近日,有外媒刊文称,2020年其读者在网络安全方面的关注多为居家办公安全、以疫情为主题的事件等,但在2021年发生了明显的转变。随着2021年接近尾声,Log4Shell、科洛尼尔公司、kaseya、ProxyLogon/ProxyShell、太阳风等大事件占据了今年新闻头条,但从流量来看,读者还对以下5项内容很感兴趣:
- 数据泄露
- 主要零日漏洞
- 代码库恶意软件
- 勒索软件创新
- 游戏攻击
(图片来源于外媒)
数据泄露
(1) 益百利数据曝光
4月,罗切斯特理工学院大二学生比尔·德米尔卡皮(Bill Demirkapi)发现,几乎每个美国人的信用评分都通过益百利(Experian)信贷局使用的API工具暴露出来。该工具称为Experian Connect API,允许贷款人自动执行FICO分数查询。德米尔卡皮说,他能够构建一个命令行工具,让他自动查找几乎所有人的信用评分,即使在出生日期字段中输入了全零。但益百利并不是唯一一个因数据不安全而吸引读者的家喻户晓的名字:LinkedIn(领英)数据在暗网上出售是今年另一个非常热门的话题。
(2) LinkedIn 数据抓取
在4月份的一次数据抓取事件中,5亿LinkedIn会员受到影响,之后,该事件在6月份再次发生。一个自称为“GOD User TomLiner.”的黑客在RaidForums上发布了一条包含7亿条LinkedIn待售记录的帖子。该广告包含100万条记录样本作为“证据”。Privacy Sharks检查了免费样本,发现记录包括全名、性别、电子邮件地址、电话号码和行业信息。目前尚不清楚数据的来源是什么。但据 LinkedIn称,没有发生任何网络泄露事件。
研究人员表示,即便如此,安全后果也很严重,可以导致暴力破解帐户密码、电子邮件和电话诈骗、网络钓鱼尝试、身份盗窃等。
主要零日漏洞
从 Log4Shell 开始。
(1) Log4Shell
Log4Shell漏洞是无处不在的Java日志库Apache Log4j中的一个容易被利用的缺陷,它可能允许未经身份验证的远程代码执行 (RCE) 和完整的服务器接管——并且它仍然在野外被积极利用。
该缺陷 (CVE-2021-44228) 首先出现在迎合世界上最受欢迎的游戏Minecraft用户的网站上。Apache匆忙发布补丁,但在一两天内,由于威胁行为者试图利用新漏洞,攻击变得越发猖獗。
(2) NSO Group
9月,一个名为ForcedEntry be的零点击零日漏洞被发现,它影响了苹果的所有产品:iPhone、iPad、Mac 和手表。它被NSO Group用来安装臭名昭著的Pegasus间谍软件。
苹果推出了紧急修复程序,但 Citizen Lab已经观察到NSO Group的目标是前所未见的零点击漏洞。ForcedEntry漏洞尤其引人注目,因为它成功部署在最新的iOS版本14.4和14.6上,突破了苹果新的BlastDoor沙箱功能。
(3) Palo Alto
另一个引起广大读者兴趣的零日消息是,Randori的研究人员开发了一个有效的漏洞,通过关键漏洞CVE 2021-3064,在Palo Alto Networks的Global Protect防火墙上获得远程代码执行(RCE)。
Randori研究人员表示,如果攻击者成功利用该弱点,他们可以在目标系统上获得shell,访问敏感配置数据,提取凭据等;之后,攻击者可以跨越目标组织。他们说:“一旦攻击者控制了防火墙,他们就可以看到内部网络,并可以继续横向移动。”
Palo Alto Networks在披露当天修补了该漏洞。
(4) 谷歌
今年3月,谷歌匆忙修复其Chrome浏览器中的一个受到主动攻击的漏洞。如果被利用,该漏洞可能允许对受影响系统进行远程代码执行和拒绝服务攻击。
该缺陷是一个释放后使用漏洞,特别存在于Blink中,Blink是作为 Chromium项目的一部分开发的Chrome浏览器引擎。浏览器引擎将 HTML文档和其他网页资源转换为最终用户可以查看的可视表现形式。
“通过说服受害者访问精心编制的网站,远程攻击者可以利用此漏洞执行任意代码或在系统上造成拒绝服务条件,” IBM X-Force在对该漏洞的报告中称。
(5) 戴尔
今年早些时候,研究人员发现自2009年以来售出的所有戴尔个人电脑、平板电脑和笔记本电脑中,都存在五个隐藏了12年的高严重性安全漏洞。据SentinelLabs称,它们允许绕过安全产品,执行代码并转向网络的其他部分进行横向移动。研究人员表示,这些缺陷潜伏在戴尔的固件更新驱动程序中,可能会影响数亿台戴尔台式机、笔记本电脑、笔记本电脑和平板电脑。
