2022年,个人、企业、政府都无法逃脱勒索软件的影响。不论是国际纷争、商业贸易还是社会生活,都能看到勒索威胁的身影。短短几年时间,勒索软件已从一个新兴威胁,成为了数字空间中最为流行的安全挑战。

近日,360数字安全集团重磅发布《2022勒索软件流行态势报告》,以360高级威胁研究分析中心2022年全年监测、分析与处置的勒索软件事件为数据基础,结合国内外勒索软件研究相关权威数据和新闻报道进行综合研判、梳理与汇总,通过评估勒索软件传播及演化态势,探究勒索软件未来可能发展方向,进而帮助个人、企业、政府机构更好的做出安全规划,降低被勒索攻击风险。

勒索软件产业链高速发展,国内双重勒索兴起

2022年,以Coffee为代表的本土勒索软件强势兴起,国内勒索黑产进一步发展,给未来带来更多挑战。据360全网数字安全大脑统计,2022年共处理反勒索服务求助4700余例,单个企业大面积中招的事件进一步增多,攻击影响依然在逐步扩大。

报告指出,2022年PC端系统中phobos、Magniber、TellYouThePass三大勒索软件家族的受害者占比最多。TOP10家族中仅Rook勒索软件是在2022年1月初被发现的新型勒索家族,其它勒索软件均在去年甚至以往数年里始终处于活跃状态。与此同时,勒索软件在长期对抗中,越来越趋向专业化与标准化。

图片1.png从传播方式来看,远程桌面入侵仍然是用户计算机感染勒索软件的最主要方式,其次是通过网页挂马和利用漏洞投放勒索软件。

此外,以窃取数据为代表的双重勒索兴起,2022年参与双重/多重勒索活动的一共有65个勒索家族。以新型双重勒索家族BianLian为例,在短短两个月时间内已有多达74家组织或企业受害,其危害程度可见一斑。数据勒索不再是新闻报道中的某个事件,已在国内逐渐蔓延开来。

教育和制造行业成受害重灾区,桌面系统仍是主要受攻击目标

360反勒索服务团队基于求助用户所提供的信息,对2022年遭受勒索软件攻击的受害人群进行分析发现,2022年数字经济发达地区和人口密集地区仍是勒索软件攻击的主要对象。

从勒索软件受害者所属行业来看,排名靠前的行业的机构规模和计算机设备规模普遍较大,分别是教育、软件与互联网、制造和服务业。受网课课程量、平台和相关软件使用等因素影响,教育行业首次冲到榜首。

图片2.png其中,加工制造和服务业因其拥有较大规模、体量和资金流,位列受数据泄露影响行业的前两位。

在勒索赎金方面,据360安全专家跟进处理的实际案例以及公开报道统计,生活产品零售和大型电器零售行业被索要赎金高达4000万美元。

受勒索病毒影响操作系统占比方面,作为市面上的主流操作系统,Windows10系统以49.04%的占比保持在首位。

就操作系统类型而言,依然是桌面系统占据近7成,服务器系统则不到3成。虽然NAS设备仅占0.7%,但因其专用于数据存储的特殊功能,越来越多的勒索软件家族将其攻击对象瞄准NAS设备。

超半数受害者首选杀毒软件,断网处理比例显著提升

从遭受勒索后的应对方法来看,近60%的受害者会使用杀毒软件进行查杀,近13%的受害者则选择联系技术人员进行处理。值得注意的是,断开网络这一选项显著提升,被超16%的受害者所采用。

作为数字安全的领导者,360数字安全集团多年来一直致力于勒索病毒的防范。基于以“看见”为核心的安全运营服务体系,打造360防勒索解决方案,从“云、管、端、地、险”五个维度出发,利用360本地安全大脑、360 EDR、360NDR等多款安全产品及服务,完整覆盖事前、事中、事后三个关键阶段,帮助用户感知风险、看见威胁、抵御攻击,实现多方位、全流程、体系化的勒索防护。

