新闻动态

News information

安全态势周刊-六方云(AI基因·智能防御)——总第37期

<<返回

2018年12月17日 10:06


一、业界动态

1、六方云:用人工智能防御未知威胁

    当前,国内互联网+、工业互联网和物联网发展地如火如荼,由此引发的信息安全威胁也备受关注。信息安全威胁共分为两类:已知威胁和未知威胁。对于已知威胁的解决,很多信息安全厂商已经提供了多种解决方案;对于未知威胁的防范,虽然也出现了一些技术,如MTD、蜜罐等,但都无法很好的解决问题。六方云“超弦”人工智能实验室的专家经过多年研究、多次实验,首次将人工智能技术应用到未知威胁防御,使安全技术无需依赖大量人工干预和决策就可以实现自我进化,从而更有效的解决未知威胁的防御问题。

    详情链接:六方云

    http://www.6cloudtech.com/portal/article/index/id/15/cid/2.html

2、工信部:向基础电信运营商发放5G频谱,指导5G系统试验的基站部署

    近日,工业和信息化部向中国电信、中国移动、中国联通发放了5G系统中低频段试验频率使用许可。其中,中国电信和中国联通获得3500MHz频段试验频率使用许可,中国移动获得2600MHz和4900MHz频段试验频率使用许可。

    5G系统试验频率使用许可的发放,有力地保障了各基础电信运营企业开展5G系统试验所必须使用的频率资源,向产业界发出了明确信号,将进一步推动我国5G产业链的成熟与发展。下一步,工业和信息化部将积极指导各基础电信运营企业做好5G系统试验的基站部署,开展好5G系统基站与同频段、邻频段卫星地球站等其他无线电台站的干扰协调工作,确保各类无线电业务兼容共存,促进我国5G产业的健康快速发展。

    详情链接: 工信部

    http://www.miit.gov.cn/n1146290/n4388791/c6534397/content.html

3、国家能源局印发《关于开展电力行业网络安全隐患排查整改的通知》

    近期,国家能源局印发了《国家能源局综合司关于开展电力行业网络安全隐患排查整改的通知》(国能综通安全〔2018〕178号)。

    详情链接:互联网安全内参

    https://mp.weixin.qq.com/s/4tZtRFRPrW5fLVpVLy-YQg

4、瑞星2018勒索病毒全面分析报告

    勒索病毒是黑客通过锁屏、加密等方式劫持用户设备或文件,并以此敲诈用户钱财的恶意软件。黑客利用系统漏洞或通过网络钓鱼等方式,向受害电脑或服务器植入病毒,加密硬盘上的文档乃至整个硬盘,然后向受害者索要数额不等的赎金后才予以解密,如果用户未在指定时间缴纳黑客要求的金额,被锁文件将无法恢复。

    详情链接:freebuf

    https://www.freebuf.com/articles/paper/190482.html

二、工业安全

1、意大利石油与天然气服务公司Saipem遭遇网络攻击

    上周初,意大利石油与天然气服务公司Saipem部分服务器遭遇网络攻击。

    详情链接: secrss

    https://www.secrss.com/articles/6851

2、一场针对法国工业领域的网络钓鱼活动

    网络安全公司F-Secure的研究人员在最近观察到了一场针对法国工业领域的网络钓鱼活动,目标涵盖化工制造、航空航天、汽车、银行等领域,以及软件提供商和IT服务提供商。

    详情链接:hackeye

    https://www.hackeye.net/securityevent/17805.aspx

三、安全事件

1、Google Play里的22款应用发现含有后门

    Sophos 公司的安全研究人员从Google Play官方应用商店发现了22款包含后门的应用,应用的总下载量超过200万,最流行的一款是手电筒应用 Sparkle Flashlight,其下载量超过一百万。应用含有的后门能悄悄从攻击者控制的服务器上下载文件。

    这些应用主要被用于广告欺诈,研究人员将它们命名为 Andr/Clickr-ad,通过欺骗性的广告点击获取收入,它给用户带来的问题是电池续航力的下降和数据流量的增加。后门潜在可用于下载任何恶意程序。Google 已经从商店里移除了这些恶意应用。

    详情链接:solidot

    https://www.solidot.org/story?sid=58869

2、卡巴斯基曝光DarkVishnya银行内网攻击案件细节

    2017~2018 年间,卡巴斯基实验室的专家们受邀研究了一系列的网络盗窃事件。据悉,东欧至少有 8 家银行成为了这种袭击的目标(统称 DarkVishnya),造成了数千万美元的损失。

研究内容是通过一个直连公司本地网络的未知设备。

    每次攻击可分为相同的几个阶段:首先,犯罪分子以快递员、求职者等为幌子,潜入组织大楼、并将设备连接到本地网络。在本地网络内,该设备会显示为“未知计算机、外部闪存驱动器、甚至键盘”。然后再通过内置或 USB 连接的 GPRS / 3G / LTE 调制解调器,远程访问被植入的设备。

