趋势科技在最近的研究中发现一种新的加密货币挖矿僵尸网络,它可以通过开放的ADB(Android Debug Bridge)端口进入,并借助SSH传播扩散。这种攻击方法利用了默认情况下打开的ADB端口没有身份验证的设置,类似于之前报告的Satori僵尸网络变体。这个僵尸网络的设计能够让它从受感染的主机传播到任何先前与主机建立SSH连接的系统。

利用ADB的做法使得基于Android的设备很容易受攻击。趋势科技在21个不同国家/地区检测到该僵尸网络的活动,在韩国发现的比例最高。

技术细节

已经发现IP地址45 [.] 67 [.] 14 [.] 179连接到ADB运行设备或系统,然后进行多项活动。图1总结了攻击的感染链。

图1.攻击感染链

攻击首先使用ADB命令shell将受攻击系统的工作目录更改为“/ data / local / tmp”,因为.tmp文件通常具有默认执行权限。

机器人随后将判断它所进入的系统类型以及系统是否是蜜罐,如命令“uname -a”所示。

然后将使用wget下载有效负载,如果受感染系统中没有wget,则使用curl。然后机器人发出命令“chmod 777 a.sh”以更改下载的有效负载的权限设置,允许它被执行。

最后,当执行“a.sh”时,其踪迹将通过执行“rm -rf a.sh *”命令而被删除。所有这些命令都可以在恶意软件的代码中看到,如图2所示。

2.jpg

图2.恶意软件脚本的快照显示了它执行的命令

有效负载

“a.sh”的脚本显示此攻击将从三个不同的挖矿软件中进行选择,三个都可下载。这可以在“uname -m”命令的输出中看到,如上面图2所示。

“uname -m”命令一旦执行,就会获取受感染系统的信息,例如其制造商、硬件详细信息和处理器体系结构。此命令的输出可以作为一个变量数据,用于确定在攻击中使用哪种挖矿软件。

根据上文所述,如果uname -m获得了指示受感染系统的处理器类型的字符串,则它使用附加的wget命令来下载该挖矿软件。如果系统没有wget,它将使用curl。

下面列出了可用于此攻击的三类挖矿软件,都可以通过相同的URL提供。

· http://198[.]98[.]51[.]104:282/x86/bash

· http://198[.]98[.]51[.]104:282/arm/bash

· http://198[.]98[.]51[.]104:282/aarch64/bash

为了优化挖掘活动,该脚本还通过启用HugePages来增强被入侵设备的内存,将有助于系统支持大于其默认大小的内存页。此功能在脚本中可以看作“/ sbin / sysctl -w vm.nr_hugepages = 128”。

此僵尸网络还试图通过修改/ etc / hosts来阻止其竞争对手。通过添加附加记录“0.0.0.0 miningv2.duckdns.org”,它会阻止对手方的URL。它还使用命令“pkill -9 r32”杀掉了竞争对手的进程。

最后,它采用了一种删除下载文件的规避技术。传播到连接到系统的其它设备后,它会删除其有效负载文件,删除在受害主机上的踪迹。

传播机制

该攻击另一个值得注意的问题是存在使用SSH的传播机制,虽然这不是什么独有特征。任何连接到原始受感染设备并通过SSH受到攻击的系统,都可能是在其操作系统中被列为“已知”(known)的设备。成为“已知”设备意味着在初始密钥交换之后,两个系统可以彼此通信而无需任何进一步的认证,每个系统认为另一个是安全的。这种传播机制的存在意味着此恶意软件可能滥用广泛使用的SSH连接过程。

这个已知设备列表和SSH设置保存在“已知主机”(known_hosts)中,可以在恶意软件的代码中看到。已知主机和受害设备公钥的组合使僵尸网络可以连接到先前连接到受感染系统的智能设备或系统。完成这个操作,它使用了两个散布工具,如图3和图4所示。

3.jpg

图3.显示恶意软件的第一个散布工具的代码快照

4.jpg

图4.显示恶意软件的第二个散布工具的代码快照

第一个散布工具通过IPv4地址从已知主机获取所有系统,访问它们,并安装在最初受攻击的系统中使用的相同挖矿软件。第二个脚本具有相同的目的,但它在不同的目录中搜索“known_hosts”。这两个散布工具帮助僵尸网络发动攻击并感染与第一个受影响系统通信的其它系统。

结论和安全建议

尽管ADB对于管理员和开发人员来说是一项非常有用的功能,但请务必记住,启用的ADB可能会将设备及其连接的设备暴露于攻击威胁之中。

用户还可以遵循其他最佳实践来防御非法加密货币挖矿活动和僵尸网络,例如:

• 必要时检查并更改默认设置以提高安全性

• 更新设备固件并应用可用的修补程序

• 了解攻击者用于传播这些类型的恶意软件的方法,并针对它们定制防御措施。

攻击提示(IoC)

URL

· 45[.]67[.]14[.]179

· http://198[.]98[.]51[.]104:282 

image.png 

一位研究WordPress的安全人员称自己发现了由Facebook开发两个WordPress插件,WooCommerce和Messenger Customer Chat,都存在能够伪造跨站点请求的缺陷。这个研究人员在Plugin Vulnerabilities网站上发布了这些漏洞,但并没有提前通知供应商,以此作为对“WordPress支持论坛”(WordPress Support Foru)版主的抗议。

