2021年已经结束了,COVID-19大流行持续蔓延,现在是时候调查一下今年每个月发布的内容中吸引了超过100万的访问者的帖子,同时对一些热门趋势进行简单的总结(通过查看在Threatpost网站上阅读量最多的帖子)。

2020年一整年的内容几乎都是围绕在家工作的安全、以COVID-19为主题的社会工程和游戏(所有这些都是由大流行第一年的社会变化推动的),但2021年的重点发生了明显的转变。数据不安全、代码存储库恶意软件、主要的0day漏洞和新的勒索软件策略占据了最常阅读的列表——这或许表明,随着我们工作方式的“新常态”变得更加稳定,人们更加关注网络犯罪创新。

跳转:

1. 数据泄露

2. 主要0day漏洞

3. 代码库恶意软件

4. 勒索软件创新

5. 游戏攻击

6. 奖金!十二生肖杀手密码破解

1.2021年阅读量最多的帖子:Experian泄露了用户的信用评分

显然有一些重大新闻在这一年占据了头条新闻:Log4Shell;Colonial Pipeline;Kaseya;ProxyLogon/ProxyShell;SolarWinds。但从文章流量来看,读者最感兴趣的是Experian的数据泄露。

今年4月,罗彻斯特理工学院大二学生比尔·德米尔卡皮(Bill Demirkapi)发现,几乎每个美国人的信用评分被Experian信贷局使用的API工具披露出来。他说,该工具在贷方网站上保持开放状态,甚至没有基本的安全保护。

该工具称为Experian Connect API,允许贷方自动执行FICO评分查询。Demirkapi说他能够构建一个命令行工具,让他可以自动查找几乎任何人的任何信用评分,即使在出生日期字段中输入全零之后。他将其命名为“Bill's Cool credit score Lookup Utility”。

2.jpeg

除了原始信用评分外,该大学生表示,他能够使用API连接从Experian获取“风险因素”,这些因素解释了一个人信用记录中的潜在缺陷,例如“消费者金融公司账户过多”。

就Experian而言,它解决了该问题,并驳斥了安全社区对该问题可能是系统性的担忧。

Experian并不是唯一一个因数据不安全而引起读者关注的公司:LinkedIn数据在暗网上出售是今年另一个非常热门的故事。

LinkedIn数据抓取

在4月份的一次数据抓取事件中,5亿LinkedIn会员受到影响后,该事件在6月份再次发生。一个自称为“上帝用户TomLiner”的黑客在热门网络论坛RaidForums上发布了一个包含7亿条LinkedIn待售记录的帖子,其中包含100万条记录样本作为“证据”。

Privacy Sharks检查了免费样本,发现记录包括全名、性别、电子邮件地址、电话号码和行业信息。目前尚不清楚数据的来源是什么——但它们可能是从公开资料中抓取的。据LinkedIn称,没有发生任何网络泄露事件。

研究人员表示,即便如此,安全后果也很严重,研究人员表示,因为缓存可以暴力破解帐户密码、电子邮件和电话诈骗、网络钓鱼、身份盗窃,最后,数据可能成为社会工程的金矿。当然,攻击者可以简单地访问公共资料以锁定某人,但是在一个地方拥有如此多的记录将会让使用有关用户的工作和性别的信息以及其他详细信息自动进行针对性攻击成为可能。

2.主要0day漏洞

这是一个非常吸引读者的话题,2021年有一些有趣的事情,让我们从Log4Shell开始。

Log4Shell基本上威胁到所有现存的Web服务器

Log4Shell漏洞是无处不在的Java日志库Apache Log4j中的一个容易被利用的漏洞,它可能允许未经身份验证的远程代码执行(RCE)和完全的服务器接管——并且它仍然在野外被积极利用。

3.png

该漏洞(CVE-2021-44228)首次出现在迎合世界上最受欢迎的游戏《我的世界》的用户的网站上。Apache匆忙发布了一个补丁,但在一两天内,由于威胁行为者试图利用新漏洞,攻击变得猖獗起来。从那时开始,读者的兴趣就开始集中于额外漏洞利用媒介、第二漏洞、各种真实世界攻击以及威胁面(日志库基本上无处不在)等相关的新闻上。

NSO Group的Apple零点击漏洞

9月,研究人员发现了一个名为ForcedEntry be的零点击0day漏洞,影响了苹果的所有设备:iPhone、iPad、Mac和Apple Watch。事实证明,它被NSO Group用来安装臭名昭著的Pegasus间谍软件。

Apple推出了紧急修复程序,但Citizen Lab已经观察到,该漏洞的目标是iMessage。据网络安全监管机构称,该漏洞被用于利用通过NSO公司开发的Pegasus间谍软件非法监视巴林激进分子。

ForcedEntry漏洞相当引人注目,因为它成功部署在最新的iOS版本-14.4和14.6上,突破了苹果新的BlastDoor沙盒功能,以在巴林激进分子的iPhone上安装间谍软件。

Palo Alto安全设备中的巨大0day漏洞

另一个引起广大读者兴趣的0day项目是,有消息称来自Randori的研究人员开发了一种有效漏洞利用,通过关键漏洞CVE 2021-3064在Palo Alto Networks的GlobalProtect防火墙上获得远程代码执行(RCE)。

Randori研究人员表示,如果攻击者成功利用该漏洞,他们可以在目标系统上获得shell,访问敏感配置数据,提取凭据等。之后,攻击者可以跨越目标组织,他们说:“一旦攻击者控制了防火墙,他们就可以看到内部网络,并可以继续横向移动。”

Palo Alto Networks在披露当天修补了该漏洞。

谷歌内存0day漏洞

今年3月,谷歌紧急修复了Chrome浏览器中的一个漏洞,该漏洞正受到主动攻击。如果被利用,该漏洞可能允许对受影响的系统进行远程代码执行和拒绝服务攻击。这则报道受到了读者的广泛关注。

该漏洞是一个释放后使用漏洞,特别存在于Blink中,Blink是作为Chromium项目的一部分开发的Chrome浏览器引擎。浏览器引擎将HTML文档和其他网页资源转换为最终用户可以查看的视觉表现形式。

4.jpeg

根据IBM X-Force对该漏洞的报告,“通过引诱受害者访问特制网站,远程攻击者可以利用此漏洞执行任意代码或在系统上造成拒绝服务条件。”

戴尔内核权限漏洞

今年早些时候,在自2009年以来出货的所有戴尔PC、平板电脑和笔记本电脑中都发现了五个隐藏了12年的严重安全漏洞。据SentinelLabs称,它们允许绕过安全产品、执行代码并转移到其他部分,用于横向移动的网络。

研究人员表示,这些漏洞潜伏在戴尔的固件更新驱动程序中,可能会影响数亿台戴尔台式机、笔记本电脑和平板电脑。

自2009年以来一直在使用的固件更新驱动程序版本2.3(dbutil_2_3.sys)模块中存在多个本地权限提升(LPE)漏洞。驱动程序组件通过戴尔BIOS实用程序处理戴尔固件更新,并且它预先安装在大多数运行Windows的戴尔机器上。

3.代码库和软件供应链

软件供应链以开源代码存储库为基础,开发人员可以上传软件包,供开发人员构建各种应用程序、服务和其他项目。它们包括GitHub,以及更专业的存储库,如用于Java的Node.js包管理器(npm)代码存储库;用于Ruby编程语言的RubyGems;用于Python的Python包索引(PyPI)等等。

这些包管理器代表了一种供应链威胁,因为任何人都可以向他们上传代码,而代码又可能在不知不觉中用作各种应用程序的构建块。任何被恶意代码破坏的应用程序都可以攻击程序的用户。

为了启动,一个恶意包可以被加入多个不同的项目中——用加密矿工、信息窃取者等感染它们,并大大提高了修复过程的难度。

5.png

网络犯罪分子蜂拥而至这个攻击面,这引起了读者极大的关注。

例如,12月,在npm中发现了17的恶意包,它们都是针对Discord构建的,Discord是一个拥有3.5亿用户的虚拟会议平台,支持通过语音通话、视频通话、短信和文件进行通信。这些恶意宝主要用来偷取Discord token从而进行账户接管。

同样在本月,托管在PyPI代码存储库中的三个恶意软件包被发现,它们总共有超过12,000次的下载量,并且可能潜入各种应用程序的安装中。这些软件包包括一个用于在受害者机器上建立后门的木马程序和两个信息窃取程序。

研究人员上周还发现,Maven Central生态系统中有17,000个未打补丁的Log4j Java包,这使得Log4Shell漏洞利用带来了巨大的供应链风险。根据谷歌的安全团队,整个生态系统可能需要数年才能完全修复。

使用恶意软件包作为网络攻击媒介也是今年早些时候的一个常见主题。以下是其他近期发现的概述:

· 一月份,在三个npm包中发现了其他窃取Discord的恶意软件。其一是“an0n-chat-lib”,它没有合法的“孪生”包,但另外两个则利用品牌劫持和域名抢注来试图使开发人员认为他们是合法的。“discord-fix”恶意组件的名称与合法的“discord-XP”类似,后者是一个用于Discord机器人的XP框架。“sonatype”包同时使用了纯粹的品牌劫持。

· 今年3月,研究人员在npm公共代码存储库中发现了针对Amazon、Lyft、Slack和Zillow(以及其他公司)内部应用程序的恶意包,所有这些软件包都包含了敏感信息。

· 3月的那次攻击是基于安全研究员Alex Birsan的研究,他发现可以将恶意代码注入到开发人员项目中安装依赖项的常用工具中。此类项目通常使用来自GitHub等站点的公共存储库。然后,恶意代码可以使用这些依赖项通过目标公司的内部应用程序和系统传播恶意软件。通过利用公共的开源开发人员工具,这种新颖的供应链攻击(在道德上)被用来破坏超过35家技术公司的系统,包括Microsoft、Apple、PayPal、Shopify、Netflix、Tesla和Uber。

· 6月,一群加密矿工被发现已渗透到了PyPI。研究人员发现六个不同的恶意软件包隐藏在那里,总共有5,000次下载。

· 7月,npm中发现了一个使用Google Chrome网络浏览器中合法密码恢复工具的凭据窃取包。研究人员在Windows系统上抓到了从Chrome窃取凭据的恶意软件。密码窃取器是多功能的:它还可以侦听来自攻击者的命令和控制(C2)服务器的传入命令,可以上传文件、从受害者的屏幕和相机进行记录以及执行shell命令。