    攻击的第二阶段,攻击者远程连接到设备、并扫描本地网络,以访问共享文件夹、Web服务器、和其它开放式资源。用于获取有关网络的信息,尤其是业务相关的服务器和工作站。与此同时,攻击者试图暴力破解或嗅探这些机器的登录凭证。

    为克服防火墙的限制,它们使用本地TCP服务器来植入shellcode,若防火墙阻止其从一个网段跳跃到另一个网段、但允许反向连接,则攻击者会借助其它可被利用的资源,来构建所需的通信隧道。

    随后,犯罪分子会实施第三阶段:登录目标系统,使用远程访问软件来保留访问权限,接着在受感染的计算机上启用 msfvenom 创建的恶意服务。因为黑客利用了无文件攻击(Fileless Attacks)和 PowerShell,所以能够绕过白名单技术、或者域策略。即便遇到了无法绕过的白名单,或者 PowerShell 被目标计算机阻止,网络犯罪分子亦可借助 impacket、winecesvc.exe 或 psexec.exe 等可执行文件,发动远程攻击。

    详情链接:securelist

    https://securelist.com/darkvishnya/89169/

3、GhostPetya骷髅头勒索病毒袭卷半导体行业

    近日,国内半导体行业爆发勒索病毒,造成业务大面积瘫痪,深信服安全团队率先接到情报并进行处置,发现其攻击手段与早期Petya勒索病毒有相似之处,但又有很大不同,其攻击方式包括控制域控服务器、钓鱼邮件、永恒之蓝漏洞攻击和暴力破解,威力巨大,可在短时间内造成内网大量主机瘫痪并弹出骷髅头!

    详情链接: secpulse

    https://www.secpulse.com/archives/91565.html

4、具备多病毒功能!MiraiXMiner物联网僵尸网络攻击来袭

    近日,深信服安全团队跟踪到一新型的物联网僵尸网络,其融合了多种已知病毒家族的特点,包括Mirai物联网僵尸网络病毒、MyKings僵尸网络病毒、远控木马、挖矿等,传播方式包括永恒之蓝漏洞、闭路电视物联网设备漏洞、MSSQL漏洞、RDP爆破和Telnet爆破等。

    详情链接:FreeBuf

    https://www.freebuf.com/articles/terminal/191303.html

四、漏洞事件

1、Mozilla Firefox包含一个存在了11年的“验证对话框”

    Firefox浏览器中存在一个可被攻击者利用的漏洞,并且其用来捕获恶意网站上的用户信息已有11年。这一问题自2007年4月就被首次报道,而到现在都没有被修复。

    该漏洞的利用只需要在源代码中嵌入一个恶意的iframe,就可以实现在另一个域上发出HTTP身份验证请求,这导致iframe在恶意站点上显示身份验证模式。最新的示例来自于近日再次报告该问题的用户:登录框跳出后,其中一个正试图强迫他安装可疑Firefox扩展程序。恶意页面打开了浏览器的全屏模式,然后网页跳出了虚假的Windows对话框。因为这个登录对话框的原因,按ESC退出全屏或者点击选项卡中的窗口的关闭按钮都不起作用,点击登录对话框的关闭按钮或取消按钮,就会重新出现对话框,除非杀掉Firefox进程问题才会解决。

    详情链接:cnbeta

    https://www.cnbeta.com/articles/tech/796495.htm

2、phpMyAdmin发布安全更新修复3个漏洞

    phpMyAdmin昨日发布新版本4.8.4,修复了多个安全漏洞。在前几日(12月9号)phpMyAdmin官方就已经放出更新预告,提醒用户将于11日下午至晚间进行安全更新,漏洞详情也将在更新时披露详情。

    详情链接:安全客

    https://www.anquanke.com/post/id/167781

3、CNVD-2018-24855:SQLite远程代码执行漏洞

    漏洞由腾讯Blade团队发现并报告,目前命名为Magellan(麦哲伦),经Blade团队测试Chromium浏览器会受到影响,Google和SQLite也已经确认并修复了漏洞。

    漏洞可利用调用Web SQL API触发,修改数据库表,并利用SQLite数据库索引操作触发漏洞,在浏览器Render进程中实现远程代码执行。

    使用SQLite的其他应用也可通过类似方式在相应进行中实现远程代码执行。目前CNVD对此漏洞评级为高危。

    详情链接:安全客

    https://www.anquanke.com/post/id/167712

五、安全峰会

1、安全行业峰会日程预报

    北京六方云科技有限公司,是一家致力于工业互联网安全产品和解决方案提供商。聚集了一大批来自于工业控制、云计算、网络安全、大数据挖掘、人工智能等领域的优秀专家和工程师,为中国网络空间安全保驾护航。