这两款由Facebook开发的插件使用非常广泛。Messenger Customer Chat的安装数量为20万,能够让用户将Facebook的聊天工具集成到他们的WordPress网站上,以便与客户进行互动。WooCommerce也有2万次安装,可以让用户将他们的WooCommerce产品连接到Facebook。

漏洞详情

Plugin Vulnerabilities在本周一通过其网站和Twitter公布了这些漏洞,而这位研究人员也并不是第一次做这种不负责任的举动,他之前也曾在补丁发布前就披露WordPress插件的漏洞。此事一出,“Plugin Vulnerabilities”网站和这个研究人员立刻成了信息安全界的众矢之的,骂声如潮。

Plugin Vulnerabilities网站披露时称这两个插件缺少可防止跨站点请求造假(CSRF / XSRF)攻击的检查,Messenger Customer Chat缺少一项限制访问用户类型的检查功能。

伪造跨站点请求是一种利用HTTP协议的攻击。例如当打开基于Web的应用程序时,可以强制目标执行不需要的操作(更改其电子邮件、转移资金等),从而允许伪造者根据操纵该过程,达到自己的目的。

就Messenger Customer Chat来说,由于有无害处理手段,此漏洞可能导致破坏仅限于禁用插件的功能或在网站页面上放置消息,因为选项的值位于前端页面的底部。

Facebook的WooCommerce也被发现缺少防止CSRF条件所需的随机数。Plugin Vulnerabilities网站说,根据插件库指南的Facebook WooCommerce的页面,该插件还没有使用最新的三个主要版本的WordPress进行测试。它可能已经不再继续被维护了,并且在与更新版本的WordPress一起使用时可能会出现兼容性问题。

不负责任的披露

Plugin Vulnerabilities网站因插件漏洞披露问题而一直遭到强烈批评。该网站已公布了一系列漏洞和插件的概念验证(POC),如WooCommerce Checkout Manager扩展、Yellow Pensil插件、Social Warfare以及Yuzo相关帖子, 其中许多在披露后不久就被黑客频繁利用。

Plugin Vulnerabilities在其网站上表示,披露这些漏洞,是为了抗议WordPress Support论坛版主“持续不当行为”,并且会一直全面披露漏洞,直到WordPress改正不当行为。Plugin Vulnerabilities网站还喊话:

你们可能认为(论坛的人)他们已经意识到错误了,但考虑到他们明知故犯地将一些有数百万次安装的有漏洞的插件保留在插件目录中,且并不认为这是”不当行为“,说明他们的问题很大,其审核过程需要好好整改。

但是这种反抗策略本身还是引起了批评,最近在Medium上发布的贴子详述了为什么这种做法是“严重破坏WordPress生态系统的安全性”。

由于pluginvulnerabilities.com不同意WordPress Support论坛的规则,他们的假帐户被封停,于是决定勒索WordPress.org。他们要求WordPress.org”清除审核“,否则他们将继续破坏WordPress生态系统的安全性,向黑客透露插件安全漏洞,而不是首先与开发人员联系。

WordPress.org插件目录(Plugin Directory)团队,是一个独立于论坛版主的团队,其插件审核小组的发言人说:Plugin Vulnerabilities网站在论坛中发布0 day漏洞,破环了支持论坛的规定。我们已经劝阻他们不要再发布,应该联系我们直接通知开发人员,但是他们还是一意孤行,从来不联系插件开发人员,不停地发布0 day漏洞。Plugin Vulnerabilities的人似乎将插件审核小组的行为(与开发人员联系并解决问题)与论坛团队的行为(从论坛中清除0 day)混为一谈了。

插件审核小组承认并没有完美地解决所有漏洞问题,但至少正在尽全力做好,也改善了情况。

研究人员发现了一项针对酒店娱乐行业的新攻击事件,采用恶意软件ShellTea / PunchBuggy后门是自2017年以来首次被发现使用的,这也被认为是FIN8集团偃旗息鼓两年多后在2019年的首秀。

FIN自2017年以来一直很安静,上次有人报道FIN8黑客是在2016年和2017年,当时FireEye和root9B发布了一系列针对零售行业PoS系统的攻击报告。

2017年6月FireEye使用了其“PUNCHTRACK POS-scraping“恶意软件对FIN8的混淆技术进行了分析。FireEye写道,

在2017年初,FIN8开始使用环境变量和PowerShell通过StdIn(标准输入)接收命令的能力,以基于进程命令行参数来逃避检测。

在2017年6月,Root9b也对ShellTea进行了分析,但没有指明攻击来源。有趣的是,该公司注意到编码中存在错误:

现在有27个CRC32要在阵列中进行检查,但将进程名称CRC32与哈希列表进行比较的循环跑了108次。

在Root9b的分析中,ShellTea的目的是提供POS恶意软件。 犯罪分子窃取令牌,然后使用这些凭据或创建伪造的Kerberos门票(”黄金门票“)进行横向操纵,获得对PoS网络上网络服务器的访问,为接下来的攻击进行铺垫,然后启动包括wmic.exe 的shell命令,将PoS软件(我们称之为PoSlurp)推送到PoS机来启动它。

来自Morphisec的研究人员检测到的ShellTea的新迭代已经纠正了CRC32错误。在2019年3月至5月期间,研究人员报告说发现了“一种新的、高度复杂的ShellTea / PunchBuggy后门恶意软件变种”,它试图渗透属于Morphisec客户网络的许多机器,可能是借助网络钓鱼进行的攻击尝试。 

Morphisec认为这次新攻击的目的也类似于投放POS恶意软件,但还不能完全证实这一点。Morphisec通过阻断客户端而发现此恶意软件,因此其最终目的是什么尚无从验证。