面对不断加剧的勒索病毒威胁,未来,360将通过持续深耕,助力广大政企机构体系化构建起应对勒索病毒的数字安全能力。


近日,第十六届深圳国际金融博览会(以下简称“金博会”)在深圳会展中心盛大举办,此次金博会由深圳市政府主办,深圳市投资基金同业公会等有关单位共同承办,是国内金融领域最大规模的展会之一,近300家金融机构和企业受邀参展。本届金博会首次设立“深圳金融科技成果展示专区”,海云安作为金融科技代表企业受邀参展,在现场展示多项创新成果;

11.jpg

海云安在首届金融科技成果展示专区,全方位展示金融科技创新成果,包括海云安敏捷白盒-源代码安全检测系统(SCAP)、DevSecOps体系、开源组件检测分析管理系统、移动应用安全检测系统、移动应用安全检查工具等成果,吸引了众多行业专家、合作伙伴等观展嘉宾的关注。

12.jpg

作为国内领先的金融科技服务商,海云安2015年成立,扎根深圳,辐射全国。本次海云安受邀参展的“深圳金融科技成果展示专区”也是首届“深圳国际金融科技节”重要组成部分。本届展示专区以“创新金融科技 服务高质量发展”为主题,围绕监管科技、金融信创、数字人民币、智能合约、贸金平台、供应链金融、金融科技配套服务等7大重点业务方向,集中展现200+独具特色的金融科技创新成果。

海云安以新兴技术积极创新融科技配套服务模式,先后推出敏捷白盒-源代码安全检测系统(SCAP)等产品,该产品具有低误报率和高检测速率的特性,适应敏捷开发、DevOps工作流;可与流水线快速集成,在几乎不影响原开发过程的前提下,在开发阶段准确检测和定位源代码中的安全漏洞、质量和性能缺陷,及早整改闭环,降低安全风险和成本。

此前,海云安曾获得“香蜜湖金融科技创新奖·新锐企业奖”、“深圳市金融创新奖-贡献奖项目二等奖”。海云安深耕金融安全领域多年,曾与深圳市金融信息服务协会联合承建“深圳市金融移动应用信息安全公共服务平台”,荣获“福田金融科技人才培训基地”称号,并为众多金融机构提供网络安全解决方案。
今后,海云安将继续坚持全面推进深化技术改革、创新发展、服务粤港澳大湾区、辐射全国的发展战略,紧紧围绕国家“十四五”发展规划蓝图、构建新发展格局,致力于国家网络安全事业,披荆斩棘,行稳前进!

jarvisoj_fm

使用checksec进行查询发现并未做安全保护意识使用IDA32进行反编译得到如下伪代码

目前,鉴于各平台对密码的要求越来越复杂,越来越多用户使用密码管理软件统一存储密码,虽然此举可以很好帮助用户管理账户信息,但也意味着一旦此类软件存在漏洞,很容易导致机密数据泄露。

近日,Bleeping Computer 网站披露,开源密码管理软件 KeePass 被爆存在严重安全漏洞 CVE-2023-24055,网络攻击者能够利用漏洞在用户毫不知情的情况下,以纯文本形式导出用户


作者 | 张渊策 上海控安可信软件创新研究院研发工程师来源 |鉴源实验室

目前机器学习是研究车辆网络入侵检测技术的热门方向,通过引入机器学习算法来识别车载总线上的网络报文,可实现对车辆已知/未知威胁的入侵检测。这种基于机器学习的异常检测技术普适性较强,无需对适配车型进行定制化开发,但存在异常

1.png

去年12月知名网络安全厂商飞塔(Fortinet)披露,其FortiOS操作系统中的一个严重漏洞正在被外面的攻击者大肆利用。本周,该公司在进一步分析后公布了有关那些攻击者通过这个漏洞植入复杂恶意软件的更多细节。

从现有信息来看,最初的零日攻击具有很强的针对性,主要攻击与政府相关的实体。然而,由于该漏洞被公之于众已过去一个多月,所有客户都应该尽快打上补丁,因为更多的攻击者可能会开始利用它。

FortiOS SSL-VPN曝出远程代码执行漏洞

该漏洞被编号为CVE-2022-42475,存在于FortiOS的SSL-VPN功能中,可以被远程攻击者在无需验证身份的情况下利用。一旦攻击者成功利用了漏洞,随后就可以执行任意代码和命令。