4.有趣的勒索软件变体

勒索软件流行在2021年日趋成熟,用于锁定文件的实际恶意软件的进展不仅仅是简单地在目标文件夹上打一个扩展名。读者开始加大对恶意软件分析报道的关注,这些报道涵盖了勒索软件种类的进展,包括以下三大发现。

HelloKitty的Linux变体以虚拟机为目标

今年6月,研究人员首次公开发现了一种Linux加密器——被HelloKitty勒索软件团伙使用。

HelloKitty是2月份对视频游戏开发商CD Projekt Red发起的攻击的幕后黑手,它开发了许多Linux ELF-64版本的勒索软件,用于攻击在其上运行的VMware ESXi服务器和虚拟机(VM)。

6.jpeg

VMware ESXi,以前称为ESX,是一种裸机管理程序,可以轻松安装到服务器上,并将它们划分为多个VM。虽然这使得多个VM可以轻松共享相同的硬盘驱动器存储,但它使系统成为攻击的“一站式购物点”,因为攻击者可以加密用于存储来自多个虚拟机的数据的集中式虚拟硬盘。。

New Net Technologies(NNT)的Dirk Schrader告诉Threatpost,除了ESXi服务器作为目标的吸引力之外,“将Linux作为许多虚拟化平台的起源添加到[恶意软件]功能中”还将带来一个副作用,即能够在任何Linux机器上启用攻击。

MosesStaff:没有可用的解密

去年11月,一个名为MosesStaff的政治组织使得整个以色列瘫痪了,它没有任何财务目标,也无意交出解密密钥。它的目标是使用勒索软件进行具有政治动机的破坏性攻击,希望造成尽可能大的破坏。

MosesStaff加密网络并窃取信息,无意索要赎金。该组织还保持活跃的社交媒体影响力,通过其渠道发布挑衅性信息和视频,并不隐瞒其意图。

Exchange服务器成为Epsilon Red的攻击目标

6月份,有人看到攻击者在一组PowerShell脚本背后部署了新的勒索软件,这些脚本是为利用未修补的Exchange服务器中的漏洞而开发的。

Epsilon Red勒索软件是在对一家美国酒店业公司发动攻击后被发现的,它指的是X战警漫威漫画中一个不起眼的负面角色,一名配备了四个机械触手的俄罗斯裔超级士兵。

研究人员表示,通过调查攻击事件,发现企业的Microsoft Exchange服务器是攻击者进入企业网络的初始入口,但尚不清楚这是由ProxyLogon漏洞利用还是其他漏洞启用的,但根本原因似乎是未修补的服务器,攻击者使用WMI将其他软件安装到他们可以从Exchange服务器访问的网络内的机器上,然后进行下一步的勒索攻击操作,这是一款新型的勒索病毒,使用go语言编写的,攻击者初期会使用powershell脚本加载勒索病毒payload。

5.游戏安全

连续第二年,游戏安全在2021年成为读者关注的焦点,这可能是因为全球COVID-19大流行使得游戏玩家越来越多,也让网络犯罪分子继续瞄准该领域。在卡巴斯基最近的一项调查中,近61%的人报告称遭受过诸如身份盗窃、诈骗或游戏内贵重物品被盗等不法行为。下面是一些较受欢迎的帖子的概述。

Steam用于托管恶意软件

今年六月,被命名为SteamHide的恶意软件出现,它在Steam上的个人资料图片中伪装自己。

7.jpeg

根据G Data的研究,Steam平台仅用作托管恶意文件的工具:“下载、解包和执行加载程序获取的恶意有效负载等繁重工作由外部组件处理,该组件访问一个Steam profile上的恶意profile图片。这种外部有效载荷可以通过特制的电子邮件分发到受感染的网站。”

信息隐写技术显然不是什么新技术——但Steam profile被用作攻击者控制的托管站点——当我们发布这个故事时,读者的兴趣被极大的吸引起来。

Twitch源代码泄露

10月,一位匿名用户在4chan上发布了一个125GB种子文件的链接,其中包含Twitch的所有源代码、其成立之初的评论、用户支付信息等。

攻击者声称已经洗劫了实时游戏流媒体平台的所有内容;不久之后,Twitch就证实了这个漏洞。

威胁行为者称这次泄密是一种“在在线视频流媒体领域引发更多破坏和竞争”的手段。

Discord上的骗局

11月,一个骗局开始在Discord上四处传播,网络犯罪分子可以通过它获取Steam帐户信息,并试图窃取账户中任何有价值的东西。

以游戏玩家为目标的Discord骗局几乎无处不在。但研究人员发现了一种值得注意的新方法,它跨越了Discord和Stream游戏平台,骗子据称可以免费订阅Nitro(Discord附加组件,可实现自定义表情符号、个人资料徽章、更大的上传、服务器升级等等),以换取两个帐户的“链接”。

目标首先在Discord上收到带有虚假标价的恶意消息,上面写道“只需链接您的Steam帐户即可享受。”其中包含一个链接。恶意链接将用户带到带有“Get Nitro”按钮的虚假Discord页面。一旦受害者点击按钮,该网站似乎跳出一个Steam弹出广告,但研究人员解释说,该广告仍然是该恶意网站的一部分。

8.png

该策略旨在让用户认为他们来到了Steam平台,从而输入他们的登录信息——实际上,骗子已经准备好获取凭据。

索尼PlayStation3禁令

今年6月,据报道,索尼的一个文件夹被攻击,其中包含了所有PlayStation3游戏机的序列号,这使得用户被莫名其妙地禁止进入该平台。

据报道,索尼在网上留下了一个包含每个PS3游戏机ID的不安全文件夹,并于4月中旬被一位名为“The WizWiki”的西班牙YouTuber发现并报告。六月,PlayStation Network留言板上的玩家开始抱怨他们无法登录。

用户认为威胁行为者开始将窃取的PS3主机ID用于恶意目的,导致合法玩家被禁止。但索尼并未证实PS3 ID泄露与玩家被禁止登陆平台之间存在联系。

惊喜:黄道十二宫密码被破解!

这是2021年最受欢迎的10个Threatpost帖子之一——连环杀手Zodiac的340密码,该密码50年来一直未曾有人成功破解。2020年12月,美国的软件开发人员David Oranchak,澳大利亚的数学家Sam Blake和比利时的程序员Jarl Van Eycke终于成功解决了这一难题。

据称,这位黄道十二宫连环杀手在1960年代末和1970年代初在北加利福尼亚地区及其周边地区谋杀了至少5人,他声称自己手上有37条人命。这位仍未具名的凶手向当地报纸媒体发送了一系列四条编码信息吹嘘自己的罪行,其中还包含了一些神秘的图标,这为他赢得了“黄道十二宫”的绰号。

9.jpeg

连环杀手发送的第一个密码很快就被破译了。但第二个,以340个字符命名的340 Cipher很弄清楚。澳大利亚数学家Sam Blake计算出有650,000种可能的方式来读取代码,而在比利时担任仓库操作员的Jarl Van Eycke编写了一个密码破解软件来解决解密问题。很快,他们独特的算法方法得到了回报。这条被FBI正式认可为正确的信息内容如下:

“我希望你在尝试抓住我的过程中得到很多乐趣。

打电话上节目宣称是十二宫杀手的那人,并不是我。

我不怕毒气室,因为它可以把我很快地送入天堂。

我现在有足够多的奴隶为我工作,而其他人到了天堂就一无所有了,所以他们害怕死亡。

我不害怕,因为我知道,在天堂里生活将是一件很轻松的事。”

虽然难以捉摸的连环杀手的名字仍然无从知晓,但这一突破代表了密码学和网络安全的基本构建块——访问控制和分段的胜利。

2021年已经结束了,COVID-19大流行持续蔓延,现在是时候调查一下今年每个月发布的内容中吸引了超过100万的访问者的帖子,同时对一些热门趋势进行简单的总结(通过查看在Threatpost网站上阅读量最多的帖子)。

2020年一整年的内容几乎都是围绕在家工作的安全、以COVID-19为主题的社会工程和游戏(所有这些都是由大流行第一年的社会变化推动的),但2021年的重点发生了明显的转变。数据不安全、代码存储库恶意软件、主要的0day漏洞和新的勒索软件策略占据了最常阅读的列表——这或许表明,随着我们工作方式的“新常态”变得更加稳定,人们更加关注网络犯罪创新。

跳转:

1. 数据泄露

2. 主要0day漏洞

3. 代码库恶意软件

4. 勒索软件创新

5. 游戏攻击

6. 奖金!十二生肖杀手密码破解

1.2021年阅读量最多的帖子:Experian泄露了用户的信用评分

显然有一些重大新闻在这一年占据了头条新闻:Log4Shell;Colonial Pipeline;Kaseya;ProxyLogon/ProxyShell;SolarWinds。但从文章流量来看,读者最感兴趣的是Experian的数据泄露。

今年4月,罗彻斯特理工学院大二学生比尔·德米尔卡皮(Bill Demirkapi)发现,几乎每个美国人的信用评分被Experian信贷局使用的API工具披露出来。他说,该工具在贷方网站上保持开放状态,甚至没有基本的安全保护。

该工具称为Experian Connect API,允许贷方自动执行FICO评分查询。Demirkapi说他能够构建一个命令行工具,让他可以自动查找几乎任何人的任何信用评分,即使在出生日期字段中输入全零之后。他将其命名为“Bill's Cool credit score Lookup Utility”。

2.jpeg

除了原始信用评分外,该大学生表示,他能够使用API连接从Experian获取“风险因素”,这些因素解释了一个人信用记录中的潜在缺陷,例如“消费者金融公司账户过多”。

就Experian而言,它解决了该问题,并驳斥了安全社区对该问题可能是系统性的担忧。

Experian并不是唯一一个因数据不安全而引起读者关注的公司:LinkedIn数据在暗网上出售是今年另一个非常热门的故事。

LinkedIn数据抓取

在4月份的一次数据抓取事件中,5亿LinkedIn会员受到影响后,该事件在6月份再次发生。一个自称为“上帝用户TomLiner”的黑客在热门网络论坛RaidForums上发布了一个包含7亿条LinkedIn待售记录的帖子,其中包含100万条记录样本作为“证据”。

Privacy Sharks检查了免费样本,发现记录包括全名、性别、电子邮件地址、电话号码和行业信息。目前尚不清楚数据的来源是什么——但它们可能是从公开资料中抓取的。据LinkedIn称,没有发生任何网络泄露事件。

