六方云知识库

安全态势周刊-六方云(AI基因·智能防御)——总第21期

2018年08月27日 11:14


一、业界动态

1、六方云:用人工智能防御未知威胁

    当前,国内互联网+、工业互联网和物联网发展地如火如荼,由此引发的信息安全威胁也备受关注。信息安全威胁共分为两类:已知威胁和未知威胁。对于已知威胁的解决,很多信息安全厂商已经提供了多种解决方案;对于未知威胁的防范,虽然也出现了一些技术,如MTD、蜜罐等,但都无法很好的解决问题。六方云“超弦”人工智能实验室的专家经过多年研究、多次实验,首次将人工智能技术应用到未知威胁防御,使安全技术无需依赖大量人工干预和决策就可以实现自我进化,从而更有效的解决未知威胁的防御问题。

 

    详情链接:六方云

    http://www.6cloudtech.com/portal/article/index/id/15/cid/2.html

2、全球信息安全支出明年或超1240亿美元

    据福布斯杂志报道,研究公司Gartner最新预测,2018年的全球信息安全产品和服务支出将超过1140亿美元,比去年增长12.4%。该公司还预测,2019年市场规模将增长8.7%,达到1240亿美元。

    Gartner在去年9月至10月间进行的调查显示,安全支出的三大驱动力分别是安全风险、业务需求以及行业变化。此外,调查发现,隐私问题也成为企业关注的“关键因素”。Gartner认为,到2019年,隐私问题将“推动安全服务市场需求增长至少10%”,并影响到身份和访问管理(IAM)、身份治理和管理(IGA)以及数据丢失预防(DLP)等多个领域。

 

    详情链接:cnteba

    https://www.cnbeta.com/articles/tech/758911.htm

3、高功率设备组成的物联网僵尸网络能干扰电网

    近日,一组研究人员已经证实,通过攻击一个集中度和保护程度都很低的目标——例如家用空调和热水器——就能够成功地瘫痪整个电网。一组来自普林斯顿大学的安全研究人员提出了一项研究,该研究探索了电网网络安全中一个尚未经测试的问题:如果恶意行为者攻击的不再是电网供应方,而是需求方,结果又当如何呢?在一系列的模拟操作中,研究人员设想了“如果黑客控制了由数千个受损消费者物联网设备(特别是空调、热水器和加热器等耗电量大的设备)构成的僵尸网络,那将会发生何种情景”?随后,研究人员进行了一系列软件模拟,以探明攻击者究竟需要多少台设备才能同时劫持以破坏电网的稳定性。

    他们的答案揭示了一个令人不安的结论:在一个足够大(服务3800万人口,相当于加拿大或加利福尼亚的人口)的电力网络中,估计只需1%的电力需求增长就足以瘫痪大部分的电网。这种需求的增长可能是由一个僵尸网络造成的,而构成这种规模的僵尸网络只需要数万台受损的电热水器或几十万台空调即可。

 

    详情链接:安全牛

    https://www.aqniu.com/news-views/37494.html

4、研究显示多数企业打补丁时效滞后一个月

    一则专注于Web应用程序攻击趋势的最新报告显示,多数公司及组织需要一个多月才能修补其系统中存在的关键漏洞。这些数据来自tCell,该公司研究人员分析了其客户群经历的超3.16亿次安全事件和在AWS和Azure生态系统中的真实攻击案例,于近日发布了2018年Q2《生产环境Web应用程序安全报告》。

 

    详情链接:darkreading

    https://www.darkreading.com/cloud/it-takes-an-average-38-days-to-patch-a-vulnerability/d/d-id/1332638?_mc=rss_x_drr_edt_aud_dr_x_x-rss-simple

二、黑客攻击

1、陕西西安破获一起网络黑客盗窃虚拟货币案

    据新华网报道,西安市公安局经开分局宣布,历时近半年的“3·30”特大网络黑客盗窃虚拟货币案告破,3名犯罪嫌疑人全部落网,初步查明该团伙所涉案件案值达6亿元。

    经初步调查,犯罪嫌疑人通过高超的网络黑客技术,在受害人没有任何操作的情况下,远程控制盗取安全性较高的虚拟货币账户,而且几乎没有留下任何作案痕迹,在全国也属罕见案例。

 

    详情链接:bianews

    https://www.bianews.com/news/flash?id=18788

2、30亿条用户数据窃取案告破:大型互联网企业几乎全遭殃

    近日,堪称“史上最大规模数据窃取案”被浙江绍兴越城区警方侦破。警方查明,一伙犯罪分子利用非法窃取的30亿条用户数据,操控用户账号进行微博、微信、QQ、抖音等社交平台的加粉、刷量、加群、违规推广,非法获利,旗下一家公司一年营收就超过3000万元。

    而数据的来源,让人瞠目结舌——据警方透露,该犯罪团伙依托北京一家以新媒体营销为主业的上市公司,通过与全国十余省市多家运营商签订营销广告系统服务合同,非法从运营商流量池中获取用户数据。调查中,警方发现运营商流量遭劫持,接连导致百度、腾讯、阿里、今日头条等全国96家互联网公司用户数据被窃取,也就是说,几乎国内所有的大型互联网企业均被“雁过拔毛”。

 