一般都认为FIN8与FIN7是独立开的,但有研究人员表示,有一些指标与已知的FIN7攻击(URL和基础设施)是重叠。FIN7因使用Carbanak恶意软件而闻名,据报道,可能在2017年5月至2018年4月期间在北美地区破坏了Saks Fifth Avenue和Lord&Taylor商店。

使用ShellTea的新攻击手段从无文件投放程序开始,使用由注册表项激活的PowerShell代码引向ShellTea,然后注入Explorer。它会检查自己是在沙箱还是虚拟环境中运行,还是正在受到监控。

C2通信通过HTTPS进行。 ShellTea响应它收到的命令,它可能会反射性地加载并执行交付的可执行文件,可能会创建一个文件并将其作为一个进程执行;它可以使用下载的本机Empire ReflectivePicker执行任何PowerShell命令;或者它还可以通过创建一个额外的线程来执行shellcode。此时可能就会下载POS恶意软件。

PowerShell脚本还收集有关用户和网络的信息,包括快照,计算机和用户名,来自注册表的电子邮件,任务计划程序中的任务,系统信息,系统中注册的AV,权限,域和工作组信息。此数据被Gzip压缩并保存在temp文件夹中的随机文件下。这些数据一旦被C2采集到,就会马上被删除。

酒店业,特别是其POS网络,是攻击者的重要目标。 FIN6、FIN7和FIN8组都是针对POS的多次攻击而闻名的。由于许多此类网络运行在Windows 7的POS版本上,因此使得防御变得更加困难。POS属于零售和酒店行业运营技术的一部分,与制造业中的ICS系统存在相同的问题:处理能力有限,反病毒需求很大,有时还会跳过修补和更新,以免干扰系统可用性。

参考及来源:

· https://www.securityweek.com/new-version-shelltea-backdoor-used-fin8-hacking-group

· https://www.zdnet.com/article/fin8-hackers-return-after-two-years-with-attacks-against-hospitality-sector/

一些钓鱼邮件和恶意软件伪装成律师事务所发来的邮件,达到以假乱真的程度,构成了网络钓鱼的新花样。此类骗术通常会通知收件人他/她被起诉了,指示他们查看附件并在几天内作出回应,或者要求收件人进行其它操作。下面是最近的垃圾邮件活动,其中包含超过10万个企业电子邮件地址,都是带有恶意软件的虚假法律威胁。

2.png

在5月12日左右,至少有两家反病毒公司开始检测到携带病毒的Microsoft Word文件,这些文件都包含类似于下列消息的内容:

{Pullman & Assoc. | Wiseman & Assoc.| Steinburg & Assoc. | Swartz & Assoc. | Quartermain & Assoc.} [email protected](译者注:虚构的典型律所名称)

嗨,

以下{电子邮件|邮件}是市政府对您的起诉通知。

我们的{法律团队|法律顾问|法律部门}已经准备了一份解释该{诉讼|法律纠纷|法律争议}的文件。

请下载并仔细阅读附件中的加密文档。

请在7天内回复此电子邮件,否则我们将不得不进行下一步诉讼步骤。

提示:文档的密码是123456

上面的模板是在地下交易的网络钓鱼工具包的一部分,该工具包的用户可以自行决定实际发出网络钓鱼邮件时,括号中选填哪些内容。

很明显,邮件行文用语(如称谓等)很马虎粗糙,不过对附加的恶意Word文档的整体防病毒检测率也同样不堪。这个网络钓鱼工具包有五个植入病毒的Microsoft Word文档可供选择,然而知道5月22日——这些垃圾邮件发出后10天,五十多个对这些Word文档进行了扫描的防病毒产品中,只有不超过三个检测出这些是恶意文件。

根据Fortinet和Sophos的说法,附加的Word文档包含一个木马,通常用于在受害者的计算机上安装其他恶意软件。根据之前的检测,这种木马与勒索软件有关,但在本文的案例中,攻击者可以使用该木马选择他们需要安装的恶意软件。

此外,该网络钓鱼工具包的一部分是一个文本文档,其中包含大约100,000个企业电子邮件地址,其中大多数以加拿大(.ca)域名结尾,此外还包含一些属于美国东北部公司的目标。这个骗术中,即使只有一小部分收件人不小心打开附件,就可以让网络钓鱼者大赚一笔。

这个骗局中虚构的律师事务所域名:wpslaw.com,可以重定向到位于康涅狄格州的一个合法公司RWC LLC的网站。RWC接听电话的女士说,最近曾有人打电话来投诉网络钓鱼诈骗,但除此之外,该公司对这件事情一无所知。

随着网络钓鱼工具包的改进,这个案例中使用的其实非常基础,并精心炮制以达到真假难辨的程度。但也可以看出,这个钓鱼邮件只是在文字内容上稍加用心,使用了较为正式的称谓,就已经达到很好的欺骗效果,因为它抓准了一个普遍心理:只要看似像与法律诉讼相关的文件,人们往往想都不想就急忙打开。

所以,永远不要打开陌生事项的电子邮件中的附件,但凡有任何疑问,请果断删除。如果担心误删真实邮件,可以先调查核实发件人身份,有必要的话可以通过电话与他们联系。此外,不要冲动地回复此类垃圾邮件,这样做可能只会吸引骗子进一步发邮件“下套”。

