目 錄

　　第一章 國內關鍵信息基礎設施安全動態

　　(一)CNCERT發布《2019年我國互聯網網絡安全態勢綜述》報告

　　(二)臺灣IoT設備LED燈控制臺被濫用來散播惡意軟件

　　(三)越南APT32針對我應急管理部和武漢市政府實施網絡攻擊

　　第二章 國外關鍵信息基礎設施安全動態

　　(一)FPGA芯片中存在高危漏洞Starbleed可致關鍵基礎設施遭受攻擊

　　(二)新型IoT僵尸網絡Mozi預計已感染1.5萬臺IoT設備

　　(三)阿塞拜疆政府和能源部門遭受黑客攻擊

　　(四)德國政府遭受新冠病毒釣魚攻擊損失數千萬歐元

　　(五)黑客使用冠狀病毒為主題的網絡釣魚攻擊美國防部網絡

　　(六)IT服務公司Cognizant遭受勒索軟件Maze攻擊

　　(七)IBM Data Risk Manager中存在4個零日漏洞

　　(八)2.67億Facebook用戶信息在暗網僅售600美元

　　(九)NSA和ASD聯合發布《Web Shell檢測和防御報告》

　　(十)Google發布內部非VPN遠程訪問工具BeyondCorp

　　(十一)Chrome瀏覽器爆重大安全漏洞

　　(十二)如何最大程度地減少人為錯誤帶來的網絡安全風險

   　第一章 國內關鍵信息基礎設施安全動態

　　(一)CNCERT發布《2019年我國互聯網網絡安全態勢綜述》報告

　　2020年4月20日，國家互聯網應急中心(CNCERT)編寫的《2019年我國互聯網網絡安全態勢綜述》報告(以下簡稱“2019年態勢報告”)正式發布。為全面反映當前我國網絡安全的整體態勢，CNCERT自2010年以來，每年及時發布前一年度網絡安全態勢情況綜述，至今已連續發布11年，對我國黨政機關、行業企業及全社會了解我國網絡安全形勢，提高網絡安全意識，做好網絡安全工作提供了有力參考。

　　2019年態勢報告立足于CNCERT網絡安全宏觀監測數據與工作實踐，報告涉及2019年典型網絡安全事件、網絡安全新趨勢及日常網絡安全事件應急處置實踐等內容。報告主要分為四個部分：

　　一是總結2019年我國互聯網網絡安全狀況。報告重點從拒絕服務攻擊、APT攻擊、安全漏洞、數據安全、移動互聯網安全、互聯網黑灰產、工業控制系統安全等七個方面總結了2019年我國互聯網網絡安全狀況。2019年，我國在以上七個方面持續加大監測發現、治理處置力度并取得明顯成效，但仍面臨突出的風險與挑戰。

　　二是預測2020年網絡安全熱點。報告提出六點預測，認為國家關鍵信息基礎設施安全、重要數據和個人信息保護、國家級網絡對抗、精準網絡勒索、遠程協同安全風險、5G等新技術安全將成為2020年網絡安全領域值得關注的熱點。

　　三是結合網絡安全態勢分析提出對策建議。報告從強化關鍵信息基礎設施保護、加快網絡安全核心技術創新突破、提升數據安全管理和個人信息保護力度、壯大網絡安全技術產業規模和網絡安全人才隊伍、擴大國內外網絡安全合作五個方面，對進一步做好我國網絡安全工作提出建議。

　　四是梳理網絡安全監測數據。報告從攻擊來源、攻擊對象、攻擊規模三個維度，對惡意程序、安全漏洞、拒絕服務攻擊、網站安全、工業控制系統安全等五個方面2019年我國互聯網網絡安全監測數據進行了梳理。

　　本文版權歸原作者所有，參考來源：CNCERT http://dwz.date/aqSK

　　(二)臺灣IoT設備LED燈控制臺被濫用來散播惡意軟件

　　近日，微軟數字犯罪部門臺灣辦事處發現，看似微不足道的IoT設備也可能被濫用來發起惡意攻擊。臺灣北部農村的一棟辦公樓內的LED燈光控制臺被用來傳播高達每周1TB的惡意軟件、網絡釣魚郵件、勒索軟件、DDoS攻擊。

　　根據微軟臺灣數字犯罪部門(DCU)的初步觀察，該研究團隊發現了一個異常的僵尸網絡信號峰值，該信號在一個月內增加了100倍。僵尸網絡是網絡犯罪分子感染了惡意軟件或惡意軟件的計算機和設備的網絡。一旦被感染，犯罪分子就可以遠程控制這些計算機和設備并使用它們進行犯罪。

　　DCU團隊通過映射40萬多個公共IP進行了更深入的研究，并將信息范圍縮小到90個可疑IP。對這90個IP進行的開放數據搜索進一步完善了分析，并揭示了一個令人震驚的事實：一個特定IP與數十種與惡意軟件分發，網絡釣魚電子郵件，勒索軟件和DDoS攻擊有關的活動有關。令團隊驚訝的是，這些活動與每周發送多達1 TB的惡意內容相關。

　　DCU小組向臺灣司法部調查局(MJIB)發出了警報并向其通報了情況。利用DCU提供的情報，MJIB代理可以快速有效地跟蹤非法VPN IP。他們發現非法VPN背后的隱藏帳戶正在從臺灣北部農村的一棟辦公樓內部發送惡意軟件攻擊。

　　通常，網絡犯罪分子會使用受損的PC發起網絡攻擊。但是這次，該光源被確定為LED光控制臺，這似乎是微不足道的物聯網設備。MJIB迅速將其關閉，并阻止其吐出更多惡意軟件。

　　MJIB信息和通信安全部門負責人吳福美表示，“這是一個里程碑。這是因為我們能夠拆除IoT設備并將臺灣那些受到感染的計算機的違規行為限制在有限的范圍內，這與我們之前的全球合作案例大不相同。網絡攻擊越來越嚴重。通過Microsoft收集情報和處理數據的努力，我們可以更有效地調查肇事者，并在罪犯走得很遠之前進一步采取法律行動。這是建立在相互信任基礎上的伙伴關系，我們很高興微軟在我們身邊?！?/span>

