普普每日安全資訊一周概覽(01.16—01.22)
各大游戲公司遭遇與APT27有關(guān)的勒索軟件攻擊
最近一系列的針對(duì)電子游戲公司的勒索軟件攻擊與臭名昭著的APT27威脅組織有密切的關(guān)系����,已經(jīng)有五家公司受到了攻擊的影響����。更重要的是,其中兩家受影響的公司是世界上最大的公司之一���。APT27(又稱Bronze Union����、LuckyMouse和Emissary Panda)�����,據(jù)說是在中國(guó)境內(nèi)運(yùn)營(yíng)的一個(gè)威脅組織��,自2013年以來就一直存在���。該組織向來是利用開源的工具來接入互聯(lián)網(wǎng)��,其攻擊目的是為了收集政治和軍事情報(bào)�����。而且����,它此前一直在做網(wǎng)絡(luò)間諜和數(shù)據(jù)竊取方面的攻擊�����,而不是僅僅為了金錢利益而發(fā)動(dòng)攻擊�����。Profero和Security Joes的研究人員在周一的聯(lián)合分析中指出:'此前���,APT27并不是為了經(jīng)濟(jì)利益而發(fā)動(dòng)攻擊����,因此此次采用勒索軟件的攻擊策略是很不同尋常的��。然而此次事件發(fā)生時(shí)����,正值COVID-19在中國(guó)國(guó)內(nèi)流行���,因此轉(zhuǎn)為為了經(jīng)濟(jì)利益而發(fā)動(dòng)攻擊也就不足為奇了。此次攻擊是通過第三方服務(wù)商來進(jìn)行攻擊的�����,而且該服務(wù)商此前曾被另一家第三方服務(wù)商感染���。這表明高級(jí)持續(xù)性威脅(APT)正在改變過去的間諜集中戰(zhàn)術(shù)�,轉(zhuǎn)而采用勒索軟件進(jìn)行攻擊�����。
“日爆木馬”攻入管理美國(guó)核武器庫存的國(guó)家核安全局
隨著調(diào)查的深入�,SolarWinds“日爆木馬”(SUNBURST)供應(yīng)鏈APT攻擊持續(xù)發(fā)酵,據(jù)Politico報(bào)道��,知情官員近日透露��,美國(guó)能源部(DOE)和負(fù)責(zé)管理美國(guó)核武器儲(chǔ)備的國(guó)家核安全局(NNSA)有證據(jù)表明�����,其網(wǎng)絡(luò)已經(jīng)遭到黑客入侵,這些入侵活動(dòng)屬于SolarWinds日爆木馬大規(guī)模間諜活動(dòng)的一部分��,該間諜活動(dòng)已經(jīng)影響了至少六個(gè)聯(lián)邦機(jī)構(gòu)����。聯(lián)邦能源監(jiān)管委員會(huì)(FERC)��、新墨西哥州和華盛頓州的桑迪亞和洛斯阿拉莫斯國(guó)家實(shí)驗(yàn)室��、美國(guó)國(guó)家安全局(NNSA)的安全運(yùn)輸辦公室以及美國(guó)能源部Richland外地辦公室的網(wǎng)絡(luò)中發(fā)現(xiàn)了可疑活動(dòng)����。一直在幫助管理聯(lián)邦對(duì)廣泛黑客攻擊活動(dòng)做出反應(yīng)的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(Cybersecurity and Infrastructure Security Agency)本周向FERC表示,CISA不堪重負(fù)�����,可能無法分配必要的資源來應(yīng)對(duì)�。官員們說,因此���,即使FERC是一個(gè)半自治機(jī)構(gòu)���,DOE也會(huì)向FERC分配額外的資源來幫助調(diào)查黑客行為���。