自2009年以来一直在使用的固件更新驱动程序版本 2.3 (dbutil_2_3.sys) 模块中,存在多个本地权限提升 (LPE) 错误。驱动程序组件通过戴尔BIOS实用程序处理戴尔固件更新,并且它预先安装在大多数运行Windows的戴尔机器上。
代码库和软件供应链
软件供应链由开放源代码存储库(Open Source Code Repositories)支撑,使开发人员可以集中上传软件包,供开发人员在构建各种应用程序、服务和其他项目时使用。
它们包括GitHub以及更专业的存储库,如Java的Node.js包管理器 (npm)代码存储库;RubyGems(用于Ruby编程语言)等。这些包管理器代表了供应链威胁,因为任何人都可以向它们上传代码,而代码又可能在不知不觉中用作各种应用程序的构建块。任何用户的应用程序都可能受到恶意代码的攻击。
网络犯罪分子蜂拥而至。
例如,12月,在npm中发现了一系列17个恶意软件包;它们都是针对 Discord而构建的,Discord是一个被3.5亿用户使用的虚拟会议平台,支持通过语音通话、视频通话、短信和文件进行通信。同样在本月,托管在PyPI代码存储库中的三个恶意软件包被发现,总共有超过12,000 次下载,并且可能被偷偷地安装在各种应用程序中。这些软件包包括一个用于在受害者机器上建立后门的木马和两个信息窃取程序。
研究人员上周还发现,Maven Central生态系统中有17,000个未打补丁的Log4j Java包,这使得Log4Shell漏洞利用带来了巨大的供应链风险。根据谷歌安全团队的说法,整个生态系统可能需要“几年”才能修复。
使用恶意软件包作为网络攻击媒介也是今年早些时候的一个常见主题。
勒索软件变种
勒索软件在2021年很猖獗。用于锁定文件的实际恶意软件的进展,不仅仅是简单地在目标文件夹上打一个扩展名,其包括以下三大发现。
HelloKitty 的 Linux 变体以虚拟机为目标
今年6月,研究人员首次公开发现了一种Linux加密器——被 HelloKitty勒索软件团伙使用。
HelloKitty是2月份对视频游戏开发商CD Projekt Red攻击的幕后黑手,它开发了许多Linux ELF-64版本的勒索软件,用于攻击VMware ESXi 服务器和运行在它们上面的虚拟机 (VM)。
VMware ESXi,以前称为ESX,是一种裸机管理程序,可以轻松安装到服务器上并将它们划分为多个VM。虽然这使得多个VM可以轻松共享相同的硬盘驱动器存储,但它使系统成为攻击的一站式站点,因为攻击者可以加密用于存储跨 VM数据的集中式虚拟硬盘驱动器。
(1) MosesStaff:没有可用的解密
11月,一个名为MosesStaff的政治组织瘫痪了以色列实体,没有任何财务目标——也没有交出解密密钥的意图。相反,它正在使用勒索软件对以色列目标进行出于政治动机的破坏性攻击,试图造成最大的破坏。
MosesStaff加密网络并窃取信息,并且无意索要赎金或纠正损害。该组织还保持着活跃的社交媒体,发布信息和视频,并公开其意图。
(2) Epsilon Red以 Exchange 服务器为目标
6 月份,威胁行为者在一组PowerShell脚本的背后部署了新的勒索软件,这些脚本是为利用未修补的Exchange服务器中的缺陷而开发的。
Epsilon Red勒索软件是在对一家美国酒店业公司发动攻击后被发现的,它指的是X战警漫威漫画中一个不起眼的敌人角色,一名俄罗斯血统的超级士兵,配备了四个机械触手。
研究人员表示,虽然恶意软件本身是一个用Go编程语言编写的“准系统”64位Windows可执行文件,但它的交付系统依赖于一系列 PowerShell脚本,这些脚本“为最终的勒索软件负载准备被攻击的机器,并最终交付和启动它。”
游戏安全
连续第二年,游戏安全在2021年成为读者关注的焦点,这可能是因为全球疫情流行推动了更高的游戏量。网络犯罪分子也继续瞄准该领域。在卡巴斯基最近的一项调查中,近61%的人报告称遭受过诸如身份盗窃、诈骗或游戏内贵重物品被盗等不法行为。这方面的新闻事件包括Steam用于托管恶意软件、Twitch源代码泄露、索尼PlayStation3 禁令等。
来源:摘译自threatpost,作者泰拉。