新闻动态

News information

安全态势周刊六方云(AI基因·智能防御)——总第35期

<<返回

2018年12月03日 11:22


一、业界动态

1、六方云:用人工智能防御未知威胁

    当前,国内互联网+、工业互联网和物联网发展地如火如荼,由此引发的信息安全威胁也备受关注。信息安全威胁共分为两类:已知威胁和未知威胁。对于已知威胁的解决,很多信息安全厂商已经提供了多种解决方案;对于未知威胁的防范,虽然也出现了一些技术,如MTD、蜜罐等,但都无法很好的解决问题。六方云“超弦”人工智能实验室的专家经过多年研究、多次实验,首次将人工智能技术应用到未知威胁防御,使安全技术无需依赖大量人工干预和决策就可以实现自我进化,从而更有效的解决未知威胁的防御问题。

    详情链接:六方云

    http://www.6cloudtech.com/portal/article/index/id/15/cid/2.html

2、国家计算机病毒应急处理中心监测发现九款违法移动应用

    国家计算机病毒应急处理中心近期在净网行动中通过互联网监测发现,九款违法有害移动应用存在于移动应用发布平台中,其主要危害涉及恶意扣费、隐私窃取、恶意传播、资费消耗和流氓行为五类。

    这些违法有害移动应用具体如下:

    1、《E恶意扣费》(版本V6.6.0)这款移动应用在用户不知情的情况下,通过隐蔽执行等手段,订购各类收费业务或使用移动终端支付,导致用户经济损失。

    2、《1000种死法》(版本1.1.2)、《天天棒棒糖果消除》(版本2.1.2)这两款移动应用在用户不知情的情况下,获取用户个人信息,造成用户隐私泄露。

    3、《小猪佩奇的故事》(版本V2.3)、《MX直播》(版本V1.1.1)这两款移动应用存在危险行为代码,私自通过复制、感染等方式进行扩散,严重干扰手机正常使用,可能造成用户资费消耗。

    4、《ScreenHero》(版本V2.1.5)这款移动应用在用户不知情的情况下,私自拨打电话、发送短信等,造成用户流量消耗和资费损失。

    5、《绿色兵团》(版本V1.0)、《弹珠泡泡球》(版本V1.02)、《海拔高度》(版本V5.1.30)这三款移动应用包含恶意广告插件,匿名弹窗、推送广告,严重干扰移动设备正常使用。

    针对上述情况,国家计算机病毒应急处理中心提醒广大手机用户首先不要下载这些违法有害移动应用,避免手机操作系统受到不必要的安全威胁。其次,建议打开手机中防病毒移动应用的“实时监控”功能,对手机操作进行主动防御,这样可以第一时间监控未知病毒的入侵。

    详情链接: 新华网

    http://www.xinhuanet.com/politics/2018-11/27/c_1123774111.htm

3、中消协测评报告:超九成App涉嫌过度收集用户个人信息

    11月28日,中消协在京召开新闻发布会,通报100款App个人信息收集与隐私政策测评情况。被测评的10类100款App分别从App Store和安卓市场进行下载,根据测评结果显示,从App Store下载的与从安卓市场下载的App在信息的收集内容和隐私政策上并无明显差别,但常用App与中小型企业App的评分差距明显。根据测评结果,新闻阅读、网上购物和交易支付等类型App为总平均分相对较高的App类别,而金融理财类App得分相对较低,仅为28.91分。

    《测评报告》显示,10类App普遍存在涉嫌过度收集个人信息的情况,59款App涉嫌过度收集“位置信息”,28 款App涉嫌过度收集“通讯录信息”,23 款App涉嫌过度收集“身份信息”,22款App涉嫌过度收集“手机号码”等。在隐私政策方面:47款App隐私条款内容不达标,其中34款App没有隐私条款。

    详情链接:中消协

    http://www.cca.cn/jmxf/detail/28310.html

4、《检察机关办理侵犯公民个人信息案件指引》全文发布

    11月9日,最高人民检察院印发《检察机关办理侵犯公民个人信息案件指引》全文,《检察机关办理侵犯公民个人信息案件指引》经2018年8月24日最高人民检察院第十三届检察委员会第五次会议通过。文中特别指出:办理侵犯公民个人信息案件,应当特别注意以下问题:一是对“公民个人信息”的审查认定;二是对“违反国家有关规定”的审查认定;三是对“非法获取”的审查认定;四是对“情节严重”和“情节特别严重”的审查认定;五是对关联犯罪的审查认定。