美國(guó)能源部發(fā)言人Hynes在一份聲明中說:“迄今的調(diào)查顯示,惡意軟件被隔離到商業(yè)網(wǎng)絡(luò)中�����,包括國(guó)家核安全局在內(nèi)的國(guó)家安全職能關(guān)鍵任務(wù)并未受到影響。當(dāng)美國(guó)能源部發(fā)現(xiàn)易受攻擊的軟件時(shí)���,立即采取了行動(dòng)以減輕風(fēng)險(xiǎn)�����,并且所有被確定為易受攻擊的軟件都已經(jīng)與能源部網(wǎng)絡(luò)斷開了連接����?���!?/span>“攻擊仍在持續(xù)�,已經(jīng)影響了聯(lián)邦政府內(nèi)部的網(wǎng)絡(luò)�。”美國(guó)政府尚未將黑客行為歸咎于任何特定行為者��,但網(wǎng)絡(luò)安全專家表示�����,該活動(dòng)帶有俄羅斯情報(bào)部門的標(biāo)志黑客攻擊聯(lián)邦能源管理委員會(huì)(FERC)造成的損失比攻擊其他機(jī)構(gòu)更大,這次襲擊可能是為了破壞美國(guó)的大電網(wǎng)��。FERC會(huì)在電網(wǎng)上存儲(chǔ)敏感數(shù)據(jù)�����,這些數(shù)據(jù)可被黑客用來識(shí)別最具破壞性的攻擊點(diǎn)�,作為日后攻擊的目標(biāo)。
物聯(lián)網(wǎng)安全:軌跡隱私保護(hù)軌跡隱私是一種特殊的個(gè)人隱私����,指用戶的運(yùn)行軌跡本身含有的敏感信息(如用戶去過的一些敏感區(qū)域等),或者可以通過運(yùn)行軌跡推導(dǎo)出其他的個(gè)人信息(如用戶的家庭住址����、工作地點(diǎn)、健康狀況���、生活習(xí)慣等)。因此����,軌跡隱私保護(hù)既要保證軌跡本身的敏感信息不泄露,又要防止攻擊者通過軌跡推導(dǎo)出其他的個(gè)人信息����。軌跡數(shù)據(jù)本身蘊(yùn)含了豐富的時(shí)空信息�,對(duì)軌跡數(shù)據(jù)的分析和挖掘結(jié)果可以支持多種移動(dòng)應(yīng)用����,因此,許多政府及科研機(jī)構(gòu)都加大了對(duì)軌跡數(shù)據(jù)的研究力度�����。例如:美國(guó)政府利用移動(dòng)用戶的GPS軌跡數(shù)據(jù)分析基礎(chǔ)交通設(shè)施的建設(shè)情況�����,進(jìn)而為是否更新和優(yōu)化交通設(shè)施提供依據(jù)��;社會(huì)學(xué)的研究者們通過分析人們的日常軌跡來研究人類的行為模式�����;某些公司通過分析雇員的上下班軌跡來提高雇員的工作效率等����。然而,假如惡意攻擊者在未經(jīng)授權(quán)的情況下�����,計(jì)算推理獲取與軌跡相關(guān)的其他個(gè)人信息,則用戶的個(gè)人隱私會(huì)通過其軌跡完全暴露��。數(shù)據(jù)發(fā)布中的軌跡隱私泄露情況大致可分為以下兩類����。① 軌跡上敏感或頻繁訪問位置的泄露導(dǎo)致移動(dòng)對(duì)象的隱私泄露。軌跡上的敏感或頻繁訪問的位置很可能暴露其個(gè)人興趣愛好��、健康狀況�、政治傾向等個(gè)人隱私;② 移動(dòng)對(duì)象的軌跡與外部知識(shí)的關(guān)聯(lián)導(dǎo)致隱私泄露�。例如,某人每天早上在固定的時(shí)間段從地點(diǎn)A出發(fā)到地點(diǎn)B�����,每天下午在固定的時(shí)間段從地點(diǎn)B出發(fā)到地點(diǎn)A����,通過挖掘分析,攻擊者很容易做出判斷:A是某人的家庭住址��,B是其工作單位��。軌跡隱私保護(hù)既要保證軌跡本身的敏感信息不泄露�����,又要防止攻擊者通過軌跡推導(dǎo)出其他的個(gè)人信息