攻击者可以利用智能电视的漏洞,攻击与之连接的家用路由器,获得远程访问。

Supra智能电视中一个未修补的漏洞使得同一Wi-Fi网络上的攻击者可以劫持电视设备,播放他们自己的内容,如伪造的紧急事件广播消息。

由安全研究员Mishra发现的漏洞(CVE-2019-12477)存在于SUPRA智能云电视品牌中,该品牌在俄罗斯和东欧很受欢迎。根据网络信息,这些电视主要通过网上销售的形式在俄罗斯、中国和阿拉伯联合酋长国出售。

这个漏洞的问题在于`openLiveURL()`功能,电视用它来获取流内容。但是Mishra发现,这个功能缺乏认证要求或会话管理。因此,攻击者可以通过向静态URL发送特制请求来触发漏洞,从而允许攻击者注入远程文件。

Mishra最初通过源代码审查发现了这个漏洞,然后通过抓取应用程序,并读取每个请求来触发这个漏洞。Supra Smart Cloud TV允许在openLiveURL功能中包含远程文件,允许本地攻击者通过“/ remote / media_control?action = setUri&uri = URI”指令广播虚假视频,而无需任何身份验证。

攻击者必须访问家庭Wi-Fi网络的要求显然可以在一定程度上缓解威胁。但是路由器中不断增加的物联网漏洞可以让攻击者远程访问该网络。例如,最近发现两款低端TP-Link路由器,型号TP-Link WR940N和TL-WR941ND,很容易受到漏洞攻击。IBM研究中心的Grzegorz Wypych在4月份的研究中发现这些路由器中的零日漏洞可能允许恶意第三方从远程控制设备。

SUPRA的这个漏洞至今仍未修补,也联系不到供应商。

智能电视劫持事件并非闻所未闻:今年1月,黑客利用易受攻击的Chromecast和Google Home设备在消费者电视上播放消息,宣传知名YouTube明星PewDiePie。

2018年消费者报告同时曝光了三星和TCL的两款智能电视机型,都含有可导致攻击者控制目标电视的漏洞。报告指出,利用这些漏洞,黑客不论身处何处,都能够控制电视、改变频道、调高音量、或者播放令人反感的YouTube视频内容。

其它智能电视漏洞也出现了问题。例如,去年秋天安全研究人员披露了8个有漏洞的索尼Bravia智能电视型号,这些漏洞可能导致以root权限完成远程代码执行。被控的电视可以被接到僵尸网络中,或者被用作对共享同一网络的设备的攻击跳板。

随着智能电视越来越普遍,其漏洞的影响也在增长。而智能电视包含永远在线的连接和高性能GPU,注定是网络犯罪分子的香饽饽。

据称由OilRig黑客组织使用的用于劫持Microsoft Exchange电子邮件帐户的工具已在网上泄露。该工具名为Jason,VirusTotal上的防病毒引擎无法检测到它。

泄密者在Telegram频道发布了这个工具,并表示这是伊朗政府用于“窃取电子邮件和窃取信息”的工具。

简单的暴力攻击工具

Jason电子邮件劫持工具会尝试各种登录密码,直到找到正确密码。这种蛮力破解活动由包含密码样本的列表和包含数字模式的四个文本文件辅助。

oil1.png

    (上图由Omri Segev Moyal提供)

Minerva实验室的联合创始人兼研究副总裁Omri Segev Moyal分析了Jason电子邮件劫持工具,指出它“看似一个相对简单的针对在线交换服务的暴力攻击。”

VirusTotal分析显示该实用程序是在2015年编译的。在编写本文时,它绕过了扫描服务中可用的所有检测引擎。

oil2.png

OilRig也被称为APT34和HelixKitten,是一个与伊朗政府有关的团体。有人使用别名Lab Dookhtegan,从3月26日开始对外泄漏OilRig信息,它在黑客操作中使用的工具,以及据称伊朗情报和安全部(MOIS)工作人员的联系方式。

Lab Dookhtegan发布的先前工具已得到安全行业专家的证实,确实属于攻击方APT34 / OilRig使用的武器。

这些黑客工具的发布可能会直接扰乱这个黑客组织未来的行动。 Securitty公司已经针对性地开发了检测手段,但并不意味着它们将不再用于攻击。

网络犯罪分子总是会尽可能地利用所有新资源,以保证其业务的永久化和多样化。目前的情况下,他们又多了许多新工具,可以修修补补,创建新的恶意软件。现在有7种与OilRig组相关的工具可以公开获得:

 – (根据Palo Alto Networks)2个基于PowerShell的后门:Poison Frog和Glimpse,两者都是名为BondUpdater的工具版本

 –  4个Web shell:HyperShell和HighShell,Fox Panel和Webmask(Cisco Talos分析的DNSpionage工具)

 –  针对Microsoft Exchange帐户的Jason电子邮件劫持工具

Ogusers[.]com论坛在热衷于劫持在线帐户和进行SIM交换攻击以控制受害者电话号码的黑客人群中很受欢迎,近日这个网站却被黑客攻击了,暴露了113,000个论坛用户的电子邮件地址、散列密码、IP地址和私人消息。

5月12日,OGusers的管理员向论坛成员解释说,论坛因为硬盘驱动器故障而需要暂时关闭,几个月的私人消息、论坛帖子和声望点因为该故障被删除,他们已经用备份回复了从2019年1月至今的信息。 OGusers的管理员后来才知道,5月12日发生此事件的同时,论坛用户数据库也被盗,论坛硬盘数据被清除。

