目 錄

　　第一章 國內關鍵信息基礎設施安全動態簡訊

　　(一)工業互聯網產業聯盟發布《中國工業互聯網安全態勢報告(2018年)》

　　(二)CNCERT發布《2019年上半年我國互聯網網絡安全態勢》

　　第二章 海外關鍵信息基礎設施安全動態簡訊

　　(一)Rogue7：針對西門子S7 PLCs 工控設備的攻擊手段

　　(二)Anomali團隊捕獲了一個針對中國政府部門的網站釣魚攻擊行動

　　(三)捷克共和國委員會指責一個外國國家針對捷克外交部發動了網絡攻

　　(四)谷歌研究人員透露已有20年歷史的Windows漏洞尚未打補

　　(五)新型銀行木馬Cerberus出現在地下惡意軟件市場

　　(六)Intel發布多條高危漏洞補?。横槍Χ嗫钴浖蚇UC產品漏洞

　　(七)Windows遠程桌面服務遠程命令執行漏洞(CVE-2019-1181/1182)

　　(八)黑客使用Backdoor和Trojan來攻擊巴爾干地區的財務部門

　　第一章 國內關鍵信息基礎設施安全動態簡訊

　　(一)工業互聯網產業聯盟發布《中國工業互聯網安全態勢報告(2018年)》

　　2019年8月6日，工業互聯網產業聯盟正式發布了《中國工業互聯網安全態勢報告(2018年) 》。報告認為，當前我國工業互聯網平臺網絡安全防護發展尚處于起步階段，工業互聯網應用環境也出現了較多安全問題，工業互聯網平臺較多采用傳統網絡安全防護技術、設備安全防護體系架構，整體解決方案還不夠成熟，這些都是我國工業互聯網發展所面臨的必然挑戰。

　　對于我國工業互聯網主要面臨的安全威脅，報告總結為四個方面：工業終端成為安全最薄弱環節，工業終端保有量大，但安全防護相對不足，勒索病毒、挖礦木馬在2017年出現后，2018年繼續發酵，工業主機終端成為工業網絡安全的脆弱環節。工業控制系統安全形勢依然嚴峻，2018年爆發多起工業控制系統重大漏洞，影響多類生產系統。工業互聯網平臺的安全仍未形成體系，平臺的安全尚沒有形成體系化的安全防護機制，一方面平臺自身的安全性不足，另一方面平臺PaaS層也缺乏健全的安全API供SaaS層調用。工業App缺乏安全機制，目前工業App形態各異、種類繁多，缺乏安全機制和API安全標準。

　　(二)CNCERT發布《2019年上半年我國互聯網網絡安全態勢》

　　2019年08月13日，CNCERT發布《2019年上半年我國互聯網網絡安全態勢》。2019年上半年，我國基礎網絡運行總體平穩，未發生較大規模以上網絡安全事件。但數據泄露事件及風險、有組織的分布式拒絕服務攻擊干擾我國重要網站正常運行、魚叉釣魚郵件攻擊事件頻發，多個高危漏洞被曝出，我國網絡空間仍面臨諸多風險與挑戰。

　　國家互聯網應急中心CNCERT從惡意程序、漏洞隱患、移動互聯網安全、網站安全以及云平臺安全、工業系統安全、互聯網金融安全等方面，對我國互聯網網絡安全環境開展宏觀監測。數據顯示，與2018年上半年數據比較，2019年上半年我國境內通用型“零日”漏洞收錄數量，涉及關鍵信息基礎設施的事件型漏洞通報數量，遭篡改、植入后門、仿冒網站數量等有所上升，其他各類監測數據有所降低或基本持平。

　　電力安全是關鍵信息基礎設施保護的重要內容之一，為調查我國電力二次設備的安全現狀，2019年上半年CNCERT繼續對國內主流電力廠商的產品 進行安全摸底測試，電力設備供應商在電網企業的引導下，已有一定安全意識，但設備整體網絡安全水平仍有待提高。截至目前，在涉及28個廠商、70余個型號的六大類產品(測控裝置、保護裝置、智能遠動機、站控軟件、PMU、網絡安全態勢感知采集裝置，)中均發現了中、高危漏洞，可能產生的風險包括拒絕服務攻擊、遠程命令執行、信息泄露等。其中SISCO MMS協議開發套件漏洞，幾乎影響到每一款支持MMS協議的電力裝置。