幾十年來�,計(jì)算機(jī)科學(xué)家一直都想驗(yàn)證是否存在絕對(duì)安全的方法來加密計(jì)算機(jī)程序,讓人們?cè)谑褂糜?jì)算機(jī)的同時(shí)卻無法破解其程序�����。在2020年底�����,幾位學(xué)者成功找到了一種加密方式�,讓計(jì)算機(jī)用戶無法通過獲取代碼破解程序。對(duì)于程序員來說�����,最寶貴的自然是代碼�����,一旦源代碼被人獲取,基本上就等于程序員編寫代碼花費(fèi)的心血付諸東流����,還會(huì)涉及到知識(shí)產(chǎn)權(quán)糾紛。為了保護(hù)代碼����,有的程序員會(huì)在導(dǎo)出程序之前采取一些手段來混淆程序。當(dāng)前程序混淆有兩種方式����,第一種是全文替換關(guān)鍵詞,把整段代碼中所有的“命名”全部替換成數(shù)字;第二種是直接輸出編譯過后的代碼�����,將人們可以看懂的源代碼轉(zhuǎn)換成電腦看得懂的機(jī)器碼����,這樣別人就沒法直接打開這個(gè)文件看到原本的代碼了。但這兩種方式并不是真正意義上的混淆��,因?yàn)槿绻堰@樣的代碼放入編譯器中��,讓編譯器去分析整個(gè)編程語言的語法結(jié)構(gòu)����,很容易就能看出些端倪����。真正意義上的混淆被稱作虛擬黑盒(Virtual Black Box Obfuscation�����,VBB)�����,相當(dāng)于將一個(gè)程序C嵌入一個(gè)黑盒中�����,我們可以在黑盒的一端輸入x�����,另一頭會(huì)輸出C(x)���。2001年,7位研究者聯(lián)手提出了一種特殊構(gòu)造的程序���,并證明通用的VBB混淆是絕對(duì)不可能的����。不過,這7位研究者的成果中�,提出了一種混淆的新型定義——如果一對(duì)程序A和B具有相同的功能性,能否通過一種新的混淆算法����,使第三方無法區(qū)分兩個(gè)程序呢?對(duì)于這樣的混淆,我們稱之為不可區(qū)分混淆(indistinguishability obfuscation��,簡(jiǎn)稱IO)�����。IO是一種強(qiáng)大的加密算法����,它不僅能隱藏?cái)?shù)據(jù)集,還能隱藏程序本身��,從而實(shí)現(xiàn)幾乎所有的加密協(xié)議����。雖然幾位科學(xué)家聯(lián)手證明了IO的存在性���,但量子計(jì)算機(jī)的超強(qiáng)計(jì)算能力,會(huì)使得目前絕大部分加密算法都無法抵擋�����。現(xiàn)在研究者們正試圖開發(fā)一條新的通往IO的潛在途徑�����,希望能抵擋住量子攻擊���。
近日,研究人員發(fā)現(xiàn)黑客通過破壞SolarWinds的”O(jiān)rion網(wǎng)絡(luò)管理產(chǎn)品”入侵了聯(lián)邦機(jī)構(gòu)和FireEye的網(wǎng)絡(luò)��。此外���,多達(dá)1.8萬的Orion客戶也正面臨著這次供應(yīng)鏈攻擊帶來的巨大威脅����。這可能是近年來最嚴(yán)重的網(wǎng)絡(luò)事件之一����。目前��,攻擊者已經(jīng)入侵了SolarWinds�����,他們利用該公司的軟件更新在屬于政府����、國(guó)防和軍事實(shí)體以及許多私營(yíng)部門公司的系統(tǒng)上安裝了 SUNBURST后門����。