5月16日,OGusers的竞争对手,黑客社区RaidForums的管理员宣布已经上传了OGusers数据库供所有人免费下载。

黑客社区Raidforums的管理员于5月16日发布了超过113,000名Ogusers [.] com用户的密码、电子邮件地址、IP地址和私人消息数据库。

RaidForums管理员Omnipotent 发出消息:“2019年5月12日,论坛ogusers.com遭到破坏,112,988名用户受到影响,我已将此数据库漏洞的数据及其网站源文件上传。让人意想不到的是,他们的哈希算法是默认的盐渍MD5。ogusers.com网站已经承认数据被损坏,但并没有说明数据已经泄露,所以我想我是第一个说出真相的人。Ogusers.com说他们没有任何最近信息的备份,所以我就在这提供一下好了(大笑)。“

KrebsOnSecurity获得这个数据库的一个副本,数据库中保留了大约113,000个用户的用户名、电子邮件地址、散列密码、私人消息和注册时的IP地址(这些昵称中有许多可能是同一个人使用的不同别名)。

OGuser数据库的公开发布让很多论坛用户惊慌失措,因为他们都臭名昭著,靠引诱受害人上当,劫持其电话号码进而接管他们的社交媒体、电子邮件和金融账户,然后在论坛上转售,牟利可达数百或数千美元。

OGusers上的几个主题板块很快就出现大量用户抱怨,他们都焦虑地担心数据泄露会暴露自己的身份。一些人投诉说他们已经收到针对其OGusers帐户和电子邮件地址的钓鱼邮件。

 1111.jpg

与此同时,OGusers的官方Discord聊天频道也被用户的抱怨和担忧淹没,成员们都向主论坛管理员Ace发泄愤怒。Ace称他在网站被黑后改变了论坛功能,以防止用户删除他们的帐户。 Discord聊天中的一位用户控诉Ace说:

· 他不更换损坏的硬盘,导致网站时间扭曲,倒退四个月;

· 他不保护网站安全,导致用户信息泄露;

· 他还禁用“selfban”,不让人们离开。

 2222.jpg

不可否认,报道这样的黑客事件让人有点幸灾乐祸。看到这个四处作恶的黑客老巢被攻击,不得不算是一种报应。此外,联邦和各州调查SIM交换器的执法人员很可能能够根据这个泄露的数据库顺藤摸瓜,逮捕和指控更多相关犯罪人员。

10.jpg

在后边界的网络世界,无论是企业、员工还是网络犯罪分子,都有新的方式来逃脱企业网络防御,且这种情况越来越普遍。

网络犯罪分子现在采用“移动优先”的方法来攻击企业。例如,上个月有5亿苹果iOS用户因为Chrome for iOS中的未修补的漏洞而被攻击。骗子设法劫持用户会话,并将流量重新引到植入了恶意软件的恶意网站。

这样的攻击证明了利用移动设备的网络犯罪活动的广泛性和有效性。对于那些移动办公人员越来越多的企业而言,不断升级的移动攻击媒介极大地恶化了威胁形势,迫使企业要重新考虑其安全要求。

1、持续增长的高度流动性

企业在不断加强对移动办公的支持。根据《牛津经济学》2018年的一项调查,80%的受访者表示,如果没有移动设备,公司员工就无法有效地完成工作。这个调查还显示,82%的人认为移动设备对员工的工作效率至关重要。

根据Lookout产品管理高级主管David Richardson的说法,当移动到云应用程序和计算(从公司的物理边界移除数据)时,大规模采用移动设备的状况已经成为网络安全战的新战线。

他说,

用户都在移动办公了,这些移动设备可以连接到任何网络,可以从任何地方访问云上的数据,从本质上讲,一个企业的办公网络现在可能是星巴克得Wi-Fi,或者是世界上任何地方的任何酒店的Wi-Fi或家庭Wi-Fi。

Lookout在在今年RSA对与会者的调查中,76%的受访者表示他们曾经从公共Wi-Fi网络(如咖啡店、机场或酒店)访问了公司网络、企业电子邮件或企业云服务。

这让很多企业感到担忧。高管们特别关注远程工作人员的风险。在OpenVPN最近的一项调查中,将近四分之三(73%)的副总裁和首席级别的IT领导者表示,远程工作人员比现场员工面临更大的风险。

2、多个移动设备专属威胁

高管层的这些担忧并非毫无根据。潜在的移动攻击场景非常庞大且越来越普遍。

例如,中间人(MiTM)攻击可以安装到连接公共Wi-Fi的设备上,以拦截流入和流出各种云服务数据。最新的案例就是4月份时,研究人员在小米(Xiaomi)生产的智能手机内置安全应用程序中发现了多个MiTM漏洞。

Check Point解释说,由于进出Guard Provider的网络流量不安全,在同一个应用程序中使用多个SDK,攻击者可以连接到与受害者的Wi-Fi网络,执行MiTM攻击,使得超过1.5亿用户受到影响。

用户还可能不小心下载恶意应用程序,导致设备感染(如Google Play中最近出现了大量捆广告软件的应用感染3000万Android用户的情况,就是一个例子)。然后,旧应用程序,过时的操作系统和不按推送按月更新的SDK都会造成软件漏洞。

这些漏洞攻击通常会使用向目标设备投放恶意软件的手段。比如去年夏天Bitdefender发现了一款名为Triout的Android恶意软件,它是为具有高级监控功能的企业间谍活动而打造的,这证明背后操盘的是个老练的角色。