　　天地和興工控安全研究院編譯，參考來源：Microsoft https://dwz.cn/PMR6buV7

　　(三)越南APT32針對我應急管理部和武漢市政府實施網絡攻擊

　　4月22日，美國“火眼”公司發布研究報告稱：越南網絡間諜組織APT32(“海蓮花”組織)在疫情期間針對中國應急管理部和武漢市實施了網絡攻擊。從2020年1月至2020年4月期間，越南威脅行為體APT32對中國目標進行了入侵活動，旨在收集有關“新冠肺炎”(COVID-19)危機的情報。該組織將魚叉式網絡釣魚郵件發送給了中國應急管理部以及武漢市政府。此外，該組織還針對說普通話的人群實施了網絡間諜活動。該報告主要內容如下：

　　具有跟蹤鏈接的網絡釣魚電子郵件以中國政府為目標

　　最早發現的網絡攻擊事例是2020年1月6日，APT32組織使用發件人地址“lijianxiang1870 @ 163.com”和主題“第一期辦公設備招標結果報告”發送了帶有嵌入式跟蹤鏈接的電子郵件(圖1)給中國應急管理部。嵌入式鏈接包含受害者的電子郵件地址，還包含受害者在打開電子郵件時向攻擊者報告的代碼。

 

　　“火眼”曼迪昂特威脅情報部門還發現了其他跟蹤URL，這些URL顯示了中國武漢市政府的目標和與應急管理部相關聯的電子郵件帳戶。

　　l libjs.inquirerjs . com / script / @ wuhan.gov.cn.png

　　l libjs.inquirerjs . com / script / @ chinasafety.gov.cn.png

　　l m.topiccore . com / script / @ chinasafety.gov.cn.png

　　l m.topiccore . com / script / @ wuhan.gov.cn.png

　　l libjs.inquirerjs . com / script / @ 126.com.png

　　libjs.inquirerjs.com域在去年12月被用作METALJACK網絡釣魚活動的命令和控制域，可能針對東南亞國家。

　　METALJACK的其他活動表明間諜活動還針對講普通話的人群

　　APT32可能針對說中文的目標使用了以COVID-19為主題的惡意附件。盡管我們尚未發現完整的執行鏈，但我們發現了一個METALJACK加載器，在啟動有效載荷時會顯示中文標題為COVID-19誘餌的中文文檔。

　　當METALJACK加載程序krpt.dll(MD5：d739f10933c11bd6bd9677f91893986c)加載時，可能會調用“ _force_link_krpt”。加載程序執行其嵌入式資源之一，即以COVID為主題的RTF文件，向受害者顯示內容并將文檔保存到%TEMP%。

　　誘餌文檔 (圖2) 標題為“冠狀病毒實時更新：中國正在追蹤來自湖北的旅行者”,MD5: c5b98b77810c5619d20b71791b820529，向受害者顯示了一篇紐約時報的文章。

　　該惡意軟件還會在其他資源MD5: a4808a329b071a1a37b8d03b1305b0cb中加載shellcode，其中包含METALJACK有效載荷。Shellcode執行系統調查以收集受害者的計算機名和用戶名，然后使用libjs.inquirerjs.com將這些值附加到URL字符串。然后，它嘗試調出URL。如果調用成功，則惡意軟件會將METALJACK有效載荷加載到內存中。然后，它將vitlescaux.com用于命令和控制。

　　展望

　　COVID-19危機給各國政府帶來了嚴重的、現實的擔憂，當前的不信任氣氛加劇了不確定性，導致對情報收集工作的重視程度與武裝沖突時不相上下。國家，州或省，和地方政府，以及非政府組織和國際組織，都成為了網絡間諜活動的目標，醫學研究機構也成為目標。在這場危機結束之前，預計相關的網絡間諜活動將繼續在全球范圍內加劇。

　　天地和興工控安全研究院編譯，參考來源：Fireeye https://dwz.cn/Aos8KEyX

　　第二章 國外關鍵信息基礎設施安全動態

　　(一)FPGA芯片中存在高危漏洞Starbleed可致關鍵基礎設施遭受攻擊

　　研究人員在現場可編程門陣列(FPGA)芯片中發現了一個潛在的嚴重漏洞，該漏洞可能會使許多任務關鍵型和安全關鍵型設備遭受攻擊。

　　FPGA是可以在制造后在現場進行編程的集成電路。這些芯片被認為是安全組件，它們存在于廣泛的系統中，包括工業控制系統(ICS)、云數據中心、蜂窩基站、醫療設備、航空系統。

　　來自德國波鴻魯爾大學霍斯特·戈爾茨IT安全研究所和馬克斯·普朗克安全與隱私研究所的一組研究人員發現，FPGA芯片受到一個嚴重漏洞的影響，他們將其命名為Starbleed，可被利用來完全入侵控制芯片，從而使用惡意代碼對芯片進行重新編程。

　　為了利用此漏洞，攻擊者需要訪問目標設備的JTAG或SelectMAP接口，但研究人員警告說，遠程攻擊也是可能的。

　　研究集中在Xilinx公司制造的FPGA上，Xilinx公司是發明FPGA的美國公司，也是此類產品的全球最大供應商之一。受影響的產品包括Xilinx的7系列設備，包括Spartan、Kintex、Artix和Virtex系列，以及較舊的Virtex-6芯片。

　　2019年9月向供應商報告了該漏洞，并迅速確認了該漏洞的存在。但是，研究人員表示，如果不更換硅，就無法修補該缺陷。另一方面，他們指出，Xilinx的新UltraScale和UltraScale +芯片正在慢慢取代舊型號，因此不容易受到攻擊。