那么在本次事件中,我們能夠看出哪些常見的安全問題呢���?1��、遠(yuǎn)程監(jiān)控和管理工具常被用作攻擊媒介:SolarWinds事件表明遠(yuǎn)程監(jiān)控和管理(RMM)工具更頻繁地被攻擊者用作攻擊媒介�����。RMM通常具有操作系統(tǒng)級(jí)別的訪問權(quán)限���,能夠監(jiān)視修補(bǔ)程序、版本級(jí)別以及硬件性能問題等�。而這些遠(yuǎn)程工具的安全并沒有受到企業(yè)重視并得到有效的防護(hù)�。2����、構(gòu)建系統(tǒng)時(shí)需要完善的安全機(jī)制:攻擊者可能通過訪問公司的網(wǎng)絡(luò)系統(tǒng)或 CI/CD環(huán)境,將SUNBURST惡意軟件插入到合法軟件的更新中�����。因此���,企業(yè)需要在軟件開發(fā)生命周期中注意安全性。3�����、信任可能導(dǎo)致危機(jī):攻擊者將惡意代碼插入到 SolarWinds 的 Orion 網(wǎng)絡(luò)管理產(chǎn)品的合法更新中�,正是利用了企業(yè)對(duì)SolarWinds的信任。在這種情況下����,接收更新的人很難意識(shí)到惡意軟件隱藏在數(shù)字簽名的軟件組件中。4����、企業(yè)需要為長(zhǎng)遠(yuǎn)的安全做打算:許多APT網(wǎng)絡(luò)攻擊很難被第一時(shí)間發(fā)現(xiàn)和檢測(cè)���,難以攔截。并且����,對(duì)攻擊從何入侵的檢測(cè)可能存在錯(cuò)誤,其影響范圍和代價(jià)也難以預(yù)估��。因此����,企業(yè)應(yīng)當(dāng)為長(zhǎng)遠(yuǎn)的安全做打算,事后補(bǔ)救不如未雨綢繆����。目前,多數(shù)無文件攻擊和APT攻擊利用了某些應(yīng)用程序和操作系統(tǒng)所特有的結(jié)構(gòu)與系統(tǒng)工具��,而這正是反惡意軟件工具在檢測(cè)和防御方面的疏漏點(diǎn)�����。企業(yè)應(yīng)當(dāng)為長(zhǎng)遠(yuǎn)的安全做打算�����,事后補(bǔ)救不如未雨綢繆。有效的解決方案是使用基于內(nèi)核級(jí)的監(jiān)控�����,捕獲每個(gè)目標(biāo)程序的動(dòng)態(tài)行為�����,防御并終止在業(yè)務(wù)關(guān)鍵應(yīng)用程序中的無文件攻擊���、0day漏洞攻擊等高級(jí)威脅��,防止黑客利用零日漏洞或未修復(fù)漏洞進(jìn)行的攻擊���。
意大利移動(dòng)運(yùn)營(yíng)商被黑�,250萬用戶需更換手機(jī)SIM卡
本周一,沃達(dá)豐(Vodafone)旗下的意大利移動(dòng)運(yùn)營(yíng)商Ho Mobile證實(shí)發(fā)生大規(guī)模數(shù)據(jù)泄露����,目前正采取一種罕見的措施,替換所有受影響客戶的SIM卡���。據(jù)信�,黑客竊取大約250萬客戶的個(gè)人信息。該數(shù)據(jù)泄露事件上個(gè)月(12月28日)首次曝光�,當(dāng)時(shí)一名安全分析師在一個(gè)黑暗的網(wǎng)絡(luò)論壇上發(fā)現(xiàn)了要出售的電信公司數(shù)據(jù)庫。HoMobile的聲明證實(shí)了安全研究人員的評(píng)估��,即黑客入侵了Ho Mobile的服務(wù)器并竊取了HoMobile客戶的詳細(xì)信息����,包括全名、電話號(hào)碼����、社會(huì)安全號(hào)碼、電子郵件地址���、出生日期和地點(diǎn)��、國(guó)籍和家庭住址等���。