代码写得不好的应用程序中的错误也会暴露用户,所以修补应用程序也很重要。例如,一位白帽黑客最近对30个移动金融应用程序进行了逆向工程,然后在几乎所有被检查应用程序的底层代码中都发现了隐藏的敏感数据。研究人员表示,有了这些信息,黑客就可以恢复API密钥,使用它们来攻击供应商的后端服务器并构成用户数据。

3、受恶意软件影响的移动办公员工

随着越来越多的移动设备在企业工作中占据一席之地,它们是攻击者的大有可为的新舞台。然而许多用户并不知道这些设备有多么脆弱,也不知道被攻击的后果可能有多严重。

例如,移动用户经常在设备上混用商业和娱乐软件,这就放大了攻击面。RSA参会者的Lookout调查发现,76%的人通过个人的移动设备或平板电脑访问了企业网络,企业电子邮件或企业云服务。这中行为可能会造成意想不到的后果。当被攻击的设备连接到公司云应用程序或公司局域网时,受感染的设备可能会感染整个企业网络。

员工对这种风险的认识仍然很低,即使是高级管理人员也会图方便而用移动设备处理工作。还存在密码专用问题,在桌面电脑和移动设备使用中都存在这个问题。根据2018年LastPass的分析,几乎一半的专业人士在工作和个人账户中使用相同的密码,分析发现,平均而言,员工在工作期间与同事共享的密码约为6个。

4、基于社交的移动攻击

从社交工程的角度来看,攻击者越来越擅长以移动用户为目标,针对移动网络的钓鱼活动的增加就是一个证明。例如,4月份Lookout用遥测技术于发现了专门针对美国Verizon Wireless客户的网络钓鱼工具包。分析显示该工具包伪装成来自Verizon客服的消息,通过电子邮件将钓鱼链接推送给用户。这些都是针对移动网络量身定制的攻击手段:如果是在台式机上打开这个恶意URL,立刻就会通过其草率的设计而识穿骗局,但是在移动设备上打开时,这个页面看起来就非常像真实的Verizon客户支持应用程序。

这种针对移动网络的骗术的一个变体是,根据用户具体使用的设备,将其链接到两个不同的地方。Lookout分析师有次发现“如果在移动设备上点击钓鱼链接,将转到一个钓鱼网页。如果在非移动设备上点那个链接,则会转到它想伪装的那个真实网站。

对用户进行安全教育应该是保障企业安全的关键措施,员工应该接受培训,充分了解他们的移动设备可能带来什么风险。例如,要让员工清醒认识到移动设备始终连接着互联网,设备上有麦克风、摄像头、公司数据、位置、存储的密码等,这都是网络攻击者大可利用的一笔财富。

我们必须开始将移动设备视为一个成熟的终端,全面考虑黑客可能采取的攻击手段,以及有哪些正在访问的云应用程序(存在风险)等等问题。

5、边界骤然消失后的威胁

要避免这些危险必须面对的难题是,许多内置于企业网络中的安全控制都是为传统上由台式机主导的环境创建的,不适用于员工以移动办公为主要形式的现状。

像防火墙这样的传统安全方法依赖于信任一个终端或一组凭据,因为它的位置是固定的,但这并不能保护移动网络环境中的公司资源,因为物理边界消失了。

仅仅因为设备有正确的用户名和密码并不意味着这是一个符合公司安全规定,进而可以访问数据信息的设备。现在需要基本上假设默认情况下所有设备都不受信任,直到确认该设备是可信任的。

6、零信任能解决的问题

零信任方法旨在通过假设所有设备都不可靠,并且在确认该设备符合公司安全策略之前,不允许访问公司数据来实现这一目标。例如,企业可以确保远程用户在登录之前使用企业托管设备和多因素身份验证。

这可以通过一个称为连续条件访问的系统来完成,即基于一个端点的当前健康状况,与访问一项数据相关的身份信息,以来自云服务商的及数据信息。然后决定具有某个身份的某个端点是否应该能够访问某项云资源。

这种方法也可以与基于设备具体访问内容的风险管理方法相配合使用。例如,如果一名员工指示查看自助餐厅的菜单,那么此时对设备的审查就不用像企业资源规划管理员登录到一项应用时那样严格。

另一个最佳实践是在允许设备访问公司资源时将个人和公司“身份”分开。设备认证应该与(进入)公司”容器”不同,应该拥有单独的身份验证方法,因此可以确保该设备至少不会一解锁就能自动提供无缝访问公司信息的机会。

7、通过OEM隔离移动工作和个人休闲活动

Google的Android Enterprise计划和Apple Business Manager都提供了一些功能来保护和管理个人设备上的公司数据。管理员可以在Android设备上为业务托管的应用和数据创建单独的工作区。并且通过兼容的移动设备管理(MDM)服务器,IT可以通过强制执行强大的安全策略来控制在该容器内管理数据的方式。组织还可以将私有应用程序发布到授权设备,并可以对托管的Google应用程序进行集中审批和配置。

对于Apple,可以将设备和特定应用程序注册为“公司”,然后执行某些策略,例如不允许将来自已注册应用程序的数据存储到个人iCloud上。

在产品方面,Gartner的研究表明,端点保护平台已经与移动威胁防御(MTD)供应商和MDM提供商集成,为管理员提供与所有设备兼容且完整的产品,无论是笔记本电脑、Chromebook还是iPad、Surface、iOS设备或是Android设备等。这提供了一种连续一致的方式来应用补丁和反恶意程序软件,锁定丢失或被盗的设备,帮助管理用户配置文件和访问权限,并对用户和应用程序行为应用动态分析等等。