　　Xilinx發布了一份安全忠告，以告知客戶該漏洞，但似乎并不完全同意研究人員的評估。

　　Xilinx發言人表示，“唯一被證實的實施所謂“星際大戰”攻擊的方法，就是對系統進行近距離的物理訪問。還必須認識到，當對手對系統進行物理訪問時，還需要考慮許多其他威脅。我們建議所有客戶，在設計系統時應采取篡改保護措施，使其難以實現近距離的物理訪問?！?/span>

　　Starbleed攻擊的目標是 FPGA的比特流，其中包含設備的編程信息。根據研究人員的說法，如果攻擊者獲得了對比特流的訪問權限，他們可以植入硬件后門，更改其功能或者對系統造成物理損壞。

　　供應商已經引入了比特流加密，以保護FPGA設計。但是，總部位于德國的研究人員設法規避了比特流加密并解密了所謂的安全比特流。該攻擊導致針對7系列Xilinx器件的完全解密和針對Virtex-6器件的部分解密。

　　研究人員表示，他們發現了兩種被稱為低成本的攻擊方法，這與之前針對比特流加密的攻擊不同，后者需要精良的設備和相當的技術專長。

　　然而，Xilinx在其報告中指出：“這種攻擊的復雜性類與DPA針對這些設備的攻擊相似，并且已經得到證實，因此不會削弱它們的安全性?！?/span>

　　天地和興工控安全研究院編譯，參考來源：SecurityWeek http://dwz.date/aret

　　(二)新型IoT僵尸網絡Mozi預計已感染1.5萬臺IoT設備

　　近日，CenturyLink的黑蓮花實驗室的研究人員發現了一種新型惡意軟件Mozi，該惡意軟件由Gafgyt、Mirai、IoT Reaper的源代碼組成，被Mozi感染的設備被偽裝成IoT僵尸網絡，可用于發起DDoS攻擊、數據泄露和有效載荷執行。到目前為止，還不清楚僵尸網絡是否已被用于進行任何攻擊。該惡意軟件的目標是物聯網設備，主要是未打補丁或遠程登錄密碼弱的路由器和DVR。從技術上講，它可以通過公開的telnet危害任何嵌入式Linux設備。

　　但是，盡管與Mirai和Gafgyt組裝在一起的僵尸網絡具有集中的命令和控制基礎結構，但感染了Mozi的設備卻被組合在一起，形成了P2P僵尸網絡。

　　CenturyLink的Black Lotus Labs負責人Michael Benjamin表示，之所以如此與眾不同，是因為Mozi僵尸網絡因此更難以全部刪除。當僵尸網絡的命令和控制功能集中在單個服務器或什至少數服務器中時，可以通過針對這些服務器將僵尸網絡關閉。

　　Benjamin表示，使用P2P僵尸網絡，沒有什么方法可以完全刪除僵尸網絡。由于Mozi的彈性，可感染的大量設備以及DDoS，數據泄漏和遠程代碼執行功能，它們對企業構成威脅。

　　在調查安全供應商最初認為與IoT Reaper關聯的威脅活動時，CenturyLink在12月發現了Mozi。由于該惡意軟件包含其源代碼，因此也被錯誤地識別為Mirai，Gafgyt和IoT Reaper的變體。

　　從少數受損主機開始，Mozi僵尸網絡在2月份增長到大約2200個節點，之后數量逐漸下降。CenturyLink估計，在過去四個月中，該惡意軟件已破壞了多個國家/地區的約15,850個IoT設備。Benjamin表示，這個數字使它成為一種中級威脅，這個規模太小而無法發動大型DDoS攻擊，但嚴重到足以引起關注。

　　根據CenturyLink研究結果，屬于Mozi僵尸網絡的受感染節點使用分布式哈希表(DHT)與其他受感染的主機系統進行通信。研究人員在報告中表示，“標準DHT協議通常用于存儲torrent和其他P2P客戶端的節點聯系信息?！?在這種情況下，該協議允許Mozi的作者控制僵尸網絡，而無需集中的命令和控制基礎結構。

　　迄今為止，CenturyLink觀察到的70%的受Mozi感染的感染者位于中國。受感染主機數量第二高的國家是美國和印度，這兩個國家分別占所有受感染設備的10%。CenturyLink的研究人員還發現了位于韓國巴西和俄羅斯的系統上的惡意軟件，盡管數量很少。

　　當Mirai DDoS攻擊于2016年首次浮出水面時，人們非常擔心IoT僵尸網絡可能很快成為敵對武器庫的主要武器。人們擔心，攻擊者會利用配置不良且易受攻擊的消費者物聯網設備來構建大型僵尸網絡，以對企業組織發起嚴重的DDoS攻擊和其他攻擊。

　　Benjamin表示，尚未發生這種情況的原因之一是，有太多的不良行為者試圖同時利用IoT設備。因此與Mirai爆炸時相比，每個設備可用的設備池都相對較小。設備制造商和用戶在保護路由器、DVR和其他智能設備免受攻擊方面已經變得更好。即便如此，CenturyLink仍然繼續每月平均檢測到625個與物聯網僵尸網絡鏈接的命令和控制服務器。

　　天地和興工控安全研究院編譯，參考來源：DarkReading https://dwz.cn/ZH7XIu77

　　(三)阿塞拜疆政府和能源部門遭受黑客攻擊

　　思科Talos威脅情報和研究小組的報告顯示，已經發現有針對阿塞拜疆的威脅攻擊者對能源領域表現出了興趣，特別是與風力渦輪機相關的SCADA系統。

　　這些攻擊攻擊針對的目標是阿塞拜疆政府和公用事業公司，惡意代碼旨在感染廣泛用于能源和制造業的監督控制和數據采集(SCADA)系統，涉及一種前所未見的遠程訪問木馬(RAT)。Talos還無法將這些襲擊與一個已知的威脅者聯系起來。

　　黑客模仿了阿塞拜疆政府的電子郵件基礎設施，可能試圖從官員那里竊取登錄憑據。Talos研究人員在博客中說：黑客監視了特定的目錄，表明他們想泄露受害者的某些信息。目前，可以判斷他們的攻擊目的純粹是以間諜為重點的，但他們可以輕松竊取足夠的信息、憑據和重要文件，以便能夠實施進一步的活動，如勒索攻擊。