研究人员表示,即便如此,安全后果也很严重,研究人员表示,因为缓存可以暴力破解帐户密码、电子邮件和电话诈骗、网络钓鱼、身份盗窃,最后,数据可能成为社会工程的金矿。当然,攻击者可以简单地访问公共资料以锁定某人,但是在一个地方拥有如此多的记录将会让使用有关用户的工作和性别的信息以及其他详细信息自动进行针对性攻击成为可能。

2.主要0day漏洞

这是一个非常吸引读者的话题,2021年有一些有趣的事情,让我们从Log4Shell开始。

Log4Shell基本上威胁到所有现存的Web服务器

Log4Shell漏洞是无处不在的Java日志库Apache Log4j中的一个容易被利用的漏洞,它可能允许未经身份验证的远程代码执行(RCE)和完全的服务器接管——并且它仍然在野外被积极利用。

3.png

该漏洞(CVE-2021-44228)首次出现在迎合世界上最受欢迎的游戏《我的世界》的用户的网站上。Apache匆忙发布了一个补丁,但在一两天内,由于威胁行为者试图利用新漏洞,攻击变得猖獗起来。从那时开始,读者的兴趣就开始集中于额外漏洞利用媒介、第二漏洞、各种真实世界攻击以及威胁面(日志库基本上无处不在)等相关的新闻上。

NSO Group的Apple零点击漏洞

9月,研究人员发现了一个名为ForcedEntry be的零点击0day漏洞,影响了苹果的所有设备:iPhone、iPad、Mac和Apple Watch。事实证明,它被NSO Group用来安装臭名昭著的Pegasus间谍软件。

Apple推出了紧急修复程序,但Citizen Lab已经观察到,该漏洞的目标是iMessage。据网络安全监管机构称,该漏洞被用于利用通过NSO公司开发的Pegasus间谍软件非法监视巴林激进分子。

ForcedEntry漏洞相当引人注目,因为它成功部署在最新的iOS版本-14.4和14.6上,突破了苹果新的BlastDoor沙盒功能,以在巴林激进分子的iPhone上安装间谍软件。

Palo Alto安全设备中的巨大0day漏洞

另一个引起广大读者兴趣的0day项目是,有消息称来自Randori的研究人员开发了一种有效漏洞利用,通过关键漏洞CVE 2021-3064在Palo Alto Networks的GlobalProtect防火墙上获得远程代码执行(RCE)。

Randori研究人员表示,如果攻击者成功利用该漏洞,他们可以在目标系统上获得shell,访问敏感配置数据,提取凭据等。之后,攻击者可以跨越目标组织,他们说:“一旦攻击者控制了防火墙,他们就可以看到内部网络,并可以继续横向移动。”

Palo Alto Networks在披露当天修补了该漏洞。

谷歌内存0day漏洞

今年3月,谷歌紧急修复了Chrome浏览器中的一个漏洞,该漏洞正受到主动攻击。如果被利用,该漏洞可能允许对受影响的系统进行远程代码执行和拒绝服务攻击。这则报道受到了读者的广泛关注。

该漏洞是一个释放后使用漏洞,特别存在于Blink中,Blink是作为Chromium项目的一部分开发的Chrome浏览器引擎。浏览器引擎将HTML文档和其他网页资源转换为最终用户可以查看的视觉表现形式。

4.jpeg

根据IBM X-Force对该漏洞的报告,“通过引诱受害者访问特制网站,远程攻击者可以利用此漏洞执行任意代码或在系统上造成拒绝服务条件。”

戴尔内核权限漏洞

今年早些时候,在自2009年以来出货的所有戴尔PC、平板电脑和笔记本电脑中都发现了五个隐藏了12年的严重安全漏洞。据SentinelLabs称,它们允许绕过安全产品、执行代码并转移到其他部分,用于横向移动的网络。

研究人员表示,这些漏洞潜伏在戴尔的固件更新驱动程序中,可能会影响数亿台戴尔台式机、笔记本电脑和平板电脑。

自2009年以来一直在使用的固件更新驱动程序版本2.3(dbutil_2_3.sys)模块中存在多个本地权限提升(LPE)漏洞。驱动程序组件通过戴尔BIOS实用程序处理戴尔固件更新,并且它预先安装在大多数运行Windows的戴尔机器上。

3.代码库和软件供应链

软件供应链以开源代码存储库为基础,开发人员可以上传软件包,供开发人员构建各种应用程序、服务和其他项目。它们包括GitHub,以及更专业的存储库,如用于Java的Node.js包管理器(npm)代码存储库;用于Ruby编程语言的RubyGems;用于Python的Python包索引(PyPI)等等。

这些包管理器代表了一种供应链威胁,因为任何人都可以向他们上传代码,而代码又可能在不知不觉中用作各种应用程序的构建块。任何被恶意代码破坏的应用程序都可以攻击程序的用户。

为了启动,一个恶意包可以被加入多个不同的项目中——用加密矿工、信息窃取者等感染它们,并大大提高了修复过程的难度。

5.png

网络犯罪分子蜂拥而至这个攻击面,这引起了读者极大的关注。

例如,12月,在npm中发现了17的恶意包,它们都是针对Discord构建的,Discord是一个拥有3.5亿用户的虚拟会议平台,支持通过语音通话、视频通话、短信和文件进行通信。这些恶意宝主要用来偷取Discord token从而进行账户接管。

同样在本月,托管在PyPI代码存储库中的三个恶意软件包被发现,它们总共有超过12,000次的下载量,并且可能潜入各种应用程序的安装中。这些软件包包括一个用于在受害者机器上建立后门的木马程序和两个信息窃取程序。

研究人员上周还发现,Maven Central生态系统中有17,000个未打补丁的Log4j Java包,这使得Log4Shell漏洞利用带来了巨大的供应链风险。根据谷歌的安全团队,整个生态系统可能需要数年才能完全修复。

使用恶意软件包作为网络攻击媒介也是今年早些时候的一个常见主题。以下是其他近期发现的概述:

· 一月份,在三个npm包中发现了其他窃取Discord的恶意软件。其一是“an0n-chat-lib”,它没有合法的“孪生”包,但另外两个则利用品牌劫持和域名抢注来试图使开发人员认为他们是合法的。“discord-fix”恶意组件的名称与合法的“discord-XP”类似,后者是一个用于Discord机器人的XP框架。“sonatype”包同时使用了纯粹的品牌劫持。

· 今年3月,研究人员在npm公共代码存储库中发现了针对Amazon、Lyft、Slack和Zillow(以及其他公司)内部应用程序的恶意包,所有这些软件包都包含了敏感信息。

· 3月的那次攻击是基于安全研究员Alex Birsan的研究,他发现可以将恶意代码注入到开发人员项目中安装依赖项的常用工具中。此类项目通常使用来自GitHub等站点的公共存储库。然后,恶意代码可以使用这些依赖项通过目标公司的内部应用程序和系统传播恶意软件。通过利用公共的开源开发人员工具,这种新颖的供应链攻击(在道德上)被用来破坏超过35家技术公司的系统,包括Microsoft、Apple、PayPal、Shopify、Netflix、Tesla和Uber。

· 6月,一群加密矿工被发现已渗透到了PyPI。研究人员发现六个不同的恶意软件包隐藏在那里,总共有5,000次下载。

· 7月,npm中发现了一个使用Google Chrome网络浏览器中合法密码恢复工具的凭据窃取包。研究人员在Windows系统上抓到了从Chrome窃取凭据的恶意软件。密码窃取器是多功能的:它还可以侦听来自攻击者的命令和控制(C2)服务器的传入命令,可以上传文件、从受害者的屏幕和相机进行记录以及执行shell命令。

4.有趣的勒索软件变体

勒索软件流行在2021年日趋成熟,用于锁定文件的实际恶意软件的进展不仅仅是简单地在目标文件夹上打一个扩展名。读者开始加大对恶意软件分析报道的关注,这些报道涵盖了勒索软件种类的进展,包括以下三大发现。

HelloKitty的Linux变体以虚拟机为目标

今年6月,研究人员首次公开发现了一种Linux加密器——被HelloKitty勒索软件团伙使用。

HelloKitty是2月份对视频游戏开发商CD Projekt Red发起的攻击的幕后黑手,它开发了许多Linux ELF-64版本的勒索软件,用于攻击在其上运行的VMware ESXi服务器和虚拟机(VM)。

6.jpeg

VMware ESXi,以前称为ESX,是一种裸机管理程序,可以轻松安装到服务器上,并将它们划分为多个VM。虽然这使得多个VM可以轻松共享相同的硬盘驱动器存储,但它使系统成为攻击的“一站式购物点”,因为攻击者可以加密用于存储来自多个虚拟机的数据的集中式虚拟硬盘。。

New Net Technologies(NNT)的Dirk Schrader告诉Threatpost,除了ESXi服务器作为目标的吸引力之外,“将Linux作为许多虚拟化平台的起源添加到[恶意软件]功能中”还将带来一个副作用,即能够在任何Linux机器上启用攻击。

MosesStaff:没有可用的解密

去年11月,一个名为MosesStaff的政治组织使得整个以色列瘫痪了,它没有任何财务目标,也无意交出解密密钥。它的目标是使用勒索软件进行具有政治动机的破坏性攻击,希望造成尽可能大的破坏。

MosesStaff加密网络并窃取信息,无意索要赎金。该组织还保持活跃的社交媒体影响力,通过其渠道发布挑衅性信息和视频,并不隐瞒其意图。

Exchange服务器成为Epsilon Red的攻击目标

6月份,有人看到攻击者在一组PowerShell脚本背后部署了新的勒索软件,这些脚本是为利用未修补的Exchange服务器中的漏洞而开发的。

Epsilon Red勒索软件是在对一家美国酒店业公司发动攻击后被发现的,它指的是X战警漫威漫画中一个不起眼的负面角色,一名配备了四个机械触手的俄罗斯裔超级士兵。

研究人员表示,通过调查攻击事件,发现企业的Microsoft Exchange服务器是攻击者进入企业网络的初始入口,但尚不清楚这是由ProxyLogon漏洞利用还是其他漏洞启用的,但根本原因似乎是未修补的服务器,攻击者使用WMI将其他软件安装到他们可以从Exchange服务器访问的网络内的机器上,然后进行下一步的勒索攻击操作,这是一款新型的勒索病毒,使用go语言编写的,攻击者初期会使用powershell脚本加载勒索病毒payload。

