普普每日安全咨詢一周概覽(05.11-05.17)

作者:

時間:
2020-05-22

2020.05.11 周一



01

?特斯拉舊零件檢索出大量車主的敏感數據


最近,特斯拉車主遭受到了數據泄露的危機。國外研究員GreenTheOnly從購買的二手特斯拉媒體控制單元(MCU)和Autopilot硬件中,發(fā)現(xiàn)大量特斯拉車主的個人數據,包括電話簿、通話記錄、以明文形式存儲的WiFi密碼,甚至家庭住址、工作地點和第三方應用賬戶ID和密碼。從特斯拉計算機配件中,黑客可以輕而易舉地獲取車主們最為敏感的信息,這一切很可能要歸咎于特斯拉在媒體控制單元(MCU)、自動駕駛儀硬件的改裝服務上對用戶隱私數據的保護不力。



普普評述

車載計算機系統(tǒng)安全問題值得大家多加留意,尤其是賣車、歸還租車或是維修升級時,盡量確保個人數據已被清除。


2020.05.12 周二


01

?利用“順豐速運”下發(fā)GuLoader惡意軟件


GuLoader是一個使用VB語言編寫的惡意軟件下載器。它通常從Google Drive、Microsoft OneDrive、MediaFire等托管站點下載惡意代碼執(zhí)行。常見的后續(xù)惡意遠控程序有:LokiBot、Remcos RAT和Agent Tesla等等。GuLoader本身具有較為復雜的執(zhí)行流程,較強的反調機制使得當前部分在線沙盒無法精確檢測惡意行為,同時也給分析人員造成一定阻礙。

攻擊者使用偽裝成“順豐速運”的惡意釣魚郵件下發(fā)釣魚鏈接。該釣魚鏈接指向MediaFire下載GuLoader惡意軟件壓縮包(鏈接信息部分隱藏)。一旦用戶下載該惡意軟件壓縮包,并且無意執(zhí)行惡意程序,整個惡意流程被立即激活。



普普評述

今年以來使用GuLoader惡意軟件的網絡攻擊活動呈現(xiàn)不斷增加的態(tài)勢,在此提示用戶及時防范規(guī)避安全風險。


2020.05.13 周三


01

? 一種基于字符解析的DNS隱蔽通道檢測方法


DNS隱蔽通道技術的基本思想是利用一臺偽裝的DNS服務器作為中轉節(jié)點,利用DNS的查詢過程建立隱蔽通道,將數據編碼在DNS協(xié)議中進行通信。目前的DNS隱蔽通道檢測方法常用基于規(guī)則的特征匹配方法和基于閾值的方法進行檢測,例如監(jiān)控域名長度的方法,但其缺少智能性,攻擊者可以通過修改域名長度等特征輕易繞過基于規(guī)則的檢測;而閾值的設定不確定度較大,檢測精準率較低。針對傳統(tǒng)檢測存在的誤報率高、易被繞過等問題,采取對請求域名進行分析和特征提取的方法,使用機器學習算法對合法請求和隱蔽通道的特征進行判別,檢測DNS隱蔽通道。




普普評述

由于DNS能通過防火墻而不被攔截,能保證通道的穿透能力和隱蔽性,DNS協(xié)議被越來越多地用來傳輸隱秘信息,有效的DNS隱蔽通道檢測方法更好的保證了網絡的安全可靠性。


2020.05.14 周四


01

? “黑玫瑰露西”回歸——演變?yōu)槔账鬈浖?/p>


2018年9月,“黑玫瑰露西”惡意軟件家族由以色列網絡安全公司CheckPoint的安全研究員發(fā)現(xiàn)。最近該惡意軟件家族回歸,并添加了新的勒索軟件功能。“露西”是適用于Android設備的惡意軟件即服務(MaaS)僵尸網絡。將近兩年后,它又有了新的變種。惡意軟件會對設備上所需文件進行加密,并偽裝成美國司法部聯(lián)邦調查局(FBI)顯示贖金通知。受害者只需使用信用卡支付500美金便可清除所有罪行。



普普評述

由于“黑玫瑰露西”當前支持英語和俄語用戶界面,而在早期某些惡意活動的自我保護機制中它非常關注國內安全工具和系統(tǒng)清理工具。故猜測它的攻擊目標可能不止俄羅斯、歐美國家,中國可能是黑玫瑰露西下一戰(zhàn)場。


2020.05.15 周五


01

《網絡安全審查辦法》解讀


近日國家網信辦官網公布了一則消息,引發(fā)熱議:國家互聯(lián)網信息辦公室、國家發(fā)改委等12個部門聯(lián)合發(fā)布了《網絡安全審查辦法》(以下簡稱《辦法》),今年6月1日起實施。我國建立網絡安全審查制度,目的是通過網絡安全審查這一舉措,及早發(fā)現(xiàn)并避免采購產品和服務給關鍵信息基礎設施運行帶來風險和危害,保障關鍵信息基礎設施供應鏈安全,維護國家安全。網絡安全審查重點評估關鍵信息基礎設施運營者采購網絡產品和服務可能帶來的國家安全風險,主要包括五大內容和九項轉變。




普普評述


2020年6月1日《網絡安全審查辦法》即將實施,關鍵信息基礎設施運營者務必盡快閱讀并充分理解《辦法》各項條款,及時提交相關申報,以免造成不必要的損失。


2020.05.16 周六


01

?特朗普頒發(fā)電力設備禁令,專家建議直接開源


近期特朗普簽署了一項行政命令,其旨在通過阻止從“外國對手”進口電力設備來保護美國電網免受網絡攻擊。據推測,這項命令的背后針對的是俄羅斯、伊朗,甚至中國。簡單來說,這項禁令還是離不開美國之前鼓吹的國家安全、供應鏈安全,甚至借此引發(fā)對華為的制裁。對于美國電網的網絡攻擊,特朗普的擔憂并發(fā)布的禁令并非空穴來風。根據一份新發(fā)布的工控系統(tǒng)控制報告,目前至少有三個黑客組織團隊能夠感染或者破壞全美的電網。而針對電力系統(tǒng)和公共基礎設施的網絡犯罪數量也在增加。



普普評述

考慮到美國公司不會在短期內建造新的高端電網設備,因此開源確實是保護電網的一種途徑。


2020.05.17 周日


01

? Blackloan:針對中國、越南、馬來西亞VISA用戶的新黑產組織


近期奇安信病毒響應中心在日常監(jiān)測中,發(fā)現(xiàn)了一批針對中國、越南、馬來西亞等國用戶的釣魚APP。該類釣魚APP主要通過仿冒正規(guī)APP誘騙用戶下載使用,通過仿冒的釣魚頁面,誘騙用戶填寫相關的個人銀行卡信息,從而達到竊取用戶賬戶信息,進而達到竊取用戶財產的目的。

經過分析發(fā)現(xiàn),該類惡意軟件最早出現(xiàn)在2020年2月26日,且目前APP包名比較隨意大多為“com.loan.test1”,因此該類銀行釣魚APP被命名為“Blackloan”。跡象表明,Blackloan目前只是測試樣本,后續(xù)可能還會進行更新。通過相關的關聯(lián)分析, Blackloan很有可能為新的電信詐騙團伙。



普普評述

提醒廣大用戶,不要隨意安裝來源不明的APP,如果遇到需要填寫個人敏感信息的情況,請?zhí)崆奥?lián)系相應的官方客服進行確認。