飞塔按照CVSS评级将该漏洞评定为9.3(严重漏洞),并发布了FortiOS、FortiOS- 6k7K和FortiProxy(这家公司的安全Web网关产品)这几大产品系列的更新版。FortiOS运行在该公司的FortiGate网络安全防火墙及其他设备上。

对于无法立即部署更新版的客户来说,一个变通办法是完全禁用SSL-VPN,这对于依赖这项功能来支持远程或混合工作环境的组织来说可能有难度。飞塔还发布了用于检测企图利用漏洞的IPS(入侵防御系统)特征码,并发布了检测其反病毒引擎中已知植入程序的规则。

客户们还可以在其日志中搜索可能表明攻击者企图利用漏洞的以下条目:

Logdesc="Application crashed" and msg="[...]

application:sslvpnd,[...], Signal 11 received, Backtrace:

[...]”

植入程序作为FortiOS IPS引擎的木马版本隐藏起来

攻击者在飞塔分析的攻击(https://www.fortinet.com/blog/psirt-blogs/analysis-of-fg-ir-22-398-fortios-heap-based-buffer-overflow-in-sslvpnd)中成功利用了这个漏洞,并将FortiOS IPS引擎的木马版本复制到文件系统中。这表明攻击者的手法非常老练,能够利用逆向工程处理自定义的FortiOS组件。

IPS引擎的这个非法版本作为data/lib/libips.bak保存在文件系统上,它是合法文件/data/lib/libips.bak的拷贝,但已作了恶意修改。也就是说,非法版本导出了名为ips_so_patch_urldb和ips_so_query_interface的两个合法函数(它们通常是合法libips的一部分),但是劫持它们来执行存储在其他恶意组件中的代码。

飞塔的分析师表示,如果libps.bak命名为data/lib目录中的libips.so,恶意代码将自动执行,因为FortiOS的组件会调用这些导出的函数。二进制文件不会试图返回到干净的IPS引擎代码,因此IPS功能也受到了影响。

换句话说,一旦恶意版本被执行,合法的IPS功能就再也无法正常工作。被劫持的函数执行恶意代码,然后恶意代码对名为libiptcp.so、libgif.so、.sslvpnconfigbk和libipudp.so的多个文件执行读写操作。

分析师无法从他们分析的受攻击设备中恢复所有这些文件,因此不知道完整的攻击链。然而,他们确实发现了一个名为wxd.conf的文件,其内容类似开源反向代理的配置文件,开源逆向代理可用于将网络地址转换(NAT)后面的系统暴露在互联网面前。

分析师分析从受攻击设备捕获的网络数据包后发现,恶意软件连接上两台由外部攻击者控制的服务器,以下载有待执行的额外攻击载荷和命令。其中一台服务器仍在运行中,它有一个文件夹,其中含有专门为不同版本的FortiGate硬件构建的二进制文件。这让研究人员得以分析他们认为攻击者在系统上执行以操纵FortiOS中日志功能的的其他文件。

据研究人员声称:

恶意软件对FortiOS的日志记录进程稍加改动,以操纵日志从而逃避检测。–/bin/miglogd & /bin/syslogd

它包括27款FortiGate型号和版本的偏移位和操作码。恶意软件打开进程的句柄,将数据注入其中。

版本从6.0.5到7.2.1。

型号有FG100F、FG101F、FG200D、FG200E、FG201F、FG240D、FG3H0E、FG5H0E、FG6H1E、FG800D、FGT5HD、FGT60F和FGT80F。

恶意软件可以操纵日志文件。它查找elog文件,即FortiOS中的事件日志。在内存中解压这类文件后,它搜索攻击者指定的字符串,删除它,然后重建日志。

恶意软件还可以终止日志记录进程。

研究人员还在VirusTotal在线扫描器上发现了一个Windows二进制文件的样本,其代码与在FortiOS上发现的Linux二进制文件代码相似。Windows样本是在属于UTC+8时区的一台机器上编译而成的,该时区覆盖澳大利亚、中国、俄罗斯、新加坡及其他东亚国家。攻击者使用的自签名证书也是在协调世界时(UTC)早上3点到8点之间创建的。研究人员表示,鉴于黑客不一定在办公时间活动,他们常常在受害者的办公时间活动,以帮助使用一般的网络流量来混淆其活动以免被检测出来,因此很难从中得出任何结论。