5.游戏安全

连续第二年,游戏安全在2021年成为读者关注的焦点,这可能是因为全球COVID-19大流行使得游戏玩家越来越多,也让网络犯罪分子继续瞄准该领域。在卡巴斯基最近的一项调查中,近61%的人报告称遭受过诸如身份盗窃、诈骗或游戏内贵重物品被盗等不法行为。下面是一些较受欢迎的帖子的概述。

Steam用于托管恶意软件

今年六月,被命名为SteamHide的恶意软件出现,它在Steam上的个人资料图片中伪装自己。

7.jpeg

根据G Data的研究,Steam平台仅用作托管恶意文件的工具:“下载、解包和执行加载程序获取的恶意有效负载等繁重工作由外部组件处理,该组件访问一个Steam profile上的恶意profile图片。这种外部有效载荷可以通过特制的电子邮件分发到受感染的网站。”

信息隐写技术显然不是什么新技术——但Steam profile被用作攻击者控制的托管站点——当我们发布这个故事时,读者的兴趣被极大的吸引起来。

Twitch源代码泄露

10月,一位匿名用户在4chan上发布了一个125GB种子文件的链接,其中包含Twitch的所有源代码、其成立之初的评论、用户支付信息等。

攻击者声称已经洗劫了实时游戏流媒体平台的所有内容;不久之后,Twitch就证实了这个漏洞。

威胁行为者称这次泄密是一种“在在线视频流媒体领域引发更多破坏和竞争”的手段。

Discord上的骗局

11月,一个骗局开始在Discord上四处传播,网络犯罪分子可以通过它获取Steam帐户信息,并试图窃取账户中任何有价值的东西。

以游戏玩家为目标的Discord骗局几乎无处不在。但研究人员发现了一种值得注意的新方法,它跨越了Discord和Stream游戏平台,骗子据称可以免费订阅Nitro(Discord附加组件,可实现自定义表情符号、个人资料徽章、更大的上传、服务器升级等等),以换取两个帐户的“链接”。

目标首先在Discord上收到带有虚假标价的恶意消息,上面写道“只需链接您的Steam帐户即可享受。”其中包含一个链接。恶意链接将用户带到带有“Get Nitro”按钮的虚假Discord页面。一旦受害者点击按钮,该网站似乎跳出一个Steam弹出广告,但研究人员解释说,该广告仍然是该恶意网站的一部分。

8.png

该策略旨在让用户认为他们来到了Steam平台,从而输入他们的登录信息——实际上,骗子已经准备好获取凭据。

索尼PlayStation3禁令

今年6月,据报道,索尼的一个文件夹被攻击,其中包含了所有PlayStation3游戏机的序列号,这使得用户被莫名其妙地禁止进入该平台。

据报道,索尼在网上留下了一个包含每个PS3游戏机ID的不安全文件夹,并于4月中旬被一位名为“The WizWiki”的西班牙YouTuber发现并报告。六月,PlayStation Network留言板上的玩家开始抱怨他们无法登录。

用户认为威胁行为者开始将窃取的PS3主机ID用于恶意目的,导致合法玩家被禁止。但索尼并未证实PS3 ID泄露与玩家被禁止登陆平台之间存在联系。

惊喜:黄道十二宫密码被破解!

这是2021年最受欢迎的10个Threatpost帖子之一——连环杀手Zodiac的340密码,该密码50年来一直未曾有人成功破解。2020年12月,美国的软件开发人员David Oranchak,澳大利亚的数学家Sam Blake和比利时的程序员Jarl Van Eycke终于成功解决了这一难题。

据称,这位黄道十二宫连环杀手在1960年代末和1970年代初在北加利福尼亚地区及其周边地区谋杀了至少5人,他声称自己手上有37条人命。这位仍未具名的凶手向当地报纸媒体发送了一系列四条编码信息吹嘘自己的罪行,其中还包含了一些神秘的图标,这为他赢得了“黄道十二宫”的绰号。

9.jpeg

连环杀手发送的第一个密码很快就被破译了。但第二个,以340个字符命名的340 Cipher很弄清楚。澳大利亚数学家Sam Blake计算出有650,000种可能的方式来读取代码,而在比利时担任仓库操作员的Jarl Van Eycke编写了一个密码破解软件来解决解密问题。很快,他们独特的算法方法得到了回报。这条被FBI正式认可为正确的信息内容如下:

“我希望你在尝试抓住我的过程中得到很多乐趣。

打电话上节目宣称是十二宫杀手的那人,并不是我。

我不怕毒气室,因为它可以把我很快地送入天堂。

我现在有足够多的奴隶为我工作,而其他人到了天堂就一无所有了,所以他们害怕死亡。

我不害怕,因为我知道,在天堂里生活将是一件很轻松的事。”

虽然难以捉摸的连环杀手的名字仍然无从知晓,但这一突破代表了密码学和网络安全的基本构建块——访问控制和分段的胜利。

研究人员警告说,由于16个不同的URL解析库之间的不一致而导致的8个不同的安全漏洞,可能导致多种Web应用程序中的拒绝服务(DoS)情况、信息泄漏和远程代码执行(RCE)。

这些漏洞是在为各种语言编写的第三方Web包中发现的,并且像Log4Shell和其他软件供应链威胁一样,可能已被导入到数百或数千个不同的Web应用程序和项目中。受影响的是Flask(一个用Python编写的微型Web框架)、Video.js(HTML5视频播放器)、Belledonne(免费的VoIP和IP视频电话)、Nagios XI(网络和服务器监控)和Clearance(Ruby密码验证)。

跳至问题概要。

理解URL解析混乱

URL解析是将Web地址分解为其底层组件的过程,以便正确地将流量路由到不同的链接或不同的服务器。可用于各种编程语言的URL解析库通常被导入到应用程序中以实现此功能。

来自Claroty Team82研究部门和Synk的研究人员在周一的一份分析报告中写道:“URL实际上是由五个不同的组件构成的:方案、权限、路径、查询和片段。”“每个组件都扮演着不同的角色,它决定了请求的协议、持有资源的主机、应该获取的确切资源等等。”

根据综合分析,由于每个库进行解析活动的方式不同,安全漏洞会突然出现。

Team82和Synk研究了16个不同的URL解析库,包括:urllib(Python)、urllib3(Python)、rfc3986(Python)、httptools(Python)、curl lib(cURL)、Wget、Chrome(Browser)、Uri(.NET)、URL(Java)、URI(Java)、parse_url(PHP)、url(NodeJS)、url-parse(NodeJS)、net/url(Go)、uri(Ruby)和URI(Perl)。

他们在这些库解析组件的方式中发现了五类不一致:

· Scheme混淆:涉及丢失或Scheme格式错误的URL的混淆

· 斜杠混淆:包含不规则斜杠数量的URL混淆

· 反斜杠混淆:涉及包含反斜杠(\)的URL混淆

· URL编码数据混淆:涉及包含URL编码数据的URL混淆

· Scheme Mix-ups:涉及在没有特定Scheme解析器的情况下解析属于某个Scheme的URL混淆

根据报告,问题在于,由于两个主要的Web应用程序开发漏洞,这些不一致可能会产生易受攻击的代码块:

· 使用多个解析器:无论是出于设计还是疏忽,开发人员有时会在项目中使用多个URL解析库。由于某些库可能会以不同方式解析相同的URL,因此可能会在代码中引入漏洞。

· 规范不兼容:不同的解析库是根据不同的Web标准或URL规范编写的,这在设计上造成了不一致,这也会导致漏洞,因为开发人员可能不熟悉URL规范之间的差异及其含义(例如,应该检查或清理的内容)。

作为真实攻击场景的示例,斜线混淆可能导致服务器端请求伪造(SSRF)漏洞,这可用于实现RCE。研究人员解释说,不同的库以不同的方式处理斜杠数量超过通常数量的URL(例如https:///www.google.com):其中一些会忽略多余的斜杠,而另一些则将URL解释为没有主机。

对于前者(大多数现代浏览器和cURL都采用这种方法),接受格式错误、斜杠数量不正确的URL可能导致SSRF,研究人员解释说:“[不]忽略额外斜杠的库......将解析这个[格式错误]URL作为具有空权限(netloc)的URL,因此通过了对netloc(在本例中为空字符串)与google.com进行比较的安全检查。但是,由于cURL忽略了多余的斜杠,因此它将获取URL从而绕过尝试的验证,并导致SSRF漏洞。”

根据Claroty的说法,URL混淆也是绕过Log4Shell补丁的原因,因为在JNDI查找过程中使用了两种不同的URL解析器:一个解析器用于验证URL,另一个解析器用于获取URL。

研究人员解释说:“根据每个解析器处理URL的片段部分(#)的不同,权限也会发生变化。”“为了验证URL的主机是否被允许,Java的URI被使用,它解析URL、提取主机,并检查主机是否在允许主机的白名单中。事实上,如果我们使用Java的URI解析这个URL,我们会发现URL的主机号是127.0.0.1,它包含在白名单中。但是,在某些操作系统(主要是macOS)和特定配置上,当JNDI查找进程获取此URL时,它不会尝试从127.0.0.1获取它,而是向127.0.0.1#.evilhost.com发出请求。这意味着虽然此恶意负载将绕过AllowedDaPost localhost验证(由URI解析器完成),但它仍将尝试从远程位置获取类。”

URL解析安全漏洞

在他们的分析中,研究人员在第三方Web应用程序中发现了八个由URL解析混淆导致的高危漏洞。他们说,除了在不受支持的Flask版本中发现的那些之外,所有这些都已被修补,因此开发人员应该使用更新的版本更新他们的应用程序:

1. Flask-security开放重定向(Python,CVE-2021-23385

2. Flask-security-too开放重定向(Python,CVE-2021-32618

3. Flask-User开放重定向(Python,CVE-2021-23401

4. Flask-unchained开放重定向(Python,CVE-2021-23393

5. Belledonne的SIP堆栈空指针间接引用(DoS)(C,CVE-2021-33056

6. Video.js跨站脚本(XSS)(JavaScript,CVE-2021-23414

7. Nagios XI开放重定向(PHP,CVE-2021-37352

8. Clearance开放重定向(Ruby,CVE-2021-23435

开放重定向漏洞很容易被利用,因为它们可以进行欺骗、网络钓鱼和中间人攻击(MITM)。当Web应用程序接受用户控制的输入,该输入指定用户在特定操作后将被重定向到的URL时,就会发生这种情况。例如,当用户登录网站时,他们可能会被重定向到恶意网站。