雖然Ho Mobile聲稱黑客沒有竊取任何財(cái)務(wù)數(shù)據(jù)或電話詳細(xì)信息,但Ho Mobile承認(rèn)黑客已經(jīng)掌握了與客戶的SIM卡相關(guān)的詳細(xì)信息����。為了避免電話欺詐或SIM卡交換攻擊的威脅,Ho Mobile表示愿意為所有受影響的客戶(如有需要)更換SIM卡,并且不收取任何費(fèi)用����。盡管世界各地的多家電信運(yùn)營(yíng)商都發(fā)生過數(shù)據(jù)泄露事故,但Ho Mobile這種客戶至上�����,高度重視SIM卡交換攻擊給客戶帶來的潛在巨大風(fēng)險(xiǎn)(SIM卡被劫持是數(shù)字社會(huì)消費(fèi)者面臨的最大安全風(fēng)險(xiǎn)之一)���,不惜提供免費(fèi)SIM卡更換服務(wù)的做法非常罕見���。
首款2021年面世的勒索軟件:新年伊始已有5家企業(yè)被黑
新的一年,勒索軟件家族又添新成員����。2021年剛剛過去幾天,Babuk Locker就開始針對(duì)企業(yè)受害者發(fā)動(dòng)人為操作攻擊�����。Babuk Locker掀起的這輪全新勒索軟件攻勢(shì)���,已經(jīng)給世界各地的幾家公司帶來不小的麻煩。根據(jù)目前掌握的情況,其開出的贖金價(jià)格(要求以比特幣支付)在60,000美元到85,000美元之間��。Babuk Locker如何加密受害者設(shè)備���?根據(jù)分析�,Babuk Locker的各個(gè)可執(zhí)行文件都針對(duì)不同受害者進(jìn)行了定制化調(diào)整��,借此添加硬編碼形式的擴(kuò)展名�����、勒索記錄以及Tor受害者URL�。根據(jù)安全研究員Chuong Dong的分析,Babuk Locker的編碼質(zhì)量屬于業(yè)余級(jí)別�����,但其中包含的安全加密機(jī)制足以防止受害者輕松完成文件恢復(fù)����。Dong在報(bào)告中指出,“雖然編碼實(shí)踐整體屬于業(yè)余水平�����,但其中使用的強(qiáng)大橢圓曲線Diffie–Hellman加密算法之前已經(jīng)給不少企業(yè)造成了沉重打擊?!痹诶账鬈浖?dòng)之后,攻擊者即可使用命令行參數(shù)來控制勒索軟件����,包括如何加密網(wǎng)絡(luò)共享文件以及是否在本地文件系統(tǒng)之前執(zhí)行加密。一旦啟動(dòng)�,勒索軟件將終止已知的各類Windows服務(wù)與進(jìn)程,防止其打開目標(biāo)文件致使加密操作無法執(zhí)行����。其終止的程序包括數(shù)據(jù)庫服務(wù)器、郵件服務(wù)器��、備份軟件��、郵件客戶端以及網(wǎng)絡(luò)瀏覽器等�����。Babuk Locker Tor站點(diǎn)非常簡(jiǎn)單�,其中只包含一個(gè)聊天界面,受害者可以在其中與攻擊者交談并商議贖金事宜����。在談判過程中,勒索攻擊方會(huì)詢問受害者是否購買了網(wǎng)絡(luò)安全保險(xiǎn)���,以及是否聯(lián)系過勒索軟件恢復(fù)廠商�����。攻擊者可以實(shí)施雙重勒索——受害者不僅無法訪問自己的文件��,而且如果拒絕支付贖金���,文件內(nèi)容還會(huì)被發(fā)布到互聯(lián)網(wǎng)上。Babuk Locker掀起的這輪全新勒索軟件攻勢(shì)����,已經(jīng)給世界各地的幾家公司帶來不小的麻煩。