飞塔的安全公告附有许多妥协指标(IoC),包括文件路径、文件散列、IP地址,甚至用于检测网络数据包捕获内容中的这个植入程序恶意通信的特征码。

iOS 0day漏洞影响老版本iPhone和iPad,苹果已发布安全补丁。

12月13日,苹果发布安全公告修复了一个0day漏洞——CVE-2022-42856。漏洞产生的原因是苹果WebKit web浏览器浏览引擎的类型混淆(type confusion)引发的。该漏洞是由谷歌安全研究人员Clément Lecigne发现并提交了,攻击者利用该漏洞可以诱使目标受害者访问伪造的恶意页面,在有漏洞是设备上实现任意代码执行,还有可能访问敏感信息。实现远程代码执行后,攻击者可以在底层操作系统执行命令,部署恶意软件或监控恶意软件,并执行其他恶意活动。

漏洞影响iOS 15.1及之前版本,影响的设备包括iPhone 5s、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3和iPod touch(6代)。

1月23日,苹果再次发布公告称发现该漏洞被利用的迹象。此外,CISA(美国基础设施网络安全局)也在12月发布安全公告该漏洞被利用,要求联邦机构尽快修复该漏洞。苹果公司建议受影响的用户尽快安装1月23日苹果发布的安全更新以拦截可能的攻击。

1.png

去年12月知名网络安全厂商飞塔(Fortinet)披露,其FortiOS操作系统中的一个严重漏洞正在被外面的攻击者大肆利用。本周,该公司在进一步分析后公布了有关那些攻击者通过这个漏洞植入复杂恶意软件的更多细节。

从现有信息来看,最初的零日攻击具有很强的针对性,主要攻击与政府相关的实体。然而,由于该漏洞被公之于众已过去一个多月,所有客户都应该尽快打上补丁,因为更多的攻击者可能会开始利用它。

FortiOS SSL-VPN曝出远程代码执行漏洞

该漏洞被编号为CVE-2022-42475,存在于FortiOS的SSL-VPN功能中,可以被远程攻击者在无需验证身份的情况下利用。一旦攻击者成功利用了漏洞,随后就可以执行任意代码和命令。

飞塔按照CVSS评级将该漏洞评定为9.3(严重漏洞),并发布了FortiOS、FortiOS- 6k7K和FortiProxy(这家公司的安全Web网关产品)这几大产品系列的更新版。FortiOS运行在该公司的FortiGate网络安全防火墙及其他设备上。

对于无法立即部署更新版的客户来说,一个变通办法是完全禁用SSL-VPN,这对于依赖这项功能来支持远程或混合工作环境的组织来说可能有难度。飞塔还发布了用于检测企图利用漏洞的IPS(入侵防御系统)特征码,并发布了检测其反病毒引擎中已知植入程序的规则。

客户们还可以在其日志中搜索可能表明攻击者企图利用漏洞的以下条目:

Logdesc="Application crashed" and msg="[...]

application:sslvpnd,[...], Signal 11 received, Backtrace:

[...]”

植入程序作为FortiOS IPS引擎的木马版本隐藏起来

攻击者在飞塔分析的攻击(https://www.fortinet.com/blog/psirt-blogs/analysis-of-fg-ir-22-398-fortios-heap-based-buffer-overflow-in-sslvpnd)中成功利用了这个漏洞,并将FortiOS IPS引擎的木马版本复制到文件系统中。这表明攻击者的手法非常老练,能够利用逆向工程处理自定义的FortiOS组件。

IPS引擎的这个非法版本作为data/lib/libips.bak保存在文件系统上,它是合法文件/data/lib/libips.bak的拷贝,但已作了恶意修改。也就是说,非法版本导出了名为ips_so_patch_urldb和ips_so_query_interface的两个合法函数(它们通常是合法libips的一部分),但是劫持它们来执行存储在其他恶意组件中的代码。