研究人员解释说,开放式重定向攻击通常通过验证来阻止:“Web服务器验证给定的URL,并且只允许属于同一站点或受信任域列表的URL。”

URL库混淆会干扰正确的验证,就像Clearance漏洞一样。研究人员指出,Clearance(Ruby的Rails框架中一个广泛应用的第三方插件,可以实现简单安全的电子邮件和密码身份验证)中的易受攻击的函数是“return_to”。此函数在登录/注销过程之后调用,并且应该将用户安全地重定向到他们之前请求的页面。但是,如果可以说服目标单击具有以下语法的URL,则可将其破坏:http://www.victim.com/////evil.com。

研究人员解释说:“由于Rails忽略了URL中的多个斜杠,因此路径段将完整到达Clearance(/////evil.com)并在其进行解析。”“由于URI.parse删除了两个斜杠,因此生成的URL是///evil.com。每当服务器将用户重定向到此URL///evil.com时,浏览器都会将此网络路径相对引用转换为指向evil.com域(主机)的绝对http://evil.com URL。”

Belledonne VoIP崩溃

在Belledonne的Linphone中发现了一个更有趣的漏洞,这是一个免费的IP语音软电话、SIP客户端和用于音频和视频通话的服务。根据分析,由于它处理SIP消息解析的方式,它遭受了scheme混淆。

研究人员解释说:“通过研究Belledone的URL解析功能,我们发现[a]段代码解析了to/from SIP header中的SIP URL。”“Belledone将SIP URL解析为通用URL,并使用strcasecmp检查方案是SIP还是SIP,以及给定的URL是否为SIP URL。”

然而,他们解释说,Belledonne generic_uri接受由不同URL组件创建的URL,而不需要存在特定组件。

他们总结说:“这意味着仅包含路径而没有URL scheme的URL是有效的URL。”“通过此方法,我们提供了一个只包含一个斜杠(/)的URL,导致URL的方案结果为NULL。然后,当Belledone使用strcasecmp时,它会比较一个NULL指针(因为没有提供scheme),从而导致NULL指针取消引用和应用程序崩溃。”

该团队创建了一个概念验证漏洞利用代码,该代码能够通过简单的恶意VoIP呼叫来使任何远程用户的应用程序崩溃,“要求受攻击用户的零交互”。

Team82和Synk研究人员指出,“可能会出现许多漏洞,从可能导致远程代码执行的SSRF漏洞到可能导致复杂网络钓鱼攻击的开放重定向漏洞。”他们说,为了保护他们的应用程序,开发人员应采用以下措施:

使用尽可能少的解析器。研究人员说:“我们建议您完全避免使用URL解析器,而且一般情况下这是很容易实现。”

在microservice环境中传输解析的URL。他们指出:“如果microservice是在不同的框架或编程语言中实现,他们可能会使用不同的URL解析器。”“为了避免这个问题,你可以简单地在前端microservice中解析URL,并以解析后的形式进一步传输它。”

了解与应用程序业务逻辑相关的解析器的差异。有时无法避免使用多个解析器,因此开发人员需要注意解析行为的差异。

在解析之前始终规范化URL。始终确保应用程序删除多个正向/反向斜杠、空格和控制字符,以便在解析之前将URL恢复为正确的形式。

研究人员警告说,由于16个不同的URL解析库之间的不一致而导致的8个不同的安全漏洞,可能导致多种Web应用程序中的拒绝服务(DoS)情况、信息泄漏和远程代码执行(RCE)。

这些漏洞是在为各种语言编写的第三方Web包中发现的,并且像Log4Shell和其他软件供应链威胁一样,可能已被导入到数百或数千个不同的Web应用程序和项目中。受影响的是Flask(一个用Python编写的微型Web框架)、Video.js(HTML5视频播放器)、Belledonne(免费的VoIP和IP视频电话)、Nagios XI(网络和服务器监控)和Clearance(Ruby密码验证)。

跳至问题概要。

理解URL解析混乱

URL解析是将Web地址分解为其底层组件的过程,以便正确地将流量路由到不同的链接或不同的服务器。可用于各种编程语言的URL解析库通常被导入到应用程序中以实现此功能。

来自Claroty Team82研究部门和Synk的研究人员在周一的一份分析报告中写道:“URL实际上是由五个不同的组件构成的:方案、权限、路径、查询和片段。”“每个组件都扮演着不同的角色,它决定了请求的协议、持有资源的主机、应该获取的确切资源等等。”

根据综合分析,由于每个库进行解析活动的方式不同,安全漏洞会突然出现。

Team82和Synk研究了16个不同的URL解析库,包括:urllib(Python)、urllib3(Python)、rfc3986(Python)、httptools(Python)、curl lib(cURL)、Wget、Chrome(Browser)、Uri(.NET)、URL(Java)、URI(Java)、parse_url(PHP)、url(NodeJS)、url-parse(NodeJS)、net/url(Go)、uri(Ruby)和URI(Perl)。

他们在这些库解析组件的方式中发现了五类不一致:

· Scheme混淆:涉及丢失或Scheme格式错误的URL的混淆

· 斜杠混淆:包含不规则斜杠数量的URL混淆

· 反斜杠混淆:涉及包含反斜杠(\)的URL混淆

· URL编码数据混淆:涉及包含URL编码数据的URL混淆

· Scheme Mix-ups:涉及在没有特定Scheme解析器的情况下解析属于某个Scheme的URL混淆

根据报告,问题在于,由于两个主要的Web应用程序开发漏洞,这些不一致可能会产生易受攻击的代码块:

· 使用多个解析器:无论是出于设计还是疏忽,开发人员有时会在项目中使用多个URL解析库。由于某些库可能会以不同方式解析相同的URL,因此可能会在代码中引入漏洞。

· 规范不兼容:不同的解析库是根据不同的Web标准或URL规范编写的,这在设计上造成了不一致,这也会导致漏洞,因为开发人员可能不熟悉URL规范之间的差异及其含义(例如,应该检查或清理的内容)。

作为真实攻击场景的示例,斜线混淆可能导致服务器端请求伪造(SSRF)漏洞,这可用于实现RCE。研究人员解释说,不同的库以不同的方式处理斜杠数量超过通常数量的URL(例如https:///www.google.com):其中一些会忽略多余的斜杠,而另一些则将URL解释为没有主机。

对于前者(大多数现代浏览器和cURL都采用这种方法),接受格式错误、斜杠数量不正确的URL可能导致SSRF,研究人员解释说:“[不]忽略额外斜杠的库......将解析这个[格式错误]URL作为具有空权限(netloc)的URL,因此通过了对netloc(在本例中为空字符串)与google.com进行比较的安全检查。但是,由于cURL忽略了多余的斜杠,因此它将获取URL从而绕过尝试的验证,并导致SSRF漏洞。”

根据Claroty的说法,URL混淆也是绕过Log4Shell补丁的原因,因为在JNDI查找过程中使用了两种不同的URL解析器:一个解析器用于验证URL,另一个解析器用于获取URL。

研究人员解释说:“根据每个解析器处理URL的片段部分(#)的不同,权限也会发生变化。”“为了验证URL的主机是否被允许,Java的URI被使用,它解析URL、提取主机,并检查主机是否在允许主机的白名单中。事实上,如果我们使用Java的URI解析这个URL,我们会发现URL的主机号是127.0.0.1,它包含在白名单中。但是,在某些操作系统(主要是macOS)和特定配置上,当JNDI查找进程获取此URL时,它不会尝试从127.0.0.1获取它,而是向127.0.0.1#.evilhost.com发出请求。这意味着虽然此恶意负载将绕过AllowedDaPost localhost验证(由URI解析器完成),但它仍将尝试从远程位置获取类。”

URL解析安全漏洞

在他们的分析中,研究人员在第三方Web应用程序中发现了八个由URL解析混淆导致的高危漏洞。他们说,除了在不受支持的Flask版本中发现的那些之外,所有这些都已被修补,因此开发人员应该使用更新的版本更新他们的应用程序:

1. Flask-security开放重定向(Python,CVE-2021-23385

2. Flask-security-too开放重定向(Python,CVE-2021-32618

3. Flask-User开放重定向(Python,CVE-2021-23401

4. Flask-unchained开放重定向(Python,CVE-2021-23393

5. Belledonne的SIP堆栈空指针间接引用(DoS)(C,CVE-2021-33056

6. Video.js跨站脚本(XSS)(JavaScript,CVE-2021-23414

7. Nagios XI开放重定向(PHP,CVE-2021-37352

8. Clearance开放重定向(Ruby,CVE-2021-23435

开放重定向漏洞很容易被利用,因为它们可以进行欺骗、网络钓鱼和中间人攻击(MITM)。当Web应用程序接受用户控制的输入,该输入指定用户在特定操作后将被重定向到的URL时,就会发生这种情况。例如,当用户登录网站时,他们可能会被重定向到恶意网站。

研究人员解释说,开放式重定向攻击通常通过验证来阻止:“Web服务器验证给定的URL,并且只允许属于同一站点或受信任域列表的URL。”

URL库混淆会干扰正确的验证,就像Clearance漏洞一样。研究人员指出,Clearance(Ruby的Rails框架中一个广泛应用的第三方插件,可以实现简单安全的电子邮件和密码身份验证)中的易受攻击的函数是“return_to”。此函数在登录/注销过程之后调用,并且应该将用户安全地重定向到他们之前请求的页面。但是,如果可以说服目标单击具有以下语法的URL,则可将其破坏:http://www.victim.com/////evil.com。

研究人员解释说:“由于Rails忽略了URL中的多个斜杠,因此路径段将完整到达Clearance(/////evil.com)并在其进行解析。”“由于URI.parse删除了两个斜杠,因此生成的URL是///evil.com。每当服务器将用户重定向到此URL///evil.com时,浏览器都会将此网络路径相对引用转换为指向evil.com域(主机)的绝对http://evil.com URL。”

Belledonne VoIP崩溃

在Belledonne的Linphone中发现了一个更有趣的漏洞,这是一个免费的IP语音软电话、SIP客户端和用于音频和视频通话的服务。根据分析,由于它处理SIP消息解析的方式,它遭受了scheme混淆。