这种方法的一个好处是,对于用户来说,它是无缝的,几乎不需要改变使用行为。这使得我们能够实际创建一个安全策略,能够提醒检测到的恶意应用程序,或者利用公共热点对设备进行的中间人攻击,然后系统将继续强制VPN连接或要求卸载该应用程序,这些都可以通过这种自动管理控制实现。

微分段作为安全解决方案并不新鲜。安全历史学家称微分段的发端源于组织开始为每个应用程序实现一个单独的DMZ网络,但计算机科学的最新发展以及攻击技术的加强,使得微分段一跃成为一项必备技术。虽然对微分段的需求是稳固而明确的,但企业的计算环境也在不断变化:从传统虚拟化(大约2005年)转向SDN(2010年代),再到公共云、多云、微服务,然后回归到公司在云服务商提供的数据中心内管理所有运行内容。那么如何在这样的背景中实现微分段?

微分段部署模型

Gartner最近更新了其微分段评估要素文档《如何使用评估因子来选择最佳微分段模型》,其中列出了四种不同的微分段模型,但是没有明确建议哪个是最好的。要判别哪个是最佳模型意味着要考虑每种模型的局限性,并认识到自身的IT需求和动态混合云数据中心的未来前景。虽然有四种选择,但考虑到计算机技术和IT发展趋势,唯一的有效架构必须要能够让客户在他们现有和未来可能身处的任何环境中大规模部署微分段。这属于叠加模型,但首先需要解释一下为什么其它模型不适合大多数企业客户。

内置的本机云控件具有内在灵活性

本机模型使用随虚拟化平台、虚拟机管理程序或基础架构提供的内置工具。VMware NSX-V等云服务商的安全组等解决方案分别提供L4和L3 ACL。内置功能不足的话,本质上会造成限制且不灵活,特别是如果用户使用的不仅仅是单一的云和虚拟化技术时,限制更明显。即使对于仅使用一个虚拟机管理程序提供商的企业,此模型也会将它们和某项服务绑定,因为切换到新的服务商时,微分段策略是无法随之变动的。现实情况是,过去支持微分段原生控件的供应商已经意识到客户正在转型,因此不得不开发新的叠加型产品。

第三方防火墙在可见性和一致性方面有限制

第三方供应商提供的虚拟防火墙,未将其集成为基础架构的一部分,基于这种情况,由于网络层设计的限制,此模型可以强制企业更改其整个网络拓扑。已知问题包括共享相同VLAN的流量,可以隐藏或不受控制的流量,以及加密和专有应用程序。所有这些问题都会影响可见性。

除此之外,任何对第三方基础设施的依赖都可能导致瓶颈性难题。如果企业在各种不同架构之间找到一个兼容一致的解决方案,并且希望能够保护容器层,那么这个模型是无法满足的。

选择混合模型会增加不必要的复杂性

一些企业希望通过采用混合策略来回避上述两种模型的缺点。这些公司使用第三方防火墙来管理他们的纵向流量,为混合云提供所需的灵活性,然后在横向的数据中心内,这些企业选择本地控制。

然而,企业选择混合微分段时,实际是在合并两个本质上都有限制的模型。这两种方法仍需要多个控制台进行管理,并不总是共享相同的数据模型。除此之外,公司需要进行复杂而冗长的设置和维护来管理。未来的网络环境只会更快、更动态,工作负载和应用程序都将自动化、自动扩展/迁移,并且经常在多个环境中移动。在这些情况下,不可能确保这种混合方式的可见性和可控性。企业需要的是一种能够独立良好运行的解决方案,而不是将两种分别都有不足之处,且合并之后仍带来限制的混合模型。

混合数据中心安全的未来:使用叠加模型进行微分段

叠加模型从一开始就是以“面向未来”为基础构建的。Gartner将叠加模型描述为一种对工作负载本身实施主机代理或软件的解决方案,这是有理有据的判断。使用代理到代理通信而不是网络分区,尝试实施微分段但不拥有基础架构时,这非常有用的做法。

虽然第三方防火墙模型本质上是不可扩展的,但代理不依赖于阻塞点,这意味着此模型可以根据业务需求进行扩展。叠加覆盖所有环境和基础设施,即使在处理微服务和容器技术时也能提供对流程层的可见性和控制。完全不受操作环境和基础设施差异的影响,这样企业可以创建适合当前和未来环境的微分段策略,无论是裸机还是云、虚拟或微服务,还是接下来可能出现的任何技术。如果没有叠加模型,企业业务可能会在几个月或几年内就过时,无法确定是否支持未来的使用案例并保持行业竞争力。

微分段现在被广泛认为是复杂和混合IT环境中降低风险的必备策略。凑合使用一个有不足的模型不会省去复杂的维护工作,同时还会留下安全策略上的漏洞。 因此Guardicore Centra公司支持叠加模型,不仅是能够降低风险的一体化解决方案,还包括细粒化和灵活的工作负载安全手段。 

图片1.png

低调但有效的隐写技术虽然是旧把戏,但将代码隐藏在看似正常的图像中,还是可能逃脱许多网络安全人员的法眼。

网络安全的一大挑战就是,过度关注某一类威胁,这意味着有可能被另一种威胁杀个措手不及,尤其是在我们的网络和攻击面不断扩大时,这种情况更严重。所以,除了威胁载体之外,我们还需要用整体的眼光关注威胁技术和威胁策略中的问题。总而言之,安全人员既要准备好随时迎战下一个0 day威胁,同时也不能对熟悉的常见漏洞放松警惕。