    详情链接:shobserver

    https://www.shobserver.com/news/detail?id=100900

3、Ryuk勒索软件在近期活动中牟利64万美元

    新一轮勒索软件 Ryuk 来袭,在近期活动中共获得价值超过 64 万美元的比特币。这轮攻击最早在 8 月 13 日出现,利用鱼叉式钓鱼或网络上不安全的 RDP 链接针对特定目标进行传播。在攻击过程中,Ryuk 关闭了被感染的主机上 180 多个服务,并带有明显勒索属性,会发布大量勒索信息。CheckPoint 研究人员发现,Ryuk 与此前的 Hermes 勒索软件出于同源,且与朝鲜有关。截至发稿,还没有针对 Ryuk 的解密方式。

 

    详情链接:bleepingcomputer

    https://www.bleepingcomputer.com/news/security/ryuk-ransomware-crew-makes-640-000-in-recent-activity-surge/?tdsourcetag=s_pctim_aiomsg

4、Globelmposter勒索病毒攻击事件分析

    2018年8月21日起多地发生GlobeImposter勒索病毒事件,经过定性分析,攻击者在突破边界防御后利用黑客工具进行内网渗透并选择高价值目标服务器人工投放勒索病毒。此攻击团伙主要攻击开启远程桌面服务的服务器,利用密码抓取工具获取管理员密码后对内网服务器发起扫描并人工投放勒索病毒,导致文件被加密。病毒感染后的主要特征包括windows 服务器文件被加密、且加密文件的文件名后缀为*.RESERVE。根据本次事件特征分析,除已受到攻击的单位外,其它同类型单位也面临风险,需积极应对。

 

    详情链接:安全客

    https://www.anquanke.com/post/id/157562

三、漏洞事件

1、PHP现反序列化漏洞,或使WordPress遭远程攻击

    英国安全公司 Secarma 的研究主管 Sam Thomas 本月在 Black Hat 和 BSides 安全会议上展示了 PHP 编程语言的安全漏洞,并指出该漏洞影响了所有接受用户资料的 PHP 应用程序和库,包括 WordPress 等内容管理系统(CMS),并将允许远程程序攻击。

    Thomas 表示,过去外界认为 XXE 漏洞带来的最大问题是信息外泄,但现在可出发程序执行。相关攻击分为两个阶段。 首先,将包含恶意对象的 Phar 存档上传到攻击目标的本地文件系统,然后触发一个基于 phar:// 的文件操作,就可能导致恶意程序执行。Thomas 已利用 PHP 的反序列化程序成功攻击了 WordPress 与 Typo3 内容管理平台,以及 Contao 所采用的 TCPDF 库。

 

    详情链接:oschina

    https://static.oschina.net/news/99165/php-unserialization-vulnerability

2、飞利浦多款心血管医疗设备出现代码执行漏洞

    美国 DHS 的安全部门表示,飞利浦多款心血管医疗设备出现多个漏洞,其中一个代码执行漏洞级别为高危,影响飞利浦的 ISCV/Xcelera 两款心血管医疗产品。该漏洞利用的技巧很简单,并由不合理的权限管理而触发。一旦成功利用,攻击者就能获取 ISCV/Xcelera 服务器的本地权限和用户特权,执行任意代码。漏洞无法远程执行且目前没有在野利用实例。飞利浦正在采取措施,着手修复这些漏洞。

 

    详情链接:ZDNet

    https://www.zdnet.com/article/philips-reveals-code-execution-vulnerabilities-in-cardiovascular-devices/?tdsourcetag=s_pctim_aiomsg

3、Struts 2漏洞(CVE-2018-11776/S2-057)及可能攻击向量

    定义XML配置时如果namespace值未设置且上层动作配置(Action Configuration)中未设置或用通配符namespace时可能会导致远程代码执行。url标签未设置value和action值且上层动作未设置或用通配符namespace时可能会导致远程代码执行。推荐用户及时更新,但如果不想更新,可暂时使用官方提供的临时解决方案:当上层动作配置中未设置或使用通配符namespace时,验证所有XML配置中的namespace,同时在JSP中验证所有url标签的value和action。

 

    详情链接:安全客

    https://www.anquanke.com/post/id/157397

四、安全峰会

1、2018第七届KCon黑客大会

    2018年8月25日,KCon 2018黑客大会在北京市751D·PARK 东区故事 D·live 生活馆召开,上午9点,在开场表演之后,KCon 主办单位知道创宇创始人、CEO赵伟登台致辞,宣告第七届 KCon 黑客大会正式召开。赵伟表示,KCon走过七年,已成长为安全行业最重要的技术盛会之一,除了分享顶尖技术,最重要的是我们搭建了一个良好交流的平台,让安全行业更具生机。

详情链接: 安全客

https://www.anquanke.com/post/id/150652

2、安全行业峰会日程预报

    中国互联网安全领袖峰会,时间:2018.08.27-2018.08.28,地点:北京 国家会议中心

    2018网络安全分析与情报大会,时间:2018.08.29,地点:北京 新云南皇冠假日酒店

    中国互联网安全大会   时间:2018.09.04-2018.09.06,地点:北京 国家会议中心

    2018云计算安全高峰论坛  时间:2018.09.13,地点:厦门宸洲洲际酒店

    北京六方云科技有限公司,是一家致力于工业互联网安全产品和解决方案提供商。聚集了一大批来自于工业控制、云计算、网络安全、大数据挖掘、人工智能等领域的优秀专家和工程师,为中国网络空间安全保驾护航。


more

手机扫码打开

logo