　　2019年上半年，CNCERT進一步加強了針對聯網工業設備和工業云平臺的網絡安全威脅發現能力，累計監測發現我國境內暴露的聯網工業設備數量共計6,814個，包括可編程邏輯控制器、數據采集監控服務器、串口服務器等，涉及西門子、韋益可自控、羅克韋爾等37家國內外知名廠商的50種設備類型。其中，存在高危漏洞隱患的設備占比約34%，這些設備的廠商、型號、版本、參數等信息長期遭惡意嗅探，僅在2019年上半年嗅探事件就高達5,151萬起。

　　第二章 海外關鍵信息基礎設施安全動態簡訊

　　(一) Rogue7：針對西門子S7 PLCs 工控設備的攻擊手段

　　近日，多名以色列理工學院及以色列特拉維夫大學職工發布了針對西門子S7 PLCs攻擊手段的文章。西門子工業控制系統架構包括Simatic S7 PLC，其一側與TIA工程站和SCADA HMI通信，另一側控制工業系統。該架構的較新版本聲稱對于復雜的攻擊者是安全的，因為它們使用高級加密原語和協議。然而，以色列的研究人員表明即使最新版本的設備和協議仍然容易受到攻擊。在對加密協議進行反向工程之后，他們能夠創建一個工程站，它可以偽裝成PLC的TIA并向攻擊者注入任何有利的消息。

　　以色列人員舉例說明了一種攻擊的方法。他們擴展了可以遠程啟動或停止PLC到最新S7-1500 PLC的攻擊。他們的主攻可以將攻擊者選擇的控制邏輯下載到遠程PLC。他們最強大的攻擊 - 隱形程序注入攻擊 - 可以單獨修改運行代碼和源代碼，這些代碼和源代碼都下載到PLC。這允許他們修改PLC的控制邏輯，同時保留PLC提供給工程師站的源代碼。因此，他們可以創建一種情況，即PLC的功能與工程師可見的控制邏輯不同。

　　(二)Anomali團隊捕獲了一個針對中國政府部門的網站釣魚攻擊行動

　　Anomali威脅研究小組最近發現了一個網絡釣魚網站冒充中華人民共和國外交部電子郵件服務的登錄頁面。如果訪問者嘗試登錄這個釣魚頁面，網站就會向他們彈出一條驗證消息，要求用戶關閉窗口并繼續瀏覽。研究人員通過對攻擊者的基礎設施進行進一步分析后發現，其幕后攻擊者還針對中國的其他政府網站和國有企業網站進行了大范圍的釣魚活動。在調查中發現的一個域名被中國安全供應商“CERT 360”認定為2019年5月“APT惡意攻擊”的一部分。目前Anomali已經確認，幕后的策劃者還會進一步對中國的政府網站發起進一步攻擊?；贚et’s Encrypt證書發布日期，研究人員認為該活動開始于2019年5月。研究人員預計，BITTER APT將繼續以中國的政府為目標，利用偽造的登錄頁面竊取用戶憑證，獲取特權賬戶信息。

　　(三)捷克共和國委員會指責一個外國國家針對捷克外交部發動了網絡攻擊

　　捷克共和國議會委員會透露，捷克國家網絡和信息安全局譴責一個外國發起的針對捷克外交部的網絡攻擊。

　　該委員會沒有透露涉嫌參與襲擊事件的國家的名稱。

　　內政部長Jan Hamacek告訴CTK新聞機構，政府基礎設施已經處理了幾個月的網絡攻擊。

　　一名捷克間諜機構指責俄羅斯在2016年針對外交部發起了另一波攻擊，由國家支持的黑客入侵了150個部門的電子郵件帳戶。

　　當時，捷克外交部長證實，黑客沒有滲透到該部的內部通信系統，也沒有任何機密材料受到損害，即使攻擊者竊取了大量數據。

　　一位政府消息人士告訴路透社，捷克當局懷疑這些襲擊來自俄羅斯。捷克專家于2017年1月初發現了安全漏洞。

　　捷克共和國是北約聯盟之一，2016年10月，捷克當局逮捕了俄羅斯公民Yevgeniy Nikulin，他于2018年3月被引渡到美國。美國要求Yevgeni Nikulin對社交網絡和俄羅斯進行網絡攻擊當局指控他欺詐。根據美國當局的說法，這名男子瞄準了LinkedIn和Formspring并入侵了文件托管服務Dropbox。