研究人员解释说:“通过研究Belledone的URL解析功能,我们发现[a]段代码解析了to/from SIP header中的SIP URL。”“Belledone将SIP URL解析为通用URL,并使用strcasecmp检查方案是SIP还是SIP,以及给定的URL是否为SIP URL。”

然而,他们解释说,Belledonne generic_uri接受由不同URL组件创建的URL,而不需要存在特定组件。

他们总结说:“这意味着仅包含路径而没有URL scheme的URL是有效的URL。”“通过此方法,我们提供了一个只包含一个斜杠(/)的URL,导致URL的方案结果为NULL。然后,当Belledone使用strcasecmp时,它会比较一个NULL指针(因为没有提供scheme),从而导致NULL指针取消引用和应用程序崩溃。”

该团队创建了一个概念验证漏洞利用代码,该代码能够通过简单的恶意VoIP呼叫来使任何远程用户的应用程序崩溃,“要求受攻击用户的零交互”。

Team82和Synk研究人员指出,“可能会出现许多漏洞,从可能导致远程代码执行的SSRF漏洞到可能导致复杂网络钓鱼攻击的开放重定向漏洞。”他们说,为了保护他们的应用程序,开发人员应采用以下措施:

使用尽可能少的解析器。研究人员说:“我们建议您完全避免使用URL解析器,而且一般情况下这是很容易实现。”

在microservice环境中传输解析的URL。他们指出:“如果microservice是在不同的框架或编程语言中实现,他们可能会使用不同的URL解析器。”“为了避免这个问题,你可以简单地在前端microservice中解析URL,并以解析后的形式进一步传输它。”

了解与应用程序业务逻辑相关的解析器的差异。有时无法避免使用多个解析器,因此开发人员需要注意解析行为的差异。

在解析之前始终规范化URL。始终确保应用程序删除多个正向/反向斜杠、空格和控制字符,以便在解析之前将URL恢复为正确的形式。

联邦贸易委员会(FTC)周二警告称,将集结其法律力量追究未能保护消费者数据免受Log4j漏洞风险的公司和供应商。

警告中写道:“FTC打算利用其全部法律权力追究未能采取合理措施保护消费者数据免遭Log4j或类似已知漏洞的公司。”

联邦贸易委员会表示,那些将消费者数据泄露、未及时修补漏洞从而为漏洞利用打开大门,由此可能导致的“个人信息丢失或泄露、经济损失和其他不可逆转的伤害”的公司,正面临着巨额罚款等严重的法律后果。

它特别提到了联邦贸易委员会法案 (The FTC Act)和Gramm-Leach-Bliley法案。FTC法案是该委员会的主要法规,其中针对损害消费者的行为规定了金钱补偿和其他救济。Gramm-Leach-Bliley要求金融机构保护敏感数据。

“至关重要的是,依赖Log4j的公司及其供应商现在就采取行动,以减少对消费者造成伤害的可能性,以免受FTC的起诉风险,”美国联邦贸易委员会敦促道。

美国联邦贸易委员会的警告中提到了对Equifax的诉讼,Equifax同意支付7亿美元已了结美国联邦贸易委员会、消费者金融保护局和所有50个州因臭名昭著的2017年数据泄露而采取的行动。

根据美国联邦贸易委员会,由于Equifax未能修补已知漏洞,“不可逆转地使得1.47亿消费者的个人信息遭到暴露”。它说,如果您的公司因Log4Shell或任何类似的已知漏洞而无法保护消费者数据免受暴露,预计会有更多相同的情况发生。

美国联邦贸易委员会建议企业遵从网络安全和基础设施安全局(CISA)的指导,以检查他们是否使用Apache的Log4j日志库,该库被称为Log4Shell漏洞集群的心脏。

CISA建议,发现他们正在使用Log4j的公司应该执行以下操作:

· 将您的Log4j软件包更新到最新版本

· 请参阅CISA指南以缓解此漏洞。

· 确保采取补救措施,以确保贵公司的做法不违反法律。未能识别和修补此软件的公司可能违反 FTC法案

· 将此信息传递给向易受攻击的消费者销售产品或提供服务的第三方子公司。

12月17日,CISA发布了一项紧急指令,要求联邦民事部门和机构在12月23日星期四之前立即修补其面向互联网的系统,以解决Log4j漏洞。联邦机构还有五天时间(直到12月28日)报告受Log4Shell影响的产品,包括供应商和应用程序名称和版本,以及已采取的措施(例如更新、缓解、从代理网络中删除)以阻止利用Log4Shell的尝试。

CISA为Log4Shell漏洞提供了一个专门的页面,其中包含修补信息,同时发布了一个Log4j扫描程序来寻找潜在的易受攻击的Web服务。

Log4j方兴未艾

最初的漏洞——CVE-2021-44228——于12月9日被发现,并在数小时内受到攻击。截至12月15日,已有超过180万次攻击,针对一半的公司网络,使用至少70个不同的恶意软件系列,以利用三个漏洞:

1. Log4Shell远程代码执行(RCE)漏洞引发了更严重的突变,并导致……

2. Apache初始补丁中存在拒绝服务(DoS)的可能性。另外,还有……

3. 第三个漏洞,一个类似于Log4Shell的DoS漏洞,它也影响了日志库。它的不同之处在于它涉及Context Map查找,而不是对CVE-2021-44228中涉及的LDAP服务器的Java命名和目录接口(JNDI)查找:允许攻击者执行执行Log4Shell漏洞中返回的任何代码的查找。

至此,Conti勒索软件团伙已经拥有完整的攻击链数周了。

在周一的更新中,微软表示12月底没有任何缓解:该公司观察到某国家资助的网络犯罪攻击者在月底之前一直在探测系统的Log4Shell漏洞。微软安全研究人员警告说:“微软观察到攻击者使用许多相同的清单技术来定位目标。已经观察到一些狡猾的对手(如民族国家行为者)正在利用这些漏洞。扩大利用这些漏洞的可能性很大。”

研究人员说:“在12月的最后几周,漏洞利用的尝试一直在继续。我们观察到许多攻击者在他们现有的恶意软件工具包和策略中添加了对这些漏洞的利用,从硬币矿工到手动键盘攻击。”

查找Log4j

响应Log4j漏洞最具挑战性的方面之一就是简单地识别使用Log4j的组织中的设备。

“由于它是一个跨平台、广泛使用的软件库,它的部署位置和方式有着惊人的多样性:它可以是一个自行安装的应用程序包,与另一个应用程序包捆绑在一起,作为磁盘上的另一个文件,或者嵌入到另一个应用程序中。”Sevco Security的联合创始人兼首席执行官JJ Guy周三告诉Threatpost。

他补充说:“更糟糕的是,它被用于从云管理服务到服务器应用程序,甚至是固定功能的嵌入式设备的所有领域。连接互联网的toaster很可能容易受到Log4Shell的攻击。”

Guy说:“我们现在正处于分流阶段,在这一阶段,如系统管理或软件管理工具等基本工具可以提供初步分类。”

一个问题:还有哪些设备需要分类?

Guy说:“对于董事会、首席执行官、首席信息官或首席信息安全官等组织领导者来说,要对这些分类结果充满信心,他们不仅需要报告已分类的机器,还要报告有多少机器正在等待分类。”“报告‘待分类’统计数据需要完整的资产清单,包括哪些机器已成功分类。”

他称这是每个组织的应对措施中的“一个更大的隐藏挑战”,因为很少有企业拥有全面的资产清单,“尽管几十年来它一直是每个安全合规计划的首要要求。”

联邦贸易委员会(FTC)周二警告称,将集结其法律力量追究未能保护消费者数据免受Log4j漏洞风险的公司和供应商。

警告中写道:“FTC打算利用其全部法律权力追究未能采取合理措施保护消费者数据免遭Log4j或类似已知漏洞的公司。”

联邦贸易委员会表示,那些将消费者数据泄露、未及时修补漏洞从而为漏洞利用打开大门,由此可能导致的“个人信息丢失或泄露、经济损失和其他不可逆转的伤害”的公司,正面临着巨额罚款等严重的法律后果。

它特别提到了联邦贸易委员会法案 (The FTC Act)和Gramm-Leach-Bliley法案。FTC法案是该委员会的主要法规,其中针对损害消费者的行为规定了金钱补偿和其他救济。Gramm-Leach-Bliley要求金融机构保护敏感数据。

“至关重要的是,依赖Log4j的公司及其供应商现在就采取行动,以减少对消费者造成伤害的可能性,以免受FTC的起诉风险,”美国联邦贸易委员会敦促道。

美国联邦贸易委员会的警告中提到了对Equifax的诉讼,Equifax同意支付7亿美元已了结美国联邦贸易委员会、消费者金融保护局和所有50个州因臭名昭著的2017年数据泄露而采取的行动。

根据美国联邦贸易委员会,由于Equifax未能修补已知漏洞,“不可逆转地使得1.47亿消费者的个人信息遭到暴露”。它说,如果您的公司因Log4Shell或任何类似的已知漏洞而无法保护消费者数据免受暴露,预计会有更多相同的情况发生。

美国联邦贸易委员会建议企业遵从网络安全和基础设施安全局(CISA)的指导,以检查他们是否使用Apache的Log4j日志库,该库被称为Log4Shell漏洞集群的心脏。

CISA建议,发现他们正在使用Log4j的公司应该执行以下操作:

· 将您的Log4j软件包更新到最新版本

· 请参阅CISA指南以缓解此漏洞。

· 确保采取补救措施,以确保贵公司的做法不违反法律。未能识别和修补此软件的公司可能违反 FTC法案

· 将此信息传递给向易受攻击的消费者销售产品或提供服务的第三方子公司。

12月17日,CISA发布了一项紧急指令,要求联邦民事部门和机构在12月23日星期四之前立即修补其面向互联网的系统,以解决Log4j漏洞。联邦机构还有五天时间(直到12月28日)报告受Log4Shell影响的产品,包括供应商和应用程序名称和版本,以及已采取的措施(例如更新、缓解、从代理网络中删除)以阻止利用Log4Shell的尝试。

CISA为Log4Shell漏洞提供了一个专门的页面,其中包含修补信息,同时发布了一个Log4j扫描程序来寻找潜在的易受攻击的Web服务。

Log4j方兴未艾

最初的漏洞——CVE-2021-44228——于12月9日被发现,并在数小时内受到攻击。截至12月15日,已有超过180万次攻击,针对一半的公司网络,使用至少70个不同的恶意软件系列,以利用三个漏洞:

1. Log4Shell远程代码执行(RCE)漏洞引发了更严重的突变,并导致……

2. Apache初始补丁中存在拒绝服务(DoS)的可能性。另外,还有……

3. 第三个漏洞,一个类似于Log4Shell的DoS漏洞,它也影响了日志库。它的不同之处在于它涉及Context Map查找,而不是对CVE-2021-44228中涉及的LDAP服务器的Java命名和目录接口(JNDI)查找:允许攻击者执行执行Log4Shell漏洞中返回的任何代码的查找。

至此,Conti勒索软件团伙已经拥有完整的攻击链数周了。

在周一的更新中,微软表示12月底没有任何缓解:该公司观察到某国家资助的网络犯罪攻击者在月底之前一直在探测系统的Log4Shell漏洞。微软安全研究人员警告说:“微软观察到攻击者使用许多相同的清单技术来定位目标。已经观察到一些狡猾的对手(如民族国家行为者)正在利用这些漏洞。扩大利用这些漏洞的可能性很大。”

研究人员说:“在12月的最后几周,漏洞利用的尝试一直在继续。我们观察到许多攻击者在他们现有的恶意软件工具包和策略中添加了对这些漏洞的利用,从硬币矿工到手动键盘攻击。”

查找Log4j

响应Log4j漏洞最具挑战性的方面之一就是简单地识别使用Log4j的组织中的设备。

“由于它是一个跨平台、广泛使用的软件库,它的部署位置和方式有着惊人的多样性:它可以是一个自行安装的应用程序包,与另一个应用程序包捆绑在一起,作为磁盘上的另一个文件,或者嵌入到另一个应用程序中。”Sevco Security的联合创始人兼首席执行官JJ Guy周三告诉Threatpost。

他补充说:“更糟糕的是,它被用于从云管理服务到服务器应用程序,甚至是固定功能的嵌入式设备的所有领域。连接互联网的toaster很可能容易受到Log4Shell的攻击。”

Guy说:“我们现在正处于分流阶段,在这一阶段,如系统管理或软件管理工具等基本工具可以提供初步分类。”

一个问题:还有哪些设备需要分类?

Guy说:“对于董事会、首席执行官、首席信息官或首席信息安全官等组织领导者来说,要对这些分类结果充满信心,他们不仅需要报告已分类的机器,还要报告有多少机器正在等待分类。”“报告‘待分类’统计数据需要完整的资产清单,包括哪些机器已成功分类。”

他称这是每个组织的应对措施中的“一个更大的隐藏挑战”,因为很少有企业拥有全面的资产清单,“尽管几十年来它一直是每个安全合规计划的首要要求。”

该组织证实,在太平洋西北部的McMenamins餐饮和酒店帝国遭受到勒索软件攻击的同时,还发生了一次涉及12年间员工信息的数据泄露。

有些人把12月12日的信息泄露事件归因于Conti帮派,此次事件迫使McMenamins关闭了各种运营活动,但个运营点仍然可以接待客户。McMenamins以致力于拯救和修复俄勒冈州和华盛顿州的历史建筑并为它们注入生命活力而闻名,如风格多样的酒吧、餐厅、啤酒厂、酒店、电影院、音乐会场馆、水疗中心等等。事实上,它的20个营业点所在地都被列入国家史迹名录。

本周,McMenamins证实,网络攻击者窃取了1998年1月1日至2010年6月30日期间为公司工作的员工的信息数据,包括电话号码、电子邮件地址、出生日期、种族、民族、性别、健康状况、医疗记录、绩效和纪律记录、社会安全号码、健康保险计划选择、收入金额和退休供款金额等等。

这些数据可能会被出售或用于网络钓鱼攻击和其他社会工程活动、身份盗用等。

该公司在12月30日的通知中表示:“攻击者也有可能访问了包含员工存款银行账户信息的文件,但McMenamins表示该文件没有受到访问的迹象。”

该公司表示,有一点是可以肯定的,本次事件中客户的财物数据没有受到影响。

“我们对此事件感到非常震惊,但我们敦促大家保持警惕,不时监视他们的帐户和医疗保健信息,以及时发现任何异常情况。”该公司股东之一布赖恩·麦克梅纳明(Brian McMenamin)在一份新闻声明中说。“如果他们发现任何异常情况,应立即通知他们的金融机构或医疗服务机构。他们应该及时注册以获得免费监护和身份盗用保护。所有信息都在我们的网站上,我们鼓励他们有任何问题都可以致电。”作为此事的善后措施,McMenamins向所有现任和前任员工免费提供益博睿Experian IdentityWorksSM的12个月会员资格,以提供身份和信用监控的保护服务。

McMenamins表示,它为以前和现在在职的员工提供身份和信用保护服务,以及一个专门的呼叫中心来回答有关攻击的问题,同时它也已发出了信件通知所有受影响的个人。

仍未从12月勒索软件攻击中恢复

攻击发生后,该公司被迫关闭了其IT系统、信用卡销售点系统和企业电子邮件,以防止攻击进一步蔓延。公司表示,三周后,该公司的运营仍未得到修复,包括其中央电话系统、电子邮件、信用卡处理、酒店预订系统和礼品卡处理等等这家酒店集团的核心功能。

目前,该公司正在要求人们推迟酒店预订或直接致电酒店,并且正在使用第三方销售点Dinerware的信用卡。

该组织表示:“尚不清楚问题何时可以得到解决以及系统何时恢复运行。”“鉴于对公司电子邮件系统的影响,电子邮件回复会有延迟。”

布赖恩·麦克梅纳明(Brian McMenamin)表示,考虑到McMenamin的员工在过去两年大流行期间经历了巨大的“压力和困难”,这次攻击行为“尤其令人沮丧”。

该公司表示,McMenamins已向FBI报告了这一事件,并正在与一家网络安全公司合作,以确定攻击的来源和全部范围。

一些消息来源将这次袭击归咎于俄罗斯的Conti团伙——Palo Alto Networks该团伙是“最残忍”和最复杂的勒索软件团伙。众所周知,Conti索要的赎金金额极为高昂,例如今年早些时候它向佛罗里达州劳德代尔堡布劳沃德县公立学校提出了4000万美元的赎金要求。它也曾在组织即将倒闭时继续进行攻击的记录,正如5月份对爱尔兰卫生服务机构的攻击可见。

它还最近修改了其代码(及其人员招聘),以增强其查找和完全销毁备份的能力,从而使得受害者在遭受勒索软件攻击后无法使用这些备份来恢复操作。并且,在12月下旬,Conti成为第一批声称拥有完整Log4Shell漏洞利用链的专业团伙之一。

该组织证实,在太平洋西北部的McMenamins餐饮和酒店帝国遭受到勒索软件攻击的同时,还发生了一次涉及12年间员工信息的数据泄露。

有些人把12月12日的信息泄露事件归因于Conti帮派,此次事件迫使McMenamins关闭了各种运营活动,但个运营点仍然可以接待客户。McMenamins以致力于拯救和修复俄勒冈州和华盛顿州的历史建筑并为它们注入生命活力而闻名,如风格多样的酒吧、餐厅、啤酒厂、酒店、电影院、音乐会场馆、水疗中心等等。事实上,它的20个营业点所在地都被列入国家史迹名录。

本周,McMenamins证实,网络攻击者窃取了1998年1月1日至2010年6月30日期间为公司工作的员工的信息数据,包括电话号码、电子邮件地址、出生日期、种族、民族、性别、健康状况、医疗记录、绩效和纪律记录、社会安全号码、健康保险计划选择、收入金额和退休供款金额等等。

这些数据可能会被出售或用于网络钓鱼攻击和其他社会工程活动、身份盗用等。

该公司在12月30日的通知中表示:“攻击者也有可能访问了包含员工存款银行账户信息的文件,但McMenamins表示该文件没有受到访问的迹象。”

该公司表示,有一点是可以肯定的,本次事件中客户的财物数据没有受到影响。

“我们对此事件感到非常震惊,但我们敦促大家保持警惕,不时监视他们的帐户和医疗保健信息,以及时发现任何异常情况。”该公司股东之一布赖恩·麦克梅纳明(Brian McMenamin)在一份新闻声明中说。“如果他们发现任何异常情况,应立即通知他们的金融机构或医疗服务机构。他们应该及时注册以获得免费监护和身份盗用保护。所有信息都在我们的网站上,我们鼓励他们有任何问题都可以致电。”作为此事的善后措施,McMenamins向所有现任和前任员工免费提供益博睿Experian IdentityWorksSM的12个月会员资格,以提供身份和信用监控的保护服务。

McMenamins表示,它为以前和现在在职的员工提供身份和信用保护服务,以及一个专门的呼叫中心来回答有关攻击的问题,同时它也已发出了信件通知所有受影响的个人。

仍未从12月勒索软件攻击中恢复

攻击发生后,该公司被迫关闭了其IT系统、信用卡销售点系统和企业电子邮件,以防止攻击进一步蔓延。公司表示,三周后,该公司的运营仍未得到修复,包括其中央电话系统、电子邮件、信用卡处理、酒店预订系统和礼品卡处理等等这家酒店集团的核心功能。

目前,该公司正在要求人们推迟酒店预订或直接致电酒店,并且正在使用第三方销售点Dinerware的信用卡。

该组织表示:“尚不清楚问题何时可以得到解决以及系统何时恢复运行。”“鉴于对公司电子邮件系统的影响,电子邮件回复会有延迟。”

布赖恩·麦克梅纳明(Brian McMenamin)表示,考虑到McMenamin的员工在过去两年大流行期间经历了巨大的“压力和困难”,这次攻击行为“尤其令人沮丧”。

该公司表示,McMenamins已向FBI报告了这一事件,并正在与一家网络安全公司合作,以确定攻击的来源和全部范围。

一些消息来源将这次袭击归咎于俄罗斯的Conti团伙——Palo Alto Networks该团伙是“最残忍”和最复杂的勒索软件团伙。众所周知,Conti索要的赎金金额极为高昂,例如今年早些时候它向佛罗里达州劳德代尔堡布劳沃德县公立学校提出了4000万美元的赎金要求。它也曾在组织即将倒闭时继续进行攻击的记录,正如5月份对爱尔兰卫生服务机构的攻击可见。