　　根據Talos的說法，黑客還對阿塞拜疆風力渦輪機使用的控制系統表現出了興趣，這種控制系統被稱為監控和數據采集(SCADA)系統。研究人員拒絕詳細說明他們觀察到的涉及SCADA系統的活動。

　　阿塞拜疆，一個夾在伊朗和俄羅斯之間的石油資源豐富的國家，最近在風能領域進行了大量投資。阿塞拜疆能源部長2月份表示，來自沙特阿拉伯和阿拉伯聯合酋長國的公司將在大型風能和太陽能項目上投資4億美元。

　　目前尚不清楚有多少次攻擊成功。阿塞拜疆政府發言人未回應置評請求。

　　至于在這些攻擊中使用的新的基于Python的RAT，Talos 稱其為惡意軟件PoetRAT。一旦它被傳送到設備，其操作員就可以指示它列出文件，獲取有關系統的信息、下載和上傳文件、截屏、復制和移動文件、在注冊表中進行更改、隱藏和取消隱藏文件、查看和終止進程，以及執行操作系統命令。

　　惡意軟件通常使用特制的 word 文檔作為滴管進行傳遞。在2月份觀察到的一次行動中，偽造的文件被模糊處理，但似乎包含了印度國防部國防研發組織的標志。然而，Talos表示，沒有發現印度成為目標的證據。

　　在4月觀察到的另一項運動，文件顯然提到了 covid-19冠狀病毒的爆發。在本月發起的另一項運動中，也發現了一份以冠狀病毒為主題的文件。該文件是用俄語編寫的，看起來像是阿塞拜疆的政府文件。

　　傳遞這份文件的服務器也被發現有一個仿照阿塞拜疆政府的mail.gov.az網絡郵件服務登錄頁面的釣魚頁面。

　　除PoetRAT之外，攻擊者還被發現將其他工具傳送到被入侵的系統中，包括那些通過電子郵件或FTP竊取數據的工具，通過他們的網絡攝像頭記錄受害者、記錄鍵盤點擊、從瀏覽器中竊取憑證、以及升級特權。

　　天地和興工控安全研究院編譯，參考來源：SecurityAffairs http://dwz.date/aqZA

　　(四)德國政府遭受新冠病毒釣魚攻擊損失數千萬歐元

　　由于德國西部北威州政府用于分發新冠病毒緊急救助金的網站存在不安全性，導致該政府損失了數千萬歐元。黑客偽造了該分發救助金的官方網站，并通過發送電子郵件的方式誘使用戶登陸此偽造網站并竊取其個人信息。之后利用真實用戶的個人信息向政府提出申請救助金的請求，并將匯入資金的銀行帳戶修改成他們自己的賬戶。

　　該救助金詐騙活動從3月中旬持續到4月9日，隨后北威州政府關閉了該救助金申請網站并停止了付款。

　　德國科技新聞網站Heise報道，在關閉該網站之前，北威州警察局已收到576起有關該騙局的官方欺詐報告。德國報紙Handelsblatt還報道到，政府已收到38萬多份要求冠狀病毒的政府援助申請，并同意給36萬份付款。據德國電視臺Tagesschau15日報道，北威州官員表示至少有3,500至4,000份救助金申請是虛假的。個體經營者的救助金額為9000歐元，雇員超過50人的公司的救助金額為25000歐元。粗略估計，北威州政府目前損失的金額至少為3150萬歐元，最高為1億歐元，這些錢支付給了騙子的虛假賬戶。

　　目前該事件正在調查中。Tagesschau報道表示，北威州檢察官目前正在調查該計劃中使用的兩個釣魚網站，其中一個網站為wirtschaft-nrw.info。這次事件的罪魁禍首完全是北威州政府，他們沒有提出一種安全的資金分配方法。當其他德國州政府要求用戶上傳掃描的文件以證明其身份或要求用戶下載表格并將其郵寄時，北威州政府僅要求當地居民和公司在其網站上填寫表格，而無需任何其他驗證身份。

　　北威州政府18號重新啟用了該冠狀病毒緊急援助資金網站，并表示，只有當請求者的銀行帳號與過去用于繳稅的銀行帳號相匹配時，才可以繼續付款。

　　科隆的C語言程序員Jan G.(化名)表示，如果他收到詐騙者的電子郵件，他也將陷入網絡釣魚活動?！叭绻覀兪煜た寺〉恼军c，我們的用戶可以檢測到釣魚站點。這是一個以前從未有人見過的新站點，我們無法知道它是否是真正的站點。這解釋了為什么有那么多人上鉤并輸入個人數據?！?/span>

　　北威州警察局現正要求已申請冠狀病毒救助資金但尚未收到資金的用戶報警。

　　天地和興工控安全研究院編譯，參考來源：ZDNet https://dwz.cn/rdYVz0pp

　　(五)黑客使用冠狀病毒為主題的網絡釣魚攻擊美國防部網絡

　　美國國防部網絡犯罪中心(DC3)4月20日在官方網站中表示，網絡犯罪分子一直在利用與冠狀病毒相關的魚叉式網絡釣魚攻擊美國軍事組織。盡管許多供應、服務、休閑活動已經放緩或停止，但網絡間諜活動仍然沒有停止，甚至勢頭強勁。根據DC3的評估，這次行動的目標不僅僅針對國防工業基礎公司及其網絡，其目標是侵入國防部運行的系統。

　　盡管數月來，網絡犯罪分子和國家黑客一直在利用冠狀病毒主題的魚叉式釣魚和間諜軟件攻擊全球企業和個人，但這是美國政府首次公開表示，自己的網絡正遭到黑客攻擊，這些黑客試圖利用圍繞這場流行病的恐懼。