    详情链接:安全内参

    https://www.secrss.com/articles/6721

二、 工业安全

1、利用AutoCAD的恶意软件

    安全研究人员发现了一系列利用AutoCAD进行恶意软件分发的活动,主要攻击目标为能源企业,目标包括了港珠澳大桥。

    详情链接:forcepoint

    https://www.forcepoint.com/blog/security-labs/autocad-malware-computer-aided-theft

    https://www.secrss.com/articles/6778

2、西门子警告:控制器平台存在Linux、GNU漏洞

    西门子通知客户,其SIMATIC S7-1500工业自动化控制器的多功能平台中部分Linux与GNU组件受到20余个漏洞影响,并在最新版本修改,请及时更细固件。

    详情链接:cert-portal.siemens

    https://cert-portal.siemens.com/productcert/pdf/ssb-439005.pdf

3、芯片供应商合晶上海厂传电脑病毒感染,目前已恢复

    据中国台湾媒体中央社报道,合晶科技上海厂传电脑病毒感染,经紧急扫毒处理后,目前已恢复正常,官方称预计对业绩无影响。

    详情链接:secrss

    https://www.secrss.com/articles/6719

三、安全事件

1、警惕Rotexy移动木马,三个月内已发起超过70000次攻击

    Rotexy移动木马同时具备窃取感染设备上银行卡信息和发送假冒勒索软件加密页面进行敲诈的能力,在短短三个月的时间内就感染了超过7万台设备。卡巴斯基实验室的恶意软件分析师仔细研究了其代码,结果是2014九已经出现,当时叫MSThief,仅具备数据窃取能力。

    Rotexy木马通过Google Cloud Messaging(GCM)服务获取指令,该服务以JSON格式向移动设备发送消息。Rotexy用于向受感染目标发送命令的另一种方法来自命令和控制(C2)服务器,这也是大多数恶意软件的常用入口。第三种方法是基于SMS的,允许攻击者通过向受感染的移动电话发送文本消息来控制恶意软件的动作。

    详情链接:bleepingcomputer

    https://www.bleepingcomputer.com/news/security/rotexy-mobile-trojan-launches-70k-attacks-in-three-months/

2、万豪发生数据泄漏 接近5亿用户受到影响

    万豪国际酒店集团发布消息称其旗下喜达屋酒店房间预定系统遭到黑客攻击,数据库被入侵,可能会有接近5亿的数据泄漏出去。

    据称泄漏数据包括瑞吉酒店、威斯汀酒店、喜来登酒店等多个酒店的信息,并表示自14年起此数据库已遭到未授权访问,而在9月份时内部安全系统出现警告,深入调查后发现了这个情况。

    官方仍在对数据进行处理,9月10日前的数据恐怕已经泄漏,影响用户数量接近5亿,其中3.7亿用户姓名、地址、邮箱、电话、护照、生日等信息遭到泄漏。

其中也有一部分信用卡信息泄漏,不过为加密信息,但不排除被解密的可能。

    详情链接:安全客

    https://www.anquanke.com/post/id/167003

3、北京首起“盗挖虚拟货币”案告破:前员工入侵公司数百台电脑“挖矿”赚钱

    最近,北京朝阳警方成功破获北京市首起非法控制计算机信息系统盗挖虚拟案。

起因是朝阳警方接某互联网公司报警称,其公司350台服务器无法正常工作,资源消耗巨大。经过侦查,涉案的服务器均被植入了某程序,该程序致使服务器以高耗能状态进行运算,进行网络货币“挖掘”工程,并将挖取的网络货币转至控制者处,从而提现牟取暴利,严重影响了服务器的正常运行。

    警方在固定证据后,通过该程序账号进行追踪溯源,确认了嫌疑人并对其进行了抓捕,系该公司前员工聂某。经讯问,犯罪嫌疑人聂某对其非法入侵某互联网公司集团服务器,并部署植入程序挖取网络货币的犯罪事实供认不讳。目前,嫌疑人因涉嫌非法侵入计算机信息系统罪,已被公安机关依法采取刑事强制措施。

    详情链接: 安全内参

    https://www.secrss.com/articles/6640

4、黑客向热门JavaScript库注入恶意代码

    尽管上周已经发现了恶意代码的存在,但直到今天安全专家才理清这个严重混乱的恶意代码,了解它真正的意图是什么。黑客利用该恶意代码获得(合法)访问热门JavaScript库,通过注射恶意代码从BitPay的Copay钱包应用中窃取比特币和比特币现金。