　　(四)谷歌研究人員透露已有20年歷史的Windows漏洞尚未打補丁

　　Google的Project Zero團隊中的白帽子Tavis Ormandy近日披露了在Windows操作系統中存在長達20年的尚未打補丁的漏洞細節。

　　該漏洞評為高危漏洞，會影響從Windows XP以來的所有Microsoft Windows版本。Ormandy透露了Windows kernel中msCTF模塊中的多個設計安全問題。

　　MSCTF子系統是文本服務框架(TSF)的一部分，它管理輸入方法，鍵盤布局，文本處理和其他問題。TSF由ctfmon服務器和MSCTF客戶端組成。

　　漏洞存在于MSCTF客戶端和服務器相互通信的方式中。該漏洞可允許低權限或沙箱用于讀取和寫入更高權限應用程序的數據的應用程序。

　　根據Ormandy的說法，缺乏訪問控制或任何類型的身份驗證可能允許任何應用程序，因此任何應用、用戶、沙箱進程都可以：

　　● 連接到CTF會議

　　● 允許CTF客戶端從任何其他會話中讀取和寫入任何窗口的文本

　　● 偽裝成CTF服務并獲得其他應用程序(甚至是高權限的應用)來進行連接

　　● 對線程ID，進程ID和HWND等進行欺騙

　　● 進行沙箱逃逸和權限提升

　　(五)新型銀行木馬Cerberus出現在地下惡意軟件市場

　　一種新的惡意軟件Cerberus已經出現在威脅領域，它是一種從頭開發的Android RAT，并沒有從其他惡意軟件中借用代碼。根據Threat Fabric的威脅研究人員分析，Cerberus實現了與其他Android RAT類似的功能，它允許使用者完全控制受感染的設備。該惡意軟件實現了銀行木馬功能，例如使用覆蓋攻擊、攔截SMS消息、和訪問聯系人列表，以及截圖、錄制音頻、錄制鍵盤、發送，接收和刪除短信、竊取聯系人列表、轉發電話、收集設備信息、跟蹤設備位置、竊取帳戶憑據、禁用Play Protect、下載其他應用和有效負載、從受感染的設備中刪除應用、推送通知、鎖定設備的屏幕。

　　在2019年6月，ThreatFabric分析師發現了一種新的Android惡意軟件，被稱為”Cerberus“，正在地下論壇上租用。它的作者聲稱它在租賃開始之前的兩年內用于私人運營。他們還聲明代碼是從頭開始編寫的，并未使用其他現有銀行特洛伊木馬的部分內容。不像許多其他木馬完全基于另一個木馬的來源(例如泄露的Anubis源代碼，現在正在轉售)或至少借用其他特洛伊木馬的部分。

　　作者以2000美元的價格提供惡意軟件出租1個月使用，6個月7000美元，全年12,000美元。一旦Cerberus感染了Android設備，它就會將其圖標隱藏在應用程序抽屜中，然后它通過冒充自己的要求獲得可訪問性權限Flash Player服務。一旦受害者向惡意軟件提供所請求的授權，Cerberus就會將受感染的設備注冊到C2服務器并使其成為僵尸網絡可供出租。

　　惡意代碼用戶重疊攻擊以竊取受害者的敏感和財務數據，包括信用卡號，銀行憑證和銀行帳戶密碼。在疊加攻擊中，攻擊者創建一個UI覆蓋圖，顯示在合法的Android應用程序之上，并誘騙受害者提供敏感信息或單擊確認按鈕。

　　(六)Intel發布多條高危漏洞補?。横槍Χ嗫钴浖蚇UC產品漏洞

　　8月15日消息，Intel官方安全中心界面發布了多條漏洞補丁更新，針對包括NUC固件、處理器識別程序以及計算機改進計劃等多條漏洞，在這些漏洞修復前多款NUC產品可能遭到權限提升、拒絕服務(DoS)以及信息泄露等攻擊。

　　Intel在NUC漏洞警告中稱，編號為CVE-2019-11140的NUC固件漏洞的CVSS(通用漏洞評分系統)評分高達7.5分，并描述道：如果用戶在Intel NUC系統固件中的會話驗證不足，可能會為用戶提供特權來進行權限升級、拒絕服務(Dos)或導致信息及隱私泄露問題。受到該漏洞影響的包括了Intel眾多NUC產品。