　　DOD-DIB協作信息共享環境(DCISE)主管Krystal Covey表示，該博客來自DC3的信息共享范圍，該范圍可為國防工業基地提供威脅情報和其他幫助。

　　Covey在一份聲明中表示：“這種來源廣泛的威脅共享允許近乎實時的合作，使合作伙伴關系和美國政府機構的成員有可能在事件發生或升級之前進行檢測，制止和補救。DIB合作伙伴公司與國防部之間存在的公私合作伙伴關系建立在信任的基礎上，這對關鍵的網絡威脅信息共享至關重要?！?/span>

　　一家公司向五角大樓報告說，他們收到了一封似乎來自疾病預防控制中心的電子郵件，但實際上將目標定向到了一個證書收集網站。另一個DIB組織發現美國政府中央身份驗證服務登錄服務正在使用Web服務作為開放重定向。

　　據DCISE稱，這項服務特別是在三月下旬被關閉，以便對惡意行為進行調查。目前尚不清楚黑客的針對性操作是否成功，或者來自公司或DOD網絡本身的任何數據是否已被竊取。

　　天地和興工控安全研究院編譯，參考來源：cyberscoop http://dwz.date/ardP

　　(六)IT服務公司Cognizant遭受勒索軟件Maze攻擊

　　信息技術服務公司Cognizant4月17日晚遭受了勒索軟件Maze攻擊。

　　Cognizant是全球最大的IT托管服務公司之一，擁有近30萬名員工，收入超過150億美元。該公司擁有大量數據，因此很容易成為黑客的目標。據其網站稱，大型制藥公司和連鎖餐廳都使用Cognizant的軟件和咨詢服務。Cognizant通過安裝在客戶工作站上的端點客戶端或代理遠程管理其客戶端，以推出補丁程序、軟件更新和執行遠程支持服務。

　　周五，Cognizant開始通過電子郵件向其客戶發送電子郵件，表示該公司已遭到入侵，并包括初步調查確定的IOC列表?？蛻艨梢允褂迷撔畔肀O視其系統并進一步保護自己。

　　列出的IOC包括服務器的IP地址以及kepstl32.dll、memes.tmp和maze.dll文件的文件哈希。這些IP地址和文件是由Maze勒索軟件參與者在先前的攻擊中使用過的。同時還有一個新的未命名文件的哈希，但沒有該文件的更多信息。

　　安全研究人員Vitali Kremez 發布了一個Yara規則，該規則可用于檢測Maze Ransomware DLL。

　　然而Maze的運營者否認對此事件負責。過去，Maze在談判停止前一直不愿討論攻擊或受害者。由于這次攻擊是最近才發生的，因此Maze可能不會討論它，以避免他們希望潛在的贖金支付帶來的麻煩。

　　在報告了此攻擊后，Cognizant在其網站上發布了一份聲明，確認該網絡攻擊是由Maze進行的?！癈ognizant可以確認，Maze勒索軟件攻擊涉及我們內部系統的安全事故，并導致一些客戶的服務中斷，我們的內部安全團隊和領先的網絡防御公司正在積極采取措施遏制此事件。Cognizant還與相關執法機構進行了接觸。我們一直與客戶保持溝通，并向他們提供了危害指標(IOC)和其他具有防御性的技術信息?！?/span>

　　如果是Maze實施了這種攻擊，他們很可能會在Cognizant的網絡中存在數周，甚至更長時間。當以企業為目標的勒索軟件操作員入侵網絡時，他們將在竊取文件和憑據的過程中緩慢而秘密地在整個系統中橫向傳播。一旦攻擊者在網絡上獲得管理員憑據，他們就會使用PowerShell Empire等工具部署勒索軟件。

　　在部署勒索軟件之前，Maze總是在加密之前竊取未加密的文件。這些文件然后被用作進一步的手段來讓受害者支付贖金，因為如果受害者不付款，Maze將威脅公布數據。

　　這些并不是無用的威脅，因為Maze創建了一個“新聞”網站，用于發布從非付費受害者那里竊取的數據。如果Maze沒有像他們聲稱的那樣這次攻擊的幕后黑手，那么數據被盜的可能性仍然很大，因為這已經成為勒索軟件運營商使用的標準策略。因此，所有勒索軟件攻擊都必須視為數據泄露。

　　天地和興工控安全研究院編譯，參考來源：BleepingComputer https://dwz.cn/LtbfdWfv

　　(七)IBM Data Risk Manager中存在4個零日漏洞

　　信息安全公司Agile的安全研究總監Pedro Ribeiro在此前發布了有關影響IBM 數據風險管理器(IBM Data Risk Manager，IDRM)的信息，然而IBM拒絕修復這些問題，故該安全研究人員披露了這4個零日漏洞的詳細信息。

　　IBM Data Risk Manager是一種企業安全產品，它匯總了漏洞掃描工具和其他風險管理工具的提要，從而可以分析安全事件和與數據相關的業務風險。

　　IDRM處理非常敏感的信息，因此，利用任何影響產品的問題都可能產生重要后果。IBM Data Risk Manager管理憑證以訪問企業中使用的其他安全工具以及有關影響組織的安全漏洞的信息。

　　對IDRM Linux虛擬設備進行了分析，發現它包含四個漏洞，三個關鍵風險和一個高風險：身份驗證繞過、命令注入、不安全的默認密碼、任意文件下載。

　　研究人員在GitHub上表示，“該通報描述了四個漏洞，以及鏈接前三個漏洞以root身份實現未經身份驗證的遠程代碼執行的必要步驟。此外，兩個繞過身份驗證并利用遠程代碼執行和任意文件下載的Metasploit模塊正在向公眾發布?！?/span>

　　研究人員嘗試在CERT的協調下向IBM報告該問題，但IBM未確認該漏洞，并對CERT做出了以下回應：我們已經對這份報告進行了評估，認為超出了我們的漏洞披露計劃的范圍，因為該產品僅用于由客戶支付的增強支持。在IBM的政策中，要有資格參與這個項目，您必須在提交報告之前的6個月內，根據合同不得為IBM公司、 IBM 子公司或IBM客戶執行安全測試。

　　研究人員表示他們不理解IBM的答復意味著什么，這些是研究人員存在的問題：為什么IBM拒絕接受免費的詳細漏洞報告?他們的回答是什么意思?只接受客戶的漏洞報告嗎?還是該產品失去支持?如果是這樣，為什么仍要出售給新客戶?他們怎么能在銷售企業安全產品的時候這么不負責任?