这个可以加载恶意程序的JavaScrip库叫做Event-Stream,非常受者欢迎,在npm.org存储库上每周下载量超过200万。但在三个月前,由于缺乏时间和兴趣原作者将开发和维护工作交给另一位程序员Right9ctrl。Event-Stream,是一个用于处理Node.js流数据的JavaScript npm包。

    根据Twitter、GitHub和Hacker News上用户反馈,该恶意程序在默认情况下处于休眠状态,不过当Copay启动(由比特币支付平台BitPay开发的桌面端和移动端钱包应用)之后就会自动激活。它将会窃取包括私钥在内的用户钱包信息,并将其发送至copayapi.host的8080端口上。

    目前已经确认9月至11月期间,所有版本的Copay钱包都被认为已被感染。今天早些时候,BitPay团队发布了Copay v5.2.2,已经删除Event-Stream和Flatmap-Stream依赖项。恶意的Event-Stream v3.3.6也已从npm.org中删除,但Event-Stream库仍然可用。这是因为Right9ctrl试图删除他的恶意代码,发布了不包含任何恶意代码的后续版本的Event-Stream。

    建议使用这两个库的项目维护人员将其依赖树更新为可用的最新版本–Event-Stream版本4.0.1。此链接包含所有3,900+ JavaScript npm软件包的列表,其中Event-Stream作为直接或间接依赖项加载。

    详情链接:cnbeta

    https://www.cnbeta.com/articles/tech/792069.htm

四、漏洞事件

1、Linux 稳定版内核撤回严重影响性能的 Spectre 补丁

    Linux 4.20 合并的 Spectre 补丁(Single Thread Indirect Branch Predictors 或缩写 STIBP)被发现对英特尔处理器的性能有严重影响,而这个补丁已经向后移植到了 Linux 4.14 和 4.19 LTS 版本,测试显示补丁对各种应用的性能确实产生了显著影响,这就引发了争论,Linux 稳定内核是否应该包含会导致性能下降的补丁?上周五,稳定内核维护者 Greg Kroah-Hartman 释出了 Linux kernel 4.19.4、4.14.83 和 4.9.139,其中 4.19.4 和 4.14.83 主要是撤回 STIBP 补丁。Linus Torvalds 在开发者邮件列表上指出,STIPB 补丁付出的代价比人们以为的更昂贵,当某些负荷的性能下降 50%,那么人们可能就需要扪心自问这个代价是否值得付出。还不如完全禁用超线程的好。当真正关心安全的人已经禁用了超线程那么为什么还要默认启用 STIBP?也许在 STIBP 补丁更可靠之后稳定版内核可能会再次移植代码。

    详情链接:solidot

    https://www.solidot.org/story?sid=58718

2、PHPCMS2008 type.php代码注入高危漏洞预警

    11月4日,阿里云安全首次捕获PHPCMS 2008版本的/type.php远程GetShell 0day利用攻击,攻击者可以利用该漏洞远程植入webshell,导致文件篡改、数据泄漏、服务器被远程控制等一系列严重问题。建议受影响用户尽快升级到最新版本修复。

    详情链接:FreeBuf

    https://www.freebuf.com/vuls/190631.html

3、思科修复Prime License Manager中的关键SQL注入漏洞

    思科刚刚修补了一个关键的SQL注入漏洞,该漏洞存在于Cisco Prime License Manager(PLM)的Web框架代码中,旨在帮助管理员在企业范围内管理用户许可。在成功利用CVE-2018-15441安全问题之后,潜在的远程攻击者可以在脆弱的机器上执行任意SQL查询。根据思科在Cisco Prime License Manager解决方案中详细说明此SQL注入安全漏洞的建议,问题在于“缺乏对SQL查询中用户提供的输入的正确验证”。

    思科还说:“攻击者可以通过向受影响的应用程序发送包含恶意SQL语句的精心制作的HTTP POST请求来利用这个漏洞。”此外,设法使用漏洞攻击来破坏易受攻击目标的攻击者还可以删除或修改Prime License Manager数据库中的任何数据,以及使用postgres用户帐户的系统权限获取shell访问权限。目前还没有已知的解决此漏洞的方法,但思科已经发布了解决漏洞的软件更新。

    详情链接:linuxidc

    https://www.linuxidc.com/Linux/2018-11/155590.htm

五、安全峰会

1、安全行业峰会日程预报

    北京六方云科技有限公司,是一家致力于工业互联网安全产品和解决方案提供商。聚集了一大批来自于工业控制、云计算、网络安全、大数据挖掘、人工智能等领域的优秀专家和工程师,为中国网络空间安全保驾护航。