安全态势周刊

News information

安全态势周刊-六方云(AI基因·威胁免疫)——第86期

<<返回

2020年01月13日 11:27

一、业界动态

1.微软发布RDP暴力攻击分析报告,平均持续时间为2-3天

微软发布了一份针对RDP暴力攻击的分析报告,该项研究是基于从超过4.5万个安装了免费Microsoft Defender ATP的工作站上收集的数据。这些数据与失败和成功的RDP登录事件有关(分别是ID为4265和4264的Windows事件),并且涉及用户/攻击者可能使用的用户名详细信息,数据收集了几个月的时间。微软在报告中表示,最近观察到的RDP暴力攻击平均持续2-3天,约90%的案例持续时间在一周内,只有不到5%的案例持续时间在两周或以上。约有0.08%的RDP暴力攻击成功进行了登录。

https://www.microsoft.com/security/blog/2019/12/18/data-science-for-cybersecurity-a-probabilistic-time-series-model-for-detecting-rdp-inbound-brute-force-attacks/

2.Bitdefender披露基于Go语言的僵尸网络LiquorBot

Bitdefender研究人员于2019年5月31日首次观察到挖矿僵尸网络LiquorBot,该僵尸网络是由Golang(Go)编写的,至10月10日它已经历了11个更新版本。LiquorBot的核心是臭名昭著的Mirai的重新实现,但它具有加密货币挖掘功能而不是DDoS组件。LiquorBot针对ARM、ARM64、x86、x64和MIPS架构进行交叉编译,并且通过与CPU架构无关的dropper脚本下载所有有效负载。LiquorBot具有多个命令和控制(C2)服务器,包括wpceservice.hldns.ru、ardp.hldns.ru和bpsuck.hldns.ru。LiquorBot主要依赖于SSH暴力攻击进行入侵,并且可利用d-Link、网件、Linksys等路由器中的未修补漏洞攻击设备。

https://www.bleepingcomputer.com/news/security/go-based-liquorbot-adapts-cryptomining-payload-to-infected-host/

3.Upstream Security发布2020版《汽车网络安全报告》

Upstream Security2020版《汽车网络安全报告》基于对过去十年中367起公开报告的汽车网络安全事件进行分析,重点强调了2019年期间发现的漏洞与见解。该报告指出,互联网汽车已在接管汽车市场,目前已有3.3亿辆互联网汽车,这意味着每次攻击的潜在破坏力成倍增长,大规模的攻击事件可能会破坏整个城市,甚至导致灾难性的生命损失。自2016年以来,每年汽车网络安全事件的数量增长了605%,仅2019年一年就增长了一倍以上。在2019年,有57%的事件是由网络罪犯进行的,其目的是破坏业务、窃取金钱或索要赎金。仅有38%是研究人员的报告,其目的向公司和消费者警告发现的漏洞。

https://www.helpnetsecurity.com/2020/01/06/automotive-cybersecurity-incidents/

4.“千年虫”漏洞归来:再次让开发人员头痛不已

20年前,全世界庆祝新千年伊始时,全球的IT专业人员为千年虫可能爆发直冒冷汗:人们担心,如果计算机将2000年1月1日(记为01/01/00)解释为1900年的第一天,依赖两位数日期日志的重要系统会停止运行。所幸后来没有重大事件发生,原因是开发人员看到千禧年即将到来、做好了准备。但是20年后,很显然一些人采用了图方便的权宜之计,只是将这个问题推迟到了2020年。

https://www.secrss.com/articles/16529

 

二、工业安全

1.MITRE发布适用于工业控制系统的ATT&CK框架

MITER发布了其ATT&CK框架的初始版本,该版本重点关注了针对工业控制系统(ICS)的恶意攻击者使用的策略和技术。旨在帮助关键基础设施和其他使用ICS的组织评估其网络风险。除了提供攻击策略和技术矩阵外,还介绍了攻击技术的细节、攻击者使用的恶意软件以及已知的针对ICS的犯罪团伙。它还包括一个资产类别,用于帮助组织了解可应用于其环境的技术。此版本描述了81种攻击技术、17种恶意软件、10个犯罪团伙和7种资产。

https://www.securityweek.com/mitre-releases-attck-knowledge-base-industrial-control-systems

2.石油公司Bapco感染恶意软件Dustamn

据外媒ZDNet报道,巴林国家石油公司Bapco遭到疑似伊朗黑客组织的数据擦除恶意软件Dustman攻击。该事件发生在12月29日,只有一部分Bapco计算机受到影响,该公司的业务运营并未中断。沙特阿拉伯国家网络安全局(CNA)在上周的一份安全警报中详细描述了该恶意软件。Dustman被认为是ZeroCleare擦除器的变种,并且二者与Shamoon擦除器具有相同的第三方驱动程序“Eldos RawDisk”。虽然Dustman与ZeroCleare的大多数代码都是相同的,但沙特CNA表示二者存在两个重要区别:Dustman的破坏功能及所有驱动程序和装载程序都在一个可执行文件中,而ZeroCleare是两个;Dustman直接覆盖卷,而ZeroCleare通过用垃圾数据(0x55)覆盖卷来进行擦除。

https://www.zdnet.com/article/new-iranian-data-wiper-malware-hits-bapco-bahrains-national-oil-company/