　　Ribeiro補充表示，“這是IBM的令人難以置信的回應，IBM是一家市值數十億美元的公司，正在向全球大型公司出售安全企業產品和安全咨詢服務?！睙o論如何，Ribeiro決定發布IBM Data Risk Manager中有關漏洞的技術細節，因為這些漏洞的嚴重程度允許使用安全工具的企業減輕網絡攻擊的風險。

　　研究人員解釋說，將前三個問題聯系在一起，就有可能以root身份遠程執行任意代碼。專家還發布了兩個Metasploit模塊，這些模塊繞過身份驗證并利用遠程代碼執行和任意文件下載。

　　在披露之時，尚不清楚最新版本2.0.6是否受到這些影響，但最有可能的是，因為在任何變更記錄中都沒有提到固定的漏洞，而且它是在試圖向IBM報告這些漏洞之前發布的。Agile可以訪問的最新版本是2.0.3，并且肯定是很容易受到攻擊的。

　　天地和興工控安全研究院編譯，參考來源：SecurityAffairs http://dwz.date/arbk

　　(八)2.67億Facebook用戶信息在暗網僅售600美元

　　在這個特殊的風險時期，暗網市場似乎異常的活躍，一波未平一波又起，前有Zoom逾50萬用戶數據出售，后有2.67億的Facebook用戶數據上市。

　　近日發現，黑客在暗網和黑客論壇上以500英鎊(623美元)的價格出售超過2.67億Facebook用戶的個人資料。盡管泄露信息中沒有涉及密碼，但是包含的其他信息會有潛在風險，比如可以幫助黑客執行魚叉式網絡釣魚或者SMS攻擊來獲取用戶憑據。

　　在上個月，安全研究人員Bob Diachenko發現以一個公開的Elasticsearch數據庫，其中包含2.67億Facebok用戶記錄，大多是美國用戶。在這些記錄中，包含了用戶名稱、電話號碼以及唯一的Facebook ID。隨后，Diachenko聯系托管該數據庫的服務供應商，最后將其服務器脫機。

　　然而，沒過多久，另一臺具有相同Facebook數據，甚至多了4200萬條記錄的服務器上線，但是很快這臺服務器就遭到攻擊，幕后黑手尚不明確，同時留下讓所有者保護服務器的消息。

　　在第二臺泄露的數據中，其中有1680萬條信息包含更多的數據類型，比如用戶的電子郵件、出生日期以及性別。目前，攻擊背后的黑客還沒抓到，但是Diachenko認為服務器應為背后的黑客團隊所有，在鎖定數據或者刮除公眾資料之前利用Facebook API竊取數據。

　　在上周末，網絡安全情報公司Cyble發現一名黑客在暗網和黑客論壇上以500英鎊出售數據庫。

　　從CYble CEO Beenu Arora處可以了解到，安全研究人員已經購買了這個數據庫來驗證其中的數據，并將其加入到http://AmIbreached.com網站中，這是一個數據泄露通知服務平臺。

　　Diachenko和Arora一樣，都不知該如何編譯處理這些數據。Arora表示：“在這個階段，我們尚不清楚在最開始數據是如何泄露的，可能是由于第三方API或者數據刮取導致的泄露。假如這些數據中包含用戶的敏感數據，這些可能就會成為犯罪分子釣魚或者濫發垃圾郵件的幫兇?！?/span>

　　這些數據庫中不包含用戶密碼，但是包含部分用戶的電子郵件和電話號碼。這意味著攻擊者可以借此進行魚叉式釣魚來獲取用戶密碼，可以偽裝成Facebook發送電子郵件或者SMS短信。如果釣魚郵件中包含生日或者電話號碼，一些用戶會更傾向于相信這些郵件，并為其提供攻擊者要求的信息。因此，Cyble建議用戶加強Facebook隱私設置，并且警惕陌生電子郵件和短信信息。

　　天地和興工控安全研究院編譯，參考來源：BleepingComputer http://dwz.date/arap

　　(九)NSA和ASD聯合發布《Web Shell檢測和防御報告》

　　4月22日，美國國家安全局(NSA)和澳大利亞信號局(ASD)發布聯合報告，警告威脅組織越來越多的利用易受攻擊的Web服務器來部署WebShell。

　　Web Shell是當今最流行的惡意軟件形式之一。Web Shell是指在被黑客入侵的服務器上安裝的惡意程序或腳本。Web Shell提供了一個可視界面，黑客可以使用該界面與被入侵的服務器及其文件系統進行交互。大多數Web Shell都具有允許黑客重命名、復制、移動、編輯、上載服務器上新文件的功能。它們還可用于更改文件和目錄權限，或從服務器存檔和下載(竊取)數據。

　　黑客通過利用面向互聯網的服務器或Web應用程序(例如CMS、CMS插件、CMS主題、CRM、Intranet或其他企業應用程序等)中的漏洞來安裝Web Shell。Web Shell可以用從Go到PHP的任何編程語言編寫。這使黑客能夠以通用名稱(例如index.asp或uploader.php)將Web Shell隱藏在任何網站的代碼中，這使得在沒有Web防火墻或Web惡意軟件掃描器的幫助下，幾乎不可能進行操作員的檢測。