　　此外，Intel發布了代號為CVE-2019-11162的計算機改進程序漏洞和代號為CVE-2019-11163處理器標識漏洞。前者的設計初衷是希望用戶可以幫助Intel改進處理器并發現問題，不過漏洞可能同樣會導致權限升級、拒絕服務以及信息泄露;后者的設計初衷則是為了方便用戶識別處理器的類型和規格，不過也同樣存在風險，CVSS評分高達8.2分，此外，這兩個漏洞都僅需要用戶經過身份驗證后即可利用。

　　目前Intel給出的解決方案是：用戶及時更新最新版本。為了自己的系統安全，建議各位小伙伴抓緊到Intel安全中心官網下載更新，以防電腦遭到惡意攻擊。

　　(七)Windows遠程桌面服務遠程命令執行漏洞(CVE-2019-1181/1182)

　　8月13日，微軟發布了每月一次的Patch Tuesday 安全更新，包括93個安全漏洞和兩份安全建議。其中一套針對遠程桌面服務的修復程序，包括兩個關鍵的遠程執行代碼(RCE)漏洞CVE-2019-1181和CVE-2019-1182。與之前修復的“BlueKeep”漏洞(CVE-2019-0708)一樣。這也就意味著，攻擊者可以利用該漏洞制作類似于2017年席卷全球的WannaCry類的蠕蟲病毒，進行大規模傳播和破壞。

　　遠程桌面服務(以前稱為終端服務)中存在遠程執行代碼漏洞，當未經身份驗證的攻擊者使用RDP連接到目標系統并發送特制請求時，成功利用此漏洞的攻擊者可以在目標系統上執行任意代碼，然后攻擊者可以安裝程序、查看、更改或刪除數據; 或創建具有完全用戶權限的新帳戶。利用此漏洞，攻擊者僅需要通過RDP向目標系統遠程桌面服務發送惡意請求。

　　成功利用此漏洞的攻擊者可以在目標系統上執行任意代碼，然后攻擊者可以安裝程序、查看、更改或刪除數據; 或創建具有完全用戶權限的新賬戶。

　　受影響的產品包括Windows 操作系統多個版本，包括Windows 7 SP1、Windows Server 2008 R2 SP1、Windows Server 2012、Windows 8.1、Windows Server 2012 R2、以及所有受支持的Windows 10版本，包括服務器版本組件及遠程桌面服務。

　　用戶可通過下載官方補丁或通過Windows 操作系統中的自動更新功能進行更新，或禁用遠程桌面服務、在防火墻中對遠程桌面服務端口(3389)進行阻斷、在開啟了遠程桌面服務的服務器上啟用網絡身份認證來臨時解決。

　　(八)黑客使用Backdoor和Trojan來攻擊巴爾干地區的財務部門

　　黑客使用后門和遠程訪問木馬，讓攻擊者可以完全遠程控受感染的計算機。該活動至少從2016年1月開始啟動，并積極針對巴爾干地區的金融組織。

　　ESET的報告重點介紹了利用WinRAR漏洞(CVE-2018-20250)的新版BalkanDoor，并實現了新的執行和安裝方法，包括模仿可信網站的鏈接，這些網站指向分發BalkanRAT和BalkanDoor的惡意文件。

　　在2019年檢測到的一些最新BalkanDoor樣本中，惡意軟件被分發為ACE檔案，偽裝成RAR檔案(即不是可執行文件)，專門用于利用WinRAR ACE漏洞(CVE-2018-20250)。

　　BalkanRAT和BalkanDoor都安裝在同一臺機器上，讓攻擊者通過命令行界面和圖形界面遠程訪問機器。

　　BalkanDoor會在受感染計算機上創建自動化任務，一旦安裝，它就會在合法服務下隱藏為服務，并完成任務。安裝完成后，計算機將與C&C服務器連接并自行注冊并開始請求命令。通過HTTPS建立連接。

　　BalkanRAT是商業軟件Remote Utilities軟件的副本，BalkanRAT包含RDS的其他組件以隱藏其過程?！癇alkanRAT部署的RDS配置方式使得所有受害者的密碼都相同，并且生成的唯一ID由工具本身發送到攻擊者的電子郵件地址。此外，它還使用Remote Utilities的基礎架構在受感染的計算機上建立通信。BalkanRAT使用GUI隱藏功能保持隱身。

　　如果BalkanDoor和BalkanRAT一起使用，那么它就是一個強大的武器。該活動的目標是公司里的重要部門--會計部門。