3.德国Canyon Bicycles 遭黑客入侵,服务器和软件被加密

德国自行车制造商Canyon Bicycles GmbG确认在新年假期期间遭遇安全事件,部分基础设施被犯罪分子锁定。该厂商在一份声明中表示,攻击者在新年之前就入侵了其IT系统,其软件和服务器被加密和锁定。它还表示网站不受影响,这意味着用户可以正常下达在线订单,并且该公司当前已经确定并阻止了攻击。Canyon创始人兼首席执行官Roman Arnold表示:“此次攻击显示出大规模的犯罪意图。由于IT基础架构被加密,导致工作和业务流程暂时受到了巨大影响。”西德科布伦茨总部和几乎所有国际业务都受到直接影响,但美国子公司不受影响。Arnold并未提及具体的勒索软件,以及犯罪分子是否要求了赎金、赎金金额或是是否支付了赎金。

https://www.theregister.co.uk/2020/01/07/hackers_canyon_bicycles/

 

三、安全事件

1.德国Canyon Bicycles 遭黑客入侵,服务器和软件被加密

德国自行车制造商Canyon Bicycles GmbG确认在新年假期期间遭遇安全事件,部分基础设施被犯罪分子锁定。该厂商在一份声明中表示,攻击者在新年之前就入侵了其IT系统,其软件和服务器被加密和锁定。它还表示网站不受影响,这意味着用户可以正常下达在线订单,并且该公司当前已经确定并阻止了攻击。Canyon创始人兼首席执行官Roman Arnold表示:“此次攻击显示出大规模的犯罪意图。由于IT基础架构被加密,导致工作和业务流程暂时受到了巨大影响。”西德科布伦茨总部和几乎所有国际业务都受到直接影响,但美国子公司不受影响。Arnold并未提及具体的勒索软件,以及犯罪分子是否要求了赎金、赎金金额或是是否支付了赎金。

https://www.theregister.co.uk/2020/01/07/hackers_canyon_bicycles/

2.通过短信发送黑掉TikTok账户

作为时下最流行、位列下载量前三的短视频应用程序抖音国际版“TikTok”近日被以色列捷邦软件科技(Cross Point Software Technologies)的安全人员指出存在安全隐患、容易泄露个人信息,美国更是出于国家安全考虑对其严格审查,美国的陆军海军甚至禁止官兵使用该产品,完全不是之前用其招募新兵时的样子。

http://www.mottoin.com/detail/4312.html

3.超 10 亿张患者医学图像被泄漏 但始终没引起医疗机构重视

每天,数以百万计、包含患者个人健康信息的医学图像都会涌入到互联网上。数以百计的医院、医疗工作室和影像中心都在运行着不安全的存储系统,以至于任何拥有互联网连接的用户都可以通过免费下载的软件来访问全球超过10亿例患者的医学图像。

http://hackernews.cc/archives/29244

 

四、漏洞事件

1.微软修复Access中的信息泄露漏洞

电子邮件安全公司Mimecast透露,Microsoft Access中的信息泄露漏洞可能导致系统内存中的敏感数据被无意中保存在数据库文件中。该漏洞(CVE-2019-1463)被称为MDB Leaker,与“应用程序对系统内存的不当管理”有关,它可能导致未初始化的内存元素的内容保存到Microsoft Access MDB文件中。尽管这些数据可能毫无用处,但它也可能包含高度敏感的信息,例如密码、Web请求、证书以及域或用户数据。Mimecast表示目前不会发布有关CVE-2019-1463的任何技术信息,也没有证据表明该漏洞已在野外被利用。微软已在2019年12月的补丁更新中修复了该漏洞,根据微软的说法,该漏洞会影响Office 2010、2013、2016、2019和365 ProPlus。

https://www.securityweek.com/microsoft-access-files-could-include-unintentionally-saved-sensitive-data

2.3个恶意APP利用CVE-2019-2215,或与SideWinder APT有关

趋势科技研究人员在Google Play商店中发现3个恶意APP,它们可以协同工作破坏受害者的设备并收集用户信息。其中名为Camero的APP利用了Binder(Android中主要的进程间通信系统)中的use-after-free漏洞(CVE-2019-2215),这是已知的首个利用该漏洞的野外攻击。在进一步调查中,研究人员还发现这三个恶意APP可能与犯罪团伙SideWinder APT有关。SideWinder自2012年以来一直活跃,据报道它主要瞄准军事机构的Windows计算机。研究人员推测这三个恶意APP自2019年3月以来一直处于活动状态,当前它们已被Google Play下架。

https://blog.trendmicro.com/trendlabs-security-intelligence/first-active-attack-exploiting-cve-2019-2215-found-on-google-play-linked-to-sidewinder-apt-group/

3.Firefox 曝严重零日漏洞 Mozilla 现已紧急修复

Mozilla发布了紧急版本更新,重点修复了可能已经被利用的零日漏洞,允许攻击者来控制用户的计算机。在今天发布的安全通告中,Mozilla将该漏洞评为“严重”,并表示有证据表明多名黑客利用该漏洞进行了定向攻击。

http://hackernews.cc/archives/29226