　　微軟在今年2月發布的一份報告中表示，它每天檢測到大約77,000個活動的Web Shell，從而使該Web Shell成為當今最流行的惡意軟件類型之一。

　　但是，許多公司并不完全了解在其系統上安裝Web Shell的危險?；旧?，Web Shell充當后門程序，需要以最高的重要性和緊迫性來對待。

　　在該聯合安全報告中，NSA和ASD提高了對這種經常被忽略的攻擊媒介的認識。這兩家機構表示，Web Shell可以充當持久的后門或中繼節點，將攻擊者的命令路由到其他系統。攻擊者經常將多個受損系統上的Web Shell鏈接在一起，以跨網絡路由流量，例如從面向Internet的系統到內部網絡。

　　在這份17頁的報告中，包含了一些工具，可幫助系統管理員檢測和處理這些類型的威脅。主要包括：

　　l 用于將生產網站與知名圖片進行比較的腳本

　　l Splunk查詢，用于檢測Web流量中的異常URL

　　l Internet信息服務(IIS)日志分析工具

　　l 常見Web Shell的網絡流量簽名

　　l 識別意外網絡流量的說明

　　l 識別Sysmon數據中異常流程調用的說明

　　l 使用Audited識別異常流程調用的說明

　　l 用于阻止對可通過Web訪問的目錄的更改的HIPS規則

　　l 常用的Web應用程序漏洞列表

　　盡管該報告中包含的所有建議和免費工具都很不錯，但還是首選并建議系統管理員先對系統進行修補，然后再搜索已受損的主機。NSA和ASD建議給常用的服務器軟件列表打補丁，因為最近幾個月這些系統已成為攻擊目標。該列表包括Microsoft SharePoint、Microsoft Exchange、Citrix、Atlassian Confluence、WordPress、Zoho ManageEngine、Adobe ColdFusion等流行工具中的漏洞。

　　NSA和ASD表示，“該清單并非旨在詳盡無遺，但它提供了一些經常被利用的案例的見解。鼓勵組織迅速修補面向Internet的應用程序和內部Web應用程序，以應對'n-day'漏洞帶來的風險?！?/span>

　　天地和興工控安全研究院編譯，參考來源：ZDNet http://dwz.date/aqRf

　　(十)Google發布內部非VPN遠程訪問工具BeyondCorp

　　近日，Google發布了一款內部使用的遠程訪問工具BeyondCorp，因為全世界現在都非常熱衷于使用這種遠程訪問。Google在2011年就開發了該工具，以提供具有非常精細的訪問控制的對Web應用程序的零信任訪問。

　　Google將該工具描述為能夠實現以下功能：人力資源招聘人員在家中使用自己的筆記本電腦工作時，可以使用基于Web的文檔管理系統，除此之外不能訪問其他系統。但前提是使用的是最新版本操作系統，并且正在使用諸如安全密鑰之類的防網絡釣魚身份驗證。

　　Google云安全業務總經理兼Veep蘇尼爾 帕蒂表示，之所以Google決定現在推出該工具，是因為Google認為，那些爭先恐后的推出應用程序以應對突然出現的遠程工作的企業會認可Google推出的這種比VPN更快的方法工具。

　　帕蒂補充表示：“借助BeyondCorp的遠程訪問，我們可以幫助您在幾天之內完成此項工作，而不是需要花費數月的時間推出傳統VPN解決方案。使用BeyondCorp遠程訪問，可以減輕現有VPN部署的壓力，為已經擁有訪問權限和最需要訪問權限的用戶節省關鍵容量?！?/span>

　　目前，BeyondCorp只能對Web應用程序實施訪問控制，但可以在本地或包括Google自己的云中實施訪問控制。BeyondCorp的價格尚未透露，但Google已經列出了一些客戶，包括Airbnb，這些客戶已經在生產中使用它來訪問G-Cloud。

　　天地和興工控安全研究院編譯，參考來源：TheRegister https://dwz.cn/IQ7ZdKd3

　　(十一)Chrome瀏覽器爆重大安全漏洞

　　Google近期發布了Chrome瀏覽器安全更新，包含針對重大安全漏洞的補丁。包括32個安全補丁，其中由外部研究人員發現的有23個漏洞，包括3個高危漏洞，8個中危漏洞和12個低危漏洞。這23個漏洞中最嚴重的為CVE-2020-6454，該漏洞為一個存在于擴展插件中的釋放后重用漏洞，其他兩個高危漏洞為audio組件中的一個釋放后重用漏洞(CVE-2020-6423)和WebSQL組件中的一個越界讀取漏洞(CVE-2020-6455)。但因不希望黑客利用漏洞發起攻擊，就沒有透露更多細節。

　　安全方案商Sophos 旗下安全研究員Paul Ducklin 的研究文章，讓我們對適用Windows、Mac 及Linux 使用者的Chrome 81.0.4044.113 版安全修補有更充分的了解，同時了解為什么需要及應該如何檢查以確保獲得安全更新的理由與方法。

　　據Ducklin 在Sophos消費者博客NakedSecurity發表的文章指出，Chrome的漏洞可能會讓攻擊者規避任何瀏覽器的例行性安全檢查或確認對話框。就像許多UAF漏洞，可能允許攻擊者更改程序內部的控制流(Control Flow)，包括讓CPU 轉而運行攻擊者從外部植入記憶體的不受信任代碼。

　　所謂UAF漏洞是指，應用程序繼續使用運行中記憶體或RAM 的區塊，即使程序已將這些區塊釋放給其他應用程序使用卻繼續使用的漏洞。惡意應用程序之所以可利用這個錯誤發動惡意攻擊，是因為能透過捕獲這些釋放的記憶體區塊，誘騙應用程序執行不應該做的事。

　　由于Google 將此漏洞評定為高危，所以很可能具備遠端執行程式碼的能力。Ducklin 表示，這意味著惡意攻擊者可在沒有任何安全警示的情況下，遠端在你的電腦執行程式碼，即使在世界的另一端也能辦到。 Google 表示，Chrome 81.0.4044.113 版將在未來幾天/幾周推出，并為許多電腦使用者自動更新。但Ducklin 建議手動更新，以防萬一。