飞塔的分析师表示,如果libps.bak命名为data/lib目录中的libips.so,恶意代码将自动执行,因为FortiOS的组件会调用这些导出的函数。二进制文件不会试图返回到干净的IPS引擎代码,因此IPS功能也受到了影响。

换句话说,一旦恶意版本被执行,合法的IPS功能就再也无法正常工作。被劫持的函数执行恶意代码,然后恶意代码对名为libiptcp.so、libgif.so、.sslvpnconfigbk和libipudp.so的多个文件执行读写操作。

分析师无法从他们分析的受攻击设备中恢复所有这些文件,因此不知道完整的攻击链。然而,他们确实发现了一个名为wxd.conf的文件,其内容类似开源反向代理的配置文件,开源逆向代理可用于将网络地址转换(NAT)后面的系统暴露在互联网面前。

分析师分析从受攻击设备捕获的网络数据包后发现,恶意软件连接上两台由外部攻击者控制的服务器,以下载有待执行的额外攻击载荷和命令。其中一台服务器仍在运行中,它有一个文件夹,其中含有专门为不同版本的FortiGate硬件构建的二进制文件。这让研究人员得以分析他们认为攻击者在系统上执行以操纵FortiOS中日志功能的的其他文件。

据研究人员声称:

恶意软件对FortiOS的日志记录进程稍加改动,以操纵日志从而逃避检测。–/bin/miglogd & /bin/syslogd

它包括27款FortiGate型号和版本的偏移位和操作码。恶意软件打开进程的句柄,将数据注入其中。

版本从6.0.5到7.2.1。

型号有FG100F、FG101F、FG200D、FG200E、FG201F、FG240D、FG3H0E、FG5H0E、FG6H1E、FG800D、FGT5HD、FGT60F和FGT80F。

恶意软件可以操纵日志文件。它查找elog文件,即FortiOS中的事件日志。在内存中解压这类文件后,它搜索攻击者指定的字符串,删除它,然后重建日志。

恶意软件还可以终止日志记录进程。

研究人员还在VirusTotal在线扫描器上发现了一个Windows二进制文件的样本,其代码与在FortiOS上发现的Linux二进制文件代码相似。Windows样本是在属于UTC+8时区的一台机器上编译而成的,该时区覆盖澳大利亚、中国、俄罗斯、新加坡及其他东亚国家。攻击者使用的自签名证书也是在协调世界时(UTC)早上3点到8点之间创建的。研究人员表示,鉴于黑客不一定在办公时间活动,他们常常在受害者的办公时间活动,以帮助使用一般的网络流量来混淆其活动以免被检测出来,因此很难从中得出任何结论。

飞塔的安全公告附有许多妥协指标(IoC),包括文件路径、文件散列、IP地址,甚至用于检测网络数据包捕获内容中的这个植入程序恶意通信的特征码。

iOS 0day漏洞影响老版本iPhone和iPad,苹果已发布安全补丁。

12月13日,苹果发布安全公告修复了一个0day漏洞——CVE-2022-42856。漏洞产生的原因是苹果WebKit web浏览器浏览引擎的类型混淆(type confusion)引发的。该漏洞是由谷歌安全研究人员Clément Lecigne发现并提交了,攻击者利用该漏洞可以诱使目标受害者访问伪造的恶意页面,在有漏洞是设备上实现任意代码执行,还有可能访问敏感信息。实现远程代码执行后,攻击者可以在底层操作系统执行命令,部署恶意软件或监控恶意软件,并执行其他恶意活动。

漏洞影响iOS 15.1及之前版本,影响的设备包括iPhone 5s、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3和iPod touch(6代)。

1月23日,苹果再次发布公告称发现该漏洞被利用的迹象。此外,CISA(美国基础设施网络安全局)也在12月发布安全公告该漏洞被利用,要求联邦机构尽快修复该漏洞。苹果公司建议受影响的用户尽快安装1月23日苹果发布的安全更新以拦截可能的攻击。