出于各种原因,尤其是为了节省成本,网络犯罪分子特别喜欢以换汤不换药的方式反复使用已有的恶意软件。把现成的攻击工具修修补补,要比重新创建一个省事得多,如果技术好,调整后工具完全有可能骗过安全人员。Fortinet最近的一份报告发现,最近又活跃起来的隐写术就是其中一个需要重点监控的 “旧把戏”。

当心被隐写术骗了

保密技术贯穿了人类社会的通信历史。密码学是古代保密技艺中最着名的,不过隐写术也有悠久而传奇的历史。隐写术是一种加密技术,可以将某些内容——消息、代码或其它内容 – 隐藏到其它载体中,例如数字照片或视频,从而使其能够以不避讳的方式传递。十多年前,隐写术曾是向受害者传播恶意软件的常用手段,但近期的发展为这种旧式攻击注入了新的活力。

如今,作为夺旗(CTF)比赛的一部分,安全专业人员最常遇到隐写术。最近的一个例子来自2018年的Hacktober.org CTF活动,其中标志“TerrifyingKitty”嵌入在图像中。这种策略很聪明,部分原因是因为该技术已经非常老旧了,许多年轻的安全专业人员在寻求解决问题时甚至都不会考虑它。

然而,隐写术的应用并不仅限于娱乐和游戏。网络攻击者再次开始将这种技术全面融入他们的攻击方案和工具中。最近的例子包括Sundown Exploit Kit和新的Vawtrak和Gatak / Stegoloader恶意软件系列。

隐写术之前逐渐过气的原因之一是它通常不能用于高频威胁(虽然僵尸网络Vawtrak在2018年第四季度的活动非常频繁)。由于这些威胁仅限于特定的交付机制,因此它们通常无法实现网络犯罪分子希望达到的高攻击量,即使是Vawtrak的攻击量在一天内也从未超过十来家公司。因此,当FortiGuard实验室的研究人员观察到,使用隐写术将恶意有效负载隐藏到在社交媒体上传递的表情包中,从而导致恶意软件样本激增时,他们的好奇心被激发了,故此他们对代码进行了一些逆向工程操作,想一探究竟。

与几乎所有其它恶意软件一样,嵌入在这些表情包中的恶意软件首先尝试联系命令和控制(C2)主机,然后下载与攻击相关的其它代码或命令。不过,有趣的地方就在这里。

这个恶意软件不是直接接收命令,而是按照指令在相关联的Twitter馈送中寻找附加图像,下载这些图像,然后提取隐藏在那些图像内的命令以传播其恶意活动。它通过搜索包含诸如/ print(屏幕截图),/ processes(编写正在运行的进程列表)和/ docs(从不同位置写入文件列表)等修改值命令的图像标记来完成此操作。

这种方法非常巧妙,因为大多数安全流程都专注于识别和阻止受感染设备与C2服务器之间发送的通信和命令。这种独特的隐藏方法表明,我们的对手在不断尝试如何能够悄无声息地达到攻击目的。利用社交媒体上共享的图像,以及安全人员传统的二维安全防护方法,就是很好的例证。

因此,尽管隐写术是一种低频攻击媒介,但网络犯罪分子已经开始利用它结合社交媒体的普遍性和快速传播性来传递恶意有效负载。在这种情况下,一个从小规模开始的攻击媒介 ,即使是在公司网络之外,也可以快速扩展攻击范围。

这里的难点在于无法专注于整个攻击频谱。正如我们常说,坏人只需要做对一次,而安全人员一次都不能做错。安全专业人员当然需要通过持续的网络安全意识培训来防范此类创新性攻击,但他们还需要确保整个攻击面上的透明可见性。对于许多组织而言,这就需要重新思考和重新设计其安全基础架构。

虽然越来越多的破坏度指标(indicators of compromise)可用于检测恶意隐写代码,但大多数情况下,隐写攻击都是0 day威胁。因此必须能够及时获取最新的威胁情报和行为分析,并结合自动化和AI技术,进而实现快速威胁响应,多管齐下才能有效防御隐写威胁。

强化安全性的建议

回顾2018年的数据,要有效的应对当今不断变化的威胁,需要打破“烟囱式”独立防护系统,将许多传统上不同的安全工具结合在一起,建立一种协作方法,帮助安全人员全面掌握网络中状况。

随着现代网络威胁的数量、速度和种类的增加,孤立的防护设备和平台愈加显得疲于应对。组织和企业需要一种更统一的防御姿态,帮助公司在整个分布式环境中的多个层检测已知和未知威胁。如果能够再与内部网络分段策略相结合,组织不仅可以更好地检测,还可以以自动化手段遏制网络中横向扩展的威胁。

针对本文中讨论的威胁,实现强有力的反隐写杀伤链需要包括以下工具:

· 使用威胁情报,以追踪最近的隐写技术和其它威胁创新。

· 观察并测试可疑的隐写模糊恶意软件。

· 检查可能隐藏恶意内容的应用程序和其它代码。

· 阻止已知的隐写消息流量。

· 加快更新漏洞补丁、更新升级和策略控制并确定其优先级。

安全人员需要随时了解和跟踪网络中流行的和有破坏力的威胁,以保护其网络免受应用程序攻击、恶意软件、僵尸网络和0 day漏洞(如隐写技术)的影响。网络安全领域从未有过沉闷的时刻,IT团队必须不断了解最新的威胁,包括以新形式重新出现的旧威胁,才能保证其网络安全。