock的說法,Context在截至2019年3月的財年的營業利潤為260萬美元,截至2019年9月,其總資產為4700萬美元。
埃森哲表示,對Context的收購將加強埃森哲安全的產品組合,并加速其在英國和國際上的增長。埃森哲高級負責人Kenly Bissell表示:“此次收購對我們來說是一次完美的匹配,它將全球各地一批高技能的網絡安全專業人員聯合起來,同時為英國市場的客戶提供差異化服務。該交易標志著埃森哲安全部門持續激進的增長,并為我們提供了一個新的有才華的家庭成員分支機構,以幫助客戶充滿信心和韌性地發展他們的業務?!?/span>
Babcock首席執行官Archie Bethel表示:“Context是一項令人興奮的業務,在網絡安全領域已取得了很大成就。我們希望埃森哲能夠從這里繼續發展業務。這項交易代表了我們業務的進一步集中,并支持我們的中期戰略?!?/span>
天地和興工控安全研究院編譯,參考來源:securityweek https://dwz.cn/VAquWxzn
掃二維碼用手機看

公司總部:北京市海淀區中關村軟件園8號華夏科技大廈三層
服務熱線:400-810-8981 / 010-82896289
版權所有:北京天地和興科技有限公司 京ICP備17065546號-1

掃一掃關注
天地和興微信公眾號