它还最近修改了其代码(及其人员招聘),以增强其查找和完全销毁备份的能力,从而使得受害者在遭受勒索软件攻击后无法使用这些备份来恢复操作。并且,在12月下旬,Conti成为第一批声称拥有完整Log4Shell漏洞利用链的专业团伙之一。

名为Aquatic Panda的网络犯罪分子是一个利用Log4Shell漏洞的最新高级持续威胁组织(APT)。

根据周三发布的研究报告,CrowdStrike Falcon OverWatch的研究人员最近在一次针对大型未公开学术机构的攻击中,在易受攻击的VMware安装上扰乱了使用Log4Shell漏洞利用工具的威胁参与者。

CrowdStrike报告的作者本杰明·威利(Benjamin Wiley)写道:“Aquatic Panda具有情报收集和工业间谍活动的双重使命。”Wiley表示,研究人员发现了与目标基础设施相关的可疑活动。“这导致OverWatch在日常操作期间寻找与VMware Horizon Tomcat Web服务器服务相关的异常子进程。”

研究人员表示,OverWatch迅速将该活动通知了组织,以便目标可以“开始他们的事件响应协议”。

CrowdStrike等安全公司一直在监测一个名为CVE-2021-44228(俗称Log4Shell)的漏洞的可疑活动,该漏洞于12月初在Apache的Log4j日志库中被发现,并立即受到攻击者的攻击。

不断扩大的攻击面

由于Log4Shell受到了广泛的使用,来自Microsoft、Apple、Twitter、CloudFlare和其他公司的许多常见基础设施产品都很容易地受到了攻击。研究人员表示,最近,VMware还发布了一项指南,指出其Horizon服务的某些组件容易受到Log4j攻击,这导致OverWatch将VMware Horizon Tomcat Web服务器服务添加到他们的进程监视列表中。

当威胁行为者在DNS [.]1433[.]eu[.]下通过DNS查找子域进行多重连接检查时,Falcon OverWatch团队注意到了Aquatic Panda的入侵,该子域在VMware Horizon实例上运行的Apache Tomcat服务下执行。

研究人员写道:“威胁行为者随后执行了一系列Linux命令,包括尝试使用包含硬编码的IP地址以及curl和wget命令执行基于bash的交互式shell,以检索托管在远程基础设施上的威胁行为工具。”

研究人员表示,这些命令是在Apache Tomcat服务下的Windows主机上执行的。他们说,他们对最初的活动进行了分类,并立即向受害组织发送了一个关键检测报告,随后直接与他们的安全团队分享了其他详细信息。

最终,研究人员评估说在威胁行为者的操作过程中可能使用了Log4j漏洞的修改版本,并且攻击中使用的基础设施与Aquatic Panda相关联。

跟踪攻击

他们说,OverWatch的研究人员在入侵期间密切跟踪了威胁行为者的活动,以便在学术机构遭到威胁行为攻击时安全管理员能够及时更新以缓解攻击带来的后果。

Aquatic Panda从主机进行侦察,使用本地操作系统二进制文件来了解当前的权限级别以及系统和域的详细信息。他们说,研究人员还观察到该组织试图发现并停止第三方端点检测和响应(EDR)服务。

攻击者下载了额外的脚本,然后通过PowerShell执行Base64编码的命令,从他们的工具包中检索恶意软件。他们还从远程基础设施中检索到了三个带有VBS文件扩展名的文件,然后对其进行解码。

研究人员写道:“根据可用的遥测数据,OverWatch认为这些文件可能构成了一个反向外壳,通过DLL搜索顺序劫持将其加载到内存中。”

Aquatic Panda最终通过使用“生活在陆地上的二进制文件”rdrleakdiag.exe和cdump.exe(createdump.exe重命名副本)转储LSASS进程的内存,多次尝试获取凭证。

研究人员写道:“在试图通过从ProgramData和Windows\temp\目录中删除所有可执行文件来掩盖他们的踪迹之前,威胁行为者使用了winRAR来压缩内存转储以准备渗漏。”

研究人员表示,受攻击组织最终修补了易受攻击的应用程序,从而阻止了Aquatic Panda对主机采取进一步操作,并阻止了攻击。

新的一年,同样的漏洞

随着2021年的结束,Log4Shell和开发的漏洞利用程序很可能会让攻击者将其用于恶意活动,从而将攻击带入新的一年。

“全球范围内围绕Log4j的讨论一直很激烈,它让许多组织都处于紧张状态,”OverWatch研究人员写道,“没有组织希望听到这种极具破坏性的漏洞可能会影响其自身。”

事实上,自本月早些时候被发现以来,该漏洞已经让很多组织和安全研究人员感到相当头疼。攻击者蜂拥而至到Log4Shell上,在漏洞首次被发现的24小时内生成了针对该漏洞创建的原始漏洞利用程序的60个变体。尽管Apache迅速采取行动修补了它,但修复的同时也带来了一些问题也带来了一些问题,从而产生了相关漏洞

此外,Aquatic Panda也不是第一个认识到Log4Shell中漏洞利用机会的有组织的网络犯罪集团,也必然不会是最后一个。12月20日,总部位于俄罗斯的Conti勒索软件团伙以其复杂和凶残而闻名,成为第一个利用Log4Shell漏洞并将其武器化的专业犯罪软件组织,并创建了一个整体攻击链。

CrowdStrike敦促组织随着情况的发展随时了解可用于Log4Shell和整个Log4j漏洞的最新缓解措施。

名为Aquatic Panda的网络犯罪分子是一个利用Log4Shell漏洞的最新高级持续威胁组织(APT)。

根据周三发布的研究报告,CrowdStrike Falcon OverWatch的研究人员最近在一次针对大型未公开学术机构的攻击中,在易受攻击的VMware安装上扰乱了使用Log4Shell漏洞利用工具的威胁参与者。

CrowdStrike报告的作者本杰明·威利(Benjamin Wiley)写道:“Aquatic Panda具有情报收集和工业间谍活动的双重使命。”Wiley表示,研究人员发现了与目标基础设施相关的可疑活动。“这导致OverWatch在日常操作期间寻找与VMware Horizon Tomcat Web服务器服务相关的异常子进程。”

研究人员表示,OverWatch迅速将该活动通知了组织,以便目标可以“开始他们的事件响应协议”。

CrowdStrike等安全公司一直在监测一个名为CVE-2021-44228(俗称Log4Shell)的漏洞的可疑活动,该漏洞于12月初在Apache的Log4j日志库中被发现,并立即受到攻击者的攻击。

不断扩大的攻击面

由于Log4Shell受到了广泛的使用,来自Microsoft、Apple、Twitter、CloudFlare和其他公司的许多常见基础设施产品都很容易地受到了攻击。研究人员表示,最近,VMware还发布了一项指南,指出其Horizon服务的某些组件容易受到Log4j攻击,这导致OverWatch将VMware Horizon Tomcat Web服务器服务添加到他们的进程监视列表中。

当威胁行为者在DNS [.]1433[.]eu[.]下通过DNS查找子域进行多重连接检查时,Falcon OverWatch团队注意到了Aquatic Panda的入侵,该子域在VMware Horizon实例上运行的Apache Tomcat服务下执行。

研究人员写道:“威胁行为者随后执行了一系列Linux命令,包括尝试使用包含硬编码的IP地址以及curl和wget命令执行基于bash的交互式shell,以检索托管在远程基础设施上的威胁行为工具。”

研究人员表示,这些命令是在Apache Tomcat服务下的Windows主机上执行的。他们说,他们对最初的活动进行了分类,并立即向受害组织发送了一个关键检测报告,随后直接与他们的安全团队分享了其他详细信息。

最终,研究人员评估说在威胁行为者的操作过程中可能使用了Log4j漏洞的修改版本,并且攻击中使用的基础设施与Aquatic Panda相关联。

跟踪攻击

他们说,OverWatch的研究人员在入侵期间密切跟踪了威胁行为者的活动,以便在学术机构遭到威胁行为攻击时安全管理员能够及时更新以缓解攻击带来的后果。

Aquatic Panda从主机进行侦察,使用本地操作系统二进制文件来了解当前的权限级别以及系统和域的详细信息。他们说,研究人员还观察到该组织试图发现并停止第三方端点检测和响应(EDR)服务。

攻击者下载了额外的脚本,然后通过PowerShell执行Base64编码的命令,从他们的工具包中检索恶意软件。他们还从远程基础设施中检索到了三个带有VBS文件扩展名的文件,然后对其进行解码。

研究人员写道:“根据可用的遥测数据,OverWatch认为这些文件可能构成了一个反向外壳,通过DLL搜索顺序劫持将其加载到内存中。”

Aquatic Panda最终通过使用“生活在陆地上的二进制文件”rdrleakdiag.exe和cdump.exe(createdump.exe重命名副本)转储LSASS进程的内存,多次尝试获取凭证。

研究人员写道:“在试图通过从ProgramData和Windows\temp\目录中删除所有可执行文件来掩盖他们的踪迹之前,威胁行为者使用了winRAR来压缩内存转储以准备渗漏。”

研究人员表示,受攻击组织最终修补了易受攻击的应用程序,从而阻止了Aquatic Panda对主机采取进一步操作,并阻止了攻击。

新的一年,同样的漏洞

随着2021年的结束,Log4Shell和开发的漏洞利用程序很可能会让攻击者将其用于恶意活动,从而将攻击带入新的一年。

“全球范围内围绕Log4j的讨论一直很激烈,它让许多组织都处于紧张状态,”OverWatch研究人员写道,“没有组织希望听到这种极具破坏性的漏洞可能会影响其自身。”

事实上,自本月早些时候被发现以来,该漏洞已经让很多组织和安全研究人员感到相当头疼。攻击者蜂拥而至到Log4Shell上,在漏洞首次被发现的24小时内生成了针对该漏洞创建的原始漏洞利用程序的60个变体。尽管Apache迅速采取行动修补了它,但修复的同时也带来了一些问题也带来了一些问题,从而产生了相关漏洞

此外,Aquatic Panda也不是第一个认识到Log4Shell中漏洞利用机会的有组织的网络犯罪集团,也必然不会是最后一个。12月20日,总部位于俄罗斯的Conti勒索软件团伙以其复杂和凶残而闻名,成为第一个利用Log4Shell漏洞并将其武器化的专业犯罪软件组织,并创建了一个整体攻击链。

CrowdStrike敦促组织随着情况的发展随时了解可用于Log4Shell和整个Log4j漏洞的最新缓解措施。