　　請在瀏覽器的工具列找到「關于Google Chrome」瀏覽器選項，通常在畫面右上角垂直堆疊排列的3 個點的圖示里找到。如果有安全更新等待著你點取執行，原本灰白色的3 個點會以不同顏色呈現。

　　綠色表示發布快兩天的Chrome 更新等著你執行，橘色表示更新已發布約4天之久，紅色表示更新至少一星期前就發布了。一旦灰白色的3 個點出現其他顏色時，請單擊圖示，然后在下拉視窗點取「說明」，然后在彈出視窗點取「關于Google Chrome」選項。一進入「關于Google Chrome」頁面時，Chrome 瀏覽器將自動開始檢查更新，并顯示目前執行的瀏覽器版本。

　　接著請更新到Chrome 81.0.4044.113 版或更新版。如果使用者不想自動更新，「關于Google Chrome」頁面應該會提示使用者更新。使用者可能需要重新啟動瀏覽器以執行補丁。不論如何，對一般使用者來說，不妨考慮啟用裝置的自動更新功能。如此一來，每當Google 發布最新補丁時，便不需要手動執行行更新，以免錯過安全更新時機，徒增不必要的安全風險。

　　天地和興工控安全研究院編譯，參考來源：Technews http://dwz.date/aqWH

　　(十二)如何最大程度地減少人為錯誤帶來的網絡安全風險

　　網絡安全已成為大多數公司的重中之重。許多企業已經在安全軟件上進行了大量投資，以減輕攻擊。企業技術領導者甚至承諾，他們將在2020年增加其網絡安全支出。但是，無論公司在防御方面投入了多少資金，一個人為錯誤仍然會損害其IT基礎架構。在美國有四分之一的數據泄露是人為錯誤造成的。

　　黑客充分意識到了這種人類的弱點。黑客使用各種社交工程策略來誘騙用戶打開惡意附件或提供其訪問憑據。例如，黑客現在正積極利用冠狀病毒爆發來開展網絡釣魚活動，以在計算機中安裝勒索軟件。部署后，勒索軟件將加密文件和文檔直到支付了贖金。

　　幸運的是，Hoxhunt等網絡釣魚培訓平臺可以對公司員工進行教育，并幫助員工發現并應對社會工程攻擊。Hoxhunt首席執行官Mika Aalto表示，“這令人震驚，企業通常會忽略網絡安全中的人為因素。如果這種情況持續下去，我們將很遺憾地看到更多成功的網絡釣魚活動和數據泄露?，F在是企業加緊努力并確保企業員工不會容易陷入此類騙局的時候了?！?/span>

　　公司越來越多地采用企業級安全解決方案，以使黑客很難滲透到他們的網絡中。這就是為什么大多數網絡攻擊現在都旨在利用人性而不是軟件和硬件漏洞的原因。黑客們不懈地發展其網絡工程技術，例如網絡釣魚和魚叉式網絡釣魚，以欺騙和操縱更多用戶。以前，他們只發送大量假郵件，希望其中會有收件人打開電子郵件并點擊惡意鏈接?，F在，攻擊者使用更復雜的方法來增加用戶上當受騙的可能性。

　　黑客精心編寫了聲稱來自可信賴發件人的電子郵件，并包含將收件人鏈接到虛假網站的惡意鏈接。這些站點看起來像合法的登錄頁面，并且可以欺騙用戶輸入其訪問憑據。惡意的電子郵件還可以用于回復正在進行的公司線程，并發送注入了惡意軟件的文檔。一些黑客甚至利用數據挖掘和機器學習來個性化攻擊，以繞過常規的垃圾郵件過濾器。

　　為了避免成為此類攻擊的受害者，公司必須對員工進行培訓，以便他們能夠準確識別網絡釣魚。幸運的是，他們可以使用網絡釣魚培訓平臺來幫助他們輕松地教育團隊并提高安全性。例如，Hoxhunt是一種自動網絡釣魚模擬器，可用于培訓企業內所有用戶。該平臺可以通過基于實際威脅發送虛擬電子郵件來發起模擬網絡釣魚攻擊。

　　這些電子郵件甚至可以進行高度定制和個性化，以確?？梢愿鶕M織中不同團隊員工的特性來制定不同的上下文和功能來進行如何避免網絡釣魚詐騙的培訓。員工的任務是識別這些“惡意”電子郵件，并使用Hoxhunt的瀏覽器或電子郵件客戶端插件進行報告。該平臺可使培訓變得有趣。能夠準確報告模擬網絡釣魚嘗試的員工將獲得積分獎勵，并且可以在排行榜中排名更高。公司還可以激勵表現最好的人。

　　Hoxhunt還確保不遺漏任何員工。那些無法發現虛假電子郵件的員工將收到有關其錯過的威脅的信息。他們不會被迫參加冗長而無聊的演講。相反，他們通過接觸和強化不斷學習。該平臺提供的培訓已被證明可以真正改善員工針對真正的網絡釣魚攻擊的行為。使用Hoxhunt的公司在報告實際的網絡釣魚嘗試中獲得了60%的增長。

　　Aalto補充表示，黑客不會停止尋找安全解決方案的方法。因此，重要的是公司一定要跟上攻擊的發展速度。增強員工防御能力的最佳方法之一就是教育員工。從長遠來看，開發員工正確的能力和行為可以使他們免于很多麻煩。

　　盡管公司投資了功能強大的安全軟件，但只要員工對網絡安全沒有應有的理解，他們仍然會使組織容易受到攻擊。除非他們希望遭受數據泄露的侵害，否則組織不能冒險沾沾自喜。

　　Aalto總結表示，“對于數據泄露，沒有真正的防彈解決方案。即使是功能最強大的解決方案，有時也可能會失敗，并且攻擊會滲透到員工的收件箱中。但是，如果每個人都采取安全第一的心態，并運用知識和謹慎態度，那么檢測可疑活動和緩解攻擊將變得更加容易?！?/span>

　　天地和興工控安全研究院編譯，參考來源：HelpNetSecurity https://dwz.cn/SvdDuQm7